Los doce timos de la Navidad 'online'

Ahora que se acerca la Navidad y que hasta el correo electrónico empieza a llenarse de ofertas para regalar, la compañía de seguridad McAfee publica los doce timos más comunes e importantes en estas 'señaladas fechas'.

"Los ciberdelincuentes siguen las tendencias de cada época y crean sitios web relacionados con ellas, timos y correos electrónicos con los que pueden engañar, incluso, a los usuarios más cautos", señala el vicepresidente de McAfee Labs.

Doce advertencias

En primer lugar, la empresa americana advierte de lo que dice que es "'phising' de caridad", que no son más que páginas falsas iguales que las de organizaciones de caridad reales y que buscan robar información de tarjetas de crédito para apropiarse de las donaciones.

Por otra parte, apunta hacia los correos electrónicos supuestamente procedentes de compañías tipo FedEx que solicitan información confidencial del usuario (también datos de las tarjetas de crédito), para confirmar que son correctos.

Además, advierte de las solicitudes de amistad en el correo electrónico que parecen proceder de redes sociales, aunque realmente los enlaces instalan 'malware' en los equipos.

En cuarto lugar, McAfee advierte del peligro de las postales electrónicas, tanto si van incluidas en el correo como si tienen forma de presentación de powerpoint adjunta al mismo. En ambos casos, puede ser un gusano.

Respecto a las compras 'online', los expertos de la compañía de seguridad alertan del uso de logotipos de firmas de lujo para engañar a los usuarios. Además, aconsejan a los mismos nunca comprar nada vía Internet desde ordenadores públicos o redes 'wifi' abiertas. La advertencia también llega a las subastas, que ofrecen precios totalmente increíbles: si algo parece demasiado bueno para ser verdad... probablemente no sea verdad.

El robo de contraseñas se convierte en algo habitual durante estas fechas mediante herramientas de bajo coste (como por ejemplo, aquellas que graban las pulsaciones). Los ciberdelincuentes se hacen con los detalles bancarios de los usuarios e incluso llegan a venderla en un mercado negro.

El correo electrónico y las búsquedas por Internet se convierten en continuas amenazas a la seguridad del internauta si éste no tiene cuidado y se anda con pies de plomo. Desde villancicos, fondos de pantalla hasta ofertas de trabajo con promesas imposibles pueden convertirse en el canal que los 'crackers' necesitan para robar información personal o instalar 'software' malicioso.

Por último, McAfee advierte del "secuestro de archivos" propios: el ciberdelincuente encripta los documentos personales del usuario y después pide el pago de un rescate para obtenerlos.

Además de las advertencias habituales (antivirus, programas 'anti espías'...), los expertos en seguridad recomiendan utilizar siempre "el sentido común".

Controla los datos que Google tiene de ti

Google ha presentado hoy su nuevo Panel de Control, una página que centraliza toda la información que la compañía tiene de cada usuario, procedente de sus multiples herramientas, desde Gmail, hasta las búsquedas en la web, pasando por blogs, calendarios, documentos, fotos, conversaciones de chat, y un largo etcétera.
Sabemos que los datos que Google puede guardar de nosotros son muchos y muy variados, pero hasta que no lo vemos todos juntos no somos conscientes de cuanta información se puede obtener de una persona cuando se relacionan su diferentes actividades en la red. El nuevo Panel de Control de Google es el lugar donde podremos adquirir conciencia de esto y controlar que información tiene la empresa sobre nosotros, si bien aseguran no tener un perfil exhaustivo de todo lo que un usuario hace con sus productos y servicios.

Google ha reunido en un sólo lugar toda la información que ha recabado y asociado a una cuenta de usuario, para que se pueda hacer una mejor gestión de la privacidad y eliminar aquellos datos que no necesitemos o queramos que permanezcan allí. Por ejemplo Gmail guardará correos electrónicos y conversaciones de chat, en Google Docs se almacenarán los documentos que hayamos usado, mientras que en el historial web podremos encontrar las últimas páginas que hemos buscado, ha sean webs, noticias, videos...

"Creemos que éste es un gran paso hacia adelante y esperamos que contribuya a cambiar la percepción de la industria en cuanto a transparencia y control de la información", indica Alma Whitten, Ingeniera de privacidad y seguridad en la red. "Es importante para los usuarios ser conscientes de que información suya está en la red y cómo poder manejarla, el Panel de control de Google tiene el objetivo de permitir que esto sea posible".

Puedes acceder al nuevo Panel de Control de Google en https://www.google.com/dashboard/.

Microsoft publica antivirus gratuito

Microsoft pone a disposición de los usuarios de Windows, Security Essentials, un antivirus gratuito con protección en tiempo real. OJO Requiere que el sistema operativo sea Oficial.

Security Essentials es un producto orientado a usuarios con un nivel de conocimientos básicos, muy sencillo de instalar y de utilizar, disponible en varios idiomas, entre ellos el castellano.

Lo he probado en diferentes plataformas y el índice de detección obtenido ha sido elevado. Se puede descargar desde la página de Microsoft Security Essentials

Hackeos memorables: sistema biometrico con gominolas

Tsutomu Matsumoto es un investigador japonés especialista en criptografía y sistemas biométricos. Entre sus trabajos más destacados se encuentra uno de los hackeos memorables más dulces de todos los tiempos que hoy recordaremos.

En el año 2002 publicaba el artículo: "Impact of artificial "gummy" fingers on fingerprint systems" (cryptome) en el que Matsumoto describía varios métodos para saltarse sistemas de autenticación biométrica basados en huellas dactilares.

El primero de los métodos es el mismo que tantas veces se ve en películas de espias donde meten la llave que quieren duplicar en una pequeña caja y esta hace de molde. Solo que en esta ocasión la llave es un dedo y el molde está hecho con 35 gramos de FreePlastic.

El problema de este sistema es que necesita el dedo original y obtenerlo temporalmente es algo más complicado que en el caso de una llave.

Sobre el molde, la gelatina de los ositos de gominola (de los de toda la vida, nada de usar los que llevan azúcar pegada).

Otra opción que se describe en el informe, es la obtención de la huella original de otro objeto como un vaso o botella. Mediante el uso de cinta adhesiva con cianocrilato se obtiene la impresión que es fotografiada con una cámara digital (por ejemplo Nikon último modelo) y con un editor de imágenes (Phoshotop de toda la vida) afinar detalles aumentando el contraste, imprimir sobre una diapositiva y utilizar esta para grabar la huella en el cobre de una tarjeta de circuito impreso foto-sensible (PCB) que será el molde final para la gelatina de gominola.

Con estos sistemas se consiguió engañar con una tasa de acierto de un 80% a los distintos dispositivos biométricos, aunque cabe señalar que ninguno de ellos estaba diseñado para controlar accesos de entornos críticos.

Me pregunto que sería capaz de hacer Matsumoto con una bolsa de M&M's (los que son como Lacasitos)

Referencias:
Presentación de Matsumoto
CryptoMe

100 Herramientas Open Source de Seguridad

Selección de las 100 mejores herramientas Open Source de seguridad.

Top 100 Open Source Security Tools
http://www.jeromiejackson.com/index.php/top-100-security-tools

La selección responde al criterio personal realizada por Jeromie Jackson (CISSP-CISM).

Incluye herramientas para evaluación de seguridad, de auditoría de vulnerabilidades y generales. Cada una incluyen su vínculo oficial para la descarga.

Un Informático en una playa Nudista

Gonzáles, el espía espiado

Gonzáles siempre fue un chico muy curioso y le encantaba jugar a los detectives en su casa resolviendo misterios sobre la desaparición de las llaves del auto de su padre o las pantuflas de su hermana.
Hoy en día, Gonzáles está casado y es empleado administrativo de una empresa. Sin embargo, una desafortunada situación lo llevó a revivir sus intereses de la infancia, motivo por el cual le encantaba ser llamado por sus amigos “El espía Gonzáles” cuando les contaba las cosas que estaba aprendiendo en Internet.

Desde el primer día que Gonzáles comentó en el bar las sospechas de que su esposa lo engañaba, todos sus amigos lo apoyaron: espiarla era la única forma de saber la verdad. “¿Sabes que mi sobrino me contó que hay unas cosas para poder ver todo lo que hace alguien con la computadora?”, le dijo “El Tito” al otro día. En poco tiempo, y con su amigo como intermediario, Gonzáles obtuvo las instrucciones básicas para buscar en Internet un programa que grabara todo lo que hacía su esposa mientras usaba la computadora.

Convertirse en “El espía Gonzáles” no fue una tarea sencilla. Tuvo que acceder a cientos de sitios, muchos de ellos en idiomas que no manejaba, como el inglés o, peor aún, el chino o ruso. Tuvo que descargar muchos programas por diferentes medios (sitios web, foros, listas de correo, redes P2P). Tuvo que realizar gran cantidad de pruebas para verificar el correcto funcionamiento de las aplicaciones hasta que, luego de unos cuántos días, encontró lo que necesitaba: SpyComputer Pro. Lo descargó de un sitio web raro que le costaba leer por su fondo negro y sus textos en color verde, aparentemente un foro en inglés.

Finalmente, el esfuerzo tuvo sentido: con sólo descargar una aplicación e instalarla, Gonzáles pudo comprobar cómo se almacenaban imágenes de la actividad que se estaba desarrollando en el sistema cada 5 segundos. Dedicando unos pocos minutos por día, podría monitorear toda la actividad en el equipo.

Luego de una infancia entera admirando a Hércules Poirot y Sherlock Holmes, ahora se sentía un investigador agudo y suspicaz. No había necesidad de Watson, toda la ayuda que necesitaba la había encontrado en Internet.

Diariamente, Gonzáles se sentaba unos minutos en la computadora para verificar la información que había grabado “este genial programa”- como se lo le describía a sus amigos. Sin embargo, pocos días después, comenzaron a suceder cosas raras.

“No pude entrar al Home Banking”, le dijo su esposa antes de acostarse. Pero él lo tomo a la ligera, suponiendo que era producto de la poca experiencia de ella en el uso de la computadora. Sin embargo, al día siguiente, él también encontró algo raro cuando accedió a la cuenta bancaria: le dio la sensación de que faltaba dinero. Llamó al banco para realizar el reclamo, pero la persona que lo atendió argumentaba que el dinero había sido transferido vía el servicio de Home Banking dos días antes del llamado a una cuenta en el extranjero.

Al otro día, Gonzáles comenzó a notar comportamientos extraños en la computadora, como por ejemplo la lentitud exagerada del sistema y, por momentos, la imposibilidad de acceder a Internet- todos problemas que fue solucionando temporalmente reiniciando el equipo. De todos modos, decidió que tenía que revisarlo.

“¿Vos no pusiste nada raro en la computadora?” fue el primer comentario que recibió del muchacho que le había arreglado el equipo unos meses antes. “No”, mintió Gonzáles, avergonzado por su temor a contar la verdad. Finalmente, acordaron una visita para revisar el sistema.

Una de las tareas ejecutadas para revisar el equipo fue chequear en búsqueda de malware con un explorador online, como ESET Online Scanner. Los resultados arrojaron luz al asunto.

Entre otras amenazas, el equipo estaba infectado con un troyano bancario del tipo QHost, que permitió a un atacante obtener las credenciales bancarias de los usuarios del equipo. Además, estaban instaladas varias amenazas del tipo spyware.

Cuando quedó solo, Gonzáles pudo desinstalar la aplicación SpyComputer Pro. Lo que nunca pudo comprender es que es frecuente la utilización de este tipo de técnicas y que estas aplicaciones, no populares, pueden estar infectadas con malware o estar preparadas para descargarlo en segundo plano una vez instaladas. Gonzáles no supo que mientras él se convertía en “El Espía”, otros atacantes, mejor preparados, lo estaban espiando a él.

Si Gonzáles hubiera aprendido de su historia, no navegaría por sitios web desconocidos ni descargaría aplicaciones cuya reputación no sea reconocida y, además, estaría protegido por una solución antivirus y de seguridad con capacidades proactivas de detección. Si así hubiera ocurrido, el acceso a su cuenta bancaria se encontraría seguro y, por ende, también su dinero.

Finalmente, las sospechas fueron falsas y “El espiado Gonzáles” y su esposa fueron felices para siempre.

Más información
ESET Latinoamérica
Plataforma Educativa de ESET Latinoamérica
Blog del Laboratorio ESET Latinoamérica