CyberSecurity Pulse 2016-09-01

CyberSecurity Pulse 2016-09-01

“He knows nothing; and he thinks he knows everything. That points clearly to a political career.”
George Bernard Shaw

Visión del analista

Dropbox confirma una gran filtración: momento para replantearnos nuestras políticas de contraseñas

La noticia tecnológica de la semana pasa por el eco que ha recibido la filtración de más de 68 millones de cuentas de usuarios de Dropbox en las que se incluiría también una versión hasheada y con salt de las contraseñas utilizadas. La compañía confirmó oficialmente esta noticia en un correo electrónico enviado a sus usuarios el 27 de agosto. Se supone que el incidente tuvo lugar a mediados de 2012 y que podría estar vinculado al robo de la contraseña de un empleado de la compañía, hecho que también se públicó oficialmente a finales del mes de julio de ese mismo año.CyberSecurity Pulse 2016-09-01Sin embargo, el comunicado de prensa oficial de 2012 hacía mención al envío de spam hacia cuentas de correo electrónico que sólo se habrían estado utilizando para el servicio de Dropbox como indicio del posible acceso no autorizado. En ningún caso, se hizo referencia a un posible robo de contraseñas de usuarios del servicio y, menos aún, a la posibilidad de que esto diera lugar a una fuga de seguridad masiva. Al margen de la nota oficial de 2012, en el mes de junio de este mismo año el propio Brian Krebs se hacía eco de la noticia de que algunas aplicaciones de monitorización de credenciales fugadas habían lanzado un presunto falso positivo sobre una brecha de seguridad en Dropbox que fue desmentida por la compañía. En cualquier caso, ahora la empresa ha obligado al restablecimiento de contraseña como “medida preventiva” para cualquier usuario que no la haya cambiado desde 2012.

Esta fuga supone un nuevo caso que añadir a la lista de bases de datos de plataformas de perfil alto filtradas en los últimos tiempos y entre las que ya se encontraban MySpace, Linkedin, Adobe, Badoo o Tumblr. De todos modos, es cierto que las recomendaciones de seguridad publicadas por Dropbox hace más de cuatro años siguen siendo válidas hoy en día: usar los mecanismos de autenticación en dos pasos siempre que nos sea posible y aprovechar las capacidades de las herramientas de gestión de contraseñas para ayudarnos a lidiar con la creación de contraseñas complejas y únicas para cada plataforma. La pregunta que nos queda es: ¿quién será el próximo afectado?

» More information at Dropbox


Noticias destacadas

El FBI preocupado por que la criptografía puede dificultar el hecho de atrapar delincuentes

CyberSecurity Pulse 2016-09-01

El director del FBI, ha declarado en el 2016 Symantec Government Symposium celebrado en Washington esta semana que está realmente preocupado por la forma en que la criptografía puede ayudar a los delincuentes a permanecer en la oscuridad. Corney dice que a pesar de que los estadounidenses tiene el derecho a la privacidad en sus hogares, automóviles y en el uso de sus dispositivos electrónicos, el gobierno tiene también el derecho de invadirla en los supuestos que contempla la ley. El propio Corney ha confirmado que su oficina va a hacer un esfuerzo para estudiar la posibilidad de obligar a las empresas tecnológicas a establecer una puerta trasera en sus productos que permitan el acceso de las Fuerzas y Cuerpos de Seguridad a pesar de los riesgos que eso podría suponer.

» Más información en The Register UK

Sustraen los detalles de 25 millones de usuarios de Mail.ru

CyberSecurity Pulse 2016-09-01

El grupo Mail.Ru confirmó que datos personales de hasta 25 millones de cuentas de usuario habrían sido sustraídas de servidores hackeados pertenecientes a la compañía. Según el Ministerio del Interior de Rusia, dos atacantes habrían sido capaces de acceder a los nombres de usuario, direcciones de correo electrónico, contraseñas, números de teléfono, cumpleaños e incluso algunas direcciones IP en, por lo menos, tres ataques diferentes perpetrados entre los meses de julio y agosto. Aunque un portavoz de la compañía ha declarado que las credenciales ya no serían válidas en los sistemas actuales, aún esta información podría ser utilizada para inferir contraseñas aún vigentes en otros servicios lo que podría constituir una información valiosa para llevar a cabo nuevos ataques más avanzados.

» Más información en SC Magazine UK


Noticias del resto de la semana

Suhide, una aplicación que verifica si tu dispositivo está rooteado

Un famoso desarrollador de Android Chainfire ha lanzado una aplicación experimental que permite a los usuarios ocultar si el dispositivo se encuentra rooteado. Esta aplicación es funcional para poder instalar aquellas aplicaciones que verifican el estatus de root y que evitan así ser instaladas por seguridad, como es el caso de Android Pay y otras relacionadas con la banca online.

» Más información en xda-developers.com

Dos bases de datos de votantes estadounidenses filtradas

La División de ciberseguridad del FBI tiene evidencias de que las bases de datos de votantes fueron filtradas, lo que ha llevado a la agencia a emitir ciertas advertencias a los funcionarios para reforzar la seguridad de sus sistemas informáticos. Se tiene la sospecha de que ataques esponsorizados por el gobierno ruso están detrás de las intrusiones a los sistemas del Comité Demócrata Nacional además de otros grupos de cara a influir en los resultados de la próxima elección presidencial.

» Más información en The Hacker News

El servicio de Opera Sync ha sido comprometido

El navegador Opera ha reseteado las contraseñas de todos los usuarios de uno de sus servicios después de que indentificaran un acceso ilegítimo a sus servidores esta semana. Opera cuenta con alrededor de 350 millones de usuarios a través de todos sus productos, pero alrededor de 1,7 millones han visto sus contraseñas de autenticación filtradas.

» Más información en The Hacker News


Otras noticias

Autoridad de certificación china entrega certificados SSL para dominios de GitHub

» Más información en The Hacker News

El hijo de un parlamentario ruso roba millones de tarjetas de crédito

» Más información en SC Magazine UK

Nueva vulnerabilidad que afecta a los dispositivos médicos

» Más información en Ars Technica


facebooktwitterlinkedinmail