La situación de la seguridad en línea en Corea del Sur ha llegado a un callejón sin salida

 (palant.info)
45 puntos por kunggom 2023-01-04 | 15 comentarios | Compartir por WhatsApp

Desde hace mucho tiempo, la banca en línea y los servicios de gobierno electrónico de Corea del Sur son tristemente célebres por todo tipo de programas que hay que instalar. Antes era ActiveX, y hoy se ha transformado en instaladores de plugins de seguridad, pero la esencia no ha cambiado. Aun así, en los últimos años han aparecido métodos alternativos de verificación de identidad que sustituyen al certificado digital oficial, y también han surgido sitios que ofrecen servicios en línea sin exigir la instalación de plugins .exe, así que, comparado con antes, parte de la situación ha mejorado. Pero sigue siendo realmente lamentable que, incluso en 2023, todavía existan abiertamente sitios web que obligan a instalar estas cosas.

Wladimir Palant, conocido por Adblock Plus, publicó en su blog que desde septiembre pasado había estado investigando esta situación de la seguridad en línea en Corea del Sur. (En inglés) Parte desde el contexto histórico de cómo, debido a las restricciones de exportación de algoritmos criptográficos de Estados Unidos en la década de 1990, se empezó a usar ActiveX para implementar servicios de banca por internet con el algoritmo SEED, desarrollado localmente en Corea. A partir de ahí, describe con precisión la realidad de la instalación de plugins de seguridad que cualquiera que haya usado la banca por internet en Corea conoce bien, y llega hasta señalar que este “software de seguridad” en realidad es una farsa que no aporta nada a la seguridad, y que la situación actual fue diseñada deliberadamente por intereses creados.

Parece que durante su investigación encontró y reportó varias vulnerabilidades de seguridad en productos de plugins de seguridad, pero también entiende perfectamente que eso por sí solo no puede resolver el problema de fondo. En cualquier caso, siguiendo la práctica habitual de divulgar los detalles concretos de las vulnerabilidades 90 días después del reporte, dijo que los publicará en su blog el 9 de enero, el 23 de enero y el 6 de marzo de 2023, respectivamente.

Además, comentó que durante el proceso de búsqueda de vulnerabilidades también encontró problemas de calidad de software como los siguientes. Son cosas que probablemente les resultarán bastante familiares a muchos.

  • Quienes desarrollaron esto parecen tener poca soltura con problemas de seguridad de memoria como el desbordamiento de búfer, a pesar de usar C
  • Compilan con una versión de Visual Studio de hace 15 años en lugar de usar compiladores modernos que ofrecen diversos mecanismos de mitigación
  • A pesar de ser supuestamente programas de seguridad, incluso tienen desactivadas funciones básicas y antiguas de seguridad como ASLR o DEP
  • Usan versiones antiguas de bibliotecas de código abierto, en algunos casos con más de 10 años de atraso
  • En la mayoría de los casos, la criptografía parece haberse usado simplemente como ofuscación (obfuscation) para dificultar la ingeniería inversa
  • Siguen usando parámetros de algoritmos criptográficos que quedaron obsoletos hace mucho tiempo

Lecturas relacionadas

15 comentarios

 
kunggom 2025-06-14

El 2 de junio de 2025, en el ámbito académico de la seguridad en Corea se publicaron artículos y otros materiales que complementan este contenido.
 
kunggom 2023-03-31

Recientemente se dio a conocer que hubo ataques de hacking usando INISAFE CrossWeb EX V3 de INITECH.

Según el Servicio Nacional de Inteligencia, junto con la Agencia Nacional de Policía, la Agencia de Internet y Seguridad de Corea (KISA) y el Instituto Nacional de Investigación en Tecnología de Seguridad, se confirmó que a finales del año pasado Corea del Norte explotó una vulnerabilidad de 'INISAFE', un software de autenticación de seguridad financiera de INITECH, empresa especializada en finanzas y seguridad del grupo KT[030200], para hackear unas 210 PC de alrededor de 60 instituciones importantes nacionales e internacionales, incluyendo organismos estatales y públicos, así como empresas de defensa y biotecnología.
El software utilizado en el ataque fue 'INISAFE CrossWeb EX V3 3.3.2.40' y versiones anteriores, un certificado para el sector financiero electrónico y el sector público, que se estima está instalado en más de 10 millones de PC de instituciones, empresas y particulares dentro y fuera del país.

El Servicio Nacional de Inteligencia dijo: “En enero de este año iniciamos una respuesta de emergencia y completamos un análisis detallado del principio de funcionamiento del malware en cuestión”, y añadió: “Con base en ese análisis, en cooperación con la empresa A completamos el desarrollo de un parche de seguridad, incluso realizando una demostración real de ataque-defensa”.

La postura de INITECH es que en enero, después de que el experto en seguridad alemán Wladimir Palant señalara en una publicación que una parte considerable del software coreano de seguridad financiera tenía problemas, detectaron la vulnerabilidad al revisar el producto de la empresa, que aparecía en la imagen de esa publicación.
Un representante de INITECH dijo: “Después de descubrir la vulnerabilidad, mientras trabajábamos para corregirla, nos contactó el Servicio Nacional de Inteligencia. El 20 de febrero completamos el desarrollo del parche de seguridad que mitiga la vulnerabilidad en cuestión y lo estamos distribuyendo. Actualmente alrededor del 40% de las empresas ya aplicaron el parche. Sin embargo, como todavía no todas lo han hecho, seguimos recomendando que actualicen”.

Como es obvio, no puede ser que solo este producto tenga problemas. Que yo sepa, recientemente hubo al menos otros dos casos en los que se encontraron vulnerabilidades de seguridad en programas coreanos de certificados digitales. Incluso se dice que en uno de ellos ya metieron mano los camaradas guerreros de la información del Norte.

Además, al cerrar y eliminar VestCert es necesario seguir un orden determinado. Primero, para finalizar los procesos, en la pestaña de procesos del Administrador de tareas hay que cerrar primero Goji y luego VestCert. Después, en [Panel de control]-[Programas]-[Programas y características], tras verificar la versión de VestCert, hay que hacer clic en ‘Desinstalar’ para borrarlo por completo.

El grupo de hackers Lazarus inyectó en el proceso svchost.exe a través de la vulnerabilidad de MagicLine4NX y luego descargó y ejecutó un programa malicioso. Por lo tanto, si está instalada una versión vulnerable de MagicLineNX, es necesario eliminarla de inmediato.
 
kunggom 2023-01-09

Por fin empezó a revelarse información sobre vulnerabilidades reales.
 
kunggom 2023-01-09

El primer bateador (?) es el programa de seguridad de teclado TouchEn nxKey de RaonSecure.
La vulnerabilidad en sí ya es grave, pero me impresionó mucho que incluso en el proceso de manejar esa vulnerabilidad mostraran tantas deficiencias. (?)
 
junho0102 2023-01-08

La gallina de los huevos de oro
 
soulee 2023-01-05

He resumido algunos comentarios de Hacker News

  • Los organismos reguladores financieros de Corea son conservadores, pero los políticos y los medios intentan ponerse del lado de los consumidores financieros. Por eso, incluso cuando una contraseña se filtra por un keylogger instalado en la computadora del usuario, terminan atribuyendo el error del usuario al banco. Esa es la razón por la que los bancos compran programas de seguridad
  • Las propias instituciones financieras no se preocupan por la seguridad. Es muy común que usen sistemas operativos desactualizados

Como el contenido se hizo muy largo, lo ordené en el blog
https://soulee.dev/2023/01/05/korean-bogus-security
 
cychong 2023-01-05

Ojalá que, después de pasar un poco de vergüenza a nivel internacional, esto mejore.
Hay muchos comentarios diciendo que les sorprendió saber que esos métodos actualmente se usan como un medio para que las empresas evadan su responsabilidad.
 
draupnir 2023-01-05

Hay un meme extranjero que dice disappointed but not surprised, y eso es justo lo que se me viene a la mente.
 
kuroneko 2023-01-05

Parece que es correcto llamarlas aplicaciones de seguridad falsas para evadir responsabilidades...
 
kunggom 2023-01-05

Hilo de Hacker News publicado por el autor original:
https://news.ycombinator.com/item?id=34231364

Traducción al coreano del artículo original publicada por otra persona:
https://www.woojinkim.org/wiki/spaces/me/pages/733085820
 
roxie 2023-01-05

Qué vergüenza.
 
colus001 2023-01-04

En Corea, a menudo da la impresión de que el objetivo de la regulación no termina siendo "proteger al usuario", sino "evitar asumir responsabilidad"; un ejemplo representativo parecen ser los plugins de seguridad que hay que instalar en la computadora del usuario. Como cada vez que ocurre un incidente van agregando algo más, resulta desconcertante que hayamos llegado al punto de tener que instalar hasta un plugin para poder hacer la instalación. jaja
 
kunggom 2023-01-04

Así es. Incluso en el texto que presentaron señalaban con precisión justamente ese punto.

Y al ver que recomiendan a los usuarios instalar por separado un programa adicional para poder instalar varios plugins de seguridad, también lo llamaban “gestionar este zoológico de aplicaciones” (manage this application zoo) jajaja
 
colus001 2023-01-05

Pensé que solo nosotros lo sabíamos, pero parece que todos ya lo saben. T_T
 
xguru 2023-01-04

Mientras cenaba vi el artículo y solo pensé que mañana debía subir un resumen, pero ya lo ordenaste muy bien. ¡Gracias!!

La frase de que se creó un “mercado de aplicaciones de seguridad falsas (bogus)” realmente me llegó.