miércoles, 31 de diciembre de 2014

Cinco infografías para un 2015 más seguro

Desde la mítica bola de cristal del Edificio Uno de Times Square en Nueva York, hasta las célebres doce uvas de la suerte en Madrid (España), pasando por las lentejas italianas o la fusión de mar y fuegos en Brasil. Cada cultura pauta su propio ritual para despedir el año, y en CIGTR vamos a hacerlo a base de infografías. No hay mejor manera de cerrar 2014 que apelando a la conciencia, y con tanta fiesta por venir y tanta desconexión vacacional, hoy es más válido que nunca aquello de que "una imagen vale más que mil palabras".

No son doce uvas, pero sí siete mitos, los que encontramos en la primera infografía, preparada por la gente de Symantec. Siete mitos en torno a la ciberseguridad, desmentidos por la propia compañía. Si quieres estar seguro en 2015 contrata de una vez un antivirus profesional, que las versiones gratuitas no sirven; y no, por muy listo que te creas, saber si tu dispositivo está infectado es una tarea reservada a muy pocos. Y eso son solo dos de los siete mitos. El resto los encuentras 'clicando' en el enlace.


martes, 30 de diciembre de 2014

Espionaje, cibercrimen y censura rubrican este 2014

No pueden matarme, mi país reaccionará, mandarán una carta”. James Bond se defendía de esta manera en Casino Royale, en referencia a la supuesta respuesta que el gobierno daría de su muerte. Bond era un espía, y por tanto, sabía que en caso de problemas, estaría solo.


Las películas de espías causaron furor en los años ochenta y noventa, y vuelven a estar de moda, aunque esta vez sea en la realidad. No es la primera vez que la cancillería alemana descubre ser víctima de un espionaje. Esta vez, casi de pura casualidad gracias a un antivirus que anduvo rápido al señalar un USB como infectado por Regin, el malware de espionaje vinculado (al menos en sus comienzos) con el servicio de inteligencia británico y la agencia de seguridad nacional estadounidense.


lunes, 29 de diciembre de 2014

Las técnicas de robo de identidad se están sofisticando

El hijacking, o robo de datos personales, es una tendencia clara a la que tendremos que enfrentarnos de aquí en adelante con cada vez más asiduidad. Las técnicas siguen siendo las mismas, pero con la industrialización del crimen digital y la feroz evolución tecnológica a la que estamos sometidos, se están sofisticando.


Imaginemos un panorama en el que la mayoría de servicios utilizan como sistema de identificación la huella digital. Y en este entorno, un grupo, como podría ser el Chaos Computer Club, demuestra que es capaz de obtener las huellas de cualquier persona tan solo con algunas fotografías de sus manos en distintos ángulos. Este panorama no representa una utopía, sino la realidad. En una de sus últimas conferencias, estos alemanes obtuvieron las huellas de la ministra de defensa, Ursula Von Der Leyen, únicamente con las fotos obtenidas en fuentes públicas.


domingo, 28 de diciembre de 2014

El top 10 del año en seguridad


Definitivamente, lo que más ha impactado este año a nuestras lectoras y lectores se resume en 4 palabras: "Fotos de famosas desnudas". Ni Heartbleed, ni Camaleón, ni fin del soporte a Windows XP, las noticias más leídas en este vuestro humilde servicio de información son las referidas al "Celebgate": el hack contra el servicio iCloud de Apple y el robo y publicación en Internet de fotos de famosas sin ropa. Incluso hubo quien montó una exposición con algunas.



No hubo en cambio fotos de famosos desnudos, lo que demuestra que los "black hats" son mayoría hombres heterosexuales y/o que los famosos no se hacen fotos de esa guisa. 2014 ha sido, pues, el año en que muchos usuarios han tomado conciencia de su privacidad al ver lo fácil que es conseguir datos que desvelan sus vidas y rutinas, como en la red social para deportistas Endomondo, que por defecto permite que las rutas de sus usuarios sean públicas.


sábado, 27 de diciembre de 2014

Una negra nube de inseguridad cubre Internet

Si viviésemos en el “Señor de los Anillos” diríamos que Sauron y su oscura sombra cubren a día de hoy prácticamente toda Internet. Miremos donde miremos, los jinetes negros campan a sus anchas, permitiéndose amenazar lo más sagrado de la red y a ella misma. Frente a tanto orco, creado por las mafias pero también por magos negros en las alcantarillas de los gobiernos, la lucha de la Comunidad de la Red parece una gota en un océano de lava. Si se nos permite el pesimismo, la rampante in-seguridad informática supera hoy las predicciones de la literatura de ciencia-ficción y ciberpunk entera.



Sólo hay que mirar al grupo Lizard Squad, que después de pasar la Navidad bombardeando cibernéticamente las redes de las consolas Xbox Live y PS Network, amenazan ahora con cargarse la red Tor, creada para asegurar el anonimato de las personas y sin ninguna relación con el mundo de los videojuegos, objetivo hasta ahora de las andadas de Lizard Squad, a quienes el éxito parece habérseles subido a la cabeza. Por cierto que otro prenda, Kim Dotcom, el millonario propietario de Mega, se ha metido también en esta rocambolesca historia.


viernes, 26 de diciembre de 2014

Seguridad, privacidad y ciberguerra: la que se nos viene

Terminamos el 2014 con dos tendencias que parece nos acompañarán el próximo año. Los ataques de denegación de servicio y los asaltos a la privacidad de la ciudadanía con la excusa de la lucha contra el terrorismo. Cuatro artículos, dos para cada tema, sobre algunos de los sucesos recientes.


La réplica al supuesto ataque de Corea del Norte a Sony Pictures no se ha hecho esperar. Un DDoS masivo que tumbó durante cerca de 10 horas la red de internet del país, presuntamente desde EEUU. Aún estamos recopilando información, pero parece claro que hubo víctimas inocentes, como el proveedor español de hosting Dinahosting, cuyas DNS fueron objetivos de la campaña por albergar en sus servidores una página relacionada con el gobierno del país.


miércoles, 24 de diciembre de 2014

Los tiempos están cambiando

Se entiende por proceso de cambio a la transformación de un estado anterior hasta su estado posterior, que le sucede. Hasta 1990, la ciencia entendía el cambio como una excepción entre dos etapas de estabilidad. Con la evolución social y tecnológica de estas últimas dos décadas, el cambio ha pasado de ser un estado a ser una constante, un permanente de nuestras vidas, al que hay que adaptarse y saber sobrellevar.


Los cambios suceden ahora de forma habitual, sin una definición clara de cuándo empiezan y cuándo terminan. Tan pronto tienes claro un hecho, como te das cuenta que ese hecho pertenece al pasado, no ha evolucionado con el cambio.


martes, 23 de diciembre de 2014

La tecnología no es ni buena ni mala, ni tampoco neutral

Melvin Kranzberg fue un reputado profesor de historia que vivió sus años de estudiante en plena Segunda Guerra Mundial. Sabedor de la importancia que la tecnología estaba tomando en el transcurso de la sociedad, y en vista de la esperable negatividad de un pueblo que veía cómo todas estas innovaciones acababan repercutiendo en la creación de armas más y más destructivas, defendió a ultranza la tecnología con una frase que seguramente has oído en más de una ocasión: ”La tecnología no es buena ni mala, ni tampoco neutral”.


“Es el uso que le damos lo que declina la balanza hacia uno u otro lado”, incluyen algunos como coletilla, y es que la historia de la tecnología es lo suficientemente extensa para casos de buenos y malos usos de la misma.


lunes, 22 de diciembre de 2014

Relojes que ponen en peligro la seguridad nacional

Los egipcios medían el tiempo con la clepsidra, un artilugio que aprovechaba el flujo controlado del agua para temporizar acciones. Incluso antes los antiguos habían usado relojes de sol, de aire y como no, de arena. No sería hasta el Imperio Bizantino que surgirían los primeros relojes de pesas y ruedas, que evolucionaron en la sociedad de la Edad Media sofisticándose y reduciéndose de tamaño hasta la aparición, alrededor del siglo XVII, de los relojes de mano. De esos primeros relojes mecánicos, a los relojes analógicos y digitales, y de estos a los atómicos de la actualidad.


Todo el tejido tecnológico de nuestra sociedad bebe de herramientas de medida del tiempo. Desde el propio flujo de acciones en una pila informática, pasando por la conexión y comunicación de paquetes de datos y la entrada y salida de información mostrada en pantalla o periféricos. Para controlar todo esto, se desarrollaron protocolos de gestión del tiempo como NTP, utilizado para sincronizar los relojes de los sistemas en comunicación que evita que haya fugas y pérdidas de paquetes. Y Neel Mehta y Stephen Roettger, del equipo de seguridad de Google, han demostrado que NTP es vulnerable en remoto, pudiendo hacerse con el control del sistema con permisos de usuario. Una vulnerabilidad que afecta a casi todos los sistemas, pero que se vuelve crítica en arquitecturas ICS y SCADA, como las utilizadas en sistemas de centrales eléctricas, semáforos o potabilizadoras de agua.


domingo, 21 de diciembre de 2014

El top 5 de la semana en Seguridad (LVII)

Cuando llegan estas fechas, los medios recurren a sesudos expertos para que, después de mucho pensar, decidan cuáles serán los temas clave del próximo año. En CIGTR tenemos la suerte de que nuestras lectoras y lectores son los expertos o, al menos, grandes curiosos. Así, sólo tenemos que echar un simple vistazo a las noticias que más les han interesado esta semana para saber cuáles serán los "trending topics" en seguridad de 2015.



Por un lado y como indiscutible amenaza se alza el malware que cifra la información contenida en los ordenadores que infecta y pide un rescate por descifrarla. CryptoLocker es el más conocido pero hay otros, como TorrentLocker, que la empresa antivirus ESET ha analizado con minuciosidad.


sábado, 20 de diciembre de 2014

Silencio, cámaras... ¡¡hackción!!

"El Imperio amenaza como una masacre como la de Alderaan si se filtra lo último de Star Wars". Si eres un férreo seguidor de la saga iniciada por George Lucas sabrás la ironía que encierra este 'tuit' del polémico @KimDotCom (Megaupload, Mega). Si no, busca en Google el término Alderaan y bien pronto lo entenderás.

Nos guste o no el estilo de Kim, el terremoto del #SonyHack ha sacudido todos los cimientos de la industria del entretenimiento. En las últimas horas todo sucede a gran velocidad, pasando del estupor a las amenazas: el FBI afirma que detrás del ataque está Corea del Norte, el presidente Barack Obama anuncia que habrá represalias e incluso pide ayuda a China, y la propia Corea del cada vez más aislado Kim (otro Kim) Jong Un replica que no sabe de qué va "la película".


viernes, 19 de diciembre de 2014

Avanzando la ciberseguridad de 2015

La imagen que acompaña es una de las favoritas en los memes de Internet sobre situaciones irónicas: un colegio de arquitectura y planificación... ¿tan mal diseñado que la pared se come la primera letra del rótulo? Pues de una forma similar terminó el año pasado en temas de ciberseguridad: una conocida cadena comercial, llamada Target (objetivo), se convertía precisamente en el objetivo de los cibercriminales, en una de las operaciones que más ha resonado hasta fecha actual.

A tal punto la historia de Target sigue siendo actualidad, que el investigador Stephen Cobb ha retomado los 12 meses transcurridos desde este asalto para plantear algunas enseñanzas de futuro: hay que prestar atención a cuentas y a las redes internas; hay que sumar buena tecnología, buena gente y buen liderazgo; hay que asumir que los políticos no están haciendo lo suficiente, y las compañías por sí mismas tampoco; y hay que tener claro que los chips inteligentes por sí solos tampoco van a acabar con el cibercrimen.


jueves, 18 de diciembre de 2014

El Gran Dictador Hacker

"Nuestro conocimiento nos ha hecho cínicos, nuestra inteligencia duros y secos; pensamos demasiado y sentimos muy poco. Más que máquinas, necesitamos humanidad; más que inteligencia, tener bondad y dulzura. Sin estas cualidades la vida será violenta, se perderá todo". 'El Gran Dictador'. Charles Chaplin. 1940. Uno de los discursos más vibrantes, emotivos e inmortales en toda la historia del cine. 

¿Habríamos llegado a ver El Gran Dictador si en aquellos años de guerra mundial declarada hubiera habido criminales a sueldo de Alemania, capaces de poner de rodillas a toda una industria del cine? Porque eso es lo que, en apariencia y de primeras, han logrado los criminales que estos días han desvalijado cuanta información han podido hackear en Sony Pictures. El grupo aparentemente financiado por Corea del Norte ha conseguido que la compañía cancele el estreno de The Interview, una comedia política que hace tanta burla de Kim Jong-Un como en su día hizo el inmortal Chaplin con la aberración humana que significó Adolf Hitler.


miércoles, 17 de diciembre de 2014

Los creadores de ciberarmas y la forja de Hefesto

Se dice de Hefesto, hijo de Era y Zeus en la mitología griega, que nació deforme y fue arrojado al mar, donde dos nereidas lo salvaron y lo ocultaron en una cueva. En esta cueva acabó por aprender los secretos de la forja, lo que le permitió ser llamado dios del fuego y la fragua, y crear varias de las armas y utensilios considerados reliquias de los dioses, como el carro de Helios, el casco de invisibilidad de Hares o las flechas de Eros.


Hefesto es el dios también de los herreros, de los artesanos, de los escultores, y podría ser también el de los desarrolladores de malware. Con su yunque trabajó el metal al igual que los cibercriminales trabajan los bits, dando forma a poderosas armas cibernéticas.


martes, 16 de diciembre de 2014

Gazapos y errores que pueden salirnos muy caros

”Gazapos”. Intencionados o no, que acompañan a nuestra sociedad en todo lo que hace. A veces pequeños y simpáticos, como los múltiples errores de una producción cinematográfica: Ese avión sobrevolando la Troya por la espalda de Aquiles, el guante que aparecía y desaparecía de la mano Han Solo en la Guerra de las Galaxias. Y otras veces pequeños gazapos que pueden resultar cruciales para el éxito o fracaso de una campaña de malware. Amigos del CIGTR, empecemos.


360, una empresa de seguridad china, alertaba esta semana de una nueva amenaza para dispositivos Android. La criatura ha sido bautizada como Fakedebuggerd, un malware que utiliza técnicas de rootkit para asegurar la persistencia del mismo en el sistema, y que vuelve locos a sus usuarios con supuestas aplicaciones de linterna o calendario que aparecen y desaparecen del listado de apps instaladas. Y en sus entrañas, un APT de robo de información privada: nombres de redes, llamadas, información de tarjeta SIM, firmware,...


lunes, 15 de diciembre de 2014

Navidades digitales nada halagüeñas: brechas de seguridad y asaltos a la privacidad

"Estamos preparándote un regalo de Navidad", decía Guardians of Peace en un post en Pastebin y Friendpaste- "El regalo será una mayor cantidad de datos. Y serán todavía más interesantes. El regalo te será muy placentero, y pondrá a Sony Pictures donde se merece".


Son palabras de Guardians of Peace, el grupo cibrecriminal detrás del ataque a la infraestructura de Sony Pictures, amenazando con divulgar más información si no se cumplen sus exigencias. Un ataque que sigue hoy por hoy acaparando portadas debido a su lamentable éxito. Alrededor de 1600 servidores (físicos y virtuales) basados en Linux, y 811 de Windows vulnerados. Cerca de 3000 ordenadores personales de los trabajadores en territorio americano, y 7700 en el mundo entero comprometidos. Más de un terabyte de información privada (y en algunos casos crítica) divulgada en páginas de compartición de archivos y torrents. E incluso el uso del certificado interno de la compañía que podría estar ya siendo utilizado para difundir malware autofirmado.


domingo, 14 de diciembre de 2014

El top 5 de la semana en Seguridad (LVI)

¿Qué es Lizard Squad? Posiblemente sólo a unos pocos de nuestros lectores les sonará este nombre, pero la cosa cambiará si aclaramos que es el grupo responsable de los recientes ataques cibernéticos que han tumbado los sitios online de PlayStation y XBox Live. Ambas acciones han sido, con mucha diferencia, las noticias más leídas esta semana.



No es para menos, teniendo en cuenta que el juego online es una de las principales aficiones de las y los internautas y toda interrupción es ampliamente comentada. Lo saben los hackers malos, como Lizard Squad, uno de los más activos grupos de la criminalidad informática, dedicado en cuerpo y alma a atacar el negocio de los videojuegos. Y así lo están haciendo: la web de PlayStation estuvo todo el lunes inaccesible. En cuanto al servicio XBox Live de Microsoft, sufrió un duro bombardeo de Denegación Distribuida de Servicio que lo dejó KO el pasado fin de semana. Para colmo, Lizard Squad ha anunciado que volverá a tumbar Sony estas Navidades.


sábado, 13 de diciembre de 2014

Que Internet no te amargue las fiestas

Las vacaciones de Navidad y Reyes son fecha propicia para que, con tanto frío y tiempo libre, pasemos más horas de las habituales o hagamos más compras en Internet. Los delincuentes lo saben y ya tienen a punto su propia campaña navideña, que incluye estafas, robos, extorsiones, intrusiones en empresas, etc. No es nuestra intención asustar ni amargar las fiestas a nadie, pero poner un punto de atención y conciencia en nuestra vida cibernética no estaría de más en estas fechas.



Así lo avisan los resultados de una encuesta realizada por la empresa Balabit a directivos y ejecutivos, a los que llama usuarios privilegiados: el 70% se conectarán desde su casa estas fiestas a la red de la empresa para chequear el correo electrónico, la mitad de ellos varias veces al día. Y la gran mayoría, el 72% realizarán estas conexiones indistintamente desde su red, la de un amigo o una red wifi pública, algo extremadamente peligroso pues puede haber criminales a la escucha. Para colmo, el 38% de encuestados no usarán niveles extra de autenticación para entrar en la red de su compañía desde dispositivos no registrados en la misma.


viernes, 12 de diciembre de 2014

El internet de las cosas como objetivo claro para el 2015

El mundo conectado. Esa transformación tecnológica que rompe barreras geológicas y temporales, que cuantifica el mundo real, dotándolo de variables medibles. Un ecosistema de dispositivos vestibles, de dispositivos móviles, de dispositivos domóticos que interaccionan con el entorno. Se acerca la era del Internet de las Cosas, y como todo cambio de paradigma, llega asociado a unos riesgos.


El Internet de las Cosas está conformado por miles de millones de dispositivos, desarrollados con distintos protocolos, en una lucha ferviente por ver quién se alzará con el liderato del sector. Y es precisamente este hecho el que nos lleva a alertar de los peligros inminentes. Distintos protocolos, con distintas vulnerabilidades, y sin un control estandarizado, que podrían afectar incluso a nuestra vida, con toda esa oleada de tecnología médica.


jueves, 11 de diciembre de 2014

Todos llevamos un hacker en nuestro interior

1961 es una de las fechas más importantes del mundo tecnológico. En aquel año, los chicos del comité de Señales y Energía del Tech Model Railroad Club, se hicieron con una de las primeras computadoras PDP-1. Este grupo pasaría a ser más tarde el núcleo del Laboratorio de Inteligencia Artificial del MIT, el centro más destacado de IA del mundo a principios de los 80. Y el que acabaría por acuñar el término hacker en la conciencia colectiva.


Hacker, una de las palabras más controvertidas de los últimos años. Hackers como sinónimo de pirata informático, de aquel que está detrás de vulnerabilidades como POODLE, que da el paso de SSL a algunas versiones de TLS. Ni desactivando la retrocompatibilidad con SSL nos libramos ya.  La versión TLS 1.2 parece ser también vulnerable.


miércoles, 10 de diciembre de 2014

Pasado, presente y futuro de la seguridad tecnológica

En Back to the Future (película, 1986), Robert Zemeckis (guionista principal) dibujaba lo que por aquel entonces se suponía que sería el mundo del año 2000. Un mundo con vehículos voladores y tecnología vestible, donde la gente seguía acudiendo a las cafeterías-heladerías de toda la vida para disfrutar de unas tortitas con helado y sirope de chocolate mientras leían, eso sí, un periódico digital.


A puntito de acabar el 2014, parece que todavía nos quedará un largo trecho antes de montarnos en el monopatín de Marty McFly, pero sí estamos cerca de ese mundo permanentemente conectado, y de toda esa tecnología que alimenta nuestro voraz apetito de información. McAffe Labs manifiesta en su último informe de amenazas, las principales tendencias en materia de ciberseguridad para el próximo año. Y sí, aparece el internet of things, y aparecen los wearables (tecnología vestible) así como los dispositivos móviles como principal fuente de riesgo.


martes, 9 de diciembre de 2014

Varios tips sobre la libertad y privacidad en internet

Decía Alonso Quijano, más conocido como Don Quijote de la Mancha, a su inquebrantable escudero: La libertad, Sancho, es uno de los más preciosos dones que a los hombres dieron los cielos; con ella no pueden igualarse los tesoros que encierran la tierra y el mar: por la libertad, así como por la honra, se puede y debe aventurar la vida”. Una oda que este hidalgo llevó a su máxima expresión, tejiendo su camino por los amarillos campos de Castilla como si de una epopeya heroica se tratara.


La libertad sigue siendo hoy tan importante para el devenir de la sociedad como lo era entonces. Una libertad encapsulada bajo unos principios de autocontrol que permiten la vida en colectivo. Y una libertad en continua sospecha de estar puesta bajo control de los gobiernos, censura incluida, como demostraba recientemente GigaOM en el estudio (versión PDF) en el que analiza su evolución en el 2014 en los 65 países evaluados. Rusia, Turquía y Ucrania como aquellos más censurados, e Irán, China y Siria como los más limitados en cuanto a expresión personal.


lunes, 8 de diciembre de 2014

Millones de usuarios en el blanco de la industria del crimen

Dentro de la industria del cibercrimen, el mundo del videojuego ocupa un 9% de todo el sector. Un 9% que representa cientos de millones de pérdidas anuales para los segundos, y millones de ganancias para los primeros. Uno de los cuatro grandes objetivos del entorno cibernético, y un caldo de cultivo perfecto para todas las técnicas de extorsión, denegación de servicio y robo de datos con los que cuentan los “hackers” de sombrero negro.


Lizard Squad, uno de los grupos más activos del mercado negro, ha tomado este puente como fecha señalada para sus fechorías. Dos grandes ataques a dos de los tres grandes ecosistemas de gaming. 


domingo, 7 de diciembre de 2014

El top 5 de la semana en Seguridad (LV)

Es de amor y odio la relación que tenemos con los dispositivos tecnológicos. Por una parte, son nuestro objeto de deseo y gastamos cantidades ingentes de dinero en ellos. Pero, por otra, a medida que se hacen más complejos aumenta nuestro desconocimiento sobre cómo funcionan y cómo usarlos de forma segura. Así que acaban dándonos miedo. Por eso las noticias más leídas esta semana (y la mayoría de semanas) tienen que ver con peligros que nos acechan en nuestra vida digital.



Nuestra noticia top de esta semana se refiere a varios teléfonos móviles chinos, clónicos de otros de marca, que se venden con un troyano instalado de fábrica, concretamente un programa malicioso en su firmware que permite la instalación de programas sin saberlo su propietario, monitorización de datos consumidos e incluso robo de identidad.


sábado, 6 de diciembre de 2014

El hack del año

En los viejos tiempos se decía que la red crecía de forma tan exponencial que un año en el Mundo Real eran siete años en Internet. Este ritmo de crecimiento se ha ido desacelerando, excepto en algunos campos donde la investigación no cesa y aparecen constantemente nuevos programas, nuevas teorías y nuevos expertos. Es el caso del marketing en redes sociales y también, en mayor medida, de la seguridad informática, un mundo que avanza sin cuartel, sumido en una carrera armamentística a día de hoy imparable.



Sin ninguna duda, el hack de este año y parte del siguiente es el ataque a la corporación Sony por parte de un grupo autodenominado #GOP (Guardians Of Peace), con almohadilla incluída en su nombre, nacidos para ser trending topic. Al misterio sobre la procedencia y motivación de los atacantes (se dijo que era un ataque del gobierno de Corea del Norte pero hoy muchos expertos lo ponen en duda), se añade lo desproporcionado de sus actos: han difundido en Internet películas aún no estrenadas, documentos que revelan el sueldo de altos directivos y hoy sabemos que están mandando mensajes de correo electrónico a empleados, amenazándoles con atacarles si no firman una carta contra la compañía.


viernes, 5 de diciembre de 2014

Que la ignorancia digital no te haga más débil

Cleóbulo de Lindos, considerado uno de los Siete Sabios de Grecia, tuvo su particular cruzada contra la ignorancia, representada en esta frase atribuida a su persona: ”La abundancia de palabras y la ignorancia predominan en la mayor parte de los hombres; si quieres sobresalir de la mayoría inútil, cultiva tu conocimiento y envuélvete en nubes de silencio.”


Una ignorancia que sirve de abono para tejer el lado oscuro y perjudicial de la tecnología. El que varios móviles chinos clónicos de dispositivos de marca vengan con un software malicioso instalado en su firmware es un buen ejemplo de ello. Software que permite la instalación de paquetes externos, la monitorización de datos consumidos e incluso el robo de identidades. Si eres de los que apostaron por un dispositivo clónico, mucho cuidado. Que la ignorancia no te haga más débil.


jueves, 4 de diciembre de 2014

La salvación en internet está al alcance de dos variables humanas

”Yo soy yo y mis circunstancias, y si no la salvo a ella no me salvo yo”. No será la primera vez que oyes esta frase, y seguramente no será la última. Ortega y Gasset defendía de esta manera la razón vital, uno de los pilares de su discurso. Cada persona (cada usuario) está influenciado por dos condicionantes: lo que piensa y lo que vive. No podemos entender la naturaleza humana únicamente partiendo de la razón (conceptos absolutos) o de la vitalidad (experiencias subjetivas).


E internet, entendido como una red tecnológica creada a imagen y semejanza de nuestra capacidad comunicativa, no puede alejarse de este hecho.


miércoles, 3 de diciembre de 2014

Fue sin querer queriendo, como gancho digital

A finales de la semana pasada se nos iba Roberto Gómez Bolaños, más conocido como “Chespirito” o “Chavo del Ocho”. Uno de estos artistas humorísticos con los que muchos crecimos, y que acuñó esa célebre frase ”Fue sin querer queriendo”.


Poco han tardado los ciberatacantes en aprovechar la trágica noticia para fines maliciosos. Un tweet patrocinado (por ahora en inglés, aunque se espera su propagación en español y portugués), invitando al usuario a acceder a una página con supuesta nueva información del suceso es aprovechado para enviar a las víctimas a un dominio infectado, o bien  a la descarga de una app de adware. Mucho ojo con los enlaces acortados.


martes, 2 de diciembre de 2014

La Guía del Autoestopista Digital

Imagínate que una mañana como la de hoy, alguien pica a tu puerta y te avisa gentilmente que tu casa va a ser demolida. Una situación semejante (de hecho, literalmente semejante), pero cambiando ‘casa’ por ‘planeta’, es lo que Arthur Dent tuvo que vivir en ”Guía del autoestopista galáctico”, la primera novela de la saga homónima escrita por Douglas Adams, y cuyo formato recuerda más al clásico tutorial paso por paso de lo que debemos o no hacer en según qué supuesto.


Si Adams fue capaz de escribir cinco novelas bajo este mismo prisma, ¿no seremos nosotros capaces de aleccionarnos acordemente con las noticias del día en materia de seguridad informática? Autoestopista digital, vamos a ello.


lunes, 1 de diciembre de 2014

Disfrutando del Día Internacional de la Seguridad Informática de la mejor manera posible

Desde 1998, cada 30 de Noviembre, se conmemora el “Día Internacional de la Seguridad Informática”. Una fecha señalada en el calendario de muchos de los que nos dedicamos a este sector por ser un buen momento para concienciar a los más allegados de la importancia de la seguridad de la información. Como este 30 de noviembre fue ayer domingo, qué mejor forma de empezar la semana que echar mano de algunas de las noticias más 'hot' del fin de semana, todas ellas, como no, relacionadas con la privacidad, la seguridad y la explotación de fallos.


El Día Internacional de la Seguridad Informática se vive de muchas formas. Para unos, la seguridad de la información y el derecho a la privacidad está por encima de intereses globales. Para otros, el fin justifica los medios, y es por ello que el abuso de información personal se acepta en ámbitos más o menos específicos. Que un juez tenga derecho a pedir la intervención de cuentas digitales de un sospechoso podría ser uno de ellos ¿Pero qué hay de cuando esto se hace de forma masiva, sea o no sospechoso el ciudadano que está siendo espiado?


domingo, 30 de noviembre de 2014

El top 5 de la semana en Seguridad (LIV)

¿Dejarías tu vida en manos de un ordenador? La respuesta a primera vista es un gran ¡No! Pero, si acercamos la lupa, vemos un concepto que cada vez tiene más fuerza, llamado Internet de las cosas y, si enfocamos más aún, vemos que entre estas cosas están los automóviles, hoy día ordenadores con ruedas. Los peligros que entraña el sueño del coche sin conductor han sido lo que más ha interesado esta semana a nuestras lectoras y lectores.


Los llaman coches autónomos y los fabricantes prometen que el año que viene habrá automóviles sin conductor en Gran Bretaña, algo que ha puesto en aviso al Instituto de Ingeniería y Tecnología de aquel país, que avisa que el 98% de los programas que hacen funcionar estos vehículos tienen serios defectos que podrían llevar incluso a que un atacante tomase su control remoto. 


sábado, 29 de noviembre de 2014

Hacker listo, hacker tonto

En la jerga de la comunidad hacker hay diversos adjetivos que se aplican a quien sabe mucho: élite, gurú, samurai… En el otro extremo está el lamer, que ni se entera ni quiere enterarse, que prefiere copiar el trabajo de otros a hincar los codos y ponerse a aprender. En un principio puede resultar difícil distinguirles, más cuando el lamer, bravucón, suele aparentar ser de la élite y más allá. Sólo hay que dar tiempo al tiempo y, como tantas cosas en esa vida, por sus actos les conocerás.


Hackers de sombrero negro, pero élite al fin y al cabo, son los autores del último ataque conocido a una gran corporación del Fortune 500: para robar datos de la empresa, los escondieron en vídeos que subieron a un servicio en la nube. Esto se consiguió mediante una técnica llamada esteganografía, que permite inyectar información dentro de una imagen fija o en movimiento, de forma indetectable para el ojo y, por lo que se ha visto, para los sistemas de detección de intrusiones.


viernes, 28 de noviembre de 2014

APTs como punta de lanza de esta nueva guerra cibernética

”Si hemos sido capaces de desarrollar muestras que no fueran detectadas por estas herramientas sin tener acceso a cualquiera de los productos analizados durante la fase de desarrollo, entonces los atacantes que cuenten con recursos suficientes para comprar estos productos también deberían ser capaces de desarrollar muestras similares, o incluso mejores”.


Esta es la conclusión a la que llegaba uno de los investigadores detrás de BAB0, uno de los malware creados ex profeso para poner a prueba los sistemas de detección de ataques de la industria. BAB0, llamado dentro del grupo HOBBIT, no deja de ser un APT que aprovecha técnicas como la esteganografía (ocultar código dentro de imágenes) para infectar a la víctima, pudiendo a partir de entonces controlar el tráfico y romper los sandboxes del sistema operativo.


jueves, 27 de noviembre de 2014

Inspirarte en la realidad digital para crear ficción

¿De dónde saca la inspiración el escritor de una novela, de una película, o de un cómic? Habitualmente, de la vida misma, que es lo suficientemente rica como para producir la mejor de las comedias o el más tenebroso relato de terror.


Imaginemos por un momento que el protagonista de esta historia descubre, de pura casualidad, que lleva meses (quizás años) siendo espiado. Un espionaje que podría venir de la mano de ese Gran Hermano, como en la obra de El Show de Truman (película, 1998) o mediante la propia tecnología, como veíamos en la serie Person of Interest (2011). Pero el germen es el mismo. Cualquiera de esos spyware que mensualmente surgen gracias al descubrimiento (a veces fortuito) de su código en algún terminal infectado, como es el caso de una nueva variante de RCS (Remote Control System), desarrollado por los italianos Hacking Team.


miércoles, 26 de noviembre de 2014

Manuales de seguridad para todos los gustos

Aunque en nuestros días son una constante, la historia de los manuales escritos se remonta apenas dos siglos atrás, donde la evolución de la doctrina científica influyó en la democratización del género epistolar (cartas) como herramienta de conocimiento.


Con el auge de internet, se ha desdibujado la figura del manual, que ahora puede surgir en diferentes formatos. Desde videotutoriales, pasando por infografías y cómo no, en formato artículo, tanto en redes sociales como en blogs, al igual que ocurre con esta entrada. Un manual que todos deberíamos guardar en nuestros favoritos, ya que recopila varios de esos manuales para comprender y utilizar de forma maestra (y segura) las nuevas tecnologías. Empecemos.


martes, 25 de noviembre de 2014

La quema de brujas como concepto del mundo digital

En la mitología clásica, las brujas eran seres humanos con la capacidad de transformarse en animales, devorar almas y transformar las leyes físicas a su antojo. No es sino hasta el 1400 cuando la Iglesia acepta bajo su seno la presencia de brujas, que pasan a ser mujeres que han llegado a un acuerdo con el Diablo, y requieren por tanto del fuego para purificar su espíritu. La quema de brujas sirvió durante siglos como excusa para saldar cuentas familiares, ayudando a mantener la creencia retrógrada de la mujer como un ser inferior y pecaminoso.


La quema de brujas ha evolucionado con el paso del tiempo, volviéndose más sutil y perdiendo (afortunadamente) tanto las causas como los objetivos y efectos de las mismas. Ahora a quien “se quema” es a los usuarios o a las compañías, como ha sufrido en el día de ayer Sony Pictures, que se despertaba con un hackeo de su intranet que se puede haber saldado con la futura publicación de datos confidenciales. ¿Teaser de películas en camino? ¿Contratos y acuerdos de la industria del cine liberados? Veremos lo que ocurre en los próximos días.


lunes, 24 de noviembre de 2014

Receta para cocinar una vida saludable en el mundo digital

El formato receta se ha explotado en no pocos saberes de la vida. La gastronomía, la química, la biología, la física,... Sin embargo, en informática, y más precisamente en seguridad de la información, no ha tenido históricamente mucha presencia. Así que como en el CIGTR nos gustan los retos, en el artículo de hoy lo recuperamos con el objetivo de servir una metodología de preparación de un certamen de exposición de datos digitales, algo que para bien o para mal realizamos cada día en nuestras actualizaciones sociales y comunicaciones.


Lo primero que nos hace falta es contar con dos tercios de sentido común, que agitaremos en nuestros perfiles sociales y dispositivos con el fin de evitar exponer de forma incorrecta nuestros datos personales. Al menos durante cinco minutos diarios, con actualizaciones del sistema que puedan protegernos de troyanos como Regin, que desde el 2008 ha estado dando guerra por el ciberespacio. Un troyano dividido en 5 capas, como las de la Tarta de la Abuela, a cual más sofisticada, y cuya receta presuntamente fue horneada dentro del seno de algún gobierno.


domingo, 23 de noviembre de 2014

El Top 5 de la semana en seguridad (LIII)

Lo dicen las estadísticas, los informes más sesudos y la propia observación diaria: a la mayoría de personas que andan por Internet no les importa hacer pública su información personal. Lo corrobora la afición con que introducen en las redes sociales datos como sus gustos, los colegios donde han estudiado o fotos de sus familiares. Datos que en manos de la persona adecuada pueden convertirse en altamente sensibles y ser usados para estafas varias. Pero… ¡ah! cuando los datos que están en peligro se refieren a su dinero, la cosa cambia.


Efectivamente, la  noticia que más ha preocupado a nuestros lectores esta semana ha sido el robo de información financiera de 2,7 millones de clientes del banco internacional de Hong Kong y Shangai. Concretamente se filtraron nombres y apellidos, números de tarjetas, fechas de expiración y números de cuenta asociadas. Por suerte el banco ha sido honesto y ha informado a sus clientes del problema.


sábado, 22 de noviembre de 2014

¿Podrá la ley salvar al unicornio?

Si a veces nos hemos referido a la situación de la seguridad en Internet como el viejo Oeste, rectificamos: es más que eso, una lucha épica donde los malos son cada vez más y más listos. Las fuerzas del bien, en cambio, actúan descoordinadas, poniéndose a veces incluso la zancadilla unas a otras. Va mejorando la educación en seguridad, se hacen más y mejores programas de protección, las fuerzas de la ley están al día en este campo… Pero ni así es suficiente para parar la plaga. Les toca el turno a las togas: legiones de jueces y abogados entran en batalla.


Es la noticia del fin de semana: un servidor ruso amanecía mostrando miles de enlaces a cámaras IP conectadas a Internet, con contraseñas de acceso tan débiles (admin, 1234) que han sido fácilmente hackeadas. Casi 400 de ellas en España, vigilando sitios como aparcamientos, tiendas o ¡bebés!. Tal despiste sólo puede explicarse por la poca cultura de seguridad informática que hay en la calle, sobre todo en dispositivos que no parecen entrañar un peligro.


viernes, 21 de noviembre de 2014

La maleta de todo espía digital

Cuando James Bond requería de herramientas tecnológicas, recurría a terceros, que le mostraban en aquellos laboratorios ocultos lo último de lo último en espionaje. Que si un reloj con grabadora, que si un anillo con veneno, o un coche que además de servir para “fardar” entre las féminas era a prueba de bombas.


El espía del siglo XXI tiene a su alrededor utensilios semejantes, pero esta vez digitales. Herramientas que facilitan su trabajo, que le obligan a estar en continuo aprendizaje, y que como en el caso de James Bond, también debe meter en la maleta.


jueves, 20 de noviembre de 2014

De “El Pony Pisador” a la realidad en materia de seguridad y privacidad digital

”I amar prestar aen (El mundo ha cambiado), han mathon ne nen (lo siento en el agua), han mathon ne chae (lo siento en la tierra), a han noston ned gwilith (lo huelo en el aire)”. De esta manera, en élfico, empezaba la trilogía cinematográfica de El Señor de los Anillos, una adaptación de la novela más conocida de Tolkien. La historia es un fiel reflejo de una realidad supeditada a los designios de miles de pequeños accidentes, que conforman un presente en continuo cambio.


Hace algunos años, el mundo digital era muy distinto. El riesgo era prácticamente el mismo, pero no había concienciación, ni por parte de los usuarios, que entendían Internet como una ventana abierta a un mundo de fantasía, ni por parte de los hackers de sombrero negro, que se dedicaban a menesteres menos nocivos.


miércoles, 19 de noviembre de 2014

Seguridad en internet: tanto fuera como en nuestro entorno inmediato

Hay un dicho que reza “Quien da pan al perro ajeno, pierde el pan y pierde al perro”, en referencia a ese afán habitual por centrarnos en los de fuera y olvidar a los que tenemos cerca. El ciberdelincuente aplica al dedillo ese conocimiento, cual experto escapista, al atraer la atención de la víctima justo hacia donde no debería estar mirando.


¿Que utilizas un sistema de anonimato como Tor para mantener comunicaciones que necesitas que sean privadas? Pues te haremos pensar que el sistema es inexpugnable, para que te confíes y levantes servicios encima de esta red. Y cuando la suspicacia aflore, pondremos controles para monitorizar todo el tráfico que pasa por la mayoría de nodos de la red. Los reinos de Tor no son tan anónimos como pensábamos, y de hecho, un paper liberado recientemente ofrece una lectura bastante contraria: el 81% del tráfico diario no es anónimo.


martes, 18 de noviembre de 2014

Cuatro más dos no siempre da seis, o al menos no debería

Si le preguntas a un matemático, te dirá que cuatro más dos son seis. Además son 6 exactos, perteneciente a los números enteros, sin fracciones ni decimales. Ahora la cosa se complica si quien tienes delante es un ingeniero. Te dirá seguramente que le faltan datos. No es lo mismo sumar cuatro kilogramos con 2 gramos que viceversa, y ya ni qué decir de átomos de diferentes elementos.


Ahora bien, cuando hablamos de seguridad de la información, no valen ni fracciones, ni decimales, ni magnitudes ni elementos. Solo vale, valga la redundancia, el valor que se pueda obtener de ese sumatorio. Y si en este artículo del CIGTR te contamos cuatro ataques acontecidos estos últimos días, y dos recomendaciones para favorecer el debate, ¿cuál crees que será el resultado? Veamos.


lunes, 17 de noviembre de 2014

Los malos usos de Internet: Cyberbullying, robos y falta de privacidad

Decir que yo haría cosas peores que la violación es absolutamente terrible . Es repugnante.” Isabella Sorley, de 24, se lamentaba así de todo el daño que había hecho frente a Natalie, la entrevistadora, en un documento realizado por la BBC de Reino Unido.


Isabella es una de las tantas otras caras que se ocultan tras la figura del troll de internet. Y la BBC intenta en esta entrevista entender qué pasa por la cabeza de una persona aparentemente normal para transformarse en un monstruo en las redes sociales. Una de las particularidades más nocivas de internet, y difícilmente controlable.


domingo, 16 de noviembre de 2014

El Top 5 de la semana en seguridad (LII)

¿Qué es la neutralidad de la red? Según Wikipedia, “la libertad de restricciones en las clases de equipamiento que pueden ser usadas en Internet y los modos de comunicación permitidos, sin restringir el contenido, sitios y plataformas, y donde la comunicación no está irrazonablemente degradada por otras comunicaciones”. Sobre la neutralidad de la red trata la noticia más leída de esta semana: el posicionamiento del presidente de los Estados Unidos, Barack Obama, a favor de la misma.


Y es que no estaba tan claro de qué lado se posicionaría Obama, pues hace años que las grandes compañías que dan accesibilidad y las que ofrecen servicios se enfrentan por este tema: romper la neutralidad significa que quien pague más verá su tráfico priorizado frente al resto, algo a lo que Obama se ha mostrado contrario ante la norteamericana Federal Communications Commission.  


sábado, 15 de noviembre de 2014

Yo espío, tú espías, él espía y WhatsApp lo hace optativo

Es la gran queja en Internet: No tenemos privacidad, nos espían por todas partes. Pantanoso territorio este, donde nadie tiene aún claros los límites. Los datos son hoy un gran, gran negocio y la gente ama los servicios gratuitos, a cambio de dar su información. No saben, o no quieren saber, que menos privacidad es menos seguridad.


Pero, a veces, reconocemos el peligro y reaccionamos. Este ha sido el caso del doble check azul de WhatsApp: se activaba la semana pasada, para verificar al emisario de un mensaje que el receptor lo había leído. Pero, después de una avalancha de quejas y noticias de que algunos ciberdelincuentes lo estaban usando para sus fechorías, ayer viernes se lanzaba una nueva versión de WhatsApp, la 2.11.444, que permite desactivar esta opción.


viernes, 14 de noviembre de 2014

Ser precavido como máxima del mundo digital

La historia del espía Roberto Flórez fue en su día una de las más sonadas de Madrid. Este hombre realizó labores de contra-espionaje para los rusos durante varios años, con algunos movimientos que resultan cuanto menos sorprendentes. El que se presentara reiteradas veces en la puerta de la Embajada de Rusia en Madrid a ofrecer sus servicios, unido a que sistemáticamente guardaba todos los recibos y facturas que iba recopilando en su trabajo, y que permitieron en el juicio declararle culpable de todos los cargos presentados, deja claro que para algunos, ser precavido, no es algo que les quite el sueño.


Sin embargo, para otros, es de vital importancia. Y en ese escenario algunas tecnologías permiten a los precavidos comunicarse anónimamente. O al menos todo lo anónimo que se puede esperar de un sistema digital. La Red Tor es una de las herramientas más habituales para todos aquellos interesados en la privacidad, y quizás sea esta la razón de que sea blanco de continuas estrategias enfocadas a vulnerar su arquitectura. OnionDuke es una nueva, encargada de modificar los binarios de las comunicaciones utilizando para ello un nodo fraudulento ruso. Si tienes la mala suerte de que tu nodo de salida sea ese, amigo, la comunicación ha dejado de ser segura.


jueves, 13 de noviembre de 2014

Las perdices del mundo digital

”Y vivieron felices y comieron perdices”. Así terminan buena parte de los cuentos infantiles, aludiendo a toda esa serie de connotaciones positivas que tenía el poder disfrutar de este manjar gastronómico. En la Edad Media, quien comía perdices lo hacía porque era rico, y de esta manera, se daba a entender que los protagonistas habían disfrutado de una vida plena, tanto a nivel afectivo como socio-económico. El cuento terminaba bien, y a nosotros se nos quedaba buen sabor de boca.



El mundo real sin embargo no es tan sencillo. La vida es un cúmulo de experiencias, algunas positivas y otras negativas, y depende de el cómo las afrontemos el poder considerar que hemos ganado o perdido. Pero hay cuentos que sí tienen un final feliz marcado, como el de Onymous, la operación conjunta de la Guardia Civil con Eurojust y la Fiscalía de Nueva York que ha llevado ante los tribunales a 17 personas relacionadas con actividades clandestinas en la Deep Web y ha conseguido cerrar nada menos que  410 servicios alojados en la red TOR.