¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

DOUG.  Parches de emergencia de Apple, justicia por el hackeo de Twitter de 2020 y "¡Apaguen sus teléfonos, por favor!"

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Pablo, ¿cómo estás?

PATO.  Estoy muy bien, Douglas.

Y para que quede claro, cuando hablamos de "apagar el teléfono", no es solo cuando viajas en el vagón silencioso del tren...

… aunque eso sería ciertamente agradable. [RISA]

DOUG.  ¡Eso podría!

Bueno, quédate para más sobre eso.

Pero primero comencemos con nuestro Esta semana en la historia de la tecnología segmento.

Paul, ¿debería ir con el transistor, que es nuestra opción obvia esta semana, o ir un poco contracultural?

¿Lo que usted dice?

PATO.  No sé qué estás proponiendo para lo contracultural, pero déjame probar esto...

…Veo, con mi ojito, algo que empieza con “A”?

DOUG.  ¡Correcto!

Esta semana, el 27 de junio de 1972, Nolan Bushnell y Ted Dabney fundaron la empresa pionera de videojuegos Atari.

Dato curioso: antes de que Atari se llamara "Atari", se llamaba "Syzygy".

Sin embargo, el cofundador de Atari, Nolan Bushnell, consideró varios términos del juego Go, y finalmente eligió a Atari, haciendo referencia a una posición en el juego cuando un grupo de piedras está en peligro inminente de ser tomado.

PATO.  Ahí es donde comenzó un joven Steve Jobs, ¿no es así?

DOUG.  ¡Exactamente correcto!

PATO.  Y reclutó a su amigo Woz [Steve Wozniak] para diseñar el seguimiento de PONG, pero solo necesitabas un jugador.

A saber, Breakout.

DOUG.  ¡Gran juego!

Aún así, hasta el día de hoy, se mantiene, te lo puedo decir de primera mano.

PATO.  ¡Ciertamente lo hace!

DOUG.  Bueno, sigamos con Apple y comencemos nuestras historias.

Este es un parche de emergencia para silencio, Malware peligroso para iPhone.

Entonces, ¿qué está pasando aquí, Paul?

El parche de Apple corrige el agujero del kernel de día cero informado por Kaspersky: ¡actualice ahora!

PATO.  Este es el troyano de triangulación que fue anunciado a principios de junio de 2023 por la empresa antimalware rusa Kaspersky.

Afirmaron que habían encontrado esto no porque estuvieran haciendo un análisis de amenazas para un cliente, sino porque encontraron algo extraño en los teléfonos de sus propios ejecutivos.

Fueron a buscar y, "Oh, caramba, aquí hay algunos días 0".

Y esa fue la gran noticia del inicio de junio de 2023.

Apple emitió un parche doble.

Como suele suceder cuando aparecen estos parches de emergencia, hubo un error de WebKit, básicamente del tipo "existen informes de que esto fue explotado" (¡es un día 0!) y un agujero de ejecución de código a nivel de kernel.

Ese fue el que encontraron los investigadores de Kaspersky.

Y, como hemos dicho muchas veces antes, esos dos tipos de exploits a menudo se combinan en los ataques de iPhone.

Porque el exploit WebKit atrapa a los ladrones, aunque les da un poder limitado, y luego el agujero a nivel de kernel que explotan con el código que han inyectado en el navegador les da el control total.

Y, por lo tanto, esencialmente puede implantar malware que no solo espía todo, sino que también sobrevive a los reinicios, etc.

Eso ciertamente huele a "spyware", "toma de control completa del teléfono", "fuga total"...

Por lo tanto, vaya y verifique que tenga las últimas actualizaciones, porque aunque se sabe que estos errores solo se explotaron en iPhones, las vulnerabilidades reales existen prácticamente en todos los dispositivos Apple, en particular, incluidas las Mac con macOS (todas las versiones compatibles).

DOUG.  OK, Ajustes > General > actualización de software para ver si ya tienes el parche.

Si no, parche!

Ahora pasemos a… [RISAS]

…es una pena que esto siga existiendo, pero es solo el fruto de la ciberdelincuencia al alcance de la mano.

adivinando tu camino en servidores Linux.

Cuidado con las malas contraseñas ya que los atacantes incorporan servidores Linux al ciberdelito

PATO.  Estos fueron los investigadores antivirus de Corea del Sur quienes, lamentablemente (supongo que esa es la palabra correcta), descubrieron que los viejos trucos todavía funcionan.

Los delincuentes utilizan sistemas automatizados para encontrar servidores SSH y solo intentan iniciar sesión con uno de los conocidos conjuntos de pares de nombre de usuario/contraseña.

Uno de los que se usaba comúnmente en su lista: el nombre de usuario nologin con la contraseña nologin. [LA RISA]

Como se puede imaginar, una vez que los ladrones encontraron su camino en...

… presumiblemente a través de servidores que se había olvidado, o que no se dio cuenta de que estaba ejecutando en primer lugar porque simplemente se iniciaron mágicamente en algún dispositivo que compró, o que vinieron como parte de otra instalación de software y fueron débilmente configurado.

Una vez que están adentro, están haciendo una mezcla de cosas, estos ladrones en particular: ataques que pueden ser automatizados.

Están implantando zombis DDoS a sueldo, que es un software que luego pueden activar para usar su computadora para atacar a otra persona, por lo que queda como un chico malo.

También están inyectando (¡puedes creerlo!) código de criptominería para extraer monedas de Monero.

Y, por último, solo porque pueden, están insertando rutinariamente un malware zombi llamado ShellBot, lo que básicamente significa que pueden regresar más tarde e indicarle al dispositivo infectado que se actualice para ejecutar un nuevo malware.

O pueden vender el acceso a otra persona; básicamente pueden adaptar su ataque como quieran.

DOUG.  Muy bien, tenemos algunos consejos en el artículo, comenzando con: No permita inicios de sesión SSH solo con contraseña y revise con frecuencia las claves públicas en las que se basa su servidor SSH para inicios de sesión automáticos.

PATO.  Ciertamente.

Creo que, si le preguntaras a muchos administradores de sistemas en estos días, dirían: “Oh, no, ¿solo se inicia sesión con contraseña en SSH? No hemos estado permitiéndolos durante años”.

¿Pero estás seguro?

Puede ser que obligues a todos tus propios usuarios oficiales a usar solo inicios de sesión con clave pública/privada, o usar contraseña más 2FA.

Pero, ¿y si, en algún momento del pasado, algún ladrón anterior pudiera jugar con su configuración para que se permitieran los inicios de sesión solo con contraseña?

¿Qué pasaría si instalara un producto que traía consigo un servidor SSH en caso de que no tuviera uno, y lo configuró débilmente, suponiendo que entraría y lo configuraría correctamente después?

Recuerde que si los delincuentes ingresan una vez, particularmente a través de un agujero SSH, a menudo lo que harán (particularmente los delincuentes criptomineros) es agregar una clave pública propia a su lista de claves públicas autorizadas que pueden iniciar sesión. .

A veces también dirán: "Oh, no queremos perder el tiempo, así que activaremos los inicios de sesión raíz", lo que la mayoría de la gente no permite.

Entonces ya no necesitan sus contraseñas débiles, porque tienen una cuenta propia para la que tienen la clave privada, donde pueden iniciar sesión y hacer cosas de raíz de inmediato.

DOUG.  Y, por supuesto, también puedes usar Herramientas XDR (detección y respuesta extendidas) para revisar la actividad que no esperaría, como picos altos en el tráfico y ese tipo de cosas.

PATO.  ¡Sí!

Buscar ráfagas de tráfico saliente es muy útil, porque no solo puede detectar un posible abuso de su red para hacer DDoS, sino que también puede atrapar a los delincuentes de ransomware extrayendo sus datos antes de codificar todo.

¡Nunca sabes!

Por lo tanto, vale la pena estar atento.

Y, por supuesto, el escaneo de malware (tanto bajo demanda como en acceso) puede ayudarlo muchísimo.

¡Sí, incluso en servidores Linux!

Pero si encuentra malware, no lo elimine.

Si una de esas cosas está en su computadora, debe preguntarse: “¿Cómo llegó allí? Realmente necesito averiguarlo.

Ahí es donde la caza de amenazas se vuelve muy importante.

DOUG.  Cuidado por ahí, amigos.

Hablemos del Gran Hackeo de Twitter de 2020 que finalmente se ha resuelto con, entre otras cosas, un pena de prisión de cinco años para el perpetrador.

Hacker británico arrestado en España recibe 5 años de prisión por hackear Twitter y más

PATO.  Vi mucha cobertura de esto en los medios: "Twitter Celeb Hacker obtiene cinco años", ese tipo de cosas.

Pero el titular que teníamos sobre Naked Security dice: El hacker del Reino Unido arrestado en España recibe cinco años por hackear Twitter y más.

Doug, las cosas clave que estoy tratando de incluir en dos líneas del titular son las siguientes.

En primer lugar, que esta persona no estaba en los EE. UU., como los otros perpetradores, cuando hizo el hackeo de Twitter, y finalmente fue arrestado cuando viajaba a España.

Así que aquí hay muchos equipos internacionales.

Y que, en realidad, los grandes negocios por los que fue condenado...

…aunque incluyeron el hackeo de Twitter (el que afectó a Elon Musk, Bill Gates, Warren Buffett, Apple Computer, donde se usaron para promover una estafa de criptomonedas), esa fue una pequeña parte de sus actos de ciberdelincuencia.

Y el Departamento de Justicia quería que lo supieras.

DOUG.  Y "mucho más" lo era.

intercambio de SIM; robando; personas amenazantes; aplastando las casas de las personas.

¡Cosas malas!

PATO.  Sí, hubo un intercambio de SIM...

…aparentemente ganó $794,000 en Bitcoins con esto, intercambiando SIM de tres ejecutivos en una compañía de criptomonedas, y usándolo para acceder a billeteras corporativas y agotarlas en casi $800,000.

Como dices, se estaba haciendo cargo de las cuentas de TikTok y luego básicamente chantajeaba a la gente diciendo: "Voy a filtrar..." bueno, el Departamento de Justicia simplemente se refiere a eso como "materiales confidenciales robados".

Puedes usar tu imaginación para lo que probablemente incluya.

Tenía esta personalidad falsa en línea, pirateó a algunas celebridades que ya estaban en línea y luego les dijo: “Tengo todas tus cosas; Comenzaré a filtrarlo a menos que comiences a promocionarme para que pueda ser tan popular como tú”.

Las últimas cosas por las que fue condenado fueron las que realmente suenan mal.

Acechar y amenazar a un menor de edad con manotazos.

Como el Departamento de Justicia describe ella:

Un ataque de swatting ocurre cuando un individuo hace llamadas de emergencia falsas a una autoridad pública para provocar una respuesta policial que pueda poner en peligro a la víctima oa otros.

Y cuando eso no funcionó (y recuerden, esta víctima es menor de edad), llamaron a otros miembros de la familia y amenazaron con matarlos.

Creo que el Departamento de Justicia quería dejar en claro que, aunque el hackeo de Twitter de celebridades estuvo entre todo esto (donde engañaron a los empleados de Twitter para que les permitieran acceder a los sistemas internos), es casi como si esas fueran las partes menores de este delito.

La persona terminó con cinco años (quizás no más, que podrían haber recibido si decidieran ir a juicio; se declararon culpables) y tres años de libertad supervisada, y tienen que confiscar $794,012.64.

Aunque no dice qué sucede si dicen: "Lo siento, ya no tengo el dinero".

DOUG.  Lo sabremos tarde o temprano.

Terminemos el espectáculo con una nota un poco más ligera.

Mentes curiosas quieren saber, Paul, "¿Deberíamos apagar nuestros teléfonos mientras nos cepillamos los dientes?"

El PM australiano dice: "Apague su teléfono cada 24 horas durante 5 minutos", pero eso no es suficiente por sí solo

PATO.  Oh, me pregunto a qué historia te refieres, Doug. [RISA]

En caso de que no lo hayas visto, es una de las historias más populares del año hasta ahora en Naked Security.

El titular dice El primer ministro australiano dice: “Apague su teléfono cada 24 horas durante 5 minutos”.

Presumiblemente, alguien en el equipo de seguridad cibernética del gobierno había señalado que si tiene spyware en su teléfono (esto siguió la historia de Apple, a la derecha, donde arreglaron el día cero encontrado por Kaspersky, por lo que el spyware estaba en la mente de todos)...

…*si* tiene spyware que no sobrevive a un reinicio porque no tiene lo que la jerga llama “persistencia” (si es una amenaza transitoria porque solo puede inyectarse en la memoria hasta que finalice el proceso actual), entonces cuando reinicias tu teléfono, te deshaces del spyware.

Supongo que esto parecía una idea inofensiva, pero el problema es que el software espía más serio en estos días *será* una "amenaza persistente".

Así que creo que el verdadero problema con este consejo no es que te haga cepillarte los dientes por más tiempo del recomendado, porque obviamente, si te cepillas demasiado, puedes dañar tus encías…

…el problema es que implica que hay algo mágico que tienes que hacer, y si lo haces, estás ayudando a todos.

DOUG.  Por suerte, tenemos una larga lista de cosas que puede hacer además de apagar su teléfono durante cinco minutos.

Empecemos con: Deshazte de las aplicaciones que no necesitas.

PATO.  ¿Por qué tener aplicaciones que pueden tener datos almacenados en su teléfono que no necesita?

Simplemente deshágase de las aplicaciones si no las está usando y deshágase de todos los datos que las acompañan.

Menos es mucho más, Douglas.

DOUG.  Excelente.

También tenemos: Cierre sesión explícitamente en las aplicaciones cuando no las esté usando.

PATO.  Sí.

Un consejo muy impopular cuando lo damos [RISAS]…

…porque la gente dice: “Oh, ¿quieres decir que, en mi teléfono, no podré simplemente presionar el ícono de Zoom y estaré directamente en una llamada?”

Ninguna cantidad de reinicio de su teléfono lo desconectará de las aplicaciones en las que ha permanecido conectado.

Por lo tanto, puede reiniciar su teléfono, lo que podría eliminar algunos programas espía que probablemente nunca obtendrá de todos modos, pero no lo desconectará de Facebook, Twitter, TikTok, Instagram, etc.

DOUG.  Muy bien, y tenemos: Aprenda a administrar la configuración de privacidad de todas las aplicaciones y servicios que utiliza.

Esa es buena.

PATO.  Te agradezco que digas que es bueno, y estaba muy orgulloso de él cuando lo escribí yo mismo...

…pero luego tuve ese sentimiento de hundimiento, cuando llegué a explicarlo, que no voy a poder hacerlo a menos que escriba una serie de 27 sub-artículos. [RISA]

DOUG.  Probablemente va a tener que buscarlo...

PATO.  Tal vez tómese el tiempo para acceder a sus aplicaciones favoritas, vaya a la configuración, eche un vistazo a lo que está disponible.

Es posible que se sorprenda gratamente de algunas de las cosas que puede bloquear y que no sabía.

E ingrese a la aplicación Configuración del teléfono, ya sea que esté ejecutando iOS o Android, y busque todas las cosas que puede hacer, para que pueda aprender cómo desactivar cosas como Configuración de ubicación, cómo revisar qué aplicaciones tienen acceder a sus fotos, etc.

DOUG.  DE ACUERDO.

Y este probablemente sea pasado por alto por muchos, pero: Apague todo lo que pueda en la pantalla de bloqueo.

PATO.  Mi recomendación es tratar de no tener nada en la pantalla de bloqueo excepto lo que el teléfono te obliga a tener.

DOUG.  Muy bien, y en una nota similar: Establezca el código de bloqueo más largo y el tiempo de bloqueo más corto que pueda tolerar.

PATO.  Sí.

Eso no necesita mucha explicación, ¿verdad?

Una vez más, no es un consejo popular. [RISA]

DOUG.  ¡Un pequeño inconveniente es muy útil!

PATO.  Sí, creo que esa es la buena manera de decirlo.

DOUG.  Y entonces: Establezca un código PIN en su tarjeta SIM si tiene uno.

PATO.  Sí, muchos teléfonos y operadores móviles todavía ofrecen tarjetas SIM.

Ahora, en el futuro, los teléfonos probablemente no tendrán una ranura SIM; todo se hará electrónicamente.

Pero por el momento, ciertamente, si está haciendo cosas de pago por uso, compra una pequeña tarjeta SIM (es un chip seguro) y la conecta a una pequeña ranura en el costado de su teléfono. y ya no lo piensas.

E imaginas que cuando bloqueas tu teléfono, de alguna manera mágicamente bloqueas la SIM.

Pero el problema es que si apaga el teléfono, expulsa la tarjeta SIM, la conecta a un dispositivo nuevo y no hay un código de bloqueo en la tarjeta SIM, *entonces la SIM simplemente comienza a funcionar*.

Un ladrón que roba su teléfono no debería poder desbloquearlo y usarlo para hacer llamadas u obtener sus códigos 2FA.

Pero bloquear su tarjeta SIM también significa que si sacan la tarjeta SIM, no pueden simplemente adquirir su número mágicamente, o literalmente hacer un "intercambio de SIM", simplemente insertándola en otro dispositivo.

Mucha gente ni siquiera se da cuenta de que puede o debe establecer un código de bloqueo en las tarjetas SIM de hardware, pero recuerde que son extraíbles por diseño *precisamente para que pueda intercambiarlas*.

DOUG.  Y luego tuvimos un consejo que decía: Aprenda a borrar el historial de su navegador y hágalo con frecuencia.

Esto provocó un comentario, nuestro comentario de la semana, de Jim, quien preguntó si podía aclarar la diferencia entre borrar el *historial* del navegador y borrar las *cookies* del navegador:

Al borrar las cookies, se borran los datos de seguimiento, las sesiones de inicio de sesión, etc.

Borrar el historial borra la lista de lugares en los que ha estado, lo que interrumpe el autocompletado de direcciones, lo que aumenta la posibilidad de escribir mal una dirección, lo que favorece a los sitios de malware de typosquatting.

No es ideal.

PATO.  Tuve dos respuestas a ese comentario.

Uno era, “Oh, querido. No lo escribí lo suficientemente claro”.

Así que volví y cambié la punta para decir: Aprenda a borrar el historial de su navegador, las cookies y los datos del sitio, y hágalo con frecuencia.

En ese sentido, fue un muy buen comentario.

La parte en la que no estoy de acuerdo con Jim es la idea de que borrar el historial de su navegador lo pone en mayor riesgo de error tipográfico.

Y creo que lo que está diciendo es que si ha escrito una URL correctamente, y está en su historial, y desea volver a esa URL más tarde, digamos, haciendo clic en el botón Atrás...

…volverás a donde quieres estar.

Pero si haces que la persona escriba la URL una y otra vez, eventualmente escribirá la palabra incorrecta y será malinterpretado.

Ahora, si bien eso es técnicamente cierto, si desea que un sitio al que visita regularmente tenga una URL fija a la que accede directamente desde un menú, mi recomendación es usar un marcador.

No confíe en el historial de su navegador o en el autocompletado del navegador.

Porque, en mi opinión, eso en realidad hace que sea más probable que agrave un error que cometió anteriormente, en lugar de que no obtenga el sitio equivocado en el futuro.

También tiene el problema, con la lista del historial de su navegador, que puede revelar una gran cantidad de información sobre lo que ha estado haciendo últimamente.

Y si no borra esa lista de historial regularmente, "últimamente" puede que no sean solo horas; pueden ser días o incluso semanas.

Entonces, ¿por qué mantenerlo tirado donde un ladrón podría encontrarlo por error?

DOUG.  Muy bien, genial.

Muchas gracias, Jim, por enviar ese comentario.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @nakedsecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, recordándoles: Hasta la próxima...

AMBAS COSAS.  ¡Mantente seguro!

[MÓDEM MUSICAL]