Los riesgos del internet de las cosas: cuando los ciberdelincuentes pueden ‘hackear’ casi cualquier objeto

0
Los peligros de Internet de las Cosas

Los peligros de Internet de las Cosas

    En la era del internet de las cosas, cualquier objeto conectado es susceptible de ser controlado por ciberdelincuentes: móviles, cámaras, muñecos, coches. También infraestructuras críticas como la electricidad, el agua y el gas.
        La constante evolución del mundo online, que ya hace años abandonó la reclusión del ordenador de sobremesa para colarse en teléfonos móviles, relojes y casi cualquier objeto imaginable, plantea nuevos retos relacionados con la ciberseguridad.
        El increíble potencial del internet de las cosas es también un filón sin precedentes para los ciberdelincuentes, que ahora cuentan con infinidad de dispositivos susceptibles de ser hackeados. Ahora mismo, los hackers son capaces de intervenir y manipular desde teléfonos móviles y ordenadores hasta cámaras, máquinas de lotería, smart TV, juguetes con acceso a internet e incluso un coche conectado desde una distancia de 100 kilómetros. Estos riesgos serán el tema central del encuentro Mundo Hacker Day 2016, un evento relacionado con el internet de las cosas y la ciberdefensa que tendrá lugar el 27 de abril en Kinépolis, Madrid. Antes, el próximo sábado 16 a las 12 de la mañana en La 2, se emitirá el primer episodio de Mundo Hacker, el primero de 12 programas divulgativos de 30 minutos que, semana tras semana, ahondarán en estos temas.
        El objetivo tanto del encuentro como del programa es concienciar a usuarios, empresas y gobiernos de los riesgos de esta nueva era en la que la ciberdefensa ha cobrado nueva importancia. “Hace 13 años, esto era impensable. En el 2003, cuando querías hablar con alguien de seguridad, te dirigían a un tío con camiseta negra que estaba en el subsuelo tercero y hablaba de cosas que nadie entendía y que, por otro lado, a la dirección de la empresa no le importaba… y a los usuarios tampoco.
        La seguridad no le importaba a nadie. Poca gente tenía antivirus. Sin embargo, el mundo digital lo ha cambiado todo y, sobre todo, los móviles”, cuenta Mario García, director general de CheckPoint España y Portugal, una de las empresas participantes en Mundo Hacker Day 2016. García cuenta que el teléfono móvil se ha convertido en un elemento esencial de nuestra vida en el que se aúnan tanto lo profesional como lo personal y, aun así, se le presta menos atención que a otros dispositivos tales como el ordenador. “¿A ti se te ocurriría ir por Madrid con todo tu dinero en la cartera y con la declaración de la renta en el otro bolsillo?, ¿y el ordenador ese con el que haces la declaración es el que utilizas para conectarte a cualquier web guarra? Pues igual es que estás haciendo lo mismo.
        La gente no tiene ninguna cultura digital”, plantea. La gente no tiene ninguna cultura digital “De pequeño, tus padres te enseñan a qué barrios puedes ir, a qué hora tienes que volver a casa, con quién puedes hablar, a no coger caramelos de desconocidos… Los links en el Whatsapp son un caramelo, ¿quién te lo está dando?, ¿a dónde te lleva?, ¿por qué clicas? Si a un niño le enseñas que al salir de casa tiene que cerrar la puerta, ¿por qué no hacer lo mismo con el mundo digital? ¿Qué magia es la que os protege en el móvil para que no tengáis la mayoría de vosotros ningún sistema de seguridad montada en él y sin embargo en el ordenador a lo mejor sí tengáis un antivirus o un firework?”, pregunta el experto. Pablo Teijeira, director general de Sophos Iberia, también abunda en esta idea. Tejeira comenta que muchos de los dispositivos conectados ni siquiera traen por defecto la opción de usuario y contraseña. “Eso es como tirar un billete de 500 euros al suelo, ¿cómo no lo van a cogerlo los ciberdelincuentes? Otros a lo mejor sí traen contraseñas, pero es admin1234 y además no se puede cambiar. Vale, no has tirado un billete de 500, has tirado cuatro de 100”, bromea. “Sólo pedimos que la gente se fije al menos si tiene usuario y contraseña. Creo que no estamos pidiendo grandes avances en seguridad ni ninguna locura. Hace más de veinte años que en el mercado de la seguridad tenemos claro que hay que cumplir unos