La autenticación por SMS debe irse


Suscríbase a este boletín quincenal aquí!

Bienvenido a la última edición de Pardon The Intrusion, TNW boletín quincenal en el que exploramos el salvaje mundo de la seguridad.

Lo he dicho antes de, y lo diré nuevamente: si va a asegurar sus cuentas usando la autenticación de dos factores (2FA), entonces usar SMS es una mala idea. No solo ha sido probado inseguro, también es susceptible a los ataques de intercambio de SIM.

Pero confiar en SMS también puede tener otras consecuencias no deseadas. Caso en cuestión: justo a principios de esta semana, el proveedor estadounidense de telecomunicaciones T-Mobile sufrió un corte de energía a nivel nacional, obstaculizando llamadas y mensajes de texto durante casi un día entero. (Sin embargo, las conexiones de datos continuaron funcionando).

Aunque la raíz se identificó desde entonces y se atribuyó a una falla en el circuito de fibra óptica de un proveedor externo no identificado, el hecho es que los mensajes SMS se retrasaron considerablemente, lo que dificulta a aquellos que habilitaron 2FA basado en SMS para acceder a aplicaciones y sitios web .

«Traté de iniciar sesión en mi amazon, mi Google y mis universidades [sic] cuenta, los tres tienen 2FA «, publicó un usuario en Reddit. “Con los tres, el mensaje de texto 2FA se retrasó por minutos o no llegó en absoluto. Además, en mi cuenta de Google, lo configuré para recibir una llamada telefónica 2FA, pero la llamada nunca llegó «.

Entonces, ¿qué debería hacer? Ahora sería un buen momento para cambiar a aplicaciones de autenticación basadas en tokens como Authy o Égida, o una clave de hardware para evitar tales problemas, y para que las empresas abandonen la autenticación por SMS por completo.

Si bien pasar sin contraseña aún puede tomar algunos hora, se siente más como una posibilidad que nunca. Esperemos que ocurra más temprano que tarde.

¿Qué es tendencia en seguridad?

Los hackers continúan improvisando explotando aplicaciones de seguimiento de contactos para propagar malware, mientras que los ataques de ransomware en organizaciones paralizan la infraestructura crítica. En otro desarrollo importante, surgió que Facebook ayudó al FBI atrape a un depredador infantil pagándole a una empresa de ciberseguridad para que desarrolle un exploit de día cero. Y para un poco de feliz noticia, Zoom invertido curso y dijo que ofrecerá cifrado de extremo a extremo para todos los usuarios, tanto de pago como gratis, a partir del próximo mes.

  • Facebook ayudó a la policía al pagar seis cifras a una empresa de ciberseguridad para desarrollar una herramienta que explotara una falla de día cero en el sistema operativo orientado a la privacidad, Tails. Esto fue parte de un esfuerzo por identificar a un hombre que extorsionó y amenazó a menores.

    • Tengo sentimientos encontrados sobre esto. Dejando a un lado las cuestiones éticas, la seguridad infantil es un problema grave, y es bueno que Facebook haya ayudado. Pero vale la pena señalar que Tails se mantuvo en la oscuridad sobre la falla, y no se sabe si el FBI reutilizó el exploit para otras investigaciones. La conclusión: la transparencia es clave.[[tarjeta madre]
  • La policía china está recolectando muestras de sangre de los aproximadamente 700 millones de hombres y niños del país con el propósito de construir una base de datos genética nacional de su ADN. También quieren poder «rastrear a los parientes masculinos de un hombre utilizando solo la sangre, la saliva u otro material genético de ese hombre».[[Los New York Times]
  • Los expertos en ciberseguridad revelaron 19 vulnerabilidades, llamadas Ripple20, en una biblioteca diseñada en los años 90 que ha sido ampliamente utilizada e integrada en miles de millones de dispositivos conectados a Internet en los últimos 20 años. Los parches ya están disponibles.[[The Hacker News]
  • Recuerde cuando Wikileaks publicó la lista de herramientas de piratería secreta de la CIA (doblada Bóveda 7) en 2017? Ahora sabemos cómo se filtró: el brazo de piratería de la agencia conocido como CCI (Centro de Inteligencia Cibernética) «priorizó la construcción de armas cibernéticas a expensas de asegurar sus propios sistemas».[[The Washington Post]
  • El grupo Dark Basin, conocido por estar detrás de miles de ataques de phishing y malware, se remonta a la empresa de «pirateo ético» con sede en India BellTroX InfoTech Services que trabaja en nombre de clientes comerciales.[[Reuters / / Laboratorio Ciudadano]
  • Los investigadores han propuesto etiquetas de «nutrición» de privacidad para que los dispositivos IoT les den a los propietarios una mejor idea de cuán seguros son, cómo administran los datos de los usuarios y los controles de privacidad con los que vienen.[[CABLEADO]

  • Un análisis de los 54 principales proyectos de código abierto descubrió que las vulnerabilidades de seguridad en estas herramientas se duplicaron en 2019, pasando de 421 errores reportados en 2018 a 968 el año pasado.[[ZDNet]
  • Apple ha abierto un nuevo proyecto para desarrolladores de aplicaciones de administración de contraseñas para ayudar a crear contraseñas seguras compatibles con sitios web populares.[[manzana]
  • Un investigador demostró que era muy simple ver, editar y eliminar información confidencial de salud para cientos de miles de pacientes en toda la India.[[Reportes de InfoSec]
  • Las escuchas son mucho más fáciles y sofisticadas. Usando una técnica llamada «Lamphone», un espía puede escuchar sus conversaciones con solo mirar una bombilla que cuelga en la habitación.[[The Hacker News]
  • IBM dejó de vender tecnología de reconocimiento facial a las fuerzas del orden, mientras que Microsoft dijo que se detendría solo hasta que haya una ley federal que regule su uso. Amazon, por su parte, declaró un congelamiento de un año en el uso de la aplicación de la ley de su tecnología de reconocimiento facial, apodada Rekognition, debido a las preocupaciones de que podría ser abusada y sofocar los derechos civiles y la privacidad.[[Pizarra]

  • Nintendo reveló que 140,000 cuentas adicionales se vieron comprometidas en una violación de datos que ocurrió en abril, llevando el total a 300,000.[[CNET]
  • Las nuevas CPU de Intel tendrán defensas antimalware integradas directamente en ellas, gracias a la tecnología Control-Flow Enforcement desarrollada conjuntamente por la compañía y Microsoft.[[Ars Technica]
  • El grupo de piratas informáticos POISON CARP (también conocido como Evil Eye o Earth Empusa) ahora apunta a los uigures con un nuevo malware para Android llamado ActionSpy para espiar sus mensajes instantáneos. El grupo fue encontrado previamente dirigido a los tibetanos septiembre pasado.[[Trend Micro]
  • Postbank, la división bancaria de la Oficina de Correos de Sudáfrica, reemplazará unos 12 millones de tarjetas después de que la clave maestra encriptada del banco fuera expuesta en texto sin formato en uno de sus centros de datos. Los empleados deshonestos, sospechosos de estar detrás de la violación, usaron la clave para hacer más de 25,000 transacciones fraudulentas, robando más de $ 3.2 millones a los clientes.[[ZDNet]
  • La quincena en brechas, fugas y ataques de ransomware: Salud de Babilonia, ConduentDe Alabama Florencia ciudad, HondaDe Tennessee Knoxville ciudad, Cuidado de la vidafabricante de chips MaxLinear, Taity una serie de aplicaciones de citas de nicho.

Punto de datos

Kaspersky Contenido explícito e informe de amenazas cibernéticas publicado esta semana descubrió que el número de usuarios atacados debido a amenazas relacionadas con la pornografía móvil se duplicó de 19,699 en 2018 a 42,973 en 2019. «El adware, software que se utiliza para mostrar y redirigir a los usuarios a páginas publicitarias no deseadas, se mantuvo en primer lugar en términos de variedad, con un quinto (19%) de archivos maliciosos que son instaladores de AdWare «, dijo el informe, con troyanos y otro malware bancario que completan las principales amenazas.


Para llevar: Dado que los usuarios cambian cada vez más a los dispositivos móviles para el uso diario, no es de extrañar que los piratas informáticos estén aprovechando esta tendencia para propagar malware. «Con los ciberdelincuentes capaces de hacer referencias cruzadas de varias bases de datos filtradas de usuarios, pueden tomar decisiones más informadas sobre a quién apuntar y cómo, haciendo que la sextortion y la estafa sean más efectivas», advierten los investigadores de Kaspersky.

Si hay algo que destacar aquí, es que uno debe ser más cuidadoso que nunca al visitar sitios web en línea y estar atento a la suplantación de identidad y otras estafas por correo electrónico.

Eso es. Nos vemos en dos semanas. ¡Mantenerse a salvo!

Ravie x TNW (ravie[at]thenextweb[dot]com)

¡Celebre Pride 2020 con nosotros este mes!

¿Por qué es tan importante la representación queer? ¿Cómo es ser trans en tecnología? ¿Cómo participo virtualmente? Puede encontrar toda nuestra cobertura Pride 2020 aquí.



Fuente: TNW

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de sus datos para estos propósitos. Ver Política de cookies
Privacidad