La compañía informa de que en la mayoría de los casos, los piratas informáticos pudieron tener acceso a información de clientes (nombres, direcciones, números de teléfono, correos electrónicos, números de pasaportes e itinerarios) que pernoctaron en sus hoteles. No se descarta que el o los intrusos pudieran tener acceso también a datos relacionados con las tarjetas de crédito.

Marriott asegura que está haciendo todo lo que puede para resolver la situación y ayudar a sus clientes. La brecha de seguridad se detectó hace dos meses con una herramienta interna. Pero llevó varias semanas rastrear toda la información potencialmente afectada y determinar qué tipo de contenido podría haberse visto comprometido.

Tras la investigación interna se determinó que un tercero tuvo acceso a la base de datos, copió información que no estaba encriptada e intentó robarla. Marriott adquirió Starwood hace dos años para crear un gigante con más de un millón de habitaciones por todo el planeta. Pagó por ella 13.600 millones de dólares, tras una puja que duró varios meses con el conglomerado chino Anbang.

Marriott ha creado un sitio web (info.starwoodhotels.com) y un centro de llamadas para informar a los clientes. Además, enviará correos electrónicos a los afectados y permitirá el acceso sin cobro al servicio WebWatcher para verificar si sus datos personales son utilizados. Starwood tiene entre sus marcas los hoteles Sheraton, Westin, Le Méridien y Four Points.

fuente: noticiasseguridad.com

Según las primeras investigaciones, el incidente de seguridad aconteció en algún momento del 9 de noviembre. Ese mismo día, Dell detectó e interrumpió el ataque dirigido a los datos personales de sus clientes, incluyendo nombres, direcciones email y contraseñas.

Según los reportes emitidos, la empresa se encuentra realizando una profunda investigación, misma que hasta el momento no ha arrojado evidencia irrefutable de que los actores maliciosos hayan conseguido acceso a los datos resguardados por Dell.

Como medida de seguridad, la empresa ha restablecido las contraseñas de todos los usuarios de su plataforma en línea. Asimismo, Dell afirma que información financiera como información de tarjetas de pago o más datos sensibles no se han visto comprometidos en el ataque. “Datos de tarjetas de pago y otros detalles confidenciales no fueron detectados por los hackers”, menciona el anuncio de seguridad de la compañía.

Los equipos de ciberseguridad y forense digital de Dell aún no tienen claro cómo es que los hackers consiguieron acceso a la información resguardada en su sitio web, si es que explotaron alguna vulnerabilidad o si el acceso fue debido a otras causas. No obstante, la empresa afirma que ya han sido implementadas las medidas de seguridad pertinentes para mitigar el riesgo de un segundo ciberataque.

“Después de detectar el intento de robo de datos, implementamos un protocolo de defensa e iniciamos una investigación. También nos encontramos colaborando con una firma forense digital externa, que realizará una investigación independiente, cumpliendo con las leyes en materia de protección de datos”, menciona Dell.

A todos los usuarios de Dell inscritos en la plataforma dell.com, especialistas en seguridad informática recomiendan cambiar su contraseña a la brevedad. Como medida de seguridad adicional, se recomienda a los usuarios monitorear constantemente las transacciones realizadas con sus tarjetas de crédito e informar a su institución bancaria sobre cualquier actividad anómala visible en sus estados de cuenta.

fuente: noticiasseguridad.com

Del cloud a los ataques desde el interior, la superficie de ataque no deja de crecer en la moderna empresa.
El aumento de las ciberamenazas, combinado con los procesos de transformación digital que muchas empresas están experimentando en la actualidad, hace que el papel del CISO tenga cada vez más importancia en las empresas. El estudio de Kaspersky Lab muestra que sobre los CISOs hay ahora más presión que nunca: el 57% de los CISO europeos considera que las estructuras complejas, que incluyen nube y movilidad, representan un gran desafío de seguridad, y el 50% se muestra preocupado por el continuo aumento en el número de ciberataques.

