martes, 30 de septiembre de 2014

Los riesgos de separar el pastel en trozos

¿Riesgos, dices? Ni la historia se libra de ellos. Efemérides: este mismo día, 30 de Septiembre, pero de 2005, el Parlamento de Cataluña aprobaba su tercer Estatuto de Autonomía. Quiere el capricho del calendario que 9 años más tarde otros debates de similar calado planteen riesgos tanto para España como para la comunidad autónoma.


El día a día, al nivel que sea, comporta riesgos. Riesgos que hay que afrontar, preferiblemente de mejor manera que la irrupción de iOS 8 en el mercado. Pasado el susto inicial con esa versión 8.0.1 que dejaba a los nuevos iPhone 6 sin red, ahora llega la 8.0.1, la cual puede llegar a borrar los datos de tu cuenta de iCloud. Al menos en este caso, el bug solo nos afectará si realizamos una restauración de ajustes desde el menú del dispositivo, por lo que si ya has actualizado a 8.0.2, ni se te ocurra restaurarlo.


lunes, 29 de septiembre de 2014

Seguridad entre bambalinas

Hay un dicho popular que reza: ”La vida es igual que una obra de teatro, con la única diferencia de que la vida es un estreno continuo y lamentablemente no puedes corregir los errores”.  El arte en los escenarios rivaliza en estrategia y pasión al que se vive fuera de ellos, como es el caso de la seguridad informática, un must de cada día que afecta, tanto para bien como para mal, en los continuos estrenos que vive la sociedad.


Comenzamos la semana actualizando nuestra agenda. Nos adentramos en Octubre, y con él, varias citas señaladas de espectáculos del sector. Lorenzo Martínez (@lawwait) nos recuerda las fechas de varios eventos de seguridad que unos apasionados por la tecnología como todos vosotros no os deberíais perder. Navajas Negras en Albacete, 8.8 en Chile, ConectaCON en Jaén, GSICKMinds en La Coruña, EkoParty en Buenos Aires, y como no, No cON Name en Barcelona.


domingo, 28 de septiembre de 2014

El top 5 de la semana de la semana en seguridad (XLV)


Ten cuidado con lo que deseas, porque se puede convertir en realidad. Es una muestra de sabiduría popular que bien se puede aplicar al actor estadounidense Harvey Keitel, cuando afirmó que "un actor siempre está desnudo en la pantalla, aunque esté vestido". Se va a cumplir un mes del filtrado de las fotografías de Jennifer Lawrence, Kate Upton y otras celebridades desnudas en el foro 4Chan, y el tema sigue siendo de la máxima actualidad. Eso sí, con el permiso de Shellshock, la vulnerabilidad más grave desde Heartbleed y camino de convertirse en el asunto de seguridad más importante del año.

Otro escándalo de desnudos supuestamente robados, que tienen esta vez como protagonista a Kim Kardashian, volvieron a situar en todo lo alto el hashtag #CelebGate, o #CelebLeaks. En los últimos siete días fue, de largo, el asunto más consultado de cuantos se compartieron desde este blog y desde las redes sociales de CIGTR. ¿Será el de Kardashian el último caso de filtrado de fotos de celebridades? Con el eco que adquieren estos sucesos, no parece que vaya a ser así.


sábado, 27 de septiembre de 2014

De hito en hito

Cuando acabe el año y hagamos recuento de todas las incidencias en materia de Seguridad en el año 2014, seguramente tengamos la percepción de que las situaciones más graves han superado los pronósticos que se hicieron en diciembre de 2013. Por el momento, la vulnerabilidad 'Shellshock' que ha sacudido violentamente al sector esta semana tiene todas las trazas de convertirse en el asunto más importante del año.

Miremos a donde miremos, prácticamente no se habla de otro asunto, y en todos los casos con un denominador común: son bienvenidos todos los parches que se han liberado en estos días, pero cuidado con confiarse, porque no son suficientes. El agujero de seguridad está ahí, vivo, utilizado por cibercriminales que ya le han sacado provecho, y que no van a dejar escapar una oportunidad tan apetitosa para sacar su correspondiente tajada.


viernes, 26 de septiembre de 2014

Los débiles tienen un arma

Los débiles tienen un arma: los errores de los que se creen fuertes. Con esta cita, Georges Bidault, político francés de la Segunda Guerra Mundial, señalaba ya entonces el mayor peligro al que la sociedad se enfrentaba: la debilidad de no reconocer nuestros propios errores.


