Las noticias de la semana: eBay fue hackeado e Internet Explorer resulta vulnerable

Las contraseñas de usuarios de eBay fueron comprometidas en una fuga de datos; aparece otro ataque de día cero para Internet Explorer; Samsung quiere implementar verificación por iris; y hay nuevos parches para Chrome.

Esta semana no hemos tenido muchas novedades en lo que se refiere a noticias sobre seguridad. Esto convierte el aviso de ayer sobre los cibercriminales que infringieron un servidor en el que se guardaban contraseñas de los usuarios del gigante de las subastas online eBay en la historia más importante de esta semana. También es destacable la noticia sobre otro ataque de día cero en el navegador Internet Explorer de Microsoft.  Pero también hay noticias buenas: Samsung está desarrollando nuevas formas de verificación biométrica que van más allá de las huellas dactilares. Y, como siempre, también mencionaremos algunos parches.

eBay comprometido

eBay anunció ayer a través de su página web corporativa (eBay Inc.) que unos cibercriminales comprometieron una base de datos que contenía nombres de usuarios, contraseñas cifradas, direcciones de correo electrónico, direcciones físicas, números de teléfonos y fechas de nacimiento. Debido a que en el servidor comprometido se guardaban contraseñas cifradas, eBay obligará a los usuarios a cambiar sus contraseñas en los próximos días y semanas. Cuando vayas a cambiar tu contraseña eBay, asegúrate de ir directamente a la página web de eBay desde tu navegador, en lugar de seguir un enlace procedente de un email o que hayas encontrado en una red social.

El motivo por el que no deberías seguir enlaces que se encuentran en emails o redes sociales es que los datos sensibles que estaban guardados en el servidor podrían dar a los hackers la información necesaria para que puedan realizar ataques de phishing. Los cibercriminales muchas veces usan este tipo de información para crear emails de phishing que pretenden ser de eBay (o de otros servicios online legítimos). Normalmente, estos emails llevan un enlace que llevará al usuario a una página web maliciosa, pero que parece ser de confianza. El objetivo de estas páginas es engañar a los usuarios para que entreguen sus credenciales de acceso.

Como siempre, si has usado la misma contraseña en diferentes páginas, tendrás que cambiarla para cualquier cuenta online en la que hayas usado la misma contraseña que tenías para iniciar sesión en tu cuenta eBay.

Es bastante interesante que este incidente ocurriera después de que a comienzos de esta semana se anunciara que varias cadenas comerciales habían decidido formar alianzas para compartir datos en caso de amenaza debido a la fuga de datos de Target. En otras palabras, van a compartir información sobre los ataques a los que se enfrentan para poder así – colectivamente – protegerse mejor.  Pocos días más tarde, se publicó un informe que sugiere que las empresas son cada vez más capaces de evitar las fugas de datos. Será interesante ver si la fuga de eBay, que se debió a algunos datos de acceso comprometidos de unos empleados, terminará por validar o contradecir esta conclusión.

Ataque día cero para IE.

Lo bueno de esta situación es que esta vulnerabilidad solo afecta a Internet Explorer 8, una versión vieja de este navegador. Lo malo es que Microsoft no está seguro de cuándo habrá una actualización que arregle el problema. Sin embargo, el gigante de la informática admitió que esta seria vulnerabilidad existe y está trabajando en un parche.

Sin volverme demasiado técnico, pero probablemente siendo más técnico de lo necesario, la vulnerabilidad de día cero para Internet Explorer 8 podría permitir a un hacker a implementar códigos maliciosos en ordenadores vulnerables usando un ataque llamado “drive-by-download” o adjuntando archivos maliciosos en emails. Un ataque “drive-by-download” es esencialmente un tipo de ataque en el que el hacker integra malware en una página web. Cuando un usuario accede a esa página con un navegador vulnerable, el ordenador del usuario queda infectado con el malware.

¿Qué se puede hacer, aparte de actualizar Internet Explorar a su versión más nueva, IE 10? La verdad es que no mucho, solo hay tres recomendaciones: ten cuidado cuando navegues por Internet, ten cuidado con los archivos adjuntos en emails y asegúrate de instalar los próximos parches de seguridad de Microsoft en el momento de su publicación (si tienes activada la actualización automática, entonces no tienes que preocuparte por esto último). De hecho, todo el mundo debería seguir estos consejos de todos modos.

Reconocimiento de iris

Para que el resumen de esta semana no sea del todo pesimista, Samsung ha anunciado esta semana que está planeando incorporar sensores biométricos como lectores de ojos en un mayor número de sus productos en el futuro. La empresa afirma que estas funciones estarán disponibles incluso en sus productos menos caros.

Esta acción reforzaría la seguridad en los dispositivos de Samsung y, según diversos informes, podría terminar por ser integrado en el sistema de seguridad Knox de la empresa en un futuro.

Será interesante observar si el lector de iris resultará más o menos resistente a ataques potenciales que la verificación por huellas dactilares.

Lo más reciente

Mientras escribo están apareciendo informes sobre un problema de cifrado en la aplicación para Android de Microsoft Outlook que podría revelar los emails de usuarios y también los archivos adjuntos a estos. Puedes leer más aquí y hablaremos sobre este problema en el podcast sobre las noticias de este mes.

Los parches de siempre

Como siempre, tenemos algunos parches que deberías tener en cuenta. Esta semana son de Google, que solucionó 23 vulnerabilidades de seguridad en Chrome, incluyendo tres problemas de alto riesgo. Así que, si usas Chrome y no dejas que el navegador instale las actualizaciones de manera automática, deberías instalar estas actualizaciones lo antes posible.

Consejos