Nueva funcionalidad de geolocalización de Facebook “Nearby friends”

Categorias: Facebook,Privacidad,redes sociales | | Sin comentarios » |

Facebook ha anunciado que en breve incluirá una nueva funcionalidad para todos los usuarios de la app de la popular red social llamada “Nearby Friends” que consiste en geolocalizar a los contactos de un usuario en la vida real y por proximidad. Es decir, que si dos usuarios son amigos en Facebook y tienen la app instalada en su Smartphone, cuando ambos estén cerca físicamente la aplicación avisará al uno y al otro por si quieren tomarse una caña o un café. Hasta aquí, ¡genial! ¡Hombre! ¿Quién no quiere tomarse un café con un amiguete?

El problema es que los amigos de Facebook no siempre lo son, porque seguimos aceptando a cualquiera dentro de nuestro círculo. Y los riesgos que podemos llegar a correr con una nueva funcionalidad como esta son más que evidentes, tanto en lo que supone un atentado contra nuestra privacidad como el problema que puede suponer en caso de relaciones difíciles, pederastas u otras “hierbas del lugar”.

El peligro de la geolocalización: un caso real

Hace unos meses, un conocido me hizo una consulta: su novia salía a pasear todas las noches a su perro por un parque cercano a su casa. Y era una adicta de Foursquare, la red social de geolocalización. Cada vez que bajaba, hacía un check-in en el parque y ponía un comentario.  Se empezó a cruzar con un chico, que de tanto verse acabaron saludándose. Al poco, el chico comenzó a intentar entablar conversación con ella. Pero como iba sola y siempre de noche, le asustó un poco la situación y cambió de sitio de paseo de su perro. Así que se fue a otra zona, pero siguió haciendo check-in con Foursquare. Pues bien, al segundo día se lo volvió a encontrar. Y de nuevo, intento entablar conversación pero de una forma un poco más agresiva.

Cambió hasta cinco veces de sitio de paseo, y el chico seguía apareciendo. Hasta que este le puso un comentario en Foursquare diciéndole que iría allí donde ella fuera y otras lindezas que no voy a reproducir. Les recomendé que le denunciaran y que su novia dejara de utilizar, al menos por una temporada, Foursquare, porque el acosador la tenía más que geolocalizada gracias a la información que ella misma iba brindándole.

En este caso, hacía falta una acción proactiva por parte del usuario para saber exactamente dónde se encontraba su potencial víctima. Denunciado el acosador y eliminando el hecho de hacer check-in en sitios y situaciones que podrían entrañar un riesgo, se acabó el problema.

Ahora Facebook se plantea activar por defecto esta funcionalidad, de forma que sea el usuario el que, si no quiere ser geolocalizado por sus amistades, tengan que desactivarla. Dicen ser conscientes del problema de privacidad que supone para los usuarios, pero insisten en que harán todo lo posible para recordar al usuario que pueden desactivarlo y cómo. Seguramente estarás pensando: bueno, pues si se puede desactivar, no hay problema. Pero no debemos olvidar que somos muchos los que utilizamos un montón de aplicaciones en nuestro móvil y no siempre tenemos el tiempo, las ganas, la disponibilidad o el conocimiento necesario para desactivar o activar funcionalidades.

Si a este hecho le unimos la gran cantidad de problemas relacionados con acoso, con seguimientos, con ex cabreados y con novios celosos que ya están utilizando la red social para intentar enterarse de qué hace su pareja o su potencial víctima, no quiero ni pensar lo que la posibilidad de saber dónde está en cada momento puede suponer para los usuarios malintencionados.

facebook-nearby-friends-630x355

Conseguir datos personales: el fin último

Los usuarios de Facebook no están muy contentos que se diga con los últimos cambios que está incorporando la red social, ni en el propio interface ni con muchas funcionalidades o adquisiciones, como la reciente de WhatsApp. No debemos olvidar que continúa la guerra entre Facebook y Google por conseguir el mayor número posible de usuarios e incorporar nuevas funciones que permitan saber lo máximo de sus acólitos. Y si Google hace ya tiempo que dio el salto a la vida offline con Android, Google Car o Google Glasses, Facebook se plantea seguir la misma estela con la misma finalidad: conseguir el máximo de datos posible de sus usuarios para explotarlos posteriormente con publicidad posibilitando a los responsables de marketing desarrollar estrategias de micromarketing e incluso nanomarketing.

Si te preguntas qué son estos dos palabros, consiste en hacer llegar anuncios publicitarios al usuario de forma personalizada y de acuerdo a sus intereses. Evidentemente, si no se conoce al usuario, esto no se puede hacer. Por lo tanto, la intención que sigue habiendo detrás de cada movimiento de estos gigantes de Internet van encaminados a ofrecer ventajas tecnológicas atractivas a los usuarios que, a la vez, les permite recoger la máxima información personal.

Nada le impedirá a Facebook ofrecer publicidad geolocalizada en los dispositivos móviles de los usuarios una vez se haya incorporado esta funcionalidad, por ejemplo. O sugerir que una amistad que ha compartido instituto contigo está en tus inmediaciones y puedes pedirle amistad, ampliando así cada vez más su población virtual.

