27/04/2024

Mes: noviembre 2021

phishing

GoDaddy hackeado, 1,2 millones de clientes en riesgo de ataque de phishing

Editor YPT 24/11/2021

Se expusieron las direcciones de correo electrónico de los clientes, al igual que las credenciales de inicio de sesión de WordPress y la base de datos.

El registrador de dominios GoDaddy ha compartido detalles de una grave brecha de seguridad que expuso los detalles de 1,2 millones de clientes.

En una divulgación a la Comisión de Bolsa y Valores de EE. UU., Demetrius Comes, director de seguridad de la información de GoDaddy, compartió detalles del ataque. Se descubrió actividad sospechosa el 17 de noviembre en el entorno de alojamiento de WordPress administrado de la empresa , que resultó ser un tercero que usaba una contraseña comprometida para obtener acceso.

Hasta 1,2 millones de clientes de WordPress administrado activos e inactivos tuvieron sus direcciones de correo electrónico y números de clientes expuestos. El tercero también obtuvo acceso a la contraseña de administrador de WordPress para estas cuentas, así como al nombre de usuario y la contraseña de la base de datos sFTP para los clientes activos. Para un "subconjunto de clientes activos", también se expuso la clave privada SSL.

GoDaddy está investigando el ataque con la ayuda de una firma forense de TI y la policía ha estado involucrada. Las contraseñas para las cuentas de WordPress y el acceso a la base de datos ya se han restablecido y se están emitiendo nuevos certificados SSL para los clientes afectados.

Aunque la compañía admite que las direcciones de correo electrónico que se exponen presentan el riesgo de ataques de phishing , hasta el momento no se ha ofrecido ninguna protección gratuita.

Comes concluye la divulgación declarando:

"Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes. Nosotros, el liderazgo y los empleados de GoDaddy, tomamos muy en serio nuestra responsabilidad de proteger los datos de nuestros clientes y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección ".

GoDaddy, una empresa de alojamiento web y dominios de Internet, anunció que casi 1,2 millones de las cuentas de sus clientes quedaron expuestas en un ataque reciente.

La compañía estadounidense presentó un informe de incidente ante la Comisión de Bolsa y Valores (SEC) el lunes, indicando que había identificado una 'actividad sospechosa' en su entorno de alojamiento de WordPress administrado.

Según el documento, "un tercero no autorizado accedió al sistema de aprovisionamiento en nuestra base de código heredado para WordPress administrado".

GoDaddy señala que se recopilaron correos electrónicos y números de clientes durante el ataque y advierte que esto podría resultar en ataques de phishing, un tipo de estafa en la que un atacante envía un mensaje fraudulento diseñado para engañar a la víctima para que les brinde información confidencial.

"Identificamos actividad sospechosa en nuestro entorno de alojamiento de WordPress administrado e inmediatamente comenzamos una investigación con la ayuda de una firma forense de TI y contactamos a la policía", dijo el director de seguridad de la información, Demetrius Comes, en la presentación.

La compañía, cuyas acciones cayeron alrededor de un 1,6 por ciento en las primeras operaciones del lunes, dijo que había bloqueado de inmediato al tercero no autorizado y que aún se estaba investigando. 

GoDaddy descubrió que el tercero no autorizado accedió a su sistema el 6 de septiembre de 2021, pero la firma no identificó el adjunto hasta el 17 de noviembre.

Para los clientes activos, se expuso el Protocolo de transferencia de archivos SSH, que es un protocolo de red que proporciona acceso, transferencia y administración de archivos a través de un flujo de datos, y se expusieron los nombres de usuario y las contraseñas de la base de datos.

Sin embargo, la presentación dice que GoDaddy ha restablecido ambas contraseñas.

Comes también señala que la firma está trabajando con las fuerzas del orden y las empresas forenses de TI privadas, según Engadget, que informó por primera vez sobre el asunto.

"Lamentamos sinceramente este incidente y la preocupación que causa a nuestros clientes", escribió Comes en la presentación de la SEC.

'Nosotros, el liderazgo y los empleados de GoDaddy, tomamos nuestra responsabilidad de proteger los datos de nuestros clientes muy en serio y nunca queremos defraudarlos. Aprenderemos de este incidente y ya estamos tomando medidas para fortalecer nuestro sistema de aprovisionamiento con capas adicionales de protección '.

