MuySeguridad Recaps XXI: UAC, minado en nucleares, escuchas en Siri y mucho más

Nuevo recopilatorio de los artículos especiales donde a modo de resumen te ofrecemos lo más interesante que en el apartado de la seguridad hemos publicado a lo largo de la semana, especialmente en nuestro sitio dedicado muyseguridad y en otros medios de TPNET. Todas las semanas tenemos novedades y la mayoría no son buenas porque vulnerabilidades y ciberataques se siguen acumulando. Las citaremos junto a otros artículos prácticos que te pueden venir muy bien en el trabajo diario informático para mejorar la seguridad y privacidad.

Cómo mejorar la seguridad de Windows con el control de cuentas UAC

UAC (control de cuentas de usuario) es una capa de seguridad añadida en Windows que previene de cambios no autorizados en el sistema operativo que puedan afectar a la seguridad o a la configuración de otras personas que usen un mismo equipo.

Estos cambios pueden ser realizados por usuarios sin permisos suficientes, aplicaciones, controladores y, lo peor, por cualquiera forma de malware que se haya introducido o pretenda introducirse en el equipo. UAC se asegura de que ciertos cambios se realicen solo con la aprobación del administrador. Si los cambios no son aprobados por él no se ejecutan y el sistema permanece sin cambios. 

UAC se implementó por primera vez en Windows Vista y fue una de las características más criticadas, seguramente al no ser bien explicada/entendida y ante la gran cantidad de avisos que los usuarios percibieron más como un molestia que ralentizaba su trabajo que como una mejora de la seguridad de Windows. Microsoft lo ha ido mejorando en los siguientes sistemas operativos y recomendamos mantenerlo activado aunque sea en su opción mínima. En este artículo te contamos cómo se activa y gestiona. 

Una planta nuclear ucraniana fue conectada a Internet para minar criptomonedas

Las autoridades ucranianas están investigando una grave violación de seguridad en una planta de energía nuclear, después de que unos empleados conectaran partes de su red interna a Internet para el minado de criptomonedas. La investigación está siendo dirigida por el Servicio Secreto ucraniano (SBU) y es de máximo nivel al considerar el incidente como una violación de secretos de estado debido a la clasificación de las centrales nucleares como infraestructura crítica. 

Los investigadores también están examinando si los piratas informáticas podrían haber utilizado las plataformas de minería como pivote para ingresar a la red de la planta de energía nuclear y recuperar información de sus sistemas, como datos sobre las defensas y protecciones físicas de la planta.

El incidente tuvo lugar en julio en una planta de energía nuclear cerca de la ciudad de Yuzhnoukrainsk. Agentes del SBU confiscaron computadoras y equipos específicamente construidos para la minería de criptomonedas, instalados en las oficinas administrativas de la planta.

Apple se disculpa por las escuchas de grabaciones de Siri y anuncia cambios en su privacidad

Tras el revuelo organizado después de que Apple reconociese que utiliza a humanos, en concreto a asesores externos a la compañía, para escuchar «algunas» grabaciones de conversaciones de Siri, los de Cupertino han decidido disculparse y anunciar, a través de un comunicado, diversos cambios en la privacidad relacionados con este hecho. En concreto, ha prometido que ya no almacenará las grabaciones de interacciones de humanos con Siri a no ser que los usuarios de su asistente digital le den permiso de forma explícita para poder hacerlo.

La compañía admite que no han estado siempre a la altura de sus elevados ideales, por lo que piden disculpas. Por ahora han suspendido la clasificación de las peticiones de Siri que venían haciendo humanos, aparte de asegurar desde Apple que a partir de ahora sólo los trabajadores de Apple podrán escuchar las grabaciones. Además, los usuarios tendrán que dar su consentimiento para que Apple pueda escuchar lo que le dicen a Siri.

Apple tiene planes para retomar el programa de clasificación de Siri a lo largo del otoño, pero a no ser que los usuarios autoricen que los clasifiquen humanos, las grabaciones solo podrán ser analizadas por máquinas.

Microsoft pagará por localizar fallos de seguridad en Edge Chromium

Microsoft ha lanzado un programa de recompensas por localizar errores de seguridad en Edge Chromium, su nuevo navegador web creado bajo la base del proyecto de código abierto, Chromium.

Microsoft pide a los investigadores que busquen vulnerabilidades de seguridad que sean exclusivas de Edge Chromium y que no existan en otras versiones equivalentes con el mismo motor, como el Chrome de Google. En el programa están incluidas las compilaciones que la compañía ha ido publicando en los canales Beta y Dev bajo sistemas operativos Windows y macOS.  Microsoft pagará hasta 30.000 dólares por las vulnerabilidades más importantes, como la elevación de privilegios con un escape fuera del contenedor WDAG y gravedad crítica.

Por las elevaciones de privilegios estándar pagará hasta 15.000 dólares si se incluye un informe de alta calidad, mientras que por los problemas de divulgación de información pagará 10.000, 8.000 y 5.000 dólares respectivamente, dependiendo de la calidad del informe y si alcanza una calificación de gravedad crítica. El resto de vulnerabilidades irán desde 1.000 al máximo de 30.000 dólares.

Google alerta de diversas vulnerabilidades presentes en iOS

Expertos en seguridad de la división Project Zero de Google han avisado de la existencia de hackers que han estado utilizando sitios web comprometidos para introducir “implantes de monitorización” en los iPhones y iPads.

Aprovechándose de diversas vulnerabilidades presentes en iOS y Safari, los hackers han podido ir contra dispositivos que ejecutan desde las versión 10 hasta la 12 del sistema operativo móvil de Apple, pudiendo acceder a los contactos, las imágenes y otros datos personales. Lo peor es que, según los expertos de Project Zero, las vulnerabilidades estuvieron presentes en iOS y Safari durante hace años y el método para ejecutarlos fue siempre el mismo, que la víctima visitara una página web comprometida.

El investigador de seguridad Ian Beer, miembro de Project Zero, ha explicado en una entrada en el blog oficial del equipo de seguridad cómo el Grupo de Análisis de Amenazas (TAG/Threat Analysis Group) del gigante de Mountain View descubrió a principios de este años una pequeña colección de sitios web hackeados que estaban siendo usados contra usuarios de iOS, principalmente de iPhone al ser de largo el dispositivo móvil de Apple más popular.

Cómo automatizar el borrado de cuentas en Windows 10

Generalmente las instalaciones caseras de Windows 10 (y de cualquier Windows) suelen ser usadas con una única cuenta, algo que no es nada recomendable debido a la falta de privacidad y a problemas que pueden derivar del hecho de que unas personas pueden terminar borrando o machacando los datos de otras.

En caso de que la computadora sea compartida, lo suyo es tener configuradas diversas cuentas, siendo mejor que el propietario de la computadora sea la única con permisos de administración (aunque lo suyo sería que el propietario de la computadora la usara desde una cuenta común adicional totalmente aparte del administrador) y que el resto se conforme con cuentas limitadas. Sin embargo, acumular cuentas de usuario tampoco es buena idea, ya que estas terminan ocupando espacio en disco de forma inútil.

Para evitar que las cuentas de usuario inútiles se acumulen y facilitar la vida al propietario de la computadora, vamos a explicar cómo establecer una política para automatizar su eliminación de dichas cuentas. Antes de empezar a explicar los pasos avisamos que para seguir este tutorial es necesario tener instalado Windows 10 Pro o Windows 10 Enterprise.

Apple fulmina el jailbreak de iOS 12 con un parche de emergencia

Apple ha publicado un parche de emergencia que anula el jailbreak de iOS 12 y soluciona la vulnerabilidad de seguridad que permitió su desarrollo. Ya conoces el caso. La semana pasada Pwn20wnd publicó un nuevo jailbreak para iPhone. Un desarrollo peculiar ya que era el primero conseguido sobre una versión de iOS completamente actualizada en algunos años.

Apple había facilitado la tarea, sin pretenderlo. Investigadores de seguridad encontraron una vulnerabilidad en la última versión del sistema operativo móvil de Apple, iOS 12.4 con una curiosidad: era una vulnerabilidad conocida, descubierta por Google y ya parcheada por Apple en la versión anterior, iOS 12.3.

Ello permitió a los especialistas la creación de este jailbreak para iPhone, aunque, como era obvio, era un fallo de seguridad que podía comprometer la seguridad de millones de dispositivos. Estaba claro que Apple lo parchearía rápidamente y ello ha sucedido ya con el lanzamiento de la versión iOS 12.4.1, que se recomienda instalar a la mayor brevedad.