domingo, 31 de agosto de 2014

El top 5 de la semana en seguridad (XLI)

"12333, un número trascendente para entender la actualidad tecnológica, 5 razones para comprender por qué tu negocio está siendo atacado, el interruptor de la muerte en dispositivos Californianos y su posible uso nocivo para la sociedad y las llaves maestras impresas en 3D". Los cinco post top de esta semana directamente en el recopilatorio del Domingo.


12333, el número que corresponde a la orden ejecutiva donde se asienta todas las verticales que de la agencia de inteligencia americana para realizar el espionaje mundial de esta era. Una orden judicial que permite al analista saltarse la figura del juez, y que defiende su trabajo frente a otras órdenes que abogan por la libertad de expresión y el derecho de privacidad de la ciudadanía.


sábado, 30 de agosto de 2014

Nuestro propio equipo de Guardianes de la Galaxia

La vida suele quitar más de lo que da, pero hoy no, hoy nos ofrece algo especial. Una oportunidad... de salvar a otros”. Así animaba Star-Lord, líder de Guardianes de la Galaxia, a aquel estrambótico grupo que conforma la única esperanza de vida del universo en la película de Marvel.


Héroes que en ningún momento quisieron serlo. Héroes que representan la antítesis del heroísmo. Héroes como el profesor Sam Bowne, del CCSF, que demostraba recientemente cómo haciendo un poco de google hacking cualquiera podía meterse en el FTP de un servidor abierto con 6.073 historiales médicos del Centro Médico E.A. Conway


viernes, 29 de agosto de 2014

Doce triple tres

Quédese con este número: Doce triple tres, pues es este el nombre que recibe la herramienta donde se levanta toda la red de espionaje americano.


12333 podría haber sido un número más sino fuera porque denomina a una de las órdenes ejecutivas más controvertidas de la legislación americana. Gracias a ella, y según John Tyde, ex funcionario de la NSA, se ha podido tejer el sistema de vigilancia mundial de EEUU, y permite al gobierno saltarse otras leyes anteriores que protegen derechos a la privacidad de sus ciudadanos.


jueves, 28 de agosto de 2014

Un interruptor no basta para apagar las amenazas

¿Matarías a tu móvil? No, no es una frase hecha. No nos referimos a esos instantes en los que se queda congelado justo cuando más lo necesitas, ni a los momentos en los que realiza llamadas a tu madre sin que te des cuenta. La pregunta es si dejarías tu móvil inservible por siempre y para siempre.

Pensarás que te hacemos unas preguntas un poco extrañas. ¿Por qué ibas a querer inmolar tu teléfono? ¿Tal vez porque te lo han robado y tienes información personal o incluso datos comprometedores en él? ¿O simplemente porque no quieres que el caco pueda utilizarlo o revenderlo? Los legisladores del Estado de California en EE.UU creen que han dado con una medida efectiva para reducir el número de teléfonos sustraídos, que se ha convertido en un grave problema en sus calles. Por ley exigirán a los fabricantes de estos dispositivos que implementen por defecto un “interruptor de la muerte” en todos ellos a partir del próximo mes de julio. Dicho sistema tiene que ser capaz de bloquearlos y eliminar todos sus datos de forma remota. Es previsible que el mencionado interruptor llegue a los terminales de todo el mundo una vez que los fabricantes acaten la norma californiana.


miércoles, 27 de agosto de 2014

Tu tienes la puerta, el cibercrimen busca la llave

La puerta de nuestro hogar es lo que separa nuestra vida privada y familiar del resto del planeta. Dentro nos sentimos seguros, nos sentimos en casa. Fuera dejamos los problemas y los peligros del mundo exterior. Por eso, cuando un ladrón quebranta la intimidad de nuestra vivienda, nos sentimos desnudos, ultrajados.

Todos conocemos algunos de los métodos que utilizan los delincuentes para forzar una puerta: la típica ganzúa que destroza tanto el marco como la propia puerta, una radiografía para vencer cerraduras endebles o, incluso, arrancar la puerta de cuajo perforando la pared de alrededor. Sin embargo, los expertos en cerraduras Jos Weyers y Christian Holler han demostrado lo sencillo que es imprimir una llave con la misma combinación en todos los dientes a partir de la foto de una cerradura gracias a la impresión 3D y utilizarla para abrir dicha cerradura a base de golpes secos con un martillo y algo de maña, tal y como podéis ver en el siguiente vídeo. De nuevo, una tecnología puede ser aprovechada por los criminales de forma poco honorable.



martes, 26 de agosto de 2014

El hacking no es un videojuego

¿Cuál ha sido el videojuego que más ha marcado tu vida? ¿Algún título de Super Mario o Sonic? ¿Tal vez el GoldenEye para Nintendo 64 o el Metal Gear Solid para Playstation? ¿Las sagas Call of Duty, Grand Theft Auto o Assassin’s Creed? La industria del entretenimiento electrónico nos ha ofrecido tantas obras maestras que es difícil decidirse por una sola, ¿verdad? 


Sin embargo, para algunos hackers chinos la diversión comienza cuando logran acceder a los sistemas de las propias compañías desarrolladoras y sustraer los códigos fuente de cada videojuego. De esa forma los pueden crackear para su libre uso y distribución. Además, conocer el código les permite desarrollar herramientas para hacer trampas y conseguir mejores puntuaciones que sus competidores. Según un informe de Dell SecureWorks, en muchos casos, estos piratas informáticos amateur utilizan técnicas de hacking más sofisticadas que las de los propios hackers del gobierno chino: investigan la información pública de los empleados para localizar a aquellos con los privilegios apropiados, llevan a cabo ataques de fuerza bruta para averiguar sus credenciales y, una vez que las tienen en su poder, pueden acceder al sistema de la compañía en cuestión e instalar software malicioso sin ser detectados durante largos periodos de tiempo.


lunes, 25 de agosto de 2014

Freír tu cerebro tiene sus riesgos

“Me gustan los disparates; despiertan las células cerebrales”. En la época en la que el escritor Dr. Seuss hizo tal afirmación, seguramente nadie podía imaginar que, en el siglo XXI, unos investigadores de la Universidad de Oxford descubrirían que a través de equipos de estimulación cerebral eléctrica se podría mejorar nuestra capacidad de atención.


En efecto, la tecnología de estimulación transcraneal de corriente directa (TDCS, por sus siglas en inglés) consiste en aplicar pequeñas corrientes eléctricas directamente sobre el cuero cabelludo, estimulando así las neuronas. No obstante, aunque los resultados en el laboratorio son prometedores, aún es una tecnología inmadura. A pesar de ello, algunas compañías están aprovechando su tirón para comercializar dispositivos de este tipo destinados a jugones de videojuegos, lo que podría resultar dañino para todos aquellos que se dejen llevar por ‘claims’ publicitarios sin conocer sus riesgos. Por eso, algunas voces de la comunidad científica están pidiendo su regularización inmediata.


domingo, 24 de agosto de 2014

El top 5 de la semana en seguridad (XL)

"Altos cargos de seguridad con perfiles no técnicos, campañas de phishing bancario, HTTP Shaming, IoT vulnerable y routers pro-privacidad". Los cinco post top de esta semana directamente en el recopilatorio del Domingo.


Michael Daniel, coordinador de seguridad de la Casa Blanca, entra en nuestro top de la semana con unas desafortunadas palabras (Estoy orgulloso de mi ignorancia) que reabren el debate sobre si los altos cargos deberían o no tener un perfil técnico.


sábado, 23 de agosto de 2014

Los pecados escriben la historia

Los pecados escriben la historia. El bien es silencioso”. Cuánta razón tenía el poeta Johan Wolfgang Von Goethe al aseverar esta afirmación. Porque si algo da para un escrito, sin duda tiende a ser un pecado que alguien ha cometido.


Lo vemos en el día a día de la seguridad informática. Una empresa no salta a los medios de comunicación por haberlo hecho muy bien (al menos no normalmente), sino cuando uno de sus servicios es asaltado, como le pasaba recientemente a GMail para Android (aunque aseguran que afecta por igual a iOS y WP8). Un grupo de investigadores de la Universidad de California y de la Universidad de Michigan han identificado una vulnerabilidad en los sandbox donde se supone quedan guardados los registros de cada aplicación que permitiría a una app acceder a la de otra, robando con un 92% de efectividad datos privados de la cuenta de GMail de la víctima. Una aplicación fraudulenta parece ser lo único que este equipo necesita instalar para realizar el pecado.


viernes, 22 de agosto de 2014

Los Mandamientos de la Seguridad

Usted no tiene que ser un programador para hacer realmente bien este trabajo. De hecho, en realidad, creo que un perfil técnico puro podría ser más una distracción”. Con estas palabras comenzaba la entrevista que GovInfoSecurity le hacía a Michael Daniel, actual coordinador de seguridad de la Casa Blanca.


Palabras que han servido de inspiración en Network Security para abrir un intenso debate sobre la viabilidad de altos cargos de responsabilidad con perfiles no técnicos. Entre sus defensores, el propio Michael Daniel, que señala la importancia de saber tomar decisiones apoyado en un grupo de consultores techies. Y en el otro, el propio Martin, editor de Network Security, recordando el peligro que puede conllevar la toma de decisión del futuro de la seguridad de un país desconociendo uno mismo las consecuencias a medio/largo plazo.


jueves, 21 de agosto de 2014

UPS, Windows, Android y la Universidad de Stanford en el punto de mira del cibercrimen

El siglo pasado, el filósofo canadiense Marshall McLuhan dijo que “el dinero es la tarjeta de crédito del pobre”. Desde entonces, estos pequeños trozos de plástico han ido evolucionando y se han hecho un hueco en las carteras de todos nosotros. No obstante, el éxito de las tarjetas bancarias como forma de pago también ha captado la atención de los cibercriminales.


De hecho, desde finales de 2013, constantemente estamos viendo casos de grandes compañías cuyos puntos de venta son infectados por malware con el objetivo de robar los datos de las tarjetas de sus clientes. Ocurre especialmente en EE.UU., donde la proporción de tarjetas de banda magnética aún es muy alta. Ayer conocimos un nuevo caso, el de la empresa de logística UPS. En un anuncio en su web, reconocía que ha detectado malware en 51 de sus locales franquiciados en EE.UU, lo que representa un 1% de todos ellos. Afirmaba también que habían registrado 105.000 transacciones en las sucursales afectadas, pero se desconoce el número de usuarios afectados.


miércoles, 20 de agosto de 2014

La educación y la concienciación son claves en ciberseguridad

“La clave para combatir este tipo de ataques es la educación y la concienciación continuas”. El consultor de seguridad Ken Westin de Tripwire se refiere a los ataques de phishing que han sufrido los trabajadores de la Comisión Reguladora Nuclear de EE.UU. Al menos tres de dichos ataques en los últimos tres años han sido efectivos

En efecto, los equipos informáticos del organismo estadounidense que regula la energía nuclear en aquel país han sido hackeados por extranjeros en dos ocasiones y por un sujeto sin identificar en otra más. Uno de los ataques de phishing impactó sobre más de 200 empleados de la institución, de los cuales una docena picaron el anzuelo y facilitaron sus credenciales a los atacantes siguiendo un enlace a una hoja de cálculo de Google Docs. Aunque se actuó rápidamente para solucionar las intrusiones, la gravedad del asunto estriba en la gran cantidad de información sensible sobre la industria de la energía nuclear norteamericana con la que trabajan en la Comisión.


martes, 19 de agosto de 2014

Amenazas sin fronteras

“La información es el oxígeno de la edad moderna. Se filtra a través de los muros coronados por alambre de espino, flota sobre las fronteras electrificadas”.  A pesar de haber nacido a principios del siglo pasado, el ex presidente de EE.UU. Ronald Reagan entendió a la perfección que no se lo podía poner barreras a la información. 

No obstante, a pesar de las ventajas que proporciona la ausencia de fronteras en Internet los actores malintencionados también pueden aprovecharse de ellas para llevar a cabo sus tropelías de forma remota, desde miles de kilómetros de distancia. La red permite, por ejemplo, que hackers chinos consigan penetrar en los sistemas de un grupo hospitalario como el estadounidense Community Health Systems y robar los datos de 4 millones y medio de sus pacientes: nombres, direcciones, fechas de nacimiento, números de teléfono y hasta números de la seguridad social. Una información muy valiosa que podrán vender al mejor postor en el mercado negro o utilizarla para suplantar la identidad de los afectados.


lunes, 18 de agosto de 2014

Las fiestas patronales de Internet duran todo el año

En esta época del año, muchas localidades españolas celebran sus fiestas patronales. A lo largo y ancho de todo el país, los pueblos se engalanan para la ocasión y multiplican significativamente su población durante estas fechas. Son días de encierros, charangas, procesiones y verbenas;  de mucha comida y, quizá, demasiada bebida; un tiempo compartido con la familia y los amigos de la infancia. 

Se podría decir que Internet también tiene sus particulares fiestas, pero con una salvedad: en la Red, estas festividades se celebran todo el año. En los “ciber-encierros” de Internet los toros corren en forma de ataques distribuidos de denegación de servicio (DDos) y arremeten sin piedad contra todo lo que se les ponga por delante. De hecho, cada vez son más “bravos”. En el segundo trimestre de 2014, el tamaño de estos ataques se ha incrementado un 291% con respecto al primero, según un informe de VeriSign. En este sentido, el 65% de ellos sobrepasan el 1 Gbps.


domingo, 17 de agosto de 2014

El top 5 de la semana en seguridad (XXXIX)

"La seguridad de las contraseñas, el humor negro de las agencias de inteligencia, los sistemas de identificación biométricos, la muerte de Robin Williams y los peligros de un ransomware en el registro de pacientes de un hospital". Los cinco post top de esta semana, entre los que se han colado cuatro de nuestros propios artículos, directamente en el recopilatorio del Domingo.


El primer post de este top versa sobre la relativa facilidad que tiene cualquier aficionado para saltarse las protecciones si cuenta con tiempo y ganas suficientes. Desde herramientas que nos permiten democratizar la fuerza bruta en contraseñas, hasta la gestión de auténticas botnets infectando a usuarios con técnicas de exploits automáticas.


sábado, 16 de agosto de 2014

Cuando los ataques utilizan herramientas aparentemente legítimas

¿Para qué podría querer una app de linterna acceso al giroscopio del terminal?" Quizás para controlar la intensidad del flash cuando sin querer ponemos el smartphone o la tablet boca abajo, o quizás para algo mucho peor.


Unos investigadores de la Universidad de Stantford y el departamento de defensa israelí han encontrado un uso mucho más práctico: la escucha de conversaciones cercanas al dispositivo ¿Que cómo es posible que un giroscopio se comporte como un micrófono? Analizando los cambios de presión en el aire producidos por la voz, y aprovechándose de que hasta ahora, al menos en Android, la sensibilidad de estos sensores no está restringida a menos de los 100Hz. Para colmo, ni Android ni iOS (los dos sistemas operativos móviles estudiados) permiten al usuario negar el acceso al giroscopio a las aplicaciones que así lo deseen, por lo que podemos considerar que todos los terminales de la actualidad son vulnerables a este tipo de escuchas.


viernes, 15 de agosto de 2014

Pasen sin llamar

Una contraseña como 'N^a&$1nG' podría ser crackeada en 3,75 días usando una GPU AMD R290X. En cambio, para crackear 'GoodLuckGuessingThisPassword' (igual a "Buena suerte adivinando mi contraseña"), un atacante necesitaría unos 17,74 años. Claro que no todas las contraseñas se rompen por fuerza bruta.

Tú eliges: ¿complejidad a cambio de tamaño de contraseña, o contraseña larga a cambio de ataques de ingeniería social? Elijas lo que elijas, si no dispones de mecanismos de bloqueo o de doble factor, las contraseñas de tus usuarios (o las tuyas propias) irán cayendo una detrás de otra. Si esto es así poniéndolo difícil, en los entornos corporativos las cosas están aun más complicadas. "¿Quién necesita un hacker?", se pregunta Darren Pauli de The Register, cuando Password1 te va a abrir una de cada tres puertas en un sinfín de empresas. La firma de seguridad Trustwave ha llevado a test más de 625.000 contraseñas, y ha logrado romper el 92% de ellas en un mes... la mayoría, en los primeros minutos. En esta ocasión, la contraseña más utilizada era Password1, seguida de Hello123password y welcome1.


jueves, 14 de agosto de 2014

"Si nos pillan"... el Plan B del ciberespionaje

"Si nos pillan, siempre podremos decir que ha sido Israel". Así es el particular sentido del humor del Equipo Especial para Operaciones de Acceso (TAO, por sus siglas en inglés) de la Agencia de Seguridad Nacional de EE.UU., según el ex-contratista Edward Snowden.  

Ayer la prestigiosa revista Wired publicó una entrevista al señor Snowden, quien tuvo que huir de EE.UU. tras revelar las cuestionables prácticas de espionaje de la NSA y sus muchas irregularidades. Por ello, cada vez que el informante alza la voz, capta la atención del mundo entero. En esta ocasión, destapó que el TAO estuvo detrás de un corte masivo en las conexiones a Internet en Siria en 2012 tratando de pinchar una de las principales redes de país. Intentaron solucionarlo y borrar sus huellas pero no lo consiguieron. Entonces, alguien espetó la frase con la que hemos abierto el post. También habló del sistema MonsterMind, diseñado para detectar ataques informáticos contra servidores estadounidenses, bloquearlos y contraatacar automáticamente, sin necesidad de intervención o autorización humana.


miércoles, 13 de agosto de 2014

Contraseñas, ¿podemos vivir sin ellas?

“Contraseña”, “clave de acceso”, “código de seguridad”, “santo y seña”... Hay muchas formas de llamar a la serie de caracteres que introducimos para acceder a nuestros dispositivos, redes y servicios de Internet. En muchas ocasiones, esta combinación de letras, números e incluso símbolos, que sólo nosotros deberíamos conocer, son lo único que se interpone entre nuestra información y los ojos indiscretos de otras personas. Por ello, es muy importante tomarse su elección y renovación muy en serio.

Desafortunadamente cada vez hay más personas que buscan lucrarse de una u otra forma con nuestros datos personales y con la información que particulares y empresas almacenamos en nuestros sistemas. Todas las brechas de seguridad que se están produciendo en 2014 son la prueba de ello. De hecho, ya hay quien ha llamado a este año “el año de las filtraciones de datos”. Según el informe de Trend Micro del primer semestre del año, durante los primeros seis meses de 2014 se han denunciado 400 incidentes de fugas de información que han dejado expuestos un total de más de 10 millones de registros personales.


martes, 12 de agosto de 2014

Robin Williams, un hacker de la risa

El actor Robin Williams sabía qué comandos debía ejecutar para dibujarnos una sonrisa o qué combinación de teclas debía presionar para arrancarnos una buena carcajada. Fue el mejor hacker de la risa para toda una generación que crecimos deseando volar como Peter Pan, tener una niñera como la Señora Doubtfire o jugar al increíble Jumanji. Por desgracia, el polifacético señor Williams falleció ayer por la tarde a sus 63 años. Con él se van también las mil y una voces que sabía hacer.



Por desgracia, hay hackers con intenciones mucho menos loables. Por ejemplo, el grupo cibercriminal ruso CyberVors del que os hablamos la semana pasada y que había acumulado una cifra récord de credenciales de usuario de 1.200 millones. Ya se ha detectado que al menos 2.285.295 de ellas pertenecen a cuentas de 5.929 webs australianas.


lunes, 11 de agosto de 2014

La tecnología nunca es completamente inofensiva

El comediante Cheech Marin dijo una vez que “la razón por la que somos tan peligrosos es porque somos totalmente inofensivos”. En efecto, podríamos decir que el ser humano es aparentemente una criatura indefensa. Pero todos hemos experimentado en alguna ocasión el daño que somos capaces de infligirnos los unos a los otros.


Lo mismo sucede con la tecnología. Tenemos a nuestro alcance muchos aparatos y sistemas que utilizamos con total normalidad sin ser conscientes de que todos ellos encierran amenazas latentes. Por ejemplo, los teléfonos móviles. ¿Cuántas personas no conocen los riesgos que estos aparatitos suponen para su privacidad? En este sentido, el fabricante chino Xiaomi ha anunciado que ya ha solucionado el problema de privacidad sobre el que alertó la compañía de seguridad F-Secure la semana pasada. Los usuarios estaban enviando, sin saberlo, los datos de su operadora, su número de teléfono, su IMEI, los números de sus contactos y sus mensajes de texto a la propia compañía, aunque hubieran desconectado todas las opciones al respecto.


domingo, 10 de agosto de 2014

El top 5 de la semana en seguridad (XXXVII)

"Hoteles chinos hackeados, la industria del cibercrimen, el peligro de los móviles, los hogares conectados y la poca seguridad de las redes IT en instituciones médicas". Los cinco post top de esta semana, directamente en el recopilatorio del Domingo.


¿Qué ocurriría si se juntan en el mismo hotel un experto en seguridad y unas habitaciones con servicios domóticos cuyas peticiones viajan por la misma red WIFI por la que navegan los clientes? Fiesta asegurada, como nos demostraba Jesús Molina en la BlackHat de este año. Acceso total a las peticiones de otros clientes, pudiendo cancelarlas o incluso suplantarlas.


sábado, 9 de agosto de 2014

Como cualquier otro negocio convencional

El servicio al cliente es un valor importantísimo para los negocios. Si quieres que la gente vuelva a comprar de forma habitual, debes ofrecerles algo y darles una razón para hacerlo”. Algo que todo empresario tiene inculcado en su ADN, y que funciona así tanto en los negocios legítimos como en los que no lo son.

Sería imposible no volver a hablar de algunas de las perlas informativas que nos están dejado tanto la DefCon como la BlackHat 2014. Entre ellas, la charla de Tom Holt, profesor asociado en la Universidad de Michigan y especializado en cibercrimen, que relataba de esta manera cómo las grandes comunidades de ciberdelincuentes operan bajo las mismas estrategias de venta que cualquier otro negocio. El trato al cliente es vital, brindándole confianza y seguridad, planes contra imprevistos (no vaya a ser que de esos 500 números de tarjeta, alguno ya no esté en circulación) e incluso asesoramiento para realizar los crímenes.


viernes, 8 de agosto de 2014

Dos y dos son cuatro... por ahora

"La libertad consiste en poder decir libremente que dos y dos son cuatro", afirma un desesperado Winston a lo largo de una de las 'distopías' más célebres de la literatura: '1984', de George Orwell. A nadie en su sano juicio se le ocurriría negar que dos y dos son cuatro, ¿verdad? Y hasta sonaría a chiste que hubiera una ley que pretendiera cambiarlo, ¿a que sí?

Pues igual de chistoso era pensar, hace solo unos años, que los Estados occidentales y democráticos pudieran dedicarse a la fabricación de malware y a explotar backdoors en los sistemas. Como mucho, formaba parte de la ciencia-ficción. Con una mezcla de indignación y denuncia, así lo ha expresado el jefe de investigación de F-Secure, Mikko Hypponen: "¿Cabe hacerse a la idea de un gobierno occidental penetrando en los sistemas para espiar en otro gobierno democrático? Sin embargo, es donde estamos". Son palabras procedentes de la conferencia Black Hat 2014, que acaba de echar el telón en Las Vegas y que ocupa prácticamente todas las portadas de medios tecnológicos e incluso de alguno más genérico.


jueves, 7 de agosto de 2014

Un hotel de lujo, un iPad y una noche de pasión frustrada

Imagina que estás pasando una noche de pasión con tu pareja en un lujoso hotel en la ciudad china de Shenzhen. De repente, las luces comienzan a encenderse y a apagarse. Las persianas se abren y se cierran sin saber por qué. Eso bajaría la libido a cualquiera, ¿verdad?


El analista de seguridad Jesús Molina podría haber interrumpido hasta 200 momentos de fogosidad en el hotel de lujo St. Regis de dicha ciudad china cuando comenzó a investigar cómo funcionaba el sistema que controlaba las lámparas y persianas de su habitación desde el iPad que le había proporcionado el hotel. Descubrió que el sistema implementaba un antiguo protocolo de los años 90 llamado KNX/IP, que es ampliamente utilizado en China y Europa para la automatización de dispositivos en hoteles. Aunque desde entonces se ha lanzado una nueva versión que añade ciertas medidas de seguridad, pocos usuarios lo han actualizado. Así que el señor Molina se aprovechó de sus debilidades y comprobó que, cambiando el último dígito de la IP, podía hacerse con el control de otras habitaciones.


miércoles, 6 de agosto de 2014

El cibercrimen es una industria y su materia prima son nuestros datos

Los grupos criminales que actúan a través de Internet conforman una industria que se nutre de nuestra información personal para realizar muchas de sus actividades. Un gran número de estas bandas actúan de forma semejante a pequeñas empresas en las que cada componente tiene una función específica.


Así es, por ejemplo, la dinámica de trabajo del grupo cibercriminal ruso que ha robado el mayor número de credenciales de usuario conocido hasta la fecha. Mientras unos programan, otros se encargan de sustraer los datos. De esta forma, han llegado a acumular 1.200 millones de nombres de usuario y contraseñas y más de 500 millones de direcciones de email. Para ello, han utilizado botnets de ordenadores infectados. A través de estos ejércitos de “computadoras zombies” han podido comprobar qué sitios web son vulnerables a inyecciones SQL y así extraer la información de sus bases de datos. Entre las 420.000 webs afectadas, se encuentran tanto los sitios de grandes compañías de Fortune 500 como los de pequeñas empresas.


martes, 5 de agosto de 2014

Los móviles son más peligrosos que nunca

“Con los móviles de antes esto no pasaba”. Así podría responderte tu padre cuando le contaras que tu teléfono móvil ha sido infectado por un virus. Desgraciadamente, la conectividad de los móviles a Internet y la proliferación de aplicaciones en este tipo de dispositivos han disparado el número de infecciones y otros tipos de amenazas.

Según el informe del primer semestre de la empresa desarrolladora de apps móviles Cheetah Mobile, un 9% de las más de 24 millones de apps para Android que analizaron contenían algún tipo de código malicioso. Se trata de una cifra 20 veces mayor que hace 2 años. Además, otro estudio del proveedor de soluciones de gestión del riesgo Appthority destaca que el 99% de las apps gratuitas más populares en Android presentan algún tipo de comportamiento que supone un riesgo para la privacidad o la seguridad de las organizaciones. Este porcentaje baja sensiblemente al concentrarnos en las apps de pago, que en iOS afectaría al 87% y en Android al 78%.


lunes, 4 de agosto de 2014

Un hogar más conectado es un hogar más peligroso

La Real Academia Española define “cosa” como un “objeto inanimado, por oposición a ser viviente”. Esta definición no es de gran ayuda a la hora de explicar en qué consiste el “Internet de las cosas” (IoT, por su siglas en inglés). Se ha denominado así a la creciente tendencia de dotar de una conexión a Internet a aparatos que tradicionalmente han funcionado siempre sin ella. Por ejemplo, lavadoras, frigoríficos, televisiones, sistemas de alumbrado, etc.


El redactor de tecnología de la BBC, Mark Ward, se pregunta qué implicaciones de seguridad pueden tener este tipo de “electrodomésticos intelingentes” en la vida de las personas. La mayoría de ellos se conectan a la red WiFi del hogar para ser controlados desde una app móvil desde cualquier lugar. Pero tal y como afirma el analista de seguridad Dan Cuthbert, la mayoría de fabricantes no invierte el dinero suficiente para desarrollar apps de control seguras. Aunque reconoce que hoy en día el riesgo es mínimo, cuando este tipo de dispositivos se generalicen podrían ocasionar fugas de información sensible sobre sus propios usuarios. 


domingo, 3 de agosto de 2014

El top 5 de la semana en seguridad (XXXVI)

"Qué tienen en común la luna y la seguridad informática, los peligros de TOR y las agencias de inteligencia, el supuesto espionaje de la CIA, ciberdelincuentes haciéndose pasar por robots de Google y los robos cibernéticos". Los cinco post top de esta semana, directamente en el recopilatorio del Domingo.


La luna tiene dos caras, como la seguridad informática. En uno de los artículos del CIGTR que se ha colado en el top de los más vistos de estos últimos días, hablábamos del lado oculto de la seguridad de la información, que al igual que el lado oculto de la Luna, sigue sorprendiéndonos.


sábado, 2 de agosto de 2014

El secreto de EEUU

¿Por qué EEUU tiene tan bien engrasada la máquina de producir innovación tecnológica? Es una pregunta que muchos otros gobiernos se preguntan, y que permite a los americanos gozar de una posición preferente en el reparto económico mundial.


Para Veiko Lember, director de la Escuela de Innovación y Gobernanza Ragnar Nurske de la Universidad de Tallinn en Estonia, la respuesta es hasta cierto punto sencilla. Y junto a Rainer Kattle y Tarmo Klavet, acaba de publicar el libro "Contratación Pública, Innovación y Política: Perspectivas Internacionales", donde desvela, entre otras cosas, el secreto de Estados Unidos: la feroz apuesta por la subcontratación de empresas tecnológicas bajo el amparo de proyectos de agencias de inteligencia y militares. Una estrategia que les lleva a correr mayores riesgos a un ritmo mucho más rápido que el resto de países, y por tanto, aprender de sus errores y producir mayores innovaciones. Eso, unido a una política fuertemente patriótica y a una sociedad que favorece el gasto militar “a cambio de una mayor seguridad nacional”.


viernes, 1 de agosto de 2014

El lado oculto de la Luna

Un estudio realizado por la Universidad de California acaba de determinar que la Luna no es redonda, como se creía, sino que tiene forma de limón. Incluso se asegura que esa forma es fruto de la influencia de las mareas, influencia que siempre se ha estudiado al revés. Sea como sea, lo que permanece invariable es que la Luna tiene dos lados. Uno, visible; otro, oculto. Como la seguridad de la información.

La diferencia es que en nuestro caso el lado oculto no siempre es el mismo. Depende básicamente de quién tenga más capacidad para ocultar lo que quiera, o para ocultarse donde quiera. La CIA ha reconocido que espío a un equipo del Senado norteamericano de la Comisión de Torturas. Y sí, lo hizo, pero como recuerda con mucha sorna Robert Graham en el blog Errata Security, en realidad se espió "a sí misma". Creó una red securizada por la propia CIA, y era capaz de ver qué llamaba la atención de los investigadores, lo que les permitía reclasificar sobre la marcha los documentos más "complicados". Si George Orwell levantara la cabeza...