Webtagr - Resumen de noticias de tecnología

Vulnerabilidad obsoleta de Kerberos: Un fallo crítico en Microsoft Active Directory

2025-09-10

Este artículo expone una vulnerabilidad de Kerberos antigua, de baja tecnología y alto impacto en Microsoft Active Directory — Kerberoasting. Esta vulnerabilidad explota el cifrado RC4 obsoleto y los mecanismos de contraseña débiles en Active Directory, permitiendo que los atacantes descifren rápidamente las contraseñas de las cuentas de servicio mediante ataques de diccionario, obteniendo acceso a las redes corporativas. Aunque Microsoft ha publicado mitigaciones, la falta de medidas proactivas, como imponer actualizaciones de configuraciones antiguas, ha llevado a la explotación continua, como se vio en el ataque de ransomware de mayo de 2024 a Ascension Health. Esto destaca las deficiencias de Microsoft en las actualizaciones de seguridad y la negligencia de los administradores de empresas en materia de seguridad.

(blog.cryptographyengineering.com)

Tecnología

Cifrado de extremo a extremo de XChat: Fallo de seguridad de Juicebox

2025-06-09

Matthew Garrett expone vulnerabilidades de seguridad en el nuevo protocolo de mensajería con cifrado de extremo a extremo de X (anteriormente Twitter), XChat. XChat utiliza el protocolo Juicebox para almacenar las claves privadas de los usuarios, distribuyéndolas en tres servidores. Sin embargo, estos servidores están controlados por X, lo que significa que X puede acceder a todas las claves de los usuarios, socavando el cifrado de extremo a extremo. El artículo profundiza en la mecánica y los riesgos potenciales de Juicebox, destacando fallas críticas en la implementación de XChat. Las claves privadas de los usuarios son vulnerables al acceso arbitrario por parte de X, lo que lleva a la recomendación de evitar el uso de XChat.

(blog.cryptographyengineering.com)

Tecnología

Apple iMessage: El cifrado no es suficiente

2025-03-06

Si bien Apple iMessage se jacta de cifrado de extremo a extremo desde 2011, sus mensajes se almacenan permanentemente en los dispositivos y, de forma predeterminada, se copian en la copia de seguridad de iCloud, creando una vulnerabilidad de privacidad. A pesar de un cifrado sólido, incluida la seguridad poscuántica, la falta de funciones como los mensajes que desaparecen deja a la plataforma por detrás de otros mensajeros en la protección de la privacidad del usuario. El artículo insta a Apple a mejorar y agregar una función de mensajes que desaparecen para proteger mejor los datos del usuario.

(blog.cryptographyengineering.com)

Tecnología

El Reino Unido exige secretamente a Apple que debilite el cifrado de iCloud: una pesadilla de privacidad

2025-02-12

El gobierno del Reino Unido exigió secretamente a Apple que debilitara el cifrado de extremo a extremo en su sistema de Protección de Datos Avanzada (ADP) de iCloud, lo que generó importantes preocupaciones sobre la privacidad. Este sistema está diseñado para proteger los datos del usuario contra el acceso no autorizado, pero la solicitud del Reino Unido permitiría el acceso secreto a los datos del usuario. Esto no solo amenaza la privacidad de los usuarios del Reino Unido, sino que también sienta un precedente peligroso para otros países, lo que podría poner en riesgo la seguridad de los datos en todo el mundo. El autor insta a Apple a acelerar el despliegue del cifrado de extremo a extremo y sugiere una legislación en EE. UU. que prohíba a las empresas estadounidenses instalar puertas traseras de cifrado a petición de gobiernos extranjeros.

(blog.cryptographyengineering.com)

Tecnología cifrado de iCloud seguridad de la privacidad regulación gubernamental

El Talón de Aquiles del Modelo del Oráculo Aleatorio: Nuevos Desafíos para la Seguridad de Blockchain

2025-02-06

Esta publicación profundiza en un problema de larga data en la criptografía: el Modelo del Oráculo Aleatorio (ROM). Ampliamente utilizado para probar la seguridad de los esquemas criptográficos, las suposiciones del ROM son irrealizables en el mundo real. El autor analiza un artículo de Khovratovich, Rothblum y Soukhanov, revelando posibles ataques prácticos a sistemas de prueba de conocimiento cero basados en Fiat-Shamir. Estos ataques explotan vulnerabilidades que pueden surgir al reemplazar el ROM con funciones hash del mundo real. A medida que las pruebas de conocimiento cero y sus aplicaciones recursivas en blockchain se vuelven más prevalentes, el autor destaca los riesgos significativos de seguridad, potencialmente llevando a fallas en todo el sistema. La publicación enfatiza la necesidad crucial de auditorías rigurosas de seguridad de los programas utilizados en los sistemas de prueba y explora varios escenarios de ataque, desde relativamente leves hasta catastróficos, lo que lleva a un examen más profundo de la seguridad de blockchain.

(blog.cryptographyengineering.com)

Tecnología modelo de oráculo aleatorio seguridad blockchain

IA vs. Cifrado de extremo a extremo: Un enfrentamiento por la privacidad

2025-01-17

Este artículo explora el conflicto entre la IA y el cifrado de extremo a extremo. El auge de los asistentes de IA exige el procesamiento de datos cada vez más sensibles fuera del dispositivo, desafiando las protecciones de privacidad que ofrece el cifrado de extremo a extremo. Si bien empresas como Apple intentan mitigar esto con 'Private Cloud Compute' y hardware de confianza, este enfoque depende de una seguridad compleja de software y hardware, quedando corto de una solución perfecta. Una preocupación más profunda radica en el control de los agentes de IA potentes; una vez implementados, el acceso se convierte en primordial, planteando el espectro del acceso gubernamental o corporativo que compromete la privacidad personal.

(blog.cryptographyengineering.com)

Tecnología privacidad de IA cifrado de extremo a extremo