Los CISOs creen que los grupos cibercriminales con motivaciones financieras (40%) y los ataques maliciosos desde el interior (29%) representan los mayores peligros para sus empresas, y estas son además las amenazas más difíciles de prevenir, bien porque detrás están cibercriminales “profesionales”, bien porque cuentan desde dentro con la ayuda de ciertos empleados.

La dificultad de justificar los presupuestos hace que los CISOs tengan que competir con otros departamentos
Los presupuestos asignados a la ciberseguridad están creciendo. Casi la mitad de los CISOs europeos (49%) espera que aumenten, mientras que casi la otra mitad (49%) cree que se mantendrán.

No obstante, los CISO se enfrentan a grandes desafíos presupuestarios, ya que para ellos es casi imposible mostrar un claro retorno de la inversión (ROI) o conseguir una protección del 100% contra los ciberataques.

Por ejemplo, más de una tercera parte (36%) de los CISOs reconoce que no pueden conseguir los presupuestos de seguridad que necesitan porque no pueden garantizar que no se producirá una brecha de seguridad. Y cuando los presupuestos de seguridad en la empresa son parte del gasto total de TI, los CISO se ven compitiendo con los demás departamentos. La segunda razón para no conseguir más presupuesto es que la seguridad es en ocasiones parte del gasto general de TI. Además, un tercio de los CISOs (33%) afirma que el presupuesto que pueden conseguir se prioriza para proyectos digitales, cloud o de otro tipo que pueden justificar más claramente su ROI.

Los CISOs necesitan ser escuchados por el Consejo de Administración a medida que la transformación digital de las empresas avanza
Los ciberataques pueden llegar a tener repercusiones dramáticas para las empresas. Más de una cuarta parte (27%) de los participantes en el estudio de Kaspersky Lab se refirió a los daños reputacionales como las consecuencias más críticas de un ciberataque, seguidas por los daños financieros (25%).

Sin embargo, a pesar del impacto negativo de un ciberataque, solo el 26% de los responsables de seguridad de TI encuestados son miembros del Consejo de sus empresas. Y en Europa, entre aquellos que no lo son, 4 de cada 10 (41%) creen que deberían serlo.

La mayoría de los responsables de seguridad TI europeos (64%) cree que participan adecuadamente en el proceso de toma de decisiones en la empresa. Sin embargo, como la transformación digital se vuelve clave para la dirección estratégica de las grandes empresas, la ciberseguridad también debería hacerlo. El rol del CISO debe desarrollarse para reflejar estos cambios, dándoles la capacidad de influir en las decisiones.

Alfonso Ramírez director general de Kaspersky Lab Iberia, dijo: “Históricamente, los presupuestos de ciberseguridad se han visto como un gasto de baja prioridad en TI, pero ya no es así. La superficie de ataque en las empresas modernas está creciendo, al igual que la frecuencia, el impacto de las ciberamenazas y el coste de los ciber incidentes. El resultado es que cada vez más miembros del Consejo tratan la seguridad TI como una inversión”.

“Hoy en día, los riesgos de ciberseguridad están a la cabeza en la agenda de los directores generales, financieros y de riesgo”, continúa. “De hecho, un presupuesto de ciber seguridad no es solo una forma de evitar el incumplimiento legal y los riesgos desastrosos asociados a ello, es una forma de proteger la continuidad del negocio, así como las inversiones clave de la empresa”.

X.Org X Server es una popular implementación de código abierto del sistema X11 que ofrece un entorno gráfico para una gama más amplia de plataformas de hardware y sistemas operativos. Acorde a reportes de especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, este sirve como intermediario entre las aplicaciones entre clientes y usuarios para administrar las pantallas gráficas.

De acuerdo con una publicación realizada por el ingeniero Narendra Shinde, Xorg Server no maneja y valida correctamente los argumentos de al menos dos parámetros de la línea de comandos, lo que permite a un usuario con privilegios limitados ejecutar código malicioso y sobrescribir cualquier archivo, incluidos los archivos administrados por usuarios con altos privilegios en el sistema.

La vulnerabilidad, identificada con la clave CVE-2018-14665, se introdujo en el paquete 1.19.0 de X.Org Server y permaneció sin detectar durante casi dos años, además podría haber sido explotada por un atacante local en la terminal o por SSH para elevar sus privilegios en el sistema seleccionado para el ataque.

De acuerdo al informe publicado por Shinde, los dos parámetros vulnerables en cuestión son:

modulepath: para establecer una ruta de directorio para buscar los módulos de X Server
logfile: para establecer un nuevo archivo de registro para el servidor Xorg, en lugar de usar el archivo de registro predeterminado que se encuentra en /var/log/Xorg.n.log en la mayoría de las plataformas

Por su parte, una firma de ciberseguridad y forense digital mencionó: “Una verificación de permisos incorrecta para las opciones modulepath y logfile cuando se inicia el servidor Xorg X permite a los usuarios sin privilegios la posibilidad de iniciar sesión en el sistema a través de la consola física para escalar sus privilegios y ejecutar código arbitrario con privilegios de raíz”.

La fundación X.Org ahora ha lanzado la versión 1.20.3 del servidor X.Org con parches de seguridad para solucionar el problema.

Distribuciones de Linux populares como OpenBSD, Debian, Ubuntu, CentOS, Red Hat y Fedora han publicado los avisos correspondientes confirmando la presencia del problema y mencionando que ya trabajan en el lanzamiento de los parches de actualización para cada distribución.

En septiembre, British Airways reveló que hackers habían irrumpido en sus medios virtuales de venta de pasajes y habían pasado dos semanas intentando robar la información personal y datos de tarjeta de crédito de 380.000 personas que compraron sus pasajes mediante el sitio web y aplicación oficial de la compañía.

Pero el alcance de la intrusión es mayor que el sugerido: una investigación más profunda sobre la amenaza indicó que existen al menos 185.000 víctimas más que se añaden a la lista de usuarios afectados por el ataque.

La investigación confirmó que se habían expuesto los nombres, direcciones de domicilio, direcciones de correo electrónico y datos completos de sus tarjetas de crédito – incluyendo el número CVV necesario para hacer compras por teléfono o computadora – de 77.000 usuarios de British Airways. 108.000 usuarios adicionales también se vieron afectados por el ataque, ya que se expusieron también sus datos con excepción de los números CVV.

El informe aclaró que los clientes afectados son sólo los que compraron los pasajes con una tarjeta de crédito, débito o con algún cupón de regalo entre el 21 de abril y el 28 de julio de 2018. La compañía afirmó que estaba notificando a las 185.000 víctimas que se acaban de descubrir para informarles sobre lo sucedido y orientarlas en el proceso de protección de sus datos privados y financieros.

Pero las nuevas investigaciones también traen algunas buenas noticias: British Airways aseguró que, aunque el número de usuarios que corría peligro es mucho mayor, por ahora sólo se ha confirmado el robo de los datos de 244.000 tarjetas. Asimismo, la compañía confirmó una vez más que “no ha verificado ningún caso de fraude” vinculado con esta situación.

British Airways aclaró una vez más que el hecho de que el número de víctimas potenciales haya aumentado no implica que se haya robado los datos de todas esas personas. “Aunque British Airways no tiene evidencias concluyentes de que los datos se hayan extraído de sus sistemas, está tomando una postura preventiva al notificar a todos los clientes que podrían haber sido afectados para recomendarles que se pongan en contacto con sus bancos o proveedores de tarjetas como precaución”, dijo la compañía.

Para los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, la decisión de la empresa es incomprensible dada la magnitud del robo de datos, pues el tipo de información sustraída podría ayudar a los cibercriminales a crear programas maliciosos basados en ingeniería social.

Medidas de protección de Facebook

Sobre los usuarios que han sufrido las consecuencias en mayor medida (alrededor de 14 millones de personas), Facebook dio a conocer que los datos robados incluían nombre de usuario, género, ubicación/idioma, relación sentimental, religión, ciudad natal, ciudad de residencia actual, fecha de nacimiento, dispositivos utilizados para acceder a Facebook, formación académica, trabajo, lugares visitados, y páginas que siguen.

Por lo general, las empresas afectadas por incidentes similares, como Target en 2013, brindan servicios de protección y monitoreo de información para reducir el riesgo de robo de identidad usando la información robada. Otras compañías hackeadas, como Playstation Network o Equifax han implementado medidas similares después de ser atacadas.

Una portavoz de Facebook comentó para los medios que la empresa no brindaría estos servicios, al menos no por el momento. En su lugar, los usuarios serían dirigidos a la sección de ayuda del sitio web.

“Las medidas de protección que estamos brindando a los afectados se basan en los tipos reales de datos a los que se accede, incluidos los pasos que pueden tomar para protegerse de correos electrónicos sospechosos, mensajes de texto o llamadas”, dijo la portavoz.

La noticia del robo de datos se hizo pública el 5 de octubre, cuando Facebook declaró que era probable que 50 millones de usuarios hubiesen sido afectados, aunque su equipo de forense digital informó posteriormente que la cifra era de alrededor de 30 millones de usuarios.

“No hemos descartado la posibilidad de ataques de menor escala, pero seguimos investigando la situación”, escribió el jefe de administración de productos de Facebook, Guy Rosen, en un comunicado publicado a través de su blog.

Los datos robados podrían ser muy valiosos para los hackers, considera Joseph Lorenzo Hall, experto en forense digital. “Lo verdaderamente preocupante es la posibilidad de que las cuentas de otros servicios, además de Facebook, también puedan ser comprometidas”, menciona el experto. Asimismo, considera que Facebook tal vez debería ofrecer acceso premium gratuito a servicios de administración de contraseñas y más software similar.

Facebook enfrenta en Europa una multa de hasta 1.63 mil millones de dólares (el 4% de sus ingresos globales anuales) debido a este incidente, considerado como la primera gran prueba para el Reglamento General de Protección de Datos (GDPR), vigente en la comunidad europea desde mayo pasado.

fuente: noticiasseguridad.com

A pesar de los importantes esfuerzos realizados por muchas organizaciones estadounidenses para concientizar a sus empleados en temas de seguridad de la información, una reciente investigación muestra que aún faltan muchas áreas por reforzar.

Según el informe anual sobre el estado de la privacidad y la seguridad de una firma de ciberseguridad y forense digital, el 75% de los empleados encuestados presenta un riesgo moderado o grave para la seguridad de datos de su organización, mientras que el 85% de los trabajadores de áreas financieras muestran cierta falta de información sobre seguridad de datos y privacidad.

Tom Pendergast especialista en forense digital a cargo de la investigación, menciona que fueron encuestados más de mil empleados de compañías en Estados Unidos para cuantificar el estado de privacidad y conciencia de seguridad en 2018. Este año, el número de personas consideradas como un riesgo para la seguridad de sus organizaciones incrementó de manera considerable respecto al último informe elaborado por la firma el año pasado.

“En general, los resultados muestran una tendencia poco satisfactoria, pues los encuestados obtuvieron peores resultados en todos los ámbitos en comparación con el año anterior”, dice Pendergast. “Aún así, me sorprendería que en cinco años no hubiera una mejora significativa. Hay una creciente conciencia cultural y empresarial sobre la necesidad de cubrir la privacidad de la información”, menciona el experto.

La firma basó su estudio en una variedad de preguntas basadas en casos reales, como la correcta identificación de información personal, conexión a WiFi público, y detección de emails de phishing. A partir de las respuestas obtenidas, los encuestados fueron divididos en tres categorías de riesgo: riesgoso, novato y heroico.

