📃 "BlueSpy – Espiando conversaciones a través de Bluetooth" https://www.tarlogic.com/es/blog/bluespy-espiando-conversaciones-a-traves-de-bluetooth/
📃 "BSAM: Metodología para la evaluación de seguridad Bluetooth" https://www.tarlogic.com/bsam/es/
🛠 https://github.com/TarlogicSecurity/BlueSpy
📃 "BSAM: Metodología para la evaluación de seguridad Bluetooth" https://www.tarlogic.com/bsam/es/
🛠 https://github.com/TarlogicSecurity/BlueSpy
Tarlogic Security
BlueSpy – Espiando conversaciones a través de Bluetooth
BlueSpy es una prueba de concepto que permite explotar vulnerabilidades presentes en auriculares Bluetooth y espiar conversaciones privadas
📃 "Loop DoS: nuevo ataque de DoS dirigido a UDP" https://blog.segu-info.com.ar/2024/03/loop-dos-nuevo-ataque-de-dos-dirigido.html
📃 "5 lecciones de ciberseguridad que aprendimos con Matrix" https://www.welivesecurity.com/es/otros-temas/5-lecciones-ciberseguridad-matrix/
1. Puedes estar infectado y no lo sabes
2. No todo es lo que parece
3. La información sensible debe protegerse
4. La educación es la mejor defensa
5. La seguridad es una responsabilidad compartida
1. Puedes estar infectado y no lo sabes
2. No todo es lo que parece
3. La información sensible debe protegerse
4. La educación es la mejor defensa
5. La seguridad es una responsabilidad compartida
Welivesecurity
5 lecciones de ciberseguridad que aprendimos con Matrix
En vísperas del 25° aniversario del estreno de Matrix, un filme bisagra para el cine y la cultura hacker, repasamos las enseñanzas que esta obra nos deja para aplicar en cuanto a la seguridad de nuestra información.
¡Chorprecha!
🟡 Puede contener trazas de amarillismo
📃 "12 millones de claves y secretos filtrados en GitHub" https://blog.segu-info.com.ar/2024/03/12-millones-de-claves-y-secretos.html
📃 "ChatGPT: más de 225.000 credenciales comprometidas se venden en la Dark Web" https://www.welivesecurity.com/es/cibercrimen/chatgpt-credenciales-comprometidas-se-venden-dark-web/
📃 "Cómo robar cuentas de ChatGPT con 'Wildcard Web Cache Deception'" https://www.elladodelmal.com/2024/03/como-robar-cuentas-de-chatgpt-con.html
📃 "El grupo ShadowSyndicate aprovecha fallo en la biblioteca de Python Aiohttp poniendo en riesgo a servidores de todo el mundo" https://unaaldia.hispasec.com/2024/03/el-grupo-shadowsyndicate-aprovecha-fallo-en-la-biblioteca-de-python-aiohttp-poniendo-en-riesgo-a-servidores-de-todo-el-mundo.html
📃 "Hackean a jugadores profesionales de ‘Apex Legends’ en mitad de la partida: ¿Qué ha sucedido?" https://hipertextual.com/2024/03/apex-legends-jugadores-hackeados
📃 "Creían estar seguros negociando con drogas en la Dark Web, pero ahora les están extorsionando: o pagan o la policía tendrá sus datos" https://www.genbeta.com/seguridad/creian-estar-seguros-negociando-drogas-dark-web-ahora-les-estan-extorsionando-pagan-policia-tendra-sus-datos
📃 "800 paquetes NPM vulnerables a 'Manifest Confusion'" https://blog.segu-info.com.ar/2024/03/800-paquetes-npm-vulnerables-manifest.html
📃 "Alerta por estafa de falsa oferta de empleo por Instagram y WhatsApp" https://www.welivesecurity.com/es/estafas-enganos/alerta-estafa-falsa-oferta-empleo-instagram-whatsapp/
📃 "Francia multa a Google con 250 millones de euros por usar contenidos para entrenar su IA sin negociar con los medios" https://www.elotrolado.net/noticias/tecnologia/francia-multa-google-entrenar-ia-medios
📃 "Un grave fallo de seguridad del gobierno francés expone datos de hasta 43 millones de personas" https://www.muyseguridad.net/2024/03/20/un-grave-fallo-de-seguridad-del-gobierno-frances-expone-datos-de-hasta-43-millones-de-personas/
