Blog elhacker.NET: enero 2019

Riesgo de robo en coches "sin llave" keyless usando amplificador de señal

miércoles, 30 de enero de 2019 | Publicado por el-brujo | Editar entrada

Muchos coches con apertura "sin llave" keyless pueden ser robados si la llave está relativamente cerca del coche, como en la caso de viviendas unifamiliares. La técnica es sencilla, gracias a un repetidor-amplificador de señal usado por los ladrones, hacen creer al vehículo que quien toca el tirador de la puerta es el propietario del coche, quien posee la llave, cuando en realidad no es así. Una posible solución pasa por envolver con papel de aluminio la llave del coche, guardar la llave del coche en la nevera o en un envase metálico, como un lata. El metal bloquea las señales de radio (por el efecto de la jaula de Faraday)

Etiquetas: amplificador , coche , frecuencia , keyless , ladron , radio , relay , señal | 2 comentarios

Error en FaceTime de Apple permite activar micrófonos de forma remota

martes, 29 de enero de 2019 | Publicado por el-brujo | Editar entrada

Un error en las llamadas en grupo de Facetime permite a cualquier usuario espiar la cámara y el micrófono de los iPhone y Mac. El fallo de seguridad en el servicio de vídeollamadas de Apple permite al emisor ver lo que captaba la cámara y escuchar el micrófono del receptor, aunque este no hubiera aceptado la llamada. Apple ha desactivado la función de FaceTime que ha provocado el fallo y ya trabaja en un parche.

Etiquetas: apple , error , faceTime , microfono , privacidad , remota | 0 comentarios

Fuentes de Alimentación: potencia, tipos, características y protecciones

domingo, 27 de enero de 2019 | Publicado por el-brujo | Editar entrada

La Fuente de Alimentación, es un montaje eléctrico/electrónico capaz de transformar la corriente de la red eléctrica en una corriente que el PC pueda soportar. Esto se consigue a través de unos procesos electrónicos los cuales explicaremos brevemente. Las distintas protecciones que nos ofrecen las fuentes de alimentación para pc. Estas protecciones son muy necesarias, ya que son las encargadas de que, en caso de algún accidente eléctrico, estén a salvo todos nuestros componentes, al igual que evitarán cualquier otro tipo de accidente que pueda provocar daños mayores.

Etiquetas: 80plus , at , atx , fuentes de alimentación , guia , hardware , manual , psu , tutorial | 4 comentarios

Novedades WhatsApp: bloqueo por huella dactilar y límite re-envio de mensajes

viernes, 25 de enero de 2019 | Publicado por el-brujo | Editar entrada

WhatsApp anunció que limitaría las funciones de reenvío de mensajes en algunos países como forma de luchar contra la difusión de noticias falsas y rumores. Los mensajes reenviados desde otras conversaciones (y solo esos) no se podrán reenviar a más de cinco personas o grupos, cuando anteriormente el límite estaba en veinte. Otra de las novedades esperadas es que WhatsApp están planteándose añadir bloqueo por huella dactilar. A parte de la Limitación de reenvíos, la huella digital o reconocimiento facial, también se esperan para el año 2019 el modo oscuro, publicidad en los estados, vista previa de los vídeos y clasificación de los contactos.

Etiquetas: WhatsApp | 0 comentarios

La ingeniería fiscal de Google: 12.600 millones de euros tributados al 0% en Bermudas

jueves, 24 de enero de 2019 | Publicado por el-brujo | Editar entrada

En 2016, la Agencia Tributaria española entraba en las oficinas de Google en Madrid por una posible evasión fiscal. Han pasado los años, pero parece que el gigante tecnológico sigue realizando complejos trucos de ingeniería fiscal para tributar sus beneficios al mínimo. Preguntado en su momento a Google sobre si este tipo de actividad es legal, su respuesta fue la siguiente: "Cumplimos con la legislación fiscal en España al igual que en todos los países en los que operamos."

Etiquetas: fiscal , fraude , google , impuestos , irlanda , multa , tributar | 0 comentarios

Alertas Phishing: Agencia Tributaria y BBVA - Cuestionario conocimientos Phishing de Google

| Publicado por el-brujo | Editar entrada

El Instituto Nacional de Ciberseguridad (INCIBE) ha alertado de que ha detectado una campaña fraudulenta (phishing) a través de e-mail simulando correos procedentes de la Agencia Tributaria. También se ha detectado recientemente correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, y que tienen por objetivo es dirigir a la víctima a una página falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso.

Etiquetas: agencia tributaria , bbva , fraude , google , incibe , phishing | 0 comentarios

Vulnerabilidad crítica en switches de Cisco permite tomar el control total

miércoles, 23 de enero de 2019 | Publicado por el-brujo | Editar entrada

Se ha publicado una vulnerabilidad crítica que afecta al software de Cisco y que permite a un atacante remoto explotarla y, sin necesidad de autenticarse, tener el control total de ese dispositivo. Este fallo de seguridad no ha sido corregido por el momento. La vulnerabilidad, ha recibido una valoración de 9.8 sobre 10 en base a la gravedad de CVSS, con identificador CVE-2018-15439. Afecta especialmente a pequeñas oficinas, redes de área local en lugares de trabajo en pequeñas empresas. Cisco has not released software updates that address this vulnerability.

Etiquetas: cisco , soho , switch , unpatched , vulnerabilidad | 0 comentarios

Vulnerabilidad en el firmware para chips Wi-Fi afecta a millones de dispositivos

| Publicado por el-brujo | Editar entrada

Esta vulnerabilidad ha sido descubierta por un grupo de investigadores de seguridad y afecta a ThreadX. Es el sistema operativo en tiempo real que es utilizado como firmware en millones de dispositivos en todo el mundo. Por este motivo esta vulnerabilidad es de gran importancia. Estos investigadores de seguridad han explicado que un posible atacante podría explotar la vulnerabilidad del firmware ThreadX. Hicieron una prueba con un chip Wi-Fi instalado en un Marvell Avastar 88W8897. Lograron ejecutar el código malicioso sin la interacción del usuario. El chip está presente en plataformas de videojuegos como Sony PlayStation 4 o xBox One.

Etiquetas: chip , marvell , threadx , vulnerabilidad , Wifi | 0 comentarios

El Consejo Europeo rechaza los artículos 11 y 13

sábado, 19 de enero de 2019 | Publicado por el-brujo | Editar entrada

Después de meses de presión por parte de la comunidad y grandes compañías tecnológicas como Alphabet (Google y Youtube), el Consejo Europeo ha decidido dar marcha atrás y no apoyar la nueva directiva de derechos de autor de la Unión Europea. Este revés a la norma supone una victoria para Internet y sus usuarios, pero la guerra aún está lejos de terminar.

Etiquetas: artículo 13 , derechos , europa , internet , leyes | 1 comentarios

Solucionan graves fallos de seguridad XSS y SQLi en Fortnite

| Publicado por el-brujo | Editar entrada

La compañía de seguridad Check Point ha explicado tres vulnerabilidades en el registro de cuentas del videojuego Fortnite que han dejado expuestos los datos personales y de tarjetas de crédito de los jugadores a través de vulnerabilidades de SQL Injection y XSS en algunos de los subdominios de la compañía. Check Point ha informado a Epic Games, la desarrolladora de Fortnite, acerca de las vulnerabilidades de su videojuego, que suma cerca de 80 millones de jugadores a nivel global. En la actualidad, el problema ya se ha solucionado, según la empresa de ciberseguridad. Actualmente hay más de 200 millones de usuarios registrados y se juegan cerca de 80 millones de partidas al mes.

Etiquetas: epic games , fortnite , phishing | 0 comentarios

Vulnerabilidad en Android ES File Explorer expone datos del usuario al descubierto

viernes, 18 de enero de 2019 | Publicado por el-brujo | Editar entrada

ES Explorer es una de las aplicaciones más populares de Android, en gran medida porque numerosos fabricantes lo introducen de serie en sus teléfonos para compensar la ausencia de un buen administrador de archivos nativo. El investigador de seguridad francés conocido como Elliot Alderson (nombre real Baptiste Robert y descubridor de la puerta trasera del OnePlus 6) explica que hay una importante vulnerabilidad gracias a la cual es posible extraer información contenida en un móvil conectado a una red local.

Etiquetas: android , apk , vulnerabilidad | 0 comentarios

Mega filtración masiva récord: 772 millones cuentas de correo y 21 millones de contraseñas

| Publicado por el-brujo | Editar entrada

Troy Hunt, el administrador de Have I Been Pwned, ha desvelado una brecha de seguridad que afecta a 772.904.991 direcciones únicas de correo electrónico, a las que se suman más de 21 millones de contraseñas únicas. No es una filtración de seguridad nueva, sino más bien la recopilación de muchas (con cuentas y contraseñas nuevas), pero atención algunas cuentas filtradas son nuevas. En total, 22 millones de contraseñas únicas filtradas en un archivo que proviene de diversas fuentes y considerado la mayor filtración de la historia

Etiquetas: data leak , e-mail , filtracion , HIBP , password | 1 comentarios

Expuestos más de 1.000 expedientes de Erasmus de la Universidad de Valladolid

martes, 15 de enero de 2019 | Publicado por el-brujo | Editar entrada

Avisan de una brecha de seguridad informática en el Servicio de Relaciones Internacionales de la institución académica castellana. Han conseguido los expedientes de más de 1.000 estudiantes, profesores y personal no docente que lograron ayudas Erasmus de la UVA. Según ha señalado a través de un comunicado han puesto los hechos en conocimiento de la Agencia Española de Protección de Datos y ha formalizado una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado, que la han remitido a la Brigada de Delitos Tecnológicos.

Etiquetas: data leak , datos , españa , filtracion , uva , valladolid | 0 comentarios

Phishing evadiendo segundo factor de autenticación 2FA

domingo, 13 de enero de 2019 | Publicado por el-brujo | Editar entrada

El investigador en seguridad polaco, llamado Piotr Duszyński, desarrolló una nueva herramienta para pruebas de penetración llamada Modlishka y que según sus propias palabras “permite llevar las campañas de phishing a un nivel superior y con mínimo esfuerzo”. La herramienta puede ser utilizada para suplantar incluso sitios web populares como Yahoo o Gmail. Para el autor de la herramienta la única medida realmente efectiva es la utilización de llaves físicas (hardware) Fido - U2F para usar e manera segura el doble factor de autenticación 2FA. No es la primera herramienta capaz de saltar doble factor 2FA ya que Evilginx2 es una buena prueba de ello.

Etiquetas: 2fa , evilginx2 , herramienta , Modlishka , phishing , tool | 0 comentarios

DNS sobre TLS en Android

viernes, 11 de enero de 2019 | Publicado por el-brujo | Editar entrada

Han pasado ya 8 años desde que Google ofreciera el servicio DNS públicos. Google ha querido ir un paso más allá en cuanto a la seguridad y privacidad de las consultas que se realicen a través de sus servidores DNS, y por ello acaba de anunciar la implementación de DNS-over-TLS. Sin embargo, CloudFlare, Quad9 y otras compañías lo llevan ofreciendo desde hace ya algunos meses. A partir de Android 9 (Pie) podemos hacer uso de esta nueva característica llamada "DNS Privado". También podemos utilizar DNS sobre HTTPS (DoH) en el navegador Mozilla Firefox.

Etiquetas: android , dns , DNS over HTTPS , google , tls | 0 comentarios

Xiaomi presenta Redmi Note 7 con cámara de 48 megapíxeles

jueves, 10 de enero de 2019 | Publicado por el-brujo | Editar entrada

Para el cerebro, el Redmi Note 7 empleará el Snapdragon 660, un procesador que alcanza los 2GHz y que estará acompañado por 3GB, 4GB y 6GB de RAM, y con 32GB y 64GB en el almacenamiento. Para la batería, carga rápida de 18W con el cargador incluido en el paquete y puerto USB tipo C. Todo ello para devolver la carga a una pila interna de 4.000 mAh, por supuesto no extraíble. Por cierto, tenemos jack de audio. Sensor trasero de 48 megapíxeles firmado por Sasmung, con píxeles de 0.8 picómetros y una apertura f/1.6, Xiaomi lanzará su nuevo teléfono en China el próximo 15 de enero. Los precios estarán comprendidos entre los 130 euros del modelo más asequible y los 180 del más completo. El primer smartphone de la compañía que llega independizada de Xiaomi bajo la marca Redmi

Etiquetas: china , hardware , note , redmi , smartphone , xiaomi | 0 comentarios

Roban 1,1 millones de dólares en moneda Ethereum Classic con un ataque 51%

miércoles, 9 de enero de 2019 | Publicado por el-brujo | Editar entrada

El robo fue el resultado de llevar a cabo lo que se conoce como un ataque de retroceso, que permitió a los atacantes reorganizar la cadena de bloques de Ethereum Classic, dijo el ingeniero de seguridad de Coinbase Mark Nesbitt. Desde allí, los atacantes pudieron "gastar dos veces" cerca de 88,500 ETC, lo que significa que pudieron recuperar las monedas previamente gastadas y transferirlas a una nueva entidad. Como resultado, las monedas se transfirieron efectivamente de los destinatarios legítimos a las nuevas entidades. El exchange primero detectó que unos 88.500 Ethereum Classic, equivalente a aproximadamente unos 460.000 dólares, se habían gastado dos veces. Pero finalmente, Coinbase también descubrió otros doce ataques que "incluyeron gastos dobles, totalizando 219.500 ETC (1,1 millones de dólares)

Etiquetas: bitcoin , blockchain , btc , ETC , Ethereum Classic , minado | 0 comentarios

EFF propone cifrar también el correo electrónico

| Publicado por el-brujo | Editar entrada

La Electronic Frontier Foundation (EFF) y su nuevo proyecto llamado STARTTLS Everywhere que tiene como objetivo proporcionar orientación a los administradores del servidor sobre cómo configurar un servidor de correo electrónico adecuado que ejecute STARTTLS de la manera correcta.

Etiquetas: cifrado , correo , Dovecot , e-mail , eff , encrypt , exim , Postfix , privacidad , sendmail , STARTTLS , tls | 1 comentarios

¿Los pines extras del socket Intel Z390 no sirven para nada?

martes, 8 de enero de 2019 | Publicado por el-brujo | Editar entrada

Presumiblemente Intel forzó a todos los usuarios a renovar sus placas base con la excusa de que los pines adicionales eran obligatorios para alimentar los núcleos adicionales, pero ahora se ha demostrado que incluso tapando 69 pines la plataforma es completamente estable y arroja el mismo rendimiento.

Etiquetas: cpu , hardware , intel , pines , socket | 0 comentarios

El juez de iDental imputa al presidente de OVH, Henryk Klaba, al borrar historiales de las víctimas

lunes, 7 de enero de 2019 | Publicado por el-brujo | Editar entrada

El magistrado de la Audiencia Nacional José de la Mata ha citado como investigados el próximo martes 8 de enero a las 10h a tres responsables de la empresa informática OVH Hispano SL, entre ellos a su presidente, Henryk Klaba (padre del fundador Octave Klaba) tras comprobar que se han eliminado "unilateralmente" todos los historiales clínicos de los pacientes de iDental en 25 servidores y 2 «racks». que esta empresa debía salvaguardar. Los informáticos están imputados por un posible delito de desobediencia.

Etiquetas: historiales , hosting , idental , juez , ovh , ovh hispano | 0 comentarios

Filtran datos personales de más de mil políticos Alemanes incluyendo Angela Merkel

| Publicado por el-brujo | Editar entrada

La filtración de los documentos y datos personales sobre cientos de políticos alemanes aparentemente se encontraban en línea al menos desde antes de octubre de 2018 en una cuenta de Twitter con sede en Hamburgo, que llevaba por nombre "G0d" (y como usuario @_0rbit) y ya está cerrada y tenía casi 20 mil seguidores, ya que la cuenta era robada a otro usuario. La cuenta de Twitter se describía a sí misma con etiquetas como "investigación de seguridad", "artista" y "sátira". Todos los partidos políticos se han visto salpicados por la información filtrada salvo uno: el partido de ultraderecha Alternativa para Alemania (AfD). Un joven de 20 años podría ser responsable del ciberataque que afectó a políticos alemanes.

Etiquetas: alemania , brecha , BTleaks , data leak , doxing , hackerangriff , privacidad , twitter | 0 comentarios

Implementan medidas de seguridad para los cables de puertos USB Tipo C

domingo, 6 de enero de 2019 | Publicado por el-brujo | Editar entrada

Presentado hace cuatro años, la norma USB C, conocida en el mercado como el conector reversible, logró imponerse en la industria tecnológica al ofrecer más velocidad de transferencia de datos, soporte para video y más capacidad para cargar teléfonos o tabletas. Sin embargo, también puede ser utilizado como una herramienta maliciosa de parte de delincuentes que fabrican cables o accesorios a medida para realizar un ataque informático.La FTC (Comisión Federal de Comercio de Estados Unidos), Karpersky y Drew Paik, experto en seguridad de Authentic8, han recomendado no usar estas conexiones por los riesgos que pueden entrañar

Etiquetas: cables , pendrive , usb , usb-c | 0 comentarios

Hackean más de 72 mil Chromecasts

sábado, 5 de enero de 2019 | Publicado por el-brujo | Editar entrada

El Chromecast, el dispositivo de Google para enviar contenido en streaming a cualquier televisor con puerto HDMI, ha sido utilizado por atacantes que afirman haber tomado posesión de miles de dispositivos Chromecast expuestos, así como Smart TVs y asistentes de voz Google Home, para desplegar un anuncio a través del cual invitan a los usuarios para que se suscriban al canal del popular YouTuber y comentarista de videojuegos. De acuerdo con la información publicada, han sido más de 72.000 los dispositivos vulnerados. Los problemas de seguridad en lo que se ha bautizado con el hashtag #CastHack. Sin embargo, algunos expertos matizan que ChromeChast no utiliza activamente UPnP. ChromeCast utiliza UPnP para SSDP.

Etiquetas: chromecast , crhome , hdmi , upnp | 0 comentarios

¿Qué es CGNAT? Tipos de NAT

| Publicado por el-brujo | Editar entrada

Una tecnología relativamente reciente, no demasiado conocida, lamentablemente, ya que deberíamos estar al tanto de ella, que se conoce como CGNAT (Carrier Grade Network Address Translation). CGN (Carrier-grade NAT) permite que con una IP pública dar servicio a múltiples clientes, proporcionando direccionamiento privado. Conoce los problemas

Etiquetas: cgnat , dmz , dnat , manual , nat , Networking , ps4 , router , snat , sysadmin , tutorial , upnp | 1 comentarios

Herramientas para colorear, quitar fondos, recortar personas de imágenes o fotografías

jueves, 3 de enero de 2019 | Publicado por el-brujo | Editar entrada

Imagina poder colorear una foto antigua, o simplemente cualquier imagen en blanco y negro, con apenas un clic. También para restaurar fotografías antiguas.

Etiquetas: colorear , colorize , diseño gráfico , fotografías , restaurar | 0 comentarios

Aplicaciones Android que mandan datos a Facebook sin tu consentimiento

miércoles, 2 de enero de 2019 | Publicado por el-brujo | Editar entrada

Según publica la fundación Privacy International Facebook utiliza sus herramientas de desarrollo como una inmensa aspiradora de datos, incluso aunque no tengas la sesión iniciada o no tengas cuenta en la red social. Lo hace a través de aplicaciones de terceros y, sin necesidad de consentimiento o interacción alguna por parte de los usuarios.

Etiquetas: android , facebook , google play , privacidad | 1 comentarios

La Unión Europea recompensará la caza de bugs en programas de código abierto

| Publicado por el-brujo | Editar entrada

La Unión Europea ha tomado conciencia de la importancia de proteger sus sistemas frente a posibles ataques y fallos catastróficos, motivo por el cual ha instituido un programa con el que busca recompensar el descubrimiento de fallos en el software de código abierto utilizado en las instituciones europeas.

Etiquetas: bug bounty , fossa , open source , programa recompensas , unión europea | 0 comentarios