A día de hoy creo que todos tenemos claro que el activo más importante de una organización es la información que maneja. Información sobre sus clientes, finanzas, empleados, investigaciones o proyectos. Sin duda algo de gran valor para cualquier empresa y para lo cual deberá poner todos los medios disponibles para mantener un nivel óptimo de la seguridad de esta inforación, para evitar así el acceso de personas no autorizadas o su fuga, por lo que deberá de establecer una política de prevención de fuga de información.

Las causas de esta fuga de información pueden ser variadas, entre las que podemos encontrar:

Omitiendo las dos primeras posibilidades, que serían causadas por un ataque a la seguridad lógica y física de la organización, una de las causas más probables, y de ahí aquello que “el eslabón más débil de la cadena de la seguridad es el usuario”, es la ausencia de políticas de seguridad que establezcan un control de las comunicaciones y de los dispositivos USB para almacenamiento.

Esta ausencia de políticas de seguridad de este tipo permitiría a un usuario, de forma intencionada o no, utilizar las comunicaciones de la organización para enviar información confidencial hacia el exterior o sacar información de la empresa utilizando un dispositivo USB.

A nivel de comunicaciones, bastaría con aplicar políticas que controlen a nivel de seguridad perimetral qué o quien puede utilizar las comunicaciones para enviar información al exterior, qué protocolos de comunicaciones están permitidos o qué tipo de información se puede enviar.

A nivel de dispositivos USB, cada vez más usados para llevar o traer información de la organización, existen varias amenazas que ponen en peligro la seguridad de la información de la empresa.

Uno de los más conocidos es USB Rubber Ducky. Si el atacante consigue conectar el dispositivo al ordenador de la víctima, o mediante alguna técnica de ingeniería social conseguir que su víctima lo haga, logrará ejecutar comandos en el ordenador de la víctima de la misma manera que lo haría si estuviera sentado justo delante de él.

Además, y para mayor preocupación, mediante técnicas de evasión de antivirus se consigue que muchas de las acciones realizadas por los atacantes y su USB Rubber Ducky no sean detectadas por los antivirus, o al menos por una gran mayoría.

Entonces, ¿estamos perdidos? ¿Deshabilitamos todos los USB de los ordenadores? Esta última opción me consta que hay varias empresas que la llevan a cabo, pero realmente estamos desaprovechando el potencial de los dispositivos USB de almacenamiento. Eso sí, siempre y cuando los usemos de forma segura, es decir, aplicando unas políticas de seguridad apropiadas..

Supongo, y quiero creer, que en la mayoría de los casos es por desconocimiento. Desconocimiento de que a día de hoy existen ya soluciones antivirus que no sólo nos defienden de malware. Hace ya tiempo que evolucionaron, y ofrecen muchas más funcionalidades para dar más seguridad al puesto del trabajo.

Desde hace ya un tiempo, se les conoce como soluciones Endpoint, y los fabricantes más importantes como ESET, Sophos, Panda o Kaspersky entre otros ya lo ofrecen. Precisamente además de limpiar malware, la mayoría ya son capaces de cifrar la información de un dispositivo USB o permiten un control de qué dispositivos USB se pueden conectar al equipo, lo que sería una importante contramedida para luchar contra amenazas como los USB Rubber Ducky.

Como siempre, espero que os resulte de interés y utilidad.

¡Hasta la próxima!

CONAN Mobile, una herramienta gratuita del INCIBE (Instituto Nacional de Ciberseguridad) que analiza la seguridad de tu dispositivo Android, ha sido premiada como Mejor Herramienta Gratuita de Seguridad en el marco de la segunda edición de los  Premios Nacionales a los Héroes Digitales 2014 que patrocina la compañía ESET.

Este reconocimiento premia la labor totalmente desinteresada de CONAN Mobile, enfocada a mejorar la seguridad de los dispositivos móviles y a proteger la información que contienen. Esta herramienta, de la que ya hablamos en este blog en este artículo y de la que podéis encontrar más información aquí, forma parte de un proyecto liderado por el cordobés Francisco Jesús Rodríguez. Desde aquí mi más sincera enhorabuena por tu labor.

Francisco Jesús Rodríguez, feliz con el premio conseguido

Además he tenido el orgullo y el placer de haber aportado mi pequeño granito de arena al haber participado en el proceso de betatesting de la última versión.

Lo dicho, un premio de seguridad con auténtico acento cordobés.

Recientemente salió la noticia de una Web rusa que estaba publicando imágenes de más de 10.000 webcams de todo el mundo, enter ellas más de 300 correspondían a España, dando lugar a una especie de Gran Hermano con imágenes de cámaras repartidas por todo el mundo. Entre ellas incluso se podían ver habitaciones de bebés, almacenes, bares, supermercados, oficinas, imágenes exteriores de control de tráfico o controles de acceso físico.

Aunque se podría dar el caso de que estas webcams hayan sido comprometidas a través de la explotación de una vulnerabilidad, todo apunto a que la gran mayoría han sido accedidas simplemente accediendo a la dirección Web. En cuanto a las credenciales, pues algunas brillaban por su ausencia y otras siguen siendo las que venían por defecto. En el primer caso, nada más que añadir. Si queremos que nuestra webcam forme parte de un Gran Hermano mundial, activémosla sin credenciales, anunciemos nuestra IP en diferentes foros y publiquemos una Web con nuestra webcam. Con un poco de (mala) suerte, nos hacemos “famosos”.

Si nuestra webcam sí está protegida por credenciales pero forma parte de GH16, posiblemente sea porque seguimos usando las que vienen por defecto. Existen cientos de sitios Web donde podemos consultar cuál es el usuario y contraseña por defecto de determinado dispositivo, ya sea un router, punto de acceso WiFi, webcam, etc. Por lo tanto se aconseja cambiar las credenciales, obviamente con contraseñas fuertes si es posible.

Algunos consejos que podríamos aplicar:

Como siempre, espero que os resulte de interés y útil. A ver si conseguimos entre todos que la red sea cada vez más segura.

¡Hasta la próxima!

Son cada vez más los delitos que se cometen a través de la red, de los cuales la mayoría son fraudes o amenazas. Desgraciadamente se cometen otros tipos de delitos mucho más graves como son la distribución de pornografía infantil o la pederastia. Las “personas” que llevan a cabo este tipo de delitos están cada vez está más preparadas desde el punto de vista de la seguridad informática, especialmente en el campo del anonimato en la red.

Redes de anonimato como Tor o I2P pueden ser algunos de los recursos que utilicen para mantenerse en el anonimato y seguir “campando a sus anchas”, cometiendo estas barbaries. Ante estas medidas de anonimato poco podemos hacer los ciudadanos, para eso ya están los cuerpos y fuerzas del estado para rastrear las comunicaciones e intentar dar con el delincuente.

Entonces, ¿qué podemos hacer los ciudadanos para ayudar en la lucha contra este tipo de delitos? La respuesta está precisamente en cómo se han llevado a cabo algunos de estos últimos delitos. Centrándonos en casos recientes, uno de los pederastas capturados (que afortunadamente ya está en prisión) utilizaba las redes WiFi inseguras de sus vecinos para mantenerse en el anonimato.

Aprovechaba la debilidad de la seguridad de estas redes para conectarse a ellas y a través de esas conexiones llevar a cabo sus barbaries, engañando con perfiles falsos de redes sociales a menores, obteniendo de esta forma miles de fotografía y vídeos de éstos, a los que después extorsionaba.

Que nuestra red WiFi sea segura ya no es sólo cuestión de mantener a salvo nuestra información, privacidad o simplemente para que no nos “roben” ancho de banda. Vista la gravedad de los hechos, y si no queremos ser “cómplices” de la comisión de estos u otros delitos, deberíamos de dedicar 5 minutos para verificar que nuestra red WiFi es segura.

Con estos simples consejos podremos hacer que nuestra WiFi sea segura:

No hay bala de plata para una red WiFi 100% segura, pero al menos estos pequeños consejos aumentarán notablemente la seguridad de nuestra red.

Espero que os resulte de interés, de ayuda y así de paso que los delitos en la red no se cometan a través de nuestras redes WiFi.

¡Hasta la próxima!

Hola, en el artículo anterior ya vimos cómo geolocalizar a personas a través de un servicio Web que ubicaba en un mapa los tweets de un usuario que tuviera activada la geolocalización para la aplicación Twitter de su dispositivo móvil. Hicimos hincapié en el riesgo que esto podía conllevar. No nos referimos al riesgo de que alguien pueda saber desde dónde se ha enviado un Tweet en concreto ya que esto no nos compromete en ningún sentido ni se pueden sacar conclusiones con un sólo tweet y ubicación.

El problema es cuando un gran número de tweets se concentran en una o varias ubicaciones determindas. ¿Domicilio donde reside, lugar de trabajo o centro de estudios? Son algunas de la posibilidades porque suelen ser los lugares desde donde más actividad tenemos en redes sociales.

En esta ocasión os mostraré cómo usar la geolocalización pero desde el propio Twitter. Twitter nos ofrece una serie de búsquedas avanzadas que van más allá de encontrar a un usuario de Twitter, seguir un hashtag o buscar sobre un término en concreto. A través de unos filtros podemos realizar búsquedas más específicas, como por ejemplo para este caso que planteamos, de geolocalización.

El filtro se llama geocode y basta con poner la latitud y longitud, seguido del radio que se especifica en kilómetros. Veamos un pequeño ejemplo para entenderlo mejor. Supongamos que queremos ver los tweets que se han enviado por la zona de la Plaza de las Tendillas, con un radio máximo de 1 kilómetro.

En primer lugar vamos a averiguar cuál es la latitud y longitud de la Plaza de las Tendillas, que con Google Maps es una tarea realmente sencilla. Accedemos a Google Maps a través de maps. google. com y hacemos la búsqueda para ubicar la plaza en el mapa.

Observamos en la imagen anterior que en la URL de la página Web aparece los valores de geolocalización de la Plaza de las Tendillas de Córdoba, siendo la latitud 37.884431 y la longitud -4.779700.

Ya tenemos los valores para nuestro filtro geocode quedando nuestra expresión de búsqueda en el cuadro correspondiente de Twitter de la siguiente forma:

geocode37.884431,-4.779700,1km

El último parámetro es el radio, establecido en 1 kilómetro y separado por coma del resto de valores.

Veamos los resultados de esta búsqueda con filtro de geolocalización.

Lo que se ve en la imagen anterior, ocultando por cuestiones de privacidad a los usuarios, son tweets de usuarios que tienen activada la geolocalización en su aplicación Twitter del dispositivo móvil y han publicado desde la Plaza de las Tendillas o en un radio de 1 kilómetro respecto a esta ubicación.

Espero que este artículo sirva al menos para que aquellos que tengan activada la opción conozcan sus riesgos a nivel de privacidad.

¡Hasta la próxima!

Son muchas las ventajas que la geolocalización nos aporta cuando la aplicamos en nuestro móvil. En aplicaciones de tipos GPS o mapas resultarán de interés poder indicar rápidamente cuál es el punto de partida de nuestra ruta, con tan sólo usar nuestra geolocalización actual. Para que una App pueda usar la geolocalización previamente tenemos que darle el permiso oportuno, sin este permiso la App no podría (o debería) hacer uso de la funcionalidad de geolocalización de nuestro dispositivo. De ahí la importancia de leer muy bien los permisos que una App va a requerir antes de instalarla.

Los riesgos de usar la geolocalización sin control y de forma exagerada afectan directamente a nuestra privacidad. Un mal uso de esta característica puede revelar por ejemplo el lugar donde trabajamos o vivimos. Os voy a poner como ejemplo Twitter, pero en realidad podría servir para cualquier otra red social.

Cuando damos permiso a Twitter para que utilice nuestra geolocalización, ésta se muestra en cada Tweet (publicación) que lanzamos. Como muestra la siguiente imagen:

En la imagen anterior por razones de privacidad hemos ocultado quién publica el tweet, sin embargo podéis ver en el cuadro rojo su geolocalización, en Córdoba. Bien, ¿realmente esta geolocalización supone un riesgo? Un simple Tweet de este tipo no, pero un atacante podría ver que este usuario tiene activada la geolocalización para Twitter y usar otras herramientas para investigar posibles lugares que frecuente esta persona.

La siguiente herramienta geolocaliza en un mapa todos los tweets de un usuario. Esta información podría dar pistas de dónde vive esta persona o donde trabaja, ya que si os paráis a pensar, ¿desde dónde enviamos la mayoría de nuestros tweets? Desde casa, trabajo o donde estudio. Esto es así.

En este mapa de Córdoba podemos ver geolocalizados los tweets de un usuario que hemos introducido de prueba. Podéis ver que la mayoría de tweets se ubican en una zona definida (puntos verdes y punto central de color naranja), donde se indica la mayor concentración de tweets enviados desde esa ubicación.

Finalmente haciendo un zoom máximo al mapa obtenemos la ubicación exacta desde donde esta persona más ha twitteado. En el cuadro rojo están concentrados la inmensa mayoría de tweets. Todo indica que se trata de dónde vive. Por cuestiones de privacidad se ocultan los nombres completos de las calles.

Así que si tenéis activada la geolocalización en Twitter, cuidado, usadla con cabeza.

¡Hasta la próxima!

En una sociedad tan tecnológica como en la que vivimos, no percibo el uso de las nuevas tecnologías sin un mínimo de seguridad que nos garantice al menos la privacidad y confidencialidad de nuestra información. Si además lo elevamos al plano empresarial, que garantice la continuidad del servicio y la integridad de los procesos que hacen posible el día a día en una empresa.

En nuestro blog hemos publicado muchos artículos en los cuales hacemos hincapié en algo fundamental para que esta sociedad tecnológicamente hablando, sea más segura. Estamos hablando de la concienciación en materia de seguridad de la información. Si no somos conscientes de los riesgos y amenazas que acompañan el uso de las nuevas tecnologías, difícilmente podremos saber qué medidas adoptar para mantenernos seguros en la Red.

No importa el ámbito, si es familiar o laboral. Hablo con muchos padres acerca de la importancia de educar tecnológicamente a los hijos en el buen uso de Internet, sobre todo en redes sociales. Educarlos para que ellos sepan detectar y defenderse de éstas amenazas, ya que aunque como padres nos gustaría estar las 24 horas pendientes de lo que hacen nuestros hijos en la Red, es imposible. Básicamente porque según los últimos estudios, un porcentaje muy alto de los jóvenes acceden a Internet a través de su dispositivo móvil. No hay que espiarlos, hay que educarlos.

El problema aparece cuando los propios padres no son conscientes de estas amenazas, y son ellos mismos los que cometen graves errores a la hora de utilizar las nuevas tecnologías; contraseñas débiles, navegación (accidental) por páginas maliciosas, acceso a información confidencial a través de redes WiFi públicas, publicación exagerada de información en redes sociales, etc.

Si los padres no somos conscientes de esto, será complicado que podamos transmitir esta educación basada en el uso seguro de la Red. Por eso cuando hablamos de ciberseguridad, enseguida se nos viene a la cabeza antivirus o cortafuegos potentes, y esto no es suficiente. El eslabón más débil de la cadena de seguridad es el propio usuario, y será éste y su sentido común la mejor defensa ante las numerosas y crecientes amenazas.

“Toca ponerse las pilas”

¡Hasta la próxima!

Seguro que ya habréis oído o leído acerca de la importancia de una buena configuración de nuestros parámetros de privacidad en las redes sociales que utilicemos. El problema es que muchos usuarios no saben qué significan ciertos parámetros de privacidad, o peor aún, no saben dónde se encuentra la configuración de privacidad.

Recientemente Facebook ha creado una nueva herramienta para revisar la privacidad de nuestro perfil, aplicaciones y publicaciones en esta red social. Vamos a explicarla paso a paso, aunque es muy sencilla ya que se trata de un pequeño asistente para que vayamos revisando los parámetros de privacidad que tenemos actualmente configurados.

Tras el primer mensaje, y confirmar que estamos de acuerdo para completar el asistente, nos mostrará la primera de las ventanas referente a tus publicaciones, es decir, quién puede ver lo que compartes.

A continuación podremos configurar la privacidad de nuestras aplicaciones autorizadas en Facebook.

Es el turno de nuestros datos personales, ¿quién puede consultarlos?

Con estos tres sencillos pasos podemos configurar la privacidad a nuestro gusto. Espero que os resulte útil, ya no hay excusa para tener el control de tu privacidad en Facebook, aunque al igual que en seguridad, es muy probable que nunca lo tengamos controlado al 100%.

¡Hasta la próxima!

En esta ocasión no voy a escribir un artículo técnico sobre una nueva herramienta, todo lo contrario, de hecho es un reflexión acerca del debate continuo acerca de la definición de hacker. Una definición, que en la mayoría de las ocasiones, es errónea en toda regla y que no se ajusta a la realidad actual ni hace justicia a la comunidad hacker. Y es que hay hackers buenos y hackers malos.

