El año pasado el hacker gallego Antonio Fernándes tuvo un momento "sujétame el cubata" con otro hacker: ambos intentaron y lograron colarse en la NASA.

Lo hicieron de forma ética, y lo curioso es que la agencia espacial les acabó enviando una carta de agradecmiento por explicarles cómo protegerse de futuros ciberataques similares. Esa historia es parte integral de Crossover 1x17, la nueva entrega de nuestro programa de tecnología y entretenimiento.

En Xataka

Soy informático y trabajo reportando fallos de software a las grandes empresas tecnológicas

Pero es que además este experto nos habló de la práctica del Bug Bounty —tratar de cazar fallos y vulnerabilidades en sistemas informáticos— y nos reveló un dato de lo más curioso: hay una "selección española" centrada en esta disciplina... ¡que ganó un mundial de hacking!

Fernándes también tuvo tiempo de explicar en detalle cómo evitar ataques de ransomware, qué tipo de seguridad podemos esperar de nuestros móviles o cómo de peligroso es el futuro al que nos enfrentamos ahora que se nos vienen encima los deefakes y la IA maliciosa.

Presentado por Jaume Lahoz y Carlos Santa Engracia, en este nuevo episodio hay además otros espacios destacados. Así, probamos el nuevo Polestar 3, el SUV eléctrico que quiere competir (entre otros) con los Tesla. Jugamos a "¿realidad o mito?" con Ana Boria e incluso tenemos tiempo para hablar de esas pulseras de actividad desarrolladas por Whoop que van un paso más allá en la gestión de los datos de actividad física. ¡Que lo disfrutéis!

En YouTube | Crossover

¿Imaginas ir un día a un cajero automático a sacar algo de dinero para pagar la cena y las copas con tus amigos y descubrir que puedes sacar todo el dinero que quieras sin límite y sin que se descuente del saldo de tu cuenta corriente?

Esto, que para el 99% de la población que no tiene más de seis cifras en su saldo bancario, terminó por convertirse en una pesadilla para Dan Saunders, un humilde camarero australiano tocado por la diosa Fortuna.

El cajero mágico con dinero infinito

Vice contaba la increíble historia que vivió en primera persona Dan Saunders, un camarero australiano de 29 años que una noche de 2011 salió del bar en el que se encontraba con su esposa y sus amigos para sacar algo de dinero con el que pagar la cena. Al intentar saber cuánto dinero podía sacar dinero de su maltrecha cuenta corriente, el cajero automático mostró en pantalla el mensaje "saldo no disponible en este momento".

Ante la imposibilidad de saber cuánto dinero tenía disponible, Saunders quiso asegurarse transfiriendo 200 dólares australianos de su cuenta de crédito a su cuenta corriente con el fin de tener saldo suficiente para sacarlo de ella. No fue posible. El cajero devolvía el mensaje "Transacción cancelada" y le devolvía la tarjeta.

En Xataka

Si eres víctima del spoofing bancario, no todo está perdido: "Los bancos sí pueden tener responsabilidad en las ciberestafas"

Ante la negativa del cajero a hacer una operación tan habitual, Saunders decidió probar suerte y comprobar si el cajero le permitía sacar dinero de su cuenta corriente. El cajero no mostró impedimento alguno y le entregó los 200 dólares australianos que necesitaba para pagar las consumiciones, así que volvió al bar con su pareja y amigos.

Aquel comportamiento extraño del cajero dejó intrigado al joven. Al salir del bar, con alguna copa de más y sin nada mejor que hacer, Dan Saunders volvió al cajero a probar suerte de nuevo. Solo por curiosidad.

Repitió la transferencia de 200 dólares australianos para que la operación no quedara en negativo e intentó retirar 200 dólares, luego repitió con 500 dólares y continuó con 600 dólares más hasta sumar 2.000 dólares. Estaba seguro de que su cuenta no tenía tanto dinero como le había dado el cajero. "Era como un truco de magia".

Saldo ilimitado por un fallo del banco

A la mañana siguiente, con su cartera llena de dinero, Saunders llamó al banco para comprobar qué saldo le quedaba en sus cuentas. Su sorpresa fue mayúscula cuando le dijeron que seguía teniendo el mismo saldo que el día anterior, tanto en la de crédito, como en su cuenta corriente.

Decidió esperar un poco más para ver si el banco tardaba un cierto tiempo en reflejar los movimientos, y a las 24 horas, la cuenta de ahorros reflejaba un saldo negativo del importe que había sacado la noche anterior, pero la cuenta de crédito no registraba ningún movimiento.

Tras varios experimentos, Saunders descubrió que, durante las madrugadas, el sistema del cajero automático se desconectaba del banco y de Internet, por lo que podía aprovechar ese lapso de tiempo para hacer la transferencia entre cuentas y retirar el dinero del cajero para que no quedaba rastro de la operación.

El único inconveniente era que cada día debía ir incrementando las cantidades que  transfería desde la cuenta de crédito para no quedar en negativo. "Podía 'crear' el dinero de la nada haciendo una transferencia entre la una y las tres de la madrugada, hora en la que los cajeros no estaban conectados con el banco", aseguraba Saunders.

En Xataka

Cuánto dinero necesitas para estar entre el 1% más rico de España

Millonario por "arte de magia"

En poco menos de cuatro meses, Dan Saunders retiró más de 1,6 millones de dólares australianos en sus excursiones nocturnas al cajero. Al cambio, son unos 980.000 euros y nadie del banco advirtió que algo sucedía con el dinero porque las operaciones se saldaban sin dejar deuda en sus cuentas.

Sin embargo, el volumen de efectivo que debía retirar cada vez era mayor, por lo que los cajeros automáticos no disponían de tanto efectivo. Así que evolucionó su sistema y pasó a realizar las transferencias por la noche, pero iba personalmente a retirar el efectivo al banco por la mañana.

"Era muy adictivo saber que con solo pulsar una tecla podías hacer que tu saldo aumentara millones; me sentía como un cavernícola que acababa de descubrir el fuego", explicaba el camarero en su entrevista con Vice.

Con ese dinero, Dan comenzó a vivir una vida de millonario, organizando ostentosas fiestas con sus amigos, alquiló jets privados para sus viajes y pagó las matrículas universitarias de sus amigos, aunque algunos eran reacios a seguirle el juego sabiendo de procedía todo ese dinero.

"Cuando saben que tienes dinero, te tratan de forma distinta. Si un alguien se entera de que tienes mucha pasta, te vendrá a venderte alguna idea para ganar más. Por ejemplo, recuerdo que fui al banco a sacar dinero y, cuando la chica que me atendía vio mi saldo, cambió de actitud. De repente, miraba con admiración a ese tío que tenía millones en la cuenta. Así viven los ricos", contaba en su entrevista.

Saunders nunca confesó a su familia el origen del dinero. "Me habrían echado bronca. Le conté a un montón de gente que trabajaba en inversiones o en el mercado inmobiliario. Habré contado infinidad de versiones porque conocí a tantas personas que ya ni me acuerdo".

No le pillaron, lo hizo su conciencia

Pese a todo el dinero que había retirado del cajero utilizando este método, el banco nunca sospechó el desfalco que se estaba cometiendo. Sin embargo, esos actos sí pesaban sobre la conciencia de Dan Saunders que comenzaba a preocuparse por las dimensiones que estaba tomando. "Eran números en una pantalla. Durante más de cuatro meses, nadie lo echó de menos. En mi razonamiento, no le estaba robando a nadie". Sin embargo, la culpa le empezaba a pasar factura.

"Incluso soñaba con que vendrían a detenerme. Una noche tuve una pesadilla en la que un equipo de los SWAT me estaba esperando frente al hotel en el que me alojaba. Recuerdo que me desperté empapado de sudor y en ese momento sonó el timbre de la puerta. Ya está. Se acabó. Vienen por mí, pensé ⎯lo cual habría sido un alivio, la verdad⎯, pero resultó ser la camarera de habitaciones", recordaba Saunders.

El temor de Dan Saunders a que un buen día la policía llamara a su puerta fue tal que incluso ideó un plan de fuga que incluía esconderse a plena vista entre los turistas de Mallorca. "Habría huido a España, tal vez Mallorca, y habría puesto todo el dinero no en los bancos, sino en los casinos, porque no hacen preguntas", aseguró.

Finalmente, Saunders contactó con su banco para contar el fallo informático que había descubierto y cómo había estado obteniendo dinero de sus cajeros de forma ilícita. En el banco se limitaron a decirle: "Ahora está en manos de la policía y nosotros no podemos hablar con usted. La policía le llamará, pero se ha metido en un lío muy gordo", contaba en su entrevista.

El humilde camarero australiano pensaba que la policía iba a venir inmediatamente a detenerlo, pero durante dos años no supo nada de la policía. Cansado de la incertidumbre, se dirigió a los medios de comunicación para hacer público su caso. Su historia se convirtió en un documental emitido en prime time lo que llamó la atención de la policía y lo detuvo.

Finalmente, se inició la investigación y un juicio en el que Dan Saunders fue condenado a un año de prisión y 18 meses de servicios comunitarios. Según le confesó su abogado, el banco no había denunciado a Saunders a la policía en un intento de tapar su fallo de seguridad. De ahí que tardaran tanto en detenerle. Solo llamó la atención sobre el delito que había cometido tras hacerlo público él mismo en televisión.

En Xataka | Carlo Ponzi: el genio detrás de la estafa piramidal que conquistó América

Imagen | Unsplash (Eduardo Soares, Nick Pampoukidis, Alexander Mils, Celyn Kang)

El Mad Cool vive rodeado de polémica. Todavía faltan meses para la edición de este 2023 pero ya ha tenido su primer problema. Uno que a ningún festival le gustaría tener. Debido a un fallo informático, los datos de miles de personas han quedado a la vista del resto y lo que es peor, incluso se podían descargar las entradas de otras personas.

El problema ocurrió el pasado martes al mediodía. En el momento en que Ticketmaster ofreció poder descargar las entradas y solicitar el envío de las pulseras, se realizó un envío masivo que daba acceso a todo el sistema. En vez de descargar las entradas individualizadas, se podía acceder aleatoriamente a entradas de múltiples usuarios.

Los datos y las entradas a la vista de todos

La usuaria Diana Aceves dio la voz de alarma en su perfil de Twitter, denunciando el bug que permitía ver las entradas y datos personales de otras personas.

A raíz del fallo informático, los usuarios podían aprovecharlo para su propio beneficio pues se podían cambiar las direcciones. Como explica la propia Aceves: "Creo que podría cambiar las direcciones de toda la gente que me sale y que me manden las pulseras a mí. No voy a intentarlo".

El fallo ha estado activo durante varias horas. Durante ese tiempo, distintos usuarios han podido acceder a datos de otras personas sin ningún tipo de limitación. El acceso ha sido tal que algunos usuarios han podido llegar a ponerse en contacto con otros desconocidos, avisando de que tenían sus entradas y datos.

