• 902 88 64 37
  • info@programaweb.com

Category ArchiveSeguridad

Error de Outlook permite a piratas informáticos acceder a correos

Error de Outlook permite a piratas informáticos acceder a correos

Según los especialistas en seguridad de aplicaciones web , una vulnerabilidad recientemente revisada en el sistema de inicio de sesión de Microsoft Outlook podría haber sido explotada para engañar a algunos usuarios para que otorguen a los hackers acceso total a sus cuentas en línea.

Gracias a la presencia de esta vulnerabilidad, los actores de amenazas pudieron extraer inadvertidamente tokens de acceso para poder acceder a las cuentas de las víctimas sin tener que volver a ingresar una contraseña. 

Estos tokens son creados por aplicaciones o sitios web y se usan en lugar de nombres de usuario y contraseñas después de que los usuarios se hayan autenticado por primera vez, lo que permite una conexión permanente al sitio web y el acceso a aplicaciones web de terceros sin tener que entregar sus contraseñas allí también.

Los expertos en seguridad de aplicaciones web a cargo del informe mencionan que Microsoft Outlook dejó un vacío de seguridad que, si es explotado, podría ser utilizado por piratas informáticos para redirigir estos tokens de acceso sin que las víctimas puedan notar esta actividad maliciosa.

Los expertos informaron docenas de subdominios no registrados conectados a algunas aplicaciones desarrolladas por Microsoft, que son altamente confiables y cuyos subdominios asociados pueden generar tokens de acceso automáticamente y sin el consentimiento de los usuarios. 

Con estos subdominios, un actor de amenazas solo requiere engañar al usuario para que haga clic en un enlace especialmente creado, adjunto a un correo electrónico o dentro de un sitio web, para extraer el token de acceso.

Lo más preocupante es que los especialistas en seguridad de aplicaciones web dicen que esto podría lograrse con la mínima interacción de los usuarios, ya que un sitio web malicioso podría desencadenar inadvertidamente una solicitud equivalente a un clic en un enlace, logrando el robo del token del usuario de la misma manera.

La buena noticia es que los subdominios no registrados ya se han informado a Microsoft, lo que evitará su uso malicioso. Sin embargo, los expertos señalan que aún se pueden encontrar más de estos subdominios. El informe se emitió en octubre y la compañía corrigió la falla unos veinte días después. Ya se han encontrado algunos defectos de seguridad en el sistema de inicio de sesión de Microsoft.

El año pasado, los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) informaron que la compañía corrigió una falla de seguridad que permitía a los piratas informáticos alterar los registros de un subdominio de Microsoft para extraer tokens de acceso.

Twitter y Facebook sufren violación de datos

Twitter y Facebook sufren violación de datos

El lunes, tanto Facebook como Twitter anunciaron que los datos de cientos de usuarios se habían visto comprometidos debido a un kit de desarrollo de software (SDK) llamado «One Audience» que les daba a los desarrolladores externos acceso a ciertos datos .

Los datos incluyen direcciones de correo electrónico, nombres de usuario y tweets recientes de cualquiera que haya accedido a ciertas aplicaciones, incluidos Giant Square y Photofy desde sus cuentas de Twitter. Si bien Twitter ha confirmado que el SDK se utilizó para acceder a los datos de los usuarios de Twitter en Android , afirman que no se han visto pruebas de que ocurra lo mismo en iOS.

Twitter también aclaró el papel de Twitter en esta declaración,

Este problema no se debe a una vulnerabilidad en el software de Twitter, sino a la falta de aislamiento entre los SDK dentro de una aplicación. Nuestro equipo de seguridad ha determinado que el SDK malicioso, que podría integrarse en una aplicación móvil, podría explotar una vulnerabilidad en el ecosistema móvil para permitir el acceso y la toma de información personal (correo electrónico, nombre de usuario, último Tweet) utilizando el SDK malicioso.

Además, Apple, Google y algunas otras compañías relacionadas también han sido informadas de la vulnerabilidad para que puedan tomar medidas en línea con la seguridad del usuario. Si le preocupa si puede haber sido afectado, tenga la seguridad de que, en un aviso de divulgación en línea, Twitter ha revelado que informará a los usuarios de Android que creen que pueden haberse visto afectados.

