Cuando los buenos pueden ser los malos

Cuando se piensa en seguridad informática, generalmente se divide el mundo en una absurda dicotomía entre los “buenos” y los “malos”. Los buenos son los que se preocupan por mantener seguro mi ordenador, los que no harían nada malo por mi información ni por mis datos y, ni por asomo, se inmiscuirían en mi vida personal informáticamente hablando. Los malos, sin embargo, van a intentar robarme información, van a atacarme para fastidiarme y me van a arruinar el sistema.

¿Es siempre así? No, no siempre. Yo he conocido programas de seguridad que dentro de su código había enlaces a servidores del gobierno estadounidense. ¡Y eso que se supone que eran los buenos! Pero lo más escalofriante que he visto con respecto a los “buenos” es una curiosa aventura que le sucedió a una amiga.

Esta amiga decidió irse a Israel a pasar unas vacaciones. Es un sitio interesante, aunque yo hubiera optado por uno más tranquilo, con menos riesgo y menos problemas político-militares. Como buena turista del s. XXI, decidió llevarse su cámara de fotos ultramoderna, con píxeles suficientes para imprimir una valla publicitaria de cada foto. Y cómo no, su ordenador portátil para no perder contacto con el resto del grupo de amigos que nos quedamos en casa. El portátil le servía además para almacenar las decenas, cientos, ¡miles! de fotos que hizo en el viaje y que espero no tener que ver una a una.

Hasta aquí, todo correcto. No creo que sea muy distinto de los diversos turistas que van por todo el mundo. El problema apareció cuando llegó al aeropuerto y le hicieron revisar el equipaje. Aparte de una curiosa anécdota de mal gusto con la policía y la manera que tuvieron de revisar su ropa interior, se produjo una situación realmente asombrosa: le pidieron el ordenador portátil, pero no para el típico análisis visual o comprobación de que se pone en marcha y verificar que no es un contenedor de drogas, no, sino algo increíble.

aeropuerto

Los policías se llevaron el portátil a una sala lejos de la vista de su dueña, y allí estuvo un rato. Tras esa comprobación, se lo devolvieron y pudo continuar su viaje sin más problema que el retraso habitual en los vuelos.

Cuando nos contó la situación, nos quedamos asombrados. Ella había seguido usando el ordenador sin problemas, tan tranquila. Total, si habían sido los “buenos” los que le estaban revisando el portátil, como mucho se había imaginado a un par de depravados buscando unas fotos que no iban a encontrar (menuda es ella), lo más “gordo” serían las fotos en bikini a la orilla del Mar Muerto. Inmediatamente la convencimos para que dejara de usar ese ordenador. No se sabe qué podían haber introducido en él ni para qué.

Estamos acostumbrados a recibir noticias todos los días sobre casos de espionaje originados en los gobiernos de distintos países, y hay que recordar que uno de los servicios de inteligencia con mayor fama es el MOSAD israelí, que se encuentra a la altura de la CIA estadounidense, el MI6 o el BND alemán. ¿Está el MOSAD detrás de ese curioso examen al ordenador portátil de mi amiga?

No podemos saberlo. Ninguno de nosotros está a salvo de que nos espíen, y mucho menos si se brinda a alguien la posibilidad de introducir un programa espía en un ordenador que tarde o temprano acabaría conectado a una red extranjera que pueda proporcionar información, vital o no, pero al menos interesante en principio.

Todos somos objetivo de “los malos”, aunque estén disfrazados de corderitos mansos. El disco duro de ese portátil pasó a mejor vida, y mi amiga ha aprendido por lo menos a poner contraseñas adecuadas en los inicios de sesión de su sistema, y, para rematar, también en la BIOS del ordenador para seguridad del prearranque. Y nunca, nunca dejará el ordenador en manos de alguien que lo hace desaparecer de su vista. Como hacemos todos…, ¿o no?

Fernando de la Cuadra



El SEA roba y filtra los datos de 1 millón de usuarios de Forbes

Categorias: Filtraciones,hacktivismo | | Sin comentarios » |

Tan solo unos días después del intento fallido de secuestro del dominio de Facebook, el Ejército Electrónico Sirio (SEA por sus siglas en inglés) ha vuelto a protagonizar un ataque contra uno de los sitios de noticias financieras más importantes, Forbes.

Al parecer el ataque empezó a finales de la semana pasada y se dividió en varias partes. En un principio se constató que una de las webs de Forbes había sufrido un deface y se observó cómo los atacantes dejaron un mensaje como prueba de su presencia:

deface_forbes

También se vieron afectadas una de las cuentas de Twitter de Forbes (@forbestech) y dos de las cuentas de sus empleados (@thealexknapp y @samsharf). Pero, sin duda, el mayor logro de los atacantes fue acceder como administradores al panel de control de WordPress desde donde Forbes gestiona sus blogs.

forbes_wordpress_hack1

No contentos con haber obtenido la posibilidad de publicar cualquier contenido con la identidad de Forbes (cosa que hubiera causado bastante revuelo debido a la relevancia de esta empresa en el mundo financiero), los atacantes del SEA accedieron a la base de datos de usuarios registrados en los blogs de Forbes gestionados usando WordPress.