Entre los principales hallazgos de la investigación se encuentran:

• El desempeño de los encuestados fue peor este año en todas las categorías que fueron medidas. Los encuestados calificaron de forma insatisfactoria en la identificación de malware, correos de phishing y riesgos en el uso de redes sociales
• Los gerentes mostraron hábitos más riesgosos que los empleados operativos en las categorías de identificación de malware y correos maliciosos. Sólo el 69% de los gerentes respondió de forma correcta, en contraste del 86% de los empleados de nivel inferior
• De los siete sectores industriales encuestados, los empleados en áreas de finanzas obtuvieron los puntajes más bajos. El 85% mostró una preocupante falta de conocimiento en ciberseguridad y protección de datos
• El 14% del total de empleados encuestados no pueden identificar emails de phishing

Para los especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, este 14% es más que suficiente para que un atacante encuentre una vía para atacar a una organización, ya que un solo error es más que suficiente para dejar entrar malware a la estructura de una empresa. Sólo se necesita que una persona haga clic en el lugar incorrecto para que esta amenaza entre en la organización. Si esto sucede, la información de todos los que ahí laboran se verá comprometida.

fuente: http://noticiasseguridad.com

Parece una historia de hollywood, sin embargo la investigadora de seguridad de Google Project Zero, Natalie Silvanovich, encontró una vulnerabilidad crítica en  WhatsApp que podría permitir a los piratas informáticos tomar el control total de su WhatsApp solo por videollamadas a través de la aplicación de mensajería. La vulnerabilidad es un problema de desbordamiento de la alta cantidad de memoria que se activa cuando un usuario recibe un paquete RTP con formato incorrecto especialmente diseñado a través de una solicitud de videollamada, lo que resulta en un error de corrupción y falla de la aplicación móvil de WhatsApp.

Dado que la vulnerabilidad afecta a la implementación de Whatsapp de RTP (Protocolo de transporte en tiempo real), la falla afecta a las aplicaciones de Android e iOS, pero no a la Web de WhatsApp que se basa en WebRTC para las videollamadas.

fuente: thehackernews.com

De acuerdo con una alerta de seguridad distribuida a los bancos de manera privada, el Servicio Secreto ha recibido múltiples informes sobre una forma compleja de skimming en la que los agentes maliciosos invierten varios días para llevar a cabo.

Este tipo de ataque, conocido como “ATM Wiretapping” comienza cuando los ladrones usan un taladro para hacer un agujero relativamente grande en la parte frontal de un cajero automático. Luego, el agujero se oculta con una placa de metal. Los ladrones posteriormente pescarán el dispositivo de raspado de tarjetas a través del orificio y lo conectarán al lector de tarjetas interno mediante un imán.

Acorde a reportes de expertos en hacking ético, a menudo los ladrones realizan esta instalación con un endoscopio, un instrumento delgado y flexible utilizado en la medicina para darles a los médicos una mirada dentro del cuerpo humano. Al conectar un endoscopio USB a su teléfono, los intrusos pueden mirar dentro del cajero automático para asegurarse de que su skimmer haya sido conectado al lector de forma correcta.

El Servicio Secreto dice que una vez que el skimmer está en su lugar y el agujero ha sido remendado, los ladrones a menudo esperarán un día más o menos para colocar una cámara. “Se cree que los ladrones se toman este plazo para garantizar que las vibraciones de la perforación no activen una alarma de la tecnología antideslizante del cajero”, se lee en la alerta. “Cuando los ladrones están convencidos de que no han activado ninguna alarma interna al perforar y buscar dentro del cajero automático, regresan para terminar el trabajo adaptando una cámara oculta dentro del cajero”.

Es difícil citar todos los informes del Servicio Secreto sin darles a los ladrones un plan detallado sobre cómo llevar a cabo estos ataques. Aun así, se sabe de varias fuentes que dedican gran cantidad de tiempo a monitorear foros sobre cibercrimen y hacking ético que han compartido varios documentos con instrucciones, aparentemente brindando detalles minuciosos cómo ejecutar estos ataques. Este tipo de conocimiento circula de manera más fluida que nunca en la comunidad del cibercrimen.

Especialistas en el tema consideran que cada vez es más difícil detectar dispositivos de skimming en los cajeros automáticos, pues muchos están diseñados para integrarse dentro de varios componentes del dispositivo. Asimismo, recomiendan a los usuarios enfocarse en proteger su propia integridad física mientras está en el cajero automático. Si visita un cajero automático que parezca extraño, alterado o fuera de su sitio, intente encontrar otra máquina. Use sólo cajeros automáticos en áreas públicas y bien iluminadas, y evite los que se encuentran en lugares aislados.

Lo más importante es que cubra el teclado del cajero con su mano cuando ingrese su PIN, de esa manera, incluso si los ladrones consiguen acceso a su tarjeta, hay menos posibilidades de que también puedan obtener su PIN. Le sorprendería saber cuántas personas omiten esta medida de precaución básica.

fuente: noticiasseguridad.com

Recientemente, un grupo de investigadores de seguridad acaba de descubrir esta nueva botnet en la red, una botnet que es, en prácticamente todos los sentidos, superior a Mirai, la que hasta ahora era una de las mayores preocupaciones de los expertos de seguridad.

Tal como se ha podido comprobar, el grupo de piratas informáticos ha creado binarios para una gran de arquitecturas diferentes, como MIPS, ARM, x86, x64, PowerPC y SuperH, adaptando los binarios a cada tipo de arquitectura para reducir la probabilidad de ser detectada y, además, poder implementar medidas de persistencia especiales para cada tipo de dispositivo.

Cómo funciona la botnet Torii
Aunque de momento no se sabe muy bien cuál es la finalidad de esta botnet, desde luego los piratas informáticos detrás de ella saben muy bien lo que están haciendo. Tal como han podido demostrar los investigadores de seguridad, esta botnet busca nuevos dispositivos para infectar a través del puerto 23 Telnet, pero, a diferencia de otras, el ataque llega directamente desde la red Tor.

Como ocurre con la mayoría de los ataques informáticos de la red Tor, esta botnet busca dispositivos que utilicen credenciales Telnet poco seguros, pudiendo establecer conexión a través de este protocolo con el dispositivo y usando comandos como wget, ftpget, ftp, busybox wget o busybox ftpget para lograr cargar el malware en cuestión.

Cuando el dispositivo está infectado, la comunicación con el servidor de control se realiza completamente cifrada, lo que complica el análisis de estas comunicaciones.

Torii cuenta con 6 sistemas de ejecución automática para garantizar la persistencia, además de abarcar muchas más arquitecturas que Mirai, los piratas informáticos responsables de esta botnet han cuidado especialmente su persistencia, siendo la tercera botnet, después de VPNFilter y Hide and Seek, en tener un mayor grado de persistencia para permanecer en los dispositivos infectados.

Según los investigadores, cuando el binario (el cual llega a través de Telnet como hemos explicado) se ejecuta en el dispositivo, automáticamente se crean una serie de reglas para garantizar su supervivencia:

• Se inyecta automáticamente en ~\.bashrc.
• Crea una regla @reboot en crontab.
• Se configura como un servicio “System Daemon” desde systemd.
• Vuelve a llamarse como “System Daemon” desde /etc/init y PATH.
• Activa la ejecución automática desde SELinux Policy Management.
• Se ejecuta desde /etc/inittab.

Como hemos dicho, no se sabe muy bien cuál es la finalidad de esta botnet ya que, de momento, no ha llevado a cabo ningún ataque ni ha hecho nada, simplemente permanece latente, aumentando su número de dispositivos zombies y esperando a atacar. Según los expertos se cree que la finalidad principal de la misma es, como ocurre con Mirai y otras botnet similares, llevar a cabo ataques DDoS o minar criptomonedas, pero, para saberlo, habrá que esperar.

Cómo protegernos de Torii
La forma de protegernos de esta botnet y evitar pasar a formar parte de ella es igual a la de otras botnets, es decir, bastará con tener nuestros dispositivos IoT actualizados con las últimas versiones del firmware y, muy importante, cambiar la contraseña por defecto de Telnet (que normalmente es la contraseña del dispositivo como tal) por otra mucho más segura y robusta. Así, aunque Torii intente conectarse a nuestro dispositivo no podrá hacerlo y, por ello, no podrá infectarlo.

fuente: redzone