Etiqueta: Seguridad

81% de los usuarios de Tor pueden ser rastreados sin problemas

Publicado el 17 noviembre, 2014

Cuando uno piensa en Tor piensa en anonimato, en una forma de comunicar sin posibilidad de ser rastreado. Esa característica de la red Tor ha hecho que sea también un lugar ideal para el comercio de artículos y trabajos polémicos (desde drogas y armas a contratación de servicios de todo tipo), aunque en los últimos días los pilares del anonimato Tor se están destrozando con noticias como la que han publicado en thestack.com.

Una investigación realizada entre 2008 y 2014 indica que más del 81% de los clientes de Tor puede ser rastreados, desenmascarados, ya que su IP puede ser averiguada sin muchos problemas gracias al análisis de software en roteadores de diversas marcas.

El profesor Sambuddho Chakravarty, en India, es uno de los responsables por este «descubrimiento», con varios artículos publicados durante los últimos años en los que se confirman las sospechas: Tor no es tan anónimo como quieren hacer pensar.

La técnica utilizada, detallada tanto en el artículo de thestack.com como en sus publicaciones, muestra que no se trata de un método pasivo que permita obtener datos de cualquier usuario, se trata de una técnica de ataque que puede usarse para descubrir actividades «sospechosas» dentro de Tor. En reddit lo comparan al hecho de sospechar de un ladrón y confirmarlo con la identificación de sus huellas digitales, por lo que no hay que temer si no se realizan actividades que puedan considerarse un delito.

Everykey, una pulsera que permitirá llevar todas tus contraseñas en la muñeca, busca financiación

Publicado el 10 noviembre, 2014

por Sergio Asenjo

Hoy os mostramos uno de esos proyectos que, por su peculiaridad, despiertan el interés de los usuarios de Kickstarter. Hablamos de Everykey, un wearable que permitirá llevar todas tus contraseñas en la muñeca.

Continúa leyendo «Everykey, una pulsera que permitirá llevar todas tus contraseñas en la muñeca, busca financiación»

Estudio de Google: Datos e infografía sobre la suplantación de identidad (phishing)

Publicado el 6 noviembre, 2014

por Juan David Quiñónez

Siendo Gmail uno de los servicios de correo electrónico más populares del mundo, los ataques de phishing o suplantación de identidad los cuales buscan quedarse con las cuentas de los usuarios a través de correos maliciosos que simulan ser de fuentes verídicas para inducir a las víctimas a ingresar datos personales y financieros en formularios y páginas clonadas, son todo un dolor de cabeza para el equipo de Google.

Por ello, han publicado hoy en uno de los blogs de seguridad de Google un reporte de un estudio con datos referidos al phishing, las formas en que la compañía trabaja para evitarlo y algunos tips sencillos para disminuir la probabilidad de sufrir por este tipo de fraude. De paso, comparten una colorida infografía (da clic sobre la imagen para verla en su tamaño original). En fin, podemos hacer un breve resumen con lo comunicado:

Datos y lucha contra el phishing:

«Tras la líneas enemigas» titula el artículo informativo donde se analiza el trabajo actual -del que dicen ya ha conseguido reducir en un 99% de ataques en comparación a años anteriores-, datos llamativos y un compendio de nuevas ideas de los delincuentes: 9 ataques de hackeo manual (persiguiendo personas a fondo) por millón de usuarios diarios, un 45% de eficiencia en engaño respecto a sitios web falsos (1 de cada 2 usuarios se «come el cuento»), 36% de aumento en la probabilidad de sufrir una suplantación de identidad vía cadenas de SPAM si se está en la lista de contactos de otro usuario ya «atrapado», e información sobre el tiempo suficiente, de 20 a 30 minutos, para aprovechar las cuentas secuestradas y quedarse con el dinero permitido por los datos recogidos en ellas.

El 1, 2 y 3 de la Protección:

Mantente vigilante, usa el sentido común y procura no acceder a formularios de login o responder con datos personales desde el email; Activa la recuperación inmediata a través de un número móvil u otro correo configurándolos desde el panel de seguridad de las cuentas de Google; Y finalmente, utiliza la verificación en 2 pasos para ponérsela más difícil a los atacantes limitando sus posibilidades a través del control del acceso mediante códigos enviados a dispositivos móviles propios.

Para más información visita Google Online Security Blog y la Ayuda de Google.

SalientEye, aplicación android para capturar «movimientos sospechosos»

Publicado el 6 noviembre, 2014

por Juan Diego Polo

Aunque la idea de SalientEye no es nueva, sí está ejecutada de una forma bastante práctica e intuitiva. Se trata de una aplicación que podemos instalar en nuestro dispositivo android para transformarlo en una cámara de seguridad en nuestra casa.

Solo tenemos que dejar el móvil, con la app instalada y ejecutándose, en el rincón de nuestra casa que queremos vigilar. Cada vez que la cámara del móvil detecte movimiento, realizará fotos y las enviará por email, enviará SMS y emitirá un sonido para «asustar» al ladrón (esa opción puede configurarse, para evitar que suene en caso de que así lo deseemos, ya que en muchos casos correremos el riesgo de que el ladrón se lleve también el móvil).

Prometen que es capaz de funcionar hasta 10 horas seguidas usando la batería, por lo que el consumo no es excesivo, algo importante en esta categoría.

En la última versión, lanzada hace dos días, remarcan que la app es gratuita, sin anuncios

En febrero de este año escribimos un artículo con el título Cómo transformar un iPhone o un Android en una cámara de seguridad, con opciones existentes tanto en google play como en iTunes.

Facebook comienza a dar soporte al acceso seguro vía Tor

Publicado el 31 octubre, 2014

por Fco. José Hidalgo

A pesar de todas las medidas de seguridad que ha tomado Facebook para facilitar a los usuarios el uso de sus servicios de forma segura, ahora la propia red social presta atención a los usuarios que acceden a su plataforma a través de la red Tor mediante un nuevo experimento que acaba de poner en marcha, buscando mejorar la experiencia en cuanto a la accesibilidad y seguridad. Para ello, disponen de una URL .onion, facebookcorewwwi.onion, la cual se podrá usar sólo a través de navegadores compatibles con la red Tor, por la que los usuarios que acceden a Facebook a través de Tor no perderán las protecciones criptográficas ofrecidas por este acceso.

Según continúa Facebook señalando en su anuncio, la idea es que la dirección onion de Facebook conecte a dichos usuarios al núcleo WWW de la infraestructura de Facebook, ofreciendo una comunicación de extremo a extremo, desde el navegador directamente a un centro de datos de Facebook. Indica que han decidido usar la capa de seguridad SSL en la parte superior de este servicio por cuestiones arquitectónicas.

Facebook apunta a que como resultado, ha proporcionado un certificado SSL en su dirección onion que elimina la advertencia de certificado SSL en el navegador Tor, aumentando así la confianza de este servicio que realmente está dirigido por Facebook. La propia red social considera este experimento como una solución novedosa, que sirve de punto de partida adecuado para la discusión, esperando que con el tiempo puedan compartir algunas de las lecciones que hayan aprendido con dicho experimento.

Más adelante, incorporarán el mismo soporte a su web móvil mediante una dirección onion.

Chrome OS ya permite desbloquear las laptops acercando nuestro móvil Android

Publicado el 22 octubre, 2014

por Juan David Quiñónez

En el evento para desarrolladores Google I/O 2014 se mencionó, entre las muchas características que traería Android Lollipop -hasta ese momento solo Android L-, la posibilidad de desbloquear dispositivos con solo acercarlos unos a otros. Así pues, sería posible desbloquear el móvil a través de un reloj inteligente con Android Wear, o bien, valerse del móvil para que al acercarlo a un Chromebook u otra laptop con Chrome OS, estos últimos consiguieran ser desbloqueados de inmediato.

Pues bien, el nombre de la funcionalidad, Easy Unlock, se confirmó hace pocos días con el lanzamiento de Google Play Services 6.1, pero solo hasta ahora se han compartido datos y capturas de como luce. Dan Campbell ha sido uno de los primeros en probar la novedad y publicar en Google+ su experiencia, en particular, bastante fiel a los datos filtrados previamente por varios medios especializados: El proceso es tan sencillo como desbloquear el móvil Android y ver de inmediato una ventana de notificación, tanto en el móvil como en el Chromebook/laptop, sobre la inminente conexión por proximidad y el posible desbloqueo de los portátiles.

¿Y cómo funciona? Varios requisitos se han cumplido para que pudiera funcionar el experimento, aunque vale destacar que lo más probable es que los límites tiendan a mermar con el tiempo: Un móvil con la versión de prueba de Android 5.0 Lollipop, un Chromebook conectado al canal Dev de actualizaciones, y finalmente Bluetooth 4.0/Low Energy (BLE). En fin, la magia estaría en este último y en las conexiones especiales permitidas entre dispositivos con el software de Chrome. Respecto a la parte visual, una ventana saltaría en el Chromebook, siempre que esté desbloqueado el móvil -de lo contrario no funcionaría pues se facilitaría el acceso a cualquier intruso- para que con un clic se active la sesión. [Fuente: OMGChrome]

Google presenta un nuevo sistema de seguridad para evitar invasión de cuentas

Publicado el 21 octubre, 2014

por Juan Diego Polo

Desde Google presentan ahora un nuevo sistema que mejorará la seguridad a la hora de acceder a nuestra cuenta. Se trata de un nivel de protección aún más fuerte: La clave de seguridad, clave que funciona con un dispositivo USB que ayudará a verificar que el sitio de inicio de sesión es realmente de Google, no un fake que quiere robarnos los datos.

En este caso no hay que escribir códigos, solo incluir la clave de seguridad en el puerto USB y pulsarla cuando Chrome lo pida.

Sobre el protocolo usado, comentan:

La clave de seguridad y Chrome incorporan el protocolo abierto Universal 2nd Factor (U2F) de la Alianza FIDO, por lo que otros sitios web con sistemas de inicio de sesión pueden hacer que U2F funcione en Chrome. Tenemos la esperanza de que otros navegadores añadan también el soporte FIDO U2F.

Para poder usarlo hay que comprar un dispositivo USB compatible directamente a los proveedores U2F participantes. Podéis obtener más información en este enlace.

Dropbox borra por error algunos archivos de ciertos usuarios

Publicado el 13 octubre, 2014

por Juan Diego Polo

Malas noticias para Dropbox han empezado a divulgarse por la web.

Comentan en news.ycombinator.com que varios usuarios han reclamado a la compañía al percibir que algunos de sus archivos han desaparecido, un error posteriormente identificado y solucionado, existente en la función de sincronización selectiva en algunos clientes antiguos de Dropbox.

Al cerrar o reiniciar estas versiones, con la sincronización selectiva activada, los ficheros desaparecían de la nube, y en Dropbox han estado trabajando para intentar recuperarlos, ya que es fácil para ellos identificar dónde se ha producido el problema

Según el email que han enviado a los usuarios afectados, divulgado en engadget, hay algunos casos en los que no se ha podido recuperar la información.

Para evitar que vuelva a suceder han realizado tres acciones:

– Han parcheado su cliente de escritorio para eliminar el problema inmediato.
– Se han asegurado que todos los usuarios ejecutan una versión actualizada del cliente de Dropbox.
– Han retirado todas las versiones afectadas del cliente de Dropbox para que nadie pueda utilizarlo.

A los usuarios afectados se les ha regalado 1 año gratuito de Dropbox Pro, aunque estoy seguro que perder archivos guardados en un supuesto paraíso de la seguridad y la fiabilidad no es algo que se pague con un año de un plan Pro.

Cómo hacer pruebas de seguridad en tu sitio web de forma gratuita

Publicado el 10 octubre, 2014

por Juan Diego Polo

Si tenemos un sitio web y queremos analizar los posibles agujeros de seguridad del mismo, lo mejor es contratar a un experto en la materia que pueda hacer un estudio completo que ayude a mejorar las defensas ante hackers; pero si queremos hacer unas primeras pruebas sin tener que rascarse el bolsillo, hay algunas opciones que podemos probar antes:

– webcheck.me: Realiza un análisis superficial para detectar malware, virus, agujeros XSS y problemas de SQL injections. No requiere demostrar que el sitio web escaneado es nuestro (algo común en este tipo de herramientas), pero tampoco realiza un examen muy serio. Si el informe de webcheck sale negativo, es porque realmente hay un gran problema en la programación del sitio.

– acunetix.com: Obtiene un informe extremadamente completo, pero solo es gratis durante 14 días. Es necesario, incluso en esos 14 días, demostrar que somos los propietarios del sitio web que queremos analizar.

– websecurify.com: Una suite de herramientas que podemos usar para realizar pruebas de todo tipo. Hay opciones de pruebas gratuitas, pero es necesario informar la tarjeta de crédito en todas ellas para que se realice el pago una vez finalizada la prueba (en caso de querer continuar).

– detectify.com: Una de mis opciones preferidas, con una opción gratuita para proyectos personales y ONGs. Tiene un panel de control bastante completo que muestra todos los problemas detectados, realizando tests de varios tipos (más de 140 pruebas, incluyendo XSS). Os hablamos de esta solución hace pocas semanas, con capturas de pantalla de su panel.

– securitycompass.com: Tiene varias extensiones para Firefox que podemos usar para realizar pruebas rápidas, sin necesidad de registro en los formularios y sitios web que tenemos abiertos. Es una de las soluciones más prácticas, ya que no necesita crear cuenta ni verificar que el sitio es de nuestra propiedad.

Si conocéis alguna más, podéis incluirla en los comentarios.

La app de OneDrive para iOS ahora soporta Touch ID y PIN de bloqueo

Publicado el 8 octubre, 2014

por Juan David Quiñónez

La aplicación de OneDrive, el servicio de almacenamiento en la nube de Microsoft, ha recibido una actualización en su versión para iOS. Sus novedades están enfocadas a los iPhone y iPad con iOS 8, particularmente, el iPhone 6 y el iPhone 6 Plus que cuentan con pantallas de gran tamaño además de que mantienen el Touch ID que será de utilidad para las nuevas opciones de seguridad.

Para el tema de seguridad es clave que el guardar nuestros archivos en un servicio online no evita que baste conseguir acceso al dispositivo físico que los contiene, en este caso smartphones y tablets, para visualizarlos, reenviarlos, eliminarlos, etc. Pues bien, OneDrive ahora soporta PIN codes y Touch ID: El primer recurso permitirá habilitar una pequeña contraseña que establecerá una barrera adicional en la pantalla principal de OneDrive para que no sea posible visualizarlos y mucho menos manipularlos libremente; La opción restante posibilitará el autenticarse con la huella dactilar consiguiendo así un nivel de protección superior.

La interfaz también se ha optimizado para las nuevas pantallas aprovechando mucho mejor el espacio disponible para mostrar más carpetas y archivos en simultáneo, y el editor de documentos de Office en un formato más extenso. Igualmente se ha adicionado una característica esencial para la gestión eficiente de los archivos y es el poder ordenarlos según reglas básicas como nombre, fecha y tamaño.

En fin, sigue Microsoft enriqueciendo sus apps poniendo en práctica las sugerencias que los usuarios suelen dejar en UserVoice, un portal especializado donde cualquiera puede publicar sus comentarios y solicitudes de características. Por cierto, aún se mantiene la promoción de 15 Gb de almacenamiento gratuito extra en OneDrive, disponible también para usuarios de Android, Windows y Windows Phone, con solo activar la subida automática de imágenes al servicio para su backup.

Más información: Blog oficial de OneDrive – OneDrive en la AppStore