• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (69)
  • adware (5)
  • Android (20)
  • Anuncios (42)
  • Apple (32)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (59)
  • Cálico Electrónico (48)
  • certificados (4)
  • Cibercrimen (3)
  • Clickjacking (10)
  • Curiosidades (54)
  • Cyberwar (22)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (118)
  • email (11)
  • entrevista (7)
  • Espionaje (45)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (101)
  • Facebook (57)
  • Filtraciones (74)
  • General (153)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (30)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (24)
  • Malware (290)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (8)
  • Privacidad (78)
  • Productos (42)
  • ransomware (11)
  • redes sociales (111)
  • rogue (26)
  • rootkit (2)
  • Scada (8)
  • Scam (26)
  • scareware (3)
  • seguridad (126)
  • sorteos (4)
  • Spam (147)
  • spyware (6)
  • telefonía (57)
  • timos (10)
  • Troyanos (37)
  • Tutoriales (23)
  • Twitter (10)
  • Unix (5)
  • Vulnerabilidades (289)

• Archivos

  • junio 2013 (19)
  • mayo 2013 (23)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Del ciberacoso a menores y los delitos en la Red: todo se investiga y se rastrea

Como muchos de vosotros sabéis, durante los últimos meses tanto mi compañero Josep Albors como Fernando de la Cuadra y servidora estamos participando en diferentes iniciativas de formación para adolescentes, padres y profesores en un uso saludable de las nuevas tecnologías. Los chavales, nativos digitales, han nacido con un ordenador debajo del brazo, y el smartphone es su mejor compañero. A esta generación, como podéis imaginar, no puedes empezar por contarles qué es un virus…, para empezar, porque ya lo saben, pero también porque ese problema para este colectivo se queda realmente corto.

Hoy en día las principales preocupaciones de padres y profesores se centran en otros asuntos mucho más graves, que no dependen de la tecnología en sí, sino del uso que los adolescentes hacen de ella: el ciberacoso y la privacidad. Lamentablemente, cada vez son más las noticias que podemos ver en los telediarios sobre casos de distribución de material sensible relativo a los menores por parte de otros compañeros de clase, que quizá de forma inocente lo hacen como un juego, o de mayores que actúan bajo una falsa sensación de irresponsabilidad.

Un juego que muchas veces puede convertirse en más que peligroso si miramos a Estados Unidos o a Canadá, donde tenemos que lamentar algunos suicidios por este motivo. Y Estados Unidos nos lleva una delantera tecnológica de unos cinco años…, así que ojalá no sea este nuestro futuro, pero el camino lo llevamos. Solo tenemos que leer, con los pelos de punta, casos como el de Amanda Todd en Canadá, Tyler Clementi en Nueva Jersey, Megan Taylor de Misuri, Jamey Rodemeyer de Buffalo (Nueva York) y Ryan Patrick de Nueva York. Excepto en un par de casos, en el resto fueron los propios compañeros de clase los que llevaron a cabo el ciberacoso.

El acoso escolar no es un problema nuevo, ni mucho menos. Lo hemos sufrido muchos de nosotros cuando éramos pequeños, y muchas veces con una charla de los padres en el centro se arreglaba, o con cambiarse de colegio. Pero ahora, las nuevas tecnologías posibilitan que el problema continúe, incluso aunque la familia se mude de ciudad, como hemos podido ver en muchos de los casos anteriormente mencionados.

Y en el caso de las nuevas tecnologías el drama es doble: por un lado, para el o la acosada y su familia, que en muchas ocasiones puede tener un final trágico; y por otro lado, para el acosador o los acosadores, porque todo delito deja su rastro en la Red.

En una de las mesas redondas en las que estuve y que tuve el placer de compartir con la Policía Nacional y con un despacho de abogados especializados en delitos telemáticos, la mayoría de las preguntas de los chavales (preguntas todas de chicos, por cierto) se referían a si las autoridades eran capaces o no de seguir el rastro de alguien en la Red, o de averiguar el origen de una foto publicada o de un vídeo, o de saber si una dirección de email falsa podía asociarse de alguna manera a su autor…

Sinceramente, las preguntas me sorprendieron mucho. La mesa redonda era en una Universidad, con un auditorio lleno de chavales con edades comprendidas entre los 18 y los 23 años (no tan adolescentes ya). Y me sorprendieron por la simple razón de que estaban más preocupados en saber qué se investigaba y cómo que en el daño personal o a la privacidad que pudieran estar cometiendo. No digo que estos chavales hubieran hecho algo…, pero desde luego, era mucha casualidad que todos preguntaran en la misma dirección.

Y es que en materia de investigación, hoy en día tienen mucha fuerza las pruebas periciales telemáticas, y tanto o más peso que las pruebas físicas de un delito. Todavía recuerdo algunas sentencias de hace unos cuantos años en las que no se admitían a trámite como prueba los emails, por ejemplo, y ahora solo tenemos que seguir un poco el caso Urdangarín y los correos de Diego Torres para darnos cuenta de cómo ha cambiado la Justicia. Y no es el único caso…

El 81% de los abogados matrimoniales en Estados Unidos busca pruebas para los juicios de divorcio en las redes sociales. Se acaba de publicar: según la Academia Americana de Abogados Matrimonialistas, el 81 por ciento de sus miembros acuden a Facebook y a otras redes sociales a buscar evidencias para sus casos de divorcio y las utilizan en los juicios, sobre todo en aquellos donde se pretende probar una infidelidad para favorecer a una o a otra parte. Porque, según el mismo estudio, uno de cada cinco adultos utilizan las redes sociales para flirtear, o dejan evidencias de temas controvertidos, relaciones con las drogas u otros asuntos que pueden ser utilizados en un juicio.

Estos días, todos los que hemos seguido los atentados de Boston, hemos visto cómo la policía ha sido capaz de trazar un perfil de los dos responsables a través de lo que habían dicho en sus redes sociales, por no recordar el caso de la matanza de Suecia, donde el responsable casi dejó un tratado escrito a través de su blog. De forma consciente o no, todos nosotros dejamos muchas evidencias de nosotros mismos, de nuestros sentimientos, intenciones y decisiones a través de las redes sociales. Datos que en caso de problema, puede ser perfectamente recopilados, analizados y utilizados como pruebas de delito.

Siempre digo que nuestro sistema educativo cojea de muchas cosas, pero una muy evidente es la falta de formación y de concienciación sobre el comportamiento humano y el daño que podemos llegar a hacer a terceras personas, la mayoría de las veces sin motivo ni razón. No nos enseñan a gestionar nuestras emociones y sentimientos ni a controlar nuestros impulsos, y eso nos lleva a que muchas veces seamos el origen o partes activas de campañas personales contra alguien que quizá no sepa cómo defenderse, o a quién acudir, o cómo hacer frente a tanto odio. Ahora, las nuevas tecnologías propician, bajo la falsa sensación de anonimato, que estas acciones se amplifiquen, permanezcan en el tiempo y hagan todavía más daño.

El otro día, tras la charla en un instituto de un compañero sobre estos asuntos, una chica se echó a llorar y confesó a su profesora que estaba siendo acosada, y que no había dicho nada porque tenía miedo y porque no sabía a quién acudir. Ahora el caso está en manos de las autoridades, que cumplirán diligentemente con su trabajo, y que probablemente darán con los instigadores del acoso. Y si con esta charla hemos evitado que esta chica tenga un final más dramático, habremos dado por bien empleado nuestro tiempo y esfuerzo.

Porque, en definitivas cuentas, es nuestra responsabilidad y la de nuestra sociedad: proteger a nuestros menores y enseñarles que la broma que gastábamos en el patio hace 40 años y a la que nadie le daba importancia, hoy es un delito, y que a través de la Red, todo se amplifica y hace más daño, pero también se sigue, se investiga y se descubre.

Yolanda Ruiz Hervás

¿Quieres borrar tus datos de la Red? Pues para Google, primero tendrás que morirte…

Sí, ya sé que suena un poco radical, pero es que lo es. Veamos… Pongámonos en el caso de que cualquiera de nosotros encuentra cualquier tipo de contenido que no queremos que esté en la Red. Nuestra primera intención será acudir a Google para intentar contactar con alguien “humano”, pero desde ya te digo que nos va a resultar bastante complicado, porque no suele haber un teléfono o un email de soporte publicado por ningún lado, más bien al contrario: formularios y solicitudes que nunca sabes si se reciben, quién las lee, etc.

Durante muchas conversaciones con la Policía Nacional y con abogados especializados en Internet, me han comentado que es muy complicado conseguir que un contenido sea eliminado. Hace poco coincidí con una persona especializada en Derecho de Internet y me comentó que estaba a punto de celebrarse un juicio en Europa porque alguien con una intención nada buena había publicado que su cliente tenía el virus del VIH, lo que le había perjudicado profesionalmente.

Habían acudido tanto al responsable de la publicación en cuestión como a Google, y no habían conseguido nada. Así que los trámites legales les había llevado hasta el Tribunal de Derechos Humanos… Espero sinceramente que lo ganen, porque todos tenemos derecho a nuestra privacidad y a nuestra intimidad.

Porque claro, independientemente de Google, tenemos que tener en cuenta que este no es más que un agregador y clasificador de información. Lo que se conoce como un buscador, sin más ni menos. El contenido que elimina Google está alojado en alguna parte, y el hecho de que no aparezca en los resultados de búsqueda, no quiere decir que se haya borrado para siempre, porque sigue estando en la web que originalmente lo ha publicado.

Seguro que conoces algún caso en el que la eliminación de contenido no adecuado se convierte en una auténtica pesadilla. Para empezar, porque primero tienes que contactar con el administrador de la página en cuestión que contiene la publicación, labor bastante complicada habitualmente.

Si consigues contactar, tienes que pedirle amablemente que elimine el contenido, y ahí ya dependes de que también amablemente quiera hacerlo, porque muchas veces los límites de la libertad de expresión y de información se topa de bruces con el derecho al honor, a la intimidad y a la privacidad. Claro está que si el individuo en cuestión lo ha hecho para perjudicarte, no lo va a eliminar.

Si consigues que lo elimine, entonces el tema se facilita, porque para Google, ese link indexado pasa a ser un hipervínculo huérfano, y por lo tanto, da un fallo. Si lo reportas a través de la herramienta de Google para Webmasters, en un plazo no superior a las 48 horas, tanto el link como la copia en caché de ese contenido desaparece. Pero lamento comunicarte que esto solo sucede en el 1 % de las ocasiones.

Si no has conseguido contactar con el administrador, entonces puedes acudir a las herramientas de Google directamente. Contempla dos supuestos diferentes: el primero, que consideres que dicha información está vulnerando alguna ley aplicable, quedando la decisión en manos de Google. Sobra decirte que si no es con un mandato judicial, es bastante complicado que se elimine nada. Al menos, yo no conozco ningún caso, más bien al contrario, conozco casos de muchas negativas.

El segundo supuesto es que haya información confidencial tuya indexada en Google, por lo que nos topamos de nuevo con Google, al que tenemos que dejar decidir qué es información confidencial y qué no lo es. Porque… que alguien tenga el VIH, ¿no crees que es información muy confidencial?

Pues bien, mira tú por dónde, me topo con esta noticia: Google va a facilitar herramientas a los usuarios para que, a su muerte, dejen una especie de testamento digital en el que manifiesten si quieren que su información sea borrada tras el deceso o sus cuentas transferidas a algún familiar o amigo para que las administre, suspenda o haga lo que quiera con ellas.

Paradójico, ¿no? Es decir, que si en el ejemplo anterior este señor finalmente fallece (¡ojalá que no!) se hubiera ahorrado años de litigio y gastos de abogados y tribunales, porque simple y llanamente podría elegir que se borrara toda su información y asunto solucionado. Eso sí, demasiado tarde quizá…

La herramienta la han llamado “Administrador de cuentas inactivas” y se encuentra en el administrador de tu perfil general para los productos de Google. Evidentemente, en esta herramienta no hablan de forma específica del deceso del usuario, pero sí destapan su verdadero objetivo en su blog de privacidad de UK.

Eso sí, nos ha encantado tanto el último párrafo del post como el último comentario que un usuario ha publicado:

Donde Andreas Tuerk, Product Manager de Google, el autor del artículo, afirma “Esperamos que esta nueva funcionalidad os permita planificar vuestra vida digital tras fallecer –en el sentido de proteger vuestra privacidad y seguridad- y que haga la vida más fácil a aquellos a los que amáis después de que os hayáis ido.”

Y uno de los usuarios que comenta el post, ni corto ni perezoso, publica lo siguiente:

Lo que en español de a pie quiere decir: “Gracias chicos, es realmente muy confortable saber que mi mujer tendrá acceso a todos mis datos, que es lo peor que puede ocurrirme” .

Bueno, al menos, humor no nos falta. Pero señores de Google, mejor que hagamos las cosas bien en vida, porque tras la muerte, todo se banaliza y relativiza…

Yolanda Ruiz

En Semana Santa cuidemos nuestra privacidad

Puede parecer un tópico que se repite cada vez que hay un periodo de vacaciones, como el que muchos estamos a punto de comenzar o algunos ya se encuentran disfrutando desde hace días. Desde los medios de comunicación, agentes de la Policía o de la Guardia Civil, no se cansan de recordarnos la importancia de no mencionar en las redes sociales que nos vamos de vacaciones y vamos a estar ausentes en nuestro domicilio para así evitar robos mientras nuestra vivienda se encuentre vacía.

El mensaje es claro y la idea es buena, pero, admitámoslo, a todos nos gusta publicar los sitios en los que vamos a pasar unos merecidos días de descanso. Es más, una de las principales finalidades por las cuales la gente se crea un perfil en una red social es compartir las experiencias vividas con sus amigos y la inmediatez con la que se comparten también influye. Sí, podemos esperar a volver de vacaciones para subir todas las fotos que hemos tomado, pero entonces perdería ese “encanto” de ir actualizando nuestro estado casi en tiempo real para mostrar a nuestras amistades lo bien que lo estamos pasando.

Entonces, si asumimos que estas recomendaciones típicas de no publicar a dónde y cuándo vamos a irnos de vacaciones van a caer en saco roto la mayoría de las veces, ¿qué otros consejos se pueden ofrecer para evitar que nuestro domicilio reciba la visita de los amantes de lo ajeno? La respuesta es más sencilla de lo que muchos creen y todo pasa por aplicar una política de privacidad efectiva en las redes sociales a las que estemos subscritos.

Para empezar, si solo agregamos a amigos que conocemos en persona, ¿por qué publicamos la dirección de nuestra vivienda o nuestro número de móvil? ¿No se supone que nuestras amistades ya deberían conocer esos datos? En el caso de que tengamos agregados a conocidos más que amigos, sigue siendo innecesario que añadamos esos datos. Si quieren averiguar esos datos, será mucho mejor que nos los pregunten por correo electrónico y nosotros decidamos si queremos proporcionárselos a alguien fuera de nuestro círculo de confianza en lugar de hacerlos públicos en una red social.

Este tema, el de los “conocidos más que amigos” en las redes sociales es algo muy frecuente, sobre todo cuando se crea un nuevo perfil. Queremos tener cuantos más contactos mejor y muchas veces agregamos a personas que apenas conocemos solo por ver incrementado el contador de amigos. Algunos usuarios recapacitan a posteriori y, pasada la euforia inicial, hacen limpieza y se quedan solamente con los contactos más allegados, pero hay otros que siguen manteniendo contactos prácticamente desconocidos, con los que, probablemente, no sea buena idea compartir según qué información.

Una manera de organizar con quién compartimos la información que publicamos en las redes sociales es mediante la creación de grupos o círculos de amistades, de forma que nosotros decidamos qué publicación va a ser vista por según qué grupo o si queremos hacerla pública. No obstante, debemos vigilar a qué contacto metemos en cada grupo, ya que de nada servirá tener muchos grupos si luego vamos añadiendo a todos los contactos en uno solo.

Todo esto tiene una finalidad, y es evitar que miradas indiscretas obtengan información privada que pueda ser utilizada en nuestra contra para, por ejemplo, y en el caso que nos ocupa, entrar a robar en una vivienda que se sabe a ciencia cierta que está vacia porque sus propietarios han indicado que se encuentran de vacaciones. Hace unos años no era raro encontrar webs que indicaban qué viviendas se encontraban vacías y durante cuánto tiempo, o que permitían averiguar el domicilio de una persona a partir de información obtenida  de los perfiles de sus usuarios en redes sociales o de fotos subidas a estos.

Estas webs pretendían llamar la atención para evitar que la gente publicase alegremente información privada en Internet, pero no hace falta que existan este tipo de webs, puesto que los ladrones ya se encargan de buscar posibles casas vacías eligiendo a sus víctimas en redes sociales.

Con la publicación de las fotografías también hemos de tener especial cuidado, sobre todo desde que la mayoría de las realizadas desde dispositivos que permiten la geolocalización (móviles, tablets y algunas cámaras, principalmente) pueden aportar información adicional que quizás no es adecuado compartir. Datos como la fecha y el lugar donde se tomó una fotografía pueden poner en riesgo nuestra privacidad si no andamos con cuidado.

El simple hecho de compartir una imagen en Twitter o Facebook de nuestra casa puede desvelar su ubicación y echar por tierra todos los esfuerzos que hayamos realizado para cuidar nuestra privacidad y evitar desvelar nuestro lugar de residencia. Es por ello que se recomienda encarecidamente desactivar la geolocalización a la hora de tomar fotografías y publicarlas en redes sociales.

Si resumimos todo lo que hemos comentado hasta ahora, podremos condensarlo todo en un sencillo consejo: no proporcionemos más información de la necesaria. Esto se aplica a la información que publicamos en Facebook, Twitter, Tuenti, Google Plus o cualquier otra red social y a las fotografías que subamos a Internet. Si seguimos este sencillo consejo podremos disfrutar de unas merecidas vacaciones y además compartir esta experiencia con nuestras amistades en redes sociales sin riesgo.

Josep Albors

Privacidad y seguridad en Facebook: suma y sigue

Desde que Facebook dio a conocer su nuevo Timeline y lo puso en marcha, han sido numerosos los incidentes relativos a la privacidad que han visto la luz en los últimos meses. Y no es de extrañar, porque el nuevo diseño y el cambio en sus políticas de privacidad han provocado no solo que haya muchos usuarios que todavía siguen despistados sin saber muy bien cómo configurar correctamente sus publicaciones para que las vean solo los amigos elegidos, sino que también se han descubierto fallos que han dado lugar a una mayor confusión.

El pasado mes de septiembre, por ejemplo, te informábamos de que un fallo de diseño podría publicar en tu muro fragmentos de mensajes privados, y también te hablábamos del nuevo conflicto con las leyes de privacidad europeas al poner en marcha una nueva tecnología de reconocimiento facial que etiquetaba, de forma automática, a los usuarios reconocidos en las imágenes publicadas.

Una semana más tarde descubrimos que los usuarios podían publicar cualquier cosa en nuestro muro y después bloquearnos, de forma que nosotros ni veríamos el contenido ni podríamos eliminarlo. No era un bug ni un fallo de diseño, pero sí una funcionalidad de Facebook que pudiera dar lugar a más de un lío.

En octubre saltaba la noticia de la compra de Instagram por parte de Facebook y su más que polémica Política de Privacidad, que suponía que cualquier contenido publicado en la red pasaba automáticamente a ser de su propiedad y, por lo tanto, susceptible de ser utilizada con fines comerciales o publicitarios sin nuestro conocimiento ni consentimiento. Menos mal que rectificaron en poco tiempo.

La última problemática derivada de la seguridad de Facebook saltaba hace apenas un mes, cuando descubríamos que la popular red social tenía una vulnerabilidad que permitía tomar el control de cualquier cuenta y que, afortunadamente, había sido solventada.

Pero si alguno de vosotros piensa que gracias a la colaboración de investigadores, usuarios y empresas ahora estamos bien, nada más lejos de la realidad, porque cada día nos encontramos con una nueva sorpresa.

Un grupo de estudiantes de Austria que están librando su particular batalla contra Facebook para conseguir que hagan los adecuados cambios en su política de privacidad para adaptarla a las políticas europeas, ha anunciado que han descubierto un nuevo fallo en su Timeline, de forma que amigos de tus amigos pueden ver a qué eventos has asistido, aunque hayas configurado tu privacidad de forma que tus publicaciones solo puedan ser vistas por tus amigos directos.

A primera vista, puede parecer una tontería. Pero si eres de los que frecuentas muchas fiestas, tu jefe, por ejemplo, sin que tenga una relación de amistad directa contigo en Facebook, podría investigar a qué eventos has asistido aquel día que dijiste que estuviste malo, por solo poner un ejemplo. La única manera de eliminar esta información es ir uno a uno a cada evento y eliminar tu participación, tarea que puede ser muy ardua y tediosa si eres de los que utilizas muy frecuentemente esta opción.

Lo que sí tenemos que reconocer a este grupo es que está siendo sumamente efectivo, ya que el día 15 Facebook procedió a corregir el desaguisado… aunque no sabemos si de manera 100% efectiva.

Y justo antes de este último cambio, Facebook anunció “mejoras” en el diseño de tu muro, con el fin de facilitar el caos informativo que se forma entre actualizaciones de estado, noticias y publicidad. Cambios que, según han dicho, irán aplicando de forma gradual y que, entre otras cosas, cambia la forma en cómo accedemos a configurar nuestra privacidad. Estamos esperando a que se terminen de aplicar todos los cambios para ver en qué manera han mejorado (si lo han hecho) el acceso a algo tan importante para los usuarios como mantener nuestros datos tan privados como queramos.

Nos encantaría que fuera la última vez que os informamos sobre este tipo de problemáticas, pero mucho nos tememos que en cuanto llegue la nueva función del buscador a nuestros lares, Google Graph Search, nos encontraremos con variadas y nuevas problemáticas derivadas de la privacidad, ya que todavía no está muy claro hasta qué punto nuestras publicaciones más privadas se van a indexar y estarán a disposición de los usuarios que utilicen la nueva funcionalidad. Por no hablar sobre qué tipo de información personal y privada sobre gustos, aficiones o hábitos se estarán añadiendo a nuestro nombre de perfil y quedará grabado no solo internamente en la Red, sino a disposición de cualquiera que quiera utilizar dichos datos… con fines publicitarios u otros peores.

Seguiremos de cerca las novedades y os iremos informando.

Yolanda Ruiz

Más vale tarde: Apple empieza a utilizar HTTPS en su App Store

El cifrado de las comunicaciones es algo básico cuando hablamos de transacciones en servicios tan usados hoy en día como puedan ser las tiendas online. Entre estas tiendas online, destacamos las de aplicaciones que utilizan la mayoría de dispositivos móviles actuales. Es precisamente por la utilización de forma masiva de este tipo de tiendas de aplicaciones que no entendemos cómo la App Store de Apple ha estado tanto tiempo sin cifrar las comunicaciones de sus usuarios.

Fue curiosamente un investigador de Google, Elie Bursztein, el que avisó en julio de 2012 a Apple de este fallo de implementación al usar HTTP mientras los usuarios utilizan la App Store para realizar sus compras. Esto significaría que cualquiera que estuviese conectado a la misma red que el usuario podría ver los datos enviados a la tienda de Apple, ya que estos se transmitían en texto plano.

Obviamente, esto suponía un peligro, ya que los datos de la cuenta de iTunes (usuario y contraseña) estaban al alcance de cualquiera que se pusiera a espiar las comunicaciones en una Wi-Fi pública, por ejemplo. Además de este riesgo, existen otros quizás no tan conocidos pero que desde Hispasec se encargan de recordarnos.

Entre estos ataques se encuentra la posibilidad de cambiar la aplicación seleccionada del usuario por otra a la elección del atacante o generar una actualización falsa. Estos ataques tendrían como finalidad instalar una aplicación maliciosa que permitiría, entre otras cosas, que un atacante instalase una puerta trasera en nuestro dispositivo para acceder a él cuando lo desease.

Además, también se podría evitar que se instalase una aplicación sustituyendo su identificador por el de una aplicación ya instalada o mostrar las aplicaciones que se encuentran instaladas en el dispositivo para buscar agujeros de seguridad que aprovechar en ellas.

Por todo eso, Apple ha terminado por empezar a usar HTTPS, una medida que soluciona todos los problemas que hemos comentado anteriormente. Esta es una buena noticia para los millones de usuarios que compran aplicaciones en la App Store, entre otras cosas porque ellos no tendrán que cambiar nada en sus  dispositivos, pero sin olvidar que elegir una contraseña segura que solo utilicemos en ese servicio es también una medida importante de seguridad.

Josep Albors

Vulnerabilidad en el bloqueo de pantalla del Samsung Galaxy Note II

Los iPhone de Apple no son los únicos dispositivos con vulnerabilidades que permiten saltarse la pantalla de bloqueo y permitir ejecutar algunas aplicaciones o realizar llamadas. Recientemente se ha publicado una vulnerabilidad que permitiría hacer algo similar en un Samsung Galaxy Note II solamente con ser un poco habilidoso con los dedos.

El investigador que ha publicado esta vulnerabilidad ya avisa que solo se puede aprovechar de forma limitada y únicamente con aquellas aplicaciones presentes en la pantalla de inicio pero, al resultar tan fácil aprovechar este fallo (simplemente se ha de utilizar la opción de “llamada de emergencia”), son muchos los usuarios que pueden quedar con su información personal expuesta. Todo esto queda bien explicado en el siguiente vídeo:

Tal y como vemos, se ha de ser lo suficientemente rápido para pulsar sobre uno de los iconos presentes en la pantalla de inicio y el ataque queda limitado a las aplicaciones que el usuario tenga ubicadas en esa pantalla. No obstante, estas aplicaciones suelen ser las más usadas o importantes, por lo que, con un poco de maña, se podrían realizar llamadas, acceder a una red social suplantando al usuario o leer el correo electrónico aunque el dispositivo se encuentre bloqueado.

Obviamente, para que este tipo de ataques se puedan realizar con éxito se debe tener acceso físico al dispositivo, por lo que su alcance es limitado. Samsung ya está informada acerca de esta vulnerabilidad pero aún no se han tomado medidas para solucionarla.

Este tipo de fallos son bastante recurrentes en los dispositivos móviles y, a pesar de las continuas actualizaciones de firmware que los fabricantes les aplican, siguen apareciendo métodos para saltarse la protección del bloqueo de pantalla. Por si acaso, la mejor solución para evitar este tipo de ataques es tener controlados siempre nuestros móviles para evitar que caigan en manos inadecuadas.

Josep Albors

Evernote cambia la contraseña de 50 millones de usuarios tras ver comprometida su seguridad

El conocido servicio de archivo de notas en la nube, Evernote, informó el pasado fin de semana a sus más de 50 millones de usuarios de haber sufrido una intrusión no autorizada en sus sistemas. Según la empresa, los atacantes consiguieron obtener datos como el nombre de usuario, el email asociado a su cuenta y una copia de las contraseñas cifradas.

Por suerte, aparentemente no se obtuvieron datos como los de las tarjetas de crédito de los usuarios ni se obtuvo acceso a las notas almacenadas en el servicio. Esto, unido a que las contraseñas obtenidas se encontraban cifradas, hace que los atacantes solo hayan obtenido datos de menor relevancia pero que igualmente pueden ser usados con malas intenciones.

Los atacantes pueden usar estos datos, por ejemplo, para preparar campañas de envío masivo de correos electrónicos, haciéndose pasar por la propia Evernote y dirigirlos a sitios web maliciosos.

De hecho, el correo enviado por Evernote a los usuarios podría pasar perfectamente por un caso de phishing si no fuera porque los datos de la cabecera del mensaje son los correctos. Veamos un ejemplo:

No es solo por el lenguaje usado, o por las faltas de ortografía  presentes en todo el texto. Lo más paradójico de este correo es que se nos proporciona un enlace para reestablecer nuestra contraseña al servicio cuando, unas líneas más tarde, se nos avisa de lo siguiente:

“Nunca haga clic en correos electrónicos que piden que cambie o reajuste su contraseña – En ves, diríjase directamente al sitio”.

Una recomendación de seguridad muy acertada pero que ellos mismos no aplican en ese mensaje.

Si somos usuarios de este servicio debemos tomar precauciones y cambiar lo antes posible nuestra contraseña. Obviamente, debemos generar una contraseña robusta y que no repitamos en ningún otro servicio, para evitar males mayores en caso de que uno de estos servicios se vea comprometido.

Josep Albors

Facebook soluciona una vulnerabilidad que permitía tomar el control de cualquier cuenta

De nuevo estamos ante un fallo de seguridad en Facebook que podría hacer que un atacante tomase el control de cualquier cuenta. Hace unos meses vimos cómo, aprovechándonos de un error en el procedimiento de restablecimiento de contraseñas, se podía cambiar la contraseña de cualquier usuario de Facebook sin conocer la anterior, lo que en la práctica llevaría  a acceder a cualquier cuenta.

En esta ocasión, el procedimiento para acceder a cualquier cuenta de esta red social era un poco más elaborado, pero igualmente exitoso. Antes que nada hay que resaltarque esta vulnerabilidad ya se encuentra solucionada gracias a que el investigador Nir Goldshlager, quien la descubrió, avisó a los desarrolladores de Facebook para que tomaran las medidas pertinentes, algo que le honra.

Con respecto al fallo en sí, este se resume en la obtención de los tokens de acceso de los usuarios cuando estos acceden a una web (usando cualquier navegador), sin necesidad de que las víctimas tengan instalada ninguna aplicación en concreto. Al conseguir estos tokens, el atacante podría acceder sin restricciones a las cuentas comprometidas hasta que la víctima cambie su contraseña.

Según ha publicado este investigador en su web, OAuth se usa en Facebook para realizar comunicaciones entre las aplicaciones y los usuarios. Normalmente, los usuarios deben permitir/aceptar la petición de la aplicación para acceder a su cuenta antes de que esta comunicación se realice. Hemos de tener en cuenta que cada aplicación de Facebook puede pedir permisos diferentes.

De esta forma podemos encontrar aplicaciones como Diamond Dash o Texas Hold’em Poker, que solo tienen permisos para acceder a nuestra información básica o publicar en nuestro muro. Este investigador encontró una forma de obtener permisos completos (leer nuestros mensajes, gestionar nuestras páginas, añadir fotos privadas, vídeos, etc.) en la cuenta de la víctima sin que este tenga ninguna aplicación instalada.

Si analizamos una dirección URL de una comunicación OAuth vemos que tiene este aspecto.

https://www.facebook.com/dialog/oauth/?app_id=YOUR_APP_ID&next=YOUR_REDIRECT_URL&state=YOUR_STATE_VALUE &scope=COMMA_SEPARATED_LIST_OF_PERMISSION_NAMES

Observamos varios campos en los que se ha de incluir un valor. El campo APP_ID representa el identificador de la aplicación, siendo este un identificador único para cada una de ellas. Por ejemplo, para la aplicación Diamond Dash el app_id=2 y para Texas Hold’em Poker sería el app_id=3.

El siguiente parámetro NEXT=REDIRECT_URL solo acepta el dominio del propietario de la aplicación. De esta forma, para la aplicación Texas Hold’em Poker solo valdría el dominio zynga.com como válido (p.ej. next=http://zynga.com). Si el dominio no se corresponde en ese parámetro, Facebook bloqueará esa acción tal y como vemos a continuación.

Facebook realiza una comprobación entre el parámetro app_id y el parámetro next, enviando también un token de acceso usando una petición GET al propietario de la aplicación una vez que el usuario ya le ha concedido permiso.

A partir de esta información, el investigador se dedicó a intentar cambiar el parámetro que se había de incluir en el parámetro next a un dominio de su elección sin que Facebook bloqueara esta acción. De esta manera averiguó que, usando un subdominio como xxx.facebook.com, la acción se le aceptaba como válida.

No obstante, si se intenta acceder a alguna carpeta o fichero en este tipo de subdominio x.facebook.com (x.facebook.com/xx/x.php), Facebook lo bloqueaba. Fue entonces cuando se dio cuenta de que facebook.com usa una almohadilla (#) y un símbolo de exclamación en su dirección URL de la siguiente forma: x.facebook.com/#!/xxxx.

Tras varias pruebas, el investigador comprobó cómo Facebook no consideraba como válido esta dirección dentro del parámetro next (next=x.facebook.com/%23!/). No obstante, si introducía algo entre la almohadilla y el símbolo de exclamación (%23x!), Facebook no lo bloqueaba.

A pesar de esto, si introducimos una dirección del tipo https://beta.facebook.com/#xxx!/messages/ esta acción no se trata de la misma forma que si incluimos los símbolos #! y no nos redirigirá a la pantalla de mensajes. A partir de aquí el investigador empezó a probar diferentes combinaciones de caracteres hasta que descubrió un par que funcionaba en todos los navegadores:
%23~!

%23%09!

Este truco servía para subdominios de Facebook como pudieran ser touch.facebook.com/#%09!/,m.facebook.com/#~!/ o cualquier otro dominio de Facebook mobile o Touch). De esta forma se podría redirigir a un usuario a  cualquier archivo o directorio existente en un subdominio de Facebook. En este punto, el investigador creó una aplicación de Facebook que redirigiera a un usuario a una web externa, acción que le permitiría obtener el token de acceso del usuario.

De esta forma se puede redirigir al usuario a una aplicación maliciosa que, a su vez, redirige a un enlace externo donde se captura y se almacena el token de acceso de la víctima. Por defecto, las aplicaciones solo cuentan con una serie de permisos básicos pero se pueden cambiar y añadir que soliciten nuevos permisos, aunque este método tiene sus limitaciones, ya que se requiere que el usuario acepte todos los permisos.

Esto no parecía lo suficientemente poderoso para este investigador, por lo que intentó conseguir permisos totales (lectura de los mensajes, envío de mensajes, gestión de páginas, acceso a fotos y vídeos privados, etc.) en la cuenta de la víctima sin tener que instalar ninguna aplicación.

De ahí surgió la idea de utilizar un identificador de aplicación diferente al que viene asociado por defecto, por ejemplo el de Facebook Messenger. La pregunta es, ¿necesita un usuario aceptar como aplicación permitida a Facebook Messenger en su cuenta de Facebook? La respuesta es que no.

Esto es debido a que existen aplicaciones incluidas en Facebook que no requieren de los permisos de los usuarios, contando estas aplicaciones con un control total de nuestra cuenta.

Gracias al análisis de este investigador y al haber informado a los responsables de la seguridad de Facebook, este fallo ya se encuentra solucionado. Es importante destacar la labor desinteresada buscando vulnerabilidades que realizan muchos investigadores y agradecer su esfuerzo en hacer de nuestros sistemas e Internet un lugar más seguro.

Josep Albors

Información privada de miembros de la Academia de Cine filtrada por hacktivistas

Anoche se celebró la entrega de los premios Goya del cine español y, como viene siendo costumbre durante los últimos años, los hacktivistas volvieron a ser protagonistas al hacer públicos datos de los miembros de la Academia de Cine.

Mediante un tweet publicado por miembros de LulzEs se comunicó la filtración de estos datos, los cuales incluyen correos electrónicos y números de teléfono de varios de los asistentes a la gala de entrega de los premios Goya.

Parece mentira que haya vuelto a ocurrir algo tan similar a lo que ya ha pasado en ocasiones anteriores, y eso demuestra, como bien apuntan nuestros compañeros Chema Alonso en su blog y los chicos de Security by Default, que no se toman las medidas de seguridad necesarias para proteger datos privados como estos.

Este no es un caso de publicación de una agenda telefónica sustraída de algún famoso, como ocurrió con Pipi Estrada. Se trata de datos privados de artistas, directores, productores y otras personas que han confiado en la Academia de Cine y su sistema informático y ahora ven cómo cualquiera puede acceder a ellos.

Por suerte, no se han publicado los nombres asociados a cada email o teléfono, pero solo con que analicemos los correos electrónicos publicados podremos asociar muchos de ellos a la persona que hay detrás, lo que puede derivar en cientos de llamadas a actores famosos por parte de gente que ha consultado estos datos filtrados.

Viendo que este tipo de filtraciones se producen una y otra vez, podríamos decir que los personajes famosos e importantes disponen ahora de menos privacidad que nunca, aunque a veces ya se encargan ellos mismos de hacer públicos datos privados.

Los usuarios que no somos personajes famosos podemos aprender una lección de esta noticia, y es asumir que nuestros datos privados no están seguros en ninguna empresa u organización. Si aceptamos esta realidad, podemos empezar a limitar la cantidad de datos que proporcionamos y, de esta forma, limitar nuestra exposición a este tipo de incidentes.

Josep Albors

Guía de consejos de seguridad informática: en San Valentín, ¡precauciones mil! [Infografía]

Hoy es el día de San Valentín. Esperamos que hayáis tenido muchísimas muestras de amor . Y como no podía ser de otra manera, esta fecha señalada es utilizada por los cibercriminales para intentar capturar nuevas víctimas, eso sí, disfrazados para la ocasión. Además, Internet se ha convertido en la plataforma elegida por millones de personas tanto para encontrar el amor como para demostrarlo, lo que complica aún más la tarea de diferenciar entre felicitaciones reales y amenazas escondidas tras tiernas frases de amor.

Por eso, desde ESET NOD32 España queremos ayudar a disfrutar de un bonito Día de los Enamorados, y bajo el lema  ”En San Valentín, ¡precauciones mil!”, ofrecemos una guía de consejos básicos de seguridad.

• Sé precavido con los enlaces en correos electrónicos y publicados a través de redes sociales con ofertas llamativas. Todos los mensajes de dudosa procedencia que, en relación a San Valentín, promocionen ofertas exclusivas o regalos especiales deben evaluarse con precaución para evitar caer en una estafa o infectar el equipo. Lo más recomendable en este caso es no hacer clic directamente sobre los enlaces que llegan y, en lugar de esto, dirigirse directamente al sitio web desde el navegador y verificar la veracidad de la información.
• Evita abrir mensajes de felicitaciones o de postales provenientes de remitentes desconocidos: de este modo, te asegurarás de que tu equipo no sea infectado por códigos maliciosos a través de esta estrategia de ingeniería social. La misma recomendación aplica a la hora de descargar archivos adjuntos.
• Al realizar el envío de postales online, elige páginas web de confianza: si quieres enviar una postal por el Día de los Enamorados, recurre a sitios conocidos. Así evitarás brindar información personal –como, por ejemplo, correos electrónicos- a ciberatacantes que luego podrían utilizarla para enviar spam.
• Ojo con los enlaces acortados en mensajes de amor enviados a través de redes sociales antes de hacer clic: los hipervínculos maliciosos continúan siendo una de las principales técnicas de propagación de amenazas informáticas, motivo por el cual se recomienda revisar los enlaces que nos pueden llegar vía Facebook, Twitter e incluso WhatsApp entre otros antes de hacer clic en ellos. Para ello, te recomendamos que te instales ESET Social Media Scanner, antivirus gratuito para la detección de amenazas que utilizan Facebook para distribuirse.
• No compartas información personal con desconocidos a través de Internet: en el caso de frecuentar sitios de citas online, evita revelar contraseñas, datos de acceso o cualquier información sensible durante el chat o el intercambio de correos electrónicos.
• Compra tus regalos de San Valentín a través de sitios de reputación comprobada: para evitar ser estafado al realizar una compra o ser víctima de un robo de datos bancarios y personales es aconsejable realizar las compras a través de servicios con una buena reputación.
• No permitas que postales o imágenes de San Valentín descarguen aplicaciones en tu sistema: además de infecciones por códigos maliciosos, pueden ocasionar la aparición de publicidades no deseadas durante la navegación.
• Precaución con los contenidos con temática de San Valentín indexados en los motores de búsqueda: si haces búsqueda de temas relacionados con este día, cuidado con los resultados, ya que podrían ser falsos y te llevarían a sitios falsos o infectados. Intenta siempre visitar sitios que sean reales y que ya conozcas. Asimismo, es mucho mejor que escribas la dirección en el navegador directamente a que hagas clic en un enlace que pudiera ser verdadero… o no.

También hemos preparado esta amorosa infografía para que, entre todos, hagamos hoy de la Red un sitio más seguro .

Por último, y para evitar riesgos innecesarios, te recomendamos que instales una suite de seguridad en tu ordenador que lo proteja en caso de que alguna amenaza informática intente entrar en él por cualquier vía. Puedes probar gratuitamente ESET NOD32 Smart Security 6 en www.eset.es.

Yolanda Ruiz Hervás
Josep Albors

« Artículos Posteriores — Artículos Anteriores »