WhatsApp, Telegram, Signal, Apple iMessage: ¿son seguras?
Un informe indaga en el encriptado de los principales mensajeros, los datos de la CNV están ahora en Telegram, nuevas filtraciones en Argentina y el hacker César Cerrudo presentó su libro.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
20>30
jun
📨 Mensajes ¿encriptados?
Un equipo de investigadores publicó un informe de 86 páginas analizando los servicios de mensajería más utilizados de la actualidad: WhatsApp, Telegram, Signal, iMessage de Apple, Messages by Google y el mensajero de Meta (Messenger).
Desde septiembre de 2022 hasta mayo de 2023, analizamos aplicaciones de mensajería populares bajo una serie de dimensiones, como la seguridad técnica, la experiencia del usuario, el modo en que las aplicaciones se relacionan con los usuarios y los desarrolladores, sus políticas, términos y condiciones.
El foco de la investigación relevó cómo operan los mensajes encriptados: si vienen por default, si realmente están cifrados y qué tipos de copias de las conversaciones realizan estos servicios.
Una de las conclusiones más fuertes del estudio es que, a no ser que la aplicación fuerce a usar encriptado de punta a punta, la mayoría de los usuarios no pueden darse cuenta de si están teniendo una conversación segura o no. Y que pocos pueden distinguir entre términos técnicos como “secreto” o “chat privado” o qué color se usa para indicar que una conversación está encriptada, vs. una que no lo está.
¿La que mejor parada salió? Signal: según los autores, es la única que protege la privacidad de los usuarios escondiendo contactos, metadatos y no guarda las conversaciones en sus servidores si el usuario no quiere que lo haga.
Otra cuestión interesante que señalan los autores del estudio es que “las personas se forman modelos mentales de su propia seguridad digital individual o de grupo y las amenazas”.
Esto se puede verificar en ciertos idearios colectivos, como una idea instalada respecto de que “Telegram es más segura que WhatsApp” cuando, en la actualidad, son bastante similares (además de que Telegram no permite desactivar confirmación de lectura y que le avisa a todos los contactos cuando un usuario nuevo se une).
Acá, algunas conclusiones que sacaron en el estudio:
Muy frecuentemente, los usuarios están a ciegas
La seguridad criptográfica de una aplicación no significa que sea segura: la implementación es todo.
Hay que seguir el ejemplo de Signal: encriptar y no almacenar metadatos.
Dejar que los usuarios decidan qué funciones deben estar activadas o desactivadas
Hay que cerrar las lagunas técnicas y de diseño que traicionan la privacidad.
Hay que defender el cifrado de las medidas que quieren limitarlo (como el caso del Gobierno de Gran Bretaña).
El PDF completo se puede leer en este enlace.
💧 Los datos de la CNV, también en Telegram
El lunes de la semana pasada, el grupo de ransomware Medusa publicó los datos robados a la Comisión Nacional de Valores, entidad que controla a los mercados financieros en Argentina.
La noticia causó revuelo hace tres semanas, cuando el cártel publicó entre sus víctimas a la CNV y dio un lapso de una semana para negociar: vencido ese tiempo, se publicó todo en la dark web.
Esta semana, el 1.5 TB apareció en un nuevo canal de difusión, Telegram, y esto implica que los archivos están todavía más accesibles.
En primer lugar, porque se trata de un servicio de mensajería accesible de manera masiva al público general. A la dark web no es complicado entrar -se hace mediante el navegador Tor-, pero hay que tener el link de acceso al posteo del grupo y, en general, sólo se consigue en foros especializados o a través de actores relacionados a la escena.
Y en segundo lugar, porque Tor es muy lento para bajar archivos debido a la alta latencia que tiene la red. Telegram, por el contrario, es muchísimo más rápido y accesible.
La CNV no emitió ningún comunicado, ni cuando se publicaron en la dark web ni cuando aparecieron en Telegram: apenas informó que logró “contener” el ciberataque cuando se dio a conocer la noticia en los medios de comunicación, dato desmentido en el mismo momento debido a la disponibilidad del file tree que permitía ver los archivos robados.
🕵️ Más datos filtrados a la venta en Argentina
Una nueva serie de filtraciones de datos a la venta fueron dados a conocer esta última semana por Birmingham Ciber Arms, empresa de seguridad informática que hace inteligencia focalizada en América Latina.
A mediados de la semana pasada apareció un actor de amenazas en un foro especializado ofreciendo accesos a una compañía privada a un RDP (protocolo de escritorio remoto), por 300 dólares.
Esta semana, aparecieron credenciales del Consejo General de Educación de Entre Ríos también a la venta, en este caso por 500 dólares.
Por último, una combolist fue descubierta (archivo con usuarios y contraseñas) con dominios oficiales de AFIP, Armada, INTA, Poder Judicial de Salta, Córdoba, Desarrollo Social, Ministerio de Seguridad y Suprema Corte de Buenos Aires. Afecta a 10.896 usuarios.
El relevamiento semanal se suma así a la larga lista de filtraciones que salen todos los meses.
🕹️ Un Super Mario trojanizado instala malware
Una versión trojanizada de un juego de Mario está instalando malware en dispositivos Windows. Se trata de Super Mario 3: Mario Forever, una versión fan-based del clásico Super Mario Bros. 3 que se lanzó en 2003 y que actualiza gráficos, sonido y algunas mecánicas de uno de los videojuegos más exitosos de Nintendo.
Según un informe publicado por Cyble, actores maliciosos están circulando un ejecutable para instalar el juego que se autoextrae a través de diferentes canales:
El archivo contiene tres ejecutables, uno que instala el juego legítimo de Mario ("super-mario-forever-v702e.exe") y otros dos, "java.exe" y "atom.exe", que se instalan discretamente en el directorio AppData de la víctima durante la instalación del juego. Una vez que los archivos maliciosos están en el disco, el instalador los ejecuta para ejecutar un minero XMR (Monero) y un cliente de minería SupremeBot.
La distribución circula en foros de gaming, redes sociales o incluso es promocionado a los usuarios vía adware o SEO.
🧑🎓 Triple extorsión a la Universidad de Manchester
Un ataque de ransomware contra la Universidad de Manchester comenzó a desplegar nuevas fases en el proceso extorsivo. Según afirmó el actor de amenazas, tienen en su poder 7 TB de datos extraídos durante un ciberataque que ocurrió el pasado 6 de junio.
Bajo el modelo clásico del ransomware, a la primera extorsión de encriptado le sigue una segunda amenaza, esto es, la publicación de los datos para exponer a la institución. Pero ahora también sumaron un tercer factor: amenazar con filtrar datos de alumnos.
Para presionar sobre la negociación, les están mandando correos electrónicos para amedrentarlos: "Nos gustaría informar a todos los estudiantes, profesores, administración y personal que pirateamos con éxito la red manchester.ac.uk el 6 de junio de 2023", reconstruyó Bleeping Computer, en lo que constituye una triple extorsión.
La información que tendrían es muy sensible:
Hemos robado 7 TB de datos, incluida información personal confidencial de estudiantes y personal, datos de investigación, datos médicos, informes policiales, resultados de pruebas de drogas, bases de datos, documentos de recursos humanos, documentos financieros y más.
El ataque todavía no se lo autoadjudicó ninguna banda de ransomware de renombre.
🏥 Última víctima de MOVEit: Servicios Sociales y de Salud de EE.UU.
En un episodio más del hackeo al protocolo de transferencia MOVEit, funcionarios federales de salud de EE.UU. notificaron al Congreso sobre una violación de datos que podría involucrar la información de más de 100.000 personas.
Un representante del Departamento de Salud y Servicios Humanos de EE. UU. dijo el jueves que los atacantes obtuvieron acceso a los datos del departamento al explotar una vulnerabilidad en el software de transferencia de archivos ampliamente utilizado.
Otras agencias gubernamentales, importantes fondos de pensiones y empresas privadas también se han visto afectadas por el llamado hackeo de la cadena de suministro del software MOVEit por parte de una banda rusa de ransomware.
Durante el fin de semana, el sistema de pensiones más grande de Estados Unidos se vio también afectado por un hackeo a un vendor al que se accedió por el protocolo. CalPERS, la entidad atacada, maneja 477 mil millones de dólares en activos de más de 1.5 millones de empleados públicos, pensionados y sus familias en California.
El hackeo a MOVEit se trata de un "ataque a la cadena de suministro" y se dio a conocer cuando la empresa estadounidense Progress Software dijo que ciberdelincuentes habían encontrado una forma de entrar en su herramienta de transferencia MOVEit.
Debido a la gran cantidad de compañías que usan el sistema, el acceso no autorizado a terceros se expandió rápidamente, sumando víctimas nuevas (y de gran calibre) casi a diario.
📚 César Cerrudo presentó un libro sobre seguridad informática
El hacker argentino César Cerrudo presentó este jueves “Guía de seguridad de un hacker” en las oficinas de Ekoparty, en la Ciudad de Buenos Aires.
SecOps asistió al evento, que congregó a hackers, interesados y periodistas para escuchar a Cerrudo, quien fue conocido en los medios masivos en 2014 cuándo hackeó una serie de semáforos en Estados Unidos, pero que tiene un reconocimiento mundial en la escena del hacking más allá de este dato de color.
Durante la charla, Cerrudo contó que venía trabajando en la idea de un libro desde hace unos 7 años:
Los expertos solemos dar muchos consejos técnicos y esto puede abrumar al usuario: la idea del libro es recopilar lo más práctico y que pueda ayudar para mejorar la seguridad. Uno sabe que al auto tiene que ponerle llave, alarma: con las cosas físicas ya sabemos cómo protegerlas. La vida actual se sirve mucho de lo digital y en ningún momento nos enseñan cómo manejarnos de forma segura.
Además, el hacker venía de dar charlas en colegios de la Ciudad junto a Sabrina Pagnotta, Responsable de Relaciones Institucionales de Ekoparty, para concientizar a chicos y chicas desde una edad temprana: “Con tres consejos básicos para computadoras y para teléfonos móviles, ya se puede estar un 90% mejor en términos de seguridad”, aseguró Cerrudo.
Más información sobre cómo conseguir el libro, en este enlace.
🔗 Más info
LockBit encriptó a TSMC, el mayor fabricante de semiconductores del mundo
Índice de precios actualizados de la dark web: cuánto sale comprar un dato robado, contraseña o combolist
La SEC notifica a SolarWinds sobre una posible acción en una ciber investigación
La UE sanciona empresas de IT y ciberseguridad de Rusia
Ataque DDoS contra Battle.net, la plataforma de Diablo, Call of Duty y Overwatch
DuckDuckGo lanza una versión de su navegador para Windows
Gracias Juan por darle visibilidad a la seguridad informática!