Ciberseguridad - Privacidad - Fake News - Ciberdelitos

España extradita a EEUU a Peter Levashov, creador de una de las mayores botnets de spam del mundo
450_1000.jpg


Tras casi un año de batalla legal, el pasado viernes España extraditó al hacker ruso Peter Levashov a los Estados Unidos. Lo había detenido en Barcelona en abril del año pasado, y tras meses de batallas entre Estados Unidos y Rusia para llevárselo a sus países, finalmente la solicitud de contra-extradición rusa fue rechazada.

Lisov es considerado por Estados Unidos como uno de los mayores capos del spam, y fue arrestado con una orden internacional de busca y captura del FBI. Se le acusa de haber operado botnets como Kelihos, con la que enviaba miles de millones de emails de spam diarios, difundía malware, y robaba las credenciales bancarias de los ordenadores infectados.

En Rusia no es ilegal enviar spam a través de ordenadores, y desde este país se llevan tiempo utilizando casos como este para acusar a Estados Unidos de "secuestrar" a ciudadanos rusos. Mientras, sus abogados aseguraron durante el proceso que el debate político entre Rusia y Estados Unidos ha estado contaminando el caso.

Levashov niega todas las acusaciones, y le dijo a las autoridades españolas que en Estados Unidos le torturarían para sacarle información sobre cuando estuvo trabajando en el partido de Putin. Pero finalmente ha sido extraditado, y ahora se enfrenta a una condena de 52 años en prisión por operar una de las botnets más grandes del mundo.

De la botnet Kelihos a trabajar para el Kremlin
450_1000.jpg

Peter Levashov llevaba siendo perseguido, desde que se descubrió la botnet Kelihos a finales del 2010, la red de ordenadores que utilizaba con varios fines. Por ejemplo, por un precio de sólo 200 dólares se ofrecía a enviar un millón de correos de spam a los usuarios infectados con promociones de productos de todo tipo, desde farmacéuticos falsos hasta remedios para la disfunción eréctil.

Entre otros servicios, por 300 dólares enviaba un millón de mensajes de spam en los que tratar de reclutar candidatos para puestos de trabajo ilegales con los que lavar dinero, y por 500 dólares realizaba ataques de phishing y propagación de malware.

Según documentos rescatados tras el cierre de una de sus operaciones, Levashov obtuvo ingresos de 145.000 dólares sólo entre 2010 y 2012 tras el envío de millones de correos de spam. De hecho, cuando fue detenido ocupaba el séptimo puesto de la lista ROKSO, un ranking mundial con los mayores spammers de Internet. Con estas operaciones enviaba más de 1.500 millones de emails diarios mediante más de 70.000 ordenadores infectados.

450_1000.jpg
Levashov en la lista ROKSO
Pero esta no es la única razón por la que Estados Unidos le tenía ganas. Según varios investigadores rusos de ciberseguridad, Levashov también podría haber sido contratado por el Kremlin para inutilizar webs con puntos de vista contrarios al gobierno ruso, y desacreditar a sus oponentes durante las elecciones presidenciales de 2012.

Aunque no hay evidencias públicas, también se habla de una posible colaboración en los ataques informáticos durante las elecciones de Estados Unidos. Pero en este aspecto, medios como el New York Times cuentan que funcionarios estadounidenses han asegurado que no tuvo ninguna implicación.

https://www.xataka.com/seguridad/es...-una-de-las-mayores-botnets-de-spam-del-mundo
 
FACUA no lo hizo bien al publicar el fallo de Movistar: qué se debe hacer (y qué no) cuando encuentras una vulnerabilidad
450_1000.jpg


No hace falta ser investigador de seguridad o especialista en sistemas para encontrarse, por casualidad o curiosidad, ante una vulnerabilidad. El fallo de seguridad conocido este lunes en la web de Movistar, sin ir más lejos, es un buen ejemplo: fue descubierto por un usuario.

Fue esta persona la que informó del agujero de seguridad a la asociación de consumidores FACUA-Consumidores en Acción, quien denunció ante la Agencia Española de Protección de Datos y públicamente el hallazgo del agujero de seguridad menos de 24 horas después de comunicarlo y menos de 12 horas después de su resolución.

FACUA iba a anunciar la brecha de seguridad de Movistar, sin dar detalles, menos de 24 horas después de comunicarla a la operadora
¿Fue lo correcto? ¿Cómo debemos proceder en el caso de encontrarnos con una posible vulnerabilidad? Lo vemos.

El caso de la web de Movistar y FACUA
450_1000.jpg
FACUA-Consumidores en Acción anunciando en su página web el agujero de seguridad hallado en la página web de Movistar.
En el caso del agujero en la web de Movistar revelado por FACUA, los hechos son los siguientes: según la versión de la organización, un usuario les reporta el problema, ellos lo comprueban, acuden a un notario para que verifique y levante acta sobre lo descubierto y comunican la existencia del problema a la operadora.

Esta comunicación a Telefónica se realiza durante la tarde del domingo, al mismo tiempo que publican un tuit, a las 19:50, en el que aseguran haber detectado "un agujero de seguridad en la web de una de las principales empresas del IBEX 35" que daba acceso "a los datos de facturación de sus clientes". Añadían que Rubén Sanchez, su portavoz, iba a comparecer en rueda de prensa al día siguiente "para dar detalles".

