Cómo conseguir más “Me gustas“ en Facebook y seguidores en Twitter

Seguro que cuando has leído este titular habrás pensado que te voy a hablar de Marketing, ¿a que sí? Bueno, pues sí, vamos a hablar de marketing, pero también de seguridad, y es que muchas veces queriendo atajar en nuestras estrategias de eso tan rimbombante que ahora se llama inbound marketing podemos acabar con algún disgusto.

 Vayamos al principio… Cada vez que un profesional –o un aficionado- del Social Media gestiona cuentas de empresa tiene una única obsesión: conseguir el mayor número posible de seguidores tanto en Facebook como en Twitter, LinkedIn, SlideShare, etc. Yo le llamo el “yo la tengo más larga”, porque muchas veces es un juego de patio de colegio: “chincha-rabiña, tengo más seguidores que tú…”. Pero también es normal: cuanta más gente nos conozca y nos siga, más oportunidades tendremos de llegar a nuestro público objetivo comunicando las bondades de nuestros productos o servicios. Esa es la potencia de las redes sociales, la posibilidad que tenemos de convertirnos en un altavoz de las marcas viralizando los contenidos, comentando, amplificando, etc.

 Si visitas la página de empresa de cualquier marca en Facebook y tiene solo 40 seguidores, o bien es porque se acaba de abrir o porque se ha abandonado o porque lo que comparte no interesa absolutamente a nadie y por lo tanto no crece en seguidores. Lo mismo en Twitter y en el resto de redes sociales. Así que el secreto está en el contenido. Seguro que si te dedicas a esto o eres curioso de las estrategias online habrás oído cien mil veces aquello de “el contenido es el rey”. Y lo es: sin una adecuada estrategia de contenidos que realmente aporte valor y que interese a alguien es muy complicado llegar al público. Desde luego, el típico “vendo, vendo, vendo” acaba aburriendo a las ovejas y generando además un sentimiento negativo hacia la marca por pesada (bueno, pesad@ su community manager ;-).

Y como generar contenidos interesantes cuesta un esfuerzo mental –hay que pensarlos primero- y hasta físico –hay que hacerlos-, pues la inmensa mayoría de las marcas no generan contenidos. Simple y llanamente. Se dedican a compartir artículos de otros sitios que son de interés y que tienen que ver con su sector y con ellos alimentan las redes. Pero claro, esta estrategia no trae más fans ni más seguidores y, muchas veces, los responsables de comunidades se desesperan.

Si tengo que hacer un ranking de las preguntas más frecuentes que me han hecho en los últimos tres años, la primera, sin duda, es “¿cómo consigo más seguidores en las redes sociales?”, seguida por “¿cómo aparezco primero en Google?” (pero este es otro tema diferente).

Pues bien, hay dos formas de conseguirlos: la “legal” y “ética”, es decir, currándoselo bien, y otra más rápida y quizá no tan ética, que es la que puede suponer un peligro para todos.

Póngame cuarto y mitad de fans

Hace un mes aproximadamente, una amiga me llamaba un poco desesperada porque gestiona varias cuentas de empresas en Facebook y en Twitter y no lograba hacerlas crecer en número de fans. Y sus clientes le dan mucha importancia al numerito, sin preocuparse del engagement con su público, es decir, la interacción. Así que me preguntó cómo podía generar más seguidores, y yo le solté el mismo rollo del contenido que anteriormente. Pero claro, ni estas empresas generaban contenido ni a ella le pagaban para hacerlo, por lo que se encontraba en un punto muerto.

Me preguntó por la conveniencia de comprar fans, y le respondí que seguramente en su inmensa mayoría serían perfiles falsos que sí aumentarían el numerito, pero que a la larga sería perjudicial porque el algoritmo de Facebook penaliza en posicionamiento las publicaciones de páginas con muchos fans que interactúan poco. Y si iban a ser falsos, lo más seguro es que interactuaran (darle al “Me gusta”, compartir, etc.) lo más cercano a nada.

Pero ni corta ni perezosa, hizo una búsqueda en Google y compró fans. A un módico precio. En estas cosas, a una siempre se le erizan los pelos del cuello, porque supone que puede ser un timo bastante gordo: pagas y luego ni tienes fans ni los 25€ que te han costado el “cuarto y mitad”. Pero sí los tuvo: a los pocos minutos vio cómo sus cuentas comenzaban a registrar nuevos seguidores. Y lo más sorprendente de todo: muchos, la mayoría, eran perfiles reales de gente con historial, con tweets, que compartían cosas y hacían comentarios. Y en español, de Sudamérica, pero español al fin y al cabo.

Me preguntó cómo lo harían, y sinceramente, me costaba muchísimo imaginarme cómo una o dos o aunque fueran 10 personas pudieran mantener 1.000 perfiles dotándoles de vida. Sería para volverse loco. ¡Cuesta hasta imaginar que lo hagan los chinos! Así que –sin ser informática- le contesté que seguramente habría algún programa que automatizara la tarea, porque si lo hicieran a mano, no le hubiera costado 25 €.

Se puso a buscar, y unos días después encontró la solución en un sitio un poco dudoso: por solo 10 € podías tener el programa que generaba, de forma automática, seguidores y fans. En esta ocasión, le advertí: cuidado, que no sabes ese automatismo en qué consiste.

La última llamada fue para pedirme ayuda, porque se había infectado con un troyano y su antivirus –de otra marca diferente de ESET que no voy a mencionar- no se lo quitaba.

Los llamados sistemas social networks

El programita que había adquirido es uno de tantos sistemas similares que hay en el mercado, del cual no voy a dar el nombre, y que basa su funcionamiento en el “yo te doy, tú me das”. La verdad es que es muy sencillo, si lo piensas bien, ya que consiste en el intercambio en comunidad de me gustas o seguimientos en páginas de gente que tiene un interés común: dar mayor visibilidad a sus páginas. No voy a dar el nombre porque hay un montón (a poco que busques en “san Google” darás con ellos), pero así es como te lo venden:

sistema-social-networks-eset-nod32-antivirus

Cuesta 10 € darse de alta en el sistema, tras lo cual, recibes un Word con instrucciones para ponerte en marcha. No hace falta tener conocimientos técnicos, ya que las instrucciones son muy claritas. Lo primero que tienes que hacer es registrarte en su página. Hasta aquí, ok. Lo siguiente es instalarte Firefox si aún no lo tienes. Y en tercer lugar, instalarte una extensión de Firefox. Bueno, mucha gente tiene extensiones instaladas.

La cosa empieza a oler un poco mal cuando lees el siguiente paso: te tienes que descargar un archivo alojado en Dropbox que automatiza la tarea y que es una macro. Crear unas carpetas, copiar el archivo, etc… y dejar el navegador abierto lanzando la extensión. Que, por cierto, tiene el nombre “Bot like 2013 Jorge”… ¿os suena eso de bot?

sistema-social-networks-eset-nod32-antivirus-2

Para que el programa funcione, debes tener abierto Firefox y una cuenta de Facebook o de Twitter, que, eso sí, te recomiendan que la crees falsa porque es la que va a generar los me gustas en otros sitios. Pero como hemos dicho anteriormente, si revisas la mayoría de los perfiles, muchísimos son reales (el comentario de que hagas una cuenta nueva lo tienes al final del documento, que seguro que casi nadie se lee).

En el momento en que le das a “Ejecutar”, el programa, según su(s) autor(es), “con la ejecución del script conseguirás sumar miles de puntos que luego podrás cambiar por acciones de usuarios en diferentes redes sociales, incluso hasta puedes cambiarlos por visitas hacia tu sitio web (Website hits)”. Es decir, tú pones a disposición del resto un perfil que genera me gustas, seguimientos, visualizaciones de YouTube o visitas a web, y por cada 2 acciones que tu personaje genera, tú ganas un punto. Los puntos se acumulan y puedes canjearlos por acciones que tú quieras. De esta manera, ganan todos.

sistema-social-networks-eset-nod32-antivirus-3

¿Es oro todo lo que reluce?  

El sistema es sencillo: te ayuda a ganar números en tus redes sociales sin tener que hacer nada más que dejar instalado el programa y ejecutándose, con el navegador abierto y la sesión de Facebook también. No es nada ilegal ni ilícito en apariencia: es como si a tu grupo de amigos les pides que por favor te sigan en redes sociales (algo que hemos hecho todos en alguna ocasión). Y no por esto estamos cometiendo una ilegalidad. Esto es lo mismo, pero de forma automática, rápida y efectiva, porque puedes llegar a mucha más gente. En cuanto a si es ético o no, bueno, esa es otra discusión diferente. Desde luego, no es algo que ganes gracias a tu esfuerzo, ni como marca ni como profesional del marketing. Y aquí que cada uno juzgue a su manera.

Pero vámonos ahora al terreno de la seguridad. En realidad, si pensamos en cómo actúa, nos daremos cuenta que no es más que un programa abierto en un navegador que está esperando instrucciones que se lanzarán desde un control central. Es decir, como su nombre indica, es un bot. Y todos los usuarios que han pagado los 10 € y utilizan el programa, son parte de una red de bots o una botnet. Por recordar, un bot es un programa que convierte a un ordenador en un robot que espera instrucciones y las sigue fielmente.

Una red de bots puede tener diferentes finalidades, y no todas tienen por qué ser malas o negativas, ni mucho menos. Esto es igual que cuando decimos que ser hacker no es nada negativo en sí mismo: puedes ser un hacker y emplear tus conocimientos para finalidades buenas o malas…, todo depende de hacia qué lado te inclines. Por lo tanto, no quiero decir que este programa se esté utilizando con otras finalidades diferentes para las que ha sido concebido, pero recordemos que a mi amiga le entró un troyano en un ordenador que tenía única y exclusivamente dedicado a esta labor, sin utilizarlo para nada más.

Si pensamos mal en qué usos se le puede dar, a mí se me ocurren unos cuantos:

  • Lanzar visitas hacia una web que contiene malware, un troyano, por ejemplo. Cuando enviamos a todos los perfiles a visitar dicha web, todos esos ordenadores quedarían infectados. Por supuesto, contamos con que tienen un antivirus instalado, pero no todos los antivirus son capaces de detectar lo mismo (no olvidemos el ejemplo de mi amiga), ni siquiera lanzando análisis bajo demanda y a bajo nivel.
  • Si tienes que tener un perfil de Facebook o de Twitter abierto para ejecutar el programa, es que con ese perfil pueden hacer lo que quieran… Se me ocurre: podrían lanzar spam, o distribuir una amenaza vía mensajería interna de Facebook, o de Twitter… Y como muchos perfiles son reales, pues acabaría llegando el típico mensaje desde un remitente que forma parte de tu red de amigos. Si pincharas, te infectarías, y así sigue la bola.
  • Si ese perfil de Facebook o de Twitter es el de una empresa, el daño podría multiplicarse, al resultar dañada su reputación.
  • También se podría utilizar de alguna manera esa red de ordenadores para alquilarla a spammers…
  • Etc…

Seguro que si eres técnico, se te ocurren muchas otras aplicaciones.

En conclusión: pagamos para formar parte de una red de bots

Reducido al argumento más simplista, podría afirmar que el(los) autor(es) de este bot han descubierto un auténtico negocio. Veamos:

  • Hemos pagado 10€, que es un bajo coste, pero que multiplicado por miles de usuarios pueden suponer un dinero al mes.
  • Le hemos dado nuestros datos, porque nos hemos registrado en su portal.
  • Le damos un ordenador para que hagan con él, y con nuestro perfil en redes sociales, lo que quieran. Y si son listos, ya se encargarán de alquilar esta red de bots para otros fines, para sacarle así más rendimiento.
  • Y además, los usuarios, en su mayoría gente de marketing sin conocimientos técnicos, estamos contentos y agradecidos porque conseguimos fans o likes o seguidores o… Por lo tanto, lo recomendaremos. Porque, se me olvidó decir, que si recomiendas el programa por un link personalizado te dan 300 puntos extra que suma a tu saldo y que posteriormente puedes canjear.

Y todo ello con el halo de “buenrollito.com” y qué buena es la comunidad y las estrategias sociales.

Si te tengo que dar un consejo, te voy a dar el único que te puedo dar: cúrrate una buena estrategia en redes sociales y no hagas trampas. Cuesta más tiempo, más esfuerzo, pero recompensa y compensa mucho más a la larga. Y de paso, te evitarás correr riesgos y tener disgustos. Y dicho sea de paso: si vas a hacerlo, instala un buen antivirus de pago con un buen soporte técnico (el troyano de mi amiga se quitó con el antivirus de ESET ;-); no utilices un ordenador que tengas conectado en Red a ningún otro servicio, y haz copia de seguridad de todo antes de ponerle a hacer este trabajo… solo por si acaso.

Y como veréis, he evitado nombrar el programa o el sistema en todo el artículo. Así que ahorraros el esfuerzo de preguntarme por cualquier canal sobre esta aplicación, porque no pienso convertirme en altavoz de algo que puede ser muy peligroso, o que ya lo es. ¡Eso nunca se sabe! Espero que lo comprendáis ;-).

¡Feliz semana, trop@!

Yolanda Ruiz



Falso correo de Facebook intenta infectarnos por partida doble

Categorias: email,Facebook,Malware | | 1 Comentario » |

De los cientos de correos que recibimos diariamente en nuestro laboratorio para su clasificación y posterior análisis, siempre hay alguno que nos llama la atención por algún motivo u otro. En esta ocasión vamos a comentar uno por lo especialmente insistente que era intentando infectarnos y además por los destinatarios a los que iba dirigido.

Normalmente, la mayoría de correos que analizamos van dirigidos a alguna de las direcciones corporativas públicas que tenemos en la empresa o bien terminan en una honeypot que tenemos para ir recopilando muestras. En este caso la situación era diferente, ya que tenía como destinatarios a cuatro empleados de la empresa y utilizaba el correo que cada uno de ellos tiene asignado.

correoTampoco es que el correo inspirase mucha confianza tras un primer vistazo y menos aún el fichero adjunto que las soluciones de seguridad de ESET bloquearon e identificaron como una variante del troyano Win32/Kryptik.BYHR.

Hasta aquí, salvando el detalle de que el mensaje iba dirigido a ciertas personas de la empresa, nada que destacar del típico mensaje suplantando una empresa de confianza como es Facebook y adjuntando un archivo malicioso. Pero en esta ocasión, los ciberdelincuentes no querían tirar la toalla tan fácilmente y, además, en el mismo correo adjuntaban el siguiente mensaje:

correo2

Este tipo de mensajes ya lo habíamos visto con anterioridad y dicen contener una foto o mensaje importante para nosotros enviado a través de Facebook. Obviamente, es un engaño para convencer al usuario de que pulse sobre el enlace proporcionado. Este enlace aloja una variante de algún malware (en este caso, el mismo que se adjuntaba con el correo) pero, si bien en anteriores ocasiones se utilizaban webs legítimas para alojar el código malicioso, en esta ocasión los ciberdelincuentes han optado por la vía rápida y lo han subido a una cuenta de Dropbox.

dropboxSi somos lo suficientemente incautos como para descargar este fichero, nos encontraremos con un archivo comprimido que contiene la muestra de malware. No obstante, si contamos con un antivirus actualizado y capacidad de reacción proactiva muy probablemente impedirá la descarga de este fichero, evitando así que nuestro sistema quede infectado.

descarga

Ninguna de las técnicas elaboradas es especialmente avanzada pero, de forma combinada como en este caso, podría llegar a conseguir su objetivo de infectar a algún usuario. Lo importante es recordar la importancia de revisar detalladamente los correos que recibimos para evitar que nos engañen y descarguemos un código malicioso. Cualquier capa de seguridad adicional es bien recibida, pero lo principal es evitar caer en este tipo de trampas haciendo uso del sentido común y de la experiencia adquirida a la hora de detectar este tipo de amenazas.

Josep Albors

Enlaces relacionados:

Ojo con los fraudes que usan Facebook y Twitter

Falsa imagen para robar identidades en Facebook



ESET España premiada por sus acciones de concienciación en seguridad informática

Categorias: Educación,Privacidad,seguridad | | Sin comentarios » |

Si hay algo que se agradece enormemente, es que te reconozcan la labor que realizas, especialmente si este trabajo está relacionado con educar a usuarios de todas las edades, muchos de ellos con conocimientos de Internet muy básicos. De hecho, desde ESET España siempre hemos intentado reconocer a  aquellas personas e iniciativas que ayudan a hacer de Internet un lugar más seguro, por ejemplo, a través del galardón Héroes Digitales, que pusimos en marcha el año pasado.

Pero en esta ocasión somos nosotros quienes recibimos el agradecimiento de una asociación, concretamente la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos. Nos reconocen con la medalla al mérito investigador con distintivo azul por nuestro trabajo de sensibilización en seguridad informática, y estamos orgullosos de ello y por eso lo queremos compartir con vosotros. Nos lo entregaron en una cena de gala a principios de marzo, coincidiendo con la celebración del evento Rooted Con en Madrid.

medalla1

La verdad es que nos alegró recibir este reconocimiento a la labor educativa y de concienciación que realizamos. Hace tiempo que nuestros compañeros Fernando de la Cuadra y Josep Albors recorren la geografía española con sus charlas. En ellas tratan varios temas siempre relacionados con la prevención y la educación en el entorno online. Desde empresarios a alumnos de primaria, secundaria y sus padres, pasando por algún que otro evento de seguridad. No hay niveles.

De entre todo este tipo de acciones,  las realizadas en el ámbito educativo son de las que nos sentimos más orgullosos. Tanto en institutos como en colegios de primaria sentimos que hacemos una labor social necesaria; charlando con los menores y sus padres sobre su privacidad online o sobre cómo reconocer y reaccionar ante un caso de ciberacoso.

alumnos

Sabemos que aún queda mucho por hacer, y como la unión hace la fuerza, colaboramos desde hace tiempo con iniciativas como X1Red+Segura, capitaneada por nuestro buen amigo Angelucho. Gracias a esta colaboración hemos podido trabajar codo a codo y aprender de muchas personas con las que compartimos el objetivo de hacer de Internet un lugar más seguro. No cejaremos en nuestro empeño: para disfrutar de las infinitas bondades de la red hay que aprender a usarla de forma responsable.

Josep Albors



¿El vídeo más impactante de 2014? ¡Ten cuidado con los engaños en Facebook!

Categorias: Facebook,redes sociales,telefonía | | 2 Comentarios » |

Está claro que si quieres propagar un engaño de forma rápida y efectiva, has de usar las redes sociales. Al menos así piensan la mayoría de ciberdelincuentes y estafadores que no dudan en aprovecharse de cualquier estratagema o noticia de impacto para engañar a la mayor cantidad de usuarios de estas redes sociales y sacar algún beneficio.

En esta ocasión nos encontramos con un enlace que hemos visto publicándose últimamente en varios perfiles de Facebook. Como ya hemos analizado en anteriores ocasiones en este mismo blog, se intenta llamar la atención de los usuarios de esta popular red social con algo como un “vídeo impactante”, aunque el tema del vídeo sea tan absurdo como el de una supuesta bruja llorando.

En esta ocasión la descripción nos promete ver el vídeo más impactante de lo que llevamos de año tal que así:

enlace_fb

Como la curiosidad y el cotilleo es uno de los motivos principales por los que uno se hace una cuenta en Facebook, es fácil deducir que no habrán sido pocos los usuarios que han pulsado sobre el enlace. El problema es que ese enlace nos lleva a una web que no tiene nada que ver en Facebook (por mucho que intenten imitar el aspecto) y pertenece a un portal de noticias “curiosas”.

comparte1No obstante, para ver el vídeo primero te piden que lo compartas. Para eso hemos de acceder a nuestra cuenta de Facebook en caso de no estar registrado, pero muchos de los usuarios que han pulsado en el enlace ya se encontraban en Facebook, puesto que es el medio principal por el que se difunde este enlace. De esta forma, se encuentran a solo un clic de compartir esta publicación en su muro y difundirla entre todos sus contactos, algo que propagará aún más este vídeo.

comparte2

Ya hemos compartido el vídeo en nuestro muro y es hora de comprobar si es tan impactante como dicen, así que hacemos clic y se nos envía a un portal de noticias donde se aloja el vídeo. No obstante, el vídeo que se nos presenta nada más acceder a esta web no es el que buscamos (este se encuentra al final de la noticia y no es tan impactante como prometen). El supuesto vídeo que se nos incita a que visualicemos cuando entremos a esta web es más que eso…

blog2

Como algunos usuarios avispados ya habrán deducido por experiencias similares anteriores, este primer vídeo esconde una sorpresa, y es que para poder visualizarlo se nos solicita la instalación de un Media Player. Si no lo han hecho ya, en este punto deberían saltar todas las alarmas, puesto que esta ha sido una de las técnicas más utilizadas por ciberdelincuentes durante años para engañarnos y conseguir que instalemos malware en nuestro sistema.

codec2

Da igual que pulsemos sobre cualquiera de las opciones que se nos presentan para descargar o instalar este supuesto Media Center, puesto que ambas nos redigirán a una nueva web. Es aquí donde descubrimos el pastel y el interés por hacer llegar este vídeo al mayor número de usuarios posible, ya que desde este enlace se nos incita a suscribirnos a un servicio de películas en streaming a cambio únicamente de nuestro número de móvil y, por supuesto, del pago de una cuota máxima de 36.25 € al mes que se realizará mediante el envío periódico de mensajes sms de tarificación especial.

smstreaming2b

Seguramente, durante las próximas semanas, los pobres incautos que hayan proporcionado su número de teléfono a este servicio y aceptado las condiciones de uso se encuentren con un cargo inesperado en su factura telefónica. Es entonces cuando se empieza a pensar en reclamar a la operadora o a emprender medidas legales contra este tipo de empresas.

Sin embargo, hemos de leer la letra pequeña, y este tipo de empresas saben cubrirse muy bien las espaldas en lo que respecta a temas legales. Solo necesitan avisar de los cobros que realizarán en los pasos que hemos ido dando hasta proporcionarles nuestro número de teléfono y ya cumplen con la legislación. Por suerte también están obligados a proporcionar algún método para darse de baja de este servicio, tal y como vemos en la imagen a continuación con las condiciones de uso de este servicio.

condiciones

Que este tipo de prácticas estén dentro de la legalidad no los exculpa de las triquiñuelas realizadas para conseguir que alguien pique y se suscriba a su servicio. Como usuarios hemos de permanecer atentos y evitar que nos líen de mala manera, y para evitarlo podemos empezar por desconfiar de este tipo de publicaciones en muros ajenos. Suficientemente impactantes son los vídeos que vemos en el Telediario como para ir buscando más todavía y que encima nos causen un descalabro económico.

Josep Albors



Investigadores desarrollan una prueba de concepto de un spyware para Google Glass

Categorias: spyware,Vulnerabilidades | | Sin comentarios » |

Como suele suceder con las nuevas tecnologías que surgen en el mercado, es cuestión de tiempo para que empiecen a aparecer pruebas de concepto de diversos ataques. Este fue el caso de Google Glass, ya que durante los últimos días hemos visto noticias sobre la aparición de un spyware que permite sacar fotos a través de este dispositivo sin que el usuario lo sepa y del cual informaron nuestros compañeros de ESET Latinoamérica a través del blog WeLiveSecurity en español y que a continuación adaptamos.

Esta prueba de concepto fue creada por los investigadores estadounidenses graduados del Politécnico de California, Mike Lady y Kim Patterson, y fue anunciada por la revista Forbes hace unos días.

google_glass

Este spyware permite sacar fotos cada diez segundos sin que el usuario lo note y luego subirlas a un servidor remoto para que sean accesibles por el atacante. Al utilizar Internet para subir las imágenes es necesario que la amenaza tenga permisos para acceder a la red. Para lograrlo, los investigadores camuflaron esta prueba de concepto en una aplicación que simula ser una aplicación para tomar notas llamado Malnotes.

Esta aplicación permaneció publicada durante un tiempo, pero tan pronto como Google se enteró de su existencia a través de un tweet publicado por un profesor de la universidad de los investigadores, la dio de baja.

Tanto Lady como Patterson mantienen que aún hay problemas en las políticas de Google Glass e incluso en cómo están implementadas, ya que si bien las políticas actuales indican que no es posible tomar fotos si la luz de aviso está apagada, técnicamente es posible eludir esa restricción, tal y como demostraron estos investigadores.

De todos modos, es destacar importante que Google Glass aún no ha sido lanzado públicamente y se encuentra en un programa de betatesting público, denominado Explorer Program. En este sentido, fuentes de Google han explicado que “en estos momentos, Google Glass se encuentra aún en una fase experimental y aún no ha sido lanzado al público. Uno de los principales objetivos del Explorer Program es que Glass esté en manos de desarrolladores e investigadores para poder descubrir vulnerabilidades y así poder corregirlas”.

Siempre que surgen nuevas tecnologías o dispositivos y a medida que su uso se generaliza, también comienzan a aparecer pruebas de concepto o amenazas específicas para dichos dispositivos, ya que el número de posibles víctimas también aumenta. De modo que debemos estar atentos en estos casos pues, si bien son tecnologías y productos muy atractivos para la mayoría de usuarios, también lo son para los cibercriminales ya que les permiten realizar  ataques que pueden comprometer nuestra información.

Josep Albors



Vulnerabilidad grave en Word está siendo utilizada por atacantes

Categorias: Vulnerabilidades | | Sin comentarios » |

Cuando Microsoft publica un boletín de seguridad fuera de su ciclo mensual de actualizaciones, es que está sucediendo algo grave con alguno de sus productos. En esta ocasión el conocido procesador de textos Microsoft Word es el producto que está siendo atacado para, aprovechándose de una vulnerabilidad presente en dicho programa, ejecutar código malicioso e infectar el sistema del usuario.

La publicación de un boletín de urgencia por parte de Microsoft es debido a la existencia de ataques dirigidos contra MS Word 2010. Esto no significa que sea la única versión afectada, ya que todas las versiones soportadas actualmente son vulnerables. Estaríamos hablando pues de MS Word 2003, 2007, 2010, 2013 paras sistemas Windows y Office 2011 para Mac OS X.

Afectar a una de las aplicaciones más utilizadas por usuarios de todo el mundo suele ser sinónimo de éxito para los ciberdelincuentes detrás de estos ataques, tal y como se demuestra cada vez que aparecen ataques que explotan vulnerabilidades en Java y productos de Adobe.

word0day

La forma de afectar a un usuario con una versión de Word vulnerable es realmente sencilla. Esta vulnerabilidad tan solo necesita que se abra un archivo RTF con Word para conseguir ejecutar código. La previsualización de uno de estos mensajes modificado con Outlook usando Word (configuración por defecto en la mayoría de sistemas donde se encuentra instalado) también consigue el mismo efecto.

Como de momento no hay un parche que solucione esta vulnerabilidad, Microsoft ha publicado una solución temporal del tipo “Fix IT”. Como en anteriores ocasiones, este tipo de solución impide que un documento malicioso sea aprovechado para ejecutar código en nuestro sistema, pero no soluciona el problema de raíz.

Para aquellos usuarios con conocimientos avanzados, Microsoft también dispone de la útil herramienta EMET. Esta herramienta permite bloquear las técnicas utilizadas por los atacantes que buscan aprovecharse de esta vulnerabilidad y proporciona una útil capa adicional de seguridad. En el enlace proporcionado por Microsoft hay detalladas instrucciones para su correcta configuración y manejo, por lo que es altamente recomendable utilizarla si se dispone del tiempo necesario para configurarla.

Es probable que Microsoft publique una solución para esta vulnerabilidad el próximo 8 de abril, fecha en la que está programado el siguiente boletín de seguridad. Mientras tanto, es altamente recomendable seguir las instrucciones proporcionadas por la empresa para mitigar posibles ataques a nuestros sistemas.

Josep Albors

Enlaces relacionados:

Microsoft publica una alerta por una vulnerabilidad 0-day en Word

Actualizaciones críticas de Microsoft y Adobe Shockwave player

Microsoft soluciona 0-day en Internet Explorer mientras Adobe parchea Flash Player



Gmail mejora la privacidad de sus usuarios cifrando todas sus comunicaciones por email

Categorias: email,Espionaje,Privacidad | | Sin comentarios » |

Desde hace meses, uno de los temas más tratados en las noticias relacionadas con tecnología ha sido la privacidad de lo que compartimos, hacemos o enviamos por Internet. Desde que Edward Snowden destapó todo el programa de espionaje de la NSA, han sido muchos los usuarios que han empezado a preocuparse por la privacidad de sus comunicaciones, aunque cabe recordar que la NSA es solo uno de los muchos organismos gubernamentales implicados.

Una de las polémicas derivadas de estos casos de espionaje fue saber que había empresas muy importantes del sector tecnológico que colaboraban en estas proporcionando datos de sus usuarios a petición de las agencias de seguridad de algunos países, sin necesidad de que hubiera un mandamiento judicial de por medio. Esto, como no, causó gran revuelo y polémica y no es de extrañar que algunas de estas empresas intenten lavar su imagen tomando medidas para mejorar la privacidad de sus usuarios.

gmail-logo

Es el caso de Gmail, quien, tras ser uno de los servicios en el punto de mira por millones de usuarios que vieron cómo sus correos podían ser espiados impunemente, ha decidido empezar a forzar el uso de conexiones cifradas usando HTTPS para el envío y revisión de correos electrónicos, sin importar la plataforma o sistema operativo utilizado.

Asimismo, Google también ha decidido cifrar el contenido de los emails mientras estos circulen por sus servidores. Tal y como anuncian en el blog oficial de Google, este cambio significa que nadie podrá leer nuestros correos mientras se envían y reciben en los servidores de Google, independientemente de que se esté utilizando una Wi-Fi pública o accediendo desde nuestro ordenador, móvil o tableta.

En lo que respecta al uso cotidiano que hacemos de Gmail ,no vamos a notar apenas diferencia, puesto que Google lleva ofreciendo conexiones HTTPS desde 2008 y activó el servicio para todos los usuarios en 2010. En ese momento, quien no quisiera usarlo podía desactivarlo, pero ahora Google ha quitado esa opción.

Esta es, sin duda, una buena noticia para los usuarios que utilizamos este popular servicio. No obstante, el uso de conexiones seguras HTTPS (las del candadito, para que nos entendamos) no es la única medida de seguridad que debemos adoptar. De nada sirve que Google cifre los correos electrónicos si nosotros nos seguimos conectando a redes Wi-Fi inseguras y tenemos una contraseña sencilla de averiguar que permite a un atacante cualquiera acceder sin muchas dificultades a nuestra bandeja de entrada.

Josep Albors

Enlaces relacionados:

Google reconoce la ausencia de privacidad de sus usuarios de Gmail

Doble factor de autenticación: ¿Qué es y porque lo necesito?

De nuevo a vueltas con la privacidad



Seguridad para la nube

Categorias: General | | Sin comentarios » |

Cada cierto tiempo, el sector de la seguridad informática se reúne con algún motivo interesante. Puede ser un congreso con hackers, un simposio con directores de seguridad o unas sesiones con fabricantes. Sea lo que sea, hay que acudir (y así lo hacemos) para auscultar el mercado, las tendencias y las novedades.

En el caso que nos ocupa, y organizado por la revista SIC, tuvimos la oportunidad de pasar una mañana hablando de la nube y las implicaciones que pueda tener la seguridad en ella. Numerosos fabricantes nos mostraron su modelo de nube, en el que siempre está asegurada la seguridad de los datos.

En todos emplean un sistema antivirus mejor o peor, y sistemas de cifrado de información que permiten no ya cumplir con la legislación en materias de protección de datos de carácter personal, sino que aseguran en buena medida que la información almacenada en la nube esté exclusivamente disponible para los que la crearon y nadie más.

La nube ha evolucionado mucho, según unos, y según otros… menos. Interesante el punto de vista de Rafael Ortega, quien nos recordó la similitud de los sistemas mainframe de los 70 con el paradigma de almacenamiento nuboso de hoy en día.

SAMSUNG

Y qué decir de aquellos tiempos en los que exactamente los mismos argumentos empleados para vender la nube se empleaban para la instalación de redes de área local. Todavía recuerdo cuando tuve la ocasión de presentar, junto a la Product Manager, el IBM PS/2 95, el servidor definitivo para redes de área local. Y ahora mismo no serviría ni para almacenar las fotos de las vacaciones, el vídeo de la boda y cualquier información que cabe de sobra en un portátil.

En cualquiera de los casos, tanto los mainframes como los maravillosos servidores de los 90 tenían una preocupación común a los proveedores de servicios en la nube: la seguridad. Y esa seguridad estará en dos partes distintas: por un lado, en el sistema que aloja los datos; y por otro, en el canal de comunicación mediante el cual accedemos a los datos.

Sin embargo, nos olvidamos de un punto clave en la comunicación, y es el usuario. Al igual que está comprobado en el tema de la seguridad antimalware, esa pieza entre la pantalla y la silla es la clave en lo referente a la seguridad.

Me da igual que los datos en la nube estén bien protegidos, y que utilice protocolos de comunicación seguros. ¿Quién es el que está accediendo? Seamos consecuentes, la mayor parte de las contraseñas que emplean los usuarios son débiles: “123456”, “asdfg”, el nombre del perro, fechas de cumpleaños… Y aquí tenemos a la empresa haciendo una inversión importante en sus sistemas de almacenamiento en la nube para que luego un usuario cualquiera deje su contraseña en un post it.

Cuántas veces habremos dicho que la seguridad es un concepto global. Un sistema es tan seguro como lo sea su punto más débil, y generalmente lo somos nosotros, los usuarios. Una empresa que opte por el sistemas en la nube (almacenamiento, o proceso, o lo que sea) debe cuidar cómo acceden los usuarios.

Sí, es muy bonito emitir boletines empresariales internos en los que se avisa que deben cambiarse las contraseñas. Tienen tanto efecto como los recordatorios de reponer el papel en la impresora cuando se acabe. Es necesario que los usuarios se involucren de verdad en la seguridad, y si no, hay que implementar soluciones que sirvan para que los accesos a los sistemas no sean una mera pantomima de usuario y contraseña.

¿Qué tal un sistema en el que obliguemos a introducir un dato más? Una contraseña adicional, pero no la misma siempre. Una contraseña nueva, distinta para cada vez, y que no podamos reutilizarla. Es el sistema que se llama “de doble factor”, y ese segundo factor, una nueva contraseña, es única e irrepetible.

Ya puede ser el usuario más reacio a cambiar su contraseña “123456”, que si ponemos esa gota de seguridad, tendremos un océano de tranquilidad.

Fernando de la Cuadra

 



Ojo con los fraudes que usan Facebook y Twitter

Categorias: General,redes sociales,timos | | Sin comentarios » |

Sinceramente, las redes sociales se me están haciendo, desde el punto de vista de la seguridad, como puntos de encuentro cada día más peligrosos. No es cuestión de alarmar, sino de poneros sobre aviso para que tengáis los ojos muy bien abiertos. Ahora no solo hay que tener cuidado con las falsas aplicaciones que distribuyen malware o roban tus datos, sino que están proliferando numerosos casos de intentos de estafa y de fraude que se distribuyen vía Facebook y Twitter buscando gente a la que engañar.

La razón es la misma que siempre… ¡Hombre! Pues si resulta que un amigo tuyo, el amigo del cole de toda la vida, te envía un mensaje con un “peazo” de negocio a través del cual puedes ganar mucho dinero…, ¿cómo no vas, al menos, a perder unos minutos echándole un vistazo? Es humano, yo también lo haría.

Pues la cuestión es que los negocios piramidales parece que están haciendo su agosto todavía en invierno (casi, casi ya en primavera ;-) para conseguir afiliados de afiliados de afiliados con quienes repartir suculentos beneficios. El último caso nos lo cuenta USToday, y es que parece que La Comisión de Seguridad de la Bolsa americana ha tenido que reaccionar rápidamente para desmontar un negocio piramidal que estaba siendo promocionado a través de las famosas y conocidas redes sociales porque así se lo ha ordenado un tribunal federal.

Dos compañías, la Fleet Mutual Wealth y la MWF Financial, se habían creado perfiles en Facebook y en Twitter como Mutual Wealth. Estos utilizaron las redes sociales para capturar inversores a los que prometían entre un 2 y un 3 % de beneficios por semana gracias a una campaña que llamaron “invertir en seguros en solo unos minutos”. Además, animaban a los usuarios a captar a otros inversores, prometiéndoles una comisión extra y convirtiendo de esta manera la campaña en un negocio piramidal.

Pero es que además de llevar a cabo una acción no regulada por su Comisión de Seguridad, el dinero que recaudaban lo transferían a cuentas de bancos de otros países cuya titularidad eran falsas compañías. De esta manera han conseguido, calculan en la Comisión, unos 150 inversores estafados, todos en Estados Unidos, que habrían depositado unos 300.000 dólares.

De momento, la investigación sigue en marcha, aunque han congelado la cotización de ambas compañías. Pero no deja de ser una prueba más de lo fácil que es engañar a la gente cuando se mueve en un entorno de confianza, como son las redes sociales, donde los usuarios nos sentimos falsamente seguros y amparados por nuestros “buenos amigos”.

Facebook y Twitter no son las únicas

No, lamentablemente ni Facebook ni Twitter son las únicas redes sociales a través de las cuales se intenta estafar. No sé si tenéis perfil en LinkedIn. Yo me lo creé hace un montón de años, cuando en España ni siquiera se conocía la red. Y nunca he recibido tanto correo interno a través de la red como ahora, en su inmensa mayoría comunicaciones que o son estafas o huelen a fraude.

Sucede lo mismo: no te vas a esperar en una red profesional que alguien con un currículum impoluto vaya a estafarte, pero intentar, lo intentan. Dejando a un lado el clásico timo nigeriano, que todos conocemos y reconocemos, últimamente están proliferando los mensajes donde te invitan, de manera excepcional y por un tiempo limitado, a invertir sobre todo en negocios online, y de paso te invitan a que animes a tus contactos a que se hagan socios.

Yo no lo he probado: no tengo en mi cabeza invertir en ningún negocio loco. Pero aunque tuviera la intención de hacerlo, evidentemente no lo haría por un email recibido a través de LinkedIn.

Como muestra un botón que recibí ayer mismo:

eset-nod32-antivirus-fraude-linkedin

Hombre, estamos en crisis, pero por muy necesitados que estemos, os recomiendo que extreméis las precauciones y no hagáis caso de este tipo de mensajes lo recibáis a través de la red social que sea, porque lo más probable es que sea un timo, una estafa o un fraude y acabéis peor de lo que habéis empezado.

Feliz fin de semana, trop@.

Yolanda Ruiz

 



Phishing de Apple ID en la web de Electronic Arts Games

Categorias: Apple,Phishing | | Sin comentarios » |

Cuando hablamos de phishing, a muchos se nos viene a la cabeza la típica página web que intenta suplantar una entidad bancaria de confianza y a la cual accedemos normalmente tras pulsar en un enlace que nos ha llegado por correo electrónico. Si bien es cierto que este es el caso más común, no es, ni mucho menos, el único.

Phishing es todo aquel caso de suplantación de identidad de una empresa o servicio, y para que tenga éxito es muy importante  ganarse la confianza del usuario, haciendo que la web falsa sea prácticamente idéntica a la original e incluso alojándola en un dominio de confianza.

En los últimos meses venimos observando que cada vez más sitios web supuestamente de confianza están teniendo problemas de seguridad, problemas que algunos atacantes aprovechan, como en este caso, para obtener las credenciales de acceso de los confiados usuarios a algún servicio online de interés.

EA_portada

Pongamos como ejemplo un caso reciente. En el día de ayer, la empresa de seguridad Netcraft publicó en su blog un aviso de seguridad en el que se alertaba de que uno de los servidores web de Electronic Arts (EA) Games se encontraba alojando una web de phishing de Apple. Para quien no la conozca, EA es una de las desarrolladoras de software de entretenimiento más importantes y en su catálogo podemos encontrar superventas como la saga FIFA, Battlefield, Plants vs. Zombies o el recientemente publicado Titanfall.

Las webs oficiales de EA son visitadas diariamente por decenas de miles de personas. Esto las hace un objetivo muy atractivo para los ciberdelincuentes que se encuentran detrás de este ataque. Aprovechándose de una vulnerabilidad de WebCalendar 1.2.0 (versión que cuenta con varios agujeros de seguridad) instalado en el servidor comprometido, los atacantes consiguieron alojar una web de phishing de Apple ID como la que vemos a continuación:

ea_apple_phish

Esta web fraudulenta intenta engañar al usuario para que introduzca su ID de Apple y su contraseña para, a continuación, solicitar a la víctima que verifique otros datos personales como su nombre y apellidos, número de la tarjeta de crédito, fecha de expiración, código de seguridad, fecha de nacimiento, número de teléfono, nombre de soltera de su madre y otro tipo de información privada. Estos datos son reenviados a los ciberdelincuentes para, seguidamente, redirigir al usuario a la web original de Apple ID.

Debido que la web de phishing se encuentra alojada en un sitio web de confianza, es probable que hayan caído en la trampa más usuarios de lo que es habitual en estos casos. Por su parte, Electronic Arts ya ha informado de que está trabajando para que este tipo de incidentes no se vuelvan a repetir.

Si hemos picado con esta web falsa, es importante que cambiemos cuanto antes nuestra contraseña de Apple ID y activemos la siempre útil autenticación de doble factor, tal y como nos aconsejan desde el blog de Seguridad Apple. Si además hemos proporcionado los datos de nuestra tarjeta de crédito, necesitaremos acudir lo antes posible a nuestra entidad bancaria para cancelarla y solicitar una nueva, si no queremos que la utilicen para realizar cargos fraudulentos.

El uso de webs legítimas para alojar webs de phishing o malware hace tiempo que se convirtió en algo habitual. Es por ello que debemos estar alerta y sospechar de cualquier acción sospechosa cuando navegamos por Internet, aunque sea por aquellas webs que visitemos habitualmente y que nos inspiran confianza.

Josep Albors

Enlaces relacionados

Disfruta de los videojuegos pero no bajes la guardia

Acceden a un servidor de Ubisoft y roban datos de usuarios

Según el veterano jugador Pat Garrat “los `jugones`siempre serán una presa fácil para los ciberdelincuentes, pero no es nuestra culpa”

 



« Artículos PosterioresArtículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje