Noticias de seguridad

Durante los últimos 18 meses, más o menos, parece que hemos perdido la capacidad de confiar en nuestros ojos. Las falsificaciones de Photoshop no son nada nuevo, por supuesto, pero la llegada de la inteligencia artificial (IA) generativa ha llevado la falsificación a un nivel completamente nuevo. Quizás la primera falsificación de IA viral fue la imagen del Papa en 2023 con una chaqueta acolchada blanca de diseño, pero, desde entonces, el número de engaños visuales de alta calidad se ha disparado a muchos miles. Y, a medida que la IA se desarrolle aún más, podemos esperar más y más vídeos falsos convincentes en un futuro muy cercano. Esto solo exacerbará el ya complicado problema de las noticias falsas (fake news) y las imágenes que las acompañan. Pueden publicar una foto de un evento y afirmar que es de otro, poner a personas que nunca se han conocido en la misma fotografía, entre otras cosas. La falsificación de imágenes y vídeos tiene una relación directa con la ciberseguridad. Los estafadores han estado utilizando imágenes y vídeos falsos para engañar a las víctimas y lograr que desembolsen su dinero durante años. Es posible que te envíen una fotografía de un cachorro triste que, según dicen, necesita ayuda, una imagen de una celebridad que promueve algunos planes sospechosos o, incluso, una fotografía de una tarjeta de crédito que dicen que pertenece a alguien que tú conoces. Los estafadores también utilizan imágenes generadas por IA para los perfiles falsos en sitios de citas y redes sociales.Las estafas más sofisticadas hacen uso de vídeos y audios falsos del jefe de la víctima o de un familiar para que cumplan con las peticiones de los estafadores. Recientemente, un empleado de una institución financiera fue engañado para que transfiriera 25 millones de dólares a ciberdelincuentes. Detección de imágenes falsas Entonces, ¿qué se puede hacer para lidiar con los deepfakes o con las falsificaciones clásicas? ¿Cómo se pueden detectar? Este es un problema extremadamente complejo, pero que se puede mitigar paso a paso, rastreando la procedencia de la imagen. Si tienes alguna duda sobre una imagen, simplemente cárgala en una de estas herramientas y mira los resultados. Es posible que descubras que la misma fotografía de una familia que se quedó sin hogar por el fuego, o un grupo de perros en un refugio, o las víctimas de alguna otra tragedia, ha estado circulando en línea durante años. Algunos métodos populares incluyen el análisis de metadatos de imágenes y el análisis de nivel de error (ELA), que comprueba si hay artefactos de compresión JPEG para identificar las partes modificadas de una imagen. Muchas herramientas de análisis de imágenes populares, como Fake Image Detector, aplican estas técnicas. Con la aparición de la IA generativa, también hemos visto nuevos métodos basados en la IA para detectar el contenido generado, pero ninguno de ellos es perfecto. Estos son algunos de los desarrollos relevantes: detección de cambio de rostro, detección de imágenes generadas por IA y determinación del modelo de IA utilizado para generarlas, y un modelo de IA abierto para los mismos fines. Con todos estos enfoques, el problema clave es que ninguno te da el 100 % de certeza sobre la procedencia de la imagen, garantiza que la imagen esté libre de modificaciones o permite verificar dichas modificaciones. WWW al rescate: verificar la procedencia del contenido ¿No sería fantástico si los usuarios comunes pudieran comprobar si una imagen es real? Bueno, eso es exactamente lo que busca la Coalición para la Procedencia y Autenticidad del Contenido (C2PA). La C2PA incluye algunos de los principales actores de las industrias de la informática, la fotografía y los medios de comunicación: Canon, Nikon, Sony, Adobe, AWS, Microsoft, Google, Intel, BBC, Associated Press y alrededor de un centenar de otros miembros; básicamente todas las empresas que podrían haber estado involucradas individualmente en casi cualquier paso de la vida de una imagen, desde su creación hasta su publicación en línea. El estándar de