Resumen Semanal de Noticias: Una Grave Vulnerabilidad en PayPal

Echemos un pequeño vistazo a las noticias de seguridad más importantes de esta semana: el proceso de solución de la vulnerabilidad Heartbleed en OpenSSL avanza cada vez más lento; una semana

Echemos un pequeño vistazo a las noticias de seguridad más importantes de esta semana: el proceso de solución de la vulnerabilidad Heartbleed en OpenSSL avanza cada vez más lento; una semana de interesantes descubrimientos por parte de nuestros amigos del Global Research and Analysis Team (GReAT) de Kaspersky Lab; una grave vulnerabilidad en la autenticación de dos factores de Pay Pal y más.

Novedades sobre Heartbleed

Si bien hace un tiempo que no hablamos de este tema, el peligroso bug presente en la biblioteca de cifrado OpenSSL y que puede ser explotado para robar información sensible de los usuarios aún no ha desaparecido. A pesar de que varias compañías han lanzado parches para proteger sus softwares contra esta vulnerabilidad, los expertos aseguran que el empeño y las acciones iniciales que se habían puesto en marcha para solucionar este grave problema, de a poco se van aplacando.

Rob Graham, de Errata Security, es uno de los especialistas encargados de analizar cómo avanzan las soluciones en torno a la falla de OpenSSL. Sus reportes indicaron que, al principio, pocos días después de que se dio a conocer la presencia del bug, más de 600,000 sistemas eran vulnerables. Sin embargo, un nuevo reporte, 3 meses más tarde, reveló que sólo la mitad de estos sistemas habían solucionado el error.

“Esto quiere decir que las personas han dejado de interesarse en solucionar el inconveniente”, escribió Graham en su blog. “En la próxima década veremos un decrecimiento lento de los sistemas con este inconveniente, dado que las máquinas viejas serán reemplazadas. Pero, incluso dentro de 10 años, todavía habrá cientos de sistemas con vulnerabilidades críticas”.

Herramientas de vigilancia y Campañas de fraude

Un equipo de investigadores de Kaspersky Lab y Citizen Lab en la Universidad de Toronto publicaron un estudio en el que se analizaron las controversiales acciones de la firma italiana Hacking Team. Según el reporte, el Hacking Team les vende equipos de vigilancia a los gobiernos y las fuerzas de seguridad estatales de diferentes países alrededor del mundo. Las principales herramientas de espionaje desarrolladas por la firma italiana están diseñadas especialmente para intervenir dispositivos móviles de usuarios investigados por la justicia.

Gracias a esta tecnología, las agencias del gobierno pueden fácilmente monitorear la localización geográfica, utilizar el micrófono de los dispositivos, interceptar cualquier mensaje enviado desde los smartphones y robar cualquier información alojada en el teléfono de los usuarios espiados.

Los investigadores de Kaspersky Lab también realizaron un estadio sobre una interesante campaña de fraude llevada a cabo durante esta semana, conocida como Luuuk. Durante esta campaña, un grupo de hackers robó más de medio millón de euros de uno de los principales bancos de Europa. Según detallaron los expertos de Kaspersky Lab, los criminales utilizaron un malware similar a Zeus, que sirvió para engañar a 200 clientes con ataques “man-in-the-browser”.

Una grave vulnerabilidad de seguridad en Pay Pal

El miércoles pasado, un grave error apareció en la versión de Pay Pal para móviles. Este bug, según detallaron expertos de Duo Security, podría brindarles a potenciales atacantes la posibilidad de traspasar el mecanismo de autenticación de dos factores y habilitar la transferencia de dinero desde la cuenta de los usuarios a las cuentas de los criminales.

La falla está presente en la forma en que Pay Pal maneja la autenticación en sus aplicaciones de iOS y Android. Desde la compañía afirmaron que están al tanto de este bug, pero que el parche que soluciona el problema recién estará listo en julio. Dada la seriedad de este problema, lo más recomendable es que los usuarios de Pay Pal estén muy atentos a las actividades en sus cuentas.

Lanzan un parche para un bug de seguridad en Android

Una seria vulnerabilidad en el código de ejecución de Android 4.3 fue parcheada en la versión KitKat. Desafortunadamente, este bug podría afectar a casi todos los usuarios de esta plataforma. Lo peor es que la implementación de este parche de Android dependerá completamente de la compañía proveedora del servicio de telefonía de cada usuario. En este sentido, muchísimos usuarios podrían permanecer vulnerables.

Traducido por: Guillermo Vidal Quinteiro

Consejos