martes, 31 de marzo de 2015

Pillan a agentes del gobierno EEUU haciendo negocios sucios en Tor

Es la noticia del día: han detenido a dos agentes en Estados Unidos, uno de la DEA y otro de los servicios secretos, por lucrarse haciendo de topos durante la investigación contra Silk Road, el que fue más famoso mercado negro en la red Tor. Rocambolesca historia donde las haya, que conocemos el mismo día en que publican que el cibercrimen ya supera al narcotráfico en beneficios.


Según la acusación de los agentes Carl Force, de la DEA, y Shaun Bridges, del Servicio Secreto, ambos jugaron como dobles agentes durante la investigación que llevó al cierre de Silk Road, vendiendo información a los administradores del sitio sobre los pasos que seguía la policía. Además, ayudaron a planear el asesinato de uno de los colaboradores del sitio, que al final no se llevó a cabo. Realmente, es para hacer una película.


lunes, 30 de marzo de 2015

Los pasaportes de 31 líderes mundiales, al descubierto

En el mundo de las máquinas nadie parece estar a salvo de que sus datos escapen todas las barreras y corran libres por las redes. Lo decimos medio en broma pero es un problema extremadamente serio, para el que no se encuentran por el momento soluciones definitivas. Hoy hemos sabido que no se salvan de esta plaga ni los principales dirigentes del planeta. Sí, hablamos de Barack Obama, Angela Merkel o Tony Abbott.


Sucedió en noviembre del año pasado, en una reunión del G20 en Australia: alguien de la organización mandó al responsable de un comité de futbol una lista con los datos personales de los líderes invitados, entre ellos sus números de pasaporte. Pero tuvo tan mala pata que la función "autocompletar" de Microsoft Outlook hizo que se mandase a otra persona, que fue avisada y lo borró inmediatamente. Nadie contó con que el "backup" diario lo conservaría en el sistema informático.


domingo, 29 de marzo de 2015

El top 5 de la semana en Seguridad (LXVIII)


Que no nos la den con queso. Asumido ya que nos va a tocar ser víctimas de algún episodio antes o después, al menos queda la honrilla de que el engaño, el ataque o el hack resulte lo menos indecoroso posible. Porque hay situaciones en las que el agujero de seguridad que queda al descubierto no solo nos expone a un riesgo, sino que nos pone en evidencia. Así es como han venido las noticias más calientes de la semana.

Que se lo digan si no a las autoridades electorales australianas, que han palidecido cuando a principios de la semana teníamos conocimiento de que los sistemas de votación online son vulnerables a vectores de ataque, entre ellos el recién descubierto FREAK. Una vulnerabilidad que te hace quedar como el más pardillo de la clase, con que solo una papeleta haya sido manipulada.


sábado, 28 de marzo de 2015

El romanticismo cibernético y el business

Tal día como hoy, hace 170 años, se estrenó la que se considera obra culmen del romanticismo español: Don Juan Tenorio, de José Zorrilla, un drama que materializa en literatura el mito del don Juan. Embaucador, amante de las fechorías, altanero, despectivo y seductor de doncellas. Un 'hacker' en toda regla de la conducta pública, siempre buscando más allá de los límites. Y que como veremos al final de estas líneas, hasta podría ponerse de nuestra parte.

Hace tiempo que los ciberdelincuentes no son la figura romántica del don Juan. En su afán por violar sistemas no figura ni siquiera la bravuconada del recuento de equipos infectados. La consigna que les mueve es show me the money y, eso sí, no dudan en aprovecharse para ello de las 'doncellas' que han sido atraídas por la cara más seductora de Internet: las plataformas de juegos, las herramientas para early adopters, o los espacios colaborativos para el desarrollo de código. Los cacos del pasamontañas digital son, ante todo, unos marketinianos de primera: van a donde se mueve el usuario, porque es ahí donde está el business.


viernes, 27 de marzo de 2015

Cuidado con el WiFi de los hoteles estas vacaciones

Empezamos a estar acostumbrados a escuchar historias para no dormir referentes a las conexiones wifi públicas y, muy especialmente, en los hoteles. Hace unos años se descubrió una operación criminal, llamada Dark Hotel, que asaltaba los ordenadores de ejecutivos en viaje de negocio cuando se conectaban a la wifi del hotel. Desde entonces hemos visto con otros ojos la muy relativa intimidad que puedan darnos estas conexiones.


Si nuestros lectores tienen previsto alojarse en un hotel estas vacaciones de Semana Santa, deberían saber que acaba de descubrirse un importante fallo de seguridad en los "routers" de muchas cadenas de hoteles, que permitirían a un atacante infectar con virus a quienes se conecten vía wifi, robarles datos o espiar lo que envíen a través de la red, incluso conocer su nombre y habitación donde se alojan.


jueves, 26 de marzo de 2015

Los certificados falsos son una amenaza cada vez más seria

El 100% de organizaciones en Reino Unido han sufrido en los últimos dos años algún tipo de ataque con certificados falsos. Y es que la impersonación de Autoridades de Certificación y la falsificación de certificados son algo cada vez más habitual. Lo comentamos a continuación, junto con otras interesantes noticias: inseguridad en las gasolineras, sextorsión con móviles y una curiosa historia sobre estafas usando la Wikipedia.


Según un estudio del reconocido Instituto Ponemon realizado en Reino Unido, Australia, Francia, Alemania y Estados Unidos, los ataques contra claves y certificados usados en servidores web, redes y servicios en la nube han crecido un 40% en los dos últimos años. Criminales rusos robaban recientemente certificados digitales de uno de los cinco principales bancos mundiales, permiténdoles robar datos de 80 millones de clientes. A pesar de ello, el 63% de organizaciones aseguran saber poco sobre dónde están sus certificados y para qué estan siendo usados.

Aunque, puestos a asustarnos, nada como otra investigación, realizada por Amador Aparicio, sobre los dispositivos que están dentro de los tanques de gasolina y se comunican vía Internet con el centro de control de la gasolinera. Así se intercambian datos como niveles de gasolina, temperatura del depósito y otros. Múltiples agujeros de seguridad y negligencias, como usar el sistema operativo obsoleto Windows XP, permitirían sabotear estos sistema de monitorización.

A un nivel más terrenal, lejos de los ataques a empresas, la lacra de la sextorsión sigue extendiéndose. Reportan el uso cada vez más frecuente de virus en teléfonos móviles para realizar este ataque, cuyas principales víctimas son hombres: una mujer vía chat visual les induce a realizar actos sexuales ante la cámara y a instalar una aplicación que robará de su teléfono su lista de contactos. Posteriormente se les chantejea a cambio de no mandar el vídeo sexual a estos contactos. Una experiencia terrible que pueden sufrir también altos directivos.

Acabamos con una curiosa noticia: 15.000 estudiantes han sido estafados en India por culpa de un artículo de la Wikipedia. Un administrador de la misma introdujo información falsa en la entrada sobre una escuela de negocios, asegurando que ofrecía titulaciones Master in Business Administration y estaba asociada con prestigiosas universidades extranjeras, cuando en realidad los títulos que ofrecía no tenían ningún valor.

Lo que nos lleva a la conclusión de que no podemos fiarnos ni de los más sagrado, se llame Wikipedia o certificados. Mejor estar siempre atentos, queridas lectoras y lectores.

miércoles, 25 de marzo de 2015

Cuidado con los teléfonos móviles, que los carga el diablo

La mayoría no tenemos conciencia de ello, pero los teléfonos móviles son los dispositivos más inseguros que utilizamos, fácilmente atacables y siempre junto a nosotros, los aparatos perfectos para, por ejemplo, una operación de espionaje. Las noticias sobre vulnerabilidades, nuevos ataques y aplicaciones fraudulentas son constantes en este campo, tanto en iPhone como en Android, aunque estos últimos, como diríamos coloquialmente, "se llevan la palma".


