21 de febrero: Meze de historias (en español)
Meze es lo que, en muchos países del Mediterráneo Oriental, se le llama a una selección de platos de comida pequeños. Es como las tapas españolas. Esta semana no encontré tiempo (o inspiración, o tal vez ambas) para una historia principal más larga, así que en su lugar les presento un meze de historias interesantes para quienes trabajan en el campo de la seguridad digital.
Gracias por leer este boletín. Si alguien te envió este boletín, es muy amable de su parte. No olvides darle las gracias. Puedes suscribirte aquí para recibir el boletín en tu bandeja de entrada. ¡Los comentarios y sugerencias son siempre bienvenidos!
Martijn
(martijn@lapsedordinary.net)
Meze de historias
La empresa de seguridad Group-IB analizó GoldDigger, un malware dirigido a iOS enfocado en generar beneficios económicos a sus creadores. Los malware dirigidos a iOS son extremadamente raros dado el ecosistema tan controlado de Apple; es por esto que el spyware avanzado como Pegasus o Predator requiere de vulnerabilidades de día cero para ejecutarse en los dispositivos móviles. GoldDigger utiliza dos técnicas diferentes: gestión de dispositivos móviles (MDM) y TestFlight. La tecnología MDM es utilizada por grandes organizaciones para administrar los dispositivos móviles utilizados por sus empleados y permite instalar aplicaciones personalizadas. TestFlight, por otro lado, se puede utilizar para distribuir aplicaciones que todavía se están probando a un número selecto de usuarios. Las aplicaciones instaladas a través de MDM o TestFlight no están sujetas al estricto análisis que hace Apple de todas las aplicaciones, lo que facilita que contengan malware, aunque esto implica que se tiene que convencer, a través de ingeniería social, a los usuarios para que instalen las aplicaciones maliciosas ellos mismos.
Sin embargo, hay un problema para los operadores del malware: si Apple lo descubre, que es mucho más fácil que descubrir el uso de una vulnerabilidad de día cero, puede desactivar la campaña fácilmente al desactivar el perfil de MDM o TestFlight. Esto hace que esta técnica, aunque todavía poco utilizada, sea más propensa a ser empleada por actores maliciosos motivados financieramente (para quienes este tipo de interrupciones son parte de hacer negocios) y menos por desarrolladores de spyware avanzado, cuyo modelo de negocio depende del acceso a largo plazo a los dispositivos infectados.
La empresa de seguridad de telecomunicaciones ENEA ha logrado reproducir lo que cree que es una técnica de rastreo de huellas digitales de dispositivos utilizada por NSO Group (que fabrica el infame software espía Pegasus) referenciada en documentos judiciales. La técnica utiliza MMS, una extensión multimedia de los SMS, y necesita de un solo mensaje MMS para recopilar información sobre el teléfono y su sistema operativo. Tal vez creas que esta información no es ni muy privada ni sensible, pero el spyware para dispositivos móviles generalmente solo funciona en un tipo particular de teléfono, por lo que el primer paso de un operador de spyware es averiguar qué tipo de teléfono tiene su objetivo. La técnica antes mencionada resuelve este problema.
No está claro si todavía funciona, pero ENEA afirma que puede bloquearse fácilmente a nivel de red. También es relevante mencionar que muchas compañías de telecomunicaciones ya han dejado de utilizar MMS por completo.
¿Hay que preocuparse de lo anterior si eres un posible objetivo del spyware de NSO? La capacidad y posibilidad de hacer lo anterior no es una buena noticia, pero también es importante remarcar que este tipo de información sobre nuestros teléfonos se filtra también de formas más sutiles. Si alguien realmente quiere saber qué teléfono usas, probablemente podría saberlo sin utilizar esta técnica.
Operation Safe Escape reflexiona sobre los códigos de socorro encubiertos (duress codes), es decir, "mensajes" preestablecidos (en un sentido general) que alguien, en una situación de riesgo, puede utilizar para indicar, de manera segura, que necesita ayuda. La reflexión se enfoca en sobrevivientes de violencia doméstica, pero la técnica también podría usarse para otras personas en situaciones de riesgo, como defensores de los derechos humanos o activistas que trabajan en un entorno peligroso.
Los investigadores de Citizen Lab descubrieron una red de sitios web de noticias en 30 países, operados por la República Popular China y que, como era de esperarse, difunden contenido en favor de este país. Lo interesante de su investigación, además del contenido, es que encontraron que la mayoría de los sitios web compartían direcciones IP (registros DNS A, para ser más preciso). La misma técnica también se usa para poder vincular varios dominios a una sola campaña de malware.
La empresa india Appin (recuerda el nombre: Appin) quiere mantener en secreto que incurre en actividades, con hackers a sueldo, que han estado dirigidas a la sociedad civil. Por esta razón, Appin utilizó una orden judicial para obligar a Reuters a bajar un artículo publicado en diciembre de 2023 que ponía al descubierto sus actividades offline. Por lo tanto, no creo que debas leer los artículos que EFF y Wired escribieron sobre esto.
¿Alguna vez te has preguntado por qué siempre te dicen que elijas contraseñas largas y complejas, pero aparentemente está bien proteger tu teléfono con un PIN de seis dígitos? En su boletín (cuya publicación es muy irregular), el ingeniero criptográfico Filippo Valsorda explica la razón de esto. La respuesta corta: módulos de seguridad de hardware.
Hablando de autenticación, probablemente hayas oído hablar de las Passkeys, la nueva forma de autenticarse de forma segura que elimina las contraseñas. Matt Burgess de Wired las probó y escribió sobre su experiencia, que resume como "genial y a la vez un desastre total". Por ahora, si las claves de acceso te funcionan, síguelas usando, pero probablemente sea demasiado pronto para que se vuelvan un requisito de seguridad para los empleados de tu organización. Ah, y si tienes curiosidad por las passkeys, en passkeys.io puedes probarlas y jugar con ellas para ver si te funcionan.
Dangerzone es una herramienta desarrollada inicialmente por Micah Lee que convierte archivos peligrosos adjuntos de correo electrónico (como archivos PDF y Word) en archivos PDF seguros. Es ideal para aquellos que necesitan recibir archivos adjuntos de fuentes desconocidas pero que también corren el riesgo de sufrir ataques dirigidos, siendo las salas de redacción de un medio de comunicación un ejemplo obvio. The Freedom of the Press Foundation, que actualmente es quien aloja la herramienta Dangerzone, informa que ha sido auditada recientemente, lo que creo que es crucial para cualquier herramienta utilizada por las comunidades en situación de riesgo. Lo anterior fue una buena razón para volver a probarla y me sorprendió que sólo me tomara unos minutos instalarla en mi Mac, después de lo cual funcionó a la perfección.
La censura de Internet en Irán no es noticia. Un informe de la Tehran E-Commerce Association, traducido al inglés por Project Ainita, es una fuente de información sorprendente y, por lo tanto interesante, sobre el efecto que esta censura tiene en el país.
404 Media tiene una noticia sobre un vibrador que supuestamente distribuía malware. El artículo es interesante por dos razones: en primer lugar, porque 404 informa constantemente sobre cualquier cosa relacionada con el sexo de una manera madura. Y en segundo lugar, porque puede que en realidad no haya habido ningún malware. Los usuarios, sin que tengan la culpa, son narradores poco confiables cuando se trata de historias de malware o cuentas pirateadas y, si bien siempre es bueno tomarse en serio tales historias, es igualmente importante ser escéptico sobre los detalles de las mismas. (Si quieres leer el artículo completo te tienes que registrar. Vale la pena hacerlo e incluso creo que vale la pena tener una suscripción de pago, aunque no es necesario para leer este artículo).
También se publicó en 404, la historia de que la instancia de Mastodon queer.af fue dada de baja por el gobierno talibán de Afganistán, quién controla el dominio de nivel superior .af. Es triste, aunque dada la postura de los talibanes sobre la homosexualidad no es muy sorprendente. Sin embargo, sí es un recordatorio de que los dominios de nivel superior de los países (los de dos letras como .de, .fr o .mx) son administrados en última instancia por los respectivos países.
En noticias no relacionadas con la seguridad
Un libro que leí: leí Revolusi: Indonesia and the Birth of the Modern World de David Van Reybrouck hace unos años en neerlandés en el original, mi lengua materna y la del autor belga. Me emocionó que finalmente se tradujo al inglés. Revolusi ("revolución" en indonesio) cuenta la historia de la lucha de independencia de Indonesia y las consecuencias que esto tuvo para el resto del mundo. Por lo tanto, también cuenta la historia del colonialismo holandés, una historia con la que no estaba familiarizado, a pesar de ser un holandés interesado en la historia mundial. No les arruino nada de la trama del libro al contarles que el colonialismo holandés fue realmente terrible, pero Van Reybrouck no necesita ni siquiera señalarlo: simplemente permite que la historia, a través de la gente, se cuente a sí misma, tal como lo hizo en su libro de 2010 Congo. Creo que eso vuelve a su historia aún más fuerte e intensa.
Una canción que me gusta: no puedo imaginar 74 segundos más perfectos que la canción Eric Idol (Bandcamp – Spotify – YouTube) de la banda canadiense de pop indie Gaze de la década de 1990. Es decir, ¿a quién no le gusta el indie punk sencillo donde dos chicas cantan alternativamente dos líneas melódicas? Bueno, pues aparentemente a la mayoría de la gente no le gusta, ya que la canción tiene un escaso número de 5.900 reproducciones en Spotify, y no me sorprendería si la mitad de éstas fueran mías.
