Menú principal

lunes, 24 de abril de 2017

Mastercard quiere competir con Apple Pay con tarjetas con huellas dactilares

Mastercard ha agregado sensores de huellas dactilares a las tarjetas que utilizamos en el día a día. Algunas fuentes indican que la estricta política de Apple con el Apple Pay ha producido este movimiento de Mastecard con el objetivo de competir con ello. Mastercard está probando tarjetas que integran un sensor de huellas dactilares con el fin de ofrecer una alternativa más conveniente que introducir el PIN. A diferencia del Apple Pay, las tarjetas pueden carecer de una serie de características de seguridad importanes. 

El informe publicado por Cherlynn Low señala que las nuevas tarjetas biométricas se están probando actualmente en Sudáfrica y que Mastercard espera lanzarlas a nivel global a finales del año 2017. Low afirma que las huellas están reemplazando rápidamente a los PIN y las contraseñas como nuestro principal medio de desbloquear nuestros teléfonos, puertas y cajas fuertes. En última instancia son más convincentes, no se olvidan, únicas y más seguras que las contraseñas. Sin embargo, no todos los sensores de huellas dactilares son iguales. La implementación de Mastercard almacena de forma cifrada la huella digital en el chip EMV de la tarjeta. La diferencia más obvia con el Apple Pay es la ventaja de conveniencia de Apple Pay sobre las tarjetas Chip and Pin, no hay que insertar nada. 

Figura 1: Lector de huellas de las tarjetas Mastercard

A diferencia con el Apple Pay, ante un robo la tarjeta queda a merced de un ataque por impresión de huella falsa contra el lector. Además, no queda del todo claro cómo el chip almacena los datos. Los lectores de huellas dactilares que se utilizan en los dispositivos que funcionan con Android, Windows o iOS son construidos por fabricantes líderes de este tipo de hardware. Habrá que esperar a ver que ocurre con este nuevo frente de batalla para Apple.

domingo, 23 de abril de 2017

Fue noticia en Seguridad Apple: del 10 al 22 de abril

Ya es primavera y en Seguridad Apple seguimos trabajando para traeros las mejores noticias en el ámbito de la seguridad informática. Como es habitual os presentamos en nuestro fue noticia un resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 10 avisándoos de que las estafas a propietarios de productos Apple continúan, en este caso a través de una llamada telefónica en la que se nos avisa de una falsa vulnerabilidad en iCloud.

El martes, os contamos las razones por las que Apple ha sido denunciado por la Comisión Australiana de Competencia y Consumidores.

El miércoles 12 os informamos de que Little Flocker, una herramienta creada por Jonathan Zdziarski ahora le pertenece a la empresa F-Secure.

El día 13 os contamos como unos investigadores en Nueva York han demostrado que la autenticación a través de Touch ID no es tan segura como parece.

El viernes 14 os presentamos el video de nuestra Talk sobre Dirty Tooth, un pequeño hack con el que se puede obtener mucha información aprovechándose de la configuración bluetooth de los iPhone.

El sábado 15 os avisamos de cómo ha aumentado la aparición de vulnerabilidades en sistemas Apple, vulnerabilidades que podemos encontrar en Exploit-db.

Cerramos la semana contándoos como Apple explica cómo identificar algunos engaños como el Phishing y cómo reportarlos.

El lunes 17 os informamos de la mejora de seguridad que supone el nuevo sistema de almacenamiento interno en iOS 10.3.

El martes 18 os presentamos macOS Hacking, el nuevo libro sobre seguridad en Apple de Oxword, en el que se abarcan diferentes caminos para realizar un buen pentest.

El miércoles 19 os alertamos de que el malware en Mac incrementó en un 744% durante el pasado año.

El jueves 20 os contamos los posibles problemas de Apple con su Touch ID que podrían hacer que la empresa californiana retrasase el lanzamiento del iPhone 8.

El viernes 21 os hablamos sobre los planes de Apple para acabar con los cables de alimentación y accesorios no oficiales para sus dispositivos.

Por último, ayer sábado hablamos de un proyecto que parecía caído en el olvido tecnológico por parte de la empresa de Cupertino, pero que no ha sido así. El coche de Apple parece que puede seguir teniendo cabida. Échale un ojo al proyecto del coche autónomo de Apple y opina si crees que esto llegará algún día a ver la luz.

Seguiremos trabajando estas dos semanas para traeros lo mejor en temas de seguridad de Apple y todas las novedades y actualizaciones que vayan surgiendo.  Nos vemos en 14 días y disfrutad del domingo.

sábado, 22 de abril de 2017

El proyecto de coche autónomo de Apple podría no estar muerto del todo

Ya hace tiempo que se pensaba que el proyecto automovilístico que Apple había iniciado tiempo atrás había sido cancelado después de que Google tomase la delantera en la lucha por el lanzamiento de un coche autónomo. Sin embargo, el proyecto de Apple podría no estar muerto del todo. Recientemente se ha conocido que el departamento de vehículos motorizados de California ha concedido a Apple un permiso para probar vehículos autónomos por sus carreteras estatales.

Aunque Apple haya obtenido estas licencias cabría la posibilidad de que en vez de trabajar en un coche autónomo estuviese trabajando en tecnología asociada al ámbito de la conducción autónoma, pudiendo tratarse solo de software o incluso hardware. Recientemente se ha sabido que la empresa californiana trabajará conjuntamente con Bosch, al comprobar la lista de proveedores con los que trabajará Apple durante los próximos años. Por el momento Apple no ha querido hablar sobre cuáles son sus planes con la empresa alemana y todavía no se sabe cuál es el nivel de participación de cada empresa en su proyecto común.