Más de medio siglo después, recuperamos horrorizados sus palabras, al conocer algunas de las múltiples implicaciones que tiene el descubrimiento de Shellshock, la vulnerabilidad en la gestión de variables de entorno de bash, para el futuro de Internet tal y como lo conocemos. ELF_BASHLITE.A es el nombre técnico del primer malware descubierto y creado específicamente para explotar esta vulnerabilidad, que permite, mediante algunos sencillos comandos, realizar técnicas de fuerza bruta para robar credenciales de acceso, suplantar identidades y denegar el servicio en cualquier servidor conectado a internet vulnerable (que a día de hoy son la gran mayoría).


jueves, 25 de septiembre de 2014

La autodestructiva gestión digital de la raza humana

Mientras el tigre no puede dejar de ser tigre, no puede destigrarse, el hombre vive en riesgo permanente de deshumanizarse”.  Un peligro acechante en nuestra propia naturaleza, que Ortega y Gasset sacaba a relucir en esta cita, y que nos lleva día tras día a una autodestructiva situación de riesgo.


La noticia de la jornada, y presumiblemente, del mes, es el descubrimiento de una grave vulnerabilidad en la gestión de variables de Bash, el intérprete de comandos para sistemas operativos Unix (Linux y OS X) y que permite la ejecución de código saltándose todas las protecciones habidas y por haber. Hablamos de lo que algunos expertos empiezan a señalar como el nuevo Heartbleed, ya que afecta a prácticamente la gran mayoría de servicios, ya sean páginas web con CGI’s accesibles, servidores con SSH habilitado, clientes DHCP con shells, aplicaciones en sistemas operativos basados en Linux (como Android), cajeros, TVs inteligentes, y en definitiva a cualquier herramienta que corra por encima de un sistema con shell Unix. La mayoría de distribuciones ya se han puesto mano a la obra, y por Internet han empezado a surgir parches para los distintos servicios, pero como es habitual, requiere que uno a uno todos los administradores de estos sistemas implanten el parche, lo que llevará su tiempo.


miércoles, 24 de septiembre de 2014

El tamaño en ciberseguridad SÍ importa

”Me ha sorprendido observar que no hay cambios significativos de mejoría”. Marc Rogers, analista principal de seguridad de la firma Lookout, respondía así a la entrevista que Information Security Media Group le hacía después de desvelar el nuevo éxito de la compañía.


Lo comentábamos en el día de ayer: Los sistemas biométricos presentan problemas de seguridad complejos de solucionar. El mayor, la posibilidad de que un atacante pueda hacerse con el patrón de desbloqueo e imprimir un objeto con él para desbloquear cualquier dispositivo. Ocurrió en su momento con la huella dactilar del iPhone 5S, y ha ocurrido nuevamente con el TouchID del iPhone 6. Lo peor, que con el cambio de versión, lo que antes era un sistema de protección para desbloquear el dispositivo, ahora además permite realizar compras con Apple Pay y acceder a la información de Health.


martes, 23 de septiembre de 2014

El perímetro de la seguridad se acrecenta

"Nuestros miembros ya cooperan intensamente con sus propias autoridades policiales, con el fin de luchar contra la ciberdelincuencia financiera. Nuestra colaboración con Europol ahora añade una dimensión europea a este importante trabajo. La cooperación internacional entre los bancos y los organismos encargados de hacer cumplir la ley es esencial, ya que los criminales no conocen fronteras ". Con estas palabras Win Mijs, Chief Executive de la Federación de Bancos Europea (EBF), anunciaba el inicio de una alianza entre su organización y la Europol, con el fin de hacer frente al cibercrimen.


