CVE-2024-42631
Lun, 12/08/2024 – 16:15
CVE-2024-42631
CVE-2024-42630
Lun, 12/08/2024 – 16:15
CVE-2024-42630
Vivimos tiempos complejos. A los estragos que causan los terremotos de toda la vida, se suman ahora los daños que los delincuentes agregan al desastre, valiéndose de las redes sociales y de la tecnología omnipresente y creciente de nuestra era. En X hay estafas que se aprovechan del miedo a un megaterremoto en Japón para robar datos de los usuarios. Tan grave es la situación que el Gobierno nipón intervino y pidió formalmente a la plataforma propiedad de Elon Musk que tome cartas en el asunto.
Pero el veloz movimiento de la cosa tecnológica, y la presencia de quienes la usan para el bien, también puede ayudarnos a prepararnos mejor frente a las amenazas de la naturaleza; por supuesto, con inteligencia artificial. Grandes palacios, preciosos edificios históricos y barrios enteros son «sacudidos» a propósito. Gracias a la tecnología, podemos satisfacer nuestra necesidad de certidumbre, incluso a gran escala, en caso de terremoto. Con el uso de la inteligencia artificial generativa, podemos imaginar los daños y las operaciones de prevención, rescate y reconstrucción con mayor precisión y rapidez, pintando escenarios con diferentes matices de pesimismo.
Según informa Bleeping Computer los delincuentes están publicando falsos anuncios en video de sucesos alarmantes en el antiguo Twitter con el objetivo de estafar a los usuarios, redirigiéndolos a sitios web o navegadores maliciosos. Más concretamente, de acuerdo con las denuncias de los usuarios, los estafadores habrían empezado a hacer circular en la plataforma mensajes falsos con información sensible sobre un ataque de las fuerzas ucranianas en Kursk o el terremoto de Nankai Trough en Japón, con el fin de convencer a los usuarios de que se enlacen a sitios web maliciosos para obtener más información al respecto.
This content can also be viewed on the site it originates from.
Los mensajes son muy creíbles. «Información de emergencia sobre el megaterremoto de Nankai Trough: ¿a qué debemos prestar atención a partir de ahora? Todo está resumido en este artículo. Por favor, léalo atentamente y planifique su agenda», reza uno de los tuits que acompañan a los videos marcados como «contenido sensible». Una estrategia útil para convencer a las víctimas de que hagan clic en la imagen de previsualización del contenido para verlo y redirigirlas a sitios de estafas, utilizados por los delincuentes para robar los datos sensibles de los usuarios y/o malversar dinero. Así pues, al saltarse los sistemas de verificación de contenidos de X, los estafadores pueden aprovechar al máximo la sensación de alarma que reina en Japón, afectado por un terremoto de magnitud 7.1 el pasado jueves, para hacer caer a los usuarios en su trampa.
Hace tan sólo unos días, de hecho, la Agencia Meteorológica japonesa dio la voz de alarma ante la posibilidad de que se produjera un megaterremoto en la zona de Nankai Through. Desde entonces, X se ha poblado literalmente de mensajes falsos relacionados con esta advertencia (alrededor de 70,000 entre el jueves 8 y el viernes 9 de agosto), hasta el punto de que el Ministerio de Asuntos Internos y Comunicaciones ha pedido a la plataforma que tome las medidas oportunas para contener la desinformación.
Para colmo, muchos de estos mensajes enlazan a sitios fraudulentos, lo que complica aún más la vida de los usuarios, que corren el riesgo de ser víctimas de un robo de datos mientras buscan aclaraciones sobre un suceso de seguridad nacional. Por el momento, sin embargo, X no ha hecho ninguna declaración al respecto. Y los mensajes parecen seguir poblando la plataforma. ¿Qué hará entonces el gobierno japonés para intentar limitar los daños?
Como señalamos, la tecnología de nuestros tiempos también puede jugar en positivo ante los terremotos que con toda seguridad seguirán ocurriendo. Esta oportunidad fue demostrada por China durante la 18ª Conferencia Mundial de Ingeniería Sísmica (WCEE 2024), celebrada este año en Milán a principios de julio. Lo hizo partiendo de dos hechos que pueden sonar familiares: el aumento y la imprevisibilidad de los terremotos, y la falta de técnicos jóvenes y especializados. Según Xinzheng Lu, experto de la Universidad Tsinghua de Pekín, en el diseño antisísmico, la IA generativa nos libera de los datos históricos y de los modelos empíricos, que son demasiado escasos y poco representativos de la realidad. Con su intervención, las simulaciones con base en la física se vuelven mucho más eficaces, fiables y precisas: mejor centrarse en ellas, por tanto, ya que también son convenientemente generalizables.
«Partiendo de millones de dibujos y de la experiencia humana, genera diseños estructurales desde cero para varios casos nuevos, teniendo en cuenta restricciones de diversa índole, incluidas las relativas a distintas disciplinas o campos», explica Lu. Con un solo clic, todo un equipo interdisciplinario virtual se pone manos a la obra, «destrozando un edificio» en la fase de diseño, para que no se venga abajo en caso de terremoto.
Lu muestra paso a paso cómo optimizar los elementos verticales y horizontales, los muros y los pilares, también a la luz de las preferencias, las condiciones límite y las limitaciones, tanto sísmicas como económicas. Se detiene especialmente en el costo de los materiales «que la IA generativa puede minimizar como lo hace un ingeniero con 30 años de experiencia, pero más rápido».
Los fallos de seguridad en el firmware de la computadora, el código oculto que se carga en primer lugar al encender la máquina y que controla incluso el arranque del sistema operativo, han sido durante mucho tiempo un objetivo para los hackers que buscan un punto de apoyo sigiloso. Pero solamente en raras ocasiones aparece este tipo de vulnerabilidad, no en el firmware de un fabricante concreto de computadoras, sino en los chips que se encuentran en cientos de millones de PC y servidores. Ahora, unos investigadores de seguridad han descubierto un fallo de este tipo que persiste en los procesadores AMD desde hace décadas y que permitiría al malware introducirse en la memoria de un computadora hasta el punto de que, en muchos casos, sería más fácil desechar la máquina que desinfectarla.
Enrique Nissim y Krzysztof Okupski, investigadores de la empresa de seguridad IOActive, tienen previsto presentar mañana en la conferencia de hackers Defcon una vulnerabilidad de los chips AMD a la que han llamado Sinkclose. El fallo permitiría a los hackers ejecutar su propio código en uno de los modos más privilegiados de un procesador AMD, conocido como “Modo de Gestión del Sistema”, diseñado para estar reservado únicamente a una parte específica y protegida de su firmware. Los investigadores de IOActive advierten que afecta prácticamente a todos los chips AMD que datan de 2006, o posiblemente incluso antes.
Nissim y Okupski señalan que para explotar el fallo sería necesario que los hackers ya hubieran obtenido un acceso relativamente profundo a un PC o servidor con base en AMD, pero que el fallo “Sinkclose” les permitiría entonces plantar su código malicioso a mucha más profundidad aún. De hecho, para cualquier máquina con uno de los chips AMD vulnerables, los investigadores de IOActive advierten que un atacante podría infectar la computadora con un malware conocido como «bootkit» que elude las herramientas antivirus y es potencialmente invisible para el sistema operativo, al tiempo que ofrece a un hacker acceso completo para manipular la máquina y vigilar su actividad. En el caso de los sistemas con ciertas configuraciones defectuosas en la forma en que el fabricante de la computadora implementó la función de seguridad de AMD conocida como Platform Secure Boot (que, según advierten los investigadores, engloba a la gran mayoría de los sistemas que probaron), una infección de malware instalada a través de Sinkclose podría ser aún más difícil de detectar o remediar, afirman, sobreviviendo incluso a una reinstalación del sistema operativo.
“Imagínate que un hacker nacional o quien sea quiere introducirse en tu sistema. Solamente abriendo la carcasa del computadora, conectándose físicamente de forma directa a una determinada parte de sus chips de memoria con una herramienta de programación con base en hardware conocida como programador ”SPI Flash» y revisando meticulosamente la memoria se podría eliminar el malware, según Okupski.
Nissim resume ese peor escenario en términos más prácticos: «Básicamente tienes que tirar la computadora».
En un comunicado compartido con WIRED, AMD reconoció los hallazgos de IOActive, agradeció a los investigadores por su trabajo y señaló que ha «lanzado opciones de mitigación para sus productos de centro de datos AMD EPYC y productos de PC AMD Ryzen, con mitigaciones para productos embebidos AMD próximamente» (El término «embebido», en este caso, se refiere a los chips AMD que se encuentran en sistemas como dispositivos industriales y automóviles). Para sus procesadores EPYC diseñados para su uso en servidores de centros de datos, específicamente, la compañía señaló que lanzó parches a principios de este año. AMD declinó responder por adelantado a preguntas sobre cómo pretende solucionar la vulnerabilidad Sinkclose, o exactamente para qué dispositivos y cuándo, pero señaló una lista completa de los productos afectados que se puede encontrar en la página del boletín de seguridad de su sitio web.
“Empecé a hacer ingeniería inversa, descubrí cómo se encriptaba todo, cómo podía desencriptarlo y encontré una forma más eficaz de obtener la información”, explica Smith. A partir de ahí, especifíca, descifró las contraseñas de administrador de los sitios web (muchas seguían empleando el nombre de usuario predeterminado “admin” y la contraseña “123456”) y pudo comenzar a extraer los datos de las víctimas de la red de sitios web de smishing de forma más rápida y automatizada.
Smith buscó en Reddit y otras fuentes en internet para encontrar a personas que informaran de la estafa y las URL que se utilizaban, que posteriormente hizo públicas. Según Smith, algunos de los sitios web que ejecutaban las herramientas de la Tríada del Smishing recababan miles de datos personales al día. Entre otros detalles, solicitaban nombres, direcciones, números de tarjetas de pago y códigos de seguridad, números de teléfono, fechas de nacimiento y páginas web de bancos. Este nivel de información facilita a un estafador realizar compras online con las tarjetas de crédito. Smith comparte que su esposa canceló rápidamente su tarjeta, pero se dio cuenta de que los estafadores seguían intentando usarla, por ejemplo, con Uber. El investigador comenta que recopilaba datos de un sitio web y volvía a él unas horas más tarde, solo para encontrar cientos de registros nuevos.
El investigador proporcionó los datos a un banco que se había puesto en contacto con él tras ver sus publicaciones iniciales en el blog. Smith no quiso dar el nombre del banco. También denunció los incidentes al FBI y más tarde ofreció información al Servicio de Inspección Postal de Estados Unidos (USPIS, por sus siglas en inglés).
Michael Martel, funcionario nacional de información pública del USPIS, destaca que la información facilitada por Smith se está empleando como parte de una investigación en curso del servicio de inspección y que la agencia no puede comentar detalles concretos. “El USPIS ya está tratando activamente de obtener este tipo de información para proteger a la población estadounidense, identificar a las víctimas y aplicar la justicia a los malintencionados que están detrás de todo esto”, comenta Martel, señalando los consejos para detectar y denunciar las estafas en la entrega de paquetes del USPS.
Al principio, cuenta Smith, desconfiaba de hacer pública su investigación, ya que este tipo de “hackeo de vuelta” cae en una “zona gris”: Quizá esté infringiendo la Ley de Fraude y Abuso Informático, una legislación estadounidense de gran alcance sobre delitos informáticos, pero él lo hace en contra de delincuentes radicados en el extranjero. Algo que, sin duda, no es el primero ni el último que se realiza.
Como «P4x», Alejandro Cáceres interrumpió la conexión a internet de todo un país. Luego intentó mostrarle al ejército estadounidense cómo puede, y debe, adoptar sus métodos.
La Tríada del Smishing es prolífica. Además de recurrir a los servicios postales como señuelo para sus estafas, el grupo de habla china se ha dirigido a la banca en línea, el comercio electrónico y los sistemas de pago de Estados Unidos, Europa, India, Pakistán y Emiratos Árabes Unidos, según Shawn Loveland, director de operaciones de Resecurity, que ha monitoreado constantemente al grupo.
La Tríada del Smishing envía entre 50,000 y 100,000 mensajes diarios, de acuerdo con las investigaciones de Resecurity. Sus mensajes de estafa se mandan mediante SMS o iMessage de Apple, este último cifrado. Loveland asegura que la Tríada está formada por dos grupos distintos: un pequeño equipo dirigido por un hacker chino que crea, vende y da mantenimiento al kit de smishing, y un segundo grupo de personas que compran la herramienta de estafa. (Una vía de acceso oculta en el kit permite al creador consultar la información de los administradores que lo usan, añade Smith en una publicación de su blog).
Si es que el prompt falló, puedes revisar response.prompt_feedback para ver las posibles razones.
'safetySettings' => [
[
"category" => "HARM_CATEGORY_HARASSMENT",
"threshold" => "BLOCK_ONLY_HIGH"
],
[
"category" => "HARM_CATEGORY_HATE_SPEECH",
"threshold" => "BLOCK_ONLY_HIGH"
],
[
"category" => "HARM_CATEGORY_SEXUALLY_EXPLICIT",
"threshold" => "BLOCK_ONLY_HIGH"
],
[
"category" => "HARM_CATEGORY_DANGEROUS_CONTENT",
"threshold" => "BLOCK_ONLY_HIGH"
]
]Cuando todo sale bien, señala que la probabilidad es NEGLIGIBLE, es decir que no es suficiente para gatillar ninguna alerta.
CVE-2024-0104
Jue, 08/08/2024 – 18:15
CVE-2024-0104
CVE-2023-40261
Jue, 08/08/2024 – 18:15
CVE-2023-40261
CVE-2023-33206
Jue, 08/08/2024 – 18:15
CVE-2023-33206
CVE-2023-24064
Jue, 08/08/2024 – 18:15
CVE-2023-24064