CyberSecurity Pulse 2017-03-6

CyberSecurity Pulse 2017-03-6

“Big goals get big results. No goals get no results or somebody else’s results.”
Mark Victor Hansen

Visión del analista

A vueltas con la ciberseguridad en las elecciones de Estados Unidos

Seis semanas después de que el Departamento de Seguridad Nacional de los Estados Unidos designara el sistema electoral como infraestructura crítica, un grupo que representaba a los secretarios de Estado de la nación votó para oponerse a dicha denominación. En su reunión de invierno, la Asociación Nacional de Secretarías de Estado (NASS, por sus siglas en inglés) adoptó una resolución en contra de la designación de infraestructura crítica por parte del Departamento de Seguridad Nacional de los Estados Unidos. «Tenemos miembros que sienten que se trata de una invasión federal sobre las elecciones», dijo Kay Stimson, portavoz de la asociación.

CyberSecurity Pulse 2017-03-6El gobierno federal a través de la Ley de Ayuda a Votar América (HAVA) y la Comisión de Asistencia Electoral ha apoyado la actualización de los sistemas estatales de votación, pero cada estado ha tomado su propio camino para modernizar sus propios procesos electorales. La NASS ha subrayado que el actual sistema de elecciones descentralizadas trae efectivamente importantes beneficios de seguridad. El grupo argumenta que la descentralización significa que el proceso de votación es difícil de interrumpir. Además, los sistemas electorales están, en su mayor parte, desconectados de internet, eliminando así un vector de ataque importante.

El grupo enfatizó que cada estado debe abordar la seguridad a su manera. «El Departamento de Seguridad Nacional de los Estados Unidos no tiene autoridad para interferir en las elecciones, incluso en nombre de la seguridad nacional», ha llegado a afirmar el grupo en su resolución. 

» Más información en NASS


Noticias destacadas

La colisión SHA-1 ya es real y se ha cobrado su primera víctima

CyberSecurity Pulse 2017-03-6La colisión de SHA-1 recientemente anunciada ya ha tenido su primera consecuencia: romper los repositorios de código que usan el sistema Subversion (SVN) para el control de revisiones. La primera víctima fue el repositorio del motor de búsqueda WebKit que se corrompió después de que alguien subiera dos archivos PDF diferentes con el mismo hash SHA-1. El incidente ocurrió horas después de que investigadores de Google y Centrum Wiskunde & Informatica (CWI) en Holanda anunciaran el primer ataque de colisión práctico contra la función de hash SHA-1. Los desarrolladores de Subversion han publicado un script que los administradores de SVN pueden utilizar para evitar que los archivos de colisión SHA-1 comprometan con los repositorios. Mientras tanto, los expertos siguen trabajando en una solución que pueda parchear el problema definitivamente.

» Más información en el blog de Google
 

Un fallo de Cloudflare expone información sensible de sus clientes

CyberSecurity Pulse 2017-03-6Cloudflare, un servicio que ayuda a optimizar la seguridad y el rendimiento de más de 5.5 millones de sitios web, advirtió a sus clientes de que un error de software expuso información sensible entre las que se podrían haber incluido contraseñas, cookies y tokens de usuarios. Una combinación de factores hizo que el error fuera particularmente grave. En primer lugar, la exposición de información podría haber estado activa desde el 22 de septiembre de 2016 aunque el período con mayor impacto habría tenido lugar entre los días 13 y 18 de febrero de este año. En segundo lugar, algunos de los datos altamente sensibles que fueron filtrados fueron almacenados en la caché de Google y otros motores de búsqueda. Debido a la gravedad de este error, un equipo multifuncional de ingeniería de software, infosec y operaciones se ha formado en San Francisco y Londres para comprender completamente la causa, el efecto de la fuga  y trabajar con Google y otros motores de búsqueda para eliminar las respuestas HTTP almacenadas en la caché.

» Más información en Cloudflare


Noticias del resto de la semana

Un error tipográfico, responsable de la caída de Amazon Web Services

El mayor corte de internet en Estados Unidos a principios de esta semana no se debió a ningún ciberataque, sino que fue el resultado de un simple error tipográfico. Amazon admitió que un comando mal escrito durante un debugging rutinario del sistema de facturación de la compañía causó el pasado martes la interrupción durante cinco horas de algunos servidores de Amazon Web Services (AWS). El problema provocó que decenas de miles de sitios web y servicios se volviesen completamente inaccesibles.

» Más información en The Hacker News
 

Los principales buscadores dificultarán en Reino Unido encontrar contenidos ilegalmente retransmitidos

Google y Bing han firmado un código de buenas prácticas en el que se asegurarán de que los sitios web ofensivos sean degradados en sus resultados de búsqueda. La industria del entretenimiento ha alcanzado el acuerdo con los gigantes tecnológicos después de conversaciones negociadas con el gobierno. La iniciativa se ejecutará en paralelo con las medidas antipiratería existentes. Se espera que el código esté en funcionamiento para el verano.

» Más información en BBC
 

Osos de peluche filtran millones de mensajes de voz y contraseñas

En el último fallo de seguridad de los juguetes conectados a internet de CloudPets, más de dos millones de grabaciones de voz de niños y sus padres fueron expuestas, junto con direcciones de correo electrónico y contraseñas para más de 820 mil cuentas de usuario. De hecho, a principios de enero, cuando los ciberdelincuentes trataban de detectar bases de datos MongoDB expuestas o mal configuradas para borrar sus datos y, en última instancia, solicitar un rescate, la base de datos fue sobrescrita dos veces.

» Más información en CNET


Otras noticias

Investigadores detectan un fallo en un plugin de WordPress con un millón de instalaciones

» Más información en Ars Technica UK
 

El vicepresidente de Trump usaba un cuenta de AOL para asuntos estatales

» Más información en Ars Technica UK
 

Detectan una puerta trasera en dispositivos chinos IoT de la marca DblTek

» Más información en Security Affairs


facebooktwitterlinkedinmail