📃 "Pwn2Own 2024: caen Windows, Tesla, Ubuntu, Chrome, VirtualBox" https://blog.segu-info.com.ar/2024/03/pwn2own-2024-caen-windows-tesla-ubuntu.html
📃 "Una vulnerabilidad irreparable en el chip de Apple filtra claves de cifrado secretas" https://unaaldia.hispasec.com/2024/03/una-vulnerabilidad-irreparable-en-el-chip-de-apple-filtra-claves-de-cifrado-secretas.html
📃 "Google borrará miles de millones de historiales de Chrome en modo incógnito a pesar de haber asegurado que era imposible" https://www.elotrolado.net/noticias/internet/google-borrara-historiales-navegacion-chrome-modo-incognito-demanda
📃 "Ataque DoS a través de vulnerabilidad en protocolo HTTP/2" https://blog.segu-info.com.ar/2024/04/ataque-dos-traves-de-vulnerabilidad-en.html
📃 "Aplicaciones VPN gratuitas en Google Play transforman móviles Android en servidores proxies" https://unaaldia.hispasec.com/2024/04/aplicaciones-vpn-gratuitas-en-google-play-transforman-moviles-android-en-servidores-proxies.html
📃 "Documentos judiciales revelan que Facebook permitió a Netflix acceder a los mensajes directos de los usuarios durante casi una década" https://ludd.es/documentos-judiciales-revelan-que-facebook-permitio-a-netflix-acceder-a-los-mensajes-directos-de-los-usuarios-durante-casi-una-decada/
📃 "Alexa nos espía en el teletrabajo" https://ciberseguridad.blog/alexa-nos-espia-en-el-teletrabajo/
📃 "La trampa de los cursos para aprender a programar en meses: 'Te endeudas y no consigues trabajo'" https://www.epe.es/es/reportajes/20240406/trampa-cursos-aprender-programar-meses-100655847
@seguridadinformatic4 recopiló estos artículos. Se agradece mención si reenvías.
🟡 Puede contener trazas de amarillismo
📃 "12 millones de claves y secretos filtrados en GitHub" https://blog.segu-info.com.ar/2024/03/12-millones-de-claves-y-secretos.html
📃 "ChatGPT: más de 225.000 credenciales comprometidas se venden en la Dark Web" https://www.welivesecurity.com/es/cibercrimen/chatgpt-credenciales-comprometidas-se-venden-dark-web/
📃 "Cómo robar cuentas de ChatGPT con 'Wildcard Web Cache Deception'" https://www.elladodelmal.com/2024/03/como-robar-cuentas-de-chatgpt-con.html
📃 "El grupo ShadowSyndicate aprovecha fallo en la biblioteca de Python Aiohttp poniendo en riesgo a servidores de todo el mundo" https://unaaldia.hispasec.com/2024/03/el-grupo-shadowsyndicate-aprovecha-fallo-en-la-biblioteca-de-python-aiohttp-poniendo-en-riesgo-a-servidores-de-todo-el-mundo.html
📃 "Hackean a jugadores profesionales de ‘Apex Legends’ en mitad de la partida: ¿Qué ha sucedido?" https://hipertextual.com/2024/03/apex-legends-jugadores-hackeados
📃 "Creían estar seguros negociando con drogas en la Dark Web, pero ahora les están extorsionando: o pagan o la policía tendrá sus datos" https://www.genbeta.com/seguridad/creian-estar-seguros-negociando-drogas-dark-web-ahora-les-estan-extorsionando-pagan-policia-tendra-sus-datos
📃 "800 paquetes NPM vulnerables a 'Manifest Confusion'" https://blog.segu-info.com.ar/2024/03/800-paquetes-npm-vulnerables-manifest.html
📃 "Alerta por estafa de falsa oferta de empleo por Instagram y WhatsApp" https://www.welivesecurity.com/es/estafas-enganos/alerta-estafa-falsa-oferta-empleo-instagram-whatsapp/
📃 "Francia multa a Google con 250 millones de euros por usar contenidos para entrenar su IA sin negociar con los medios" https://www.elotrolado.net/noticias/tecnologia/francia-multa-google-entrenar-ia-medios
📃 "Un grave fallo de seguridad del gobierno francés expone datos de hasta 43 millones de personas" https://www.muyseguridad.net/2024/03/20/un-grave-fallo-de-seguridad-del-gobierno-frances-expone-datos-de-hasta-43-millones-de-personas/
