Hoy se ha hecho publica una gravísima vulnerabilidad. En concreto se trata de un error en el sistema de nombres de dominio, en las DNS.

Este bug fue descubierto hace ya seis meses por el experto en seguridad 'online' Dan Kaminski, de IOActive.

Las DNS son las que permiten traducir los nombres de dominio, las url, como www.n0xtrum.com, en una dirección IP , 72.14.207.121, que corresponde a la página web/servidor en cuestión.

El error descubierto podría haber permitido a los delincuentes informáticos redirigir cualquier dirección de Internet a otros sitios falsos, incluso si la víctima teclea de manera correcta dicha dirección en el navegador.

Lo grave de todo esto, es que todos, usamos DNS, tanto empresas, usuarios domésticos y por ello las principales empresas de software e internet se han puesto manos a la obra para solucionar este grave agujero de seguridad, entre ellas Microsoft, Sun Microsystems y Cisco.

Por lo que he estado buscando este ataque ya habia sido documentado de cierta forma en el 2003 (Cache Poisoning using DNS Transaction ID Prediction), sin embargo se necesitaban de un gran numero de paquetes para hacer funcionar el ataque.


Segun el aviso, los sistemas vulnerables son aquellos donde el ID de transacción de 16-bits en el DNS y el numero de puerto para la transacción (tambien 16-bits) no son escogidos de manera aleatoria. El reporte tambien nos dice que el atacante debe ser capaz de falsificar su direccion IP y no deben estar detraz de algun IPS que filtre trafico de salida. El resultado de dicha vulnerabilidad: ataque de envenenamiento al DNS.

Puedes comprobar si tus DNS son vulnerables en esta página que han preparado: http://www.doxpara.com/

PD: De momento las mías de Ya.com si lo son.

Fuentes: Elmundo.es y Net-Security

Dentro de las modalidades y tipos de servicios que ofrece Ya.com, la más nueva es, Ya.com Total.

Este servicio de ADSL incluye teléfono a través de VozIP, en las modalidades de 3, 10 y 20MB

De entre las ventajas, destacar su facil manejo y sobre todo su precio, que ya de por si muy competitivo, nos permite ahorrarnos los 13,90€ de mantenimiento que pagamos todos a Telefónica.

Lo peor, que deja inservibles las rosetas de toda la vida, que si te quedas sin internet o luz, te quedas sin teléfono y que no se puede cambiar la modalidad de velocidad contratada.

Bueno, la vulnerabilidad, conocida ya en el servicio ténico de Ya.com, afecta a los routers que se están enviando para este servicio, en concreto el SMC7908A-ISP VoIP.


A pesar de haberse actualizado el firmware, no han llegado a solucionar esta vulnerabilidad, que ya ha sido publicada y que consiste en que el puerto https, el 443 está abierto. Hasta ahí no habría mayor problema, salvo porque los clientes que tienen Ya.com, usan una línea Ethernet (No PPPoA ni PPPoE), por lo cual por defecto tienen una IP fija y esta no puede cambiarse ni pasarse a dinámica.

Bien pues conociendo la IP del usuario y a través del puerto abierto, podemos acceder al panel de configuración del router, a lo que si le sumamos, que el router tiene siempre la contraseña por defecto "admin", deja abierto a cualquier atacante remoto, nuestro router en bandeja y por tanto, nuestro servicio de internet y teléfono.

Como solución, yo os recomendaría, cambiar inmediatamente la contraseña de acceso al router, a la espera de una nueva versión de firmware, que solucione este grave bug de seguridad.

Actualización: Aquí os dejo un pantallazo del bug, como me han pedido.


Guia de instalación de Ya.com Total de Bandaancha

Actualizacion: Según una nota interna de la empresa, a la que he tenido acceso, con la nueva actualización del firmware del router se solventará este problema de seguridad. Dicha actualización se cargará por remoto. Veremos si es cierto que solucionan el problema, pero de momento, lo dejamos así.

Lo que voy a contar parece increíble, de hecho casi no me lo creía cuando lo leí en ALT1040.

La noticia es esta: según se cuenta en el ‘blog’ de seguridad del Washington Post, unos 60.000 usuarios de MySpace han dejado al descubierto sus contraseñas al picar en una página de phising. No es la primera vez que esto ocurre, pero como comentan en el artículo, lo alucinante es la total falta de originalidad de los pobladores de esta comunidad.

Lo del Phishing ya demuestra una falta de seguridad enorme por parte de los usuarios, ya hablé sobre el phishing hace un par de dias, pero lo francamente crítico de este informe, son las contraseñas usadas por los usuarios.

• password1 (106)
• abc123 (73)
• swimmer1(43)
• iloveyou1 (41)
• monkey1 (40)
• fuckyou (37)
• 123456 (33)
• myspace1 (32)
• fuckyou1 (32)
• i (32)
• password (27)
• babygirl1 (25)
• iloveyou2 (24)
• football1 (24)
• danny12031986 (23)
• blink182 (23)
• princess1 (22)
• freesh**4me (22)
• 16188s (22)
• 123abc (22)

Es increíble que a estas alturas haya gente que ponga como contraseña de cualquier sitio, palabras como: password, password1, acb123, 123456, fuckyou,... En vez de usar contraseñas difíciles de adivinar, combinando letras y números,... los usuarios hacen todo lo contrario.

"La gente se cree invulnerable, que a ella no la van a engañar. También tiene tendencia a confiar en los otros, querer ayudarles y evita tanto como puede quedar mal. Además, no suele entender el valor de la información que manejan ni las consecuencias de sus acciones." K. Mitnick


Visto en: ALT1040

Ya habia oido de la existencia de la vulnerabilidad en IE y gracias al equipo de Kriptopolis, me he informado aun más sobre lo que esta ocurriendo.

La amenaza no puede ser más real, porque los indeseables de la Red están manipulando máquinas de servidores de hosting (200 confirmados en Host Gator) a fin de reconducir a los inocentes usuarios de Explorer a sitios donde se les instala todo tipo de mierda, desde spyware a keyloggers que se encargan de registrar todo lo que teclean.

Existe -eso sí- un parche no oficial, que, como es fácil suponer, carece de las bendiciones de la casa madre. Así que, eso o a esperar hasta que Microsoft saque el parche oficial el 10 de Octubre.

Comprobar si sois vulnerables: Aquí
Video de muestra de la vulnerabilidad: Aquí
Más información: Kriptopolis