La compañía Palo Alto Netwoks ha descubierto un fallo, presente en el 49,5% de sistemas Android, que permitiría a un atacante secuestrar el proceso de instalación de nuevas aplicaciones y "colar" un virus. Cabe aclarar que, en principio y por ahora, esto sólo funciona en aplicaciones de terceros, no descargadas de Google Play, y están a salvo las versiones 4.4 y posteriores de Android. Lo que nos lleva a recomendar por enésima vez que las "apps" se descarguen de Google Play y los teléfonos se mantengan actualizados.


martes, 24 de marzo de 2015

Tan modernos que somos y nos siguen engañando como a chinos

¿Cuál es la herramienta más peligrosa en seguridad informática? ¿Un nuevo exploit para atacar la BIOS? ¿La enésima vulnerabilidad en Adobe? No. Después de 20 años causando estragos, la ingeniería social sigue siendo la amenaza número uno para los sistemas informáticos. Y las personas seguimos siendo el fallo más grande. Nos dejamos engañar por nuestra ambición de conseguir premios, o por nuestra natural tendencia a ayudar a los otros. Este es, de lejos, el "bug" número uno.


Lo recordó en CeBIT 2015 el rey de la ingeniería social, Kevin Mitnick, quien forjó su leyenda sin prácticamente tocar ordenadores, su "hacking" se desarrollaba mediante ingeniería social, engañando a otros. Durante su charla en la feria informática más grande del mundo, Mitnick mostró algunos trucos que siguen funcionando, como rebuscar en la basura de empresas para encontrar información confidencial, o disfrazar un virus para que parezca la actualización de un programa legítimo.


lunes, 23 de marzo de 2015

Los robos de bases de datos tienen consecuencias cada vez más serias

¿Debe una empresa a quien han robado datos sensibles de sus clientes indemnizarles? ¿Y, si los datos eran cuentas bancarias que han sido asaltadas, deben ser indemnizados los bancos? El caso de la Corporación Target, a quien robaron en diciembre números de tarjetas de crédito y débito de 40 millones de personas ha abierto un fértil debate legal en Estados Unidos, que sentará precedentes en todo el mundo. Hablamos de ello, así como de otros robos de datos con consecuencias nefastas.


A finales de la semana pasada, Target consiguió un acuerdo con los ciudadanos que le demandaron después de la filtración de sus datos. Cada perjudicado será indemnizado con 10.000 dólares. Esto no evita que la corporación deba enfrentarse también a las demandas de diversos bancos, que quieren que asuma el coste de los robos en cuentas expuestas debido a la filtración. Los bancos acusan a Target de guardar en sus servidores los números de las tarjetas, cuando la ley le obligaba a destruirlos una vez se había realizado el pago.


domingo, 22 de marzo de 2015

El top 5 de la semana en Seguridad (LXVII)

Nos quejamos de su inseguridad, de que venden nuestra privacidad, pero, ¡ah!, pocos mortales conectados a Internet han conseguido resistirse al influjo y no tener una cuenta en Facebook. Nos atrae tanto como nos repele y ahí está, como podía esperarse, la noticia más leída esta semana en este vuestro servicio de noticias versa sobre Facebook. Tras ella, cosas con más "charme" como la Internet de las Cosas, la ciberguerra y otras.


Y es que la noticia lo valía: Facebook activaba esta semana un nuevo servicio que permite el pago entre sus usuarios, siempre que especifiquen un número de tarjeta en su perfil y una contraseña para realizar los pagos. Si funciona, puede significar un cambio importante para la red social, con la aparición de nuevos servicios como subastas, compraventa, donaciones...


sábado, 21 de marzo de 2015

Quien la sigue la consigue: ¿Cómo de expuestos estamos en el mundo digital?

Las técnicas de engaño que funcionan en el mundo físico también funcionan en el mundo digital. Y de hecho acaban por funcionar aún mejor, ya que todavía hoy en pleno 2015 los usuarios tienden a entender el mundo digital como ajeno a la realidad. Veamos algunos ejemplos en los que acciones en este mundo repercuten, y de qué manera, en el día a día de muchas personas.

Ay, esos emails… Te levantas una mañana y en la bandeja de entrada tienes la alerta de tu oficina bancaria. Al parecer, esta noche han intentado realizar un cargo (o cientos de ellos) por un valor muy superior a lo que sueles hacer, por lo que han decidido bloquear temporalmente la cuenta en espera de que te pongas directamente en  contacto con ellos. Eso sí, te envían un documento de Microsoft Word explicándote toda la operación. Pero simplemente tendrás que abrir ese documento para quedar infectado, y que tu cuenta real se vea comprometida.


viernes, 20 de marzo de 2015

Pillado por el "selfie"

No es la primera vez ni será la última que un delincuente se exhiba en las redes sociales y consiga, además de un montón de "followers", que las fuerzas de la ley le localicen y detengan. Hoy empezamos nuestro resumen de noticias con la estrambótica historia de Lance Early, 28 años, de Ohio. Una información ligerita que nos sirve de aperitivo antes de meternos de cabeza en noticias bastante más espesas: China y la ciberguerra, la absoluta fragilidad de las aplicaciones para móviles y lo último en código malicioso: atacar la BIOS.



Lance Early tenía tal sentido de impunidad en las redes sociales que su cuenta en Twitter estaba cuajada de fotos de... ¡billetes! Posiblemente los que ganaba con la compraventa de datos personales y la presentación de falsas declaraciones de impuestos. Acusado de 46 delitos de fraude, escapó durante su juicio y, en vez de esconderse, posteó algunos "selfies" en su cuenta de Twitter, lo que permitió localizarle y detenerle de nuevo.


jueves, 19 de marzo de 2015

Facebook añade una controvertida novedad: los pagos entre usuarios

Hoy es un gran día para las más de mil millones de personas registradas en Facebook. La red social ha añadido una novedad a su Messenger que permite a los usuarios enviarse dinero los unos a los otros. Para ello necesitarán añadir un número de tarjeta de crédito a su cuenta y proteger los pagos que realicen con ella mediante contraseña o factor de doble autenticación. Pero lo que es una maravilla para los usuarios es visto como un grave peligro para algunos expertos en seguridad informática.




Y es que siempre ha habido dos raseros en Internet: el de los usuarios y el de quienes saben cómo funcionan las máquinas. Mientras los primeros ven el diseño gráfico, el marketing y la alegría social de tener miles de amigos, los otros ven la poca seguridad que muestra Facebook a la hora de proteger fotos, cuentas y en general la privacidad de quienes usan el servicio. Cruzaremos los dedos para que esta vez sea diferente.


miércoles, 18 de marzo de 2015

Los malos son cada vez más malos, y los buenos... ¿también?

Nos hemos despertado esta mañana con algunas historias para no dormir que nos hacen sospechar si quienes deberían protegernos en Internet están por la labor. Más bien parece que algunos tienen la casa por barrer, mientras la delincuencia actúa impune, especialmente en sus ghettos. De eso va nuestra primera historia de hoy, de un ghetto llamado Dark Web donde por enésima vez un ladrón ha robado a otros ladrones y todo hace suponer que tendrá cien años de perdón.
Detalle de la animación de @HackingMom, copyright de Dibu2pia
El ladrón responde a los alias Kimble y Verto, administradores del bazar en la web oscura Evolution Market, donde delincuentes vendían todo tipo de material de contrabando, desde drogas hasta contraseñas robadas. En las últimas 24 horas, Kimble y Verto han cerrado el mercado y desaparecido con el dinero que debían a los mercaderes, que podría superar los 12 millones de dólares en bitcoins. Nadie tiene esperanza de recuperarlos, al menos no siguiendo los cauces habituales de denunciarlo a la policía.


martes, 17 de marzo de 2015

Se nos echa encima una Internet de las Cosas con seguridad cero y Barbie lo sabe

Es la cantinela del momento: la Internet de las Cosas. Y junto a ella, los repetidos avisos sobre su nula seguridad. Es el sueño de neveras conectadas a la red que avisan de si hay que ir a comprar leche, tostadoras y cafeteras que se ponen en marcha mientras nos duchamos, luces y calefacción que podemos controlar a distancia, un sueño convertido en pesadilla de neveras, tostadoras y casas asaltadas por virus y criminales. Por si no lo teníamos claro, acaba de salir a la luz pública un ejemplo perfecto: la nueva muñeca Barbie.




Se llama "Hello Barbie" y tiene la capacidad de conversar de forma "inteligente" con los niños. ¿Cómo? Mediante tecnología de reconocimiento de voz: graba sus conversaciones y las manda vía wifi a terceras empresas, que procesarán lo grabado para que la muñeca ofrezca respuesta a medida. Adiós al "mamá, papá, te quiero" pregrabados de toda la vida. El problema, dicen los defensores de la privacidad, que han armado gran revuelo, es que no suena muy bien que los muñecos espíen a tus hijos.


lunes, 16 de marzo de 2015

¡Marineros a la mar! Un nuevo rumbo nos espera: el del equipo azul

En la cubierta de la nave de guerra HMS Belfast, suenan las alarmas. Varios soldados detienen a uno de los pasajeros justo antes de que este consiga sacar su arma de debajo del chaleco salvavidas. Pero el mal ya está hecho. El equipo informático del buque ha sido hackeado, y la misión de los 42 expertos en seguridad que están a bordo es formar el equipo azul que evite que el malware descargue la artillería sobre la capital de Reino Unido.


Así es como empieza una de las hackathones de ciberseguridad anual celebrada en Londres. 42 estudiantes se pondrán en la piel de un equipo azul de ciberseguridad, encargado de proteger el navío (un navío real ahora atracado como atracción turística) y evitar que la cuenta atrás llegue a cero. ¿En juego? Un jugoso botín económico, y la búsqueda de nuevo talento hacker.


domingo, 15 de marzo de 2015

El top 5 de la semana en Seguridad (LXVI)

Jugosas noticias nos ha dado esta semana, cual cerezo que despierta del letargo del invierno y saluda con su explosión de flores a la primavera. Jugosas y curiosas noticias que se reflejan en nuestra selección de las más leídas: virus en Linux, robos de identidad, el gobierno de los Estados Unidos a la búsqueda y captura de hackers... Empezamos.


La noticia més leída esta semana está curiosamente relacionada con un sistema operativo minoritario entre los usuarios: GNU/Linux. El Instituto Nacional de Ciberseguridad alerta sobre el código malicioso en este sistema libre, dado el crecimiento exponencial de Linux en la Internet de las Cosas y sistemas conectados a la red.


sábado, 14 de marzo de 2015

Estados Unidos legisla sobre los robos de decenas de millones de datos

El Congreso norteamericano trabaja en legislar a nivel estatal las filtraciones de datos. Ya era hora, cuando tristemente nos estamos acostumbrando a las noticias prácticamente diarias sobre robos de la información privada de decenas de millones de personas. Nos alegra porque cuando EEUU mete baza en algo, el resto del mundo se mueve también. Hablamos este sábado además sobre un virus que ataca a los "gamers", tarjetas regalo de Amazon que son una trampa y un agujero de seguridad en Google Apps for Work.


Marsha Blackburn, co-impulsora de la ley
Corre una ley aún en borrador que ya está dando mucho que hablar en el Congreso de Estados Unidos y que enfrenta a dos "lobbies": la industria y los defensores de la privacidad. La ley tiene algunos puntos especialmente calientes, como decidir si una dirección de correo y una contraseña para acceder a una cuenta pueden considerarse información que permite la identificación de una persona; o en qué casos la empresa que ha sufrido un ataque debe notificarlo a sus usuarios, en qué límite de tiempo (30 días) o el monto de las multas (hasta 2,5 millones de dólares).


viernes, 13 de marzo de 2015

La rapsodia que nunca termina en el mundillo de la seguridad

Bohemian Rhapsody es quizás una de las canciones de rock más conocidas de la historia. Escrita por Freddie Mercury para el álbum de 1975 “A Night in the Opera”, representa aún en nuestros días un verdadero desafío, tanto en su estructura (mezcla de seis estilos distintos divididos en los cinco minutos que dura), como en su significado, que algunos apuntan hacia una autobiografía de los sentimientos e inseguridades internas del mítico cantante de Queen.

