viernes, 28 de octubre de 2016

Pagos en la red


Lo mejor de la semana en ciberseguridad

En una escena final de la comedia dramática Puro Vicio (Inheritance Vice), basada en la novela de Thomas Pynchon, para devolverle su verdadera identidad a un espía que ha estado trabajando para el "sistema", lo que le devuelven no es el DNI, sino su tarjeta de crédito. En su momento, las tarjetas bancarias cambiaron la manera de hacer compras. En nuestros días, los métodos de pago en la red, o sistemas de pago online, pueden ser objeto de ciberataques constantes.

Paypal es uno de ellos. Esta semana hemos sabido que la empresa de pago ha reparado un fallo en el sistema de autenticación. El error permitió a los atacantes desconectar el control sobre las cuentas. Según el británico Henry Hoggart de InfoSecurity, los ciberatacantes solo habrían necesitado el nombre de usuario y la contraseña para generar una especie de caos dentro del sistema de pago. 


miércoles, 26 de octubre de 2016

Paradojas de los avances tecnológicos

Una de las primeras cosas que se aprendía en la escuela primaria era la de hacer vasos comunicantes. Era una forma de entender el origen del mundo de las comunicaciones y comprender la mecánica de los teléfonos. Solo se necesitaban dos vasos de plástico con un agujero en la base de cada uno y una cuerda. En pocos minutos podías mantener una conversación con un compañero de clase que estaba a varios metros de distancia.

El desarrollo de la tecnología ha avanzado de manera tan rápida en los últimos años que los teléfonos analógicos pueden parecer ahora objetos de museo. Sin embargo, el desarrollo tecnológico trae consigo otras dificultades. En los últimos días hemos visto cómo Rowhammer se adueñaba de la actualidad de los ataques a teléfonos móviles Android. A diferencia de otro tipo de intromisiones, Rowhammer es capaz de explotar un fallo en el Hardware.

En un principio los smartphones no tenían que preocuparse de este tipo de ataques ya que se requería de componentes de memoria avanzados los cuales todavía no están presentes en los teléfonos móviles. Pero esta semana un grupo de investigadores ha descubierto que es posible que los teléfonos Android sean víctima de Rowhammer. 

La lista incluiría LG Nexus (4, 5, 5X), LG G4, Motorola Moto G (2013 y 2014), One Plus One, HTC Desire 510, Lenovo K3 Note, Xioami Mi 4i y Samsung Galaxy (S4, S5, S6). Los investigadores estiman en millones los posibles dispositivos afectados y anunciaron que se puede hacer un test, a través de un aplicación que ellos mismos han desarrollado para saber qué teléfonos están infectados. Se espera que la aplicación se haga pública en Google Play. No todos los teléfonos serían vulnerables por igual, debido a que, al ser un ataque que va dirigido a los fallos en el hardware, la variación en el chip sería un factor determinante.

Esta semana hemos sabido que los teléfonos de generación 2G pueden ser, también, hackeados en cuestión de segundos.  El trabajo hecho por la Agencia de Ciencia, Tecnología e Investigación (A*STAR) ha demostrado que romper con el cifrado A5/1 utilizado por los 2G puede ser muy fácil. Este tipo de amenazas venía del 2009, pero recién ahora se ha comprobado que es mucho más sencillo.

Si en los vasos comunicantes las amenazas pasaban por el rompimiento de la cuerda, o el vaso de plástico, en la actualidad las amenazas se desarrollan casi de forma paralela a la propia tecnología. En el caso de las ciberamenazas ya no se trata solo de una interferencia en la comunicación, sino que es más complejo. Los teléfonos de ahora, claro, son más complejos, también. Y ya no solo sirven para comunicarse. Un teléfono en estos días puede servir para todo.


lunes, 24 de octubre de 2016

La cuenta atrás de la ciberseguridad

Hoy, hace un año...

En la primavera de 1986, y contra el criterio inicial de los miembros de la banda sueca que había compuesto la canción, se lanzó al mundo el sencillo 'The Final Countdown', un tema que se ha convertido en todo un icono cultural en numerosos lugares del globo, especialmente Europa occidental. El "final de la cuenta atrás" de Europe, que narra un viaje en el espacio por la obligación de abandonar la Tierra, nos sirve como gancho para nuestra particular cuenta atrás en el repaso que hacemos cada lunes a los asuntos que hace un año fuera noticia. Tres, dos, uno... ¡Ignición!



Porque como si de una cuenta atrás se tratase, hace un año tuvimos un "tres, dos, uno"... Tres noticias relevantes sobre filtraciones de datos, dos sobre criptografía, y una sobre otra de las referencias culturales ineludibles de Europa occidental: el galo Astérix. Vayamos por partes y centrémonos en las primeras: hasta 4 millones de registros con información crítica sobre clientes fue el robo que a finales de octubre de 2015 sufrió el proveedor de servicios de Internet (ISP) británico TalkTalk; un robo en el que encontramos de todo, desde nombres y números de teléfono hasta tarjetas de crédito, y con buena parte de la información sin cifrar, tal como reconoció la propia compañía.


viernes, 21 de octubre de 2016

Protección en la red


Lo mejor de la semana en ciberseguridad


En la última película protagonizada por Antonio Banderas, 'Seguridad', un guardaespaldas tiene como misión proteger a una testigo judicial que ha sido amenazada por una banda de delincuentes que pretende acabar con su vida. Al igual que la película 'El guardaespaldas', donde uno de los actores principales, Kevin Costner, tiene que proteger a la otra protagonista interpretada por Whitney Houston, la vida y la muerte parecen pender de un hilo.


Cuando hablamos de ciberseguridad, por lo general, lo que está en riesgo son asuntos financieros o económicos (en el caso del ciberterrorismo hemos visto que la vida también puede estar en peligro). Muchas veces los usuarios y las empresas tienen que actuar, o tomar precauciones como si de un guardaespaldas se tratara. La prevención es fundamental.  Esta semana hemos descubierto que la salud de las personas podría, también, ser víctima de los ciberatacantes. Helpnet Security informa que la seguridad en dispositivos médicos se triplicará para el año 2021.


miércoles, 19 de octubre de 2016

Violencia invisible

La primera película de Quentin Tarantino, Reservoir Dogs (Perros del reservorio), cuenta la historia de un grupo de asaltantes que se organizan para entrar en un banco y hacerse con el dinero. Ya desde esa primera película, Tarantino mostraba su predilección por las escenas violentas, las malas palabras y la sangre. 

Pero una de las cosas más llamativas de la película, es que los espectadores jamás vemos el asalto. Es decir, toda la primera parte del film relata la historia de cómo los ladrones se preparan para cometer el atraco. La segunda empieza cuando el asalto ya terminó y están huyendo. Algo similar podría pasar con ciertos malwares dedicados a atacar bancos. Los ciberataques han hecho invisible el viejo método de ver entrar con un arma a los delincuentes y oírlos decir "arriba las manos". Hace un tiempo el troyano Dyre causó más de un dolor de cabeza y varias pérdidas económicas a un grupo de bancos occidentales en Estados Unidos, Inglaterra y Australia.


lunes, 17 de octubre de 2016

Ciberseguridad: deporte extremo

Hoy, hace un año...

Vale, pero entonces... ¿Debo preocuparme o haga lo que haga me va a dar igual? Esta pregunta es la que ronda por la cabeza de muchos usuarios medios de Internet, con el suficiente conocimiento como para saber que aguarda una trampa siempre a la vuelta de la esquina. Como siempre, ningún extremo es bueno, aunque la ciberseguridad sea a lo digital que un deporte extremo a la salud. Como cada lunes, echamos la vista un año atrás, para toparnos con noticias que, entonces como hoy, exigían tener conciencia sobre el asunto. No prestar atención conlleva correr riesgos.
Por ejemplo, uno puede tener la tentación de pensar que si pueden hackear al mismísimo director de la CIA, por más barreras que uno quiera poner van a resultar inútiles. Amén del clásico "yo no soy el director de la CIA". Ya, pero si tú bajas tus defensas, la experiencia global de la red es más insegura, y un acceso no autorizado al responsable de la inteligencia más poderosa, o afamada, del planeta, podría tener su origen en tu máquina, utilizada como dispositivo zombie para lanzar todo tipo de ataques y realizar toda clase de maldades.


viernes, 14 de octubre de 2016

Los riesgos de las más grandes

Lo mejor de la semana en ciberseguridad

Sin duda, una de las cosas que ha marcado los hábitos de consumo, ha sido la llegada de Amazon. Desde su puesta en marcha, muchos han sido sus detractores. En el negocio de la venta de libros, por ejemplo, se desató toda una guerra contra los editores y libreros convencionales. Hasta ahora hay librerías pequeñas que se sienten amenazadas.

Pero Amazon tiene una amenaza que los libreros pequeños no tienen. Los cibercriminales. En realidad todas las empresas grandes son mucho más atractivas para los hackers que las pequeñas. Esta semana hemos sabido que Amazon habría sufrido un posible ciberataque. Aunque el gigante de internet no lo ha confirmado y más bien niega el ataque, Softpedia nos cuenta que la empresa habría reiniciado las contraseñas de sus usuarios "por si acaso".


jueves, 13 de octubre de 2016

Las puertas

"Las puertas de la percepción" (The doors of perception) de Aldous Huxley, publicada en 1956, ponía énfasis en la idea de que el cerebro humano es un filtro de la realidad que no permite pasar todas las imágenes e impresiones, las cuales serían imposibles de procesar. Huxley quiso comprobar su teoría probando mezcalina e ir tomando nota de sus experiencias. Años después, Jim Morrison, tomaría prestado el título para ponerle nombre a su banda: The Doors. De hecho la canción 'Break on through to the other side' habla del libro y de la idea de poder traspasar esas puertas de la percepción.

Si nos ponemos a pensar en términos informáticos, podríamos asegurar que el mundo de la ciberseguridad no son más que puertas que se van abriendo o cerrando. Mientras más puertas se abran más difícil de controlar y alguien tendrá que cerrarlas para evitar posibles daños. O crear puertas que lleven a sus enemigos a dónde uno quiere que lleguen. La NSA lo sabe y por ello está considerando la idea de poner trapdoors (puertas falsas) indetectables en millones de códigos cifrados.


lunes, 10 de octubre de 2016

Salvarse de milagro

Hoy, hace un año...

Una trama de acción trepidante, que transcurre en un solo día, y en el que solo un milagro podrá salvar a una familia del asesinato a manos de los revolucionarios. Es el resumen de la película 'Golpe de Estado', con Owen Wilson, Lake Bell y Pierce Brosnan, que hace ahora un año llegó a la gran pantalla. Como en la ficción, en el mundo de la ciberseguridad hay tantos sucesos que a diario revolucionan la escena, que estar a salvo podría parecer, también, una cuestión de milagros.



Hace un año, además del estreno de este rodaje, un investigador de Symantec descubrió un malware que no podía ser más curioso. Bajo el nombre Wifatch, el "bicho" se dedica a entrar en sistemas inseguros para... ¡securizarlos! Detrás de tamaña y altruista hazaña encontramos a un grupo llamado White Team, cuyos responsables afirmaron en una auto-entrevista que con esta acción se había conseguido "ahorrar ancho de banda al eliminar de los routers malware y programas ilegales de minería de bitcons, evitar interrupciones de servicio o el robo de credenciales y dinero".


viernes, 7 de octubre de 2016

Cuestión de edad

Lo mejor de la semana en ciberseguridad 

Las generaciones o los grupos de edad pueden ser un indicador de muchas cosas. Pueden definir elecciones presidenciales, o marcar tendencias de consumo. En Estados Unidos, durante los años veinte, los jóvenes amantes del jazz y el alcohol (prohibido en aquel entonces) eran vistos como libertinos por sus mayores. Esos mismos jóvenes, cuarenta años después, vieron con la misma desconfianza a los jóvenes hippies y amantes del rock and roll durante la década de los sesenta. 

Esta semana hemos visto que la edad también puede ser un factor determinante para los ataques en la red. Las generaciones mayores de hoy en día han resultado ser un buen objetivo para los cibercriminales. Según Kaspersky Lab y B2B International, los mayores de 55 años son presas más fáciles para los ciberataques. De acuerdo con el informe, los mayores son más propensos a no proteger sus teléfonos móviles, a pesar de que suelen instalar software de seguridad en sus ordenadores. A diferencia de los más jóvenes, la seguridad en la configuración de la privacidad en redes sociales o en buscadores de internet es más baja. 


miércoles, 5 de octubre de 2016

Código de vestimenta

¿Cómo vestirse para entrar en un lugar? Hay locales que exigen un Dress Code, o código de vestimenta para dejar pasar a los asistentes. Hay sitios en los que no se puede entrar si no se va vestido de una manera determinada. En ciertas discotecas de Berlín, por ejemplo, si no se lleva ropa extravagante y atrevida, con un toque de originalidad, el portero te niega la entrada, así se haya estado en la fila durante una o dos horas. En Barcelona suele haber un festival para los amantes del látex en la que todos los asistentes parecen Batman o Catwoman.

DressCode es el nombre con el que se conoce a un malware para teléfonos móviles que acaba de ser descubierto por un grupo de investigadores de Trend Micro. Según Security Week, que se hace eco de la noticia, el malware ha infectado a más de 400 aplicaciones distribuidas por Google Play. Los investigadores creen, sin embargo, que el número podría ser mayor y hablan de unas 3.000 aplicaciones infectadas con el Troyano, a través de diversos canales de distribución y venta de apps.


lunes, 3 de octubre de 2016

Internet y la lluvia: ¿por qué te mojas?

Cuando llueve, la única forma segura de no mojarse es quedarse en casa y no salir a la calle. Si sales, por muy protegido que vayas, siempre puede haber una rendija por la que se cuele una gota de agua. En el 'cibermundo' pasa igual: la única forma posible de evitar la tormenta de hacking que hay en la red es desconectarse y no salir al exterior: sin fibra, sin smartphone, sin consumo en línea... ¿Te ves capaz? Lo importante no es evitar la lluvia, sino secarse a tiempo y evitar trombas de agua (DDoS), grandes charcos (ransomware), prendas abiertas (brechas de datos) o quedarse a campo abierto (malware).

En nuestro repaso de los lunes a lo que sucedió hace un año, nos encontramos en estos primeros compases de octubre con varias cibertormentas tropicales en estas mismas fechas en 2015. Para empezar, tenemos dos firmas tan conocidas como T-Mobile y Patreon, que tuvieron que comunicar sendas brechas de datos de tamaño más que considerable: 15 millones de ficheros con datos de sus consumidores por parte de la primera; y un número indeterminado de registros con nombres, direcciones de e-mail, publicaciones y direcciones de compra y facturación por parte de la segunda.