miércoles, 30 de septiembre de 2015

Snowden abre cuenta en Twitter

No hay aficionado a la ciberseguridad que hoy no haya dedicado una mención a la gran noticia: ayer, a las 6 PM, Snowden abrió una cuenta en Twitter que rápidamente sus amigos de "The Intercept" confirmaron que era real. El revuelo es interesante y lo comentaremos en nuestro resumen diario, así como un caso que pone en duda la mucha propaganda sobre los "ciber-seguros", un escritor de virus condenado a prisión y una encuesta sobre banca móvil que no la deja en muy buen lugar.



El primer tuit de Snowden fue: "¿Podéis oirme, ahora?"Twitter ha hecho un gráfico-GIF donde puede verse la reacción de sus usuarios al correr la voz y es realmente impresionante el interés que ha despertado. A la hora de escribir este texto tenía 929.000 seguidores y subiendo. Por cierto que Snowden sólo sigue a una cuenta: la de la NSA. La suya es @snowden.


martes, 29 de septiembre de 2015

Empiezan los chantajes a clientes de Ashley Madison

Le piden 10 bitcoins, 2.100€, a cambio de no mandar a su familia y amigos sus datos personales, incluídas fantasías y conversaciones de tinte sexual, robados del sitio de citas Ashley Madison. Es el primer caso que conocemos, después de la publicación en la red de datos de millones de clientes de este sitio. Lo comentaremos, así como otro terrible testimonio: el de las víctimas del ramsomware. Acabaremos con un peligroso troyano bancario y los nefastos usos de la red Twitter por parte de los partidos políticos españoles.


El blog El Lado del Mal cuenta este chantaje a un usuario de Ashley Madison, el primero del que tenemos noticia, aunque dado el carácter de la información filtrada, era algo que se esperaba. En el mensaje se adjunta toda la información que los criminales afirman tener de la persona extorsionada, como los datos de su tarjeta de crédito, cuánto gastó en Ashley Madison, su dirección IP.... El Lado del Mal da algunas recomendaciones útiles a las víctimas: no pagar ni siquiera contestar, cambiar toda su información en las redes sociales y deshacerse de las tarjetas de crédito y direcciones de correo usadas en el "affair".


lunes, 28 de septiembre de 2015

¿Te imaginas entrar en un cajero y que se ponga a vomitar dinero?

Cuenta la leyenda que allá por los 90 un hacker español solía conectarse a un cajero automático del puerto de Alicante para saltar desde allí a Internet. Pero algo tocó y el cajero empezó a cambiar los saldos de las libretas de ahorro que introducían los clientes. A un marinero que acababa de desembarcar le dio 2 millones de pesetas y el hombre corrió a gastarlo en juergas. 20 años después los cajeros siguen siendo un juguete para hackers y ciberdelincuentes. Hablaremos hoy además de un nuevo ataque DDoS y de las correrías de las agencias secretas que nos espían.


De los cajeros se ha dicho también que algunos ladrones cibernéticos de bancos sacaban por allí el dinero robado: programaban cajeros para que a una hora y día determinados escupiesen el botín y avisaban a alguien de la banda para que estuviese allí. Hoy el "juego" es con malware: conocemos al menos cuatro virus aparecidos en los últimos tiempos que se inoculan en los cajeros para robarles. El cajero infectado entra en "Fuera de servicio" hasta que alguien que conoce la clave va a buscar el dinero.


domingo, 27 de septiembre de 2015

"Veremos drones sobre nuestras cabezas antes que los coches de Google"

Víctor y David Mayoral Vilches. CTO y CSO de Erle Robotics, respectivamente.

David y Víctor sujetando Erle-Plane, uno de los primeros drons de ala fija basados en
   Linux y de bajo coste.
David y Víctor son hermanos, de Vitoria, 23 y 26 años, a la vanguardia de la revolución robótica desde su empresa Erle Robotics. Como Wozniak, Jobs y el resto de hardware hackers de los 70, comprometidos en crear ordenadores pequeños y baratos para llevar la informática al pueblo; Víctor y David, "makers", trabajan en la misma filosofía pero con drones de código libre.