Figura 1: Posible diseño de coche autónomo de Apple

El mercado de los vehículos autónomos está creciendo a pasos agigantados y la competencia entre las 29 marcas que actualmente trabajan en esta clase de proyectos es feroz, esto fue lo que hizo que hace un tiempo Apple no se lanzase de lleno a este sector del mercado ya que no había garantía alguna de asegurar su supervivencia. Tendremos que esperar un tiempo antes de que Apple revele qué planes tiene para el mundo de la conducción autónoma.

viernes, 21 de abril de 2017

Apple pretende acabar con el uso de los cables de alimentación no oficiales

Uno de los principales inconvenientes a la hora de comprar un dispositivo Apple es el precio de sus accesorios y periféricos, lo que hace que mucha gente opte por el uso de algunos productos no oficiales como cables de carga o auriculares ya que muchas veces los que recibimos al comprar nuestros iPhone, iPod o iPad se debilitan y acaban por romperse tras un tiempo de uso, pero en unos dias esto podría dejar de ser una realidad.

Según el portal de noticias de Apple, la próxima actualización de iOS hará que los accesorios no oficiales sin certificación MFi dejen de funcionar, en el caso de los cables de alimentación serian bloqueados no permitiendo la carga de los dispositivos, en la pantalla se mostraría el mensaje: “el accesorio no está soportado”. Esto se trata de otro intento de Apple por acabar con los fabricantes de accesorios y recambios no oficiales, ya que el mercado se ha inundado de estos productos debido a su bajo precio y su gran demanda. Muchos de los distribuidores de estos artículos no certificados por el MFi ya han anunciado que sus productos no serán compatibles con versiones de iOS superiores a la 10.2.1.

Figura 1: Cable de carga iPhone

Sin embargo antes de que Apple incorpore esta medida ya existe una forma de saltársela gracias a Made for iPhone, un programa informático capaz de garantizar que dichos accesorios serán compatibles con los productos de Apple ya que les otorga la documentación, herramientas y permisos necesarios para poder reproducir AirPlay y obtener la certificación. Si queremos comprobar si algunos de nuestros cables de carga funcionarán tras la actualización solo  tendremos que poner nuestro dispositivo en modo avión y reiniciarlo, al hacer esto el dispositivo contrastaría con una lista de accesorios certificados por el MFi a través de internet indicándonos si el cable funcionaría o no. ¿Se acerca el fin de los accesorios no oficiales?

jueves, 20 de abril de 2017

Apple puede tener problemas con el Touch ID para el iPhone 8

Apple podría estar planteándose retrasar el lanzamiento del iPhone 8, ya que el rediseño presenta un reto para una de las características clave, es decir, el Touch ID. Esta edición es muy esperada por el gran público, ya que es el décimo aniversario del iPhone y lucha por implementar un nuevo diseño a una característica clave de seguridad como es el Touch ID. Se cree que la pantalla irá de borde a borde, al igual que el teléfono insignia de Samsung. Una opción es que sea la propia pantalla la que escanee la huella digital, aunque presenta desafíos técnicos. Otra opción es que el escaner de huellas se encuentre en la parte trasera, aunque esto es considerado un compromiso de diseño.

Si Apple decide dejar el Touch ID sin cambio o, incluso, quitarlo la característica clave de seguridad sería el reconocimiento facial. Al final todo son cábalas y no habrá una solución hasta que salga el nuevo iPhone, supuestamente a finales de año. Analistas japoneses hablan que el nuevo iPhone 8 tendrá un diseño similar al del iPhone 4, con una banda de acero inoxidable envolviendo el dispositivo, el cual tendría un frente y una parte trasera de cristal. Para muchos el iPhone 4 ha sido estéticamente el iPhone más estético, pero seguiremos sin saberlo hasta que llegue el momento del nuevo lanzamiento.

Figura 1: Leaks de lo que puede ser el nuevo iPhone 8

Sin duda una inquetud que debe tener preocupados a la gente de Cupertino. El Touch ID es un símbolo del iPhone, el cual sin ello, perdería un rasgo de personalidad, a priori difícil de sustituir. Muchas personas creen que parte del éxito del iPhone 8 radicará en el nuevo rediseño y acomplamiento del Touch ID, casi tanto, como la apariencia del mismo teléfono. Seguiremos atentos en Seguridad Apple para cualquier novedad que surja al respecto.

miércoles, 19 de abril de 2017

El malware en Mac incrementa un 744% en el año 2016

El mito de que los Mac no tienen malware es eso, un simple mito. Cada vez más personas deciden utilizar los Mac y los delincuentes han puesto el foco y éste sigue en aumento con el paso de los años. Según un último reporte de McAfee existe un incremento del 744% de malware para los equipos Mac. Esto supone una realidad dura y que el consumidor debe conocer y no pensar que está libre de malware por utilizar sistemas Mac

El reporte muestra un incremento sin precedentes en el último trimestre del año 2016, siendo más de la mitad de las muestras recogidas en el año 2016 de este último trimestre. Aún así, se sigue estando lejos de los números de sistemas como Windows, dónde podemos hablar de 640 millones de muestras de malware en el año 2016. De todos modos, el incremento del malware en sistemas Mac es muy significativo y es un claro ejemplo de que los delincuentes están apostando por este tipo de prácticas para obtener un beneficio.

