Connect with us
⁠Explica una vulnerabilidad en los sistemas de reservas de las aerolíneas: estos son los riesgos ⁠Explica una vulnerabilidad en los sistemas de reservas de las aerolíneas: estos son los riesgos

Noticias recientes

⁠Explica una vulnerabilidad en los sistemas de reservas de las aerolíneas: estos son los riesgos

El segundo día de ecofêteEn una de las principales conferencias de hackers de América Latina se presentaron dos platos: por un lado, los hackers simplemente demuestran que son acceder a reservas de pasajeros para más de 50 aviones en todo el mundolo que le permite consultar sus datos personales, además de conocer sus itinerarios y modificarlos o cancelarlos. Y, por cierto, otra persona explicó cómo se explicaban los procesadores vulnerables de AMD, uno de los principales fabricantes de microchips del mundo.

La primera charla, el cargamento de Ignacio Laurence y Luciano Paccella, dos investigadores argentinos, resultó vulnerable como el sistema de reservas que utilizan los aviones. Luego, al final de las cuentas, sólo es posible ingresar y realizar modificaciones el código que conecta la empresa y la llamada del pasajero.

“La vulnerabilidad se debe a quela mayoría de los aviones utilizan un sistema de autenticación débil para gestionar reservas online. Por ejemplo, para comprar un pasaje, el acceso a la reserva sólo requiere el PNR (código de reserva) y la llamada. Muchos sitios no implementan limitadores de frecuencia, lo que permite un ataque. códigos adivinales de reservas, en particular con nombres de municipios como González, García o Smith», explicó Clarín Ignacio Laurence, alias Criptex.

“Además, algunos aviones permiten acceder al número del billete electrónico, que es largo pero secuencialfacilitando la automatización y la posibilidad de acceso rápido a varias reservas”, agregó Luciano Paccella, abogado.

Este tipo de acciones implica que puedes acceder a datos del pasajero, como su número de pasaporte y su nombre completo, además de poder deducir cuándo te encuentras con un ciudadano y lo hace. Pero, lo que es aún más peligroso, también se pueden realizar cambios en la reserva o incluir cancelaciones.

Durante la charla en el salón principal, el segundo día de la 2 de la 20 edición de Ekoparty, los investigadores tuvieron ejemplos de vistas de famosos a quienes pudieron acceder, en el sistema de reserva de cada avión: Scarlett Johansson, Matt Damon, David Beckham. y hasta barack obama.

Una de las manifestaciones de charla. Foto: Mauro Julián Fernández

“De los 51 aviones que estamos investigando, sólo tenemos cuatro que tienen algo más seguro: Swiss Airlines, Japan Airlines, Air Koryo y Pegasus Airlines. Pegasus cuenta con la mayor seguridad gracias a la implementación de un sistema de autenticación de dos factores. También hay aviones que no tienen protección, pero tienen otras medidas de mitigación, como sensores robustos o limitadores de frecuencia, pero esto no garantiza una seguridad total porque un atacante puede explotar la vulnerabilidad pero con mayor dificultad”, dijo Criptex. .

Durante la misión te explicarán cómo puedes mitigar este problema: con un segundo factor de autenticación, por ejemplo, hacer que el avión envíe un correo o un SMS al usuario para verificar su identidad a tiempo donde desea ingresar al país. una reserva.

Errores en procesadores AMD y enrutadores DrayTek

Octavio Gianatiempo (izquierda) y Gastón Aznarez, investigadores de Faraday. Foto: Mauro Julián Fernández

Antes del final, los investigadores locales tienen un papel que desempeñar en la exploración de una serie de riesgos de seguridad que afectan al menos 500 millones de enrutadores de la marca taiwanesa DrayTek. Este es un modelo de dispositivo popular que puede utilizar para conectarse a Internet.

“La investigación comenzó cuando un cliente experimentó una infección de malware y solicitó asistencia para resolver la situación. Durante la evaluación descubrimos que varios routers DrayTek estaban deshabilitados y eran vulnerables”, explicó a Clarín Octavio Gianatiempo, investigador de la empresa argentina de ciberseguridad Faraday. En compañía del investigador Gastón Aznarez, quien también explicó el problema, demostró la etapa de exploración que explicó este año en DEF CON.

El error es el que conoces como dispositivos. «borde» de la marca. Se trata de un tipo de material «que se asienta en el borde de un rojo y actúa como límite entre el rojo local y el rojo externo», añadió Aznarez. “Los enrutadores son un ejemplo típico de dispositivos de borde y son atractivos para los ataques porque, en el compresor, pueden obtener acceso rojo interno, interceptar y manipular el tráfico rojo y lanzar ataques adicionales desde una posición estratégica”, completó en diálogo con Clarín.

La última misión del día es un envío de un argentino que descubrió una falla en todos los procesadores AMD fabricados desde 2006 hasta hoy, lo que otorga más privilegios a un hacker para controlar equipos. Enrique Nissim, ingeniero de sistemas utnTambién ese año presentó los resultados de la investigación en su colegio el profesor Krzysztof Okupski en DEF CON, la conferencia de hackers más grande del mundo, a la que ahora se unirá Ekoparty.

Enrique Nissim, un investigador argentino, descubrió una grave vulnerabilidad en AMD. Foto: Mauro Julián Fernández

Lidiando con un problema un sector específico del procesador (CPU)el componente central de cualquier computadora. Desde que el usuario levanta su dispositivo, la CPU ejecuta una serie de instrucciones en un orden determinado: Nissim, que trabaja para la empresa de seguridad IOActive, encontró este error en la documentación técnica, escribió con Okupski el método de explotación (exploitation) y reporté un AMD. Llamo «SinkClose» y Afecta a todos los modelos desde 2006 hasta el final.

«Una vez que lo conocí, pasé un mes hasta que pude demostrarlo y recibí un informe, en octubre del año pasado. AMD lo hizo y discutimos el impacto. El principio es crear algo que podamos explotar solos con presencia física. decir, con el atacante frente al equipo Pero no: con «Más investigación, probablemente tenemos la posibilidad de salir del equipo para explotarlo», agregó Nissim.

AMD es el principal competidor de Intel en el mercado de microprocesadores. El responsable del puesto de trabajo del día 2 tiene un alto nivel de experiencia que, en el mundo del hacking de hardware, implica una contribución significativa al estudio de vulnerabilidades.

Worldcoin y Banco Galicia piensan en hackeen

Mundo (antes Worldcoin): el «orbe» que escapa del iris y un CTF para el hackeen. Fernando de la Orden

Uno de los clásicos de las conferencias de hackers es la competencia en diversos campos. Una de esas mujeres que ven lo que conocen como recompensa de errores En este caso de vulnerabilidades, es necesario abrir un programa para que los asistentes encuentren errores en los sistemas y obtengan una bonificación por cambio. Otros, el “CTF” o capturar la banderauna habilidad en la que se encuentran distintos módulos de información adaptados a diversos desafíos de ciberseguridad y piratería.

Una empresa que se enfrenta a los piratas informáticos para Worldcoin, la empresa que monitorea el iris de los ojos de usuarios genuinos, propiedad de Sam Altman (creador de ChatGPT). La empresa es una de las patrocinadoras de esta edición de Ekoparty y ha generado mucha polémica en Argentina, de donde provienen los escenarios más grandes del mundo (2 millones de los 6 millones inscritos). Hicieron una habilidad llamada «Engaña al orbe», Donde se dice que los piratas informáticos podrían involucrar al orbe en el proceso de registro del iris y continuar de por vida, con Recompensa de 5 millones de dólares.

“Desde el año pasado, comenzamos a incurrir en Bug Bounty, es decir, cazadores o piratas informáticos de vulnerabilidades encontradas en nuestros sistemas. Por el momento es un programa privado, solo hay que acceder mediante invitación, pero tendremos alrededor de 100. cazadores de todos en nuestro programa”, siguiendo Clarín Christian Gehmlich, director del equipo de seguridad ofensiva del Banco Galicia.

Durante el segundo día se inauguró un evento de LHE, “Live Hacking Event”: “¿Qué es? Los hackers que ayuden a Eko pueden recibir anotaciones y participar en nuestro programa durante 2 días. Recompensa de errores. Podremos interactuar con el equipo cibernético de Galicia y los sorters (personas que analizan los informes enviados a los cazadores) de Yes We Hack. Y obviamente, esas sumas de hallazgo son válidas para ser remuneradas económicamente”, agregó. Durante su juventud, fue uno de los CTF más competitivos, con mucha competencia por parte de piratas informáticos que también iniciaban sesión para hacer ciertos descubrimientos.

Esta es una estrategia típica de lo que hacen los Red Teamers, como conocen la seguridad ofensiva en el mundo de la ciberseguridad: equipos de hackers que intentan hacer vulnerables los sistemas: “Consideramos que se trata de una estrategia disruptiva que nos ayuda a mantener mejor la seguridad”. postura de nuestros nuevos sistemas.

Equipo rojo versus equipo azul: ataque y defensa

Rojo y Azul, los dos espacios de seguridad ofensivos y defensivos. Foto: Mauro Julián Fernández

En Ekoparty hay “pueblos”, espacios específicos para distintos conocimientos dentro del hacking. Este año, Red Team Village y BlueSpace se encuentran desde otro lado, con ofertas diferentes pero para todos CTF.

“Tenemos el CTF, un juego de rol de respuesta a incidentes, charlas, talleres y una sala de escape virtual y otra presencial. Además, tenemos algunos tipos de cosas (entradas y salas preparadas por un patrocinador)”, dijo el personal de BlueSpace Village, que también cuenta con juegos de mesa y juegos para atraer asistentes.

Del otro lado, seguridad ofensiva, el equipo de Read organizó 24 charlas y 8 talleres. “Vinieron hablantes de todo LATAM, especialmente Chile, Colombia, Costa Rica, Ecuador, Perú, Uruguay y Argentina y proyectamos películas de culto para todos los soportes», sigue Clarín Javier Antúnez, uno de los organizadores del Red Team Village.

Otras villas que organizan habilidades serán las Pueblo de recompensa de insectosel núcleo de esta práctica de búsqueda de vulnerabilidades para periodistas y aspirantes a premios, y la Cyberfinance Village, también organizada por Gehmlich y por Sebastián Wilke: “Es una villa donde tratamos temas relacionados con la ciberseguridad y la prevención del fraude financiero. Este año contamos con 10 charlas y talleres, actividades y juegos en el stand, armamos charlas sobre IA y frauderobot de identidad con deepfakes, malware bancario tiene un mini taller sobre clonación de tarjetas”, comenta a este medio.

Otras skills serán organizadas por las marcas presentes en Ekoparty, como ESET que tiene una skills con premio “insignia” con un pequeño juego retro, el Rana. Otra empresa de ciberseguridad, en este caso argentina, Faraday, tuvo habilidad para hackear con un juego estilo Game Boy como premio.

La «insignia» premium de ESET y el juego de Faraday con desafíos por resolver. Foto: Mauro Julián Fernández

Ekoparty continuó el 16 de noviembre con más charlas, centros comerciales y conferencias. Más información para este fin.

Related Topics:
Continue Reading

Noticias recientes

LaLiga sancionada por protección de datos en eventos deportivos

https://cdn2.ondavasca.com/e284a3ee-deaa-42e4-b11b-4205782357f0_16-9-discover_1200x630.jpg

La Agencia Española de Protección de Datos (AEPD) acaba de imponer a LaLiga una multa de un millón de euros por el uso inadecuado de datos biométricos en los recintos futbolísticos. Este incidente destaca el aumento de las preocupaciones relacionadas con la privacidad y la seguridad de los datos en el sector deportivo, particularmente en lo referente a tecnologías como el reconocimiento facial y la recolección de huellas dactilares de los asistentes.

La AEPD ha informado que la aplicación de estos sistemas biométricos, utilizados en los accesos a las instalaciones deportivas, no se alinea con los criterios del Reglamento General de Protección de Datos (RGPD). Dicho reglamento demanda que cualquier manejo de información personal, en particular datos extremadamente sensibles como las huellas digitales o las características del rostro, deba estar justificado y ser proporcional al objetivo buscado. De acuerdo con la AEPD, en esta situación, la recopilación de datos biométricos de los asistentes no se conforma con estos principios, ya que no se puede justificar apropiadamente el manejo de esta información.

Además de imponer la multa, la AEPD ha exigido la interrupción inmediata del uso de estos sistemas biométricos hasta que se pruebe su conformidad con la normativa actual. Este procedimiento surgió de varias denuncias de ciudadanos y entidades que cuestionaron el empleo de estas tecnologías en los estadios, subrayando la falta de claridad sobre su operación y la protección de los datos obtenidos.

LaLiga defendía el uso de estos sistemas argumentando que podrían incrementar la seguridad, manteniendo fuera de los estadios a individuos violentos que ya tenían prohibido el acceso. A pesar de esto, la AEPD opina que el manejo de estos datos carece de justificación sólida y que, en lugar de proteger la privacidad, se compromete la libertad individual de los asistentes al recopilar datos muy sensibles sin el debido consentimiento.

No es la primera vez que ocurren incidentes relacionados con el uso de tecnologías biométricas en el ámbito deportivo. En años pasados, otros equipos deportivos fueron sancionados por emplear sistemas de reconocimiento facial y otras técnicas de identificación biométrica sin adherirse a las normativas de protección de datos. En este contexto, la AEPD enfatiza que el uso de tecnologías de identificación biométrica debe ser considerado como una medida excepcional, clara y proporcionalmente justificada.

Este no es el primer incidente relacionado con el uso de tecnologías biométricas en el deporte. En años anteriores, otros clubes deportivos ya habían sido multados por implementar sistemas de reconocimiento facial y otras formas de identificación biométrica sin el cumplimiento necesario de las normativas de protección de datos. En este contexto, la AEPD subraya que el uso de tecnologías de identificación biométrica debe ser siempre una medida excepcional, justificada de manera clara y proporcionada.

Como consecuencia, la sanción y la orden de detener el uso de sistemas de reconocimiento facial y otras tecnologías biométricas en los estadios fuerzan a LaLiga a replantear su enfoque de seguridad. Asimismo, la resolución de la AEPD dictamina que, en el futuro, cualquier incorporación de estas tecnologías en los recintos deportivos tendrá que ajustarse estrictamente a las normativas de protección de datos, garantizando transparencia, consentimiento y reducción de los riesgos para la privacidad de los aficionados.

Como resultado, la multa y la orden de suspensión de los sistemas de reconocimiento facial y otras tecnologías biométricas en los estadios obligan a LaLiga a reconsiderar su estrategia de seguridad. Además, la resolución de la AEPD establece que, en el futuro, cualquier implementación de este tipo de tecnologías en los estadios deberá cumplir rigurosamente con las normativas de protección de datos, asegurando la transparencia, el consentimiento y la minimización de riesgos para la privacidad de los aficionados.

Este incidente pone de manifiesto la importancia de garantizar el respeto a los derechos de los ciudadanos, incluso en entornos tan visibles y populares como los estadios de fútbol. Las autoridades españolas siguen supervisando de cerca el uso de nuevas tecnologías para evitar que el avance tecnológico socave derechos fundamentales como la privacidad y la protección de datos personales.

Continue Reading

Noticias recientes

Blue Origin cancela el lanzamiento de su primer cohete orbital, el New Glenn

Blue Origin cancela el lanzamiento de su primer cohete orbital, el New Glenn

Blue Origin, la compañía espacial fundada por Jeff Bezos en 2000, suspendió el lanzamiento de su primer cohete orbital, New Glenn, que debía despegar a la 1:00 a.m. del lunes desde el Complejo de Lanzamiento 36 en Cabo Cañaveral, Florida. La cancelación se debió a problemas técnicos que los ingenieros no pudieron resolver a tiempo, afirmó la empresa.

