Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
151
)
-
▼
enero
(Total:
151
)
-
Ramsomware Makop y Lynx
-
NVIDIA pide explicaciones a Super Micro por vender...
-
Investigadores canadienses afirman que un ajuste d...
-
Vulnerabilidad crítica en Cacti (SNMP)
-
FARM discos duros Seagate
-
DeepSeek habría sido entrenada con datos robados a...
-
Alibaba presenta Qwen2.5-Max, su poderosa IA
-
Huawei dice tener un chip para IA igual de potente...
-
El fabricante de móviles Oppo es víctima de una gr...
-
DeepSeek puede crear malware para robar tarjetas d...
-
Historia del fabricante Asus
-
Instalar DeepSeek (destilado) con Ollama en tu ord...
-
Lossless Scaling: ¿Qué es y cómo funciona?
-
Una hora de anuncios para ver un simple vídeo de Y...
-
Herramientas gratuitas para transcribir de audio a...
-
OpenAI Operator: el agente de IA que automatiza ta...
-
DeepSeek Janus-Pro-7B, otro modelo de IA multimoda...
-
DeepSeek es víctima de un ataque DDoS
-
NVIDIA DLSS 4 (Tecnología de Escalado de nvidia)
-
Sony abandona los discos Blu-Ray grabables, MiniDi...
-
Vulnerabilidad en el framework Llama Stack de Meta...
-
PayPal pagará 2 millones de dólares por la filtrac...
-
DeepSeek, la herramienta china que revoluciona la ...
-
119 vulnerabilidades de seguridad en implementacio...
-
Cómo bloquear y demorar bots IA de Scraping web
-
Oracle, en negociaciones con ByteDance para compra...
-
Descubren que Elon Musk hacía trampas en los juego...
-
Por ser cliente de Movistar en España tienes grati...
-
HDMI 2.2 VS DisplayPort 2.1
-
Filtrados datos personales de asegurados de Asisa
-
Los fallos que cometió Ulbricht para ser detenido:...
-
Instagram desata las críticas de los usuarios espa...
-
Donald Trump indulta a Ross Ulbricht, creador del ...
-
Alia, la IA del Gobierno Español, es un desastre: ...
-
Stargate, un proyecto de Estados Unidos para inver...
-
Ataques del ransomware BlackBasta mediante Microso...
-
El mayor ataque DDoS registrado alcanzó 5,6Tb/s me...
-
Tras el éxito de Doom en documentos PDF, ahora tam...
-
Cae una banda de ciberestafadores que enviaba hast...
-
Cómo desactivar el Antimalware Service Executable ...
-
Herramienta Restablecer Windows
-
Seagate llega a los 36 TB con sus nuevos discos du...
-
YST (‘Yo soy tú’, como se autodenominó irónicament...
-
¿Qué es la pipeline?
-
Una chica de 28 años se enamora de ChatGPT
-
Copilot+ ya permite la búsqueda local
-
DORA: la normativa europea que obliga a los bancos...
-
Apple desactiva funciones de Apple Intelligence po...
-
La empresa de hosting GoDaddy, obligada a reforzar...
-
Domina los ficheros PDF con dos servicios Docker
-
OpenAI desarrolla una IA para prolongar la vida hu...
-
TikTok cierra en Estados Unidos
-
Vulnerabilidad permite eludir UEFI Secure Boot
-
Normativa Drones España 2025
-
Robados los datos personales de 97.000 aspirantes ...
-
¿Cómo volar un dron de noche? Esta es la normativa...
-
Expuestas 15.000 configuraciones robadas de FortiG...
-
Filtración masiva en China expone 1.500 millones d...
-
Un ciberataque expone la identidad de 160.000 guar...
-
La Policía de España advierte sobre una nueva técn...
-
Microsoft estrena protección del administrador de ...
-
Windows 11 con sólo 184 MB de RAM
-
Evilginx 3 para ataques man-in-the-middle mediante...
-
Cómo Barcelona se convirtió en un centro de empres...
-
El Gobierno de España anuncia la creación de un Ce...
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
Así hackearon a Telefónica: un infostealer e ingen...
-
-
▼
enero
(Total:
151
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Cómo instalar DeepSeek en tu ordenador , para poder utilizarlo cuando quieras. Hay varias maneras de hacerlo, pero nosotros vamos a intentar... -
Primero llegó a través de los clientes de Movistar con un deco UHD, pero a partir de hoy, tienen la oportunidad de tener gratis durante 12 ... -
Si eres un usuario de Windows 10 y tu dispositivo está trabajando lento, entonces, es el antimalware service executable que tiene un consum...
Millones de cuentas vulnerables por fallo en OAuth de Google
Una debilidad en la funcionalidad de «Iniciar sesión con Google» en el sistema OAuth podría permitir a atacantes explotar dominios abandonados por startups extintas para acceder a datos confidenciales. Esta falla afecta a cuentas de antiguos empleados vinculadas a diversas plataformas de software como servicio (SaaS).
¿Qué es OAuth?
¿Cómo funciona OAuth?
En una transacción OAuth satisfactoria intervienen tres entidades:
- El usuario (la persona u organización que autoriza el acceso a sus datos)
- El proveedor de servicios de OAuth (es la aplicación o servicio que almacena los datos y credenciales del usuario)
- El consumidor (la aplicación que solicita el acceso a los datos del usuario)
OAuth utiliza un flujo de trabajo definido para garantizar la seguridad de los datos del usuario y simplificar las solicitudes para el consumidor. En primer lugar, la aplicación que solicita el acceso (consumidor) pide un token de acceso OAuth al proveedor del servicio. Si aún no ha iniciado sesión en el proveedor de servicios, se pide a los usuarios que lo hagan. A continuación, el proveedor de servicios enumera los tipos de datos a los que la aplicación del consumidor pretende acceder y pide al usuario que apruebe o deniegue el acceso. Si el usuario está de acuerdo, el proveedor de servicios envía entonces un token de acceso al consumidor, que lo almacena para futuras solicitudes de acceso. Una vez validado, el token de acceso se utiliza en todas las solicitudes de acceso a los datos del usuario (dentro del ámbito de los permisos concedidos por el usuario).
Los OAuth tokens de acceso caducan, por lo que los proveedores de servicios ofrecen a los desarrolladores una forma de actualizar los tokens de acceso para futuras solicitudes. El plazo de caducidad de un token de acceso lo establece el proveedor de servicios, por lo que su duración depende de los protocolos de seguridad del proveedor de servicios. El OAuth token de acceso debe almacenarse de forma segura porque puede ser utilizado por cualquiera para obtener datos del usuario y realizar funciones en su nombre.
Si el usuario decide revocar el acceso, puede hacerlo a través del proveedor de servicios. Una vez revocado el acceso, el consumidor deberá pedir al usuario que vuelva a autenticarse para obtener cualquier dato almacenado en la aplicación del proveedor de servicios. Si el consumidor sufre una vulneración de datos en la que se revelan los tokens de acceso, el proveedor de servicios podría invalidar proactivamente todos los tokens de acceso para proteger los datos del usuario.
OAuth vs. OpenID
Cuando los consumidores utilizan OAuth, el proveedor de servicios proporciona acceso autorizado a los datos de un usuario solamente después de que dé su consentimiento. OAuth es una forma de compartir datos utilizando un token de autorización proporcionado por el consumidor después de que el usuario verifique sus credenciales. OpenID es distinto de OAuth, pero ambos se utilizan juntos.
El inicio de sesión único (SSO) es una estrategia de seguridad común que utiliza un proveedor para autenticar a los usuarios en varios servicios. OpenID es uno de los protocolos SSO más antiguos, introducido en 2005 para autenticar en LiveJournal. Ha pasado por algunas actualizaciones, pero se consideró demasiado difícil de implementar en comparación con otros métodos de la época, principalmente Facebook Connect. Como Facebook era una marca muy conocida, la mayoría de los desarrolladores se pasaron a Facebook Connect para que los usuarios se sintieran más cómodos autenticándose en sus aplicaciones.
En 2014, OpenID rediseñó su código y posteriormente se incorporó a OAuth. Ahora, OAuth utiliza OpenID como capa de autenticación y OAuth se ocupa de la capa de autorización. El proceso es fluido para el usuario, pero los consumidores pueden integrar más fácilmente OAuth tanto para autenticar a los usuarios como para obtener acceso a los datos de sus cuentas.
OAuth vs. SAML
Un producto anterior similar a OAuth es el Lenguaje de Marcado para Confirmaciones de Seguridad (o SAML, del inglés “Security Assertion Markup Language”), que está basado en XML. La principal diferencia entre SAML y OAuth es que SAML realiza tanto la autenticación como la autorización. OAuth utiliza OpenID como capa de autenticación, pero no gestiona la autenticación por sí mismo. Las aplicaciones que utilizan SAML no necesitan ningún otro servicio para proporcionar autenticación.
Otra diferencia entre los dos protocolos es el lenguaje utilizado para trasladar datos entre servicios. SAML utiliza XML; OAuth utiliza JSON, el formato preferido para las transferencias de datos. La mayoría de los servicios de datos trabajan principalmente con JSON, lo que hace que OAuth sea más fácil de integrar para la mayoría de las empresas.
Descubrimiento e informe inicial
Investigadores de Trufflesecurity identificaron esta brecha de seguridad y la reportaron a Google el 30 de septiembre del año pasado. Inicialmente, Google clasificó el hallazgo como un problema de «fraude y abuso» en lugar de una falla en OAuth o en la función de inicio de sesión. Sin embargo, tras una presentación de Dylan Ayrey, CEO y cofundador de Trufflesecurity, en la conferencia Shmoocon en diciembre, Google reconsideró la situación. Aunque otorgó una recompensa de $1,337 a los investigadores y reabrió el caso, el problema sigue sin resolverse.
Un portavoz de Google recomendó a los usuarios cerrar adecuadamente los dominios obsoletos para evitar riesgos. También instó a las aplicaciones de terceros a implementar identificadores únicos de cuenta (“sub”) para mitigar este tipo de vulnerabilidades.
Naturaleza del problema
Según Ayrey, la vulnerabilidad radica en que el sistema OAuth de Google no protege contra la compra de dominios abandonados por startups. Los nuevos propietarios pueden recrear cuentas de correo electrónico de antiguos empleados y utilizarlas para acceder a servicios como Slack, Notion, Zoom y ChatGPT. Aunque estos correos clonados no permiten acceder a comunicaciones previas, sí posibilitan iniciar sesión en plataformas que dependan del correo electrónico y el dominio alojado para la autenticación.
En una prueba, Ayrey demostró que es factible extraer información sensible de sistemas de recursos humanos, como documentos fiscales, datos de seguros y números de seguridad social. Al analizar la base de datos de Crunchbase, encontró 116,481 dominios disponibles de startups desaparecidas, lo que muestra la magnitud del problema.
Problemas técnicos en el sistema OAuth
El sistema OAuth utiliza una “subafirmación” para identificar de manera única e inmutable a los usuarios. Sin embargo, según Ayrey, existe una tasa de inconsistencia del 0.04%, lo que lleva a servicios como Slack y Notion a ignorarla y depender exclusivamente de las afirmaciones de correo electrónico y dominio. Esto permite que nuevos propietarios de dominios se hagan pasar por antiguos empleados en plataformas SaaS.
Propuestas de solución
Los investigadores sugieren que Google implemente identificadores inmutables, como un ID de usuario permanente y un ID de espacio de trabajo vinculado a la organización original. Además, los proveedores de SaaS podrían aplicar medidas como:
- Verificar fechas de registro de dominios.
- Requerir aprobaciones de nivel administrador para el acceso a cuentas.
- Implementar factores secundarios de autenticación.
Sin embargo, estas soluciones conllevan costos adicionales y mayor complejidad técnica, lo que puede desincentivar su adopción.
Impacto creciente
Esta vulnerabilidad afecta potencialmente a millones de usuarios y miles de empresas, y su alcance crece con el tiempo. Según el informe de Trufflesecurity, existen millones de cuentas de empleados vinculadas a startups desaparecidas cuyos dominios están disponibles para compra.
En Estados Unidos, alrededor de seis millones de personas trabajan para startups tecnológicas, de las cuales el 90% podría cerrar en los próximos años. Aproximadamente el 50% de estas empresas utiliza Google Workspaces, lo que incrementa el riesgo de exposición de datos confidenciales.
Recomendaciones finales
Si trabajas para una startup, asegúrate de eliminar datos confidenciales al dejar la organización y evita usar cuentas laborales para registros personales. Estas prácticas simples pueden reducir significativamente el riesgo de exposición futura.
Fuente: Bleepingcomputer
Vía:
https://blog.underc0de.org/vulnerabilidad-en-el-sistema-oauth-de-google-expone-datos-confidenciales/
https://trufflesecurity.com/blog/millions-at-risk-due-to-google-s-oauth-flaw
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.