viernes, 30 de enero de 2015

Del Phishing, a la botnet, de la botnet al DDoS, y tiro porque me toca

El trío más temido por empresas y usuarios, y el más socorrido para la industria del crimen. Phishing, botnets y DDos parecen ir siempre de la mano.


Te levantas por la mañana, y mientras calientas el café, abres tu correo ¡Vaya, que una chica rusa quiere conocerte! ¡Un alto dirigente nigeriano sin familia ha muerto y ha decidido dejarte su herencia! ¡Es necesario que cambies ahora mismo tu contraseña de iCloud! ¡Comprueba que tus datos adjuntados en este documento .exe están correctos para que procedamos a entregarte el premio de la lotería que te ha tocado sin tan siquiera haberla jugado! Excusas varias para que la víctima de sus datos, abra archivos o entre en webs fraudulentas. ¿Sabes cómo diferenciar un phishing del resto de anuncios legítimos?

Has abierto ese documento, que vaya por dios te pedía descargar un plugin para visualizarlo. ¡Enhorabuena! Formas parte de una botnet, que usará tu dispositivo para diversos fines. Desde robar datos personales, pasando por la monetización fraudulenta de publicidad, y como no, el uso de tu conexión para realizar ataques DDoS bajo petición de los cibercriminales, que gestionan con una herramienta de control lo que tu ordenador o móvil va a realizar.

Precisamente los ataques de denegación de servicio son aquellos que cualquiera con servicios online teme. A las empresas, y según los últimos datos de Kaspersky, un simple ataque DDoS le cuesta de media 450.000 dólares. Eso sin contar la pérdida de reputación de cara a sus clientes.

Aunque tú estás tranquilo. El ordenador puede que vaya incluso más rápido, y además, te alegras al ver que WhatsApp tiene por fin un servicio web. Entras en él y te das cuenta (quizás) de que algo falla. Como ha demostrado recientemente Indrajeet Bhuyan, un chico de 17 años, WhatsApp Web cuenta con dos vulnerabilidades que permiten por un lado obtener la foto de perfil de cualquier usuario (aunque no te tenga en contactos), y por otro, mantener el contenido audiovisual  en el ordenador, pese a que se haya borrado en el cliente móvil.

Apagas o hibernas el dispositivo, y sales directo a un centro comercial, donde has quedado con tus amigos para ir de compras. Para la ocasión, qué menos que sacarte un selfie y twittearlo ¿verdad? Pues gracias a ello, tanto cibercriminales como algunas de las tiendas de por allí podrían ser capaces de identificarte, asociando compras y metadatos en redes sociales, con hasta un 90% de eficiencia.

Y por si esto no fuera suficiente, el ejército americano está probando una nueva forma de identificarnos. Ni contraseñas, ni sistemas biométricos, ni nada por el estilo. Los simples hábitos que todos tenemos delante de un teclado, de un ratón, o de una pantalla táctil, son únicos en cada individuo, y por ende, podrían permitir ponerte nombre y apellidos estés donde estés, sin tan siquiera haber caído en un phishing, sin tan siquiera ser parte de una botnet, y utilices el dispositivo que sea.

La tecnología al servicio de los peores intereses. ¿Estás (estamos) preparados?

0 comentarios:

Publicar un comentario