Vamos a partir de la definición de hacker de la Wikipedia.

Un hacker es alguien que descubre las debilidades de una computadora o de una red informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado de computadoras y de redes informáticas. Los hackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta o por el desafío.

En mi opinión, esta definición se ajusta bastante a la realidad. Añadiría también que un hacker no sólo se debe relacionar con la informática, creo que cualquier persona que tenga unos conocimientos avanzados en una materia, que sea capaz de sacarle el máximo rendimiento, más allá de las posibilidades habituales del objeto y que le apasione lo que hace, se puede considerar un hacker en esa disciplina.

Volviendo al ámbito que nos interesa, el de la seguridad informática, habría que distinguir entre los hackers que utilizan sus conocimientos con el fin de lucrarse o simplemente dañar sistemas de información ajenos y hackers que usan esos conocimientos para descubrir debilidades en un sistema con el fin de poder corregirlas antes de que sean aprovechadas por ciberdelincuentes.

Al igual que existen personas buenas y personas malas, también hay hackers buenos y hackers malos. Todas las personas tienen dos puños, que pueden usar como arma, pero no todas las personas lo hacen. Hay personas (malas) que se dedican a golpear a otras por su raza, política u orientación sexual.

Las armas del hacker son sus herramientas y sobre todo su conocimiento, pero no todos lo utilizan para hacer el mal. Muchos de éstos hacers utilizan sus “armas” para ponerlas a disposición de su empresa o para un cliente, precisamente para detectar fallos de seguridad antes de que lo hagan otros, con otras intenciones. Hay hackers buenos y hackers malos.

Por último, y me preguntan mucho sobre ello, lo de la definición de hacker ético. Es contradictorio todo lo comentado anteriormente con este concepto de hacking ético. No se trata de intentar confundir al personal y de buscar una excusa de por qué hay que catalogar el hacking como ético o no ético. En este caso se hace referencia más al ámbito laboral. El hacker ético es una profesión, es una disciplina más dentro de la informática y su seguridad. Al igual que se ofrecen servicios de auditorías de cumplimiento de políticas de seguridad o auditorías de cumplimiento de la ley de protección de datos, también hay otros servicios como las pruebas de intrusión o auditorías técnicas de seguridad, que pueden ser llevadas a cabo por auditores de seguridad IT o hackers éticos.

Obviamente, se trata de una reflexión y opinión personal.

Así es como me veo yo y veo al resto de compañeros de la comunidad.

¡Hasta la próxima!

Si dispones de una página Web o blog, seguro que te preocupará quién, o mejor dicho, desde dónde se conectan los que visitan tu sitio Web. Está claro que todo blogger o administrador de página Web lo que busca es tener el mayor número de visitas posibles, pero no todas las visitas son deseables. Accesos desde direcciones IP que emiten SPAM o Phishing no son nada beneficiosos para nuestro sitio Web. Igualmente aquellas direcciones IP que por otros motivos estén reportadas como maliciosas. Sin olvidarnos del anonimato, ¿qué interés puede haber en visitar nuestro sitio Web ocultando el origen real? ¿Por qué hacerlo de forma anónima? Quizás porque no se trate de una visita de “cortesía”. Centrándonos en WordPress, veamos cómo podemos proteger WordPress de visitas no deseadas.

Existe una gran cantidad de plugins (complementos) orientados a aumentar el nivel de seguridad de tu WordPress. En este caso os vengo a hablar de un nuevo plugin de seguridad para WordPress que precisamente hace lo que hemos comentado anteriormente. Denegar el acceso a tu sitio Web desde direcciones IP reportadas como maliciosas o que provengan de la red de anonimato Tor. El plugin se llama WP Maltor, y está desarrollada por dos cordobeses, David Merinas y el que escribe estas líneas. Vamos, un plugin de seguridad con acento cordobés.

La instalación del plugin es muy sencilla y no necesita de ninguna configuración especial. Una vez localizado el plugin a través del buscador de vuestro WordPress e instalado, el plugin ya estará denegando el acceso a esas direcciones IP que no nos son “gratas”. Las listas de las direcciones IP, tanto maliciosas como las que provienen de la red de anonimato Tor, se actualiza cada 30 minutos.

Con este simple gesto, habremos dado un paso importante para evitar que nuestro WordPress sea víctima de ataques por parte de ciberdelincuentes ya que no estaremos permitiendo el acceso desde direcciones que ya son conocidas por llevar a cabo este tipo de acciones ni de usuarios que por alguna extraña razón, quieran ocultar el origen real de su conexión a Internet.

¡Hasta la próxima!

Desde que saltó la noticia del robo de fotos íntimas de Jennifer Lawrence son muchas las consultas que me han llegado de usuarios preocupados por su privacidad y la desconfianza que está generando este tipo de noticias en los servicios en la nube que ofrecen almacenamiento remoto como por ejemplo Dropbox, Google Drive o el propio iCloud de Apple. A todos les respondo igual.

Partimos de la base que en seguridad informática hay una premisa, y es que nada es seguro 100%. El título de este blog, ¿Estás seguro de que estás seguro?, tiene como misión precisamente eso, sensibilizar y concienciar de que ningún sistema de información, por muchas medidas de seguridad que pueda tener, es completamente seguro.

También se ha comentado ya en este blog, que dentro de la cadena de seguridad de un sistema, el eslabón más débil es el propio usuario. ¿Cuántas veces hemos visto en una oficina un post-it pegado en el monitor con la contraseña de acceso al sistema? ¿En cuantas empresas algún usuario (o más de uno) visita páginas “sospechosas” para descargarse música, programas o películas online? Podría poner aquí cientos de ejemplos de este tipo.

Centrándonos en el caso de las fotos “subiditas de tono” de Jennifer Lawrence diré que ha sido un cúmulo de circunstancias. Parece que las credenciales usadas por las víctimas (han sido muchas actrices las afectadas) dejaban bastante que desear. Utilizaban contraseñas débiles o predecibles. Mediante herramientas de recuperación de copias de seguridad y otras de fuerza bruta, se consiguió sacar la contraseña de estos usuarios de iCloud. Además, existe un gran desconocimiento y sobre todo una gran sensación de falsa seguridad, que lleva a usuarios a subir cualquier contenido a la nube, confiando en que esas fotos íntimas nunca saldrán a la luz. Un usuario con más de sentido común y sensibilización en materia de seguridad y privacidad nunca subiría a la nube nada que no quisiera que saliera a la luz.

Por desgracia todas estas noticias afectan negativamente a los servicios Cloud, provocando cierta desconfianza en los usuarios a la hora de utilizar la nube, pero hay que ser justos y decir que existen soluciones para el usuario para que pueda utilizar la nube de forma segura. ¿Si es información tan sensible o confidencial, por qué no cifrarla o protegerla con contraseña? ¿Por qué no utilizar un doble factor de autenticación? Quizás porque muchos usuarios de este tipo de servicios ni sepa lo que es un doble factor de autenticación.

Para terminar os lanzo esta pregunta. ¿Se hubiera armado el mismo revuelo si en lugar de estas fotos se hubiera robado otro tipo de información confincial, como su historial clínico? Sinceramente, yo creo que no. El sexo vende mucho.

Jenny, ya sabes, la próxima vez las fotos íntimas con una Polaroid 1000.Polaroid 1000

Ya se ha comentado en este blog la importancia de los antivirus para mantener en un nivel óptimo de seguridad tu ordenador o dispositivo móvil. En el mercado hay una gran variedad de soluciones antivirus y muchas de ellas gratuitas. Como pudimos ver en este artículo, sobre cuál es el mejor antivirus, la conclusión final es que es nuestro sentido común lo que hará que nuestro equipo o dispositivo sufra más o menos ataques.

Aún así, y como no vamos a dejar a nuestro equipo sin antivirus, además de mantenerlo actualizado y escanear el sistema con cierta frecuencia, sería conveniente comprobar si está funcionando correctamente. ¿Y cómo lo hacemos? En otro artículo os explicaré cómo hacerlo de forma segura y localmente, de momento lo que sí tenemos que tener en cuenta y estar en alerta es que hay sitios Web que ofrecen un supuesto servicio gratuito para comprobar si tu antivirus realmente te está protegiendo.

Pero cuidado, no todos los sitios Web que ofrecen este servicio son de confianza. Recientemente me he encontrado con una Web alemana que ofrece precisamente un test para comprobar tu antivirus. Por curiosidad me puse a analizarla, sospechaba que había algo “raro” detrás de esta Web.

Aparentemente todo parece fiable, sin embargo al no tener ninguna referencia anterior, decidido analizar la dirección URL con algún motor de reputación y ver qué resultados me devuelve. Empiezo por uno de mis favoritos, urlvoid.com.

Después de introducir la URL en el motor, obtenemos el siguiente resultado:

¡Vaya! No parece que tenga muy buena reputación esta Web, entre los motores que lo reportan como malicioso se encuentra Fortinet, uno de las empresas más importantes en seguridad. Veamos la captura de su Web de Fortiguard:

La tienen reportada como una Web maliciosa. ¡Definitivamente no voy a testear mi antivirus en esta Web!

¡Hasta la próxima!

Que hay una importante escasez de profesionales en el sector de la seguridad informática y de la información ya no es ninguna noticia. El problema es que esta escasez está suponiendo que el grado de vulnerabalidad de las organizaciones cada vez sea mayor. Cada día es más frecuente leer noticias acerca de incidentes de seguridad que han sufrido algunas empresas, muchas de ellas empresas multinacionales.

Se estima que en la actualidad y a nivel global hay una necesidad de 1 millón de profesionales de la seguridad informática. Cantidad que se quedará corta con el paso del tiempo y que en un corto plazo de tiempo puede ser mucho mayor. Al igual que existe una brecha digital a nivel de los conocimientos de un usuario a la hora de usar las nuevas tecnologías, esta brecha es mucho mayor si la centramos en el área de la seguridad. Y es que los ciberataques ahora son más sofisticados, mucho más difíciles de detectar en tiempo real, de pararlos y de mitigarlos.

Se necesitan profesionales de la seguridad capaces de poder identificar los patrones de ataque y saber reaccionar de forma correcta ante cualquier ciberataque. Muchas empresas confían sus sistemas de información con la sóla presencia de un UTM (Unified Threat Management, Gestión Unificada contra Amenazas) y antivirus en los equipos de escritorio. Mantener seguros los sistemas de información es mucho más que instalar un cortafuegos / IDS / IPS y antivirus en los ordenadores.

Hay que saber monitorizar el tráfico entrante y saliente en busca de patrones que puedan ser sospechosos, hay que saber reaccionar ante los nuevos ataques dirigidos (APT) y hay que saber cómo implementar las contramedidas oportunas para que no se vuelva a repetir. ¿Algo más? Si, también es necesario que el responsable de seguridad de la información sea capaz de saber qué activos han sido afectados por el ataque, para determinar así la criticidad de la incidencia.

En España concretamente, opino que es un problema de base, de la propia educación. A nivel de formación reglada es muy difícil encontrar institutos o universidades que impartan oficialmente formación específica en seguridad informática. Esta falta de formación se está paliando con la aparición de Másters Universitarios y con ofertas formativas privadas.

Me parece increíble que en muchas universidades donde se ofrecen grados de informática, la asignatura de seguridad en muchas de ellas sea una asignatura opcional. O que muchos ciclos formativos de FP de informática no incluyan obligatoriamente asignaturas de seguridad.

Surgen nuevos ciclos, como el de desarrollo de aplicaciones multiplataforma o como los ya existentes de desarrollo de aplicaciones Web, pero ¿dónde está la asignatura de desarrollo seguro de software?

Esperemos que los responsables de esta escasez de formación en materia de seguridad se den cuenta de que los ciberdelincuentes cada vez están más preparados, y que los profesionales informáticos que terminan sus estudios en universidades e institutos están actualmente a años luz de poder enfrentarse adecuadamente a los nuevos ciberataques.

En esta entrada vamos a continuar hablando sobre este buscador que indexa información personal sensible, como puede ser nombres, apellidos, direcciones de correo electrónico e incluso contraseñas de éstas. La fuente de información de la que se alimenta este buscador son sitios Web de ciberdelincuentes que publican ahí sus “hazañas”, que consisten en el robo de información confidencial y en la publicación de ésta como demostración.

En el artículo anterior no pudimos probar cómo funcionaba ya que el motor de búsqueda se encontraba desactivada y devolvía continuos errores al realizar la búsqueda. Finalmente parece que está solucionado, y por desgracia para muchos, ahora sí funciona y ya muestra resultados de búsqueda con información sensible.

Veamos un ejemplo. Para ello accedemos a la Web, www.indexeus.com y para evitar limitaciones de búsqueda, me he registrado facilitando sólo una dirección de correo y una contraseña. Es suficiente para hacer login y acceder a las funcionalidades de este peculiar buscador.

Una vez creada la cuenta, hacemos login y realizamos la búsqueda, introduciendo nombre y apellidos en el cuadro de texto:

A continuación hacemos clic en el botón Search (Buscar) y obtenemos resultados con las palabras claves que hemos introducido. Exactamente igual que cuando hacemos búsquedas de sitios Web en Google.

Podemos observar que con las palabras claves introducidas hemos obtenido 20 resultados. Centrándonos en uno como ejemplo, podemos ver la dirección de correo (ocultada por tema de privacidad) y una serie de campos con el valor -HIDDEN- (oculto). Pues bien, tan sólo tenemos que hacer clic en el botón Unlock (Desbloquear) para poder visualizar los valores de estos campos, siempre y cuando hayan sido indexados por Indexeus.

En este caso el “único” dato indexado ha sido la contraseña. Creo que hay poco más que añadir.

Bueno sí, no olvidéis pasaros de vez en cuando por este buscador y comprobar si Indexeus ha indexado alguna información que os resulte “familiar”.

¡Hasta la próxima!

Desgraciadamente esto no es así. Sería ideal que cuando accedemos a una Web estuviéramos 100% seguros de que ésta no va a comprometer la seguridad de nuestro ordenador o dispositivo móvil. No es así porque cuando visitamos una Web, en la cual confiamos plenamente, no sólo accedemos a los recursos URL de dicha Web. Existen multitud de motivos por los cuales la Web original realiza peticiones a otras URL incluso fuera de su dominio. Aquí es donde radica el problema.

Control de visitas, obtención de información para estadísticas, banners de publicidad, recopilación de intereses de usuarios... Son algunos de los objetivos por los que la Web a la que visitamos nos “redirige” o solicita de forma automatizada recursos en otros dominios y URLs que nosotros no hemos solicitado. Resultado final: nuestro navegador Web accede a dichos recursos, de los cuales no tenemos información, por lo tanto no sabemos si son seguras o pueden comprometer nuestro equipo.

Os pondré un pequeño ejemplo de una App que he encontrado en iTunes. En la página de iTunes aparece información acerca de la aplicación entre la que se encuentra la dirección Web de la empresa / producto.

Analizando la Web con recursos como los que hemos nombrado en otra ocasión como VirusTotal, observo que la Web en cuestión no está reportada como maliciosa o sospechosa.

Como he comentado antes, cuando accedemos a una Web, nuestro navegador no sólo realiza las peticiones correspondientes y necesarias para cargar el contenido de ésta, sino que además puede realizar peticiones de recursos Web a terceros. Veamos un ejemplo.

En la imagen anterior, y mediante un proxy local, descubro que al visitar la Web de la applicación, ésta automáticamente realiza peticiones a varias páginas Web, sin saber el motivo por el que las hace (publicidad, estadísticas, obtención de información...). Pues bien, me llama la atención una de las Web, que es precisamente la que está marcada en azul en la imagen anterior.

Aquí podemos comprobar que VirusTotal sin embargo sí reporta el sitio Web como malicioso, mientras que la Web original, la que hemos visitado a conciencia, no es una Web maliciosa.

Como os podéis imaginar es un problema serio para el usuario, para el que accede a la Web, ya que en principio desconoce hacia dónde le va a redirigir, cómo va a obtener ciertas imágenes o publicidad o haciendo dónde va a enviar cierta información. Además, para un usuario normal, resulta complicado saber las URLs implicadas durante una navegación Web, ya que hay que hacer uso de ciertas herramientas.

Ante esto, algunos consejos que os pueden venir bien:

Como siempre, espero que os resulte útil.

¡Hasta la próxima!

Desde hace ya algún tiempo, los ciberdelincuentes suelen compartir sus “hazañas”, ya sea un defacement (cambio de aspecto) a una Web o mediante la publicación de información sensible, como puede ser el caso de las contraseñas de cuentas de correo. Un ejemplo de sitios Web donde se puede encontrar ese tipo de información es Pastebin.

En la siguiente imagen podemos ver un captura de pantalla de la Web, donde se muestran cuentas de correo y contraseñas que han sido robadas.

Esto es sólo un ejemplo de lo que nos podemos encontrar. Por cierto, no sería mala idea visitar este tipo de páginas de vez en cuando para comprobar si aparecemos en la “afortunada” lista de cuentas hackeadas.

El origen de esta información suele ser la explotación de una brecha de seguridad, en la que el atacante se hace con la base de datos de usuarios con su información personal o mediante la recopilación individual de usuarios y contraseñas a través de técnicas de phishing, por ejemplo.

Al catálogo de sitios Web que publican información de este tipo hay que añadirle ahora un buscador de información personal. Si, han leído bien, un buscador como Google o Bing, pero de información personal, como pueden ser direcciones de correo, usuarios o contraseñas.

El buscador se llama Indexeus y lo podéis encontrar en www. indexeus. com. Indexa registros de usuarios y contraseñas provenientes de las últimas brechas de seguridad, entre ellas algunas famosas como Yahoo o Adobe. La idea es vender registros con información personal al precio de 1 $ por registro. También le llaman “donaciones” y dan la posibilidad de pagar con Bitcoins.

Su uso es muy simple, tan sólo tenemos que introducir en el formulario de búsqueda el término a buscar, como puede ser el usuario o el correo electrónico. Como un buscador normal, realizará una búsqueda en sus bases de datos y si encuentran registros coincidentes los mostrará. En este momento no está funcionando.

Lo curioso de esto es que los creadores del buscador aseguran que el objetivo no es la publicación de esta información para que sea usada de forma fraudulenta, sino para que sirva como ejemplo para la concienciación y sensibilización. Un poco radical, ¿no?

Como hemos mencionado antes, en este momento el motor de búsqueda de Indexeus no está funcionando. Aún así habrá que estar atentos y tener en cuenta este recurso para comprobar si tiene indexada información nuestra.

Seguiremos informando, y si vuelve a estar en funcionamiento publicaremos algunos ejemplos de uso.

¡Hasta la próxima!

Es lo que deberíamos de preguntarnos cuando nos conectamos a una red WiFi pública y tenemos que introducir credenciales en un sitio Web que lo requiera, como puede ser una banca online, correo electrónico o alguna red social. La verdad es que conectarse a una red WiFi pública se está convirtiendo en una tarea sumamente “arriesgada”.  Ya me estoy imaginando a Bear Grylls, de “El último superviviente” contando cómo sobrevivió a la conexión de una WiFi pública sin sufrir un robo de credenciales.

“En el próximo programa intentaré conectarme a una WiFI pública sin que me roben las credenciales. Será durísimo.”

Por desgracia, no todos los usuarios son conscientes del riesgo que supone introducir credenciales en una red WiFi pública. No vamos a entrar en detalles técnicos, porque evitamos utilizar conceptos técnicos, pero creedme que cualquier persona con unos mínimos conocimientos en hacking y con las herramientas adecuadas podría interferir el tráfico y capturar esas credenciales de la banca online, correo electrónico o redes sociales.

En función del tipo de ataque realizado, es posible que con la utilización del HTTPS dificultemos la labor al atacante, pero ni mucho menos es la panacea de la seguridad y privacidad Web. Existen técnicas de suplantación que podrían llevar a la víctima a una Web falsa suplantando al servidor real, y de esta forma hacerse con el usuario y contraseña del servicio.

more

Así que, en medida de lo posible, aconsejo no utilizar servicios que requieran de una autenticación en una red WiFi pública. Pensad que no todos los usuarios de esa red tienen las mismas inquietudes. Os podéis encontrar con usuarios que llevan horas esperando a su presa, esperando a que ésta intente acceder a un servicio con credenciales para robárselas.

Shoulder Surfing

Si tenéis tarifa de datos, para esa conexión más “delicada” podéis utilizar vuestra conexión del móvil, hacer Tethering que básicamente es compartir la conexión de Internet de vuestro móvil con vuestro portátil o tablet. De esa forma evitamos la posibilidad de que un atacante capture nuestro tráfico. Salvo que la contraseña de la conexión compartida sea lo suficientemente débil para que pueda ser sabida por el atacante. Cuidado con el “Shoulder Surfing”, técnica usada por ciberdelincuentes mediante la cual obtienen credenciales “mirando por encima del hombro” cuando procedemos a introducirlas. ¿Introduces con cuidado el pin en el cajero automático? Pues en Internet, igual.

Tampoco hay que llegar a estos extremos paranoicos...

¿Shoulder Surfing a mi? A mi no...

¿Qué ocurre si no tenemos más remedio y no disponemos de tarifa de datos? ¿Qué ocurre si es un tema de trabajo y es urgente? Pues nada, tendrás que decidir si corres el riesgo. Eso sí, si lo haces, cruza los dedos.

¡Buen fin de semana!

Ya es una realidad la presencia de los smartphones en nuestro día a día y no sólo para uso particular. Son cada vez las empresas donde sus empleados utilizan su dispositivo móvil para trabajar, incluso se puede dar el caso que sea el dispositivo del propio trabajador y no uno suminstrado por la empresa. Lo que se conoce hoy en día como BYOD (Bring Your Own Device), “llévate tu propio dispositivo”. Como hemos mencionado en otros artículos, estas ventajas tecnológicas traen consigo una serie de riesgos.

Nuestro dispositivo móvil ya no sólo realiza llamadas o envía SMS, ahora es capaz de abrir una hoja de cálculo, un PDF o navegar por Internet. Es un ordenador, y como tal estará expuesto a vulnerabilidades de software y al malware. Afortunadamente, en lo que a malware se refiere, los fabricantes de antivirus se “pusieron las pilas” hace tiempo y tienen desarrollados sus soluciones antivirus para móvil. Pero la pregunta es, ¿son útiles?

Obviamente no están tan trabajados como los programas antivirus de escritorio como el que tenemos en nuestro ordenador de sobremesa o portátil, pero sí pueden ser un buen complemento. Las aplicaciones para móviles funcionan de manera similiar a como lo hace un programa en nuestro ordenador, pero con sus diferencias, y algunas de ellas importantes. Esto hace que los virus o troyanos para móviles también tengan un comportamiento distinto, lo que de momento impide que los antivirus para móviles sean tan eficientes como los de escritorio.

Además de los antivirus para móviles, tenemos a nuestra disposición otras aplicaciones orientadas a la seguridad de nuestro dispositivo. Existen suites (conjunto de herramientas) que incluso nos permitirían localizar nuestro móvil en caso de pérdida o robo, o borrar remotamente la información del móvil de forma remota en caso de pérdida o robo. Tampoco podemos olvidarnos de las aplicaciones de copias de seguridad, que nos permiten mantener una copia segura de los datos importantes de nuestro móvil.

No nos podemos olvidar de herramientas específicas que tenemos disponibles para analizar la seguridad de nuestro móvil. En este artículo ya hablamos sobre CONAN Mobile de INTECO, una App gratuita para Android que nos analiza la seguridad de nuestro móvil. Recomendable.

Para finalizar, y a modo de resumen, pondremos una pequeña “checklist” de lo que necesitamos para que nuestro móvil sea lo más seguro posible.

Como podéis comprobar el último elemento la lista, y no el menos importante, es el sentido común. Nuestro mejor aliado.

¡Hasta la próxima!

Es una pregunta que vengo haciéndome desde hace ya tiempo, pero que tras los recientes Mega-Eventos de Apple y Google no puedo quitarme de la cabeza. Son cada vez más los dipositivos nuevos que aparecen que tienen como uno de sus objetivos la conectividad. Estar conectados con otros dispositivos, con otras bases de información, con otros sensores... El Internet de las cosas dicen.

Soy de la opinión que la tecnología y sus avances es necesaria, para nada soy escéptico a los nuevos dispositivos y sus nuevas funcionalidades, pero si me preocupa la poca importancia que se le da a los riesgos tecnológicos que el uso éstos implica. Es de Perogrullo, cuantos más dispositivos tengamos conectados, más vectores de ataques, mayor número de vulnerabilidades y por lo tanto mayor grado de exposición a amenazas y riesgos.

Ya hacíamos referencia a esto en un anterior artículo acerca de la falta de concienciación en cuanto a que hoy en día los smartphones no son simples móviles, son micro-ordenadores que llevamos en nuestros bolsillos. Con todo lo que eso implica, para bien y para mal.

Del mismo modo, todo lo que se nos avecina en forma de coches inteligentes, frigoríficos inteligentes o por ejemplo, las famosas Google Glass, está claro que aportará muchísimas ventajas y nos facilitará nuestro día a día, pero ¿somos conscientes de que lo que incorporan son ordenadores con sus sistemas operativos y programas, con sus consecuentes vulnerabilidades y fallos de programación o configuración?

¿Por qué esta preocupación? Pues bien, cuando ves que todavía hay muchísimos usuarios usando Windows XP o que muchos con otros sistemas operativos más avanzados no prestan atención a las actualizaciones de éstos o directamente tienen deshabilitada su actualización, te das cuenta que esta pasividad y falsa sensación de seguridad (provocada por la falta de sensibilización, educación y formación en materia de seguridad de la información) será, con casi total seguridad, trasladada también al uso de estos nuevos dispositivos.

Hay una “pequeña” diferencia. Mientras que en el caso del ordenador, una intrusión no deseada puede provocar el robo de información confidencial (que no es poco), ¿os habéis parado a pensar lo que puede suponer unas Google Glass comprometidas? ¿Un frigorífico inteligente con malware? ¿Un coche inteligente con un troyano? Miedo me da...

¡Hasta la próxima!

En este artículo os contaré un caso reciente de un intento de ataque de ingeniería social por teléfono que sufrí hace unos días. Resulta que estaba tranquilamente en casa cuando recibo una llamada, con origen desconocido, en la cual un hombre en inglés me comenta que llama desde Microsoft, desde el departamento de seguridad asegurando que mi ordenador está infectado.

Al principio, incrédulo y sorprendido, le pregunto que en qué se basan para ello. Su respuesta fue que mi sistema operativo Windows ha detectado un virus en mi ordenador y que les ha mandado la alerta a su centro de seguridad, y que su trabajo es avisar.

Bueno, antes de seguir, vamos a resumir y aclarar lo sucedido:

1) Me llaman a mi casa. ¿Es que Windows almacena mi teléfono fijo y se lo manda a Microsoft para que me llamen?

2) Imagino que en ese departamento trabajarán 4.000.000 de personas para atender todas las alertas de máquinas Windows infectadas. Por lo menos.

3) Con el ruido que tenían de fondo parecía que me llamaban desde una caseta de la feria en lugar de una oficina.

Dejando la ironía aparte, seguimos.

Por curiosidad y dejándome llevar le digo que me preocupa y que me gustaría saber qué tengo que hacer. Obviamente ya conocía la respuesta. Me facilitaban un número de cuenta o cuenta de pago online de “Microsoft” para que me limpiaran remotamente el equipo de virus. ¡Genial!

Acabé diciendo que no estaba interesado y que ya lo limpiaría yo sólo, y les di las gracias por avisar. ¡Tengo una central de alertas gratis que me avisa si tengo virus!

En fin, como podéis comprobar, los ciberdelincuentes siguen evolucionando, y ya no sólo intentan engañarnos vía e-mail, o mediante enlaces falsos a través de páginas Web o redes sociales, ahora también lo hacen con una llamada de teléfono. Cuidado con estos ataques de ingeniería social.

Como siempre, SENTIDO COMÚN.

¡Hasta la próxima!