estándares mínimos, y muchos fabricantes del internet de las cosas están cometiendo errores que no se cometían desde los 90”, asegura Teijeira. Por este motivo, uno y otro experto piden concienciación, no sólo a los ciudadanos sino también a las empresas. “¿Y por qué las empresas? Porque si tus empleados están utilizando el internet de las cosas, indirectamente está presente en tu empresa, y para atacar una empresa lo más sencillo es atacar al eslabón más débil, que es tu empleado. A través de él van a poder entrar en tu empresa, con lo cual tanto unos como otros tienen que ser conscientes de los riesgos y de las soluciones que hay”, explica. Como ejemplo de los peligros para la empresa, Mario García relató la demostración que le hicieron a una compañía eléctrica española, a la que enseñaron cómo se hackeaba una presa para conseguir que, con valores normales no detectables, la barrera bajara tres metros de agua en vez de cinco, con el gran impacto económico que eso puede tener (de millones de euros al día). Además, al hacerse sin violar ningún sistema, la manipulación es muy difícil de detectar. Esto mueve más dinero que las drogas. Que la gente vaya tomando conciencia de lo que hay y tome medidas “Más sencillo. Puedo hackear tu móvil, ver tu agenda, descubrir que vas a tener una reunión importante a las 12, activar el micrófono a esa hora y escucharlo todo. Os prometo que es muy fácil de hacer, hackearle a alguien el móvil y escuchar las conversaciones es primero de hacking. No hace falta ser un gran hacker para hacer eso. En intenet te dan herramientas e incluso soporte de forma abierta para usarlas”, explica García. “Esto mueve más dinero que las drogas. Que la gente vaya tomando conciencia de lo que hay y tome medidas. Las redes sociales están muy bien y hay que utilizarlas, pero con cabeza.
        La información hay que saber dónde está y cómo la proteges, igual que lo haces en tu vida personal. En el mundo digital, lo más importante es tener un poquito de sentido común”, sentencia. Mónica Valle, presentadora del programa Mundo Hacker, pone otro ejemplo de la magnitud que está alcanzando el internet de las cosas: las centrales eléctricas hackeadas en Ucrania. “En el programa tratamos temas tan importantes como son las infraestructuras críticas, que son los sistemas que manejan servicios fundamentales para la ciudadanía como la electricidad, el agua y el gas, que están ahora mismo conectados a internet, y todo lo que está conectado es susceptible de ataques de ciberdelincuentes. Y está pasando. Hace unas semanas, en Ucrania, atacaron una central eléctrica y consiguieron dejar una zona sin luz durante unas horas”, cuenta. Como todos los demás expertos, Valle insiste en que la idea no es crear alarmismo sino alertar de los peligros para saber cómo protegerse.
        “Nuestra intención siempre ha sido concienciar sobre la importancia de la ciberseguridad porque creemos que todavía no existe esta conciencia. Todos usamos las nuevas tecnologías, las 24 horas al día estamos pegados a nuestros portátiles, a nuestros smartphones, a nuestras tablets, tenemos ya smartwatches, tenemos la tecnología pegada a nuestros cuerpos y no sabemos los riesgos que eso conlleva”, explica. “No queremos crear polémica ni una falsa sensación de inseguridad, no es eso, pero es que los riesgos realmente están ahí y no los conocemos. El programa quiere enseñar estos riesgos y también cómo nos podemos proteger los usuarios. Y también intentamos abrir los ojos a los Gobiernos y a las empresas, que tienen que hacer un poquito más en este sentido”, concluye. Antonio Ramos: “Ya tenemos una vida anexionada a la física que es digital” Antonio Ramos, experto en hacking y seguridad informática, es el presentador del programa Mundo Hacker y uno de los ponentes participantes del evento del próximo día 27 de abril. Uno de los tema principales del evento es la ciberdefensa, ¿por qué es ahora mismo un tema tan importante? Porque en verdad ha llegado el momento de tomarse muy en serio el quinto elemento, la red, como un escenario de un campo de batalla. Hace 300 y 400 años, ingleses y españoles nos peleábamos en el mar, por hacer valer nuestras armadas en el mar.
        Ahora, ya todo el mundo sabe que hay que tener un espacio en el ciberespacio como nación y generar una serie de capacidades, de defendernos de agentes hostiles tanto internos como externos así como tener una respuesta en ese nuevo medio, quizá el medio más rápido que jamás ha conocido la humanidad —el aire es rápido, internet mucho más—. Si estamos hablando de que hoy hay decenas de millones de dispositivos conectados, el internet de las cosas lo va a multiplicar por diez Hay dos temas candentes: la hiperconexión hacia la que va el mundo —si estamos hablando de que hoy habrá decenas de millones de dispositivos conectados, el internet de las cosas lo va a multiplicar por diez— y la ciberdefensa y los planes de ciberdefensa nacional, donde todos los servicios indispensables para el desarrollo de la raza humana están conectados a redes de ordenadores. ¿Cómo explica a alguien que apenas sabe lo que es el internet de las cosas cómo protegerse de sus riesgos? Un buen ejemplo son las muñecas estas que han salido que podías interferirlas y podías ver a los niños cuando se desnudaban en la habitación. Estaban hechas para tener un control parental, para vigilar a los niños, pero una persona malintencionada puede abusar de ello para estar viendo a tu bebé cuando le estás cambiando.
        Eso es el internet de las cosas, dispositivos que nos van a dar funcionalidades que podemos controlar con nuestros teléfonos y con nuestros ordenadores pero que alguien puede utilizarlos de mala manera para volver esas funcionalidades contra nosotros. Desde el punto de vista de la ciberseguridad, hay que entender que ya tenemos una vida anexionada a la física que es digital, y a veces tan importante como la vida física. Imagínate que anulan tus accesos bancarios, tus perfiles en redes sociales, tus accesos a la agencia tributaria, etcétera. ¿Qué significaría? Anularte como persona, desaparecerías. ¿Es posible hablar de todos estos temas sin meter miedo? La mejor defensa es conocer el mejor ataque. Si tú conoces las consecuencias bajo control de lo que puede suceder es cuando vas a tomar las medidas, la conciencia del problema que enfrentas. Si no, estás viviendo en un momento feliz. Somos capaces de replicar estas cosas, ver la connotación malvada que podrían tener y, en ese momento, rápidamente cambiar a la concienciación y ver qué cosas hay que hacer para que ese drama no te suceda a ti. Conocer qué es lo peor que te puede pasar es lo que te hace saber qué tienes que hacer o motivarte a conocer qué puedes hacer para que no seas una víctima. Hay que entender que ya tenemos una vida anexionada a la física que es digital ¿Cree que España está reaccionando bien a este nuevo panorama? Somos una de las primeras potencias económicas mundiales, entre las quince primeras, eso es verdad. Y se están haciendo cosas bien, como reconocer el ciberespacio como un elemento más de defensa, pero mi opinión personal es que tenemos una generación con una edad muy elevada que dirige los rumbos de este país, y a ellos les ha pillado muy mayores esto. Si es difícil concienciar a la gente de 25 o 30 años imagínate a personas cincuenta y ocho o cincuenta y nueve años. Muchos sienten aversión al cambio. Puede incluso interesarles el tema pero no entenderlo, con lo cual deciden dejarlo aparcado. En nuestro caso es una barrera generacional lo que se está enfrentando. Yo he trabajado en otros países donde en los gobiernos hay una edad media mucho más joven y esto va mucho más deprisa. Todo esto de las redes sociales, de la monitorización… lo tienen muy claro, el discurso es muy simple con ellos, pero su edad es 15 años o 20 años menor, lo justo. ¿Qué consejos daría a los ciudadanos de a pie para protegerse de los riesgos del internet de las cosas? Ver Mundo Hacker en televisión. En 12 capítulos van a ver un montón de riesgos y cómo evitarlos, es como hacer un curso. Depués, el sentido común.
        Las cosas que puedas extrapolar a tu vida real y no harías, tampoco las hagas en la vida digital. Pregúntate “qué estoy haciendo, por qué estoy introduciendo estos datos, qué me están pidiendo, cuál es la procedencia de esto, es seguro el sitio donde estoy…”. Sentido común, es lo mismo que utilizas en la vida diaria, esa es la primera capa de protección. Después ya hay herramientas, hay más conocimiento…