Tal y como se puede observar en la captura de pantalla que mostramos a continuación, esto incluía tener acceso a las credenciales de más de un millón de usuarios registrados y de los 79 administradores encargados de gestionar esos blogs.

forbes_wordpress_hack2

Esta información de los usuarios fue alojada poco después en un par de servidores (que ya han sido retirados) para que cualquiera se la pudiera descargar y contiene datos como el nombre de usuario, contraseña cifrada o correo electrónico.

El problema ahora no se encuentra en qué piensan hacer los hacktivistas del SEA con esa información, puesto que es pública y aún puede encontrarse en varios sitios web de compartición de archivos, sino en que esa base de datos pueda ser utilizada por ciberdelincuentes comunes para lanzar ataques dirigidos a los usuarios que estuvieran registrados en los blogs de Forbes.

Tan solo hace falta que uno de los usuarios que haya visto sus datos filtrados reciba un correo especialmente preparado para que sea redirigido a una web preparada especialmente para robarle más información privada o instalarle un malware.

Es por eso que se hace necesario extremar las precauciones, desconfiar de correos electrónicos y enlaces que nos pidan revisar nuestros datos, cambiar la contraseña utilizada si éramos usuarios de los blogs afectados y, sobre todo, nunca reutilizar la misma contraseña en diferentes sitios web.

Josep Albors

Enlaces relacionados

Hacktivistas sirios intentan hacerse con el control del dominio de Facebook

Nueva ciberarma económica pone en jaque a la Casa Blanca y a la bolsa

Grupo sirio pro-Assad secuestra dominios de Twitter y The New York Times

Nuevo troyano para Mac contiene referencias al ejercito electrónico sirio

 



Los Angry Birds luchan contra cerdos, ¿o son también espías?

No salimos de una y nos metemos en otra, sobre todo en lo que respecta al espionaje informático. Quiero dejar claro que no debería pillarnos por sorpresa, ya que Internet, tal y como lo conocemos hoy en día, ha sido un logro de los militares y las empresas comerciales, y a ambos sectores les interesa mucho (demasiado quizá) cómo nos comportamos en la red y nuestros datos.

Esta semana es Angry Birds. Ese juego que causó furor y fue el favorito de los usuarios de móviles y tabletas hasta que Candy Crush le arrebató la primera posición de los jugones portátiles. Resulta que alguien ha dicho que el programa proporcionaba a la NSA (National Security Agency, Agencia de Seguridad Nacional –Estadounidense, por supuesto-) y al GCHQ (Government Communications Headquarters, Cuartel General de Comunicaciones del Gobierno  -Estadounidense, por supuesto-) un montón de datos de los teléfonos en los que se ejecutaba Angry Birds. Datos como la ubicación del usuario, listas de contactos, registros de conversaciones, etc. Algunos han llegado a afirmar que también transmitían información sobre las ideologías políticas e incluso su orientación sexual.

Pero bueno, se pueden decir tantas cosas… Lo mejor es acudir a las fuentes de este tema (están aquí y aquí) y descubriremos que ¡no se habla de Angry Birds! ¿Entonces? ¿De dónde ha salido la información? Bueno, eso es otro tema que quizá los sociólogos puedan aclararnos. Lo nuestro es la seguridad informática.

Todo es posible, y mucho más en el mundo de la informática y el espionaje. Bueno, todo no, no sé cómo van a ver mi ideología política a no ser que tenga conversaciones con el secretario general de un partido político y nos dediquemos a mandarnos SMS comprometedores… Bueno, me callo, que luego todo se sabe. Lo de la orientación sexual es más fácil, viendo un registro de las páginas porno a las que me conecto… Bueno, me vuelvo a callar por si acaso. Vaya día que llevo.

No quiero entrar en si una aplicación envía datos a una agencia estadounidense o no. Eso ya depende de la honradez de cada desarrollador, aunque en este caso Rovio, los desarrolladores de Angry Birds, han negado ninguna relación con el caso, lógicamente. Pero ha pagado el pato: ayer sufrieron un “defacement” de su página web.

angry

Mucha de la culpa del espionaje y de la seguridad de nuestros dispositivos depende de nosotros. Sí, somos nosotros los que descargamos aplicaciones a nuestros maravillosos smartphones y les concedemos una ingente cantidad de permisos que ni nos preocupamos de para qué se necesitan. Hace poco, quise instalar una aplicación que siguiera las estadísticas de partidos de baloncesto, y uno de los permisos que me pedía era acceder a mis contactos y mandar SMS. ¿Para qué? Una posible función de ese programa podría ser la de informar de los resultados de los partidos a mis amigos, pero no aparecía reflejada por ningún lado. Mucho me temí que ese programa iba a utilizar mi smartphone para mandar SMS publicitarios a mi agenda de contactos. Evidentemente, busqué otro programa (hay muchos) y tan contento.

¿Cuántos tenemos un programa que hace más de lo que esperamos? Debemos revisar todas y cada una de las aplicaciones que tenemos instaladas, mirar qué permisos tienen y ser un poquito consecuentes. Por ejemplo, en mi móvil tengo una aplicación para llevar a cabo gestiones con mi banco. Y esa aplicación quiere tener acceso a mis datos de ubicación. Tal y como estamos hoy en día de enfadados con los bancos podría parecer una grave intromisión de la intimidad, hasta que necesitemos buscar el cajero automático más cercano. Ahí sí que no nos importa que el banco sepa dónde estamos, ¿verdad?

Pero hay otras aplicaciones que son sospechosas. No entiendo por qué quiere una aplicación de estadísticas de baloncesto mandar SMS (si al menos dijeran para qué, vale), o un afinador de guitarras necesita saber dónde estoy, ambos son casos verídicos de los que doy fe.

Si queremos un buen control de los permisos que le damos a las aplicaciones, lo mejor es poder llevar a cabo una auditoría de seguridad. ESET NOD32 Mobile Security lo hace, y lo recomiendo por su sencillez. De un vistazo podremos saber qué permisos de más estamos dando a aplicaciones “extrañas”, que por muy útiles que nos parezcan no tienen por qué saber determinadas cosas.

Fernando de la Cuadra



Ataque a sistemas israelíes

No todos somos invulnerables, y no saberlo puede ser nuestra mayor debilidad. Si nos confiamos y pensamos que estamos más protegidos que los demás, el resultado puede ser desastroso. En muchos medios está la noticia de que un departamento gubernamental de Israel ha sido atacado por un troyano.

Estas noticias, francamente, suelo cogerlas con pinzas. No dudo de su veracidad, pero el efecto y el alcance de ese problema de seguridad puede que no sea tal. Recuerdo hace años (demasiados para intentar hacer creer que soy joven) cuando se produjo una revolución en el mundo de la seguridad porque el Pentágono, la joya de la corona de la defensa del país más poderoso del mundo fue atacado por un troyano. Lo de país más poderosos… ¡si no tienen a ningún “Balón de oro” jugando en EEUU!

Así, de entrada, nos dejó estupefactos a medio mundillo de la seguridad. Personalmente, no fue tanto por el problema de seguridad, que como ya he dicho al principio, no todos somos invulnerables, sino por el cerebro del que diseñó el malware que llegara a los discos del pentágono. Menudo fiera, sí señor.

Luego resulta que no era para tanto… la maquiavélica intrusión en las entrañas de la defensa estadounidense no era más que un troyano que afectó a media docena de sistemas de un departamento administrativo de poca monta. Media hora de trabajo y arreglado.

Yo no dudo de que el gobierno israelí tenga entre sus filas a preparadísimas personas para establecer la seguridad de sus sistemas, y más aún en un país que se encuentra permanentemente en un estado de casi guerra. Por eso sorprende que un troyano haya hecho diana. Pero si profundizamos en la noticia, vemos, en primer lugar, que ha afectado a “al menos” a 15 ordenadores. No tengo ningún dato que me permita decir cuántos ordenadores hay en el gobierno israelí, pero podemos pensar que es un ataque a menos del 1 por mil del parque.

israel

Y además, ese ataque ha sido a “COGAT”, “Coordination of Government Activities in the Territories”. Sí, desde luego que las actividades de Israel en los territorios ocupados pueden resultar especialmente importantes, pero es que además el ataque se circunscribió al departamento que se encarga de emitir los permisos de entrada en Israel.

Así, visto, el ataque no es una hecatombe para la defensa del país. Sí, es preocupante, como cualquier otra intrusión, y hay que remediarla rápida y eficazmente. Cualquier malware en cualquier ordenador puede llegar a propagarse a más sistemas y liar un buen problema. Se pueden robar datos abrir puertas traseras… más vale no despreciarlo.

Aunque seamos un usuario doméstico, el presidente de un gobierno, un administrativo en el último negociado del último ministerio, en cualquier momento podemos ser víctimas de un ataque. Puede liarse una como en las películas o simplemente que el antivirus nos muestre una alerta… pero todos tenemos que estar ojo avizor.

Fernando de la Cuadra



De nuevo a vueltas con la privacidad

Cuando hablamos de privacidad en las redes sociales (intimidad antes de que la RAE admitiera el extranjerismo), se nos revuelven las neuronas. Es un claro oxímoron unir esas dos palabras. ¿No son acaso las redes sociales una manera de abrirnos a la sociedad que nos rodea y compartir nuestra vida? ¿No son los más famosos tuiteros los que más cosas comparten y los que más respeto tienen en las redes?

El problema está en el límite que queramos poner a nuestra vida personal. El concepto intimidad se ve claramente diferente si eres un adulto de, pongamos, 50 años, con un cierto nivel cultural, o un adolescente polihormonado, adicto al tunning y asiduo de los polígonos desde que abandonó la ESO.

A ese adulto nunca se le ocurriría subir una autofoto (una “selfie”, perdón) enseñando la ropa interior hecha en el baño de la discoteca del polígono. Ni al chaval se le ocurriría aplicar las propuestas de Milton Friedman ante la coyuntura socioeconómica de la zona pre-euro. Son dos conceptos distintos. Uno necesita ser conocido hasta en su vida privada, otro nunca subiría una foto de cara en su perfil de Facebook… ¡si es que lo tiene!

selfie

Evidentemente, esta comparación que estoy haciendo es extrema. Aunque los dos casos son personas que conozco (iba a poner amigos, pero no es tanto), puedo aventurar que los que estáis leyendo esto os encontráis entre esos dos extremos. Y cada uno tendrá su barrera en una posición distinta, uno más cerca de “da igual lo que publiques” a otro que se avergonzaría de que se supiese el código postal de su oficina.

Pero independientemente de lo que consideremos cada uno que es el límite de “lo íntimo”, hay un nivel de consciencia en lo que publicamos o compartimos en las redes sociales. Si quiero presumir de calzoncillos en una “selfie”, sé que lo estoy haciendo y sé que a mí no me importa hacerlo. Y si no quiero que se sepa mi segundo apellido, exactamente lo mismo, es mi voluntad y tan en mi derecho estoy de que no se haga como lo está el poligonero.

El problema aparece cuando lo que queremos que se sepa o deje de saber no depende de nosotros. Las empresas que están detrás de cualquier gestor de redes sociales (Twitter, Facebook, Tuenti, LinkedIn, Google + o las que sean) no son hermanitas de la caridad, y necesitan ganar dinero. Si no lo hacen, el invento se acaba y tenemos otra crisis como las de las “puntocom” de principios de siglo. ¿Y cómo ganan dinero? Con nuestra privacidad. Estas empresas saben mucho más de nosotros de lo que podemos pensar. Y no solo por lo que les decimos, sino por lo que pueden inferir de nuestros comportamientos y comentarios. Es una estrategia de marketing muy empleada desde hace muchísimos años, no solo desde el boom de Internet (y si no, por qué después de varias búsquedas de unos vídeos musicales me llegó publicidad del recopilatorio de grandes éxitos de ese grupo…).

Creo que a casi todos nos han ofrecido en algún momento una “tarjeta de cliente”. Desde compañías aéreas hasta agrupaciones de comerciantes de barrio ofrecen un sistema para conseguir descuentos, puntos o trato VIP. En el fondo, lo que se busca son dos cosas: por un lado, hacer que con las ventajas el cliente siempre tienda a comprar en la empresa que le ha facilitado la tarjeta, y por otro (y ese es el lado oscuro) poder trazar los gustos y adquisiciones de los clientes.

El máximo llega con las tarjetas que permiten acumular puntos en múltiples establecimientos y servicios. Con un resumen de la actividad de una tarjeta de este tipo, podemos conocer desde preferencias en viajes, alimentación, alojamiento, etc., hasta detalles de las fechas de mayor consumo y sitios. Los que utilicen estas tarjetas igual se han extrañado de que, si nos tomamos las vacaciones en septiembre, las ofertas de viajes siempre nos lleguen para esas fechas en lugar de lo tradicional de julio y agosto. Ellos saben cuándo viajamos y a dónde.

En las redes sociales estamos dando mucha información de manera inconsciente, y lo peor es que podemos, hasta cierto punto, evitarlo. Pero no nos molestamos en hacerlo. Pongo por caso un mensaje de un compañero de la oficina en el que nos advertía de la nueva circunstancia de Google+: cualquier usuario puede mandarte un mensaje de correo electrónico a tu cuenta Gmail desde Google+, aun desconociendo tu correo electrónico.

Aquí hay una barrera de la privacidad que se ha roto bastante “a la ligera”. Todos aquellos que estamos conectados a Internet tenemos una cuenta de correo electrónico al menos, y suelen ser muchas más. Pero hay cuentas y cuentas. Mi cuenta de correo personal, la personalísima, la que no doy más que a mis amigos de verdad y, equivocadamente, di a mi madre, es “secreta”. Es una cuenta con muy poco o casi nada de gracias a que no es de uso general.

Y si ahora cualquier persona puede entrar en Google+ y simplemente con mi nombre, podría mandarme un mensaje a mi cuenta “sagrada”, eso no me mola, nada. Y sobre todo porque Google conoce mucho de mí, gracias a mis búsquedas en Google, mis mensajes en Gmail, mis viajes planeados con Google Maps y Google Earth, mis vídeos buscados en YouTube y mil servicios más que nos ofrece.

Siempre nos queda un pequeño resquicio de esperanza. Google nos permite evitar que se lleve a cabo este envío de mensajes.  Basta con mirar en la configuración de la cuenta de Google (la que te hace estar en Google+ aunque no lo quieras) y decirle que nadie pueda mandarte mensajes, o que solamente la gente en tus círculos, en los círculos ampliados, etc.

google

Y no solo es Google+. Si dedicáramos un rato a mirar la configuración de privacidad (recordemos que es “intimidad”) de Facebook, Twitter y demás, encontraríamos muchos campos de configuración que nos gustaría restringir. O abrir al mundo, dependiendo de qué queramos hacer. Pero hay que hacerlo y, francamente, espero que al acabar de leer esto, vayáis a revisar vuestras opciones de privacidad. Aunque sea solamente por diversión, pero hacedlo.

Fernando de la Cuadra

 



II ESET Security Forum 1ª Parte: filtraciones, espionaje y protección de menores en la red

Como los seguidores de este blog conoceréis, el pasado 23 de octubre celebramos el II ESET Security Forum. Fue una velada inolvidable acompañados de expertos en seguridad informática, responsables de las Fuerzas y Cuerpos de Seguridad del Estado, periodistas, blogueros y, sobre todo, muchos amigos.

Siguiendo el formato del anterior ESET Security Forum, nos reunimos alrededor de una mesa junto a un nutrido grupo de profesionales, cada uno experto en su campo. Así pues, contamos con la presencia de César Lorenzana, capitán miembro del Grupo de Delitos Telemáticos de la Guardia Civil, Pablo Fernando Burgueño (@Pablofb), abogado especializado en ciberseguridad y privacidad en la red, Luis García Pascual, Inspector Jefe de la Brigada de Investigación Tecnológica de la Policía nacional, Ángel-Pablo Avilés “Angelucho” (@_Angelucho_), editor de “El Blog de Angelucho” y autor del libro “X1Red+Segura. Informando y Educando v. 1.0”, Jaime Sánchez (@segofensiva), reputado investigador que ha participado en algunas de las conferencias de seguridad más conocidas a nivel mundial, Daniel García (@ggdaniel), investigador y organizador de las conferencias de seguridad Navaja Negra de Albacete, y el que suscribe, Josep Albors (@JosepAlbors), como [Autor des1] director de educación y del laboratorio de ESET España. Todo ello moderado por nuestro compañero Fernando de la Cuadra (@ferdelacuadra), director de educación de ESET España.

En esta primera parte del II ESET Security Forum se habló de las filtraciones y revelaciones de secretos realizadas por miembros de Anonymous o el excontratista de la NSA Edward Snowden. Jaime Sánchez opina que “estas filtraciones benefician a los usuarios y que la seguridad no es una sensación, es algo real”. Daniel García comparte esta opinión pero con matices: “las filtraciones pueden ser beneficiosas pero hay que ir con cuidado. Es lógico que los gobiernos espíen pero hay que definir unos límites. Los Estados Unidos se benefician de su posición y ahora mismo no hay quien les tosa”.

Luis García opina que “se proporcionan los datos suficientes para justificar este tipo de acciones a nivel de las Fuerzas y Cuerpos de Seguridad del Estado. No obstante, las empresas y usuarios harían bien en adoptar precauciones para proteger sus datos de posibles filtraciones por parte de grupos con oscuros intereses”. Angelucho coincide en que este tipo de acciones “nos deberían alertar como Internautas y preocuparnos más sobre nuestra privacidad”.

El abogado Pablo Burgueño explica que “hay penas para quien no proteja los datos privados de las personas: de 1 a 4 años de prisión y hasta 600.000 € de multa para las empresas que no cumplan con la LOPD”. Pablo continúa diciendo que “hay que tener cuidado a la hora de proporcionar nuestros datos y no regalárselos al primero que nos los solicite”.  Josep Albors, por su parte, opina que “las filtraciones nos molestan, pero solo si nos afectan. Tendemos a dar nuestros datos alegremente sin leer las condiciones de uso y luego nos llevamos sorpresas”.

El segundo punto que se trató en esta primera parte del II ESET Security Forum fue el de la protección de menores en la red y si se estaba haciendo todo lo posible para ayudarlos. Empezó dando su opinión, como no podía ser de otra manera, Angelucho, quien opina que “sí que disponemos de herramientas y maneras de proteger a los menores, pero si lo hacemos correctamente podremos tener éxito. De lo contrario lo que conseguiremos serán muchos huérfanos digitales. Hay que educar también a los adultos y concienciar así a personas de todas las edades”. El abogado Pablo Burgueño opina que “se está haciendo bastante, suficiente para solucionar los problemas actuales pero no para los que vengan mañana. ¿Se pueden utilizar herramientas para espiar a los niños? Sí, siempre que sean menores de 14 años”.

Daniel García opina que “mucho adultos desconocen por completo este tema. Si no conoces un peligro no puedes enseñar a evitarlo. No se puede aplicar una dictadura digital porque el acceso a Internet no se produce únicamente en el entorno doméstico”. Josep Albors añade que “hay iniciativas muy buenas realizándose ahora mismo pero aún queda mucho por cubrir. Muchas veces se nos olvida incluir a los profesores en la ecuación y tienen  mucho que aportar.” También añade que “no por ser nativos digitales tienen menos problemas en Internet. Muchos jóvenes se confían y aparecen los problemas”. Para Jaime Sánchez “es necesario ser ambiciosos e implicar a toda la sociedad, concienciar desde todos los niveles, crear asignaturas, que el Estado se involucre de lleno y que los tutores de los menores entiendan los riesgos existentes”.

Por su parte Luis García comenta que “como representante de la Policía Nacional puedo afirmar que tanto nosotros como la Guardia Civil hacemos un buen trabajo. Cubrimos varios campos como la prevención, la educación de los chavales en los colegios dando charlas impartidas por agente,s pero también trabajamos constantemente luchando contra los que hacen daño a los menores. Toda la sociedad debe implicarse y un profesor debería reconocer y ayudar en los casos de ciberacoso. Pero para eso hace falta formación. Todavía quedan muchos chavales que no son conscientes del peligro que corren. Por suerte las Fuerzas de Seguridad del Estado actúan y consiguen resultados impensables hace pocos años”.

La opinión de César Lorenzana, miembro del Grupo de Delitos Telemáticos de la Guardia Civil, es que “las campañas de educación y concienciación de los peligros que acechan a los menores en la red que realizan de las Fuerzas de Seguridad forman parte del servicio que prestan a la sociedad”. Sin embargo, “no se observa que la sociedad esté igualmente implicada cuando esta tarea es de todos. Ahora mismo tenemos a media sociedad cuidando de la otra media y queda un mucho trabajo por hacer”.

Estas han sido algunas de las conclusiones que se han obtenido de la primera parte del II ESET Security Forum. En breve publicaremos la segunda parte y también una serie de entrevistas realizadas a los ponentes.

Josep Albors



Anonymous publica información privada del CESICAT y de los Mossos

Categorias: Filtraciones,hacktivismo,Privacidad | | 1 Comentario » |

Hacía tiempo que no informábamos de una acción atribuida al grupo hacktivista Anonymous, aunque no han dejado de realizar acciones reivindicativas durante los últimos meses. Sin embargo, las últimas filtraciones de datos provenientes del CESICAT (Centro de Seguridad de la Información de Cataluña) y de los Mossos de Escuadra han devuelto a este grupo al centro de la atención informativa.

No está claro aún si estas acciones han venido como respuesta a los vídeos publicados la semana pasada y en los que se observaba cómo varios agentes propinaban una paliza a un empresario que falleció tras estos hechos, aunque por el poco tiempo transcurrido entre la publicación de estos polémicos vídeos y la filtración de los datos todo apunta a que así sea.

De esta forma, el pasado 24 de cctubre salía a la luz un listado en el que se podía observar información privada de hasta 421 agentes, información que incluía su identificador, NIF, número de teléfono y correo electrónico. Desde el grupo hacktivista avisaban de que disponían de acceso a toda la base de datos del cuerpo de la policía autonómica catalana y que estaban dispuesto a revelar más información.

spy_mossos2

Pero la cosa no quedó ahí, ya que pocos días después, el domingo 27 por la tarde, se publicaba un comunicado también de Anonymous en el que se adjuntaba un dossier con 38 informes de los Mossos donde, supuestamente, se informaba del seguimiento de diversas movilizaciones sociales acontecidas en los últimos meses. Este documento fue rápidamente retirado de los enlaces proporcionados en el comunicado y, aunque los hacktivistas afirman que pertenecen al CESICAT, esta entidad aún no se ha pronunciado al respecto.

spy_mossos1

Según este informe, CESICAT sería una institución con la misión de espiar los movimientos sociales que pudieran suponer una alteración del orden público, siempre según la versión de los hacktivistas. De ser reales demostraría la existencia de unidades de la policía autonómica dedicadas a rastrear Internet y, especialmente, las redes sociales, con la finalidad de conseguir información sobre estas convocatorias de manifestaciones.

A estas alturas y viendo cómo el espionaje internacional entre países está más que demostrado, a pocos nos debería de sorprender la existencia de unidades de este tipo, incluso entre policías autonómicas. Esto de por sí no debería ser algo perjudicial, e incluso se utiliza a menudo para evitar acciones delictivas o conseguir detener a los responsables cuando estas ya se han cometido. No obstante, siempre hay que seguir los procedimientos establecidos y contar con una orden judicial que avale estas acciones, puesto que lo contrario solo genera desconfianza entre la población al sentirse espiada injustamente.

Josep Albors



El espionaje sin límites de EE.UU y la indignación (e hipocresía) de sus aliados

Categorias: datos,Espionaje,Filtraciones,Privacidad | | Sin comentarios » |

A estas alturas de la partida, y tras varios meses pasados desde que comenzamos a conocer todo el entramado de espionaje internacional organizado por los EE.UU. y otros países como Reino Unido, pocas noticias relacionadas con este tema deberían sorprendernos. Sin embargo, desde que se confirmó hace unos días que la NSA espiaba a países aliados, no han faltado reacciones de indignación entre los espiados.

Quizá la respuesta más dura haya sido la del gobierno alemán, quien ha demandado explicaciones tras comprobarse gracias a documentos filtrados por el exanalista Edward Snowden que se estuvo espiando a la canciller Angela Merkel alrededor de 10 años. También ha reaccionado con indignación el gobierno francés ante las evidencias de espionaje que demuestran que los Estados Unidos han estado recopilando información confidencial de importantes personalidades de nuestros vecinos, aunque ya hubo antecedentes antes incluso de que las filtraciones de Snowden fueran hechas públicas.

PRISM_SLIDE_NSAAnte esta situación, y tras comprobarse que España también ha sido blanco de estos casos de espionaje durante años (aunque la respuesta de nuestro gobierno haya sido muy comedida), cabe preguntarse cómo nos afecta como ciudadanos de a pie toda esta polémica, y las que vendrán conforme se vayan publicando los miles de documentos filtrados en los próximos meses.

Para empezar deberíamos aceptar de una vez que todos los países poseen redes de espionaje, incluso para obtener información de países aliados. Suena violento, pero es la cruda realidad. Nadie está dispuesto a desaprovechar las ventajas que aporta el conocer información clasificada que puedan suponer importantes beneficios en un nivel geopolítico. Incluso mucha de esta información que se obtiene utilizando estos métodos poco ortodoxos sirve para prevenir acciones delictivas, en eso la mayoría de países están de acuerdo.

No obstante, la indignación que hemos visto en los últimos días no se debe a que Estados Unidos espía a sus aliados, sería algo hipócrita como lo fueron las acusaciones de esta potencia mundial sobre China a principios de año. Realmente, las quejas son más un pataleo de impotencia al comprobar que los EE.UU. juegan con mucha ventaja sobre el resto de naciones implicadas en esta red de espionaje al contar con la ventaja estratégica que les supone controlar una gran parte de los servicios que forma la Internet tal y como la conocemos hoy en día.

nsa-eagle

Si nos paramos a pensar, la mayoría de empresas que proporcionan los servicios y el software que utilizamos los usuarios tienen su sede en los Estados Unidos. Empresas como Microsoft, Apple, Google, Facebook o Twitter, por citar solo unas pocas, se rigen por las leyes americanas y, por mucho que lo nieguen de forma pública, han colaborado en mayor o menor medida en la mayor recopilación de datos privados realizada hasta la fecha de la que tengamos constancia. Todo esto sin contar con el acceso físico a algunas de las principales conexiones troncales de Internet, lo que permite analizar todo el tráfico que por ellas circula.

Esto proporciona a la administración americana una capacidad de recopilación de información como nunca antes habíamos conocido, si bien aún faltaría ver qué se hace con toda esa información. Estamos hablando de un volumen de tráfico de datos muy grande, algo que requiere de poderosas infraestructuras para siquiera tratar de detectar los datos más importantes y descartar el resto. No obstante, seguro que los datos de los objetivos más importantes reciben un tratamiento especial.

Y a nosotros, como simples usuarios de las redes de comunicaciones, ¿cómo nos afecta toda esta polémica? Pues para empezar, deberíamos asumir que toda nuestra información enviada a través de llamadas de teléfono, mensajes de texto, emails, etc., puede estar siendo monitorizada por nuestro país o por potencias extranjeras. ¿Significa esto que nos están espiando? Depende de cómo lo veamos. A una agencia gubernamental de seguridad le interesará más bien poco las fotos que publicamos online tras pasar un día con nuestros amigos y, muy probablemente ni siquiera se moleste en almacenarlas.

No obstante, a casi nadie le gusta que haya mirones revisando su vida privada, aunque el porcentaje de personas que están dispuestas a sacrificar su privacidad por una supuesta mayor seguridad difiere dependiendo de en qué país se pregunte. El problema es que hemos llegado a un punto en que el uso de este tipo de redes se ha convertido en esencial y el acceso a ellas se realiza de la forma más sencilla posible para el usuario.

A pesar de que se ha desvelado cómo la NSA y otras organizaciones han conseguido espiar comunicaciones cifradas, siguen habiendo métodos al alcance de todos para conseguir una privacidad más que satisfactoria. El problema no es tanto que haya un gobierno queriendo obtener nuestros datos, sino que la gente se conciencie y aprenda a utilizar procedimientos que les garanticen una mayor privacidad.

Para comprobarlo podemos hacer una prueba sencilla que consiste en preguntar a nuestros amigos y familiares cuántos de ellos cifran sus discos, establecen contraseñas robustas o utilizan redes VPN cuando se conectan a redes inseguras. La mayoría de ellos no aplicarán estas medidas e incluso puede que nos cataloguen de paranoicos. El problema no está en que se espíe a la gente, algo que, en ciertos casos, puede suponer evitar delitos si se hace con autorización judicial y por las fuerzas y cuerpos de seguridad autorizadas. El problema es que a la mayoría nos da igual, o al menos eso se deduce tras comprobar la poca protección que otorgamos a nuestros datos privados o que incluso publicamos voluntariamente en redes sociales.

Por supuesto que hay leyes que protegen esta privacidad del individuo, pero ya hemos visto con ejemplos como la “Patriot Act” que estas pueden ser modificadas por el gobierno de turno según le convenga o como respuesta a incidentes que afecten a la seguridad nacional. Es por eso que la lucha por nuestra privacidad ha de empezar por nosotros mismos, protegiendo aquellos datos que no queremos compartir voluntariamente, utilizando los mecanismos de los que disponemos (incluso incluidos dentro del propio sistema operativo) para mantener nuestra información alejada de miradas indiscretas.

Josep Albors



Fallo de seguridad en Adobe (y esta vez, no en los productos de Adobe)

Categorias: Cibercrimen,exploit,Filtraciones,Hacking | | Sin comentarios » |

La empresa Adobe, desarrolladora entre otros productos de Adobe Photoshop y Adobe Acrobat, ha sufrido un ataque informático que ha expuesto millones de datos privados de usuarios.

Entre otros, estos datos incluyen identificadores de usuario, contraseñas (cifradas, eso sí) y lo que es peor, números de tarjetas de crédito y de débito. El ataque se produjo recientemente según informó ayer un responsable de la compañía, cuando los atacantes lograron entrar en la red interna de Adobe y consiguieron esos datos de casi tres millones de usuarios.

adobe

Además de los datos de los usuarios (cuando un ciberdelincuente se pone a robar, no se suele quedar a medias), gracias al ataque se ha podido robar código fuente de varios programas, entre otros los de Adobe Acrobat, Cold Fusion y Cold Fusion Builder. Cabe destacar la importancia del robo de este código fuente, no ya solamente por el posible impacto económico que pueda sufrir Adobe, si no también porque puede ser utilizado para buscar nuevas vulnerabilidades de forma más rápida. Esto puede provocar una oleada de ataques en poco tiempo sobre los productos que se han visto afectados por este robo y hacer mucho daño a la ya tocada imagen de la empresa.

Este ataque no es el primero que sale a la luz, ya que hace casi un año se robaron también datos de la empresa mediante un ataque informático. En ese caso fueron 150.000 correos electrónicos y hashes de contraseñas de empleados de Adobe y clientes, como el ejército estadounidense, Google, la NASA y otros muchos.