Figura 1: Malware en Mac en 2016

Para estar un poco más seguros, debemos elegir bien de dónde descargamos las aplicaciones. La recomendación es que siempre hagamos uso de la Mac App Store con el objetivo de evitar malware o aplicaciones no fiables. Además, debemos ser cautelosos a la hora de ejecutar archivos adjuntos que recibamos vía correo electrónico. Como se puede ver, los sistemas Mac son un foco para el malware y esto, cada vez, irá a más.

martes, 18 de abril de 2017

macOS Hacking: Nuevo libro sobre seguridad en Apple de 0xword

Los compañeros de 0xword han publicado un nuevo libro y en esta ocasión le tocó a macOS. El nuevo libro de macOS hacking muestra al lector diferentes caminos, vectores y forma de realizar un pentest desde y a macOS. Las tecnologías Apple han pasado de ser minoritarias a estar en el mundo de la empresa en todos los rincones en los últimos diez años, y en los procesos de Ethical Hacking son cada vez más un objetivo a tener en cuenta. Hace más de 7 años que tenemos este blog y en él hemos estado hablando de la importancia de tomarse en serio la seguridad del mundo de la manzana mordida.

En este blog hemos ido recogiendo los avances en el mundo de la seguridad y el hacking y hemos, por ejemplo, recogido diferentes pruebas de concepto interesantes a la hora de afrontar un análisis de seguridad de los sistemas. Hay que recordar el bypass a sudo que afectaba a OS X, como ser root en OS X con un exploit que cabía en un tuit o cómo explotar una vulnerabilidad en Firefox el cual es ejecutado en OS X. Además, hemos estado alineados con el libro Hacking iOS: iPhone & iPad, del cual se han vendido más de 1500 ejemplares.

Figura 1: macOS Hacking

Los autores nos comentan esto: "Centrándose en temas de seguridad, cada día es más común ver equipos Mac en conferencias como Defcon, BlackHat, Rooted Con o Ekoparty, entre otras, donde sólo se reúnen expertos en seguridad. La fuerte demanda de estos equipos y de su sistema operativo, ha hecho que se planteara la idea de escribir un libro que explicara en profundidad algunas de las características más esenciales de estos sistemas, enfocado siempre a la seguridad y el hacking. De esta manera, se busca dar a conocer multitud de funcionalidades ocultas del sistema, así como también un gran número de herramientas de hacking que permitirán tener un equipo Mac completamente preparado para realizar auditoría de seguridad y ataques hacking". Apúntate el libro macOS Hacking como recomendado.

lunes, 17 de abril de 2017

iOS 10.3 y la seguridad mejorada del sistema de archivos

La llegada de iOS 10.3, y la posterior llegada de iOS 10.3.1, para iPhone e iPad ha cambiado la forma del almacenamiento interno. El nuevo sistema de archivos promete una mejor optimización, rendimiento y seguridad. El nuevo sistema operativo ha traido grandes cambios y es que se cree que iOS 10.3, realmente sería iOS 10, pero que por algún motivo, probablemente el tiempo, no pudo ser. Apple ha cambiado a un nuevo sistema de archivos conocido como Apple File Systems APFS.

 Esto reemplaza al sistema de archivos HFS, el cual ha estado en uso desde el año 1998 en los equipos de Apple y, posteriormente, en los dispositivos móviles de la marca. Si has instalado, lo cual es totalmente recomendable si no lo has hecho, iOS 10.3 en tu iPhone o iPad, éste convertirá automáticamente el sistema de archivos de HFS+ a APFS. Las ventajas son la optimización de almacenamiento con lecturas y escrituras más rápidas. Sin embargo, el mayor cambio viene en el aspecto de seguridad. APFS proporciona cifrado de disco completa así como cifrado para archivos y carpetas individuales. El sistema proporciona varias opciones: no cifrar, cifrado de una sola clave y cifrado de varias claves. 

Figura 1: APFS el nuevo sistema de archivos

APFS no cambiará la forma en que se vean los documentos, carpetas y archivos. Visualmente las cosas seguirán siendo las mismas que antes, ya que todos los cambios están sucediendo en lo que se llama background. El sistema APFS ha sido diseñado para funcionar en iOS, macOS, tvOS y WatchOS, lo cual es interesante y lo veremos en el resto de plataformas en un futuro cercano. La documentación de Apple sugiere que no se eliminarán o perderán datos durante el proceso de conversión, pero, si aún no has actualizado haz una copia de seguridad antes de hacerlo.

domingo, 16 de abril de 2017

Apple te dice cómo identificar y reportar sobre phishing y otros engaños

Apple tiene disponible para todos los usuarios un sitio web dónde puedes encontrar información sobre cómo identificar y reportar tanto phishing como mensajes sospechosos que te lleguen. El enfoque del sitio pretende proteger a los usuarios de Apple de posibles intentos de robos del Apple ID. Además, Apple indica que si crees que tu Apple ID ha sido comprometido visites el sitio web del Apple ID para poder restablecer y cambiar la contraseña de tu cuenta. El uso del 2FA es casi obligatorio y Apple ha lanzado una campaña llamativa para todos sus usuarios desde iOS 10.3 con el objetivo de incrementar de forma notoria el uso del segundo factor.

Sin duda, una gran iniciativa de Apple aportar este tipo de soluciones para sus usuarios. Es recomendable que te pases por el sitio y veas qué cosas debes tener en cuenta y, sobretodo, cómo evitar las estafas y los robos de identidad. A continuación os comentamos una serie de medidas que debemos tener en cuenta para evitar las estafas:
  • Utilización del 2FA para el Apple ID.
  • Utilización de contraseñas seguras.
  • Verifica la correcta conexión de tu navegador con icloud.
  • No hacer clic en ningún botón o enlace sin asegurarte de la dirección URL.
  • Si no estás seguro del origen de una ventana emergente, no interactúes.
  • Confirma siempre la identidad de la persona que te llame antes de dar ningún dato, puede que se hagan pasar por personal de Apple.
  • No abrir, ni guardar, archivos adjuntos en correos supuestamente de Apple.

