Vulnerable, el podcast de seguridad digital

Exploramos el triste desenlace para una institución educativa con 157 años de historia, el Colegio Lincoln. La noticia de su cierre permanente terminando el semestre de primavera de 2022 fue presentada en muchos sitios especializados en ciberseguridad como consecuencia de un ataque de ransomware. Pero analizamos los números y por deleznable que sea el ransomware parece ser que hubo un factor de mucho mayor peso en esa decisión. ¿Con quién coinciden?

Perdido entre tantos titulares de ransomware, principalmente el ataque al oleoducto de Colonial que paralizó el suministro de gasolina en la costa Este de los Estados Unidos, estuvo la noticia de una empresa más que fue víctima de esta familia de Ransomware. Sí estoy hablando de una víctima más, ¿qué hizo su caso digno de destacarse? Pues que es una aseguradora. La francesa Axa reportó el 16 de mayo haber sufrido un severo ataque que desestabilizó sus operaciones en Asia. Aún más interesante: Axa era una aseguradora que ofrecía al mercado pólizas de ciber seguros. O dicho de otra forma, Axa ofrecía a los contratantes pagar el rescate de su información en caso de que fueran ellos, no Axa, víctimas de este mismo tipo de ataque. Sin embargo dije “era” porque siete días antes de convertirse en una víctima más, Axa anunció que dejarían de ofrecer estas pólizas. Este par de hechos, separados por 7 días solamente, me llevan a tomar la decisión de volver a publicar el episodio de ciber seguros, que lleva poco menos de 90 días de haberse publicado. Los invito a que mientras escuchen intentes conectar los cabos sueltos. Yo lo hice y la única pregunta que me quedó fue ¿cuánto tiempo llevarían los atacantes dentro de la red de Axa? Que lo disfruten. Gracias a NordVPN por patrocinar este episodio. Los escuchas de Vulnerable obtienen un descuento especial al contratar NordVPN en el siguiente enlace: https://bit.ly/3cOSbtA Sigue a Vulnerable en Twitter: https://twitter.com/PcastVulnerable Suscríbete al canal de Vulnerable en Telegram: https://t.me/vulnerablepdcast Visita el sitio de Vulnerable: https://www.podcastvulnerable.com Enlaces: Hannah Murphy, et. al., Axa’s Asian operations hit by ransomware attack, https://www.ft.com/content/4443da60-6d90-4d27-b300-b0896425f99f Frank Bajak, Insurer Axa halts ransomware crim reimbursement in France, https://apnews.com/article/europe-france-technology-business-caabb132033ef2aaee9f58902f3e8fba Música: The Take Down - DJ Williams Spring In My Step - Silent Partner Crimson Fly - Huma-Huma Jazz In Paris - Media Right Productions

Una mujer fue despedida de su trabajo como conserje escolar en Canadá. ¿La razón por la que fue despedida? Que se rehusó a instalar una aplicación en su teléfono personal. La aplicación Blip, desarrollada por la empresa Británica BrightHR. Su principal función es crear un perímetro virtual alrededor de un centro de trabajo. La aplicación básicamente funciona como una tarjeta checadora, gracias al servicio de localización de cada teléfono con la aplicación Blip instalada el servicio registra la entrada y salida de los empleados. Obviamente también puede registrar si a media jornada laboral el empleado no está dentro de ese perímetro. Gracias a NordVPN por patrocinar este episodio. Los escuchas de Vulnerable obtienen un descuento especial al contratar NordVPN en el siguiente enlace: https://bit.ly/3cOSbtA Enlaces: https://grahamcluley.com/school-janitor-says-she-was-fired-for-not-installing-smartphone-tracking-app/ https://www.cbc.ca/news/gopublic/tattleware-privacy-employment-1.5978337 https://www.workforce.com/news/tattleware https://www.cleanlink.com/news/article/Custodian-Fired-For-Not-Installing-Tracking-App--27020

🚨 Moxie Marlinspike creador de la Fundación Signal y del protocolo de encripción🔒 Signal se molestó al enterarse una noticia. ¿Cuál noticia? Pues que la empresa - señalada por muchos como de espionaje - Cellebrite acababa de añadir soporte en sus productos para la aplicación de mensajería instantánea Signal. ¿Qué significa este "soporte"? ¿Ya no podemos confiar en Signal como una aplicación que mantenga nuestras conversaciones privadas? No, no, no. No tan rápido. Lo que si puedo asegurarles es que Moxie es de "armas tomar" y se dio a la tarea de hackear el código de Cellebrite y compartir con el mundo sus hallazgos. Gracias a NordVPN por patrocinar este episodio. Los escuchas de Vulnerable obtienen un descuento especial al contratar NordVPN en el siguiente enlace: https://bit.ly/3cOSbtA Sigue a Vulnerable en Twitter: @PcastVulnerable Suscríbete al canal de Vulnerable en Telegram: https://t.me/vulnerablepdcast Visita el sitio de Vulnerable: https://www.podcastvulnerable.com Enlaces: Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app's perspective - https://signal.org/blog/cellebrite-vulnerabilities/ Moxie Marlinspike - https://en.wikipedia.org/wiki/Moxie_Marlinspike Cellebrite Soluciones de Negocio - https://www.cellebrite.com/es/soluciones-de-negocio/ Cellebrite Customer Stories - https://www.cellebrite.com/en/resources/customer-stories/ Wired - https://www.wired.com/story/signal-cellebrite-hack-app-store-scams-security-news/

A Facebook no le importas. Ni siquiera está dispuesta a simular que está dispuesta a cambiar para mejorar. Después de que permitió que más de 500 millones de registros con información de sus usuario se filtrada, su mejor respuesta LITERALMENTE es "calladitos nos vemos más bonitos". Al menos hasta que las aguas estén más calmadas. No tienen vergüenza. Quienes deberían estar algo avergonzados son los que siguen usando el miedo para hablar sobre seguridad. En pleno 2021 ya deberíamos haber entendido que la seguridad está ámpliamente ligada con el entendimiento y manejo eficaz de los riesgos, no con decirle a la gente que no haga nada "para mantenerse seguro". Gracias a NordVPN por patrocinar este episodio. Los escuchas de Vulnerable obtienen un descuento especial al contratar NordVPN en el siguiente enlace: https://bit.ly/3cOSbtA Sigue a Vulnerable en Twitter: @PcastVulnerable Suscríbete al canal de Vulnerable en Telegram: https://t.me/vulnerablepdcast Visita el sitio de Vulnerable: https://www.podcastvulnerable.com Enlaces: Tara Seals, QR Codes Offer Easy Cyberattack Avenues as Usage Spikes, https://threatpost.com/qr-codes-cyberattack-usage-spikes/165526/ Graham Cluley, Facebook suffers a data breach about how it’s hoping to stop the media talking about its last data breach, https://grahamcluley.com/facebook-suffers-a-data-breach-about-how-its-hoping-to-stop-the-media-talking-about-its-last-data-breach/

El domingo 4 de abril además de con un nuevo horario, en México amanecimos con la noticia de una filtración de datos masiva. Más de 500 millones de registros de Facebook se habían publicado en foros de hackers y más de un reportero había logrado verificar la validez de la información. Inmediatamente la empresa de Mark Zuckerberg mostró humildad y preocupación por los millones de individuos que habían dado su información a Facebook y… por supuesto que estoy bromeando. ¿Cómo respondió Facebook a esta filtración? Escúchenlo en el episodio más reciente de Vulnerable el Podcast de Seguridad Digital. Gracias a NordVPN por patrocinar este episodio. Los escuchas de Vulnerable obtienen un descuento especial al contratar NordVPN en el siguiente enlace: https://bit.ly/3cOSbtA Sigue a Vulnerable en Twitter: https://twitter.com/PcastVulnerable Suscríbete al canal de Vulnerable en Telegram: https://t.me/vulnerablepdcast Visita el sitio de Vulnerable: https://www.podcastvulnerable.com Enlaces: Have I been Pwned? - https://haveibeenpwned.com/ Cuentas en la filtración por país: https://twitter.com/ummlater/status/1378505389348511744?s=20 Música: The Take Down - DJ Williams Spring In My Step - Silent Partner Crimson Fly - Huma-Huma Jazz In Paris - Media Right Productions

