Los memes y tweets de seguridad de la información del 2021

Recordamos los eventos más interesantes de la seguridad de la información del 2021… en memes y tweets.

En el siglo veintiuno, las descripciones detalladas y las pruebas de concepto no son suficiente para llamar la atención de todos hacia una vulnerabilidad. Se necesita un nombre comercial, un logotipo pegajoso, y un montón de memes inevitables en Twitter. Todo tipo de investigador, periodistas de TI, trabajadores de la industria y usuarios empáticos se entretiene con imágenes divertidas todo el tiempo.

Y en general, es muy útil: después de ver un meme, muchas personas leen sobre lo sucedido, y, en ocasiones, incluso toman medidas para arreglar la vulnerabilidad; o al menos hacen lo que pueden para evitar cometer el mismo error y ser protagonistas de un meme. También, la cantidad de memes que se derivan de un incidente puede darnos una idea de la gravedad del problema. Si dependiéramos únicamente de los memes para conocer las noticias más recientes sobre ciberseguridad, recordaríamos 2021 algo así:

Enero: actualización de la política de privacidad de WhatsApp

El año comenzó con millones de usuarios de WhatsApp que de pronto se enteraron de una actualización a la política de privacidad del servicio. El resultado fue un éxodo masivo a Telegram y, a sugerencia de un criador de perros famoso, a Signal, los cuales observaron un crecimiento importante en su audiencia. Creemos que este meme es el que mejor resume la situación con la nueva política de privacidad de WhatsApp.

 

Febrero: épico desglose de la seguridad de las cámaras IdT FootfallCam 3D Plus

La seguridad de los dispositivos IdT es famosa por sus deficiencias, pero cuando piensas que ya lo viste todo, algún fabricante de dispositivos inteligentes logra sorprenderte. Este hilo en Twitter lo explica todo (pero advertimos que la pena ajena es alta):

Marzo: vulnerabilidad de ProxyLogon

A principios de marzo, Microsoft liberó parches para Exchange que abordaban varias vulnerabilidades serias en el sistema. Esto es muy común, pero esta es la trampa: los atacantes habían estado explotando de forma activa algunas de las vulnerabilidades, se dice que desde enero o incluso antes. Así que para cuando se liberó el parche, más de 30,000  organizaciones los Estados Unidos habían sido hackeadas.

Abril: Signal trolea a Cellebrite

Para quienes no saben, Cellebrite produce equipo para las agencias policíacas, lo que permite que los empleados hackeen de manera fácil y conveniente los smartphone y obtengan información de su interés. Por este motivo, la empresa tiene un lugar especial en el corazón de los defensores de la privacidad. A finales del 2020, Cellebrite anunció que sus productos empezaban a dar soporte a Signal. En respuesta, el equipo de Signal publicó un estudio de las vulnerabilidades en el software de Cellebrite que incluía una broma sin igual:

Mayo: ataque de ransomware a Colonial Pipeline

Un ataque de ransomware a Colonial Pipeline, el sistema de oleoductos más grande de los Estados Unidos que mueve productos del petróleo interrumpió los suministros de gasolina y diésel a lo largo de la costa sureste del país. El incidente abrió el debate sobre el tipo de protección que este tipo de empresas debería tener, y el anuncio de la empresa sobre la búsqueda de un nuevo gerente de ciberseguridad se hizo viral en los medios sociales con el comentario “Seguro ahora ya tienen un presupuesto decente.”

