Novedades de la semana: vulnerabilidades y Trinitarios
Mozilla ha lanzado Firefox 113, la última versión de su popular navegador web, con una serie de mejoras y características nuevas.
La función Picture-in-Picture se ha optimizado para incluir funcionalidades como rebobinar y verificar la duración de los vídeos. Asimismo, el generador de contraseñas ahora admite caracteres especiales, mejorando la seguridad.
Firefox 113 también introduce novedades para la versión Android, con soporte para la decodificación de video AV1 y aceleración GPU para Canvas 2D por defecto.
Una de las características más esperadas, la compatibilidad con la función de arrastrar y soltar archivos en Microsoft Outlook, se ha incorporado en esta versión. Además, el navegador ahora soporta imágenes AV1 con animaciones.
En términos de accesibilidad y rendimiento, Firefox 113 presenta un motor de accesibilidad rediseñado y la característica Awesomebar habilitada por defecto. También se ha habilitado por defecto la función de desplazamiento elástico.
En resumen, Firefox 113 ofrece una experiencia de navegación más segura, accesible y mejorada, reafirmando el compromiso de Mozilla Firefox para con los usuarios de su navegador.
Se han revelado vulnerabilidades de seguridad en dos plugins populares de WordPress, Essential Addons for Elementor y Advanced Custom Fields. Ambos casos representan amenazas potenciales para los sitios que los utilizan, y se insta a los usuarios a actualizar a las versiones más recientes para mitigar estos riesgos.
La vulnerabilidad de Essential Addons for Elementor, identificada como CVE-2023-32243, podría permitir a los usuarios no autenticados obtener privilegios elevados en los sitios afectados. Los atacantes pueden explotar esta vulnerabilidad para restablecer la contraseña de cualquier usuario si conocen su nombre de usuario, lo que podría permitirles tomar el control total de un sitio web.
La falla, presente desde la versión 5.4.0 del plugin, se abordó en la versión 5.7.2 lanzada el 11 de mayo de 2023. Se sabe que Essential Addons for Elementor tiene más de un millón de instalaciones activas.
Por otro lado, el plugin Advanced Custom Fields, con más de dos millones de instalaciones activas, también ha revelado una vulnerabilidad de seguridad. El problema, rastreado como CVE-2023-30777, implica un caso de scripting de sitio cruzado reflejado (XSS) que podría ser abusado para inyectar scripts ejecutables arbitrarios en sitios web.
El fallo permite a un usuario no autenticado robar información sensible y escalar privilegios en el sitio de WordPress al engañar a un usuario privilegiado para que visite la URL manipulada. Se descubrió y reportó el problema el 2 de mayo de 2023, y se insta a los usuarios a actualizar a la versión 6.1.6 del plugin.
Los ataques XSS reflejados suelen ocurrir cuando las víctimas son engañadas para hacer clic en un enlace falso enviado por correo electrónico u otro medio. Esto causa que el código malicioso sea enviado al sitio web vulnerable, que refleja el ataque de vuelta al navegador del usuario.
Ambas vulnerabilidades subrayan la importancia de mantener los plugins de WordPress actualizados para proteger los sitios web de posibles ataques. Se insta a los administradores de sitios web a instalar las últimas versiones de ambos plugins para mitigar estas amenazas de seguridad. Además, se recomienda a los usuarios estar atentos a las comunicaciones oficiales de los desarrolladores de plugins para estar al tanto de las últimas actualizaciones de seguridad.
La Policía Nacional de España anunció recientemente el arresto de 40 individuos supuestamente involucrados en una banda de crimen organizado conocida como Trinitarios. La operación, que ha desmantelado un complejo esquema de ciberdelincuencia, ha desvelado el impacto devastador que pueden tener los ciberdelitos en nuestras vidas cotidianas.
Entre los detenidos se encuentran dos hackers acusados de cometer estafas bancarias utilizando técnicas de phishing y smishing. Otros 15 miembros de la banda también han sido acusados de varios delitos, entre ellos fraude bancario, falsificación de documentos, robo de identidad y lavado de dinero. En total, se estima que el nefasto esquema ha defraudado a más de 300,000 víctimas, dando como resultado pérdidas de más de 700,000 €.
Según los oficiales, la organización criminal usaba herramientas de piratería y logística empresarial para llevar a cabo estafas informáticas. Para perpetrar los ataques, los ciberdelincuentes enviaban enlaces falsos a través de SMS que, al ser pulsados, redirigían a los usuarios a un panel de phishing que se hacía pasar por instituciones financieras legítimas para robar sus credenciales.
Estos mensajes de SMS buscaban inducir una falsa sensación de urgencia e incrementar la posibilidad de éxito de los actores, instando a los destinatarios a hacer clic en el enlace adjunto para resolver un supuesto problema de seguridad con sus cuentas bancarias.
Las tarjetas robadas se utilizaban para comprar activos digitales, que luego se canjeaban para financiar las operaciones del grupo, como el pago de honorarios legales, el envío de dinero a miembros en prisión y la compra de narcóticos y armas. Parte de los ingresos ilícitos también se enviaban a cuentas bancarias extranjeras, desde donde otros miembros del grupo invertían el dinero en comprar bienes raíces en la República Dominicana.
Además, la banda contaba con una extensa red de mulas que usaban para recibir dinero de transferencias bancarias y retirarlo a través de cajeros automáticos.
Otra estafa perpetrada por el grupo consistía en contratar terminales de punto de venta (PoS) mediante la creación de empresas ficticias para hacer compras falsas.
Las autoridades informaron que se realizaron 13 registros domiciliarios en las provincias de Madrid, Sevilla y Guadalajara, lo que ocasionó la confiscación de equipos informáticos, candados, €5,000 en efectivo, kits de herramientas para forzar cerraduras y otros documentos que contienen información sobre la estructura organizativa de la banda.
Este caso es un recordatorio de la importancia de mantener la seguridad cibernética y la diligencia debida en nuestras interacciones digitales. Al final del día, la prevención y la educación son nuestras mejores defensas contra estas amenazas en constante evolución.