En las noticias de esta semana repasamos lo \u00faltimo sobre el enfrentamiento de Microsoft con NoIP, adem\u00e1s, presentamos las novedades en seguridad m\u00e1s importantes, revisamos algunos de los \u00faltimos fraudes del Mundial de F\u00fatbol, y alertamos sobre lagunas de seguridad de Android.<\/p>\n
Microsoft contra NoIP<\/strong><\/p>\n Como ya dijimos en nuestro \u00faltimo resumen de noticias la semana pasada, Microsoft ha conseguido una orden judicial temporal contra la peque\u00f1a empresa de hosting NoIP, mediante la cual la compa\u00f1\u00eda de Gates asume el control de al menos dos docenas de dominios registrados con NoIP. Microsoft piensa que la empresa permit\u00eda a criminales registrar dominios da\u00f1inos e infraestructuras botnet, y as\u00ed conseguir beneficios. NoIP y algunos expertos en seguridad desmienten estas acusaciones, pero esta clausura tambi\u00e9n tiene sus defensores. Si est\u00e1s interesado en conocer los detalles de este caso, encontrar\u00e1s en Securelist un art\u00edculo de Costin Raiu, director del Global Research y Analysis Team de Kaspersky Lab, y un reportaje de Denis Fisher en Threatpost.<\/p>\n Para el gigante inform\u00e1tico de Redmont, las negociaciones y el cierre no eran m\u00e1s que el comienzo de un nuevo cap\u00edtulo de la saga. El lunes devolvi\u00f3 el total de los 23 dominios confiscados a Vitalwerks, la empresa propietaria de NoIP. Poco despu\u00e9s, Microsoft anunciaba que cooperar\u00eda con NoIP para poder averiguar con mayor precisi\u00f3n qu\u00e9 dominios estaban actuando de forma maligna.<\/p>\n Hacia finales de la semana, sin embargo, Microsoft publicaba un comentario sobre un acuerdo alcanzado con Vitalwerks, alegando que esta empresa no hab\u00eda estado involucrada de forma intencionada en el uso de los subdominios para la distribuci\u00f3n de malware. Ambas empresas finalmente cooperaron para identificar los dominios malignos.<\/p>\n Patch Tuesday y otros parches<\/strong><\/p>\n Si a\u00fan no lo has hecho, deber\u00edas instalar las \u00faltimas actualizaciones de Microsoft y Adobe. Microsoft ha publicado seis boletines que solucionaban, en total, 29 fallos de seguridad.<\/p>\n Sin embargo, es necesario hacer una menci\u00f3n especial a uno de estos boletines: la actualizaci\u00f3n acumulativa para Internet Explorer. Kurt Baumgardtner, Security Researcher de Kaspersky Lab, escribe en su an\u00e1lisis sobre los parches que los 23 errores de Remote Code Execution e Internet Explorer que este parche corrige, requieren una soluci\u00f3n inmediata.<\/p>\n Pero a\u00fan hay otras actualizaciones importantes: Yahoo ha corregido algunos errores cr\u00edticos en sus servicios de email y mensajer\u00eda, as\u00ed como en la p\u00e1gina de fotos flicker, perteneciente a Yahoo. Antes de la entrega de las actualizaciones, hab\u00eda tres vulnerabilidades que permit\u00edan a los hackers insertar scripts malignos que posibilitaban secuestrar tu sesi\u00f3n o llevar a cabo acciones de phishing, por ejemplo.<\/p>\n Colgarle a Android<\/strong><\/p>\n Investigadores de Curesec han publicado un blog que describe brechas muy interesantes de seguridad que pueden ser utilizados para diferentes prop\u00f3sitos tan interesantes como da\u00f1inos. Los errores pueden permitir a un atacante evitar el sistema de permisos de Android, a trav\u00e9s de apps, para realizar o terminar llamadas o para enviar claves USSD (Servicio Suplementario de Datos no Estructurados), desde un dispositivo vulnerable.<\/p>\n Estos errores son interesantes por varios motivos. Un atacante puede ganar dinero si hace que un dispositivo Android marque n\u00fameros Premium para los cuales el due\u00f1o del dispositivo tiene que pagar tarifas m\u00e1s elevadas. Sin embargo, las mencionadas claves USSD, sirven para una larga lista de herramientas y pueden permitir a los atacantes establecer reenv\u00edo de llamadas, desactivar tarjetas SIM, y causar m\u00e1s problemas.<\/p>\n No estoy seguro de entender por qu\u00e9 una petici\u00f3n que solicita que un adulto que mordi\u00f3 a otro adulto durante un partido de f\u00fatbol sea readmitido en ese deporte, constituye un cebo eficaz para phishing. Pero \u00bfqu\u00e9 puedo decir? Supongo que ya conoc\u00e9is los detalles: Luis Su\u00e1rez, delantero de Uruguay, y uno de los delanteros con m\u00e1s talento del mundo, fue excluido del mundial despu\u00e9s de haber mordido adrede al defensa italiano Giorgio Chielini.<\/p>\n Curiosamente, no era la primera vez que Su\u00e1rez atacaba a un jugador con los dientes. Pero tal y como les gusta a los estafadores hacer con los eventos medi\u00e1ticos, los phishers han falsificado una web en la que se encuentra una supuesta petici\u00f3n para la readmisi\u00f3n de Su\u00e1rez. La p\u00e1gina se camufla como una web de la FIFA leg\u00edtima, y solicita al visitante firmar la petici\u00f3n \u2013 para lo cual la p\u00e1gina web pide registrar el nombre, pa\u00eds de origen, direcci\u00f3n email, y n\u00famero de m\u00f3vil.<\/p>\n Pero esta es solamente una de las t\u00e1cticas fraudulentas m\u00e1s populares actualmente en torno al Mundial de F\u00fatbol.<\/p>\n