La compañía de seguridad informática Symantec ha publicado en YouTube un video que explica un nuevo método que están ejecutando atacantes para acceder a la cuenta de email de cualquier usuario con apenas saber su número móvil y su dirección de correo, ¡nada más! Claro, se trata de un ataque de ingeniería social de lo más sencillo pero que podría afectar a más de una persona cercana que llegue a desconocer tales prácticas.
En fin, primero compartimos el video, luego la explicación del método -si es que no se entiende el video por estar en inglés- y, por último, señalamos tareas básicas para protegerse e informar a conocidos para que hagan lo debido.
Uno de los problemas más frecuentes a la hora de utilizar una aplicación en la que se requiere inicio de sesión es el hecho de olvidar el nombre de usuario o la contraseña. Se trata de un inconveniente tanto para los desarrolladores (que pueden arriesgarse a perder usuarios que no sepan recuperar su contraseña) tanto como para los usuarios (que se ven obligados a perder el tiempo para recuperar la contraseña). Por esta razón, Google ha anunciado Google Identity Platform, una suite de herramientas con la que los desarrolladores podrán facilitar en gran medida el inicio de sesión en sus aplicaciones y sitios web.
Por un lado, la compañía ha explicado el funcionamiento de Smart Lock for Passwords, una herramienta que podría resultar realmente útil. Como sabréis, Smart Lock es un gestor de contraseñas incluido en Android 5.0 Lollipop. Ahora, la compañía ha anunciado que Smart Lock estará disponible como API para los desarrolladores, de modo que estos puedan implementar la herramienta en sus aplicaciones para grabar las credenciales de los usuarios e iniciar sesión de forma automática en las aplicaciones y páginas web (solo en Google Chrome) en todos sus dispositivos. Por el momento, Google afirma que ya cuenta con la participación de gigantes como Eventbrite, Netflix y el New York Times, entre otros. Gracias a la integración de Smart Lock con las aplicaciones de los desarrolladores, el usuario tendrá la posibilidad de seleccionar que sus datos de inicio de sesión se guarden en Smart Lock, beneficiándose de un inicio de sesión automático en el resto de dispositivos de su propiedad. Esto supone una ventaja importante a la hora de configurar nuevos dispositivos, ya que no sería necesario introducir las contraseñas de todas y cada una de las aplicaciones instaladas. En su lugar, nada más identificarnos con nuestra cuenta de Google, todas las aplicaciones estarían listas para ser utilizadas.
Además, la compañía aprovecha también para explicar las ventajas de Google Sign-in, la herramienta de inicio de sesión de Google que forma parte de la suite de herramientas de la que os hablamos. El buscador afirma que gracias a Google Sign-in es posible aumentar el número de registros en las aplicaciones de los desarrolladores, dado que los usuarios simplemente han de introducir los datos de inicio de sesión que ya utilizan en plataformas como Google Play. Por último, Google ha dado a conocer Identity Toolkit, un sistema de autenticación genérico desarrollado por Google con el que todos aquellos interesados podrán ofrecer inicio de sesión en sus apps de forma sencilla.
Tal y como podemos leer en el blog oficial de Microsoft, la compañía acaba de presentar Exchange Online Advanced Threat Protection (ATP), un nuevo servicio de seguridad cuyo objetivo principal es proporcionar protección adicional ante ataques avanzados dirigidos a los usuarios comerciales del servicio de email Office 365.
El nuevo servicio proporciona protección adicional a la ya ofrecida por la herramienta de Microsoft conocida como Exchange Online Protection (EOP). Entre las principales ventajas que ofrece el nuevo servicio de filtrado de correos electrónicos podríamos destacar características como Safe Attachments, una nueva función que tiene por objetivo proteger a los usuarios de amenazas de seguridad como malware o virus que puedan transmitirse vía email. Para ello, se encargará de analizar los mensajes del usuario en busca de este tipo de contenido antes de que se hayan entregado al receptor del mensaje. En caso de no encontrar ninguna amenaza, lo entregará correctamente. Además, el nuevo servicio de Microsoft es también capaz de escanear en tiempo real los enlaces presentes en los correos electrónicos recibidos por el usuario con el objetivo de evitar que este sea redirigido a sitios web maliciosos al hacer clic en enlaces aparentemente seguros. Por último, Exchange Online ATP generará informes completos en los que se proporcionará información de todo tipo, incluso permitiendo averiguar a qué miembros de un equipo de trabajo suelen dirigirse los ataques.
Por el momento, esta nueva función de seguridad se encuentra en fase beta privada. Estará disponible a lo largo del verano para todos los clientes comerciales a un precio de 2 dólares al mes.
Por desgracia, los ataques con robo de datos en Internet se están convirtiendo en un problema bastante frecuente en la actualidad. En ocasiones, parte de la culpa es de las distintas empresas afectadas, que no protegen los datos de los usuarios como es necesario. Si echamos la vista atrás, en junio de 2012 os dimos la noticia del robo de una enorme cantidad de contraseñas de LinkedIn que acabaron publicadas en la red, con los problemas de seguridad para los usuarios que ello conlleva. Tras la confirmación del robo por parte de LinkedIn, los usuarios afectados tomaron medidas legales con el objetivo de esclarecer la situación.
Ahora, tal y como se hacen eco desde Ars Technica, en LinkedIn se han visto obligados a pagar 1 dólar a cada uno de los usuarios con cuentas premium afectados. A pesar de que se trate de una cifra ínfima, LinkedIn tendrá que desembolsar un total de 1,25 millones de dólares con los que pagar a los abogados y los distintos gastos administrativos, así como a los cerca de 800.000 usuarios afectados (que tenían cuentas premium entre marzo de 2006 y junio de 2012. Y para evitar futuros problemas, la compañía se ha comprometido a establecer mayores medidas de seguridad con las que evitar este tipo de problemas.
Las contraseñas son uno de los mayores dolores de cabeza de los departamentos de informática en las empresas. No solo tenemos millones de usuarios que usan «123456» como password para sus aplicaciones, también tenemos personas que cuelgan las contraseñas en papelitos al lado de los monitores, que gritan las claves por los pasillos, que las divulgan sin miedo por Whatsapp o teléfono… no existe una cultura digital que se adapte al ritmo de las necesidades en materia de seguridad, ni en el ámbito personal ni en el profesional.
Ahora Microsoft anuncia que habrá soporte para FIDO (Fast Identity Online) en Windows 10, lo que significa que será posible acceder al sistema sin necesidad de usar contraseñas. En fidoalliance.org podemos ver algunos detalles sobre lo que esto significa: uso de dispositivos usb, voz, reconocimiento de imagen o incluso de huellas digitales, para poder identificarse en las diferentes plataformas.
De momento no se han dado detalles sobre las aplicaciones que se integrarán para permitir un acceso de este tipo, aunque dado que hay otras empresas conocidas dentro del grupo FIDO (Samsung, Visa, PayPal, RSA, MasterCard, Google, Lenovo, ARM y Bank of America), es fácil imaginar lo que podremos disfrutar en un futuro cercano.
De momento ya han indicado que usarán este tipo de identificación para aplicaciones propias y de terceros, como Azure Active Directory, Office 365 Exchange Online, Salesforce, Citrix, Box y Concur.
Hasta el momento, la compañía de la manzana ya ofrecía la verificación en dos pasos para acceder al apartado de gestión del Apple ID. Posteriormente, añadió esta posibilidad a la web de iCloud, un movimiento que tuvo lugar poco después del escándalo de las fotos de las famosas. Ahora, la compañía de la manzana ha anunciado la inclusión de la verificación en dos pasos en iMessage y FaceTime, sus aplicaciones de mensajería y videollamadas, respectivamente.
Gracias a esta nueva y esperada medida de seguridad, si el usuario tiene ya activada la verificación en dos pasos, de ahora en adelante podrá asegurarse de que nadie pueda acceder a su cuenta de iMessage y FaceTime. Esto es posible ya que el usuario que intente acceder a su cuenta se verá obligado a introducir un código que se enviará al smartphone del propietario de la misma. Por ello, aunque una tercera persona se haya hecho con los datos de inicio de sesión (incluyendo la contraseña) no podrá iniciar sesión en iMessage o FaceTime si no está en posesión de la clave aleatoria que se enviará al smartphone del propietario. En los últimos meses son cada vez más las empresas que ofrecen medidas de seguridad adicionales como la verificación en dos pasos, algo que tal y como ya os hemos comentado en varias ocasiones en WWWhatsnew, resulta bastante conveniente utilizar. Sobre todo si tenemos en cuenta los cada vez más frecuentes ataques informáticos en los que se producen robos de información personal.
Por el momento, esta nueva medida de seguridad se está extendiendo de forma progresiva empezando por los usuarios de los Estados Unidos y Canadá. A pesar de ello, no debería de tardar mucho en aumentar su disponibilidad geográfica.
Ya os hemos hablado en varias ocasiones acerca de LastPass, el popular gestor de contraseñas. Ahora, la compañía responsable de su desarrollo ha anunciado que los usuarios de Mac podrán disfrutar de LastPass como aplicación independiente para Mac, de modo que no tendrán que acceder al servicio a través del navegador.
Por supuesto, la aplicación para OS X incluye todas las características disponibles en la versión web del servicio, aunque también cuenta con funciones adicionales que hacen de LastPass una opción a tener muy en cuenta. Por ejemplo, gracias a la función Búsqueda Rápida es posible acceder a todas nuestras contraseñas utilizando un atajo de teclado en nuestro Mac que abrirá un cuadro de búsqueda para facilitar el acceso a la información deseada. Además, podremos comprobar en cualquier momento la seguridad de nuestras contraseñas de un modo muy visual, así como obtener sugerencias personalizadas para modificarla en caso de que no sea todo lo segura que debería ser. LastPass para Mac ofrece también la posibilidad de consultar toda nuestra información sin conexión a Internet, ya que los datos estarán almacenados en nuestro ordenador. En el caso de hacer un cambio, este se sincronizará en los servidores de LastPass la próxima vez que volvamos a tener conexión.
Podéis descargar la aplicación de forma gratuita a través de la App Store.
Hace unas horas os hablamos de la distribución de un programa de hackeo de contraseñas en iCloud, programa que usa una serie definida de contraseñas para probarlas en las cuentas atacadas.
En este caso son 500 contraseñas, passwords que deben ser evitados tanto en iCloud como en cualquier otro sitio web, ya que es una lista ampliamente divulgada en Internet, una lista de «las contraseñas que gran parte de la población usa y que, tarde o temprano, funcionarán».
Cuando oímos que alguien invade una cuenta, o que datos privados son filtrados por «hackers», o que una empresa ha sido invadida, solemos pensar en grandes especialistas de seguridad usando varios ordenadores en paralelo con letras verdes sobre fondo negro, pero a menudo el problema es el uso de contraseñas comunes (no necesariamente «débiles»), y el poco conocimiento sobre seguridad de ciertas personas, que son capaces de decir su contraseña en voz alta, o por teléfono, si alguien con corbata o identificándose como «de soporte» se lo pide de forma educada.
Aquí os dejamos con la lista de «500 contraseñas que debéis evitar»:
Un usuario que actúa bajo el seudónimo de @Pr0x13 ha puesto a disposición de los usuarios, a través de la plataforma GitHub, el código de su herramienta de hackeo de contraseñas de las cuentas de usuario alojadas en el servicio de almacenamiento de archivos en la nube de Apple, iCloud, llevando como nombre iDict. El nombre ya puede dar pista del funcionamiento de esta herramienta, la cual realiza ataques de fuerza bruta de diccionario, afirmando además la capacidad de evadir la seguridad en la autenticación en dos pasos y limitación de velocidad de Apple disponibles en el servicio al objeto de prevenir ataques de fuerza bruta.
Hay que tener en cuenta que, aunque en un principio parece una herramienta peligrosa, en la práctica no lo es tanto, debido a la limitación de su diccionario para adivinar las contraseñas, disponiendo de una lista de 500 palabras que normalmente usan los usuarios como contraseñas, con lo que en este punto ya es cuestión del propio usuario ser más original. De este modo, si un usuario usa una contraseña obvia, como Password1, Fuckyou2, Password123, entre otras, tan sólo debería pensar en una contraseña menos común para utilizarla en este servicio.
El desarrollador de esta herramienta trata con la misma de probar que a pesar de las actualizaciones de seguridad recibidas desde que el servicio sufrió el ataque de fuerza bruta, el servicio sigue sin ser completamente seguro, quizás como toque de atención a Apple para que repare eficazmente el servicio en materia de seguridad antes de que pueda sufrir ataques incluso más serios, llegando a consecuencias nefastas.
@Pr0x13 señala hacia aquellos que deseen probar el código a que se aseguren primero de que su uso es legal en sus países, declarándose no responsable de cualquier daño que se cause en alguna cuenta de iCloud .
Tener un sistema que cambie de forma automática la contraseña que tenemos en decenas de sitios web (facebook, Amazon, Google, Twitter, LinkedIn y demás), y la sincronice en nuestros dispositivos para que no nos demos cuenta del cambio, puede ser el sueño de muchos.
Vemos en TNW que Dashlane ha comprado passomatic, producto que realiza esta función, para incluir la opción dentro de su plataforma. El objetivo de esta nueva función que están implantando en dicha plataforma de gestión de contraseñas es aumentar la seguridad de los servicios web que usamos, cambiando la clave de acceso para evitar que los posibles robos de contraseñas nos afecten más de lo debido. Al sincronizar este nuevo password con todos nuestros dispositivos, no notaremos que la contraseña ha cambiado, aunque será necesario tener Dashlane instalado en cada uno.
Los que usamos gestores de contraseñas estamos acostumbrados a no saber de memoria la clave de acceso de cada uno, por lo que una función de este tipo puede ayudar a garantizar, un poco más, que nuestros datos están seguros.
La versión beta de esta nueva función está disponible a partir de hoy para los usuarios pro de Dashlane, disponible para PC y Mac y con versiones móviles en camino. Podéis solicitar acceso a Password Change desde este enlace
La compañía de seguridad informática Symantec ha publicado en YouTube un video que explica un nuevo método que están ejecutando atacantes para acceder a la cuenta de email de cualquier usuario con apenas saber su número móvil y su dirección de correo, ¡nada más! Claro, se trata de un ataque de ingeniería social de lo más sencillo pero que podría afectar a más de una persona cercana que llegue a desconocer tales prácticas.
