Categoría: Seguridad

Noticias y consejos sobre Seguridad en Internet. Qué apps usar, qué peligros hay en Internet, cómo usar las contraseñas y mucho más.

Microsoft confirma la adquisición de Secure Islands, especialista en seguridad cibernética

Publicado el 9 noviembre, 2015

por Fco. José Hidalgo

Secure Islands, compañía especializada en la seguridad y el control de la información con sede en Israel, ha estado desde hace tiempo trabajando con Microsoft dentro del servicio de gestión de derechos de Azure, de Microsoft. Hoy, ambas compañías han confirmado a través de sus respectivos comunicados la adquisición de Secure Islands por parte de Microsoft, sin que ninguna de ellas haya desvelado los términos del acuerdo.

Con esta confirmación oficial, se pone fin a los rumores que tiempo atrás apuntaba a que Microsoft se estaba preparando para adquirir Secure Islands.Esta adquisición supone la quinta que Microsoft realiza este año de compañías con sede en Israel, estando entre ellas otras dos compañías relacionadas con la seguridad cibernética.
Continúa leyendo «Microsoft confirma la adquisición de Secure Islands, especialista en seguridad cibernética»

La reciente y polémica estrategia de Microsoft contra el malware [infografía]

Publicado el 1 noviembre, 2015

por Juan David Quiñónez

Una de las “cabezas” del poderoso equipo legal de Microsoft es Richard Boscovich, actual consejero en la unidad anticrimen de la compañía y quien dirige una reciente estrategia para atacar modalidades de crimen digital incluyendo la creación y propagación de malware.

Para ello, ya que las referencias a juicios pasados son una particularidad en la justicia norteamericana, Boscovich ha trabajado basándose en un previo juzgamiento a falsificadores de bolsos de mano quienes debieron ceder todos sus activos a los autores de los bolsos originales.

En vez de bolsos de mano, claro, Microsoft se está apoderando de servidores y dominios, con o sin permiso inmediato de una autoridad, apoyándose en el daño que le hacen al público y a su marca al facilitar la creación y propagación de software malintencionado, por ejemplo, mediante copias ilegales de sus productos plagadas de malware.

Y la estrategia ha resultado ser eficiente pues se han hecho con el control de miles de dominios que, en servicios de DNS dinámicas, aprovechaban para distribuir familias de malware como la njRAT y njW0rm, lo que cortó su suministro en enorme medida. El problema es que, como de costumbre, pagan justos por pecadores, y los falsos positivos no se han hecho esperar.

Continúa leyendo «La reciente y polémica estrategia de Microsoft contra el malware [infografía]»

Detenido el hacker, de 15 años, que robó datos de la empresa de telecomunicaciones TalkTalk

Publicado el 26 octubre, 2015

por Juan Diego Polo

Hace varios días os comentamos que la empresa TalkTalk, responsable por servicios de acceso a Internet y TV en el Reino Unido, con 4 millones de clientes, sufrió un ataque y permitió el acceso a los datos de sus clientes. Se pensaba que podía haberse sustraído información confidencial, como números de tarjetas de crédito y direcciones, aunque no se confirmaron exactamente los datos que fueron robados.

Ahora hay una actualización importante en esta noticia: han detenido al invasor, y solo tiene 15 años.

Lo comentan en la BBC, donde indican que el chico fue arrestado bajo sospecha de delitos de la Ley de Abusos Informáticos, y está siendo interrogado por detectives de la policía de Irlanda del Norte.
Continúa leyendo «Detenido el hacker, de 15 años, que robó datos de la empresa de telecomunicaciones TalkTalk»

La niña de 11 años que vende contraseñas altamente seguras por 2 dólares cada una

Publicado el 25 octubre, 2015

por Juan David Quiñónez

Existe un método criptográfico para crear contraseñas seguras llamado Diceware. En él, se lanza un dado corriente 5 veces, se anota la secuencia de 5 dígitos obtenida y se busca dicho valor en una extensa lista de palabras comunes predeterminada. El procedimiento se repite unas 6 o 7 veces para obtener igual número de palabras aleatorias. Que sean comunes facilita que el usuario las recuerde en una frase, y su larga extensión complica que sean conseguidas por atacantes mediante procedimientos de fuerza bruta ”“poner a un PC a probar millones de combinaciones-.

Un ejemplo de contraseña generada y cómo luce su empaque

El método de generación de contraseñas es tremendamente sencillo pero un poco tedioso así que Mira Modi, una niña de 11 años en Nueva York ”“hija de una periodista enfocada en la privacidad- pensó en poner a rentar su solución: 2 dólares por lanzar los dados manualmente, anotar las palabras conseguidas y enviarlas por correo físico al comprador quien las recibe en un sobre sellado; La niña no las almacena y, claro, el comprador puede modificarlas a su antojo ”“poner mayúsculas, agregar símbolos, cambiar palabras, etc.-. Una vez más, la complejidad de dar con las palabras matemáticamente es enorme pues aumenta en un orden exponencial. Continúa leyendo «La niña de 11 años que vende contraseñas altamente seguras por 2 dólares cada una»

Hackean y roban datos de TalkTalk, proveedor de televisión e Internet del Reino Unido

Publicado el 22 octubre, 2015

por Juan Diego Polo

TalkTalk es un conocido proveedor de telefonía y banda ancha del Reino Unido, con más de cuatro millones de clientes cuyos datos han podido ser robados hace pocas horas, según leemos en la BBC.

Se cree que pueden haberse sustraído tanto datos de tarjetas de crédito como datos bancarios, aunque aún es pronto para saber con detalle quiénes fueron los clientes afectados

La Policía Metropolitana aún está investigando el ataque, de momento no ha habido ningún arresto, pero ya se sabe que han conseguido entrar bastante en la base de datos de clientes, incluyendo nombres, direcciones, emails y fechas de nacimiento.

El ataque se realizó ayer, miércoles, pero solo hoy se ha hecho público, dejando las últimas 24 horas para que se realicen las investigaciones necesarias antes de crear la alarma necesaria.
Continúa leyendo «Hackean y roban datos de TalkTalk, proveedor de televisión e Internet del Reino Unido»

Firefox prueba marcar sitios web que envían contraseñas sin cifrar

Publicado el 21 octubre, 2015

por Fco. José Hidalgo

Conforme pasa el tiempo, aumenta la importancia de la seguridad en Internet entre los propios usuarios, y para facilitar esta labor y tomar precauciones al respecto, desde Firefox se está probando una nueva funcionalidad en la que se marcará a todos aquellos sitios web que disponen de campos de contraseñas pero que envían los datos sin cifrar, bajo https://, lo que podría llegar a comprometer la información que los usuarios introducen en las mismas, según el mensaje que el propio navegador les mostrará.

Así lo han indicado Richard Barnes en su cuenta de Twitter de una manera simple y clara, indicando que estas pruebas están dentro de Firefox 44 Nightly. Se trata de un cambio simple pero de gran importancia, lo que posibilitará a que los usuarios se lo piensen mejor antes de introducir datos sensibles en aquellos sitios web que aún no maneja su tráfico de forma cifrada. Es más, de implementarse de serie tanto en la versión estable de Firefox como en otros navegadores web, los responsables de los sitios web que no tengan su tráfico cifrado, se verán obligados a cifrarlo, donde casualmente, como os informamos ayer, la organización Let´s Encrypt les puede echar una mano.

De este modo, nos veríamos en un escenario donde la tónica habitual sea que los sitios web tengan su tráfico cifrado para garantizar a sus visitantes que sus datos no se verían comprometidos. Aunque, hasta que este punto llegue, veremos si finalmente Firefox adopta la nueva funcionalidad de serie para todos los usuarios.

Así «hackeó» un joven, fácilmente, la cuenta de email del director de la CIA

Publicado el 19 octubre, 2015

por Juan David Quiñónez

John Brennan, actual director de la Agencia Central de Inteligencia de los Estados Unidos (CIA), fue víctima en una de sus cuentas de email de un hackeo, la semana pasada, por parte de un supuesto grupo de adolescentes norteamericanos. La clave de la irrupción está en la ingeniería social y varias irregularidades en la seguridad de AOL, el servicio de correo electrónico al que pertenecía la cuenta ya dada de baja.

Una captura de la cuenta de correo en AOL que fue "hackeada" | @phphax — Una captura de la cuenta de correo en AOL que fue «hackeada» | @phphax

Para empezar, los jóvenes verificaron que el número móvil de Brennan estaba asociado a AOL y dieron con el respectivo número de referencia -VCode- de alguno de sus técnicos. Enseguida, llamaron a AOL argumentando ser empleados de la compañía y solicitando información de la cuenta asociada a dicho número móvil consiguiendo de AOL el número de cuenta de Brennan en dicha compañía junto a su PIN de cuatro dígitos, el número móvil de respaldo de su cuenta, su dirección de correo electrónico y los cuatro últimos números de su tarjeta bancaria. Continúa leyendo «Así «hackeó» un joven, fácilmente, la cuenta de email del director de la CIA»

Facebook ahora avisa si hay hackers del gobierno accediendo a nuestra cuenta

Publicado el 19 octubre, 2015

por Juan Diego Polo

El mensaje que veis arriba es el que Facebook ha empezado a mostrar entre los usuarios que pueden estar siendo víctimas de hackers contratados por algún gobierno.

Lo informa Alex Stamos, jefe de seguridad en Facebook, en esta nota, donde comunican que los ataques realizados por gobiernos son mucho más sofisticados que los tradicionales, por lo que es posible identificarlos usando las herramientas de protección internas de la red social.

El aviso informa que existe ese riesgo, por lo que anima a informar el número de teléfono para que se realice la identificación en dos pasos, evitando así que alguien consiga entrar en nuestra cuenta sin poseer nuestro número.

Aunque Facebook no ha informado los detalles sobre cómo sabe cuando el hacker llega desde un Estado, hay muchos tipos de malware creado por gobiernos de varios países, como el Stuxnet, por ejemplo, aunque seguramente los utilizados actualmente no son tan famosos.

Es muy posible que los ataques realizados por los gobiernos estén relacionados con la sospecha de algún tipo de actividad criminal por parte del usuario, pero está claro que hay caminos en la justicia que pueden permitir la obtención de datos sin necesidad de invadir ilegalmente las cuentas. Por desgracia esos caminos son lentos, motivo por el cual es tan común la invasión realizada por este tipo de hackers.

Line añade cifrado end-to-end en su app de mensajería para iOS y Android

Publicado el 13 octubre, 2015

por Sergio Asenjo

Line

El equipo de Line acaba de publicar un comunicado en su página oficial anunciando la inclusión de una nueva característica en su app de mensajería para dispositivos iOS y Android. Dicha característica lleva por nombre Letter Sealing y se encarga de activar el cifrado end-to-end en la aplicación.

El objetivo que persigue el equipo de Line con esta actualización es garantizar la privacidad de la información que los usuarios de la app comparten a diario entre distintos dispositivos. Para ello, Letter Sealing se encarga de cifrar el contenido de los mensajes transmitidos con una clave privada almacenada única y exclusivamente en el dispositivo de cada usuario. Es decir, dicha clave no pasa en ningún momento por los servidores de la compañía, lo cual hace imposible que otros puedan interceptar el contenido de las conversaciones. Por el momento, Letter Sealing solo funcionará en las conversaciones individuales entre los usuarios de Line, además de a la hora de compartir nuestra localización. Aun así, la compañía ha confirmado que espera extender las capacidades de Letter Sealing próximamente. Es importante tener en cuenta que Letter Sealing viene activado por defecto en la versión de la app para Android (siempre que tengamos asociado un solo dispositivo a la cuenta), siendo necesario activarla manualmente en caso de contar con múltiples dispositivos Android o en la versión de la app para iOS.

Sin duda, se trata de una buena noticia para los millones de usuarios de la aplicación. Aprovechamos la ocasión para recordar que el cifrado end-to-end ya estaba disponible en WhatsApp desde el mes de noviembre del año pasado, tal y como os contamos en su momento. Letter Sealing está disponible para todos los usuarios que tengan instalada la versión 5.3.0 o superior de la aplicación. Podéis actualizarla directamente desde la App Store o Google Play.

Fuente: Line.

LogMein compra LastPass por 125 millones de dólares

Publicado el 9 octubre, 2015

por Juan Diego Polo

Atención usuarios de LastPass: una de las mejores aplicaciones de gestión de contraseñas acaba de ser adquirida por 125 millones por LogMein, solución de acceso remoto a ordenadores que ya os hemos comentado en varias ocasiones.

La operación, que se cerrará dentro de pocas semanas, no tendrá inicialmente ningún efecto entre los clientes que ya usan LastPass, pero sí entre los que usan LogMeIn, ya que se integrará la plataforma para que pueda usarse dicho servicio bajo un sistema de gestión de contraseñas seguro y fiable.

En septiembre de 2014 LogmeIn compró Meldium, un sistema que permite identificarse en varias plataformas con un solo click, y el objetivo ahora es seguir por ese camino, integrando Meldium con LastPass en un único producto durante los próximos meses.

Lastpass, que ya tuvo problemas de seguridad durante este año y que comenzó a ofrecer el servicio de forma gratuita desde cualquier dispositivo, es uno de los más populares en su categoría. Existe desde 2008, y el hecho de no guardar las contraseñas en sus servidores, y de permitir el acceso a millones de cuentas sin necesidad de recordar los datos de acceso gracias a sus extensiones, le ha permitido ganar mucha reputación entre los usuarios que apuestan por este tipo de plataformas.

Esperemos que esta adquisición sea una buena noticia para todos los que usamos LastPass, y no un paso atrás en el quesito privacidad.