📃 "Pwn2Own 2024: caen Windows, Tesla, Ubuntu, Chrome, VirtualBox" https://blog.segu-info.com.ar/2024/03/pwn2own-2024-caen-windows-tesla-ubuntu.html
📃 "Una vulnerabilidad irreparable en el chip de Apple filtra claves de cifrado secretas" https://unaaldia.hispasec.com/2024/03/una-vulnerabilidad-irreparable-en-el-chip-de-apple-filtra-claves-de-cifrado-secretas.html
📃 "Google borrará miles de millones de historiales de Chrome en modo incógnito a pesar de haber asegurado que era imposible" https://www.elotrolado.net/noticias/internet/google-borrara-historiales-navegacion-chrome-modo-incognito-demanda
📃 "Ataque DoS a través de vulnerabilidad en protocolo HTTP/2" https://blog.segu-info.com.ar/2024/04/ataque-dos-traves-de-vulnerabilidad-en.html
📃 "Aplicaciones VPN gratuitas en Google Play transforman móviles Android en servidores proxies" https://unaaldia.hispasec.com/2024/04/aplicaciones-vpn-gratuitas-en-google-play-transforman-moviles-android-en-servidores-proxies.html
📃 "Documentos judiciales revelan que Facebook permitió a Netflix acceder a los mensajes directos de los usuarios durante casi una década" https://ludd.es/documentos-judiciales-revelan-que-facebook-permitio-a-netflix-acceder-a-los-mensajes-directos-de-los-usuarios-durante-casi-una-decada/
📃 "Alexa nos espía en el teletrabajo" https://ciberseguridad.blog/alexa-nos-espia-en-el-teletrabajo/
📃 "La trampa de los cursos para aprender a programar en meses: 'Te endeudas y no consigues trabajo'" https://www.epe.es/es/reportajes/20240406/trampa-cursos-aprender-programar-meses-100655847
@seguridadinformatic4 recopiló estos artículos. Se agradece mención si reenvías.
📃 "Vulnerabilidad en comando 'Wall'" https://blog.segu-info.com.ar/2024/03/vulnerabilidad-en-comando-wall-linux.html
ENG Defensa contra el ransomware
📃 "Defending the Realm - Ransomware 101" https://www.pwndefend.com/2021/05/09/ransomware-defence-checklist-part-1-initial-access/
📃 "Recap" https://www.pwndefend.com/2021/05/15/ransomware-defence-part-2a-persistence-privilege-escalation-and-lateral-movement/
📃 "Defending the Realm - Ransomware 101" https://www.pwndefend.com/2021/05/09/ransomware-defence-checklist-part-1-initial-access/
📃 "Recap" https://www.pwndefend.com/2021/05/15/ransomware-defence-part-2a-persistence-privilege-escalation-and-lateral-movement/
📃 "Darcula software de SMiShing chino" https://blog.segu-info.com.ar/2024/03/darcula-software-de-smishing-chino.html
📃 "PrintListener: Cómo clonarte las huellas digitales por el sonido de deslizar un control en la pantalla del móvil" https://www.elladodelmal.com/2024/03/printlistener-como-clonarte-las-huellas.html
🎥 "Así roban tu huella con el sonido" https://www.youtube.com/watch?v=KhLyk9B69tg&ab_channel=s4vitar
📃 "Audio Snooping: Escuchar tus pulsaciones de teclado y saber qué escribes (Con y Sin Deep Learning)" https://www.elladodelmal.com/2024/03/audio-snooping-escuchar-tus-pulsaciones.html Más info: https://www.tg-me.com/seguridadinformatic4/4084
🎥 "Así roban tu huella con el sonido" https://www.youtube.com/watch?v=KhLyk9B69tg&ab_channel=s4vitar
📃 "Audio Snooping: Escuchar tus pulsaciones de teclado y saber qué escribes (Con y Sin Deep Learning)" https://www.elladodelmal.com/2024/03/audio-snooping-escuchar-tus-pulsaciones.html Más info: https://www.tg-me.com/seguridadinformatic4/4084
Elladodelmal
PrintListener: Cómo clonarte las huellas digitales por el sonido de deslizar un control en la pantalla del móvil
Blog personal de Chema Alonso (CDO Telefónica, 0xWord, MyPublicInbox, Singularity Hackers) sobre seguridad, hacking, hackers y Cálico Electrónico.
Info de XZ 👀
📃 "Backdoor para biblioteca XZ Utils en varias distros de Linux" https://blog.segu-info.com.ar/2024/03/backdoor-para-fedora-56-y.html
📃 "Jugando con el backdoor de XZ Utils" https://www.hackplayers.com/2024/04/jugando-con-el-backdoor-de-xz-utils.html
📃 "Detectaron un backdoor en la utilidad XZ que afecta a varias distros de Linux" https://www.linuxadictos.com/detectaron-un-backdoor-en-la-utilidad-xz-que-afecta-a-varias-distros-de-linux.html
📃 "¿Cómo fue posible que Debian pasara por alto el backdoor en XZ? Un breve análisis del caso" https://www.linuxadictos.com/como-fue-posible-que-debian-pasara-por-alto-el-backdoor-en-xz-un-breve-analisis-del-caso.html
📃 "La puerta trasera XZ: lo que se sabe" https://blog.segu-info.com.ar/2024/04/la-puerta-trasera-xz-lo-que-se-sabe.html
📃 "Se dieron a conocer los resultados del análisis del backdoor en XZ" https://www.linuxadictos.com/se-dieron-a-conocer-los-resultados-del-analisis-del-backdoor-en-xz.html
📃 "CVE-2024-3094 XZ Backdoor" https://www.flu-project.com/2024/04/cve-2024-3094-xz-backdoor.html
📃 "XZ, OpenSource y una serie de catastróficas desdichas" https://atareao.es/podcast/xz-opensource-y-una-serie-de-catastroficas-desdichas/
📃 "La ingeniería social detrás del ataque a la utilería XZ de Linux que puso en riesgo miles de servidores" https://www.welivesecurity.com/es/seguridad-digital/ingenieria-social-cadena-suministro-ataque-utileria-xz-linux/
🎥 "Todo lo que debes saber del XZ Backdoor" https://www.youtube.com/watch?v=X7bkw7HAkaM&t=5s&ab_channel=Platzi
🎥 "Todo sobre el BACKDOOR de XZ en Linux" https://www.youtube.com/watch?v=lRKyi6gRTMA&ab_channel=VidaMRR-Programacionweb
📃 "Backdoor para biblioteca XZ Utils en varias distros de Linux" https://blog.segu-info.com.ar/2024/03/backdoor-para-fedora-56-y.html
📃 "Jugando con el backdoor de XZ Utils" https://www.hackplayers.com/2024/04/jugando-con-el-backdoor-de-xz-utils.html
📃 "Detectaron un backdoor en la utilidad XZ que afecta a varias distros de Linux" https://www.linuxadictos.com/detectaron-un-backdoor-en-la-utilidad-xz-que-afecta-a-varias-distros-de-linux.html
📃 "¿Cómo fue posible que Debian pasara por alto el backdoor en XZ? Un breve análisis del caso" https://www.linuxadictos.com/como-fue-posible-que-debian-pasara-por-alto-el-backdoor-en-xz-un-breve-analisis-del-caso.html
📃 "La puerta trasera XZ: lo que se sabe" https://blog.segu-info.com.ar/2024/04/la-puerta-trasera-xz-lo-que-se-sabe.html
📃 "Se dieron a conocer los resultados del análisis del backdoor en XZ" https://www.linuxadictos.com/se-dieron-a-conocer-los-resultados-del-analisis-del-backdoor-en-xz.html
📃 "CVE-2024-3094 XZ Backdoor" https://www.flu-project.com/2024/04/cve-2024-3094-xz-backdoor.html
📃 "XZ, OpenSource y una serie de catastróficas desdichas" https://atareao.es/podcast/xz-opensource-y-una-serie-de-catastroficas-desdichas/
📃 "La ingeniería social detrás del ataque a la utilería XZ de Linux que puso en riesgo miles de servidores" https://www.welivesecurity.com/es/seguridad-digital/ingenieria-social-cadena-suministro-ataque-utileria-xz-linux/
🎥 "Todo lo que debes saber del XZ Backdoor" https://www.youtube.com/watch?v=X7bkw7HAkaM&t=5s&ab_channel=Platzi
🎥 "Todo sobre el BACKDOOR de XZ en Linux" https://www.youtube.com/watch?v=lRKyi6gRTMA&ab_channel=VidaMRR-Programacionweb
📃 "Gmail cumple 20 años en los que los usuarios han pagado su servicio gratuito con privacidad: así lee tus e-mails" https://www.genbeta.com/correo/gmail-cumple-20-anos-que-usuarios-han-pagado-su-servicio-gratuito-privacidad-asi-lee-tus-e-mails
Genbeta
Gmail cumple 20 años en los que los usuarios han pagado su servicio gratuito con privacidad: así lee tus e-mails
En los últimos años, incluso pese al auge paralelo de la mensajería instantánea, los servicios de e-mail gratuitos se han convertido en una herramienta...
📃 "CVE-2024-1086: “make me root” en Linux con el exploit de Flipping Pages" https://www.elladodelmal.com/2024/04/cve-2024-1086-make-me-root-en-linux-con.html
Elladodelmal
CVE-2024-1086: “make me root” en Linux con el exploit de Flipping Pages
Blog personal de Chema Alonso (CDO Telefónica, 0xWord, MyPublicInbox, Singularity Hackers) sobre seguridad, hacking, hackers y Cálico Electrónico.
📃 "He probado Jan, la alternativa a ChatGPT de código abierto y gratis que puedes usar en local: la privacidad está a otro nivel" https://www.genbeta.com/inteligencia-artificial/he-probado-jan-alternativa-a-chatgpt-codigo-abierto-gratis-que-puedes-usar-local-privacidad-esta-a-otro-nivel
Genbeta
He probado Jan, la alternativa a ChatGPT de código abierto y gratis que puedes usar en local: la privacidad está a otro nivel
Desde hace unos cuantos meses hay modelos de inteligencia artificial para elegir: GPT 3.5 y GPT 4, Mistral, LlaMA... y aunque puedes tener preferencia por...
📃 "GoFetch: Cómo extraer claves RSA con Data Memory-Dependent Prefetch en los Apple Serie-M" https://www.elladodelmal.com/2024/04/gofetch-como-extraer-claves-rsa-con.html
Elladodelmal
GoFetch: Cómo extraer claves RSA con Data Memory-Dependent Prefetch en los Apple Serie-M
Blog personal de Chema Alonso (CDO Telefónica, 0xWord, MyPublicInbox, Singularity Hackers) sobre seguridad, hacking, hackers y Cálico Electrónico.
📃 "Revisión de la CRTA (Certified Red Team Analyst)" https://infayer.com/archivos/2629
📃 "CrimsonEDR: una herramienta para simular el comportamiento de un EDR (y aprender a evadirlo)" https://www.hackplayers.com/2024/04/crimsonedr-una-herramienta-para-simular-edr.html
🛠 https://github.com/Helixo32/CrimsonEDR
🛠 https://github.com/Helixo32/CrimsonEDR
Hackplayers
CrimsonEDR: una herramienta para simular el comportamiento de un EDR (y aprender a evadirlo)
CrimsonEDR es un proyecto de código abierto de Matthias Ossard (aka helixo32) diseñado para identificar patrones de malware específicos y ...
📃 "Phishing utiliza ofuscación para distribuir malware en varias etapas" https://blog.segu-info.com.ar/2024/04/phishing-utiliza-ofuscacion-para.html
📃 "Constrained Delegation y Resource-Based Constrained Delegation (RBCD) – Kerberos" https://deephacking.tech/constrained-delegation-y-resource-based-constrained-delegation-rbcd-kerberos/
Deep Hacking
Constrained Delegation y Resource-Based Constrained Delegation (RBCD) - Kerberos - Deep Hacking
Previamente hemos hablado en otro artículo del Unconstrained Delegation y gracias a ello, sabemos que la delegación es un mecanismo existente en Kerberos para