Una cooperación necesaria para proteger uno de los objetivos más habituales de la industria, las tarjetas y los datos financieros. Se unen así en Europa dos elementos vitales para securizar las transacciones. El propio medio (los bancos), y la legislación internacional, el principal obstáculo con el que los cuerpos policiales se encuentran a la hora de dar caza a las bandas criminales.


lunes, 22 de septiembre de 2014

El nuevo "Yo tengo un sueño"

Yo tengo un sueño que un día esta nación se elevará y vivirá el verdadero significado de su credo, creemos que estas verdades son evidentes: que todos los hombres son creados iguales”. Quizás el párrafo más conocido del discurso que Martin Luther King pronunciaba hace 51 años, en clara alusión a lo que significó la Proclamación de Emancipación que un día como hoy, hace 151 años, anunciaba Abraham Lincoln en favor de la libertad de todos sus ciudadanos, fueran blancos o negros.


Por aquel entonces, se vivía una situación semejante a la que, salvando las distancias, estamos viviendo en el tercer entorno. Existe una libertad cohibida, manchada por los abusos de unos pocos frente al resto de la sociedad. Abusos que atacan el propio derecho a la intimidad, como esas fotos comprometedoras de famosas de la talla de Kim Kardashian, Vanessa Hudgens y Mary-Kate Olsen que surgen nuevamente en hilos de 4chan o Reddit.


domingo, 21 de septiembre de 2014

El top 5 de la semana en seguridad (XLIV)


"El periodismo consiste esencialmente en decir 'Lord Jones ha muerto' a gente que no sabía que Lord Jones estaba vivo". Esta cita del escritor británico G. K. Chesterton bien nos sirve para poner el punto final a la semana, una vez más cargada de noticias con nombre propio. 'Lords Jones" que no conocíamos hace solo un mes.

Los casos Home Depot y #CelebLeaks llevan semanas copando toda la atención en torno a la seguridad de la información. Esta entrada en escena de unos grandes almacenes (Home Depot) y de toda una empresa con identidad de marca como Apple (iCloud), tiene la virtud de crear una mayor conciencia a lo largo y ancho del planeta. Pasamos de no conocer al 'Lord Jones' que está en los puntos de venta o en las fotografías que creemos privadas, a tomar nota para la próxima vez. Y claro, nos interesamos de repente por dicho Lord.


sábado, 20 de septiembre de 2014

Nunca tomes decisiones precipitadas

"¡¡Lo dejo, lo dejo, lo dejo!!". Si te hacen creer que tienes lo que no tienes, es fácil que tomes decisiones precipitadas. Como Geoffrey, el criado en la célebre serie 'El Príncipe de Bel-Air', cuando Will Smith y Carlton Banks le hacen pensar que ha ganado la lotería, en una de sus escenas más recordadas.


En la era digital... ¿Cómo robarías a alguien? La forma más fácil de abrirte camino es que ese alguien esté confiado, que crea que sus bienes son inaccesibles, que está lo suficientemente seguro. Si lo consigues, puede que se despiste de vigilar sus puertas traseras, y permitirá que un extraño "se le cuele hasta la cocina". Lo que sirve para cualquier consumidor en cualquier tienda que sufra el ataque de un malware específico (como el reciente caso Home Depot), sirve también para una empresa contratista de un gobierno. Hasta 50 empresas de este tipo, según un informe del Senado de EEUU, han sido penetradas en el último año por atacantes chinos, que habrían tenido acceso a innumerables datos con información sensible.


viernes, 19 de septiembre de 2014

La miel de internet

”El único medio de vencer en una guerra es evitarla”. Esta es una de las frases atribuidas al militar y político estadounidense George Marshall, Nobel de la Paz y autor del célebre Plan que lleva su nombre, para más señas. Cerramos la semana laboral con ese principio como guía para este post, y esperemos como principio fundamental a aplicar de aquí en adelante en el mundo digital.


Home Depot, la cadena de bricolaje más grande de América, sufría la semana pasada un ataque que hacía peligrar los monederos electrónicos de 56 millones de sus clientes. A día de hoy, el malware ha sido eliminado de todos sus sistemas, y toca hacer recapitulación del suceso. Un malware creado específicamente para atacar a Home Depot, que evadió todos los sistemas de seguridad de la compañía, y que estuvo en activo desde abril de este mismo año.


jueves, 18 de septiembre de 2014

Privacidad tecnológica sin precedentes

"A diferencia de nuestros competidores, Apple no puede pasar por alto el código de acceso y por lo tanto no puede acceder a estos datos. Así que no es técnicamente viable para nosotros dar respuesta a las órdenes del gobierno para la extracción de estos datos en iOS 8". Son las palabras con las que Cupertino informaba del cambio de política frente a las peticiones de datos gubernamentales que han abarrotado los medios en el día de hoy.


