Por un lado, como asistente a la conferencia, puedo decir que esto es una gran noticia que implica menos (o, probablemente, el mismo n\u00famero de) sesiones informativas acerca de bugs en plataformas oscuras de software, utilizados principalmente por empresas, y m\u00e1s charlas sobre vulnerabilidades en sistemas con los que los usuarios estamos familiarizados en nuestro vida cotidiana. Por otro lado, el enfoque cambiante de Black Hat es indicativo de una tendencia alarmante: las vulnerabilidades de seguridad se acercan cada vez m\u00e1s a nuestras vidas.<\/p>\n
Conferencia principal<\/strong><\/p>\n La conferencia m\u00e1s importante de este a\u00f1o fue presentada por un experto en seguridad muy respetado llamado Dan Geer. A diferencia del a\u00f1o pasado<\/a>, cuando el ex Director General de la NSA Keith Alexander present\u00f3 la suya, este a\u00f1o no hubo guardias armados, provocadores, ni personas con cartones de huevos escondidos en sus mochilas. En esta ocasion ,\u00a0la multitud escuchaba con atenci\u00f3n cada una de las palabras del discurso de casi 60 minutos en el que Geer, jefe de Seguridad de la Informaci\u00f3n de In-Q-Tel, capt\u00f3 la atenci\u00f3n con la explicaci\u00f3n de sus diez mandamientos de seguridad.<\/p>\n Adem\u00e1s,\u00a0Geer destac\u00f3 que EE.UU. deber\u00eda monopolizar\u00a0el mercado de ventas de vulnerabilidades, ofreciendo un precio diez veces superior al de cualquier error de venta y a continuaci\u00f3n colocar la informaci\u00f3n de la vulnerabilidad en un almac\u00e9n p\u00fablico, permitiendo as\u00ed que las empresas puedan arreglar cada bug y \u201creducir el inventario de las armas cibern\u00e9ticas\u201d que entre la seguridad, la libertad y la comodidad, podamos elegir s\u00f3lo dos en un momento dado; que la religi\u00f3n y el software son los dos \u00fanicos elementos en los que la responsabilidad de producto no existe; y que los ISP pueden optar por cobrar lo que quieran bas\u00e1ndose en el contenido, asumiendo la responsabilidad de ese contenido, o deben elegir apoyar la neutralidad de la red, y disfrutar de las protecciones de las compa\u00f1\u00edas p\u00fablicas.<\/p>\n \u201cElige sabiamente\u201d, dijo Geer<\/a>. \u201cISPs debe conseguir una o la otra, no ambas.\u201d<\/p>\n Hackeando humanos y hospitales<\/strong><\/p>\n Volviendo al tema de la seguridad que afecta a nuestra vida diaria, como se debati\u00f3 en una mesa redonda sobre seguridad en dispositivos m\u00e9dicos<\/a>, algunas vulnerabilidades est\u00e1n literalmente incrustadas en nuestros cuerpos. Pero mucho m\u00e1s comunes, cr\u00edticas, y que afectan a un mayor n\u00famero de personas, son las de los\u00a0dispositivos m\u00e9dicos que se encuentran en el hospital. Es s\u00f3lo cuesti\u00f3n de tiempo que surja un ataque a gran escala dirigido a uno o varios de estos dispositivos. La buena noticia es que los propios dispositivos son incre\u00edblemente seguros. Una bomba de insulina automatizada es mucho m\u00e1s efectiva corrigiendo los niveles de insulina que un adolescente con un medidor de glucosa en sangre y un suministro mensual de jeringuillas de insulina. Las vulnerabilidades est\u00e1n presentes en las formas en que estos dispositivos se comunican entre s\u00ed y, en muchos casos, en los dispositivos externos, aunque est\u00e9n bajo el control de los pacientes o de los m\u00e9dicos. Seamos sinceros, la probabilidad de que un asesino utilice un ordenador port\u00e1til para administrar una descarga mortal a un paciente con un marcapasos es rid\u00edculamente baja. Existen formas mucho m\u00e1s f\u00e1ciles de matar a un hombre.<\/p>\n \u00bfQui\u00e9n es responsable de la producci\u00f3n de parches para dispositivos m\u00e9dicos? \u00bfQui\u00e9n es responsable de instalar esos parches? \u00bfQui\u00e9n paga la cuenta? Desafortunadamente, las respuestas a estas preguntas son una combinaci\u00f3n borrosa de fabricantes de dispositivos, hospitales y de los propios usuarios. Y, cuando utilizamos el dispositivo m\u00e9dico, no estamos hablando s\u00f3lo de los marcapasos y las bombas de insulina; estamos hablando de m\u00e1quinas de resonancia magn\u00e9tica, ecocardiogramas, m\u00e1quinas de rayos X, la Tablet que un m\u00e9dico lleva consigo o, incluso, los ordenadores (a menudo m\u00e1quinas de Windows XP) que gestionan montones de datos m\u00e9dicos sensibles.<\/p>\n Por lo tanto, la mesa redonda decidi\u00f3 que la manipulaci\u00f3n maliciosa de los registros m\u00e9dicos es, quiz\u00e1s, el riesgo m\u00e1s probable y peligroso al que nos enfrentamos en este nuevo mundo de dispositivos m\u00e9dicos conectados.\u00a0Para acabar con una noticia positiva, es buena se\u00f1al que estemos hablando de estos problemas antes de que sucedan, lo cual es bastante raro en el sector de la alta tecnolog\u00eda.<\/p>\n Yahoo encriptar\u00e1 todas las comunicaciones de su servicio de e-mail<\/strong><\/p>\n Yahoo, que ha recibido muchas cr\u00edticas por no encriptar su e-mail, entre otras cosas, anunci\u00f3 una serie de cambios de seguridad que van a tener lugar en los pr\u00f3ximos meses y a\u00f1os. El m\u00e1s importante de estos cambios es un proyecto para encriptar todas las comunicaciones de su e-mail. La medida le igualar\u00e1 con Google.<\/p>\n Puedes leer m\u00e1s acerca de los cambios de seguridad que Yahoo est\u00e1 implementando en Kaspersky Daily<\/a> o en Threatpost.<\/a><\/p>\n Hackear coches\u00a0remotamente<\/strong><\/p>\n Ojal\u00e1 estuvi\u00e9ramos hablando de una conferencia en la que un par de investigadores hackearon un coche teledirigido. Pero por desgracia, hablo sobre un par de investigadores que descubrieron c\u00f3mo controlar remotamente varios modelos de coches reales, con el peligro que conlleva controlar desde la distancia estas dos toneladas de peso.<\/p>\n Llevo m\u00e1s de un a\u00f1o hablando en Kaspersky Daily sobre el hackeo de coches<\/a>, y probablemente, no dejemos de hacerlo. Esto se debe a que la conectividad de los coches es cada vez m\u00e1s frecuente. Hoy en d\u00eda, hackear un coche es un trabajo duro; se requieren conocimientos muy espec\u00edficos de protocolos muy concretos, que generalmente se usan s\u00f3lo en los coches.<\/p>\n Sin embargo, los coches tendr\u00e1n muy pronto sus propios sistemas operativos, sus propios mercados de aplicaciones y, con el tiempo, es posible que tengan sus propios navegadores web. Sistemas operativos, aplicaciones y navegadores son tres cosas que los atacantes saben c\u00f3mo explotar. Es m\u00e1s, igual que sucede con los dispositivos m\u00e9dicos, el problema de parchear las vulnerabilidades de seguridad en coches presentar\u00eda graves problemas. \u00bfEl cliente tiene que llevar el coche al concesionario para obtener la actualizaci\u00f3n? Si es as\u00ed, \u00bfcu\u00e1ntas personas traer\u00edan sus coches al taller para la actualizaci\u00f3n? O, \u00bftendr\u00edan que crear los fabricantes alg\u00fan mecanismo de actualizaci\u00f3n a distancia? Si \u00e9se es el caso, entonces, \u00bfqu\u00e9 pasar\u00eda si una actualizaci\u00f3n no funciona o, peor, es secuestrada o falsificada por un atacante?<\/p>\n La buena noticia es que Charlie Miller, de Twitter y Chris Valasek, de IOActive, han desarrollado una herramienta de detecci\u00f3n<\/a> de antivirus que permite ver si alguien est\u00e1 tratando de manipular las comunicaciones entre los distintos sensores y ordenadores integrados en los coches y, as\u00ed, bloquear el tr\u00e1fico malicioso.<\/p>\n BadUSB \u2013 todos los USBs son maliciosos<\/strong><\/p>\n Karsten Nohl ha desarrollado un exploit que se aprovecha del hecho de que casi todos los usuarios de ordenadores del mundo reconocen y aceptan la entrada de un USB. Nohl, cient\u00edfico jefe de Security Research Labs, llam\u00f3 a estos ataques \u201cBadUSB\u201d. Lo que hizo, esencialmente, fue sobrescribir el firmware incorporado en estos dispositivos con el fin de que \u00e9stos puedan realizar una larga lista de actos maliciosos, incluyendo la introducci\u00f3n de c\u00f3digos maliciosos en los equipos para redirigir el tr\u00e1fico de datos.<\/p>\n \u201cUn USB est\u00e1 dise\u00f1ado para actuar as\u00ed; nadie hizo nada malo\u201d, dijo Nohl. \u201cY no hay forma de arreglarlo. Mientras tengamos USBs, podemos hacer que estos dispositivos se hagan pasar f\u00e1cilmente por otros. Es un problema de seguridad estructural\u201d.<\/p>\n Debido a que este ataque est\u00e1 dirigido a los USB en general, miles de millones de m\u00e1quinas son potencialmente vulnerables a este problema. Nohl tambi\u00e9n se preocupa por la naturaleza del error y la posibilidad de que los exploits puedan deteriorar la confianza y aumentar la suspicacia. \u201cNo hay una herramienta de limpieza que elimine el firmware malicioso o lo sobrescriba. Esto hace que las infecciones se produzcan m\u00e1s f\u00e1cilmente y que sea m\u00e1s dif\u00edcil recuperarse de ellas\u201d.<\/p>\n Nohl se enter\u00f3 del ataque a partir del cat\u00e1logo de herramientas de hacking, ahora infame, de la NSA.<\/p>\n La cortes\u00eda de la banda CryptoLocker<\/strong><\/p>\n El grupo que acab\u00f3 con el ransomeware CryptoLocker<\/a> tambi\u00e9n estuvo presente en la conferencia Black Hat. En su ponencia, mostraron el correo electr\u00f3nico que les env\u00edo una v\u00edctima de CryptoLocker. La v\u00edctima, una madre soltera que no ten\u00eda el dinero necesario para pagar el rescate, suplic\u00f3 a los creadores del malware que le desbloquearan el ordenador, ya que lo necesitaba para poder trabajar.<\/p>\n Historias como \u00e9sta y otras similares obligaron a este grupo a reunirse y<\/a> acabar con CryptoLocker.<\/a> Curiosamente, dijeron que la banda responsable de manipular el ransomware de CryptoLocker era completamente fiel a su palabra. Durante meses, te hemos dicho que jam\u00e1s deber\u00edas\u00a0pagar por desbloquear tu ordenador ya que no existen garant\u00edas de que \u00e9ste sea desbloqueado tras pagar el rescate. Sin embargo, el equipo de CryptoLocker siempre fue honesto en ese sentido.<\/p>\n Al final de su presentaci\u00f3n, el grupo explic\u00f3 que este incre\u00edblemente retorcido y exitoso ransomware parec\u00eda ser simplemente una forma de hacer dinero para alguna otra conspiraci\u00f3n criminal. Por desgracia, no dieron m\u00e1s detalles.<\/p>\n Un software de rastreo fallido<\/strong><\/p>\n El investigador de Kaspersky Lab (y amigo del blog<\/a>) Vitaly Kamluk y el co-fundador de Cubica Labs, Anibal Sacco, presentaron una serie de actualizaciones en una vulnerabilidad de seguridad presente en una pieza de software de la que ya hemos hablado con anterioridad.<\/p>\n El software, desarrollado por Absolute Software y conocido como Computrace, es un producto anti-robo leg\u00edtimo en el que conf\u00edan muchas empresas de hardware y que pasa inadvertido para la mayor\u00eda de los fabricantes de antivirus. \u00bfY por qu\u00e9 no? Es un software leg\u00edtimo.<\/p>\n Sin embargo, Computrace es un poco misterioso<\/a>. Por razones que siguen siendo en gran parte desconocidas, Computrace viene activado por defecto en millones de m\u00e1quinas en todo el mundo. Absolute Software desmiente esto, explicando que Computrace est\u00e1 dise\u00f1ado para ser activado por los departamentos de usuarios o de IT. Lo que ocurre es que, una vez Computrace est\u00e1 habilitado, es incre\u00edblemente resistente, aguanta las restauraciones de f\u00e1brica y es capaz de reiniciarse en cada inicio del sistema. Es m\u00e1s, el producto contiene vulnerabilidades \u2013 la empresa se \u200b\u200bburla de esta clasificaci\u00f3n, aunque est\u00e1 de acuerdo en solucionar los problemas en cuesti\u00f3n \u2013 que aumenta las probabilidades de que los usuarios sufran ataques \u201cman-in-the-middle\u201d, que podr\u00edan exponer a las m\u00e1quinas afectadas a ser completamente controladas.<\/p>\n La culpa es de los sat\u00e9lites <\/strong><\/p>\n El investigador Rub\u00e9n Santamarta, de IOActive, descubri\u00f3 que casi todos los dispositivos involucrados en las comunicaciones por sat\u00e9lite (SATCOM) contienen vulnerabilidades, incluyendo puertas traseras (en ingl\u00e9s backdoor<\/em>), credenciales codificadas, protocolos inseguros y \/ o codificaciones d\u00e9biles.<\/p>\n Estas vulnerabilidades, afirma Santamarta, podr\u00edan brindarles a los atacantes no autentificados la posibilidad de comprometer totalmente los productos afectados.<\/p>\n SATCOM desempe\u00f1a un papel fundamental en la infraestructura mundial de las telecomunicaciones. No obstante, afirman que sus ataques tambi\u00e9n podr\u00edan afectar a buques, aeronaves, personal militar, servicios de emergencia, servicios de medios de comunicaci\u00f3n e instalaciones industriales como plataformas petroleras, gasoductos, plantas de tratamiento de agua y m\u00e1s.<\/p>\n En\u00a0resumen<\/strong><\/p>\n Los controles de las operadoras telef\u00f3nicas, que pueden ser suplantados, proporcionan a los proveedores de servicios y a potenciales agresores, el control generalizado de m\u00f3viles y otros dispositivos<\/a>. Un grave error en Android<\/a> podr\u00eda permitir a un atacante hacerse pasar por casi cualquier aplicaci\u00f3n de confianza. Los m\u00f3dems de banda ancha o tarjetas de datos, se consideran un blanco f\u00e1cil<\/a> para los atacantes.<\/a><\/p>\n Desgraciadamente, hubo muchas conferencias en Black Hat y s\u00f3lo un yo, que pasaba demasiado tiempo en la sala de prensa tratando de averiguar exactamente de qu\u00e9 hablaban todos estos investigadores. Si te interesa saber m\u00e1s acerca de Black Hat, Dennis Fisher y Mike Mimoso de Threatpost y yo volveremos el primer<\/a> y el segundo<\/a> d\u00eda del evento en art\u00edculos independientes. Fisher y Mimoso tambi\u00e9n publicaron un<\/a> art\u00edculo sobre DEF CON<\/a>, que empieza el d\u00eda en que termina Black Hat.<\/p>\n Adem\u00e1s de lo que se publica aqu\u00ed y en Threatpost, hay algunos informes muy buenos en la secci\u00f3n de prensa de la p\u00e1gina web<\/a> de Black Hat. Probablemente el hashtag Black Hat (#blackhat<\/a>) tenga una buena cobertura. Tambi\u00e9n es probable que puedas encontrar en Google informaci\u00f3n sobre casas automatizadas y ataques de seguridad del hogar.<\/p>\n![\"BH-IMAGE-2\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/08\/05224124\/BH-IMAGE-2.jpg\")
<\/a><\/p>\n![\"BH-IMAGE-5\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/08\/05224122\/BH-IMAGE-5.png\")
<\/a><\/p>\n![\"BH-IMAGE-3\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/08\/05224120\/BH-IMAGE-3.jpg\")
<\/a><\/p>\n![\"BH-IMAGE-4\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2014\/08\/05224119\/BH-IMAGE-4.jpg\")
<\/a><\/p>\n