Amenazas vulnerabilidades comunes que pueden atacar las aplicaciones móviles

Las vulnerabilidades de las aplicaciones son debilidades en una aplicación que un atacante podría aprovechar para dañar la seguridad de la aplicación. La vulnerabilidad se puede introducir en una aplicación de varias maneras, como fallas en el diseño, implementación o configuración de una aplicación.

Las aplicaciones móviles enfrentan diversas amenazas y vulnerabilidades comunes que pueden comprometer la seguridad de los usuarios. Según el OWASP Top 10, las principales incluyen:

• Autenticación y autorización inseguras: Permiten a atacantes suplantar identidades o acceder a información sensible.
• Validación insuficiente de datos: Facilita ataques de inyección, como SQL o scripting.
• Comunicación insegura: La falta de cifrado puede permitir la interceptación de datos sensibles.
• Almacenamiento de datos inseguro: Datos confidenciales expuestos en dispositivos sin cifrado adecuado.
• Criptografía insuficiente: Uso de algoritmos débiles que pueden ser fácilmente descifrados.

La implementación de medidas de seguridad robustas es crucial para mitigar estos riesgos. La falta de validación de datos en aplicaciones móviles puede tener consecuencias severas para la seguridad. Sin una validación adecuada, los atacantes pueden ejecutar ataques de inyección, como SQL o XSS, que permiten manipular bases de datos, robar información sensible o ejecutar código malicioso dentro de la aplicación. Esto no solo compromete la integridad de los datos, sino que también puede resultar en la suplantación de identidad y el acceso no autorizado a funcionalidades críticas. Por lo tanto, es esencial implementar técnicas robustas de validación tanto en el cliente como en el servidor para mitigar estos riesgos.

Para implementar una validación de datos efectiva en una aplicación móvil, se deben seguir varias prácticas clave:

• Validación en el cliente y servidor: Realizar comprobaciones en ambos lados para asegurar que los datos cumplen con los criterios establecidos antes de ser procesados.
• Saneamiento de entradas: Limpiar y validar los datos ingresados por el usuario para prevenir inyecciones y otros ataques.
• Restricciones de longitud: Establecer límites en la longitud de los datos de entrada para evitar desbordamientos.
• Validación contextual: Adaptar las reglas de validación según el contexto de uso de los datos, previniendo ataques como el cruce de rutas.
• Auditorias periódicas: Realizar revisiones regulares del código y pruebas de penetración para identificar vulnerabilidades. Estas medidas ayudan a proteger la integridad y seguridad de la aplicación. 

Para depurar los datos de salida y evitar ataques XSS, se pueden implementar las siguientes estrategias: Escapado de datos: Utiliza funciones como htmlspecialchars() o htmlentities() para convertir caracteres especiales en entidades HTML, evitando que se interpreten como código ejecutable. Sanitización de entradas: Limpia las entradas del usuario eliminando etiquetas HTML no deseadas con funciones como strip_tags() antes de almacenarlas o mostrarlas. Uso de Content Security Policy (CSP): Implementa políticas que restringen la carga de scripts no autorizados, limitando las fuentes desde donde se pueden cargar recursos. Validación en el servidor: Asegúrate de que todos los datos sean validados y sanitizados en el servidor, no solo en el cliente, para prevenir la manipulación de datos. Estas prácticas ayudan a proteger la aplicación contra la inyección de scripts maliciosos.

Para aquellos dispositivos que lo permiten, también puedes configurar una "identificación táctil" que abre el teléfono en respuesta a tu huella digital o establecer una "identificación facial" que desbloquea el teléfono cuando la cámara frontal te reconoce. Se deben utilizar todos los mecanismos actuales que la ciberseguridad nos ofrecen mediante los servicios de la empresa Intelicorps Technologies, la cual ofrece una gran variedad de servicios que protegen la información de tu empresa.

Nathalia Nuñez Rademaker.

Especialista en Comunicaciones.

Multan a cuatro empresas TIC por minimizar su afectación por el ciberataque de Solar Winds

La SEC ha impuesto importantes sanciones económicas a Unisys, Avaya, Check Point y Mimecast por decir "verdades a medias".