Junio: un congresista publica por error su contraseña de correo electrónico y código PIN

El congresista estadounidense Mo Brooks, quien es miembro del Comité de Servicios Armados de la Cámara de Representantes de los Estados Unidos, y en específico, trabaja en un subcomité que tiene que ver con la ciberseguridad, hizo una contribución inusual a que se popularizara el almacenamiento de contraseñas seguro. En su cuenta personal de Twitter, publicó una foto de su monitor junto con una nota adhesiva que tenía la contraseña de su cuenta de Gmail y un código PIN. ¡Hablando de los clásicos! El tweet estuvo publicado durante varias horas y se hizo viral. Aunque Brooks terminó borrándolo, era demasiado tarde:

https://twitter.com/Josh_Moon/status/1401678401946243073

Julio: vulnerabilidad de PrintNightmare

Parece que los investigadores publicaron por error en GitHub un ataque de prueba de concepto mediante las vulnerabilidades CVE-2021-34527 y CVE-2021-1675 en el Administrador de trabajos de impresión de Windows. Con miedo a que los atacantes adoptarán rápidamente el método publicado, Microsoft dio a conocer un parche urgente sin siquiera esperar a la actualización de los martes. Incluso los obsoletos Windows 7 y Windows Server 2012 fueron parcheados. Sin embargo, los parches no resolvieron el problema por completo, y algunas impresoras dejaron de funcionar después de que se instaló.

Agosto: Black Hat y DEF CON

En agosto todo estaba muy tranquilo considerando el estándar del 2021. Por supuesto, hubo algunos incidentes que merecían ser inmortalizados con un meme, pero el más memorable fue el sufrimiento de los asistentes a la conferencia BlackHat y DEF, quienes debido a las restricciones de COVID-19, no pudieron llegar a Las Vegas este año.

https://twitter.com/Djax_Alpha/status/1423741831968342016

Septiembre: vulnerabilidad OMIGOD

Los usuarios de Microsoft Azure de repente descubrieron que cuando seleccionaban una gama de servicios, la plataforma instalaba un agente Open Management Infrastructure en la máquina virtual Linux al crearlo. Esto no daría tanto miedo si (a) el agente no tuviera vulnerabilidades bien conocidas, (b) a los clientes se les hubiera notificado sobre la instalación del agente, (c) OMI tuviera un sistema de actualización automática normal, y (d) la explotación de las vulnerabilidades no fuera tan fácil.

Octubre: Facebook se eliminó del Internet

Octubre fue un mes memorable gracias al gran apagón de Facebook. De acuerdo con los informes de los servicios de respuesta en emergencias, un actualización causó que los servidores DNS de Facebook no estuvieran disponibles en Internet.  Como resultado, los usuarios de la red social y varios otros servicios de la empresa, incluido Facebook Messenger, Instagram y WhatsApp, no pudieron iniciar sesión durante más de seis horas. Mientras utilizaban redes alternativas y otras aplicaciones de mensajería (lo que las sobrecargó) para quejarse, circulaban rumores disparatados en el Internet, como por ejemplo que los administradores de la empresa no podían acceder a los servidores porque su sistema estaba ligado a Facebook.

Noviembre: Certificados verdes falsos

De hecho, las falsificaciones validadas de los certificados digitales de vacunación que hicieron tanto ruido aparecieron a finales de octubre, pero la ola principal de sorpresa vino en noviembre. Qué sucedió: certificados verdes falsos estaban disponibles para compra en el Internet; y para ejemplificar, los vendedores mostraban certificados a nombre de Adolfo Hitler, Mickey Mouse y Bob Esponja. A juzgar por las noticias recientes, el problema de la diseminación de los certificados verdes falsos todavía es relevante.

Diciembre: vulnerabilidad Log4Shell

Casi todo el mes de diciembre pasó bajo el signo de Log4Shell, una vulnerabilidad crítica en la biblioteca Apache Log4j. Debido al uso generalizado de esta biblioteca en las aplicaciones Java, millones de programas y dispositivos eran vulnerables. La Fundación Apache liberó varios parches, y en varias ocasiones los investigadores encontraron maneras de eludir las defensas. A días de la publicación inicial, los botnets empezaron a buscar en Internet programas vulnerables, y los autores del ransomware se aprovecharon de la vulnerabilidad. Por lo que aparecieron tantos memes al respecto que alguien creó un sitio web de compilación.

https://twitter.com/secbro1/status/1469328495847346177

Esperemos que el próximo año esté más tranquilo. ¡Feliz año nuevo, queridos lectores!

Consejos