Heartbleed, sí… ¿Pero qué es el SSL?

Categorias: General | | Sin comentarios » |

El tema del Heartbleed ya está siendo comentado por todo el mundo. No creo que ni uno de los medios que se ocupan de cubrir sucesos en la tecnología haya dejado de hacerse eco. Todo el mundo hablando de SSL, OpenSSL…

Heartbleed es el nombre que recibe un agujero de seguridad mediante el cual se podrían recuperar contraseñas supuestamente secretas de determinados servidores de Internet. Todo ello por un fallo en la implementación del SSL. ¡Alto! ¡Paren las rotativas! Antes de nada…, ¿Qué es el SSL? ¿Y el OpenSSL? ¿Y por qué tanto barullo? Vayamos hacia abajo para entender lo de arriba, si no, mal lo llevamos.

ssl

Cuando se creó Internet, en lo último que se pensó, seamos sinceros, era en la seguridad. Suficientemente felices eran los próceres de la tecnología IP con lograr que se pudieran comunicar dos ordenadores como para preocuparse de otras cosas. Pero poco a poco, se han ido desarrollando sistemas para que la comunicación entre los sistemas sea segura.

No sé cuántas veces se ha dicho que a la hora de conectarnos a una página web en la que vayamos a hacer una compra (o cualquier cosa que involucre nuestro nombre de usuario y contraseña para algo delicado) debemos comprobar que la conexión es segura. Generalmente aparece un pequeño candado en el navegador que empleemos, eso quiere decir que la comunicación es segura.

Y si no aparece el candado, en la barra de direcciones empezará la URL del sitio en el que estamos con “https” en lugar del clásico y simple “http”. Eso indica que estamos utilizando un protocolo seguro. Y no hay que hacer nada especial. Probemos. Intenta entrar en http://www.facebook.com. No podrás, inmediatamente serás redirigido a https://www.facebook.com. Lo mismo, sí, pero con una “S” que nos indica que la comunicación se lleva a cabo de una manera segura.

El hecho de que aparezca el candado significa que estamos empleando SSL, iniciales de “Secure Sockets Layer”, o “nivel de conexiones seguras”, para los que preferimos el idioma de Cervantes. ¡O de Quevedo!

El SSL viene ya implementado por defecto en prácticamente todos los navegadores, y desde hace mucho tiempo. El problema es que no solo lo necesitamos en nuestro navegador, sino que también es necesario en el servidor al que nos conectamos. De nada nos serviría pedirle seguridad a un sitio web que no lo tenga implementado, por mucho que nosotros sí lo tengamos en nuestro sistema.

SSL funciona a base de “desafíos”. Nuestro navegador manda un “desafío” al servidor: un texto y una contraseña para que lo descifre. Si puede, el servidor nos manda otro a nosotros, para ver si podemos. Y si podemos, llegamos a un acuerdo con un apretón de manos (no es broma, es un proceso dentro del SSL que se llama “handshake”, apretón de manos). Una vez que estamos de acuerdo, se puede iniciar la comunicación cifrada.

Así, pues, los administradores web tienen que implementar también SSL en sus servidores. Y he aquí que topamos con un problema demasiado frecuente. Nadie dijo que la informática fuera barata, e implementar SSL cuesta dinero, ya que los desarrolladores quieren ganar dinero para pagar el colegio de sus hijos.

Sin embargo, hay versiones gratuitas. Sí, como en casi todo, hay opciones de pago y gratuitas. En este último caso, OpenSSL es una buena opción. Pero aquí ya llegamos al centro de la mitad de en medio de la cuestión: el error. Por culpa de una mala implementación de los desafíos en OpenSSL (código abierto, y gratuito), un cliente podría adivinar información más allá del simple desafío, y lo que iba a ser un apretón de manos es un puñetazo en la cara.

Y el resto ya es historia.

¿Tenemos que asustarnos por el “mayor error de la historia de Internet”? Bueno, depende de lo miedosos que seamos. Lo peor es que no podemos hacer nada, a no ser que seamos administradores web. Desde nuestra parte de la comunicación, lo único que podemos hacer es cambiar nuestras contraseñas, pero por eso no pasa nada, porque todos los lectores de este blog cambian sus contraseñas al menos una vez al mes… ¿O no?

