Menú principal

domingo, 31 de julio de 2016

Guía de seguridad y privacidad para tu OSX

Cada día surgen más y más noticias relacionadas con la seguridad y la privacidad. Hoy traemos una guía de buenas prácticas que se ha publicado a través de Github, en la que se recopilan gran cantidad de pruebas e información sobre este tema. En otras palabras, OSX Security & Privacy Guide es una colección de pensamientos y pruebas sobre la seguridad en el sistema operativo OS X utilizando como sistema base la versión de El Capitán. Además, se incluye una best practices en lo que a privacidad se refiere, para que el usuario mejore su experiencia.

Esta guía de seguridad está orientada a usuarios avanzados, los cuales desean adoptar un enfoque profesional en lo que a seguridad se refiere, es decir, adoptar seguridad empresarial estándar. La guía también es adecuada para los usuarios menos avanzados que tengan interés en la mejora de su privacidad, su seguridad en sistemas OSX y también en su propia experiencia de usuario. En la guía hay una frase que indica que un sistema será tan seguro como su administrador se esfuerce en que ello lo sea. Así es.

Figura 1: Guía en GitHub e Índice de contenidos en Readme.md

En la imagen anterior se puede ver parte del índice de la guía. No está completo, pero con esta imagen nos podemos hacer una idea de todos los temas tratados y que son necesarios conocer para fortificar nuestro sistema OSX. Interesante guía que os recomendamos que tengáis cerca este verano, mientras aprovecháis para daros un baño en el mundo de la seguridad en entornos Mac.

sábado, 30 de julio de 2016

La patente de Apple que evita filmaciones de vídeo y foto

Apple ha liberado una patente, denominada Sistema y método para la recepción de datos por infrarrojos con cámara diseñada para detectar imágenes basadas en luz visible, para impedir tomar fotografías o grabar videos con dispositivos iPhone o iPad en lugares dónde se están realizando eventos, como conciertos o museos. La primera patente sobre este tema trata del año 2011, pero Apple ha ido evolucionándolo. Esta patente busca proteger los derechos de autor. La patente que fue concedida hace ya unas semanas por la Oficina de Patentes y Marcas de los Estados Unidos, contiene una descripción del sistema bastante técnica.

En dicha patente se describe una cámara de iPhone o iPad, la cual podría ser desactivada temporalmente al recibir una serie de señales a través de infrarrojos. Las señales recibidas forzarían al dispositivo a no realizar fotografías o grabar durante el tiempo que la señal esté activa. La tecnología patentada por Apple también podría ser utilizada para transmitir información acerca de un objeto o en un lugar dónde se concentre una gran cantidad de personas con iPhone al mismo tiempo. Es decir, podría ser utilizada como guía en un museo, por ejemplo.

Figura 1: Resumen de la patente

Con esta tecnología, la compañía quiere ayudar a los artistas a evitar contenido ilegal. Además, esta tecnología sería muy útil para los funcionarios de aduanas con el fin de bloquear cualquier que tome fotos en un puerto de entrada o de una frontera.

Figura 2: Esquema gráfico de la patente

La tecnología puede ser utilizada por la policia para limitar al smartphone a realizar fotografías y vídeos en ciertos lugares, incluso a un gobierno. No es difícil imaginar al gobierno de Corea del Norte utilizando esta tecnología y llevándola a los límites de cobertura de los medios de comunicación. De todos modos, Apple libera una gran cantidad de patentes al año, pero solo unas pocas llegan al producto final.

viernes, 29 de julio de 2016

MyPermissions: Toma el control de tu privacidad

MyPermissions en una herramienta que nos permite saber que aplicaciones o redes sociales tienen acceso a nuestra información personal, muchas de las aplicaciones que descargamos a diario solicitan permisos para acceder a nuestra galería, cámara fotográfica, contactos e incluso a nuestra ubicación. En ocasiones estas aplicaciones también tienen permiso para actuar en nuestro nombre como en el caso de muchos juegos de Facebook los cuales mandan invitaciones a nuestros amigos o publican en nuestro perfil nuestros avances.

Para poder utilizar esta herramienta deberemos configurar las redes sociales a las que queremos escanear. Al iniciar la aplicación por primera vez nos pedirá que iniciemos sesión en dichas redes sociales para poder notificarnos cuando estas accedan a nuestra información personal. Con MyPermissions podremos ver que aplicaciones son más peligrosas para nuestra privacidad y podremos gestionar sus permisos para obtener una mayor seguridad, además seremos notificados cada vez que se detecte una nueva amenaza.


Figura 1: MyPermissions mostrando información recopilada

Normalmente cuando descargamos una aplicación le damos permisos sin ni siquiera fijarnos en cuales son, en muchas ocasiones estos permisos no son necesarios para que la aplicación funcione correctamente y nos hacen correr un riesgo innecesario. Interesante aplicación que os recomendamos para controlar quién accede o qué recursos se utilizan en vuestro nombre cuando utilizáis diferentes apps.

jueves, 28 de julio de 2016

PRTG: Monitorizar tu red WiFi desde tu iPhone o iPad

Para una empresa el acceso a la red es muy importante y si surge un problema en esta red puede haber consecuencias muy negativas para ella, por esta razón es recomendable el uso de herramientas para saber cuál es el estado de la red y poder prevenir así posibles caídas. Con PRTG podremos estar al tanto de lo que pasa en nuestra red gracias a sus sensores, estos sensores están disponibles para la mayoría de servicios de red, gracias a ellos podremos detectar un problema antes de que surja y además podremos ser notificados vía SMS o vía e-Mail.

Otra gran ventaja que tiene esta herramienta es su sencillez a la hora de utilizarla, ya que su interfaz es muy simple e intuitiva, podremos utilizarla desde nuestro ordenador o en nuestro dispositivo móvil o tablet(también se puede utilizar desde un Apple Watch) por medio de su aplicación gratuita que podemos encontrar en la AppStore. Los sensores se comunican con la aplicación, tal y como se puede ver en la imagen. Desde nuestro iPad o iPhone podemos ver el estado de la red en cualquier instante y desde cualquier ubicación.

Figura 1: Sensores

PRTG es una aplicación gratuita, pero también puedes obtener una versión Premium en la que el coste dependerá del número de sensores que necesites. También podremos monitorear nuestro ancho de banda, mandar pings a maquinas que se encuentren en nuestra red o realizar un mapeo de ella.