la C2PA desarrollado por esta coalición ya está disponible e incluso ha alcanzado la versión 1.3, y ahora estamos empezando a ver que las piezas del rompecabezas industrial necesarias para usarlo encajan en su lugar. Nikon planea fabricar cámaras compatibles con la C2PA, y la BBC ya ha publicado sus primeros artículos con imágenes verificadas. La idea es que, cuando los medios de comunicación responsables y las grandes empresas pasen a publicar imágenes en forma verificada, puedas comprobar la procedencia de cualquier imagen directamente en el navegador. Verás una pequeña etiqueta de "imagen verificada" y, cuando hagas clic en ella, aparecerá una ventana más grande que te mostrará qué imágenes sirvieron como origen y qué ediciones se realizaron en cada etapa antes de que la imagen apareciera en el navegador, quién las hizo y cuándo. Incluso podrás ver todas las versiones intermedias de la imagen. Verificación con certificado digital El proceso de verificación se basa en una criptografía de clave pública similar a la protección utilizada en los certificados de servidor web para establecer una conexión HTTPS segura. La idea es que cada creador de imágenes necesitará obtener un certificado X.509 de una autoridad de certificación de confianza. Este certificado se puede conectar directamente a la cámara en la fábrica, mientras que, para los productos de software, se puede emitir al momento de la activación. Al procesar imágenes con seguimiento de procedencia, cada nueva versión del archivo contendrá una gran cantidad de información adicional: la fecha, hora y ubicación de las ediciones, las miniaturas de las versiones original y editada, etc. Todo esto irá firmado digitalmente por el autor o editor de la imagen. De esta forma, un archivo de imagen verificado tendrá una cadena de todas sus versiones anteriores, cada una firmada por la persona que lo editó. Para mostrar las capacidades de la C2PA, se creó una colección de imágenes y vídeos de prueba. Puedes consultar el sitio web de Content Credentials para ver las credenciales, el historial de creación y el historial de edición de estas imágenes. Limitaciones naturales Desafortunadamente, las firmas digitales para imágenes no resolverán el problema de las falsificaciones de la noche a la mañana. Después de todo, ya hay miles de millones de imágenes en línea que no han sido firmadas por nadie y que no van a ninguna parte. Sin embargo, a medida que más y más fuentes de información de renombre pasen a publicar solo imágenes firmadas, cualquier fotografía sin una firma digital comenzará a ser vista con sospecha. Las fotografías y los vídeos reales con marcas de tiempo y datos de ubicación serán casi imposibles de hacer pasar por otra cosa, y el contenido generado por IA será más fácil de detectar. Fuente: Kaspersky

Al Estado argentino nunca le importó la ciberseguridad. En los últimos 20 años las palabras "seguridad", "ciberseguridad", "seguridad informática", "seguridad de la información", "datos personales", llámalo como quieras, simplemente fue una mentira en los políticos y dirigentes de turno. Nota para monos entrenados: este NO es un problema de Milei, Cristina, Macri, etc. Este NO es un problema de UN gobierno, es un problema del Estado Argentino y la desidia respecto al tema. Este es un capítulo más, para terminar de poner el último clavo al cajón de los datos personales de TODOS los argentinos y al REgistro NAcional de las PERsonas (ReNaPer). Durante 2021, hubo diferentes filtraciones que involucraron a dicho Organismo, a los DNI y pasaportes de los ciudadanos argentinos. Luego de nuestra publicación en octubre de 2021 y durante los últimos años ReNaPer se ha encargado de DESMENTIR en diferentes oportunidades y en cuanto foro público tuviera la oportunidad, que "dicha filtración de datos era falsa", incluso con la evidencia tangible de los archivos y las fotos de los DNIs de todos nosotros publicados en Internet. Esta negación se acaba de repetir hace 5 minutos. Este comportamiento se repitió sistemáticamente durante 2022, 2023 y 2024 para sistemas de ReNaPer, SISA (salud), DNRPA, y tantos otros y, hoy apareció la frutilla del postre porque, en el Estado argentino, siempre puede ser peor. Para muestra vale un botón: ReNaPer solo es uno de los Organismos que expone la deficiencias del Estado Argentino en Ciberseguridad. Se acaba de publicar (en un dominio ONION en la Deep Web) una base de datos de 65 millones de registros de los DNI. Podríamos decir "noticia vieja" porque, ¿quién no ha hecho backup de una de las base de datos más importantes del país y la ha puesto a disposición de cualquier delincuente? NOTA: lo único que (aún) no se ha publicado de forma completa son las fotos, huella dactilar y firma de las personas, las cuales fueron puestos a la venta por el delincuente. De todos modos, parte de estos datos ya habían sido publicados a principio de año por otro delincuente (¿o el mismo?). La noticia "nueva" es que, a este conjuntos de datos, se ha sumado el código fuente PHP de aplicaciones internas del Organismo, los Web Services y APIs que son utilizados por otras organizaciones, empresas, bancos, fintech, supermercados, obras sociales, etc. para verificar la identidad de una persona. Sí, cada vez que alguien te pide tu foto o tu DNI, esos datos son contrastados contra ReNaPer, a través de un servicio por el cual el Organismo cobra (sí, cobra por ese servicio). Dentro del código fuente mencionado también se encuentran las direcciones IPs de los servidores internos, así como el nombre de usuario y contraseña que permite acceder a todas las bases de datos del Organismo. Sería el equivalente a decir que todas las aplicaciones sensibles de la entidad ahora son Open Source. Dejando las "bromas" de lado, también expone las vulnerabilidades que tiene el código fuente (por ejemplo, SQLi y XSS) así como los detalles internos de su funcionamiento. También es importante remarcar que, si bien los datos se publicaron hoy, eso no implica que se hayan extraído hoy. Tampoco implica que el delincuente haya sido bloqueado, detectado, encontrado o que incluso siga dentro de los sistemas de la Organización o haya logrado persistencia en los mismos. Pensar de forma tan lineal es ridículo; un trabajo de este tipo y por el volumen de datos, puede llevar bastante tiempo (y a veces paciencia) de acuerdo a las técnicas utilizadas por el delincuente (por ejemplo, se puede observar una webshell en una las imágenes). En una observación rápida de lo expuesto, hay archivos de código fuente de JULIO/2022 (día del amigo) y PARECE que los SQL robados fueron grabados a disco el 9 de marzo de 2024. En conclusión, ahora los datos de todos los ciudadanos argentinos están publicados en Internet junto a diferentes APIs y formas de conexión con otros organismos y empresas y los clientes de los mismos. La recomendación para las empresas es cambiar los accesos a dichas APIs. La recomendación para los ciudadanos... no hay; los datos ya son públicos. Cambiar el DNI tampoco es una solución, porque esto puede volver a suceder y, en última instancia, la mayoría de nuestros datos personales no cambian (el número de trámite es la excepción). Las implicancias de esta fuga están por verse pero mientras, ¿qué espera el Estado argentino para tomar acciones, investigar, encontrar a los delincuentes (internos y externos) y a partir de ahora, comenzar a pensar en la Ciberseguridad como Política de Estado? MENSAJE PARA ReNaPer: no nieguen el problema, informen, digan la verdad y veamos como seguir para adelante desde aquí. El Estado es responsable. Lic. Cristian Borghello, Director de Segu-Info