El investigador Bryan Krebs ha publicado información muy interesante sobre este tema, ya que él mismo fue capaz de detectar la filtración de este código fuente hace varios días y avisar a Adobe de este hecho. Las siguiente captura de pantalla obtenidas en su investigación demuestran que la filtración es real y que contiene cerca de 40 gigas de datos.

adobeCFsourceimage

Imagen obtenida del blog de de Bryan Krebs

Por su parte, Adobe ha declarado que ya están trabajando con las autoridades para esclarecer el ataque. Mientras, no les consta que con el código robado se estén descubriendo vulnerabilidades que implicaran exploits, y ya se están encargando de cambiar las contraseñas robadas, aunque es altamente recomendable que los usuarios cambien sus contraseñas tal y como recomienda la propia empresa.

Sin embargo, el robo de datos de tarjetas es harina de otro costal, y tanto desde Adobe como desde nuestro Blog queremos recordar a los clientes de Adobe que vigilen con minuciosidad los movimientos de las tarjetas, no vaya a producirse alguna transacción no deseada. Además, la empresa ya ha anunciado la publicación de un parche de emergencia para el próximo martes 8 de octubre y que afectará a Adobe Reader XI y Adobe Acrobat XI, por lo que también recomendamos actualizar estos programas tan pronto como este parche se encuentre disponible.

Fernando de la Cuadra

Josep Albors



Roban 1.3 millones de libras usando un sencillo dispositivo

Cuando hablamos de la seguridad en nuestros sistemas, sobre todo cuando nos referimos a evitar el robo de datos privados, casi siempre hacemos referencia a todo tipo de software malicioso diseñado para instalarse sin nuestro permiso. Troyanos, backdoors y spyware forman parte de esta familia de malware especializada no en dañar nuestro ordenador, sino en robar los datos que guardamos en él. No obstante, casi nunca se tiene en cuenta otros métodos más “artesanales” que pueden resultar igual o incluso más efectivos si se saben llevar a cabo.

Como ejemplo tenemos la reciente noticia del robo de 1.3 millones de libras sustraídas en una sucursal del banco Barclays. Este robo se produjo en el mes de abril, pero no ha sido hasta ahora que se han conocido los detalles de esta operación. El método usado por los ladrones fue realmente simple y utilizó tanto ingeniería social como un sencillo dispositivo para saltarse todas las medidas de protección implementadas por la entidad bancaria y conseguir realizar el robo.

Un método directo y efectivo

En lugar de infectar alguno de los sistemas que manejaban las operaciones bancarias con un software malicioso, estos ladrones optaron por una técnica más directa: instalar un dispositivo KVM (Teclado – Vídeo – Ratón por sus siglas en inglés) en uno de los equipos desde los cuales se pueden realizar operaciones como transferencias de dinero. Este tipo de dispositivos son perfectamente legales (y económicos) y, trabajando junto a un módem 3G, permitía a estos ladrones interceptar tanto las pulsaciones del teclado y ratón que el usuario legítimo  realizaba como toda la información que apareciese en pantalla.

new-portable-usb-kvm-4-ports-selector-vga

La instalación de este dispositivo permitía, además, que los delincuentes pudieran realizar operaciones como si estuviesen delante del ordenador, posibilidad que aprovecharon para realizar las transferencias por el mencionado valor de 1.3 millones de libras. Si bien esto se puede realizar también con muchas muestras de malware existentes actualmente, el hacerlo de esta forma evitaba tener que saltarse todas las medidas de seguridad informática de las que que este tipo de entidades bancarias suelen disponer.

La confianza, clave para realizar el robo

Para conseguir instalar el dispositivo, uno de los delincuentes tan solo hubo de hacerse pasar por un técnico que, supuestamente, fuera a arreglar alguna incidencia en un ordenador del banco. Usando un poco de ingeniería social, y teniendo en cuenta que la mayoría de las personas tiende a ayudar por defecto ante una solicitud de información (como muy bien ha demostrado Kevin Mitnick a lo largo de su vida), no es difícil de creer que se pudiera acceder al ordenador deseado sin mayores problemas.

Una vez instalado un dispositivo de esta clase, es muy probable que pasara desapercibido bastante tiempo sin que nadie se diese cuenta, permitiendo a estos ladrones realizar sus transferencias fraudulentas. Esto es algo de lo que no deberíamos sorprendernos, incluso en grandes empresas, puesto que prácticamente nadie suele revisar si tiene algún dispositivo extraño conectado a la parte trasera de su ordenador y los administradores de sistemas suelen andar demasiado ocupados como para ir revisándolos personalmente.

Evitando casos similares en el futuro

No obstante, gracias a la denuncia de este robo y el posterior análisis del modus operandi de los delincuentes, se ha conseguido evitar recientemente que se produjese también en suelo británico una acción similar en una oficina de otra importante entidad bancaria como es el Santander. Eso no evita que este tipo de dispositivos, o incluso algunos más sencillos como puedan ser keyloggers físicos de apariencia similar a una memoria USB, se sigan usando constantemente, tanto en labores de robo de datos en empresas como en situaciones en las que alguien quiera robar información privada de una persona en concreto por diversos motivos.

Con este tipo de noticias se confirma que no hace falta gastar grandes cantidades de recursos en desarrollar una amenaza informática dirigida hacia un objetivo en concreto. Solo sabiendo aprovechar dispositivos existentes de fácil adquisición y ganándose la confianza de las personas adecuadas para que nos dejen acceder físicamente a los ordenadores objetivo, se pueden robar muchos datos privados importantes. Es primordial, pues, que mantengamos una política de acceso a sistemas críticos restringida solamente a aquel personal autorizado, reforzando la seguridad física a la par que la lógica.

Josep Albors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje