Etiqueta: Seguridad

Obama presentaría una propuesta de ley que obligaría a las empresas a informar en 30 días en caso de ataque informático

Publicado el 12 enero, 2015

Tras los recientes ataques a Sony, parece ser que en la Casa Blanca están decididos a hacer todo lo posible para que este tipo de situaciones afecten lo menos posible a los usuarios de los sitios web o empresas atacadas. El motivo es que, tal y como se hacen eco desde el New York Times, el presidente de los Estados Unidos estaría preparando un proyecto de ley con el que asegurarse de que las empresas americanas comunican con prontitud este tipo de ataques.

Tal y como ha indicado la fuente (que ha decidido permanecer en el anonimato) Obama daría a conocer todos los detalles acerca de este proyecto de ley durante el día de hoy en su discurso para la Comisión Federal del Comercio. El objetivo de esta medida es preservar la seguridad y privacidad de los datos de los usuarios que hayan podido estar expuestos a ataques informáticos, de modo que estos puedan cambiar sus contraseñas y asegurarse de que todo está correcto. Si finalmente se aprueba esta ley, las empresas americanas afectadas por un ataque informático en el que la seguridad de los datos bancarios de los usuarios esté en juego, tendrían la obligación de comunicarlo en un plazo de 30 días desde que se descubra la amenaza. De no hacerlo, se enfrentarían a posibles sanciones económicas.

Además, Obama podría presentar también una propuesta de ley adicional que impediría que las empresas utilicen los datos privados de los estudiantes obtenidos en las universidades y demás instituciones educativas con el objetivo de obtener un beneficio económico, medida que surgiría por el cada vez mayor uso de dispositivos electrónicos y conexiones a Internet en las aulas.

Fuente: The New York Times | Imagen: jamesomalley de Flickr.

Bitstamp vuelve a funcionar, después de perder 5 millones de dólares en bitcoins

Publicado el 9 enero, 2015

por Juan Diego Polo

19.000 bitcoins fueron robados de Bitstamp, el equivalente a 5 millones de dólares, manchando aún más la reputación de esta moneda que no llega a los 300 dólares por unidad hoy en día, después de haber llegado casi a los 1000 dólares hace un año, tal y como vemos en la curva de evolución de blockchain.info.

Suspendieron el servicio después de encontrar el agujero de seguridad que causó el robo, un problema que ya ha sido solucionado, según comentó el cofundador del proyecto, Damijan Merlak, a Reuters, vuelta que veremos durante el día de hoy.

Las 24 horas que dieron de plazo para volver a funcionar normalmente se han alargado bastante, por lo visto el problema era mayor de lo previsto, aunque no han dado explicaciones de los detalles de la «brecha». Aseguran que ningún cliente se verá afectado, y que han ampliado las normas de seguridad para evitar que algo así se repita en el futuro. Por lo visto la mayoría de los bitcoins los tienen «offline», por lo que solo se ha visto afectada una pequeña parte de todo lo que guardan.

Fueron «solo» cinco millones, mucho menos que l oque robaron el año pasado en Mt. Gox, pero el miedo que genera entre los usuarios tiene un valor mucho mayor.

Cookies capaces de rastrear a los usuarios en modo privado

Publicado el 8 enero, 2015

por Juan Diego Polo

En arstechnica.com han publicado un artículo explicando un agujero de seguridad que podría ser aprovechado para que algunas webs puedan rastrear la actividad de los usuarios incluso en modo «privado».

Muchos navegadores modernos incluyen la opción «privacy mode», modo privado, una forma de evitar que el histórico de navegación se guarde, de evitar que la publicidad sea personalizada, de evitar que las webs sepan lo que hemos visitado anteriormente… un sistema «privado» que puede burlarse con este nuevo agujero, aunque han actualizado la entrada diciendo que la última versión de Firefox ya la ha cubierto para evitar que se produzca la invasión de privacidad.

Estas «súper cookies» aparecen cuando se usa el HTTP Strict Transport Security (HSTS), protocolo que se utiliza para aumentar la seguridad enviando al usuario hacia la versión HTTPS del sitio. Durante ese cambio automático se podrían generar estas nuevas cookies que ayudarían a identificar la actividad del usuario.

De momento parece que solo Internet Explorer se salva, ya que no tiene soporte para la tecnología HSTS, aunque ya que en Firefox han trabajado para evitar el problema, seguramente las próximas versiones de los navegadores estarán libres del mismo.

Por otro lado es importante tener en cuenta que son los dueños de las webs los que deben aprovecharse de este error, ya que si no hay malas intenciones, nuestras privacidad seguirá garantizada.

Roban 5 millones de dólares de Bitstamp, un sitio web de intercambio de bitcoins

Publicado el 6 enero, 2015

por Sergio Asenjo

Si todavía nos estamos recuperando de la polémica surgida tras los ataques informáticos a Sony, todo parece indicar que nos encontramos ante el primer ataque informático del año. En esta ocasión, hablamos del sitio web esloveno de intercambiocambio de Bitcoins conocido como Bitstamp, que tal y como anuncia en su página web ha sufrido un importante ataque que ha permitido el robo de una gran cantidad de dinero.