Cisco Talos está monitoreando un aumento global en ataques de fuerza bruta contra una variedad de objetivos, incluidos servicios de red privada virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH desde al menos el 18 de marzo de 2024. Todos estos ataques parecen originarse en nodos de salida de TOR y una variedad de otros túneles y servidores proxy anónimos. Dependiendo del entorno de destino, los ataques exitosos de este tipo pueden provocar acceso no autorizado a la red, bloqueos de cuentas o condiciones de denegación de servicio. El tráfico relacionado con estos ataques ha aumentado con el tiempo y es probable que siga aumentando. Los servicios afectados conocidos se enumeran a continuación. Sin embargo, estos ataques pueden afectar a servicios adicionales. Cisco Secure Firewall VPN Checkpoint VPN Fortinet VPN SonicWall VPN RD Web Services Miktrotik Draytek Ubiquiti Los intentos de fuerza bruta utilizan nombres de usuario genéricos y nombres de usuario válidos para organizaciones específicas. El objetivo de estos ataques parece ser indiscriminado y no dirigido a una región o industria en particular. Las direcciones IP de origen de este tráfico están comúnmente asociadas con servicios de proxy, que incluyen, entre otros: TOR VPN Gate IPIDEA Proxy BigMama Proxy Space Proxies Nexus Proxy Proxy Rack La lista proporcionada anteriormente no es exhaustiva, ya que los actores de amenazas pueden utilizar servicios adicionales. Debido al aumento significativo y al gran volumen de tráfico, hemos agregado las direcciones IP asociadas conocidas a nuestra lista de bloqueo. Es importante tener en cuenta que es probable que cambien las direcciones IP de origen de este tráfico. Dado que estos ataques se dirigen a una variedad de servicios VPN, las mitigaciones variarán según el servicio afectado. Para los servicios VPN de acceso remoto de Cisco, puede encontrar orientación y recomendaciones en un blog de soporte reciente de Cisco: Estamos incluyendo los nombres de usuario y contraseñas utilizados en estos ataques en los IOCs para crear conciencia. Las direcciones IP y las credenciales asociadas con estos ataques se pueden encontrar en el repositorio de GitHub. Fuente: Talos

Investigadores de seguridad del Centro de Respuesta a Emergencias de Seguridad de AhnLab (ASEC) han descubierto una sofisticada campaña de malware dirigida al ampliamente utilizado editor de texto Notepad++. Este ataque, denominado "WikiLoader", demuestra el alarmante ingenio de los actores de amenazas modernos y los riesgos asociados incluso con el software aparentemente confiable. Cómo WikiLoader explota la confianza En el centro de este ataque se encuentra una técnica conocida como secuestro de DLL. Los atacantes modificaron subrepticiamente un complemento predeterminado de Notepad++, "mimeTools.dll", para ejecutar código malicioso cada vez que se inicia el editor de texto. Dado que este complemento se incluye con cada instalación de Notepad++, los usuarios desencadenan la infección sin saberlo tan pronto como utilizan el software. Dentro del complemento vulnerable, los atacantes ocultaron cuidadosamente su carga útil. Un archivo disfrazado de certificado inofensivo, "certificate.pem", enmascara una shell cifrada: la etapa inicial del ataque. La complejidad aumenta a medida que el malware sobrescribe el código dentro de otro complemento, "BingMaps.dll", e inyecta un hilo en el proceso central de Windows "explorer.exe". Esto garantiza la persistencia y hace que el ataque sea más difícil de detectar. La campaña WikiLoader muestra múltiples tácticas diseñadas para frustrar la detección antivirus: Ocultarse a plena vista: el uso de llamadas al sistema indirectas (llamadas al sistema) ayuda a que el malware evite ser señalado por las herramientas de monitoreo estándar. Jugando al gato y al ratón: el malware busca activamente procesos comúnmente utilizados para el análisis. Si se detecta alguno, se apaga inmediatamente para evitar una investigación más profunda. Los actores de amenazas detrás de WikiLoader tienen un objetivo claro: establecer un punto de apoyo en la computadora de la víctima. Lo hacen haciendo que el Notepad++ comprometido se conecte con un servidor de comando y control (C2) que se hace pasar inteligentemente por una página de inicio de sesión de WordPress. Es desde aquí desde donde se entrega la carga útil final del malware, aunque sus capacidades exactas aún no se han revelado por completo. La misión de reconocimiento de WikiLoader Incluso sin la carga útil final, WikiLoader plantea un riesgo importante al recopilar meticulosamente información sobre el sistema infectado. Esto incluye: Nombre de la computadora y nombre de usuario Nivel de acceso de administrador Configuración de idioma y sistema Pasos críticos para los usuarios de Notepad++ y más El descubrimiento del malware WikiLoader dentro de Notepad++ subraya las vulnerabilidades inherentes a las aplicaciones de software ampliamente utilizadas. La facilidad con la que el malware se integra en las herramientas cotidianas resalta la necesidad crítica de vigilancia, incluso cuando se trata de software en el que millones de personas confían y utilizan con frecuencia. La fuente importa: descargue siempre Notepad++ y cualquier otro software, exclusivamente de fuentes oficiales y confiables. El software pirateado plantea riesgos importantes. Parche inmediatamente: si es usuario de Notepad++, asegúrese de tener la última versión para mitigar este exploit. La vigilancia es clave: tenga mucho cuidado con comportamientos inesperados en su sistema, incluso con software conocido. Manténgase informado sobre las amenazas actuales a la ciberseguridad. IOC c4ac3b4ce7aa4ca1234d2d3787323de2 : package file(npp.8.6.3.portable.x64.zip) 6136ce65b22f59b9f8e564863820720b : mimeTools.dll fe4237ab7847f3c235406b9ac90ca8 45: certificate.pem d29f25c4b162f6a19d4c6b96a540648c: package file(npp.8.6.4.portable.x64.zip ) 8b7a358005eff6c44d66e44f5b266d33 : mimeTools.dll d5ea5ad8678f362bac86875cad47ba21 : certificate.pem Fuente: SecurityOnline

Se descubrió una falla de seguridad grave (CVE-2024-31497) en el popular cliente SSH PuTTY (versiones 0.68 a 0.80), que afecta a una amplia gama de software, incluidos FileZilla, WinSCP, TortoiseGit y TortoiseSVN. La vulnerabilidad radica en cómo PuTTY genera valores aleatorios (nonces) utilizados dentro del proceso de firma ECDSA. En la configuración NIST P-251, la aleatoriedad está muy sesgada. Los atacantes pueden aprovechar este sesgo para reconstruir la clave privada después de recopilar solo unas 60 firmas creadas con la clave comprometida. ¿Quién está en riesgo? Cualquiera que utilice las versiones afectadas de PuTTY o productos relacionados como Filezilla para la autenticación SSH con claves ECDSA NIST P-521 es vulnerable. Los atacantes pueden obtener las firmas necesarias comprometiendo brevemente un servidor SSH al que se conecta o potencialmente desde fuentes públicas donde haya utilizado la clave (como confirmaciones de GIT firmadas). Esta vulnerabilidad no sólo afecta a los usuarios de PuTTY sino que también se extiende a otras herramientas: FileZilla (Versiones 3.24.1 – 3.66.5) WinSCP (Versiones 5.9.5 – 6.3.2) TortoiseGit (Versiones 2.4.0.2 – 2.15.0) TortoiseSVN (Versiones 1.10.0 – 1.14.6) Una clave privada comprometida es desastrosa. Los atacantes pueden hacerse pasar por el usuario y potencialmente obtener acceso a cualquier servidor donde utilice esa clave para la autenticación. El daño persiste incluso después de que se parchea la vulnerabilidad: las claves previamente expuestas quedan comprometidas permanentemente. Qué se debe hacer Identificar claves vulnerables: comprobar si se utiliza claves ECDSA NIST P-521. En PuTTYgen, la huella digital comienza con "ecdsa-sha2-nistp521". Revocar claves comprometidas: eliminar las claves públicas comprometidas de todos los archivos de authorized_keys en los servidores y cualquier servicio en línea donde se utilicen (como GitHub). Generar nuevas claves: crear nuevos pares de claves (idealmente usando Ed25519, que no se vea afectado) para reemplazar las comprometidas. Actualizar su software: actualizar PuTTY inmediatamente a la versión 0.81 o posterior. Hacer lo mismo con FileZilla (versión 3.67.0), WinSCP (versión 6.3.3), TortoiseGit (versión 2.15.0.1) y TortoiseSVN. Si no puede actualizar TortoiseSVN, cambiar y utilizar PuTTY Plink actualizado para conexiones SSH. Notas adicionales Esta falla NO expone firmas mediante espionaje pasivo de la red. Un atacante necesita control activo de un servidor o acceso a sus datos firmados. Otros tamaños de claves ECDSA muestran un ligero sesgo pero no son prácticamente explotables en este momento. Fuente: SecurityOnline