Los seguros vieron en la problemática del ransomware una oportunidad más de hacer dinero, lo cual no está mal pero para empezar uno necesita confiar en las aseguradoras. Patrocinador del episodio: NordVPN https://bit.ly/39KDUMO ¿Qué tan eficiente resulta contratar un ciber seguro para estar protegido ante este riesgo? Una entrevista realizada por Recorded Future a un miembro de la banda de ransomware REvil nos puede dar una respuesta. También puedes escuchar este episodio en: https://podcastvulnerable.com/ciber-seguros/ Visita el sitio www.podcastvulnerable.com para más episodios. Enlaces: Graham Cluley, Cyber insurance giant CNA hit by ransomware attack, https://grahamcluley.com/cyber-insurance-giant-cna-hit-by-ransomware-attack/ Naveen Goud, Mondelez files $100m claim from Zurich Insurance for NotPetya Cyber Attack, https://www.cybersecurity-insiders.com/mondelez-files-100m-claim-from-zurich-insurance-for-notpetya-cyber-attack/ Música: The Take Down - DJ Williams Spring In My Step - Silent Partner Crimson Fly - Huma-Huma Jazz In Paris - Media Right Productions

En los últimos años muchos servicios han surgido que ofrecen, entre otras muchas cosas, pruebas anti-phishing. En este episodio platico porque es una buena idea utilizar estos servicios a pesar de que cuentes con varios controles técnicos que estén diseñados para detener o mitigar el riesgo que el phishing representa para tu organización. Lo principal que debes recordar es que el phishing es un problema humano, más que un problema tecnológico. ¿Por qué digo esto? Escucha el episodio completo para enterarte. También puedes escuchar Vulnerable desde su sitio web: https://www.podcastvulnerable.com/pruebas-phishing.html Únete al canal de Vulnerable en Telegram: https://t.me/vulnerablepdcst

Arriesgándome a sonar repetitivo me atreví a llamar al más reciente episodio de Vulnerable "Hablemos de Privacidad". En él, platico con Macario sobre la responsabilidad compartida que existe, entre el titular de los datos y las organizaciones que los reciben para brindar un servicio, de protegerlos y buscar que el uso de los mismos sea adecuado y seguro. Además compartimos cada uno anécdotas de eventos que hemos atestiguado donde esa responsabilidad es ejercida a la ligera. También puedes escuchar Vulnerable desde su sitio web: https://www.podcastvulnerable.com/hablemos-de-privacidad.html Únete al canal de Vulnerable en Telegram: https://t.me/vulnerablepdcst

Si, si, si. ¡Olvidamos hablar de respaldos el episodio previo cuyo tema central fue el Ransomware! ¡Tremendo error! Los "benditos" respaldos deberían ser una práctica central de cualquier persona, ya no digamos organización, para estar mejor preparados ante un ataque de ransomware y para muchos más inconvenientes. ¿Por qué los dejamos fuera? Escuchen el episodio para saber las dos principales razones por las que no mencionamos los respaldos en el episodio previo (aunque, Spoiler: Fue sin querer) y de paso entérense de los futuros episodios de Vulnerable, el podcast de Seguridad Digital.

El ransomware se ha vuelto el tipo de malware más común y más disrruptivo. Platico con Armando Cornejo sobre la historia de este malware, los catalizadores que han hecho del ransomware una herramienta sumamente lucrativa para los cibercriminales y consejos para estar mejor protegidos. Todo esto mientras Armando nos cuenta su anécdota de como Wannacry lo regresó a trabajar un viernes a las 10PM. Conoce más de Wannacry: https://es.wikipedia.org/wiki/WannaCry Cisco [Infografia]: The Ransomware Threat is Real https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/ransomware-defense/ransomware-infographic.pdf

Si llevas el tiempo suficiente usando internet seguro has recibido alguna versión de la estafa conocida como "El Príncipe Nigeriano". Recibiste un cordial correo electrónico de un príncipe nigeriano pidiéndote ayuda para sacar de su país la fortuna que heredó de su difunto - y odiado por el actual régimen - padre. Pero, por supuesto que no hay príncipe, ni rey, ni régimen autoritario malo, malo, muy malo, ni mucho menos dinero. Conoce 419 eaters: https://www.419eater.com/ Escucha el audio completo "La estafa a Marcela": https://www.youtube.com/watch?v=At5hSNoDEgk

Policías alrededor del mundo participaron el el operativo LadyBird para tomar control de la red de comando y control de EMOTET. Este malware que llevaba circulando desde el 2014 fue efectivamente deshabilitado con el operativo y dos personas, operadoras de la botnet fueron detenidas en Ucrania. Música: The Take Down - DJ Williams Spring In My Step - Silent Partner Crimson Fly - Huma-Huma Jazz In Paris - Media Right Productions

Resulta que la rutina diaria de Biden comienza con una sesión de ejercicios con una bicicleta estacionaria de la marca Pelotón. Estos dispositivos se pueden conectar a internet y… mi primera reacción fue ¡para qué diablos necesita alguien conectar una bicicleta, estacionaria o no, al internet! En la actualidad existe un considerable número de dispositivos cuyo único propósito de conectarlos a internet es crear una diferenciación (inútil por cierto) con productos competencia. En algún otro momento espero poder comentar en Vulnerable sobre el fiasco de los dildos, pero ese día no es hoy. Regreso a la bicicleta Pelotón. Analizando un poco creo que si un producto que tiene sentido que tenga esta característica es la bicicleta estacionaria sobre todo en medio de una pandemia. La conexión a internet es aprovechada en conjunción con una pantalla, un micrófono y una webcam para que la persona que desea ejercitarse lo haga conectado con otras personas e incluso pueda tomar una clase. Una bicicleta con clases de spinning integradas, vaya. De no existir las bicicletas Pelotón no es difícil imaginar que varios ciclistas montaran una especie de set con una bicicleta estacionaria común más un smartphone o tableta para participar en una clase de spinning vía webex. Así que definitivamente integrarlos todos en un solo dispositivo si es una solución para muchos. Es mucho más facil y práctico todo integrado.

¿Saben cómo sé que la mayoría de la gente sobre reaccionó o de plano, ni entendió, los cambios en los términos de privacidad de Whatsapp? ¡Las descargas de la aplicación Signal sumaron 7 y medio millones la semana pasada, un incremento del 4,200% Bienvenidos a Vulnerable el podcast de seguridad digital. Yo soy Bernardo y en el episodio de hoy platicaré sobre la privacidad en whatsapp.

Los seguidores de Q, los anons, los autoproclamados “patriotas” llevaban años siendo programados mediante campañas de desinformación, para abandonar la lógica y creer ciegamente a sus líderes. Un culto sin lugar a dudas. Un culto que fue creado por años y cuyos líderes siempre tuvieron la maliciosa astucia para lograr ignorar cuando el tiempo probaba sus pronósticos mal, para recalibrar objetivos cuando sufrían una derrota y para cambiar el tema cuando era conveniente. Y tuvieron que hacerlo muchas veces desde la derrota de su ídolo idiota en las elecciones presidenciales. Cada derrota judicial no era desacreditada por la falta de evidencia sino era visto como evidencia misma de la operación del deep state protegiéndose. Y así cada nueva etapa era cacareada en redes sociales y foros como la que indudablemente traería al hombre naranja la victoria que no consiguió. Les voy a compartir tres de las muchas historias que se originaron ese día para que se den cuenta de lo peligrosa que es la desinformación en línea. Elizabeth from Knoxville: Una mujer a la que habían rociado con gas pimienta. Contesta abiertamente a las preguntas de un periodista mientras intenta limpiar sus ojos. Confiesa abiertamente sus intenciones al asaltar el capitolio, porque esto “es una revolución”. Nadie es tan estúpido para confesar una insurrección. Elizabeth estaba programada durante años de exposición a contenidos basura en línea. Estaba programada para creer que su actuar era el correcto y que además sería victorioso. Por que Q les aseguró que la victoria estaba garantizada, porque les dijo que las aparentes derrotas no eran más que evidencia que el presidente que es incapaz de cerrar una sombrilla realmente estaba jugando ajedrez en 5 D contra el Deep State. Richard Barnett ¿Qué características debe tener un hombre que acaba de cometer un delito al ingresar por la fuerza al capitolio y a la oficina de una congresista para posar en una foto sentado justo en la silla de dicha congresista? Debe ser estúpido o debe estar convencido que no sufriría consecuencias por ello. Ese hombre es precisamente Richard Barnett a quien el mundo vio sentado desafiante en la silla de Pelosi, con los pies sobre el escritorio. Pensando que sus acciones serían vistas como una ilustración de la victoria que obtendrían y no como evidencia de sus crímenes. El sujeto todavía tuvo la audacia de confesar haber dejado una nota y de haberse robado correspondencia. Richard Barnet fue detenido dos días después en Arkansas y enfrenta 13 cargos. Su estupidez no es uno de ellos. Vaya triste caso. Ashli Babbitt Por último el caso más lamentable ya que Ashli Babbitt no tenía que morir el 6 de enero en Washington DC. No tenía que morir porque las víctimas de manipulación merecen castigo pero también, eventualmente, merecen ayuda. No merecen la muerte. No que estén libres de castigo si cometen un crimen, pero no el máximo castigo de perder la vida. Ashli fue veterana de la fuerza aérea. Seguidora del culto MAGA por años y aparentemente estaba convencida de que su causa no solo era justa, sino que al haber sido incitada por el hombre naranja sería permitida. No solo ingresó al capitolio por la fuerza sino que intentó ingresar a una de las últimas salas que se mantenía resguardada por personal de seguridad armado del capitolio. Los hombres apuntaban hacia la puerta. Reportes aseguran que gritaron a los manifestantes que retrocedieran, que se abstuvieran. Pero la manipulación pudo más que la razón y Ashli, convencida de que saldría victoriosa de esta tormenta rompió la ventana en la parte superior de la puerta y comenzó a cruzar hacia el otro lado. Solo para ser detenida por una bala y caer al piso del lado donde estaban el resto de los manifestantes. Intentaron ayudarla y ella, todavía consciente les dijo “está bien, está bien”. Ni siquiera la bala la hizo entrar en razón. Ni siquiera el ruido del disparo la desprogramó para afrontar la realidad de que vivía sus últimos respiros. Ashli fue pronunciada muerta en el hospital. Tenía 34 años.

Nuevos reportes incluyen el producto TeamCity desarrollado por la empresa JetBrains como el posible primer paso que utilizó Cozy Bear para comprometer la cadena de suministro del software utilizado por unas 18,000 organizaciones a nivel mundial. Si, Sunburst no se acaba y sigue dando de qué hablar.

Ticketmaster ha tenido que desembolsar más de 100 millones de dólares como consecuencia de un acceso no autorizado a sistemas digitales de uno de sus competidores. Uno de los pagos fue hecho directamente a la víctima - después de que había dejado de operar - el segundo es una multa impuesta por el Departamento de Justicia. Todo por usar una contraseña de la manera menos ética que se pueda pensar. Escuchen todo lo que sucedió en Vulnerable.

Cozy Bear ha acaparado especialmente los reflectores en las últimas semanas pues todas las evidencias señalan a que ellos son los autores del ataque Sunburst hacia Solarwinds que tanto se ha cubierto en la prensa especializada. Pero más allá de mencionarlos y relacionarlos con el servicio de inteligencia ruso, pocas explicaciones existen sobre porque se de esta relación (entre CB y Rusia) y de otros ataques que se ha comprobado CB ha sido el adversario. Bueno, eso es precisamente lo que pretendo con este episodio. Bienvenidos a Vulnerable, hoy es jueves 31 de diciembre y este es el episodio echa un vistazo al grupo criminal Cozy Bear.

GoDaddy envió un correo a unos 500 empleados con la supuesta noticia de que recibirían un bono de fin de año por $650 USD, unos $13,000 pesos aproximadamente. Las palabras claves son “supuesta” y “recibirían” pues no existía tal bono. Todo se trató de un ejercicio parte de su programa de entrenamiento contra ataques de ingeniería social. Aquellos empleados que no solamente abrieron el correo sino que abrieron la liga que contenía recibieron un correo de seguimiento un par de días después, informándoles que habían reprobado la prueba y que tendrán que re-cursar.

A finales de abril, investigadores de Barracuda denunciaron una campaña de phishing muy particular. La razón por la que esta investigación pasó - mayormente - desapercibida supongo tendrá que ver con que en esos momentos el hemisferio occidental estaba consumiendo noticias que tuvieran que ver con la pandemia y exclusivamente de la pandemia. Covid-19 monopolizó nuestra atención, pero el mundo - y los hackers - no se detuvieron.

En el episodio previo de Vulnerable comenté, lo que hasta ese momento, tenía como información confirmada sobre el ataque a Solarwinds. Desde ese momento más luz ha salido a la superficie y este tema promete no irse a ningún lado pronto así que es necesario hacer un episodio de seguimiento. Si no han escuchado el episodio previo los invito - ámpliamente - a hacerlo pero en caso de que estén un poco apretados de tiempo les doy un rápido resumen: En uno de los ataques a la cadena de suministro que mayor alcance ha tenido en lo que tengo memoria, Solarwinds (empresa de software que desarrolla productos para el monitoreo de redes) fue atacada. Hackers cercanos al gobierno ruso instalaron backdoors en las actualizaciones de su plataforma Orion logrando de manera inmediata que todos las organizaciones que usan esa versión Orion fueron blanco fácil de los mismos hackers. Se estima que unas 18,000 organizaciones instalaron la actualización y la mayoría de las que fueron atacadas consecuentemente son agencias gubernamentales en Estados Unidos. Ahora sí, es momento de comentar sobre las actualizaciones del caso. Desde la semana pasada sabía que una de las organizaciones infiltradas por los hackers rusos, gracias al backdoor en Orion fue la empresa de seguridad FireEye. Si esta información ya era conocida, ¿por qué no mencionarla en el episodio previo? Bueno, la principal razón fue que en mi opinión cuando una empresa que se dedica a la seguridad es víctima de un ataque se aprovecha, vergonzosamente, la oportunidad para ridiculizarlos. Y también en mi opinión es un ataque sin sentido. Primero que nada las empresas de esta industria suelen estar digitalizadas en un porcentaje muy superior al de organizaciones en otras industrias lo que aumenta su superficie de ataque. Fireye, también enfrenta el típico reto en cuanto a la protección de sus activos. Para nunca ser víctimas de un ataque, necesitan detectar, detener y remediar el 100% de los intentos cometidos en su contra. Los atacantes por su lado solo necesitan ser exitosos en uno de sus miles de intentos. Es más la manera en que el ataque fue manejado por Fireye me parece que es para aplaudirles lejos de ridiculizarlos. Gracias a la transparencia de la organización basada en California, supimos que en su caso los hackers aprovecharon la intrusión a sus redes para robar herramientas de hackeo, llamadas del “Red team”. Probablemente estas herramientas son usadas por FireEye como una herramienta fundamental en sus servicios de consultoría, como una herramienta de demostración para su fuerza de preventa o fueran de cierta utilidad incluso en laboratorios y proceso de QA. Sea cual sea el uso que FireEye daba a sus herramientas de hackeo, ahora están en manos de una organización que muy probablemente pretenda usarla con fines criminales, así que la propia organización que fue víctima publicó en github un set de reglas llamadas “Sunburts Countermeasures” que cualquier organización puede utilizar para detectar si las herramientas robadas son utilizadas en su contra. Sunburst Countermeasures incluye reglas: Snort YARA Indicadores de compromiso ClamAV ¿Qué más salió a la luz recientemente y relacionado con el tema? Microsoft. El gigante de Redmond, Washington se sumó a la respuesta a incidentes. Según un post de su Presidente Brad Smith del pasado 17 de diciembre el ataque continuaba activo y el 75% de los objetivos estaban dentro de Estados Unidos y además de múltiples agencias federales también se encuentra el estado de Florida. Smith ilustró su post con un mapa que señala ubicaciones fuera de Estados Unidos donde el producto Microsoft Defender pudo identificar que también estaba presente alguna de las versiones vulnerables de Orion. Y ahí hubo un problema de interpretación: Al menos una publicación referenció dicha entrada de blog para asegurar que al igual que FireEye, el Estado de Florida, La Secretaría del Tesoro, de la Defensa y la de Comercio, había víctimas en lugares como Bélgica, España, Reino Unido, Israel, Emiratos Árabes Unidos, Canadá y… México. Pero… ¿qué tan cierta resulta esa versión? Es momento de hablar sobre la desinformación. Como ya he hecho en episodios previos de Vulnerable, la prensa me parece que ha hecho un trabajo sensacionalista en unos casos y banal en otros, al cubrir la nota. El mapa que ilustra el post de Brad Smith lo podemos pensar como un diagrama de Venn. En un círculo están organizaciones que usan Microsoft Defender, en el otro Organizaciones que usan Orion de SolarWinds. En la intersección de ambos están las organizaciones ubicadas en los países ya mencionados y que sabemos son vulnerables también a infiltraciones pero que no hay ninguna confirmación ni evidencia al respecto. ¿Sería importante que alguien de seguimiento para saber qué organizaciones en México son vulnerables y poder preguntar directamente a sus responsables de Relaciones Públicas si han hecho alguna tarea de respuesta a incidentes o threat hunting? Si, ¡Claro! Pero parece que nadie quiere investigar más detalles una vez que tiene el titular que genere clics y tráfico hacia su sitio. Otro caso de desinformación. Más precisamente, aseveraciones infladas y alarmistas: Una nota publicada en ABC News cita a expertos (y es importante que a veces nombra qué experto hizo qué comentario, pero en otras muchas simplemente tira la palabra “experto” antes de una descripción inflamada) asegurando que no hay suficientes equipos con las credenciales suficientes para realizar el threat hunting en todas las organizaciones que han sido hackeadas. Me gustaría conocer los números que usaron en este cálculo así como saber quiénes son los “expertos” que aseguraron esto. El mismo artículo de ABC cita a Bruce Schneider, un respetadisimo miembro de la comunidad de seguridad y criptografía con una frase que me parece de las más exageradas que he leído al respecto “tenemos que quemar las redes y reconstruirlas de cero”. El trabajo para descubrir la totalidad del ataque, contención, y recuperación de servicios no será fácil y tomará meses. Pero ataques de magnitudes significativas han sucedido en el pasado y no requirieron reconstruir todo desde cero. Piensen en Sony y el ataque que sufrió en 2011 mismo que provocó que durante 23 días la red de Playstation estuviera fuera de línea. Pero el servicio se restauró y creo que todos podemos coincidir que en 23 días es imposible construir una red “de cero”. El propio Schneider hace una comparación que me parece más acertada: “imagina que vives en una mansión y tienes la certeza de que un asesino en serie está ahí.” OK, ok. Primero lo obvio. Creo que Schneider ha usado demasiaaaaaaaado tiempo jugando Among US durante el confinamiento. Segundo, esta comparación es más apropiada si la extendemos todavía con más hechos sobre una red infiltrada por hackers: es una mansión que TU construiste, que tú has habitado por años. ¡Claro! Es una mansión vieja, que probablemente ha cambiado en los últimos años y los cambios no han sido perfectamente documentados en los planos… ¡pero aún así tienes los planos! Conoces todos los rincones y nadie está diciendo que encontrar al asesino será fácil o una tarea que lograrás en un par de días, sobre todo porque todos sabemos que el asesino fue campeón jugando a las escondidillas toda la primaria. Aún en ese escenario, ¡llamas a la policía y no descansas hasta encontrarlo y en ningún caso quemas la casa! Por último, la atribución. Todos los reportes sobre el ataque están 99% ciertos que Rusia estuvo detrás del backdoor insertado en Orion, todos menos uno. El Presidente de los Estados Unidos dejó abierta la puerta a que el atacante fuera realmente China. Y esta afirmación encaja perfectamente en la sección de desinformación porque su existencia parece más bien un lamentable intento de Trump por atar el tema del ciberataque con sus payasadas y berrinches sobre el resultado de la elección de noviembre que perdió. Y esto lo busca afirmando que una de las acciones que buscaban los hackers era poder cambiar votos quitandoselos a él y dandoselos a Biden. Un absurdo que solo pudo salir de la boca y haber sido fabricado en la mente de un absurdo personaje y que sólo puede ser considerado como cierto en las absurdas mentes de QANON. Referencias: https://abcnews.go.com/Business/wireStory/hacked-networks-burned-ground-74812106 https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/ https://www.cnet.com/news/fireeye-hack-cybersecurity-firm-says-nation-state-stole-attacking-tools/ https://news.yahoo.com/massive-cyberattack-grows-beyond-us-160222029.html?guccounter=1 https://dev.to/k0p1/update-fireeye-hacked-red-team-tools-leaked-8c1 https://www.fireeye.com/blog/products-and-services/2020/12/global-intrusion-campaign-leverages-software-supply-chain-compromise.html

La industria y medios especializados en seguridad están volcados sobre el tema predilecto para todos. Y en mi opinión, tienen razón para hacerlo. Solarwinds fue vulnerada no con el objetivo de instalar ransomware a lo largo y ancho de su red ni para filtrar el código de sus múltiples herramientas para el monitoreo de activos digitales. La razón de atacar a Solarwinds fue usarlos como trampolín en lo que es un gran caso de estudio para entender los ataques a la cadena de suministro. Un poco de contexto: Solarwinds es una empresa cuyo negocio se localiza en la misma industria que hoy los tiene a flor de piel. Son un desarrollador de software para la administración de Tecnologías de la Información y herramientas de monitoreo remoto. Según su propia página: ¿En qué consistió el ataque? El ataque, que la inmensa mayoría de los reportes atribuyen a Cozy Bear (más sobre ellos en un momento), consistió en comprometer a tal grado la red de solarwinds que permitió a los atacantes modificar las imágenes de su software ubicadas en su repositorio de updates. La modificación introduce un backdoor que los atacantes pueden utilizar para infiltrarse en las redes de aquellas organizaciones que utilicen el software de Solarwinds. A pesar de que Solarwinds dice tener 300,000 clientes en todo el mundo, sólo uno de sus tantos productos fue afectado. El software en cuestión es Orion y de todas formas es utilizado por unas 18,000 organizaciones a nivel mundial, entre ellas varias agencias gubernamentales en Estados Unidos. Y son precisamente estas agencias las que más han reportado que han sido infiltradas mediante el backdoor que se implantó en Orion de Solarwinds. Este hecho reafirma aún más la posibilidad de que el ataque haya sido perpetrado por Cozy Bear, les explico porqué: Cozy Bear, también conocido como APT29, es un grupo de hackers con estrechos lazos con las agencias de inteligencia rusas. Y el hecho de que de 18,000 posibles víctimas la inmensa mayoría sean agencias gubernamentales en Estados Unidos hace indicar que todo el esquema fue orquestado por un Estado. El verdadero dolor de cabeza de este ataque, y en general de todos los ataques que involucran la cadena de suministro es que las 18,000 empresas que están vulnerables no hicieron absolutamente nada malo y hasta el momento que Solarwinds publicó una nueva actualización no tenían razón para sentirse inseguras. Las actualizaciones que aplicaron vienen del servidor del desarrollador de software. El software tiene una firma digital válida (sí, esto quiere decir que incluso el backdoor está firmado). Básicamente fueron comprometidas por seguir las recomendaciones básicas de cómo aplicar un parche o descargar una nueva versión de un producto que adquirieron. ¿Qué hacer? Si tu organización utiliza Orion de Solarwinds, el primer paso que debes dar es verificar qué versión utilizas. No todas las versiones de Orion fueron comprometidas así que todavía tienes algunas probabilidades a tu favor. Si la versión que estás utilizando se encuentra entre las modificadas por Cozy Bear debes hacer dos cosas lo más pronto posible: Descarga la versión que el vendor anunció hoy y que definitivamente no contiene el mentado backdoor. Realiza una investigación en tu red. La intrusión pudo haber estado presente por días y por lo tanto haber conseguido movimientos laterales a lo largo y ancho de tu red. Se sabe que el adversario detrás de este ataque utiliza Cobalt Strike para esconder su presencia y continuar sus actividades maliciosas. Deberías realizar un threat hunt buscando todos los IoC’s conocidos para Cobalt Strike. Si tu organización no utiliza el software de Solarwinds pero contrató los servicios de un proveedor de servicios tipo SOC o NOC pregunta si ellos lo usan. Las probabilidades de que la respuesta sea afirmativa son altas. Trabaja con ellos para conocer cómo están remediando el uso de esta herramienta y también para establecer mecanismos de contención mientras lo hacen. Desafortunadamente también tendrás que realizar la búsqueda de Cobalt Strike en tu red como si tuvieras Orion en tu infraestructura. Así que si los constantes titulares y menciones a SolarWinds te tomaron desprevenido y no sabías su razón de ser, ahora sabes. Alguno de tus conocidos o colegas puede tener sus dudas o preguntas al respecto te invito a que compartas este podcast y que te suscribas para que siempre sepas cuando publico nuevos episodios.

Vulnerable nació como un podcast para hablar sobre seguridad. Hoy en día veo pocas amenazas tan graves a la seguridad, no de nuestras redes o computadoras, sino de nuestra sociedad como la desinformación. Por eso he decidido hacer esta sección llamada “Cancelen QANON”. En la primera entrega tengo que explicar un poquito ¿qué es QANON? A pesar de que no es mi mayor deseo. Sitios o notas que describen qué es QANON pululan en internet y a mi juicio no hacen un buen trabajo en combatirlo por la descripción tan superficial que hacen del grupo de conspiradores así que intentaré darle un twist, un cambio, una mejora. Espero lo disfruten.

Hace tiempo que no hago episodios y apelo a su comprensión. Son días raros en los que cuesta trabajo realizar tareas que sí o sí deben realizarse como trabajar imagínense una actividad que es meramente un hobby. Sin embargo algo fue una chispa: El 22 de abril se dio a conocer que la OMS, la fundación Gates y otras organizaciones que han jugado un papel importante en la comunicación y administración de la pandemia covid19 habían sido hackeadas. El ruido en redes sociales, en especial twitter solo demuestra que pocos entendieron qué pasó. El mundo de desinformación que ha polulado con la pandemia, y la economía y la coyuntura política en México que llenó el buche de piedritas. No hago podcast de temas que conozco ligeramente, me reservo mi opinión solo para ocaciones cuando siento que domino a plenitud el tema y este es el caso así que no pude quedar callado más. Simplemente no se puede. ¿Que hackaaron? Sea la OMS, la Fundación Gates, El instituto de virología de Whuhan o el CDC americano lo que se hizo público fue una BD que contenía direcciónes de correo electrónico y sus respectivas contraseñas. Investigadores han hecho pruebas y afirman que las contraseñas son veraces. La OMS en especial quedó evidenciada por su pobre cultura de seguridad ya que múltiples usuarios usaban “password” como su contraseña. Sin embargo en redes sociales grupos de extrema derecha hicieron parecer que la información que había sido robada a todas estas organizaciones realmente era evidencia de su intervención, planeación y liberación del coronavirus que nos ha tenido a un buen porcentaje de la población estacionados en casa. Y esa desinformación permeó a medios internacionales o a “comunicadores” seguidos por masas. Primer ejemplo, ¿Cómo dieron la noticia en Argentina? Es muy impoortante señalar y recalcar eso: La información que se hizo pública es una coleccióon de direcciones de correo electrónicos - usuario - arroba - dominio - -> Audio 1. ¿Qué pensaron al escuchar esta nota? Seguro que la informacióon filtrada el el contenido de correos electrónicos: Encabezados, Remitentes, Recipientes, Asuntos, fechas, Cuerpo, ligas, archivos adjuntos. ¿verdad? El segundo ejemplo es de un vloger Ross Rotzank. Escúchen un fragmento de su video. -> Audio 2. ¿WHO es quien? El tipo noo está informado o no es capaz de relacionar el conotexto de la información que leyó en algún portal vacío y concluir que WHO son en ese contexto las siglas de World Health Organization AKA la OMS! ¿Con quién nos estamos informando? POr eso los antivacunas y los terraplanistas ganan terreno POr eso hay brotes de sarampión a la par quede covid19 en la CDMX Porque escuchamos a Ross Rotzank y no a Neil DeGrass, porque escuchamos a Ludvika Paleta y no al pediatra que sabe como cuidar la salud de los niños. Ya basta

** IMPORTANTE** Las opiniones emitidas en Vulnerable son 100% a título personal y no reflejan de ninguna manera la opinión o sentimiento de la empresa en la que laboro. Contacto: podcast.vulnerable[arroba]gmail[.]com Intro Bienvenida y presentar al Host. Sexto episodio de Vulnerable. Introducir el Tema de hoy. La mala prensa es uno de los motivos por los que comencé Vulnerable. Desarrollo ¿Cómo ha reportado la prensa el ataque? Todos los portales tienen la misma información (Expansión y Milenio) Parece tomada del comunicado de prensa. Comparado con otros ciberataques en el mundo. ¿Cómo se reporta? Lo que si se habla del este ciberataque: Se afectaron servidores de correo electrónico y archivos. Qué posibles impactos se pueden lograr con esos servicios comprometidos Conclusión Necesitamos mejor información para mejorar la cultura de la seguridad en México ¿Qué preguntas te gustaría que se contestaran sobre este ataque? ¿Hubo solicitud de pago de rescate para revertir el ataque cibernético? En caso afirmativo ¿cuánto era el monto solicitado a la Secretaría? ¿La Secretaría cuenta con algún tipo de seguro o penalización económica a proveedores de servicios digitales que ayuden a cubrir los costos de recuperación al ataque? ¿Existe algún indicio de motivos políticos (más que económicos) para el ataque? ¿Existen indicios para pensar que el atacante tiene nexos con gobiernos extranjeros? La afectación reportada en el servidor de correo electrónico ¿comprometió el contenido de las comunicaciones de la Secretaría (en especial de funcionarios de alto rango)? ¿La Secretaría cuenta con encriptación punto a punto en sus sistemas de correo para garantizar la confidencialidad de sus comunicaciones? ¿La Secretaría cuenta con controles para identificar y contener la fuga de información sensible? ¿La Secretaría cuenta con un plan de recuperación ante desastres? Secretaría de economía: Referencias: De la Rosa, Eduardo, Secretaría de Economía suspende trámites por ataque cibernético,https://www.milenio.com/negocios/secretaria-economia-sufre-ataque-cibernetico-suspende-tramites

Uno de los dos últimos ciclos de parches de Microsoft estuvo acompañado cercanamente por una actualización del sistema iOS de Apple. La cercanía me hizo darme cuenta que ambos fabricantes tienen enfoques evidentemente opuestos en cuanto a cuando es mejor publicar sus actualizaciones de seguridad. ¿Cuál es mejor? Escucha Vulnerable y conoce ambos.

Bienvenidos a Vulnerable. Soy Bernardo y este es el cuarto episodio del podcast. A los que me han acompañado las últimas 4 semanas, gracias. Aa los que apenas descubren este proyecto los invito a suscribirse y compartir. Ustedes son el principal vehículo para que un podcast crezca. A lo largo de esta serie me he referido a los atacantes o hackers como adversarios así que me es muy fácil que para el episodio de hoy voy a comentar 5 lecciones que plasmó Sun Tzu en su milenario libro “El Arte de la Guerra” y cómo aplicarlos en esta batalla que se libra día a día en el mundo digital del siglo XXI. Antes de comenzar debo hacer un reconocimiento que tal vez debería de avergonzarme un poco: ¡nunca he leído el libro completo “El Arte de la Guerra”! Pero me atrevo a hacer esta comparación sin sentir que soy el hipócrita más grande del mundo porque además de ver la serie completa que lo describe en youtube, link en la descripción, al menos he leído el resumen con las enseñanzas principales. Vamos de lleno con la primera lección. Sun Tzu escribío: Evita asediar ciudades amuralladas, porque esto generalmente lleva meses de preparativos, y muchos generales impacientes malgastan a sus hombres en ataques sin sentido. Recuerdo a mediados de la primera década de este siglo, por ahí del año 2005 para no ser tan dramático, la industria vivía un furor por NAC. Sin lugar a dudas “Network Access Control” iba a revolucionar la industria de la seguridad creando redes impenetrables. Por fin ¡victoria para los buenos! Y bueno, no fue tanto así pero más que analizar porqué NAC no cumplió nunca con sus expectativas (tal vez ese pueda ser un buen tema para otro episodio, voten en los comentarios) me gustaría contarles una experiencia que tuve. Debí haber sido el año 2007 cuando estuve por primera vez con un cliente para trabajar un proyecto de seguridad de contenido. Durante la implementación comenzamos a platicar y después de un par de días se sintió con la confianza de contarme que eran todas esas cajas amontonadas en el rincón de la oficina y que varias veces habíamos pasado junto a ellas. Eran los dispositivos NAC que habían adquirido hace dos años. La gran mayoría de ellos aún sin desempacar siquiera. Se subieron a la primera oportunidad a ese tren sin tener en cuenta la complejidad de implementación y mantenimiento. Los primeros despliegues fallaron y al poco tiempo la necesidad de continuar con los servicios del día a día, esos que ya habían madurado por años los obligó a dejarlos ahí, abandonados. No creo que hayan sido la única empresa que encontrara en la promesa del NAC una ciudad amurallada prácticamente imposible de conquistar. Pasemos a la segunda lección: Ganará quien sepa manejar tanto rivales superiores e inferiores. Para este ejemplo es muy fácil equipara a los rivales superiores con los hackers, los adversarios que llenan la prensa de titulares y que han puesto a más de una multinacional de rodillas. ¿Y quién es el rival inferior? Han notado múltiples memes y chistes que se comparten en grupos online de profesionales de la industria ¿cómo se refieren a los usuarios finales? Si, a ellos que usan su computadora para capturar los pedidos de venta, a los que usan el correo electrónico para fijar citas con proveedores, a los que su único interés sobre una red es que le permita conectarse a su ERP y así poder consultar los inventarios disponibles. ¿Los sobajamos mucho, no creen? Uno de los que más odio y que, tristemente, también veo muy a menudo es el ring de boxeo donde el anunciador pregona que en una esquina están todas las tecnologías básicas de seguridad que se puedan imaginar. Un listado como: firewall, IPS, IDS, Antivirus, etc. Mientras que en la otra esquina está el usuario final, ilustrado como un tipo francamente inútil. Con ese modelo mental simplemente no podemos ganar, si no entendemos que el usuario final de los servicios digitales en una organización no es el enemigo y que debemos incluirlo en los controles de seguridad con programas de concientización, capacitación etc estaremos luchando una batalla perdida. Momento de la tercera lección. Sun Tzu nos enseñó lo siguiente: Ganará aquel que se haya preparado y sea paciente para atacar a un enemigo no preparado. Esta lección me parece es mejor entendida por los adversarios quienes indudablemente tienen a su favor el factor del tiempo. Pero de este lado del campo de batalla es importante ser conscientes que en ningún momento podemos bajar la guardia, suspender las tareas de monitoreo, desaprovechar las auditorías, apegarnos a estándares y frameworks, evaluar e implementar nuevos controles. Lo que sea necesario para nunca ser el enemigo no preparado indefensos ante un nuevo ataque. Casi llegamos a la última lección, número 4: Si conoces a tu enemigo y te conoces a ti mismo, no debes temer el resultado de 100 batallas. Si te conoces a ti mismo pero no al enemigo, por cada victoria que obtengas sufrirás una derrota también. Si no te conoces a ti mismo ni a tu enemigo, sucumbirás en cada batalla. ¿Qué es conocerse a sí mismo en el ámbito de ciberseguridad? No creo que exista consenso en la respuesta pero me voy a atrever a poner sobre la mesa algunos aspectos importantes: Conocer a tu empresa. Conocer la información más valiosa para su éxito. Conocer, a detalle, la infraestructura digital en la que se procesa, transmite y almacena esa información. Conocer los riesgos específicos de tu organización e industria. Conocer tus recursos humanos y cerrar los gaps que tengan en su capacitación técnica para afrontar a los adversarios. Respecto a conocer a los adversarios todos deberíamos preguntarnos ¿cuáles son las tendencias, los ataques que más usan, cuales son las plataformas que comúnmente son objeto de su actividad, cómo explotan cualidades humanas para convertirlas en víctimas, cuál es su principal motivación, cuál es su objetivo? Como es costumbre dejé lo mejor para el último. La lección número 5 me parece que bien entendida y utilizada será la de mayor valía para cualquier organización. Las palabras de Sun Tzu: El general es la muralla protectora del estado. Si la muralla está completa, el estado será fuerte. Si la muralla es defectuosa el estado será débil. En esta analogía el general es la cabeza de la organización. No sólo el responsable de tecnología, CISO, CIO, como deseen llamarle. La dirección misma de la empresa, el CEO, director ejecutivo, director general, el mandamás debe ser la muralla protectora que apadrine las iniciativas de seguridad. Si él no entiende el valor que invertir en seguridad le brindará a su negocio seguiremos viendo ejemplos donde los proyectos sean detenidos con el tan usado argumento de “pero si ya tienes un firewall y un antivirus, para qué necesitas más”. Todos los responsables de la seguridad digital de un negocio deben entender que si no entienden el negocio que protegen jamás lograrán convencer al director de su barco y por lo tanto lo único a lo que les darán acceso es a materiales para construir murallas defectuosas. Referencias: The Art of War by Sun Tzu (Animated with Examples), Channel: Eudaimonia, https://www.youtube.com/watch?v=NPpJbOVIUGc&list=PLfJiKIkHeUHF0mBX6t71D2Rg0mQkehZhl

Bienvenidos nuevamente a vulnerable. Soy Bernardo López y en el episodio número 3 de Vulnerable es prácticamente mandatorio hablar de windows gracias a que en el más reciente “Patch Tuesday” de Microsoft se publicó un parche que corrige una vulnerabilidad en sus sistemas windows y el tema va a estar en boca de todos los próximos días. Suguiere temas para futuros episodios: podcast.vulnerable@gmail.com NIST ha asignado un score general de 8.1 para el riesgo de esta vulnerabilidad, y siendo la escala de NIST va del 1 al 10, algunas organizaciones están gritando “apocalipsis digital”. ¿Lo digo tan tranquilo porque en realidad el peligro es poco y no debemos actualizar con rapidez? No, en absoluto. Pero antes de entrar en un análisis técnico de la vulnerabilidad voy a comenzar con un contexto que me parece muy importante y que pocas veces en estos escenarios se presenta al público. El manejo de vulnerabilidades. Existen múltiples escenarios de como un adversario puede aprovecharse de una vulnerabilidad. El peor de ellos es cuando los adversarios son los primeros en conocer dicha falla y desarrollan un código para explotarla ya que este escenario significa que todos los sistemas afectados están a merced del atacante. Afortunadamente este no es el escenario que estamos enfrentando hoy en día. El hecho que el propio Microsoft esté publicando un parche para la vulnerabilidad quiere decir que fueron los “buenos” quienes descubrieron la falla y trabajaron con Microsoft para corregirla hasta desarrollar un parche que corrige el error. Eso quiere decir que todos los sistemas son vulnerables pero nadie sabe cómo atacarlos. “Ahhh, ¿entonces estoy seguro, puedo seguir presionando el botón de actualizar después?” No. Es importante no entrar en estados de alarma y simplemente darse el tiempo para actualizar sus sistemas lo más pronto posible. Cuando el parche de Microsoft se publica también se hace disponible para los adversarios, quienes en este momento les puedo asegurar están trabajando con ingeniería inversa sobre el mismo para lograr entender con ese trabajo en que consiste la vulnerabilidad y así desarrollar un código que la explote. El escenario se puede comparar con los sockets eléctricos. A lo mejor algún día llegaron a un país lejano y al instalarse en su hotel descubrieron que no podían cargar siquiera su celular pues los sockets eléctricos tenían una forma distinta a los que usamos en México. Pero el simple hecho de verlos les dio la información de que tipo de adaptador necesitaban comprar para poder llevar a cabo su objetivo. Buenos pues los malos están justo en ese proceso y si no actualizan sus equipos y se conoce que activamente hay un grupo criminal explotando la tan mencionada vulnerabilidad de Microsoft entonces estarán en el escenario más desfavorable que existe. Así que tomen una pausa, no necesitan dejar de escuchar Vulnerable. Solo vayan a su panel de control y busquen las actualizaciones disponibles. Ahora sí es momento en el que podemos hablar de la vulnerabilidad en sí. Esta falla en el sistema de Microsoft está presente en una librería llamada Windows CryptoAPI (Crypt32.dll). Esta librería se usa en el proceso de verificación de certificados y se utiliza mayormente en dos ocasiones: Cuando visitan un sitio HTTPs esta librería verifica que el certificado del sitio visitado sea vigente y válido. Osea que la misma es muy importante para que puedan usar de manera segura servicios como banca en línea. La librería también actúa de manera local al verificar los certificados de las aplicaciones que se instalan en el mismo, corroborando que hayan sido desarrolladas adecuadamente. Es decir que no estén instalando aplicaciones chafas que tengan una alto riesgo de traer malware como pilón a la instalación. Un adversario que logre explotar exitosamente esta vulnerabilidad sería capaz de instalar software malicioso en el equipo y engañar en el proceso a Windows para que piense que el software es de confiar. Para lograr un ataque exitoso, el adversario tendría que llevar a cabo otras tareas además de crear un certificado apócrifo pero que aproveche de esta vulnerabilidad. También tendría que diseñar etapas posteriores para hacer llegar la aplicación apócrifa al sistema que pretende comprometer. Tal vez incluyendo técnicas de ingeniería social para engañar primero al usuario y que descargue el software malicioso o que visite un sitio controlado por el propio atacante. Como cualquier ataque el objetivo para contenerlo es poder romper cualquier eslabón de la cadena de ataque. Para este en particular es muy importante que se descargue y se aplique el parche y para mejorar la postura de seguridad en cualquier organización ante cualquier riesgo es importante también que los usuarios estén capacitados y empoderados para poder sospechar y descartar cualquier mensaje o USB “extraviada” que los invite a instalar un nuevo plugin o un antivirus falso o que los lleve a visitar un sitio falso. Y tomen estas medidas sin pánico, pero con la debida importancia. Recuerden que el tiempo en el que escucharon este episodio de Vulnerable fue tiempo en el que los adversarios están buscando una forma de explotar esta vulnerabilidad y ellos tienen toooodo el tiempo del mundo para lograr ese objetivo. Referencias: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

El inicio del 2020 nos trajo una de las noticias más intrigantes a mi gusto. ¡Y casi nadie lo notó! Supongo que porque el nuevo año sólo tenía 4 días de existir cuando se dio a conocer que el ejército de los Estados Unidos había prohibido a todos sus soldados el uso de la aplicación - de origen Chino - Tiktok debido a riesgos percibidos para la ciberseguridad. ¿Qué es Tiktok? Nadie necesita ser usuario, ni creador de contenido en Tiktok para entender al 80% de qué se trata la aplicación. Videos de entre 60 y 90 segundos a los que muchos llaman “la nueva Vine”. ¿Qué puede haber de temible en una aplicación donde el 80% del contenido es algo como esto? Suscríbete en Youtube: https://www.youtube.com/channel/UC7rfq5zIipD5Hd3teWjbVng Para quienes escuchan Vulnerable como solo audio, acabamos de ver un video de 3 segundos en los que un muchacho de unos 15-16 años aprovecha un loop para simular que se pica a él mismo la cola 4 veces. Increíblemente ocioso pero también creíblemente… inofensivo, ¿cierto? Y no es solo el hecho de que el ejército haya pedido a sus miembros borrar la APP de los dispositivos propiedad de la armada sino que también pidió a sus cadetes no usar la aplicación mientras representan a la milicia, incluso desde dispositivos personales. ¿Qué tiene de malo una aplicación de videos cortos que parecen repetirse hasta la eternidad? El problema La principal alerta de Tiktok la levantan sus dueños. Más específicamente los lazos que podrían sostener o la cooperación a la que estarían obligados a realizar con el Gobierno Chino. Vamos por pasos: Tiktok es propiedad de la empresa ByteDance y aunque la empresa argumenta que no procesa ni almacena la información de los usuarios de Estados Unidos en servidores Chinos varios Senadores americanos han destacado que Tiktok “requiere apegarse a las leyes Chinas”. Una de estas leyes, la Ley de Inteligencia Nacional, requiere a todas las personas u organizaciones chinas “apoyar, asistir y cooperar con los esfuerzos nacionales de inteligencia nacional”. ¿Qué tipo de información podría Tiktok compartir con el Gobierno Chino? Veamos al aviso de privacidad de la aplicación para darnos una idea: Los datos personales que la aplicación recolecta son de incio los que uno voluntariamente entrega a la aplicación al suscribirse: Nombre de usuario, fecha de nacimiento, dirección de correo electrónico y/o número de teléfono, información que el usuario divulga en su perfil. Pero no es todo. La aplicación también recolecta información sobre el comportamiento de sus usuarios incluyendo los comentarios que realiza, uso de la plataforma, por ejemplo cómo se relaciona con Tiktok incluyendo como interactúas con el contenido, los anuncios que ves los videos que ves, el contenido que le gusta, los usuarios que sigue. Esta información es utilizada para, cito el aviso de privacidad, “deducimos sus preferencias, incluido sus intereses, sexo, edad con el fin de personalizar el contenido. Procesamos información sobre nuestros utilizadores, los gustos que reciba y las respuestas al contenido que suba, con el propósito de promocionar su contenido a otros utilizadores y explorar si su perfil se presta para futuras oportunidades de colaboración… “Utilizamos la información recopilada sobre usted, y su interacción con la Plataforma y otros sitios de terceros, para inferir sus posibles intereses, para proporcionarle una publicidad más adecuada. Esta información nos permite conocer los sitios web que ha visitado, las aplicaciones que ha descargado y las compras que ha realizado, para poder predecir qué más podría interesarle en el futuro, y para evaluar la eficacia de la publicidad en nuestra Plataforma…” La aplicación no se detiene ahí, también hay información técnica recopilada por la aplicación como “su dirección IP, el historial de navegación (es decir, el contenido que ha visto en la Plataforma), su proveedor de servicios móviles, la configuración de la zona horaria, el identificador para fines publicitarios y la versión de la aplicación que está utilizando. También recopilaremos información sobre el dispositivo que está utilizando para acceder a la Plataforma, como el modelo de su dispositivo, el sistema del dispositivo, el tipo de red, el ID del dispositivo, la resolución de su pantalla. Cuando inicie sesión desde varios dispositivos, podremos utilizar la información de su perfil para identificar su actividad en todos los dispositivos” ¡incluso cuando utiliza la aplicación ¡sin una cuenta! Respecto a la localización, Tiktok se adjudica el derecho a lo siguiente: Localización. Utilizamos la “Región” que selecciona en Configuración para personalizar su experiencia con TikTok. Cuando utiliza la Plataforma en un dispositivo móvil, recopilaremos información sobre su ubicación. En ciertas jurisdicciones, con su permiso, recopilaremos datos de GPS e información de ubicación del dispositivo móvil. Creo que con esta descripción es más que suficiente para entender porque la prohibición a elementos activos en el ejército de usar esta aplicación inclusive en dispositivos personales. Creo que la prohibición debería ser para personal de cualquier ejército en el mundo. ¿Qué hay de los usuarios civiles? Ahora, si tu no eres miembro activo de ningún ejército, ¿te debería ser intrascendente este uso de la información que hace la aplicación? Digo que más me da que Tiktok se entere que veo esto: De nuevo, para los que solamente escuchan Vulnerable, acabamos de ver al mismo usuario de tiktok ahora usando un loop de video para simular que se golpea los tamarindos 4 veces. Ok continuemos. Hay poco riesgo de que la aplicación o el Gobierno Chino se interese en tu historial de vistas si pasas 50 minutos al día (como algunos sitios reportan se usa Tiktok por personas entre 16 y 24 años) y la única finalidad que le den a tus datos sea la de presentarte anuncios personalizados. A muchos, ese simple uso ya les es bastante molesto, pero no para la mayoría. Tal vez ya no sea tan insignificante este análisis que hace la aplicación cuando hay evidencias de que la información se comparte con el Gobierno Chino para cumplir con sus leyes de censura. ¿De qué hablo? El pasado mes de diciembre Tiktok suspendió la cuenta de una adolescente americana después de publicar videos exhibiendo la opresión del régimen chino sobre los Uigures y otras etnias musulmanas en la región China de Xinjiang. Y no es el único caso. Un estudiante de California argumenta que descargó la aplicación y sin registrarse como usuario, su información fue enviada a servidores chinos misma que se utilizó después para crear un perfil falso bajo su nombre en la propia aplicación. Y no sólo de Estados Unidos emanan reportes sobre los riesgos de privacidad con tiktok: El Instituto Australiano de Estrategia Política alertó en noviembre 28 que muchas empresas tecnológicas de china no eran “actores políticos neutrales”. El reporte australiano acusa a ByteDance de colaborar de cerca con el aparato de seguridad pública en China operando como “vector para la censura y vigilancia” y que el Partido Comunista de China tiene insertados a comisionados en dichas empresas. Conclusión. Ante todas estas alertas, luces rojas y alegatos ¿vale la pena usar TikTok? Sin caer en juicios de valor sobre la calidad o uso práctico del contenido que se publica en la plataforma me parece que hay varias evidencias para preferir pecar de precavidos y salirse de la aplicación. Aunque no consideres que el contenido que publicas o ves en ningún caso será del interés de ningún gobierno, piensa que el simple uso que das a la misma está sustentando un aparato señalado como herramienta para ejecutar censura, acallar la opresión de minorías y hasta para suplantar identidades. Para mi son señalamientos cuya importancia supera, por mucho, cualquier interés por ver videos como éste. Y de nuevo, para los escuchas de Vulnerable, debo describir que vimos un video de 3 segundos de un loop en el que un tipo baila conga. Referencias US Military Bans Chinese-Owned TikTok App Over Security Threats - https://www.theepochtimes.com/us-military-bans-chinese-owned-tiktok-app-over-security-threats_3193903.html TikTok owner ByteDance is a $75 billion Chinese tech giant — here’s what you need to know about it - https://www.cnbc.com/2019/05/30/tiktok-owner-bytedance-what-to-know-about-the-chinese-tech-giant.html Avisos Legales - https://www.tiktok.com/legal/privacy-policy?lang=es#section-1 ByteDance, Huawei Aid Beijing’s Oppression in Xinjiang, Report Says - https://www.theepochtimes.com/report-highlights-bytedance-huawei-for-aiding-beijings-oppression-in-xinjiang_3162543.html

Las 5 principales prediciones en cyberseguridad - Episodio 1 5 El uso de Inteligencia Artificial, por ambos bandos Los adversarios también pueden usar AI y de hecho lo han usado. Especialmente grupos asociados a estados para adaptar el ataque a las respuestas y medidas de mitigación que su objetivo tenga. 4 Aumentan los ataques específicos con ransomware ¿Cómo olvidar el caso de Pemex en 2019 en el que la página donde se daban instrucciónes para el pago del rescate estaba personalizada para la petrolera. 3 Fuera del perímetro Ataques en la cadena de suministro, los alcances y controles del área de seguridad para cualquier empresa deberán estar donde sea cuando sea. 2 Se incrementa la escasez de talento en la industria. Buenas noticias si quieres hacer carrera en esta industria. Menciones honoríficas MFA en todos lados Filtraciones de datos y credenciales siguen siendo un gran problema para las organizaciones. Los sistemas ICS SCADA seguirán siendo vulnerables. Se robustecerá cybercrime-as-a-service Más actividad de M&A en la industria 1 Ataques IoT Los avances en redes 5G implementadas incrementará la cantidad de dispositivos conectados y con ello también la superficie de ataque. Referencias Infosec Institute. https://resources.infosecinstitute.com/top-cybersecurity-predictions-for-2020/#gref Targeted ransomware attacks on the rise Most nation-state attacks remain unattributed IoT devices under attack AI-based attacks, a nightmare for security experts Compromised credentials and data breaches will continue to be a problem for organizations ICS/SCADA systems are still too vulnerable Supply chain attacks will grow slightly in frequency Cybercrime-as-a-service — stronger than ever Sdcentral. https://www.sdxcentral.com/articles/news/top-5-cybersecurity-predictions-for-2020/2019/12/ More Security M&A Activity in 2020 Open Source Security Takes Hold Push to the Edge AI Will Speed Security Response — and Attacks 5G Security Gets Real Watchguard. https://www.watchguard.com/es/wgrd-resource-center/predictions-2020 Ransomware targets the cloud GDPR comes to the US 2020 elections Cybersecurity skills GAP widens Outside the perimeter New vulnerabilities in 5G/Wi-Fi MFA becomes the standard SC Magazine. https://www.scmagazine.com/home/security-news/2020-cybersecurity-predictions/ Voice Deepfakes will become the new phishing bait We’ll start to hear more about the convergence of physical infiltration with cyberattacks Get ready for SMS attacks to go mainstream Office 365-specific security issues will finally get the attention they deserve Company microtargeting with industry-specific tools will rise Disaster Recovery-as-a-Service (DRaaS) is now mainstream State and state-sponsored cyber groups are the new proxy for international relations The accepted definition of a vulnerability will broaden In 2020, we expect to see federal agencies to increasingly differentiate their IT consumption models The digital advertising ecosystem will be the next top target as a new class of attacks emerges The use of and evolution of biometrics Cisco. https://newsroom.cisco.com/feature-content?type=webcontent&articleId=2038484 Balance humans and machines Find talent in unexpected places Get the board up to speed Prepare for the inevitable Know your network — but look beyond it Consider compliance an advantage (not just a headache) Expand your perspective, and enable the future

Bienvenidos y gracias por escuchar la introducción de Vulnerable. Un Podcast donde entrevistaré a viejos amigos y veteranos en la industria de seguridad para comentar las noticias, curiosidades y eventos realmente nefastos que suceden en el mundo online.