Menú principal

domingo, 30 de abril de 2017

Cómo incrementar la seguridad en vuestras cuentas de Apple e iCloud

Con los prominentes robos de datos que golpean los titulares regularmente, os estaréis preguntando como podéis mantener vuestros datos a salvo. Desde Seguridad Apple os daremos una serie de recomendaciones y consejos para que incrementéis la seguridad en vuestras cuentas. El primer aspecto a tener en cuenta es la protección de nuestros dispositivos, es importante disponer de una contraseña alfanumérica única para cada uno de nuestros terminales, también es recomendable   que dicha contraseña  contenga al menos una letra mayúscula, un número y un carácter especial. Un error comúnmente  cometido es el uso de  nuestros datos personales para crear una contraseña.

Las contraseñas son seguras hasta cierto punto, pero la mejor forma de proteger nuestras cuentas es con el uso de dobles factores de autenticación, ya que en caso de robo de credenciales no se podrá acceder a nuestra cuenta. Como ya os hemos contado muchas veces, el uso de estos factores hace que tengamos que introducir un código de seis dígitos a parte de nuestros credenciales, el código normalmente se obtiene vía SMS o con una aplicación como Latch, para activar los dobles factores de autenticación solo tendréis que ir al apartado de configuración en vuestra cuenta de iCloud y seguir este pequeño tutorial que os escribimos sobre Cómo configurar verficación en dos pasos en tu cuenta de AppleID.

Figura 1: Doble factodr de autenticación en iCloud

Otro aspecto importante a la hora de mejorar nuestra seguridad se basa en gestionar las configuraciones de seguridad en nuestro navegador. Para usar el navegador en dispositivos Apple deberemos estar registrados con nuestra cuenta de iCloud, es conveniente comprobar periódicamente la lista de dispositivos asociados a nuestra cuenta y quitar los que no nos suenen o no vayamos a volver a usar. Muchos navegadores guardan los usuarios y contraseñas después de iniciar sesión en nuestras cuentas a través de ellos, cuando utilicemos un ordenador que no es nuestro es muy importante borrar nuestros credenciales al terminar, ya que en caso de haberse quedado guardados cualquiera podría acceder a nuestra cuenta.

Figura 2: función de recuerdo de contraseñas.

Para terminar os recomendamos el uso de Find my iPhone, al activar esta función  podréis localizar y borrar de manera remota todos los datos de vuestro iPhone o iPad en caso de pérdida o robo. En el caso de los macOS existe una función similar, se encuentra en el apartado de preferencias del sistema de iCloud, que además de permitirnos borrar su contenido remotamente puede hacer que nuestros dispositivos emitan sonidos para determinar su ubicación.

sábado, 29 de abril de 2017

Warning: Nuevo ataque de Phishing de Apple

Como ya os hemos contado anteriormente en Seguridad Apple los ataques  Phishing no son nada nuevo, recientemente se ha descubierto otro nuevo ataque de este tipo cuya finalidad es sustraer los datos personales y bancarios de las víctimas. La Oficina de Seguridad Interna (OSI) del Instituto Nacional de Ciberseguridad (INCIBE) ya ha lanzado un importante aviso en su página web con la finalidad de advertir a los usuarios de Apple y a la propia compañía. El número de atques Phishing ha incrementado exponencialmente durante los últimos años haciendo que sea de vital importancia comprobar la legitimidad de muchas de las páginas que visitamos.

En este caso el ataque sigue un modus operandi muy común, los atacantes envían un correo electrónico fraudulento que  aparenta ser un correo de Apple, en el correo se advierte a los usuarios que su cuenta ha quedado bloqueada debido a un intento de violación de la seguridad en los servidores de la compañía y que debe verificar tanto su correo como la información personal y bancaria asociada a su cuenta. En el cuerpo del mensaje también se incluye un enlace que supuestamente  te dirige a la página legítima de Apple, sin embargo al dejar apoyado el cursor sobre él podremos observar que la URL ni se parece a la de la página  de Apple.

Figura 1: Página fraudulenta que imita a Apple

Al pinchar en el enlace accedemos a una página con un aspecto idéntico a la página oficial de Apple, además esta página cuenta con un certificado de seguridad para hacer que las victimas confíen en su legitimidad. A continuación la página solicita tus credenciales, que en caso de introducirlos serán almacenados en la base de datos del atacante, después de esto te pide que introduzcas tus datos personales y los de tu tarjeta de crédito, incluyendo la fecha de caducidad y el código de seguridad. Además también te pide introducir el pin de la tarjeta, un dato que Apple jamás solicita. Tras introducir todos tus datos y enviar el formulario la web te redirige a la página de inicio de Apple, en este caso la página oficial para mitigar sospechas.

Desde Seguridad Apple os recordamos que aunque este tipo de ataques parezca sencillo de detectar el número de víctimas que son engañadas es inmenso lo que lo convierte en una de las principales amenazas de Internet. Para protegeros frente a este tipo de ataques y muchos otros os recomendamos el uso de segundos factores de autenticación.

viernes, 28 de abril de 2017

Homografía en los navegadores: Ésta no es la página de Apple que estabas buscando

Si normalmente usas Chrome, Firefox u Opera para visitar páginas web deberíais tener cuidado debido a una vulnerabilidad capaz de engañar hasta a los usuarios más listos para que confíen en páginas no legítimas. En estas páginas es común que se nos solicite descargar algún software malicioso camuflado en un programa que podría sernos útil o ingresar nuestros credenciales o datos bancarios. El Phishing se ha convertido en una práctica habitual entre los ciberdelincuentes y desde Seguridad Apple os recordamos la importancia de los dobles factores de autenticación ya que en casos de robo de credenciales los atacantes no podran entrar en nuestras cuentas.

