Category: Ciberseguridad

bookmark_borderAtaques DDoS contra proveedores de VoIP

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

A mediados de septiembre de 2021, un proveedor de servicio VoIP, VoIP.ms reportó ser víctima de un ataque de denegación de servicio distribuido -DDoS-.

VoIP –Voice over Internet Protocol– es un servicio que permite utilizar Internet o una red privada para realizar llamadas de voz, haciendo que los mensajes viajen como paquetes, al igual que un correo electrónico por ejemplo. Gracias a este recurso, es posible realizar llamadas telefónicas a cualquier lugar del mundo, sin depender de la infraestructura tradicional de las compañias telefónicas, lo que representa ahorro y conveniencia para los usuarios. Claro está, que sin señal de Internet o datos en el teléfono móvil no pueden realizarse este tipo de llamadas.

Las llamadas se realizan mediante aplicaciones para teléfonos móviles, pero afortunadamente, plataformas de mensajeria como WhatsApp, Telegram y Messenger también incluyen esta función. Lamentablemente, este útil servicio también es de interés para los ciberdelincuentes.

Los ataques de denegación de servicio, afectaron a muchos usuarios corporativos de VoIP. Un experto de Kaspersky explica sobre este tipo de ataques los siguiente:

Este tipo de ataque aprovecha los límites de capacidad específicos que se aplican a cualquier recurso de red, tal como la infraestructura que habilita el sitio web de la empresa. El ataque DDoS envía varias solicitudes al recurso web atacado, con la intención de desbordar la capacidad del sitio web para administrar varias solicitudes y de evitar que este funcione correctamente.

El objetivo de este tipo de ataques es interrumpir el acceso a los usuarios de los servicios en línea. Las personas que intenten acceder al servicio recibiran un mensaje que indica que el recurso no esta disponible o en el mejor de los casos, percibiran una lentitud de respuesta en la plataforma.

Otra victima fue la empresa Bandwidth, que dió a conocer sobre la situación, ofreciendo disculpas a sus clientes y ofreciendo realizar lo que fuese necesario para mitigar el impacto del ataque. Adicionalmente implementaron una página para actualizaciones en tiempo real sobre el incidente.

Otros proveedores también fueron afectados, quienes debieron incorporar a sus plataformas información para sus clientes sobre el estatus de los servicios. Al parecer, lo que le sucedió en Estados Unidos es sólo una parte de algo más grande. Según la Cloud Communications Alliance -CCA-, entre finales de agosto e inicios de septiembre al menos tres proveedores VoIP en el Reino Unido fueron también victimas de ataques de denegación de servicios. Los ataques se basaron en bombardear las red de las empresas con trafico de entre 100 y 450 gigabits por segundo, hasta por 24 horas en varias ocasiones.

Para el 18 de septiembre, se dió a conocer que el grupo criminal ruso REvil, se atribuyó el la autoría del ciberincidente, reclamando un pago de un bitcoin –US$ 45 mil– para detener el ataque, pero en corto tiempo la extorción se incremento a 100 bitcoins –US$ 4.3 millones-.

Desafortunadamente los servicios VoIP no cuentan con estrategias maduras contra ataques DDoS, al igual que muchos otros servicios basados en Internet. Seguramente continuaremos presenciando incidentes que pondrán de manifiesto lo mucho que falta por avanzar.

Bibliografía

bookmark_borderEmpresa colombiana expone datos de miles de clientes

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

La empresa colombiana Coninsa registró una fuga de datos de 1TB de información, unos 5.5 millones de registros con la información de más de 100 mil clientes.

El problema se generó por una mala configuración de un medio de almacenamiento AWS S3, lo que permitió a los atacantes acceder sin necesidad de claves o credenciales de acceso para ver la información sin cifrar y contenia fotos, direcciones y números teléfonicos entre otros.

El equipo de ciberseguridad de WizCase que detectó el incidente lo reportó a Coninsa, pero no hubo respuesta

WizCase’s security team recently found a major breach affecting the online database of Colombian real estate development firm… We reached out to the company, but did not receive a reply so far

¿Qué información fue expuesta?