Además, Facebook, mientras hablaba con The Verge, también notificó al público que eliminó tanto a One Audience como a Mobiburn por infracciones de las políticas mientras emitía cartas de cese y desistimiento simultáneamente. Sin embargo, no han confirmado que los datos que podrían haberse filtrado citando «permisos específicos para cada aplicación» es un factor que haría que los datos varían de un usuario a otro.

Sin embargo, para concluir, la mejor manera de mantenerse a salvo de tales incidentes es tener cuidado con las aplicaciones de terceros a las que autoriza a través de sus cuentas. Como se observó en el pasado de múltiples incidentes en la industria de la seguridad cibernética , algunos de ellos pueden pedirle permiso que nunca necesitan y, por lo tanto, acceder a su contenido para fines no requeridos.

También puede consultar las aplicaciones y los sitios web con acceso a su cuenta en Facebook . Por lo tanto, puede asegurarse de que los datos con los que se sienta cómodo estén disponibles para personas externas, lo que reduce en gran medida el riesgo de robo de identidad .

Podrían estar usando su cámara Android para espiarlo

Podrían estar usando su cámara Android para espiarlo

Los investigadores de Nueva York (CNN Business) han descubierto una alarmante falla de seguridad que podría permitir que algunas aplicaciones de Android espíen a los usuarios sin su conocimiento.

Descubierto por la firma de seguridad Checkmarx, el error podría permitir a un atacante tomar el control de la cámara del teléfono y tomar fotos o grabar videos a través de una aplicación no autorizada sin el permiso del usuario.

Los teléfonos Samsung y Google parecen estar en mayor riesgo por la falla, que podría afectar a «cientos de millones de usuarios», dijeron los investigadores. 

Pero Checkmarx dijo que informó a otros fabricantes de teléfonos, porque ellos también podrían ser vulnerables a la misma falla de seguridad.

Los investigadores descubrieron que los atacantes podían obtener acceso a videos o fotos almacenados y operar la cámara incluso cuando la aplicación está cerrada. 

Y descubrieron que el sensor de proximidad del teléfono podía usarse para alertar al atacante cuando el teléfono se mantenía cerca de la cara del usuario.

Checkmarx alertó primero a Google ( GOOG ) y Samsung ( SSNLF ) sobre la falla durante el verano. Ambas compañías confirmaron el error.

Google, que lanzó un parche en julio, gracias Checkmarx.»Agradecemos que Checkmarx nos llame la atención y trabaje con los socios de Google y Android para coordinar la divulgación», dijo un portavoz de Google en un comunicado. 

«El problema se abordó en los dispositivos de Google afectados a través de una actualización de Play Store para la aplicación de cámara de Google en julio de 2019. También se puso a disposición un parche para todos los socios».

Samsung le dijo a CNN Business que la compañía ha lanzado parches desde que se descubrió el problema.

«Recomendamos que todos los usuarios mantengan sus dispositivos actualizados con el último software para garantizar el mayor nivel de protección posible», dijo un portavoz de Samsung.

Compre seguro durante Black Friday y Cyber ​​Monday 2019

Compre seguro durante Black Friday y Cyber ​​Monday 2019

El fin de semana de Acción de Gracias está a la vuelta de la esquina. Si bien algunos aún asociarían las próximas vacaciones como tiempo para pasar únicamente con familiares y amigos, muchos de nosotros también estamos entusiasmados con las próximas ventas de Black Friday y Cyber ​​Monday. Los eventos del año pasado ya batieron récords de ventas minoristas.

Según Adobe, las ventas de Cyber ​​Monday de 2018 solo superaron los $ 7.9 mil millones. Los consumidores también utilizan cada vez más sus dispositivos móviles para realizar transacciones.

Dos mil millones de dólares del total de ventas de Cyber ​​Monday provienen de transacciones móviles. La mayoría de las estimaciones esperan que las ventas de este año sean aún más masivas.

Desafortunadamente, los ciberdelincuentes también han reconocido la oportunidad de ganar dinero rápido debido a la cantidad de dinero que intercambian manos durante esta temporada.

Las estafas en forma de ataques de phishing, sitios web de comercio electrónico fraudulentos y aplicaciones falsas han estallado en las últimas temporadas.

Estas estafas buscan robar información financiera de los compradores en línea o engañar a los compradores para que paguen por compras que nunca se cumplirán.

Aquí hay consejos que pueden ayudarlo a mantenerse seguro mientras compra en línea.

Use un dispositivo seguro

Use sus propios dispositivos personales para comprar en línea en lugar de usar computadoras de acceso público. De esta manera, puede evitar el uso de dispositivos infectados por malware que puede registrar las credenciales de su cuenta o interceptar su información de pago. Instale un antivirus y antimalware para asegurarse de que su dispositivo esté libre de dicho software malicioso.

Curiosamente, puede comprar soluciones de seguridad con descuentos considerables durante las vacaciones de Acción de Gracias. Las soluciones orientadas a la privacidad como Reason Cybersecurity pueden ayudar a proteger su PC contra malware como keyloggers y ladrones de información que escanean e interceptan sus datos financieros. También puede proteger su cámara web y micrófono de los piratas informáticos que intentan espiarlo utilizando estos periféricos. Reason también tiene un complemento de navegación seguro que le avisará si el sitio web que está visitando es fraudulento. Su versión Premium de pago estará a la venta durante las vacaciones con un 70 por ciento de descuento. Es posible que desee incluirlo entre sus primeras compras clave en los eventos de ventas de este año.

Compruebe su conexión

Además de utilizar un dispositivo seguro, también debe comprar en línea utilizando una conexión a Internet segura. Evite conectarse a través de puntos de acceso público de Wi-Fi. Pero si se encuentra utilizando un punto de acceso público, asegúrese de estar conectado a un sitio web a través de la capa de conexión segura (SSL). Las conexiones SSL encriptan los datos que se transmiten entre su computadora y el servidor. Para verificar si está conectado a través del protocolo SSL, la URL del sitio web debe leer «https» en lugar de solo «http». La mayoría de los navegadores también mostrarán un icono de «candado» junto a la barra de direcciones para indicar que está conectado a través de SSL.

Alternativamente, también puede usar redes privadas virtuales o VPN para asegurar su conexión. Las VPN ofrecen un cifrado aún mejor que el SSL simple, especialmente contra ataques de intermediarios en los que los piratas informáticos pueden piratear puntos de acceso y enrutadores Wi-Fi e interceptar los datos que se envían y reciben a través de ellos. Afortunadamente, al igual que otras soluciones digitales durante el Black Friday, las suscripciones VPN también se ponen a la venta. Los proveedores populares como ExpressVPN suelen ofrecer importantes descuentos para suscripciones durante la temporada de rebajas.

Compre solo en tiendas y canales acreditados

Otra forma en que los hackers tratan de engañar a los consumidores es mediante la creación de tiendas en línea falsas y aplicaciones de comercio electrónico. A menudo, estas tiendas falsas ofrecerían productos y servicios con descuentos masivos que atraerían a compradores desprevenidos. Desafortunadamente para las víctimas, no solo no se cumplirán sus pedidos, sino que sus pagos y la información de pago probablemente serán robados.

Para evitar estas estafas, es mejor comprar solo en los canales digitales de negocios de buena reputación. Las tiendas y mercados en línea más grandes como Amazon y Walmart tienen infraestructuras robustas que ofrecen a los clientes una protección de datos más sólida que otros canales en línea más pequeños. Solo asegúrate de que la aplicación que estás utilizando para comprar es la oficial y legítima de la propia marca. Instale las aplicaciones a través de la tienda de aplicaciones oficial de su dispositivo para asegurarse de que hayan sido verificadas y verificadas por su legitimidad.