La vulnerabilidad mencionada anteriormente - que no es nueva y se conoce desde hace ya unos años - se basa en la forma en la que los navegadores más utilizados muestran algunos caracteres extraños en su barra de direcciones. Hasta que Google lanzó su versión 58 hace unos días Chrome mostraba en su barra de direcciones  "https://www.apple.com". cuando la dirección introducida era "https://www.xn--80ak6aa92e.com", lo mismo sucedía en Firefox y Opera. Como la imagen que os mostramos a continuación muestra, la página no guarda ninguna relación con Apple. Si este dominio fuera registrado por un atacante podría replicar la página oficial de Apple y usarlo para promover software malicioso o engañar a los visitantes para divulgar sus credenciales o información comprometida.

Figura 1: Como se muestra el dominio https://www.xn--80ak6aa92e.com en los navegadores.

Xudong Zhen, desarrollador de aplicaciones web y diseñador de la página de Apple ha explicado cómo es esto posible:

Punycode hace posible registrar dominios que contienen caracteres extraños, funciona convirtiendo los dominios con este tipo de caracteres en otros con un formato alternativo que solo utiliza caracteres similares a los que aparecen en la tabla ASCII. 

Desde la perspectiva de la seguridad, los dominios con Unycode pueden resultar bastante problemáticos porque algunos de los caracteres que usan son muy difíciles de distinguir de los de la tabla ASCII, como es el caso de la Cyrillic "а", la cual es casi idéntica a la a de la tabla ASCII dando lugar a posibles ataques homográficos. 

Por desgracia para los usuarios de Chrome, Firefox y Opera los mecanismos de estos navegadores para prevenir estos ataques fallan si cada carácter es replicado por uno de un lenguaje raro. Visualmente los dos dominios son indistinguibles debido a la fuente usada por Chrome y Firefox haciendo imposible identificar si se trata de un sitio fraudulento con un análisis a simple vista.”


Figura 2: Barra de busqueda al introducir el dominio https://www.xn--80ak6aa92e.com .

Para prevenir estos ataques se recomienda a los usuarios de Chrome que instalen la versión 58 lo antes posible, los usuarios de Firefox también podrán prevenir este tipo de ataques poniendo about:config en su barra de búsqueda e ignorando la advertencia de seguridad, tras hacer esto deberán buscar "punycode" en el apartado de búsqueda y hacer doble clic donde pone "network.IDN_show_punycode" hasta que el valor false cambie a true. Esto hará que las URLs que busquemos aparezcan en su lenguaje original haciendo más fácil la identificación de páginas fraudulentas.

jueves, 27 de abril de 2017

Pangu tiene un Jailbreak para iOS 10.3.1

Se especula con la salida de un nuevo Jailbreak para iOS 10.3 o iOS 10.3.1. El rumor indica que el equipo de Pangu puede publicar, incluso la semana que viene, un nuevo Jailbreak que afecte a las últimas versiones del sistema operativo iOS. Parece que los miembros del equipo Pangu, con sede en China, han estado demostrando un Jailbreak en un iPhone 7 en un iOS 10.3.1. De este modo, se ha ido alimentando las especulaciones respecto a este asunto. Muchas personas creen que el Jailbreak es cuestión de días o pocas semanas.

En el video se puede ver una aplicación de Jailbreak del equipo de Pangu con un aspecto familiar o friendly, el cual es ejecutado sobre un iPhone dónde se muestra la palabra "Jailbreaking". Por encima de la imagen está el título que muestra claramente "iPhone 7 iOS 10.3.1", con lo que se indica que la aplicación está liberando un iPhone que utiliza la última versión pública de iOS. Además, desde las redes sociales se ha alimentado la especulación con la traducción de un artículo chino en el que se indica que el equipo está trabajando en dicho Jailbreak.


El escenario acutal es el siguiente: nos encontramos ante un posible nuevo Jailbreak para las últimas versiones de iOS públicas. El cual funcionará con los iPhone 7 / Plus. Curiosamente, también hay rumores sobre las arquitectuas compatibles y, según parece, en este caso no habrá problemas con los dipsositivos sde 64 bits que ejecuten iOS. Sin embargo, hay que tener cautela y paciencia, ya que el lanzamiento del nuevo Jailbreak puede retrasarse debido a las pruebas que se tienen que seguir haciendo para tenerlo estable o, quizá, el equipo de Pangu no tenga intención de liberarlo a corto plazo y prefiere esperar y sacarle más rédito en el futuro. Estaremos atentos a los próximos movimientos.

miércoles, 26 de abril de 2017

Apple amenaza con expulsar a Uber de la AppStore

Apple ha amenazado con expulsar a Uber de la AppStore de los iPhone. Esto es debido a que desde la empresa de Cupertino se cree que Uber ha ido demasiado lejos en lo que a identificación y categorización de iPhone de usuarios de forma secreta. Es decir, los iPhone que tenían instalada la aplicación de Uber podían etiquetar y dejar en el iPhone una especie de "huella" que no podía ser borrada, incluso, potencialmente, cuando se eliminaba la aplicación. De esta forma la gente de Uber sabía que la app ya había sido instalada previamente en este dispositivo y se puede relacionar al usuario y/o dispositivo. Esto suena mucho a tracking como el visto con, por ejemplo, super cookies o fingerprint de navegadores.

Apple prohíbe este comportamiento, por lo que Tim Cook amenazó con quitar a Uber de la tienda de aplicaciones. Además, Uber intentó esconder lo que estaba haciendo, utilizando técnicas de ofuscación de código con el objetivo de que las personas encargadas de analizar y aprobar la aplicación para su subida a la AppStore no descubrieran la funcionalidad oculta. Tim Cook mencionó la implicación que tiene esta funcionalidad contra la privacidad de los usuarios. 

Figura 1: Uber bajo el punto de mira en Cupertino

Hay que diferenciar entre fingerprint y tracking. El primero se refiere a formas de identificar un dispositivo, mientras que el segundo está orientado al perfilado de un usuario. Uber se defiende e indica que no siguen a ningún usuario individual o su localización si han eliminado la aplicación. Todo sigue un camino extraño y un tanto oscuro en esta historia, pero parece que Apple está dispuesto a hacer que Uber abandone la AppStore si no le convencen los cambios y eliminación de la supuesta funcionalidad.

martes, 25 de abril de 2017

Apple libera iOS 10.3.2 y macOS 10.12.5 en versiones beta

Hace unas horas Apple ha liberado una serie de versiones beta para iOS y macOS. En este caso, iOS 10.3.2 y macOS 10.12.5. Parece que no queda excesivo tiempo para que estas versiones vean la luz pública, quizá un mes o menos. La versión de macOS 10.12.5 es una actualización menor y se centra en correcciones de errores y mejoras de seguridad. La actualización viene después de la actualización más significativa de macOS 10.12.4, la cual trajo muchos parches de seguridad y mejoras en funcionalidades.

En cuanto a iOS 10.3.2, el cual se encuentra en beta disponible para iPhone, iPad e iPod Touch, vemos que hay corrección de errores y actualización relacionada con la seguridad. La versión de iOS 10.3 de Apple incluye Find My AirPods, el nuevo sistema de archivos APFS, mejoras de CarPlay y algunas cosas más. Sin embargo, iOS 10.3.1 fue lanzado de urgencia hace unas semanas, con un update de seguridad. En la versión de iOS 10.3.2 se han solucionado algunas cosas como es la VPN de terceros, se han añadido comandos de SiriKit para el coche y mejoras en la seguridad del webkit de Safari.

Figura 1: iOS 10.3.2 beta

Sin duda, ya estamos deseosos de poder disfrutar de la nueva versión de iOS 10.3.2 y que se haga la liberación de la versión para todos los usuarios. Estaremos atentos a posibles novedades, así como la posible ampliación de características y parches de seguridad que las nuevas versiones de iOS y macOS puedan tener.

lunes, 24 de abril de 2017

Mastercard quiere competir con Apple Pay con tarjetas con huellas dactilares

Mastercard ha agregado sensores de huellas dactilares a las tarjetas que utilizamos en el día a día. Algunas fuentes indican que la estricta política de Apple con el Apple Pay ha producido este movimiento de Mastecard con el objetivo de competir con ello. Mastercard está probando tarjetas que integran un sensor de huellas dactilares con el fin de ofrecer una alternativa más conveniente que introducir el PIN. A diferencia del Apple Pay, las tarjetas pueden carecer de una serie de características de seguridad importanes. 

El informe publicado por Cherlynn Low señala que las nuevas tarjetas biométricas se están probando actualmente en Sudáfrica y que Mastercard espera lanzarlas a nivel global a finales del año 2017. Low afirma que las huellas están reemplazando rápidamente a los PIN y las contraseñas como nuestro principal medio de desbloquear nuestros teléfonos, puertas y cajas fuertes. En última instancia son más convincentes, no se olvidan, únicas y más seguras que las contraseñas. Sin embargo, no todos los sensores de huellas dactilares son iguales. La implementación de Mastercard almacena de forma cifrada la huella digital en el chip EMV de la tarjeta. La diferencia más obvia con el Apple Pay es la ventaja de conveniencia de Apple Pay sobre las tarjetas Chip and Pin, no hay que insertar nada. 

Figura 1: Lector de huellas de las tarjetas Mastercard

A diferencia con el Apple Pay, ante un robo la tarjeta queda a merced de un ataque por impresión de huella falsa contra el lector. Además, no queda del todo claro cómo el chip almacena los datos. Los lectores de huellas dactilares que se utilizan en los dispositivos que funcionan con Android, Windows o iOS son construidos por fabricantes líderes de este tipo de hardware. Habrá que esperar a ver que ocurre con este nuevo frente de batalla para Apple.

domingo, 23 de abril de 2017

Fue noticia en Seguridad Apple: del 10 al 22 de abril

Ya es primavera y en Seguridad Apple seguimos trabajando para traeros las mejores noticias en el ámbito de la seguridad informática. Como es habitual os presentamos en nuestro fue noticia un resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 10 avisándoos de que las estafas a propietarios de productos Apple continúan, en este caso a través de una llamada telefónica en la que se nos avisa de una falsa vulnerabilidad en iCloud.

El martes, os contamos las razones por las que Apple ha sido denunciado por la Comisión Australiana de Competencia y Consumidores.

El miércoles 12 os informamos de que Little Flocker, una herramienta creada por Jonathan Zdziarski ahora le pertenece a la empresa F-Secure.

El día 13 os contamos como unos investigadores en Nueva York han demostrado que la autenticación a través de Touch ID no es tan segura como parece.

El viernes 14 os presentamos el video de nuestra Talk sobre Dirty Tooth, un pequeño hack con el que se puede obtener mucha información aprovechándose de la configuración bluetooth de los iPhone.

El sábado 15 os avisamos de cómo ha aumentado la aparición de vulnerabilidades en sistemas Apple, vulnerabilidades que podemos encontrar en Exploit-db.

Cerramos la semana contándoos como Apple explica cómo identificar algunos engaños como el Phishing y cómo reportarlos.

El lunes 17 os informamos de la mejora de seguridad que supone el nuevo sistema de almacenamiento interno en iOS 10.3.

El martes 18 os presentamos macOS Hacking, el nuevo libro sobre seguridad en Apple de Oxword, en el que se abarcan diferentes caminos para realizar un buen pentest.

El miércoles 19 os alertamos de que el malware en Mac incrementó en un 744% durante el pasado año.

El jueves 20 os contamos los posibles problemas de Apple con su Touch ID que podrían hacer que la empresa californiana retrasase el lanzamiento del iPhone 8.

El viernes 21 os hablamos sobre los planes de Apple para acabar con los cables de alimentación y accesorios no oficiales para sus dispositivos.

Por último, ayer sábado hablamos de un proyecto que parecía caído en el olvido tecnológico por parte de la empresa de Cupertino, pero que no ha sido así. El coche de Apple parece que puede seguir teniendo cabida. Échale un ojo al proyecto del coche autónomo de Apple y opina si crees que esto llegará algún día a ver la luz.

Seguiremos trabajando estas dos semanas para traeros lo mejor en temas de seguridad de Apple y todas las novedades y actualizaciones que vayan surgiendo.  Nos vemos en 14 días y disfrutad del domingo.

sábado, 22 de abril de 2017

El proyecto de coche autónomo de Apple podría no estar muerto del todo

Ya hace tiempo que se pensaba que el proyecto automovilístico que Apple había iniciado tiempo atrás había sido cancelado después de que Google tomase la delantera en la lucha por el lanzamiento de un coche autónomo. Sin embargo, el proyecto de Apple podría no estar muerto del todo. Recientemente se ha conocido que el departamento de vehículos motorizados de California ha concedido a Apple un permiso para probar vehículos autónomos por sus carreteras estatales.

Aunque Apple haya obtenido estas licencias cabría la posibilidad de que en vez de trabajar en un coche autónomo estuviese trabajando en tecnología asociada al ámbito de la conducción autónoma, pudiendo tratarse solo de software o incluso hardware. Recientemente se ha sabido que la empresa californiana trabajará conjuntamente con Bosch, al comprobar la lista de proveedores con los que trabajará Apple durante los próximos años. Por el momento Apple no ha querido hablar sobre cuáles son sus planes con la empresa alemana y todavía no se sabe cuál es el nivel de participación de cada empresa en su proyecto común.

Figura 1: Posible diseño de coche autónomo de Apple

El mercado de los vehículos autónomos está creciendo a pasos agigantados y la competencia entre las 29 marcas que actualmente trabajan en esta clase de proyectos es feroz, esto fue lo que hizo que hace un tiempo Apple no se lanzase de lleno a este sector del mercado ya que no había garantía alguna de asegurar su supervivencia. Tendremos que esperar un tiempo antes de que Apple revele qué planes tiene para el mundo de la conducción autónoma.

viernes, 21 de abril de 2017

Apple pretende acabar con el uso de los cables de alimentación no oficiales

Uno de los principales inconvenientes a la hora de comprar un dispositivo Apple es el precio de sus accesorios y periféricos, lo que hace que mucha gente opte por el uso de algunos productos no oficiales como cables de carga o auriculares ya que muchas veces los que recibimos al comprar nuestros iPhone, iPod o iPad se debilitan y acaban por romperse tras un tiempo de uso, pero en unos dias esto podría dejar de ser una realidad.

Según el portal de noticias de Apple, la próxima actualización de iOS hará que los accesorios no oficiales sin certificación MFi dejen de funcionar, en el caso de los cables de alimentación serian bloqueados no permitiendo la carga de los dispositivos, en la pantalla se mostraría el mensaje: “el accesorio no está soportado”. Esto se trata de otro intento de Apple por acabar con los fabricantes de accesorios y recambios no oficiales, ya que el mercado se ha inundado de estos productos debido a su bajo precio y su gran demanda. Muchos de los distribuidores de estos artículos no certificados por el MFi ya han anunciado que sus productos no serán compatibles con versiones de iOS superiores a la 10.2.1.

Figura 1: Cable de carga iPhone

Sin embargo antes de que Apple incorpore esta medida ya existe una forma de saltársela gracias a Made for iPhone, un programa informático capaz de garantizar que dichos accesorios serán compatibles con los productos de Apple ya que les otorga la documentación, herramientas y permisos necesarios para poder reproducir AirPlay y obtener la certificación. Si queremos comprobar si algunos de nuestros cables de carga funcionarán tras la actualización solo  tendremos que poner nuestro dispositivo en modo avión y reiniciarlo, al hacer esto el dispositivo contrastaría con una lista de accesorios certificados por el MFi a través de internet indicándonos si el cable funcionaría o no. ¿Se acerca el fin de los accesorios no oficiales?

jueves, 20 de abril de 2017

Apple puede tener problemas con el Touch ID para el iPhone 8

Apple podría estar planteándose retrasar el lanzamiento del iPhone 8, ya que el rediseño presenta un reto para una de las características clave, es decir, el Touch ID. Esta edición es muy esperada por el gran público, ya que es el décimo aniversario del iPhone y lucha por implementar un nuevo diseño a una característica clave de seguridad como es el Touch ID. Se cree que la pantalla irá de borde a borde, al igual que el teléfono insignia de Samsung. Una opción es que sea la propia pantalla la que escanee la huella digital, aunque presenta desafíos técnicos. Otra opción es que el escaner de huellas se encuentre en la parte trasera, aunque esto es considerado un compromiso de diseño.

Si Apple decide dejar el Touch ID sin cambio o, incluso, quitarlo la característica clave de seguridad sería el reconocimiento facial. Al final todo son cábalas y no habrá una solución hasta que salga el nuevo iPhone, supuestamente a finales de año. Analistas japoneses hablan que el nuevo iPhone 8 tendrá un diseño similar al del iPhone 4, con una banda de acero inoxidable envolviendo el dispositivo, el cual tendría un frente y una parte trasera de cristal. Para muchos el iPhone 4 ha sido estéticamente el iPhone más estético, pero seguiremos sin saberlo hasta que llegue el momento del nuevo lanzamiento.

Figura 1: Leaks de lo que puede ser el nuevo iPhone 8

Sin duda una inquetud que debe tener preocupados a la gente de Cupertino. El Touch ID es un símbolo del iPhone, el cual sin ello, perdería un rasgo de personalidad, a priori difícil de sustituir. Muchas personas creen que parte del éxito del iPhone 8 radicará en el nuevo rediseño y acomplamiento del Touch ID, casi tanto, como la apariencia del mismo teléfono. Seguiremos atentos en Seguridad Apple para cualquier novedad que surja al respecto.

miércoles, 19 de abril de 2017

El malware en Mac incrementa un 744% en el año 2016

El mito de que los Mac no tienen malware es eso, un simple mito. Cada vez más personas deciden utilizar los Mac y los delincuentes han puesto el foco y éste sigue en aumento con el paso de los años. Según un último reporte de McAfee existe un incremento del 744% de malware para los equipos Mac. Esto supone una realidad dura y que el consumidor debe conocer y no pensar que está libre de malware por utilizar sistemas Mac

El reporte muestra un incremento sin precedentes en el último trimestre del año 2016, siendo más de la mitad de las muestras recogidas en el año 2016 de este último trimestre. Aún así, se sigue estando lejos de los números de sistemas como Windows, dónde podemos hablar de 640 millones de muestras de malware en el año 2016. De todos modos, el incremento del malware en sistemas Mac es muy significativo y es un claro ejemplo de que los delincuentes están apostando por este tipo de prácticas para obtener un beneficio.

Figura 1: Malware en Mac en 2016

Para estar un poco más seguros, debemos elegir bien de dónde descargamos las aplicaciones. La recomendación es que siempre hagamos uso de la Mac App Store con el objetivo de evitar malware o aplicaciones no fiables. Además, debemos ser cautelosos a la hora de ejecutar archivos adjuntos que recibamos vía correo electrónico. Como se puede ver, los sistemas Mac son un foco para el malware y esto, cada vez, irá a más.

martes, 18 de abril de 2017

macOS Hacking: Nuevo libro sobre seguridad en Apple de 0xword

Los compañeros de 0xword han publicado un nuevo libro y en esta ocasión le tocó a macOS. El nuevo libro de macOS hacking muestra al lector diferentes caminos, vectores y forma de realizar un pentest desde y a macOS. Las tecnologías Apple han pasado de ser minoritarias a estar en el mundo de la empresa en todos los rincones en los últimos diez años, y en los procesos de Ethical Hacking son cada vez más un objetivo a tener en cuenta. Hace más de 7 años que tenemos este blog y en él hemos estado hablando de la importancia de tomarse en serio la seguridad del mundo de la manzana mordida.

En este blog hemos ido recogiendo los avances en el mundo de la seguridad y el hacking y hemos, por ejemplo, recogido diferentes pruebas de concepto interesantes a la hora de afrontar un análisis de seguridad de los sistemas. Hay que recordar el bypass a sudo que afectaba a OS X, como ser root en OS X con un exploit que cabía en un tuit o cómo explotar una vulnerabilidad en Firefox el cual es ejecutado en OS X. Además, hemos estado alineados con el libro Hacking iOS: iPhone & iPad, del cual se han vendido más de 1500 ejemplares.

Figura 1: macOS Hacking

Los autores nos comentan esto: "Centrándose en temas de seguridad, cada día es más común ver equipos Mac en conferencias como Defcon, BlackHat, Rooted Con o Ekoparty, entre otras, donde sólo se reúnen expertos en seguridad. La fuerte demanda de estos equipos y de su sistema operativo, ha hecho que se planteara la idea de escribir un libro que explicara en profundidad algunas de las características más esenciales de estos sistemas, enfocado siempre a la seguridad y el hacking. De esta manera, se busca dar a conocer multitud de funcionalidades ocultas del sistema, así como también un gran número de herramientas de hacking que permitirán tener un equipo Mac completamente preparado para realizar auditoría de seguridad y ataques hacking". Apúntate el libro macOS Hacking como recomendado.

lunes, 17 de abril de 2017

iOS 10.3 y la seguridad mejorada del sistema de archivos

La llegada de iOS 10.3, y la posterior llegada de iOS 10.3.1, para iPhone e iPad ha cambiado la forma del almacenamiento interno. El nuevo sistema de archivos promete una mejor optimización, rendimiento y seguridad. El nuevo sistema operativo ha traido grandes cambios y es que se cree que iOS 10.3, realmente sería iOS 10, pero que por algún motivo, probablemente el tiempo, no pudo ser. Apple ha cambiado a un nuevo sistema de archivos conocido como Apple File Systems APFS.

 Esto reemplaza al sistema de archivos HFS, el cual ha estado en uso desde el año 1998 en los equipos de Apple y, posteriormente, en los dispositivos móviles de la marca. Si has instalado, lo cual es totalmente recomendable si no lo has hecho, iOS 10.3 en tu iPhone o iPad, éste convertirá automáticamente el sistema de archivos de HFS+ a APFS. Las ventajas son la optimización de almacenamiento con lecturas y escrituras más rápidas. Sin embargo, el mayor cambio viene en el aspecto de seguridad. APFS proporciona cifrado de disco completa así como cifrado para archivos y carpetas individuales. El sistema proporciona varias opciones: no cifrar, cifrado de una sola clave y cifrado de varias claves. 

Figura 1: APFS el nuevo sistema de archivos

APFS no cambiará la forma en que se vean los documentos, carpetas y archivos. Visualmente las cosas seguirán siendo las mismas que antes, ya que todos los cambios están sucediendo en lo que se llama background. El sistema APFS ha sido diseñado para funcionar en iOS, macOS, tvOS y WatchOS, lo cual es interesante y lo veremos en el resto de plataformas en un futuro cercano. La documentación de Apple sugiere que no se eliminarán o perderán datos durante el proceso de conversión, pero, si aún no has actualizado haz una copia de seguridad antes de hacerlo.

domingo, 16 de abril de 2017

Apple te dice cómo identificar y reportar sobre phishing y otros engaños

Apple tiene disponible para todos los usuarios un sitio web dónde puedes encontrar información sobre cómo identificar y reportar tanto phishing como mensajes sospechosos que te lleguen. El enfoque del sitio pretende proteger a los usuarios de Apple de posibles intentos de robos del Apple ID. Además, Apple indica que si crees que tu Apple ID ha sido comprometido visites el sitio web del Apple ID para poder restablecer y cambiar la contraseña de tu cuenta. El uso del 2FA es casi obligatorio y Apple ha lanzado una campaña llamativa para todos sus usuarios desde iOS 10.3 con el objetivo de incrementar de forma notoria el uso del segundo factor.

Sin duda, una gran iniciativa de Apple aportar este tipo de soluciones para sus usuarios. Es recomendable que te pases por el sitio y veas qué cosas debes tener en cuenta y, sobretodo, cómo evitar las estafas y los robos de identidad. A continuación os comentamos una serie de medidas que debemos tener en cuenta para evitar las estafas:
  • Utilización del 2FA para el Apple ID.
  • Utilización de contraseñas seguras.
  • Verifica la correcta conexión de tu navegador con icloud.
  • No hacer clic en ningún botón o enlace sin asegurarte de la dirección URL.
  • Si no estás seguro del origen de una ventana emergente, no interactúes.
  • Confirma siempre la identidad de la persona que te llame antes de dar ningún dato, puede que se hagan pasar por personal de Apple.
  • No abrir, ni guardar, archivos adjuntos en correos supuestamente de Apple.

Figura 1: Cómo identificar un intento de suplantación

Apple también tiene un sitio dónde encontrar la ayuda del soporte técnico, ya que en algunos casos, éstos pueden ser más complejos o surgir dudas en el usuario. En estas fiestas y durante el resto del año pon atención en la interacción que hace Apple o los estafadores que utilizan la marca para intentar robar tu identidad.

sábado, 15 de abril de 2017

Escaladas de privilegios y fallos en el kernel de macOS en abril

El interés por descubrir vulnerabilidades y formas de explotar fallos en los sistemas Apple ha crecido, de eso no cabe la menor duda. Si nos fijamos en sitios como Exploit-db o 0day.today podemos ir encontrando diferentes vulnerabilidades a lo largo del tiempo. El mes de abril y el final del mes de marzo está siendo especialmente duro para los sistemas de Apple ya que, además de un gran número de actualizaciones y despliegues de urgencia, tenemos una serie de vulnerabilidades publicadas, algunas a la espera de exploit. En el artículo de hoy hablaremos de las diferentes vulnerabilidades que podemos encontrar visitando estos bancos de vulnerabilidades.

En Exploit-db podemos encontrar 6 vulnerabilidades para sistemas macOS en lo que llevamos de mes de abril. Sin duda, interesante. Algunas de las vulnerabilidades permiten la ejecución de código y la escalada de privilegios dentro del sistema. La mayoría de las vulnerabilidades que se pueden encontrar en la plataforma afectan al kernel del sistema operativo.

Figura 1: Vulnerabilidades de macOS en abril en Exploit-db

No dudes en actualizar tu sistema operativo cuando tengas actualizaciones. El riesgo cada vez es mayor y cada vez existen un mayor número de vulnerabilidades, lo cual es interesante e importante, ya que hay una mayor investigación y protección para el usuario final. Si no has actualizado a la última versión de macOS, hazlo lo antes posible.

viernes, 14 de abril de 2017

ElevenPaths Talks: Video de DirtyTooth

Aprovechando estas fechas tan familiares os dejamos el video del talk de DirtyTooth. Hay que recordar que DirtyTooth es un pequeño hack que se aprovecha de la configuración de iOS en lo que a administración de perfiles bluetooth se refiere, a través de este pequeño fallo se puede obtener mucha información sobre los usuarios y su entorno (desde números de teléfono hasta los últimos cambios de portabilidad realizados).

El funcionamiento de DirtyTooth es muy sencillo. Al realizar una búsqueda de dispositivos a los que vincular nuestro iPhone podemos observar en qué perfil se encuentran, en función del perfil el dispositivo solicitará una información u otra, este hack se basa en la realización de un cambio de perfil cuando el usuario ya se ha conectado.


Además, te puede interesar otros artículos relacionados, como los publicados en el blog El Lado del Mal, donde Chema Alonso detalla minuciosamente el funcionamiento y las posibilidades que este pequeño hack nos ofrece, o también puedes echar un vistazo al paper de Dirtytooth en el Slideshare de ElevenPaths.

jueves, 13 de abril de 2017

El Touch ID no es tan seguro como parece según unos investigadores de Nueva York

Los sensores de huellas digitales se han convertido en un elemento de seguridad muy presente en los Smartphone modernos. Con un toque de un dedo el dispositivo puede quedar desbloqueado y no se requiere más contraseña que nuestro dedo. Incluso, podemos pagar con nuestro Apple Pay y nuestro dedo. Siempre se ha estado luchando por demostrar la seguridad o no seguridad de este tipo de elementos. Investigadores de la Universidad de Nueva York y de la Universidad Estatal de Michigan sugieren que este tipo de elementos pueden ser fácilmente engañados a través de huellas falsas compuestas de características comunes. En el IEEE se puede encontrar su publicación.

En las simulaciones llevadas a cabo, los investigadores fueron capaces de desarrollar un conjunto de "MasterPrints" artificiales que podrían coincidir con impresiones reales similares a las utilizadas por los dispositivos hasta en un 65% del tiempo. Los investigadores no probaron estos datos con dispositivos reales, por lo que otros expertos han indicado que en condicones reales la tasa de acierto sería menor. Sin embargo, las conclusiones plantean un escenario lleno de preguntas sobre la eficacia de la seguridad de huellas digitales en este tipo de dispositivos. 

Figura 1: Huellas dactilares del estudio
Las huellas dactialres humanas son díficiles de falsificar completamente, pero los escáneres de dedos de los teléfonos son tan pequeños que sólo leen huellas parciales. Cuando un usuario configura este tipo de seguridad en un iPhone se toman entre 8 y 10 muestras o imágenes de un dedo para facilitar la correspondencia. Dado que un golpe de dedo debe coincidir con sólo una imagen almacenada para desbloquear el teléfono, el sistema es vulnerable a coincidencias falsas. Los investigadores afirman que es como si un usuario tuviera 30 contraseñas y el atacante solo necesitara acertar una para acceder a los contenidos. El Dr. Memon comentó que los hallazgos indicaban que si pudiera de alguna manera crear un guante con una MasterPrint en cada dedo, podría obtener entre el 40 y 50 por ciento de los iPhone dentro de los 5 intentos permitidos.

El estudio no es práctico, pero vuelve a abrir el debate sobre la seguridad de las huellas dactilares en este tipo de dispositivos. Lo que tenemos claro es que ayuda como un 2FA, pero quizá no como un solo factor de seguridad. Estaremos atentos desde Seguridad Apple a este interesante tema que se vuelve a abrir.

miércoles, 12 de abril de 2017

Little Flocker: F-Secure adquiere la herrramienta de Jonathan Zdziarski

Hace unas semanas hablábamos de la incorporación de Jonathan Zdziarski al equipo de Apple. Fue una sorpresa para muchos, aunque algo más lógico para otros. Muchos se preguntaron que ocurriría con la herramienta de Jonathan llamada Little Flocker, pero ahora ya se sabe que es lo que ocurrirá con la herramienta. Little Flocker tendrá, lo que se ha llamado, un nuevo hogar. Little Flocker es una herramienta que permite mantener los datos personales a salvo del malware como troyanos, ransomware y otras amenazas en el Mac.

La empresa F-Secure ha agregado Little Flocker a su cartera de herramientas, es más, la empresa anunció en su blog la adquisición de la herramienta. La empresa planea enriquecer la tecnología central de Little Flocker con la conexión al cloud de seguridad e implementarla en su servicio Protection Service for Business, una solución de seguridad con administración centralizada de equipos, servidores y servidores de administración. La tecnología estará, más tarde, disponible para los clientes como parte de F-Secure Safe, una oferta de seguridad multidispositivo.

Figura 1: Little Flocker

Little Flocker aparecerá con un nuevo nombre y perderá su identidad anterior, mientras que su creador Jonathan Zdziarski va acoplándose a Apple para trabajar en la seguridad de la tecnología de la empresa de Cupertino, en el equipo de Ingeniería de Seguridad y Arquitectura. Sin duda, un gran fichaje de la marca.

martes, 11 de abril de 2017

Apple denunciado en Australia por el Error 53

La Comisión Australiana de Competencia y Consumidos, más conocida como ACCC, ha presentado una demanda contra Apple ante la Corte Federal. La demanda alega que el fabricante del iPhone ha realizado declaraciones falsas o engañosas sobre los derechos de los consumidores bajo la Ley del Consumidor de Australia. La comsión dijo en un comunicado que inició una investigación tras los informes relacionados con el "Error 53", el cual inhabilitó dispositivos iPad e iPhone de algunos consumidores después de actualizar el dispositivo. Muchos consumidores que tuvieron este error 53 habían reparado previamente sus dispositivos en un tercero.

La ACCC dijo que Apple se había negado a reparar los dispositivos defectuosos de los consumidores, si un consumidor había tenido previamente el dispositivo reparado por un tercero que no fueran ellos. En virtud de la Ley del Consumidor de Australia, hay una serie de garantías del consumidor con respecto a la calidad y otras características de los bienes y servicios.  Los consumidores tienen derecho a ciertos recursos sin costo alguno cuando los bienes y serviciso no cumplen con las garantías del consumidor.

Figura 1: Error 53

Según la ACCC, Apple envío a los consumidores con productos defectuosos que no tenían derecho a un remedio gratuito a pagar por las reparaciones. Sin embargo, el hecho de que un componente del dispositivo de Apple sea reparado o reemplazado por alguien que no sea Apple extingue el derecho del consumidor a un remedio que incumple con las garantías del consumidor. El debate está abierto la ACCC dice que Apple incumple con la Ley de Consumidores con este acto y Apple tendrá que defenderse en Australia. Todo esto recuerda un poco al debate abierto con el caso del NFC de Apple y los bancos australianos. Parece que tendremos un segundo gran debate en el país australiano.

lunes, 10 de abril de 2017

Warning: La llamada falsa de Apple sobre iCloud

Las estafas con elementos de Apple siguen estando a la orden del día. Si recibes una llamada de "Apple" sobre una vulnerabilidad en iCloud no hagas caso. Hoy tenemos el caso de una persona cuya esposa le hizo saber que Apple Support había llamado para indicarles sobre la seguridad de iCloud. Lógicamente, no era Apple. Los estafadores trataban de aprovechar los informes sobre los millones de potenciales cuentas vulneradas que existen comprometidas. Apple dice que no se ha producido ningún incidente en iCloud que haya producido este hecho, por lo que al parecer dicha información viene de incidentes con terceros.

Lo que hay que tener en cuenta es que Apple no te llamará si no lo has solicitado. En este caso, la víctima recibió una llamada de Apple sin haberla solicitado. Nunca Apple te llamará, además, sin que haya un ser humano detrás, la llamada estaba automatizada. Apple señala esto en su sitio web de consejos sobre el phishing: "Si recibe una llamada no solicitada de alguien que afirma ser de Apple, cuelgue y póngase en contacto directamente con nosotros". La llamada usaba una voz sintetizada, además, bastante mala. Una llamada automatizada de una empresa de esta magnitud debería tener, al menos, calidad.

Figura 1: Consejos de Apple sobre el phishing

La víctima se dio cuenta de que el número al que estaban llamando no lo daban nunca. Era una línea casera que utilizan como respaldo y solo para llamadas salientes. La víctima verificó los números de teléfono que proporcionó a Apple a través de las cuentas del Apple ID y al que llamaban no se encontraban aquí. El mensaje recibido en la llamada ofrecía un número 855 y no proporcionaba una dirección web de Apple. El mensaje ofrecía ponerse en contacto con un asesor de apoyo y esto no es como Apple llama a su personal. 

Al final se puede ver y entender que este tipo de amenazas existen más y más cada día y que los estafadores buscan diferentes formas de conseguir su objetivo. Por suerte, la víctima se dio cuenta de diversos detalles que hacen que no confiara y denunciara este tipo de práctica. Es importante denunciar este tipo de prácticas, ya que ayudan a que otras personas no caigan en este tipo de ataques.

domingo, 9 de abril de 2017

Fue noticia en Seguridad Apple: del 27 de marzo al 9 de abril

Ya es abril y como es habitual en Seguridad Apple os traemos un nuevo Fue Noticia, la sección en la que hacemos una breve recapitulación de las noticias más relevantes del mundo de la seguridad informática ocurridas durante las últimas dos semanas. A continuación os ofrecemos un resumen de estas noticias aderezadas con los mejores contenidos publicados en otros sitios de referencia.

