Este nuevo ataque phishing permite bypassear 2FA

Desde hace unos años los dobles factores de autenticación nos han ayudado a proteger nuestra identidad digital de una forma rápida y sencilla. A pesar de la dura capa de seguridad que resultan ser los 2FA unos expertos han demostrado que no son completamente infalibles y es posible engañar a una víctima para que revele sus credenciales e incluso facilite su código OTP. Este ataque se demostró por primera vez en la conferencia Hack in the Box que tuvo lugar en pasado mes en Ámsterdam. El video de la demostración fue publicado en YouTube y busca resaltar el hecho de los ciberdelincuentes son cada vez mejores rompiendo las capas extra de seguridad a pesar de que usemos herramientas como 2FA.

El hack empleado en la demo para romper 2FA utiliza una combinación de dos potentes herramientas llamadas Muraena y NecroBrowser, las cuales trabajan en tándem para automatizar el ataque. La combinación de estas dos herramientas trabaja a la perfección ya que una realiza el ataque y la otra realiza un seguimiento de la sesión de la víctima. Muraena es la herramienta encargada de capturar el tráfico entre la víctima y el sitio web actuando como un proxy. Una vez que Muraena lleva a la víctima hasta una página falsa (de aspecto similar a la auténtica) solicitará a los usuarios sus credenciales y el código OTP, al igual que lo haría la página original. En cuanto Muraena ha autenticado la cookie de la sesión comienza el trabajo de NecroBrowser, una herramienta capaz de crear ventanas para mantener el seguimiento de miles de cuentas.

Figura 1: Demostración del ataque en la conferencia Hack in the Box

Su autor también ha publicado en GitHub una demostración del ataque para que otros desarrolladores puedan analizar cómo funciona detalladamente. Varios expertos en el ámbito de la ciberseguridad han asegurado que estas herramientas facilitan mucho el trabajo a los atacantes “amateur”. También han querido resaltar que no hay razones para perder la confianza en los dobles factores de autenticación o en la biometría ya que dificultan mucho el trabajo de los atacantes y son una mejor alternativa que utilizar únicamente un usuario y una contraseña. Independientemente del método que escojas para proteger tus cuentas desde Seguridad Apple queremos recordarte la importancia de una rápida actuación si sospechas que alguna de tus cuentas puede haberse visto comprometida.

Fue noticia en Seguridad Apple: del 30 de julio al 1 de septiembre

Entramos en el mes de septiembre y en Seguridad Apple seguimos trabajando para traeros algunas de las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 30 presentándoos Sileo, una nueva alternativa para el jailbreak que te permitirá conservar todos los tweaks que obtuvieses con Cydia en versiones de jailbreak anteriores.

El martes 31 os hablamos de iBombShell y de cómo usar esta herramienta para crear funciones para macOS.

El miércoles 1 os invitamos a seguir la última temporada de las ElevenPaths Talks y os recordamos que si os perdisteis algún capítulo de las temporadas anteriores podréis encontrarlo en nuestro canal de YouTube.

El jueves 2 os presentamos AnyTrans For Cloud, una herramienta con la que administrar todos tus servicios en la nube simultáneamente de una manera más sencilla.

El sábado 4 indagamos un poco más en la historia de Apple, esta vez para hablaros del primer fracaso de la empresa californiana, el Apple III.

El lunes 6 os alertamos de un nuevo scam. En este caso la estafa se centra en torno al call center de Apple Care y tiene como objetivo a los consumidores de contenido pornográfico.

El miércoles 8 os presentamos JelbrekTime, un nuevo jailbreak, en este caso para watchOS 4.1, sin duda un gran paso para acercar Cydia a nuestras muñecas.

El jueves 9 os hablamos del modo protección de USB recientemente implementado por Apple y con el que se pretende erradicar el uso de herramientas como GrayKey diseñadas para crackear dispositivos iOS.

El sábado 11 echamos la vista atrás para indagar en la historia de cupertino y os contamos como levantar el ordenador y dejarlo caer era una solución que recomendaba el servicio técnico de Apple.

El lunes 13 os invitamos a seguir de cerca la segunda temporada de Code Talks for Devs, en la que se abordan temas tan interesantes como el uso de los webhooks implementados por Latch.

El martes 14 damos comienzo a una serie de artículos en las que os damos una serie de consejos para no comprometer la seguridad de vuestro Mac este verano.

El miércoles 15 finalizamos la serie: Como evitar que te roben la password en el chiringuito este verano, una interesante lista de consejos que te ayudaran a mantener tu Mac más seguro.

El jueves 16 os contamos como podéis convertir vuestras llamadas telefónicas en combates Pokemon con un interesante tweak de Pokemon Go.

El viernes 17 damos comienzo a una serie en la que os presentaremos algunos de los tweaks más interesantes para este verano.

El sábado 18 iniciamos una interesante serie de dos artículos en la que os contaremos algunas curiosidades y anécdotas interesantes acerca de la historia de Apple.

El domingo concluimos con la segunda y ultima parte de la serie: Top 10 tweaks que no puedes perderte para este verano, la serie en la que os presentamos algunos de los mejores tweaks gratuitos de este 2018.

El lunes comenzamos la elaboración de una guía de seguridad con la que ayudaros a proteger vuestros equipos durante las vacaciones y que os ayudará a comprender la terminología en ciberamenazas.


El martes 21 os presentamos el chip T2 de Apple, un chip que incorpora nuevas características de seguridad que podría significar el fin de los Hackintosh.

El miércoles 22 continuamos con la guía de seguridad para tu Secure Summer, la guía con la que os ayudamos a comprender mejor la terminología de las ciberamenazas.

El jueves 23 os avisamos de que ya está disponible el paper de iBombShell para macOS, el cual se puede encontrar en inglés y castellano.

El viernes 24 concluimos la serie Guía de seguridad para tu Secure Summer, en esta última parte abordamos los últimos términos de nuestro diccionario de amenazas y os damos algunos consejos para protegeros de ellas.

El sábado 25 finalizamos la serie Anécdotas y curiosidades de la historia de Apple, una recopilación de interesantes historias acerca de la compañía de cupertino.

El domingo, tras haber concluido con una serie en la que os enseñábamos terminología de ciberseguridad, damos comienzo a una nueva guía de seguridad para macOS.

El lunes comenzamos la semana hablándoos de la ultima entrevista realizada a Patrick Wardle, uno de los mayores expertos en seguridad de Apple.


El martes 28 continuamos con nuestra guía de seguridad para macOS, en esta entrega os hablamos del cifrado y la protección de la información.

El jueves 30 os presentamos SmallSiri, un interesante tweak que reduce el tamaño del interfaz de Siri ofreciendo a los usuarios un asistente con un aspecto más minimalista.

El viernes 31 finalizamos el mes de agosto y con él nuestra guía de seguridad para macOS. En esta última entrega os hablamos de la seguridad de red.

Finalmente, ayer sábado hablamos de System 1.0 y el primer huevo de pascua de Apple. Un interesante artículo que vino de la mano de nuestro compañero especializado en la historia de la informática.

Dentro de dos semanas volveremos con un nuevo resumen sobre la actualidad del mundo Apple. Seguro que Septiembre trae grandes novedades, no hay que olvidar que en dos semanas tenemos keynote.

IOTransfer 2: La alternativa al uso de iTunes

Hace unos meses en Seguridad Apple os hablamos de IOTransfer, una herramienta que permite a los usuarios utilizar una alternativa a iTunes para transferir contenido a nuestro ordenador con un solo clic. Hace unos días la herramienta ha recibido una gran actualización la cual incluye nuevas funciones y un mejor diseño para los usuarios. IOTransfer 2 es una herramienta que no solo te permite transferir tus fotos, videos, música y contenido a tus dispositivos iOS, sino que también te permite realizar una limpieza a fondo de los mismos para liberar espacio útil, sin duda una función importante para dispositivos sin memoria ampliable.

Su función para gestionar la música te permitirá transferir canciones de tu teléfono a tu ordenador y viceversa con un simple clic, también podrás compartirlas con amigos. En cuanto a las fotografías IOTransfer 2 permite realizar un backup y borrar fotos desde el ordenador sin necesidad de utilizar iTunes. IOTransfer también te ofrece la posibilidad de descargar videos de las mejores páginas de contenido, como YouTube, Facebook o Vimeo. Para descargar un video solo tendrás que abrir la sección videos de la herramienta, introducir la URL del video que quieras descargar y pulsar en descargar. Una vez hayas descargado los videos podrás compartirlos con otros dispositivos.

Figura 1: Menú de IOTransfer 2.

Las posibilidades que ofrece esta herramienta no acaban aquí, con ella también podemos realizar backups de nuestros contactos, podcasts, ebooks y mucho más contenido para no perderlo en caso de extraviar nuestro dispositivo, además de poder borrar archivos que no necesitemos sin tener que estar rebuscando en nuestro terminal. La herramienta tiene un coste de 27.95 dólares, pero ofrece una interesante alternativa para aquellos usuarios que no acaban de familiarizarse con el uso de iTunes.

Fue Noticia en seguridad Apple: del 20 de noviembre al 3 de diciembre

Con el invierno a la vuelta de la esquina en Seguridad Apple no nos cansamos de traeros las mejores noticias en el ámbito de la seguridad informática relacionadas con el mundo de la manzana mordida. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 20 hablándoos de como los kits de Phishing facilitan a los ciberdelincuentes obtener las cuentas de iCloud y los datos necesarios de sus victimas para desbloquear teléfonos robados.

El martes 21 os contamos como un tiroteo en una iglesia de Texas a reabierto el debate sobre la privacidad entre Apple y el FBI tras encontrar el iPhone SE de uno de los asesinos.

El miércoles 22 os avisamos de la llegada de otra de nuestras ElevenPaths Talks, en este caso el tema de la Talk fue la seguridad en sistemas de telefonía móvil, sin duda un tema muy interesante. A su vez os invitamos a seguir de cerca esta tercera temporada y os recordamos que podéis encontrar las temporadas anteriores en nuestro canal de YouTube.

El jueves 23 os contamos las razones por las que Apple ha decidido eliminar Skype de la App Store china tras recibir una solicitud del Ministerio de Seguridad Publica.

El viernes 24 os alertamos de una nueva oleada de Scams a victimas de robo de iPhone y os contamos como los estafadores logran hacerse con el control de miles de cuentas de iCloud.

El sábado 25 echamos la vista atrás para indagar un poco en la historia de Apple y os contamos cómo Mac incorporaba una tarjeta que emulaba un Pc completo.

El domingo os damos una serie de pautas y consejos que te permitirán fortificar la protección de tu iPhone de una manera rápida y sencilla, ya que la mayoría de los ataques podrían ser evitados.

lunes 27 os contamos como un Rogue AV ha infectado miles de dispositivos haciéndose pasar por una herramienta de análisis de vulnerabilidades llamada Symantec malware Detector  

El martes 28 os avisamos de la llegada de otra entrega de CodeTalks4Debs. En este caso la charla aborda el tema de la implementación y el uso de MicroLatch  

El miércoles 29 os contamos como un error de Apple permite obtener acceso Root sin introducir la clave. Este fallo fue descubierto por el desarrollador Lemi Orhan y ya ha sido notificado a Apple.

El jueves30 os explicamos cómo añadir dinero a vuestra cuenta de Apple Pay y os enseñamos a acceder al balance de vuestras cuentas de la forma mas sencilla posible.

El viernes 1 os contamos como las actualizaciones de seguridad de MacOS  han servido para parchear un bug que permitía la realización de ataques Plug-n-hack.

Os esperamos en dos semanas con un nuevo repaso a toda la actualidad del mundo de la manzana mordida. Sin duda, y viendo estas dos últimas semanas tendremos cosas interesantes que contaros. Qué paséis buena semana.

Fue noticia en seguridad Apple: del 6 al 19 de noviembre

Ya entrado el otoño en Seguridad Apple no descansamos y continuamos trayéndoos las mejores noticias en el ámbito de la seguridad informática relacionadas con Apple. Este es nuestro nuevo Fue Noticia, sección en la que os traemos un breve resumen de las noticias más relevantes de las últimas dos semanas. Todo ello aderezado con el mejor contenido de otros sitios de referencia.

Comenzamos el lunes 6 hablándoos de una vulnerabilidad en Tor Browser para Mac que expone tu dirección IP, todo a raíz de una vulnerabilidad en el núcleo de Firefox.

El martes 7 os avisamos de la llegada de otra de nuestras ElevenPaths Talks, en este caso el tema de la Talk fue el lado oscuro de la esteganografía, sin duda un tema muy interesante. A su vez os invitamos a seguir de cerca esta tercera temporada y os recordamos que podeis encontrar las temporadas anteriores en nuestro canal de YouTube.

El miércoles 8 os contamos como los investigadores de Keen Labs han destapado en la Pwn20wn una vulnerabilidad WiFi que permitiría ejecutar código arbitrario en un iPhone 7 corriendo iOS 11.1, tarea por la que el equipo ha sido recompensado con 110.000$.

El jueves 9 os hablamos de la posibilidad de que Apple decida compartir la información recolectada por Face ID con algunas aplicaciones de terceros y los riesgos y ventajas que eso podría conllevar.

El viernes 10 os presentamos Apple Pay Cash, el nuevo servicio de Apple que te permitirá realizar pagos a través de iMessage. Por el momento solo esta disponible en Estados Unidos en su versión beta para las versiones de iOS 11.2 y watchOS 4.2.

El sábado 11 echamos la vista atrás para indagar un poco en la historia de Apple y os contamos cómo influyó Hollywood en el cambio de orientación del logo de Apple, haciendo rectificar a Steve Jobs en una de sus decisiones.

El domingo os contamos como el Machine Learning de Apple puede sacar a la luz algunos de tus secretos, además de explicaros en que consiste el funcionamiento de Core ML. 

El lunes 13 os contamos como un equipo e de la llegada del primer Jailbreak para iPhone X e iOS 11.1.1. El mundo del jailbreak no descansa, y en este caso ha sido Liang Chen, investigador de Tencent Keen Lab quien ha demostrado que hacer Jailbreak a un iPhone x es posible durante la conferencia POC2017 de Corea del Sur.

El martes 14 os contamos como un equipo de investigadores ha logrado bypassear el nuevo Face ID del iPhone X utilizando una máscara hecha a medita, todo ello por menos de 150$.

El miércoles 15 os avisamos de la llegada de otra entrega de CodeTalks4Debs. En este caso la charla aborda el tema de la implementación de Latch Cloud TOTP en .NET y NodeJS.

El jueves 16 os contamos como un niño de 10 años ha sido capaz de burlar la seguridad del nuevo Face ID y os hablamos de algunos otros casos en los que un simple parecido físico permite engañar al nuevo sensor de Apple.  

El viernes 17 os alertamos de una nueva oleada de ataques Phishing. En este caso el principal objetivo son los usuarios de iPhone, a los cuales se les intentaba engañar a través de un correo electrónico.

Finalmente, el sábado hablamos sobre el reloj que Apple sacó en el año 1995 y que podemos decir que fue el primer Apple Watch de la marca. Como cada sábado un interesante artículo de historia de la marca de Cupertino.

Os esperamos de nuevo en un par de semanas con toda la actualidad del mundo Apple y con todo lo referente al mundo de la manzana mordida. Que tengáis una gran semana y os esperamos con un nuevo resumen en 14 días.