Figura 2: Mapeo

Gracias a esta fantástica herramienta podremos monitorizar distintos tipos de redes, páginas web, servidores y mucho más sin la necesidad de hacer un Jailbreak. Este verano aprovecha y echa un vistazo a esta aplicación desde la AppStore.

miércoles, 27 de julio de 2016

Mañana Webcast Online Gratuito: "Generación de políticas nacionales de Ciberseguridad y Ciberdefensa"

Mañana da comienzo la segunda temporada de ElevenPaths Talks, y lo hará con una sesión de nuestro compañero Leonardo Huertas, donde describirá el concepto de Ciberdefensa, así como todos los aspectos y elementos involucrados en esta temática. Además, en este seminario de ElevenPaths Talks se expondrán los objetivos que deben cumplir las políticas de Ciberdefensa de una nación y los riesgos o aspectos que impactan a ésta. Leonardo intentará darte respuestas a las siguientes preguntas típicas:

Figura 1: ElevenPaths Talks "Generación de políticas nacionales de Ciberseguridad y Ciberdefensa"
¿Cuáles son los campos de acción u operación de la Ciberdefensa?, ¿cuáles son los factores que la pueden afectar?, ¿qué pretende resguardar un esquema de Ciberdefensa nacional en los países?, ¿cuáles son las tendencias en Ciberdefensa?, ¿cuáles son los retos a sortear? 
El webcast se enfocará desde un aspecto general de las diferentes naciones, donde se exponen algunos casos que han atentado contra la ciberseguridad nacional como por ejemplo, el caso de Estonia en mayo de 2007, cuando se produjeron agresiones de denegación de servicio contra portales web de dicho gobierno. Puedes apuntarte a este o al resto de los seminarios de la segunda temporada en la web de ElevenPaths Talks.

martes, 26 de julio de 2016

Actualiza: Con el Bug de TIFF en iOS y OS X pueden robarte tus contraseñas

El investigador de Cisco Tyler Bohan ha descubierto un agujero de seguridad en iOS y OS X con el que cualquier usuario podrá acceder a las contraseñas con tan sólo el envío de un mensaje, el cual afecta al dispositivo. ¿Dónde se encuentra el bug? Existe una función en iMessage que se encarga de llevar a cabo la descarga de imágenes que son enviadas, es decir, de forma automática. Entonces, es posible crear un archivo con extensión TIFF con el objetivo de que se haga pasar por una imagen más. El archivo TIFF puede contener código arbitrario con el objetivo de lograr acceso a credenciales.

Esto ocurre debido a una mala gestión del sistema operativo, el cual no realiza una comprobación válida sobre el tipo de imagen o si realmente es una imagen. De esta forma, y tras la ejecución de código, el sistema queda "infectado", por lo que se puede extraer contraseñas almacenadas en el dispositivo sin que la víctima se percate de algo. Apple ha parcheado la vulnerabilidad en el nuevo iOS 9.3.3 y El Capitan 10.11.6. Es muy importante llevar a cabo la actualización, y hay que estar atentos, ya que la vulnerabilidad podría afectar a más aplicaciones.

Figura 1: Bug que permite RCE en iOS y OSX con una imagen

Si aún no has actualizado tu iOS y tu OSX es el momento de hacerlo. Conociendo estas vulnerablidades tan potente el riesgo es grande. Una de las posibles mitigaciones es evitar que las imágenes se descarguen automáticamente, con el objetivo de evitar que al recibir una imagen maliciosa, ésta se ejecutase automáticamente y quedaríamos vulnerados. Seguiremos atentos a posibles nuevas aplicaciones afectadas por esta nueva vulnerabilidad conocida. A esta vulnerabilidad se la conoce como"El Stagefright de iOS" y si eres usuario de iOS con Jailbreak puedes usar TIFF Disabler si no has actualizado a la última versión de iOS con el nuevo "On demand" Jailbreak.

lunes, 25 de julio de 2016

"On Demand" Jailbreak para iOS 9.2 & iOS 9.3.3

Tras la actualización de seguridad de iOS 9.3.3, muchos de los usuarios que tenían instalada una versión anterior de iOS con Jailbreak estaban preocupados. El número y la severidad de los bugs que se han solucionado en la nueva versión han hecho que la comunidad de jailbreakers tenga que moverse rápido.

Para ello, primero salieron tweaks para solucionar los bugs más importantes que afectaban a los usuarios, como el CVE realativo a la ejecución de código remoto en terminales iOS por medio de imágenes TIFF enviadas por iMessage, para lo que salió como workaround TIFF disabler.

Pero lo que ha hecho PanGu, equipo responsable de las últimas herramientas de Jailbreak, ha sido anunciar una nueva versión de su tool para hacer Jailbreak en versiones iOS 9.2 & iOS 9.3.3, que además funciona de una forma muy especial que ellos llaman "On demand Jailbreak". 

Figura 1: Anuncio de disponibilidad de Jailbreak para iOS 9.2 & iOS 9.3.3. por parte de Pangu

La idea es que cada vez que se reinicie el terminal se perderá el Jailbreak, como si fuera una Tethered Jailbreak, pero para volver a tenerlo con Jailbreak el usuario solo deberá ejecutar una app que se instala en el sistema una única vez y que se llama PP. Aún no está disponible la descarga, pero se espera que en unas horas esté disponible en Pangu.io.

domingo, 24 de julio de 2016

Fue Noticia en Seguridad Apple: Del 11 al 24 de Julio

El mundo de la seguridad informática no da un segundo de respiro, y cada día surgen noticias que capturan toda nuestra atención, y que, como no puede ser de otra manera, os trasladamos aquí. Ahora Fue Noticia, donde incluimos también los mejores contenidos de otras webs de interés.
llega el momento de resumir todo lo ocurrido durante las dos últimas semanas en nuestro tradicional

Comenzamos el lunes 11 con la sorprendente noticia del hackeo de la cuenta de Twitter de Jack Dorsey, quien es ni más ni menos que el CEO de la compañía.

El martes os contamos cómo Europa y EEUU siguen siendo el objetivo número 1 de los ataques de Ransomware contra sistemas iOS, generalmente mediante la funcionalidad Find my iPhone.

Un día más tarde os enseñamos cómo ejecutar comandos de forma remota a través de Siri, con los resultados de la investigación Hide Voice Commands.

El día 14 os explicamos cuáles son los pasos a seguir para añadir, editar y borrar las contraseñas que se almacenan dentro de tu dispositivo iPhone en Safari para iOS

El viernes os hablamos del nuevo informe de Pangu en el que expone los fallos de seguridad encontrados y explotados en la versión iOS 9.3.2

Comenzamos el fin de semana con una noticia relativa al fenómeno del momento, una actualización de Pokemon GO que mejora la privacidad de la aplicación.

Cerramos la primera semana de este resumen que os estamos haciendo con una nueva campaña de phishing dirigida contra usuarios de Apple a fin de obtener sus identidades digitales.

Llegado el lunes 18 os explicamos en un artículo de forma detallada los pasos que se deben seguir para habilitar o deshabilitar SIP (también conocido como Rootless)s en tu sistema operativo OSX.

La intención de Apple de incluir un botón SOS en Apple Watch para pedir auxilio en situaciones de emergencia centró nuestra atención en el post del martes.

El miércoles os contamos las principales novedades de las actualizaciones iOS 9.3.3, WatchOS 2.2.2 y tvOS 9.2.2, que ponen punto y final a más de 40 bugs de seguridad.

El jueves seguimos con actualizaciones, esta vez el Security Update 2016-004, iTunes 12.4.2 y Safari 9.1.2, con más de 60 bugs de seguridad parcheados.

El día 22 os explicamos los pasos a seguir para hackear el popular videojego Pokemon GO en dispositivos iPhone con Jailbreak, mediante varios tweaks de Cydia.

Por último, ayer mismo os dejamos la historia de cómo MacKeeper está amenazando legalmente a un joven de 14 años por haber publicado unos vídeos en Youtube en contra del software para Mac que tan agresivo comercialmente hablando es.

Y esto ha sido todo por nuestra parte, pero como siempre, os dejamos la lista de otras cosas que han pasado durante este tiempo y que merece la pena que no dejéis de leer este fin de semana.

- Fuga de Información en el USA Army: Datos personales y confidenciales de más de 3.000 soldados fueron publicados en Internet. En esta historia tienes el enlace al informe que han hecho nuestros analistas de seguridad en ElevenPaths.

- Edward Snowden presenta Introspection: Una herramienta hardware hecha con OpenSource y OpenHardware para detectar cuándo tu terminal iPhone está enviando señales y no debería hacerlo. 
- TIFF Disabler: Un Tweak para los usuarios de iOS con Jailbreak que ayudar a evitar el reciente bug que permite la ejecución de código remoto vía iMessage. 
- Cyber Grand Challenge: Un torneo de hacking para robots. Inteligencia artificial y programación de bots para hacer hacking. 
- Apple I a subasta: Será con objetivos benéficos, pero el Apple I puede llegar a pasar el 1.000.000 USD. ¿Quieres uno?
- Tacyt se integra con Maltego con una nueva herramienta: A partir de ahora, los analistas de seguridad que utilizan Maltego podrán conectar directamente con la información de Tacyt. Aquí tienes un vídeo de su funcionamiento.
Figura: Vídeo de Maltego Transforms for Tacyt
- Nueva temporada de ElevenPaths Talks: Las sesiones de formación gratuitas que imparten los CSA de ElevenPaths vuelven a la carga. Desde la semana que viene puedes asistir a la primera. Además, tienes disponibles los vídeos de todas las sesiones de la primera temporada.

- Conferencias de la OWASP AppSec EU 2016 disponibles: Nuestros compañeros de Cyberhades han recopilado todos los vídeos de las conferencias en un único post. Merece la pena que los veáis.

- No Hack, No Fun: Un nuevo "periódico" gestionado por nuestro compañero Chema Alonso en el que recoge los artículos de seguridad informática que va leyendo y que más le han gustado.

- Cómo y por qué verificar tu cuenta de Twitter: ¿No la tienes verificada? ¿Te gustaría tenerla verificada? Aquí te explican cómo se hace y cómo se consigue.

- CounterCraft levanta 1.1 Millones de dólares en financiación: La empresa CounterCraft, liderada por nuestro ex-compañero David Barroso y participada por Wayra, acaba de levantar 1.1 M$ en la serie de financiación inicial que han hecho. ¡Enhorabuena!
Y esto ha sido todo por hoy, esperamos que tengáis un domingo entretenido y poder veros dentro de dos semanas en esta sección y cada día en los artículos que publicamos en Seguridad Apple.

sábado, 23 de julio de 2016

MacKeeper contra un niño por hacer vídeos "difamatorios"

La empresa de desarrollo de software de protección para Mac, MacKeeper ha exigido que un adolescente de 14 años elimine cuatro vídeos críticos de su canal. Esto ha sido debido a una posible difamación del adolescente. La empresa MacKeeper amenaza con pedir 60.000 dólares en gastos judiciales y honorarios legales. Luqman Wadud, creador de los videos, indica en sus videos que MacKeeper es una estafa. La empresa se ha movido rápido y amenaza con ir a la justicia para solventar este problema.

El joven publicó un vídeo el pasado 4 de Julio en el cual admitió que una broma haber dicho que MacKeeper era una estafa. Esto hace indicar que el joven parece dar un paso atrás en sus afirmaciones. Los cuatro vídeos que el joven publicó tenían como nombre MacKeeper roto, parte uno y dos, Trolling MacKeeper y Trolling MacKeeper (una vez más). Los vídeos abarcan un período de tiempo grande, ya que va desde el 4 de Diciembre de 2015 hasta el 27 de Abril de 2016

Figura 1: Enfrentándose a MacKeeper

Uno de los vídeos aún se encuentra disponible en Internet y os lo dejamos en el blog. Ni MacKeeper, ni el jóven han querido realizar ningún comentario. No es la primera vez que MacKeeper está en el ojo del huracán por lo que se publica sobre ellos. No hay que olvidar que hace un tiempo fue víctima de un robo de 13 millones de identidades debido a un MongoDB que se encontraba abierto en Internet.

viernes, 22 de julio de 2016

Cómo hackear Pokemon Go en un iPhone con Jailbreak #Apple #PokemonGO #jailbreak

Pokemon Go es el tema del momento, y seguramente lo siga siendo todo el verano. Este juego que hace que millones de personas en el mundo se pasen la tarde andando por las calles en busca de los Pokemon ha proporcionado ideas que se han convertido en tweaks que se pueden encontrar en Cydia. Estos tweaks son implementaciones de distintos hacks, y vamos a hablar de alguno de ellos que nos han resultado interesantes.