Comenzamos el lunes 27 os recomendamos comprobar vuestros credenciales de Apple, ya que más de 600 millones de cuentas  podrían estar comprometidas.

El martes, os contamos en qué consisten las nuevas actualizaciones iOS 10.3, macOS 10.12.4 y WatchOS 3.2 , aparte de hablaros del Security Update 2017-001.

El miércoles 29 os avisamos de que los scammers se aprovechan de los usuarios que visualizan pornografía en iOS.

El día 30 os contamos cual ha sido la respuesta de Apple sobre su situación frente a las fugas de Vault 7.

El viernes 31 os hablamos de la liberación de iCloud para Windows 6.2, actualización que ha llegado con el fin de parchear algunas vulnerabilidades de su anterior versión.

El sábado 1 os advertimos de que los ataques phishing a usuarios de Apple continúan y os contamos  en que ha consistido el último de ellos.


El domingo 2 os presentamos LiberTV el nuevo jailbreak para Apple TV de cuarta generación, el cual es una adaptación del trabajo realizado por Luca Todesco con Yalu.

El lunes 3 os hablamos de que Apple ha publicado una actualización de la guía de seguridad en iOS 10.

El martes os avisamos de la actualización de iOS 10.3.1, una actualización de urgencia ya que arregla diversos errores y problemas de seguridad.

El miércoles 5 os recordamos que ya está aquí la tercera temporada de Eleven Paths Talks y os invitamos a que os registréis para el webcast y podáis seguir de cerca esta temporada la cual aborda muchos temas interesantes y de actualidad.

El jueves os advertimos de que el malware Pegasus para iOS ha "mutado" y ahora es capaz de infectar dispositivos con sistema Android.

El viernes 7 os hablamos sobre la necesidad de un nuevo estándar en los registros médicos electrónicos, lo que podría generar una guerra entre Apple y Microsoft.

Por último, ayer sábado hablamos sobre como el malware en Mac cada vez está más presente y las formas de protegerse de él no nos valdrán en un futuro. Tenemos que cambiar la mentalidad y las protecciones para mejorar la seguridad.

Desde Seguridad Apple os deseamos una feliz semana santa y como es costumbre estaremos al tanto de las noticias durante las próximas semanas para poderos traer el mejor contenido en la próxima entrega de nuestro Fue noticia en Seguridad Apple.

sábado, 8 de abril de 2017

Malware en macOS: Antivirus no protegen completamente

Durante los últimos años ha tenido lugar un constante debate sobre la existencia de malware en MacOS. Hoy en día se puede afirmar que existe el malware en macOS y es más común de lo que creemos, el gran incremento de usuarios de dispositivos Apple ha provocado que sus sistemas operativos llamen la atención a muchos ciberdelincuentes ya que ha aumentado drásticamente el número de posibles víctimas frente a ataques con software malicioso.

Actualmente la mayoría de ataques a ordenadores y dispositivos móviles vienen como consecuencia de visitar alguna página web o caer en una trampa a través de un mensaje de texto o e-mail en el que a través de un link se accede a una página supuestamente legítima en la que las víctimas introducen sus credenciales o descargan algún tipo de aplicación. La mayor parte del malware utilizado para hacer esto es antiguo, en escritorio la mayoría de ataques se basan en versiones más antiguas de Windows o adaptaciones de las mismas, según ha revelado la firma de análisis Check Point en su último estudio. En cuanto al malware en móviles, el 60% de los ataques vienen de la mano de Hummingbad, un troyano que viene oculto en lo que aparentemente es una app legítima.



Figura 1: Phishing Apple

Desde la aparición de este tipo de ataques Apple ha trabajado con más hincapié en la creación de sistemas operativos seguros, sin embargo siguen apareciendo vulnerabilidades en sus sistemas, muchas de las cuales son descubiertas y parcheadas por su equipo de investigadores antes de que estas puedan ser explotadas. Esto hace que los sistemas operativos de Apple parezcan más invulnerables de lo que realmente son, pero ¿Es un antivirus la respuesta a estos problemas? No en la mayoría de los casos, pero no porque no hagan su trabajo, sino porque hay que hacer más cosas que tener un antimalware.

Habitualmente cuando oímos hablar sobre malware rápidamente lo asociamos a un virus o gusano, sin embargo hay muchos más tipos de malware y estos son capaces de auto-distribuirse de diversas formas, a continuación os presentamos los vectores más comunes:


  •  Abriendo archivos infectados, en forma de virus que corre al abrir el archivo.
  • En forma de troyano (como ya hemos explicado anteriormente). 
  • Vía Spear-phishing, anuncios maliciosos que pueden parecer atractivos para la victima.
  • Mediante un ataque remoto, esta opción es muy popular en sistemas IoT poco protegidos.


  • Figura 2: Ransomware MacOS 

    Dentro de los troyanos podemos encontrar el ransomware, un software malicioso que es capaz de secuestrar nuestros archivos y comúnmente es utilizado para pedir un rescate por ellos, este tipo de ataque se ha convertido en el principal riesgo para los usuarios de MacOS, sin embargo existen herramientas, en este caso para Windows, para prevenir este tipo de ataques y mantener nuestros archivos a salvo, como es el caso de Latch ARW, la cual podéis obtener de forma gratuita en la página web de 11Paths.

    Con las recientes incorporaciones en el equipo de Apple entre las que se encuentra el conocido investigador Jonathan Zdziarski se espera que aparezcan nuevas herramientas capaces de protegernos frente a diversos tipos de ataques en las próximas versiones de MacOS.

    Entrada destacada

    Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

    La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

    Otras historias relacionadas

    Entradas populares