Noticias de seguridad

Se ha observado que una amenaza cibernética previamente indocumentada denominada Muddling Meerkat realiza sofisticadas actividades de sistemas de nombres de dominio (DNS) en un probable esfuerzo por evadir las medidas de seguridad y realizar reconocimientos de redes en todo el mundo desde octubre de 2019. La firma de seguridad en la nube Infoblox describió al actor de amenazas como probablemente afiliado a la República Popular China (RPC) con la capacidad de controlar el Gran Cortafuegos (GFW), que censura el acceso a sitios web extranjeros y manipula el tráfico de Internet hacia y desde el país. El apodo hace referencia a la naturaleza "desconcertante" de sus operaciones y al abuso que hace el actor de los resolutores abiertos de DNS (que son servidores DNS que aceptan consultas recursivas de todas las direcciones IP) para enviar las consultas desde el espacio IP chino. "Muddling Meerkat demuestra una comprensión sofisticada del DNS que es poco común entre los actores de amenazas actuales, lo que señala claramente que el DNS es un arma poderosa aprovechada por los adversarios", dijo la compañía. Más específicamente, implica activar consultas DNS para intercambio de correo (MX) y otros tipos de registros en dominios que no son propiedad del actor pero que residen en dominios de alto nivel conocidos como .com y .org. Infoblox, que descubrió al actor de amenazas a partir de solicitudes anómalas de registros DNS MX que fueron enviadas a sus solucionadores recursivos por los dispositivos de los clientes, dijo que detectó más de 20 de estos dominios. 4u[.]com, kb[.]com, oao[.]com, od[.]com, boxi[.]com, zc[.]com, s8[.]com, f4[.]com, b6[ .]com, p3z[.]com, ob[.]com, por ejemplo[.]com, kok[.]com, gogo[.]com, aoa[.]com, gogo[.]com, zbo6[.] com, id[.]com, mv[.]com, nef[.]com, ntl[.]com, tv[.]com, 7ee[.]com, gb[.]com, tunk[.]org, q29[.]org, ni[.]com, tt[.]com, pr[.]com, dec[.]com "Muddler Meerkat provoca un tipo especial de registro DNS MX falso del Gran Cortafuegos que nunca antes se había visto", dijo la Dra. Renée Burton, vicepresidenta de inteligencia de amenazas de Infoblox. "Para que esto suceda, Muddleling Meerkat debe tener una relación con los operadores de GFW. Los dominios de destino son el dominio utilizado en las consultas, por lo que no es necesariamente el objetivo de un ataque. Es el dominio utilizado para llevar a cabo el ataque de sonda. Estos dominios no son propiedad de Muddleling Meerkat". Se sabe que GFW se basa en lo que se llama suplantación y manipulación de DNS para inyectar respuestas DNS falsas que contienen direcciones IP reales aleatorias cuando una solicitud coincide con una palabra clave prohibida o un dominio bloqueado. En otras palabras, cuando un usuario intenta buscar una palabra clave o frase bloqueada, GFW bloquea o redirige la consulta del sitio web de una manera que impedirá que el usuario acceda a la información solicitada. Esto se puede lograr mediante el envenenamiento de la caché de DNS o el bloqueo de direcciones IP. Esto también significa que si GFW detecta una consulta a un sitio web bloqueado, la sofisticada herramienta inyecta una respuesta DNS falsa con una dirección IP no válida o una dirección IP a un dominio diferente, corrompiendo efectivamente el caché de los servidores DNS recursivos ubicados dentro de sus fronteras. "La característica más notable de Muddleling Meerkat es la presencia de respuestas de registros MX falsas de direcciones IP chinas. Este comportamiento [...] difiere del comportamiento estándar del GFW. Estas resoluciones provienen de direcciones IP chinas que no alojan servicios DNS y contienen respuestas falsas, consistentes con el GFW. Sin embargo, a diferencia del comportamiento conocido del GFW, las respuestas de Muddleling Meerkat MX no incluyen direcciones IPv4 sino registros de recursos MX con el formato adecuado". La motivación exacta detrás de la actividad de varios años no está clara, aunque planteó la posibilidad de que se lleve a cabo como parte de un esfuerzo de mapeo de Internet o de una investigación de algún tipo. "Muddleling Meerkat es un actor-estado-nación chino que realiza operaciones DNS deliberadas y altamente calificadas contra redes globales casi a diario, y el alcance total de su operación no se puede ver en ningún lugar en particular", dijo Burton. "El malware es más fácil que el DNS en este sentido: una vez que se localiza el malware, es sencillo entenderlo. Aquí sabemos que algo está sucediendo, pero no lo entendemos completamente. CISA, el FBI y otras agencias continúan advirtiendo de operaciones de preposicionamiento chinas que no son detectadas. Deberíamos preocuparnos por cualquier cosa que no podamos ver o comprender completamente". Fuente: THN

El Lazarus Group, los infames hackers norcoreanos respaldados por el Estado, blanquearon más de USD 200 millones en criptomonedas robadas entre 2020 y 2023. El conocido grupo de atacantes ha utilizado una combinación de mezcladores de criptomonedas y mercados Peer-to-Peer para blanquear los fondos robados. Los fondos fueron robados de más de 25 hackeos de criptomonedas, según el post y la investigación del investigador seudónimo on-chain ZachXBT. Lazarus se encuentra entre los grupos más notorios de hackers de criptomonedas y surgió por primera vez en 2009. En total, el Lazarus Group robó más de USD 3 mil millones en criptoactivos en los seis años anteriores a 2023. Los hackers norcoreanos utilizaron una combinación de servicios de mezcla de criptomonedas y mercados Peer-to-Peer (P2P) para convertir los activos digitales robados, según ZachXBT: "Cuentas identificadas en Noones y Paxful (mercados P2P) que recibieron fondos de los hacks y se utilizaron para convertir criptomonedas en fiat". Según ZachXBT, el grupo de hackers ha blanqueado criptomonedas robadas por valor de al menos USD 44 millones a través de los mercados peer-to-peer Paxul y Noones, utilizando dos nombres de usuario identificados como «EasyGoatfish351» y «FairJunco470». Estos nombres de usuario muestran depósitos y volúmenes de negociación acordes con los fondos robados. El análisis indica además que los fondos hackeados se convirtieron en la stablecoin USDT antes de ser cambiados por efectivo y retirados. El grupo ha confiado históricamente en traders OTC [Over-the-Counter] con sede en China para las conversiones de cripto a fiat. Más de USD 374,000 en fondos robados fueron incluidos en la lista negra de Tether en noviembre de 2023, mientras que tres de los cuatro emisores de stablecoin han incluido en la lista negra USD 3.4 millones adicionales que se encuentran en un grupo de direcciones asociadas con Lazarus, según ZachXBT. Más de USD 309 millones, o el 17% del total de fondos robados en 2023, se atribuyen al Lazarus Group. En 2023 se perdieron más de USD 1,800 millones en criptomonedas por hackeos y exploits, según un informe del 28 de diciembre de Immunefi. A principios de abril, el grupo de hackers norcoreano utilizó LinkedIn para robar activos digitales con ataques de malware dirigidos, informó la firma de análisis de seguridad blockchain SlowMist. Fuente: CoinTelegraph

El Reino Unido establece una nueva legislación que prohíbe las malas contraseñas predeterminadas de los dispositivos inteligentes. Las nuevas leyes significan que los proveedores también deben dejar claro durante cuánto tiempo recibirán las actualizaciones Los fabricantes de dispositivos inteligentes tendrán que respetar las nuevas reglas en el Reino Unido a partir de hoy, con leyes que entrarán en vigor para dificultar que los ciberdelincuentes accedan a hardware como teléfonos y tabletas. La Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos de 2022 (Ley PSTI) tiene como objetivo hacer cumplir los estándares mínimos de seguridad que deben cumplir todos los fabricantes de dispositivos. De los tres requisitos principales que todos los dispositivos inteligentes deben cumplir, el envío de dispositivos con contraseñas predeterminadas fácilmente descifrables es posiblemente el principal. Se permiten contraseñas predeterminadas, pero si se pueden descubrir fácilmente en línea, infringirán la ley. Hace tiempo que viene. "Comenzamos a informar sobre la propuesta de Ley PSTI en 2021 e incluso en el primer inicio del proyecto de ley, su objetivo principal era eliminar estas contraseñas triviales". El profesor Alan Woodward, científico informático de la Universidad de Surrey en Inglaterra, especializado en seguridad, dijo a The Register: "Creo que es un gran primer paso. Sin duda, mejor que el vacío que teníamos anteriormente. Se centra en lo básico porque la gran mayoría de los ataques exitosos siguen siendo simples factores de higiene, como contraseñas débiles". La Ley PSTI recientemente instaurada también obliga a los fabricantes a proporcionar un punto de contacto para las personas que informen sobre problemas de seguridad, y también deben dejar claro el período mínimo durante el cual el dispositivo recibirá actualizaciones de seguridad. No existen reglas específicas que estipulen cuál debe ser ese período mínimo de tiempo, pero cualquiera que sea la vida útil del producto, debe comunicarse claramente a los clientes. La Ley PSTI se aplica a cualquier dispositivo inteligente de consumo que se conecte directamente a Internet o a una red doméstica. Dichos dispositivos incluyen: Dispositivos de entretenimiento: Smart TV, dispositivos de streaming, parlantes inteligentes, consolas de juegos, teléfonos inteligentes y tabletas con conectividad celular Vigilancia del hogar: timbres con video, cámaras de seguridad para el hogar y monitores para bebés Electrodomésticos: Bombillas, enchufes, hornos, frigoríficos, lavadoras, termostatos, hervidores de agua. Dispositivos portátiles como rastreadores de actividad física y relojes inteligentes Coincidiendo con la introducción de la Ley PSTI, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido emitió un paper [PDF] para las personas que desean reforzar la seguridad de su dispositivo, completo con su guía de larga data para crear contraseñas usando tres palabras aleatorias. Si bien la legislación ha sido ampliamente bienvenida como un primer paso importante y necesario, los expertos han destacado algunas preocupaciones clave. Tim Callan, director de experiencia de Sectigo, dijo que las leyes no van lo suficientemente lejos y van por detrás de los estándares recomendados en Europa. "Las leyes de seguridad de IoT del Reino Unido sólo exigirán que los dispositivos cumplan con tres de los 13 estándares del Instituto Europeo de Estándares de Telecomunicaciones (ETSI)", dijo Callan. "Eso todavía deja una brecha importante en nuestras defensas para que los delincuentes informáticos se infiltren en nuestros dispositivos inteligentes. Si el Reino Unido quiere tomarse realmente en serio la seguridad de nuestros dispositivos, debe presionar a las empresas para que hagan más". A la Oficina de Normas y Seguridad de Productos (OPSS) se le ha encomendado la tarea de hacer cumplir las nuevas reglas a los proveedores, lo cual tiene mucho sentido dado que ya era responsable de las regulaciones de seguridad de productos existentes en el Reino Unido. El incumplimiento de la Ley PSTI es un delito penal para los fabricantes nacionales y extranjeros, y el castigo oficial es una multa de £10 millones ($12,5 millones) o el 4 por ciento de los ingresos mundiales calificados (lo que sea mayor). Woodward dijo: "Mi gran preocupación es si el gobierno la aplicará o no. La nueva ley tiene la capacidad de multar a los proveedores con cantidades significativas, y eso hace que las operaciones comerciales tomen nota. Sin embargo, sólo si saben que es una amenaza real. Realmente espero que el gobierno use el poder de esta ley para tomar medidas enérgicas contra las malas prácticas, particularmente de los proveedores donde construyen a un precio determinado y la seguridad es una idea de último momento". Fuente: The Register

La gestión de la criptografía ha sido tradicionalmente una cuestión compleja y poco gestionada. En general, las empresas no pueden modificar rápidamente sus algoritmos criptográficos. El impacto de la computación cuántica en la criptografía plantea una grave amenaza para la sostenibilidad de una sociedad digital segura. Este riesgo podría materializarse cuando exista una computadora cuántica suficientemente potente, estimada para la década de 2030 si no se acelera el desarrollo; o antes, debido a la aparición de vulnerabilidades no identificadas previamente, o mejoras en el criptoanálisis clásico. Existe un gran esfuerzo global por estandarizar y adoptar la criptografía segura frente a la computación cuántica, así como por mejorar la gestión de la criptografía en las organizaciones. Este esfuerzo también se refleja en diversas normativas, que establecen en 2025 los primeros hitos de mejora y transición. "Lo que tenemos que hacer es prepararnos para cambiar la criptografía que va a ser vulnerable frente a los ordenadores cuánticos por una criptografía que podamos utilizar con nuestros ordenadores igual que hacemos hoy pero que sea segura frente a los computadores cuánticos; eso se llama criptografía postcuántica", explica Jaime Gómez, responsable de Tecnologías Cuánticas de Banco Santander.Un problema muy ligado a la ciberseguridad, por lo que se trabaja conjuntamente para evolucionar hacia una criptografía segura frente a la computación cuántica. Una tarea en la que están involucrados todas las grandes entidades y organismos del mundo porque, recuerda Gómez, "esto no es una cuestión competitiva, sino que afecta a toda la sociedad digital en su conjunto". ¿Cual es el riesgo? La sociedad digital puede operar de forma segura en Internet gracias al uso generalizado de técnicas criptográficas. Cada compra que hacemos, cada mensaje que enviamos, cada transacción bancaria que realizamos está protegida por criptografía. La criptografía proporciona garantías de autenticación, integridad y confidencialidad en nuestras comunicaciones y procesos digitales. El desarrollo de ordenadores cuánticos, que pueden aportar enormes ventajas en numerosos campos, supone una amenaza para la criptografía. Se espera que a lo largo de la década de 2030, si no antes, pueda haber un ordenador cuántico capaz de romper algoritmos fundamentales de la criptografía utilizada hoy en día para asegurar nuestras comunicaciones, nuestra privacidad y la sociedad digital en general. Este riesgo ha llevado a la búsqueda de alternativas criptográficas seguras a la computación cuántica para reemplazar algoritmos vulnerables. La principal línea de trabajo en este sentido es la estandarización de la criptografía poscuántica liderada por el NIST (National Institute of Standards and Technology, EE.UU.). Este proceso, iniciado en 2016, publicará a mediados de 2024 nuevos estándares criptográficos que sustituirán a los actuales. Pero la existencia de normas de sustitución es sólo una parte de la solución. Algunos de los principales desafíos para la adopción de los nuevos estándares son: Complejidad: Reemplazar algoritmos criptográficos es una tarea extremadamente compleja que tradicionalmente ha tardado años o incluso décadas en completarse. Es fácil encontrar algoritmos criptográficos obsoletos que se utilizan en numerosas industrias. Plazos: El camino crítico del proyecto de transición está marcado no solo por la duración del proceso de migración, sino también por el tiempo durante el cual se debe mantener segura la información. Por ejemplo, los chips que se instalan en un automóvil que puede estar circulando dentro de 15 años deberían considerar el riesgo de la computación cuántica actual. Inacción: La percepción de que se trata de un riesgo que se materializará en el largo plazo puede retrasar la adopción de medidas decisivas para abordarlo a tiempo. Sin embargo, la realidad es muy diferente: varios requisitos regulatorios exigen acciones concretas para 2025. ¿Cuáles son las principales acciones globales? El gobierno estadounidense ha tomado medidas muy decididas para liderar el futuro de la tecnología cuántica y proteger la ciberseguridad: Lidera la estandarización de la criptografía poscuántica. Ha tomado acciones ejecutivas para mejorar la gestión de criptografía en sus agencias de inmediato (NSM-10, M-23–02) Ha diseñado un plan muy agresivo para la transición de sus agencias a criptografía segura (CSNA2) La nueva política CSNA2 exige que las agencias gubernamentales utilicen la criptografía por defecto desde 2025 y hayan abandonado el uso de la criptografía clásica en 2033. Esto es una demostración de que no se trata