miércoles, 7 de enero de 2015

Riesgos informáticos, volvemos a las andadas

”La Maqueta”, grabada en 1999, fue como su propio nombre indica el disco de presentación de la recién creada Estopa, un grupo español formado por dos hermanos bajo lo que se acabaría denominando la rumba urbana. Y entre las 38 canciones que tenía el álbum, que llegó a hacerse viral gracias al P2P y el boca-a-boca, está “Vuelvo a las Andadas”, que tomamos como nexo de unión a los seis temas candentes del día.


Volvemos a las andadas. Ayer se daba a conocer el que podría haber sido el primer ataque informático “mediático” del 2015. Bitstamp, una de las mayores bolsas de bitcoin, cerraba este lunes debido a un asalto a su sistema que parece haberse saldado con 19.000 bitcoins, lo que equivaldría a 5,1 millones de dólares.

Volvemos a las andadas con descuidos que rozan el absurdo por parte de servicios de internet. Moonpig, una web para crear tarjetas personalizadas, llevaba 17 meses con un fallo en sus sistemas que permitían a cualquiera recuperar datos de sus 3.6 millones de clientes. 17 meses que han llevado al desarrollador que descubrió el asunto a hacer público el exploit, que se basa únicamente en cambiar el ID del cliente al realizar una petición vía API, puesto que no realiza comprobación alguna en el trámite.

Volvemos a las andadas con lo que siempre funciona, la ingeniería social. Una ingeniería social en forma de campaña de phishing, esta vez con foco en algunos universitarios americanos, que recibirían en su correo un aviso de que su cuenta estaba a punto de finalizar. El resto te lo puedes imaginar.

Una ingeniería social que no pasa de moda, y que es utilizada en innumerables casos. Habitualmente, para romper la seguridad de una red WIFI WPA o WPA2 optamos por realizar fuerza bruta. Pero la ingeniería social tiene cabida en este tipo de ataques, forzando a los usuarios de la red a conectarse a una fake que les redirigirá a un portal de confirmación de contraseña para seguir disponiendo de conexión. La propia víctima se encarga de entregar en bandeja el password.

Este año no será diferente al resto, y volveremos a las andadas en materia de abusos de privacidad. Las cookies representan una de las herramientas más interesantes para mejorar la experiencia de usuario en servicios web. Pero mal usadas, sirven también para tracear usuarios. Y cuando estas, que en principio deberían ser fácilmente eliminables, se unen a estrategias de guardado en local en directorios distintos, "auto-replicación" e incluso utilización de protocolos como HSTS, suponen un gran problema para la seguridad y privacidad de los datos volcados por parte del usuario, ya no solo en esa página, sino en el resto.

Por todo ello, es de agradecer proyectos como Trackography, que se encargan de analizar qué compañías y qué uso están dando de nuestros datos de navegación en las webs de grandes medios de comunicación de cada país. Así nos encontramos con que cerca de un 80% de ellas comparten los datos con terceros sin precisar explícitamente el uso que estos acaben dando de los mismos. Y que un solo un 30% deja claro cuánto tiempo guardan los datos.


A primeros de año, nada parece haber cambiado. Volvemos a las andadas, que dirían los hermanos Muñoz (Estopa). Esperemos que esto cambie con el paso de los meses.

0 comentarios:

Publicar un comentario