Actualmente, si tratamos de acceder al sitio web únicamente veremos un mensaje de advertencia en el que se informa de la situación a los usuarios del servicio, ya que la compañía ha cerrado la web por seguridad hasta que todo se solucione. Al parecer, el ataque informático habría provocado el robo de alrededor de 19.000 bitcoins, que equivalen a 5 millones de dólares si tenemos en cuenta que el valor aproximado de un bitcoin es de 270 dólares. A pesar de la gran cantidad de dinero robada, Bitstamp afirma que se trata de una mínima parte reservada a transacciones diarias, ya que el resto de los fondos se encuentran almacenados en ordenadores sin conexión a Internet a los cuales no es posible acceder desde el exterior. De haber algún usuario afectado, desde Bitstamp afirman que los fondos serán devueltos en su totalidad, por lo que no hay que temer por ello.

Por el momento, se desconoce cualquier detalle acerca de la autoría de los hechos, aunque ya se está trabajando junto a las autoridades de Eslovenia para averiguarlo.

Fuente: ZDNet.

Las 500 contraseñas que tienes que evitar en iCloud (y en cualquier lugar)

Publicado el 2 enero, 2015

por Juan Diego Polo

Hace unas horas os hablamos de la distribución de un programa de hackeo de contraseñas en iCloud, programa que usa una serie definida de contraseñas para probarlas en las cuentas atacadas.

En este caso son 500 contraseñas, passwords que deben ser evitados tanto en iCloud como en cualquier otro sitio web, ya que es una lista ampliamente divulgada en Internet, una lista de «las contraseñas que gran parte de la población usa y que, tarde o temprano, funcionarán».

Cuando oímos que alguien invade una cuenta, o que datos privados son filtrados por «hackers», o que una empresa ha sido invadida, solemos pensar en grandes especialistas de seguridad usando varios ordenadores en paralelo con letras verdes sobre fondo negro, pero a menudo el problema es el uso de contraseñas comunes (no necesariamente «débiles»), y el poco conocimiento sobre seguridad de ciertas personas, que son capaces de decir su contraseña en voz alta, o por teléfono, si alguien con corbata o identificándose como «de soporte» se lo pide de forma educada.

Aquí os dejamos con la lista de «500 contraseñas que debéis evitar»:

Continúa leyendo «Las 500 contraseñas que tienes que evitar en iCloud (y en cualquier lugar)»

unfurlr, para saber lo que oculta una url acortada

Publicado el 2 enero, 2015

por Juan Diego Polo

Son millones las urls que se divulgan en las redes sociales usando owly, t.co, bit.ly o cualquiera de los cientos de «acortadores» de urls existentes en la web. A esa colección hay que añadir las propias de diversos sitios web, como el wwhts.com que usamos en WWWhatsnew, por ejemplo, la gran mayoría de ellos realizados con el servicio de bitly Pro.

El caso es que esta invasión de urls ocultas permite también que se distribuya malware de forma sencilla, ya que no sabemos el destino del link hasta que no hemos pulsado en él. Si alguien recibe un email con un texto: «pulsa aquí para acceder a tu cuenta de facebook bit.ly/jhfs45«, puede ser llevado a una página falsa o a un archivo que puede poner en peligro la salud de sus datos.

Para ayudar a evitar esa situación podemos usar unfurlr.com, una aplicación en la que es posible informar la url que queremos analizar y ver hacia donde apunta, usando para ello varios agentes, ya que podemos ver el destino en función del navegador o dispositivo usado en el click.

Después de indicar la url veremos una lista de enlaces y, al final de la misma, un informe que ayuda a determinar la seguridad del destino, usando para ello el check de macafee.

Unfurlr es una herramienta de MailChimp, con aplicaciones móviles disponibles tanto para android como para iOS.

Nuevo estudio indica que 80% de las visitas en la red Tor son de sitios con pornografía infantil

Publicado el 1 enero, 2015

por Juan Diego Polo

Aunque no hay que fiarse mucho de este tipo de estudios, no deja de ser curioso el resultado mostrado en la Chaos Computer Club Conference, en Hamburgo, según el cual el 80% de las visitas que se realizan en sitios web exclusivos de la red Tor son de pornografía infantil.

Los investigadores responsables por el estudio examinaron aproximadamente 40.000 diferentes servicios ocultos en Tor, y encontraron los sitios de pedofilia como grandes protagonistas en dicha red. Aunque solo representan un 2% del total de contenido en Tor, también representaban el 80 por ciento de las solicitudes.

No hay como saber si ese 80% de visitas realizadas son miles de seres humanos o algunos cientos que realizan miles de peticiones por día, ni siquiera es posible identificar si son humanos o robots que monitorizan el contenido (algo que podría ser realizado por las autoridades, por ejemplo, para capturar a los responsables).

Las conclusiones que dan tanto en The Verge como en The Guardian o en Wired son semejantes: no se puede concluir nada hasta no analizar mejor el origen de esas visitas, aunque eso es una tarea realmente complicada en una red en la que el anonimato es el principal protagonista.

