viernes, 31 de julio de 2015

Turno para General Motors: ponen en marcha sus coches remotamente

La industria automovilística podrá llamar al verano de 2015 su "verano horribilis". Si la semana pasada dos hackers subían los colores a Chrysler, dejando uno de sus coches sin frenos y parando el motor en plena autopista, ahora es el turno de General Motors: han hackeado la app que permite abrir sus coches y ponerlos en marcha. Empezamos con esta noticia y seguimos con un importante aviso de seguridad que afecta a la infraestructura de Internet, los intentos de Facebook por securizar sus accesos y la agenda del mayor evento de ciberseguridad del planeta, Black Hat, que mañana abre sus puertas.


El hack a General Motors es un avance de una charla que posiblemente tendrá gran audiencia en Defcon, que se celebra justo después de la Black Hat, también en Las Vegas. Un hacker de Los Ángeles ha creado un dispositivo, al que llama OwnStar, que hackea el canal de comunicaciones OnStar de los automóviles General Motors. OwnStar permite localizarlos y robar las credenciales necesarias para abrirlos y ponerlos en marcha remotamente.


jueves, 30 de julio de 2015

Ahora sí habrían hackeado a la compañía United Airlines

La compañía sigue negándolo pero parece haber cada vez más evidencias de que mercenarios informáticos de élite habrían asaltado a la segunda compañía aérea de Estados Unidos, United Airlines, y robado datos de sus pasajeros. United Airlines es la aerolinea de referencia del gobierno y donde vuelan sus políticos, militares y otros VIPs. Ampliaremos esta información y hablaremos también de un nuevo uso que está dando a Twitter la ciberdelincuencia, de una nueva herramienta para nuestra privacidad electrónica y de dónde mejor no ir de vacaciones con nuestro drone.


El grupo Black Vine, supuestamente pagado por el gobierno chino y responsable de millonarios robos de datos a la aseguradora Anthem y a la Oficina de Gestión de Personal (OPM) del gobierno de EEUU, habría atacado la aerolínea United Airlines en primavera. Rumores cada vez más insistentes lo apuntan. En los últimos meses la red de la compañía se ha caído en diversas ocasiones y United Airlines ha puesto en marcha un programa de "bug bounty". En abril, alguien registró el falso dominio united-airlines.net con el nombre James Rhodes, un personaje de Marvel Comics. Black Vine suele firmar sus "trabajos" con referencias a Marvel.


miércoles, 29 de julio de 2015

Ha nacido un nuevo cibervillano: Enredadera Negra

La compañía Symantec afirma haber descubierto a los responsables del mayor robo de datos conocido hasta la fecha, cuyas víctimas fueron 80 millones de personas, clientes de la segunda aseguradora de Estados Unidos, Anthem. Se trataría del grupo Black Vine, formado por mercenarios informáticos de élite. Hablaremos de ellos y también de lo fácil que puede ser asaltar una caja fuerte, de un error épico del gobierno belga y de un caso de éxito que podría haber acabado en tragedia: el fork de Bitcoin en 2013.



Según Symantec, Black Vine estaría especializado en grandes empresas, habiendo atacado no sólo a la aseguradora Anthem, también compañías petroleras, aerospaciales, aéreas y otras. El grupo contaría con amplia financiación para la compra de material, entre ellos diversos 0days que podría intercambiar con otros grupos cibercriminales, aunque programaría también sus propias herramientas. Su principal objetivo desde 2012, cuando empezó su singladura, habrían sido empresas de Estados Unidos (82%) y en menor medida Canadá, Dinamarca, Italia, India y China. Su origen podría ser chino.


martes, 28 de julio de 2015

Gravísimo fallo permite secuestrar el 95% de Androids con un simple mensaje

Afecta a 950 millones de teléfonos y no es necesario que las víctimas realicen ninguna acción, ni siquiera abrir el mensaje que tomará el control de su teléfono. Sus descubridores, Zimperium, la consideran la más grave vulnerabilidad descubierta hasta la fecha en el sistema operativo Android y los expertos les dan la razón. Hablaremos de ello, así como de otra investigación que ha conseguido sacar datos de un ordenador totalmente aislado, también de los hábitos de navegación de los parlamentarios británicos y de cómo educar en seguridad a personas poco duchas en esta materia.


El escenario podría ser como sigue: de noche, vamos a dormir y dejamos el teléfono encendido. Nuestro atacante sólo tiene que conocer nuestro número. Nos manda un mensaje multimedia (MMS) que no es necesario ni que abramos. Contiene un código malicioso que tomará subrepticiamente el control de nuestro aparato. Después, el atacante sólo tiene que borrar la notificación de recepción del MMS y la víctima despertará al día siguiente sin percatarse de que nada haya pasado. Zimperium desvelará más detalles en la próxima conferencia Black Hat. El gran problema será cómo acceder al parche si nuestro sistema no es Android puro, dado el poco interés demostrado por los fabricantes para que tengamos nuestros Androids actualizados.


lunes, 27 de julio de 2015

El hack del Jeep costará una multa de 105$ millones a Fiat Chrysler

Este fin de semana la empresa Fiat Chrysler ha descubierto cuán caro puede resultar no hacer caso a unos investigadores que hace siete meses la avisaron de graves fallos de seguridad en su red uConnect. La semana pasada, estos investigadores y un periodista de "Wired" demostraron al mundo cómo era posible dejar sin frenos y apagar remotamente un Jeep Cherokee en plena autopista. Hoy vivimos la resaca de esta demostración, que ha convulsionado al mundo y ocupa casi monográficamente nuestro informe del lunes. 
El organismo encargado de la seguridad en los automóviles de Estados Unidos multaba ayer con 105 millones de dólares a la empresa Fiat Chrysler Automobiles por graves fallos de seguridad en los que están involucrados millones de sus vehículos. Concretamente, la mayoría de modelos creados entre 2013 y 2015: Jeep Gran Cherokee, Cherokee, Dodge Durango, Dodge Charger, Dodge Challenger y Dodge Viper. El organismo encargado de la seguridad del tráfico en las autopistas nacionales también ha amonestado a la compañía, llegando finalmente a un acuerdo con ella.


domingo, 26 de julio de 2015

"No dejaré de investigar sobre seguridad en aviación ¡ni de broma!"

Hugo Teso, consultor de seguridad especializado en aviación.

Foto: Elisa Coello Rueda
A Hugo Teso no le conozco en persona, pero siento por él mucha ternura. Posiblemente tenga algo que ver su valentía intelectual. No ha pisado la universidad. Llegó a selectividad, se sacó la licencia de piloto comercial y desde ahí ha escalado a la élite mundial de la ciberseguridad: a ser el primero que avisó de la increible fragilidad de las comunicaciones y sistemas aéreos. Hay un antes y un después del día en que Hugo mostró, en la conferencia Hacking The Box, en Amsterdam, cómo desde un teléfono móvil podría hackear un avión.

Acaba ahora de cumplir 33 años, edad mágica donde las haya, en Berlín. Allí trabaja para una empresa finlandesa de gran renombre, F-Secure, que acaba de comprar la empresa danesa que le empleaba. El gran Hugo Teso nació en Barcelona pero coincidirán conmigo en que tanto talento necesita expansión. En Linkedin pone que trabaja de "consultor informático". Él nos aclara que tras ese nombre anodino se esconde la diversión de probar la seguridad de todo tipo de sistemas, desde páginas web o apps hasta aviones y coches.


viernes, 24 de julio de 2015

Convierten los dominios .sucks en una nueva forma de extorsión

De los 6.000 dominios .sucks vendidos desde su puesta en marcha, en junio, sólo una veintena están siendo usados. El resto son compras de celebridades y empresas que no quieren ver cosas como "Cocacola.sucks" en Internet. Cada vez más voces califican este dominio de extorsión. Hablaremos también de un importante aviso de seguridad que afecta al navegador Internet Explorer para  móviles, del peligro de engaños que usan Linkedin y una informal pero interesante investigación sobre anuncios de hackers.



ICANN ha puesto recientemente en el mercado el dominio .sucks, junto con otros que ni de lejos han tenido tanto éxito. Este dominio se ideó para páginas web que quisieran quejarse de los políticos, las corporaciones.. pero quienes lo están comprando son celebridades y empresas que no quieren ver dominios que las critiquen. Conocedora de ello, la empresa registradora Vox Populi, que vende estos dominios, ha multiplicado sus precios por 10 si los compran marcas comerciales. Algunos hablan de chantaje y extorsión. ICANN lo está investigando.


jueves, 23 de julio de 2015

A los clientes de Hacking Team no les funciona nada

Dos semanas después de que la empresa Hacking Team pidiese a sus clientes que dejasen de usar sus sistemas de monitorización, todo sigue igual. Policías y espías de todo el mundo no pueden usar los programas que compraron por cientos de miles de dólares. Abundaremos en ello, así como en otras noticias que sigue generando el caso Hacking Team, culebrón del verano donde los haya: un estudio sobre el mercado de los 0days y otro sobre la gran calidad de sus virus para Android. Además hablaremos del gran robo de datos a funcionarios de Estados Unidos, otra serpiente que sigue vivita y coleando.



La revista "Motherboard" ha podido hablar con un cliente de Hacking Team, quien asegura: "Todo está caído. Hacking Team necesitará meses para restaurar temporalmente el servicio". El reto no es sólo levantar el sistema de monitorización. Con la difusión mundial de documentación interna de la compañía se han descubierto fallos en conocidos programas que las empresas ya han solucionado, los antivirus se han actualizado gracias a esta información y los expertos en seguridad han descubierto los trucos de Hacking Team. ¿Cómo volver al pasado?


miércoles, 22 de julio de 2015

Cuatro detenidos por el mayor robo de datos bancarios de la historia

En agosto de 2014, el mayor banco de Estados Unidos, JPMorgan Chase, anunciaba que le habían robado datos privados de 76 millones de cuentas de clientes, más 7 millones de pequeñas empresas. Un año después, el FBI anuncia la detención de 4 personas relacionadas con el caso. Destacamos hoy también dos demandas por robos de datos, cómo de fácil parece ser hackear un Jeep y acabamos con noticias frescas sobre Darkode.



Los detenidos serían dos hombres en Florida, dos en Israel y posiblemente una quinta persona de nacionalidad norteamericana viviendo en Israel. Se les acusaría de diversos delitos informáticos relacionados con entidades financieras y la moneda virtual Bitcoin. El robo a JPMorgan fue un escándalo en su momento, más por el hecho de que los delincuentes se pasearon durante un mes por las redes del banco sin que nadie se percatase.


martes, 21 de julio de 2015

Parche urgente para Windows por el caso Hacking Team

La empresa Microsoft ha publicado un parche de emergencia para solucionar un fallo crítico que afecta a todas las versiones de Windows. Dicen los rumores que lo habría motivado un 0day descubierto en los papeles robados a Hacking Team. Y es que sigue coleando este tema con todo tipo de nuevas informaciones. Las detallaremos y hablaremos también de otra serpiente del verano: el gran asalto a las oficinas de gestión del personal del gobierno de Estados Unidos, que han obligado a aplicar cambios de seguridad que no tienen a todo el mundo contento.


El fallo reside en la librería Windows Adobe Type Manager. En caso de ser explotado permitiría al atacante ejecutar código de forma remota o, dicho de otra forma, el control total del ordenador de la víctima. Un fallo realmente grave presente en todas las versiones de Windows y que, según ha afirmado la compañía FireEye, formaría parte del arsenal de 0days descubiertos a la empresa italiana Hacking Team. Miedo da pensar desde cuándo y en qué objetivos habrían estado usando este exploit.


lunes, 20 de julio de 2015

Millones de adúlteros con los datos al aire

Ha vuelto a suceder: han robado las bases de datos de un sitio de citas en línea. Esta vez los afectados serían 37 millones de personas que frecuentaban AshleyMadison.com, la principal web de este tipo, cuyo lema es: "La vida es corta. Ten un affair". Ampliaremos esta información y también nuevos datos que nos llegan de un tema que sigue vivito y coleando, dos semanas después de estallar: #HackingTeam.