 A finales de 2020 la empresa de software SolarWinds, fabricante del programa Orion, sufrió un importante ciberataque atribuído al Servicio de Inteligencia Exterior ruso.

Este afectó a muchas otras empresas, ya que los cibermalos pudieron acceder a un código fuente de Microsoft. Se calcula que unas 18.000 organizaciones así como instituciones públicas se vieron afectadas en total.

SolarWinds tenía como clientes grandes corporaciones pertenecientes al Fortune 500 y organizaciones gubernamentales del calado del Pentágono, la NASA o las Fuerzas Aéreas de EE.UU.

Ahora, la Comisión de Bolsa y Valores de EE.UU (SEC) ha sancionado a cuatro compañías dedicadas al sector tecnológico por hacer divulgaciones "materialmente engañosas" vinculadas con riesgos e intrusiones de ciberseguridad. 

El organismo ha estado investigando durante años a estas empresas y ha determinado abultadas multas económicas para ellas. La mayor es para Unisys, quien tendrá que desembolsar 4 millones de dólares. Además, Avaya se verá obligada a desembolsar 1 millón de dólares, Check Point 995.000 y Mimecast 990.000. 

Según ha comentado el director interino de la División de Compliance de la SEC, Sanjay Wadhwa, las empresas que se enfrentan a ciberataques no deben "victimizar aún más" a sus accionistas u otros miembros del público inversor al proporcionar divulgaciones engañosas sobre los incidentes de ciberseguridad que han encontrado. 

La SEC ha encontrado que estas compañías proporcionaron "divulgaciones engañosas sobre los incidentes en cuestión, dejando a los inversores en la oscuridad sobre el verdadero alcance de los incidentes". 

La comisión cree que el cuarteto minimizó la afectación de sus incidentes de ciberseguridad en sus comunicaciones públicas. 

Mentiras arriesgadas

En el caso de Unisys, quien deberá responder con una cuantía mayor, la investigación de la SEC halló que esta describió los riesgos de ciberseguridad como hipotéticos. Todo ello pese a que los atacantes de SolarWinds habían violado sus sistemas dos veces y robado gigabytes de datos. 

En cuanto a Avaya dijo que el pirata informático tenía acceso a un "número limitado", aunque era consciente de que había obtenido 145 archivos. Por su parte, Check Point describió el incidente en términos genéricos y Mimecast le quitó hierro al asunto al no revelar la naturaleza del código que exfiltró el actor de amenazas y la cantidad de credenciales cifradas a las que había accedido. 

"Minimizar el alcance de una violación material de ciberseguridad es una mala estrategia", dijo. "Las leyes federales de valores prohíben las verdades a medias, y no hay excepción para las declaraciones en las divulgaciones de factores de riesgo", ha señalado Jorge Tenreiro, jefe interino de la Unidad de Criptoactivos y Cibernética de la SEC.

Fuente: escudodigital.com

Importancia de realizar las Auditorias de los Firewalls

 

La auditoria de firewalls es crucial en ciberseguridad, ya que garantiza la correcta configuración y funcionamiento de los sistemas de defensa. Identificación de vulnerabilidades:

• Ayuda a detectar configuraciones erróneas que pueden ser explotadas por atacantes, permitiendo tomar medidas correctivas.
• Cumplimiento normativo: Asegura que las políticas de seguridad cumplan con regulaciones como GDPR o PCI DSS, evitando sanciones.
• Prevención de amenazas internas: Facilita la detección de accesos no autorizados y mejora la respuesta ante incidentes, fortaleciendo así la postura de seguridad de la organización.

 

Los errores más comunes en la configuración de firewalls incluyen:

• Desconocimiento de la red: No tener un entendimiento claro de la infraestructura puede llevar a configuraciones inadecuadas y vulnerabilidades.
• Reglas genéricas: Habilitar reglas amplias, como permitir tráfico desde cualquier origen, expone la red a ataques.
• No reservar puertos adecuadamente: No gestionar correctamente los puertos puede abrir accesos no deseados a servicios maliciosos.
• Uso de cuentas por defecto: Mantener la cuenta admin por defecto sin cambios de seguridad es un riesgo significativo.
• Falta de monitoreo y revisión: No auditar regularmente las configuraciones y logs puede resultar en la falta de detección de ataques.

