Los hacks y vulnerabilidades más temibles de 2019

Los hacks y vulnerabilidades más temibles han conseguido afectar la seguridad en nuestro día a día. A lo largo de los años son múltiples las ciberamenazas  que han causado severos daños y perjuicios tanto a empresas como a gobiernos.

Estas fallas han logrado que los dispositivos, el software que utilizamos y hasta las conexiones de red puedan ser una amenaza. Los ataques modernos o actuales poco tienen que ver con la famosa barra que bloqueaba equipos con archivos de virus. Ahora un ataque puede esparcirse por la red a gran velocidad e infectar en segundos cientos de miles de empresas y particulares. Continúa leyendo «Los hacks y vulnerabilidades más temibles de 2019»

Hallan técnica que permite obtener el número CVV de tarjetas de crédito en seis segundos

Imagen: Ví­deo demostrativo de la técnica
Imagen: Ví­deo demostrativo de la técnica

Investigadores de la Universidad de Newcastle dan con una técnica que permite la obtención del número de seguridad CVV y otros datos sensibles de las tarjetas de crédito en tan sólo seis segundos. Dicha técnica se basa en la realización de intentos simultáneos en diferentes sitios web, empleando diferentes valores en los campos de formulario existentes, de modo que al no realizarse sobre una misma web no se activan las alertas de seguridad de las propias tarjetas.

Dichos investigadores creen que esta técnica ya ha podido ser utilizada, por ejemplo, en el reciente hackeo de 20.000 cuentas de Tesco Bank. Antes de compartir los resultados de estas investigaciones en IEEE Security & Privacy, los investigadores se pusieron previamente en contacto con Visa ya que son sólo sus tarjetas las que están afectadas por este problema de seguridad, ya que en el caso de MasterCard, su sistema si tiene en cuenta los intentos distribuidos a través de diferentes sitios web.
Continúa leyendo «Hallan técnica que permite obtener el número CVV de tarjetas de crédito en seis segundos»

Nuevo Easter Egg de Pinterest para poner a prueba tus habilidades como «hacker»

hack-pinterest-bash

Ahora puedes poner a prueba tus habilidades como «hacker» directamente en Pinterest, eso sí­, vale aclarar que se trata de un juego de pistas para completar un desafí­o técnico mas no un reto a ejecutar un defacement u otro hostil ataque contra la red social. La idea esencialmente es entretenerse un rato sino es que hasta conseguir bonos de regalo o hasta apuntarse a una potencial vacante en el equipo de Ingenierí­a de la compañí­a. Continúa leyendo «Nuevo Easter Egg de Pinterest para poner a prueba tus habilidades como «hacker»»

Facebook lanza Hack, su lenguaje de programación eficiente

hack

En el mundo informático existen muchos lenguajes de programación diferentes, cada uno de ellos con sus ventajas e inconvenientes. ¿Hay alguno que pueda marcar la diferencia? Esa fue la intención de Bryan O’Sullivan, Julien Verlaguet y Alok Menghrajani, ingenieros de Facebook, en el que junto con otros ingenieros, han estado trabajando dentro de Facebook desarrollando en los últimos años el lenguaje de programación llamado Hack (hacklang.org), el cual permite a los programadores desarrollar sitios web complejos y otras aplicaciones a gran velocidad sin dejar de asegurar que el código se organice de manera precisa y libre de fallos.

Wired hace un recorrido comentando desde que Mark Zuckerberg comenzó a trabajar en Facebook a finales de 2003 empleando inicialmente el lenguaje de programación PHP, el cual es muy habitual en muchas de las aplicaciones web que manejamos a diario. Con el tiempo, ante el aumento de millones de usuarios, Facebook se ha ido encontrando con las limitaciones de PHP, entendiendo que necesitarán más servidores, y por tanto, el manejo de todo el código y mantenerlo libre de errores se convertirí­a en una tarea bastante compleja.

Al final, el año pasado, tres ingenieros superiores permitieron a Facebook resolver el problema de la ejecución de todo el código en PHP en los servidores a través de un nueva aplicación llamada HHVM, de Hip Hop Virtual Machine, la cual permite mantener el servicio usando menos servidores. Ahora, con Hack, se hace más fácil manejar código y mantenerlo libre de errores, y por tanto, se zanja otro problema.

Hack ha sido presentado esta mañana y puesto a disposición como código abierto para animar al resto de personas, además de usarlo, a aportar sus contribuciones para mejorarlo. Wired nos indica que podemos ver a Hack «como la nueva PHP», y de hecho es el lenguaje de programación que usa actualmente Facebook en su servicio. Hack también se ejecuta en HHVM y permite a los desarrolladores utilizar los tipos dinámicos y tipos estáticos en sus desarrollos, llamándolo como tipificación gradual, el cual es el primero en ser llevado a un lenguaje real.

Con ello, si Facebook ha podido ir reemplazando el código PHP por Hack, el resto de desarrolladores también podrán hacerlo, es más, el uso de Hack le ha permitido a Facebook contar con un código más preciso y con menos errores. Este lenguaje proporciona una especie de red de seguridad a los desarrolladores, permitiéndoles además entender el código con el que trabajan. Además, no necesita compilación, por lo que cualquier cambio que se realice se puede ver de inmediato sin retrasos.

Cómo recuperar el control de una cuenta de Google Apps hackeada

google apps

Vamos a comentar ahora la solución para recuperar el control de una cuenta de Google apps perdida, algo que puede suceder principalmente por dos motivos:

– Compráis un dominio «de segunda mano», pero el anterior dueño tiene aún el acceso a la cuenta de Google Apps y no tenéis como recuperarla
– Alguien ha entrado a vuestra cuenta de administración y ha cambiado la contraseña de acceso y los datos de recuperación de los datos.

La solución es mucho más sencilla de lo que parece, aunque por desgracia Google no la muestra de forma visible en sus servicios.

Solo tenéis que acceder a:

https://admin.google.com/midominio.com/VerifyAdminAccountPasswordReset

Sustituyendo midominio.com por aquél que queréis recuperar. Inmediatamente después tendréis que informar un email para recibir los pasos necesarios para la recuperación, siendo necesario posteriormente incluir una entrada DNS para verificar que, efectivamente, el dominio es vuestro.

Así­ de sencillo, sin necesidad de entrar en contacto con Google ni de pasar varias noches sin dormir pensando en lo que algún desconocido podrí­a estar haciendo dentro de vuestra cuenta de Google Apps.

Se trata de una de las urls poco conocidas de Google que Amit Agarwal publicó recientemente en su blog.

El Ejército Electrónico Sirio se atribuye el ataque a eBay y Paypal

Que una importante compañí­a global de comercio electrónico no tenga presencia en un determinado paí­s puede llegar a ser motivo de represalia, y es lo que le ha pasado este pasado Sábado a eBay y Paypal, cuyo ataque se lo ha atribuido el Ejército Electrónico Sirio (SEA, Syrian Electronic Army), en el que según los propios hackers, el ataque fue una «operación hacktivista» y que ellos no se han dirigido a la información de las cuentas de los usuarios. Es más, el SEA afirmó que ha sido capaz de reemplazar las páginas web de eBay y Paypal en Francia, Israel y Reino Unido con su propio logotipo.

Un miembro de SEA, Th3 Pr0, ha indicado a Mashable que el ataque no tení­a el objetivo de hackear las cuentas de los usuarios, más bien comprometer la gestión de dominios de eBay, permitiendo a los hackers cerrar el sitio o redirigirlo hacia otro servidor. Añade que su logotipo ha podido verse en diferentes páginas web de eBay y Paypal durante unos 30 minutos. Ante las pruebas del ataque mostradas por SEA, donde se ven claramente los paneles de control de eBay y Paypal en Francia, gestionados por la empresa de protección de marcas online MarkMonitor, el citado medio se ha puesto en contacto con dicha empresa, donde un portavoz ha indicado que la compañí­a «se toma la seguridad muy en serio» y que «no realiza comentario sobre clientes, incluyendo si una empresa en particular o no es un cliente de MarkMonitor».

Aunque el miembro de SEA no ha querido desvelar exactamente como ha realizado el ataque, si que ha indicado que el SEA ha utilizado tácticas más fuertes que de costumbre debido a la utilización de una gran cantidad de protocolos de autenticación y verificación por parte de Paypal, por lo que el ataque ha requerido técnicas mucho más avanzadas.

En una actualización, Anuj Nayar, director senior de PayPal de iniciativas globales, ha indicado a Mashable que por un breve periodo de tiempo, un número muy limitado de personas que visitan determinadas páginas de marketing de Paypal y de eBay en el Reino Unido, Francia e Indica han sido redirigidos. El tema, según dicho portavoz, ha sido rápidamente detectado y resuelto. No hay datos de clientes que hayan accedido por dichas redirecciones y no hay cuentas de clientes afectadas. Termina indicando que se toman la seguridad y la privacidad de sus clientes muy en serio y están investigando activamente las razones que hay detrás de dichas redirecciones termporales.

Este final de semana está siendo un tanto movido en el aspecto de los ataques a determinadas compañí­as de Internet, aunque por el momento, los clientes podemos estar tranquilos.

Hablamos con Buffer sobre el problema de seguridad que han tenido

bufferBuffer (bufferapp.com) es una conocí­disima aplicación que podemos usar desde web y móvil par aprogramar las publicaciones en redes sociales, determinando horarios especí­ficos y dejando programados los textos y fotos que queremos mostrar en twitter, facebook y google plus. Esta herramienta, utilizada por miles de personas a diario, sufrió un ataque de hackers durante el fin de semana, y sus usuarios recibieron rápidamente información sobre la situación.

Poco menos de una hora después de la invasión, cuando los hackers ya estaban usando las cuentas de los usuarios para publicar textos y enlaces maliciosos en las redes sociales, desde Buffer enviaron un email a sus clientes para indicar con detalle lo que estaba ocurriendo, mostrando las acciones realizadas y tranquilizando a los que pensaban que sus cuentas estaban en peligro.

Entramos en contacto con Leonhard Widrich, uno de los fundadores de Buffer, para que nos comente personalmente el asunto:

¿Qué ocurrió exactamente?

Invadieron nuestros sistemas para tener acceso a miles de cuentas de usuarios en redes sociales. Aunque no pueden obtener las contraseñas de los usuarios, ya que en Buffer no tenemos esa información (todos los accesos son Oauth), sí­ pueden publicar a partir de los permisos que tenemos en Facebook, Twitter y demás redes. Varios usuarios vieron como se publicaban enlaces y textos en sus cuentas de redes sociales. Ningún dato relacionado con pagos de los clientes fue extraí­do de nuestros servidores. Continúa leyendo «Hablamos con Buffer sobre el problema de seguridad que han tenido»