YPF Argentina activa plan para minar Bitcoin con gas natural

YPF Argentina activa plan para minar Bitcoin con gas natural

Fernando Clementín (03 de Octubre, 2022). YPF Argentina activa plan para minar Bitcoin con gas natural Hechos clave: Los equipos de minería están instalados en el mismo predio de Vaca Muerta, propiedad del Estado. El proyecto genera 1 Mw y hay una segunda que...

Por qué coinjoin

Por qué coinjoin

P_Hold (19 de septiembre, 2022). Por qué coinjoin Por qué coinjoin En el sistema bancario tradicional existen garantías de privacidad transaccional que son básicas: Al recibir, el remitente del pago no puede saber cómo o dónde gastas el dinero ni a cuánto ascienden...

L161 – PoW vs PoS: Prueba de trabajo vs Prueba de participación

L161 – PoW vs PoS: Prueba de trabajo vs Prueba de participación

¿Qué es exactamente la prueba de trabajo y por qué la utilizamos en Bitcoin? ¿Por qué Ethereum está a punto de dejarla de utilizar en favor del Proof of Stake? ¿Son ambos sistemas comparables? En el podcast de hoy comparamos el PoW de Bitcoin con el PoS que quiere...

Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios

Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios

Fernando Clementín (05 de septiembre, 2022). Trezor y Wasabi unen fuerzas para ofrecer CoinJoin a sus usuarios Hechos clave: Ambas compañías anunciaron el desarrollo, que estará listo para 2023. Wasabi es una wallet enfocada en privacidad que ya contaba con esta...

Otra wallet añade la actualización de Bitcoin Taproot

Otra wallet añade la actualización de Bitcoin Taproot

Fernando Clementín (24 de agosto, 2022). Otra wallet añade la actualización de Bitcoin Taproot Hechos clave: Taproot permite ingresar menos datos en cada transacción con Bitcoin. Con esta adición, la wallet busca potenciar la privacidad para los usuarios. Nunchuk, una...

Este reloj de 400 mil dólares te cuenta la historia de Bitcoin

Este reloj de 400 mil dólares te cuenta la historia de Bitcoin

Jesús Herrera (01 de septiembre, 2022). Este reloj de 400 mil dólares te cuenta la historia de Bitcoin Hechos clave: Solo habrá 25 relojes bitcoiners a la venta de acuerdo con la empresa joyera. El reloj se negocia en unos USD 396 mil, sin incluir costos de envío....

Bitcoin y el oro bailan juntos en medio de la crisis

Bitcoin y el oro bailan juntos en medio de la crisis

Froilan Fernández (04 de Octubre, 2022). Bitcoin y el oro bailan juntos en medio de la crisis Hechos clave: La correlación entre BTC y el oro viene de oscilar en el último año entre -0,2 y 0,2. En la última semana, dicha correlación superó el valor de 0,3. La...

15% del sector turismo de El Salvador recibe pagos con bitcoin

15% del sector turismo de El Salvador recibe pagos con bitcoin

Marianella Vanci (04 de octubre, 2022). P15% del sector turismo de El Salvador recibe pagos con bitcoin Hechos clave: Para la ministra del sector la adopción de bitcoin está impactando de manera positiva en el turismo. Más de 100 millones de dólares se destinarán para...

Credit Suisse al borde del abismo ¿bitcoin podría rescatarlo?

Credit Suisse al borde del abismo ¿bitcoin podría rescatarlo?

Nickolas Plaza (03 de Octubre, 2022). Credit Suisse al borde del abismo ¿bitcoin podría rescatarlo? Hechos clave: Inversionistas preocupados por la ocultación de información del banco. Las acciones de Credit Suisse han caído 58% en un año. Credit Suisse, una de las...

La capacidad de la Lightning Network alcanza los 5,000 BTC

La capacidad de la Lightning Network alcanza los 5,000 BTC

JOSEPH HALL (03 de Octubre, 2022).La capacidad de la Lightning Network alcanza los 5,000 BTC El crecimiento de los Bitcoin añadidos a la capa 2, Lightning Network, se ha intensificado en el último año, alcanzando los 4,000 bitcoins hace menos de cuatro meses. Los...

Nicolás Antiporovich (01 de junio, 2022). Vulnerabilidad en Microsoft Word permitiría el robo de bitcoins

fuente
Hechos clave:
  • Archivos «.doc», «.docx» y «.rtf» permitirían explotar la vulnerabilidad de Word.
  • Es recomendable mantener claves privadas de bitcoin fuera de línea.

Una vulnerabilidad detectada en el popular procesador de textos, Microsoft Word, le permitiría a un atacante tomar el control total de la computadora de su víctima. Robo de bitcoins (BTC) y acceso a información confidencial son algunas de las posibles consecuencias.

La advertencia fue dada hoy, 1 de junio, por Wallet Guard, una empresa especializada en seguridad en el ámbito de la web 3. Según explica esta compañía, la vulnerabilidad, denominada «Follina», se podría explotar al descargar ciertos archivos con las extensiones «.doc», «.docx» y especialmente «.rtf». No es necesario abrirlos, basta con que estos lleguen al disco rígido de la computadora.

El atacante se aprovecha de las «Plantillas» (o «Templates») del procesador de textos. Se trata de una función que permite que Microsoft Word cargue y ejecute archivos HTML y JavaScript desde fuentes externas. 

Gracias a esta implementación, podría ejecutarse un comando que active un servicio llamado «Herramienta de diagnóstico de soporte de Microsoft» (o MSDT, siglas en inglés de «Microsoft Support Diagnostic Tool»). Se trata de una herramienta para que el equipo de Microsoft pueda acceder de forma remota a la computadora, con el fin de subsanar algún desperfecto.

«Solo hay un problema», aclara Wallet Guard y lo describe:

MSDT normalmente requiere que el usuario ingrese su contraseña para ejecutarlo. Pero MSDT tiene una vulnerabilidad de desbordamiento de búfer. Por lo tanto, el pirata informático puede eludir la protección con contraseña por completo.

Wallet Guard, empresa especializada en seguridad informática.

De acuerdo con el sitio web especializado, redeszone.net, una vulnerabilidad por desbordamiento de búfer «es un problema de seguridad de la memoria en donde el software no considera o no verifica sus límites de almacenamiento. Entonces, la memoria del programa recibe una cantidad de datos mayor a la que realmente puede procesar de acuerdo a cómo fue desarrollado».

Hay varias consecuencias de una situación así. El mencionado portal de informática explica: «además de desembocar en problemas de funcionamiento de dicho software o que, simplemente, se detenga inesperadamente, pueden salir a la luz vulnerabilidades que se pueden explotar».

Vale aclarar que Wallet Guard no detalla cómo es que el atacante puede emplear el acceso remoto (pensado para que lo utilice el personal de soporte de Microsoft) para acceder él mismo a la computadora de la víctima. Es posible —aunque no lo afirman— que la omisión sea para evitar que se ponga en práctica por actores malintencionados.

¿Cómo protegerse de la vulnerabilidad Follina? 

Wallet Guard recalca el hecho de que no es necesario abrir el archivo para ser víctima del ataque. Solo con descargarlo, es suficiente.

Por este motivo, las recomendaciones que brinda son radicales y empiezan por «descontinuar el uso de Microsoft Word» hasta que esta vulnerabilidad esté eliminada. También recomiendan no abrir archivos con las extensiones mencionadas y preferir el uso de PDF o trabajar con Google Docs.

A modo de conclusión, indican que este fallo podría ser «una de las peores vulnerabilidades de Word que hemos visto».

¿Qué dice Microsoft sobre esta vulnerabilidad en Word? 

La propia empresa desarrolladora del programa Microsoft Word confirma que la vulnerabilidad es real. De todos modos, indican que el sistema de seguridad de Windows está preparado para bloquear un ataque de este tipo. 

La compañía creada por Bill Gates y Paul Allen propone, como solución, deshabilitar el protocolo MSDT, para lo cual es necesario ejecutar el sistema como administrador.

Luego de eso, se puede ejecutar una copia de seguridad de la clave de registro mediante el comando «reg export HKEY_CLASSES_ROOT\ms-msdt filename». Y, finalmente, se ejecuta «reg delete HKEY_CLASSES_ROOT\ms-msdt /f».

Las llaves privadas de Bitcoin están más seguras fuera de línea 

Al conocer una vulnerabilidad de este tipo, queda en evidencia el porqué de uno de los consejos más repetidos en el ámbito de Bitcoin: mantener las llaves privadas fuera de línea

Ningún servicio de almacenamiento en la nube, ni ningún software de gestión de contraseñas, ni mucho menos el «Bloc de Notas» o tu procesador de texto favorito, te darán la seguridad que brinda una hoja de papel.

 

 

Se han fabricado planchas de metal diseñadas especialmente para grabar en ellas la frase semilla que da acceso a las criptomonedas. Fuente: Amazon.

En palabras del especialista Jameson Lopp, «los ladrones no pueden robar lo que no saben que usted posee». Por ese motivo, tal como se explica en un artículo de CriptoNoticias, el almacenamiento físico (fuera de línea) de las 12 o 24 palabras clave que dan acceso a tus bitcoins, suele ser la mejor opción. Claro, siempre que no olvides donde guardas ese papel.