Figura 1: Cómo identificar un intento de suplantación

Apple también tiene un sitio dónde encontrar la ayuda del soporte técnico, ya que en algunos casos, éstos pueden ser más complejos o surgir dudas en el usuario. En estas fiestas y durante el resto del año pon atención en la interacción que hace Apple o los estafadores que utilizan la marca para intentar robar tu identidad.

sábado, 15 de abril de 2017

Escaladas de privilegios y fallos en el kernel de macOS en abril

El interés por descubrir vulnerabilidades y formas de explotar fallos en los sistemas Apple ha crecido, de eso no cabe la menor duda. Si nos fijamos en sitios como Exploit-db o 0day.today podemos ir encontrando diferentes vulnerabilidades a lo largo del tiempo. El mes de abril y el final del mes de marzo está siendo especialmente duro para los sistemas de Apple ya que, además de un gran número de actualizaciones y despliegues de urgencia, tenemos una serie de vulnerabilidades publicadas, algunas a la espera de exploit. En el artículo de hoy hablaremos de las diferentes vulnerabilidades que podemos encontrar visitando estos bancos de vulnerabilidades.

En Exploit-db podemos encontrar 6 vulnerabilidades para sistemas macOS en lo que llevamos de mes de abril. Sin duda, interesante. Algunas de las vulnerabilidades permiten la ejecución de código y la escalada de privilegios dentro del sistema. La mayoría de las vulnerabilidades que se pueden encontrar en la plataforma afectan al kernel del sistema operativo.

Figura 1: Vulnerabilidades de macOS en abril en Exploit-db

No dudes en actualizar tu sistema operativo cuando tengas actualizaciones. El riesgo cada vez es mayor y cada vez existen un mayor número de vulnerabilidades, lo cual es interesante e importante, ya que hay una mayor investigación y protección para el usuario final. Si no has actualizado a la última versión de macOS, hazlo lo antes posible.

viernes, 14 de abril de 2017

ElevenPaths Talks: Video de DirtyTooth

Aprovechando estas fechas tan familiares os dejamos el video del talk de DirtyTooth. Hay que recordar que DirtyTooth es un pequeño hack que se aprovecha de la configuración de iOS en lo que a administración de perfiles bluetooth se refiere, a través de este pequeño fallo se puede obtener mucha información sobre los usuarios y su entorno (desde números de teléfono hasta los últimos cambios de portabilidad realizados).

El funcionamiento de DirtyTooth es muy sencillo. Al realizar una búsqueda de dispositivos a los que vincular nuestro iPhone podemos observar en qué perfil se encuentran, en función del perfil el dispositivo solicitará una información u otra, este hack se basa en la realización de un cambio de perfil cuando el usuario ya se ha conectado.


Además, te puede interesar otros artículos relacionados, como los publicados en el blog El Lado del Mal, donde Chema Alonso detalla minuciosamente el funcionamiento y las posibilidades que este pequeño hack nos ofrece, o también puedes echar un vistazo al paper de Dirtytooth en el Slideshare de ElevenPaths.

jueves, 13 de abril de 2017

El Touch ID no es tan seguro como parece según unos investigadores de Nueva York

Los sensores de huellas digitales se han convertido en un elemento de seguridad muy presente en los Smartphone modernos. Con un toque de un dedo el dispositivo puede quedar desbloqueado y no se requiere más contraseña que nuestro dedo. Incluso, podemos pagar con nuestro Apple Pay y nuestro dedo. Siempre se ha estado luchando por demostrar la seguridad o no seguridad de este tipo de elementos. Investigadores de la Universidad de Nueva York y de la Universidad Estatal de Michigan sugieren que este tipo de elementos pueden ser fácilmente engañados a través de huellas falsas compuestas de características comunes. En el IEEE se puede encontrar su publicación.

En las simulaciones llevadas a cabo, los investigadores fueron capaces de desarrollar un conjunto de "MasterPrints" artificiales que podrían coincidir con impresiones reales similares a las utilizadas por los dispositivos hasta en un 65% del tiempo. Los investigadores no probaron estos datos con dispositivos reales, por lo que otros expertos han indicado que en condicones reales la tasa de acierto sería menor. Sin embargo, las conclusiones plantean un escenario lleno de preguntas sobre la eficacia de la seguridad de huellas digitales en este tipo de dispositivos. 

Figura 1: Huellas dactilares del estudio
Las huellas dactialres humanas son díficiles de falsificar completamente, pero los escáneres de dedos de los teléfonos son tan pequeños que sólo leen huellas parciales. Cuando un usuario configura este tipo de seguridad en un iPhone se toman entre 8 y 10 muestras o imágenes de un dedo para facilitar la correspondencia. Dado que un golpe de dedo debe coincidir con sólo una imagen almacenada para desbloquear el teléfono, el sistema es vulnerable a coincidencias falsas. Los investigadores afirman que es como si un usuario tuviera 30 contraseñas y el atacante solo necesitara acertar una para acceder a los contenidos. El Dr. Memon comentó que los hallazgos indicaban que si pudiera de alguna manera crear un guante con una MasterPrint en cada dedo, podría obtener entre el 40 y 50 por ciento de los iPhone dentro de los 5 intentos permitidos.

El estudio no es práctico, pero vuelve a abrir el debate sobre la seguridad de las huellas dactilares en este tipo de dispositivos. Lo que tenemos claro es que ayuda como un 2FA, pero quizá no como un solo factor de seguridad. Estaremos atentos desde Seguridad Apple a este interesante tema que se vuelve a abrir.

miércoles, 12 de abril de 2017

Little Flocker: F-Secure adquiere la herrramienta de Jonathan Zdziarski

Hace unas semanas hablábamos de la incorporación de Jonathan Zdziarski al equipo de Apple. Fue una sorpresa para muchos, aunque algo más lógico para otros. Muchos se preguntaron que ocurriría con la herramienta de Jonathan llamada Little Flocker, pero ahora ya se sabe que es lo que ocurrirá con la herramienta. Little Flocker tendrá, lo que se ha llamado, un nuevo hogar. Little Flocker es una herramienta que permite mantener los datos personales a salvo del malware como troyanos, ransomware y otras amenazas en el Mac.