En fin, que cada nuevo avance tecnológico tiene siempre dos caras. Y por muy provechoso que nos pueda parecer, siempre debemos buscar la segunda lectura y preguntarnos el porqué. Y como ya sabéis que me gusta mucho el refranero español, “piensa mal, y acertarás”. Espero, sinceramente, equivocarme ;-).

¡Feliz semana, trop@!

Yolanda Ruiz



¿Quieres descuentos para ‘Mundo Hacker Day’? ¡Participa en nuestro concurso!

Categorias: General | | Sin comentarios » |

Si eres un apasionado de la seguridad  informática, el hacking y todo lo que tenga que ver con 0 y 1, ¡esto te interesa!.

ESET España es patrocinador silver de ‘Mundo Hacker Day’ y queremos celebrarlo con todos nuestros fieles seguidores. Para todos ellos tenemos descuentos del 30% sobre el precio de las entradas del evento. Pero vayamos por partes…

 

Mundo hacker

 

>> ¿Qué es  ’Mundo Hacker Day‘?

‘Mundo Hacker Day’ es el punto de encuentro y foro de Seguridad TI más importante de España. En él participan grandes expertos y empresas; se realizan demos técnicas de seguridad informática y hacking. Además, asistir al ‘Mundo Hacker Day’ es una gran oportunidad para hacer networking, conectar con expertos y empresas o con otros asistentes al evento.

Entre los ponentes, además, de nuestro compañero, Josep Albors, Director de Comunicación de ESET España, se encuentran: Kevin Mitnick (uno de los hackers, crackers y phreakers estadounidenses más famosos de la historia), Antonio Ramos (experto en Seguridad Informática StackOverflow) o Rubén Martínez Sánchez (experto en ciberseguridad, hacking ético y colaborador en MundoHackerTV) entre muchos otros.

 

>> ¿Cuándo y dónde se celebra?

‘Mundo Hacker Day’ se celebrará el día 29 de abril en el Teatro Goya C/Sepúlveda 3, Madrid

 

>> ¿Qué tienes que hacer para conseguir los descuentos?

Para conseguir los descuentos del 30% sobre el precio de las entradas de ‘Mundo Hacker Day’ sólo tienes que contestar correctamente a alguna de las preguntas que formularemos a través de nuestras redes sociales.

En Facebook y Twitter lanzaremos preguntas relacionadas con el mundo del hacking. Solo por responder una de ellas correctamente y ser seguidor nuestro en Facebook (https://www.facebook.com/ESET.Espana) y Twitter (@ESET_ES), conseguirás el código de descuento que te enviaremos por mensaje directo.

El concurso empezará el martes 22 y podrás participar hasta el domingo 27 de abril de 2014.

Aquí tienes las bases íntegras del concurso para que las leas bien y no haya confusiones. Bases Concurso ESET España – Mundo Hacker Day

 

Laura Grau Berlanga

 



Cómo actuar frente al ciberacoso sexual o “sextorsion”

Categorias: Educación,redes sociales | | Sin comentarios » |

Dentro de la política de educación a menores en el buen uso de las nuevas tecnologías que desde ESET España realizamos como parte de nuestras acciones de responsabilidad social, en ocasiones tenemos  que hablar de temas delicados que preocupan a los menores y a sus padres y educadores.

Uno de los casos que observamos que padecen cada vez más menores (y algún adulto) son los de ciberacoso con un propósito sexual o sextorsion (por como se le conoce a esta práctica en inglés). Pero, ¿en qué consiste exactamente este tipo de ciberacoso?

Sextorsión. ¿Qué es?

Según explica nuestro gran amigo Angelucho en su blog, “entendemos por sextorsion o Sextorsión al Ciberacoso de carácter sexual, que se lleva a cabo mediante la combinación de campañas de chantaje y acoso originadas a partir de la utilización de imágenes eróticas o pornográficas en las que aparece la víctima acosada. Por lo tanto, hablamos de un abuso sexual virtual”. Una vez aclarado el concepto, resulta vital conocer cómo el acosador consigue el material con el que extorsionar a la víctima y reclamarle fotos más explícitas.

sextorsion1

Normalmente la víctima produce el material comprometido por voluntad propia, ya sea para enviárselo a su pareja o colgarlo en un perfil de una red social para que lo vean las personas que ella decida. El problema es que esta supuesta privacidad no es tal y muchas de estas fotografías privadas terminan en manos de desconocidos o compañeros de clase con malas intenciones. Es importante destacar que el ciberacosador muchas veces se gana la confianza de la víctima para obtener este tipo de material o incluso llegar a mantener relaciones sexuales reales o virtuales con la víctima.

También puede darse el caso de que la víctima no difunda de forma voluntaria este tipo de material comprometido y sea el ciberacosador el que se encargue de obtenerlo, ya sea a través de webcams en dispositivos infectados o accediendo de forma no autorizada a alguno de los dispositivos de la víctima donde almacene material de este tipo.

De cualquiera de las dos formas, este tipo de material termina en manos del ciberacosador, quien puede usarlo para uso privado o compartirlo con otros ciberacosadores que suelen encontrarse en redes de contenido pedófilo.

Acosadores y acosados: fases del ciberacoso sexual

A pesar de ser un tipo de ciberacoso relativamente nuevo, no son pocos los menores que lo sufren. El perfil del acosador también es muy amplio y entre ellos encontramos a personas de cualquier edad, género o status social. La proliferación de todo tipo de redes sociales y métodos de comunicación online les ha proporcionado además unas herramientas muy útiles para contactar con menores y mantener un supuesto anonimato. El perfil de la víctima sí que está más definido y la mayoría de veces suele ser una adolescente, si bien se dan casos entre personas de cualquier edad y género.

Cuando el caso de ciberacos involucra a un adulto y un menor, el primero suele llevar a las víctimas por diferentes fases. Una primera fase de contacto donde busca a su víctima en aquellos sitios en los que suele relacionarse con otros usuarios (chats, redes sociales, juegos online, etc). A continuación, el ciberacosador intenta ganarse la confianza del menor para obtener la mayor cantidad posible de información de la víctima. Para conseguirlo, el ciberacosador intenta seducir al menor con regalos o juegos y, de esta forma, obtiene el material con contenido sexual del menor.

Imagen1

Es cuando el adulto ya a ha conseguido este material privado del menor cuando se producen las primeras amenazas con la finalidad de obtener más material de este tipo. En caso contrario, el adulto amenaza con difundir esta información privada del menor.  Es en esta fase cuando suelen darse a conocer los casos de ciberacoso sexual y donde el menor debe recibir el máximo apoyo posible como víctima que es. En caso de no recibir este apoyo, el menor corre el peligro de entrar en una espiral de culpabilidad y, en casos extremos, llegar a quitarse la vida.

En ocasiones puede darse el caso de que el acosador es otro menor y quiere obtener material sexual de otros menores por haber descubierto su propia sexualidad de forma no natural y querer experimentar aunque sea forzando a otros menores. Ha habido casos incluso en los que un menor ha llegado a acosar sexualmente a un adulto para obtener algún beneficio económico.

Como adultos preocupados por la seguridad online de nuestros menores debemos aprender a detectar estos casos tan pronto como se produzcan y actuar en consecuencia. Es por eso que, a continuación, proporcionamos unos cuantos útiles consejos:

Cubrir las cámaras web

Aunque muchos crean que con tapar la webcam del portátil es suficiente, hay que tener en cuenta que este tipo de dispositivos han proliferado mucho en los últimos años. Tenemos cámaras web en nuestro ordenador de sobremesa, en nuestro portátil, móvil, tablet, consola de videojuegos, televisor e incluso en dispositivos de vigilancia de bebés. Si nos preocupamos de taparlas o desactivarlas cuando no estemos usándolas, nos podemos ahorrar más de un disgusto.

Supervisar el uso de los dispositivos que hacen nuestros hijos

Por supervisar entendemos utilizar con ellos los dispositivos, aprender al mismo tiempo que ellos y descubrir las bondades de Internet juntos. Hasta no hace mucho (e incluso actualmente) se seguía recomendando ubicar el ordenador que usaran los menores en una sala común como el salón. Con la aparición de todo tipo de dispositivos móviles este consejo quedó obsoleto, puesto que los menores pueden acceder a Internet y conocer a otros usuarios desde cualquier dispositivo en cualquier lugar.

Es importante que, como adultos, nos involucremos en su aprendizaje y no utilicemos los dispositivos como mero entretenimiento para que nos dejen un rato en paz. Esta actitud solo trae problemas, puesto que, a edades tempranas, los menores no son capaces de pensar en las futuras consecuencias que sus acciones pueden acarrear. Si adoptamos una actitud de interés por saber lo que hacen y cómo se desenvuelven con la tecnología tendrán menos posibilidades de ser engañados por un ciberacosador.

Diferentes capas de seguridad

Como adultos y responsables de adquirir y gestionar los dispositivos que utilizarán nuestros hijos, también nos hemos de preocupar de la seguridad de estos. La utilización de contraseñas seguras, actualizar periódicamente el software encargado de controlar los dispositivos o el uso de un antivirus o cortafuegos si es posible pueden ayudar a protegernos.

No obstante, no debemos asumir que esta tecnología nos protegerá pase lo que pase. Como usuarios debemos poner de nuestra parte o estaremos tan vulnerables como al principio.

Imagen2

El dialogo con nuestros hijos es vital

Tan importante o más que establecer medidas de seguridad en los dispositivos usados por los menores es hablar con ellos y hacer que confíen en nosotros para que nos consulten o comenten cualquier duda o problema que se encuentren por Internet. En los casos de ciberacoso sexual, el menor siempre es la víctima y como tal hemos de ayudarla.

Denuncia el ciberacoso

Independientemente de si se produce en la calle, en la escuela o en el domicilio familiar, el ciberacoso es un delito y como tal se ha de castigar. No restemos importancia a este tipo de actividades delictivas pensando que es solo un juego de niños o problemas típicos de la edad que desaparecen con el tiempo.

Si este tipo de ciberacoso se produce en un centro educativo, se ha de poner en conocimiento a los responsables para que tomen las medidas oportunas y detectar al causante de este problema. En aquellos casos que puedan ser considerados como graves, tanto la Policía Nacional como la Guardia Civil disponen de personal para atender este tipo de casos y denuncias.

No obstante, nunca nos cansaremos de repetir que lo mejor en estas situaciones es prevenir, ya sea siguiendo estos consejos o los muchos que nos ofrece Angelucho en su libro gratuito X1Red+Segura. El ciberacoso sexual es un problema serio, pero concienciando y educando, entre todos podremos hacerle frente.

Josep Albors

Enlaces relacionados:

Cómo mejorar la seguridad y privacidad de los menores online

Vuelta al cole y también al ciberacoso en la red



Heartbleed, sí… ¿Pero qué es el SSL?

Categorias: General | | Sin comentarios » |

El tema del Heartbleed ya está siendo comentado por todo el mundo. No creo que ni uno de los medios que se ocupan de cubrir sucesos en la tecnología haya dejado de hacerse eco. Todo el mundo hablando de SSL, OpenSSL…

Heartbleed es el nombre que recibe un agujero de seguridad mediante el cual se podrían recuperar contraseñas supuestamente secretas de determinados servidores de Internet. Todo ello por un fallo en la implementación del SSL. ¡Alto! ¡Paren las rotativas! Antes de nada…, ¿Qué es el SSL? ¿Y el OpenSSL? ¿Y por qué tanto barullo? Vayamos hacia abajo para entender lo de arriba, si no, mal lo llevamos.

ssl

Cuando se creó Internet, en lo último que se pensó, seamos sinceros, era en la seguridad. Suficientemente felices eran los próceres de la tecnología IP con lograr que se pudieran comunicar dos ordenadores como para preocuparse de otras cosas. Pero poco a poco, se han ido desarrollando sistemas para que la comunicación entre los sistemas sea segura.

No sé cuántas veces se ha dicho que a la hora de conectarnos a una página web en la que vayamos a hacer una compra (o cualquier cosa que involucre nuestro nombre de usuario y contraseña para algo delicado) debemos comprobar que la conexión es segura. Generalmente aparece un pequeño candado en el navegador que empleemos, eso quiere decir que la comunicación es segura.

Y si no aparece el candado, en la barra de direcciones empezará la URL del sitio en el que estamos con “https” en lugar del clásico y simple “http”. Eso indica que estamos utilizando un protocolo seguro. Y no hay que hacer nada especial. Probemos. Intenta entrar en http://www.facebook.com. No podrás, inmediatamente serás redirigido a https://www.facebook.com. Lo mismo, sí, pero con una “S” que nos indica que la comunicación se lleva a cabo de una manera segura.

El hecho de que aparezca el candado significa que estamos empleando SSL, iniciales de “Secure Sockets Layer”, o “nivel de conexiones seguras”, para los que preferimos el idioma de Cervantes. ¡O de Quevedo!

El SSL viene ya implementado por defecto en prácticamente todos los navegadores, y desde hace mucho tiempo. El problema es que no solo lo necesitamos en nuestro navegador, sino que también es necesario en el servidor al que nos conectamos. De nada nos serviría pedirle seguridad a un sitio web que no lo tenga implementado, por mucho que nosotros sí lo tengamos en nuestro sistema.

SSL funciona a base de “desafíos”. Nuestro navegador manda un “desafío” al servidor: un texto y una contraseña para que lo descifre. Si puede, el servidor nos manda otro a nosotros, para ver si podemos. Y si podemos, llegamos a un acuerdo con un apretón de manos (no es broma, es un proceso dentro del SSL que se llama “handshake”, apretón de manos). Una vez que estamos de acuerdo, se puede iniciar la comunicación cifrada.

Así, pues, los administradores web tienen que implementar también SSL en sus servidores. Y he aquí que topamos con un problema demasiado frecuente. Nadie dijo que la informática fuera barata, e implementar SSL cuesta dinero, ya que los desarrolladores quieren ganar dinero para pagar el colegio de sus hijos.

Sin embargo, hay versiones gratuitas. Sí, como en casi todo, hay opciones de pago y gratuitas. En este último caso, OpenSSL es una buena opción. Pero aquí ya llegamos al centro de la mitad de en medio de la cuestión: el error. Por culpa de una mala implementación de los desafíos en OpenSSL (código abierto, y gratuito), un cliente podría adivinar información más allá del simple desafío, y lo que iba a ser un apretón de manos es un puñetazo en la cara.

Y el resto ya es historia.

¿Tenemos que asustarnos por el “mayor error de la historia de Internet”? Bueno, depende de lo miedosos que seamos. Lo peor es que no podemos hacer nada, a no ser que seamos administradores web. Desde nuestra parte de la comunicación, lo único que podemos hacer es cambiar nuestras contraseñas, pero por eso no pasa nada, porque todos los lectores de este blog cambian sus contraseñas al menos una vez al mes… ¿O no?

Fernando de la Cuadra



Participamos activamente con x1RedMásSegura

Categorias: Anuncios,Eventos,General,Infografías | | Sin comentarios » |

Como ya sabéis, en ESET España organizamos nuestros propios eventos de seguridad, pero también nos encanta apoyar a todas aquellas iniciativas que vayan encaminadas a mejorar la seguridad informática de los usuarios. Solo colaborando entre todos podremos conseguir que los internautas disfruten cada vez más de Internet y de las grandes ventajas que conlleva. Por eso, desde el principio hemos apoyado la labor que nuestros buenos amigos y compañeros están llevando a cabo con la iniciativa x1RedMasSegura.

 x1redmasseguralogo

Bajo el lema “Internet para todos” esta actividad se desarrolla durante todo el año, pero es ahora, con motivo de la celebración del Día Internacional de las Telecomunicaciones y la Seguridad en la Red, cuando se concentran la mayoría de las actividades. Tras el éxito de la pasada edición, este año se amplían las actividades para todo tipo de públicos: ciberabuelos, padres, niños, disCAPACITADOS, empresarios, internautas básicos, etc. Así que os dejamos por aquí un adelanto de lo que van a ser las diferentes actividades que se van a llevar a cabo para que os apuntéis antes de que se acaben las plazas ;-).

Talleres X1RedMasSegura

  • 8 de mayo – Taller para ciberabuelos
  • 9 de mayo – Taller para padres
  • 9 de mayo – Taller para niños
  • 10 de mayo – Taller “disCAPACITADOS” muy capaces en la Red
  • 12 de mayo – Taller para Internautas básicos
  • 14 de mayo – Taller para empresarios

Jornadas X1RedMasSegura

  • 16 y 17 de mayo

Todas las actividades son gratuitas, pero hay que apuntarse por temas de aforo. Así que en los próximos días, a través del RSS de X1RedMasSegura y sus canales sociales, se anunciará dónde se van a realizar y publicarán el formulario de inscripción.

Concurso de “Infografías Jóvenes X1RedMasSegura’14”

Con el objetivo de concienciar y educar a los más jóvenes en el uso seguro y responsable de Internet, este año, como novedad, se lanza el concurso “Infografías Jóvenes X1RedMasSegura’14”. Va destinado a alumnos de Tercer Ciclo de Educación Primaria, Educación Secundaria Obligatoria y Bachillerato a nivel individual. Y aunque hacer una infografía no es tarea sencilla, confiamos en que nuestros jóvenes, nativos digitales, sabrán exprimir su creatividad. Tenéis las bases disponibles en http://www.x1redmassegura.com/p/concurso.html.

Se han establecido dos categorías de participación por edades:

  • GRUPO A. Tercer Ciclo de Educación Primaria y Primer Ciclo de Educación Secundaria Obligatoria.
  • GRUPO B. Segundo Ciclo de Educación Secundaria Obligatoria y Bachillerato.

Desde ya mismo se pueden enviar las propuestas, cuyo plazo de entrega finalizará el próximo domingo 4 de mayo de 2014. Para hacerlo, por favor, remitidlas vía correo electrónico a concurso@x1redmassegura.com. Un consejo: como son archivos gráficos, comprobad antes de enviar el peso del archivo, no sea que no llegue porque “pesa un quintal” ;-).

Hay dos categorías de premios:

  • PREMIOS al “Joven x1redMasSegura 2014″. A nivel individual, para cada categoría se establecerán tres premios iguales (es decir, seis en total) que reconocerán el talento de los jóvenes que hayan participado.
  • PREMIO al “Centro x1redMasSegura 2014″. El Colegio / Instituto u Organización que aporte más participantes será galardonado también y reconocido como “Centro x1RedMasSegura 2014″ con un diploma honorífico de la organización. Será mencionado en redes sociales de x1RedMasSegura, blogs de colaboradores y en las jornadas, y recibirá como premio la realización en sus instalaciones del “Taller Musical xa Jóvenes” que x1RedMasSegura ofrecerá este 2014.

JURADO 

No sé si me matarán por desvelarlo, pero me hace mucha ilusión, porque me han propuesto ser parte del jurado ;-). El resto estará constituido por profesionales cuya identidad se revelará a lo largo del transcurso del concurso. Uno de ellos formará parte de la organización de x1RedMasSegura, y estará presidido por parte de la Oficina de Seguridad del Internauta (OSI) de INTECO

¡Queremos dar los premios! Así que te animamos a que nos ayudes a concienciar en seguridad difundiendo este concurso entre familiares, amigos y conocidos.

x1redmassegura Concurso Jovenes

Seguiremos contando novedades. Mientras tanto, ¡feliz semana, trop@!

Yolanda Ruiz

@yolandaruiz



Semana de la Seguridad Infórmatica de Tudela (II)

Categorias: Educación,General | | Sin comentarios » |

Ya ha terminado la VIII Semana de la Seguridad Informática organizada por el Cibercentro de Tudela, gestionado por la Fundación Dédalo. Tal y como os contamos hace unos días, y con permiso de la urgencia de Heartbleed, aquí tenéis un resumen del último día de la presencia de ESET en Tudela.

El jueves 10 nuestro compañero Fernando de la Cuadra tuvo una mañana agitada. Pero si él la tuvo, más aún los alumnos de 2º de ESO del colegio Anunciata de (evidentemente) Tudela. Todos ellos, repartidos en varios grupos, recibieron la charla “Redes Sociales y privacidad”, para aprender qué se puede y qué no se debe hacer en Internet y, sobre todo, qué comportamientos son adecuados en las redes sociales.

 

Cómo funciona un antivirus - Tudela

Los chavales estuvieron muy atentos, e incluso ¡preguntaron! Con el lógico enfado de sus profesores. Ellos están allí siempre, les han contado lo mismo… y ni caso. Si ha servido que vengan de fuera para motivarles y provocar reflexiones especiales, ¡misión cumplida!

Y por la tarde, ya en la sede del cibercentro, la charla “Cómo funciona un antivirus”, para el público en general. Llenazo. ¡Y con lista de espera! La capacidad de convocatoria de la Fundación Dédalo es espectacular, y el interés de los ciudadanos, sorprendente.

Bueno, igual es que los asistentes se llevaban de regalo un antivirus para su móvil, pero por lo menos han aprendido qué hace ese programa que no sabemos muy bien qué hace pero que nos protege de las amenazas. Y pongo NOS protege, porque todos tenemos uno instalado… ¿o no?



Curando Heartbleed, la herida de Internet. ¿Qué podemos hacer frente a él?

Categorias: General,seguridad,Vulnerabilidades | | 2 Comentarios » |

A principios de semana se destapó al mundo posiblemente una de las vulnerabilidades más graves de la historia de Internet tanto por importancia como por alcance.

Heartbleed es un agujero de seguridad encontrado en algunas versiones de OpenSSL, concretamente desde la 1.0.1 y la 1.0.1f, que permitiría a un atacante acceder a parte de la memoria del proceso del mismo; algo que se vuelve aún más delicado al tener en cuenta que OpenSSL juega un papel clave en el cifrado de las comunicaciones en Internet.

Heartbleed

¿Y esto qué significa? Pues significa tener acceso a datos tan comprometedores como: claves de los servicios, cuentas de usuario y contraseñas, claves privadas, etc.

¿A quién ha afectado todo esto? Algunas fuentes afirman que ha afectado a millones de servidores en todo el mundo. Por supuesto, entre ellos, los servidores de los llamados gigantes de Internet como Google, Yahoo!, Amazon, etc. De ahí la importancia del bug. Heartbleed afecta a muchísimos servidores, muchos de ellos muy importantes y, además, a una parte del sistema de una sensibilidad extrema.

Aquí os dejo un enlace donde poder comprobar si nuestro servidor es vulnerable a Heartbleed: http://filippo.io/Heartbleed/

Solo tenemos que introducir la dirección de nuestro servidor donde aparece el texto “example.com” y pulsar sobre “GO” para que la web nos indique si somos vulnerables o no.

Una vez analizado el bug, vamos a intentar aportar soluciones y centrarnos en cómo enfrentarnos a este problema, orientando a los administradores de sistemas en la reparación del bug y a los usuarios, dándoles una serie de buenas prácticas:

Por el momento existen dos posibles soluciones para reparar la vulnerabilidad de los servidores pero, ¿quién nos asegura que nuestras claves no han sido comprometidas ya?

Empezamos con la parte mas técnica.

Por el momento existen dos métodos para arreglar la vulnerabilidad:

Método 1: Para usuarios que utilizan OpenSSL sobre sistemas Linux – Actualización de OpenSSL

Los chicos de OpenSSL se han apresurado en corregir el grave fallo que tenían en las versiones comprendidas entre 1.0.1 y la 1.0.1f (ambas inclusive) y han lanzado una actualización de versión (1.0.1g) con la que ya no seríamos vulnerables.

Lo tenemos tan fácil como actualizar el software y reiniciar los servicios que lo utilicen.

Como apunte, en los repositorios oficiales de Debian y de RedHat ya está disponible la versión parcheada de la que hablamos con lo que con un simple “apt-get upgrade openssl” en caso de Debian o “yum update openssl” para quien utilice RedHat o CentOS sería suficiente para reparar el agujero.

Método 2: Cortar la conexión vía cortafuegos

Se ha publicado otra posible solución para prevenir las conexiones concretas que aprovechan esta vulnerabilidad mediante cortafuegos. Para los usuarios de Linux que utilicen iptables la línea que detectaría la conexión maliciosa y la cortaría sería la siguiente:

iptables -t filter -A INPUT -p tcp –dport 443 -m u32 –u32 “52=0×18030000:0x1803FFFF” -j DROP

Ya lo tenemos reparado, ¿y ahora qué?

Como no se sabe exactamente desde cuándo está vigente esta vulnerabilidad puede que nuestros datos estén ya comprometidos a pesar de haber reparado la vulnerabilidad. Con lo que tanto por parte de los administradores, como por la de los usuarios, sería recomendable seguir una serie de buenas prácticas:

Primero: cambiar todos los certificados digitales de todos los servidores, no importa el servicio. Lo recomendable sería cambiarlos todos.

Segundo: pedir a todos los usuarios que cambien las contraseñas de todos sus servicios para prevenir sustos posteriores. Este consejo es válido también para los usuarios de servicios de Internet tales como correo electrónico, banca online, e-commerce, etc.

Ramón Llácer



Semana de la Seguridad Informática de Tudela

Categorias: Educación,seguridad | | Sin comentarios » |
    Como otros años, ESET España ha respondido a la llamada de la  Fundación Dédalo para acudir a la Semana de Seguridad Informática que organiza todos los años en el Cibercentro de Tudela.

    Esta Fundación (dependiente del Ayuntamiento) se encarga, en esencia, de acercar la tecnología a los ciudadanos de Tudela, bien sea a través de cursos o en actividades como esta Semana de la Seguridad Informática.

    Semana de la Seguridad Informática de Tudela

    Ayer fue el primer día de los dos que vamos a pasar aquí, y empezamos con dos charlas a dos grupos de alumnos del Centro Integrado Politécnico ETI de la ciudad. En ellas, nuestro compañero Fernando de la Cuadra explicó cómo funciona un antivirus: las tecnologías para detectar código, los problemas que encuentran, etc. Una visión completa para entender un poco más cómo nos protege un antivirus.

    Tras una espectacular comida a base de verduras de la zona en El Trinquete, asistimos a la presentación del estudio “Menores de Edad y conectividad móvil: Tablets, Smartphones” realizado por Protégeles. Fue Guillermo Cánovas, presidente de Protégeles, el que nos mostró unos datos que nos ayudarán a entender el entorno en el que se mueven los menores.

    Para terminar el día, una mesa redonda en la que Fernando de la Cuadra, Protégeles.com y el Cuerpo Nacional de Policía, debatieron sobre “¿Qué hacer ante un caso de ciberacoso?

    La participación de ESET no termina aquí, hoy hay más charlas en colegios y en el cibercentro, que os contaremos mañana.



    Car OS

    Categorias: General,Malware,seguridad | | Sin comentarios » |

    Veo con preocupación que se está iniciando otra “guerra” entre los fabricantes de sistemas operativos para copar el nicho de mercado de los sistemas para coches, los “CarOS”. Resumiendo, son los sistemas operativos que van a manejar los coches que nos compremos próximamente.

    Un coche hoy tiene una gran cantidad de sistemas informáticos, que controlan muchos aspectos. Y cuanto más caro es el coche, mayor es el número de sistemas. Los Bugatti o McLaren (y no los de F1) no tienen ni una sola pieza (casi) que no sea manejada por un ordenador. O por varios.

    Los coches de hoy en día tienen tantos sistemas informáticos como nuestros smartphones

    Los que no podemos permitirnos ciertas veleidades automovilísticas no tenemos coches tan informatizados. Pero que conste que no podemos porque tenemos familia y hay que llevar maletas, no por otra cosa. Si el Bugatti Veyron tuviera un maletero más grande, yo no tendría un Opel, ¡será por dinero! Los ciudadanos normales tenemos que conformarnos con una radio muy chula (de la que luego no usamos ni la mitad de sus funciones), inyección electrónica y climatizador informatizados, bajo el control de una centralita que maneja un par de cosas más, y gracias.

    Los nuevos sistemas para coches prometen interfaces muy chulas, pensadas para el conductor, con accesos rápidos a las funciones más habituales (es decir, lo mismo de siempre: calefacción, aire acondicionado, GPS, la radio y poco más) y luego infinidad de gadgets para divertirnos y hacer los viajes un poco más entretenidos.
    Vamos, que lo mismo que tenemos en el móvil pero con un par de apps incorporadas para coches. Y ese es el peligro: es lo mismo.

    El negocio en este sector viene, de nuevo, con las aplicaciones que descarguemos. Spotify ya ha levantado la mano, y poco tardarán en aparecer los demás fabricantes ofreciendo complementos específicos para coches.

    No tengo por qué poner en duda la idoneidad de estas aplicaciones para coches, en el fondo la diferencia entre la radio a pilas que tenía mi padre en el 600 y escuchar música en formato 5.1 es la calidad. Pero de entrada, me horroriza tener un sistema operativo conectado todo el día a Internet (porque los operadores de telefonía también apoyarán esta tendencia, por supuesto) sin unas medidas básicas de seguridad.

    Muchos usuarios hacen exactamente lo mismo con sus equipos de sobremesa o con los móviles, pero la diferencia es sutil. Ante un problema de seguridad, lo peor que puede pasar es que te roben toda la información del ordenador o móvil, o incluso que te dejen sin un céntimo la cuenta corriente. Problemas bastante nimios comparados con que el coche deje de responder adecuadamente a 100 km/h.

    Ese es mi miedo. Un cibercriminal puede chantajear con el “virus de la policía”, o con ransomware. Incluso puede sacar beneficio de los usuarios más incautos, pero ¿qué no haríamos con tal de que el coche se comporte adecuadamente bajando un puerto de montaña?

    Sé positivamente que ante cualquier nuevo movimiento en este sector, mis compañeros de Bratislava encargados de desarrollo de nuevos productos ya están planteándose la cuestión y aportando soluciones. Pero la preocupación sigue ahí. Estamos en el año 2014, y no todo el mundo tiene sistemas de seguridad en sus dispositivos móviles, cuando llevamos años hablando de su necesidad. ¿Tardaremos tanto tiempo en concienciarnos de la seguridad de nuestro “CarOS”? Espero que no, y mucho menos los lectores de este blog, que ya están perfectamente protegidos… ¿O no?

    Fernando de la Cuadra



    Adiós, XP, adiós

    Windows XP muere. Microsoft ha decidido que su vida ha sido lo suficientemente provechosa como para quitarse de en medio el sistema operativo con el que muchos usuarios se reconciliaron con Microsoft, después de sus Windows 95, 98 y Me.

    Todavía existen muchos ordenadores con XP, muchos más de los que pensamos. Hay muchas empresas que no pueden, desgraciadamente, permitirse una renovación de equipos para actualizarlos y que soporten Windows 8. La crisis es la crisis, y si un ordenador, por antiguo que sea, funciona, ¿para qué cambiarlo? Mejor pagar las nóminas otro mes.

    Windows XP fue lanzado al mercado hace 13 años. Sí, 13 añitos (Pobre, en plena pubertad y muere). Si miramos con un poco de perspectiva histórica, y nos remontamos al año 2001 cuando se lanzó, ¿qué le diríamos a una persona que sigue trabajando con MS-DOS versión 4? Sí, en 1988 se lanzó esa versión, 13 años antes que Windows XP. Todavía se llevaban hombreras, pelo cardado, Mecano triunfaba y usábamos pesetas.

    xpfade

    A pesar de todo, muchas máquinas seguirán funcionando con XP. En caso de que alguno de los lectores del blog siga usándolo, unos consejos:

    1. Cambia el sistema. Sí, es obvio, ya lo sé, pero es la mejor solución. A Windows o a Linux, pero actualízate.
    2. Instala todas las actualizaciones que tengas pendientes. Importantes, críticas u opcionales, pero no te dejes ni una.
    3. Evita utilizar una cuenta con permisos de administrador. Y esto no solo por XP, sino para todos los sistemas operativos. Es una tentación ser el usuario con mayores privilegios del sistema y que las aplicaciones se instalen sin mayores problemas. Por desgracia, el malware también se aprovecha de estos privilegios y está comprobado que el uso de una cuenta con permisos limitados mitiga buena parte de los exploits actuales, sea cual sea su objetivo (navegador, adobe, java, suites ofimáticas o el propio sistema operativo).
    4. Actualiza también tu navegador, aunque no te guste el aspecto que tiene la nueva versión. Y si no, instala un navegador actualizado y que aún ofrezca soporte para Windows XP. Google ha anunciado que mantendrá el soporte de Chrome para XP al menos hasta Abril de 2015, dando así un año más de margen. El uso de complementos de seguridad como No Script en aquellos navegadores que lo soporte también nos puede ayudar a mitigar los ataques que utilizan el navegador como vector de ataque.
    5. Elimina de tu navegador cualquier complemento no imprescindible. Sí, hay muchas barras de búsqueda y muchos complementos muy divertidos que te permiten hacer muchas cosas… incluso dejar puertas abiertas.
    6. Una vez actualizado el sistema, vamos con otra cosa de las que muchas veces no nos acordamos: Java. Es un sistema mediante el cual podemos ejecutar muchos complementos en el navegador, pero al igual que ejecutamos esos complementos, podemos estar ejecutando código malicioso que se aproveche de un error en Java.
    7. Y prosigamos con el resto de aplicaciones que necesitamos en mayor o menor medida en una navegación normal, como puede ser un lector de ficheros PDF. Lo primero, emplea el “original” de la marca, el Acrobat Reader, que aunque quizá no tenga tantas funciones tan chulas como el que has instalado, contamos con el respaldo de Adobe, que no es poco, a la hora de solucionar posibles problemas de seguridad.

    ¿Y las empresas? Exactamente lo mismo. El mero hecho de tener un parque más numeroso de ordenadores no les excluye de tomar estas precauciones. Solo que además, hay dos puntos muy importantes:

    • Aislar las máquinas XP de la red corporativa. Si por algún motivo (aplicaciones que no funcionan en sistemas actuales, falta de presupuesto, etc.) te ves obligado a mantener un número importante de máquinas con XP en tu red corporativa, trata de aislarlas lo máximo posible del resto. De esta forma evitarás que sean un blanco fácil frente a ataques de red. Obviamente, lo ideal sería que estas máquinas no estuviesen conectadas a Internet pero, en caso de que tengan que estarlo, evita almacenar información comprometida en ellas y conectarlas a aquellos sistemas que sí contienen este tipo de información.
    • Accede a tus servicios corporativos a través del servidor. Sabiendo que la seguridad del sistema puede comprometerse en cualquier momento, no sería mal momento para empezar a migrar a algún servicio de correo electrónico ubicado en un servidor de la empresa, sin tener que descargarlo de forma online. De esta forma, y utilizando el navegador actualizado y con los complementos de seguridad que hemos mencionado anteriormente, evitaremos que la información sensible quede almacenada en un sistema inseguro. Otros servicios como suites de ofimática también son accesibles online y los hay tanto gratuitos como de pago. No olvidemos, eso sí, la necesidad de utilizar contraseñas robustas para acceder a estos servicios.

    Una vez que hemos hecho todo esto, el sistema estará en condiciones de iniciar una larga marcha en solitario por el desierto del soporte de Microsoft. Nadie nos ayudará en caso de que un gran agujero de seguridad sea descubierto. Y no quiero ser agorero, pero puede que en este desierto, en la salida del desfiladero, nos esté esperando una tribu de asaltantes poco amistosos.

    Saben que vamos a pasar por ahí. Y que nuestro séptimo de caballería no responderá a nuestras llamadas. Pero nos queda un resquicio de esperanza. Instala un buen antivirus, y actualízalo. Pero no el mismo que tenías hace 13 años, cambia de versión y busca uno moderno, que sea capaz de detener también amenazas modernas. Porque todos tenemos una versión actualizada del antivirus… ¿o no?

    Fernando de la Cuadra



    Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje