Skip to Content

AOL Tech

hacking posts

Cuentas de email de Yahoo habrían sido vulneradas usando una base de datos de otro servicio

Cuentas de email de Yahoo habrían sido vulneradas usando una base de datos de otro servicio
Si recibiste una notificación para cambiar la contraseña de tu cuenta de Yahoo, puede ser que estés involucrado en esta historia. Según ha notificado la compañía, varias cuentas de email fueron ingresadas por maleantes, pero no precisamente por un error de Yahoo. Se explica que estas personas habrían conseguido nombres de usuario y contraseñas de una base de datos de algún otro servicio de internet (algo como Facebook, Twitter, Gmail, Netflix o similar), que luego fueron usados para ingresar a Yahoo.

Los intrusos habrían copiado nombres y direcciones de email de los contactos de las cuentas afectadas, antes de haber sido identificados. Por ahora esa es toda la información que se ha compartido con respecto a este hecho, y la compañía dice que no puede comentar nada adicional porque se está llevando a cabo una investigación sobre los hechos. En todo caso, Yahoo recomienda que las personas cambien sus contraseñas cada cierto tiempo y que no se usen las mismas contraseñas para distintos servicios, porque eso hace que las cuentas puedan ser víctimas de "ataques de este tipo".

El Chaos Computer Club rompe la seguridad del lector Touch ID de Apple

El Chaos Computer Club rompe la seguridad del lector Touch ID de Apple
Es posible que los cacos no puedan acceder a los datos de tu iPhone 5s con un dedo cercenado, pero si tienes una buena impresora a mano, las cosas pueden ser bien distintas. El Chaos Computer Club, la asociación hacker más grande de Europa, ha conseguido saltarse la identificación del lector de huellas dactilares Touch ID de Apple con un método relativamente sencillo.

Starbug, creador del hack, ha utilizado para ello una técnica detallada en 2004 para engañar lectores de huellas mucho menos sofisticados que el de Apple. De forma más concreta, para engañar al sensor es necesario una fotografía de una huella dactilar del dueño del teléfono tomada de una superficie de cristal a 2.400 DPI (nos preguntamos si sirve la propia pantalla del teléfono), para posteriormente imprimirla a 1.200 DPI usando una impresora láser y crear una película de látex con el relieve de la huella original. No se puede decir que sea una solución tan elegante como los gadgets de Ethan Hunt o James Bond, pero lo que le falta de sofisticado lo tiene de económico.

Vídeo tras el salto.

Apple restaurará la mayoría de los servicios desactivados de su portal de desarrolladores esta semana

Apple restaurará la mayoría de los servicios desactivados de su portal de desarrolladores esta semana
La comunidad de desarrolladores de Apple ha vivido mejores momentos, y no hablamos precisamente de la popularidad de sus plataformas. Hace un par de semanas un experto en seguridad turco dejó al descubierto una vulnerabilidad en el portal de desarrolladores de Apple, que fue hackeado y forzó a la compañía a congelar sus servidores mientras ponía remedio al desaguisado. Ahora, por fin, las cosas están terminando de enderezarse, dado que Apple ha comunicado que restaurará esta semana la mayoría de los servicios que todavía permanecían desactivados.

No eran precisamente fruslerías; entre esos servicios se encuentran elementos tan importantes como el registro y las renovaciones de las cuentas de desarrollador, aunque para prevenir posibles problemas, Apple decidió ampliar las suscripciones ya existentes y evitar así que nadie pudiera perder su cuenta sin posibilidad de renovarla hasta que los sistemas volvieran a la normalidad. Como suele decirse, aquí paz y después gloria.

WiiKey dice haber hackeado la Wii U; Nintendo advierte que tomará cartas en el asunto

WiiKey dice haber hackeado la Wii U, Nintendo advierte que tomará cartas en el asunto
Los métodos para modificar consolas con fines nada aceptados por sus fabricantes son tan viejos como la propia industria, y con el anuncio de una nueva generación, los hackers simplemente ven nuevos retos por vencer. En este caso es la Wii U la consola que habría sido vulnerada tras caer en las manos de los hábiles hackers de WiiKey, que afirman haber conseguido modificar el sistema de seguridad para usar juegos de "respaldo" desde el puerto USB. Aunque por ahora no se ha proporcionado una prueba irrefutable del hack, la compañía afirma que está pensando vender un emulador para el disco óptico llamado WiikeÜ, que funcionaría en todos los modelos de Wii U comercializados alrededor del mundo.

Redact ofrece 10.000 libras a quien consiga hackear su app de mensajería

Redact ofrece 10.000 libras a quien consiga hackear su app de mensajería
Hasta no hace tanto relegados básicamente al ámbito pecero, los programas de mensajería instantánea están experimentando un aumento explosivo de usuarios gracias a los smartphones. Pero al mismo tiempo que aumenta su popularidad, también lo hacen las dudas sobre la privacidad de los datos intercambiados. La firma británica Redact quiere convencer al público de que su plataforma es totalmente segura, y para ello ha lanzado un concurso con un premio de 10.000 libras esterlinas (11.800 euros/15.500 dólares al cambio) para quien visite Londres y consiga interceptar (y descifrar) con éxito un mensaje enviado desde su servicio PIN-to-PIN para iOS.

Redact mantendrá abierto el desafío hasta el día 1 de junio, y aunque lógicamente está muy interesada en la buena prensa que le podría reportar de cara a sus fieles, su auténtica intención parece ser otra: la compañía quiere que el gobierno del Reino Unido apruebe Redact Messenger como medio autorizado para transmitir información oficial, así que no le vendría mal algo de publicidad positiva. Mientras tanto, hackers con sombreros de todos los colores están invitados a inscribirse a través del enlace Leer.

[Vía The Guardian]

Desarrollan una aplicación para Android capaz de hackear el sistema de control de aviones

Desarrollan una aplicación para Android capaz de hacker el sistema de control de aviones
Hugo Teso es un consultor de seguridad con licencia de piloto comercial que asegura tener un programa para Android con el que poder tomar el control de un avión de pasajeros. Para demostrarlo acudió a la reunión Hack in The Box con su aplicación PlaneSpoit, con la idea de enseñar al público como es capaz de infiltrarse en emisiones de radio entre la aeronave y el control de tráfico aéreo. Una vez interceptada la comunicación, hace uso de otro sistema de comunicación con el que enviar mensajes malintencionados con los que se podría tomar el control total del avión o afectar indirectamente al piloto. Pero tranquilo, PlaneSpoit es un software de pruebas que funcionará únicamente en entornos virtuales cerrados, así que nunca lo veremos por la Play Store esperando ser instalado en cualquier tipo de terminal. Aún así, nada de esto evitará que tengamos que seguir apagando nuestros teléfonos durante el vuelo.

[Vía Net Security, Computerworld]

Leer - Hackeo de aviones (PDF)

China dice que sus sitios de defensa son atacados por hackers estadounidenses constantemente

China dice que sus sitios de defensa son atacados por hackers estadounidenses constantemente
Según información proporcionada por compañías de seguridad como Mandiant, varias empresas, periódicos y hasta el mismo gobierno de Estados Unidos han sido víctimas de ataques de hacking provenientes de una misma fuente: la Unidad 61398 de la armada china, ubicada en Shanghai. En esta ocasión ha llegado el momento para que China se defienda de esas acusaciones, y lo ha hecho por medio del portavoz del Ministerio de Defensa Geng Yansheng, quien dijo que su país nunca haría daño (o hackearía) ni a una mosca. El funcionario añadió que está sucediendo todo lo contrario, porque ese ministerio y sitios militares de su país han sido atacados un promedio de 144.000 veces al mes, y de esos, el 62,9 por ciento de los ataques provienen de Estados Unidos. Geng Yansheng no dijo que esta sea una "ciberguerra", pero sí mencionó la estrategia de guerra digital que EEUU abiertamente ha admitido estar organizando.

Seguramente tras esta grave acusación veremos una respuesta oficial del gobierno de los EEUU, pero desde ya suponemos que ambos bandos negarán todo tipo de hacking y continuarán culpando al rival.

[Vía Reuters]

Leer - Ministerio de Defensa chino [traducido]
Leer - Mandiant [Advertencia: Archivo PDF]

Microsoft indica que también fue víctima de hackers

Microsoft indica que también fue víctima de hackers
Nos asombra enterarnos que Apple y Facebook no fueron las únicas compañías que cayeron en los trucos de unos hackers malintencionados, porque Microsoft también ha sido víctima de un ataque mediante Java que se saldó con la instalación de malware en sus equipos. En un artículo publicado en el blog del Microsoft Security Response Center, el gerente general, Matt Thomlinson, admite que "un pequeño grupo de ordenadores, incluyendo unos en nuestra división de negocios Mac" fueron infectados con malware similar al usado en los otros ataques.

De todas maneras, Thomlinson aclara que no es nuevo que hackers vean a Microsoft como un objetivo a vencer, y por suerte, la información de los clientes no se vio comprometida. Ya que el problema no pasó a mayores, podemos decir que nos parece gracioso e irónico que algunos ordenadores Mac de Microsoft hayan sido los infectados.

[Vía Reuters]

Apple descubre ordenadores de empleados con malware debido a vulnerabilidad de Java

Apple descubre ordenadores de empleados infectados con malware debido a vulnerabilidad de Java
La semana pasada Facebook indicó que algunos de sus empleados habían sido víctimas de un ataque que terminó infectando sus ordenadores, y hoy Apple ha hecho público que también se ha encontrado con este mismo problema. La compañía dirigida por Tim Cook ha indicado que una vulnerabilidad de Java permitió que un sitio para desarrolladores instalara malware "en un pequeño número de sistemas" utilizados por sus empleados, aunque no se habría producido una fuga de datos personales y este ataque ha sido reportado a las autoridades.

La compañía de Cupertino añadió en su declaración que desde OS X Lion los Mac ya no incluyen Java preinstalado, y como una medida de seguridad adicional, desactivan el software si no se usa por más de 35 días. Además, para mantener seguros a los usuarios, hoy se publicará una actualización que buscará el malware en ordenadores Mac y de encontrarlo, procederá a desinstalarlo de inmediato.

[Actualización: El parche ya está disponible en la App Store.]

Google avanza algunos detalles sobre su campeonato de hacking Pwnium 3

Google anuncia detalles sobre la competencia de hacking Pwnium 3
El equipo de seguridad de Google acaba de publicar los detalles de la próxima competición de hacking Pwnium, y debemos decir que la palabra interesante se queda corta. Para empezar, en total se pagarán Pi millones de dólares (3,14159 millones) en premios repartidos entre distintos desafíos que principalmente buscan el hackeo de Chrome OS en el Samsung Series 5 550.

Entre las recompensas a entregarse están 110.000 dólares para quien encuentre una vulnerabilidad de "nivel de navegador o de sistema en cuenta de invitado o de usuario, enviada por medio de una página web". También habrá un premio de 150.000 dólares para la persona que logre crear un problema "persistente con reinicio de por medio, instalado por medio de una página web".

Si crees tener la habilidad necesaria para conseguir ese dinero ya puedes ir preparándote para viajar a Vancouver, porque el evento Pwnium 3 se llevará a cabo durante la conocida conferencia CanSecWest, que este año tendrá lugar el 7 de marzo.

Samsung ya ha parcheado el bug del Galaxy S III que permite el borrado de datos remoto

Samsung parchea la vulnerabilidad 'Dirty USSD'
Los propietarios de un smartphone Samsung se llevaron ayer un buen susto al descubrirse un agujero de seguridad que permitía un borrado remoto de sus dispositivos. Bien, este problema ya debería encontrarse resuelto de acuerdo con el comunicado emitido por la compañía:

"Queremos asegurar a nuestros usuarios que cualquier problema reciente sobre la seguridad del Samsung Galaxy SIII ha sido ya resuelto gracias a una actualización de software. Recomendamos a todos nuestros usuarios de Galaxy SIII que se descarguen la última versión de software fácil y rápidamente vía OTA".


El único problema que vemos en las declaraciones oficiales es que Samsung no menciona por ninguna parte otros terminales potencialmente afectados, y por este motivo, Dylan Reeve ha puesto a disposición de todos una página en la que podrás comprobar si tu Sammy (o cualquier otro teléfono Android, dado que el bug tiene raíces en el SO) está afectado o no por este bug. Si es así, no esperes un minuto más y corre verificar si ése es el caso y si procede a actualizar tu teléfono.

[Actualización 1: Estamos en contacto con Samsung para confirmar los terminales que necesitan ser parcheados y cuáles son los que todavía no tienen una solución disponible, en caso de que falte alguno. Te mantendremos informado.]
[Actualización 2: Según Samsung el bug del SGSIII ha sido resuelto en todo el mundo. Seguimos esperando información sobre otros modelos.]

[Vía Posterous Dylan Reeve]

Leer - Twitter TeamAndIRC
Leer - Página de comprobación

Un agujero de seguridad permite borrar dispositivos Samsung de forma remota

Directamente de la conferencia de seguridad Ekoparty nos llegan detalles de un hack descubierto recientemente que permite el borrado remoto de dispositivos Samsung sin el permiso del usuario. Se trata de una acción que se activa tras recibir el código USSD *2767*3855# a través de NFC (en el caso del Galaxy S III), un código QR o un mensaje de texto WAP-Push, siendo las opciones NFC y QR los métodos más peligrosos, ya que probablemente abran el enlace de inmediato sin necesidad de hacer click en ningún link. El mayor problema es que una vez recibido el llamado código hard reset, el teléfono no permite cancelar la operación, por lo que en cuestión de segundos tendremos restaurado nuestro terminal con los valores de fábrica y habremos perdido todos nuestros datos.

El ataque también se puede extender a la tarjeta SIM que tengamos colocada en el teléfono, dejándola completamente inutilizada. El Galaxy Nexus no estaría afectado. En el vídeo que tienes tras el salto podrás ver una demostración del ataque realizado a través de WAP-Push, un ejemplo que deja claro lo rápido que podrías quedarte sin los contenidos del teléfono tras realizar un simple click en un enlace. Las recomendaciones por ahora pasan por desactivar el autoarranque de links y todo tipo de software relacionado con la lectura de códigos QR y etiquetas NFC, así que ándate con ojo y procura no visitar enlaces sospechosos.

[Actualización 1: Tweakers.net ha podido replicar el ataque y ha grabado el desenlace en vídeo.]
[Actualización 2: Parece que el problema no tiene que ver con Touchwiz sino con un antiguo bug de Android. Algunas ROMs fueron parcheadas por Samsung para evitar este problema, pero otras siguen siendo vulnerables. La situación varía entre países y operadoras.]

Modder fabrica una cámara térmica open source de 150 dólares para aislar su casa

Modder fabrica una cámara térmica open source de 150 dólares para aislar su casa
Las cámaras térmicas son dispositivos muy útiles que pueden proporcionar valiosa información sobre la temperatura de lugares y objetos, pero lamentablemente también son instrumentos bastante costosos, con precios que pueden llegar a superar los 10.000 dólares. El protagonista de nuestra historia, Andy Rawson, quiso usar una de estas cámaras para aprender a controlar la temperatura en su casa, que fue fabricada hace más de 100 años; algo que no pudo hacer por el prohibitivo precio de estos dispositivos. Pero hay pocas cosas tan ciertas como que la necesidad es la madre de la ciencia, así que ni corto ni perezoso, se embarcó en su propio proyecto de cámara termal, que ha dado como resultado un accesorio que se conecta al iPhone y muestra la información sobre la temperatura sobreimpuesta en las imágenes de la cámara. Andy dice que tiene pensado vender este aparato por unos 150 dólares, pero también lo ofrecerá a través de un proyecto de código abierto para que cualquier persona con iniciativa pueda montar el suyo. Además, y porque no todo el mundo tiene un teléfono iOS, también tiene pensado lanzar una versión del software para teléfonos Android.

Si la iniciativa te parece tan interesante como a nosotros, te recomendamos que sigas tras el salto para ver una demo del aparato.

Un Raspberry Pi da nueva vida a la empuñadura de una DSLR

El límite de las posibilidades con un Raspberry Pi está establecido solamente por nuestra imaginación. Decimos esto después de ver el asombroso proyecto del fotógrafo David Hunt, que incluyó el pequeño ordenador educativo en la empuñadura de una DSLR con la finalidad de transmitir fotografías de manera inalámbrica a un ordenador o tablet cercano. En realidad, ese es sólo el uso inicial, porque habla de opciones futuras como el respaldo automático de fotos a una memoria USB, el uso como control remoto de la cámara desde cualquier lugar el mundo, la conexión a una pantalla LCD gigante y tantas otras posibilidades adicionales. El hecho es que los Raspberry Pi son tan económicos (35 libras), que es fácil justificar su uso en proyectos "hazlo tú mismo" de todo tipo.

No te pierdas el video demostrativo que grabó Hunt, justo tras el salto.

Adafruit desarrolla la distribución Linux Raspberry Pi Educational para hackers

Adafruit desarrolla la distribución Linux Raspberry Pi Educational para hackers
Los hackers de hardware son un grupo de gente muy dedicada a su trabajo y que no se complica la vida cuando no encuentra lo que busca, porque están más que acostumbrados a mancharse las manos para fabricar todo tipo de dispositivos, si hace falta, creando sus propias herramientas. Por eso no nos asombra que los genios de Adafruit hayan desarrollado su propia distribución Linux para el pequeño Raspberry Pi. Con el nombre de Rapsberry Pi Educational Linux Distro aparece este sistema operativo basado en Wheezy que incluye soporte para SPI, I2C, one wire y WiFi, además de sshd y Bonjour activados desde un inicio. Aclaran que su distribución no es para novatos, sino específicamente para hackers de hardware que sepan utilizar conexiones I/O sin miedo a quemar un chip con una sobrecarga de voltaje; para el resto de mortales están las distribuciones proporcionadas directamente por la fundación que fabrica los Raspberry Pis, más sencillas y manejables.




Noticias AOL