 

        FUENTE: http://www.20minutos.es
Anuncios

Alerta Flash Octubre 2015: Cómo y por qué debes eliminar Flash de tu navegador web

0

Es el año 2015, Flash no es indispensable para navegar por Internet, sin embargo, si no quieres abandonarlo para siempre te pedimos que consideres eliminar Flash de tu navegador al menos momentáneamente mientras se solucionan las graves vulnerabilidades descubiertas en los últimos días.

Si has estado al pendiente de la actualidad tecnológica lo más seguro es que te hayas enterado del escándalo de Hacking Team, básicamente una empresa que se dedica a a la vigilancia en Internet y es contratada por una gran cantidad de países del mundo para espiar a sus ciudadanos. Gracias a todas las filtraciones relacionadas con las operaciones de Hacking Team hemos podidoaprender mucho sobre la seguridad de nuestros datos y de nuestros dispositivos, y de como existen vulnerabilidades fácilmente explotables en los sistemas y servicios que usamos a diario. Uno de ellos es Flash.

La semana pasada conocíamos una vulnerabilidad en Adobe Flash presente en Internet Explorer, Chrome, Firefox y Safari que permite ejecutar código malicioso en los equipos de las victimas. Y, hoy nos enteramos de otras dos que siguen sin parche ni actualización, ambas al igual que la primera permiten la instalacíon y ejecución de código malicioso en tu PC. Tres huecos en Flash que ponen en peligro a cualquiera que lo use, otra prueba más de que esta tecnología debe ser dejada en el pasado de una vez por todas y para siempre.

Por qué no necesitas Flash

Hace años que en iOS y Android no hay soporte para Flash y nadie se acuerda de ello. Este legendario plugin no tiene precisamente la mejor fama, y es que siempre ha sufrido carencias en todos los aspectos posibles, y desde hace años que esperamos que sea completamente reemplazado por otras tecnologías. Flash va de salida, en pocos años es probable que ya nadie lo utilice, pero mientras tanto sigue siendo un blanco para crackers y otros entes maliciosos. Tener Flash instalado actualmente significa lamentablemente abrirle la puerta grande de tu ordenador a el malware.

La realidad es que puedes vivir felizmente sin tener Flash instalado en tu navegador. Es poco probable que vayas a conseguirte con algún sitio web moderno que lo requiera de manera escencial. Antes era imprescindible para ver vídeo, pero ya ni para eso lo necesitamos. Desde que YouTube y sitios similares implementaron sus reproductores en HTML5, Flash es cada vez más innecesario.

Eliminar Flash de tu navegador

Es importante que consideres eliminar Flash de tu navegador al menos momentáneamente mientras se solucionan las vulnerabilidades descubiertas en los últimos días. Luego si quieres puedes volver a instalarlo, aunque no lo recomendamos.

Chrome

eliminar flash

En el navegador de Google el plugin de Flash viene incorporado directamente y no requiere que el usuario lo descargue e instale por su cuenta como es el caso de IE y Firefox. Para desactivarlo escribe en la barra de dirección:chrome://plugins/ y haz clic en “Deshabilitar” bajo el ítem Adobe Flash Player. Esto funciona de la misma forma en cualquier sistema operativo: Windows, Linux, OS X.

Windows

eliminar flash

El plugin de Flash para navegadores como Internet Explorer, Firefox y Opera debes desinstalarlo desde el Panel de Control. Ve a el menú para Desinstalar un programa y selecciona todo lo que veas con el nombre de Flash y pulsa el botón Desinstalar. La cantidad de plugins varía dependiendo de que navegadores tengas instalados.

Internet Explorer

eliminar flash

No voy a juzgar, pero si usas este navegador en Windows 8/8.1 debes realizar un paso extra, pues después de Windows 7, Internet Explorer viene con elplugin de Flash incorporado. Abre IE, presiona el icono en forma de tuerca, haz clic en la opción Administrar Complementos. Abajo a la izquierda bajo la palabra “Mostrar” elige Todos los complementos. Selecciona Shockwave Flash Object y luego haz clic en deshabilitar en la parte inferior.

Linux

Dependiendo de que plugin instalaste y de qué forma, puedes abrir una terminal y escribir:

sudo apt-get remove flashplugin-installer

ó:

sudo update-pepperflashplugin-nonfree --uninstall

OS X

UN05

Descarga el desinstalador del plugin de Flash para Mac desde la web de Adobe y ejecútalo.

Firefox

Con desinstalar el plugin de Flash desde la lista de programas instalados es suficiente.

HIDDEN TEAR EL PRIMER RANSOMWARE OPEN SOURCE

0

¿Qué es un ransomware? 

El ransomware es el tipo de malware más peligroso de los últimos tiempos.

Cuando este malware infecta un ordenador genera una clave única que envía a los servidores del ciberdelincuente y comienza a cifrar los archivos del usuario. Cuando finaliza muestra un mensaje que indica que los archivos se han cifrado y que se debe pagar un rescate para recuperarlos o, de lo contrario, se perderán para siempre.

El código de los ransomware suelen ser privados y de código cerrado, estando sólo controladas por los los ciberdelincuentes, a diferencia de los demás, este, se distribuye como código abierto y sólo para fines educativos.

Como dice en el repositorio oficial del software: https://github.com/utkusen/hidden-tear sus principales características de Hidden Tear son:

  • Utiliza un cifrado AES para secuestrar los archivos del usuario.
  • Muestra un mensaje similar al que muestran las piezas de malware más peligrosas cuando la infección y el cifrado se completan.
  • Envía la clave de cifrado a un servidor remoto.
  • Genera un archivo de texto en el escritorio con el correspondiente mensaje.
  • Ocupa tan sólo 12KB.
  • Es indetectable por algunos antivirus actuales.