El currículum de Víctor, el CTO, impresiona: becado en Noruega, Corea del Sur, Estados Unidos, hizo parte del doctorado en el centro de Microbiorobótica del gobierno italiano, después se marchó a la Open Source Robotics Foundation, para trabajar en la segunda versión del nuevo Robot Operating System (ROS), financiada por la NASA. Ahora, con la experiencia de 2 años en su empresa, con todo tipo de drones construídos, han puesto en marcha un crowdfunding para sacar al mercado una araña de 6 patas, la primera del mundo con corazón de Ubuntu. Hablando de insectos, "erle" significa "abeja", en euskera.


viernes, 25 de septiembre de 2015

Paseando por los bajos fondos de la red

A la mayoría de expertos en seguridad informática les gusta su trabajo. Y si además de vez en cuando pueden divertirse infiltrándose en los foros de los malos o desmantelando sus botnets, ya no digamos. Hoy tenemos dos artículos que cuentan este tipo de aventuras, nada nuevas en el sector pero siempre interesantes. Hablaremos también de un fallo grave descubierto en todos los navegadores en cuanto a su manejo de las cookies y daremos una vuelta más de tuerca al famoso caso Volkswagen.


Expertos en ciberseguridad israelíes se infiltraron en un foro llamado Enigma, donde mercenarios informáticos se ponían en contacto con sus clientes, quienes les contrataban para realizar ataques dirigidos. Pudieron leer en directo cómo se negociaban pagos a cambio de realizar accesos no autorizados y robos de datos a los bancos HSBC UK, Citibank y Bank of America, entre otras grandes compañías. Cuando los administradores del foro sospecharon que había espías, lo cerraron. No es el primer foro de este estilo descubierto, pero siempre es divertido ver lo que se cuece.


jueves, 24 de septiembre de 2015

No me importan que me espíen. Total, no soy nadie importante...


¿A que no es la primera vez que oyes esta sentencia? Quizás por parte de algún familiar, justo después de leer o ver una noticia sobre fugas de información en la red.

Forma parte de ese nutrido grupo de mitos sobre el mundo digital. Mitos que vienen acompañados con abusos descarados que se aprovechan de hecho de este menosprecio del valor informativo de nuestros datos.

Desde instalar spyware por defecto en dispositivos que son vendidos por todo el mundo, pasando por aprovecharse de los gustos y preferencias de los incautos usuarios, hasta excusarse en la falta de interés que arrojan nuestros datos. Pero te voy a contar un secreto: “Nuestra huella digital vale mucho, mucho más de lo que piensas”. Y para muestra, la píldora informativa del día de hoy:

Lenovo vuelve a ser pillada “robando” datos de sus clientes

Ni una ni dos veces. Esta es la tercera vez que alguien alerta de que algunos de los dispositivos de la marca vienen con spyware de serie. Michael Horowitz es el investigador que, analizando el comportamiento de los dispositivos con la instalación base, se dio cuenta de un proceso cuya descripción reza:
Esta tarea envía datos de uso de clientes a Lenovo.
La compañía se ha pronunciado al asegurar que ninguno de sus dispositivos viene ya con aquel despropósito de malware llamado en la industria Superfish, pero las dudas vuelven a estar en el aire.

El gancho perfecto: los minions

O al menos debe ser lo que han pensado en alguna banda de cibercriminales, al lanzar una campaña de phishing que intenta convencer al usuario de que instale los nuevos emoticonos de la popular franquicia Minions. Claro está, de paso el susodicho se suscribe a un servicio de SMS premium, así que esos nuevos emojis le van a salir muy, muy caros :).

Buenas prácticas en internet

Son dos ejemplos más de la oleada de abusos a los que a diario tenemos que enfrentarnos en la red. La empresa de seguridad Kaspersky ha recopilado en uno de sus últimos estudios varios mitos y realidades que azotan el imaginario de los usuarios, e intentan sentar la base para arrojar más luz sobre el funcionamiento real de ese cibercrimen de datos que vulnera nuestros dispositivos, nuestras cuentas, y en definitiva, nuestra privacidad.

Con algunos clásicos, como el uso de contraseñas débiles o el mantener el sistema operativo y sus elementos no actualizados, y otras altamente recomendables, como permanecer siempre alerta (que no sientas riesgo en una acción no significa que en efecto no acabe siendo perjudicial para tus intereses) y abusar todo lo que puedas del sentido crítico, que es nuestra mejor herramienta de protección.

