Si utiliza alguno de los productos o servicios de estos gigantes tecnológicos(Apple, Microsoft y Google), debe actualizar sus dispositivos y aplicaciones lo antes posible. Esto se debe a que recientemente parchearon varias vulnerabilidades críticas que podrían permitir a los atacantes comprometer su seguridad y privacidad.
¿Qué son los defectos de día cero?
Las fallas de día cero son errores de software que los desarrolladores o proveedores desconocen, pero que los piratas informáticos explotan antes de que puedan corregirse. Se les llama día cero porque no hay tiempo para preparar una defensa o una solución. Estas fallas pueden usarse para robar datos, instalar malware, espiar a los usuarios o apoderarse de dispositivos.
¿Cómo los encontraron y los arreglaron?
Apple, Microsoft y Google cuentan con equipos dedicados de investigadores de seguridad que buscan constantemente vulnerabilidades en sus propios productos y en los de otros. También colaboran con investigadores externos que informan errores a través de programas de recompensas por errores. Estos programas recompensan a los piratas informáticos éticos por encontrar y revelar problemas de seguridad de manera responsable.
Apple solucionó 15 fallas de día cero que afectaban a iOS, macOS, watchOS y tvOS. Algunas de estas fallas fueron reportadas por el equipo Project Zero de Google, que se especializa en encontrar vulnerabilidades de día cero. Microsoft corrigió 40 fallas de día cero que afectaban a Windows, Office, Edge y otros productos. Algunas de estas fallas fueron reportadas por Kaspersky Lab, una empresa de ciberseguridad. Google solucionó 11 fallas de día cero que afectaban a Chrome, Android y otros productos. Algunas de estas fallas fueron reportadas por el Centro de Inteligencia de Amenazas de Microsoft, que rastrea las amenazas cibernéticas.
Que puedes hacer para protegerte?
La mejor manera de protegerse de los ataques de día cero es actualizar sus dispositivos y aplicaciones con regularidad. También debes utilizar software antivirus, firewall y VPN para mejorar tu seguridad. También debe evitar hacer clic en enlaces o archivos adjuntos sospechosos y utilizar contraseñas seguras y autenticación de dos factores para sus cuentas en línea.
Las fallas de día cero son una grave amenaza para su seguridad y privacidad. Pero siguiendo estos sencillos pasos, puedes reducir el riesgo de ser víctima de ellos.
El otoño ha llegado, pero el panorama de las ciberamenazas sigue tan candente como siempre, con varios proveedores de alto perfil parcheando vulnerabilidades que están siendo explotadas en la naturaleza.
Entre las actualizaciones más críticas se encuentran las de Cisco, que abordaron una falla con la calificación de gravedad más alta posible de 10 en la escala CVSS.
El software espía también ha sido una gran preocupación en los últimos meses, ya que los atacantes pueden comprometer los dispositivos sin la interacción del usuario. Esto subraya la necesidad de mantener su sistema operativo actualizado en todo momento.
A continuación se ofrece un resumen de las actualizaciones de seguridad más importantes publicadas en septiembre.
Sistema operativo Apple iOS y iPad
Apple se saltó las actualizaciones de seguridad en agosto, pero las compensó en septiembre. La primera actualización fue iOS 16.6.1, una solución de seguridad urgente que salió el 9 de septiembre para corregir dos vulnerabilidades que se estaban aprovechando en los llamados ataques de “clic cero”.
Las fallas fueron descubiertas por investigadores del Citizen Lab de la Universidad de Toronto, quienes descubrieron que el software espía podría entregarse a través de archivos adjuntos de imágenes maliciosas en un iMessage, en un ataque que denominaron BLASTPASS.
A mediados de septiembre, Apple lanzó su principal actualización de software, iOS 17, seguida de iOS 17.0.1 unos días después. La inesperada actualización de iOS 17.0.1 fue crucial porque solucionó otras tres vulnerabilidades del iPhone que se utilizaban en campañas de software espía.
Los problemas, identificados como CVE-2023-41992 e informados por expertos en seguridad de Citizen Lab y Google, incluyen un error en el kernel que podría permitir a un atacante obtener privilegios elevados y dos fallas de seguridad y WebKit que podrían encadenarse para hacerse cargo de un dispositivo del usuario.
Las vulnerabilidades parcheadas en iOS 17.0.1 también se solucionaron en la versión iOS 16.7 para usuarios de iPhones más antiguos o aquellos que prefieren no actualizar al software más reciente.
A finales de septiembre, Apple lanzó iOS 17.0.2 para solucionar algunos fallos iniciales de iOS 17, y esta es la versión más reciente del software, en el momento de su publicación.