Tenga cuidado al hacer clic en esos enlaces

Los especialistas en marketing también lo bombardearán con campañas para promocionar sus respectivas marcas durante esta temporada de rebajas. Lo más probable es que reciba muchos correos electrónicos de varios comerciantes y mercados destacando sus numerosas ofertas. La mayoría de ellos incluirá enlaces que, al hacer clic, lo llevarán directamente a las páginas de sus productos. Los hackers son conscientes de la efectividad de estas estrategias de marketing. Para explotar esto, los piratas informáticos pueden disfrazar hábilmente sus correos electrónicos de phishing para que parezcan que provienen de fuentes legítimas. Cuando hace clic en los enlaces dentro de estos correos electrónicos de phishing, es probable que sea redirigido a un sitio falso diseñado para engañarlo para que renuncie a su información o lo engañe para que instale malware. Por lo tanto, tenga muy en cuenta los correos electrónicos que abre y los enlaces en los que hace clic.

Controle su tarjeta y extractos bancarios

Las compras en línea generalmente requieren que use métodos de pago sin efectivo, como el uso de tarjetas de crédito o débito o la transferencia de fondos desde su cuenta bancaria, por lo que realmente no hay forma de evitar transmitir su información financiera en línea. Esto dificulta determinar si su información financiera ha sido comprometida hasta que alguien realmente intente usarla. La mayoría de los estafadores y estafadores «probarán» si la información de la tarjeta robada funciona haciendo pequeñas compras.

Controle sus cuentas y estados de cuenta en busca de cargos y transacciones sospechosos, sin importar cuán pequeños sean. Si su banco o emisor de la tarjeta le ofrece la opción de recibir notificaciones por mensaje de texto o correo electrónico cada vez que use su tarjeta, habilite la función. La mayoría de los emisores de tarjetas ahora también tienen la opción de solicitar contraseñas de un solo uso para cada transacción en línea. Disputa de inmediato los cargos y solicita devoluciones de cargo en caso de que los estafadores usen la información de tu tarjeta.

No te presiones a comprar

Una forma de mantenerse a salvo de caer en estafas o de que los piratas informáticos roben sus datos es omitir por completo la temporada de ventas. Muchos consumidores caen en la trampa de comprar durante las ventas, incluso si tienen poco o ningún uso para los artículos que comprarán. Recuerde que solo estaría ahorrando dinero si puede hacer un uso completo de su compra. No se sienta presionado a comprar nada si realmente no lo quiere.

Otra forma de evitar posibles pérdidas es simplemente comprar artículos pequeños. No es raro que los paquetes y paquetes se pierdan en algún lugar debido al alto volumen de entregas que las empresas de logística y sus correos manejan durante esta temporada. Es más fácil obtener un reembolso por cantidades más pequeñas. Y, si alguna vez las cosas realmente salen mal y nunca recibe su pedido, solo estaría fuera por una pequeña cantidad hasta que se resuelva el problema.

Compra segura

Black Friday y Cyber ​​Monday ofrecen muchas ofertas reales para los consumidores. Sin embargo, es importante que tenga en cuenta que nada es totalmente sin riesgo. Los hackers están buscando activamente formas de dirigirse a los compradores en línea. Preste atención a la seguridad al comprar cosas en línea para evitar ser víctima de estos delincuentes. De esta manera, puede maximizar los descuentos masivos que ofrecen los comerciantes y obtener un gran valor de sus compras durante esta temporada.

Consejos para protegerse de los ciberdelincuentes

Consejos para protegerse de los ciberdelincuentes

Los ciberdelincuentes son gusanos desagradables de la sociedad y pueden estar trabajando como parte de una organización o como una agenda individual. Sin embargo, han tenido el poder y el conocimiento para acceder a sus datos más preciados. Si los delincuentes cibernéticos quieren dirigirse a una empresa en particular, por ejemplo, pueden encontrar grandes cantidades de información sobre esa empresa simplemente buscando en la web. Los delincuentes cibernéticos pueden emplear esa información para explotar puntos débiles en la seguridad de la empresa, lo que pone en peligro los datos que ha confiado a esa empresa.

Piense en la computadora de su hogar como una empresa. ¿Qué puede hacer para protegerla contra los ciberdelincuentes? En lugar de sentarse y esperar a infectarse, ¿por qué no equiparse y defenderse?

Algunos consejos que pueden ayudarlo a lidiar con tales escenarios

Mantenga su sistema operativo y sus programas de seguridad actualizados

Esto evita que los ciberdelincuentes accedan a su computadora a través de vulnerabilidades en programas obsoletos. La mayoría del software antimalware está especialmente diseñado con múltiples tecnologías para proporcionar protección contra spyware, ransomware y virus. Sin la protección adecuada contra malware, su sistema puede atraer malware y ese mismo malware puede explotar el firewall de su sistema. También se debe verificar si su sistema operativo tiene antivirus y firewall integrados de manera predeterminada, si esos programas son compatibles con el software adicional de protección cibernética. Si no, consíguete un antivirus lo antes posible. Para mayor seguridad, se pueden habilitar actualizaciones de productos de Microsoft para que Office Suite se pueda actualizar al mismo tiempo.

Evite usar Wi-Fi abierto en su enrutador

Siempre se debe proteger su Wi-Fi con una contraseña única y encriptada, y actualizar su equipo al menos una vez al año.

Esto facilita que los actores de amenazas roben su conexión y descarguen archivos ilegales. Algunos enrutadores son extremadamente vulnerables y no han sido parcheados. Los enrutadores más nuevos le permiten proporcionar a los huéspedes acceso inalámbrico segregado. Además de eso, hacen extremadamente conveniente cambiar la contraseña con frecuencia.

Use contraseñas seguras

La contraseña es una herramienta importante que protege todos sus dispositivos, incluidos su computadora de escritorio, computadora portátil, teléfono, reloj inteligente, tableta, cámara, cortadora de césped … usted entiende la idea. La ubicuidad de los dispositivos móviles los hace especialmente vulnerables. Bloquee su teléfono y emplee un bloqueo de escaneo de dedo para iPhone y un código de acceso o bloqueo de patrón para Android. La mayoría de las personas olvidan que los teléfonos inteligentes son esencialmente microcomputadoras que caben directamente en su bolsillo. Su teléfono inteligente contiene una inmensa cantidad de tesoros escondidos en forma de información personal y si el Ciberdelincuente obtiene esa información, puede tener consecuencias devastadoras en su vida personal.

Siempre se deben producir contraseñas complejas llenas de símbolos y nunca usar contraseñas similares en múltiples servicios. Si eso es tan doloroso como una estaca para el corazón de un vampiro, usa un administrador de contraseñas como Last Pass o 1Password.

Siempre trate de producir respuestas creativas para sus preguntas de seguridad

Al hacer una simple búsqueda en Google, todos pueden averiguar el apellido de soltera de su madre o dónde se graduó de la escuela secundaria. Considera responder como una persona loca. Si JP Morgan Chase Bank pregunta: «¿Cuál era el nombre de su primera novia?», Responda: «Eres esposa». Simplemente no olvides que así fue como respondiste cuando te volvieron a preguntar.

Elimine todos los rastros de su información personal en los gadgets que planea vender

Usted es libre de usar cualquier software de borrado confiable, pero haga una lista limpia cuando esté planeando vender sus sistemas antiguos. Para aquellos que buscan saquear sus dispositivos reciclados, esto hace que la información sea mucho más difícil de recuperar. Uno siempre debe eliminar los platos donde se almacena la información y luego destruirlos es el camino a seguir, si la información que desea proteger es extremadamente crítica.

Practique el correo electrónico inteligente

Todavía existen campañas de phishing, pero los ciberdelincuentes se han vuelto mucho más inteligentes que ese príncipe nigeriano que necesita tu dinero. Pase el mouse sobre los enlaces para ver sus URL reales (en lugar de solo ver palabras en el texto del hipervínculo). Además, verifique si el correo electrónico es realmente de la persona o empresa que afirma haberlo enviado. Siempre trate de prestar atención a la construcción o el formato de frases incómodas, ya que este tipo de estafadores no están bien educados. Si algo todavía parece incierto, realice una investigación rápida en Internet con la línea de asunto. Otros pueden haber sido estafados y publicados al respecto en línea.

Evite cargar datos confidenciales en la nube

No importa de qué manera lo corte, los datos almacenados en la nube no le pertenecen y hay muy pocas soluciones de almacenamiento en la nube que ofrecen cifrado para los datos en reposo.