El reporte de WizCase es bastante interesente, del que presento los puntos más relevantes

  • Información de la compañia
  • Información de identificación personal (PII): nombres, teléfonos, dirección, pagos y valores de activos (propiedades)
  • Información de empresas clientes
  • La mayoría son documentos: facturas, notas de crédito, cotizaciones, estados de cuenta y notas de crédito
  • Los documentos son de años entre 2014 y 2021
  • También se encontró una base de datos de respaldo con mayores de talles: fotografía de perfil, usuario de acceso y claves en hash
  • En términos monetarios, la información expuesta revela transacciones de entre 140 y 200 billones de dolares

El medio de almacenamiento también contenia otra información de servicios internos de la empresa. También se encontro código Backdoor en el sitio web oficial, que permite a cualquir grupo criminal poder modificar el contenido y crear páginas fraudulentas para fines de Phishing.

WizCase proporcionó parte del código malicioso encontrado

Pictured: Malicious code in the backend of Coninsa Ramon’s website. Fuente: WizCase

En el sitio web de la empresa Coninsa existe el apartado de Política para tratamiento de datos personales. En el capítulo IV, sección 2 indica

2. DEBERES DE CONINSA RAMÓN H. S.A.
De conformidad con lo establecido en el artículo 17 de la Ley 1581 de 2012, la Compañía se compromete a cumplir en forma permanente con los siguientes deberes en lo relacionado con el tratamiento de datos personales:
a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data;
b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

Más allá de lo indicado ¿Será que se lo toman en serio?

¿Qué legislación existe en Colombia sobre violación de datos?

En Colombia existen dos leyes enfocadas en la protección de datos personales

  • Ley Estatuaria 1266 de 2008
  • Ley Estatuaria 1581 de 2012

En el año 2020 la Superintendencia de Industria y Comercio (SIC) impuso multas por 7,580 millones de pesos colombianos, consecuencia de 16 mil quejas recibidas. El 89% de las sanciones fue por infracciones a la ley 1266 y el 11% restante por infracciones a la ley 1581.

En julio de 2021 la SIC presentó una guía sobre protección de datos personales con el fín de apoyar a las empresas a evitar ser sancionadas.

¿Qué lección deja lo sucedido?

Ingenuamente muchos piensan que únicamente bancos o instituciones gubernamentales son víctimas de la ciberdelincuencia, sin embargo, esto no es cierto. Los departamentos de IT de empresas pequeñas y grandes suelen implementar tecnología de hardware y software sin considerar aspectos de Cibserseguridad, lo que facilita incidentes como el de la empresa Coninsa. La información personal es un recurso valioso en el mundo digital, ya que su comercialización y posterior uso para cometer fraude genera reditos millonarios, que hoy forman parte de un mercado creciente y de gran dinamismo.

Bibliografía

bookmark_borderPerú: crean página falsa de bono YANAPAY

Posted on by Juan Luis Herrera
Reading Time: 3 minutes

La Autoriad Nacional de Protección de Datos (ANPD) de Perú, confirmó el 16 de septiembre de 2021 sobre la existencia de un sitio web falso sobre el bono YANAPAY.

A través de la Dirección de Fiscalización e Instrucción (DFI) de la ANPD, se informó a la población sobre la página fraudulenta con dirección https://bonoyanapay.com, que contiene una apariencia y estructura similar a los sitios oficiales del gobierno de Perú. El sitio utiliza un formulario donde los usuarios ingresan su Documento Nacional de Identidad (DNI) y luego solicita información de una tarjeta de crédito o débito, tales como numeración, fecha de vencimiento y código verificador.

Usuarios que se han percadato de la falsedad del sitio detallan algunas características que regularmente identifican este tipo de delitos informáticos:

  • Los sitios oficiales del gobierno terminan con .GOB.PE no con .COM
  • Los sitios oficiales del gobierno cuentan con una sección de Políticas de Privacidad
  • El test para confirmar si quien accede es un humano, siempre muestra el mismo código
  • Los programa de gobierno no necesitan datos de una tarjeta de crédito o débito
  • El sitio oficial del programa YANAPAY únicamente solicita DNI y fecha de emisión

Cuando un usuario incauto, proporciona la información sobre su tarjeta de crédito o débito, esta permitiendo a los estafadores poder realizar compras en línea. El Ministerio de Desarrollo e Inclusión Social (Midis) advirtió a la ciudadania en las redes sociales

!Atención, no pongas en riesgo tu información personal!

Si desea obtener información oficial sobre el #YanapayPerú, ingresa a la web yanapay.gob.pe o comunicate a la línea gratuita 101.

El término YANAPAY corresponde al verbo que en culturas Quechua, Aymara y Puquina hace referencia a solidaridad humana, amor humano o amor fraterno. El gobierno de Perú, creo, con el nombre YANAPAY, un programa de ayuda económica de 350 soles peruanos, equivalentes a unos US$ 700, destinado a más de 13.5 millones de peruanos. Las condiciones para recibir la ayuda gubernamental son:

  • Estar en situación de pobreza o pobreza extrema
  • Pertenecer a alguno de los programas de gobierno Juntos, Pensión 65 o Contigo
  • No estar registrado en planilla pública o privada, excepto pensionistas o prácticantes
  • Tener un ingreso menor a 3 mil soles (US$ 725) al mes por hogar

El programa inició el 13 de septiembre y en 3 días ya existía un sitio falso. La dirección del sitio fraudulento es http://bonoyanapay.com, que ya no se encuentra activo, pero se desconoce cuántos usuarios pudieron haber ingresado y proporcionado su información financiera.

Uno de los efectos de la pandemia COVID-19 ha sido la creción de programas gubernamentales, los que aprovechan las ventajas que ofrece la tecnología para que los beneficiario puedan acceder de una forma sencilla, sin embargo, esta conveniencia tecnológica también es aprovechada por los ciber delincuentes.

En una entrada al blog sobre el Phishing, comenté como los usuarios utilizan los buscadores para acceder a servicios en línea, lo que puede llevarlos a sitios fraudulentos. No sería extraño que los peruanos interesados en el bono, ingresaran en Google el nombre del bono, haciendo click en el primero resultado, con el riesgo que los trasladara a una página falsa como la encontrada por DNI. ¿Será que es la única?

Lo que sucedió con el bono YANAPAY es un problema serio, ya que es relativamente fácil crear sitios web o aplicaciones móviles fraudalentas, que son utilizadas por usuarios que confían en lo que encuentran en Internet. Otro aspecto preocupante es que, al ser descubierto un sitio web falso, no es dificil generar otro, esperando a que otra buena cantidad de internautas caigan en la trampa.

Actualmente existen programas gubernamentales similares a YANAPAY en prácticamente todo el mundo, con una alta probabilidad que también esten siendo utilzados para acceder a información sensible de los beneficiarios, sin que las autoridades lo sepan o puedan hacer algo al respecto. El término YANAPAY en general significa ayuda, pero sin considerar aspectos de Seguridad Informática, parece que también ayuda a los ciber criminales.

Bibliografía

bookmark_borderPhishing: un peligro latente para los chapines

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

Si eres usuario de Banca Electrónica y tu banco tiene ya cierta madurez respecto de la Ciberseguridad, seguramente has recibido en los últimos meses o años, correos de tu proveedor financiero informando y adviertiendo sobre el Phishing.

Revisando en mi historial de correos, encontré uno de Banco Industrial de noviembre de 2016, en el que me recomiendan actualizar mi contraseña mediante algunos consejos para su protección. El correo también incluye los siguientes consejos para evitar ser victima de Phishing:

  • Asegurar que la dirección de la plataforma sea la correcta y que inicie con https.
  • No utilizar la plataforma desde cualquier lugar
  • No ingresar desde conexiones de WiFi pública

¿Qué es y cómo funciona el phishing?

El origen del término es la palabra inglesa fishing -pescar-, que literalmente hace alusión a que los atacantes lanzan un ansuelo a sus víctimas, esperando que alguna de ellas lo muerda. El ansuelo consiste en la utilización de mensajes electrónicos (correo, texto, WhatApp, FaceBook, etc), haciendose pasar por una persona o entidad con la que la víctima tiene alguna relación. La identidad falsa de una persona puede ser de un amigo o familiar, en tanto las entidades pueden ser proveedores comerciales, centros educativos o instituciones gubernamentales. Si el mensaje falso es lo suficientemente convincente, el usuario tendrá confianza en la comunicación, que usualmente tiene por objetivo que inocentemente provea información delicada o confidencial.

La técnica detrás del Phishing requiere conocer cierta información del objetivo, ya que la confianza del proceso se basa en mostrar al usuario información que le hagan creer que la fuente de la comunicación es legítima. El complemento del Phishing es lo que se conoce como Ingenieria Social, que proveé al atacante de información básica sobre el uso frecuente de algún servicio o relación con alguna entidad, para así, suplantar su identidad.

¿Un fenómeno nuevo?