Esta no es la primera vez que GoDaddy ha sido atacado: en 2012, un incidente separado cerró todos los sitios web alojados en su sistema, lo que afectó a miles, tal vez incluso a millones, de empresas.

El ataque dejó los sitios web fuera de línea durante varias horas el 10 de septiembre y un feed de Twitter afirmaba estar afiliado al grupo de piratas informáticos 'Anónimo'.

FoxNews luego identificó al pirata informático como el usuario de Twitter Own3r después de que envió un correo electrónico al sitio y verificaron la identidad del estafador a través de varias afirmaciones de Twitter. 

La compañía confirmó un ataque más reciente a GoDaddy en mayo de 2020 , admitiendo que   28,000 cuentas de alojamiento de clientes se vieron comprometidas en una violación de seguridad.

Según BleepingComputer , GoDaddy informó recientemente a los clientes que una "persona no autorizada" había obtenido acceso a la información de inicio de sesión de las cuentas de alojamiento de la empresa.

GoDaddy dice que aunque se había accedido a las cuentas de usuario, no había evidencia de que hubieran sido modificadas. Desde entonces, ha restablecido las contraseñas de los afectados. 

También señala que solo se vio comprometida la información de inicio de sesión y contraseña de las cuentas de alojamiento, mientras que las cuentas principales no se habían violado.

Fuentes:

https://www.pcmag.com/news/godaddy-hacked-12m-customers-at-risk-of-phishing-attack

https://www.dailymail.co.uk/sciencetech/article-10230727/GoDaddy-reveals-new-hack-exposed-1-2-MILLION-customer-emails-numbers.html

ciberataque

Argentina: Un ataque informático dejó sin sistemas al Ministerio Público Fiscal de la Ciudad

Editor YPT 20/11/2021

Se vulneraron datos confidenciales. Dicen que la información sobre investigaciones judiciales en curso se encuentra protegida.

El Ministerio Público Fiscal (MPF) de la Ciudad de Buenos Aires sufrió este viernes una vulnerabilidad informática que dificulta el funcionamiento de su sistema de toma de denuncias. Todavía no está claro el alcance del hackeo, pero como medida preventiva se dieron de baja servicios para evitar que se propague.

Así lo precisó el organismo al dar cuenta de un ataque cibernético que vulneró datos confidenciales pero, dijeron, "no puso en peligro la información sobre las investigaciones judiciales que se encuentran en curso".

"En las últimas horas el sistema informático del Ministerio Público Fiscal de la Ciudad ha sufrido un daño cibernético que dificulta el normal funcionamiento en la toma de denuncias", señala el comunicado del MPF.

Y agrega: "Se ha vulnerado información administrativa confidencial". Aunque, señalaron, "la información sobre investigaciones judiciales en curso se encuentra protegida".

Qué sucedió

La vulnerabilidad entró por servidores desactualizados. Foto Shutterstock

Todavía no hay una versión definitiva de lo que sucedió. Lo que se sabe hasta el momento es que, según la versión oficial, un intruso con una IP desconocida, que tenía base en Finlandia (esto se puede enmascarar con una VPN), exploraba dentro del sistema informático cerca de las 11.15 de este jueves. Al reconocer la filtración, desde el área de informática decidieron apagar el servidor.

Desde el MPF reconocieron, además, que todavía se desconoce el daño que pudo haber causado y que confían que para este sábado se habrá reestablecido el servicio.

Una de las versiones que está circulando implica que tenían "servidores desactualizados". Esto implicaría que en algún nivel del sistema informático (el software, alguna aplicación específica o un programa particular) el MPF no tenía sus recursos actualizados, quedando abierto a posibles vulnerabilidades.

"Todo el tiempo hay que estar aplicando actualizaciones de software a cada servidor servidor. Pero si tenés una aplicación, un sistema de personal, de recepción de denuncias, por ejemplo, que fue desarrollada hace mucho tiempo y no fue actualizada, eso te impide aplicar otras actualizaciones, y quedás expuesto. Pensá que todo se actualiza: tu computadora, tu celular, hasta el sistema operativo de tu TV", explicó el experto en seguridad informática Javier Smaldone a Clarín.

"Eso es porque se van encontrando errores o vulnerabilidades. Entonces la actualización cubre esos problemas. Si yo tengo todo mi software actualizado en todos los niveles estoy cubierto de todos los errores conocidos: de los desconocidos no me salva nadie”, agregó. 

También admitieron que entre las búsquedas que llamaron la atención figura "Renaper", que podría estar relacionado con la filtración de datos sensibles de más de 60 mil argentinos, o que esté buscando información de la causa por la filtración.

Clarín contactó al Ministerio Público Fiscal​ porteño con una serie de consultas técnicas sobre lo sucedido. Sin embargo, no recibió respuesta.

El antecedente: hackeo al Registro Nacional de las Personas

Como informó Clarín en octubre pasado, un ciberdelincuente que accedió a la base de datos del Registro Nacional de las Personas (Renaper) publicó 60.000 entradas en un archivo de 2.7 GB.

El delincuente dijo tener en su poder datos personales de los 45 millones de argentinos. Lo que el Gobierno detectó es que identificó accesos no autorizados a la base de datos del Renaper desde un usuario del Ministerio de Salud, pero no confirman que haya descargado la totalidad de la información.

El Renaper sufrió un ataque que puso en jaque datos personales de los argentinos. Foto Clarín

Desde el Gobierno creen que el usuario entró por un usuario y contraseña desde una "conexión autorizada de VPN (Virtual Private Network) entre el RENAPER y el Ministerio de Salud de la Nación”, confirmaron a Clarín. Por esto, descartan un hackeo masivo y apuntan a un acceso no autorizado para cometer el delito.

Según explicaron en un comunicado oficial, el equipo de seguridad informática del RENAPER indagó en las 44 fotos filtradas en redes para ver si había sido buscadas desde el Sistema de Identidad Digital (SID) y detectó que 19 imágenes "habían sido consultadas en el exacto momento en que eran publicadas en la red social Twitter".

Mientras tanto, los equipos técnicos del MPF continúan trabajando para regularizar el servicio y desde el organismo señalaron que, mientras tanto, las denuncias se pueden hacer al 0800 33 FISCAL (347225) o por mail a denuncias@fiscalias.gob.ar.

La causa está siendo investigada por Daniela Dupuy, fiscal especializada en delitos y contravenciones informáticas de la  Ciudad de Buenos Aires.

LGP​

Fuente: https://www.clarin.com/ciudades/hackearon-sistema-informatico-ministerio-publico-fiscal-ciudad_0_4Z7bEFhoI.html

Autenticacion2FA,2SV

¿Autenticación en dos factores o Autenticación en dos pasos? ¿Cuál elegir?

Editor YPT 20/11/2021

Es importante mencionar que durante estos años hemos aprendido mucho de la tecnología, por la pandemia muchos a las malas aprendimos y también por necesidad por así decirlo nos adaptamos e incluso nos hemos vuelto dependientes de las redes sociales, pero más allá de ese tema también es significativo hablar de lo que implica esta “dependencia” la seguridad y es que este aspecto tiene mucho que ver con este tema y hacernos esta interrogante que talvez para muchos no es algo relevante, pero es sustancial para otros y es ¿Qué sucede cuando iniciamos sesión en nuestras cuentas? Cada paso que damos al momento de iniciar sesión depende de la introducción de un factor de autenticación, que podríamos describir como categoría independiente de credencial manejada para comprobar nuestra identidad, a esto lo llamamos como Autenticación.

Describimos tres tipos de factores de autenticación:

Tipos de factores de autenticación

También es importante mencionar que tan seguras son las contraseñas que colocamos a nuestras cuentas si mayoría de cuentas de hoy en día están configuradas para soportar lo que se conoce como SFA que significa Factor de autenticación Simple y como su nombre mismo lo dice es un tipo de autenticación tradicional y es un inicio de sesión poco seguro, porque este no le pide al usuario que envíe un segundo código al momento de introducir sus datos.

Hasta ahora una gran mayoría ya sabemos casi todas las contraseñas "inapropiadas" que creamos para proteger nuestras cuentas, pero el inconveniente inicia cuando el usuario crea una contraseña larga, complicada, con mayúsculas, números y captores que está muy bien, pero, por otro lado, llega el problema del almacenamiento de las credenciales y pues uno no puede memorizarlas o en el segundo caso debemos almacenarlas en algún lugar seguro.

Estos porqués influyen en el usuario, a descuidar su política de seguridad en contraseñas y es algo que los sitios web no dejan pasar desapercibido, ya que iniciaron a tomar medidas como la inclusión de 2FA (autenticación en dos factores) o 2sv (autenticación en dos pasos).

Comenzamos hablando de 2FA o de dos factores se refiere específicamente a mecanismos de autenticación en los que los elementos que intervienen pertenecen a dos de las categorías nombradas anteriormente, no solo a una, como pasa en 2SV, es decir, si un sistema de autenticación requiere dos contraseñas o dos claves físicas, no estaríamos hablando de una autenticación de dos factores, sino, de una verificación de dos pasos.

Por otro lado, la autenticación de 2SV o autenticación en dos pasos (algo que sabes y algo que tienes)

La autenticación en dos pasos es una forma sencilla con la que la mayoría de los sitios web han respondido a los peligros del antiguo SFA de un solo factor que es el método que se ha utilizado siempre, se realiza a través de un solo dato, normalmente una clave, siendo mucho menos. En cambio, la autenticación en dos pasos propone combinar dos métodos de autenticación de forma tal que, si uno es comprometido, se debe tener o conocer el otro para lograr el acceso a la información. Funciona de la siguiente forma:

Pasos para una Autenticación Segura

  1. Iniciamos sesión en nuestra cuenta con nombre de usuario y contraseña (Ejemplo: Twitter)

2. Para poder acceder a este tipo de autenticación, ir a más opciones seguido de Configuración y privacidad:

3. Dentro de la configuración se procede a entrar a Seguridad y acceso a la cuenta y elegir “Seguridad”.

4. Nos da tres opciones, para una autenticación en dos fases, en este caso elegiremos la segunda opción: Con una App que es Google Authenticator.

5. Nos pide que insertemos nuevamente nuestra contraseña por seguridad y se nos genera un código QR para escanearlo con otro dispositivo.

6. A partir de ahí, se nos genera un cogido mediante la App Google Authenticator y nos pide que lo ingresemos dentro de un determinado lapso de tiempo para poder completar el login.

7. Introduciremos el código y se completa la configuración.

Para concluir como se podrá apreciar en todo lo expuesto, la autenticación SFA de un solo paso y factor es segura en tanto que utilicemos contraseñas fuertes, aunque por más fuerte que sea, siempre será más vulnerable que la autenticación 2SV de dos pasos o 2FA de dos factores.

Pero sin lugar a duda que entre ambas autenticaciones (2SV y 2FA), pues 2FA siempre será más segura que la autenticación en dos pasos, claro siempre y cuando esté bien implementado, pero también resulta más costoso hablando términos económicos y de tecnología que una autenticación en dos pasos, por lo que la mayoría de los sitios en Internet, implementan autenticación de dos pasos.

Referencias:

Alejandro. (2016). Autenticación en dos factores vs autenticación en dos pasos (2fa, 2sv). Obtenido de Proteger mi PC: https://protegermipc.net/2016/03/18/autenticacion-en-dos-factores-vs-autenticacion-en-dos-pasos/

Córdoba, D. (30 de diciembre de 2016). Login… ¿de dos pasos o dos factores? (2FA vs 2SV). Obtenido de Junco TIC: https://juncotic.com/login-dos-pasos-dos-factores-2fa-vs-2sv/

Autores:

En el marco del PROGRAMA DE APOYO AL PROFESIONAL JUNIOR

Este trabajo ha sido dirigido por el Ing. Guido Rosales y ejecutado por la Ing. Karen Laura Fuertes Callapino

Karen Laura Fuertes Callapino – Aficionada a la informática / tecnología en general, entusiasta de la seguridad, ciberseguridad y de las Redes Informáticas, titulada en la Universidad Autónoma Tomas Frías como Ingeniera de Sistemas.

Actualmente tiene un diplomado en Tecnologías de la Información y Comunicación en la Educación Superior, certificados en CISCO como CCNA I y CCNA II.

Además, es certificada como Experta en Tecnologías de Transmisión de Datos en la Universidad Benito Juárez G.

Karen participa del PAPJ - Programa de Apoyo al Profesional Junior de Yanapti SRL.

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023