Las consecuencias de las revelaciones de Wikileaks y Edward Snowden están agitando como nunca antes el panorama tecnológico. Con estas declaraciones, Apple afirma que a partir de ahora no cederá el acceso a terminales por petición de los órganos policiales. Y la forma de hacerlo es semejante a los movimientos de la mayoría de grandes empresas del sector: cifrar los datos y hacerlos inaccesibles desde sus propios servidores.


miércoles, 17 de septiembre de 2014

Dejarse querer por las vulnerabilidades

”De menos a más”, que reza el título de una de las canciones de la actriz y cantante española Rocío Dúrcal, ”Me dejé querer, entraste en mi vida”.


Algo que ocurre día tras día en el tercer entorno ¿La última? El “dejarse querer” de las telecomunicaciones alemanas por la NSA y el GCHQ de Reino Unido bajo el amparo del llamado “Treasure Map”, un mapa mundial que pretende localizar y monitorizar cada dispositivo conectado a Internet en tiempo “casi real”. Dividido en capas, como vemos en la imagen, ofrecería (si no es que lo está haciendo ya) una de las herramientas más poderosas para el espionaje masivo.


martes, 16 de septiembre de 2014

Un ciberespacio con nubes y claros

“Para mantener la confianza pública en el gobierno y la tecnología, necesitamos una reforma legislativa que garantice que los poderes de vigilancia son transparentes, razonables dentro del ámbito de la ley, y sujetos a supervisión independiente”. El director jurídico de Google, Richard Salgado, ha aprovechado la presentación del décimo Informe de Transparencia de la compañía para abogar por unas leyes más transparentes que definan claramente las condiciones y protocolos a seguir tanto por los gobiernos como por las empresas cuando las fuerzas del orden solicitan datos personales de algún usuario.

El informe presentado ayer indica que durante los seis primeros meses del 2014 el número de peticiones de información por parte de gobiernos de todo el mundo, desde comisarías en pequeñas ciudades hasta grandes agencias nacionales de inteligencia, ha ascendido hasta las 32.000 aproximadamente, un 15% más que en la segunda mitad del año pasado.


lunes, 15 de septiembre de 2014

La clave de la seguridad: aprender de los errores

Dicen que el ser humano es el único animal que tropieza dos veces en la misma piedra. ¿Cuántas veces tenemos que cometer el mismo error antes de aprender la lección? Probablemente depende de la gravedad de sus consecuencias.

Tras la filtración de las fotos íntimas de casi un centenar de ‘celebrities’ hace un par de semanas, un tercio de los encuestados por Tresorit y YouGov afirman que han mejorado las medidas de seguridad de sus cuentas online. Un 20% de ellos declara que ha creado contraseñas más robustas, 1 de cada 10 ha modificado la configuración de privacidad de sus redes sociales y un 6% ha activado la doble verificación.



domingo, 14 de septiembre de 2014

El top 5 de la semana en seguridad (XLIII)

"Consejos para proteger nuestras cuentas, los 15 años del protocolo WIFI, CelebGate, información personal al alcance de muchos y brechas de seguridad de las que reescriben la historia". Los cinco post top de esta semana directamente en el recopilatorio del Domingo.


5 millones es la cifra del último escándalo que asola la actualidad tecnológica. 5 millones de cuentas de GMail liberadas en un foro ruso. 5 millones de cuentas, sustraídas mediante distintas técnicas de phising e ingeniería social, que nos recuerdan una vez más la importancia de activar la doble autenticación.


sábado, 13 de septiembre de 2014

Hackeos Explosivos

”¿Cómo protegerse del exterior en un mundo repleto de ventanas? ¿Cómo debemos afrontar la seguridad digital en un entorno tan diverso y complejo? Seguramente estemos ante las preguntas que más de uno nos hemos hecho en estos últimos años.