En 2021 se cumplen 25 años de la identificación de este tipo de ataques. En 1996 la plataforma de AOL identificó que sus usuarios estaban recibiendo mensajes falsos, con la intención de que proporcionaran información que le permitiera adueñarse de la cuenta de la víctima, que posteriormente se utiliza para cometer crímenes.

El Anti-Phishing Working Group publicó un informe al primer trimestre de 2021 con datos muy interesantes, entre ellos se mencionan:

  • 245,771 sitios web únicos de Phishing
  • La industria financiera es la más atacada (24.9%), seguido de las redes sociales (23.6) y luego proveedores de servicios (19.6%)
  • 172,793 textos únicos en ataques mediante correo electrónico

Desde su aparición los atacantes han mejorado la técnica y actualmente se utilizan diversas variantes y/o técnicas de Phishing. Hoy existen millones de plataformas elecrónicas que proveen servicios remotos a los usuarios, todo se realiza desde la comodidad del hogar o la oficina y desde cualquier dispositivo conectado a Internet. El problema radica en que, como usuarios, pocas veces confirmamos que la dirección del servicio al que se accede o del mensaje que se recibe sea legítima, lo que es en sí un problema dificil de resolver dejandolo en manos de los usuarios.

Para iniciar, no siempre es algo facil de comprender. Por ejemplo, en el caso de un sitio web de algun servicio, la forma de acceder es mediante la URLUniform Resource Locator-, que es el medio para encontrar recursos en internet, como pueden ser las páginas web, algunos ejemplos son:

  • Wikipedia: https://www.wikipedia.org
  • Naciones Unidas: https://www.un.org

Muchos, quizás más del 90 por ciento de los usuarios no escriben la URL de los servicios que utilizan en la barra del navegador… un momento ¿Sábes que existe y qué es verdad? Lo que hacen es escribir en el buscador, seguramente de Google la expresión Wikipedia o Naciones Unidas, que mostrará como resultado los links a páginas relacionadas con el término. Esto lo realizan a diario millones de personas para acceder a sus cuentas de banco, centros de estudio, tiendas en línea o redes sociales.

El riesgo es que uno de los links que muestra Google, apunte a un sitio de apariencia similar, pero que sólo es una imitación maliciosa, cuyo objetivo es que el víctima introduzca su usuario y contraseña, para luego mostrale un mensaje distractor que informe que de momento la plataforma esta en mantenimiento y que lo intente más tarde… !! Para el usuario, ya es demasiado tarde !!

Más dificil, quizás imposible, es pretender que los usuarios puedan identificar que un mensaje de correo electrónico, con toda la apariencia de ser confiable, proviene de un remitente legítimo. Si lográ llegar a la bandeja de entrada de la víctima, posiblemente llamará su atención y si esta bien diseñado el ataque, seguramente realizará acciones que son útiles para el atacante.

¿Cómo esta Guatemala respecto del Phishing?

Guatemala se encuentra muy rezagada en materia de Ciberseguridad. Recientemente la Unión Internacional de Telecomunicaciones publicó el Índice Global de Ciberseguridad 2020. El país se ubica a nivel mundial en el puesto 150 de 182 países y con una calificación de 13.3 puntos de 100, respecto del continente americano ocupa el puesto 26 de 35. Los resultados no son alentadores, lo que implica que existe poca institucionalidad que respalde a los guatemaltecos en materia de Ciberseguridad, lo que deber ser una razón de alerta para todo usuario.

El tema del Phishing, como muchos otros del mundo tecnológico no es sencillo, a pesar que aparenta serlo. La comodidad y conveniencia que ofrecen las diveras plataformas digitales que se utilizan a diario, afectan en gran medida la seguridad, lo que dificilmente es captado y comprendido por los usuarios. Es importante aclarar que no es un tema exclusivo de la banca, pero es un sector de mucho interés para quienes realizan este tipo de ataques.

Extraoficialmente se rumora de muchos casos de Phishing en instituciones bancarias, que han afectado a los usuarios, que han sufrido estáfas y pérdidas financieras que dificilmente logran resolver. Entre los atacantes, que puedan estar en el país o en cualquier lugar del mundo y las instituciones bancarias, que dificilmente aceptan tener algun grado de responsabildid, los usuarios quedan desprotegidos, llegando en muchas ocasiones a tener que aceptar las pérdidas.

Algo positivo que esta ocurriendo es la publicación en medios y páginas de diversas instituciones privadas y públicas sobre el tema de Phishing y Cibersguridad en General. Todo usuario debe conocer los aspectos generales del tema y tomar sus precauciones, de lo contrario, corre el riesgo de aprenderlo de una forma muy dolorosa y posiblemente costosa.

Bibliografía

bookmark_borderKaseya RansomWare: proveeduria al servicio del cibercrimen

Posted on by Juan Luis Herrera
Reading Time: 4 minutes

Durante el fin de semana de celebración de la independencia de los Estados Unidos, Kaseya, una empresa proveedora de servicios de administrción de infraestuctura de tecnológica y ciberseguridad fue víctima de un ciberataque. El incidente ha sido clasificado como un Ataque a Cadena de Suministro, que afectó entre 800 y 1500 empresas clientes de Kaseya, usuarios del software VSA (Virtual System/Server Administrator), que fué infectado a través de una actualización fraudulenta, que contenia código RansomWare del grupo REvil.

El RansomWare de REvil ha estado involucrado en otros incidentes importantes, entre ellos esta el ataque SolarWinds de finales del año 2020 y más recientemente, el ataque a la empresa procesadora de comida JSB en mayo de 2021. Según varios expertos en ciberseguridad, el grupo ha desaparecido de la red, ya que diversos sitios aparecen fuera de línea, lo que se intrepreta como una reestructuración de sus operaciones. Los últimos ataques de REvil han llamado mucho la atención de las autoridades, sobre todo en Estados Unidos, por lo que existen muchas teorías sobre lo que realmente esta sucediendo.

Los Ataques a Cadena de Suministro suelen ser de gran alcance. La tercerización de servicios IT es una buena alternativa para las empresas, ya que les permite enfocarse en su giro de negocio y dejar en manos de expertos la gestión de todo lo relacionado con su infraestructura tecnológica, una pŕactica que en los últimos años ha incorporado la ciberseguridad. En estos ataques, los cibercriminales se enfocan en los proveedores de las potenciales víctimas, quienes al contar con acceso a alguna parte de sus sistemas, se convierten en el medio idoneo para la infiltración, monitoreo y posterior ejecución del ataque, que puede llegar a ser, como en el caso de Kaseya, a gran escala.

El estudio del caso Kaseya reveló un dato curioso y muy importante para el ataque. El software que utilizan los clientes para que se pueda hacer el monitorio y gestión de infraestructura, requiere que los sistemas de antivirus y antimalware le otorguen el mayor nivel de confianza, con acceso privilegiado al sistema operativo, situación que resultó muy útil para los atacantes, ya que la actualización de software maliciosa que se distribuyó en todos los clientes, se ejecutó sin ningún tipo de revisión o verificación. En pocas palabras, en este tipo de ataques la confianza en el proveedor, es el arma de los atacantes.

Cuando se confirmó el ataque, el CEO de la empresa, Fred Voccola indicó que la estrategía para abordar la situación se basó en dos aspectos: indicar a los clientes que de forma inmediata apagaran los servicores VSA y Kaseya deshabilito las infraestructura VSA SaaS. Luego de contener el ataque, el siguiente paso fue publicar actualizaciones de seguridad para eliminar la vulnerabilidad. Diversos expertos en ciberseguridad han manifestado que la metodología utilizada por los atacantes es muy eficiente e ingeniosa.

La utilización de los proveedores como vectores de ataque no es algo nuevo o exclusivo del mundo informático, pero actualmente representan un gran reto para la industria de ciberseguridad. La cadena comprende un número importante de procesos y socios comerciales, que pueden ser proveedores de materias primas, distribuidores y hasta los propios consumidores. Las organizaciones suelen otorgar a sus proveedores confianza, que se materializa en acceso a lugares o información reservada, pero necesaria para la relación comercial. La situación se complica más cuando en la relación cliente-proveedor intervienen componentes, procesos o sistemas que dificilmente pueden ser supervisados a detalle por alguien de la organización, lo que desvirtua el concepto de confianza, situación que es aprovechada por quienes identificación esta vulnerabilidad. Los proveedores se convierten en un potenciador de los grupos criminales, lo que les permite llegar a una gran cantidad de objetivos.

