Episodios

  • Episodio 40 – Syniverse, Hacker X, Twitch, Macaw Locker, Apple ASA, y OpenSea
    Una empresa de la que no has oido hablar jamás, pero que muy probablemente es la responsable de transmitir tus SMS, fué comprometida en mayo de 2016 y nos acabamos de enterar aún ahora, y de milagro… «Hacker X», el hacker ético que fue contratado por Natural News para construir una de las mayores operaciones de noticias falsas de Estados Unidos, y que ahora surge para redimirse. Twitch es hackeada por vengaza, llegando a publicarse todo el código fuente, herramientas internas y los sueldos de los streamers más famosos. El grupo de ransomware Evil Corp ataca a la empresa estadounidense Sigue leyendo…
  • Episodio 39 – Publicidad, AlphaBay, ShadowDragon, CIA vs Julian Assange, Amazon Astro, y Apple Pay
    Los anuncios que ves constantemente cuando navegas por internet, no son solo molestos, sino también un peligro para tu seguridad y privacidad. No lo dice solamente Tierra de Hackers, sino la CIA y la NSA. AlphaBay vuelve más seguro que nunca como mercado ilegal online en la Dark Web gracias al trabajo de uno de los administradores que escapó de las garras del FBI en 2017. Toda la información que expones en internet públicamente está siendo recolectada y archivada desde 2012 por ShadowDragon, una empresa desconocida hasta que una carta al congreso estadounidense filtrada al público, ha demostrado que está Sigue leyendo…
  • Episodio 38 – Afganistán agentes dobles, ProtonMail, ChaosDB, FORCEDENTRY, y Azurescape
    La situación crítica en la que están los ciudadanos de Afganistán, especialmente la de los que colaboraron con ejércitos extranjeros para luchar contra los talibanes, nos da una lección de vida o muerte sobre la importancia de la privacidad en internet. Un agente doble que se movía en el mundo ilegal de venta de información e iPhones internos robados publica su relación con Apple debido a su descontento por no ser remunerado por la información que les proporcionaba. Protonmail recibe críticas por entregar información de un usuario a las autoridades francesas. Ha roto ProtonMail su promesa de anonimato? ChaosDB, una Sigue leyendo…
  • Episodio 37 – Apple CSAM, cable OMG y elevación de privilegios con periféricos
    Apple anuncia un nuevo sistema para combatir la pornografía infantil que ha enfurecido a la comunidad de expertos en privacidad y seguridad. El cable que usas para cargar tu iPhone podría estar físicamente infectado y permitir a un atacante comprometer tu ordenador a kilómetros de distancia. Un atacante podría elevar privilegios a SYSTEM en Windows en cuestión de segundos con solo enchufar un ratón y dar dos clicks. Pregunta del episodio ¿Qué te parece el nuevo sistema de Apple para combatir la pornografía infantil? Bien, protege a los niños Mal, se puede abusar Mal, invade mi privacidad Sigo con dudas Sigue leyendo…
  • Episodio 36 – Poly Network, hotel cápsula y Glowworm
    En el mayor robo de criptomonedas de la historia un cibercriminal roba $610 millones de dólares de la red Poly Network en distintas criptomonedas como Ether, Binance Smart Chain y Polygon, y luego sorprendentemente los devuelve, no sin antes mantener una negociación con las víctimas y conversaciones con sus fans vía mensajes embebidos en transacciones Ethereum. Un consultor de seguridad compromete y obtiene el control total de los dispositivos IoT domóticos de las habitaciones de un hotel cápsula y hace tener pesadillas a su vecino escandaloso que no lo dejaba dormir. En otra técnica de espionaje digna de película de Sigue leyendo…
  • Episodio 35 – TA456, Punycode, hardware hacking, MeteorExpress, menús digitales y HTML Smuggling
    El gobierno iraní esta detrás de una reciente campaña de ingeniería social centrada en el robo de información de empresas militares y de defensa. Punycode se ha utilizado recientemente en ataques homógrafos contra el sitio web del navegador Brave a través de Google Ads para engañar a usuarios despistados a descargarse malware. ¿Es posible robar un portátil de una empresa, protegido con contraseña y con el disco duro cifrado, y conseguir acceder a la red interna? Pues resulta que sí… La campaña ofensiva MeteorExpress permite a cibercriminales infiltrarse en el Ministerio de Transporte de Irán y su sistema ferroviario nacional Sigue leyendo…
  • Episodio 34 – Pegasus, Candiru, agenda de contactos, shimmers, MAID y BEC
    Una investigación de los principales medios de comunicación a nivel mundial, basada en la filtración de 50 mil números de teléfono, da luz a la industria del ciberespionaje de NSO Group y su famoso spyware Pegasus. Citizen Lab destapa a Candiru, una empresa israelí que lleva desde 2014 ofreciendo productos de software espía a gobiernos de todo el mundo, y que utiliza técnicas muy similares al NSO Group. Tu agenda de contactos es mucho más valiosa de lo que crees, y tanto las empresas privadas como gobiernos lo saben. Un equipo dirigido por un ex-agente especial del Servicio Secreto americano Sigue leyendo…
  • Episodio 33 – PrintNightmare, Amazon Echo, cajeros NFC, WD My Book Live, iOS Wi-Fi y REvil vs Kaseya VSA
    PrintNightmare es el nombre de la nueva vulnerabilidad crítica que afecta a casi todos los sistemas de Windows y para la cual Microsoft aún no ha publicado un parche. Si vas a deshacerte de tus dispositivos IoT de Amazon, piénsatelo dos veces y primero restaura la configuración de fábrica, o para los más paranoicos, destroza el dispositivo con un martillo. Un investigador español demuestra cómo puede atacar cajeros automáticos y puntos de venta con su móvil a través del protocolo NFC. Usuarios de sistemas de almacenamiento con acceso remoto de Western Digital se encuentran que todos sus archivos han sido Sigue leyendo…
  • Episodio 32 – EA Games, reconocimiento facial en Serbia, pederastia, ANØM, GPRS y Ledger
    Unos delicuentes hackean el gigante de los videosjuegos Electronic Arts por un módico precio de 10$. China despliega su tecnología de reconocimiento facial a través de miles de cámaras Huawei instaladas en Serbia y se posiciona un paso más cerca de Europa. La policía nacional española detiene a un hombre que accedía a camaras IP para obtener imágenes de menores desnudos y venderlas en la deep web. La plataforma de comunicaciones seguras ANØM gestionada de forma encubierta por el FBI era parte de la operación Trojan Shield a gran escala utilizada para espiar las conversaciones de criminales y poderlos arrestar. Sigue leyendo…
  • Episodio 31 – Half-Double, búnkeres nucleares, Citizens app, NSA en Dinamarca, Anonymous vs Elon Musk y FBI vs USA TODAY
    Half-Double, la nueva vulnerabilidad de Google Project Zero que mejora el impacto de RowHammer, un vector de ataque de película. Tarjetas de aprendizaje de soldados americanos accesibles públicamente en Internet exponen secretos sobre ubicaciones de búnkeres de misiles nucleares en Europa. Una aplicación móvil centrada en reportar y actuar contra el crimen, tiene un lado muy oscuro. El informe Dunhammer descubre la operación de espionaje de la NSA contra políticos europeos gracias a un pacto secreto con el Servicio de Inteligencia de Defensa danés. Anonymous declara la guerra a nada más y nada menos que a Elon Musk. El FBI Sigue leyendo…
  • Episodio 30 – RSA, Find My, Venmo, scheme flooding, Babuk y Boeing 747
