Un ex-programador de la CIA de 29 años que fue acusado de posesión de pornografía infantil el año pasado ahora ha sido acusado de planear la mayor fuga de información clasificada en la historia de la agencia.

Joshua Adam Schulte, que una vez creó malware para la CIA y la NSA para entrar en computadoras adversarias, fue acusado el lunes por el Departamento de Justicia de 13 cargos de presuntamente robar y transmitir miles de documentos clasificados de la CIA, proyectos de software y servicios de piratería.

Schulte también ha sido sospechoso de filtrar el archivo de documentos robados a la organización WikiLeaks, que luego comenzó a publicar la información clasificada en marzo de 2017 en una serie de filtraciones bajo el nombre “Vault 7”.

Todavía no se ha confirmado si Schulte filtró documentos a WikiLeaks y en caso de ser cierto, cuándo, pero ya era sospechoso desde enero de 2017 de haber robado información clasificada de defensa nacional de la CIA en 2016.

Según la acusación formal, después de robar los documentos clasificados, Schulte intentó tapar sus huellas en una computadora operada por la Agencia de Inteligencia de los EE. UU., la idea era ganar acceso no autorizado al sistema, algo que ocurrió entre marzo y junio de 2016 y luego borrar registros de todas sus actividades y negar el acceso al sistema a otros.

En marzo de 2017, fecha en la cual WikiLeaks comenzó a lanzar algunas de las herramientas de hackeo de la CIA, los agentes del FBI registraron el apartamento de Schulte como parte de una investigación en curso para encontrar al cerebro detrás de las filtraciones de la Vault 7.

Sin embargo, en su lugar, el FBI encontró imágenes de niños abusados por adultos en un servidor que creó en 2009 cuando era estudiante en la Universidad de Texas. La pena máxima para esto es de 130 años de prisión.

Schulte fue arrestado en agosto de 2017 con posesión de pornografía infantil, pero los fiscales no han podido presentar cargos por “divulgación de la información clasificada” en su contra hasta ahora.

Sin embargo, ahora la acusación revisada incluye 13 cargos relacionados con el robo y la divulgación de la información clasificada a WikiLeaks y su posesión de pornografía infantil.

Aquí está la lista de cargos en su contra:

• Acopio ilegal de información de defensa nacional.
• Transmisión ilegal de información de defensa nacional poseída legalmente.
• Transmisión ilegal de información de defensa nacional poseída ilegalmente.
• Acceso no autorizado a una computadora para obtener información clasificada.
• Robo de propiedad gubernamental.
• Acceso no autorizado de una computadora para obtener información de un Departamento o Agencia de los Estados Unidos.
• Haber realizado transmisión de un programa informático dañino, información, código o comando.
• Haber hecho declaraciones falsas a los representantes del FBI.
• Obstrucción de la justicia.
• Recibo de pornografía infantil.
• Posesión de pornografía infantil.
• Transporte de pornografía infantil.
• Infracción de copyright.

Schulte se declaró inocente de los cargos de pornografía infantil y ha negado reiteradamente su participación en el caso de Vault 7.

El lanzamiento de Vault 7 fue una de las filtraciones más importantes en la historia de la CIA, exponiendo armas cibernéticas secretas y técnicas de espionaje que los Estados Unidos usaban para monitorear o entrar en computadoras, teléfonos celulares, televisores, cámaras web, transmisiones de video y más.

Un investigador de seguridad ha descubierto una vulnerabilidad crítica en algunos de los clientes de cifrado de correo electrónico más populares y ampliamente utilizados del mundo que usan el estándar OpenPGP y confían en GnuPG para encriptar y firmar digitalmente los mensajes.

La revelación llega casi un mes después de que los investigadores revelaran una serie de fallas, denominadas eFail, en PGP y herramientas de cifrado S/Mime que podrían permitir a los atacantes revelar correos electrónicos cifrados en texto sin formato, afectando una variedad de programas de correo electrónico, incluyendo Thunderbird, Apple Mail y Outlook.

El desarrollador de software Marcus Brinkmann descubrió que una vulnerabilidad de sanitización de la entrada, que denominó SigSpoof, hace posible que los atacantes falsifiquen firmas digitales con la clave pública o la identificación de clave de alguien, sin requerir ninguna de las claves privadas o públicas involucradas.

La vulnerabilidad, a la que se le ha asignado el código CVE-2018-12020, afecta a las aplicaciones de correo electrónico populares, incluidas GnuPG, Enigmail, GPGTools y python-gnupg. Afortunadamente ya existen los parches disponibles, así que actualice lo antes posible si Ud. utiliza alguno de estos clientes de correo electónico.

Según lo explicado por el investigador, el protocolo OpenPGP permite incluir el parámetro “nombre de archivo” del archivo de entrada original en los mensajes firmados o encriptados, combinándolo con los mensajes de estado de GnuPG (incluida la información de firma) en un único canal de datos (paquetes de datos literales) agregando una palabra clave predefinida para separarlos.

Durante el descifrado del mensaje, al final  en el destinatario, la aplicación del cliente divide la información utilizando esa palabra clave y muestra el mensaje con una firma válida, si el usuario tiene habilitada la opción detallada en su archivo gpg.conf.

Sin embargo, el investigador encuentra que el nombre de archivo incluido, que puede tener hasta 255 caracteres, no se sanitiza adecuadamente con las herramientas que contienen la vulnerabilidad, lo que permite que un atacante “incluya alimentaciones de línea u otros caracteres de control”.

Brinkmann demuestra cómo este vacío se puede utilizar para inyectar mensajes de estado GnuPG arbitrarios (falsos) en el analizador de la aplicación en un intento de falsificar la verificación de firma y los resultados del descifrado del mensaje:

El ataque es muy poderoso y el mensaje ni siquiera necesita ser encriptado en absoluto. Un único paquete de datos literales (también conocido como “texto plano”) es un mensaje OpenPGP perfectamente válido y ya contiene el “nombre del archivo cifrado” utilizado en el ataque, aunque no haya sido cifrado.

El investigador también cree que la falla tiene el potencial de afectar una gran parte de nuestra infraestructura central que va más allá del encriptado de correo electrónico, debido a que “GnuPG no solo se usa para seguridad de correo electrónico sino también para respaldos seguros, actualizaciones de software en distribuciones y código fuente en sistemas de control de versiones como Git“.

Brinkmann también compartió tres pruebas de concepto que muestran cómo las firmas pueden ser falsificadas en Enigmail y GPGTools, cómo la firma y el cifrado pueden ser falsificados en Enigmail, así como también cómo se puede falsificar una firma en la línea de comando.

A pesar de las advertencias sobre la amenaza de dejar los servicios remotos inseguros habilitados en dispositivos Android, los fabricantes continúan enviando dispositivos con configuraciones de puerto de depuración ADB abiertas que dejan a los dispositivos basados en Android expuestos a los cibercriminales.

Android Debug Bridge (ADB) es una función de línea de comandos que generalmente se utiliza para fines de diagnóstico y depuración ayudando a los desarrolladores de aplicaciones a comunicarse con dispositivos Android de forma remota para ejecutar comandos y si es necesario, controlar completamente un dispositivo.

Por lo general, los desarrolladores se conectan al servicio ADB instalado en dispositivos Android utilizando un cable USB, pero también es posible usar ADB de forma inalámbrica habilitando un servidor daemon en el puerto TCP 5555 en el dispositivo.

Si se deja activado este servicio, los atacantes remotos no autorizados pueden escanear Internet para encontrar una lista de dispositivos Android inseguros que ejecutan la interfaz de depuración ADB a través del puerto 5555, acceder de forma remota a los privilegios de “root” más altos y luego instalar software malicioso sin autenticación.

Por lo tanto, se recomienda a los fabricantes que se aseguren que la interfaz ADB para sus dispositivos Android esté desactivada antes del envío de los mismos, por lo general se usa durante el proceso de control de calidad durante la fabricación. Sin embargo, muchos fabricantes no lo hacen.

En una publicación en el servicio de blogging Medium, aparecida este lunes 11 de Junio, el investigador de seguridad Kevin Beaumont dijo que todavía hay innumerables dispositivos basados en Android, incluidos smartphones, DVR, televisores inteligentes e incluso buques cisterna, que aún están expuestos a un ataque a la interfaz ADB:

Esto es muy problemático ya que permite a cualquier persona, sin contraseña, acceder de forma remota a estos dispositivos como usuario ‘root’ * – el modo de administrador – y luego instalar sigilosamente el software y ejecutar funciones maliciosas.

La amenaza no es algo teórico, ya que investigadores de la firma de seguridad china Qihoo 360 NetLab descubrieron un gusano, denominado ADB.Miner, a principios de este año, que explotaba la interfaz ADB para infectar dispositivos Android inseguros con un malware de minería Monero (XMR).

Se estima que el número total de smartphones, televisores inteligentes y decodificadores de televisión que fueron atacados por el gusano ADB.Miner fue de más de 5.000 dispositivos en tan solo 24 horas.

Ahora, Beaumont una vez más planteó sus preocupaciones a la comunidad sobre este tema. Otro investigador también confirmó que el gusano ADB.Miner detectado por Netlab en febrero todavía está vivo con millones de exploraciones detectadas el mes pasado.

Aunque es difícil saber la cantidad exacta de dispositivos infectados debido a que la mayoría de dispositivos están destras de un router que hace NAT (Network Address Translation), Beaumont dice que “es seguro decir ‘mucho'”.

En respuesta a la publicación del blog de Beaumont, Shodan, un motor de búsqueda de Internet del IoT (Internet de las Cosas), también agregó la capacidad de buscar el puerto 5555. Según la exploración de las direcciones IP, la mayoría de los dispositivos expuestos se encuentran en Asia, incluidos China y Corea del Sur, cómo se puede apreciar en este gráfico:

Beaumont aconseja a los proveedores que dejen de enviar productos con Android Debug Bridge habilitado a través de una red, ya que crea un Root Bridge: una situación en la que cualquiera puede hacer un mal uso de los dispositivos.

Como la conexión de depuración de ADB no está encriptada ni requiere ninguna contraseña o intercambio de claves, se recomienda a los propietarios de dispositivos Android que la desactiven de inmediato.

Google Chrome es el navegador más usando actualmente en Internet, debido a al soporte que recibe de Google, pero pese a tener una empresa tan grande tras de sí, el investigador de seguridad Michał Bentkowski descubrió y reportó una vulnerabilidad de alta gravedad en Google Chrome a fines de mayo, que afecta a todas versiones de los principales sistemas operativos, incluidos Windows, Mac y Linux.

Sin revelar ningún detalle técnico aún sobre la vulnerabilidad, el equipo de seguridad de Chrome describió el problema como un manejo incorrecto del encabezado CSP (CVE-2018-6148) en una publicación en el blog oficial de Chrome:

El acceso a los detalles de los errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También retendremos restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no se haya corregido

El encabezado de la Política de seguridad de contenido o CSP (por sus siglas en inglés), permite a los administradores de sitios web agregar una capa adicional de seguridad a una página web, permitiendoles controlar a que recursos el navegador puede tener acceso en el sitio web.

El manejo incorrecto de los encabezados de CSP por parte del navegador web podría volver a habilitar a los atacantes a realizar ataques del tipo cross-site scripts (XSS), clickjacking y otros tipos de ataques de inyección de código en cualquier página web específica.

El parche para la vulnerabilidad ya se lanzó a los usuarios en una actualización estable de Chrome 67.0.3396.79 para Windows, Mac y el sistema operativo Linux, que los usuarios pueden haber recibido o recibirán en los próximos días/semanas.

Por lo tanto, asegúrese de que su sistema esté ejecutando la versión actualizada del navegador web Chrome.

Por otra parte Firefox también lanzó una nueva versión de su navegador web, versión 60.0.2, que incluye soluciones de seguridad y corrección de errores. Por lo tanto, a los usuarios de la versión estable de Firefox también se les recomienda actualizar su navegador.

En el 39vo Simposio de sobre Seguridad y Privacidad del IEEE llevado a cabo en San Franciso la semana pasada (21-23 de Mayo), Connor Bolton de la Universidad de Michigan expuso como puede ser usado el parlante incorporado en la mayoría de las computadoras para crear una denegación de servicio en los discos duros y de esa manera afectar la integridad de los datos almacenados en ellos.

Bolton, que forma parte de un equipo de investigación que integra la Universidade Michigan y la Universidad de Zhejiang ha demostrado cómo las señales sónicas y ultrasónicas (inaudibles para los humanos) pueden usarse para causar daño físico a los discos duros simplemente reproduciendo sonidos ultrasónicos a través del propio altavoz integrado de la computadora objetivo del ataque o explotando un altavoz cerca del dispositivo objetivo.

Una investigación similar fue realizada el año pasado por un grupo de investigadores de la Universidad de Princeton y Purdue, quienes demostraron un ataque de denegación de servicio (DoS) contra discos duros mediante la explotación de un fenómeno físico llamado resonancia acústica.

Dado que las unidades de disco duro están expuestas a vibraciones externas, los investigadores demostraron cómo señales acústicas especialmente diseñadas podrían causar vibraciones significativas en los componentes internos de las unidades de disco duro, lo que finalmente conduce a la falla en los sistemas que dependen de la unidad de disco duro.

Para evitar un choque de la cabeza con el plato debido a la resonancia acústica, los discos duros modernos usan controles de avance impulsados por un sensor de choque que detectan dicho movimiento y mejoran la precisión de posicionamiento de la cabeza mientras se leen y escriben los datos.

Sin embargo, de acuerdo con un nuevo trabajo de investigación publicado por los investigadores de la Universidad de Michigan y la Universidad de Zhejiang, los sonidos sónicos y ultrasónicos causan falsos positivos en el sensor de choque, lo que provoca un impulso de aparcar innecesariamente la cabeza, con lo cual el disco deja de funcionar y puede causar un cuelgue de la computadora.

Al explotar esta vulnerabilidad de los discos duros, los investigadores demostraron cómo los atacantes podían llevar a cabo ataques exitosos en el mundo real contra discos duros encontrados en sistemas de CCTV (circuito cerrado de televisión) y computadoras de escritorio.

Estos ataques se pueden realizar usando un parlante externo cercano o mediante los propios parlantes integrados del sistema objetivo del ataque, al engañar al usuario para que reproduzca un sonido malicioso adjunto a un correo electrónico o en un página web.

En su configuración experimental, los investigadores probaron las interferencias acústicas y ultrasónicas contra varios HDD de Seagate, Toshiba y Western Digital. Además descubrieron que las ondas ultrasónicas tardaban de 5 a 8 segundos en inducir errores.

Sin embargo, las interferencias de sonido que duraron 105 segundos o más provocaron que los discos duros de Western Digital usados en un dispositivo de videovigilancia dejaran de grabar desde el comienzo de la vibración hasta que el dispositivo se reiniciara.

Los investigadores también pudieron interrumpir discos duros en computadoras de escritorio y portátiles con sistema operativo Windows y Linux. Tardaron solo 45 segundos en causar que una computadora portátil Dell XPS 15 9550 se congelara y 125 segundos en colgar cuando la computadora portátil fue engañada para reproducir audio malicioso a través de su altavoz incorporado.

El equipo también propuso algunas defensas que pueden usarse para detectar o prevenir ese tipo de ataques, incluido un nuevo controlador de retroalimentación que podría implementarse como una actualización de firmware para atenuar la interferencia acústica intencional, un método de fusión de sensor para evitar el estacionamiento innecesario al detectar disparo ultrasónico del sensor de choque y materiales de amortiguación del ruido para atenuar la señal.

Los detalles de la investigación se pueden encontrar en el documento presentado por los investigadores de la Universidad de Michigan y la Universidad de Zhejiang a la IEEE en formato PDF, titulado “Nota azul: cómo la interferencia acústica intencional daña la disponibilidad y la integridad en los discos duros y los sistemas operativos“.

De acuerdo a los portales de noticias financieras Bloomberg y Forbes, Google planea lanzar una actualización de sus smartphones insignia Pixel 3 & Pixel 3 XL este otoño en el hemisferio norte, según Bloomberg habrían conversaciones con Foxconn para que sean ellos quienes fabriquen los nuevos smartphones.

Esto es lo que nos cuenta Bloomberg:

La unidad de Alphabet Inc. está planificando al menos dos nuevos modelos, que probablemente se denominarán “Pixel 3” y “Pixel 3 XL”, dijeron personas familiarizadas con el asunto. El teléfono más grande está diseñado con una pantalla casi de borde a borde, a excepción de un bisel más grueso conocido como mentón en la parte inferior del teléfono. La pantalla también tendrá un notch o recorte, en la parte superior. El modelo más pequeño se verá similar al Pixel 2 y no incluirá el notch o el aspecto de borde a borde, dijeron las personas, que pidieron no ser identificadas porque los planes aún no son públicos.

Los smartphones Pixel de Google son ampliamente considerados como algunos de los mejores dispositivos basados ​​en Android, pero continúan muy por detrás del iPhone de Apple Inc. y los productos de Samsung Electronics Co. en ventas y participación en el mercado. Google envió menos de 4 millones de unidades en 2017, según datos de la compañía de análisis IDC. En comparación iPhone envió 216 millones de iPhones en el mismo período. Google tiene la intención de seguir actualizando su línea Pixel anualmente ya que considera que la división de hardware es importante para el futuro a largo plazo de la compañía.

Como lo ha hecho en los últimos dos años, Google planea desplegar los nuevos teléfonos en octubre, alrededor de un mes después de que Apple normalmente anuncia sus nuevos dispositivos. Verizon Wireless Inc., por tercer año consecutivo, será el operador exclusivo de los EE. UU. Para los nuevos Pixels, dijeron las personas.

Los planes para los nuevos Pixels podrían cambiar antes de que se liberen los teléfonos, dijeron las personas. Una portavoz de Google se negó a comentar sobre los nuevos teléfonos.

Por otro lado el portal Forbes publicó posibles fotos filtradas de las máscaras frontales de los nuevos Pixel, que fortalecen lo anunciado por Bloomberg:

De todo lo anunciado por ambos portales podemos resumir en tres los puntos claves de la nueva generación de smartphones de Google:

• Parece que Pixel 3 y Pixel 3 XL seguirán siendo exclusivos de Verizon, aunque aún se podría comprarlos desbloqueados.
• Google se quedará con el diseño de una sola cámara en la parte trasera en ambos smartphones mientras coloca dos lentes en el frente.
• El Pixel 3 se tendrá una apariencia bastante similar al Pixel 2.

¿Qué opinan? ¿Será esto lo que veremos en Octubre?

El regulador de comunicaciones ruso, Roskomnadzor, amenazó a Apple con enfrentar las consecuencias si la compañía no retira la aplicación de mensajería segura Telegram de su App Store.

Ya en abril, el gobierno ruso prohibió a Telegram en el país, tras la negativa de la empresa a entregar claves privadas de cifrado a los servicios de seguridad estatales rusos para acceder a los mensajes enviados mediante el servicio de mensajería instantánea.

Sin embargo, hasta ahora, la aplicación Telegram todavía está disponible en la versión rusa de la App Store de Apple.

Por lo tanto, en un esfuerzo por prohibir por completo a Telegram dentro de las fronteras de Rusia, la agencia de seguridad gubernamental Roskomnadzor envió una carta legalmente vinculante a Apple pidiéndole que retire la aplicación de su tienda de aplicaciones en Rusia y bloquee el envío de notificaciones automáticas a los usuarios locales que ya tuvieran la aplicación instalada.

El director de Roskomnadzor, Alexander Zharov, dijo que le está dando a la compañía un mes para que retire la aplicación Telegram de su App Store antes de que el regulador imponga el castigo por las violaciones.

Para quienes no estén familiarizados con la aplicación, Telegram ofrece encriptación de extremo a extremo para mensajes seguros, de modo que nadie, ni siquiera Telegram, pueda acceder a los mensajes que se envían entre los usuarios.

A pesar de estar prohibido el uso de esta aplicación en Rusia desde el pasado mes de abril, la mayoría de los usuarios rusos todavía usan la aplicación a través de Redes Privadas Virtuales (VPN), y solo del 15 al 30 por ciento de las operaciones de Telegram en el país se han visto afectadas hasta ahora, declaró la agencia gubernamental Roskomnadzor ayer en un comunicado.

Roskomnadzor es la agencia del gobierno ruso que se encarga de supervisar los medios, incluidos los medios electrónicos, las comunicaciones masivas, la tecnología de la información y las telecomunicaciones; organizar el trabajo del servicio de radiofrecuencia y supervisar el cumplimiento de la ley que protege la confidencialidad de los datos personales de los usuarios.

Roskomnadzor quería que Telegram compartiera los chats y claves de cifrado de sus usuarios con los servicios de seguridad del estado, ya que según las agencias de inteligencia rusas, la aplicación de mensajería cifrada es muy popular entre los terroristas que operan dentro de Rusia.

Sin embargo, Telegram se rehusó a cumplir con lo exigido por el gobierno ruso, lo que trajo como consecuencia la prohibición del uso de la aplicación en Rusia.

Aunque Apple ha expresado principalmente su apoyo para el cifrado y la seguridad de los datos en el pasado, sin emabargo se ha visto que la empresa cumple con las demandas de los gobiernos locales. Por ejemplo, el año pasado, Apple eliminó todas las aplicaciones VPN de su tienda de aplicaciones en China, lo que hace más difícil para los usuarios de Internet eludir el gran firewall impuesto por el gobierno chino y trasladó sus operaciones de iCloud a una empresa local vinculada al gobierno chino.

Además, a fines del año pasado, Apple sacó Skype, junto con varias aplicaciones similares, de su App Store en China, accediendo a las demandas del gobierno chino. Por lo cuál es lógico suponer que Telegram será retirado del App Store en Rusia en el corto plazo.

Más de medio millón de routers y dispositivos de almacenamiento (NAS) en docenas de países han sido infectados con una pieza de malware que es una botnet de dispositivos IoT altamente sofisticado, probablemente diseñado por un grupo auspiciado por Rusia.

La unidad de inteligencia cibernética Talos de Cisco ha descubierto una pieza avanzada de malware que tiene como objetivo dispositivos IoT, denominado VPNFilter, que ha sido diseñado con capacidades versátiles para recopilar información de los usuarios, interferir con las comunicaciones de Internet y realizar operaciones destructivas de ataque cibernético, incluyendo la destrucción del propio dispositivo infectado.

El malware ya ha infectado más de 500,000 dispositivos en al menos 54 países, la mayoría de los cuales son routers hogareños y dispositivos de almacenamiento conectados a Internet de Linksys, MikroTik, NETGEAR y TP-Link. También se sabe que algunos dispositivos de almacenamiento conectado a la red (NAS) fueron también infectados.

VPNFilter es un malware modular de varias capas, que puede robar credenciales de sitios web y monitorear controles industriales o sistemas SCADA, que es un standard que es utilizado en redes eléctricas, otro tipo de infraestructura y fábricas.

El malware se comunica por Tor anonimizando la red e incluso contiene un killswitch para los routers, donde el malware se mata deliberadamente y en dicho proceso puede volver inútil al mismo dispositivo.

A diferencia de la mayoría de otros programas maliciosos que se enfocan en dispositivos de Internet de las cosas (IoT), la primera capa de VPNFilter puede sobrevivir a un reinicio del router, ganando un punto de apoyo constante en el dispositivo infectado y permitiendo el despliegue del malware de una segunda capa.

VPNFilter lleva el nombre de un directorio (/var/run/vpnfilterw) que el malware crea para ocultar sus archivos en un dispositivo infectado.

Dado que la investigación aún está en curso, los investigadores de Talos “no tienen pruebas definitivas de cómo el actor amenazante está explotando los dispositivos afectados”, pero creen firmemente que VPNFilter no explota ninguna vulnerabilidad de día cero para infectar a sus víctimas.

En cambio, el malware se dirige a dispositivos que aún están expuestos a vulnerabilidades públicas bien conocidas o que tienen credenciales predeterminadas, lo que hace que el compromiso sea relativamente sencillo.

Los investigadores de Talos piensan que el gobierno ruso es quien está detrás de VPNFilter porque el código de malware se superpone con las versiones de BlackEnergy, el malware responsable de los múltiples ataques a gran escala contra dispositivos en Ucrania que el gobierno de EE. UU. atribuyó a Rusia.

Los investigadores dijeron que dieron a conocer sus hallazgos antes de completar su investigación, debido a la preocupación por un posible ataque futuro contra Ucrania, que ha sido repetidamente víctima de ciberataques rusos, incluido un corte de energía a gran escala y NotPetya.

Si ya está infectado con el malware, haga un factory reset de su ruter a los valores predeterminados de fábrica para eliminar el malware potencialmente destructivo y actualice el firmware de su dispositivo lo antes posible.

Debe estar más atento a la seguridad de sus dispositivos inteligentes de IoT para evitar esos ataques de malware, se recomienda cambiar las credenciales predeterminadas de sus dispositivos IoT.

Si su router es vulnerable por defecto y no se puede actualizar, deséchelo y compre uno nuevo, así de simple. Su seguridad y privacidad vale más que el precio de un router.

Según ArsTechnica el FBI ha tomado el control de los nombre de dominio usados para hacer el Comando & Control de la botnet.

Investigadores de seguridad chinos de Keen Security Lab han descubierto más de una docena de vulnerabilidades en las unidades de cómputo de los automóviles de la reconocida empresa alemana BMW, algunas de las cuales pueden ser explotadas remotamente para comprometer un vehículo.

Los defectos en la seguridad de la computadora de abordo se descubrieron durante una auditoría de seguridad de un año realizada por investigadores de Keen Security Lab, una división de investigación de ciberseguridad de la empresa china Tencent, entre enero del 2017 y febrero de este año.

En marzo de 2018, el equipo reveló responsablemente 14 vulnerabilidades diferentes directamente al Grupo BMW, lo que afecta a los vehículos fabricados por BMW desde al menos 2012.

Estos son el mismo grupo de investigadores de seguridad que han encontrado múltiples vulnerabilidades en varios módulos de los automóviles fabricados por Tesla, que podrían haber sido explotados para lograr controlar remotamente un automóvil objetivo del ataque.

Ahora que BMW comenzó a implementar parches para las vulnerabilidades descubiertas en sus automóviles, los investigadores han hecho público un informe técnico de 26 páginas [PDF en inglés] que describe sus hallazgos, aunque evitaron publicar algunos detalles técnicos importantes para evitar el abuso y además no proveen PoC (Proof of Concept), con lo cuál en teoría estas vulnerabilidades no podrían ser explotadas maliciosamente al día de hoy.

Los investigadores dijeron que se espera que una copia completa de su investigación aparezca en algún momento a principios de 2019, con lo cual el grupo BMW tiene tiempo más que suficiente para mitigar por completo todas las vulnerabilidades encontradas.

El equipo de investigadores de seguridad chinos se centraron en tres componentes críticos de los vehículos: el sistema de infoentretenimiento (o unidad principal), la unidad de control telemático (TCU o T-Box) y el módulo central de pasarela presente en varios modelos de BMW.

Aquí está la lista de las vulnerabilidades descubiertas por los investigadores por categoría:

• 8 vulnerabilidades afectan el sistema de infoentretenimiento conectado a Internet que reproduce música y otros medios audiovisuales.
• 4 fallas afectan la Unidad de Control Telemático (TCU) que proporciona servicios de telefonía, servicios de asistencia de accidentes y la capacidad de bloquear/desbloquear las puertas del automóvil de forma remota.
• 2 defectos afectan al Módulo de puerta de enlace central que se ha diseñado para recibir mensajes de diagnóstico de la TCU y la unidad de infoentretenimiento y luego transferirlos a otras Unidades de control electrónico (ECU) en diferentes buses CAN.

La explotación de estas vulnerabilidades podría permitir a los atacantes enviar mensajes de diagnóstico arbitrarios a la unidad de control del motor (ECU) del vehículo objetivo, que controla las funciones eléctricas del automóvil y al bus CAN, que es la médula espinal del vehículo.

Esto eventualmente podría permitir que los ciberdelincuentes tomen el control completo sobre la operación del vehículo afectado hasta cierto punto.

Cuatro de las vulnerabilidades descubiertas requieren un acceso USB físico o acceso al puerto ODB (diagnóstico a bordo), lo que significa que los atacantes deben estar dentro de su vehículo para explotarlos al enchufar un dispositivo cargado con malware en el puerto USB.

Sin embargo, seis vulnerabilidades se pueden explotar de forma remota para poner en peligro las funciones del vehículo, incluida una conducida a corta distancia por Bluetooth o tambien a larga distancia a través de redes celulares 3G/4G, incluso cuando el vehículo está en marcha. Lo cuál las vuelve extremadamente peligrosas.

El equipo confirmó que las vulnerabilidades existentes en la unidad principal y afectarían a varios modelos de BMW, incluidos el BMW Serie i, el BMW Serie X, el BMW Serie 3, el BMW Serie 5 y el BMW Serie 7.

Sin embargo, los investigadores dijeron que las vulnerabilidades descubiertas en la Unidad de Control Telemático (TCB) afectarían a los “modelos de BMW equipados con este módulo producido a partir del año 2012”.

BMW confirmó los hallazgos de los investigadores chinos y ya comenzó a implementar actualizaciones OTA (Over-The-Air) para corregir algunos errores en la TCU, pero otros defectos necesitarán parches a través de la red de distribuidores autorizados, razón por la cual los investigadores han programado recien hacer público su informe técnico completo en marzo del 2019.

BMW también premió a los investigadores de Keen Security Lab con el premio BMW Group Digitalization and IT Research Award, describiendo la investigación llevada a cabo como “la prueba más exhaustiva y compleja jamás realizada en vehículos BMW Group por un tercero“.