 

La forma de como detener el espionaje de Windows 7, 8, y 10

0
Espionaje Windows

¿Existe un plan para instalar Windows 10 tras las polémicas invasiones de minería de datos y privacidad de Microsoft en el sistema operativo?

Bueno, los usuarios de los sistemas operativos Windows 7 y Windows 8 deberían también estar preocupados porque el espionaje de Windows 10 se dirige ahora también a su camino.

Microsoft ha sido pillado instalando las últimas actualizaciones en ordenadores con Windows 7 y Windows 8 que efectivamente introducen las características de seguimiento en la recolección de la misma información y comportamiento del usuario usados en Windows 10.

Bajo las nuevas actualizaciones, los sistemas operativos indiscriminadamente cargan los datos a los servidores de Microsoft, lo que podría ser una de las principales preocupaciones de privacidad para muchos usuarios.

Actualizaciones Creepy

Las actualizaciones en cuestión son:

  • KB3068708 – Esta actualización introduce el servicio de seguimiento de diagnósticos y telemetría a los dispositivos existentes.
  • KB3022345 (reemplazado por KB3068708) – Esta actualización añade el servicio de rastreo de diagnósticos y telemetría a los dispositivos en el mercado.
  • KB3075249 – Esta actualización agrega puntos telemétricos para el control de cuentas de usuario (UAC) con el fin de recopilar datos sobre las elevaciones que vienen de los bajos niveles de integridad.
  • KB3080149 – Este paquete actualiza el servicio de rastreo de los diagnósticos y telemetría a los dispositivos existentes.

Estas actualizaciones recientes dadas a conocer por Redmond instalan “el servicio de rastreo de diagnósticos y telemetría” que es el componente más polémico del nuevo sistema operativo de Microsoft.

Una vez instalado, el servicio de rastreo de diagnósticos y telemetría inmediatamente comienza a llamar de casa a Microsoft incluso si los controles de privacidad están habilitados – al parecer sin ninguna opción para detenerlo.

windows-7-8-data-collecting

Estas cuatro actualizaciones se saltan las opciones de usuario almacenadas en los sistemas operativos Windows 7 y Windows 8 y, como señaló gHacks, inmediatamente comienzan a intercambiar tus datos con los siguientes dominios:

– vortex-win.data.microsoft.com
– settings-win.data.microsoft.com

¿Cómo evitar que Windows 7 y Windows 8 te espíen?

La pregunta más importante de los usuarios que están disconformes con estos cambios es: ¿Cómo los detengo?

La mejor forma de prevenir que Windows 7 y Windows 8 te rastreen es no instalar las últimas actualizaciones. A diferencia de Windows 10, las actualizaciones de Windows 7 y Windows 8 no son obligatorias, así que puede elegir no descargar las actualizaciones.

Sin embargo, si ya tiene instalado estas actualizaciones en su ordenadores, puedes eliminarlas completamente de tus sistemas y el sistema operativo no las reinstalará automáticamente sin su permiso.

Ir a Panel de Control > Ver actualizaciones instaladas > Eliminar las cuatro actualizaciones.

Si desea eliminar estas actualizaciones más rápido, puede iniciar una ventana de comandos con privilegios de administrador y escriba los siguientes comandos uno a uno:

wusa /uninstall /kb:3068708 /quiet /norestart
wusa /uninstall /kb:3022345 /quiet /norestart
wusa /uninstall /kb:3075249 /quiet /norestart
wusa /uninstall /kb:3080149 /quiet /norestart

Una vez hecho, puede hacer clic derecho en alguna de las actualizaciones mostrados en Windows Updatey elegir “Ocultar Actualización” para asegurarse de que estas actualizaciones no serán reinstaladas en caso de reiniciar el sistema operativo.

Alguien ha Secuestrado mis Likes

0

Facebook y el likejacking - Revista .Seguridad 25

En la actualidad, y  de acuerdo con la página tuexperto.com, Facebook cuenta con 1,390 millones de usuarios, lo que la convierte en la red social con mayor cantidad de adeptos; y por lo tanto resulta lucrativo a nivel personal y de negocio estar presente en ella.

Muchas empresas han visto en esta plataforma una clave esencial para su estrategia de comunicación ymarketing al hacer del botón “Me gusta”, también popularizado como “Like”, su arma predilecta.

Prueba de ello es lo que podemos observar en las agencias de marketing en línea, donde ofrecen a sus clientes la garantía de conseguirles miles de “Likes naturales” de compradores potenciales de sus productos.

Esta mecánica consumista del mencionado botón ha hecho que los cibercriminales se interesen en generar aplicaciones que logren “secuestrarlo”, permitiéndoles tomar el control de su uso en nombre del usuario.

A esta actividad maliciosa, los expertos en seguridad la han denominado “Likejacking”.

¿Qué es el Likejacking?

 

De acuerdo con Sophos, uno de los proveedores de servicios antimalware más reconocidos, el  Likejackinges una versión particular del ataque cibernético llamado Clickjacking[1], el cual tiene como objetivo “tomar el control de los clics del usuario en una página web, sin que éste lo sepa”[2].

Si en una página web esto tiene ciertas implicaciones, aplicado en el ambiente de Facebook, la actividad maliciosa persigue varios fines, entre los que podemos mencionar:

  1. Mercadológicos
  2. Informativos
  3. De pruebas de seguridad
  4. Daño a la reputación en línea
Secuestro de likes
Figura 1. Likejacking

¿Cómo funciona y cómo se propaga?

Para entender cómo funciona, comparemos al Likejacking con una trampa en el suelo de una selva. La capa superficial luce como la maleza verde del lugar, pero abajo hay un abismo en el cual cae la incauta presa. Es decir, esta actividad maliciosa opera como un botón de dos capas, la primera es idéntica a la del botón Like que todos conocemos, pero detrás hay un aplicación lista para tomar el control de tus clics.

Ahora que tenemos idea de cómo trabaja el Likejacking, es momento de saber cómo se propaga.

De acuerdo con el Reporte de Amenazas publicado por McAfee en febrero de 2015[3], esta trampa se puede difundir mediante los siguientes mecanismos:

  • Campañas de phishing.
  • El secuestro de buscadores, ya sea la página o los resultados que arrojan.
  • Servidores web con vulnerabilidades.
  • Bots para enviar por correo electrónico solicitudes de Like a “amigos” del usuario comprometido, quienes al oprimir el botón se vuelven automáticamente motor de la propagación.

También resulta ventajoso aprovecharse de los inocentes usuarios que se confían de cosas que parecen demasiado buenas para ser verdad, como acceso a:

  • Información trending-topic.
  • Aplicaciones de novedad.
  • Videos, música y games de moda.

Como podrás darte cuenta, los criminales cibernéticos que realizan el Likejacking resultan una especie de vampiros modernos, los cuales sólo podrán ingresar a tu cuenta si primero tú los dejas pasar.

Así que no es de sorprenderse que no exista sólo una variante de este tipo de ataques web. La empresa de soluciones antivirus Symantec tiene detectadas, de acuerdo a su Catálogo de Ataques[4], 38 diferentes firmas, entre las que se pueden mencionar:

  • Likejackingbotón general, el cual se usa para secuestrar y dar Like en cualquier contenido publicado en Facebook.
  • Likejacking dedicado para estafas en particular. Para ejemplificar este último, comparto el caso de uno de mis contactos en Facebook, quien fue víctima de un Likejacking dedicado a propagar una supuesta actualización de WhatsApp que lo haría gratuito si lograba un determinado número de Likes.
Likejacking dedicado a una estafa en particular
Figura 2. Likejacking dedicado a una estafa en particular

Cuando se daba clic sobre la publicación, redirigía a una página que pedía el número telefónico del dispositivo móvil del usuario, quien finalmente terminaba suscrito a un servicio Premium vía SMS, es decir, una modalidad de fraude en la que se realizan cargos en la factura o se consume el saldo de los usuarios.

Por ello, para Symantec “este tipo de ataques puede representar una seria amenaza de seguridad, ya que la acción maliciosa no sólo opera dentro de Facebook sino en otras páginas maliciosas, que en su mayoría permiten explotar el botón Like”[5], lo que puede extender los peligros que podrían afectar al usuario.

Algunos de los problemas más evidentes a los que te podrías enfrentar son:

  • Ser el portavoz de información inapropiada.
  • Daños a tu reputación en línea.
  • Suscribirte a sitios de los que realmente no te interesa saber nada.
  • Compartir tu información con personas que no quisieras.

Los ataques de Likejacking comenzaron a escalar en 2011, según evidenció el estudio realizado por Symantec durante el mes de agosto: “al analizar 3.5 millones de publicaciones de videos, se encontró que alrededor del 15 por ciento de este total fue identificado como ataques de  Likejacking”[6].

Algunos investigadores, como Chester Wisniewski, han coincidido que “una de las razones que han permitido que estos ataques operen es que Facebook no solicita ninguna confirmación cuando das clic en el botón Like, lo que prevendría potencialmente el ataque y su explotación activa”[7].

La detección oportuna de un Likejacking en tu cuenta de Facebook puede evitar que tu computadora se infecte con otros códigos maliciosos; por ejemplo, haciéndolo formar parte de una red zombi de computadoras desde la cual fácilmente pueden robar tu información personal y financiera.

Prevé el Likejacking

Afortunadamente, desde 2011 existen varias acciones que podemos tomar para prevenir caer en la trampa que representa esta técnica maliciosa; y mientras no llegue la mencionada “autenticación del botón Like”, te invito a seguir estos cinco pasos para mantenerte alejado del Likejacking:

  1. Es bueno ser samaritano y apoyar las causas, pero antes de dar Like a una página piensa: ¿realmente esa información te interesa y le darás seguimiento? Seguir miles de páginas es un factor de exposición de información y te vuelves un polo de atracción de los cibercriminales.
  2. Configura la privacidad y seguridad de tus cuentas, tal vez no exista la autenticación del botón Like, pero al menos puedes colocar filtros decisivos para que otras personas, incluso tus amigos, no puedan publicar en tu Biografía sin que des tu autorización. Esto será determinante para evitar propagar campañas de Likejacking y otras estafas.
  3. Al navegar en tu cuenta de Facebook, procura utilizar el modo Incógnito en Google Chrome,Inprivate en Internet Explorer o Ventana Privada en Mozilla Firefox, esto disminuirá la posibilidad de tener un exceso de rastreo mediante cookies.
  4. Evita, y si es posible prohíbetelo, navegar en tu cuenta de Facebook en computadoras de cibercafés, en estos equipos suelen existir distintos tipos de malware o usuarios maliciosos que buscan adueñarse de tu información.
  5. Utiliza alternadamente dos navegadores; uno para tu sesión en Facebook y otro para las demás actividades que realizarás. Si requieres abrir alguno de los enlaces que te comparten tus amigos o de las páginas que sigues, procura usar un tercer navegador.

Recuerda, no reconocer el problema no hará que éste desaparezca. Mantente alerta, es por el bien de tu cuenta y las cuentas de quienes te rodean.

Fuente: http://revista.seguridad.unam.mx/

 

La ciber-retorsión como opción defensiva ante ciberataques

0

Hoy día son cada vez más frecuentes los ciberataques (cybercrimen) que tienen como objetivo infraestructuras de medios de comunicación, empresas e instituciones de todo tipo e incluso gobiernos (cyberwarfare). Actualmente, por desgracia, el tiempo que transcurre entre un ciberataque y la atribución del mismo puede ser grande debido a la complejidad del proceso. Días, semanas o incluso más, como es el caso de un reciente ataque DDoS (Distribute Denial of Service) a un medio de comunicación digital español que ha llevado más de un año su atribución [2]. Esto hace que también la actuación de las autoridades para detener el ataque también se vea muy retrasada y tarde demasiado dejando a la víctima expuesta a un gran riesgo y/o sin poder desarrollar su actividad con normalidad con el consiguiente perjuicio económico a veces muy grande.

Esto hace que se plantee en la actualidad la siguiente cuestión: ¿es lícito que el atacado pase a contraatacar a su agresor para defenderse de un ciberataque?. Este contraataque es lo que se conoce como ciber-retorsión (active defense or strike-back technology or proactive cyber defence [3]).

ciberataque1

Pero cuidado, es muy fácil falsear el origen de un ataque (de hecho es la práctica habitual para que el atacante no sea descubierto), y en muchos casos extremadamente difícil simplemente identificar de donde viene el ataque (lo que se conoce como attribution issue), de modo que si la ciber-retorsión estuviese permitida y fuese legal, la empresa podría iniciar por error un ataque contra otra empresa inocente provocándole a su vez nuevos daños. Imaginemos un escenario en que una y otra vez la nueva víctima inicia a su vez una ciber-retorsión contra una víctima inocente falseada y esta a su vez hace lo mismo y este bucle se propaga y se repite una y otra vez (lo cual es muy sencillo y habitual en Internet). Podría darse la paradoja de que en vez de terminar con la amenaza podríamos echar abajo a miles de infraestructuras de comunicación inocentes provocando muchos daños y el caos en La Red.

No caigamos en el error frecuente en Seguridad de que ante una amenaza creamos un monstruo que nos trae muchos más problemas de seguridad que la propia amenaza.

Y hay alternativas. Como por ejemplo la creación de un organismo internacional, bajo el paraguas de la ONU por ejemplo, dotada de jurisdicción y cibercapacidad de acción, con oficinas por todo el mundo pero interconectadas y coordinadas entre si para una acción efectiva y rápida, que analice en tiempo real la ciberseguridad mundial e intervenga de forma muy selectiva con neutralidad y justicia en estos casos.  Pero nunca debe ser la propia empresa o el individuo por su cuenta. Esto nos llevaría al caos con infinidad de inocentes en riesgo como ocurriría en el mundo real no-cibernético si siguiéramos ese patrón de retorsión por nuestra cuenta.

Y hay otras alternativas como las estrategias y sistemas resistentes a ataques (cyber resilience), planes de contingencia, etc.

En España y otros países es delito el acceso no autorizado a equipos ajenos u obstaculizar su funcionamiento [4][5], y la ciber-retorsión eso justamente es lo que hace. No nos podemos enfrentar a un delito cometiendo otro delito, esto es elemental.

ciberataques-china-eeuu1-1024x463

España comparte con una buena parte de países el principio del monopolio de las estructuras estatales en el uso de la fuerza. Y aunque estas actividades haya quien las realice de forma ilegal, eso no justifica su validez.

En un reciente artículo sobre de Ángel Vallejo y Modesto Abad en CIBER Elcano [1] titulado “El avance de la ciber-retorsión” también plantea estas consideraciones pero llega a plantear la ciber-retorsión como una opción a considerar. Y propone como “remedio” al vacío legal acudir a la ley de legítima defensa, algo que de hacerse norma para justificar la ciber-retorsión nos llevaría como antes he comentado a situaciones caóticas y arbitrarias.

La seguridad es tarea de todos y no podemos conseguirla actuando cada uno por su cuenta.

 

Los autores del artículo afirman que “dado que las fuerzas y cuerpos de seguridad de los Estados no parecen tener capacidad real de proteger de manera pronta a sus ciudadanos, bien puede entenderse que concurren los requisitos legales reseñados”…. para usar la defensa propia con la ciber-retorsión.

Por otro lado el artículo plantea un escenario complicado de conseguir en la actualidad donde suponen que la víctima “ha logrado identificar a su atacante y se las ingenia para atacar la plataforma desde la que se le agredió, destruyendo la capacidad operativa de la misma”. Algo que como ya hemos explicado es muy complicado de conseguir en realidad con la certeza y el rigor que exige un asunto tan serio como lanzar un ciberataque contra otra institución o empresa que supuestamente es culpable solo según el criterio del atacado inicialmente. Estaríamos ante un terreno pantanoso y muy muy peligroso.

Los autores afirman que “… y en nuestra opinión, la ley debería decantarse del lado del ofendido”. Un planteamiento en mi opinión carente del suficiente rigor jurídico y ético que necesitan estas acciones.

El artículo califica de “aberrante” que la víctima simplemente denuncie y espere la actuación de las autoridades como, a todas luces, es justamente lo razonable que debe hacer cualquier víctima en cualquier ámbito.

Poniendo un poco de sensatez en este asunto, parece mucho más razonable que todos, y más aún desde los gobiernos de estados, nos tomemos en serio y en coordinación con el resto de la comunidad internacional la protección efectiva y la neutralidad de La Red, y siempre con la normativa legal internacional pertinente, y nunca al criterio de un individuo, una empresa o un gobierno que actúe por su cuenta. En este sentido algunos fórums están intentando plantear lo que se conoce como el futuro gobierno de internet o Internet Governance [6].

La seguridad es tarea de todos y no podemos conseguirla actuando cada uno por su cuenta.

Referencias:

[1] http://www.realinstitutoelcano.org/wps/wcm/connect/68979900485661a5a4b6b77939ebc85f/Ciber_Elcano_Num3.pdf?MOD=AJPERES&CACHEID=1431364739259

[2] http://politica.elpais.com/politica/2014/12/14/actualidad/1418559018_128006.html

[3] https://en.wikipedia.org/wiki/Proactive_cyber_defence

[4] Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (Vigente hasta el 28 de Octubre de 2015) http://noticias.juridicas.com/base_datos/Penal/lo10-1995.l3t1.html

[5] Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. http://noticias.juridicas.com/base_datos/Penal/549720-lo-1-2015-de-30-mar-modifica-la-lo-10-1995-de-23-nov-del-codigo-penal.html

[6] https://en.wikipedia.org/wiki/Internet_governance

Fuente: http://globbsecurity.com/