Me da igual, no soy nadie importante

De entre todas ellas, esta es la más clásica. ¿Para qué querría una empresa mis datos, si no soy más que un usuario cualquiera, intrascendente? Marta Peirano, en TEDxMadrid, nos sorprende con una charla la mar de interesante (y divertida), que desmonta esta idea. En serio, apenas dura 10 minutos, y seguramente serán los 10 minutos mejor invertidos del día.

¡Que la disfrutes!

miércoles, 23 de septiembre de 2015

La NSA adapta sus sistemas a la criptografía cuántica

No existe en la actualidad, que sepamos, ningún ordenador cuántico. Sólo es teoría, pero quizás la NSA sepa algo más, pues hoy descubrimos que ha cambiado las recomendaciones de protección de sus sistemas para adaptarlas a los algoritmos cuánticos. Por otra parte, seguimos hablando de seguridad en teléfonos iPhone y Android y hoy acabaremos con la Internet de las Cosas.


Empezamos con algo que no es de trepidante actualidad pero muy interesante cara el futuro. Nos enteramos por el boletín de la IEEE Computer Society de que la Agencia Nacional de Seguridad norteamericana ha revisado las recomendaciones de protección de las Sistemas Nacionales de Seguridad, que no se revisaban desde 2009, para adaptarlas a la transición hacia algoritmos cuánticos. Algoritmos públicos cuánticos, con claves que necesitan muchos más bits que las actuales.


martes, 22 de septiembre de 2015

Sigue la pesadilla: el virus llevaba 6 meses en la App Store

Siguen las tareas forenses tras el escándalo XcodeGhost en Apple. Hoy hemos sabido que el virus se habría lanzado en marzo de 2015, por lo que no sería una sorpresa que las apps afectadas fuese muchísimas. Lo comentaremos a continuación, así como el apagón de ayer en Skype, que hoy sigue sin estar totalmente resuelto; un sonado caso de empleados desleales en AT&T y un bonito hack que pretende espiar desde la estratosfera comunicaciones de satélites, drons y otros "pájaros".


Según Palo Alto Networks, que ayer afirmaba haber descubierto 39 apps infectadas, hoy serían muchas más: Qihoo ha descubierto 344 y Pangu Team, 3.418. Pangu Team ha creado una app para detectar el virus. Recomendamos a nuestros lectores usuarios de iPhone que la descarguen y si tienen una app infectada, borrarla o actualizarla, en caso de que haya una nueva versión disponible. Se recomienda también cambiar todas las contraseñas, pues el virus las habría monitorizado.


lunes, 21 de septiembre de 2015

Cómo detectar si tu iPhone está infectado con XcodeGhost

¿Son decenas o centenares las apps de iOS infectadas por XcodeGhost? ¿Qué apps están afectadas? ¿Cómo sabremos si nuestro teléfono tiene el virus? ¿Cómo eliminarlo? Desinformación absoluta. Apple no está ni responde en la crisis más grave de iPhone, sólo unas pocas palabras a la agencia Reuters para calmar los ánimos, asegurando que las apps infectadas han sido eliminadas. Hoy hablaremos casi en exclusiva de la galopante inseguridad de la telefonía móvil, pero dejaremos un hueco para una auditoría que pone los pelos aún más de punta: la que se realizó a la empresa Target después de que le robasen millones de datos de clientes en 2013.


El viernes apuntábamos ya la gravedad del incidente: alguien había infectado una plataforma usada por los desarrolladores de apps de iPhone en China, de forma que sus creaciones se infectaron, pasaron los controles de la App Store y se introdujeron en los iPhones de cientos de millones de personas. Apple está ofreciendo información con cuentagotas y ha tenido que ser la comunidad de seguridad quien encuentre la solución a las principales preguntas: qué hace el virus y cómo detectar si un teléfono está infectado.


domingo, 20 de septiembre de 2015

Joxean Koret: "Las empresas de antivirus me han puesto a parir"

Joxean Koret. Autor de "The Antivirus Hacker's Handbook".