Desde la organización del festival Mad Cool avisan que esas entradas descargadas no son válidas y aseguran que no se ha podido acceder al código individual de los inscritos.

En Magnet

Hasta 138€ por un Uber en el Mad Cool. Y lo peor está por llegar con el Primavera Sound en Arganda

Un grave problema de protección de datos

Nombre, apellidos, teléfono, dirección y correo son algunos de los datos personales que han estado expuestos. La propia Diana Aceves se ha puesto en contacto con la Asociación Española de Protección de Datos (AEPD) para alertan de esta brecha de protección de datos.

La AEPD debe ser informada en estos casos, para determinar la gravedad del asunto. Sin embargo, ni desde Ticketmaster ni desde la organización del Mad Cool se habla de una fuga de datos.

En relación al incidente, desde Ticketmaster España explican que "el problema técnico que ha afectado a la confirmación de datos de las pulseras para Mad Cool 2023 es ajeno a Ticketmaster" y que ellos "realizan labores como intermediario entre promotores y fans, pero Ticketmaster no es responsable del error informático".

Posteriormente a detectar el problema se ha cerrado temporalmente el acceso al área de datos. Desde Ticketmaster recalcan que "el problema no ha afectado en ningún caso a los procesos de venta de entradas".

La explicación

Desde la organización del festival Mad Cool apuntan que "ha sido su proveedor de servicios tecnológicos" quienes han tenido esa incidencia. En concreto explican que trabajan con la empresa externa Casfid Servicios, quienes han asumido el fallo interno y la exposición parcial de datos, causada "por un problema técnico en un microcacheo que realiza el servidor donde está alojado el formulario tras una migración de DNS".

Desde Mad Cool explican que los datos bancarios no han sido expuestos y nadie recibirá en su domicilio pulseras que no correspondan. Adicionalmente explican que en todo momento se ha seguido el protocolo establecido por la Agencia Española de Protección de Datos, siendo asesorados por la gestoría Auditat.

Imagen | Diario de Madrid

En Xataka | Por qué tantos años después comprar entradas para un concierto por internet sigue siendo un horror

Han pasado más de 20 años del 'Efecto 2000' pero todavía recordamos el revuelo que causó. Ahora que comienza el 2022 hemos tenido otro problema informático con el cambio de fecha, en este caso el afectado ha sido Microsoft Exchange. Si vuestro correo funciona con Microsoft Exchange (como suelen ser muchas cuentas de empresa) y habéis dejado de recibir correos durante estas fechas, debéis saber que hay una explicación detrás.

Un particular bug debido al cambio de año ha provocado que el motor antispam y antimalware de Microsoft Exchange (FIP-FS) esté teniendo problemas para procesar la fecha, lo que ha provocado que millones de correos se queden paralizados en los servidores, sin remitir a sus destinatarios, según ha reconocido la propia Microsoft.

En Xataka

Yo trabajé el 31 de diciembre de 1999 a las 23.59

A qué se debe el 'Efecto 2022' de Microsoft Exchange

Desde 2013, Microsoft utiliza por defecto el sistema FIP-FS en Exchange. Fue en una de las renovaciones cuando los desarrolladores de Microsoft decidieron almacenar el valor de la fecha en una variable int32. Una aparentemente inocente decisión que ha tenido consecuencias fatales para el funcionamiento de su sistema.

El valor máximo de esta variable es 2.147.483.647. Esto es, inferior a la fecha que actualmente se utiliza. Microsoft utiliza las tres últimas cifras para almacenar el día y las tres anteriores para el mes, por lo que el valor mínimo necesario es 2.201.010.001.

#Microsoft and #Exchange starting off 2022 with a 💣as of 00:00UTC with freezing transport of all emails flowing through it On-Prem due to failure converting the new date... 🤦‍♂️. Solution is to disable the AntiMalware Scanning temporarily via Disable-Antimalwarescanning.ps1. 1/x https://t.co/grYeBW1Ygh

— Joseph Roosen (@JRoosen) January 1, 2022

Según explica Joseph Roosen, investigador de ciberseguridad y administrador de MS Exchange, se han visto afectadas las versiones 2016 y 2019 de Microsoft Exchange. Con estas versiones, los usuarios no están recibiendo correos ya que el motor FIP-FS no puede comprender la fecha de los correos.

En Xataka

Qué es el "Efecto 2038", a qué dispositivos afecta y qué peligro podría suponer

Cómo corregir temporalmente el problema

Microsoft es consciente de este fallo y ya se encuentra trabajando en una solución. Por el momento, para corregir el fallo es necesaria una acción manual por parte de los usuarios o administradores. Como apuntan nuestros compañeros de Genbeta, así se ha explicado Microsoft:

"Nuestros ingenieros estuvieron trabajando día y noche en una solución que eliminase la necesidad de una acción por parte del cliente, pero determinamos que cualquier parche que no implicara dicha requeriría varios días para desarrollarse e implementarse. De modo que estamos trabajando en otra actualización, cuya validación ya se encuentra en su fase de prueba final".

La solución pasa por desactivar temporalmente el motor antispam FIP-FS. Se corre el peligro de que entonces llegarán potenciales correos maliciosos, pero también el resto.

Para hacerlo habrá que teclear los siguientes comandos de PowerShell en Exchange Server:

Set-MalwareFilteringServer -Identity -BypassFiltering $true

Restart-Service MSExchangeTransport

Tras reiniciar el servicio MSExchangeTransport, el correo debería volver a reenviarse habitualmente. Otra opción es descargar el script creado por Microsoft. Según describe la compañía, en función del tamaño del servidor y el número de usuarios que utilicen esa cuenta de Microsoft Exchange, el script y la actualización puede requerir cierto tiempo.