Inseguridad como la que encontramos en la cadena de distribución de productos, y en especial, en las políticas de seguridad laxas con las que cuentan la mayoría de establecimientos comerciales. “No es que en EEUU haya más brechas de seguridad”, aseguran desde Verizon, “sino que el sistema de alerta es más sofisticado aquí que en otros países”.  Situación que acaba afectando tanto a bancos como a clientes finales, poniendo en jaque la economía mundial.


jueves, 12 de marzo de 2015

No hay sistema 100% seguro e infalible

La eterna disputa. Encontrar el equilibrio entre seguridad y negocio. O securizamos lo que ya hay en producción, o sacamos nuevas “features”, a sabiendas que ello conlleva nuevos problemas de seguridad y privacidad tanto en el nuevo sistema como en los antiguos. Y el simple paso del tiempo juega también en nuestra contra. Dos mundos que poco a poco parecen encontrarse.

A principios de semana informamos de la decisión de algunos bancos de bloquear por defecto los pagos mediante Apple Pay, a la vista de varios fraudes ocurridos bajo esta plataforma. Hoy conocemos algo más de información, que no apuntan hacia una brecha de seguridad por parte de Apple, sino a la picaresca de la industria del crimen al aprovechar la facilidad y accesibilidad de Apple Pay al digitalizar tarjetas para usarla como pasarela con cuentas robadas.


miércoles, 11 de marzo de 2015

El error de separar mundo real y digital

Lunes, 09:0AM. Sales de casa como cada mañana camino al trabajo, pero antes de llegar al coche, un hombre trajeado te para, ofreciéndote 200 euros a cambio de que ingreses un fajo de dinero en una cuenta del banco de la esquina ¿Lo harías?


La mayoría de la gente no. Por el simple hecho de que todo apunta a que va a ser un timo, o como mínimo, te va a meter en problemas. Pero en cambio, si trasladamos el mismo supuesto al mundo digital, la cosa cambia.


martes, 10 de marzo de 2015

'Hackority' Report

"Señor Marks, por orden de la División Precrimen del distrito de Columbia le detengo por el futuro asesinato de Sarah Marks y Donald Dubin que iba a suceder hoy". Suena a futuro y a ciencia ficción, ¿verdad?  La pregunta es... ¿por cuánto tiempo? Hoy el terreno de la ciberseguridad suena más que nunca a 'Minority Report', la cinta protagonizada por Tom Cruise y dirigida por Steven Spielberg.


Lo dice de forma textual un post en el Wall Street Journal, en su sección especializada The Security Download: "La inteligencia artificial y el aprendizaje automático juegan un mayor papel en ciberseguridad, que en teoría ayuda a las compañías a identificar riesgos y a anticipar problemas antes de que sucedan". Son nuevas técnicas (más que tecnologías), que llegan para quedarse, ya que permiten una identificación más rápida de las vulnerabilidades, incrementan las tasas de detección y descubren vectores de ataque no conocidos, según el CIO de la Universidad de Victoria en British Columbia, Paul Stokes.


lunes, 9 de marzo de 2015

¿Que es el fraude, el scam y el phishing, y para qué se utilizan?

Fraude, scam y phishing. Tres términos que habitualmente van de la mano, y que se apoyan en las nuevas tecnologías para realizar sus fechorías. El uno no puede vivir sin los otros, y quien sufre las consecuencias son los terceros, tanto usuarios como empresas. Pero ¿qué diferencias hay entre ellos?, y sobre todo, ¿qué papel juegan en el mundo del cibercrimen?


Comenzamos por el Fraude, el más genérico de los tres. Y es que el fraude no es más que la antítesis de la verdad, de lo correcto. Fraudes los hay de muchos estilos, como el que recientemente afectaba a algunos usuarios de Apple Pay, y que ha llevado a varios bancos a bloquear por defecto el servicio, en espera de que sea el propio cliente quien se identifique para activarlo.


domingo, 8 de marzo de 2015

#RootedCON, Día 3: Con la miel en los labios

Todo lo bueno se acaba. Y la RootedCon es uno de esos ejemplos. Llegamos así al último día de este magistral evento de seguridad informática, que un año más saca lo mejor de sí mismo. Y lo hace por la puerta grande, con varias de las charlas más esperadas. ¿Que te las has perdido? Si es así, no te preocupes: el CIGTR te las cuenta. ¡A por ello!

 El tercer y último día de la Rooted comenzó con la ponencia de Miguel Tarascó de @tarlogic, quien hizo un llamamiento a la comunidad de desarrolladores: no todos los ataques tienen como objetivo el usuario final, y de hecho no será la primera ni la última vez que un código sacado de internet viene acompañado de algún regalito que permite a un tercero instalar una shell en el terminal de desarrollo con permisos del IDE utilizado.


sábado, 7 de marzo de 2015

#RootedCON, segunda jornada: terremoto de PoC

Hay días en los que sabes, antes de levantarte, que van a ser intensos. Que al acabar la jornada tendrás tu libreta repleta de anotaciones, y la cabeza dando vueltas una y otra vez sobre diversos temas que seguramente ni te habías parado a pensar hace tan solo unas horas antes. Y el viernes fue uno de esos días. 

Segundo día de la RootedCon, uno de los eventos más importantes en materia de seguridad informática de Europa, celebrado como cada año en Madrid. Ayer publicamos la crónica de la primer jornada (http://kcy.me/1qrmy), y hoy toca hacer lo propio con la segunda.

El pistoletazo de salida lo dio Alfonso Muñoz, de Eleven Paths, hablando de aquello en lo que está especializado: para esta ocasión, sobre estegomalware en aplicaciones móviles. O lo que es igual, diversas maneras de ofuscar código ejecutable en las aplicaciones de la Play Store de Android. Tanto en la propia tienda, mediante el uso de imágenes PNG con código ofuscado, como en llamadas a recursos externos que la aplicación realiza para su buen funcionamiento, y también, por supuesto, en los propios recursos de la aplicación. Es un vector de ataque muy sofisticado y a día de hoy casi indetectable, debido a que no hay sistemas enfocados en realizar este tipo de escrutinios.


viernes, 6 de marzo de 2015

#RootedCON día 1: empieza el show

Ayer dio comienzo en Madrid la RootedCon, uno de los mayores eventos de seguridad informática de Europa. Una excusa tan buena como otra cualquiera para reunir en un mismo recinto a profesionales del sector, fuerzas del orden y apasionados por la tecnología, en un evento que dura tres días y en el que como habitualmente pasa, se desvelarán varios 0-days que volverán a quitarnos el sueño. 

Desde primera hora, el Hotel Auditorium es un hervidero. Miles de asistentes, miradas cómplices, y palmaditas en la espalda. Quien ha ido a una Rooted, repite. El ambiente es distendido. La mayoría, en camiseta y sin corbata. Hackers, consultores de seguridad, cuerpos de defensa militar y civil, abogados, periodistas, activistas e incluso algún fiscal, como veremos. Todos con el mismo entusiasmo. Porque allí se va a hacer networking, pero sobre todo, a disfrutar “en familia”.


jueves, 5 de marzo de 2015

Ciberseguridad azul y negra... o blanca y dorada

"¿Entonces qué colores son? ¿Blanco y dorado, o azul y negro?". Pocas imágenes como la del vestido que cambia de color según quién lo vea han sido tan virales. Discusiones de todo tipo, en cafeterías, en oficinas, en colegios, con el smartphone en la palma de la mano y enseñando a todo el mundo la imagen.

Y entonces, ¿el cibercrimen va o viene? ¿Crece o decrece? ¿Tiene coto o no lo tiene? Como en el caso de la imagen, depende de quién lo mire. Y para ser exactos, de la sensibilidad que cada cual tenga respecto a la parte del cibercrimen en la que se fije. Si nos paramos en reportajes como el elaborado estos días por Silicon News, nos encontraremos con un panorama bastante negativo. Informes procedentes de todo tipo de actores del mercado, que nos dejan bien claro que vamos de mal en peor y cuesta abajo y sin frenos. Y con una advertencia de cabecera: "La ciberdelincuencia se ha convertido en una desagradable consecuencia de la sociedad conectada en la que vivimos".


miércoles, 4 de marzo de 2015

Los FREAKs de la seguridad informática

El uso que le damos al término Freak ha ido cambiando a lo largo del tiempo. Freak significa “raro”, y es por ello que el término estuvo asociado durante varios siglos al mundo del espectáculo circense. Los Freak Show surgieron en Inglaterra allá por el siglo XVII, solían ser ambulantes, y entretenían al público en las plazas mayores de los pueblos con la muestra de individuos con cualidades únicas, habitualmente grotescas.


Pasarían varios siglos hasta que la escena freak llegara acompañada de artistas de la talla de David Bowie o Roxy Music, como respuesta al rock más tradicional de la época. De ahí a definir toda una cultura alternativa a lo considerado “habitual” en la sociedad. Y desde hace unos días, también como nombre para referirse a una nueva vulnerabilidad en el protocolo de cifrado utilizado para comunicaciones seguras en Safari y el navegador por defecto de Android. FREAK (Factoring attack on RSA-EXPORT Keys) permite a un cibercriminal forzar el uso de llaves de cifrado 512-bits, frente a los 2048-bits que dicta la normativa, simplificando la lectura de todo el contenido albergado tras esta llave.


martes, 3 de marzo de 2015

¿Jugamos a hundir la flota con los datos de personas y empresas?

Los tiempos de guerra siempre han sido tiempos difíciles. Tanto para soldados como para civiles, es y era importante mantener la cabeza distraída y apartar así el miedo acechante de ser  víctima en cualquier momento de un ataque enemigo. Y es por ello que estas épocas son paradógicamente muy productivas para la creación de nuevos entretenimientos, como pasaría con Broadside: El Juego De La Estrategia Naval, que daría el paso del lápiz y papel al juego de mesa bajo el nombre de Battleship, o Hundir la Flota.


Seguro que has jugado en más de una ocasión: Dos jugadores, cada uno con dos tableros. El primero con tu flota naval, y el segundo vacío, en espera de ser poco a poco descubierto con la posición de la flota del contrincante. Hablamos de un juego de estrategia, que se basa en triangular las naves del enemigo antes de que él haga lo propio con las tuyas. Extrapolado al mundo en el que vivimos, una estrategia semejante a la que están llevando a cabo en la Universidad de Stanford, demostrando que una aplicación maliciosa instalada en un smartphone puede geoposionarnos sin tener acceso al GPS, únicamente monitorizando el gasto de batería realizado por el dispositivo al intentar establecer una nueva ruta de comunicación con las antenas próximas.


lunes, 2 de marzo de 2015

”super” como clave maestra, o la seguridad de los servicios masivos

”super”. Así, tal cual suena, y en minúsculas. Podría haber sido “admin” o “1234”, pero a alguien se le ocurrió que fuera “super”. Y así, tal cual, en texto claro, dentro de un archivo de configuración.


“super” es la nueva llave maestra en el mundo de routers domésticos. El fallo de un router llevó a unos investigadores a realizar ingeniería social sobre el firmware, para encontrarse con que el par “super”-”super” podía ser usado para loguearse en la página web del router de la compañía. No terminaron allí, sino que quisieron probar suerte con otras marcas, y ¡voilà! 10 fabricantes de routers incorporan el mismo backdoor.


domingo, 1 de marzo de 2015

El top 5 de la semana en Seguridad (LXV)

Tod@s somos aprendices. Venimos a esta vida a aprender y conservamos hasta la muerte una fuerte pulsión, que llamamos curiosidad, hacia las cosas desconocidas. El nuevo territorio llamado ciberespacio nos provee de exploraciones para unas cuantas generaciones, posiblemente hasta que la humanidad esté preparada técnica y mentalmente para llevar su curiosidad hacia el espacio (sin ciber esta vez). Mientras, el vital afán de aprender dirige nuestra atención a todo tipo de manuales, guías y "cómo-se-hace" relacionados con Internet. Y así lo refleja nuestra ranking de artículos más leídos.

Esta semana sólo ha habido una noticia que llamase fuertemente la atención de nuestras lectoras y lectores y no fuese una guía: la hazaña de un chaval de 14 años que, armado con material electrónico por valor de 15 dólares y un teléfono móvil, consiguió abrir las puertas de un coche inteligente y ponerlo en marcha. Para colmo, encendió el equipo de música e hizo un par de ráfagas con las luces. El chaval estaba participando en una competición para demostrar la in-seguridad de este tipo de coches.