El estreno del nuevo portal web del Senado español, el cual ha sido remodelado por 437.000 euros no ha podido ser más accidentado, con un ataque DoS que la ha cerrado durante unos minutos o fallos de programación que ha permitido inyección de código.“Presentado como un instrumento de transparencia sobre el trabajo de la institución y de comunicación con los ciudadanos”, este renovado portal web senado.es, ha estado marcado por la polémica tras conocerse el altísimo costo de la revisión, principalmente por el uso de diversas licencias propietarias del buscador y del editor de contenidos. Así mismo, además de su costo y del hecho de no utilizar un software libre, el sitio incumple estándares fijados por el Consorcio World Wide Web, tiene errores como dejar visibles en el código comentarios de los programadores, también, tiene un rendimiento y optimización muy deficiente, de tal manera que no funcionan las URL de la web anterior, algo incomprensible en un nuevo sitio de casi medio millón de euros. La web se ha estrenado con un fallo que ha permitido inyección de código; esto es una vulnerabilidad en sí, ya que no se tiene ningún agujero de seguridad, ni se ha comprometido el lado del servidor, sin embargo ha permitido a los usuarios mostrar el texto no hallado en pantalla con frases como “Aquí no trabaja nadie”, “esto cuesta 437.000 euros”, “los senadores nos estafan”, que han publicado en Internet acerca del nuevo portal web. Para que no faltara nada, el acceso de miles de personas como ataque DoS logra colapsar y bloquear el sitio web durante varios  minutos. Para más información visita www.muyseguridad.net Realizado por Nataly Mejía. Marketing.

Los ciberdelincuentes se han puesto al servicio del mejor postor, acuñando términos como malware-as-a-service, o hacking-as-a-service, y ofreciendo acceso a los servidores de red de una serie de empresas de la lista Fortune 500 aprovechándose de la debilidad de muchas contraseñas. Descubierto hace pocas semanas, el servicio ha recibido la visita de casi de 17.000 ordenadores de todo el mundo. El investigador de seguridad que descubrió el servicio bautizado como Delicatexpress, explica en un post que se puede utilizar para lanzar varios tipos de ataques como estafas de email, phishing, campañas de ransomware y otras iniciativas más potentes que buscan alcanzar el premio gordo: la información más secreta de las empresas. Krebs asegura que casi 300.000 sistemas comprometidos han pasado a través de este servicio desde su creación en 2010. Bajo el eslogan “El mundo entero en un servicio”, Dedicatexpress.com anuncia el hackeado de servidores RDP en varios foros de cibercrimen, asegura Krebs. Todos los inicios de sesión corporativos están vinculados a servidores dentro de las redes de las empresas que han sido legítimamente habilitados con Windows Remote Desktop Protocol (RDP) para su acceso desde fuera pero que en muchas ocasiones utilizan nombres de usuario y contraseñas de carácter débil. Dedicatexpress.com explica que el servicio permite a los usuarios buscar servidores RDP ya hackeados introduciendo una serie de direcciones de Internet, lo que para el experto de seguridad, es muy útil, ya que “viene muy bien si se están buscando ordenadores dentro de una organización específica”. Todos los que quieran acceder a Dedicatexpress pueden hacerlo contactando con el propietario del servicio a través de un mensaje instantáneo y depositando 20 dólares a través de WebMoney. El precio por acceder a los servidores corporativos varía dependiendo de lo que se están vendiendo, la velocidad del procesador, número de núcleos del procesadores, velocidades de carga y descarga y el tiempo que el servidor RDP hackeado esté disponible online. Para más información visita www.itespresso.com Realizado por Nataly Mejía. Marketing.

Expertos en piratería informática han 
revelado nuevas formas de atacar smartphones con sistema operativo Android empleando métodos que funcionan de forma virtual en todos los dispositivos pese a los recientes esfuerzos de google por mejorar la seguridad. Sean Schulte, empleado de la compañía de seguridad informática SpidersLabs, explicó , "Google está logrando avances, pero los autores de
software malicioso también están avanzando", en la conferencia sobre piratería 
Black Hat que reúne a unos 6.500 trabajadores de seguridad tecnológica en Las Vegas. Uno de los investigadores, Charlie Miller 
demostró un nuevo método utilizado para insertar códigos maliciosos en teléfonos Android basado en una nueva función conocida como 'comunicaciones de campo cercano'. Esta función permite a los usuarios compartir fotos o realizar pagos acercando su dispositivo a aparatos equipados con un 
software similar a otros 
smartphones o a terminales de pago. Esta opción permite que "pueda tomar el control de tu teléfono", aseguró el experto informático, quien también reveló que había descifrado la forma de crear 
un aparato del tamaño de una estampita que podría infectar cualquier dispositivo Android que se aproxime.
Android es muy vulnerable Los expertos en seguridad informática han notificado los problemas de seguridad del sistema Android desde que el sistema operativo de Google salió al mercado. Ya en febrero, Miller y otro experto en piratería, infectaron un teléfono con un código malware que explotaba un fallo en el navegador Android "Este fallo fue revelado públicamente por el equipo de desarrollo del navegador Chrome de Google pero ya ha sido reparado, así que la mayoría de los usuarios ahora están protegidos", aseguró el experto Wicherski el pasado febrero. No obstante, 
los usuarios de Android siguen siendo vulnerables debido a que las compañías telefónicas y los fabricantes de aparatos no han difundido las claves para solucionar el problema entre sus usuarios. Por su parte, el jefe de tecnología de BeyondTrust, Marc Maiffret, señaló que "Google ha agregado algunas grandiosas características de seguridad, pero nadie las tiene", con lo que el problema sigue latente.

La firma de seguridad S2 Group ha presentado la segunda edición de su informe sobre protección de infraestructuras críticas, que evalúa el nivel de vulnerabilidad de este tipo de sistemas en España. Mediante una simulación en su centro de operaciones, la compañía ha mostrado cómo puede producirse un ataque de estas características y de qué manera es bloqueado, si se disponen de los servicios adecuados. Las infraestructuras críticas son aquellas que prestan un servicio esencial al ciudadano. En España existen más de 3.500 y, aunque la lista es secreta, hay algunas que son fácilmente deducibles. La red de electricidad, la de agua potable, la industria nuclear o entornos concretos del Ministerio del Interior tienen este carácter que impone la necesidad de mantenerlos altamente protegidos. Para ello, se identificaron una serie de firmas asociadas a sistemas de control (fabricantes, modelos concretos) a operadores de infraestructuras críticas o estratégicas, a estas infraestructuras en general y se  complementaron con más información de dichas infraestructuras, como datos WHOIS o direccionamientos públicos. Con dichos  datos, SHODAN y su estupenda API, se pueden empezar a buscar entornos asociados a IICC en España que sean accesibles desde Internet.

La caza de bugs en Paypal acaba con la publicaciones de un grave agujero de seguridad 
"Supuse que una empresa como Paypal iba a estar bien auditada (...) Estaba equivocado". Es un extracto del articulo con el que Neil Smith hace publico un grave fallo de seguridad, ya solucionado, en la empresa de transferencias. En él, además relata los diversos problemas por los que pasó en el proceso de reporte de bugs enmarcado en la iniciativa de Paypal, que fueron el detonante para la publicación. Los programas de recompensa por vulnerabilidades o "bug bounty" se están imponiendo como una solución para controlar la publicación de vulnerabilidades en aplicaciones de escritorio o web. Básicamente, la empresa paga por los fallos encontrados bajo ciertas condiciones (como que sean originales o explotables remotamente) y por supuesto, que no se hagan públicos hasta que se hayan solucionado. Aunque con ellos ambas partes se benefician en cierto modo, esta modalidad también cuenta con detractores. Argumentan que es un acto de irresponsabilidad conocer un fallo y no publicarlo, dejando expuestos a los usuarios. Sea como fuere, lo cierto es que varias grandes empresas tienen su programa: Mozilla, Google, Facebook... y desde finales de junio, Paypal, en el que se enroló Neil Smith. El agujero de seguridad descubierto por Smith encadena varios fallos en los sistemas de la filial de eBay. En primer lugar Shodan, un buscador de sistemas expuestos en Internet, le mostró que los servidores de staging de la "Administrative Tool" de Paypal son accesibles públicamente. "Staging" es el estado de desarrollo de sitios web inmediatamente anterior a producción. El entorno en el que se encuentran estos sistemas debe parecerse lo máximo posible al que alcanzarán en producción, y en ocasiones incluso acceden a réplicas de los datos reales. A Smith no le pareció descabellado pensar que este fuera el caso. Las Administrative Tools de Paypal englobaban un conjunto de herramientas para vendedores que dan acceso a las transacciones realizadas (tanto pagos como ventas) para la elaboración de libros de cuentas y reconciliación financiera. Incluyen registros de transacciones, información extendida de cada una de estas, y diversas herramientas de notificación tanto para vendedores como clientes, además de información de la cuenta de Paypal. Actualmente, estas herramientas se ofrecen como productos separados dentro del apartado Reports and Information del x.commerce Paypal Development Network. Sin embargo, Smith no conocía esta información al descubrir los servidores. No sabía realmente a qué tenía acceso potencialmente. Realizado por Víctor Pacheco. Seguridad en Software.