Delincuentes cibernéticos están explotando activamente una vulnerabilidad de Fortinet FortiGate que fue parcheada hace tiempo, desde julio de 2020, eludiendo la autenticación de dos factores (2FA) en firewalls y potencialmente concediendo acceso no autorizado a VPNs y consolas de administración. El equipo PSIRT de Fortinet detalló los ataques en curso en una reciente publicación de blog, instando a los administradores a auditar las configuraciones inmediatamente para evitar compromisos. Denominada FG-IR-19-283 (CVE-2020-12812)

Authy es una aplicación bastante popular para usar códigos de autenticación en dos pasos. Esto sirve para proteger los inicios de sesión en cuentas de todo tipo, como pueden ser redes sociales, páginas para realizar compras, etc. Hoy es noticia debido al robo de millones de números de teléfono de sus usuarios. Y esto, como te vamos a explicar, es un problema importante. Los ciberdelincuentes pueden usarlos para delinquir.

Los bots OTP son una amenaza relativamente nueva y sofisticada en el cada vez más amplio mundo de las estafas de Autenticación Multifactor (MFA).

 Microsoft detalló que a partir del 16 de septiembre de 2024, todas las cuentas de correo personales deberán utilizar métodos modernos de autenticación. Eso significa que las direcciones @hotmail.com, @live.com y @outlook.com estarán obligadas a añadir un factor adicional de seguridad, como el número de móvil, una dirección de correo alterna o un token de seguridad. 

Si hablamos de gestores de contraseñas, no puede faltar en esa lista Bitwarden, uno de los referentes de su categoría que no hace sino asentarse en el mercado desde que se asomase al mundo hace unos años, cual alternativa de código abierto a LastPass. Desde entonces, Bitwarden ha ido mejorando sus prestaciones paulatinamente… y en esas estamos, con dos anuncios que agradecerán recibir sus usuarios y quizás alguno más

EvilProxy se está convirtiendo en una de las plataformas de phishing más populares para atacar cuentas protegidas por MFA, y los investigadores vieron 120.000 correos electrónicos de phishing enviados a más de cien organizaciones para robar cuentas de Microsoft 365.

Cada vez se está utilizando más el robo de los códigos y/o datos que se generan cuando un usuario inicia sesión dentro de una plataforma web para eludir la autenticación multifactor (MFA) y obtener acceso a los recursos corporativos.

Microsoft Authenticator es un servicio creado por la empresa de Redmond para la verificación en dos pasos de algunos de sus servicios. Esta herramienta es totalmente gratuita y puede agregar una seguridad extra a tus sistemas. Además, ahora también puede actuar como un gestor de contraseñas, por lo que resulta más versátil.

Google, Apple y Microsoft, tienen  intenciones de eliminar el uso de las contraseñas en sus productos. Ya  que el 50% de los incidentes de seguridad se deben al robo de contraseñas o credenciales de usuarios clave y esa puede ser una de las razones principales por las que gigantes tecnológicos como Google están introduciendo claves de seguridad como la mejor alternativa a las contraseñas en la actualidad.

 Google Authenticator es un autenticador basado en software (soft-token) que implementa un servicio de verificación de dos pasos (2FA). El siguiente diagrama proporciona detalles pero, ¿Cómo garantiza la seguridad?

El Python Package Index (PyPI), el repositorio oficial de proyectos Python de código abierto de terceros, anunció planes para exigir el requisito de autenticación de dos factores para los mantenedores de proyectos "críticos".

La Comisión Federal de Comercio americana (FTC) ha multado a Twitter con 150 millones de dólares por utilizar los números de teléfono y las direcciones de correo electrónico recopilados para habilitar la autenticación de dos factores dentro de la plataforma para enviar publicidad dirigida, sin informar a los usuarios de esta práctica.

Necesarias como puedan ser, las contraseñas resultan una verdadera incomodidad para millones de usuarios de todo el mundo. Mantener un registro de claves actualizado para cada página, plataforma y servicio es un trabajo farragoso a menos que se utilicen gestores como Bitwarden o KeePass, que no son una solución para los usuarios menos avezados. Apple, Google y Microsoft creen haber dado con la solución: sustituirlas por la autenticación desde el móvil.

Goo­gle ha que­ri­do ce­le­brar el Día de In­ter­net Se­gu­ra ofreciendo algunos datos para me­jo­rar la pro­tec­ción en la red, lu­gar don­de cada vez pa­sa­mos más tiem­po, ha­ce­mos más co­sas y hay más gen­te dis­pues­ta a ro­bar­nos los da­tos. En con­cre­to, la com­pañía pa­re­ce es­tar muy sa­tis­fe­cha del ren­di­mien­to que está dan­do la ve­ri­fi­ca­ción en dos pa­sos (2SV) a la hora de ase­gu­rar las cuen­tas ante ata­ques de ter­ce­ros. 

Utilizar contraseñas seguras es fundamental para proteger nuestras cuentas personales o el acceso a las diferentes redes sociales y servicios. Pero si queremos ir un poco más allá podemos añadir la verificación o autenticación en dos pasos que mejorará nuestra privacidad y seguridad más allá de la clave de acceso.

 Los cibercriminales no dejan de buscar nuevas vías para cometer sus crímenes, haciendo gala de un incuestionable ingenio, mediante el uso de ingeniería social y las nuevas tecnologías, por lo que mediante esta modalidad de estafa, consiguen obtener el código de verificación, conocido como doble factor de autenticación (2FA), o verificación en dos pasos. Consiguiendo, de este modo, acceder a las cuentas de usuarios de servicios tales como CoinBase, Paypal, Amazon entre otros.

Si queremos añadir una seguridad extra a nuestra cuenta Google o a las cuentas de otras plataformas podemos utilizar la verificación en dos pasos. Para obtener esa segunda barrera de defensa podemos utilizar una app de Google que es completamente gratuita para smartphones Android y iOS.

2FA es un método de control de accesos que conocerás como «autenticación de dos factores», «doble identificación» o «verificación en dos pasos», que se ha convertido en uno de los mecanismos de seguridad más importantes de la industria tecnológica a la hora de autentificar usuarios y proteger identidades.  

SSH (Secure Shell - puerto 22) es esencial para la administración de un servidor remoto. En esta publicación te guiaremos a través de algunas de las opciones disponibles para fortalecer (hardening) OpenSSH.