Joxean Koret forma parte, como Pancake, Hugo Teso o Reversemode, del colectivo 48bits, un grupo de excelentes hackers amantes de la ingeniería inversa, activos internacionalmente y en pleno fulgor de la treintena. Joxean, nacido en Portugalete, llegó a la seguridad informática, como él dice, estudiando por su cuenta: "Estaba haciendo un curso de calderería y soldadura y hice que me lesionaba porque no me apetecía estar en el taller, arriesgándome a tener accidentes, de ese modo me relegaron al aula de informática a diseñar estructuras metálicas. Cuando acabé, comencé a trabajar como soldador y a pagarme un curso de programación".

"En 6 meses estaba trabajando en una consultora como programador de Visual Basic 6 (todos tenemos un pasado oscuro), con un contrato de media jornada, haciendo 12 horas al día y ganando menos del 40% de lo que ganaba como soldador. Pero estaba feliz porque tenía acceso a un ordenador. Durante 4 años salté de una "empresa de servicios informáticos" a otra, siempre sub-sub-contratado y/o con contratos ilegales. En 2004 vi un aviso de vulnerabilidades de un escocés, David Litchfield, que afectaba a Oracle Database. Vi que eran fáciles de buscar y antes de que me diera cuenta comencé a buscar yo más y a crearme mis propias herramientas para ello".


viernes, 18 de septiembre de 2015

¡Oh Dios Mío! Hackean Red Hat, la App Store y miles de sitios WordPress

Hoy es uno de esos días en que nos es dado comprender en vivo y en directo el estado de gran caos e inseguridad que vivimos en el ciberespacio. Quizás porque estamos aún muy cerca del que fue Big Bang del nuevo mundo conectado y las partículas chocan en desorden... Sea como sea, la inseguridad se hace más patente en días como hoy, cuando coinciden noticias como los miles de sitios WordPress que están siendo asaltados para infectar a sus visitantes, hackeos contra la App Store y Red Hat y un agujero que se las trae en Bugzilla.

Netanel Rubin descubrió el bug en Bugzilla
Hoy es difícil discernir la noticia más grave, así que empezamos con la que puede afectar a más cibernautas de a pie: avisan de una campaña activa que está asaltando sitios WordPress para introducirles malware que infectará a sus visitantes. La campaña empezó hace 15 días y el número de víctimas se expande en progresión geométrica: si el jueves pasado en un día se comprometieron 1.000 sitios, este martes fueron 6.000. Cuidado al visitar sitios con WordPress, que sea con un navegador actualizado.


jueves, 17 de septiembre de 2015

Ya está aquí el portátil super seguro, super privado y super libre

Se llama Librem 13 y acaba de superar la barrera de los 250.000 dólares que pedía la empresa Purism en su campaña de crowdfunding para fabricarlo. Se anuncia como "un portátil construído chip a chip para respetar y proteger tu privacidad, seguridad y libertad". ¿Suena interesante, verdad? Lo comentaremos, así como una serie vulnerabilidad en iPhone, un acuerdo bancario para promover bitcoin en las altas finanzas y el que parece final del túnel del debate sobre cifrado en Estados Unidos. Arrancamos.


Es sin duda el nuevo gadget al que miran con atención los expertos en seguridad de todo el mundo: los portátiles Librem llevan su propio sistema operativo libre preinstalado, PureOS, configurado para ser lo más seguro posible, así como el hardware, que entre otras interesantes funcionalidades permite desconectar no sólo la cámara sinó también el micrófono. Son detalles que hacen realmente super interesantes estos portátiles. Seguiremos su evolución.


miércoles, 16 de septiembre de 2015

Reconocimiento facial en el centro comercial

Imagina que, mientras paseas por un centro comercial, las cámaras no sólo te graban sino que "se quedan con tu cara", eso es: aplican un programa de reconocimiento facial para saber quién eres, información que añadirán a otros datos como en qué tiendas has comprado, cuánto rato has estado en el centro, etc. ¿Asusta? A la gente joven, no, según un estudio que comentaremos, además de una vulnerabilidad en los grandes routers de Internet, el primer certificado de Let's Encrypt y un interesante análisis sobre Hacking Team y la NSA.



ComputerWeekly nos presenta en exclusiva un estudio de la empresa CSC que afima que el 30% de tiendas en Estados Unidos usan tecnologías de reconocimiento facil para monitorizar a sus clientes. Las tiendas cruzan estos datos con otros relativos al comportamiento, como cuánto tiempo estuvo la persona en el establecimiento. Los dueños aseguran no saber aún qué hacer con estos datos, pero los guardan "con la esperanza de que les encontrarán una utilidad en el futuro". Que el Gran Hermano nos pille confesados.


martes, 15 de septiembre de 2015

Pillados cuando iban a mandar millones de mails infectados a empresas

Bancos, gobierno, corporaciones y otras empresas de Gran Bretaña estaban en una lista de direcciones de correo electrónico, a punto para mandarles mensajes de phishing con el famoso troyano bancario, Dridex, escondido dentro. Hablaremos de este descubrimiento, así como de una nueva app para smartwatches que da pelín de miedo, un chip que se autodestruye y un interesante mapa de la red Tor.


Fujitsu fue quien descubrió la lista, que sumaba la friolera de 385 millones de direcciones electrónicas. Primero pensó que sería una típica lista de víctimas de spam, hasta que se dio cuenta de que no les iban a mandar anuncios de Viagra sinó el temible troyano bancario Dridex. Entonces vio que todos los receptores eran empresas inglesas, lo que ha puesto en alerta al servicio secreto británico. Sirva este ejemplo para que las empresas de todo el mundo redoblen esfuerzos en educar a sus empleados sobre los peligros del phishing.


lunes, 14 de septiembre de 2015

El Gran Hermano puede estar más cerca de lo que imaginas

"Every Breath You Take... Every Move You Make...". Pocas canciones como esta de Police describen tan bien al Gran Hermano que todo lo ve. Pero si algunos pensaban que la vigilancia de nuestra actividad telefónica e internáutica procedía sólo de las alcantarillas de los estados se equivocaban: cualquiera puede estar observando. Acaba de aprenderlo una periodista australiana. Hablaremos hoy también de un estudio de ENISA sobre grandes incidentes de seguridad, la red Tor y una anécdota de la ciberguerra.

Natalie O'Brien

Natalie O'Brien denunció en 2011, en un artículo para el "Sun-Herald", serias vulnerabilidades en los sistemas de Vodafone, proveedor de telefonía del que casualmente era clienta. Según una investigación interna de Vodafone que se ha desvelado ahora, un empleado de la compañía accedió a los mensajes de texto y logs de llamadas de la periodista para intentar descubrir quién le había pasado la información. Así que mucho cuidado porque el Gran Hermano puede estar a la vuelta de la esquina.


domingo, 13 de septiembre de 2015

Lawwait: "No duermo, me apago"

Lorenzo Martínez. CEO de Securízame.


Se esconde un gran carácter tras la sonrisa tímida de Lorenzo Martínez, más conocido como lawwait. Nacido hardware hacker, cofundador del conocido blog Security By Default, hoy es el arquetipo del hacker emprendedor, integrante por mérito propio del que podríamos llamar "sector de negocios" de la comunidad hacker española. 

36 años, de La Rioja, estudió Ingeniería Informática en Deusto y nada más salir ya tenía trabajo. De hecho, coincidió con quien escribe, en octubre de 2001, en Benalmádena, cuando expuso su proyecto de fin de carrera en el I Simposio Nacional de Comercio Electrónico. Lo que son las cosas, volvimos a coincidir en 2012, en la convención Navaja Negra, cuando acababa de poner en marcha en solitario Securízame, su empresa, hoy con 3 personas contratadas y 10 colaboradores fijos. ¿Le traeré suerte? :)


viernes, 11 de septiembre de 2015

Mal viernes para relajarse

¿Quién quiere un Ashley Madison teniendo a mano las infraestructuras críticas de los Estados Unidos? Un hack a una web de citas te puede dar celebridad, pero poner en jaque a todo un sistema te da poder. Y así llegan días como el de hoy en el que tomamos nota de una fuga de seguridad de 10 millones de registros en un seguro médico norteamericano (Excellus BlueCross), de una investigación que asegura que el Departamento de Energía ha sido hackeado al menos 159 veces en los últimos 4 años, y de un nuevo asalto cibernético al Pentágono. Mal viernes para relajarse pensando en el fin de semana.

Según la cadena NBC News, oficiales del Pentágono han informado de un "sofisticado" ciberataque ruso, que habría comprometido datos pertenecientes a 4.000 militares y personal civil del Estado Mayor Conjunto. El propio portavoz del Departamento de Defensa, el Teniente Coronel Tom Crosson, ha confirmado el incidente, por el que se habrían registrado pagos fraudulentos con las tarjetas de crédito o débito de los militares y civiles afectados.


jueves, 10 de septiembre de 2015

Si tienes Android agárrate porque han soltado a los lobos

¿Recuerdan un fallo en Android, desvelado este verano, que permite que sólo recibiendo un MMS malicioso consigan control remoto sobre nuestro móvil? ¿Recuerdan también que posteriormente se descubrieron una decena de nuevas vías, como el navegador, para realizar el mismo ataque? Pues acaban de hacer público el código que lo permite. Lo comentaremos y también el caso de una APT que usa satélites, unos extorsionistas que cobran en bitcoins y un software de la policía de Iowa que localiza dispositivos con WiFi.


Joshua Drake, de la empresa Zimperium Security, descubrió uno de los más peligrosos agujeros en Android, bautizado StageFright, al que Google ha respondido con inusitada impericia: tardaron en sacar un parche, después resultó que estaba mal y más tarde se supo que había otras vías de ataque que el parche no cubría. Para colmo, las actualizaciones en los teléfonos Android son un caos que no asegura que la mayoría de usuarios hayan recibido el parche. Así las cosas, Drake ha hecho público el exploit, posiblemente para que las empresas se pongan las pilas en protegerse, pero dejando también la puerta abierta a que los criminales lo adapten a sus necesidades. Y es que el mundo Android es hoy un ¡sálvese quien pueda!


miércoles, 9 de septiembre de 2015

Cuidado con las vCards en WhatsApp: pueden ser una trampa

Es tan fácil como hacer clic en una vCard mientras estamos en la extensión web de WhatsApp y un atacante puede tomar el control de nuestro ordenador. Es la noticia del día en seguridad informática junto con un montón más, entre las que hemos escogido las siguientes: el coste del phishing, un estudio sobre seguridad en móviles y un aviso del Servicio Secreto de Estados Unidos sobre lo poco fiables que son aún los pagos cuando usamos nuestro teléfono como tarjeta de crédito.



El investigador de Check Point Kasif Dekel avisó a WhatsApp de la vulnerabilidad el 21 de agosto y la empresa ha actuado de forma muy diligente, al ofrecer hoy mismo un parche para todos los clientes web de WhatsApp. De todas formas, esta solución depende de una actualización en nuestros móviles y, dado el caos que es hoy en día el tema de los updates de software en smartphones, nos tememos que pueda no llegar nunca. Decenas de millones de personas usuarias de WhatsApp están en riesgo de recibir vCards maliciosas, así que mejor ir con mucho cuidado.


martes, 8 de septiembre de 2015

"Dame tu dinero si quieres ver mis 0days"

Una de las empresas de seguridad más importantes y "cools" del momento, FireEye, anda en pleno rifirrafe con un cazador de 0days de pura raza. Es un pulso en toda regla que observa con atención la comunidad de seguridad informática. ¿Qué filosofía ganará? Hoy nos hemos fijado también en los problemas de seguridad de Paypal y los discos duros Seagate y un intersante estudio sobre los rincones más peligrosos de la red.

Kristian Erik Hermansen
Kristian Erik Hermansen se llama el cazador de 0days que el pasado lunes anunciaba haber descubierto un fallo desconocido en la plataforma de seguridad de la conocida empresa FireEye. Y añadía con retintín que tenía 3 0days más, que ponía a partir de aquel momento a la venta. FireEye respondió agradeciéndole el aviso y pidiendo su colaboración para solucionar el problema, como suele hacerse cuando un hacker avisa de una vulnerabilidad, a lo que Hermansen ha respondido que nanay, que si FireEye quiere ayuda, la pague. Veremos en qué acaba pero es, en todo caso, una interesante lucha de filosofías cuyo resultado podría sentar precedente.


lunes, 7 de septiembre de 2015

Bloqueos de más vs bloqueos de menos

Si todos juntos pedimos algo a alguien, ese alguien se bloquea. Es el principio de los ataques de denegación de servicio (DDoS), y de bloqueos hablamos precisamente hoy. De los bloqueos que es posible generar en alguien, o de los bloqueos que, por no haber existido en el momento oportuno, han terminado siendo agujeros de seguridad que ponen los pelos de punta. Entre los bloqueos que faltan, y los bloqueos que sobran, los cibercriminales tienen para montarse su propia fiesta. Empecemos.