La empresa F-Secure ha agregado Little Flocker a su cartera de herramientas, es más, la empresa anunció en su blog la adquisición de la herramienta. La empresa planea enriquecer la tecnología central de Little Flocker con la conexión al cloud de seguridad e implementarla en su servicio Protection Service for Business, una solución de seguridad con administración centralizada de equipos, servidores y servidores de administración. La tecnología estará, más tarde, disponible para los clientes como parte de F-Secure Safe, una oferta de seguridad multidispositivo.

Figura 1: Little Flocker

Little Flocker aparecerá con un nuevo nombre y perderá su identidad anterior, mientras que su creador Jonathan Zdziarski va acoplándose a Apple para trabajar en la seguridad de la tecnología de la empresa de Cupertino, en el equipo de Ingeniería de Seguridad y Arquitectura. Sin duda, un gran fichaje de la marca.

martes, 11 de abril de 2017

Apple denunciado en Australia por el Error 53

La Comisión Australiana de Competencia y Consumidos, más conocida como ACCC, ha presentado una demanda contra Apple ante la Corte Federal. La demanda alega que el fabricante del iPhone ha realizado declaraciones falsas o engañosas sobre los derechos de los consumidores bajo la Ley del Consumidor de Australia. La comsión dijo en un comunicado que inició una investigación tras los informes relacionados con el "Error 53", el cual inhabilitó dispositivos iPad e iPhone de algunos consumidores después de actualizar el dispositivo. Muchos consumidores que tuvieron este error 53 habían reparado previamente sus dispositivos en un tercero.

La ACCC dijo que Apple se había negado a reparar los dispositivos defectuosos de los consumidores, si un consumidor había tenido previamente el dispositivo reparado por un tercero que no fueran ellos. En virtud de la Ley del Consumidor de Australia, hay una serie de garantías del consumidor con respecto a la calidad y otras características de los bienes y servicios.  Los consumidores tienen derecho a ciertos recursos sin costo alguno cuando los bienes y serviciso no cumplen con las garantías del consumidor.

Figura 1: Error 53

Según la ACCC, Apple envío a los consumidores con productos defectuosos que no tenían derecho a un remedio gratuito a pagar por las reparaciones. Sin embargo, el hecho de que un componente del dispositivo de Apple sea reparado o reemplazado por alguien que no sea Apple extingue el derecho del consumidor a un remedio que incumple con las garantías del consumidor. El debate está abierto la ACCC dice que Apple incumple con la Ley de Consumidores con este acto y Apple tendrá que defenderse en Australia. Todo esto recuerda un poco al debate abierto con el caso del NFC de Apple y los bancos australianos. Parece que tendremos un segundo gran debate en el país australiano.

lunes, 10 de abril de 2017

Warning: La llamada falsa de Apple sobre iCloud

Las estafas con elementos de Apple siguen estando a la orden del día. Si recibes una llamada de "Apple" sobre una vulnerabilidad en iCloud no hagas caso. Hoy tenemos el caso de una persona cuya esposa le hizo saber que Apple Support había llamado para indicarles sobre la seguridad de iCloud. Lógicamente, no era Apple. Los estafadores trataban de aprovechar los informes sobre los millones de potenciales cuentas vulneradas que existen comprometidas. Apple dice que no se ha producido ningún incidente en iCloud que haya producido este hecho, por lo que al parecer dicha información viene de incidentes con terceros.

Lo que hay que tener en cuenta es que Apple no te llamará si no lo has solicitado. En este caso, la víctima recibió una llamada de Apple sin haberla solicitado. Nunca Apple te llamará, además, sin que haya un ser humano detrás, la llamada estaba automatizada. Apple señala esto en su sitio web de consejos sobre el phishing: "Si recibe una llamada no solicitada de alguien que afirma ser de Apple, cuelgue y póngase en contacto directamente con nosotros". La llamada usaba una voz sintetizada, además, bastante mala. Una llamada automatizada de una empresa de esta magnitud debería tener, al menos, calidad.

Figura 1: Consejos de Apple sobre el phishing

La víctima se dio cuenta de que el número al que estaban llamando no lo daban nunca. Era una línea casera que utilizan como respaldo y solo para llamadas salientes. La víctima verificó los números de teléfono que proporcionó a Apple a través de las cuentas del Apple ID y al que llamaban no se encontraban aquí. El mensaje recibido en la llamada ofrecía un número 855 y no proporcionaba una dirección web de Apple. El mensaje ofrecía ponerse en contacto con un asesor de apoyo y esto no es como Apple llama a su personal. 

Al final se puede ver y entender que este tipo de amenazas existen más y más cada día y que los estafadores buscan diferentes formas de conseguir su objetivo. Por suerte, la víctima se dio cuenta de diversos detalles que hacen que no confiara y denunciara este tipo de práctica. Es importante denunciar este tipo de prácticas, ya que ayudan a que otras personas no caigan en este tipo de ataques.

domingo, 9 de abril de 2017

Fue noticia en Seguridad Apple: del 27 de marzo al 9 de abril

Ya es abril y como es habitual en Seguridad Apple os traemos un nuevo Fue Noticia, la sección en la que hacemos una breve recapitulación de las noticias más relevantes del mundo de la seguridad informática ocurridas durante las últimas dos semanas. A continuación os ofrecemos un resumen de estas noticias aderezadas con los mejores contenidos publicados en otros sitios de referencia.

Comenzamos el lunes 27 os recomendamos comprobar vuestros credenciales de Apple, ya que más de 600 millones de cuentas  podrían estar comprometidas.

