sábado, 31 de enero de 2015

La evolución del fraude cibernético en un entorno de Big Data e IoT

Llega el sábado, y con él el tiempo para descansar y estar con la familia. Ojeamos el móvil de pasada, sin preocupación, y revisamos la bandeja de entrada de nuestro correo personal. El momento perfecto para que seamos víctima de un fraude digital.


100 millones de usuarios, que se dice pronto, han sido víctimas de una nueva campaña de fraude en Facebook. Un mensaje con un vídeo supuestamente pornográfico enviado por alguno de tus amigos, y una llamada a la acción lo suficientemente acertada como para que 100 millones de usuarios hayan caído en la trampa. ¿Tras el enlace? Una página que nos pide actualizar el Flash Player, que como habrás supuesto, viene con regalito.


viernes, 30 de enero de 2015

Del Phishing, a la botnet, de la botnet al DDoS, y tiro porque me toca

El trío más temido por empresas y usuarios, y el más socorrido para la industria del crimen. Phishing, botnets y DDos parecen ir siempre de la mano.


Te levantas por la mañana, y mientras calientas el café, abres tu correo ¡Vaya, que una chica rusa quiere conocerte! ¡Un alto dirigente nigeriano sin familia ha muerto y ha decidido dejarte su herencia! ¡Es necesario que cambies ahora mismo tu contraseña de iCloud! ¡Comprueba que tus datos adjuntados en este documento .exe están correctos para que procedamos a entregarte el premio de la lotería que te ha tocado sin tan siquiera haberla jugado! Excusas varias para que la víctima de sus datos, abra archivos o entre en webs fraudulentas. ¿Sabes cómo diferenciar un phishing del resto de anuncios legítimos?


jueves, 29 de enero de 2015

Sobre la privacidad y la percepción de seguridad en internet

Ayer se celebraba el Día Mundial de la Privacidad (#PrivacyDay), una manera de recordarnos a todos la importancia de proteger nuestros bienes digitales, y un llamamiento tanto a empresas como a gobiernos en pos de un Internet más justo y accesible.


Y precisamente fue el día elegido por Markt Dowd, investigador especialista en seguridad, para desvelar uno de los últimos descubrimientos: una vulnerabilidad crítica en el servicio de mensajería Silent Text que permite acceder remotamente al historial de conversaciones y contactos albergados en el terminal. Un anuncio que permitió a los ingenieros de la compañía parchearlo de forma casi inmediata, pero que vuelve a arrojar dudas sobre la seguridad de una suite específicamente diseñada para ello, que encontramos por ejemplo dentro de los terminales Blackphone.


miércoles, 28 de enero de 2015

Todo lo que tienes que saber sobre el cibercrimen

El mundo digital entraña exactamente los mismos riesgos que el mundo real. Los mismos. Ni uno más ni uno menos. El problema es que las reglas son distintas, y nuestra naturaleza y nuestra educación no está aún preparada para afrontarlo. De ahí que un timo que en la calle veríamos a leguas, nos acabe engañando por email. De ahí que una “grieta” que si estuviera en nuestra casa hubiéramos arreglado hace meses, acabe por “derrumbar” nuestra identidad digital.


El mejor ejemplo, los perfiles en redes sociales. Un blanco jugoso para el cibercrimen, que lo tendría mucho más complicado si el escenario fuera la vida real. En el mundo digital, usurpar la identidad de alguien es relativamente asequible. Únicamente necesitamos obtener los credenciales de acceso, y eso lo podremos conseguir engañando a la víctima, como parece que le ocurría hace unas horas a Taylor Swift, tanto en Twitter como en Instagram.


martes, 27 de enero de 2015

Las 6 tareas del analista de seguridad

Los laboratorios de análisis informático no distan mucho de la idea que solemos tener de un laboratorio. Son salas preparadas para la investigación, para el tratamiento y documentación, que utilizan los ordenadores como herramienta de estudio. Así como un químico quizás precise de unas centrifugadoras, el analista de seguridad trabaja con máquinas virtuales. Si un mecánico utiliza la caja de herramientas en su día a día, la del analista en seguridad estará formada por servicios digitales. Las similitudes son abundantes, tanto en necesidades de material como en las tareas diarias. Y precisamente sobre esto último vamos a hablar en la píldora informativa de hoy ¿Cuáles son las seis tareas de los trabajadores del laboratorio de seguridad?



  1. Investigar: ¿Por algo se llaman analistas verdad? Encontrar nuevas maneras creativas (o no) de enfrentarse a los problemas es pilar fundamental de tu trabajo. La búsqueda de patrones que simplifiquen el arduo proceso de revisión de malware es una de ellas, y se hace incluso mediante técnicas visuales, representaciones gráficas de los archivos ejecutables que permiten de un vistazo encontrar similitudes de código.
  2. Testear: Para entender cómo evoluciona el malware, es necesario tener los ojos muy abiertos y ganas de afrontar continuamente nuevos retos. Y esto ocurre en el momento menos esperado. Estás visitando una web, y un anuncio desplegable hace saltar todas tus alarmas internas. En efecto, estás ante un nuevo tipo de adware, dirigido a dispositivos OS X, y distribuido mediante un anuncio malicioso que te insta a descargar un reproductor de media HD.
  3. Documentar: Vale, has encontrado una vulnerabilidad, un abuso en el sistema. ¿Qué tienes que hacer ahora? La parte más bonita del trabajo [sic], documentarlo todo. Recopilar los datos de la vulnerabilidad de un software como podría ser el del gobierno chileno, que permite acceso a datos privados y la subida de shells de control remoto.
  4. Informar: Y hacerlo siguiendo las medidas de seguridad y legislación adecuadas. Si hablamos de una vulnerabilidad que afecta a algún software de alguna empresa, comunicarnos directamente con ellos. Si se trata de un estudio sobre evolución del malware, aprovechar los blogs (internos o externos) para que nuestros usuarios, clientes y partners estén al tanto. Y un ejemplo es el del estudio que recientemente publicaba el FBI, alertando del aumento del ransomware como negocio de cibercriminales, que pasa a liderar buena parte de las tendencias para este año.
  5. Minimizar el problema, todo lo que se pueda: Al informar de una campaña de este tipo, ya estamos minimizando sus efectos. Porque a veces, sobre todo cuando un gobierno como el Chino se interpone, tiene difícil solución. Astrill, StrongVPN y Golden Frog, tres populares servicios de VPN (red privada virtual) alertaban recientemente de estar teniendo problemas para ofrecer sus servicios en estas tierras, presumiblemente por mediación del gran cortafuegos chino.
  6. Para todo lo demás, solucionar: Encontrar la solución más oportuna que evite que los malos puedan aprovecharse del problema. Y por muy descabellada que sea, si funciona, adelante. Ese es el caso de Tempest, aquella investigación de la que nos hacíamos eco hace unos meses, y que era capaz de realizar espionajes tan solo acercando el dispositivo a un ordenador y escuchando los ruidos que éste hace a la hora de procesar la información. Hay “cura” para Tempest, pero requiere reescribir el código aprovechando funciones que sean “más silenciosas”, o fácilmente confundibles con otras, hasta el punto de hacer incomprensible el conjunto.
Seis elementos básicos que acompañan al analista de seguridad en su día a día. 6 aptitudes y 6 actitudes necesarias para desempeñar esta labor, que como veíamos ayer, es la que más crecimiento tendrá del sector. ¿Te interesa?

lunes, 26 de enero de 2015

En el mundo digital, como en política, una de cal y otra de arena

La semana arranca con una noticia que ya todos conocemos y que da la vuelta al mundo: el vuelco del mapa político en la conocida como "cuna de la democracia occidental". Es decir, Grecia. La agitación política siempre genera píldoras informativas que tienen una de cal y otra de arena. Visto así, cuesta difuminar las barreras entre la política y la seguridad de la información, porque aquí tenemos a diario algunas "novedades" que parecen sacadas del repertorio más satírico y absurdo, y otras que tienen, como veremos, lamentables consecuencias. ¿Estás preparado... para un día más de vértigo en la 'infosec'?


La web de Malaysia Airlines se despertaba el fin de semana con un portal protesta. Un supuesto error 404 alertaba eso de “Plane not found”, en referencia a la desaparición de uno de sus vuelos hace unos meses. Una imagen de un lagarto dejaba clara la autoría del hackeo: Lizard Squad vuelve a las andadas.


domingo, 25 de enero de 2015

El top 5 de la semana en Seguridad (LXI)

Cada vez más gente presta atención a la seguridad informática, a veces debido a malas experiencias como sufrir el robo de su cuenta en Facebook o, el más común, descubrir que su ordenador está lleno de virus. Durante muchos años los virus han sido el miedo número uno de los internautas. Pero hoy las amenazas son más complejas: no es sólo que tengas un virus, sino que puede haber convertido a tu ordenador en parte de una botnet. O no es sólo que un hacker malo pueda atacar una empresa, es que también puede asaltar tu red casera.


El "router" y la red WiFi de su casa es una de las grandes preocupaciones de las y los internautas. Y poder securizarlos de forma correcta sin ser expertos en el tema es su gran problema. Por eso agradecen la publicación de manuales y textos como el más leído esta semana: unas líneas rápidas y de fácil compresión para gestionar nuestra red WiFi casera.


sábado, 24 de enero de 2015

Mira este video

Vamos a ponernos serios este sábado y recomendar a nuestra audiencia que no dude en gastar una hora de su asueto viendo el video de la charla pública entre Bruce Schneier, gurú de gurús de la seguridad informática, y el Hacker con mayúsculas, Edward Snowden, responsable de la filtración de miles de documentos clasificados de los servicios secretos anglosajones.

La charla se llevó a cabo ayer en el Harvard Data Privacy Symposium y en ella se desgranan diversos temas relacionados con la privacidad, desde la eficacia de las herramientas de cifrado hasta el alcance de la monitorización de los gobiernos en Internet. Una delicia de charla que pone luz en un mundo tan oscuro como el de los servicios secretos, aunque también inquietante por lo que el diálogo de los expertos va mostrando.


viernes, 23 de enero de 2015

La partida de ajedrez por la identidad digital

La identidad es uno de los temas recurrentes de nuestra sociedad. En un mundo globalizado, la identidad da sentido al individuo, definiendo y diferenciándonos del resto. Un recurso que adquiere un nuevo nivel en el mundo digital, donde cualquiera puede manejar distintas identidades, asociadas o no a la realidad.


Precisamente sobre identidad gira la píldora informativa del día de hoy, y es que el B2B International y los laboratorios de Kaspersky elaboraban recientemente un estudio sobre las implicaciones en materia de riesgo y seguridad de dejar desprotegidos dispositivos compartidos. Una práctica habitual incluso en el mundo corporativo (32%), que conlleva un aumento exponencial de los riesgos ya no solo para la integridad del propio dispositivo, sino para las distintas identidades asociadas al mismo.


jueves, 22 de enero de 2015

Las técnicas de baja tecnología más efectivas para el cibercrimen

"Hijo, mucho cuidado con los carteristas". Recomendaciones como estas las hemos oído en casa toda la vida, y es que con la creación de núcleos urbanos, los peligros a los que nos enfrentamos pasaron a estar más relacionados con los de nuestra especie que con los del resto de seres vivos. Y esto sigue estando vigente en nuestros días, pero ahora los carteristas no están en la calle, sino detrás de una pantalla.


En especial, mucho ojo con los cajeros automáticos. En el blog de Kaspersky recogen varias de las técnicas habitualmente utilizadas por estos nuevos carteristas. Y cuidado, que la mayoría tienen poco de tecnólogos. Piezas de electrónica que se ponen por encima de las piezas propias del cajero, y que pueden llegar a utilizar los mismos acabados y materiales de construcción. Ahora el carterista tan solo tiene que comprar la pieza en el mercado negro y esperar a que el próximo cliente del banco no se fije que está superpuesta a la original.


miércoles, 21 de enero de 2015

La compleja sociedad de las hormigas

Las hormigas son unos animales fascinantes. Por lo general, miembros de diferentes hormigueros son muy agresivos entre sí. Pero ocurre en algunos lugares del mundo que varias castas establezcan “pactos de amistad”, dando como lugar una supercolonia, como la de la isla de Hokkaidō en Japón, formada por 306 millones de hormigas obreras y alrededor de 1 millón de hormigas reinas, conviviendo en una vasta metrópoli formada por 45.000 hormigueros interconectados. Un ecosistema social que rivaliza en complejidad al nuestro.


Entre las hormigas también aparecen discrepancias, y cuentan con un estricto conjunto de leyes que se va adaptando al medio. En nuestro mundo, un día al presidente Obama le da por anunciar que aumentarán las medidas de seguridad y legislación contra los hackers, y al día siguiente el propio partido demócrata y varios expertos tecnológicos se le echan a la yugular. Medidas que afectan tanto a cibercriminales como a investigadores de seguridad, y que podrían hacer peligrar el trabajo de muchos de estos especialistas.


martes, 20 de enero de 2015

El enemigo de Internet se escribe con E de espionaje

Toda buena historia necesita la figura de un gran villano. Ese malo malísimo que da sentido a la vida de los héroes, que luchan (desinteresada o interesadamente), por proteger los intereses del resto de la sociedad. En la Trilogía de La Fundación de Isaac Asimov, el gran villano era El Mulo. Si miramos hacia la obra de Tsugumi Ōba (Death Note), el propio protagonista es héroe y villano (Light). Y en materia de ciberseguridad, el enemigo empieza con E mayúscula, y no es otro que el Espionaje.


Miremos hacia donde miremos, el objetivo de los malos es siempre el mismo. Obtener algo de nosotros. Puede ser dinero, o puede ser información, pero los límites entre el atraco puro y duro y el espionaje más sofisticado se difuminan por momentos. Fobus es un malware dirigido a dispositivos Android, y ofuscado bajo el pretexto de proteger nuestra privacidad. El usuario descarga un supuesto AdBlock, normalmente de markets no oficiales, y con él vendrán nuevos amigos que se encargarán de robar información, secuestrar cuentas y suscribirnos a servicios premium.


lunes, 19 de enero de 2015

El “Cuánto cuesta” de la ciberseguridad

¿Alguna vez te has parado a mirar las sugerencias que ofrecen los buscadores como Google o Bing mientras escribes el término a buscar? Los usuarios tendemos a preguntarle al buscador con la idea de que este nos solucione nuestras dudas, y entre ellas, el ¿cuánto cuesta…? es un habitual. Aprovechando que estamos frente a una píldora informativa sobre riesgo y gestión de la información, por qué no hacemos un ejercicio sobre los posibles autocompletados a la pregunta ¿Cuánto cuesta…? que haría un buscador especializado en ciberseguridad corporativa.


¿Cuánto cuesta implantar unas medidas adecuadas para una infraestructura conectada a internet? Esta sería posiblemente la primer sugerencia. Y el primer resultado (presumiendo que alguien no nos haya colado unos cuantos anuncios) enlazaría seguramente al nuevo estudio liberado por ENISA, la Agencia de Ciberseguridad Europea, con una lista de buenas prácticas que garantizarían la protección en este tipo de arquitecturas.


domingo, 18 de enero de 2015

El top 5 de la semana en Seguridad (LX)

¿Quién dijo que la privacidad no interesa? Debería reformularse esta creencia pues nuestra noticia más leída esta semana lo es por auténtica goleada y se refiere a la privacidad en móviles. Curiosamente, en cambio, otra información, referida a la privacidad de los nuevos DNIs, ha armado gran revuelo entre los expertos en seguridad informática pero no ha merecido la atención de nuestras lectoras y lectores. Posiblemente porque aún no los están usando.