En el mundo tecnológico millones de productos y servicios digitales son resultado de un complicado sistema comercial entre muchos participantes, que proveen componentes de hardware y software, que van ensamblandose y dando forma a un resultado final, que puede haber sido comprometido en alguna de sus fases de creación o, como hoy es común, en los procesos de actualización remota y automatizada. Pretender evitar estos incidentes es casi imposible. La empresa de seguridad ESET, propone una lista de recomendaciones útiles para esta situación

  • Conozca su software: mantenga un inventario de todas las herramientas patentadas y de código abierto que utiliza su organización
  • Esté atento a las vulnerabilidades conocidas y aplique los parches; de hecho, los ataques que involucran actualizaciones contaminadas no deben disuadir a nadie de actualizar su software
  • Manténgase alerta a las brechas que afecten a los proveedores de software de terceros
  • Elimine los sistemas, servicios y protocolos redundantes u obsoletos
  • Evalúe el riesgo de sus proveedores desarrollando una comprensión de sus propios procesos de seguridad
  • Establezca requisitos de seguridad para sus proveedores de software
  • Solicite auditorías de código periódicas y pregunte por las revisiones de seguridad y los procedimientos de control de cambios para los componentes del código
  • Infórmese sobre las pruebas de penetración para identificar peligros potenciales
  • Solicite controles de acceso y doble factor de autenticación (2FA) para proteger los procesos de desarrollo de software
  • Ejecute software de seguridad con múltiples capas de protección

El incidente de Kaseya demuestra como los Ataques a Cadena de Suministro cuentan con una amplia superficie de actuación, que regularmente se materializa en el eslabón más debil y que dificilmente es conocido por las organizaciones hasta que lamentablemente … !! Es demasiado tarde !!

Bibliografía

bookmark_borderPrint-Nightmare: una vulnerabilidad parchada… pero no del todo

Posted on by Juan Luis Herrera
Reading Time: 2 minutes

El Servicio de Cola de Impresión o PSS –Print Spooler Service- de Microsoft nuevamente ocupo los titulares de noticias de ciberseguridad, tanto de Microsoft como de portales especializados. La noticia fué la causa de mucha confusión entre los usuarios ya que en principio se tenia por arreglado el problema, sin embargo, resulto que eran dos los problemas que de forma independiente afectaban el PSS, que se ejecuta con total acceso a los componentes básicos del sistema operativo.

Hace poco más de 10 años, se ejecutó un ataque a sistemas SCADA en Iran, en instalaciones nucleares de la empresa alemana Siemens. El incidente tuvo como uno de los vectores de vulnerabilidad el PSS. El incidente de aquellos días se relacionó con el gusano informátic Stuxnet, el primero quizá con capacidad de espíar y reprogramar sistemas industriales. El experto en seguridad Steve Gibson explica que muchos de los problemas que afrontan los sistemas de empresas como Microsoft, es que fueron diseñados cuando no existia Internet y varios de sus componentes aún se encuentran en las nuevas versiones, con vulnerabilidades que no pudieron ser previstas en su creación.

La dificultad y confusión con la vulnerabilidad resulta de la actualización o parche liberado por Microsoft el 8 de junio, que corrigió la vulnerabilidad CVD-2021-1675. Microsoft implemento su actualización en base a lo reportado por el investigador de seguridad Will Dorman, lo que resultó ser una solución deficiente e incompleta. Al menos 2 investigadores de seguridad informática, publicaron durante el mes de junio pruebas de concepto sobre como explotar la vulnerabilidad del PSS para obtener escalada de privilegios y ejecución remota de código.

Un poco a regañadientes, Microsoft aceptó la existencia de una segunda vulnerabilidad en el PSS, la cuál se registro como CVE-2021-34527 y que fue corregida con la actualización liberada el 7 de julio. Una lección aprendida es que no se puede abordar una vulnerabilidad de forma superficial, los técnicos de Microsoft únicamente se enfocaron en lo reportado por Will Dorman, sin investigar con mayor profundidad las causas del problema.

Algunas de las recomendaciones para este caso son las siguientes:

  • Instalar las actualizaciones constantemente
  • Si no se necesita el PSS, desinstalarlo
  • En servidores de dominio no es necesario tenerlo instalado o activo

Microsoft ha venido sufriendo por meses una serie de dificultades con sus actualizaciones, cayendo en una especia de historia sin fin, ya que las actualizaciones corrigen algunas cosas, pero afectan otras. Expertos en tecnología aseguran que hay más vulnerabilidades aún no dadas a conocer en el PSS y que la pesadilla aún no termina.

Bigliografía