El martes, os contamos en qué consisten las nuevas actualizaciones iOS 10.3, macOS 10.12.4 y WatchOS 3.2 , aparte de hablaros del Security Update 2017-001.

El miércoles 29 os avisamos de que los scammers se aprovechan de los usuarios que visualizan pornografía en iOS.

El día 30 os contamos cual ha sido la respuesta de Apple sobre su situación frente a las fugas de Vault 7.

El viernes 31 os hablamos de la liberación de iCloud para Windows 6.2, actualización que ha llegado con el fin de parchear algunas vulnerabilidades de su anterior versión.

El sábado 1 os advertimos de que los ataques phishing a usuarios de Apple continúan y os contamos  en que ha consistido el último de ellos.


El domingo 2 os presentamos LiberTV el nuevo jailbreak para Apple TV de cuarta generación, el cual es una adaptación del trabajo realizado por Luca Todesco con Yalu.

El lunes 3 os hablamos de que Apple ha publicado una actualización de la guía de seguridad en iOS 10.

El martes os avisamos de la actualización de iOS 10.3.1, una actualización de urgencia ya que arregla diversos errores y problemas de seguridad.

El miércoles 5 os recordamos que ya está aquí la tercera temporada de Eleven Paths Talks y os invitamos a que os registréis para el webcast y podáis seguir de cerca esta temporada la cual aborda muchos temas interesantes y de actualidad.

El jueves os advertimos de que el malware Pegasus para iOS ha "mutado" y ahora es capaz de infectar dispositivos con sistema Android.

El viernes 7 os hablamos sobre la necesidad de un nuevo estándar en los registros médicos electrónicos, lo que podría generar una guerra entre Apple y Microsoft.

Por último, ayer sábado hablamos sobre como el malware en Mac cada vez está más presente y las formas de protegerse de él no nos valdrán en un futuro. Tenemos que cambiar la mentalidad y las protecciones para mejorar la seguridad.

Desde Seguridad Apple os deseamos una feliz semana santa y como es costumbre estaremos al tanto de las noticias durante las próximas semanas para poderos traer el mejor contenido en la próxima entrega de nuestro Fue noticia en Seguridad Apple.

sábado, 8 de abril de 2017

Malware en macOS: Antivirus no protegen completamente

Durante los últimos años ha tenido lugar un constante debate sobre la existencia de malware en MacOS. Hoy en día se puede afirmar que existe el malware en macOS y es más común de lo que creemos, el gran incremento de usuarios de dispositivos Apple ha provocado que sus sistemas operativos llamen la atención a muchos ciberdelincuentes ya que ha aumentado drásticamente el número de posibles víctimas frente a ataques con software malicioso.

Actualmente la mayoría de ataques a ordenadores y dispositivos móviles vienen como consecuencia de visitar alguna página web o caer en una trampa a través de un mensaje de texto o e-mail en el que a través de un link se accede a una página supuestamente legítima en la que las víctimas introducen sus credenciales o descargan algún tipo de aplicación. La mayor parte del malware utilizado para hacer esto es antiguo, en escritorio la mayoría de ataques se basan en versiones más antiguas de Windows o adaptaciones de las mismas, según ha revelado la firma de análisis Check Point en su último estudio. En cuanto al malware en móviles, el 60% de los ataques vienen de la mano de Hummingbad, un troyano que viene oculto en lo que aparentemente es una app legítima.



Figura 1: Phishing Apple

Desde la aparición de este tipo de ataques Apple ha trabajado con más hincapié en la creación de sistemas operativos seguros, sin embargo siguen apareciendo vulnerabilidades en sus sistemas, muchas de las cuales son descubiertas y parcheadas por su equipo de investigadores antes de que estas puedan ser explotadas. Esto hace que los sistemas operativos de Apple parezcan más invulnerables de lo que realmente son, pero ¿Es un antivirus la respuesta a estos problemas? No en la mayoría de los casos, pero no porque no hagan su trabajo, sino porque hay que hacer más cosas que tener un antimalware.

Habitualmente cuando oímos hablar sobre malware rápidamente lo asociamos a un virus o gusano, sin embargo hay muchos más tipos de malware y estos son capaces de auto-distribuirse de diversas formas, a continuación os presentamos los vectores más comunes:


  •  Abriendo archivos infectados, en forma de virus que corre al abrir el archivo.
  • En forma de troyano (como ya hemos explicado anteriormente). 
  • Vía Spear-phishing, anuncios maliciosos que pueden parecer atractivos para la victima.
  • Mediante un ataque remoto, esta opción es muy popular en sistemas IoT poco protegidos.


  • Figura 2: Ransomware MacOS 

    Dentro de los troyanos podemos encontrar el ransomware, un software malicioso que es capaz de secuestrar nuestros archivos y comúnmente es utilizado para pedir un rescate por ellos, este tipo de ataque se ha convertido en el principal riesgo para los usuarios de MacOS, sin embargo existen herramientas, en este caso para Windows, para prevenir este tipo de ataques y mantener nuestros archivos a salvo, como es el caso de Latch ARW, la cual podéis obtener de forma gratuita en la página web de 11Paths.

    Con las recientes incorporaciones en el equipo de Apple entre las que se encuentra el conocido investigador Jonathan Zdziarski se espera que aparezcan nuevas herramientas capaces de protegernos frente a diversos tipos de ataques en las próximas versiones de MacOS.

    viernes, 7 de abril de 2017

    Apple y Microsoft luchan por la supremacía de los expedientes médicos electrónicos

    El estado actual de la asistencia sanitaria en lo que a registros médicos electrónicos se refiere es un recuerdo del estado de la productividad del software en el mundo de la empresa durante los años 90. Durante los años 80 y 90 WordPerfect, Microsoft y muchos otros procesadores de texto lucharon por dominar el mundo de los negocios y ser los más usados en las empresas. Cada sistema tenía sus pros y sus contras, sin embargo la economía global explotó a finales de los 90 cuando Microsoft se convirtió en el estándar de la industria.

