![\"blackhat_title\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2013\/08\/05214244\/blackhat_title.png\")
<\/a>Hay dos realidades contradictorias en la conferencia de seguridad Black Hat: por un lado, el evento es profundamente corporativo. All\u00ed acuden los cient\u00edficos inform\u00e1ticos m\u00e1s brillantes, los mejor pagos, respetados y profesionales del mundo. Aunque la gran mayor\u00eda de las reuniones est\u00e1n enfocadas a la empresa, tambi\u00e9n hubo -para suerte nuestra- una serie de conversaciones de los consumidores este a\u00f1o.<\/p>\nPor otro lado, este lugar est\u00e1 absolutamente repleto de matones. Si tienes una computadora o un smartphone o cualquier cosa de valor y acudes a la Black Hat, en Las Vegas, Nevada (en el Palacio de C\u00e9sar en particular), encontrar\u00e1s que es uno de los entornos m\u00e1s hostiles del mundo occidental (estas fueron las palabras \u2013algo exageradas- que le\u00ed en un correo electr\u00f3nico que recib\u00ed de la compa\u00f1\u00eda que cre\u00f3 el evento). Redes inal\u00e1mbricas, cajeros autom\u00e1ticos y personas que nunca he visto antes, nada de fiar. Parte de la diversi\u00f3n para los hackers en Black Hat es intentar humillar y robar a quienes asisten. La sala de prensa es un laberinto de cables y el \u00fanico lugar seguro para estar online. Es muy extra\u00f1o pasar la mayor parte del d\u00eda offline, fuera de la segura sala de prensa con conexiones a Internet seguras, estando en la conferencia de tecnolog\u00eda m\u00e1s famosa del mundo.<\/p>\n
De todas formas, m\u00e1s extra\u00f1a es la dicotom\u00eda entre los criminales sin una base de educaci\u00f3n formal y los investigadores con doctorados en matem\u00e1ticas. La l\u00ednea entre los ciberdelincuentes y los agentes vestidos de civil del gobierno federal es muy fina \u2013 especialmente cuando te das cuenta de que ambos grupos tratan de aprender acerca de las mismas t\u00e9cnicas de ataque. No tengas ninguna duda, casi todo el mundo aqu\u00ed es un hacker y la pirater\u00eda es la \u00fanica cosa seria de la cual se habla.<\/p>\n
Hackeando Humanos<\/strong><\/p>\n Lamentablemente, Barnaby Jack muri\u00f3 justo una semana antes de poder brindar su conferencia \u201cDispositivos m\u00e9dicos trasplantables: Hackeando Humanos\u201d. El brillante investigador de seguridad estaba a la vanguardia de la investigaci\u00f3n sobre los dispositivos m\u00e9dicos trasplantables (son aquellos que se implantan en el cuerpo de un paciente como las bombas de insulina o el marcapasos), un tema que Kaspersky va a estudiar prontamente. Muchos de estos equipos trasmiten se\u00f1ales y tienen la capacidad de comunicarse de forma inal\u00e1mbrica con dispositivos fuera del cuerpo. Obviamente, son hackeables, de ah\u00ed que la p\u00e9rdida de Barnaby Jack sea muy desafortunada. El famoso y querido hacker neozeland\u00e9s llev\u00f3 dos cajeros autom\u00e1ticos a la sala de presentaci\u00f3n de Black Hat hace unos a\u00f1os. A lo largo de la charla, se sent\u00f3 en su computadora port\u00e1til y los hacke\u00f3 de todas las formas imaginables. Manipul\u00f3 sus pantallas, hizo uno de ellos piense que recib\u00eda un billete de 20 d\u00f3lares en vez de varios de \u00a0$5, y \u2013 por supuesto \u2013 cerr\u00f3 su exposici\u00f3n forzando al otro cajero autom\u00e1tico a regar el escenario de dinero.<\/p>\n Hackeando Casas<\/strong><\/p>\n Hubo tres reuniones relacionadas con la seguridad del hogar en Black Hat este a\u00f1o. En lo que podr\u00eda haber sido una simple y sencilla conferencia m\u00e1s, los investigadores Porter y Stephen Smith demostraron lo incre\u00edblemente f\u00e1cil que es burlar los sistemas de seguridad de la oficina y el hogar. Hay unos 36 millones de sistemas vulnerables en los EE.UU. y los que ellos examinaron tuvieron tres puntos principales de an\u00e1lisis: sensores de puertas y ventanas, sensores de movimiento y un teclado. El teclado, dijeron, es el cerebro de la operaci\u00f3n. El teclado arma y desarma el sistema y se comunica a un tercero cuando cualquiera de los sensores se ha disparado.<\/p>\n Porter y Smith demostraron que pod\u00edan enga\u00f1ar a los sensores basados \u200b\u200ben circuitos con elementos muy baratos, como imanes y bandas de metal. Estos sensores son los que crean un circuito cuando los dos lados del sensor se tocan (circuito cerrado: bueno). Cuando el circuito est\u00e1 roto (circuito abierto: mal), al abrirse una puerta o ventana, el sensor hace sonar la alarma y comunica que se ha producido una violaci\u00f3n al teclado. El teclado luego informa al tercero que la alarma ha sonado.<\/p>\n Las alarmas del sensor de movimiento pueden ser falseadas f\u00e1cilmente. Los investigadores no se explican por qu\u00e9 y mi comprensi\u00f3n del espectro electromagn\u00e9tico es un poco limitada, pero por alguna raz\u00f3n, la iluminaci\u00f3n infrarroja causa algunos problemas a las alarmas de detecci\u00f3n de movimiento. Cuando los investigadores expusieron los sensores a la luz infrarroja (por ejemplo, encendiendo un encendedor com\u00fan), los sensores generan alarma. Tambi\u00e9n fueron capaces de enga\u00f1ar a los sensores de movimiento de forma a\u00fan m\u00e1s sencilla. Se trata s\u00f3lo de protegerse de los sensores de movimiento con un gran pedazo de cart\u00f3n o espuma de poliestireno y as\u00ed se enga\u00f1a a los sensores como si no hubiese movimiento.<\/p>\n Lo m\u00e1s alarmante es que los teclados tambi\u00e9n son vulnerables. B\u00e1sicamente, el teclado recibe se\u00f1ales el\u00e9ctricas de los sensores. Si se activan los sensores, enteran a esto al teclado y \u00e9ste le avisa a un tercero que est\u00e1 programado para contar. Puede ser a la polic\u00eda o a tu smartphone. Los teclados pueden comunicar de tres maneras: tel\u00e9fono fijo, celular o transmisi\u00f3n de informaci\u00f3n. Es imposible que se atasque o se intercepte el tr\u00e1fico de datos en todos ellos.<\/p>\n En otra charla, Daniel Crowley, David Bryan y Jennifer discutieron salvajemente los riesgos que enfrentamos cuando conectamos nuestros aparatos electrodom\u00e9sticos como calentadores o cerraduras o incluso inodoros a nuestras redes dom\u00e9sticas. M\u00e1s espec\u00edficamente, Behrang Fouladi y Sahand Ghanoun demostraron un ataque a las vulnerabilidades de los sistemas de automatizaci\u00f3n del hogar Z-Wave. El protocolo Z-Wave est\u00e1 creciendo en popularidad y es capaz de controlar los sistemas HVAC, cerraduras de puertas, iluminaci\u00f3n, y otras cosas de tu casa.<\/p>\n La preocupaci\u00f3n m\u00e1s grande es que el equipo de seguridad del hogar es vulnerable pero no puede ser reparado, como un ordenador o una pieza de software. Cuando Microsoft se entera de un error, construyen un parche, y env\u00eda el remiendo; pero en este caso, la mayor\u00eda de los sistemas de seguridad carecen de la capacidad de auto-actualizaci\u00f3n de sus respectivos firmwares, por lo que, para corregir un error en un producto, un t\u00e9cnico tendr\u00eda que entrar en el sistema, lo cual es costoso y molesto. En la mayor\u00eda de los casos nadie se molesta en corregir estos errores, sino m\u00e1s bien dejar que los sistemas sigan vulnerables. Por otra parte, si conectas tu sistema a Internet, debes asegurarte de que tienes alg\u00fan tipo de protecci\u00f3n contra los ataques a distancia y que el proceso de actualizaci\u00f3n es seguro tambi\u00e9n. Muchos vendedores no est\u00e1n a\u00fan preparados para jugar en este campo \u2013 como ver\u00e1s en el siguiente p\u00e1rrafo.<\/p>\n Hackeando como en Hollywood<\/strong><\/p>\n Un investigador de vulnerabilidades de Maryland llamado Craig Heffner hacke\u00f3 c\u00e1maras de vigilancia personal y empresariales al mejor estilo de Hollywood. Afirma que miles de estas c\u00e1maras, desplegadas en hogares, empresas, hoteles, casinos, bancos, e incluso prisiones militares e instalaciones industriales, son accesibles en Internet y vulnerables a los tipos de ataques que se ven en las pel\u00edculas. Heffner desarroll\u00f3 un ataque a modo de prueba en el que se podr\u00eda congelar y manipular v\u00eddeos de forma remota.<\/p>\n Hackeando Tel\u00e9fonos<\/strong><\/p>\n Dos charlas en particular podr\u00edan romper toda la confianza del ecosistema m\u00f3vil. Uno de ellas fue presidida por un investigador alem\u00e1n de Security Research Labs\u00a0Karsten Nohl\u00a0que estudia ataque a las tarjetas SIM. La otra charla era \u201cUna Ra\u00edz Para Poseer Todo\u201d de Jeff Forristal, dedicada a la mayor vulnerabilidad de Android master, sobre la cual publicaremos prontamente un informe completo.<\/p>\n B\u00e1sicamente, una tarjeta SIM es muy peque\u00f1a, pero tiene todas las funciones inform\u00e1ticas dedicadas a asegurar el almacenamiento y la transmisi\u00f3n de datos a trav\u00e9s de la red celular. Nohl dio cuenta de que las tarjetas SIM en quiz\u00e1s hasta un mil millones de tel\u00e9fonos inteligentes son vulnerables porque se comunican con el cifrado de datos est\u00e1ndar, com\u00fanmente conocido como DES. \u00c9ste sol\u00eda estar encriptado una vez aprobado por la Agencia de Seguridad Nacional. Como investigador me se\u00f1al\u00f3 en un taxi que compartimos hasta el aeropuerto, DES es muy favorable, ya que requiere poca memoria y funciona r\u00e1pidamente. Pero, por desgracia, es bastante antiguo y se rompe f\u00e1cilmente. As\u00ed que al parecer estas tarjetas SIM est\u00e1n fabricados para que los operadores de red y proveedores de servicios uno pueda comunicarse con ellos despu\u00e9s de que han sido vendidas a los usuarios finales. Esta comunicaci\u00f3n es necesaria para parchear una facturaci\u00f3n y otros prop\u00f3sitos como se puede leer en este excelente relato (enlace en ingl\u00e9s).<\/a> La comunicaci\u00f3n entre las tarjetas SIM y los proveedores de servicios son b\u00e1sicamente mensajes de texto que no aparecen en el tel\u00e9fono, pero son procesados \u200b\u200bdirectamente por la tarjeta SIM. Casi todos los tel\u00e9fonos en el mundo, dijo Nohl, contienen una tarjeta SIM que puede enviar y recibir este tipo de mensajes de texto sin conocimiento del usuario. En tres a\u00f1os, la investigaci\u00f3n de Security Labs encontr\u00f3 s\u00f3lo un tel\u00e9fono que hace caso omiso de estas comunicaciones a trav\u00e9s over-the-air (OTA) por completo.<\/p>\n Para\u00a0garantizar estas comunicaciones, los mensajes est\u00e1n cifrados o protegidos por firmas criptogr\u00e1ficas o ambas opciones. Estas medidas hacen poca diferencia, ya que Nohl se las arregl\u00f3 para descifrar los mensajes m\u00e1s all\u00e1 de si utilizaban protecci\u00f3n o no. Las claves se basan en gran medida en el viejo algoritmo DES. El servidor OTA que pertenece a los proveedores de la red y las tarjetas SIM a su vez utilizan la misma clave \u2013 probablemente para ahorrar espacio en las tarjetas SIM. Si sabes la clave, entonces puedes enga\u00f1ar a la tarjeta SIM haci\u00e9ndose pasar por el proveedor de la red. La demostraci\u00f3n de Nohl tiene mucho de matem\u00e1ticas, de modo que resumo que lo importante es saber que una vez que se convenci\u00f3 a estas tarjetas SIM de que eres el proveedor, se podr\u00eda explotar esta situaci\u00f3n <\/a>de varias maneras: enviar mensajes de texto a clientes premium, desviar llamadas, actualizar el firmware de la tarjeta SIM y robar dem\u00e1s datos de la tarjeta, por ejemplo, aplicaciones de pago de algunas tarjetas SIM. La buena noticia es que muchos operadores han comenzado a enviar 3DES m\u00e1s seguros o tarjetas SIM AES con capacidad duradera y algunas de las grandes empresas de telecomunicaciones implementaron r\u00e1pidamente varias soluciones basadas en la red.<\/p>\n Hackeando la Ley<\/strong><\/p>\n Marcia Hoffmann de la Fundaci\u00f3n Electronic Frontier <\/a>encabez\u00f3 una conferencia de advertencia sobre los peligros legales que pueden enfrentar los investigadores cuando se exponen a las vulnerabilidades de seguridad. Parte de la raz\u00f3n por la cual Internet sigue siendo tan dif\u00edcil de asegurar es que los hackers con buenas intenciones a menudo se encuentran en problemas legales por denunciar vulnerabilidades en los sistemas. Gran parte de su charla se centr\u00f3 en estudios de casos espec\u00edficos, pero su mensaje general fue una advertencia: el lenguaje vago lleva a demandas espec\u00edficas. Lo que quiso decir es que muchas de las leyes que el gobierno utiliza para procesar estos delitos online son obsoletos, porque se crearon en un momento donde la Internet y las computadoras eran distintas, de modo que hay que reformularlas.<\/p>\n Hackeando TVs<\/strong><\/p>\n Como era de esperar, los llamados televisores inteligentes tambi\u00e9n son vulnerables. Las dos sesiones informativas, una presentada por Seungjin \u2018Beist\u2019 Lee y otra por Aaron Grattafiori y Josh Yavor, demostraron que existe una amplia gama de posibles ataques contra estos caros dispositivos, que se venden a decenas de millones de personas por a\u00f1o.<\/p>\n Si bien no pude acudir a estas conversaciones, s\u00ed fui a la conferencia de prensa previa a la reuni\u00f3n. Seg\u00fan Grattafiori y Yavor, descubrieron una serie de vulnerabilidades en los sistemas operativos subyacentes de estos aparatos de televisi\u00f3n conectados a Internet. El d\u00fao afirm\u00f3 \u2013 y demostr\u00f3 en su conferencia \u2013 que un atacante remoto puede secuestrar aplicaciones de la plataforma y tomar el control de los dispositivos para, as\u00ed, robar informaci\u00f3n almacenada en la cuenta. Adem\u00e1s, se calcula que los atacantes tambi\u00e9n podr\u00edan comandar tanto c\u00e1maras como micr\u00f3fonos para realizar diversas actividades relacionadas con la vigilancia o utilizar estos sistemas como un pelda\u00f1o para llegar a las redes locales en las que operan.<\/p>\n Hackeando Coches<\/strong><\/p>\n Tienes que esperar a conocer \u00e9ste. Charlie Miller y Chris Valasek asistieron a Black Hat, pero van a estar presentando su truco del autom\u00f3vil en DEF CON \u2013 la conferencia de hackers m\u00e1s duros \u2013 que comienza cuando termina la Black Hat. No voy a asistir, pero definitivamente voy a escribir todo acerca de su demostraci\u00f3n tan pronto como pueda. Mientras tanto, mira c\u00f3mo rien Miller y Valasek\u00a0desde el asiento trasero de un coche mientras que hackean el coche que maneja el periodista de Forbes,\u00a0Andy Greenberg. Tambi\u00e9n puedes leer m\u00e1s acerca de la pirater\u00eda de coches aqu\u00ed.<\/a><\/p>\n Hackeando Internet<\/strong><\/p>\n Recientes avances en inform\u00e1tica y matem\u00e1tica\u00a0demostrados en Black Hat revelaron que entre 2 y 5 a\u00f1os se podr\u00eda romper con el cifrado y la infraestructura actual\u00a0de certificados de toda Internet.\u00a0Para evitar esto, casi todas las empresas la fabricaci\u00f3n de productos relacionados con Internet, ya sea navegadores, servidores web, c\u00e1maras de seguridad y otras, tendr\u00e1n que actualizar sus software para utilizar algoritmos m\u00e1s modernos.<\/p>\n Es f\u00e1cil salir de Black Hat pensando que Internet ya no tiene remedio, pero la verdad optimista es que la gran mayor\u00eda de los hombres y mujeres incre\u00edblemente inteligentes que presentan y asisten al evento est\u00e1n trabajando para solucionar los problemas de Internet y de todas las diversas cosas con las cuales nos conectamos a ella. Al escucharlos hablar es, por un lado, destructor de tu propio ego ya que da cuenta de nuestro bajo sistema de inteligencia y por otro lado, es tambi\u00e9n inspirador\u00a0ya que podr\u00edan tener \u00e9xito en lo que a menudo parece imposible: la creaci\u00f3n de un entorno online seguro, confiable y que promueva la privacidad personal.<\/p>\n \u00a0<\/p>\n","protected":false},"excerpt":{"rendered":" Las Vegas \u2013 El \u00faltimo d\u00eda de julio y el primero de agosto, en un hotel con casino romano del tipo imperial, inspirado en el desierto de Mojave se llev\u00f3<\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[507,508,412],"class_list":{"0":"post-1074","1":"post","2":"type-post","3":"status-publish","4":"format-standard","6":"category-news","7":"tag-black-hat","8":"tag-conferencia","9":"tag-hackeos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hackeando-todo-en-la-conferencia-black-hat\/1074\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/black-hat\/","name":"black hat"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/1074","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=1074"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/1074\/revisions"}],"predecessor-version":[{"id":24448,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/1074\/revisions\/24448"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=1074"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=1074"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=1074"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}