Las noticias de esta semana – 1 de Abril

Más problemas para Bitcoin, problemas de seguridad para el Tesla S, los investigadores nos hablan sobre el phishing global y un chico joven descubre un error grave en XBOX Live

Noticias 1 de abril

Comenzamos nuestro resumen de esta semana esperando a la próxima, cuando Microsoft – por fin – suspenderá su apoyo al sistema operativo Windows XP, que por un tiempo fue omnipresente, siempre vulnerable, y que aún sigue siendo usado ampliamente. Más sobre esto la próxima semana.

 

En cuanto a las cosas que realmente sucedieron esta semana: tenemos más noticias de Bitcoin; problemas de seguridad en relación con el Tesla S; revelaciones sobre el “juego” de phishing a nivel mundial; arreglos para el navegador Safari de Apple; errores en un Smart TV de Phillips y mucho más.

Según un informe de Reuters, un juez federal en el estado de Texas (EE.UU.)  ha ordenado que el director ejecutivo de Mt. Gox, Mark Karpeles, viaje a EE.UU. y responda a preguntas sobre la declaración de quiebra de la plataforma de intercambio de Bitcoin. Mt. Gox – una vez el más grande intercambiador mundial de la cripto-moneda digital Bitcoin – cerró en febrero después de perder unos 400 millones de dólares (aprox. 290 milliones de euros) y posteriormente se declaró en quiebra. Según consta, Karpeles entabló un pleito al Capítulo 15 de protección de bancarrota en la misma corte de Texas a la que ha sido convocado, con el fin de evitar una acción popular presentada en Chicago. El juez texano opina que, si Karpeles quiere obtener protección por parte de su corte, entonces él debería venir y presentarse delante de ésta.

Según mi compañero Chris Brook de Threatpost, algunos modelos de los populares SmartTVs de Philips con acceso a Internet contienen una vulnerabilidad que podría posibilitar a un atacante acceder a información sensible dentro del sistema y de los archivos de configuración del televisor, así como a cualquier archivo que pueden estar en una USB conectada al propio televisor. Si ese usuario navega por Internet en el mismo televisor, un atacante podría robar las cookies y utilizarlas para acceder a determinados sitios web o cuentas en línea. El problema tiene que ver con una función de WiFi llamada Miracast, que está habilitada por defecto con una contraseña predeterminada y fija. Esta contraseña permite que cualquier persona dentro del alcance del adaptador de WiFi del dispositivo pueda conectarse al televisor y acceder a sus múltiples funciones.

Uno de mis otros compañeros en Threatpost, Dennis Fisher, informó que el automóvil Tesla S, popular, de alta calidad y totalmente eléctrico, usa un sistema de autenticación de un factor, débil, para una aplicación móvil que permite a los usuarios abrir/desbloquear su vehículo y más. El investigador Nitesh Dhanjani descubrió que  cuando los nuevos propietarios se inscriben en una cuenta en la página web de Tesla, deben crear una contraseña de seis caracteres. Esa contraseña se usa luego para iniciar sesión en la aplicación para el iPhone. La aplicación ofrece a los propietarios la posibilidad de manejar las cerraduras de las puertas, los sistemas de suspensión y frenado y el techo solar. El verdadero problema aquí es que no hay límite en los intentos de conexión, lo que significa que un atacante puede realizar ataques a fuerza bruta contra una contraseña relativamente corta. Seis caracteres son fáciles de descubrir en un sistema sin límite de intentos de inicio de sesión.

De paso, me gustaría recordar a todos los usuarios de Apple que el gigante de la informática de Cupertino, California, ha publicado más de 25 correcciones de vulnerabilidades de seguridad para su navegador Safari. Algunos de estos bugs son muy graves, por lo que sería mejor actualizar el navegador lo antes posible.

Nuestros amigos investigadores de Securelist lanzaron la primera parte de su observación del oscuro mundo de las ciber-amenazas financieras del 2013. La parte 1 es un extenso análisis del entorno global del phishing. En resumen, encontraron que el 31 por ciento de todos los ataques de phishing en 2013 se dirigieron a instituciones financieras. Cerca del 22 por ciento de todos los ataques involucraron sitios web bancarios falsos, lo que duplica los datos del año anterior, 2012, en el que sólo el 11 por ciento de este tipo de ataques usaba páginas web falsas de bancos. Algo menos del 60 por ciento de los ataques de phishing bancarios explotaron las marcas de sólo 25 bancos internacionales, con el 40 por ciento restante explotanto las marcas de más de 1.000 bancos.

Para terminar, una noticia de la BBC: un niño de cinco años, de San Diego, California, descubrió un defecto en la popular plataforma de juego online Xbox Live, que le permitió iniciar sesión en la cuenta de su padre sin la contraseña correcta. El niño, Kristoffer Von Hassel, intentó entrar a la cuenta web XBOX Live de su padre. Cuando introdujo la contraseña incorrecta, se le pidió que la introduzca de nuevo. Él le dio a la barra espaciadora, y, como si fuera magia, consiguió entrar.

“Me puse nervioso. Pensé que [mi papá] se iba a enterar” dijo Kristoffer en un canal de televisión local, KGTV. “Pensé que alguien iba a robar la Xbox.”

La BBC dice que el padre de Kristoffer, quien trabaja en seguridad, informó de los detalles del error a Microsoft. A su vez, Microsoft corrigió el problema y dio las gracias al chico por su ayuda.

Consejos