Un grupo llamado The Impact Team se ha atribuído el robo de datos a AshleyMadison.com, en un manifiesto donde explica por qué lo ha hecho: el sitio de citas cobraba 19 dólares a sus usuarios por borrar sus datos, un servicio que reportó sólo en 2014 1,7 millones de dólares a la empresa. Pero, en realidad, los datos no eran destruídos y nombres, direcciones y números de tarjetas seguían intactos en sus basos de datos. Suena a... ¿venganza? Habrá que ver qué hace The Impact Team con esta información, muy golosa para chantajistas y criminales en general.


domingo, 19 de julio de 2015

"En Hack&Beers es habitual dar una charla con la cerveza en la mano"

Miguel Ángel Arroyo, inventor de los encuentros Hack&Beers


Hay gente muy buena creando programas... y otros que tienen el don de construir comunidades. Miguel Ángel Arroyo es de los segundos. En un par de años ha situado a Córdoba en el mapa de la comunidad de ciberseguridad española. Abría fuego en mayo de 2013 con el primer encuentro Hack&Beers, que hoy celebran 10 ciudades principales en España y subiendo. Un año después y junto a María José Montes ponían en marcha la genial idea de "Hacking Solidario": charlas de ciberseguridad a cambio de comida para el Banco de Alimentos y Cruz Roja. Llevan recogidos 200 kilos.

Y no acaba aquí la cosa. El año pasado montaron el primer congreso de seguridad en la historia de Córdoba, Qurtuba Security Congress, con más de 300 asistentes. Y acaba de despegar la Asociación Nacional de Profesionales del Hacking Ético, de la que Miguel Ángel es presidente. Técnico Especialista en Informática de Gestión, trabaja en SVT Cloud Services y estudia Ingeniería Informática a distancia. Casado y padre de "dos maravillosos hijos", sonrisa tímida y ojos inquietos, Miguel Ángel Arroyo, 39 años, es un currante nato.


viernes, 17 de julio de 2015

¿Cómo avisar a 20 millones de personas de que han sido hackeadas?

La Oficina de Gestión de Personal del gobierno de los Estados Unidos se enfrenta a su segundo mayor reto, después de haber reconocido que fueron robados de sus archivos datos personales de más de 20 millones de personas. Y el reto es: ¿Cómo notificárselo? Hablaremos de ello, así como de una detención que nos recuerda el nunca extinto esquema de hacker blanco de día, hacker negro de noche. Comentaremos también un ataque que distrae a sus víctimas mientras se les instala un virus y una iniciativa personal que pone a nuestra disposición abundante información sobre los mercados negros del cibercrimen.


La semana pasada, el gobierno de Estados Unidos reconocía dos ataques a los archivos de su Oficina de Gestión de Personal donde se habrían robado datos muy personales de 21,5 millones de personas, entre ellos detalles sobre comportamientos sexuales, aventuras extra matrimoniales, abuso de droga, dificultades financieros y antecedentes penales. El gran problema es ahora cómo centralizar la información de los afectados y notificárselo. Un reto en el que muy posiblemente se aprenderán cosas nuevas.


jueves, 16 de julio de 2015

Redada en la red oscura

Uno o más agentes del FBI se infiltraron en el foro cibercriminal Darkode y, con la ayuda de 20 países, han detenido a 70 personas acusadas de intercambiar datos para realizar fechorías de todo tipo en Internet: robo de datos, botnets, virus... Es la noticia que ayer apuntábamos en nuestro Twitter y hoy podemos ampliar con muy interesante información. Comentaremos también un nuevo ataque que permite el robo de cookies, lo que le pasó a un investigador que avisó de un agujero y otro tipo de seguridad, el de las comunidades, ejemplificado en la famosa Reddit.


Darkode era un foro en lengua inglesa, donde se reunían cibercriminales mayoritariamente de Europa y Estados Unidos, casi todos veinteañeros. Al foro, que llevaba 8 años funcionando, se entraba por invitación y estaba protegido con contraseña, una seguridad algo laxa que permitió que la policía e incluso reporteros se infiltrasen en él. Uno de ellos fue Brian Krebs, quien en su blog explica con pelos y señales quiénes eran sus líderes, entre ellos el grupo Lizard Squad o los creadores de la famosa botnet Mariposa, residentes en España durante años y uno de ellos español de Vizcaya.


miércoles, 15 de julio de 2015

Un mes de trabajo comunitario por el mayor ataque de la historia de Internet

El bombardeo DDoS contra Spamhaus, organización dedicada a luchar contra el correo basura, empezó el 15 de marzo de 2013 y fue tan brutal que llegó a ralentizar el funcionamiento de toda Internet, con una fuerza de 300 gigabits de tráfico por segundo. Uno de sus autores, un adolescente, acaba de ser condenado a 240 horas de trabajo comunitario, un castigo irrisorio para muchos. Lo comentaremos, así como la próxima Ley de Internet en China, el aterrizaje del troyano bancario Dyre en España y un spyware de Hacking Team que se esconde en la BIOS.


Seth Nolan Mcdonagh, alias "narko", inició su actividad criminal a la "tierna" edad de 13 años. Entre otros, se dedicaba a tumbar sitios web por encargo. Tras su detención en abril de 2013 se le descubrieron 72.000 libras en una cuenta bancaria y 1.000 números de tarjetas de crédito. Precisamente ayer comentábamos el caso de otro adolescente, miembro de Lizard Squad, condenado en Finlandia a dos años que no cumplirá. Penas irrisorias según cada vez más críticos, frente a la gravedad del daño provocado. Y es que Internet permite que alguien sea el peor cibercriminal antes de que le salga barba. ¿Cómo castigarlo?


martes, 14 de julio de 2015

Todos contra Flash

Mozilla ha anunciado que todas las versiones del programa Adobe Flash Player se han bloqueado por defecto en el navegador Firefox. La razón es una oleada de exploits que atacan diversos 0days descubiertos en Flash para los que aún no existe parche. 0days, por cierto, descubiertos en los ficheros robados a la empresa Hacking Team. Hablaremos de ello, así como de la indemnización de un banco a sus clientes por no haber guardado bien sus datos y de las Guerras del Cifrado.

Cortesía de Speed Force
Ayer el nuevo jefe de seguridad de Facebook declaraba que habría que erradicar Flash Player de la faz de Internet. Sus palabras estaban en sintonía con una opinión cada vez más extendida entre los expertos en ciberseguridad: Flash Player es un nido de agujeros y debe ser eliminado desde el momento en que existen alternativas a su uso, como HTML5, que ya está usando Youtube. Siguiendo la corriente, Mozilla ha bloqueado Flash en Firefox hasta que Adobe no haga públicos los parches para las últimas vulnerabilidades.


lunes, 13 de julio de 2015

Desvelan más trapos sucios de Hacking Team

El gobierno italiano y el principal ISP de aquel país estarían en connivencia con la empresa Hacking Team, que vendía programas espía a cuerpos policiales y servicios secretos de medio mundo. Sigue el análisis colectivo de la documentación robada a Hacking Team y descubrimos que la startup no estaba sola: tenía detrás a importantes empresas y políticos italianos que usaban sus productos. Hoy hablamos también de un acuerdo de Naciones Unidas sobre ciberguerra, indignación por la condena a uno de los miembros de Lizard Squard y cómo está subiendo la moneda virtual Bitcoin a raíz de la situación en Grecia.

Foto de Phelan Riessen

Después de descubrirse la semana pasado que Hacking Team trabajaba con gobiernos que no respetaban los derechos humanos, la investigación sobre los mails y documentos robados a la empresa ahonda en nuevos aspectos, como su relación con importantes nombres de la industria y política italianas, que ayudaron a la startup a creer. Hoy hemos sabido que Hacking Team secuestró direcciones IP, con la connivencia del ISP Aruba, para ayudar a la policía italiana en una investigación.


domingo, 12 de julio de 2015

"He escrito más de 300.000 líneas del código de Radare"

Sergi Álvarez, creador de la suite de herramientas libres para ingeniería inversa Radare.


Sergi Álvarez, 32 años, es un máquina de la informática, una mente privilegiada cuya conversación puede ser tan técnica que parezca que acabará hablando en ensamblador. Viejo conocido de la comunidad hacker bajo los alias Pancake y Trufae, en 2006 se le ocurrió crear una herramienta para recuperar unos ficheros borrados de un MacBook G3. Allí empezó su gran aventura y el mayor proyecto libre de seguridad informática creado en España: Radare, una suite de herramientas para la ingeniería inversa.


viernes, 10 de julio de 2015

La comunidad hacker se vuelca en el análisis de los papeles de Hacking Team

Estamos viviendo un épico esfuerzo a nivel mundial como se han visto pocos, centralizado en los hashtags #hackingTeam y #hackingteamtransparencyreport en Twitter. Desde que se hicieron públicos más de 400 GB de documentos privados de la empresa italiana que vendía spyware a gobiernos, la comunidad hacker no ha parado de escarbar, escudriñar y compartir la información encontrada. Hablaremos de ellos y también de dos intrusiones en el gobierno de Estados Unidos que ya suman más de 20 millones de afectados. Sin olvidar el bug en OpenSSL que ayer se hizo público por fin.

Fuente: Electronic Frontier Foundation
Wikileaks facilitaba ayer la tarea de análisis poniendo a disposición de la comunidad una base de datos, con el millón de mails robados a la empresa Hacking Team, y su correspondiente  buscador. Allí se está encontrando de todo, sobre todo quiénes eran los clientes de la empresa. Cuerpos policiales de todo el mundo prácticamente sin excepción tuvieron relación con Hacking Team para, como mínimo, ver demostraciones de sus productos. También los españoles.


jueves, 9 de julio de 2015

¿Es normal que se estropeen a la vez aviones, la Bolsa y un periódico?

El gobierno de Estados Unidos ha desmentido que hayan sido ciberataques, pero la revista "Wired" no duda en hablar de cíberarmageddon. Y es que ayer una compañía aérea y la bolsa de Nueva York tuvieron que parar su actividad por sendos problemas informáticos, mientras la web del "Wall Street Journal" se venía abajo. Y todo, un día después del leak de Hacking Team, sobre el que ha emitido su opinión la EFF. Hablaremos también del cifrado en iPhone y una nueva APT: Wild Neutron.


El Senador Bill Nelson aseguró en su cuenta de Twitter que los tres incidentes parecían consecuencias de ataques y llevó el agua a su río pidiendo al Congreso norteamericano un nueva ley sobre ciberseguridad. Le han desmentido el gobierno y las compañías afectadas, que hablan de fallos automáticos e informáticos. Vaya usted a saber aunque, en todo caso, no dejan de llamar la atención tantas casualidades a la vez.


miércoles, 8 de julio de 2015

Hoy es mejor que no uses Flash Player

Va remitiendo la avalancha de informaciones sobre el leak a la empresa Hacking Team y despertamos con algunos cadáveres en la arena. El más urgente es un 0day de Flash Player descubierto en el asalto y que algunos criminales ya han incorporado a sus exploits. Ampliaremos esta noticia y comentaremos otras: misiles hackeados, impresoras 3D usadas para delinquir y la narración de dos semanas de cohabitación con los peores habitantes de la red oscura: los monstruos de la pedofilia.



La compañía Symantec ha confirmado la existencia de una vulnerabilidad hasta ahora desconocida en Adobe Flash que permite ejecutar código de forma remota en el ordenador atacado. La empresa Hacking Team lo ofrecía a sus clientes para entrar en máquinas ajenas y, ahora que es conocido, han empezado a usarlo los criminales con la misma intencionalidad. Mientras no llegue el parche a nuestros servicios de actualización, los expertos recomiendan deshabilitar Adobe Flash en el navegador o desinstalarlo.


martes, 7 de julio de 2015

Alertan de un boom de troyanos bancarios este verano

Hoy nos ha sido difícil encontrar en el panorama de la actualidad de seguridad informática una sola noticia que no tuviese que ver con el célebre asalto a la empresa Hacking Team, especializada en vender programas de espionaje a gobiernos de todo el mundo. Pero la hemos encontrado y la lucimos con orgullo: avisan de una explosión de troyanos basados en ZeusVM. Ampliaremos la información y hablaremos también de la gran explosión que es imposible obviar: el asalto a Hacking Team.


El mes pasado se hizo público el código fuente del troyano ZeusVM, así como las herramientas para crearlo y personalizarlo. ZeusVM es una variante del famoso troyano bancario Zeus, con la particularidad de usar esteganografía para esconderse en archivos de imagen, algo que no es nuevo pero a lo que los usuarios no están habituados y, sobre todo, que permite al troyano esconderse de los antivirus. Los expertos anuncian una explosión de ZeusVM después que se hayan publicado gratuitamente las herramientas para crearlos.


lunes, 6 de julio de 2015

Humillan a presuntos hackers que trabajaban para gobiernos

Hoy no se habla de otra cosa en el mundillo de la seguridad informática: la empresa Hacking Team, que hacía "trabajitos" y vendía programas de espionaje a gobiernos, ha sido hackeada, humillada y puesta de rodillas entre las risas de la comunidad hacker. ¿Risas? Sí. Lo contaremos, así como la hazaña de un chaval que con sólo 20 años es un experto programador de código malicioso. Hablaremos también de un dispositivo para recargar baterías de forma inalámbrica y acabaremos indagando qué pide la gente a los hackers.