Efectivamente, esta semana ha habido dos noticias que han tenido una audiencia muy alta. La más leída és una guía creada por el Hacklab de Asturias con consejos sobre seguridad y privacidad para teléfonos móviles: redes sociales, fotografías, mensajería, etc. Tras esta y también con inusitada audiencia, una información que toca a mucha gente de cerca: el anuncio de una importante vulnerabilidad en los "routers" de Movistar.


sábado, 17 de enero de 2015

Tres de hackers buenos y una de hackers malos

Nada en nuestro universo es totalmente blanco o negro, aunque a veces lo parezca. Tampoco en el planeta de la seguridad informática, donde a veces es fácil decir: "Este es el malo". En realidad, el gris es el color predominante entre los hackers y los no hackers: a veces hacemos las cosas bien, a veces nos equivocamos y todo es relativo, lo que es bueno para uno puede ser malo para otro. Vaya eso por delante dado el título de este post, donde relataremos diversas hazañas que nos parecen positivas o negativas sin que deban serlo para todos y al 100%.



El investigador Eduardo Novella ha descubierto un agujero en los "routers" que la compañía Movistar Telefónica provee a sus clientes. El fallo es importante, pues permite a un atacante tomar el control remoto del aparato y usarlo, por ejemplo, como bombardero en ataques de Denegación Distribuída de Servicio. Como buen hacker, cuando Novella descubrió el agujero informó del mismo al fabricante y a Movistar... ¡en 2013! Nadie le ha respondido en dos años, así que ha decidido hacerlo público por su cuenta.


viernes, 16 de enero de 2015

Nunca me preocupé por la seguridad digital

Los mejores proyectos son los que nacen del interior. Se dice que James Hetfield escribió el siguiente esbozo mientras hablaba por teléfono con su novia: Nunca me preocupé por lo que dicen, nunca me preocupé por los juegos a los que juegan, nunca me preocupé por lo que hacen, nunca me preocupé por lo que saben”. Esta estrofa acabaría por formar parte de una de las baladas más conocidas de Metallica, “Nothing else matters”, y nos sirve de gancho introductorio para la píldora informativa del día de hoy.


Nunca nos preocupamos por nada,... hasta que ese nada se vuelve un problema. Uno de los routers de casa utilizados en España (Movistar) y Argentina (Arnet) presenta una vulnerabilidad crítica que permite a un atacante realizar tácticas de hijacking (secuestro digital) en las conexiones salientes del mismo. Tan solo con conocer la IP pública del router, el criminal puede robar información sensible de la víctima, e incluso redirigirla a servicios fake.


jueves, 15 de enero de 2015

El cuento de Los Tres Cerditos en el mundo digital

Ya veréis lo que hace el lobo con vuestras casas”. Esta frase pertenece a una de las fábulas más conocidas de la historia. Los Tres Cerditos, Los Tres Chanchitos o Los Tres Cochinitos, son el ejemplo perfecto de cómo el lobo siempre acaba encontrando una manera de entrar en nuestras casas. Y tiene un corolario muy pero que muy interesante para nuestro sector: si establecemos las medidas de seguridad oportunas, podrá entrar, pero saldrá escaldado.


Los lobos digitales acechan donde menos te lo esperas, y hacen uso de todas las herramientas a su alcance para derribar nuestras defensas. El malware Skeleton ha demostrado su potencial recientemente accediendo de forma sigilosa al panel de administración del Active Directory de una compañía global afianzada en Londres. Un troyano de acceso remoto que se guarda en la memoria temporal, desapareciendo al reiniciar el sistema, y con capacidad para filtrar información sensible.


miércoles, 14 de enero de 2015

Más ovejas y menos lobos para el 2015

El año 2015 es el año de la oveja según el tradicional horóscopo chino. Se dice que será el año de la igualdad, ya que la oveja representa la humildad, la felicidad, y las ganas de buscar un acuerdo que simpatice con los intereses de la mayoría. Y justamente son estas las cualidades que vamos a necesitar para afrontar los retos planteados a principios de año, que azotan como un vendaval la píldora informativa del día de hoy.


El terrible atentado sufrido por los guionistas y dibujantes del periódico satírico Chalie Hebdo ha sido la excusa perfecta para que varias voces políticas se levanten en Europa exigiendo un aumento de la seguridad digital. Entre ellas, David Cameron, primer ministro británico, que informaba de su firme postura por luchar contra el cifrado en las comunicaciones, un “mal” que permite al ciudadano defender entre otras cosas su derecho de privacidad. Como respuesta, la agencia de seguridad europea emitía un comunicado hace unas horas salvaguardando los intereses de la ciudadanía, y exigiendo que las comunicaciones seguras sigan vigentes por el bien de la seguridad ya no solo personal, sino también corporativa.


martes, 13 de enero de 2015

En busca del buen uso de Internet

Estados Unidos y sus satélites matan a nuestros hermanos en Siria, Iraq y Afganistán. Nosotros entramos en vuestras redes y dispositivos personales y conocemos todo sobre vosotros. [...] ¡No nos pararemos! Sabemos todo sobre vosotros, vuestras mujeres y vuestros niños. ¡Soldados Americanos! ¡Os estamos vigilando! Con estas palabras, convenientemente formateadas en tweets, el grupo terrorista ISIS apelaba estos últimos días al “Ciber Califato” en redes sociales.


Y no habría acaparado portadas si este llamamiento no se hubiera realizado desde la cuenta del Centro de Mando Americano (@CENTCOM), que sufría hace unas horas un embarazoso hackeo. Junto con el llamamiento, la publicación de varios documentos con datos supuestamente privados de personal del ejército, que no tardó en demostrarse que habían sido obtenidos de fuentes públicas, no de los propios ordenadores de la agencia.


lunes, 12 de enero de 2015

Nunca llueve a gusto de todos

Es una constante en nuestra sociedad. Siempre hay alguien que sale mal parado. Ya sea en una disputa, ya sea en un nuevo proyecto. Alguien acaba ofendiéndose o cediendo parte del pastel en favor del resto. Y en seguridad de la información es el pan nuestro de cada día.


Hablábamos el sábado de la publicación por parte de Google de una vulnerabilidad en los sistemas de Microsoft. La respuesta no se ha hecho esperar. Chris Betz, del Microsoft Security Response Center, criticaba la actuación de los de Mountain View, y en general la llamada Coordinated Vulnerability Disclosure (CVD), como una estrategia que permitía desacreditar a las compañías rivales supuestamente en favor de los usuarios, cuando en la práctica representaba justo lo contrario. Como alternativa, Betz defiende el uso de plataformas de cooperación entre empresas, sin divulgar públicamente los hallazgos, y por tanto, protegiendo la privacidad y seguridad de sus clientes.


domingo, 11 de enero de 2015

El top 5 de la semana en Seguridad (LIX)

Este domingo están clarísimas las noticias que más han gustado a nuestros lectores y lectoras durante la semana: los resúmenes de seguridad de 2014 han arrasado en audiencia. Lo que nos lleva a la reflexión: ¿por qué será que nos gusta tenerlo todo, también el pasado, bajo control, bien ordenadito y empaquetado? Quizás para hacernos la ilusión de que nuestras vidas no están sujetas a la natural, universal e irreversible ley de la entropía, reina del caos y el desorden.


¡Ah, qué ilusos somos! Lo confirman las decenas de empresas que el pasado 2014 se dejaron robar miles y hasta millones de datos de sus clientes, desde las más pequeñas a corporaciones de primera fila como Orange, EBay, Apple, Sony... El robo de datos es el delito rey en la red, como destacan los resúmenes de PandaLabs y Ontinet. También han interesado a nuestros lectores las vulnerabilidades descubiertas en Windows el pasado año, recopiladas por ESET.


sábado, 10 de enero de 2015

El crimen -casi- siempre paga en Internet

Si eres un criminal, Internet tiene muchas cosas buenas para tí, incluídos recursos gratuitos que facilitan tu trabajo y, al no costarte nada, hacen que tu beneficio sea mayor. Además, si eres de los buenos, nadie seguirá tus pasos porque puedes borrar tus huellas digitales. Para colmo, con el Big Bang de la revolución informática aún en expasión, cada segundo son más los equipos conectados a Internet, víctimas potenciales para tí. Una bicoca, oiga, ser criminal en los tiempos de lo cíber.
Galen Marsh, empleado presuntamente desleal de Morgan Stanley
Eso pensaron los chavales del grupo Lizard Squad, conocido por montar espectaculares bombardeos contra sitios de videojuegos. Hasta que les pillaron... Su última acción fue una herramienta, Lizard Stresser, que realiza ataques DDoS por encargo. Ahora sabemos que la base de Lizard Stresser son miles de "routers" domésticos infectados, que atacaban a dónde les ordenaban los criminales. Mano de obra barata, barata.


viernes, 9 de enero de 2015

Aprender del pasado como única manera de vivir el presente

Andar silencioso, mirada atenta, curiosidad infinita… Dicen del perro que es el mejor amigo del hombre, pero lo cierto es que el gato empieza a conquistar el corazón de cada vez más familias españolas. Desde hace más de 10 años, este animal es más común en los hogares americanos e ingleses que su homólogo, y todo apunta a que irá en aumento en los países de habla hispana. El caso es que este tipo de felino es una de las especies más curiosas del mundo animal, y ello le llevará seguramente a quemarse las patitas con los fuegos de la cocina, o a saltar de una ventana de un primer piso. Pero ojo, que si el resultado no es bueno, lo hará UNA SOLA VEZ.


Ahora te estarás preguntando qué tiene que ver esto con seguridad informática, y la respuesta es muy sencilla ¿Por qué los humanos nos equivocamos una y otra vez? ¿No deberíamos aprender del pasado, para disfrutar con más confianza del presente? Bajo este paradigma, recopilamos en este viernes varios de los últimos estudios sobre la evolución del malware y las vulnerabilidades en el 2014, acompañados del corolario oportuno.


jueves, 8 de enero de 2015

Seguridad y riesgo informático: la partida de ajedrez eterna

El uróboros es un símbolo utilizado desde hace ya más de 300 años para representar diferentes ciclos eternos. Algunas veces en calidad de la lucha diaria, otras del esfuerzo inútil, de la unidad de todas las cosas, y así un largo etcétera. Y su representación gráfica suele ser la de un animal (real como el gusano o la serpiente, mitológico como el dragón) que se come su propia cola, formando una circunferencia con su cuerpo.


En seguridad de la información y riesgo informático, es habitual tener la impresión de que vivimos un continuo ciclo, un uróboros digital. Se aumentan las medidas de seguridad, y surgen nuevos riesgos, que obligan a aumentar las medidas, y que llevan a los ciberdelincuentes a desarrollar nuevos riesgos,...


miércoles, 7 de enero de 2015

Riesgos informáticos, volvemos a las andadas

”La Maqueta”, grabada en 1999, fue como su propio nombre indica el disco de presentación de la recién creada Estopa, un grupo español formado por dos hermanos bajo lo que se acabaría denominando la rumba urbana. Y entre las 38 canciones que tenía el álbum, que llegó a hacerse viral gracias al P2P y el boca-a-boca, está “Vuelvo a las Andadas”, que tomamos como nexo de unión a los seis temas candentes del día.


Volvemos a las andadas. Ayer se daba a conocer el que podría haber sido el primer ataque informático “mediático” del 2015. Bitstamp, una de las mayores bolsas de bitcoin, cerraba este lunes debido a un asalto a su sistema que parece haberse saldado con 19.000 bitcoins, lo que equivaldría a 5,1 millones de dólares.


martes, 6 de enero de 2015

¡Ya vienen los Reyes! Y para tí también nos han dejado un regalo

"Llegaron ya los reyes y eran tres, Melchor, Gaspar y el negro Baltasar. Arrope y miel le llevarán, y un poncho blanco de alpaca real”. Hoy ha llegado el día. El espíritu navideño de todos los niños sale a flor de piel en una jornada en la que se premia su comportamiento y logros con regalos. Es un día para pasar en familia, alrededor del árbol de navidad.


Pero no únicamente los peques de la casa van a llevarse su premio. Para tí, que nos has acompañado todo este tiempo, también te tenemos un regalo. Y como no podía ser de otra forma, viene en formato de píldora informativa, pese a que hoy sea fiesta nacional, pese a que tengamos al resto de la familia esperándonos para empezar el roscón de reyes.


lunes, 5 de enero de 2015

La lista de peticiones a los Reyes Magos: Más seguridad, más privacidad y menos cibercrimen

Recuperar datos personales y sensibles.
Tracear la localización vía GPS.
Acceso a fotos y otros ficheros guardados en localizaciones accesibles (como la tarjeta SD).
Leer, escribir y borrar archivos.
Enviar y leer emails o SMS.
Realizar llamadas telefónicas.
Encender la cámara o el micrófono.
Actualizaciones automáticas de código y aplicaciones.
Ejecutar comandos.

No estamos ante una lista de reyes, aunque bien pudiera ser. Lo cierto es que lo que tenemos entre manos no es más que un listado de las acciones que un atacante puede llevar a cabo en una aplicación gratuita. Y no, no hace falta que la aplicación sea en sí un malware, sino que bastaría con que la aplicación utilizara una red de publicidad comprometida. Una publicidad que adquiere de facto todos los permisos que tiene la aplicación, y que puede saltar de aplicación en aplicación heredando los permisos de las otras para realizar ataques aún más sofisticados y peligrosos.


domingo, 4 de enero de 2015

El top 5 de la semana en Seguridad (LVIII)

Estas cosas pasan: cambiamos de año pensando y deseando que el nuevo ciclo será diferente al anterior. Prometemos hacer más ejercicio, dejar de fumar, sacarnos aquel examen olvidado... Pero, oh sorpresa, echamos un vistazo a las cinco noticias más leídas y descubrimos que, mientras 2014 pasaba a ser 2015, nada ha cambiado en el mundo exterior: los robos de datos, la pedofilia en Internet o el phising siguen siendo los malhadados "trending topics".


La noticia más leída esta semana pertenece al nuevo año, pues se hacía pública el viernes 2 de enero: siguen los robos de datos masivos en grandes cadenas de Estados Unidos. El problema radica en que los datos no son suyos sinó nombres y números de tarjetas de crédito de sus clientes, que confían en unos establecimientos que  dedican presupuesto prácticamente cero a la seguridad informática.


sábado, 3 de enero de 2015

¿Buenas noticias en seguridad informática? ¿De verdad?

Sí. Quizás se deba a que los delincuentes se han profesionalizado y hacen vacaciones navideñas como el resto. El mundo de la seguridad informática no es pródigo en alegrías, más bien se suceden las noticias de ataques, robos, extorsiones, bombardeos sin solución de continuidad. Pero este sábado, sorpresivamente, la mayoría de informaciones tienen un punto de positividad.
Es el caso de la detención de dos miembros del grupo Lizard Squad, uno en Reino Unido y otro en Finlandia. Para ellos no será una buena noticia, pero sí para los miles de afectados por sus bombardeos contra sitios de videojuegos, que no han podido jugar en línea prácticamente todas las Navidades. Un grupo de hackers creado ex professo, Finest Squad, les descubrió y llevó a su detención. 


viernes, 2 de enero de 2015

Si lo quieres prohibir, se hará viral

"Nuestro querido líder es sabio. Es gentil, amable y fuerte. Le deseamos alegría. Le deseamos paz. Le deseamos amor. (...) Ellos son arrogantes y grasa. Son estúpidos y están mal. Que se ahoguen en su propia sangre y heces". 'The Interview' podría haber sido un estreno cualquiera, podría haber sido un título más de los que se almacenan en las videotecas. Pero lleva camino de convertirse en la película del año, gracias a unos 'hackers'. La cuestión es... ¿qué hackers?

A pesar de que las autoridades de EEUU señalaron con rapidez y contundencia al régimen de Corea del Norte, surgen cada vez más voces que ponen en tela de juicio esa acusación. No faltan incluso referencias de grupos de hacktivismo que se burlan de la "eficacia" del FBI, y varios investigadores de la firma especializada en ciberseguridad Norse han aportado una línea de investigación menos "pomposa" ligada al grupo llamado "Guardianes de la Paz" (GoP, por sus siglas en inglés): seis individuos, incluyendo un ex empleado de Sony, estarían detrás de la operación cibercriminal más sonada de los últimos tiempos.