Venta de drogas y pornografía infantil, parece que muchos estudios siguen queriendo mostrar únicamente la cara oscura de Tor, aunque es importante recordar que incluso Facebook ha lanzado una web en esta red para que pueda visitarse su plataforma desde el anonimato.

Imagen: shutterstock.com

app android que promete bajar la película «The interview» en realidad roba datos bancarios

Publicado el 31 diciembre, 2014

por Juan Diego Polo

Aparece por Corea del Sur una aplicación android que se divulga como «la que tienes que instalar para bajar la película The Interview», aplicación que, en realidad, es un troyano conocido por robar datos bancarios de dicha región y de Citibank. Se trata del malware Android/Badaccents, troyano que ya ha engañado a aproximadamente 20.000 personas con dicha aplicación.

Los detalles, divulgados en grahamcluley.com, indican que el malware se aloja en Amazon Web Services. El problema fue identificado por McAfee, quien ya ha entrado en contacto con Amazon para intentar eliminar el archivo lo más rápido posible.

Lo curioso es que con todo el ruido que ha hecho la película, en la que acaban asesinando al líder de Corea del Norte, Kim Jong-un, no hayan creado un sistema sencillo de acceso a la película desde cualquier parte del mundo. El lanzamiento fue en Estados Unidos, no hay doblajes, y en seetheinterview.com solo se puede ver y pagar desde Estados Unidos y Canadá, lo que genera ansiedad desde otros países y oportunidades para distribuir malware de este tipo.

«The Interview» recauda 15 millones de dólares de forma online, 5 veces más que en salas de cine

Publicado el 28 diciembre, 2014

por Juan David Quiñónez

Mencionamos el 23 de diciembre que pocas -fueron finalmente más de 300- salas de cines iban a estrenar The Interview, película de la discordia que ha causado tanto revuelo por su historia “antinorcorea” y por ser la causante del reciente hackeo a Sony Pictures. Asimismo, el 24 compartimos la importante noticia de que se aseguró su lanzamiento online en Google Play, YouTube (incluyendo Apple TV) y Xbox, todos desde el día de navidad. El único que faltó a la fiesta fue iTunes quien solo hasta esta tarde se unió a la lista de servicios en línea desde los que se puede rentar o descargar (de forma paga).

Pues bien, The Hollywood Reporter y la revista Variety destacan las cifras que hasta hoy la película ha conseguido en sus rentas y ventas en línea: más de 15 millones de dólares. Para hacerse una idea de la cantidad, las 331 salas independientes que decidieron proyectarla, en su totalidad han conseguido 2.8 millones de dólares en taquilla, un extraordinario hito por su naturaleza de comedia. Sin embargo, la sorpresa se sale de este mundo con lo hoy publicado pues se muestra como la “película online” más exitosa en la historia de Sony Pictures. Claro, no cuenta con precedentes, pero al parecer se hace referencia a tal título por su capacidad de recaudación en toda la red, y eso que es apenas su primera semana.

Lo interesante, además de que se comenta que la mayor parte de los ingresos se han conseguido a través de YouTube y Google Play Movies, y que todas las ganancias se limitan a territorio canadiense y estadounidense, es que seguramente The Interview se presenta como la primera película de renombre -o al menos generada por una productora mundialmente reconocida, en este caso, Sony Pictures– que sale simultáneamente en salas de cine y en la red, por lo que serán muchas más las que se considerará lanzar con similares características.

Mejor dicho, parece establecerse hoy un nuevo género, un nuevo y taquillero método de distribución de películas que tratará de callar a quienes piensan que todo lo compartido en la red solo genera perdidas “pues solo piratas la navegan”.

Grupo de hackers asegura que puede obtener huellas digitales a partir de fotografías

Publicado el 28 diciembre, 2014

por Juan Diego Polo

Tal y como hemos visto en una infinidad de películas, es relativamente simple obtener huellas digitales a partir de un cristal que haya sido tocado por el sujeto investigado, pero es la primera vez que oímos hablar de una técnica que podría obtener dichas huellas a partir de simples fotos.

La información llega desde CCC (chaos Computer Club), un conocido grupo de hackers europeos que ayuda a identificar problemas de seguridad en los sistemas utilizados actualmente.

En el evento, que se transmitió en streaming.media.ccc.de, se muestra cómo se obtuvieron huellas dactilares de personas durante eventos públicos con la ayuda de una cámara de fotos normal. Estas huellas se podrían utilizar para la autenticación biométrica, por lo que representa un riesgo importante, ya que podría usarse para identificarse en teléfonos móviles, puertas y otros sistemas que usan la huella digital como ID único.

Comentan que después de la charla los políticos querrán usar guantes cuando se habla en público, por lo que parece que el sistema de extracción de la información es bastante más sencillo de lo que podría parecer. De hecho demostraron que obtuvieron las huellas de la ministra de defensa de Alemania, Ursula von der Leyen, usando un par de fotos de la misma, según explican en venturebeat.

Por supuesto, las fotografías tomadas tienen que tener buena resolución y deben ser realizadas desde diferentes ángulos, aunque esos requisitos no son difíciles de cumplir hoy en día.

Imagen shutterstock.com