    Tras 10 años de secretismo bajo acuerdo de confidencialidad, ya sabemos lo que pasó en el famoso hackeo a la RSA y sus tokens SecureID. Si usas productos de Apple, vigila, problemas de privacidad en la plataforma Find My de Apple pueden exponer tu ubicación y anonimato. Unos periodistas tardan menos de 10 minutos en encontrar la cuenta de pagos online del presidente Joe Biden tras un inocente comentario. El nuevo ataque «scheme flooding» de rastreo y desanonimización de usuarios de la web, conoce las aplicaciones que tienes instaladas. Continúan los ataques ransomware, esta vez la víctima es la policía Sigue leyendo…
  • Episodio 29 – Net Neutrality, AirTag, Tesla, números de teléfono, ransomware y kernel de Linux
    Un fiscal de Nueva York publica una investigación que revela como las empresas de telecomunicaciones estadounidenses utilizaron identidades falsas y de personas fallecidas para enviar comentarios falsos al gobierno con el objetivo de eliminar la ley que protege la neutralidad en internet. Los AirTag de Apple, diseñados para la ubicación de objetos perdidos, pueden ser abusados para acosar y rastrear a víctimas sin su consentimiento. Unos investigadores consiguen abrir las puertas de cualquier Tesla desde un dron. Tu pasado te acecha: investigadores demuestran cómo se pueden comprometer cuentas e identidades en línea obteniendo números de teléfono reciclados. El ataque de Sigue leyendo…
  • Episodio 28 – Cellebrite, McDonalds, FBI, John Deere, REvil y freidora de aire
    El CEO de Signal trolea a Cellebrite y hackea su producto estrella, usado, entre otros, por gobiernos poco democráticos para acceder a la información que contienen los móviles. La startup Kytch hackea la máquina de helados McFlurry de McDonald’s, pero se congela en el intento. Un juez le da carta blanca al FBI para acceder a los ordenadores de ciudadanos americanos masivamente para limpiarlos de malware. Vulnerabilidades en sistemas de John Deere podrían haber expuesto datos personales de sus clientes de tractores y cosechadoras. REvil, uno de los grupos de ciberdelicuentes más activo en cuanto a ataques ransomware, añade a Sigue leyendo…
  • Episodio 27 – Mitre, HoloLens, Neuralink, Discord/Slack/EtterSilent/Morph Vox Pro, FLoC y Ubiquiti
    Una patente de un laboratorio de investigación que trabaja para el gobierno estadounidense describe una tecnología para adivinar el nombre de una persona en base a sus rasgos faciales. Nuevos cascos HoloLens de realidad aumentada de Microsoft para el ejercito de Estados Unidos, y un informe muy interesante sobre vulnerabilidades en sistemas de guerra. Un implante cerebral permite a un macaco jugar mentalmente a videojuegos. Las últimas técnicas de ingeniería social de los cibercriminales incluyen Discord, Slack, herramientas de creación de documentos Microsoft Office maliciosos y software de cambio de voces. Google está experimentando con tus patrones de navegación, ¡y Sigue leyendo…
  • Episodio 26 – Elecciones, anti-terrorismo, PHP, XcodeSpy, Apple y TikTok/Douyin
    El comité nacional de inteligencia de los Estados Unidos desclasifica documentos que narran las interferencias de otros países en sus elecciones presidenciales de 2020. Google pone fin a una operación anti-terrorista de un gobierno occidental que utilizó 11 exploits de 0-day. Intento de puerta trasera en PHP a través de 2 «commits» maliciosos con troleo incluido. El malware XcodeSpy instala una puerta trasera en tu entorno de desarrollo Apple Xcode. Apple publica nueva versión de iOS y iPadOS para arreglar una única vulnerabilidad que está siendo explotada activamente. CitizenLab publica su informe detallado sobre la privacidad y seguridad de las Sigue leyendo…
  • Episodio 25 – Verkada, Hafnium, FedEx, 3D Secure, Accellion y Gab
    150 mil cámaras de vigilancia hackeadas muestran videos que van desde las fábricas de Tesla hasta hospitales psiquiátricos. El grupo de amenazas chino Hafnium compromete a cientos de miles de servidores de correo electrónico de Microsoft Exchange en todo el mundo. Arrestan a los ciberdelincuentes detrás de la campaña de phishing de Fedex que convenció a miles de víctimas en España. 3D Secure evoluciona para contrarrestar la creatividad infinita de los cibercriminales para con el fraude financiero de pagos online. Una nueva vuelta de tuerca en el manual cibercriminal: te cifro los datos, te los robo y extorsiono a tus Sigue leyendo…
  • Episodio 24 – Criptoestafa, APT31, Clubhouse, Computer Vision, Total Cookie Protection y Apple M1
    Corea del Norte sigue haciendo de las suyas, siendo acusado de intentar robar 1.3 billones de dólares con la ayuda de ciudadanos de Canadá y Nigeria. Se descubre que el grupo chino APT31 ha comprometido y reutilizado exploits de la NSA desde 2014. Clubhouse, la nueva y famosa red social, no es tan privada como la pintan. Que se lo pregunten a los ciudadanos chinos que vieron sus chats bloqueados en tiempo real… Ten cuidado con tus próximas videoconferencias: los participantes pueden estar espiando lo que escribes. Firefox añade una nueva protección que ayudará a preservar tu privacidad y evitar Sigue leyendo…
  • Episodio 23 – Bioterrorismo, LockBit, ransomware, corazón, código morse y programación
    ¿Bioterrorismo o travesura? Acceden remotamente a un ordenador que controla el suministro de agua de una ciudad y cambian los valores de los componentes químicos a niveles muy peligrosos. Entrevista inusual con un operador del ransomware LockBit: motivos, intereses y transición al lado oscuro. La empresa detrás de juegos como cyberpunk2077 es hackeada y ponen el código de sus juegos a la venta. Un abrazo con un iPhone 12 en el bolsillo derecho de tu camisa podría dejar K.O. a una persona con un implante de corazón. El pishing se reinventa con una tecnología de siglo 19, código morse. El Sigue leyendo…
  • Episodio 22 – Wall Street, ADT / Ring, clones, 0-days, ingeniería social y Adobe Flash
    Un grupo de usuarios de un foro se coordina para hundir Wall Street, haciendo temblar los cimientos del mercado bursátil. Cámaras Blue de ADT exponen tus trasmisiones de vídeo y audio del hogar, y Ring Neighbors de Amazon expone tu ubicación. Una patente de Microsoft apunta a la intención de hacerte un copia-pega para que sigas existiendo despues de morir. Publicadas múltiples vulnerabilidades de 0-day: actualiza ya tu iPhone, iPad, Apple TV, GnuPG, Kindle, Linux, y SonicWall. Corea de Norte lanza una campaña de phishing muy original atacando a expertos de seguridad para robarles sus investigaciones y exploits. El fin Sigue leyendo…
  • Episodio 21 – QAnon, Parler, financiación ilegal, SplinterNet, secuestros y YouTube
    Una vulnerabilidad en un servidor de correo acaba destapando los lazos entre foros frecuentados por neo-nazis y el grupo de conspiración QAnon. Parler expone vídeos y fotos de los sucesos en el Capitolio de Estados Unidos el 6 de enero que podría permitir la identificación de sus autores. El FBI investiga donaciones en bitcoin a grupos de extrema derecha semanas antes del asalto al capitolio de los Estados Unidos. SplinterNet, la red de redes que China quiere utilizara para reemplazar Internet y tener más control sobre los usuarios. El CEO de una empresa de trading de criptomonedas es secuestrado y Sigue leyendo…
  • Episodio 20 – Ingeniería social, swatting, KISMET, ransomware, Android TVs, y AIR-FI
    Un intento de asesinato por parte de la agencia de inteligencia rusa termina con el ataque de ingeniería social más épico de la historia. Dispositivos inteligentes de seguridad doméstica se están abusando para realizar ataques de swatting y llevar la policía a tu casa. 36 periodistas de Al Jazeera son victimas de un hackeo por parte de países rivales a través de un 0-day en iMessage. El ransomware se cobra una víctima más y prevé unos ingresos de $20 mil millones de USD en 2021. Los televisores inteligentes TCL vienen con una puerta trasera de regalo AIR-FI, la técnica encubierta Sigue leyendo…
  • Episodio 19 – FireEye, energía nuclear y eléctrica, armas inteligentes, Alibaba, Amazon y AMNESIA:33
    Campaña de espionaje mundial por parte de un actor muy sofisticado pone en alerta a toda la comunidad de la ciberseguridad. Agencias gubernamentales estadounidenses relacionadas con energía nuclear y eléctrica quedan comprometidas por el mismo grupo APT que atacó a FireEye. Renombrado científico nuclear es asesinado, supuestamente, con una ametralladora inteligente controlada por satélite. El reconocimiento facial es utilizado por el gobierno chino para oprimir etnias minoritarias y por tiendas en Inglaterra para evitar hurtos de reincidentes. Amazon enseña los dientes contra las leyes de privacidad europea al presionar a parlamentarios para modificarlas a su gusto. Amnesia 33 resalta vulnerabilidades Sigue leyendo…
  • Episodio 18 – SS7, inteligencia artificial, Amazon Sidewalk, Tesla, AWSL y LidarPhone
    Una empresa privada vende acceso a la red de telefonía móvil a gobiernos en Europa y Latinoamérica. La inteligencia artificial se cuela en nuestras reuniones y monitoriza nuestro comportamiento. En unas semanas, tus dispositivos de Amazon empezarán a compartir tu conexión a internet con tus vecinos sin que te enteres. Ladrones pueden abusar de las llaves de vehículos Tesla Modelo X para robar el coche sin ser vistos. Vulnerabilidad crítica en iOS permite a atacantes comprometer cualquier iPhone cercano a través del protocolo de Airdrop. LidarPhone: ten cuidado con lo que dices cerca de tu aspiradora robótica, puede estar escuchando Sigue leyendo…
  • Episodio 17 – Geolocalización, Apple, ondas microondas, Cisco WebEx, GoDaddy y Platypus
    El cuerpo militar americano compra datos de geolocalización extraída de aplicaciones orientadas a la comunidad musulmana. Apple expone la privacidad de los usuarios de macOS y el nuevo Big Sur no lo mejora. Armas de energía directa son el nuevo juguete para las guerras futuras. Participantes fantasma se cuelan en reuniones de Cisco Webex sin ser invitados. Los robos de criptomonedas se centran en atacar sistemas DNS. El ataque Platypus contra Intel SGX puede recuperar datos confidenciales como claves de cifrado. Pregunta del episodio ¿Darías acceso a tu información a cambio de usar aplicaciones gratis? Sí, en todos los casos Sigue leyendo…
  • Episodio 16 – Backdoors, CPRA, carteras bitcoin, CBP, análisis forense y GitHub
    La NSA sigue con sus políticas de introducir puertas traseras en productos comerciales. La ley CPRA, la versión californiana de la GDPR, promete muchas mejoras para la protección de la privacidad. Una transferencia de mil millones de dólares en bitcoin y muchas preguntas abiertas. La Oficina de Aduanas y Protección Fronteriza de USA podría estar abusando de los datos de ubicación de los residentes americanos. Estados Unidos abusa del uso de herramientas de análisis forense para obtener toda la información almacenada en teléfonos móviles. Google Project Zero publica una vulnerabilidad crítica en GitHub que todavía no está arreglada. Pregunta del Sigue leyendo…
  • Episodio 15 – Elecciones americanas, Electrum, órdenes de registro, relojes inteligentes, FinFisher y Waze
    Irán se une a la lista de países que están intentando influenciar las elecciones americanas. Robo de Bitcoin equivalente a $22 millones de dólares de usuarios de carteras Electrum. Las fuerzas del estado americanas utilizan órdenes de registro contra Google en base a palabras clave que buscan los usuarios. Relojes inteligentes para niños se pueden manipular y convertir en dispositivos espía. Las oficinas de FinFisher, la empresa que vende software de espionaje a gobiernos, son registradas por las autoridades alemanas. Atacantes podrían haber rastreado y descubierto la identidad real de usuarios de Google Waze. Pregunta del episodio ¿Crees que alguna Sigue leyendo…
  • Episodio 14 – Juguetes sexuales, kubernetes, Apple, WarezTheRemote, MosaicRegressor y TPVs
    Un cinturón de castidad inteligente podría denegarte el acceso a tus genitales para siempre. Armamento militar mejorado con Kubernetes, Machine Learning y un sistema operativo de guerra. Un grupo de amigos encuentran un total de 55 vulnerabilidades en sistemas de Apple. WarezTheRemote, el ataque que permite convertir a un mando a distancia en un dispositivo de escucha. Kaspersky publica el hallazgo de un malware centrado en infectar el sistema UEFI. Dos comercios hoteleros sufren ataques de malware contra sus TPV en busca de datos de tarjetas. Pregunta del episodio ¿Cuál crees que será el próximo juguete sexual que se hackeará? Sigue leyendo…
  • Episodio 13 – FinCEN, drones, pasaportes, Blacklight, Quantcast, Plug-n-Pwned, Rampant Kitten y Firefox
    La filtración de documentos bancarios y gubernamentales destapa un fraude mundial de 2 trillones de dólares. Un gran hermano con alas, el nuevo drone de vigilancia del hogar de Amazon. Una foto de Instagram termina en una conversación telefónica con el expresidente de Australia. El 87% de los 100,000 sitios web más importantes te rastrean online. Un investigador pide toda la información que una empresa de marketing tiene sobre él con un resultado muy deprimente. Plug-n-Pwned: dongles OBD-II vulnerables permiten detener un automóvil en movimiento. Nueva campaña de espionaje iraní se centra en el robo de KeePass y conversaciones de Sigue leyendo…
  • Episodio 12 – Fancy Bear, blanqueo de capital, desanonimizado, píxel de seguimiento, BLURTooth y alcoholímetro móvil
    Rusia vuelve a las andadas. El grupo Fancy Bear intenta hackear la empresa que gestiona la campaña del candidato demócrata a la presidencia de Estados Unidos. Los métodos tradicionales de blanqueo de capital siguen siendo los preferidos a pesar del atractivo de las criptomonedas. Una investigación de Mozilla revela que las empresas con gran presencia online pueden desanonimizar a los usuarios basándose en sus patrones de navegación. Cuidado con las imágenes en los correos electrónicos, nunca se sabe quién está observándote detrás de ellas. Nueva vulnerabilidad en Bluetooth podría permitir ataques MiTM. Una aplicación móvil que mide tus movimientos: el Sigue leyendo…
  • Episodio 11 – AlphaDogFight, Shield, Corea del Norte, EMV contactless, Tesla, registros médicos, Spikey y MagHacker
    Un paso más cerca de Skynet. Un algoritmo aplasta a un veterano piloto de combate aéreo. Mitre publica su proyecto «Shield» para la defensa activa. Un manual militar americano expone con detalle la capacidad norcoreana para la ciberguerra. Vulnerabilidades en tarjetas EMV sin contacto de Visa permiten pagos sin código PIN. El sonido de la llave entrando en la cerradura es lo único necesario para duplicarla. Fuga de información de registros médicos a través de repositorios en GitHub. Un empleado de Tesla es sobornado por un grupo de delincuentes rusos para instalar malware en una de sus gigafactorías. MagHacker, el Sigue leyendo…
  • Episodio 10 – ADN, Tor, Anomaly Six, cámaras P2P, VPN, ReVoLTE, Twitter++ y satélites
    Fondo de capital riesgo decide comprar la información genética de millones de personas. Un atacante crea nodos de salida maliciosos en la red Tor para robar criptomonedas. Empresa con fuertes lazos con el gobierno americano, recolecta y vende la geolocalización  obtenida de aplicaciones móviles gratuitas. Vulnerabilidades en dispositivos P2P, o cómo controlar 3 millones de cámaras a nivel mundial. Se publican cientos de datos de usuarios de servidores VPN empresariales que nunca fueron parcheados. ReVoLTE, el ataque que permite escuchar llamadas en redes móviles 4G/LTE. Novedades en el hackeo a Twitter: 3 acusados y un juicio un tanto peculiar. Las comunicaciones vía satélite, optimizadas pero no Sigue leyendo…
  • Episodio 9 – Adif, espionaje, Ghostwriter, Shadow Attack, audio deepfake, Garmin, Phonerator y DJI
    Nuevo ataque ransomware podría salpicar a la corona española. Espías asiáticos en busca de secretos gubernamentales y de investigaciones sobre el coronavirus. Nueva campaña de desinformación rusa introduce noticias falsas en medios de información legítimos. Un ataque ransomware deja fuera de servicio a Garmin, o cómo interrumpir el tráfico aéreo y marítimo. Vuelta de tuerca a los deepfakes con falsificaciones de llamadas telefónicas. El ataque de la sombra: cuidado con los archivos PDF firmados digitalmente. Nueva herramienta de OSINT permite descubrir el teléfono de una persona con sólo tener su email. La aplicación Android de DJI está llena de funcionalidades Sigue leyendo…
  • Episodio 8 – Twitter, NSO Group, Mitre, falsificaciones, SIGRed, vulnerabilidades críticas, Data Viper y Mustang Panda
    Las cuentas más populares de Twitter publican de manera coordinada una estafa de pagos en bitcoin. España y Catalunya en una trama de espionaje gubernamental que incluye el uso del software espía Pegasus de NSO. Mitre tiene un lado oscuro: los proyectos secretos de las agencias gubernamentales estadounidenses. El top manta llega en versión electrónica: falsificaciones de dispositivos Cisco de alta calidad. Vulnerabilidad crítica en servidores DNS de Windows lleva 17 años presente. El calor se nota: 8 vulnerabilidades críticas de nivel 10 en dispositivos Cisco, F5 y Palo Alto, entre otros fabricantes. Empresa que vende listas de credenciales de Sigue leyendo…
  • Episodio 7 – Economía digital, cajeros automáticos, cibercriminales, 5G, hacktivismo, abuso de funciones, reconocimiento facial y códigos de barras
    El gobierno de España propone eliminar el dinero en efectivo. Nuevas vulnerabilidades en drivers de Windows exponen la seguridad de cajeros automáticos y terminales de punto de venta. Macrooperación policial termina con Europol controlando los servidores de una empresa de telefonía orientada a criminales. Las redes 5G se muestran tan vulnerables como las anteriores: todos nuestros dispositivos bajo ataque. Grupo hacktivista publica millones de documentos, audio y vídeos de hasta 200 departamentos policiales. Aplicaciones en iOS y Android capturan tus datos sin tu consentimiento. Primer caso de arresto erróneo basado puramente en algoritmos de reconocimiento facial. El futuro es hoy… Sigue leyendo…
  • Episodio 6 – Fake news, espionaje, CIA, malware, Palantir, Ripple20, exposición de datos e Intel
    Campaña masiva de desinformación Rusa al descubierto. ¿Objetivo? Desestabilizar el mundo. Lamphone: el ataque que permite convertir una bombilla en un dispositivo espía de escucha. Un informe publicado por un senador estadounidense saca los colores a la CIA, sus medidas de seguridad en entredicho. Ripple20, el compendio de vulnerabilidades que permite obtener control total de millones de dispositivos IoT y de control industrial. El sistema nacional de sanidad británico, vende toda la información de los pacientes a empresas dedicadas a espionaje por el módico precio de un euro. Negocios legales en múltiples países sirven como tapadera de grupos cibercriminales y Sigue leyendo…
  • Episodio 5 – Drones, espionaje, robos a bancos, autenticación, hacktivismo, monero, Cisco y Android
    Drones, seguimiento, Anonymous… Las protestas en EEUU no sólo tienen un componente político… Bancos y comercios online escanean tu sistema sin tu conocimiento. Un hacktivista decide acabar con una empresa dedicada al espionaje y lo consigue. Hacking Team is dead. Fallo en el sistema de “Inicio de sesión de Apple” valorado en $100,000 dólares. Arrestan a un miembro de Fin7. El grupo de ciberdelicuentes que ya se ha embolsado un billón de dólares hackeando bancos. Cibercriminales abusan del “sal” para comprometer a servidores de Cisco el mismo día en que son desplegados. Cuidado con tus aplicaciones móviles, una nueva vulnerabilidad Sigue leyendo…
  • Episodio 4 – Espionaje gubernamental, clonaje bluetooth, ransom presidencial, thunderspy, iOS 14, OSINT y misiles
    El FBI ya no necesita una orden judicial para obtener el historial de navegación de cualquier ciudadano. Fallos en el protocolo Bluetooth que permiten suplantar a dispositivos de confianza. Un grupo de hackers amenaza con publicar trapos sucios sobre Donald Trump tras el hackeo de un conocido bufete de abogados. Las sirvientas malvadas están de vuelta con Thunderspy. Nuevo ataque contra interfaces Thunderbolt. iOS 14 ya esta disponible. Sobretodo para los que saben donde encontrarlo. Ragnar Locker, el ransomware inusual que te instala una máquina virtual. Una red social de cervezas, la herramienta perfecta para descubrir personal y bases militares. Sigue leyendo…
  • Episodio 3 – Ciberguerra, instituciones sanitarias, Samsung, troyanos, 0-days y aviones
    Uno de los hackers más buscados mundialmente, acumula una nueva orden de arresto. Gobiernos atacan a instituciones sanitarias en búsqueda de investigaciones sobre el coronavirus. Una imagen vale más que mil exploits: mensajes multimedia podrían comprometer tu teléfono Samsung. Troyano bancario de superposición de imágenes para Windows y Android, ¿es oro todo lo que reluce? Un 0-day tan sencillo como elegante: evasión de protecciones esenciales en iOS con simples comentarios. Abuso del sistema de anticolisión de aviones, convirtiendo tu próximo vuelo en una pesadilla. Notas y referencias Investigación de Bellingcat a Dmitry BadinCobertura en prensa de la orden de arresto Sigue leyendo…
  • Episodio 2 – Android, iOS, ClearviewAI, BGP, JWT y FPGA
    Tu teléfono iOS en peligro sólo con recibir un correo. Tu teléfono Android en peligro sólo con tener el Bluetooth activado. Reconocimiento facial a gran escala pero con una seguridad pésima. Secuestros de rutas BGP, ¿sabes realmente a dónde va tu tráfico en Internet? Estándar de autenticación vulnerable a las mayúsculas. Espionaje industrial y autodestrucción por fallos en FPGAs. Notas y referencias Explicación técnica de la vulnerabilidad 0-click en la aplicación Mail de iOSExplicación técnica de la vulnerabilidad 0-click BlueFrag (CVE-2020-0022) en Bluetooth en AndroidLista de prefijos OUI (de direcciones MAC)Página de Wireshark de resolución de prefijos OUI (de direcciones Sigue leyendo…
  • Episodio 1 – Apple, Google, COVID-19, cámaras, privacidad, Firefox, OpenWrt y IOT
    Una alianza entre Apple y Google tan inesperada como sorprendente. ¿Ha llegado por fin el gran hermano? Zoom pasa a ser de la noche a la mañana el servicio de videollamadas más comentado en el círculo de la ciberseguridad. Nuevas vulnerabilidades en los móviles y ordenadores de Apple que permiten espiarte al más puro estilo James Bond. Dos vulnerabilidades críticas en Firefox que ya están siendo aprovechadas por ciber criminales. Fallos en dispositivos OpenWrt y Draytek permiten penetrar en tus redes y vigilar tu tráfico. Dispositivos IoT vuelven a convertirse en marionetas de nuevas versiones de botnets. Notas y referencias Sigue leyendo…