Quizá uno de los más interesantes es el denominado PokePatch. Este tweak nos permitirá ejecutar la aplicación sin problema en dispositivos con jailbreak, ya que Nintendo ha intentado evitar las trampas que se pueden llevar a cabo cuando disponemos de un dispositivo jailbreakeado. Lo que hace este tweak es eludir la detección de jailbreak que tiene el juego. En su defecto también disponemos de otro tweak con la misma función denominado masterball

El segundo de los tweaks es PokemonGoAnywhere. Con este tweak nos podremos mover por todo el mapa del juego sin necesidad de levantarnos de nuestro sofá, solo tendremos que ir pulsando por el mapa para que nuestro personaje se desplace al punto que queramos, gracias a esta herramienta podremos visitar “pokeparadas” y capturar a los ansiados Pokemon de otras zonas del mapa sin tener que movernos.

Figura 1: Pokemon Go Anywhere

Otro tweak similar al anteriormente mencionado es Poke++. Con Poke++ podremos falsear la ubicación de nuestro GPS para atrapas a los Pokemon que solo spawnean en algunas zonas muy concretas y cambiar los pasos para acelerar la apertura de nuestros “pokehuevos”. Además incorpora un chat para que puedas comunicarte con entrenadores cercanos.

Por ultimo hablaremos de Pokemon Lock. con este tweak podremos ejecutar la aplicación desde nuestra pantalla de bloqueo (para poder usar este tweak tendremos que desactivar la protección con contraseña), el principal problema que nos encontramos al usar este tweak es el alto consumo de batería que se produce, pero si estás dispuesto a sacrificar tu batería por capturar unos cuantos pokemons esta es tu herramienta.

Todos estos tweaks podéis obtenerlos por medio de cydia en las repos de Hackyouriphone y ziph0n. Por el momento no se han dado casos de baneo, pero la descarga y uso de estos tweaks corre bajo vuestra propia responsabilidad. Ahora que ya conoces estas herramientas para mejorar tu experiencia en el juego ¿Te harás con todos?

jueves, 21 de julio de 2016

OS X 10.11.6, Security Upate 2016-004, iTunes 12.4.2 y Safari 9.1.2 con más de 60 bugs corregidos #Apple

Apple ha decidido parchear todo antes de coger las vacaciones. Ayer hablábamos de las nuevas versiones de iOS, tvOS y WatchOS, y hoy tenemos las nuevas versión de OS X, el cuarto Security Update del año, la actualización de iTunes a la versión 12.4.2 y la actualización del navegador Apple Safari, el cual se sitúa en su versión 9.1.2. Más de 60 vulnerabilidades resueltas en la nueva versión de OS X nos hace ver que las actualizaciones que se traen son importantes para la seguridad de los usuarios de Apple.

En primer lugar hablaremos de la nueva versión de OS X 10.11.6 y el Security Update 2016-004, el cuarto del año. Apple ha solventado 60 vulnerabilidades en esta nueva versión, la cual puede ser la última antes de la llegada del flamante macOS Sierra. Más de 25 vulnerabilidades permitían que un potencial atacante pudiera ejecutar código arbitrario, por lo que se ponía en riesgo el control de nuestra máquina. A continuación se enumeran algunas funcionalidades y aplicaciones que han sido parcheadas:
  • apache_mod_php. 
  • Audio y bsdiff.
  • CoreGraphics, CFNetwork, ImageIO, Intel Graphics Driver, IOHIDFamily presentan varias vulnerabilidades.
  • FaceTime.
  • Kernel. Vulnrabilidades descubiertas en el kernel permiten la ejecución de código y la escalada de privilegio.
  • Distintas librerías como libxml2, LibreSSL, libexpat, libc++abi, etcétera. 
  • OpenSSL.
  • QuickTime. 
Figura 1: OS X 10.11.6 y Security Update 2016-004


Además, Apple ha decidido actualizar iTunes a la versión 12.4.2 con más de 15 vulnerabilidades parcheadas. De nuevo destaca que la librería libxml2 o libxslt son las grandes afectadas. Entre ambas librerías suman el completo de las vulnerabilidades. Es cierto que no en esta actualización no se han parcheado vulnerabilidades de ejecución de código, pero sí vulnerabilidades que podían provocar la caída de la aplicación.

Figura 2: Actualización de iTunes 12.4.2

Respecto a la nueva versión de Safari publicada por Apple, la cual es la 9.1.2, solventa 12 vulnerabilidades del navegador. De las 12 son 5 las que permitían ejecución de código arbitrario. Recomendamos la actualización de los sistemas lo antes posible, ya que en total son más de 85 bugs solventadas entre OSX, iTunes y Safari. Apple se va de vacaciones con los deberes hechos, en Septiembre, si todo va bien, tendremos iOS 10 y macOS Sierra como elementos de gran expectación para el gran público.

miércoles, 20 de julio de 2016

Apple libera iOS 9.3.3, WatchOS 2.2.2 y tvOS 9.2.2 con más de 40 bugs de seguridad solucionados

La nueva versión de iOS 9.3.3 está disponible para los usuarios de Apple. La estábamos esperando y ha llegado al fin.  La release llega por parte de Apple, la cual lanzó hasta 5 versiones beta del sistema operativo y el pasado lunes llegó el momento de la versión final. La actualización está disponible para todos los modelos compatibles con iOS 9 en iPhone, iPad e iPod Touch. La nueva versión corrige más de 40 vulnerabilidades, aunque solo 12 permiten la ejecución de código.

Ha sido catalogada de actualización menor, pero corrige más de 40 vulnerabilidades. No hay nuevas características que hayan introducido en iOS 9.3.3. Si todo sigue el plan de la empresa de Cupertino, la versión 9.3.3 será la última actualización de iOS 9, y ya tendremos que esperar a la liberación de iOS 10, en principio planificada para septiembre. A continuación os dejamos el listado de aplicaciones afectadas:
  • Hay varias vulnerabilidades relacionadas con Safari y el webkit
  • Existe una vulnerabilidad corregida en el calendario. 
  • Corrección de la vulnerabilidad de Facetime.
  • Tanto ImageIO, IOAcceleratorFamily y CoreGraphics también han sido parcheados. 
  • El kernel de iOS ha sido parcheado, ya que contaba con 4 vulnerabilidades conocidas, y 3 permitían ejecución de código arbitrario.
  • Tanto libxml2 como libxslt han sido parcheadas contando con 15 vulnerabilidades. 
  • Siri también ha sido parcheado.
Para llevar a cabo la actualización de iOS 9.3.3 desde el terminal o la tablet puede hacerse a través de Ajustes - General - Actualización de software. Otra vía para llevar a cabo la actualización es conectándose a iTunes y comprobar si hay actualizaciones. Alternativamente, se puede descargar iOS 9.3.3 a través de los enlaces de IPSW, los cuales pueden utilizarse para instalar la actalización a través de iTunes.

El sistema operativo del reloj de Apple también ha sido fuertemente actualizado, debido a unas 26 vulnerabilidades conocidas. WatchOS 2.2.2 ve la luz para parchear 26 vulnerabilidades, dónde 10 permitían la ejecución de código arbitrario, mientras que el resto mostraba información o provocaba un crash en memoria. A continuación se indica qué componentes han sido actualizados:
  • Los componentes CoreGraphics, ImageIO, IOAcceleratorFamily IOHIDFamily han sido actualizados, ya que contaban con 5 vulnerabilidades conocidas. 
  • El kernel también ha sido parcheado, tal y como vimos con iOS.
  • Libxml2 y libxslt también fueron parcheadas. La mitad de vulnerabilidades parcheadas en la nueva versión correspondían con estas librerías. 
Por último, Apple también liberó la versión tvOS 9.2.2 del AppleTV.  Para este sistema operativo se han solventado 36 vulnerabilidades, de las cuales 11 permitían la ejecución de código arbitrario, pudiendo ganar privilegio en el sistema o el controlar de forma total dicho sistema. A continuación se indica qué componentes han sido actualizados:
  • Los componentes CoreGraphics, ImageIO, IOAcceleratorFamily IOHIDFamily han sido actualizados, ya que contaban con 5 vulnerabilidades conocidas. 
  • El kernel también ha sido parcheado, como en los casos anteriores. 3 vulnerabilidades permitían ejecutar código arbitrario.
  • Libxml2 y libxslt también fueron parcheadas. La mitad de vulnerabilidades parcheadas en la nueva versión correspondían con estas librerías. 
  • El webkit de tvOS también fue actualizado.
La recomendación es clara, debemos actualizar todos los dispositivos, con sus sistemas operativos, que tengamos, ya que como hemos podido ver, más de 90 vulnerabilidades han sido solventadas entre iOS, WatchOS y tvOS.

martes, 19 de julio de 2016

Apple pondrá botón SOS en Apple Watch para salvar vidas #Apple #AppleWatch #Watch #iOS

La próxima actualización de WatchOS, la cual será la versión 3 del sistema operativo, traerá una nueva funcionalidad dedicada a la seguridad personal de cada usuario. Además, el usuario o cualquier persona que se encuentre a la persona propietaria del Apple Watch en apuros podrá consultar la información médica de éste. La nueva función SOS permitirá llamar al 112 y notificar la situación a sus seres queridos.Si se mantiene pulsado el botón lateral del Apple Watch con WatchOS 3, se podrá apagar el reloj, tal y como sucede ahora, pero además, se podrá acceder a las nuevas funciones. Los datos de identificación médica de un usuario se introducen a través de la aplicación Salud que viene instalada en el iPhone. Automáticamente, dicha información es sincronizada y compartida con el reloj.

La información almacenada es el nombre de usuario, fecha de nacimiento, peso, altura, tipo de sangra y si es o no donante de órganos. Apple también ha ofrecido el acceso a la información médica en el iPhone desde iOS 8. La función de SOS se activa presionando el botón lateral del dispositivo durante 6 segundos. El uso de esta funcionalidad hace que el reloj de Apple trate de llamar a los servicios de emergencia, ya sea a través del iPhone o a través de la red WiFi

Figura 1: Modo emergencia en WatchOS 3

Los usuarios pueden personalizar esta funcionalidad y añadir qué contactos son los que deben estar configurados cuando se ejecute esta acción. Cualquier persona adicional será notificada con un mensaje que indica que el usuario realiza una llamada de emergencia. Además, los mensajes de SOS se proporcionan con la ubicación actual del dispositivo. Si el usuario cambia de ubicación, sus contactos de emergencia también serán notificados. Interesante y vital funcionalidad en WatchOS 3.

lunes, 18 de julio de 2016

Cómo habilitar (o deshabilitar) SIP o Rootless en tu OSX

Apple ha añadido una nueva característica de seguridad, bastante importante, para los usuarios de OS X El Capitan. El mecanismo de protección denominado SIP o Sistema de Protección de la Integridad permite que el malware no modifique ciertos archivos, denominados raíz en este contexto, y de este modo evitar que alguien pueda aprovecharse de ciertas ejecuciones de binarios. El modo "sin raíces" se puede utilizar para cualquier usuario o administrador del sistema.

Es totalmente recomendable que cualquier usuario del sistema lo utilice y lo tenga activo, ya que es una medida de protección. En algunas ocasiones la ejecución de ciertos programas o la configuración y utilización de servicios públicos hacen que sea necesario deshabilitar SIP, pero debemos ser conscientes de los riesgos. Si eres usuario de OS X El Capitan o de MacOS Sierra puedes habilitar y deshabilitar el modo Rootless desde un terminal del sistema operativo. Tanto para la activación como la desactivación del modo Rootless se deben seguir los mismos pasos, solo cambiará el último comando, es decir cambiar un enable por un disable.
  1. Reiniciar el Mac y antes de que OS X arranque pulsar Command + R desde el teclado. Esto hará que entremos en modo de recuperación.
  2.  Al entrar en el modo de recuperación se puede ver en la barra superior la etiqueta Utilities y entrar en el Terminal.
  3. En el terminal ejecutar csrutil enable y de este modo se habilitará SIP en el sistema. Si se quiere deshabilitar se puede ejecutar csrutil disable.
  4. Una vez que se vea el mensaje Successfully [enabled|disabled] System Integrity Protection en el terminal. Reinicia la máquina. 
Figura 1: Habilitar / Deshabilitar SIP

Como se ha mencionado anteriormente es totalmente recomendable tener activado SIP o Rootless debido a que es un mecanismo de protección que nos ayudará a tener nuestro Mac menos vulnerable. Por defecto, lo encontramos activo tanto en OS X El Capitan como en MacOS Sierra.

domingo, 17 de julio de 2016

Nueva campaña de phishing para los usuarios de Apple #Apple #Phishing #AppleID #iTunes

No hace muchos días hablábamos de scammers que hacían pensar a los usuarios de Apple de que un virus se introdujo en la base de datos de iTunes. Hoy os traemos una nueva campaña de phishing que están sufriendo los usuarios de Apple. El objetivo de la campaña es obtener identidades digitales de cuentas de AppStore, para ello se está enviando un correo a miles de usuarios haciéndose pasar por la Apple Store indicando que la cuenta ha sido bloqueada.

Se solicita al usuario que, además, actualice su información haciendo clic en un enlace que parece ser de un dominio de Apple. En la siguiente imagen se puede ver que la dirección de correo electrónico no pertenece a Apple, por lo que esto ya es una gran pista para evitar caer en el phishing. Además, se puede ver como el dominio dónde apunta el enlace no corresponde con un dominio de Apple, ni algo parecido. Una buena práctica sería intentar ver más información a través de un whois

Figura 1: Correo Apple Store falso

Cuando el usuario hace clic en el enlace, se accede a un sitio web con la imagen de Apple, pero como se comentó anteriormente un dominio no relacionado con Apple. Otro detalle a tener en cuenta es que no existe ningún protocolo de cifrado, por lo que puede extrañarnos que Apple nos solicite información por correo, lo cual nunca hará, y además que el login no se encuentre bajo un protocolo SSL/TLS.

Figura 2: Sitio web fake de Apple

Si el usuario cae en la trampa, se le solicitarán los datos de la tarjeta, así como el código de seguridad y la fecha de expiración. Si la víctima cae y los entrega, los atacantes obtienen todos los datos necesarios para conseguir utilizar la tarjeta y realizar robos. Si se analiza el código fuente se puede ver dónde se envía la información, y se puede verificar de forma sencilla que no es a Apple.

Figura 3: Código fuente del sitio web fake

Hay más de mil millones de usuarios de Apple en el mundo que se encuentran activos entre los diferentes dispositivos. Por esta razón, es potencialmente sencillo que muchos puedan caer en este tipo de trampas. Descuida siempre que te soliciten datos por correo electrónico, ya que como sabéis no es la vía por la que nadie os pedirá este tipo de datos.

sábado, 16 de julio de 2016

Pokemon Go: Actualización para mejorar la privacidad #PokemonGO #Apple #iOS

Es sin duda una de las noticias de la semana, robos y utilización de malware en apps falsas de Pokemon Go nos ha dejado el éxito de esta aplicación. Un éxito sin precedentes en el mundo de las aplicaciones móviles y que, por supuesto, el mundo de la ciberdelincuencia no ha dejado sin cubrir. Hoy la noticia es que Pokemon Go para iOS acaba de ser actualizada a la versión 1.0.1, prometiendo mayor estabilidad y un uso menos intrusivo de los permisos de uso de la cuenta de Google

La semana pasada se descubrió que el popular juego de realidad aumentada tiene acceso completo a las cuentas de las personas que se inscribieron para empezar a jugar. Es decir, tienen acceso completo a la cuenta de Google de los usuarios. Esto ha sido visto como un uso innecesario por parte de la aplicación y diversos expertos en seguridad han levantado la voz, los cuales advirtieron que esto era una mala práctica.

Figura 1: Pokemon Go

Gracias a los permisos sobre la cuenta de Google que se proporciona a Pokemon Go, la aplicación podría acceder a todo el correo electrónico o a la ubicación del dispositivo. La compañía propietaria de la aplicación se apresuró a emitir un comunicado afirmando que el juego sólo recopila información básica, como podría ser el identificador del usuario y la dirección de correo electrónico. "Google ha comprobado que no existe otra información que se haya recibido o accedido por Pokemon Go", especificó la compañía propietaria. De todos modos, se comprometieron a solucionar el problema de forma rápida. La nueva actualización de la aplicación se encuentra ya disponible a través de la AppStore.

viernes, 15 de julio de 2016

Pangu revela informe de fallos de seguridad en iOS 9.3.2 y liberará Jailbreak

Se espera que el Jailbreak para iOS 9.3.2 se libere pronto. Muchos usuarios lo esperan y parece que llegará pronto. En el evento de seguridad MOSEC celebrado en Shanghai Pangu anunció el Jailbreak para iOS 10. Cydia ha estado trabajando en su compatibilidad con el sistema operativo iOS 10 para salir con él. Los expertos indican que en el evento de MOSEC lo que se ha hecho es adelantar que hay un problema de seguridad en iOS 9.3.2. Lo que parece es que es la gente de Pangu está tardando en liberar el Jailbreak porque quizá pueda servirle para el nuevo sistema operativo de Apple.

Muchos hablan, entre ellos la gente de Tampa Bay, sobre que el Jailbreak será liberado la semana que viene, pero esto son rumores. También se rumorea con que la gente de Pangu puede esperar a que Apple libere la actualización de iOS 9.3.3 para poder sacar el Jailbreak que tienen preparado, y que éste también afecte a esta versión. El equipo de Pangu ha hecho muchos progresos desde que idearon el Jailbreak para iOS 10, incluso antes del lanzamiento oficial, y han demostrado fallos de seguridad en iOS 9.3.2.

Figura 1: La gente de Pangu en el evento de MOSEC

Otros rumores afirman que los usuarios que quieran utilizar el, más que posible, Jailbreak de Pangu para iOS 9.3.2 no deben actualizar nunca a la versión 9.3.3, ya que ésta no será compatible. Como veis aquí hay una lucha de opiniones y hasta que no se libere el Jailbreak no tendremos una solución a esto. Pangu presume de disponer del Jailbreak para iOS 10, aunque solo en fase beta, ya que Apple puede evolucionar y dar con la clave que corrija la vulnerabilidad de ese futuro Jailbreak.

Como veis hay dos puntos de interés en todo esto, por un lado tenemos el Jailbreak para iOS 9.3.2 que, seguramente, salga la semana que viene, y para el que tendremos que ver si es compatible con la futura actualización de Apple de iOS 9.3.3. Por otro lado, el futuro iOS 10 ya tiene Jailbreak, o eso asegura la gente de Pangu, pero tendremos que ver si sobre la versión final de iOS 10, ese Jailbreak para la versión beta sigue siendo compatible.

jueves, 14 de julio de 2016

¿Qué contraseñas almacenas dentro de tu iPhone en Safari para iOS? #Apple #iOS #Safari

En muchas ocasiones hemos pensado cómo podemos editar o visualizar contraseñas que se encuntran almacenadas en el navegador Safari en iOS. Realmente es útil para muchos usuarios almacenar las credenciales que suelen utilizar en el navegador, aunque deberían ir siempre acompañadas de un 2FA. Muchos usuarios no conocen que iOS también permite a los usuarios gestionar todos los nombres de usuarios y contraseñas almacenadas en el dispositivo, directamente desde la aplicación Ajustes.

Entrando en el apartado de Safari se puede ver qué sitios web han guardado los datos de acceso. En este momento se podrá editar o borrar los datos, así como añadir nuevas contraseñas para sitios web. Antes de poder insertar, editar o borrar, el dispositivo solicitará al usuario que se autentique, por ejemplo con el Touch ID, antes de poder continuar con el proceso. Para visualizar y editar contraseñas simplemente debemos pulsar en "Editar" en Ajustes - Safari - Contraseñas

Figura 1: Edición y visualización de contraseñas en Safari

Añadir o borrar contraseñas es igual de sencillo que la edición vista anteriormente. Para agregar un nuevo sitio web, nombre de usuario y contraseña en el navegador basta con pinchar en el botón "Añadir Contraseña" e introducir los datos solicitados: dirección URL, nombre de usuario y contraseña.

Figura 2: Adición de contraseña

Como se pude ver es realmente sencillo editar, borrar e insertar nueva información sensible en el navegador Safari en iOS. Es recomendable utilizar un 2FA en todas sus cuentas, y ser consciente de los riesgos que tenemos al almacenar las claves en el navegador.

miércoles, 13 de julio de 2016

Hidden Voice Commands: Ejecutando comandos de forma remota #Hacking #iPhone #Siri #Apple

Hoy os traemos una investigación y estudio de esos que llaman la atención. El uso de las interfaces de voz es cada vez más usual, y es el método principal de entrada para muchos dispositivos. En la investigación denominada Hidden Voice Commands se puede entender cómo atacar distintos dispositivos a través de los comandos de voz ocultos que son ininteligibles para los seres humanos, es decir, se interpretan como comandos de dispositivos. En el estudio se evalúan estos ataques bajo dos modelos de amenazas diferentes.

Este trabajo no es del todo nuevo, ya que el año pasado hablamos de la conferencia en Hack In The Box donde por medio de señales de Radio Frecuencia se ha controlaba remotamente un terminal a través de Siri. Aquí el vídeo:


Figura 1: Tu no me oyes pero tu iPhone sí
En el modelo de caja negra, un atacante utiliza el sistema de reconocimiento de voz como ente opaco. En el modelo de caja blanca, el atacante tiene pleno conocimiento de la estructura interna el sistema de reconocimiento de voz y lo utiliza para crear comandos de ataque. En el estudio se demuestra, a través de varias pruebas de usuario no comprensibles por los usuarios, como se puede lograr la ejecución de comandos en el terminal expuesto. Además, en el estudio se evalúan varias defensas, incluyendo la notificación al usuario cuando se acepta un comando de voz.

Figura 2: Hidden Voice Commands

Se probaron comandos contro dos teléfonos inteligentes, un Samsung Galaxy S4 con un Android 4.4.2 y un iPhone 6 con iOS 9.1 con Google Now 9.0.60246. En ausencia de ruido ambiente, se midió la inensidad media de los comandos de voz y era aproximadamente de 88dB. A continuación se puede ver en un video de demostración del ataque.

 
Figura 3: Demo de ataque

Como se puede ver en el video es un interesante artículo, el cual podría, incluso, permitirnos instalar aplicaciones de forma remota a través de los comandos de voz. Seguro que le encuentras un uso malicioso a todo esto, pero como se ve las posibilidades son infinitas. 

martes, 12 de julio de 2016

Ataques Ransomware a iOS siguen ocurriendo en EEUU y Europa

Hace un tiempo usuarios de Australia fueron víctimas de ataques de tipo Ransom, bloqueando el uso de dispositivos iPhone, iPad y Mac, gracias a la funcionalidad de Find my iPhone en iCloud. Los dispositivos comprometidos mostraban mensajes de rescate en ruso exigiendo el pago de alrededor de 50 a 100 dólares por el desbloqueo del dispositivo. El secreto de este tipo de ataques residía en que los atacantes fueron recolectado correos electrónicos y contraseñas expuestas en varias brechas de seguridad dónde figuraban cuentas de iCloud

Se confirmó que Apple iCloud no fue comprometida, y que los atacantes accedían a Find my iPhone a través de identificaciones y contraseñas de Apple expuestas en Internet. Las técnicas de ingeniería social hizo el resto. Ahora se ha descubierto que este tipo de ataque sigue realizándose pero entre los usuarios de Estados Unidos y Europa. Los métodos utilizados por los atacantes son los mismos que en el año 2014, con el incidente de Oleg Pliss. Todo comienza con un Apple ID comprometido, y a partir de ahí, el atacante utiliza el servicio Find My iPhone y coloca el dispositivo de la víctima en modo perdida. En este punto, se puede bloquear el dispositivo y enviar un mensaje a la pantalla de bloqueo y desencadenar un sonido que será reproducido por el dispositivo, llamando la atención sobre él.

Figura 1: El ataque Oleg Pliss vuelve sobre Estados Unidos y Europa

En cada uno de los casos reportados públicamente, el rescate exigido ha sido de 30 a 50 dólares. Además, se suele amenazar diciéndole a la víctima que tiene 12 horas para llevar a cabo el pago o se realizará un borrado de sus datos. Al parecer puede haber más de 40 millones de cuentas de iCloud comprometidas, esto haría que muchísima gente fuera extorsionada. Se recomienda utilizar un 2FA en el uso de iCloud, ya que en cualquier instante nuestra contraseña puede ser comprometida y aparecer en un leak en la red. Apple proporciona un documento de seguridad sobre el Apple ID totalmente recomendable para su fortificación, pero lo más básico es que pongas Verificación en 2 Pasos.

lunes, 11 de julio de 2016

A Jack Dorsery, CEO de Twitter, le hackean su Twitter #hacked

La noticia de hoy es muy sorprendente. Al CEO de Twitter, Jack Dorsey, le han hackeado su Twitter. El colectivo OurMine parece estar detrás de este ciberataque que ha hecho que la identidad digital del CEO de Twitter quede expuesta y comprometida. Este colectivo ya ha puesto en peligro una gran cantidad de perfiles de Twitter recientemente, pero quizá este caso sea el más mediático, ya que como ocurrió en su día con el CEO de Facebook, la víctima es una persona referente.

El colectivo OurMine confirmó que habían sido capaces de robar la cuenta de Dorsey. Al parecer una cuenta antigua de Dorsey fue comprometida por OurMine y de algún modo pudieron llegar a la cuenta de Twitter. El grupo no publicó ningún mensaje malicioso, solamente promocionan sus actividades "probando" la seguridad de algunos de los grandes nombres de la tecnología. OurMine no ha tenido control sobre la cuenta durante mucho tiempo.

Figura 1: Mensaje publicado de OurMine en la cuenta de Dorsey

De nuevo decir que aún no está claro como OurMine fue capaz de robar la cuenta de Dorsey. Este grupo se encuentro detrás de los ataques a la identidad de Sundar Pichai director de Google y el CEO de Facebook Mark Zuckerberg. Tampoco se conocen exactamente las intenciones de este grupo, ya que han conseguido robar identidades de personas importantes en Google, Facebook y Twitter, pero no han realizado ningún tipo de acción con ellas. Es dificíl valorar el porqué de este tipo de acciones contra estas personas.

domingo, 10 de julio de 2016

Fue Noticia en Seguridad Apple: 27 de Junio a 10 de Julio

Estos largos y calurosos días estivales están siendo realmente movidos en el mundo de la seguridad informática y, por supuesto, en el mundo que nos atañe de las tecnologías Apple. A lo largo de las últimas semanas se han producido muchos acontecimientos dignos de mención, y como es habitual en Seguridad Apple, os ofrecemos un breve resumen de los mismos en nuestra sección Fue Noticia, aderezados con los contenidos más interesantes publicados en otras web de referencia.

El lunes 27 os explicamos el procedimiento a seguir si queremos resetear la contraseña del EFI firmware en dispositivos MacBook.

Un día después os hablamos del nuevo sistema de archivos APFS que fue presentado recientemente por Apple en la pasada WWDC, y que aporta mucha más seguridad que el antiguo HFS+.

A mitad de semana os contamos las últimas novedades del iPhone 7, centrándonos en los nuevos datos disponibles sobre TouchID y Force Touch.

El viernes os hablamos de los 9 exploits para el kernel de OS X que ha liberado el equipo Project Zero de Google, que explotan diversas vulnerabilidades, que incluso permiten tomar el control de la máquina.

La acusación de Spotify contra Apple, alegando que la empresa de Cupertino emplea la AppStore para dañar a la competencia, ocupó nuestro post del sábado.

El domingo os hablamos del último Security Day 2016 de Eleven Paths, donde la empresa presentó sus nuevas soluciones de seguridad y alianzas estratégicas con partners del sector.

Un día después os explicamos por qué las vulnerabilidades en el software open source mDNSResponder afectan a la aplicación Apple Bonjour.

El martes nuestro post se centró en la noticia de que un segundo culpable se ha implicado en el ataque de phishing contra celebrities, el famoso Celebgate.

El día 6 os contamos qué es Eleanor, un malware para sistemas OS X que espía desde DeepWeb y permite tomar el control de equipos de forma remota.

El jueves os invitamos a una nueva sesión de las Eleven Paths Talks, esta vez dirigida por Gabriel Bergel y centrada en el Análisis de Riesgos en el mundo de la ciberseguridad, y que cerró el calendario por ahora.

El viernes de esta semana le dedicamos la entrada a OSX/Keynad, otro malware para Mac OS X utilizado para robar keystrokes y por ende credenciales de acceso.

Por último, ayer sábado, la historia se la dedicamos a la notica del FAIL de Huawei que para promocionar la fotografía como una de las capacidades más notorias de su último terminal, pero eligió una foto hecha con una Cámara Reflex de las más hackers del mundo.

Y hasta aquí todo lo publicado, pero como es tradición vamos a dejaros también una lista de otras noticias de interés que no debéis dejar de leer y que se han publicado en otros medios. Esta es la selección para hoy:
- Evento en Antofagasta, Chile: El próximo 12 de Julio, dentro de la gira del Territorio Norte de Chile, nuestros compañeros de Eleven Paths y Telefónica Chile llegan a esta bella ciudad a tener una sesión de tecnología con los clientes.  
- Cybersecurity Shot para Twitter: Nuestro equipo de analistas de ciberseguridad analiza la fuga de información que se ha producido en los servicios de Twitter, con la publicación de millones de identidades. 
- Cómo saltar HSTS para auditar servidores web: Explicación en Hackplayers de cómo saltarse HSTS para hacer las pruebas de inyección en aplicaciones web desde herramientas como Burp Proxy. 
- Eleven Paths abre oficina en Buenos Aires: Era un sueño desde hace tiempo perseguido, y ya contamos con una oficina en Argentina para impulsar nuestros proyectos tecnológicos en la región. 
- Apple se olvida unas webs de los 90 en sus servidores: Por una mala costumbre típica de los administradores, los servidores de Apple aún conservan webs del siglo XX disponibles en sus servidores. 
- Libros de Sinfonier, FOCA y Evil FOCA con descuento: Durante dos días más es posible adquirir los libros de 0xWord dedicados a las tecnologías de Eleven Paths con un 10% de descuento. 
- El gobierno de EEUU podría hackear tu ordenador legalmente: Es la polémica Regla 41 y en el blog de Cyberhades la analizan en detalle. 
- Ataques DDOS desde equipos CCTV/DVR: Si tiene un sistema operativo y una vulnerabilidad se puede infectar y controlar dentro de una botnet. En este caso, con los sistemas de los circuitos cerrados de televisión. 
- Portal de BMW ConnectedDrive con vulnerabilidades: Pone en riesgo la seguridad de los usuarios de este sistema de la multinacional alemana de coches.
Y esto ha sido todo por hoy. Esperamos que paséis un buen domingo de Julio y que nos volvamos a ver dentro de dos semanas por esta sección y todos los días en los artículos que publicamos en Seguridad Apple. Feliz domingo.

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares