• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (56)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (72)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (123)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (55)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (285)

• Archivos

  • mayo 2013 (17)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Malware, vulnerabilidades y videojuegos: un repaso de cara a la nueva generación

Con la presentación de la nueva XBOX One el pasado martes se completa el elenco de consolas que se van a disputar la llamada nueva generación, obviando el siempre presente PC, que sigue su evolución a su ritmo. Es esta una generación en la que dos de las tres mayores compañías del mundillo (Sony y Microsoft) apuestan por una arquitectura muy similar a la de cualquier PC de gama alta actual y que, en el hardware, tan solo se diferencian en detalles menores, como la velocidad de la RAM o del procesador.

Otra cosa es el sistema operativo que montarán cada una de ellas, siendo Microsoft la que ha apostado por hasta tres S.O. para gestionar las funciones de juego, las funciones multimedia de visualización de contenidos y uno que hace de capa intermedia entre los dos anteriores. Lo que sí parece claro es que Windows 8 podría hacer acto de presencia en una versión preparada específicamente para la consola de Microsoft, algo que, teóricamente, también podría ocasionar que se aprovechasen vulnerabilidades presentes en el sistema de escritorio.

Lo que sí comparten tanto Sony, Microsoft y los usuarios de PC es la necesidad prácticamente obligatoria de estar siempre conectado para aprovechar todo el potencial de estas máquinas de entretenimiento. Ya sea por la verificación de los contenidos instalados (para evitar la piratería), para interactuar con las redes sociales, contar con el almacenamiento en la nube o para fomentar el juego online (y los pagos que de ahí se derivan), la industria del videojuego apuesta por una conexión permanente. Tan solo Nintendo se mantiene un poco al margen de esta política, aunque ellos siempre han marcado su propio camino.

Esta conexión permanente no debería suponer mayores problemas si no fuera por la experiencia con la  que ya contamos desde hace muchos años en el mundo del PC. Estar siempre conectados nos facilita mucho las tareas, ya sean lúdicas o profesionales, pero también hace que seamos vulnerables ante las amenazas informáticas que se propagan de forma muy rápida.

Si bien en consolas no ha habido prácticamente incidencias por parte de malware, el hecho de que usen una arquitectura tan similar a la de los PCs actuales y que incluso XBOX One puede contar con una versión adaptada de Windows 8, podría hacer que viéramos cómo las amenazas se extendiesen hasta este territorio virgen hasta ahora. En un hipotético caso de que una amenaza se propagase por consolas, la sensación de inmunidad con la que cuentan muchos usuarios (similar a la de los usuarios de Mac hasta hace no mucho) podría jugar en su contra.

De hecho, ya son varias las ocasiones en las que se nos ha alertado de vulnerabilidades presentes ya no en el sistema operativo encargado de manejar los juegos, sino en los propios motores usados por alguno de los videojuegos más populares del momento o en las plataformas de distribución digital más utilizadas. El problema es que cada vez se conocen más de estas vulnerabilidades que afectan a millones de usuarios en todo el mundo.

Revuln, una de las empresas especializada en descubrir vulnerabilidades y que más hincapié ha hecho en el mundo de los videojuegos, ha publicado recientemente un informe donde presenta fallos de seguridad en algunos de los videojuegos o motores más conocidos, como son Quake, Unreal Engine o CryEngine, entre otros. Estas vulnerabilidades permitirían que un atacante utilizase los servidores de estos juegos para explotar de forma masiva estas vulnerabilidades, llegando incluso a poder tirar abajo todas los servidores de un juego en concreto.

Pero claro, para que alguien realice un ataque de estas características debe haber algún interés detrás. Hasta ahora aquellos ciberdelincuentes que quisieran sacar provecho de infectar a los usuarios más jugones lo obtenían a través de las tarjetas de crédito que conseguían al engañar a los usuarios, para que introdujeran sus datos de acceso en páginas web falsas. También existe un mercado negro de bienes virtuales que reporta interesantes beneficios a los ciberdelincuentes y que además no están tan perseguidos como el robo de dinero de cuentas bancarias.

Por si fuera poco, las transacciones dentro de los juegos en forma de micropagos son algo que se está poniendo de moda, especialmente en los conocidos como Free-to-play, por lo que, cada vez con más frecuencia, los usuarios tienen que echar mano de su tarjeta de crédito para conseguir mejoras y ventaja para sus personajes. Todo un nuevo campo de posibilidades para los ciberdelincuentes si no nos andamos con cuidado.

Hay otro tema que también se va a enfatizar en esta nueva generación, y es la inclusión de las redes sociales y la difusión del contenido generado por el propio jugador. Todas las plataformas abogan por que compartamos con nuestros amigos el juego al que estamos jugando, los logros o trofeos que consigamos e incluso que grabemos nuestras mejores jugadas y las compartamos con el resto de jugadores. Esto puede ayudar a conseguir un juego más social, alejado del estereotipo de jugador solitario sin amigos que a algunos aún les viene a la cabeza cuando hablamos de jugadores de videojuegos.

No obstante, debemos andar con ojo a la hora de compartir nuestras experiencias como jugadores online. Por ejemplo, tal y como apuntan nuestros compañeros del blog WeLiveSecurity de ESET, la nueva versión del periférico Kinect, de cuyo uso no podremos escapar en la nueva XBOX One, permanecerá en funcionamiento aunque la consola se encuentre apagada para así poder reconocer la orden de puesta en marcha que le podremos dar de forma verbal.

Esta atractiva característica podría convertirse en un sofisticado sistema de espionaje doméstico que nos hace recordar al famoso ordenador HAL 9000 de la película 2001: Una odisea del espacio, con la capacidad de poder controlar nuestros movimientos en todo momento. Preferimos no pensar en las consecuencias negativas para nuestra privacidad que un control no autorizado de este dispositivo por parte de un atacante podría ocasionar.

La mayoría de los puntos que hemos tratado en este artículo no dejan de ser meras especulaciones basadas en casos hipotéticos. Por desgracia, la experiencia nos dice que estas especulaciones no son nada disparatadas y que es perfectamente posible que sean superadas por la realidad. Por si acaso, vamos a ir preparando una manta decorativa que quede bien encima del Kinect para cuando no queramos ser observados por miradas indiscretas.

Josep Albors

Smartphones y aplicaciones sociales ¿privadas?

He tenido la oportunidad de probar un móvil nuevo, aunque solo fue un ratito. Para poder “juguetear” con él, saqué la tarjeta SIM de mi antiguo móvil y la puse en el nuevo. Se supondría que el antiguo móvil quedaría “inutilizado”.

Pues no. Ya hemos dicho muchas veces que un móvil no es más que un ordenador desde el que se pueden hacer llamadas. Y un ordenador como tal no necesita para nada una tarjeta SIM.

Con el teléfono sin tarjeta SIM pude hacer muchas cosas, y todas preocupantes. ¿Twitter? Perfecto. ¿WhatsApp? Sin problemas. ¿Facebook? Como si nada. ¿LinkedIn? A tope. Es decir, ninguna de estas aplicaciones depende de la tarjeta SIM para funcionar, son únicamente programas de ordenador, no “programas de teléfono”.

Desgraciadamente, el móvil que me habían dejado era solo para un rato, y el rato se acabó. Tuve que devolvérselo a su dueño (con gran dolor de mi corazón) y mi viejo móvil recuperó su tarjeta SIM. No hubo ningún cambio con la situación anterior, simplemente me pedía el PIN para poder acceder a la tarjeta y ya tenía, además de todo lo que tenía antes, la posibilidad de hacer y recibir llamadas.

Este hecho es alarmante, sobre todo para aquellas personas que tengan un  mínimo de preocupación por su seguridad. Si el teléfono móvil lo perdemos (o peor, nos lo roban), estamos en un serio apuro. Lo más lógico que deberíamos hacer es hablar con nuestro operador y comunicarle el robo. Ellos se encargarán de dar de baja nuestra tarjeta SIM para que no esté operativa, no se puedan hacer llamadas desde el teléfono y evitar sustos a la hora de pagar facturas.

Además habría que indicar al operador el código IMEI del teléfono, de manera que el teléfono quede inutilizado. Sí, gracias al código IMEI (es único para cada teléfono) podemos evitar que se use no ya solo con una tarjeta SIM nueva, sino que no se podrán hacer llamadas en ningún operador. Ese aparato queda inutilizado telefónicamente hablando. Si no conocéis el IMEI, simplemente hay que marcar (como si fuera un teléfono al que queréis llamar) *#06#, y el teléfono os mostrará el código, es un número de 15 o 17 cifras. Conviene que lo conozcáis y tengáis apuntado.

Pero un momento… Estos procesos solo nos aseguran que el teléfono no funciona. ¿Qué pasa con la parte “ordenador” del aparato? Nada. Seguirá funcionando como el primer día. Simplemente le hemos bloqueado una parte de sus funciones, pero no las demás. Seguirá funcionando la conexión Wi-Fi, los archivos seguirán estando, la memoria funcionará… Nada ha cambiado.

Y no ha cambiado nada, efectivamente, se puede acceder a cualquier App. Mal hecho. Cuando nos instalamos una App “social”, damos por hecho que no habrá que escribir nuestro nombre de usuario y contraseña para empezar a trabajar con ellas. Error. Y gordo. Si perdemos el teléfono, estamos regalando a alguien nuestra vida social. “Pues le cambio la contraseña”, se suele pensar. Puede que sea tarde y ya lo haya hecho el nuevo propietario del teléfono, pero puede que nos dé igual.

Tal y como mostró hace tiempo nuestro amigo Dabo, mientras tengas una sesión en Twitter iniciada en un sistema (puede ser el ordenador o el teléfono), da igual que cambies tu contraseña en otro sistema. La sesión que iniciaste seguirá estando activa, a pesar del cambio. Es decir, el usuario del teléfono perdido puede seguir Twitteando en tu nombre aunque no lo quieras.

Para que la pérdida o el robo de un teléfono no suponga un auténtico quebradero de cabeza, deberemos tener un sistema que nos permita bloquearlo a distancia, de manera que el que lo encuentre no pueda hacer nada con el teléfono. Y, además, deberemos poder borrarlo para que la información personal almacenada quede a salvo. Y eso es tan sencillo como instalar ESET NOD32 Mobile Security.

Fernando de la Cuadra

Vulnerabilidad en Instagram permite acceder a cualquier cuenta

Se ha descubierto una vulnerabilidad Oauth sobre Instagram que permitiría a un atacante acceder a cualquier cuenta sin permiso de su propietario. Esta vulnerabilidad fue reportada por Nir Goldshlager, quien ya ha descubierto e informado de otras vulnerabilidades en Facebook. Nuestros compañeros de ESET Latinoamérica han comentado esta noticia en un interesante artículo que nos gustaría compartir.

Instagram es una red social que permite a los usuarios compartir fotografías a través de diferentes plataformas, como por ejemplo, Facebook. Usando la vulnerabilidad descubierta recientemente, un atacante que logre explotarla tendría acceso a fotos privadas e incluso podría borrar dicha información. Además, el ciberdelincuente podría subir nuevas imágenes y también editar o borrar comentarios existentes.

La vulnerabilidad puede ser aprovechada de dos formas diferentes. La primera opción es el robo de la cuenta a través de la propia vulnerabilidad Oauth de Instagram, mientras que la segunda opción utiliza el robo de sesión a través de Facebook.

En el primer método, el atacante utiliza el parámetro redirection_uri que valida el sitio web indicado, donde, en primera instancia, parecía que no era vulnerable. Sin embargo, el investigador descubrió que este parámetro podía ser explotado si se modificaba el sufijo del sitio especificado. En otras palabras, si el sitio finalizaba en “.com” podía pasarse como parámetro “.com.es”. Si el ciberdelincuente deseaba llevar a cabo el ataque, debía comprar previamente el dominio con el sufijo modificado. De esta forma, podría robar el token de la propia cuenta.

Mediante el segundo método, el investigador demostró que es posible utilizar cualquier dominio en el parámetro redirection_uri. De esta manera, un atacante podría robar el token de sesión de cualquier usuario de Instagram. Esta vulnerabilidad ya ha sido solucionada por el equipo de seguridad de Facebook tras ser informados de ella.

No es la primera vez que informamos de vulnerabilidades relacionadas con Facebook. Es algo ya conocido la existencia de aplicaciones maliciosas en Facebook, siendo este caso en particular una vulnerabilidad que ya se encuentra solucionada. Sin embargo, más allá de las vulnerabilidades que afecten a las redes sociales, es importante que los usuarios consideren adoptar buenas prácticas de seguridad, prácticas que pueden ser complementadas con herramientas gratuitas como ESET Social Media Scanner para detectar enlaces potencialmente maliciosos en Facebook.

Josep Albors

Wall Street solicita acceso a los mensajes privados de Facebook de los brokers que operan en Bolsa

Parece que ultimamente la Bolsa está dando mucho de que hablar. Si ayer te contábamos que el hacking a la cuenta de Twitter de AP y el tweet sobre el atentado contra Obama había conseguido que los valores en Bolsa se derrumbaran durante unos minutos, hoy te tenemos que hablar de otro tema más que polémico que afecta a la privacidad.

Y es que la Financial Industry Regulatory Authority (FINRA), entidad reguladora financiera en Estados Unidos, ha solicitado tener acceso a los mensajes privados de Facebook de los perfiles personales de los brokers que operan en Bolsa, así como a sus muros, ya que sospechan que se está haciendo mucho negocio de forma oculta utilizando para ello las redes sociales.

Así que, ni cortos ni perezosos, han enviado una carta a diez estados solicitando a la gente que les den acceso a sus cuentas de sus medios sociales, para que un grupo de investigación monitorice a los brokers. Además, añade que “prohibir el acceso a estas cuentas puede suponer un conflicto al no cumplir con los requerimientos federales que protegen a los inversores”.

FINRA insiste en que solo quieren acceso a los perfiles de los brokers para hacer un seguimiento y conseguir evidencias de aquellos que ya son sospechosos de fraude. Un argumento más que ridículo, porque evidentemente, si alguno de ellos está contraviniendo algún tipo de ley, en el momento en el que den acceso a sus perfiles a esta entidad, borrarán todas las evidencias y dejarán de utilizar esta vía para filtrar información privilegiada o hacer movimientos sospechosos.

Evidentemente, los inversores tienen derecho a estar protegidos contra cualquier tipo de fraude, pero… ¿también violando la privacidad de los empleados de Wall-Street? De nuevo, la fina línea entre la privacidad en las redes sociales y la Ley se cruzan. Porque, por esa misma regla de tres, podrían pedir acceso a sus correos electrónicos, que se llevan usando más tiempo que las redes sociales… A no ser que dichos correos ya estén siendo monitorizados, en cuyo caso, estarían cometiendo un delito contra la Ley de Intimidad y la Privacidad norteamericana, mucho más restrictiva que la nuestra.

Aquí queda dicho, y como todo lo de Estados Unidos acaba viniendo, que se preparen los brokers españoles, que igual en un espacio corto de tiempo, nos llega la Comisión Nacional del Mercado de Valores pidiendo acceso a los perfiles de Facebook, Twitter y hasta de Badoo si se ponen .

Yolanda Ruiz Hervás

Del ciberacoso a menores y los delitos en la Red: todo se investiga y se rastrea

Como muchos de vosotros sabéis, durante los últimos meses tanto mi compañero Josep Albors como Fernando de la Cuadra y servidora estamos participando en diferentes iniciativas de formación para adolescentes, padres y profesores en un uso saludable de las nuevas tecnologías. Los chavales, nativos digitales, han nacido con un ordenador debajo del brazo, y el smartphone es su mejor compañero. A esta generación, como podéis imaginar, no puedes empezar por contarles qué es un virus…, para empezar, porque ya lo saben, pero también porque ese problema para este colectivo se queda realmente corto.

Hoy en día las principales preocupaciones de padres y profesores se centran en otros asuntos mucho más graves, que no dependen de la tecnología en sí, sino del uso que los adolescentes hacen de ella: el ciberacoso y la privacidad. Lamentablemente, cada vez son más las noticias que podemos ver en los telediarios sobre casos de distribución de material sensible relativo a los menores por parte de otros compañeros de clase, que quizá de forma inocente lo hacen como un juego, o de mayores que actúan bajo una falsa sensación de irresponsabilidad.

Un juego que muchas veces puede convertirse en más que peligroso si miramos a Estados Unidos o a Canadá, donde tenemos que lamentar algunos suicidios por este motivo. Y Estados Unidos nos lleva una delantera tecnológica de unos cinco años…, así que ojalá no sea este nuestro futuro, pero el camino lo llevamos. Solo tenemos que leer, con los pelos de punta, casos como el de Amanda Todd en Canadá, Tyler Clementi en Nueva Jersey, Megan Taylor de Misuri, Jamey Rodemeyer de Buffalo (Nueva York) y Ryan Patrick de Nueva York. Excepto en un par de casos, en el resto fueron los propios compañeros de clase los que llevaron a cabo el ciberacoso.

El acoso escolar no es un problema nuevo, ni mucho menos. Lo hemos sufrido muchos de nosotros cuando éramos pequeños, y muchas veces con una charla de los padres en el centro se arreglaba, o con cambiarse de colegio. Pero ahora, las nuevas tecnologías posibilitan que el problema continúe, incluso aunque la familia se mude de ciudad, como hemos podido ver en muchos de los casos anteriormente mencionados.

Y en el caso de las nuevas tecnologías el drama es doble: por un lado, para el o la acosada y su familia, que en muchas ocasiones puede tener un final trágico; y por otro lado, para el acosador o los acosadores, porque todo delito deja su rastro en la Red.

En una de las mesas redondas en las que estuve y que tuve el placer de compartir con la Policía Nacional y con un despacho de abogados especializados en delitos telemáticos, la mayoría de las preguntas de los chavales (preguntas todas de chicos, por cierto) se referían a si las autoridades eran capaces o no de seguir el rastro de alguien en la Red, o de averiguar el origen de una foto publicada o de un vídeo, o de saber si una dirección de email falsa podía asociarse de alguna manera a su autor…

Sinceramente, las preguntas me sorprendieron mucho. La mesa redonda era en una Universidad, con un auditorio lleno de chavales con edades comprendidas entre los 18 y los 23 años (no tan adolescentes ya). Y me sorprendieron por la simple razón de que estaban más preocupados en saber qué se investigaba y cómo que en el daño personal o a la privacidad que pudieran estar cometiendo. No digo que estos chavales hubieran hecho algo…, pero desde luego, era mucha casualidad que todos preguntaran en la misma dirección.

Y es que en materia de investigación, hoy en día tienen mucha fuerza las pruebas periciales telemáticas, y tanto o más peso que las pruebas físicas de un delito. Todavía recuerdo algunas sentencias de hace unos cuantos años en las que no se admitían a trámite como prueba los emails, por ejemplo, y ahora solo tenemos que seguir un poco el caso Urdangarín y los correos de Diego Torres para darnos cuenta de cómo ha cambiado la Justicia. Y no es el único caso…

El 81% de los abogados matrimoniales en Estados Unidos busca pruebas para los juicios de divorcio en las redes sociales. Se acaba de publicar: según la Academia Americana de Abogados Matrimonialistas, el 81 por ciento de sus miembros acuden a Facebook y a otras redes sociales a buscar evidencias para sus casos de divorcio y las utilizan en los juicios, sobre todo en aquellos donde se pretende probar una infidelidad para favorecer a una o a otra parte. Porque, según el mismo estudio, uno de cada cinco adultos utilizan las redes sociales para flirtear, o dejan evidencias de temas controvertidos, relaciones con las drogas u otros asuntos que pueden ser utilizados en un juicio.

Estos días, todos los que hemos seguido los atentados de Boston, hemos visto cómo la policía ha sido capaz de trazar un perfil de los dos responsables a través de lo que habían dicho en sus redes sociales, por no recordar el caso de la matanza de Suecia, donde el responsable casi dejó un tratado escrito a través de su blog. De forma consciente o no, todos nosotros dejamos muchas evidencias de nosotros mismos, de nuestros sentimientos, intenciones y decisiones a través de las redes sociales. Datos que en caso de problema, puede ser perfectamente recopilados, analizados y utilizados como pruebas de delito.

Siempre digo que nuestro sistema educativo cojea de muchas cosas, pero una muy evidente es la falta de formación y de concienciación sobre el comportamiento humano y el daño que podemos llegar a hacer a terceras personas, la mayoría de las veces sin motivo ni razón. No nos enseñan a gestionar nuestras emociones y sentimientos ni a controlar nuestros impulsos, y eso nos lleva a que muchas veces seamos el origen o partes activas de campañas personales contra alguien que quizá no sepa cómo defenderse, o a quién acudir, o cómo hacer frente a tanto odio. Ahora, las nuevas tecnologías propician, bajo la falsa sensación de anonimato, que estas acciones se amplifiquen, permanezcan en el tiempo y hagan todavía más daño.

El otro día, tras la charla en un instituto de un compañero sobre estos asuntos, una chica se echó a llorar y confesó a su profesora que estaba siendo acosada, y que no había dicho nada porque tenía miedo y porque no sabía a quién acudir. Ahora el caso está en manos de las autoridades, que cumplirán diligentemente con su trabajo, y que probablemente darán con los instigadores del acoso. Y si con esta charla hemos evitado que esta chica tenga un final más dramático, habremos dado por bien empleado nuestro tiempo y esfuerzo.

Porque, en definitivas cuentas, es nuestra responsabilidad y la de nuestra sociedad: proteger a nuestros menores y enseñarles que la broma que gastábamos en el patio hace 40 años y a la que nadie le daba importancia, hoy es un delito, y que a través de la Red, todo se amplifica y hace más daño, pero también se sigue, se investiga y se descubre.

Yolanda Ruiz Hervás

¿Quieres borrar tus datos de la Red? Pues para Google, primero tendrás que morirte…

Sí, ya sé que suena un poco radical, pero es que lo es. Veamos… Pongámonos en el caso de que cualquiera de nosotros encuentra cualquier tipo de contenido que no queremos que esté en la Red. Nuestra primera intención será acudir a Google para intentar contactar con alguien “humano”, pero desde ya te digo que nos va a resultar bastante complicado, porque no suele haber un teléfono o un email de soporte publicado por ningún lado, más bien al contrario: formularios y solicitudes que nunca sabes si se reciben, quién las lee, etc.

Durante muchas conversaciones con la Policía Nacional y con abogados especializados en Internet, me han comentado que es muy complicado conseguir que un contenido sea eliminado. Hace poco coincidí con una persona especializada en Derecho de Internet y me comentó que estaba a punto de celebrarse un juicio en Europa porque alguien con una intención nada buena había publicado que su cliente tenía el virus del VIH, lo que le había perjudicado profesionalmente.

Habían acudido tanto al responsable de la publicación en cuestión como a Google, y no habían conseguido nada. Así que los trámites legales les había llevado hasta el Tribunal de Derechos Humanos… Espero sinceramente que lo ganen, porque todos tenemos derecho a nuestra privacidad y a nuestra intimidad.

Porque claro, independientemente de Google, tenemos que tener en cuenta que este no es más que un agregador y clasificador de información. Lo que se conoce como un buscador, sin más ni menos. El contenido que elimina Google está alojado en alguna parte, y el hecho de que no aparezca en los resultados de búsqueda, no quiere decir que se haya borrado para siempre, porque sigue estando en la web que originalmente lo ha publicado.

Seguro que conoces algún caso en el que la eliminación de contenido no adecuado se convierte en una auténtica pesadilla. Para empezar, porque primero tienes que contactar con el administrador de la página en cuestión que contiene la publicación, labor bastante complicada habitualmente.

Si consigues contactar, tienes que pedirle amablemente que elimine el contenido, y ahí ya dependes de que también amablemente quiera hacerlo, porque muchas veces los límites de la libertad de expresión y de información se topa de bruces con el derecho al honor, a la intimidad y a la privacidad. Claro está que si el individuo en cuestión lo ha hecho para perjudicarte, no lo va a eliminar.

Si consigues que lo elimine, entonces el tema se facilita, porque para Google, ese link indexado pasa a ser un hipervínculo huérfano, y por lo tanto, da un fallo. Si lo reportas a través de la herramienta de Google para Webmasters, en un plazo no superior a las 48 horas, tanto el link como la copia en caché de ese contenido desaparece. Pero lamento comunicarte que esto solo sucede en el 1 % de las ocasiones.

Si no has conseguido contactar con el administrador, entonces puedes acudir a las herramientas de Google directamente. Contempla dos supuestos diferentes: el primero, que consideres que dicha información está vulnerando alguna ley aplicable, quedando la decisión en manos de Google. Sobra decirte que si no es con un mandato judicial, es bastante complicado que se elimine nada. Al menos, yo no conozco ningún caso, más bien al contrario, conozco casos de muchas negativas.

El segundo supuesto es que haya información confidencial tuya indexada en Google, por lo que nos topamos de nuevo con Google, al que tenemos que dejar decidir qué es información confidencial y qué no lo es. Porque… que alguien tenga el VIH, ¿no crees que es información muy confidencial?

Pues bien, mira tú por dónde, me topo con esta noticia: Google va a facilitar herramientas a los usuarios para que, a su muerte, dejen una especie de testamento digital en el que manifiesten si quieren que su información sea borrada tras el deceso o sus cuentas transferidas a algún familiar o amigo para que las administre, suspenda o haga lo que quiera con ellas.

Paradójico, ¿no? Es decir, que si en el ejemplo anterior este señor finalmente fallece (¡ojalá que no!) se hubiera ahorrado años de litigio y gastos de abogados y tribunales, porque simple y llanamente podría elegir que se borrara toda su información y asunto solucionado. Eso sí, demasiado tarde quizá…

La herramienta la han llamado “Administrador de cuentas inactivas” y se encuentra en el administrador de tu perfil general para los productos de Google. Evidentemente, en esta herramienta no hablan de forma específica del deceso del usuario, pero sí destapan su verdadero objetivo en su blog de privacidad de UK.

Eso sí, nos ha encantado tanto el último párrafo del post como el último comentario que un usuario ha publicado:

Donde Andreas Tuerk, Product Manager de Google, el autor del artículo, afirma “Esperamos que esta nueva funcionalidad os permita planificar vuestra vida digital tras fallecer –en el sentido de proteger vuestra privacidad y seguridad- y que haga la vida más fácil a aquellos a los que amáis después de que os hayáis ido.”

Y uno de los usuarios que comenta el post, ni corto ni perezoso, publica lo siguiente:

Lo que en español de a pie quiere decir: “Gracias chicos, es realmente muy confortable saber que mi mujer tendrá acceso a todos mis datos, que es lo peor que puede ocurrirme” .

Bueno, al menos, humor no nos falta. Pero señores de Google, mejor que hagamos las cosas bien en vida, porque tras la muerte, todo se banaliza y relativiza…

Yolanda Ruiz

En Semana Santa cuidemos nuestra privacidad

Puede parecer un tópico que se repite cada vez que hay un periodo de vacaciones, como el que muchos estamos a punto de comenzar o algunos ya se encuentran disfrutando desde hace días. Desde los medios de comunicación, agentes de la Policía o de la Guardia Civil, no se cansan de recordarnos la importancia de no mencionar en las redes sociales que nos vamos de vacaciones y vamos a estar ausentes en nuestro domicilio para así evitar robos mientras nuestra vivienda se encuentre vacía.

El mensaje es claro y la idea es buena, pero, admitámoslo, a todos nos gusta publicar los sitios en los que vamos a pasar unos merecidos días de descanso. Es más, una de las principales finalidades por las cuales la gente se crea un perfil en una red social es compartir las experiencias vividas con sus amigos y la inmediatez con la que se comparten también influye. Sí, podemos esperar a volver de vacaciones para subir todas las fotos que hemos tomado, pero entonces perdería ese “encanto” de ir actualizando nuestro estado casi en tiempo real para mostrar a nuestras amistades lo bien que lo estamos pasando.

Entonces, si asumimos que estas recomendaciones típicas de no publicar a dónde y cuándo vamos a irnos de vacaciones van a caer en saco roto la mayoría de las veces, ¿qué otros consejos se pueden ofrecer para evitar que nuestro domicilio reciba la visita de los amantes de lo ajeno? La respuesta es más sencilla de lo que muchos creen y todo pasa por aplicar una política de privacidad efectiva en las redes sociales a las que estemos subscritos.

Para empezar, si solo agregamos a amigos que conocemos en persona, ¿por qué publicamos la dirección de nuestra vivienda o nuestro número de móvil? ¿No se supone que nuestras amistades ya deberían conocer esos datos? En el caso de que tengamos agregados a conocidos más que amigos, sigue siendo innecesario que añadamos esos datos. Si quieren averiguar esos datos, será mucho mejor que nos los pregunten por correo electrónico y nosotros decidamos si queremos proporcionárselos a alguien fuera de nuestro círculo de confianza en lugar de hacerlos públicos en una red social.

Este tema, el de los “conocidos más que amigos” en las redes sociales es algo muy frecuente, sobre todo cuando se crea un nuevo perfil. Queremos tener cuantos más contactos mejor y muchas veces agregamos a personas que apenas conocemos solo por ver incrementado el contador de amigos. Algunos usuarios recapacitan a posteriori y, pasada la euforia inicial, hacen limpieza y se quedan solamente con los contactos más allegados, pero hay otros que siguen manteniendo contactos prácticamente desconocidos, con los que, probablemente, no sea buena idea compartir según qué información.

Una manera de organizar con quién compartimos la información que publicamos en las redes sociales es mediante la creación de grupos o círculos de amistades, de forma que nosotros decidamos qué publicación va a ser vista por según qué grupo o si queremos hacerla pública. No obstante, debemos vigilar a qué contacto metemos en cada grupo, ya que de nada servirá tener muchos grupos si luego vamos añadiendo a todos los contactos en uno solo.

Todo esto tiene una finalidad, y es evitar que miradas indiscretas obtengan información privada que pueda ser utilizada en nuestra contra para, por ejemplo, y en el caso que nos ocupa, entrar a robar en una vivienda que se sabe a ciencia cierta que está vacia porque sus propietarios han indicado que se encuentran de vacaciones. Hace unos años no era raro encontrar webs que indicaban qué viviendas se encontraban vacías y durante cuánto tiempo, o que permitían averiguar el domicilio de una persona a partir de información obtenida  de los perfiles de sus usuarios en redes sociales o de fotos subidas a estos.

Estas webs pretendían llamar la atención para evitar que la gente publicase alegremente información privada en Internet, pero no hace falta que existan este tipo de webs, puesto que los ladrones ya se encargan de buscar posibles casas vacías eligiendo a sus víctimas en redes sociales.

Con la publicación de las fotografías también hemos de tener especial cuidado, sobre todo desde que la mayoría de las realizadas desde dispositivos que permiten la geolocalización (móviles, tablets y algunas cámaras, principalmente) pueden aportar información adicional que quizás no es adecuado compartir. Datos como la fecha y el lugar donde se tomó una fotografía pueden poner en riesgo nuestra privacidad si no andamos con cuidado.

El simple hecho de compartir una imagen en Twitter o Facebook de nuestra casa puede desvelar su ubicación y echar por tierra todos los esfuerzos que hayamos realizado para cuidar nuestra privacidad y evitar desvelar nuestro lugar de residencia. Es por ello que se recomienda encarecidamente desactivar la geolocalización a la hora de tomar fotografías y publicarlas en redes sociales.

Si resumimos todo lo que hemos comentado hasta ahora, podremos condensarlo todo en un sencillo consejo: no proporcionemos más información de la necesaria. Esto se aplica a la información que publicamos en Facebook, Twitter, Tuenti, Google Plus o cualquier otra red social y a las fotografías que subamos a Internet. Si seguimos este sencillo consejo podremos disfrutar de unas merecidas vacaciones y además compartir esta experiencia con nuestras amistades en redes sociales sin riesgo.

Josep Albors

Privacidad y seguridad en Facebook: suma y sigue

Desde que Facebook dio a conocer su nuevo Timeline y lo puso en marcha, han sido numerosos los incidentes relativos a la privacidad que han visto la luz en los últimos meses. Y no es de extrañar, porque el nuevo diseño y el cambio en sus políticas de privacidad han provocado no solo que haya muchos usuarios que todavía siguen despistados sin saber muy bien cómo configurar correctamente sus publicaciones para que las vean solo los amigos elegidos, sino que también se han descubierto fallos que han dado lugar a una mayor confusión.

El pasado mes de septiembre, por ejemplo, te informábamos de que un fallo de diseño podría publicar en tu muro fragmentos de mensajes privados, y también te hablábamos del nuevo conflicto con las leyes de privacidad europeas al poner en marcha una nueva tecnología de reconocimiento facial que etiquetaba, de forma automática, a los usuarios reconocidos en las imágenes publicadas.

Una semana más tarde descubrimos que los usuarios podían publicar cualquier cosa en nuestro muro y después bloquearnos, de forma que nosotros ni veríamos el contenido ni podríamos eliminarlo. No era un bug ni un fallo de diseño, pero sí una funcionalidad de Facebook que pudiera dar lugar a más de un lío.

En octubre saltaba la noticia de la compra de Instagram por parte de Facebook y su más que polémica Política de Privacidad, que suponía que cualquier contenido publicado en la red pasaba automáticamente a ser de su propiedad y, por lo tanto, susceptible de ser utilizada con fines comerciales o publicitarios sin nuestro conocimiento ni consentimiento. Menos mal que rectificaron en poco tiempo.

La última problemática derivada de la seguridad de Facebook saltaba hace apenas un mes, cuando descubríamos que la popular red social tenía una vulnerabilidad que permitía tomar el control de cualquier cuenta y que, afortunadamente, había sido solventada.

Pero si alguno de vosotros piensa que gracias a la colaboración de investigadores, usuarios y empresas ahora estamos bien, nada más lejos de la realidad, porque cada día nos encontramos con una nueva sorpresa.

Un grupo de estudiantes de Austria que están librando su particular batalla contra Facebook para conseguir que hagan los adecuados cambios en su política de privacidad para adaptarla a las políticas europeas, ha anunciado que han descubierto un nuevo fallo en su Timeline, de forma que amigos de tus amigos pueden ver a qué eventos has asistido, aunque hayas configurado tu privacidad de forma que tus publicaciones solo puedan ser vistas por tus amigos directos.

A primera vista, puede parecer una tontería. Pero si eres de los que frecuentas muchas fiestas, tu jefe, por ejemplo, sin que tenga una relación de amistad directa contigo en Facebook, podría investigar a qué eventos has asistido aquel día que dijiste que estuviste malo, por solo poner un ejemplo. La única manera de eliminar esta información es ir uno a uno a cada evento y eliminar tu participación, tarea que puede ser muy ardua y tediosa si eres de los que utilizas muy frecuentemente esta opción.

Lo que sí tenemos que reconocer a este grupo es que está siendo sumamente efectivo, ya que el día 15 Facebook procedió a corregir el desaguisado… aunque no sabemos si de manera 100% efectiva.

Y justo antes de este último cambio, Facebook anunció “mejoras” en el diseño de tu muro, con el fin de facilitar el caos informativo que se forma entre actualizaciones de estado, noticias y publicidad. Cambios que, según han dicho, irán aplicando de forma gradual y que, entre otras cosas, cambia la forma en cómo accedemos a configurar nuestra privacidad. Estamos esperando a que se terminen de aplicar todos los cambios para ver en qué manera han mejorado (si lo han hecho) el acceso a algo tan importante para los usuarios como mantener nuestros datos tan privados como queramos.

Nos encantaría que fuera la última vez que os informamos sobre este tipo de problemáticas, pero mucho nos tememos que en cuanto llegue la nueva función del buscador a nuestros lares, Google Graph Search, nos encontraremos con variadas y nuevas problemáticas derivadas de la privacidad, ya que todavía no está muy claro hasta qué punto nuestras publicaciones más privadas se van a indexar y estarán a disposición de los usuarios que utilicen la nueva funcionalidad. Por no hablar sobre qué tipo de información personal y privada sobre gustos, aficiones o hábitos se estarán añadiendo a nuestro nombre de perfil y quedará grabado no solo internamente en la Red, sino a disposición de cualquiera que quiera utilizar dichos datos… con fines publicitarios u otros peores.

Seguiremos de cerca las novedades y os iremos informando.

Yolanda Ruiz

Más vale tarde: Apple empieza a utilizar HTTPS en su App Store

El cifrado de las comunicaciones es algo básico cuando hablamos de transacciones en servicios tan usados hoy en día como puedan ser las tiendas online. Entre estas tiendas online, destacamos las de aplicaciones que utilizan la mayoría de dispositivos móviles actuales. Es precisamente por la utilización de forma masiva de este tipo de tiendas de aplicaciones que no entendemos cómo la App Store de Apple ha estado tanto tiempo sin cifrar las comunicaciones de sus usuarios.

Fue curiosamente un investigador de Google, Elie Bursztein, el que avisó en julio de 2012 a Apple de este fallo de implementación al usar HTTP mientras los usuarios utilizan la App Store para realizar sus compras. Esto significaría que cualquiera que estuviese conectado a la misma red que el usuario podría ver los datos enviados a la tienda de Apple, ya que estos se transmitían en texto plano.

Obviamente, esto suponía un peligro, ya que los datos de la cuenta de iTunes (usuario y contraseña) estaban al alcance de cualquiera que se pusiera a espiar las comunicaciones en una Wi-Fi pública, por ejemplo. Además de este riesgo, existen otros quizás no tan conocidos pero que desde Hispasec se encargan de recordarnos.

Entre estos ataques se encuentra la posibilidad de cambiar la aplicación seleccionada del usuario por otra a la elección del atacante o generar una actualización falsa. Estos ataques tendrían como finalidad instalar una aplicación maliciosa que permitiría, entre otras cosas, que un atacante instalase una puerta trasera en nuestro dispositivo para acceder a él cuando lo desease.

Además, también se podría evitar que se instalase una aplicación sustituyendo su identificador por el de una aplicación ya instalada o mostrar las aplicaciones que se encuentran instaladas en el dispositivo para buscar agujeros de seguridad que aprovechar en ellas.

Por todo eso, Apple ha terminado por empezar a usar HTTPS, una medida que soluciona todos los problemas que hemos comentado anteriormente. Esta es una buena noticia para los millones de usuarios que compran aplicaciones en la App Store, entre otras cosas porque ellos no tendrán que cambiar nada en sus  dispositivos, pero sin olvidar que elegir una contraseña segura que solo utilicemos en ese servicio es también una medida importante de seguridad.

Josep Albors

Vulnerabilidad en el bloqueo de pantalla del Samsung Galaxy Note II

Los iPhone de Apple no son los únicos dispositivos con vulnerabilidades que permiten saltarse la pantalla de bloqueo y permitir ejecutar algunas aplicaciones o realizar llamadas. Recientemente se ha publicado una vulnerabilidad que permitiría hacer algo similar en un Samsung Galaxy Note II solamente con ser un poco habilidoso con los dedos.

El investigador que ha publicado esta vulnerabilidad ya avisa que solo se puede aprovechar de forma limitada y únicamente con aquellas aplicaciones presentes en la pantalla de inicio pero, al resultar tan fácil aprovechar este fallo (simplemente se ha de utilizar la opción de “llamada de emergencia”), son muchos los usuarios que pueden quedar con su información personal expuesta. Todo esto queda bien explicado en el siguiente vídeo:

Tal y como vemos, se ha de ser lo suficientemente rápido para pulsar sobre uno de los iconos presentes en la pantalla de inicio y el ataque queda limitado a las aplicaciones que el usuario tenga ubicadas en esa pantalla. No obstante, estas aplicaciones suelen ser las más usadas o importantes, por lo que, con un poco de maña, se podrían realizar llamadas, acceder a una red social suplantando al usuario o leer el correo electrónico aunque el dispositivo se encuentre bloqueado.

Obviamente, para que este tipo de ataques se puedan realizar con éxito se debe tener acceso físico al dispositivo, por lo que su alcance es limitado. Samsung ya está informada acerca de esta vulnerabilidad pero aún no se han tomado medidas para solucionarla.

Este tipo de fallos son bastante recurrentes en los dispositivos móviles y, a pesar de las continuas actualizaciones de firmware que los fabricantes les aplican, siguen apareciendo métodos para saltarse la protección del bloqueo de pantalla. Por si acaso, la mejor solución para evitar este tipo de ataques es tener controlados siempre nuestros móviles para evitar que caigan en manos inadecuadas.

Josep Albors

Artículos Anteriores »