Noticias de la semana: una grave vulnerabilidad de seguridad en PayPal

Los parches de OpenSSL no funcionan como deberían, novedades acerca del Hacking Teamen Kaspersky Lab, y graves fallos de seguridad en PayPal y Android

PayPal

Entre las noticias de esta semana, el Heartbleed de OpenSSL se está instalando a un ritmo muy lento, ha sido una semana intensa para nuestros amigos de Investigación y Análisis Global de Kaspersky Lab, hay una grave vulnerabilidad en la verificación en dos pasos de PayPal, y mucho más:

Entre las noticias de esta semana, el Heartbleed de OpenSSL se está instalando a un ritmo muy lento, ha sido una semana intensa para nuestros amigos de Investigación y Análisis Global de Kaspersky Lab, hay una grave vulnerabilidad en la verificación en dos pasos de PayPal, y mucho más:

Comprobando el Heartbleed

El grave fallo de seguridad en Internet de OpenSSL que puede ser utilizado por los hackers para robar información sensible, no ha desaparecido, aunque tampoco hemos hablado de ello desde hace algún tiempo. Dicho esto, todas las semanas leemos nuevos informes y advertencias instando a los usuarios a renovar algún sistema o software, después de que el vendedor responsable te haya vendido un parche para OpenSSL. Por desgracia, las nuevas investigaciones sugieren que el entusiasmo por librar a Internet de este fallo, capaz de robar las claves cifradas de los usuarios, está disminuyendo.

Dentro de una década habrá miles de sistemas vulnerables, incluyendo las infraestructuras críticas.

Rob Graham, de Errata Security, ha estado evaluando una de las principales vías que tiene Internet para cifrar el tráfico de datos, con el fin de identificar todos los sistemas que aún usan una versión vulnerable de OpenSSL. En su primer análisis, demostró que unos 600.000 sistemas siguen siendo vulnerables. Su segundo análisis fue bastante alentador, 300.000 sistemas se habían instalado el parche, lo que significaba que enun mes, la mitad de los sistemas vulnerables que encontró en su primera exploración se habían hecho fuertes. Sin embargo, su tercer análisis, casi tres meses después de que surgiera la noticia del bug, es mucho menos prometedor, pues 300.000 sistemas siguen siendo aún vulnerables.

“Esto indica que incluso los usuarios han dejado de instalar el parche”, escribió Graham en su blog. “Deberíamos registrar una ligera disminución de las vulnerabilidades en la próxima década, a medida que los sistemas más antiguos van siendo lentamente reemplazados. Sin embargo, incluso dentro de una década, seguiré encontrando miles de sistemas, incluyendo los críticos, aún vulnerables”

Herramientas de vigilancia y campañas sobre fraude

Un equipo de investigadores de Kaspersky Lab junto con Citizen Lab, en la Escuela Munk de Asuntos Globales y la Universidad de Toronto, publicó un informe sobre la controvertida sociedad italiana HackingTeam. Aparentemente, HackingTeam vende equipos de vigilancia a gobiernos y organismos policiales de todo el mundo. Se ha estado investigando a HackingTeam desde hace un tiempo, pero la nueva investigación publicada esta semana examina las herramientas de espionaje móvil de HackingTeam.

Las nuevas ofertas para móviles del grupo ofrecen a los gobiernos y a los funcionarios encargados de hacer cumplir la ley, la capacidad de monitorizar ubicaciones, robar datos desde sus dispositivos, utilizar el micrófono del dispositivo en tiempo real, interceptar notas de voz y mensajes enviados a través de aplicaciones como Skype, WhatsApp, Viber, y mucho más.

 

Los investigadores de Kaspersky Lab, también informaron acerca de una interesante campaña de fraude esta semana, conocida como Luuuk. La campaña, permitió a los hackers robar a principios de año, más de medio millón de euros a un banco europeo en el transcurso de una semana. Usando una versión personalizada de Zeus, los estafadores engañaron a 200 clientes con una serie de ataques man-in-the-browser.

Una grave vulnerabilidad de seguridad en PayPal

El miércoles, apareció una vulnerabilidad en la gestión de PayPal de ciertas peticiones de los móviles de los clientes, que pueden permitir a un atacante eludir el mecanismo de verificación en dos pasos para el servicio y la transferencia de dinero desde la cuenta de la víctima, a cualquier otra cuenta.

El fallo está relacionado con la forma en que PayPal gestiona la autentificación en sus aplicaciones de iOS y Android. PayPal es consciente del problema (que fue notificado por investigadores de Duo Security) desde marzo, y ha implementado una solución, pero no está planeando un parche completo hasta finales de julio. La vulnerabilidad de la seguridad en PayPal es grave, por lo que los usuarios deben vigilar sus cuentas hasta que esté arreglada.

Solucionado el fallo de seguridad de Android

Una grave vulnerabilidad de ejecución de código en Android 4.3 y en versiones anteriores, fue parcheada por KitKat, la última versión de su sistema operativo. Lamentablemente, este error ha afectado a casi todos los usuarios de Android. Aún más lamentable, debido a que los parches de Android dependen casi enteramente de la voluntad de las compañías de telefonía móvil para ofrecer parches de Google a sus clientes, casi todos los usuarios de Android que eran vulnerables, seguirán siéndolo.

Consejos