¿Es posible realizar un ataque DDoS contra un coche autónomo? Sí, sí es posible, como acaba de demostrar el experto en seguridad Jonathan Petit. Basta con hacerle creer que hay obstáculos donde no los hay, y que además parte de esos obstáculos están en movimiento. Para el coche autónomo la información está clara: hay demasiados riesgos de colisión, por tanto lo mejor es quedarse quietos. Para lograr el engaño no hacen falta sofisticados algoritmos informáticos: bastan un punt"bloero láser y un láser de baja potencia, y ya es posible generar ilusiones a una distancia de entre 20 y 350 metros. Tu coche ha sido DoSeado.


domingo, 6 de septiembre de 2015

Todas las frases de nuestros expertos

22 entrevistas en la que sin duda es una de las disciplinas 'top' que nos va a conducir hasta el siglo XXII: la seguridad de la información. Por nuestro blog han pasado algunos de los más relevantes especialistas en español (y algún extranjero) en la materia, y ha habido espacio para todos los temas. Desde el pentesting, hasta los principales foros y simposios, pasando por nuestro Curso de Verano anual y autores de libros como Cibercrimen. Y lo que nos queda.


Aprovechamos la apertura del curso para repasar lo que nuestros entrevistados han respondido a una pregunta que se les ha hecho a casi todos: que nos digan una frase de cabecera, con el guiño irónico de que sea una frase que NO hayan utilizado para alguna contraseña. Hemos recopilado sus respuestas, y en el caso de los expertos a los que no se les hizo la pregunta, nos hemos permitido la licencia de rescatar alguna frase de sus entrevistas. Os las servimos ahora todas juntas, en orden cronológico, desde aquel ya casi lejano 3 de mayo en el que todo un digital de la seguridad como Angelucho se sentó mano a mano con nosotros. Haz clic en "Más Información" ;-)


viernes, 4 de septiembre de 2015

La termita en grupo, y el humano en solitario


Las termitas son unos animales verdaderamente increíbles. Trabajan en grupo, como un mismo organismo, auspiciados por una inteligencia colectiva que les transforma de facto en una amenaza para la integridad de nuestras construcciones. No parece raro por tanto que Kaspersky haya decidido bautizar con "Termita Azul" a uno de los primeros ataques exclusivos conocidos a instalaciones Japonesas. La noticia viene de la mano de otras, como ese check-list que la policía liberaba hace unas horas para facilitarnos el trabajo de securizar el entorno informático de nuestros hijos, los problemas habituales a los que se enfrenta una organización, y todos aquellos que van a llegar con el auge del IoT.

Termita Azul

La filtración sufrida por la compañía Hacking Team hace unas semanas vuelve a ser noticia. Gracias a ella, hemos descubierto que al menos, durante los últimos dos años, varias compañías japonesas han sido objetivo de un APT bautizado como Termita Azul, que se aprovechaba de un 0-day en Adobe Flash Player, y del cual aún se desconoce la autoría (aunque se apunta a China como posible implicada).

Protegiendo a los pequeños en la vuelta al cole

Las termitas se ayudan unas a otras, salvando esa debilidad innata en cada uno de sus individuos y fortaleciendo a todo el colectivo. La Policía ofrecía hace unas horas un decálogo que permitirá a los padres, de manera sencilla, securizar los dispositivos de sus hijos y centrar los esfuerzos en educarles convenientemente con vistas a la paulatina presencia de las nuevas tecnologías en el aula.

Tips como comprobar que los perfiles de usuario son los adecuados, las fotos y vídeos hechos con el móvil y que sepa decir que "no" a desconocidos, son algunas de ellas.

Ciberamenazas que no pasan de moda

El Centro de Seguridad Cibernética de Australia publicaba esta semana un documento desclasificado de la situación en materia de seguridad informática de las compañías con sede en su país, con algún que otro consejo sobre cómo responder a ataques y minimizar sus consecuencias.

En él, surgen ya clásicos como ese crimen como servicio, altamente modular, que opera prácticamente en cualquier lugar del mundo, o el auge del spear phishing como método más eficiente para entrar en los servidores de las compañías. Y echa por tierra algunos de los mitos más habituales del sector, como el que dice que nuestra información no es lo suficientemente importante como para ser víctima de un ataque.

El IoT en la mira de la industria

El Internet de las Cosas es ya una realidad. Si algo ha quedado patente en el IFA que se está celebrando estos días en Alemania, es la presencia cada vez mayor de toda esta nueva oleada de dispositivos tecnológicos. Dispositivos que como alerta John Mcaffee, ex-director y creador de la firma de antivirus con su mismo apellido, presentan una verdadera revolución tecnológica a la que no estamos preparados.

Los antivirus ya no sirven para nada (según sus palabras), puesto que en el entorno en el que nos movemos, lo que menos debería preocuparnos es la presencia de virus en los sistemas, descontando que los ataques de los próximos años no se harán a ordenadores precisamente.

Son todos consecuencias de esa feroz carrera tecnológica que nuestra sociedad está experimentando. Una sociedad que a diferencia de la de las termitas, es incapaz de remar en la misma dirección, y salvar los obstáculos aportando músculo cuando sea preciso.

Somos muchos, pero seguimos siendo débiles puesto que en última instancia, trabajamos en solitario.

jueves, 3 de septiembre de 2015

Los retos de la identificación digital

¡Qué complicado resulta identificar a alguien digitalmente? Incluso ese DNI 3.0 requiere de algunas pautas específicas para ser aprovechado. La identidad digital es un bien muy preciado, tanto para los ciberatacantes, que desarrollan estrategias cada vez más elaboradas para ofuscar su identidad, como por los usuarios, que son forzados a debatirse entre usabilidad y seguridad en cada uno de sus sistemas. ¿Tienes una idea para solucionar (o al menos democratizar) está situación? Pues sigue leyendo, que seguramente te interesará.

¿Es posible identificar a una persona remotamente mediante el chip NFC que tiene su DNI? En teoría, sí lo es, pero para ello, o bien debemos conocer el CAN (un número de 6 dígitos asociado a un DNI específico), o bien realizar fuerza bruta, lo que requiere que además de no estar muy lejos tengamos tiempo suficiente para que el proceso termine.

No parece muy útil a nivel genérico, pero ¿y qué me dices en lugares cerrados, como un cine o un avión?


miércoles, 2 de septiembre de 2015

Ingeniería social y malware: la combinación perfecta


El objetivo de la mayoría de los cibercriminales es sacar "tajada" de un ataque a nuestros servicios digitales. Y para llegar a ello, utilizan las más variopintas técnicas, que van desde la clásica ingeniería social, pasando por la instalación de troyanos y malwares hasta el abuso de 0Days en el sistema.

La pepita de oro de cualquier interesado en lo ajeno está en los bancos. Mejor dicho, las cuentas que tenemos en los bancos. Son el objetivo principal de los cibercriminales, y para llegar a ellas, no escatiman en gastos y picaresca. Así, la ingeniería social, la instalación de programas maliciosos, los troyanos, la interceptación del tráfico y las vulnerabilidades de los sistemas operativos son las 5 estrategias preferidas por los atacantes.


martes, 1 de septiembre de 2015

Apple en apuros

El mundo de las brechas de seguridad está a la orden del día. Tan pronto afecta a una tienda de barrio, que a un gigante como Apple, que es noticia estos días por dos malwares que ponen los pelos de punta. Se añade a la ecuación una “nueva técnica” utilizada para engañar en campañas de phishing, y un artículo de opinión sobre lo que conlleva un escenario donde las brechas de seguridad son publicadas en eventos ampliamente mediáticos.

KeyRaider: Malware para iOS


¿Cuántas veces hemos avisado de los riesgos de tener el dispositivo jailbreakeado? Un nuevo exploit en iOS para terminales con jailbreak ha permitido a los atacantes robar las credenciales de las cuentas de iTunes de 220.000 usuarios, disponibles presuntamente para la instalación de diferentes malwares en cydia, el popular market no oficial de la plataforma.