 

Para evitar la configuración de reglas genéricas en tu firewall, considera las siguientes estrategias:

• Conoce tu red: Comprende la topología y los servicios que se ejecutan para crear reglas específicas que se alineen con tus necesidades.
• Aplica el principio de privilegio mínimo: Permite solo el tráfico necesario para las operaciones, bloqueando todo lo demás. Esto minimiza la superficie de ataque.
• Crea reglas personalizadas: Define reglas específicas para aplicaciones y puertos en lugar de usar configuraciones predeterminadas amplias.
• Revisa y ajusta regularmente: Realiza auditorías periódicas para identificar y corregir configuraciones inadecuadas o innecesarias.

 

Para revisar los logs del firewall de manera efectiva, sigue estos pasos:

• Habilita el registro: Asegúrate de que el logging esté activado en la configuración del firewall. En Windows, puedes hacerlo a través de las propiedades avanzadas del firewall (wf.msc) y personalizando las opciones de registro.
• Accede a los logs: Localiza el archivo de log, que en Windows se encuentra típicamente en %systemroot%\System32\LogFiles\Firewall\pfirewall.log.
• Utiliza herramientas adecuadas: Emplea comandos como tail -f en Cygwin para ver los logs en tiempo real, o herramientas de análisis como Firewall Analyzer para generar informes y detectar patrones.
• Automatiza el análisis: Considera implementar un SIEM (Security Information and Event Management) para recopilar y analizar logs de múltiples fuentes, facilitando la detección de anomalías y la respuesta ante incidentes.
• Revisa periódicamente: Realiza auditorías regulares de los logs para identificar actividades sospechosas y ajustar las reglas del firewall según sea necesario.

Para integrar los logs del firewall con otros sistemas de monitoreo, puedes seguir estos pasos:

• Utiliza un SIEM: Implementa un sistema de gestión de información y eventos de seguridad (SIEM) para centralizar y analizar logs de múltiples fuentes, incluyendo firewalls. Esto permite correlacionar eventos y detectar patrones anómalos en tiempo real.
• Configura la exportación de logs: Asegúrate de que tu firewall esté configurado para exportar logs en un formato compatible (como syslog) a tu sistema de monitoreo. Esto facilita la recopilación y análisis.
• Automatiza la revisión de logs: Emplea herramientas que filtren y clasifiquen automáticamente los logs, generando alertas sobre actividades sospechosas y reduciendo la carga de revisión manual.
• Integra con herramientas de gestión de incidentes: Conecta los logs del firewall a sistemas de gestión de incidentes para agilizar la detección y respuesta ante amenazas, creando flujos de trabajo automatizados.
• Monitorea el cumplimiento: Utiliza herramientas que generen informes sobre el cumplimiento normativo a partir de los logs integrados, asegurando que se mantengan las políticas de seguridad requeridas.

 

Nathalia Nuñez Rademaker.

Especialista en Comunicaciones.

El troyano bancario TrickMo ahora puede acceder a los móviles incluso si están bloqueados

 El malware ha ampliado sus capacidades y ahora también es capaz de robar el código PIN y el patrón de desbloqueo de los móviles.

El troyano bancario conocido como TrickMo ha ampliado sus capacidades para permitir a los ciberdelincuentes acceder y controlar el dispositivo móvil incluso si está bloqueado al poder robar el código PIN y el patrón de desbloqueo.

TrickMo es un troyano diseñado para acceder sin autorización a las cuentas bancarias y transacciones financieras de sus víctimas, con el objetivo de robar su dinero. Para ello, es capaz de grabar la pantalla, interceptar los códigos de un solo uso (OTP, por sus siglas en inglés) y conceder permisos de manera automática en las notificaciones emergentes.

El troyano tiene múltiples variantes, como han identificado las firmas de seguridad Cleafy y Zimperium. Esta última, además, ha compartido nuevas capacidades encontradas en las variantes que ha analizado, que apuntan al control del dispositivo móvil incluso cuando está bloqueado.

En concreto, algunas muestras tenían la capacidad de robar el PIN o patrón de desbloqueo con una interfaz falsa que simula ser la del dispositivo móvil. De esta forma, de manera inadvertida, la víctima introduce su información de desbloqueo y esta se transmite a los cibercriminales.

El análisis de Zimperium ha permitido ubicar a las víctimas principalmente en Canadá, Emiratos Árabes Unidos, Turquía y Alemania. Aunque su principal objetivo son las credenciales de las cuentas bancarias, no es el único, puesto que también se dirige contras las que dan acceso a recursos empresariales, como las VPN.

Fuente: escudodigital.com

Hackers chinos acceden a empresas de telecomunicaciones estadounidenses, lo que preocupa a los responsables de seguridad nacional de EE.UU.

 

En los últimos meses, un grupo altamente cualificado de piratas informáticos vinculados al gobierno chino se infiltró en varias empresas de telecomunicaciones estadounidenses en busca de información sensible para la seguridad nacional, según declararon a la CNN varias fuentes informadas sobre el asunto.

Los investigadores estadounidenses creen que los piratas informáticos podrían haber accedido a solicitudes de órdenes de intervención telefónica, según dos de las fuentes, pero las autoridades siguen trabajando para determinar qué información pueden haber obtenido. Los proveedores estadounidenses de banda ancha e Internet AT&T, Verizon y Lumen se encuentran entre las víctimas, según las fuentes.

Las autoridades estadounidenses están preocupadas por los posibles daños a la seguridad nacional causados por el pirateo, que acaban de descubrir. Se trata del último ataque sofisticado contra organismos federales estadounidenses que los investigadores vincularon a China, y se produce en medio de las tensiones entre Washington y Beijing por el ciberespionaje y otras cuestiones de seguridad nacional de alto riesgo.

Como espina dorsal de las comunicaciones telefónicas y por internet, las empresas de telecomunicaciones estadounidenses poseen enormes volúmenes de datos sobre llamadas y usuarios. Las fuerzas de seguridad estadounidenses solicitan acceso, mediante una orden judicial, a partes específicas de esos datos en el marco de investigaciones penales y de seguridad nacional.

Algunas de estas investigaciones podrían ser de gran interés para Beijing. En los últimos años, el gobierno estadounidense presentó cargos contra agentes de la administración china por presunto acoso a ciudadanos chinos en suelo estadounidense y por piratear a disidentes políticos y empresas estadounidenses.

AT&T y Lumen declinaron hacer comentarios. Verizon no respondió a múltiples peticiones de comentarios.

El Departamento de Justicia y el FBI declinaron hacer comentarios.

La embajada china en Washington, DC, negó que piratas informáticos respaldados por Beijing hubieran penetrado en empresas de telecomunicaciones estadounidenses, calificando esa información de “distorsión de los hechos”. El portavoz de la embajada, Liu Pengyu, acusó a Estados Unidos de “politizar las cuestiones de ciberseguridad para desprestigiar a China”.

The Wall Street Journal informó primero de la actividad de pirateo.

Funcionarios estadounidenses informaron a los comités de inteligencia de la Cámara de Representantes y el Senado sobre la campaña china de pirateo informático, según dos fuentes. Expertos en ciberseguridad de Microsoft y Mandiant, empresa propiedad de Google, han colaborado en la investigación de los ataques.

Las personas que investigan los hackeos quedaron sorprendidas por la habilidad, persistencia y capacidad de los piratas informáticos para introducirse en las redes, dijeron las fuentes informadas sobre el asunto. El equipo de piratas informáticos chinos en cuestión es conocido en el sector de la ciberseguridad como Salt Typhoon.

Sin embargo, el gobierno chino tiene a su disposición otros equipos de piratas informáticos que pueden realizar espionaje o interrumpir redes informáticas, según funcionarios estadounidenses y expertos privados. El director del FBI, Christopher Wray, afirmó que los hackers apoyados por el gobierno chino superan en número al personal cibernético del FBI en una proporción de 50 a 1.

Otro grupo de piratas informáticos apoyado por el gobierno chino ha estado al acecho en las redes de transporte y comunicaciones de Estados Unidos, a la espera de utilizar ese acceso para perturbar cualquier respuesta estadounidense a una posible invasión china de Taiwán, según han denunciado funcionarios estadounidenses.

Otro grupo chino irrumpió en las cuentas de correo electrónico no clasificadas de altos diplomáticos estadounidenses el año pasado, en vísperas de una visita de alto nivel del secretario de Estado, Antony Blinken, a China, según informó CNN.

Buscando influir en la opinión pública frente a las detalladas acusaciones del gobierno estadounidense, China acusó cada vez más al gobierno estadounidense de llevar a cabo ciberataques contra organizaciones chinas.

El hackeo y las operaciones de información son un punto habitual de discordia en las reuniones bilaterales. El líder chino, Xi Jinping, dijo al presidente estadounidense, Joe Biden, que China no interferiría en las elecciones presidenciales estadounidenses de 2024 cuando ambos se reunieron en California el año pasado, según informó anteriormente CNN.

Fuente: cnnespanol

Parchear las Vulnerabilidades encontradas en el sistema

La aplicación de los parches de seguridad es una tarea esencial para proteger los sistemas informáticos contra los ataques. Las empresas que no implementan los parches de forma oportuna están poniendo en riesgo sus datos, sus servicios y su reputación.

El objetivo de una actualización de parche de seguridad es cubrir los agujeros de seguridad que una actualización de software importante o una descarga de software inicial no cubrieron. Esto significa que por cada actualización de parche de seguridad hay cientos de víctimas que fueron atacadas debido a ese agujero o vulnerabilidad.

La gestión de parches es fundamental para cerrar brechas de seguridad, corregir errores de software y evitar que los atacantes aprovechen las vulnerabilidades. La aplicación oportuna de parches garantiza que los sistemas minimicen los riesgos y puedan mantenerse seguros, asimismo, cumplan con las regulaciones y funcionen de manera eficiente sin debilidades.

La importancia de aplicar parches a un sistema operativo no solo es para mejorar la funcionalidad, sino principalmente por razones de seguridad, el no realizarlo puede dejar tu sistema expuesto a amenazas, las cuales puedes ser descubiertas y utilizadas por personas malintencionadas desde el interior de tu organización como de manera externa y comprometer su seguridad.

Nathalia Nuñez Rademaker.

Especialista en Comunicaciones.

Este malware ninja ha infectado miles de sistemas Linux desde al menos 2021

Mucho cuidado porque hay un malware muy sigiloso y casi imposible de detectar que ya ha infectado miles de sistemas Linux y millones más en riesgo desde al menos 2021.

La tecnología nunca deja de sorprender y pese a esos grandes equipos de ciberseguridad y todas las inversiones millonarias que se hacen en grandes empresas para evitar brechas de seguridad que pongan en jaque datos de gran relevancia, parece que siempre hay algo que se escapa.

Un malware con nombre Perfctl ha estado infectando miles de sistemas Linux desde al menos 2021, según revelan investigadores de Aqua Security. Este programa malicioso tiene la gran habilidad de pasar completamente desapercibido, al más puro estilo ninja, pero con una "letalidad" absoluta.

Para que te hagas una ligera idea, se hace pasar por procesos normales de Linux, usa nombres que suenan legítimos y se esconde tan bien que muchos administradores de sistemas ni siquiera saben que lo tienen. Es tan sigiloso que solo se delata cuando empieza a usar la CPU a tope, generalmente para minar criptomonedas.

"Solo me di cuenta del malware porque mi configuración de monitoreo me alertó sobre el uso del 100% de la CPU", escribe un usuario. "Sin embargo, el proceso se detenía inmediatamente cuando iniciaba sesión a través de SSH o consola. Tan pronto como cerraba la sesión, el malware reanudaba su ejecución en unos pocos segundos o minutos".

El malware ha estado circulando desde al menos 2021 y se instala explotando más de 20.000 configuraciones erróneas

Pero Perfctl no se conforma con robar recursos y también convierte los ordenadores infectados en proxies para redirigir tráfico de Internet, y puede abrir la puerta a otros tipos de malware. Uno de los aspectos más preocupantes es que no necesita literalmente puertas abiertas para entrar. Aprovecha más de 20.000 configuraciones mal hechas y vulnerabilidades conocidas en software como Apache RocketMQ. 

Una vez dentro, encontrarlo se hace cuesta arriba, ya que se detiene cuando identifica que pueden pillarle e incluso es capaz de reinstalarse en diferentes lugares.

Los expertos de Aqua Security, que, como antes se menciona destaparon este malware, estiman que ya hay miles de máquinas infectadas y millones más en riesgo. Y lo peor es que Perfctl sigue evolucionando, aprendiendo nuevas formas para mantenerse oculto.

Fuente: computerhoy.20minutos.es

Implementación de Parches Automatizados en Ciberseguridad

La ciberseguridad es un campo en constante evolución, donde la protección de datos y sistemas es crucial. Una de las estrategias más efectivas para mantener la integridad y seguridad de los sistemas informáticos es la implementación de parches automatizados. Este artículo explora la importancia de los parches, los beneficios de su automatización y las mejores prácticas para su implementación.

Los parches son actualizaciones de software diseñadas para corregir vulnerabilidades, mejorar el rendimiento o añadir nuevas funcionalidades a un sistema. En el contexto de la ciberseguridad, los parches son esenciales para proteger los sistemas contra amenazas emergentes. Las vulnerabilidades no corregidas pueden ser explotadas por atacantes, lo que resulta en brechas de seguridad que pueden comprometer datos sensibles y afectar la continuidad del negocio.

La implementación oportuna de parches es fundamental por varias razones: Los atacantes suelen buscar vulnerabilidades conocidas en software desactualizados. Al aplicar parches, se cierran estas puertas de acceso ciberdelincuentes. Muchas regulaciones requieren que las organizaciones mantengan sus sistemas actualizados para cumplir con estándares de seguridad. Además de la seguridad, los parches pueden optimizar el rendimiento del software, lo que resulta en una mejor experiencia para el usuario. Prevenir ataques a través de parches puede ahorrar a las organizaciones costos significativos asociados con la recuperación de incidentes de seguridad.

La automatización en la gestión de parches ofrece múltiples ventajas, entre estas al automatizar el proceso de aplicación de parches reduce la carga administrativa sobre el personal de TI, permitiendo de esta manera que los equipos se concentren en tareas más estratégicas en lugar de dedicar tiempo a aplicar manualmente cada actualización.

El error humano es una causa común de fallos en la seguridad. La automatización minimiza este riesgo al garantizar que todos los sistemas reciban actualizaciones según un calendario predefinido y sin intervención manual.

Los sistemas automatizados pueden aplicar parches tan pronto como están disponibles, lo que asegura una rápida respuesta a nuevas vulnerabilidades y reduce el tiempo durante el cual un sistema está expuesto a riesgos.

Las soluciones automatizadas suelen incluir funcionalidades de monitoreo y generación de informes, lo que proporciona visibilidad sobre el estado del sistema y ayuda a cumplir con auditorías y requisitos regulatorios.

La implementación de parches automatizados es una estrategia crítica en la defensa contra amenazas cibernéticas; al adoptar esta práctica, las organizaciones no solo mejoran su postura de seguridad, sino que también optimizan sus operaciones y reducen riesgos asociados con errores humanos. En un mundo donde las amenazas evolucionan constantemente, mantenerse proactivo en la gestión de parches automatizados es fundamental para proteger activos valiosos y garantizar la continuidad del negocio.

Nathalia Nuñez Rademaker

Especialista en Comunicaciones.