TarGuess, algoritmo que adivina contraseñas

Investigadores de las universidades chinas de Peking y Fujian Normal, junto con la británica de Lancaster, han desarrollado un algoritmo que puede adivinar las contraseñas un 73% de las veces. El resultado del trabajo realizado lo han publicado en su reporte “Targeted Online Password Guessing: An Underestimated Threat” [PDF], en el cual presentan el sistema TarGuess que usa 7 modelos matemáticos para adivinar las contraseñas. Según los investigadores, contra los usuarios más preocupados por la seguridad el sistema TarGuess puede tener éxito 32% de las veces. TarGuess caracteriza de forma sistemática los escenarios típicos de adivinanzas específicos con siete modelos matemáticos, cada uno de Leer más…

Robo de información de cuentas de usuario en Yahoo!

Yahoo! Inc. ha confirmado el robo de cuentas de usuario de sus servidores a fines de 2014 al parecer por una agencia gubernamental, sin especificar cuál. La información robada es relacionada con al menos 500 millones de cuentas de usuarios e incluye nombres de cuentas de usuario, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hash (la gran mayoría con bcrypt) y, en algunos casos, las preguntas de seguridad codificada o sin codificar y sus respuestas. La información robada no incluye contraseñas no protegidas, datos de tarjetas de pago, o información de cuentas bancarias. Los datos de tarjetas Leer más…

Elcomsoft descubre debilidad de seguridad en iOS 10 que permite romper más fácil la contraseña de respaldo

Los expertos de ElcomSoft Co. Ltd. han descubierto una debilidad de seguridad en los respaldos de iOS 10 que permite la recuperación rápida de contraseñas complejas. El hallazgo lo hicieron al trabajar en la actualización 6.1 de la solución Elcomsoft Phone Breaker para que sea compatible con iOS 10. La debilidad de seguridad encontrada se encuentra en la forma en que IOS 10 maneja el cifrado del respaldo o copia de seguridad, que omiten ciertos controles de seguridad que hacen posible acelerar significativamente la recuperación de contraseñas complejas. Los expertos de Elcomsoft probaron la velocidad de recuperación de contraseñas para iOS 9 Leer más…

Dispositivo USB para extraer credenciales de Windows en PCs bloqueadas

En segundos obtiene la cuenta y hash de contraseña. Si usualmente deja el computador encendido y sin atender, aunque esté bloqueado, ponga atención esto puede interesarle. Rob Fuller, experto en seguridad informática en R5 Industries, hizo una demostración sobre cuán fácil es extraer las credenciales de computadores Windows y Mac OS X encendidas y que no son atendidas por el usuario, sin importar que estén bloqueadas por el protector de pantalla. Lo único que se necesita es el acceso físico al computador para conectarle un dispositivo USB con código de sistema especialmente diseñado. En menos de un minuto el dispositivo USB Leer más…

Dropbox pide cambiar contraseñas a usuarios de antes de mediados de 2012

Los usuarios de Dropbox que se suscribieron al servicio antes de mediados de 2012 y no han cambiado su contraseña serán requeridos de cambiarla la próxima vez que inicien sesión en el popular servicio de almacenamiento en línea. La medida es preventiva por parte de Dropbox ya que no hay indicios de que las cuentas hayan sido comprometidas. Dropbox refiere la precaución de la medida debido al robo de credenciales de usuario en el 2012. Si es requerido la siguiente vez que inicie sesión en Dropbox para cambiar la contraseña, es recomendable que el usuario utilice una contraseña fuerte y que Leer más…

LastPass resuelve fallo de seguridad del complemento para Firefox

LastPass ha resuelto el fallo de seguridad que el investigador de seguridad Tavis Ormandy, de Google Project Zero, encontró la semana pasada. El fallo de seguridad estaba relacionado con secuestro de mensaje que afectó al complemento LastPass para Firefox. Un atacante tendría que atraer con éxito al usuario LastPass a un sitio web malicioso para ejecutar acciones sin el conocimiento del usuario, tales como borrar elementos. El fallo sólo afecta a los usuarios de Firefox que ejecutan LastPass 4.0 o posterior. Para verificar qué versión se tiene instalada del complemento LastPass para Firefox hay que ir a About LastPass en el menú More Options. Leer más…

Fallo día-cero en LastPass

El investigador de seguridad Tavis Ormandy, de Google Project Zero, ha reportado problemas de seguridad en LastPass, el popular programa gestor de contraseñas. Al menos uno de los problemas compromete la cuenta del usuario y toda la información contenida en ella, léase cuentas de usuario y contraseñas. Para explotar el fallo de seguridad día-cero el atacante debe persuadir al usuario para que visite un sitio malicioso diseñado especialmente para ello. Tavis Ormandy encontró otros problemas en LastPass, los cuales ha considerado críticos aunque no dijo más detalles. Lo que sí hizo fue reportar el hallazgo a LastPass, que ya trabaja en la corrección. Leer más…

Ataque de reuso de contraseña a GoToMYPC

Usuarios de GotToMYPC deben cambiar su contraseña debido a que el popular sitio de acceso remoto ha sido objeto de ataque de contraseña. Se trató de un ataque de reutilización de contraseña. Es decir, los atacantes utilizaron nombres de usuario y contraseñas que han sido filtradas de ataques a otros sitios web. GoToMYPC ha afirmado que no han sido expuestos datos sensitivos, como por ejemplo datos de tarjeta de crédito, de los clientes. Están realizando el análisis forense a profundidad del ataque y los resultados serán comunicados tan pronto como sea posible. GoToMYPC recomienda hacer el cambio inmediatamente debido a Leer más…