La revolución del Internet de las Cosas, la inmediatez de las comunicaciones y la proliferación de nuevos dispositivos están generando miles y miles de nuevos vectores de ataque que pueden (y de hecho lo hacen) afectar de forma nociva a sistemas cercanos, exponiendo datos de terceros e incluso poniendo en peligro la vida de las personas.


viernes, 12 de septiembre de 2014

La lucha por tus datos personales tiene lugar cada día

“Levántate, ponte en pie, defiende tus derechos. Levántate, ponte en pie, no renuncies a la lucha”. Estas inspiradoras palabras del tema “Get up, stand up” de Bob Marley nos animan hoy a reflexionar sobre cómo defendemos nuestros derechos, específicamente nuestro derecho a la privacidad.

Desde que el ex contratista de la Agencia de Seguridad Nacional de EE.UU., Edward Snowden, denunció las abusivas prácticas de espionaje que esta agencia había llevado a cabo en el marco de su programa Prism, parece que tanto los gobiernos, como las empresas y los ciudadanos hemos comenzado a vislumbrar que nuestros datos personales son un tesoro y debemos protegerlos de la mirada de extraños.


jueves, 11 de septiembre de 2014

Cinco millones de razones para proteger mejor tus cuentas online

Cinco millones. Cinco millones de espectadores es la cifra de audiencia que alcanzó la serie de televisión “The Closer” en su estreno en EE.UU. Cinco millones también es el número de copias que vendió la banda de rock AC/DC de su álbum “Who Made Who”. La edad de las islas Santa Cruz, descubiertas por el navegante español Álvaro de Mendaña en el Pacífico, es también de cinco millones de años. Cinco millones de dólares fue la recompensa que ofrecieron el F.B.I. y la D.E.A. por la captura del narcotraficante colombiano Juan Carlos Ramírez Abadía.

A las cifras anteriores ahora también se suman las cinco millones de cuentas de Gmail que han sido filtradas en el foro ruso Bitcoin Security. El usuario que ha publicado el listado de correos, asegura que no sólo posee también sus contraseñas sino que además el 60% de ellas son válidas. Para que os hagáis una idea de la envergadura este robo, casi equivaldría a la población de todo el área metropolitana de Miami.



miércoles, 10 de septiembre de 2014

Wi-Fi, 15 años de ventajas con algunos riesgos añadidos

Muchos de nosotros hemos soñado más de una vez con teletransportarnos. Ser capaces de desplazarnos instantáneamente de la cama al baño, de casa a la oficina o de Madrid a Los Ángeles suena muy bien, ¿no? Pero hasta el momento, todos los intentos por hacerlo realidad no han sido más que una ilusión, como la del vídeo que acompaña al artículo de hoy. 



Sin embargo, sí que existe una tecnología que teletransporta todo tipo de contenidos: mensajes, noticias, películas, música... Se encuentra en los hogares, en la bibliotecas, en las fábricas, en los aeropuertos, e incluso en los autobuses urbanos. La gran mayoría de nosotros la usamos a diario. Seguro que ya sabéis que nos referimos al Wi-Fi. Tal vez, lo que no sabíais es que hace ya 15 años que nació la Wi-Fi Alliance, la asociación internacional que promueve esta tecnología. La Wi-Fi Alliance celebra su 15 aniversario en 2014 con algunos datos impresionantes: más de 22.000 productos certificados; 2000 millones de dispositivos Wi-Fi vendidos sólo en 2013; el 25% de los hogares del mundo ya disfrutan de esta conexión sin cables.


martes, 9 de septiembre de 2014

Puntos de sutura para las brechas de información personal

“Debemos alertar a nuestros clientes de que ahora tenemos suficientes evidencias para confirmar que realmente se ha producido una brecha”. Con estas palabras, Frank Blake, el presidente y director general de la mayor cadena de tiendas de bricolaje del mundo, Home Depot, confirmaba los peores presagios.

Los datos de las tarjetas de crédito de millones de sus clientes podrían haber sido sustraídos por cibercriminales entre abril y septiembre de 2014, y se estarían vendiendo en un rincón clandestino de Internet conocido como Rescator.cc. Aún no se ha confirmado el número de clientes afectados, pero se especula con que podría ser la mayor brecha de la historia. El grupo delictivo habría infectado los sistemas de los puntos de venta de las más de 2.200 tiendas de Home Depot en norteamérica con un malware llamado BlackPOS, que captura los números de tarjeta de crédito de la memoria antes de ser cifrados. En un intento por tranquilizar a los consumidores, el gigante del bricolaje ha afirmado que no tendrán que hacerse cargo de los cobros fraudulentos realizados en sus tarjetas.


lunes, 8 de septiembre de 2014

Que el cibercrimen no te mine la moral

El experto en motivación Harvey Mackay defiende que “cuando te levantas cada día, tienes dos opciones. Puedes ser positivo o negativo; optimista o pesimista”. Pero generalmente los lunes nos resulta más difícil pensar en positivo. Sobre todo, si comenzamos la semana con noticias como las siguientes.


La actividad cibercriminal en China se duplicó entre 2012 y 2013, de acuerdo con un informe de TrendMicro. Cada vez hay menos barreras para delinquir en Internet. Las herramientas maliciosas han bajado de precio mientras crecen en sofisticación y características. El mayor interés del mercado underground chino se concentra en torno a los equipos comprometidos, los servicios de ataques distribuidos de denegación de servicio y las herramientas de acceso remoto (RATs, por sus siglas en inglés).


domingo, 7 de septiembre de 2014

El top 5 de la semana en seguridad (XLII)

#CelebLeaks, #CelebLeaks y más #CelebLeaks. O si lo prefieres #CelebGate, como también se le ha llamado. No hay duda ninguna de que ese es el tema estrella de la semana que termina. Bien sea morbo por la seguridad de iCloud, bien se trate de otro tipo de morbo, vuestros clics al respecto no admiten duda. Si algún tema ha motivado especialmente a la comunidad los últimos siete días, este ha sido el de las fotos de celebridades desnudas filtradas gracias a una... ¿vulnerabilidad, hackeo, despiste?



Porque así llevamos toda la semana: que si Apple niega, que si Apple reconoce... El mismo lunes, el post en Forbes donde recogimos la noticia lo dejaba claro desde el principio: "No está claro si las celebridades no protegieron sus cuentas de la manera adecuada, si alguien halló una vulnerabilidad en iCloud o si ha ocurrido alguna cosa más". En todo caso, este leak ha dado lugar a no pocos equívocos. Entre ellos, uno muy sonado en la CNN: el foro "efímero" 4Chan fue el lugar elegido para hacer el volcado de las fotografías, y horas después un "experto" de la emisora norteamericana especulaba sobre la identidad de ese "usuario" llamado 4Chan.


sábado, 6 de septiembre de 2014

Léele la cartilla al cibercrimen

"Escríbeme, por favor, con tu propia visión sobre las Caras del Fraude en 2014. Dime, por favor, ¿qué vas a hacer para escribir una historia diferente de cara a 2015?". Esta petición la formula Tom Field, el vicepresidente editorial del Grupo de Medios de la Seguridad de la Información, responsable de blogs tan renombrados como Info Risk Today.

La petición de Field viene a cuento de un extenso y documentado informe titulado precisamente Las Caras del Fraude en 2014. El impacto de las brechas en la venta al por menor. A lo largo de 40 páginas, este informe detalla una amplia encuesta sobre exposición de puntos de venta a las brechas más destacadas, con el caso Target en primer lugar; también incorpora los puntos de vista de diversos expertos en cuanto a respuesta a incidentes, concienciación, mejora de la seguridad y previsiones para el futuro a medio plazo. Después de haber vivido esta misma semana el que se ha calificado como posible mayor brecha de seguridad de este tipo, el caso Home Depot, este informe está de plena actualidad.


viernes, 5 de septiembre de 2014

Hackear cuentas ajenas no es un arte, es un delito

El pintor español Pablo Picasso decía que “el arte lava del alma el polvo de la vida cotidiana”. Así que el artista XVALA ha decidido coger un plumero y sacudir el polvo de las vidas de la modelo Kate Upton y de la actriz Jennifer Lawrence. El 30 de octubre exhibirá sus fotos desnudas en la exposición “No Delete” de Los Ángeles. No es que estas dos mujeres hayan decidido posar para él, sino que se aprovechará de las imágenes que un hacker les robó de sus cuentas iCloud y que posteriormente hizo públicas en Internet hace unos días.


La prestigiosa revista Wired ha revelado que una de las herramientas que utilizan los individuos que se dedican a comprometer cuentas como las de iCloud es la herramienta Elcomsoft Phone Password Breaker, concebida inicialmente para facilitar las tareas a los cuerpos policiales. La función de dicho software es descargar copias de seguridad de las cuentas de iCloud de sus víctimas, aunque para ello, los atacantes necesitan las credenciales de acceso.


jueves, 4 de septiembre de 2014

Si las ciberamenazas no duermen, ¿tú tampoco?

El escritor italiano Antonio Tabucchi decía que prefería “el insomnio a la anestesia”. Era como afirmar que prefería permanecer constantemente alerta que “estar en babia”. Lo ideal sería no tener que elegir entre los dos extremos. Pero hoy en día hay tantas cosas que nos pueden quitar el sueño...


Por ejemplo, las brechas de seguridad y las fugas de información. Es muy probable que el equipo de ciberseguridad de la cadena estadounidense de almacenes de bricolaje Home Depot no haya podido pegar ojo desde que el bloguero Brian Krebs afirmó que había descubierto evidencias que sugerían que cibercriminales habían conseguido robar los datos de las tarjetas de crédito de los clientes de prácticamente las 2.200 tiendas que tiene en EE.UU. La compañía aún no lo ha confirmado, pero está investigando el caso. Si finalmente fuera cierto, podría tratarse de la mayor brecha de la historia.


miércoles, 3 de septiembre de 2014

Ciber-Efecto Mariposa

"Una mariposa bate sus alas en Pekín y en Nueva York llueve en lugar de hacer sol". ¿Quién no reconoce esta frase en la cinta 'Parque Jurásico'? La esencia del Efecto Mariposa, que resume la Teoría del Caos, según explicación del matemático Ian Malcolm en su primera expedición al parque recreativo de dinosaurios. El caos está presente, cada día, en nuestra seguridad. Vayamos por partes...


El Instituto para los Estudios de Seguridad Nacional (INSS, por sus siglas en inglés) y la Iniciativa Forum Ciberseguridad (CSFI, ídem), han elaborado un completo informe sobre las amenazas a la seguridad nacional en el ámbito del ciberespacio, que recorre desde los ciberataques a los bancos norteamericanos hasta los ataques dirigidos desde Rusia a Europa Occidental, pasando por Machete, la última campaña de ciberespionaje que ha azotado a Ecuador. Todo un caos a nivel mundial. Tripwire nos ofrece un muy valioso resumen ejecutivo de dicho informe en su blog.


martes, 2 de septiembre de 2014

Los Farabutto de la 'infosec'

Que levante la mano quien sepa quiénes son Guido y Luigi Farabutto. No son dos investigadores italianos de seguridad, ni dos hackers argentinos nietos de emigrantes. Vamos a ir dando pistas a lo largo de los siguientes párrafos, a ver cuánto tardas en acertarlo ;-)

Pista número uno: los Farabutto tienen mucha relación con el leak más "célebre" de los últimos tiempos, el de las fotos de famosos desnudos que se han colado a partir de una brecha en iCloud. El escándalo está siendo de tal calibre que Twitter elimina los perfiles que publican dichas fotos, y el FBI se ha puesto ya manos a la obra para ver qué, quién y cómo ha sido posible esta filtración tan impactante.


lunes, 1 de septiembre de 2014

Desnudos cibernéticos

Ojo, mucho ojo, a las fotos que compartes desde tu móvil, sería el corolario de la noticia del día.


El popular foro 4Chan vuelve a acaparar las miradas de la sociedad por ser el lugar elegido para volcar las supuestas fotos desnudas de famosas de la talla de Jennifer Lawrence y Kate Upton, junto a una extensa lista de nombres conocidos que supuestamente también han sido hackeados. Todo apunta a que el ataque se realizó contra las cuentas de iCloud asociadas a los terminales iPhone de estos usuarios, que guardan, entre otras cosas, backups de contenido que en algún momento tuvo el teléfono.