Ariane Cornell, vicepresidenta de sistemas espaciales de Blue Origin, explicó en la transmisión en vivo:

«Estamos suspendiendo el intento de lanzamiento de hoy para resolver un problema con el subsistema del vehículo».

Tras el anuncio, los equipos responsables comenzaron a drenar el combustible del cohete, medida habitual en estos casos. Sin embargo, Blue Origin no proporcionó detalles específicos sobre la naturaleza de los problemas técnicos que llevaron a la cancelación.

Cornell añadió que todavía no hay una nueva fecha para otro intento de lanzamiento:

«Evaluaremos qué pasos debemos tomar durante este tiempo de inactividad y eso nos ayudará a decidir cuándo será la próxima oportunidad de implementación».

Un paso clave para competir en el mercado orbital

Este lanzamiento supuso un hito importante para Blue Origin, que intenta posicionarse como un competidor serio en el mercado mundial de lanzamientos espaciales, actualmente dominado por SpaceX de Elon Musk. Hasta ahora, Blue Origin era conocida principalmente por sus vuelos de turismo espacial suborbital en el cohete New Shepard. Pero New Glenn representa un importante avance para misiones más complejas, como la puesta en órbita de satélites y cargas útiles.

El vuelo cancelado estaba planeado como una prueba no tripulada para demostrar la capacidad de New Glenn de alcanzar la órbita terrestre. Este éxito habría marcado el comienzo de una nueva etapa para la empresa, permitiéndole competir por contratos gubernamentales y comerciales de alto valor.

¿Cómo es New Glenn?

El New Glenn es un cohete de gran tamaño, con una altura de unos 98 metros, lo que equivale a un edificio de 30 pisos. Su diseño incluye varios elementos clave:

  • la primera etapa: un propulsor de cohete que proporciona el empuje inicial para el despegue.
  • la sección superior: Está ubicado en el propulsor y transporta la carga útil al espacio. En esta misión, la bodega contiene tecnología de demostración experimental.

New Glenn es el primer cohete desarrollado por Blue Origin capaz de lanzar satélites y naves espaciales, una característica clave en competencia con SpaceX y United Launch Alliance (ULA).

Objetivos de vuelo de prueba

El lanzamiento fallido sirvió para varios propósitos importantes. En primer lugar, Blue Origin intentó validar el diseño del cohete New Glenn en el que había estado trabajando durante más de una década. Este éxito técnico habría sido un logro simbólico y operativo para la empresa.

Otro objetivo era probar la tecnología conocida como Anillo Azul para la nave espacial propuesta. Este vehículo está diseñado para actuar como un “carpool” en el espacio, transportando múltiples satélites a diferentes órbitas.

Además, uno de los hitos clave de Blue Origin fue el inicio del proceso de certificación de New Glenn para misiones de seguridad nacional. La medida es crucial ya que permitiría que el cohete participe en contratos del Departamento de Defensa de Estados Unidos, llevando cargas militares a órbita.

En junio de 2024, Blue Origin fue seleccionada junto con SpaceX y ULA para competir por contratos de seguridad nacional por valor de 5.600 millones de dólares. Para garantizar la participación en estas misiones, el cohete debe someterse a rigurosos vuelos de certificación durante los cuales el gobierno evalúa su diseño y desempeño.

El desafío de competir con SpaceX

La cancelación del lanzamiento pone de relieve los desafíos que enfrenta Blue Origin mientras intenta competir con SpaceX, que ha dominado el mercado de lanzamientos espaciales durante años gracias a su cohete reutilizable Falcon 9 y su último desarrollo, el Starship.

Si bien SpaceX realiza lanzamientos orbitales con regularidad, Blue Origin aún se encuentra en las primeras etapas de demostración de las capacidades de su cohete New Glenn. Aun así, la empresa tiene grandes ambiciones y está intentando posicionarse como un actor clave en el sector espacial, tanto a nivel comercial como gubernamental.

Por ahora, Blue Origin debe resolver los problemas técnicos que afectan a New Glenn antes de que se puedan reanudar los intentos de lanzamiento. Aunque este revés representa un retraso en sus planes, la empresa sigue comprometida con alcanzar sus objetivos a largo plazo.

Junto con grandes contratos y un mercado competitivo, el éxito de New Glenn será crucial para determinar el futuro de Blue Origin en la industria aeroespacial.

Continue Reading

Noticias recientes

David Benavidez busca consolidarse en los semicompletos mientras espera su oportunidad titular

David Benavidez busca consolidarse en los semicompletos mientras espera su oportunidad titular

David Benavidez ha alzado repetidamente su voz para reclamar una oportunidad por el título del Consejo Mundial de Boxeo (CMB), pero hasta ahora su camino hacia el título ha estado lleno de obstáculos. Con una distinguida carrera en el peso súper mediano, Benavidez parecía destinado a enfrentar a Saúl “Canelo” Álvarez, quien mandaba en las 168 libras. Sin embargo, a pesar de ser un contendiente obligatorio, el campeón tapatío evitó la pelea, dejando al «Monstruo Mexicano» sin la oportunidad de demostrar su valía ante uno de los mejores boxeadores del mundo.

Benavidez no ocultó su frustración por esta situación y afirmó públicamente que Álvarez necesitaba enfrentarlo para demostrar que era el mejor. Sin embargo, lejos de esperar, Benavidez decidió buscar nuevos retos en la división de peso semipesado, división actualmente dominada por Artur Beterbiev.

Benavides mira fijamente a Beterbiev y Bivol

Con una oportunidad por el título bloqueada en las 168 libras, Benavidez subió a las 175 libras, donde Artur Beterbiev (21-0) reina como campeón indiscutido. Sin embargo, antes de pensar en un enfrentamiento con Beterbiev, Benavides deberá esperar el resultado de la revancha entre Beterbiev y Dmitry Bivol (23-1), que en 2022 venció a Canelo Álvarez en una actuación memorable.

La primera pelea entre Beterbiev y Bivol terminó con una polémica decisión a favor del invicto ruso, lo que provocó polémica en el mundo del boxeo. Muchos, incluido el ex campeón Sergey Kovalev, creen que Bivolo ganó la pelea por un estrecho margen de 7 asaltos a 5. Según Kovalev, Bivolo llegará a la revancha, prevista para el 22 de febrero, con más confianza y con grandes posibilidades de victoria, lo que Podría abrir la puerta a una trilogía entre ambos.

Si esa trilogía llega a concretarse, Benavidez tendrá que esperar aún más para enfrentar a los dos campeones. Mientras tanto, se prepara para demostrar que merece su lugar en la cima de la división de peso semipesado.

El desafío inmediato: David Morrell

Antes de buscar enfrentarse a Beterbiev o Bivol, Benavidez tendrá que superar un reto importante: David Morel (11-0). El cubano, conocido por su técnica y golpeo, presenta una dura prueba para Benavidez, quien busca mantener su récord invicto (29-0) y establecerse como el próximo gran contendiente de la división.

La pelea entre Benavidez y Morel está programada para el 1 de febrero en Las Vegas, una noche que promete ser emocionante para los fanáticos del boxeo. La cartelera también contará con el mexicano Isaac «Pitbull» Cruz (26-3-1), quien sube al peso pluma para enfrentar a Ángel Fierro (23-2-2) en una pelea que podría catapultar al ganador a las grandes oportunidades en el división.

Benavidez y su búsqueda de la grandeza

David Benavidez no sólo busca un título; Quiere establecerse como uno de los mejores boxeadores libra por libra que existen. A pesar de los obstáculos que enfrenta, su determinación y ambición lo mantienen en la conversación como una seria amenaza en cada división en la que compite.

Si logra derrotar a Morel, el “Monstruo Mexicano” estará un paso más cerca de enfrentarse a los mejores de la división de peso semipesado. Por ahora, su objetivo es claro: demostrar su superioridad sobre el ring y avanzar hacia el título mundial que anhela. Ya sea contra Beterbiev, Bivol o incluso un regreso a las 168 libras para enfrentar a Canelo, el camino de Benavidez promete estar lleno de desafíos y oportunidades para dejar su huella en la historia del boxeo.

Continue Reading