de una tarea a largo plazo, sino de un proyecto complejo que debe iniciarse de inmediato. Los gobiernos de Canadá, Alemania, Reino Unido, Francia y Países Bajos también son muy activos en el desarrollo de recomendaciones, principalmente dirigidas a facilitar el proceso de transición. En España, el Centro Criptológico Nacional ha publicado una guía de recomendaciones para la transición. En Europa, la Autoridad Bancaria Europea (EBA), la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA) y la Autoridad Europea de Valores y Mercados (ESMA) han presentado recientemente a la Comisión propuestas de normas técnicas en el marco de DORA que, entre otras medidas, buscan mejorar la gestión criptográfica en el sector financiero. El WEF ha publicado varias recomendaciones basadas en consultas con expertos globales, incluidos los del Grupo Santander: "Quantum Security for the Financial Sector: Informing Global Regulatory Approaches" (1/2024), "Quantum Readiness Toolkit: Building a Quantum-Secure Economy" (6/2023) y "Transición a una economía cuántica segura" (9/2022). El estándar de seguridad de la información de la industria de tarjetas de pago, PCI-DSS 4.0 (requisito 12.3.3), requiere la implementación de procesos mejorados de gestión de criptografía para principios de 2025. Los proyecto actuales parten de la premisa de que "los ordenadores cuánticos actuales son demasiados pequeños para realizar cálculos útiles para los científicos y las empresas, son muy frágiles porque cualquier influencia del entorno destruye la información cuántica, y además la conectividad entre los cúbits que los forman es muy limitada", explica Muñoz. Por eso, la investigación pretende desbloquear esta situación estudiando sistemas alternativos a los actuales, lo que, espera, "permita reducir el tiempo y los recursos computacionales necesarios para hacer los cálculos". Fuente: Be-Tech - Santander

Algunos usuarios de Google Chrome informan que han tenido problemas para conectarse a sitios web, servidores y firewalls después del lanzamiento de Chrome 124 la semana pasada con el nuevo mecanismo de encapsulación X25519Kyber768 resistente a ataques cuánticos y habilitado de forma predeterminada. Google comenzó a probar el mecanismo de encapsulación de claves TLS seguro poscuántico en agosto y ahora lo ha habilitado en la última versión de Chrome para todos los usuarios. La nueva versión utiliza el algoritmo de acuerdo de clave Kyber768 quantum-resistant para conexiones TLS 1.3 y QUIC para proteger el tráfico TLS de Chrome contra el criptoanálisis cuántico. Incluso The Linux Foundation ha anunciado la puesta en funcionamiento de la Post-Quantum Cryptography Alliance (PQCA), una nueva iniciativa colaborativa creada con el fin de impulsar el avance y la adopción de la criptografía poscuántica (post-quantum cryptography). "Después de varios meses de experimentación sobre los impactos en la compatibilidad y el rendimiento, estamos lanzando un intercambio de claves TLS poscuántico híbrido para plataformas de escritorio en Chrome 124", explica el equipo de seguridad de Chrome. Chrome comenzó a admitir X25519Kyber768 para establecer secretos simétricos en TLS, comenzando en Chrome 116. Este mecanismo híbrido combina la salida de dos algoritmos criptográficos para crear la clave de sesión utilizada para cifra la mayor parte de la conexión TLS: X25519: un algoritmo de curva elíptica ampliamente utilizado para el intercambio de de claves en TLS en la actualidad. Kyber-768: un método de encapsulación de claves resistente a ataques post-cuánticos y ganador del PQC del NIST para cifrado general. "Esto protege el tráfico de los usuarios de los ataques llamados 'almacenar ahora y descifrar después' (Store Now, Decrypt Later - SNDL), en los que una futura computadora cuántica podría descifrar el tráfico cifrado registrado hoy". Los ataques de "almacenar ahora, descifrar más tarde" son cuando los atacantes recopilan datos cifrados y los almacenan para el futuro, cuando puedan haber nuevos métodos de descifrado, como el uso de computadoras cuánticas o claves de cifrado disponibles. Para protegerse contra futuros ataques, las empresas ya han comenzado a agregar cifrado resistente a ataques post-cuánticos a su pila de red para evitar que este tipo de estrategias de descifrado funcionen en el futuro. Algunas empresas que ya han introducido algoritmos resistentes a los cuánticos son Apple, Signal, y Google. "Hoy en día, casi el dos por ciento de todas las conexiones TLS 1.3 establecidas con Cloudflare están protegidas con criptografía poscuántica. Esperamos ver una adopción de dos dígitos para finales de 2024. Apple anunció en febrero de 2024 que protegerá iMessage con criptografía poscuántica antes de fin de año, y los chats de Signal ya están protegidos. Lo que alguna vez fue el tema de las demostraciones de tecnología futurista pronto será la nueva base de seguridad para Internet." El uso de X25519Kyber768 agrega más de un kilobyte de datos adicionales al mensaje TLS ClientHello debido a la adición del material de clave encapsulado en Kyber. Los experimentos anteriores con CECPQ2 demostraron que la gran mayoría de las implementaciones de TLS son compatibles con este aumento de tamaño; sin embargo, en ciertos casos limitados, los middleboxes TLS fallaron debido a restricciones codificadas incorrectamente en el tamaño del mensaje. Sin embargo, luego del lanzamiento Google Chrome 124 y Microsoft Edge 124, algunas aplicaciones web, firewalls y servidores interrumpían las conexiones después del protocolo de enlace ClientHello TLS. El problema también afecta a los dispositivos de seguridad, firewalls, middleware de red y varios dispositivos de red de múltiples proveedores (por ejemplo, Fortinet, SonicWall, Palo Alto Networks, AWS). "Esto parece romper el protocolo de enlace TLS para los servidores que no saben qué hacer con los datos adicionales en el mensaje de saludo del cliente", dijo un administrador. Estos errores no se deben a un error en Google Chrome, sino a que los servidores web no implementan correctamente la seguridad de la capa de transporte (TLS) y no pueden manejar mensajes ClientHello más grandes para la criptografía poscuántica. Esto hace que rechacen conexiones que utilizan el algoritmo de intercambio de clave Kyber768 en lugar de cambiar a la criptografía clásica si no son compatibles con X25519Kyber768. Se creó un sitio web llamado tldr.fail para compartir información adicional sobre cuán grandes los mensajes ClientHello post-cuánticos pueden interrumpir conexiones en servidores web con errores, con detalles sobre cómo los desarrolladores pueden corregir el error. Los administradores de sitios web también pueden probar sus propios servidores habilitando manualmente la función en Google Chrome 124 usando la bandera chrome://flags/#enable-tls13-kyber. Una vez habilitado, los administradores pueden conectarse a sus servidores y ver si la conexión causa un error "ERR_CONNECTION_RESET". Cómo solucionar problemas de conexión Los usuarios de Google Chrome afectados pueden mitigar el problema accediendo a chrome://flags/#enable-tls13-kyber y desactivando la compatibilidad con Kyber híbrido TLS 1.3 en Chrome. Los administradores también pueden desactivarlo a través de la política empresarial PostQuantumKeyAgreementEnabled en Software > Políticas > Google > Chrome o comunicándose con los proveedores para obtener una actualización para los servidores o middleboxes en sus redes que no están listos para post-quantum. Microsoft también ha publicado información sobre cómo controlar esta función a través de las políticas de grupo de Edge. Sin embargo, es importante tener en cuenta que se requerirán cifrados seguros poscuánticos a través de TLS, y la política empresarial de Chrome que permite deshabilitarlo se eliminará en el futuro. "Los dispositivos que no implementan TLS correctamente pueden funcionar mal cuando se les ofrece la nueva opción. Por ejemplo, pueden desconectarse en respuesta a opciones no reconocidas o los mensajes más grandes resultantes", dice Google. "Esta política es una medida temporal y se eliminará en futuras versiones de Google Chrome. Puede habilitarse para permitirle realizar pruebas de problemas y puede deshabilitarse mientras se resuelven los problemas". Fuente: BC | CloudFlare