La empresa italiana Hacking Team había sido denunciada por diversas organizaciones, entre ellas Reporteros Sin Fronteras, por trabajar con gobiernos opresivos, como Sudán, Egipto o Etiopía, a los que facilitaba la tecnología para espiar a disidentes y periodistas. Ayer, alguien entró en su cuenta de Twitter y publicó el enlace a un archivo torrent que contiene más de 400 GB con documentos internos, correo, audio... robados de los ordenadores de la empresa.


domingo, 5 de julio de 2015

"Usamos smartphones sin pensar en smart security"

Gerard Vidal, fundador y CEO de Enigmedia. Ponente del Espacio de Startups en el curso de verano Innovación en ciberseguridad aplicada a la protección de la identidad digital.

Equipo fundador de Enigmedia

Gerard Vidal és Ingeniero de Telecomunicaciones y Doctor en Física. Ha trabajado como jefe de proyectos de I+D en Scientifica, colaborando con un proyecto en el CERN (Organización Europea para la Investigación Nuclear). Padre de la tecnología y fundador de Enigmedia, se centra en el desarrollo del cifrado y la relación con socios tecnológicos.


viernes, 3 de julio de 2015

Mastercard te pedirá un selfie para confirmar tus compras

Es una prueba piloto que usará a 500 "conejillos de indias" quienes, en vez de introducir un PIN, se harán un selfie para confirmar pagos con la tarjeta de crédito. Mastercard lo llama "la nueva generación" y a fe que habrá que ver si esto funciona, dados los fallos que descubrimos en la biometría, día sí día también, cuando aún no es de uso generalizado. Hablamos hoy de nuevas leyes en Estados Unidos, de cómo hackearon Bitcoin Exchange y de la herramienta de ciberespionaje por excelencia, XKEYSCORE.


Parece sencillo: para verificar una compra hecha con nuestra tarjeta Mastercard, se activará una app en nuestro móvil que nos dará instrucciones para hacernos una foto, bien de la huella dactilar, bien de nuestra cara. Fácil pero... ¿seguro? Habrá que verse, si finalmente esta prueba piloto se convierte en realidad generalizada. Sea como sea, Mastercard se merece un aplauso por buscar salidas al esquema decimonónico de la confirmación vía PIN.


jueves, 2 de julio de 2015

"La ciberseguridad está lejos de la interfaz óptima para el ser humano"

Alberto Partida, Analista de Seguridad TI y Gestión del Riesgo y ponente en el curso de verano Innovación en ciberseguridad aplicada a la protección de la identidad digital.

Alberto Partida es un Ingeniero y MBA apasionado por la seguridad de la información. Es columnista y autor de libros de referencia en este campo. Acumula más de 15 años de experiencia internacional en Seguridad Operacional y Gestión del Riesgo de la Información. Es posible seguirle en Internet a través de su blog securityandrisk.blogspot.com y su cuenta @itsecuriteer en twitter.


miércoles, 1 de julio de 2015

¿Para qué queréis cifrado si no sabéis implementarlo?

El experto norteamericano en cifrado, Jonathan Oseas, poseedor de diversas patentes y autor de libros, solía decir que hay infinidad de formas de implementar cifrado, la mayoría equivocadas. Otro gurú, Adi Shamir, suele recordar a su audiencia que nadie ataca los algoritmos de cifrado: los circunvala. Hoy recomendamos un interesante reportaje que denuncia lo mal que se implementa el cifrado, también hablaremos de Windows 10, un nuevo troyano espía llamado Dino y la entrada en vigor en España de la reforma del Código Penal.


La complejidad de las librerías criptográficas, unida a la falta de experiencia por parte de los desarrolladores, a quienes las universidades enseñan los algoritmos, pero no cómo implementarlos, han llevado a esta situación: los agujeros de seguridad relacionados con una mala implementación del cifrado son el segundo tipo de vulnerabilidad más común en programas. Para colmo, algunos desarrolladores deciden crear sus propios algoritmos, lo que suele estar destinado al puro fracaso.