viernes, 30 de octubre de 2015

Virus, virus, ¡están por todas partes!

Si ayer la actualidad nos empujaba a hacer un monográfico de robos de datos, hoy nos lanza hacia la otra gran amenaza de la red: los virus. Ransomware, spyware, botnets... son algunos de los mayores peligros que nos acechan en este bosque enmarañado y oscuro que es a veces Internet, la de las mil caras, que tan pronto nos puede mostrar un chiste que nos haga reír como nunca, o hacernos morir de miedo porque nuestros datos más íntimos se han mostrado a la vista de todos o, peor, hacernos entrar en pánico porque un virus ha cifrado todos nuestros archivos.


Si tuviésemos que poner una imagen a los virus quizás serían los calamares de horribles tentáculos que atacan la nave de Morfeo y se pegan a ella. Algo así sería el spyware, que se pega a nuestros ordenadores y teléfonos para chupar toda nuestra información. Precisamente, los cuerpos de policía europeos están llevando a cabo una campaña, iniciada por la justicia alemana, para detener a los delincuentes que estarían detrás del spyware para Android, Droidjack. De momento se ha confirmado la detención de 4 personas en Francia, sospechosas de haber comprado este spyware en el mercado negro.


jueves, 29 de octubre de 2015

¿Quieres que tus amigos sepan que visitaste al psiquiatra?

La revista digital "Motherboard" ha anunciado que tendrá una nueva sección: "El hack del día", referida a las filtraciones de datos que estamos viendo a diario. Hoy ha sido un día especialmente prolífico en este tema, por lo que hemos decidido dedicarle nuestro post entero: desde pacientes de salud mental cuyos datos han sido robados del hospital, hasta la exposición de contraseñas de acceso a las cuentas de clientes de British Gas, donde se guardan entre otras cosas sus números de cuentas bancarias. ¿Existe un remedio? Acabaremos leyendo un texto del reputado experto Bruce Schneier, con la esperanza de que nos ilumine, ni que sea un poquito.


El Centro Médico y de Salud Mental Woodhull de Brooklyn ha mandado cartas a 1.581 pacientes para notificarles que sus datos estaban en un portátil que fue robado. Aunque el portátil estaba protegido por contraseña, los datos no estaban cifrados. Estamos hablando de nombres y apellidos de los pacientes, historiales médicos y demás. La carta acaba "tranquilizando" a las victimas porque entre los datos robados no estaban sus números de seguridad social y nadie podrá impersonarles. Lo de que puedan hacerles chantaje a cambio de no informar a su jefe o amigos de que son depresivos no es tan importante, claro.


miércoles, 28 de octubre de 2015

El FBI abre la Caja de Pandora sobre si las víctimas de ransomware deben pagar

Hoy es la conversación estrella en todos los mentideros de la comunidad mundial de seguridad informática: ¿Hay que pagar o no a los chantajistas del ransomware? El FBI ha dicho que sí y el resto de expertos insisten en que no. ¿A quién hacemos caso? Hoy hablaremos también de la venta de datos de sus clientes por parte de los principales carriers mundiales, un más que lucrativo negocio; tambien de un cambio en las normas de la ley de copyright de Estados Unidos y de un experimento: dejar 200 pinchos USB "perdidos" en lugares públicos para ver dónde acaban.


La semana pasado, en el Cyber Security Summit en Boston, el agente especial Joseph Bonavolonta afirmó que, para algunos ataques con ransomware de cifrado muy fuerte, el FBI recomienda pagar el dinero que piden los criminales a cambio de mandar la clave de descifrado. Esto ha provocado indignación en la mayoría de expertos en seguridad informática, cuyo discurso estándar siempre ha sido que no se pague porque no es seguro que manden la clave, si la mandan puede contener otro virus y además se alimenta este negocio criminal.


martes, 27 de octubre de 2015

En el ejército nadie reporta los fallos informáticos por miedo a represalias

Hoy dedicaremos parte de nuestro post diario a lo que podríamos englobar como "ciberguerra" pero desde puntos de vista que pueden resultar sorprendentes. Uno de ellos es el desvelado en una revista del Ejército de Estados Unidos: hay miedo a reportar "bugs" por las posibles represalias. Hablaremos también de un troyano descubierto en el portátil de un alto cargo del gobierno alemán, de las provocadoras maniobras de la marina rusa y acabaremos con un nuevo rosario de métodos para hackear coches.


Según un artículo publicado en la "Cyber Defense Review", en el ejército norteamericano no existe una gestión centralizada de actualizaciones de seguridad, ni supervisión de los fallos informáticos y las pruebas de penetración están prohibidas. Tampoco hay incentivos para que el personal reporte los fallos encontrados. Al contrario: hay miedo por las represalias que pueden consistir en pérdida de acceso a los sistemas, revocación de las autorizaciones y otras acciones punitivas. Esto provoca que nadie nadie informe de los "bugs". Situación que se repite en otros ejércitos del mundo.


lunes, 26 de octubre de 2015

¿Y si además de hackear tu coche, le meten un virus?

Imagina que llevas el coche al mecánico y, cuando este lo enchufa al ordenador para hacer el diagnóstico... le transmite un virus. ¿Es este escenario posible? Tres investigadores de la Universidad de Budapest han demostrado que sí. Lo comentaremos, así como la seguridad en los Androids de BlackBerry, novedades en el robo de datos a TalkTalk y una propuesta de ley en Alemania para conseguir que, por fin, las telecos puedan retener datos de sus clientes.


András Szijj, Levente Buttyán y Zsolt Szalay han publicado un estudio donde explican cómo sería posible no sólo hackear coches remotamente, algo de lo que se lleva hablando por activa y por pasiva desde el verano, sino también introducir virus que podrían, por ejemplo, cambiar la configuración de los dispositivos Airbag mediante ataques de hombre-en-el-medio.


domingo, 25 de octubre de 2015

Pepelux: "Hoy al infeliz que tiene curiosidad le cae la del pulpo"

José Luis Verdeguer, experto en VoIP.

Hoy hablamos con un hacker de los buenos que no suele prodigarse en los medios. José Luis Verdeguer, Pepelux, 43 años y de Alicante, es CTO del operador de VoIP Zoonsuite. En sus ratos libres disfruta compitiendo en concursos de hacking o dando charlas de seguridad. No queda CON española donde Pepelux no haya dado una, dos o más ponencias o talleres. Y, además, ha escrito un libro: "Hacking y seguridad VoIP"

Pero que no nos engañe tanta charla. Pepelux es un tipo discreto, tirando a hermético, que no da su confianza a cualquiera. Repetimos: un hacker de los buenos, de los de antes, cuya humildad le regala el don de pasar inadvertido. Esta semana hemos tenido el honor de que nos contase cosas que nunca le hemos escuchado en público: desde su visión del negocio de la ciberseguridad hasta cómo empezó en el hacking. Es por eso que nos permitimos ofrecer una entrevista más completa que otros domingos, dado el valor que consideramos tiene la información facilitada.


viernes, 23 de octubre de 2015

El hack de Sony le costará 8 millones en indemnizaciones a sus empleados

Las empresas que nos leen deberían aplicar el dicho "cuando las barbas de tu vecino veas pelar..." ante la noticia con la que abrimos nuestro resumen diario de seguridad informática: después del horrible hack sufrido por Sony en 2014, ahora le toca pagar 8 millones de dólares a sus empleados, por el robo de sus datos personales. Hablaremos hoy de otra importante filtración de datos, sufrida por el ISP TalkTalk, de cómo las alcantarillas de los estados se vengan contra los investigadores que descubren sus virus y de una nueva aventura de Astérix, muy de nuestros tiempos.


Sony sufrió en 2014 un terrible hack, posiblemente orquestado por el gobierno de Corea del Norte, que conllevó una de las filtraciones de datos más ominosas de la historia de la seguridad informática. Los empleados de la compañía la denunciaron por la filtración de sus datos personales y ahora han pactado que se pagarán 10.000 dólares a cada empleado cuya identidad fue robada, así como 1.000 por persona para reembolsar las medidas de protección que tuvieron que tomar después del ataque. Más los costes de la demanda. 8 millones de dólares en total.


jueves, 22 de octubre de 2015

Apple repite a la policía: es imposible desbloquear un iPhone sin contraseña

La policía está que trina con la empresa Apple porque esta se niega a desbloquear iPhones requisados a criminales. Creían que Apple tendría algun tipo de contraseña maestra o puerta trasera, hasta que la empresa ha confirmado a un juez que no, que simplemente es imposible. Hablaremos hoy también de Android, de "nuevos" ataques al protocolo NTP y de cómo hizo la NSA para romper el cifrado de Internet. Vamos allá.


Desde que Apple sacó la versión 8 de iOS, presente en el 90% de iPhones, la policía asegura verse incapaz de desbloquear teléfonos móviles para acceder a su contenido sin conocer la contraseña. El pasado lunes Apple confirmó que esto es imposible incluso para ella, ante un juez federal de Estados Unidos que recordó a la empresa su obligación de cooperar con las fuerzas de la ley. De todas formas, investigadores han demostrado que es posible acceder a un iPhone desbloqueado por otras vías que no sean romper su cifrado.


miércoles, 21 de octubre de 2015

¿Cómo falsificar una tarjeta con chip? Poniendo otro encima

Pueden llamarlo el "truco del almendruco" o un "hack" como una casa. La cuestión es que muchos investigadores de seguridad se han quedado maravillados al saber cómo unos delincuentes franceses consiguieron robar casi 700.000 euros usando tarjetas con chip robadas, de las cuales desconocían el PIN. Lo contaremos a continuación, así como graves errores descubiertos en discos duros de cifrado, los pasos adelante de la certificación más popular y un interesante reportaje sobre el mundo de las vulnerabilidades 0day.


Mientras a nuestro alrededor sentimos ya saturación de bromas, noticias y demás sobre el día en que Marty McFly regresó al futuro (hoy), nosotros viajamos hasta 2010, cuando investigadores de la Universidad de Cambridge descubrieron un fallo que permitía a los ladrones usar tarjetas con chip sin conocer el PIN, mediante un ataque de hombre-en-el-medio. En los años siguientes se detectó a una banda que usaba este truco con tarjetas robadas en Francia y "vaciadas" en Bélgica. El truco consiste en poner un chip justo encima del legítimo. El segundo chip aceptará cualquier PIN que se le introduzca. Por cierto, por si alguien pensaba en aprovechar el fallo: ya ha sido reparado.


martes, 20 de octubre de 2015

El chaval que hackeó al director de la CIA tiene 20 años

Las noticias ayer eran confusas: nadie creía que un chaval de 20 años y sus amigos hubiesen entrado en la cuenta de correo del mismísimo John Brennan, director de la CIA. Hoy, tras la documentación aportada y después de hablar con los medios, todo el mundo lo da por cierto. Hablaremos también de un ataque que está comprometiendo a cientos de tiendas online, de la plaga de las falsas opiniones sobre productos en Internet y de la retirada de casi 300 apps de iOS que recolectaban información privada.


El joven que afirma haber hackeado al jefe de la CIA no ha aportado su nombre pero sí su cuenta en Twitter, @phphax donde se muestra simpatizante de Anonymous y de la causa Palestina. Él y dos amigos descubrieron que Brennan tenía su teléfono en Verizon y llamaron allí para, mediante ingeniería social, conseguir su información personal: ID, PIN, segundo número de teléfono, dirección de correo de AOL y los 4 últimos números de su cuenta bancaria. Con esto pudieron entrar en la cuenta de AOL y cambiarle la contraseña, además de robar información sensible que publicaron en Twitter.


lunes, 19 de octubre de 2015

La ciberguerra nos lleva a... ¿la prehistoria?

La mejor defensa en seguridad informática es no usar la informática. Aunque suene paradójico y de hecho lo sea. Asimismo, la mejor forma de prepararse para un ataque informático es asegurarse de que, si nos quedamos sin la informática, podremos seguir funcionando. Eso han pensando los marines de Estados Unidos y explicaremos por qué. Hablaremos asimismo de cómo protegernos contra la NSA, de un kosovar que pasó datos de militares a ISIS y de las causas más frecuentes de errores en IT.


La Armada de Estados Unidos vuelve a enseñar a sus alumnos cómo usar el sextante, diez años después de haber abandonado estos estudios en favor del GPS. La razón es la prevención ante posibles ataques que dejen a un barco sin acceso a la red o bien le manden información falsa sobre su posición geográfica. Al ser cada vez más posibles estos escenarios, los marines han decidido que es bueno recuperar los viejos conocimientos, pues un sextante no puede ser hackeado. Algo nos dice que otros sectores seguirán sus pasos y, si no, que se lo digan a los hackers que cuando están en convenciones de hackers no usan ordenadores ni smartphones para no ser hackeados. ¿Es volver a la caverna la mejor defensa contra una ciberataque?


domingo, 18 de octubre de 2015

Alfonso Muñoz: "Investigo la ocultación de código ejecutable"

Alfonso Muñoz, segundo de a bordo de CriptoRed.


La mayoría de nuestras lectoras y lectoras posiblemente no imaginan a un criptógrafo como Alfonso Muñoz: guapo, 34 años, sin gafas ni traje, más hacker que nerd, trabaja como "senior security consultant" en IOActive, empresa puntera de la escena mundial de ciberseguridad. "Nací y vivo en Madrid, soy familiar y bastante casero, necesito poco para vivir. Mi integridad física la defiende mi perro, un “fiero” yorkshire capaz de triturar cualquier espía que ose entrar en mi casa ;)". Sólo su nick, @mindcrypt, revela que hay algo "raro" en él. 

Alfonso entró en 1999 en la Universidad Politécnica de Madrid para cursar ingeniería técnica de telecomunicaciones. "Quería estudiar algo rápido para ganarme la vida. Mi familia es la clásica familia obrera que emigraron a Madrid para buscar un futuro mejor". Pero empezó a sacar matrículas de honor y a pasárselo pipa, así que acabó haciendo otra carrera más, Telecomunicaciones, y después el doctorado, y luego un postdoc, y se metió en múltiples proyectos, e inclusó hizo de profesor. Pero Alfonso es un diamante en bruto y las paredes de la universidad se le quedan pequeñas. Aquí está, en plena labor de remontar el vuelo.


viernes, 16 de octubre de 2015

La picaresca en cajeros automáticos no para de crecer

En los últimos tiempos asistimos a un aumento de los ataques contra esos enormes baúles de metal que son los cajeros automáticos. A pesar de su robustez física, se ha demostrado que son vulnerables vía software y tienen ranuras por donde se pueden enchufar cosas que no deberían poderse enchufar. Comentaremos estadísticas sobre el tema, además de un estudio que alerta sobre lo poco que se toman en serio nuestra privacidad los ayuntamientos. Acabaremos viajando a Estados Unidos, donde los grandes de la tecnología se han rebelado contra la ley CISA y unos investigadores han descubierto el agujero que aprovecha la NSA para espiarnos cuando navegamos.


El European ATM Security Team acaba de presentar un informe donde se demuestra el aumento del fraude en cajeros automáticos, con un incremento del 18% en la pérdidas de dinero (156 millones de euros) en la primera mitad del año, comparado con el mismo periodo del año pasado. La mayoría de estos fraudes, 131 millones de euros, se atribuyen a los "skimmers": cámaras y dispositivos que copian nuestros datos cuando introducimos la tarjeta en el cajero. EStados Unidos y la región de Asia-Pacífico, especialmente Indonesia, son las más afectadas.


jueves, 15 de octubre de 2015

Pueden hackear tu teléfono si tienes Siri o Google Now activados

¿Qué pasaría si tu smartphone se pusiera a navegar solito? ¿Si mandase mensajes de texto o hiciese llamadas por su cuenta? Parece imposible pero un grupo de investigadores franceses de la agencia ANSSI han descubierto cómo hacerlo. Hoy hablaremos también de los esfuerzos policiales para parar al troyano bancario Dridex, la nefasta seguridad de los servidores de la Agencia Tributaria de Estados Unidos y una iniciativa para securizar los routers, avalado por destacados próceres de la red.


Los investigadores de ANSSI han descubierto cómo usar ondas de radio para hackear Siri en Iphone y Google Now en Android, siempre y cuando haya unos auriculares enchufados al teléfono. Es buen momento para recordar que Siri está activado por defecto en iPhone. A partir de aquí, los atacantes pueden hacer lo que quieran con el teléfono: llamadas, mandar mensajes, navegar, escribir en Twitter... Los investigadores han grabado un vídeo de demostración que pone los pelos bastante de punta.


miércoles, 14 de octubre de 2015

¿Qué teléfono Android es más seguro?

Las cada vez más vulnerabilidades descubiertas en Android están haciendo que, a la hora de comprar un teléfono, la seguridad se haya convertido en una de las prioridades. Un equipo de investigadores de la Universidad de Cambridge ha creado una base de datos de vulnerabilidades que les ha permito crear una lista con los dispositivos Android más seguros. Lo comentaremos, junto con otras noticias seleccionadas del día: un ciberataque al metro de Corea del Sur, la actualización del manual de ciberguerra más famoso y un arma para "matar" drones.

Dispositivos Android inseguros a lo largo del tiempo
El 87% de dispositivos Android son inseguros según AndroidVulnerabilities.org, una situación que lleva empeorando en proporción geométrica desde 2011. Las estadísticas que genera el proyecto, a partir de apps instaladas en los dispositivos de voluntarios, permiten hacer un ranking de los teléfonos más y menos seguros, siendo los más seguros los Nexus, seguidos de LG, Motorola y Samsung. Los menos seguros, Walton (el peor), Symphony y Alps.


martes, 13 de octubre de 2015

La mayor compra de la historia de las tecnológicas

El fabricante de ordenadores Dell anunció ayer la mayor compra de la historia de la tecnología, al adquirir EMC por 59.000 millones de euros. EMC es dueña, entre otras, de la más que veterana empresa RSA Security. ¿Cuál será su futuro? Hoy se lo preguntan muchos analistas. Hablaremos también de la implantación nada fácil de las tarjetas con chip en Estados Unidos, del robo de datos de los suscriptores del Wall Street Journal y de cómo la policía puede asaltar tu iPhone sin necesidad de puertas traseras.


EMC es una empresa de sistemas de almacenamiento y gestión de datos. Es dueña entre otras de las conocidas VMware (virtualitzación y nube), Mozy (backups) y RSA (seguridad). Al contar ya Dell con su propia empresa de seguridad, SecureWorks, que adquirió en 2011, la incógnita es si apartará a RSA o la integrará con SecureWorks, creando así una fuerte división de seguridad informática empresarial.


domingo, 11 de octubre de 2015

Rampa: "Las credenciales usuario/contraseña son anticuadas"

Ramón Martínez (Rampa). Maestro de hackers.


En 1987 Ramón Martínez, de Monóvar (Alicante), escribió el primer manual en español sobre hacking y phreaking, bajo el alias Ender Wiggins. Fue miembro del mítico grupo Apòstols y montó al menos dos BBS, centro de reunión de piratas que entonces surcaban los mares del X25 y asaltaban las máquinas que allí se conectaban. Delgado, tímido, nervioso, visionario con la cabeza siempre barruntando, Rampa es hoy un niño de 46 años, hacker quiera o no quiera.

Pero con 3 hijos hay que hacerse mayor, o parecerlo, así que Rampa convirtió su BBS en el primer ISP comercial de los 90, Encomix, uno de los mejores de España a nivel técnico, no en vano las finanzas confiaron en él para montar las primeras bancas online. En 1999 vendió el chiringuito a un ISP de Estados Unidos por una cantidad desorbitada, se compró un edificio y se dedicó a lo que le gustaba: la grabación de música. Después de dar muchas vueltas hoy sigue en la brecha, jugando como siempre con las cosas más nuevas.


viernes, 9 de octubre de 2015

Una empresa rival habría robado las bases de datos de Uber

Es algo tan viejo como la primera red, pero sigue sucediendo y muchas veces no caemos en ello cuando una corporación es atacada. Hablamos de las contiendas entre empresas rivales, como los ataques de Denegación de Servicio para imposibilitar la atención a los clientes, o robos de información confidencial. Esto habría pasado en Uber, según una reciente investigación que comentaremos. Hablaremos también de un peligroso malware que está robando credenciales en redes virtuales Cisco, la pequeña fortuna que ha pagado Microsoft a un hacker y una herramienta que ayuda a los administradores de redes a saber si sus servidores en la nube están mostrando información sensible.


En mayo del año pasado alguien robó las bases de datos de la compañía Uber, que guardaban 50.000 licencias de conducir de sus usuarios. Algunas acabaron vendiéndose en la Dark Net. Uber empezó una investigación que ha acabado ahora, donde se ha rastreado una dirección IP hasta una compañía rival, Lyft, concretamente hasta su CTO, quien lo ha negado todo.


jueves, 8 de octubre de 2015

Hablan los hackers que infectaban routers para hacerlos más seguros

Es sin duda la historia heroica del momento en el mundo de la ciberseguridad: un misterioso grupo de hackers buenos, llamados The White Team, infectan cientos de miles de routers con la intención de securizarlos. Cuando les descubren, publican parte del código fuente de su malware y aseguran: "No somos nadie". Empezaremos hoy con esta bonita anécdota, que será sin duda largamente recordada, para sumergirnos a continuación en las miserias habituales: un proveedor de pago online asaltado, phishing vía Linkedin y un adware cebándose en los pobres usuarios de Android.



El investigador de Symantec Mario Ballano descubrió este curioso malware, llamado Wifatch, que entra en routers, cámaras IP y otros dispositivos con contraseñas inseguras y los securiza. Ayer, cuando todo el mundo estaba aún con la boca abierta después de descubrirse semejante y altruista hazaña, The White Team publicó en Gitlab el código y una auto-entrevista donde explican por qué lo han hecho y cuál creen que ha sido el resultado: "Ahorrar ancho de banda al eliminar de los routerse malware y programas ilegales de minería de bitcons, evitar interrupciones de servicio o el robo de credenciales y dinero". ¡Pues muchas gracias!


miércoles, 7 de octubre de 2015

Trucos para sobrevivir a Safe Harbor

Llevamos 24 horas bajo una avalancha de noticias sobre la derogación del marco de intercambio de datos personales entre Estados Unidos y Europa, conocido como "Safe Harbor". Pero mientras más de uno firmaba la defunción de muchas empresas, otros se han leído la sentencia con atención para concluir que no hay para tanto. Os lo contaremos, así como la macro-operación contra un popular ransomware, el robo de claves RSA en la nube de Amazon y la convención anual del Centro de Ciberseguridad Industrial. Vamos allá.


Con Safe Harbor invalidado, las empresas estadounidenses no pueden transferir datos personales de los ciudadanos europeos a sus sistemas, a no ser que los afectados den su autorización expresa. Esto desvirtúa bastante el bombo y platillo sobre el tema, pues los servicios afectados simplemente añadirán un párrafo a sus términos de uso. Las víctimas colaterales de todo esto serán las empresas europeas que contratan servidores en Estados Unidos, a las que acaban de meter en un buen lío.


martes, 6 de octubre de 2015

Cómo hackear el principal banco de Dinamarca (casi) sin esfuerzo

Vaya por delante que la mayoría de bancos trabajan duro para ser seguros en un entorno tan complicado como es Internet. Conocemos a excelentes expertos por los que pondríamos la mano en el fuego y abriríamos una cuenta en su banco sin dudar. Pero de todo hay en la viña del señor, como ha demostrado un hacker ético holandés al que se le ocurrió curiosear por el Danske Bank. Hablaremos hoy también de un par de problemas en iPhones y del cada vez más generalizado uso del reconocimiento facial para monitorizarnos.


Sijmen Ruwhof explica en su blog lo que pasó cuando se le ocurrió entrar en el sitio web del principal banco de Dinamarca, Danske Bank, y probar muy por encima su seguridad: información vital prácticamente a la vista, posibilidad de acceder a las cookies de otros usuarios y, por tanto, a sus cuentas, tráfico enrutado de forma insegura... Por suerte, cuenta Ruwhof, cuando avisó al banco de estos problemas en 24 horas estaban solucionados.


lunes, 5 de octubre de 2015

#NNC5ed: Estuvimos en el congreso del año y te lo contamos

Cultura hacker en estado puro. Comunidad. Humor, actitud, ciberseguridad. Fraternidad. Se nos ocurren multitud de tags que complementan al oficial #nnc5ed bajo el que se esconde la unión de dos importantes convenciones hacker españolas: Navaja Negra y ConectaCon. La ceremonia se ofició en un largo fin de semana, desde el pasado jueves hasta el sábado, y tuvo como invitados a más de 600 personas que, disculpen el coloquialismo, se lo pasaron "pipa". Por cierto: la comunidad hacker crece también en género, ya estamos en un 5% de mujeres, más o menos. 

Van Hauser, dando consejos a los hackers
Una de las charlas más concurridas fue la de José Selvi: "Delorean, retrocediendo en el tiempo para robar información". José Selvi, a quien entrevistamos recientemente, explicó cómo manipulando la sincronización horaria de los ordenadores un atacante podría hacerlos viajar al pasado para que las conexiones HTTPS dejen de ser seguras o certificados caducados vuelvan a la vida, abriendo un racimo de posibilidades de ataque que, como contó Selvi, crece día a día desde la primera vez que dió esta charla, en la BlackHat.


domingo, 4 de octubre de 2015

La entrevistadora, entrevistada: hablamos con Mercè Molist

Ella es normalmente la que se sienta a este lado de las entrevistas. El lado prácticamente invisible, salvo por esa pequeña firma que acompaña a cada charla con los expertos en seguridad. Le sobra autoridad para firmar estas conversaciones, y contactos cultivados casi desde que nació, pues es de esas personas en cuyo carnet de identidad debería figurar "hija de la curiosidad y el empeño". Si quieren saber más datos de ella, googléenla. Trata de evitar dejar rastro personal, pero el profesional no puede (ni debe) evitarlo.

En mayo de 2012 quiso dejar por escrito por qué se enamoró de los hackers. No caben aquí todas las razones, pero sí cabe recomendar este link en el que lo explica al detalle. Tomemos unos apuntes al vuelo: "Porque son gente lista y genial, de inacabable curiosidad, sentido del humor y vorazmente críticos, capaces de ponerlo todo patas arriba. (...) Los hackers que yo amo no matarían una mosca. (...) No roban ni destruyen. Curiosean. Avisan de que hay tal problema. Un hacker, dice un amigo, es alguien capaz de encontrar una solución elegante a un problema importante"

Estos días ha estado rodeada de muchos de ellos en un congreso cada vez más célebre, en la ciudad que en su día Federico García Lorca definió como la Nueva York de La Mancha. Y como no teníamos entrevistadora para el domingo... ¿por qué no ser ella la entrevistada? Sí, ella. La preguntona habitual. Mercè Molist.


viernes, 2 de octubre de 2015

Un viernes... de miedo

Viernes... de sustos. Llegar al fin de semana le va a costar más de un disgusto a más de una empresa. Hoy toca centrarse en los robos de datos, pero además de eso es un viernes donde saltan alertas por ransomware indetectable, vulnerabilidades XSS en Wodpress e incluso una gloria efímera de un minuto de alguien que compró el dominio Google.com en un despiste de la gran G. Un día más que "completo" para hacer las delicias de los aficionados a la seguridad.

Susto y de los gordos el que se han llevado en T-Mobile, cuando han tenido la confirmación de un robo de datos que afecta a 15 millones de clientes. La confirmación la ha hecho la empresa Experian, que es la víctima, y una de las empresas con las que subcontrata T-Mobile la gestión de los datos de sus clientes. Aunque no se teme por el riesgo de la información financiera, entre los datos robados los asaltantes se han llevado nombres, direcciones, fechas de nacimiento, números de identificación y números de seguridad social. Toda una gema para preparar ataques más sofisticados a partir de esta información.


jueves, 1 de octubre de 2015

Hacking con sabor español

Leer, practicar y ser constante. Si quieres dedicarte al hacking y a la seguridad informática, olvídate de coleccionar blogs, seguir infinitas cuentas de Twitter y probar un par de tutoriales de Youtube. Los pasos no son esos, sino leer en profundidad, practicar cuanto te sea posible, y echarle muchas, muchísimas horas. Así lo establece en su último vídeo de consejos el hackstar español Chema Alonso, con el que abrimos este post de inusitado sabor español 100%. Desde la ciberdefensa nacional hasta los cajeros automáticos. Olé.

"A lo largo del tiempo recibo muchas peticiones de consejo sobre cómo aprender hacking o seguridad informática", afirma el afamado experto en ciberseguridad Chema Alonso, el Maligno. Un tema sobre el que ha escrito en innumerables ocasiones (por ejemplo, una vez, y otra vez, y otra vez más), pero son tantas las peticiones que recibe en este sentido que ha decidido "dar la cara" en vídeo, y contar no solo sus tres consejos de cabecera (leer, practicar, ser constante), sino citar los libros fundamentales para empezar en este mundillo, e incluso hacer un recorrido por parte de la blogosfera made in Spanish. Sí, se ha olvidado de nosotros (del CIGTR), pero por una vez no se lo tendremos en cuenta ;-)