Microsoft se encuentra trabajando en el parche definitivo pero por el momento no hay fecha establecida para cuando estará disponible la actualización que corrija este problema de forma permanente.

Vía | Xataka Windows

Cuando enchufamos un periférico de Razer en nuestro ordenador, el PC instala automáticamente el software Razer Synapse. Este, en pocas palabras, es un software de gestión que, entre otras cosas, permite controlar la iluminación de los dispositivos con RGB, modificar el comportamiento de los periféricos y, debido a un bug, escalar privilegios para convertirse en administrador de Windows.

Así lo ha descubierto el usuario @j0hnh4t, un investigador de seguridad que ha publicado el proceso en su perfil de Twitter. Aparentemente, el problema reside en que cuando conectamos un ratón de Razer al PC Windows descarga el ejecutable y lo ejecuta con un proceso con privilegios de sistema.

En Xataka

Malware: qué es, qué tipos hay y cómo evitarlos

Muy sencillo, pero requiere de acceso físico al ordenador

Captura de Razer Synapse.

El bug, que ha sido reconocido por Razer en un correo enviado a Xataka, requiere que el posible atacante tenga acceso físico al ordenador y, por supuesto, un dispositivo de la compañía que poder enchufar a él. Es lo que se conoce como una LPE (vulnerabilidad de escala de privilegios locales) y funciona de la siguiente manera.

Cuando conectamos un periférico de Razer al ordenador, Windows 10 descarga RazerInstaller.exe. Una vez hecho, el ejecutable se inicia a una través de un proceso de Windows que se ejecuta con privilegios de sistema, por lo que el propio programa de instalación de Razer obtiene esos mismos permisos.

El asistente de configuración de Razer permite al usuario elegir en qué carpeta desea instalar el programa, y es ahí cuando el usuario puede iniciar una ventana de comandos que, evidentemente, se lanza con privilegios de sistema heredados. Con todo lo que ello puede suponer en materia de seguridad, por supuesto.

Desde Xataka hemos contactado con Razer para obtener más información y desde la compañía han confirmado estar al tanto del bug y estar trabajando en una solución. A continuación reproducimos el comunicado completo:

Hemos tenido conocimiento de una situación en la que nuestro software, en un caso de uso muy específico, proporciona al usuario un acceso más amplio a su ordenador durante el proceso de instalación.

Hemos investigado el problema y actualmente estamos realizando cambios en la aplicación de instalación para limitar este caso de uso, así como publicaremos una versión actualizada en breve. El uso de nuestro software (incluida la aplicación de instalación) no proporciona acceso de terceros no autorizados al ordenador.

Estamos comprometidos a garantizar la seguridad digital y la protección de todos nuestros sistemas y servicios, y si encuentra algún error potencial, lo alentamos a informarlo a través de nuestro servicio de recompensas de errores, Inspectiv.

Vía | Bleeping Computer

“Se ha descubierto una importante vulnerabilidad en…”. “Un fallo de seguridad permite tomar el control de forma remota de…”. “Un agujero de seguridad abre la puerta al robo masivo de datos…”

Cada cierto tiempo los medios de comunicación publican (publicamos) fallos de seguridad encontrados en algunas de las principales aplicaciones. Estos fallos en el código de los programas son a veces descubiertos por los propios programadores de las empresas. Pero también existen programas de recompensa para quienes localicen los agujeros de seguridad más importantes o relevantes.

Qué es un Bug Bounty

Los conocidos como Bug Bounty son un programa de recompensas por errores o vulnerabilidades (VRP), que premian a las personas por descubrir y reportar errores de software. Los programas de recompensas de estos fallos a menudo se inician para complementar las auditorías internas de código y las pruebas de penetración como parte de la estrategia de gestión de vulnerabilidades de una empresa.

En Xataka

Los 'parches' y los 'bugs' son los mejores ejemplos de los humildes orígenes de la informática

Muchas empresas, como Google, tienen su propia página web donde permiten que cualquiera les informe de estos fallos. Pero también hay páginas web que están especializadas en recopilar todas estas iniciativas de Bug Bounty, como HackerOne, especialmente cuando hay jugosas recompensas de por medio.

Estas plataformas de recompensas por errores permiten a los expertos cobrar por encontrar vulnerabilidades en aplicaciones y software. La idea es que estos expertos informáticos puedan detectar (y los desarrolladores corregir) estos errores antes de que el público se entere, para evitar incidentes de seguridad generalizados.

HackerOne presume de ser la comunidad de piratas informáticos y cazadores de errores más grande del mundo, pero hay otras: Bugcrowd, que conecta organizaciones con piratas informáticos éticos o YesWeHack son algunas de ellas.

Cazadores en España

Aunque hay diferencias, todas estas plataformas quieren ayudar a las empresas a proteger sus activos de software y utilizar las habilidades de los investigadores de seguridad de manera ética pagando a los cazadores de errores.

Este tipo de profesionales conocen los aspectos prácticos de la ciberseguridad y están muy preparados para encontrar estos fallos y vulnerabilidades. Conocen y comprenden cómo funcionan las aplicaciones web y su arquitectura. Se manejan con destreza con bases de datos SQL, y se defienden en diferentes lenguajes de programación, como Javascript o Python.

Pero, a veces, la recompensa por errores se vuelve muy competitiva y muchas personas reclaman haber descubierto el mismo error en el mismo sitio o programa.

En Xataka hemos querido conocer si hay muchos “cazadores” de este tipo en nuestro país y si se puede vivir de ello. Y, aunque haberlos, lo cierto es que no son una comunidad muy numerosa (algo reconocido por ellos mismos).

Hemos podido hablar con dos de ellos: Antonio Fernandes, responsable de ciberseguridad en una industria del noroeste de España que asegura que en su tiempo libre se dedico al Bugbounty, y J. Domingo Carrillo, graduado en Telecomunicaciones (especialidad en Telemática) por la Universidad Politécnica de Valencia y cuyo nick es 0xd0m7. Estas son sus experiencias e historias.

Un hobby me trajo hasta aquí

Estos dos profesionales reconocen que llegaron a este mundillo casi por casualidad. J. Domingo Carrillo asegura que todo empezó como un hobby. “De hecho, mis primeros bugs fueron en programas VDP, es decir programas gratuitos”, recuerda. Y empezó a investigar cómo descubrir estos fallos de seguridad porque, en aquel entonces, pensaba que eso “podría ayudarme en mi trabajo como analista de aplicaciones”.

Estamos hablando, aproximadamente, de hace unos cuatro años. Una afición que poco a poco fue ganando en importancia hasta que, desde hace algo más de un año, ya se dedica profesionalmente a ello.

Antonio Fernandes, por su parte, marca las navidades de 2019 como su bautismo en estas iniciativas. Su motivación para intentar descubrir fallos en los programas fue más una manera de "no oxidarme en la parte técnica" pero también porque, en su caso, "al vivir desplazado tenía bastantes tiempos muertos después del trabajo”.

Cazo agujeros y lo hago así

Les hemos preguntado en qué consiste realmente su trabajo, si empiezan a analizar una parte del código desde cero, si ya saben o intuyen dónde pueden estar los principales errores o si parten de investigaciones previas.

A Fernandes le gustan los "scopes" amplios porque le permiten hacer un "reconocimiento que va más allá de los dominios principales". Así, se dedica a investigar adquisiciones o proyectos que han sido anunciados para, “una vez reunida toda la inteligencia de los activos", empezar a ver "qué tienen instalado y los posibles fallos que puedan haber cometido y que se puedan explotar”.

Mientras, J. Domingo detalla que su trabajo consiste en “buscar bugs o vulnerabilidades con impacto real para la organización". Para ello, reconoce que se pone en la piel de un atacante remoto para pensar como él e intentar sacar el máximo provecho a cada vulnerabilidad”. J. Domingo explica en este punto que para hacer su trabajo sigue una metodología “muy estricta basada en mi experiencia y que poco o nada tiene que ver con los estándares habituales (OWASP)". Cabe señalar que la Open Web Application Security Project es una fundación sin ánimo de lucro que trabaja para mejorar la seguridad del software y que se mueve a través de proyectos de software de código abierto.

“Salvo que tenga tiempo, algo que es bastante raro”, (se ríe) J. Domingo no analiza el código de los programas, salvo en aquellos casos que "sepa realmente que tengo una vulnerabilidad interesante”.

Esta labor, además, se realiza en solitario. Es decir, que no tiene a un equipo de trabajo detrás o con el que trabaje. Entre otras cosas porque, según J. Domingo, hay “muy poca gente está especializada" en este campo (subrayando que su dedicación “nada tiene que ver con ser auditor de aplicaciones web”). Una de las cosas negativas de que sean una comunidad tan pequeña es que, tal y como reconoce, “a veces se hace bastante difícil encontrar apoyo para explotar una vulnerabilidad sobre todo cuando te quedas “atascado””.

No obstante, este experto en seguridad comparte sus inquietudes con dos grupos: “mi equipo Red Line Team y con Spinquisitors", con quienes montó un taller de Bug Bounty en el pasado mes de marzo en la Rooted Madrid.

Fernandes coincide en que, al menos cuando se empieza a buscar estos errores, el trabajo es solitario: está él solo con sus "scripts" y empieza a buscar cosas. Fernandes, sin embargo, reconoce que el móvil, y más concretamente una aplicación de mensajería, están a su vera. “Estoy siempre por Telegram con mis "compañeros" comentando cosas que encontramos y técnicas que nos pareces interesantes”, nos cuenta.

La relación con otros hackers

Aunque, como vemos, son pocos pero parece que bien avenidos, hemos querido preguntarles qué relación mantienen los hackers entre sí, dado que muchos de estos cazadores de errores compiten entre ellos para lograr estos premios.

Antonio Fernandes expone que, como en botica, hay de todo y que, como casi siempre, todo “depende de la persona”. Pero en su experiencia aunque exista competencia, esta se puede calificar de “sana y bien entendida”. Es más, cree que “aunque parece que últimamente se le critique, la competencia nos empuja a mejorar individualmente”.

Una visión que comparte J. Domingo. “Tengo muy buenos amigos hackers y otros que es mejor ni hablar con ellos”, explica. Una relación que se extiende incluso cuando hay competencia entre ellos. “Es algo que a nivel personal me da igual y siempre que alguien me pregunta algo con coherencia le respondo. Porque más allá de hacker, soy una persona normal, como cualquier otra”, señala.

Mi primer bug y el más importante

En lo que coinciden estos dos profesionales es en recordar cuál fue el primer bug que descubrieron.

“Específicamente en el mundo del BugBounty, fue un chequeo incorrecto que hacían en el mail corporativo en un banco de Holanda, lo cual permitía registrarse en un aplicativo que era solo para empleados”, recuerda Antonio Fernandes. En su memoria también está el momento en que encontró un servidor en una empresa de desarrollo “muy, muy conocida" (según sus palabras), en el que logró crear un usuario y, "desde ahí tener acceso a todos el código fuente de sus programas”. Es decir, que pudo acceder “al core del negocio” de esta empresa cuyo nombre no quiere revelar.

Como J. Domingo empezó a trastear con aplicaciones gratuitas, es lógico que su primer descubrimiento fue de un programa VDP público. Más concretamente, uno de General Motors (una vulnerabilidad SSRF -Server Side Request Forgery- en Weblogic) y fue en una de las plataformas comentadas anteriormente (Hackerone). Pero el más importante fue un bypass al proxy inverso “que me permitió ver los ficheros de PHP en texto plano”. Un error que fue el que más fama y dinero le dio.

Por su experiencia, dice que los errores más tontos son aquellos que afectan a las credenciales por defecto. Es decir, que el típico usuario administrador con nombre administrador. “Pasa más de lo que creemos”, se ríe. Sin embargo, las más graves son las que permiten ejecución de comandos. En este sentido, recuerda con especial interés un path traversal “que escalé a ejecución de comandos”. La recuerda porque “lo conseguí después de 2-3 meses después del triaje. Un día me vino la inspiración y lo logré”.

Un descubrimiento no recompensado

Hablando con estos dos expertos, también les hemos preguntado si alguna vez han descubierto alguna vulnerabilidad que no estuviera recompensada. Y, sobre todo, por la reacción de las empresas al ser notificadas del fallo.

Los dos se han topado con alguna situación así, incluso “con alguna de las grandes corporaciones que todos conocemos”, en confesión de Fernandes. Asegura que cuando esto le ocurre no suele enfadarse y se muestra comprensivo. “Es su programa de recompensas, ellos tienen su propio criterio a la hora de "premiar"”, expone. Su manera de resolver este tipo de situaciones suele ser “encontrando otro fallo que les gustase más y que acabaran reconociéndomelo”.

Y es que en estas situaciones, la veteranía parece ser un grado. “Al principio no me lo tomaba muy bien, pero con el tiempo me di cuenta de que los programas de bug bounty suelen ser bastante honestos por regla general, y si no se paga ese bug es por motivos ampliamente justificados en la mayoría de los casos”, justifica J. Domingo, quien, por regla general, no se encuentra con malas reacciones de las empresas. "Les estás ayudando gratis”, reflexiona.

Se requiere fuerza mental

J. Domingo asegura, sonriendo, que lo más fácil de dedicarse a este mundillo es el no tener un jefe “24 horas dándome la lata con que entregue un informe”. Pero, a renglón seguido, añade que los bug hunter deben ser fuerte mentalmente. “Si los bugs no llegan o simplemente no te pagan a tiempo puedes llegar a desmoralizarte”, reconoce. Su receta cuando pasan estas cosas es “seguir estudiando y aprendiendo nuevas técnicas”.

De hecho, confiesa que ésa es, sobre todo, su principal motivación para seguir en este mundillo: el “seguir aprendiendo cada día un poco y seguir perfeccionando mis técnicas”. Domingo añade que “el encontrar vulnerabilidades exóticas es lo que más me apasiona” y que el dinero “nunca fue para mí un aliciente, sino el resultado de un buen trabajo”.

Algo en lo que, en parte, coincide Fernandes. Como decíamos al principio, él lo tiene más como hobby, pero reconoce que su principal motivación es “no oxidarme”, añadiendo que esta actividad “me aporta conocer gente de la comunidad, aprender y mantenerme al día en Seguridad Ofensiva”. Y, además, le aporta un sobresueldo, “que nunca viene mal en estos tiempos”.

Y, como J. Domingo, asegura que puede ser duro. “Al ser un trabajo por resultados, puede llevar un poco a estados mentales de agotamiento si tienes una mala época”, aclara. En su caso, al dedicarle sus tiempos libres, “tengo la suerte que cuando me aburro... Pues me pongo a hacer otra cosa”. En su opinión, “la gente 100% dedicada al bug bounty están hechos de otra pasta”.

En Xataka

El caso del empleado que programó fallos periódicos en su software para así asegurarse de tener siempre trabajo

¿Se puede (y merece la pena) vivir de esto?

Entonces, ¿se puede vivir de buscar y reportar agujeros de seguridad? Antonio Fernandes asegura que sí, siempre y cuando tengamos “dedicación y templanza”. Asegura que “hay gente que saca mas de 100.000 euros anuales" e, incluso, que hay varios que "han superado la barrera del millón de dólares en la plataforma HackerOne”. ¿Por qué entonces no sé dedica él profesionalmente a eso? “Creo que me haría aborrecerlo un poco”, confiesa.

Quien, mientras tanto, con una sonrisa prefiere no entrar en cifras es J. Domingo quien, evidentemente, asegura que sí se puede llegar a vivir de esto. “Dependiendo de tu talento y tus ganas puedes llegar a ganar mucho dinero”, añade.

¿Compensa? “Sí, siempre y cuando te apasione”, relata J. Domingo, que vuelve a subrayar que este trabajo no es para todo el mundo. “Requiere una constancia y una entrega que solo se alcanza si realmente te apasiona”.

Los llaman 'bohrbugs': errores software tan raros que son casi imposible de ser aislados y replicados. Son raros y extraordinarios, y lo demuestra aquella situación en la que se encontró un usuario de OpenOffice: descubrió que a su impresora no le daba la gana de imprimir los martes.

En realidad había un motivo para ese problema, pero como suele suceder con estos singulares errores, encontrar la solución suele ser costoso, sobre todo teniendo en cuenta que suelen afectar a muy pocas personas en todo el mundo. Eso, claro, hace que estos bohrbugs (también conocidos como heisenburg, mandelbug, hindebug o shcrödinbug) sean tan especiales como peculiares.

Olvídate de imprimir los martes

La noticia comenzó a circular hace más de na década. En agosto de 2009 un usuario indicaba que se había encontrado con una historia en la que precisamente se narraba el problema. Un usuario trataba de trabajar en su PC con Ubuntu, en el cual usaba OpenOffice y una impresora Brother. Su mujer se le quejó: no podía imprimir los martes.

Resulta que el problema había afectado a algún usuario más, y uno creyó encontrar la respuesta: eliminar OpenOffice y volver a reinstalarlo. Parecía que todo volvía a funcionar, pero no lo hizo: el problema volvió a aparecer el siguiente martes.

En Genbeta

Bugs en el software I: Accidentes y pérdidas graves por fallos en el software

El análisis del problema acabó por hacer que se llegara a la solución. En aquel caso todo se debía a una utilidad de los sistemas Unix y las distribuciones Linux llamada 'file' que permite identificar el tipo de fichero con el que trabaja el sistema.

Mozilla lo resolvió tras recibirse el registro del error, pero dejó para siempre ese peculiar título para el error "OOo no imprime los martes" (OOo por "OpenOffice.org", que era el nombre original de esa suite ofimática).

Maravillosos errores rarunos

Esos curiosos errores software han acabado siendo recopilados por un usuario alemán llamado Andreas Zwinkau, que en su sitio web tiene una lista en la que se pueden descubrir problemas informáticos de lo más bizarros.

Entre ellos está la historia de los correos electrónicos que no se podían enviar a distancias que superaran las 500 millas. Y es cierto, no se podían enviar más allá porque como descubrió el administrador de aquel sistema —que trabajaba con Sendmail 8— una actualización del sistema causó un downgrade del paquete que no tenía bien en cuenta un parámetro de la configuración de la nueva versión de sendmail. Aunque parezca mentira, eso impedía que por el timeout de 3 ms que estaba establecido se enviaran esos correos. Increíble.

En Xataka

Un repaso a la historia de Windows a través de pantallazos azules de la muerte

Hay más historias locas. Dispositivos que parecían generar cientos de errores por culpa de un puero USB (o eso parecía). O aquellas Xbox con las que se probaban los primeros juegos y que de repente se quedaban fritas porque, atención, la luz del sol incidía de forma que las sobrecalentaba demasiado.

La colección de errores es singular porque se trata de errores reales, demostrados y que efectivamente parecían en sí mismos pequeños "expedientes x".

No lo eran, pero seguro que más de uno habrá experimentado una sensación similar al tratar de explicarse por qué algo de repente falla en cierta situación. Igual estáis ante uno de estos bohrbugs. Si es así, por cierto, podéis contactar con Zwinkau (@azwinkau), que gustosamente lo incluirá en su lista de errores raros y extraordinarios.

Para descargar todas las fotos y vídeos de Google Fotos hay dos opciones: hacerlo de uno en uno a través de la web de Google Fotos o ir a Google Takeout, pedir todos los archivos en un formato comprimido (.zip, .rar, etc.) y descargar todos los archivos de una sola vez. Este sistema, durante los últimos días de noviembre, se vio afectado por un bug que provocó que en dichos archivos comprimidos apareciesen vídeos de otras personas.

Tal y como mostraron algunos usuarios de Twitter y Reddit, Google mandó un correo a los usuarios afectados por este bug en el que advertían que entre el 21 de noviembre y el 25 de noviembre de 2019 "algunos vídeos en Google Fotos fueron incorrectamente exportados a los archivos de otros usuarios no relacionados. Uno o más vídeos en tu cuenta de Google Fotos han sido afectados por este problema". Este, actualmente, ya ha sido resuelto.

Este vídeo no es mío

Whoa, what? @googlephotos? pic.twitter.com/2cZsABz1xb

— Jon Oberheide (@jonoberheide) February 4, 2020

Afirman desde Google que este bug afectó al servicio Google Takeout, que sirve para exportar todo el contenido guardado en Google. Solo ha afectado a los usuarios que exportaron sus archivos de Google Fotos entre los días mencionados anteriormente y solo a los vídeos, no a las fotos. En pocas palabras, algunos usuarios que hiciesen este proceso han recibido vídeos de otras personas y estas, a su vez, vídeos de otros usuarios.

Por otro lado, desde Google invitan a borrar la copia de seguridad recibida y a solicitar una nueva, puesto que el archivo estará incompleto, ya que pueden faltar vídeos propios y puede haber vídeos ajenos. Apuntan, a su vez, que el problema ya ha sido resuelto y piden perdón por cualquier incidencia que este problema haya podido causar. Desde Xataka nos hemos puesto en contacto con Google y este ha sido el comunicado que hemos recibido:

"Estamos notificando a nuestros usuarios sobre un error que puede haber afectado a aquellos que usaron Google Takeout para exportar su contenido de Google Photos entre el 21 y el 25 de noviembre. Estos usuarios pueden haber recibido un archivo incompleto o videos (no fotos), que no eran suyos. Hemos solucionado el problema subyacente y hemos realizado un análisis en profundidad para evitar que esto vuelva a suceder. Lamentamos mucho los posibles inconvenientes."

En Xataka

Cómo hacer una copia de seguridad de todo tu móvil: sistema operativo, fotos, contactos y apps básicas

La compañía de Mountain View ha confirmado que menos del 0,01% de usuarios que usaron Google Takout durante estos cinco días se han visto afectados por el fallo. La cifra total no ha sido desvelada, aunque teniendo en cuenta que Google Fotos tiene mil milones de usuarios, incluso un 0,01% es una cifra a tener en cuenta.

Vía | 9to5Google

Un importante error de seguridad de Apple está afectando a las versiones más nuevas de iPhone. El bug ha sido detectado estos días y ha aparecido a raíz de una de las nuevas herramientas introducidas con iOS 12; las videollamadas grupales de FaceTime.

A través de este bug en FaceTime, los usuarios pueden escuchar de forma remota otros iPhone antes incluso que la otra persona acepte su llamada. El fallo ha sido reproducido por muchos usuarios en las redes y la propia Apple ha reconocido el problema en su cuenta de soporte.

En Xataka

Trucos iOS 12: 17 trucos (y algún extra) para exprimir al máximo las novedades del nuevo sistema operativo de Apple

Al llamar a otra persona desde FaceTime y antes que respondan, se puede deslizar la pantalla hacia arriba para agregar a otra persona. El bug está en que esta tercera persona puede ser tu mismo número. Es entonces cuando se inicia una videoconferencia grupal con el audio activo. Al hacerlo, según han comprobado múltiples usuarios, se nos deriva a la llamada grupal donde se puede escuchar a la otra persona sin necesidad que esta haya aceptado participar.

El audio transmitido es bidireccional, por lo que la otra persona también nos escuchará a nosotros. Aunque esto no representaría un problema tan grave para la privacidad ya que habríamos sido nosotros quienes habrían añadido a la tercera persona y "activado" el bug.

Now you can answer for yourself on FaceTime even if they don’t answer🤒#Apple explain this.. pic.twitter.com/gr8llRKZxJ

— Benji Mobb™ (@BmManski) 28 de enero de 2019

Como indican nuestros compañeros de Applesfera, si el receptor de la llamada de FaceTime en grupo presiona el botón de bajar volumen para silenciar la llamada, ésta se descuelga.

Según indica Benjamin Mayo, editor de 9to5Mac, el bug también afecta a FaceTime para Mac e incluso la duración de la llamada sería más larga.

La página de soporte de Apple ya ha identificado el problema.

No es la primera vez que Apple reconoce un fallo de seguridad en sus sistemas. En noviembre de 2017, se detectó que macOS High Sierra permitía iniciar sesión como administrador sin necesidad de contraseña. Un bug que la compañía solucionó al día siguiente.

En esta ocasión, Apple ha reconocido el problema y avisado que lo arreglarán durante esta semana. Mientras tanto, tal y como leemos en Axios, la compañía ha deshabilitado de forma temporal las llamadas en grupo desde FaceTime.

Un bug en una de las principales carteras de la cadena de bloques de Ethereum ha provocado la congelación de los depósitos de los usuarios, congelando criptomonedas por valor de 280 millones de dólares. El problema se ha dado en Parity Wallet, y su empresa responsable reportó ayer el error crítico a todos sus usuarios.

La vulnerabilidad afecta a todos los usuarios que tengan activos en una de las carteras multifirma de Parity Wallet, un tipo de cartera que utiliza el consentimiento de varias partes para obtener un extra de seguridad en las transacciones. En un principio, los primeros reportes apuntaban a más de 150 millones de dólares en Ethers congelados, aunque ya se habla de cerca de 280 millones afectados.

Se ha tratado de un error en el código que permitía que un usuario pudiera convertirse en propietario de la cartera multifirma, “matando” los contratos suscritos por Parity, y dejándolos inutilizables y congelados los Ethers. Esto ha sido así porque para Ethereum no hay una distinción real entre cuentas, librerías y contratos.

It's simple really, imagine walking up to a bank vault and there's a button that says "Lock Forever"....... someone accidentally pushes it.

— devops199 (@devops199) 7 de noviembre de 2017

El error de hecho fue descubierto y provocado "por error" cuando un usuario provocó el bug mientras estaba revisando el código. Este bug fue reportado hace dos días a través del Github del proyecto por el propio usuario que lo descubrió, quien a partir de ayer empezó a dar más detalles a través de su cuenta de Twitter.

Entre los afectados, tal y como reporta el hacker Matt Suiche está el propio Gavin Woods, fundador de Parity y ex desarrollador principal de Ethereum, quien ha visto cómo su ICO Polkadot se ha quedado con Ethers con valor de más de 90 millones de dólares congelados. Tras desvelarse la vulnerabiliad, el valor de Ethereum sufrió una caída de 2,26%, bajando de 305 dólares a 292 dólares por Ether.

Parity ya es reincidente

Lo peor de todo es que esta ha sido la segunda vez en un año que la cartera de Parity se ha visto comprometida. Sin ir más lejos, en julio sufrió otro fallo que permitió que ladrones se hicieran con más de 27 millones de euros en Ether. Este fallo fue solucionado el 19 de julio, pero el código de la nueva versión del contrato de la biblioteca Parity Wallet implementada el 20 de julio también estaba defectuoso conteniendo el bug descubierto ahora.

Los Ethereum son una de las criptomonedas de moda, y una de las más queridas por los programadores. Sin embargo, en los últimos tiempos no están siendo pocos ni pequeños los problemas que se están generando alrededor de sus carteras. Sin ir más lejos. Como ejemplo también tenemos el caso de The DAO, otro contrato de Ethereum con un error en su código que fue explotado para robarle 50 millones de dólares en Ethers a 11.000 inversores.

Imagen | BTC Keychain En Xatala | The DAO y el caso del robo de los 50 millones de dólares en Ethereum (Insert Coin 1x01)