Fernando de la Cuadra



Participamos activamente con x1RedMásSegura

Categorias: Anuncios,Eventos,General,Infografías | | Sin comentarios » |

Como ya sabéis, en ESET España organizamos nuestros propios eventos de seguridad, pero también nos encanta apoyar a todas aquellas iniciativas que vayan encaminadas a mejorar la seguridad informática de los usuarios. Solo colaborando entre todos podremos conseguir que los internautas disfruten cada vez más de Internet y de las grandes ventajas que conlleva. Por eso, desde el principio hemos apoyado la labor que nuestros buenos amigos y compañeros están llevando a cabo con la iniciativa x1RedMasSegura.

 x1redmasseguralogo

Bajo el lema “Internet para todos” esta actividad se desarrolla durante todo el año, pero es ahora, con motivo de la celebración del Día Internacional de las Telecomunicaciones y la Seguridad en la Red, cuando se concentran la mayoría de las actividades. Tras el éxito de la pasada edición, este año se amplían las actividades para todo tipo de públicos: ciberabuelos, padres, niños, disCAPACITADOS, empresarios, internautas básicos, etc. Así que os dejamos por aquí un adelanto de lo que van a ser las diferentes actividades que se van a llevar a cabo para que os apuntéis antes de que se acaben las plazas ;-).

Talleres X1RedMasSegura

  • 8 de mayo – Taller para ciberabuelos
  • 9 de mayo – Taller para padres
  • 9 de mayo – Taller para niños
  • 10 de mayo – Taller “disCAPACITADOS” muy capaces en la Red
  • 12 de mayo – Taller para Internautas básicos
  • 14 de mayo – Taller para empresarios

Jornadas X1RedMasSegura

  • 16 y 17 de mayo

Todas las actividades son gratuitas, pero hay que apuntarse por temas de aforo. Así que en los próximos días, a través del RSS de X1RedMasSegura y sus canales sociales, se anunciará dónde se van a realizar y publicarán el formulario de inscripción.

Concurso de “Infografías Jóvenes X1RedMasSegura’14”

Con el objetivo de concienciar y educar a los más jóvenes en el uso seguro y responsable de Internet, este año, como novedad, se lanza el concurso “Infografías Jóvenes X1RedMasSegura’14”. Va destinado a alumnos de Tercer Ciclo de Educación Primaria, Educación Secundaria Obligatoria y Bachillerato a nivel individual. Y aunque hacer una infografía no es tarea sencilla, confiamos en que nuestros jóvenes, nativos digitales, sabrán exprimir su creatividad. Tenéis las bases disponibles en http://www.x1redmassegura.com/p/concurso.html.

Se han establecido dos categorías de participación por edades:

  • GRUPO A. Tercer Ciclo de Educación Primaria y Primer Ciclo de Educación Secundaria Obligatoria.
  • GRUPO B. Segundo Ciclo de Educación Secundaria Obligatoria y Bachillerato.

Desde ya mismo se pueden enviar las propuestas, cuyo plazo de entrega finalizará el próximo domingo 4 de mayo de 2014. Para hacerlo, por favor, remitidlas vía correo electrónico a concurso@x1redmassegura.com. Un consejo: como son archivos gráficos, comprobad antes de enviar el peso del archivo, no sea que no llegue porque “pesa un quintal” ;-).

Hay dos categorías de premios:

  • PREMIOS al “Joven x1redMasSegura 2014″. A nivel individual, para cada categoría se establecerán tres premios iguales (es decir, seis en total) que reconocerán el talento de los jóvenes que hayan participado.
  • PREMIO al “Centro x1redMasSegura 2014″. El Colegio / Instituto u Organización que aporte más participantes será galardonado también y reconocido como “Centro x1RedMasSegura 2014″ con un diploma honorífico de la organización. Será mencionado en redes sociales de x1RedMasSegura, blogs de colaboradores y en las jornadas, y recibirá como premio la realización en sus instalaciones del “Taller Musical xa Jóvenes” que x1RedMasSegura ofrecerá este 2014.

JURADO 

No sé si me matarán por desvelarlo, pero me hace mucha ilusión, porque me han propuesto ser parte del jurado ;-). El resto estará constituido por profesionales cuya identidad se revelará a lo largo del transcurso del concurso. Uno de ellos formará parte de la organización de x1RedMasSegura, y estará presidido por parte de la Oficina de Seguridad del Internauta (OSI) de INTECO

¡Queremos dar los premios! Así que te animamos a que nos ayudes a concienciar en seguridad difundiendo este concurso entre familiares, amigos y conocidos.

x1redmassegura Concurso Jovenes

Seguiremos contando novedades. Mientras tanto, ¡feliz semana, trop@!

Yolanda Ruiz

@yolandaruiz



Semana de la Seguridad Infórmatica de Tudela (II)

Categorias: Educación,General | | Sin comentarios » |

Ya ha terminado la VIII Semana de la Seguridad Informática organizada por el Cibercentro de Tudela, gestionado por la Fundación Dédalo. Tal y como os contamos hace unos días, y con permiso de la urgencia de Heartbleed, aquí tenéis un resumen del último día de la presencia de ESET en Tudela.

El jueves 10 nuestro compañero Fernando de la Cuadra tuvo una mañana agitada. Pero si él la tuvo, más aún los alumnos de 2º de ESO del colegio Anunciata de (evidentemente) Tudela. Todos ellos, repartidos en varios grupos, recibieron la charla “Redes Sociales y privacidad”, para aprender qué se puede y qué no se debe hacer en Internet y, sobre todo, qué comportamientos son adecuados en las redes sociales.

 

Cómo funciona un antivirus - Tudela

Los chavales estuvieron muy atentos, e incluso ¡preguntaron! Con el lógico enfado de sus profesores. Ellos están allí siempre, les han contado lo mismo… y ni caso. Si ha servido que vengan de fuera para motivarles y provocar reflexiones especiales, ¡misión cumplida!

Y por la tarde, ya en la sede del cibercentro, la charla “Cómo funciona un antivirus”, para el público en general. Llenazo. ¡Y con lista de espera! La capacidad de convocatoria de la Fundación Dédalo es espectacular, y el interés de los ciudadanos, sorprendente.

Bueno, igual es que los asistentes se llevaban de regalo un antivirus para su móvil, pero por lo menos han aprendido qué hace ese programa que no sabemos muy bien qué hace pero que nos protege de las amenazas. Y pongo NOS protege, porque todos tenemos uno instalado… ¿o no?



Curando Heartbleed, la herida de Internet. ¿Qué podemos hacer frente a él?

Categorias: General,seguridad,Vulnerabilidades | | 1 Comentario » |

A principios de semana se destapó al mundo posiblemente una de las vulnerabilidades más graves de la historia de Internet tanto por importancia como por alcance.

Heartbleed es un agujero de seguridad encontrado en algunas versiones de OpenSSL, concretamente desde la 1.0.1 y la 1.0.1f, que permitiría a un atacante acceder a parte de la memoria del proceso del mismo; algo que se vuelve aún más delicado al tener en cuenta que OpenSSL juega un papel clave en el cifrado de las comunicaciones en Internet.

Heartbleed

¿Y esto qué significa? Pues significa tener acceso a datos tan comprometedores como: claves de los servicios, cuentas de usuario y contraseñas, claves privadas, etc.

¿A quién ha afectado todo esto? Algunas fuentes afirman que ha afectado a millones de servidores en todo el mundo. Por supuesto, entre ellos, los servidores de los llamados gigantes de Internet como Google, Yahoo!, Amazon, etc. De ahí la importancia del bug. Heartbleed afecta a muchísimos servidores, muchos de ellos muy importantes y, además, a una parte del sistema de una sensibilidad extrema.

Aquí os dejo un enlace donde poder comprobar si nuestro servidor es vulnerable a Heartbleed: http://filippo.io/Heartbleed/

Solo tenemos que introducir la dirección de nuestro servidor donde aparece el texto “example.com” y pulsar sobre “GO” para que la web nos indique si somos vulnerables o no.

Una vez analizado el bug, vamos a intentar aportar soluciones y centrarnos en cómo enfrentarnos a este problema, orientando a los administradores de sistemas en la reparación del bug y a los usuarios, dándoles una serie de buenas prácticas:

Por el momento existen dos posibles soluciones para reparar la vulnerabilidad de los servidores pero, ¿quién nos asegura que nuestras claves no han sido comprometidas ya?

Empezamos con la parte mas técnica.

Por el momento existen dos métodos para arreglar la vulnerabilidad:

Método 1: Para usuarios que utilizan OpenSSL sobre sistemas Linux – Actualización de OpenSSL

Los chicos de OpenSSL se han apresurado en corregir el grave fallo que tenían en las versiones comprendidas entre 1.0.1 y la 1.0.1f (ambas inclusive) y han lanzado una actualización de versión (1.0.1g) con la que ya no seríamos vulnerables.

Lo tenemos tan fácil como actualizar el software y reiniciar los servicios que lo utilicen.

Como apunte, en los repositorios oficiales de Debian y de RedHat ya está disponible la versión parcheada de la que hablamos con lo que con un simple “apt-get upgrade openssl” en caso de Debian o “yum update openssl” para quien utilice RedHat o CentOS sería suficiente para reparar el agujero.

Método 2: Cortar la conexión vía cortafuegos

Se ha publicado otra posible solución para prevenir las conexiones concretas que aprovechan esta vulnerabilidad mediante cortafuegos. Para los usuarios de Linux que utilicen iptables la línea que detectaría la conexión maliciosa y la cortaría sería la siguiente:

iptables -t filter -A INPUT -p tcp –dport 443 -m u32 –u32 “52=0×18030000:0x1803FFFF” -j DROP

Ya lo tenemos reparado, ¿y ahora qué?

Como no se sabe exactamente desde cuándo está vigente esta vulnerabilidad puede que nuestros datos estén ya comprometidos a pesar de haber reparado la vulnerabilidad. Con lo que tanto por parte de los administradores, como por la de los usuarios, sería recomendable seguir una serie de buenas prácticas:

Primero: cambiar todos los certificados digitales de todos los servidores, no importa el servicio. Lo recomendable sería cambiarlos todos.

Segundo: pedir a todos los usuarios que cambien las contraseñas de todos sus servicios para prevenir sustos posteriores. Este consejo es válido también para los usuarios de servicios de Internet tales como correo electrónico, banca online, e-commerce, etc.

Ramón Llácer



Car OS

Categorias: General,Malware,seguridad | | Sin comentarios » |

Veo con preocupación que se está iniciando otra “guerra” entre los fabricantes de sistemas operativos para copar el nicho de mercado de los sistemas para coches, los “CarOS”. Resumiendo, son los sistemas operativos que van a manejar los coches que nos compremos próximamente.

Un coche hoy tiene una gran cantidad de sistemas informáticos, que controlan muchos aspectos. Y cuanto más caro es el coche, mayor es el número de sistemas. Los Bugatti o McLaren (y no los de F1) no tienen ni una sola pieza (casi) que no sea manejada por un ordenador. O por varios.

Los coches de hoy en día tienen tantos sistemas informáticos como nuestros smartphones

Los que no podemos permitirnos ciertas veleidades automovilísticas no tenemos coches tan informatizados. Pero que conste que no podemos porque tenemos familia y hay que llevar maletas, no por otra cosa. Si el Bugatti Veyron tuviera un maletero más grande, yo no tendría un Opel, ¡será por dinero! Los ciudadanos normales tenemos que conformarnos con una radio muy chula (de la que luego no usamos ni la mitad de sus funciones), inyección electrónica y climatizador informatizados, bajo el control de una centralita que maneja un par de cosas más, y gracias.

Los nuevos sistemas para coches prometen interfaces muy chulas, pensadas para el conductor, con accesos rápidos a las funciones más habituales (es decir, lo mismo de siempre: calefacción, aire acondicionado, GPS, la radio y poco más) y luego infinidad de gadgets para divertirnos y hacer los viajes un poco más entretenidos.
Vamos, que lo mismo que tenemos en el móvil pero con un par de apps incorporadas para coches. Y ese es el peligro: es lo mismo.

El negocio en este sector viene, de nuevo, con las aplicaciones que descarguemos. Spotify ya ha levantado la mano, y poco tardarán en aparecer los demás fabricantes ofreciendo complementos específicos para coches.

No tengo por qué poner en duda la idoneidad de estas aplicaciones para coches, en el fondo la diferencia entre la radio a pilas que tenía mi padre en el 600 y escuchar música en formato 5.1 es la calidad. Pero de entrada, me horroriza tener un sistema operativo conectado todo el día a Internet (porque los operadores de telefonía también apoyarán esta tendencia, por supuesto) sin unas medidas básicas de seguridad.

Muchos usuarios hacen exactamente lo mismo con sus equipos de sobremesa o con los móviles, pero la diferencia es sutil. Ante un problema de seguridad, lo peor que puede pasar es que te roben toda la información del ordenador o móvil, o incluso que te dejen sin un céntimo la cuenta corriente. Problemas bastante nimios comparados con que el coche deje de responder adecuadamente a 100 km/h.

Ese es mi miedo. Un cibercriminal puede chantajear con el “virus de la policía”, o con ransomware. Incluso puede sacar beneficio de los usuarios más incautos, pero ¿qué no haríamos con tal de que el coche se comporte adecuadamente bajando un puerto de montaña?

Sé positivamente que ante cualquier nuevo movimiento en este sector, mis compañeros de Bratislava encargados de desarrollo de nuevos productos ya están planteándose la cuestión y aportando soluciones. Pero la preocupación sigue ahí. Estamos en el año 2014, y no todo el mundo tiene sistemas de seguridad en sus dispositivos móviles, cuando llevamos años hablando de su necesidad. ¿Tardaremos tanto tiempo en concienciarnos de la seguridad de nuestro “CarOS”? Espero que no, y mucho menos los lectores de este blog, que ya están perfectamente protegidos… ¿O no?

Fernando de la Cuadra



Seguridad para la nube

Categorias: General | | Sin comentarios » |

Cada cierto tiempo, el sector de la seguridad informática se reúne con algún motivo interesante. Puede ser un congreso con hackers, un simposio con directores de seguridad o unas sesiones con fabricantes. Sea lo que sea, hay que acudir (y así lo hacemos) para auscultar el mercado, las tendencias y las novedades.

En el caso que nos ocupa, y organizado por la revista SIC, tuvimos la oportunidad de pasar una mañana hablando de la nube y las implicaciones que pueda tener la seguridad en ella. Numerosos fabricantes nos mostraron su modelo de nube, en el que siempre está asegurada la seguridad de los datos.

En todos emplean un sistema antivirus mejor o peor, y sistemas de cifrado de información que permiten no ya cumplir con la legislación en materias de protección de datos de carácter personal, sino que aseguran en buena medida que la información almacenada en la nube esté exclusivamente disponible para los que la crearon y nadie más.

La nube ha evolucionado mucho, según unos, y según otros… menos. Interesante el punto de vista de Rafael Ortega, quien nos recordó la similitud de los sistemas mainframe de los 70 con el paradigma de almacenamiento nuboso de hoy en día.

SAMSUNG

Y qué decir de aquellos tiempos en los que exactamente los mismos argumentos empleados para vender la nube se empleaban para la instalación de redes de área local. Todavía recuerdo cuando tuve la ocasión de presentar, junto a la Product Manager, el IBM PS/2 95, el servidor definitivo para redes de área local. Y ahora mismo no serviría ni para almacenar las fotos de las vacaciones, el vídeo de la boda y cualquier información que cabe de sobra en un portátil.

En cualquiera de los casos, tanto los mainframes como los maravillosos servidores de los 90 tenían una preocupación común a los proveedores de servicios en la nube: la seguridad. Y esa seguridad estará en dos partes distintas: por un lado, en el sistema que aloja los datos; y por otro, en el canal de comunicación mediante el cual accedemos a los datos.

Sin embargo, nos olvidamos de un punto clave en la comunicación, y es el usuario. Al igual que está comprobado en el tema de la seguridad antimalware, esa pieza entre la pantalla y la silla es la clave en lo referente a la seguridad.

Me da igual que los datos en la nube estén bien protegidos, y que utilice protocolos de comunicación seguros. ¿Quién es el que está accediendo? Seamos consecuentes, la mayor parte de las contraseñas que emplean los usuarios son débiles: “123456”, “asdfg”, el nombre del perro, fechas de cumpleaños… Y aquí tenemos a la empresa haciendo una inversión importante en sus sistemas de almacenamiento en la nube para que luego un usuario cualquiera deje su contraseña en un post it.

Cuántas veces habremos dicho que la seguridad es un concepto global. Un sistema es tan seguro como lo sea su punto más débil, y generalmente lo somos nosotros, los usuarios. Una empresa que opte por el sistemas en la nube (almacenamiento, o proceso, o lo que sea) debe cuidar cómo acceden los usuarios.

Sí, es muy bonito emitir boletines empresariales internos en los que se avisa que deben cambiarse las contraseñas. Tienen tanto efecto como los recordatorios de reponer el papel en la impresora cuando se acabe. Es necesario que los usuarios se involucren de verdad en la seguridad, y si no, hay que implementar soluciones que sirvan para que los accesos a los sistemas no sean una mera pantomima de usuario y contraseña.

¿Qué tal un sistema en el que obliguemos a introducir un dato más? Una contraseña adicional, pero no la misma siempre. Una contraseña nueva, distinta para cada vez, y que no podamos reutilizarla. Es el sistema que se llama “de doble factor”, y ese segundo factor, una nueva contraseña, es única e irrepetible.

Ya puede ser el usuario más reacio a cambiar su contraseña “123456”, que si ponemos esa gota de seguridad, tendremos un océano de tranquilidad.

Fernando de la Cuadra

 



Ojo con los fraudes que usan Facebook y Twitter

Categorias: General,redes sociales,timos | | Sin comentarios » |

Sinceramente, las redes sociales se me están haciendo, desde el punto de vista de la seguridad, como puntos de encuentro cada día más peligrosos. No es cuestión de alarmar, sino de poneros sobre aviso para que tengáis los ojos muy bien abiertos. Ahora no solo hay que tener cuidado con las falsas aplicaciones que distribuyen malware o roban tus datos, sino que están proliferando numerosos casos de intentos de estafa y de fraude que se distribuyen vía Facebook y Twitter buscando gente a la que engañar.

La razón es la misma que siempre… ¡Hombre! Pues si resulta que un amigo tuyo, el amigo del cole de toda la vida, te envía un mensaje con un “peazo” de negocio a través del cual puedes ganar mucho dinero…, ¿cómo no vas, al menos, a perder unos minutos echándole un vistazo? Es humano, yo también lo haría.

Pues la cuestión es que los negocios piramidales parece que están haciendo su agosto todavía en invierno (casi, casi ya en primavera ;-) para conseguir afiliados de afiliados de afiliados con quienes repartir suculentos beneficios. El último caso nos lo cuenta USToday, y es que parece que La Comisión de Seguridad de la Bolsa americana ha tenido que reaccionar rápidamente para desmontar un negocio piramidal que estaba siendo promocionado a través de las famosas y conocidas redes sociales porque así se lo ha ordenado un tribunal federal.

Dos compañías, la Fleet Mutual Wealth y la MWF Financial, se habían creado perfiles en Facebook y en Twitter como Mutual Wealth. Estos utilizaron las redes sociales para capturar inversores a los que prometían entre un 2 y un 3 % de beneficios por semana gracias a una campaña que llamaron “invertir en seguros en solo unos minutos”. Además, animaban a los usuarios a captar a otros inversores, prometiéndoles una comisión extra y convirtiendo de esta manera la campaña en un negocio piramidal.

Pero es que además de llevar a cabo una acción no regulada por su Comisión de Seguridad, el dinero que recaudaban lo transferían a cuentas de bancos de otros países cuya titularidad eran falsas compañías. De esta manera han conseguido, calculan en la Comisión, unos 150 inversores estafados, todos en Estados Unidos, que habrían depositado unos 300.000 dólares.

De momento, la investigación sigue en marcha, aunque han congelado la cotización de ambas compañías. Pero no deja de ser una prueba más de lo fácil que es engañar a la gente cuando se mueve en un entorno de confianza, como son las redes sociales, donde los usuarios nos sentimos falsamente seguros y amparados por nuestros “buenos amigos”.

Facebook y Twitter no son las únicas

No, lamentablemente ni Facebook ni Twitter son las únicas redes sociales a través de las cuales se intenta estafar. No sé si tenéis perfil en LinkedIn. Yo me lo creé hace un montón de años, cuando en España ni siquiera se conocía la red. Y nunca he recibido tanto correo interno a través de la red como ahora, en su inmensa mayoría comunicaciones que o son estafas o huelen a fraude.

Sucede lo mismo: no te vas a esperar en una red profesional que alguien con un currículum impoluto vaya a estafarte, pero intentar, lo intentan. Dejando a un lado el clásico timo nigeriano, que todos conocemos y reconocemos, últimamente están proliferando los mensajes donde te invitan, de manera excepcional y por un tiempo limitado, a invertir sobre todo en negocios online, y de paso te invitan a que animes a tus contactos a que se hagan socios.

Yo no lo he probado: no tengo en mi cabeza invertir en ningún negocio loco. Pero aunque tuviera la intención de hacerlo, evidentemente no lo haría por un email recibido a través de LinkedIn.

Como muestra un botón que recibí ayer mismo:

eset-nod32-antivirus-fraude-linkedin

Hombre, estamos en crisis, pero por muy necesitados que estemos, os recomiendo que extreméis las precauciones y no hagáis caso de este tipo de mensajes lo recibáis a través de la red social que sea, porque lo más probable es que sea un timo, una estafa o un fraude y acabéis peor de lo que habéis empezado.

Feliz fin de semana, trop@.

Yolanda Ruiz

 



Todavía hay un 5% de “valientes” que no utilizan ningún sistema de seguridad en su ordenador

(¿La habíais echado de menos? ¡Nosotros sí! De nuevo tenemos a nuestra genial Yolanda con nosotros)

Así nos lo cuenta AV-Comparatives, que ha publicado la cuarta entrega de su encuesta sobre antivirus, que lleva por título Anti-Virus Survey Report, y que recoge SiliconWeek.

El estudio ha recogido información de más de cinco mil personas a nivel mundial, y extrae conclusiones bastante interesantes, como lo que los usuarios consideran que los tres aspectos más importantes que tiene que tener un producto encargado de la seguridad son, por orden de importancia, el poco efecto en el rendimiento del sistema, una buena velocidad de detección, y una buena capacidad para eliminar malware.

 eset-nod32-antivirus-estudio-avcomparatives-ordenador-sin-proteccion

Esto me recuerda cuando hace muchos años utilizábamos como argumento de marketing la cantidad de virus que cada programa era capaz de detectar y de neutralizar, ya que no había sistemas automáticos de reconocimiento de amenazas informáticas, clasificación y desinfección. Y claro, conseguir muestras de los virus que estaban circulando para poder incorporarlas al que llamamos “fichero de firmas” era harto complicado. Si se creaba un bicho en Algeciras, tardaba meses en cruzar España y llegar a Vigo.

Con la era de Internet todo esto ha cambiado: somos capaces de detectar mucho antes amenazas informáticas con sistemas automáticos .Y cuando hace algunos años cada día se incorporaban 10 nuevos virus al fichero de firmas para poder ser detectados y neutralizados, hoy hablamos de miles diarios. A lo que hay que añadir que ya hay tecnologías en cada ordenador individual capaces de reconocer por sí mismas nuevas amenazas y de neutralizarlas, sin saber nada antes de ellas.

Así que ahora se valora mucho más otras cosas que la capacidad de detección, porque, como a los soldados al acabar la mili, el valor se le supone. Y es que no hay diferenciación ya entre productos en cuanto a qué son capaces de detectar –desde el punto de vista del usuario-, mientras que sí hay mucha sensibilidad con que el antivirus no ralentice y con que sea rápido haciendo lo que tiene hacer. Otra cosa es la típica empresa que utiliza antivirus gratuitos suponiendo que son geniales y se infecta, y entonces, acordándose de Santa Bárbara cuando truena (Seguimos con la mili, patrona de Artillería), acuden a buscar un profesional que les ayude instalándoles, a partir de ese momento, un antivirus de pago… Pero en este país –y creo que también en otros- somos “asín” ;-).

Además, el estudio también nos cuenta que hay diferentes hábitos de uso de antivirus según estemos hablando de Estados Unidos o de Europa, y que al otro lado del charco, un porcentaje muy alto utiliza soluciones gratuitas mientras que en Europa, que valoramos mucho el soporte técnico y que haya alguien al otro lado echándonos una mano cuando hace falta, preferimos como primera opción los antivirus de pago.

Eso sí, no especifica si los que se llaman usuarios de soluciones gratuitas incluye también los “piratillas” que no adquieren la licencia pero que con el uso de diversas triquiñuelas consiguen, durante un rato, utilizar las versiones comerciales sin pagar.

Pero sí arroja otro dato interesante: todavía hay un 5% de valientes a nivel mundial que no utiliza ningún antivirus en su ordenador (no especifica si son usuarios Apple, Linux o Windows). Tanto si se tienen muchos conocimientos informáticos como si se trata de usuarios noveles o medios de las nuevas tecnologías, el no utilizar antivirus es como irte de vacaciones, dejar la puerta y las ventanas de tu casa abiertas de par en par y además colgar un cartel en la fachada que diga “señores ladrones, pasen ustedes libremente y sin prisas. Llévense lo que quieran, estamos de vacaciones. ¡Ah! Y en la nevera hay refrescos” ;-).

Bueno, un estudio más de los serios que arrojan algo de luz acerca de cómo se comporta el mercado. Y que, dicho sea de paso, sitúa a ESET entre el top 3 de principales marcas de antivirus utilizadas a nivel mundial, dicho por los propios usuarios (que luego no diga nadie que nosotros mismos nos echamos flores ;-). Así que gracias a todos los que confiáis en ESET vuestra seguridad, porque gracias a vosotros, cada día somos mejores.

Feliz fin de semana, trop@!

Yolanda Ruiz
@yolandaruiz



Dos maneras de enfrentarse a un mismo problema

Cuando me propuse hacer esta entrada en el blog, estaba convencido de que podría ser divertida. Pero según le he dado vueltas, me he dado cuenta de que no, al contrario. Iba a ser triste. Quizá demasiado.

No es que me haya visto envuelto en la tristeza del fin del carnaval ni esté deprimido por la llegada de Doña Cuaresma, no. Es por la dicotomía entre una llamada que tuve desde la dirección de un colegio y la charla que di sobre seguridad y menores en una asociación de barrio.

ciberacoso

Hace unos días me llamó el jefe de estudios de un colegio. El colegio de encuentra en una buena zona, muy buena zona diría. Es, básicamente, un colegio “de clase alta”. Se estaban produciendo casos de acoso a los alumnos a través de redes sociales, y la dirección del centro estaba muy preocupada. No sabían qué hacer, y recurrieron a nosotros para que impartiéramos unos seminarios sobre seguridad a los chavales.

Hasta aquí no hay mucha diferencia entre las actividades que llevamos a cabo con los menores mi maestro y compañero Josep Albors y yo. Pero en este caso habían citado incluso a la policía municipal para que estuviera en las charlas. El caso era bastante más importante de lo que parecía.

Sin embargo, la otra cara de la moneda era una asociación de un barrio. Un barrio humilde, obrero, con serios problemas económicos entre sus habitantes. Mismo objetivo: evitar ciberacoso entre los menores, en este caso charlas a los padres.

Menuda diferencia. Esta última charla era preventiva. Todavía no se habían dado casos, y eso que la edad de los chicos era la misma. Y cuando empecé a contar cómo controlar privacidad en redes sociales, me sentí que perdía el tiempo: prácticamente todo lo que contaba ya lo sabían, y lo habían aplicado a sus móviles y a los de sus hijos.

Afortunadamente, hay muchos usuarios muy responsables, que se preocupan de sus hijos y se ocupan de ellos de una manera activa, no a posteriori, cuando ya la policía tiene que intervenir.

A pesar de todo, me sentí muy reconfortado con nuestra sociedad, con usuarios que manejan los dispositivos y se preocupan por ellos mucho más allá de hacer “selfies” poniendo morritos. Porque todos nos preocupamos así… ¿o no?

Fernando de la Cuadra



Phishing y sentido común

Nuestros compañeros en Bratislava nos han avisado de una nueva estafa a través de correo electrónico, y en este caso nos resulta especialmente curiosa. Algún delincuente (o algunos delincuentes) están mandando mensajes de correo con supuestas facturas de productos de ESET que deben abonarse. Evidentemente, estos mensajes son falsos, si se recibe un mensaje de estas características, lo mejor será ponerse en contacto con nuestro departamento comercial (tel. 902 33 48 33) y allí mis compañeros y compañeras se encargarán de atenderle como solo ellos y ellas saben: perfecto y perfectamente.

Resulta curioso que empleen a la marca ESET como gancho. Si bien que nos veamos envueltos en un intento de estafa es una situación muy desagradable, por otro lado indica que somos una marca reconocida, con un público objetivo muy grande y que tenemos la suficiente credibilidad para servir de gancho en un intento de robo.

phishing

Este tipo de ataques a los usuarios es lo que se conoce como “phishing”. Consiste en un correo electrónico con el aspecto de una empresa reconocida, normalmente un banco, en el que se le cuenta al destinatario una historia relacionada bien con su cuenta del banco, con su tarjeta de crédito o, como en este caso, un pago pendiente de realizar. Todo tiene la apariencia perfecta, un aspecto diseñado exactamente igual que la imagen corporativa de la marca usada como cebo y un texto que resulta creíble. Bueno, lo del texto es a veces cercano a la broma, ya que usan traductores automáticos y no hay quien se entere de lo que pone.

El usuario que lo recibe, si no conoce esta técnica puede que pique y haga lo que el delincuente busca: ceder sus datos de la tarjeta de crédito. Y a partir de ahí, empezarán a llegarnos extraños cargos de compras que nunca hemos hecho, quizá en países que nunca hemos visitado para comprar cosas que no queremos comprar. El delincuente operará con nuestra tarjeta hasta que nos demos cuenta, seguramente demasiado tarde.

Afortunadamente, no estamos solos en esta guerra contra el phishing. Por un lado, están los bancos. Sí, hoy en día un banco no es un estamento que inspire mucha confianza, tal y como están las cosas, pero en su defensa tengo que decir que se portan muy bien. Por amistad personal conozco a dos personas que trabajan en departamentos jurídicos de dos bancos distintos, y me han confirmado oficiosamente que los bancos tienen sistemas de detección de actividades sospechosas con tarjetas de crédito y avisan a los clientes si de repente alguien quiere comprar algo con su tarjeta de crédito desde Nigeria, por ejemplo.

Y lo que es más, en caso de robos de dinero directos en cuentas corrientes, llegan a reembolsar el dinero sustraído. No es habitual, desde luego, ni es fácil, pero estos dos bancos analizan los casos y cuidan a los clientes. Bravo por ellos.

Y por otro lado, en la guerra contra el phishing las empresas de seguridad tenemos mucho que decir. Los motores de búsqueda de código malicioso no solamente buscan virus, sino que también analizan todos y cada uno de los mensajes de correo en busca de spam y phishing. Más aún, en ESET hemos desarrollado un sistema específico de búsqueda de mensajes de phishing para que la seguridad sea incluso mayor.

A pesar de todo, siempre recordamos que lo mejor es aplicar el sentido común. En caso de que alguien nos pida dinero en un mensaje de correo electrónico, desconfiemos. Porque todos usamos el sentido común a la hora de estar conectados a Internet… ¿O no?

Fernando de la Cuadra



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje