deshabilitar ipv6 logo

IPv6 supone una gran cantidad de cambios y de mejoras en todos los ámbitos, velocidad, seguridad, etcétera. Desaparecen protocolos como ARP, aparecen otros nuevos como ICMPv6, DHCPv6, NDP y cambia la forma en la que trabajamos en la capa de red. Anteriormente en RedesZone, hemos hablado sobre los principales cambios que se avecinan ante la implantación de IPv6 en todos los sistemas de información, los operadores ya tienen todo listo para el despliegue masivo, aunque habrá una convivencia con ambos protocolos.

Curiosamente, la mayoría de los técnicos con los que he comentado este tema opinan que es algo de lo que no hay que preocuparse, ya que afecta sobre todo a las IP’s públicas y, por tanto, a los dispositivos que están conectados a Internet, y no a las redes locales de las empresas para las cuales no hay problema por el agotamiento de las direcciones IP versión 4.

En realidad no es así, actualmente, y debido a que se procura la rápida utilización de este nuevo protocolo, IPv6 viene implantado en muchos sistemas operativos actuales: Windows XP desde el Service Pack 2, (aunque hay que activarlo manualmente), Windows Vista y las versiones posteriores como Windows 7, 8 traen IPv6 activado por defecto, las versiones Server de Windows, también vienen con IPv6 activado por defecto. En Linux desde el kernel 2.6 viene con IPv6 activado por defecto, salvo algunas distribuciones especiales. Es decir, lo que realmente está funcionando en las conexiones SMBDNS o incluso web de la Intranet, es protocolo IPv6. 

IPv6 en nuestro sistema operativo

Para comprobar que tenemos instalado IPv6 en nuestro ordenador basta con entrar en la ventana de propiedades de TCP/IP y veremos cómo aparece junto a propiedades de TCP/IP. Para ello tienes que ir a Inicio, entras en Configuración, vas a Red e Internet y posteriormente vas a Más opciones del adaptador de red. Allí tienes que seleccionar la tarjeta correspondiente y haces clic en ella con el segundo botón del ratón y le das a Propiedades.

A esta opción también puedes acceder desde el botón Inicio, vas a Panel de control y allí entras en Centro de redes y recursos compartidos».

Y pinchando sobre «Conexión de área local» y pinchando después en el botón «Propiedades». Otra forma sencilla de comprobarlo es abriendo una ventana del Símbolo de sistema de MS-DOS y escribiendo el comando “ipconfig”. Este comando muestra diferente información relacionada con la conexión y entre esos datos puedes ver también si está habilitado o no IPv6.

Esa dirección que aparece junto a “Vinculo: dirección IPv6 local” es nuestra dirección IP de Link-Local o enlace local que se auto asigna el interfaz para poder empezar a trabajar con el protocolo IPv6.

Pero no sólo en el ámbito de los sistemas operativos de escritorio, los demás dispositivos que se conectan a la red también contemplan la posibilidad de utilizar IPv6, por ejemplo los dispositivos de Cisco soportan IPv6 de manera completa desde la versión 15 de su iOS aunque anteriormente ya la soportaban en menor grado. Los firewall, los IDS, los sniffers, los terminales móviles, tabletas, y otros dispositivos también  soportan IPv6. El problema no viene de la falta de soporte, el problema viene del desconocimiento de los usuarios y peor aún, de los técnicos, de qué tipo de funcionalidad IPv6 soportan los dispositivos con los que trabajamos.

El que un dispositivo soporte IPv6 y que no se configure adecuadamente dicho soporte, es lo que genera una gran cantidad de vulnerabilidades que, al ser desconocidas e ignoradas, dejan nuestra red expuesta a múltiples tipos de ataques de los que somos ignorantes.

¿Por qué no se utilizan?

Llevamos mucho tiempo escuchando hablar de que las direcciones IPv4 se están acabando, y ese es uno de los motivos de la existencia de IPv6. Pero este protocolo presenta un problema, y es que este no es compatible con IPv4. Por lo cual la decisión es muy firme, o utilizamos uno o utilizamos el otro. Una de las soluciones, podría ser utilizar ambas direcciones a la vez, e ir migrando todo de uno a otro para que una vez IPv4 fuera redundante, se pudiera hacer un cambio. Pero eso no ha llegado a ocurrir, y no hay previsión de que se consiga. Al menos en un futuro próximo.

Y es que la adopción del protocolo IPv6, está ahora mismo en un momento en el que crece muy despacio. Y se cree que este no llegue a utilizarse en el 100% de los dispositivos. Google ha lanzado alguna información al respecto. Un informe donde hacían un análisis de cuántos dispositivos están utilizando IPv6 actualmente, pero este número estaba muy lejos de lo esperado. Lo cual no se llega a comprender, debido a que los primeros años de esta IPv6 la adopción fue bastante rápida. Pero este crecimiento no fue exponencial, y las previsiones de alcanzar el 80% de dispositivos conectados con este estándar en 2022 no se cumplen.

Pero lo cierto es que a pesar de que en teoría no quedan direcciones IPv4 para suministrar, si quedan en la práctica final. Esto es por causa de los IP brokers, que se dedican a revender estas direcciones que ya no se utilizan. Estas por lo general son vendidas a empresas u organismos que las necesitan para poder dar un servicio a sus usuarios. Esto llega a plantear dudas sobre la adopción de IPv6, ya que no hay una estimación sobre si es posible que el 100% de las direcciones IPv4 se lleguen a utilizar al 100% en la totalidad de los dispositivos que las necesitan.

¿Cuándo se van a utilizar?

Como todos sabemos, IPv6 es el sucesor de IPv4. Este se ha implementado en el mundo desde su creación en 1990, pero con el aumento de la demanda de direcciones con un crecimiento exponencial, IPv6 se ha vuelto más y más relevante. Pero a pesar de que ya está disponible y es compatible con prácticamente todos los sistemas operativos, su adopción generalizada está en proceso actualmente. Todo esto incluso cuando los proveedores de servicios ya dan soporte a esta versión de direcciones.

En algunos países ya se han realizado grandes avances con la adopción de direcciones IPv6. Y por otro lado, se han establecido objetivos y algunos plazos para poder migrar totalmente a este sistema IPv6. Incluyendo las redes públicas y privadas, al igual que el soporte de todos los proveedores de servicios dentro de Internet.

Uno de los principales valedores de IPv6, es la escasez de direcciones IP disponibles en el formato IPv4. Esto es algo que está marcando la diferencia, en un mundo donde cada vez tenemos más dispositivos conectados. Los teléfonos, tabletas, dispositivos de IoT, y muchos más, se multiplican rápidamente. Por lo cual cada vez se necesitan más direcciones. Pero a pesar de que las direcciones IPv4 son muy limitadas, parece que se resisten a desaparecer. Y esto es por muchos motivos diferentes. Desde las que quedan libres, a las que se venden por la red.

Con el paso del tiempo, las organizaciones continúan actualizando todas sus infraestructuras de red para que la adopción de IPv6 se acelere. Por otro lado, los avances en diferentes tecnologías, hacen que la necesidad de utilizar IPv6 sea mayor. Por lo cual, a pesar de que el agotamiento de direcciones IPv4 está más cerca que nunca, no hay previsiones de que la implementación de IPv6 sea total, o en un gran porcentaje. Al menos mientras IPv4 siga funcionando igual de bien que ahora.

Motivos para deshabilitar IPv6

Como has podido ver, IPv6 es un protocolo de internet que permite que los dispositivos online se puedan llegar a comunicar entre sí. Pero lo cierto es que a pesar de que IPv6 es algo esencial para el futuro de las comunicaciones, hay algunas razones por las cuales se puede desear deshabilitarlo en nuestros equipos.

En primer lugar, cabe la posibilidad de que algún operador de internet no tenga este protocolo implementado. Por lo cual es posible que algunos sitios web no se encuentren disponibles si tratamos de acceder con este protocolo de direcciones. Por otro lado, están los programas de seguridad, como firewalls y antivirus. Estos pueden no ser compatibles con IPv6. Siendo esto, algo que sin duda puede poner en peligro nuestro ordenador, y como consecuencia, nuestros datos y seguridad en general.

También nos podemos encontrar con otros programas que no son compatibles con este protocolo. Esto hará que no funcionen correctamente, o que directamente no se puedan utilizar. Una de las consecuencias de este apartado, es que puede suponer problemas de rendimiento y estabilidad en el equipo. Ocurriendo lo mismo con la red a la que estamos conectados. Si estamos en una red privada donde no se ha implementado este protocolo, puede ser que lo mejor sea deshabilitar esta opción. Permitiéndonos eliminar posibles problemas de compatibilidad que puedan llegar a surgir en estos casos.

Siempre y cuando no estemos seguros de la necesidad de disponer de IPv6 en nuestro equipo, o experimentamos problemas con esto, siempre se puede deshabilitar esta opción. En cambio, si lo hacemos debemos tener en cuenta que en el futuro podemos tener problemas en cuanto a las comunicaciones se refiere. Haciendo de esto, un punto importante para poder estar seguros de deshabilitarlo o dejarlo activo. Lo mejor, siempre será analizar los pros y contras que nos vamos a encontrar.

Administrador de dispositivos

Si entramos en Administración de equipos, pinchando el botón Inicio, botón derecho sobre la opción «Equipo» y escogiendo la opción «Administrar» nos aparece el cuadro de dialogo de «Administración de equipos».

Pinchando con el botón derecho del ratón sobre la opción «Administrador de dispositivos»que aparece en el marco de la derecha y escogiendo las opciones «Ver / Mostrar dispositivos ocultos» y desplegando la categoría «Adaptadores de red».

Adaptador 6to4, Adaptador ISATAP, Adaptador Teredo, los cuales nos permiten establecer túneles IPv6 sobre IPv4 sin que nos enteremos de ello. Esto implica que en este momento alguien podría tener establecido un túnel IPv6 contra nuestro equipo y no lo sabríamos.

IPv6 y la precedencia de protocolos

Además en la implantación de IPv6 se ha tenido en cuenta lo que se llama la «Precedencia de protocolos» lo cual puede hacer que nuestro equipo pase a funcionar en modo IPv6 en cualquier momento, sin avisarnos y por tanto escapando a nuestro control.

Como vemos, el sistema operativo da precedencia a IPv6 sobre IPv4 si es posible utilizar este protocolo, lo cual ya supone una pérdida de tiempo, recursos, ancho de banda en intentar comprobar si puede establecer la comunicación mediante IPv6 antes de pasar a IPv4.

Cuando tecleamos una URL en el navegador, primero intenta resolver dicha URL a una IP de IPv6 mediante consulta a servidores DNS de IPv6 que utilizan registros AAAA;  si no es posible, la intenta resolver consultando a los servidores DNS de IPv4.

Más detalles a tener en cuenta

IPv6 permite que una interfaz tenga más de una dirección IP, algunas como las de enlace local FE80:: tienen un ámbito de red local, otras tienen ámbito global como 2001::/64, de este último tipo, un interfaz puede tener todas las que quiera. Las IP’s de ámbito global son las que nos permiten comunicarnos a través de internet a nivel mundial y son públicas por definición, es decir son visibles desde cualquier punto de Internet.

Para facilitar la utilización de las nuevas IP’s del protocolo IPv6, tenemos varios mecanismos de autoconfiguración:

  • Stateful, este método necesita que haya un servidor DHCPv6 disponible en la red, para ello el dispositivo que tiene habilitado IPv6 al ser conectado a una red envía mensajes de solicitud de configuración de su interfaz para IPv6 igual que hace con IPv4.
  • Stateless, SLAAC (Stateless Address Automatic Configuration) es un protocolo de configuración de direcciones IPv6 mediante mensajes enviados desde el router de conexión, y no desde un servidor DHCPv6. Un equipo con una dirección IPv6 de vínculo local Link-Local, es decir FE80::, no puede enrutar su tráfico si no tiene una dirección IPv6 de sitio o global, y es por eso que los routers envían mensajes RA (Router Advertisement) diciéndole a los equipos cómo configurase para tener conectividad a través de ellos.

En SLAAC, cuando un dispositivo recibe un mensaje de tipo Router Advertisement anunciándole que se autoconfigure una IP para la red indicada, lo hace inmediatamente, sin comprobar la veracidad de la información. Un equipo al recibir mediante un RA la dirección de red 2001:2000:a:b::/64, se configura automáticamente una IP de IPv6 utilizando el método EUI-64 o EUI-64 modificado que toma como modelo la dirección física MAC del equipo, añadiendo al interfaz una nueva dirección IP de IPv6 de ámbito global, algo similar a esto: 2001:2000:a:b:baac:6fff:fea1:ffb3.

La mayoría de sistemas operativos no cogen la dirección MAC como modelo, sino que se autoasignan una dirección IPv6 de host de manera aleatoria, de hecho, se podrían tener dos IPv6 públicas:

  • La primera IPv6, que es con la que se navega por Internet generada aleatoriamente
  • La segunda IPv6, que es para acceder por ejemplo a nuestro servidor desde fuera, sin necesidad de usar No-IP ya que simplemente debemos saber el rango de red /64 que nos asigna nuestro operador, y saber la MAC de nuestra tarjeta de red para hacer el EUI-64.

No hay número límite como tal para el número de direcciones IP añadidas mediante RA (solo limitaría el prefijo de red), por lo que mediante el programa adecuado, se puede saturar el equipo atacado y quedar fuera de uso, un ataque de denegación de servicio fácil y efectivo.

La primera vez que son conectados a una red, el nodo envía una solicitud de router de link-local usando multicast (router solicitation) pidiendo los parámetros de configuración; y si los routers están configurados para esto, responderán este requerimiento con un «anuncio de router» (router advertisement) que contiene los parámetros de configuración de capa de red. El dispositivo del usuario al ser conectado a una red también está configurado de forma que envía mensajes multicast del tipo FE02::2 RS, (Router Solicitation), que son procesados por todos los routers conectados a la red, pidiéndoles que le envíen la configuración de la red que tienen que utilizar para conectarse a internet. Si el router tiene configurado algún interfaz con IPv6, responderá inmediatamente enviando al dispositivo un mensaje RA, conteniendo la dirección de red para que el dispositivo pueda enrutar sus paquetes.

Como podemos ver, es fácil mediante el envío de un paquete RA a una red local, cambiar el enrutamiento IPv6 de todos los dispositivos de una red. Podemos deshabilitar este comportamiento mediante la siguiente orden en sistemas Windows.

¿Pero realmente hay tantos equipos con IPv6 habilitado en mi red? Veamos, comprobemos nuestros vecinos con el siguiente comando de MS-DOS.

Podemos ver que tenemos decenas de equipos a los que podemos atacar fácilmente. O veamos esta captura de Wireshark del tráfico que pasa por nuestra interfaz.

Mensajes de petición DHCPv6, mensajes LLMNR, ICMPv6, paquetes circulando por nuestra red de forma innecesaria. Concretando un poco más, el problema está en que los sistemas operativos y todos los dispositivos que conectamos a nuestra red posiblemente ya soporten IPv6, pero se deja sin configurar y sin controlar todo lo referente a este nuevo protocolo.

Por ejemplo, sería posible instalar un servidor de DHCPv6 en una red local para que configure la interfaz de los dispositivos con una IP de IPv6 además de la IP de IPv4 que legítimamente le asigna el servidor DHCP de la red corporativa, de esta forma podríamos configurar un equipo agresor como puerta de enlace de la máquina interceptada a la que le hemos dado una configuración incorrecta de IPv6 de forma que todo el tráfico dirigido al exterior de la red local, pasaría por la máquina atacante.

En la mayoría de los casos no se controla el tráfico IPv6, por lo que se podría fácilmente establecer un Man In The Middle (MITM) que reenviaría todo el tráfico sin enterarnos, ya que por IPv4 todo se mostraría como normal. En la situación actual, los sistemas operativos permiten configurar una interfaz de red con varias configuraciones IPv6, además de la configuración IPv4 legítima.

Si todavía no estás convencido, otra vulnerabilidad más, las máscaras de red: en IPv4 la máscara de red nos permite segmentar una red de forma que los dispositivos sólo se puedan comunicar con aquellos otros que coinciden en la parte de la dirección IP que les indica la máscara de red.

Por ejemplo, dos equipos A y B

Equipo IPv4 MASCARA RED
A 192.168.1.10 255.255.255.0 192.168.1.0
B 192.168.1.254 255.255.255.0 192.168.1.0

Los equipos se pueden comunicar ya que la parte de la dirección IP indicada por la máscara, (24 bits por la izquierda), 192.168.1, coinciden, por lo que decimos que están en la misma red y los equipos se ven.

Equipo IPv4 MASCARA RED
A 192.168.1.10 255.255.255.0 192.168.1.0
B 192.168.66.254 255.255.255.0 192.168.66.0

Los equipos no se ven, es decir, no se pueden comunicar, ya que la parte de la dirección IP indicada por la máscara, (24 bits por la izquierda), 192.168.1 y 192.168.66, no coinciden, por lo que decimos que no están en la misma red y los equipos no se pueden ver.

Pero si los equipos tienen habilitado IP versión 6, esto cambia. Supongamos los dos equipos del ejemplo anterior, si tienen habilitado IP versión 6, podemos hacer ping desde la dirección de link-local de uno al otro, es decir, que IP versión 6 ignora las restricciones de las máscaras de red de IPv6. Con las subredes de IPv6 pasa lo mismo supongamos el siguiente ejemplo:

Equipo IP version 6 PREFIJO MASCARA + IP
Último grupo en binario
  BINARIO HEX.
A 2001:A:B:C:D:E:F:1234/126 126 2001:A:B:C:D:E:F:123 01 00 4
B 2001:A:B:C:D:E:F:1235/126 126 2001:A:B:C:D:E:F:123 01 01 5

En el ejemplo anterior, los dos equipos están en la misma subred ya que los 126 bits empezando por la izquierda coinciden.

Equipo IP version 6
PREFIJO MASCARA + IP
Último grupo en binario
  BINARIO HEX.
A 2001:A:B:C:D:E:F:1234/126 126 2001:A:B:C:D:E:F:123 01 00 4
B 2001:A:B:C:D:E:F:1238/126 126 2001:A:B:C:D:E:F:123 10 00 8

En este segundo caso los bits 125 y 126 no coinciden por lo que las dos máquinas están en distintas redes /126, por lo que no se ven. Pero si hacemos ping de una máquina a otra por su IP de link-local, (FE80::) las máquinas se ven.

¿Por qué deshabilitar IPv6 en Windows?

Si el protocolo IPv6 no lo estamos utilizando actualmente en nuestra red local, lo mejor que podemos hacer es desactivarlo para evitar posibles ataques a las redes de datos con el estándar IPv6. Normalmente en nuestro hogar o en la empresa seguimos haciendo uso del protocolo IPv4, con las conocidas subredes específicamente orientadas a redes locales privadas. Tener habilitado IPv6 en nuestra tarjeta de red, ya sea en nuestra tarjeta de red Ethernet cableada o inalámbrica por WiFi, puede suponer un riesgo que no deberíamos asumir.

Hoy en día existen diferentes ataques a las redes IPv6, que nos afectarían, aunque no estemos usando en la red IPv6, debido a que el protocolo IPv6 tiene precedencia sobre el protocolo IPv4 que sí estaremos utilizando.

  • Ataque «Neigbour Advertisement Spoofing»: este ataque es como el ARP Spoofing para redes IPv4, el objetivo de esta técnica es realizar un ataque Man in the Middle a una víctima para posteriormente robarle datos. Si tenemos habilitado IPv6, aunque no lo estamos usando y estemos utilizando IPv4, seremos vulnerables y podrán leer y modificar al vuelo todo el tráfico.
  • Ataque SLAAC: este ataque también serviría para realizar un ataque y que todo el tráfico viaje a través de nuestra dirección IP, engañando a la víctima y haciendo que todo el tráfico no vaya al router directamente, sino que pase antes por nuestro equipo.
  • Ataque DHCPv6: podremos configurar un servidor DHCPv6 ilegítimo, con el objetivo de que el equipo nos envíe a nosotros toda la información configurando su gateway con nuestra dirección IP. Este ataque también está disponible en redes IPv4, por tanto, deberías tener cuidado y usar VPN si estás en redes poco confiables.

Actualmente, lo mejor que puedes hacer si no haces uso de este protocolo IPv6 para navegar por Internet o para comunicarte con tus equipos de la red local, es deshabilitarlo para no tener problemas. Así disminuirás el riesgo de sufrir algún ataque cibernético. Hay que tener en cuenta que cualquier protocolo que tengamos habilitado puede ser explotado por un atacante, por lo que mientras menos opciones demos, mejor para aumentar la protección.

Por tanto, si realmente no vas a necesitar este protocolo y quieres mejorar la protección de tu equipo al máximo, una buena idea es deshabilitarlo. Si en un futuro lo vas a usar, siempre podrás habilitarlo de nuevo. Al menos durante ese tiempo mejorarás la protección y evitarás problemas que comprometan el sistema.

¿Cómo deshabilitar IPv6 en Windows?

Si quieres deshabilitar este protocolo, lo que tienes que hacer es acceder a las propiedades de TCP/IP, de cualquiera de las maneras que conocemos y que hemos explicado al inicio del artículo, y una vez allí desmarcas la casilla de IPv6. Por ejemplo puedes ir a Inicio, entras en Configuración, Red e Internet, accedes a Configuración de red avanzada y entras en Más opciones del adaptador de red. Allí tienes que pinchar en la tarjeta de red que corresponda, haces clic con el segundo botón del ratón y entras en Propiedades.

Por tanto, simplemente con entrar en la configuración de red y acceder a la tarjeta correspondiente en Propiedades, podrás desmarcar la casilla del Protocolo de Internet versión 6 o IPv6. Solo tendrás que asegurarte de que esté desmarcada y, posteriormente, le das a Aceptar. A partir de ese momento ya no estará habilitado el protocolo. En caso de que en un futuro quieras revertir la situación, solo tienes que entrar de nuevo pero esta vez le das a habilitar, seleccionando la casilla correspondiente.

IPv6 es un protocolo que viene implantado en la mayoría de productos y dispositivos que utilizamos en informática pero que, o bien por desconocimiento, o por otros motivos, no se configura adecuadamente y crea una situación de vulnerabilidad que no podemos descuidar. Si no vas a utilizar este protocolo, lo mejor que puedes hacer es deshabilitarlo en tu PC.

Tal y como habéis visto, en caso de no tener IPv6 en nuestra red, lo mejor que podemos hacer es desactivarlo. En ocasiones utilizamos servicios de VPN que son incompatibles con este protocolo, pero lo más grave es que podrían realizarnos diferentes ataques sin que nosotros lo sepamos, haciendo uso de este protocolo IPv6. Hoy en día, todos los equipos incorporan compatibilidad con redes IPv6 por defecto, e incluso lo tienen siempre habilitado con prioridad, es decir, que si tenemos una comunicación con IPv4 y con IPv6, siempre se le dará prioridad a la comunicación con IPv6. Por este motivo, si nosotros sabemos a ciencia cierta de que no vamos a utilizar redes IPv6, lo mejor que podemos hacer es directamente desactivarlo.

 

Fuente: Redes Zone

Grupo hacker que al parecer respalda Rusia accede a emails de departamentos de Justicia y Tesoro

 

Un grupo hacker que, según varias fuentes, estaría respaldado por Rusia, ha estado durante un tiempo accediendo y vigilando el tráfico interno de correos electrónicos de, entre otras agencias estadounidenses, los departamentos de Justicia y Tesoro del país. Según Reuters, además, varias fuentes cercanas a la investigación temen que esto pueda ser tan solo la punta del iceberg. De hecho, el hackeo es tan grave que el pasado sábado se convocó en la Casa Blanca una reunión del Consejo de seguridad nacional al respecto.

Hay pocos detalles más sobre hasta dónde ha afectado el suceso en los distintos departamentos del Gobierno de Estados Unidos, o sobre qué agencias pueden haberse visto afectadas por él. Apenas un comunicado del Departamento de Comercio confirmando que ha habido una brecha en una de sus agencias, y que han pedido al FBI y a la CISA (Agencia de ciberseguridad y de infraestructura de seguridad) que investiguen lo sucedido.

Hackeo estadounidense

Además de esta confirmación, dos fuentes han asegurado que las brechas de seguridad producidas por el grupo hacker están conectadas con una campaña de ataques más a amplia, relacionada con el hackeo a la empresa de ciberseguridad, con contratos tanto con el gobierno como con varias empresas, FireEye, recientemente confirmado. Mientas tanto, el Ministro de asuntos exteriores de Rusia ha calificado a las acusaciones de que están detrás del ataque como otro intento sin base de los medios estadounidenses de culpar a Rusia.

Al parecer, los miembros del grupo hacker se habrían colado en los sistemas de las agencias sin ser detectados alterando actualizaciones publicadas por la compañía tecnológica SolarWinds, que da servicio a la rama ejecutiva de clientes gubernamentales, así como a diversos servicios militares y de inteligencia. Este truco, al que habitualmente se conoce como «ataque de cadena de suministro», funciona escondiendo código malicioso en actualizaciones de software legítimas facilitados a los objetivos por terceros.

En una declaración al respecto, la texana SolarWinds ha asegurado que las actualizaciones de su software de monitorización y control publicadas entre marzo y junio de este año pueden haver sido contaminadas con lo que han descrito como «un ataque de cadena de suministro por parte de un país altamente sofisticado y dirigido«. La compañía no ha ofrecido más detalles, pero al hilo de estas declaraciones, la diversidad de su base de clientes ha hecho crecer la preocupación por el ataque en la comunidad de inteligencia de Estados Unidos, que cree que otras agencias del gobierno pueden estar en riesgo.

Entre los clientes de SolarWinds están la mayoría de grandes empresas de la lista Fortune 500, los 10 principales proveedores de telecomunicaciones de Estados Unidos, las cinco ramas del ejército de Estados Unidos, el Departamento de Estado, la NSA y la Oficina del Presidente de Estados Unidos.

Estos ciberataques han llevado a que el grupo hacker, gracias al ataque efectuado a través de las actualizaciones de SolarWinds hayan sido capaces de «engañar» a los controles de identificación de la plataforma de Microsoft. Así, los hackers han podido acceder al software de ofimática empleado en las entidades atacadas, Office 365, vigilando los emails de la agencia al parecer durante varios meses.

Esta brecha supone un gran problema para la futura Administración Biden, cuando falta poco más de un mes para que ocupen el gobierno en Estados Unidos, sobre todo porque aún no se sabe qué información se ha robado y para qué se puede haber utilizado. La investigación en curso, además, puede llevar meses o años en culminar y concretar qué organismos y empresas se han visto afectados, y hasta qué punto. Por ahora se desconoce el alcance total de la brecha, ya que la investigación está dando todavía sus primeros pasos. Sólo hay algunos indicios de que los mensajes de correo electrónico han estado vigilados desde este verano, algo que se ha descubierto hace muy poco.

 

Fuente: Muycomputerpro

Cómo mejorar la seguridad en Internet en 10 pasos

La seguridad en Internet está amenazada por todo tipo de malware, el robo de datos o la invasión a la privacidad. La era de la movilidad, la domótica, el coche inteligente o la Internet de las Cosas, han aumentado enormemente los dispositivos conectados, la manera de alojar información y el modo de acceder a servicios y aplicaciones en línea de todo tipo con las que conectamos a diario centenares de millones de usuarios, aumentando los riesgos de seguridad para consumidores y empresas.

El auge de fenómenos como el BYOD, a pesar de sus múltiples ventajas, es todo un desafío para los departamentos TI ante la multiplicación del número de dispositivos que se conectan a las redes empresariales y tienen acceso a los datos corporativos. Más aún, el aumento del teletrabajo y tele-estudio por la pandemia del coronavirus ha complicado la situación de la ciberseguridad al sacar fuera de las redes perimetrales empresariales (generalmente mejor protegidas que las caseras) millones de equipos.

Seguridad en Internet

Conseguir el 100% de seguridad y privacidad en una red global y en un mundo tan conectado es simplemente imposible a pesar de la mejora de la protección por hardware y software implementada por fabricantes de equipos y proveedores de sistemas y aplicaciones.

Sin embargo, desde el apartado del cliente podemos y debemos aumentar la protección observando una serie de consejos como los que te vamos a recordar en este artículo y que incluyen el fortalecimiento de las cuentas on-line, aplicaciones, equipos y las precauciones debidas en el uso de Internet y sus servicios. Y mucho, mucho sentido común.

1- Protege los navegadores

Todos los navegadores web incluyen características avanzadas de seguridad cuya activación debemos revisar y configurar porque son las aplicaciones con las que accedemos a Internet y sus servicios. Además de revisar el cifrado de extremo a extremo en la sincronización o el aislamiento de procesos (sandbox), debemos prestar atención a los avisos sobre sitios inseguros. También debemos revisar las extensiones instaladas porque algunas son fuente frecuente de introducción de malware.

Para mejorar la privacidad, nada mejor que usar el modo incógnito, una función que hoy ofrecen todos los grandes proveedores como sesión temporal de navegación privada que no comparte datos con el navegador, no guarda información sobre páginas web, ni historial de navegación, caché web, contraseñas, información de formularios, cookies u otros datos de sitios web, borrando éstas u otros archivos temporales cuando finalizamos la sesión.

seguridad en Internet

2- Gestiona bien las contraseñas

Las violaciones masivas de la seguridad de los servicios de Internet están a la orden del día y con ello millones de contraseñas quedan expuestas. La realidad es que las contraseñas son un método horrible tanto en seguridad como en usabilidad, pero hasta que no se consoliden métodos más avanzados que tienen que llegar de la identificación biométrica, tenemos que seguir utilizándolas.

La regla de oro es tener una contraseña fuerte y distinta para cada sitio web. Las contraseñas largas y aleatorias previenen los ataques de fuerza bruta y el uso de una contraseña diferente para cada cuenta evita tener todas ellas comprometidas a la vez cuando se produce una violación de datos. Los gestores de contraseñas que sean capaces de generar y recordar decenas de contraseñas, son una buena herramienta para reducir los errores humanos.

3- Usa la autenticación de dos factores

La autenticación de dos factores (o en dos pasos) proporciona un nivel adicional de seguridad en las cuentas ya que no basta con vulnerar el nombre de usuario y contraseña. El servicio está disponible en la mayoría de servicios importantes de Internet y conviene utilizarlo siempre que podamos.

Generalmente, utiliza un código de verificación servido mediante una aplicación móvil o SMS, como un mecanismo para confirmar la identidad del usuario pero añadiendo seguridad adicional al uso de las contraseñas. Este método, dificulta enormemente los ciberataques, especialmente los de ‘fuerza bruta’.

4- Utiliza soluciones de seguridad

Sistemas operativos como Windows incluyen la solución de seguridad nativa Windows Defender como protección básica para un consumidor. Es lo mínimo que debemos usar o -mejor- apostar por los proveedores especializados que ofrecen un buen número de soluciones de seguridad, muchas de ellos gratuitas. Usuarios avanzados o profesionales deberían valorar el uso de una suite de seguridad comercial integral y también otras herramientas de seguridad como un firewall.

Sistemas de cifrado de datos como BitLocker, disponible en algunas ediciones de Windows, son de gran utilidad para usuarios empresariales, ya que permite cifrar o “codificar” los datos de un equipo para mantenerlos protegidos haciendo frente a amenazas como el robo de datos o la exposición en caso de pérdida, el robo o la retirada inapropiada de equipos.

5- Actualiza sistemas operativos y aplicaciones

Todos los sistemas operativos tienen mecanismos automáticos o manuales para instalar actualizaciones de seguridad. Son parches de seguridad que se entregan cada cierto tiempo contra amenazas conocidas y son de obligada instalación.

Tan importante -o más- que lo anterior es la actualización de aplicaciones instaladas a las últimas versiones ya que éstas suelen incluir parches de seguridad. Cuando las versiones son más antiguas, tienen mayor riesgo de ser atacadas por ciberdelincuentes que encuentran vulnerabilidades en el programa, con especial incidencia en algunas como Java, Adobe Flash o Reader.

6- Cuidado con las redes inalámbricas gratuitas

Los puntos de acceso gratuitos se han extendido por múltiples zonas en poblaciones, zonas de restauración, aeropuertos, estaciones de tren o metro, hoteles y en todo tipo de negocios. Varios estudios han confirmado la inseguridad intrínseca de estas redes inalámbricas públicas y la facilidad de los ciberdelincuentes para aprovecharlas.

Deben evitarse siempre que se puedan optando por redes de banda ancha móvil dedicadas de mayor seguridad y en su defecto solo usarse para navegación intrascendente y ocasional, sin emplearlas para accesos a servicios delicados como banca on-line o aquellos que requieran autenticación real de usuario.

7- Usa VPN para mejorar la privacidad

El uso de redes privadas virtuales es una opción para los que buscan una mayor privacidad  y con ello mayor seguridad en Internet, ya que ocultan la dirección IP del usuario y redirigen el tráfico a través de un túnel VPN cifrado.

Ese grado de «invisibilidad» ofrece mejoras directas de seguridad contra ataques informáticos, de privacidad frente al robo de datos y la apropiación de identidades, y otras ventajas añadidas como proteger la identidad en línea, salvaguardar las transacciones electrónicas y compras por Internet o permitir seguridad en el uso de redes Wi-Fi públicas.

seguridad en Internet

8- Valora las llaves de seguridad hardware para cuentas vitales

Para cuentas vitales, especialmente en entornos empresariales, conviene hacer una inversión adicional para proteger las cuentas usando un mecanismo de seguridad por hardware. Generalmente es un dispositivo en formato pendrive que se conecta a un puerto USB y contiene un motor de cifrado de alta seguridad.

Todo el proceso se realiza dentro del hardware y aunque no se han mostrado totalmente infalibles cuando utilizando conexiones por Bluetooth, por lo general aumentan enormemente la seguridad que logramos mediante software.

9- Utiliza copias de seguridad

Ya decíamos que la seguridad al 100% en una red global no existe y no sólo por el malware, ya que un error en el hardware puede provocar la pérdida de la preciada información personal y/o profesional. La realización de copias de seguridad es por tanto altamente recomendable para un usuario y profesional que pretenda proteger la información personal y corporativa de un equipo informático. además de ser una tarea de mantenimiento que contribuye a la salud del hardware.

Las copias de seguridad deben almacenarse en un dispositivo de almacenamiento externo al de nuestro equipo o en un servicio de almacenamiento en nube que ante cualquier ataque nos permita recuperar los datos.

10- Sentido común

La prudencia es una de las barreras preferentes contra el malware y conviene extremar la precaución contra ataques de phishing o ransomware que a poco que prestemos atención podremos prevenir, porque usan el descuido del usuario.

Para ello, debemos evitar la instalación de aplicaciones de sitios no seguros; la apertura de correos electrónicos o archivos adjuntos no solicitados que llegan de redes sociales o aplicaciones de mensajería; la navegación por determinadas páginas de Internet; o usar sistemas operativos y aplicaciones sin actualizar, que contienen vulnerabilidades explotables por los ciberdelincuentes en las campañas de malware.

Fuente: Muyseguridad

Corea del Norte ha lanzado un ciberataque contra AstraZeneca por la vacuna contra la COVID-19

No es la primera vez que se acusa a Corea del Norte de llevar a cabo ciberataques contra determinados entes o empresas para conseguir unos objetivos concretos (dinero, principalmente), pero en esta ocasión nos encontramos con una situación que, desde luego, no nos habríamos podido imaginar.

Se ha identificado un movimiento por parte de crackers norcoreanos que ha centrado sus últimos ataques en AstraZeneca, el gigante farmacéutico mundial con sede en Reino Unido que, como sabrán muchos de nuestros lectores, ha sido la responsable de la creación de la vacuna contra la COVID-19

Todavía está por ver qué grado de eficacia tiene realmente dicha vacuna, pero con la situación de pandemia en la que nos encontramos actualmente está claro que cualquier ayuda es bien recibida, y que una vacuna con un nivel de eficacia aceptable y sin efectos secundarios graves podría generar ingentes cantidades de dinero.

Con esto en mente es fácil entender qué intereses podría tener ese grupo de ciberdelincuentes norcoreanos al centrar sus ataques en AstraZeneca. Cualquier información de importancia relacionada con la vacuna, o con otros aspectos relevantes de la COVID-19, podría adquirir un gran valor en el mercado, lo que convierte a la farmacéutica en un objetivo muy rentable.

Las primeras informaciones indican que no hay una confirmación plena de que los ataques que ha sufrido la farmacéutica provengan de Corea del Norte, pero tampoco hay muchas dudas al respecto, de hecho la propia Microsoft ha logrado establecer una vinculación entre dos grupos de ciberdelincuentes norcoreanos y los últimos ataques dirigidos a varios grupos dedicados al desarrollo de vacunas.

Algunos de los que participaron en el último ataque contra AstraZeneca utilizaron direcciones de correo rusas, pero esto podría ser perfectamente un simple intento de desviar la atención y de señalar a un falso culpable sin esfuerzo.

Corea del Norte ha seguido la táctica de siempre, negar las acusaciones y decir que este es otro intento por parte de Estados Unidos de ensuciar su imagen a nivel internacional. El caso es que todas las pruebas apuntan a ella, y los antecedentes que arrastran, unidos al enorme valor de la vacuna contra la COVID-19, no juegan precisamente a su favor.

Ciberataque Covid19 corea del norte

 

#ciberataque #robodatosvacunacovid19 #vacunacoranovirus #robodeinformacion #protecciondedatos #ciberseguridad 

 

.

Detectadas más de 1.200 tiendas online afectadas por un skimmer

Conseguir «colar» un skimmer en una tienda online es, sin duda, uno de los objetivos más perseguidos por ciberdelincuentes y organizaciones dedicadas a la robo en Internet. Es algo lógico, ya que obtener los datos de pago de todos los clientes que pasen por la misma es, todavía en bastantes casos, una puerta abierta a la cuenta corriente o a la línea de crédito de las víctimas. Y es por ello que hay algunos grupos que se especializan en este tipo de ataques,

El investigador de seguridad Max Kersten acaba de publicar, en su web, los resultados sobre datos que ha recopilado sobre un ataque de este tipo. Y ,a conclusión es, sin duda, preocupante, porque habla de de más de 1.200 tiendas comprometidas. Una acción que, aunque Kersten no lo confirma, sí que apunta a que tendría detrás al peligroso grupo MageCart. Un actor al que ya conocemos de anteriores acciones, en ataques muy sonados, como los sufridos por Brithish Airways o Ticket Master, entre otros.

robo de datos - compras online - skimmer

Según el investigados los skimmers son, técnicamente hablando, bastante sencillos y semejantes entre sí. La captura de datos se realiza obteniendo todos los formularios o todos los campos de entrada, obteniendo el dominio actual, codificando los datos y enviando posteriormente los datos al servidor del atacante. Esto, por norma general, suele hacer más complejo averiguar quién se encuentra tras los ataques que con otro tipo de patógenos más complejos.

En el caso de la operativa habitual de MageCart, los skimmers a menudo se alojan en sitios web haciendo uso de una biblioteca JavaScript de terceros que se ha visto comprometida, o mediante una biblioteca JavaScript que solo contiene skimmer y que se encuentra en un dominio que es propiedad de la organización. Los datos introducidos en el formulario de pago (incluidos los de la tarjeta de crédito) se copian y se envían a un servidor controlado por el atacante justo antes de que sean remitidos al sistema de pago online.

Parte de las tiendas recogidas por Kersten en su informe ya habían sido documentadas por otros investigadores previamente. Según afirma en el mismo informe, en el que cita explícitamente a esas personas y entidades, ha sido agregar toda esa información, más la recopilada por él mismo, en un único punto, que facilite la localización de todos los sitios afectados por el skimmer. Algo especialmente útil para los usuarios, que en una sola página podrán revisar si alguna de las tiendas online que han empleado se encuentra en la lista.

Para cada sitio afectado se muestra el periodo de tiempo en el que se realizaron las pruebas. Algunas datan de 2018, mientras que otras son de las últimas semanas. A más antigüedad, más posibilidades de que el problema haya sido solventando, pero esto no es una garantía. Hemos revisado algunas de ellas y, por su diseño, pese a que se mantienen operativas, no parecen haber experimentado cambios (al menos en su diseño) desde hace bastante tiempo. El skimmer podría seguir ahí.

robo de datos - compras online - skimmer 2

#ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos #skimmer #phising #robotiendasonline

Fuente: Muyseguridad