#PSS: Repasando #ciberseguridad @PentaSecSol @PabloIsp de la semana del 13 de diciembre de 2021

#PSS: Repasando #ciberseguridad @PentaSecSol @PabloIsp de la semana del 13 de diciembre de 2021

Momento de hacer un breve repaso sobre los hallazgos de la semana del 13 de diciembre de 2021

En la búsqueda de temas relativos a la ciberseguridad:

  1. Comenzamos con un avance preocupante en ciberataques... Expertos en tecnología advierten que el ‘deepfake’ entra en una fase peligrosa. La tecnología de simulación digital visual o deepfake, con apenas 4 años, está al alcance de cualquiera que tenga un smartphone. 
  2. Otros temas, involucran desde el robo de criptomonedas a audios falsos… Así operarán los ciberdelincuentes en 2022. En México, se incrementó en 127% los ataques de ransomware, en los que se pide un 'rescate' a los usuarios para recuperar sus datos.
  3. Pasando al ámbito estatal: alerta roja de ciberseguridad en Alemania. Una vulnerabilidad en el lenguaje de programación Java mantiene en suspenso a las autoridades de ciberseguridad alemanas. Además de numerosas empresas, también se podrían ver afectados organismos de la Administración Federal.


Respecto a temas de privacidad:

  1. Qué es el Informe de privacidad de las apps de iOS 15.2 y cómo podemos utilizarlo para saber qué hacen de verdad nuestras aplicaciones. Nos permite saber exactamente qué hacen las apps que tenemos instaladas en nuestro iPhone o iPad. Una característica que aparece en forma de apartado en la app Ajustes y que nos permite tener una visión mucho más completa de lo que sucede en nuestros dispositivos.
  2. Se acabó poder espiar si estamos online en WhatsApp. Estas nuevas medidas de privacidad evitan que los contactos desconocidos con los que nunca hemos mantenido una conversación a través de WhatsApp no puedan ver la hora en la que nos hemos conectado por última vez a la aplicación o si nos encontramos en línea.


Esta semana sin dudas la mayor repercusión fue en relación a la vulnerabilidad del software Apache que se denominó log4j:

  1. Detectan más de 2,8 millones de intentos de explotación de la vulnerabilidad log4j en la última semana. Señalan que, hasta ahora, se ha intentado explotar más del 47 por ciento de las redes corporativas a nivel mundial.
  2. Log4j, la vulnerabilidad que amenaza la ciberseguridad en todo el mundo. Los ciberdefensores trabajan incansablemente para intentar reparar la falla de seguridad que podría afectar a servicios como Apple iCloud, Steam o Minecraft. Hasta ahora, el error se ha resuelto de manera parcial.
  3. Se alerta sobre una vulnerabilidad crítica que afecta a miles de empresas en todo el mundo. El fallo, conocido como Log4Shell, permite al cibercriminal tomar el control de los servidores afectados. La empresa Apache Foundation ya ha lanzado un parche que solventa el problema.


En el submundo del malware

  1. Los 9 virus bancarios más peligrosos que están hoy en Argentina: Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban y Numando son algunos de los troyanos bancarios latinoamericanos con mayor difusión.
  2. Parece GIF, se ejecuta como GIF, pero en realidad es un malware para "hackear" iPhones, y también es hecho por los creadores de Pegasus. Sin embargo en lugar de ser un GIF, en realidad se trata de PDF malicioso que corre sin que la víctima deba hacer alguna acción, para lo que utiliza JBIG2, un código antiguo de los 90s que se usaba para comprimir archivos a la hora de procesar texto en los escáneres de imágenes.
  3. Joker vuelve a nuestros móviles disfrazado de esta app, bórrala ya. Esta vez, se llama Color Message.


Para ir cerrando… Una noticia sobre cómo fomentar que las personas que les gusta investigar fallas de ciberseguridad NO se conviertan en delincuentes. EE.UU. busca hackers que rompan sus sistemas, y les pagará US$ 5.000. El Departamento de Seguridad Nacional (DHS) de los Estados Unidos lanzó "Hack DHS", un programa que recompensará a hackers y a especialistas de ciberseguridad que encuentren vulnerabilidades dentro de los sistemas del departamento.


LA CIBERSEGURIDAD ES NECESARIA QUE LA HAGAMOS ENTRE TODOS. @pabloisp


Profundiza estos temas:

  1. Alertan sobre una vulnerabilidad crítica que afecta a miles de empresas en todo el mundo. (2021, diciembre 11). abc. https://www.abc.es/tecnologia/redes/abci-alertan-sobre-vulnerabilidad-critica-afecta-miles-empresas-todo-mundo-202112111505_noticia.html
  2. Baños, J. C. (2021, diciembre 18). Ciberseguridad: Detectan más de 2,8 millones de intentos de explotación de la vulnerabilidad log4j en la última semana. COPE. https://www.cope.es/actualidad/tecnologia/noticias/ciberseguridad-detectan-mas-millones-intentos-explotacion-vulnerabilidad-log4j-ultima-semana-20211218_1684968
  3. EE.UU. busca hackers que rompan sus sistemas y paga US$ 5.000—Infotechnology.com. (s. f.). Recuperado 19 de diciembre de 2021, de https://www.infotechnology.com/actualidad/ee-uu-busca-hackers-que-rompan-sus-sistemas-y-paga-us-5-000/
  4. elEconomista.es. (s. f.). Alerta roja de ciberseguridad en Alemania. Recuperado 19 de diciembre de 2021, de https://www.eleconomista.es/opinion-blogs/noticias/11520660/12/21/Alerta-roja-de-ciberseguridad-en-Alemania.html
  5. Garduño, M. (2021, diciembre 15). Del robo de criptomonedas a audios falsos, así operarán los ciberdelincuentes en 2022. Forbes México. https://www.forbes.com.mx/tecnologia-del-robo-de-criptomonedas-a-audios-falsos-asi-operaran-los-ciberdelincuentes-en-2022
  6. Hernández, G. (2021, diciembre 17). Parece GIF, se ejecuta como GIF, pero en realidad es un malware para «hackear» iPhones, y también es hecho por los creadores de Pegasus. Xataka México. https://www.xataka.com.mx/seguridad/parece-gif-se-ejecuta-como-gif-realidad-malware-para-hackear-iphones-tambien-hecho-creadores-pegasus
  7. Joker vuelve a nuestros móviles disfrazado de esta app, bórrala ya. (2021, diciembre 17). https://www.lasexta.com/tecnologia-tecnoxplora/apps/joker-vuelve-nuestros-moviles-disfrazado-esta-app-borrala_2021121761bc7661272e1700015de4fa.html
  8. Los 9 virus bancarios más peligrosos que están hoy en Argentina—Infotechnology.com. (s. f.). Recuperado 19 de diciembre de 2021, de https://www.infotechnology.com/actualidad/los-9-virus-bancarios-mas-peligrosos-que-estan-hoy-en-argentina/
  9. Raspall, D. B. (2021, diciembre 14). Qué es el Informe de privacidad de las apps de iOS 15.2 y cómo podemos utilizarlo para saber qué hacen de verdad nuestras aplicaciones. Applesfera. https://www.applesfera.com/seguridad/que-informe-privacidad-apps-ios-15-2-como-podemos-utilizarlo-para-saber-que-hacen-verdad-nuestras-aplicaciones
  10. Se acabó poder espiar si estamos online en WhatsApp. (s. f.). ADSLZone. Recuperado 19 de diciembre de 2021, de https://www.adslzone.net/noticias/whatsapp/nueva-medida-privacidad-whatsapp-diciembre-2021/
  11. Staff, F. (2021, diciembre 13). Expertos en tecnología advierten que el «deepfake» entra en una fase peligrosa. Forbes México. https://www.forbes.com.mx/tecnologia-expertos-en-tecnologia-advierten-que-el-deepfake-entra-en-una-fase-peligrosa
  12. Welle (www.dw.com), D. (s. f.). Log4j, la vulnerabilidad que amenaza la ciberseguridad en todo el mundo | DW | 14.12.2021. DW.COM. Recuperado 19 de diciembre de 2021, de https://www.dw.com/es/log4j-la-vulnerabilidad-que-amenaza-la-ciberseguridad-en-todo-el-mundo/a-60119154



Pablo Huerta | CISSP

Investigador / Consultor de Negocio en Educación / Tecnología y Seguridad de la Información. Socio gerente de consultoría, CISO en Penta Security Solutions. Miembro del Subcomité Seguridad en Tecnología de la Información en IRAM. Membership Chair en ISC2 Argentina Chapter. Miembro de ISA (International Society of Automation). Participa activamente en el campo de Tecnología y Seguridad de la Información en Latinoamérica, EE.UU. y Europa.

Te recordamos nuestros puntos de contacto:

Web: https://www.pentass.com
Youtube: https://www.youtube.com/PentaSecuritySolutions
LinkedIn Empresa: https://www.linkedin.com/company/pentasecsol/
LinkedIn Grupo: https://www.linkedin.com/groups/3708324/
Twitter: https://www.twitter.com/pentasecsol
Instagram: https://www.instagram.com/pentasecsol
Facebook: https://www.facebook.com/pentasecsol




No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.