    Mientras que Microsoft siempre ha orientado sus productos hacia el ámbito empresarial, Apple ha optado por centrar su atención en los consumidores particulares y el mundo de los Smartphone, lo que ha acabado por convertir a la empresa de Cupertino en todo un referente en este ámbito. En cuanto a sistemas operativos Microsoft ha sido el claro dominador del  mercado durante los últimos años desde el lanzamiento de Windows XP (el cual ha sido el mejor sistema operativo lanzado por Microsoft hasta la llegada de Windows 10).

    Figura 1: Registro Médico Electrónico

    Los registros médicos electrónicos o RME son archivos que recopilan toda la información de un paciente, desde operaciones y enfermedades hasta revisiones periódicas. Gracias a este sistema se puede facilitar una atención personalizada a cada paciente. Actualmente existen varios tipos de RME  en uso lo que anualmente genera grandes pérdidas en la industria de la sanidad, por eso mismo se ha decidido estandarizar el sistema de RME. Esto podría iniciar una guerra entre Apple y Microsoft por la supremacía de los registros médicos electrónicos ya que a pesar de que Apple no tiene mucha experiencia en el mundo empresarial desarrollar un nuevo estándar para los RME actualmente supondría un trabajo titánico para Microsoft.

    jueves, 6 de abril de 2017

    El malware Pegasus para iOS aparace en el mundo Android

    Pegasus ha aparecido para dispositivos Android, según ha publicado la empresa Lookout Security, quienes han mostrado un documento de la investigación llevada a cabo. Esta nueva versión ha sido bautizada como Chryasor y muestra como un malware creado para sistemas iOS puede aparecer "mutado" en otra plataforma, en este caso, una tan popular como Android. Lookout Security indica que es una pieza sofisticada de malware, aunque en el mundo de iOS el malware necesitaba del Jailbreak en el dispositivo. En Seguridad Apple ya hablamos de este malware.

    El comunicado de la empresa indica que: "Los equipos de Google y Lookout colaboran por descubrir y rastrear a Pegasus con el fin de extender la protección para los usuarios de Android". Esta investigación se originó con el informe de Lookout. En Android el malware tiene muchas de las funcionalidades que tenía el malware en iOS. El malware es capaz de capturar una alta gama de información, por ejemplo de WhatsApp, Skype, Facebook, Gmail, Twitter, etcétera.

    Figura 1: Funcionalidades de la nueva versión de Pegasus en Android

    El malware puede realizar capturas de teclado y de pantalla e, incluso, grabar audio. Es todo lo que una agencia de espionaje de un gobierno puede querer. "Pegasus para Android es un ejemplo del conjunto de características comunes que vemos en el malware avanzado que puede utilizar cualquier Estado", se indica en el informe. Además, el malware es muy sigiloso, utiliza exploits, ofuscación de código y cifrado. Tiene un amplio conjunto de funciones de vigilancia como se ha visto anteriormente. Sin duda, una noticia interesante ver como el malware en iOS pasa a un entorno tan poblado como Android. Estaremos atentos a posibles noticias.

    miércoles, 5 de abril de 2017

    ElevenPaths Talks: Quebrando aplicaciones

    El próximo 6 de Abril tenemos una nueva sesión de Eleven Paths Talks con nuestros compañeros Diego Samuel Espitía y Pablo San Emeterio. La temática del talk tratará sobre el las aplicaciones y la posibilidad de buscar vulnerabilidades en ellas. Es indispensable para los analistas de seguridad y para las empresas entender cómo se deben asegurar las aplicaciones a través de metodologías de desarrollo, de pruebas de funcionamiento y de análisis de ingeniería inversa, para detectar y contrarrestar las posibles brechas de seguridad en las aplicaciones.

    En este webinar hablaremos de los mecanismos de análisis de las aplicaciones y trataremos de comprender cómo los ciberdelincuentes pueden aprovechar las brechas detectadas para su beneficio, con el objetivo de brindar información clara sobre los requerimientos y las pruebas que se deben realizar cuando una aplicación empresarial va a salir al mercado.

    Figura 1: Eleven Paths Talks

    La sesión comenzará a las 15.30, hora española. El talk dura unos 50 minutos, divididos entre 10 minutos de comentarios sobre noticias interesantes relacionadas con las diferentes temáticas, 30 minutos de debate entre dos de nuestros CSA y un invitado especial y 10 minutos sobre consejos y herramientas. Recordar que las sesiones se llevarán a cabo a través de la plataforma GoToWebinar. Posteriormente, y como siempre, se publicarán en nuestro canal de Youtube. No pierdas la ocasión y registrate para el webcast. Si te perdiste algún capítulo de la primera temporada o de la segunda temporada puedes revisarlos en el canal de Youtube de Eleven Paths. Además, no pierdas la ocasión de exponer tus ideas y hablar con otros usuarios en la Community de Eleven Paths ¡Te esperamos!

    martes, 4 de abril de 2017

    Actualización a iOS 10.3.1 de urgencia

    Tenemos una actualización de urgencia de iOS. Este llega a la versión 10.3.1, y según se puede ver en las notas de la nueva versión se especifica realmente que se arregla. Se indica que se arreglan correcciones de errores y mejora la seguridad del iPhone o tu iPad. En concreto, según pone en las notas oficiales de Apple que existe un desbordamiento de buffer, el cual podría explotarse para ejecutar código arbitrario en el chip WiFi del teléfono. El error se acredita a Project Zero de Google, el cual revela los errores al público a los 90 días después de notificarlos a las empresas.

    Apple lanzó una nueva versión beta de iOS 10.3.2 la semana pasada poco después de lanzar iOS 10.3. Es muy probable que esta versión sea probada con varias versiones beta para, posteriormente, ser lanzada, probablemente, el próximo mes. Se espera a iOS 11 para el mes de Junio, aunque después no estará disponible hasta la salida del nuevo iPhone

    Figura 1: Vulnerabilidad solventada en iOS 10.3.1

    La versión de iOS 10.3 no estaba disponible para iPhone 5 y 5C y el iPad de cuarta generación, los únicos iDevices de 32 bits que quedan. La actualización de iOS 10.3.1 parece arreglar lo que fue el error, y los dispositivos de 32 bits ahora pueden instalar la versión de iOS 10.3.1 normalmente. Estaremos atentos a nuevas noticias sobre la actualización express que ha sufrido el sistema operativo de Apple.

    lunes, 3 de abril de 2017

    Apple publica una actualización de la guía de seguridad en iOS 10

    Apple ha liberado una nueva versión de su documento de seguridad. Esto es algo novedoso, ya que Apple actualiza el documento cada mucho tiempo, pocas veces al año, si llega. Este documento representa la única ventana para el público sobre como los iPhone o iPad protegen los datos que se les confía. El último documento constaba de Septiembre de 2015, por lo que no había mucha información nueva sobre iOS 10. En el documento se hablan de las nuevas características utilizadas para proteger los datos.

    En primer lugar, hablaremos del Touch ID, el cual ha sido abierto a los desarrolladores. En el documento se puede visualizar un informe técnico, el cual nos da una pequeña actualización sobre la generación y almacenamiento de claves de cifrado. Los desarrolladores pueden generar y utilizar claves ECC dentro del Secure Enclave. Esto puede protegerse mediante Touch ID.

    Figura 1: Touch ID y sus características detalladas en el documento de seguridad

    También se ha incluido en el documento de seguridad un apartado para el HomeKit. Apple ofreció detalles sobre cómo el HomeKit se comunica de forma segura con el iPhone de un usuario y con los dispositivos de su casa, manteniendo la información privada, incluso de Apple. Además, se incluye información sobre cómo se protege el Apple TV al requerir la autenticación de dos factores en las cuentas de iCloud para abastecer a los televisores. El intercambio de claves públicas entre el Apple TV y el dispositivo se hace a través de iCloud, cuando ésta tiene habilitada la autenticación de dos factores. Cuando el dispositivo del propietario y el Apple TV se encuentran en la misma red local, las claves temporales se utilizan para proteger una conexión a través de la red local. Es el mimso proceso que se utiliza en la autenticación y cifrado entre un iOS y el HomeKit.

    Siri también aparece en el documento de seguridad.  En el documento se explica que Apple sigue tratando de seguir las reglas de privacidad que los usuarios establecen para las aplicaciones y no violarlas con solicitudes de Siri. Aunque Siri tiene acceso a los contactos de iOS y a la ubicación del dispositivo, Siri comprueba el permiso para acceder a los datos de los usuarios. Siri solo accederá a la información si el permiso así lo permite.

    Apple también ha incluido información sobre el programa de Bug Bounty que introdujo en el último año. En este apartado se pueden ver los detalles del programa y como se puede participar y ganar los beneficiones. Interesante publicación de Apple que ha puesto al día su documento de seguridad. No dudes en echarle un vistazo, recomendable.

    domingo, 2 de abril de 2017

    LiberTV el nuevo jailbreak para Apple TV basado en Yalu

    Ya está aquí LiberTV, el nuevo jailbreak para Apple tvOS de cuarta generación, este jailbreak llega de la mano de Jonathan Levin, un desarrollador que ha logrado adaptar el trabajo realizado por Luca Todesco con Yalu para iOS a los nuevos set top box de Apple, con LiberTV podrás instalar aplicaciones y conApple tvtenido no autorizado por Apple en tu  Apple TV 4 de una forma rápida y sencilla.

    Sin embargo esta nueva versión de jailbreak tiene algunos inconvenientes o aspectos a pulir, el primero de ellos es que todavía no está disponible Cydia ya que su desarrollador, Saurik, todavía no ha lanzado su versión adaptada a este jailbreak. Otro gran inconveniente es que LiberTV es semi-tethered y al no estar firmado tendremos que volver a ejecutar Yalu cada vez que apaguemos el Apple TV. Para terminar con los contras tenemos el tema de la compatibilidad, este jailbreak solo funciona en  de cuarta generación en todas las versiones comprendidas entre tvOS 9.1 y tvOS 10.1, así que si ya has actualizado tu Apple TV a su versión 10.1.1 no podrás utilizar este jailbreak.

    Figura 1: LiberTV

    La instalación de LiberTV es muy sencilla, solo necesitaremos tener su archivo IPA y Cydia impactor (para Windows o MacOS). Comenzaremos conectando nuestro ordenador a el Apple TV, a continuación abriremos cydia impactor y arrastraremos el archivo IPA de LiberTV hasta el cuándo el programa haya detectado el Apple TV, después de esto nos pedirá que introduzcamos nuestro Apple ID y contraseña (esto se debe a que debemos firmar el producto para poder instalarlo, por lo que nuestra seguridad no estará siendo comprometida). Hecho esto abriremos la aplicación desde nuestro Apple TV y completaremos el proceso de instalación y configuración.

    Al no disponer aun de Cydia esta versión parece estar enfocada a desarrolladores ya que un usuario común tampoco le encontrará mucha utilidad, sin embargo ya se está trabajando en una versión actualizada que permitirá mejorar aún más la experiencia de cualquier usuario.

    Entrada destacada

    Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

    La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

    Otras historias relacionadas

    Entradas populares