Movistar, según su propia versión y la de FACUA, soluciona la brecha durante la madrugada del domingo al lunes. Previamente, tras conocer la información que hablaba de una vulnerabilidad en "una de las principales empresas del IBEX 35", iniciaron comprobaciones de forma preventiva según han informado. Durante la mañana del lunes, tal y como estaba previsto, el portavoz de FACUA compareció ante los medios para hablar sobre este incidente y lo hizo de forma totalmente detallada.

En la misma tarde que comunicaron a Movistar la brecha, según su versión, FACUA publicaba un tuit anunciando un agujero de seguridad "en la web de una de las principales empresas del IBEX 35" que daba acceso "a los datos de facturación de sus clientes"
La forma de proceder de la asociación de consumidores durante la tarde del domingo fue criticada en redes sociales por profesionales relacionados con la seguridad informática. Román Ramírez, gerente de Operaciones y Arquitectura de Seguridad en Ferrovial, por ejemplo, les contestó al tuit arriba mencionado reprochándoles su proceder: "Esta no es la manera de comunicar problemas de seguridad en empresas. Este procedimiento solamente puede tener como objetivo hacer daño y anotarse un tanto mediático. No estáis haciendo lo correcto".

El propio portavoz, Rubén Sánchez, en conversación con Xataka, asegura que informaron del agujero a Movistar avisándoles de que anunciarían el descubrimiento al día siguiente. Eso sí, dice que "Telefónica sabía que íbamos a hacer pública la existencia el agujero, no las características del agujero". "Eso nunca lo habríamos hecho público hasta que Movistar no lo hubiera resuelto; la información que íbamos a dar era que existía este fallo, que además es un fallo extremadamente grave, un error básico de programación", reitera.

Pese a todo, si FACUA hubiese deseado seguir la política de revelación parcial de vulnerabilidades generalmente aceptada en el ámbito de seguridad informática, la revelación responsable o responsible disclosure en inglés, debería haber cambiado su forma de proceder.

Así se hace la "revelación responsable" de una vulnerabilidad
450_1000.jpg

Pese a que existe cierta discusión a la hora de definir lo que es la revelación responsable de una vulnerabilidad, una de las propuestas más extendidas entre los procesionales del ramo es la de Stephen A. Shepherd.

A grandes rasgos, establece que cuando se descubre una brecha el descubridor debe informar al responsable de la misma. A veces, incluso, ambos deben contar con una tercera parte que medie en las comunicaciones, que deben ser seguras, confiables y lo más directas posibles para evitar filtraciones.

Si el responsable es receptivo, comprueba la vulnerabilidad, da crédito a los descubridores y actúa para darle una solución en un tiempo razonable, unos 30 días, el descubridor debería esperar a que se publique el arreglo para revelar toda la información sobre la misma salvo el expoit.

Suelen ofrecerse un periodo de entre 30 y 90 días para que una empresa u organización resuelva un problema de seguridad
El periodo que se da para la solución, según cuenta a Xataka el experto en seguridad Lorenzo Martínez, responsable de Securízame y redactor en Security By Default, puede llegar a extenderse hasta 90 días.

Si finalmente no se soluciona o si el responsable del agujero no es receptivo y no toma cartas en el asunto, el investigador estaría legitimado a llevar a cabo una revelación completa o full disclosure, que no contendría el exploit, a pesar de que la vulnerabilidad continúe donde estaba.

Este método, como nos cuenta Martínez, es empleado por algunos investigadores directamente, sin intentar establecer ningún contacto con los responsables de la falla. "Lo descubro y lo publico", resume. Este método expondría todavía más los datos de usuarios y podría llevar a los tribunales al descubridor si es identificado. "Puede acarrear problemas legales de protección de datos, para empezar".

Revelar una vulnerabilidad directamente "puede acarrear problemas legales de protección de datos, para empezar"
Otra forma de proceder, nos dice el responsable de Securízame, es la no revelación o no disclosure: callarse y no decir nada.

"Si esa vulnerabilidad no se reporta, no es noticia hoy, quien la ha descubierto podría bajarse las facturas de todo el mundo. Podría ir incrementando o decrementando todas las facturas para, por ejemplo, llegar a identificar un teléfono que pertenezca a la Casa Real o a alguien famoso que le apetezca mirar y que sea de Movistar, en este caso", explica.

Airear casos similares a los de Movistar o tantos otros similares sin avisar a ninguna autoridad o parte involucrada en el problema no es bueno para nadie. Ni para la empresa responsable de los ficheros, ni sobre todo para los usuarios cuya información se expone con una excepción: quien ponga precio a esos datos. "Esa información aprovechada para malas intenciones podría valer mucho dinero", asegura Lorenzo Martínez.

¿Y qué dice la legislación?
450_1000.jpg
Inicio del Reglamento General de Datos de la Unión Europea.
En el caso perfecto de que una vulnerabilidad sea descubierta internamente por una empresa antes de que sea explotada, en términos legales no habría nada que hacer a priori. La cosa cambia si ese fallo ha sido explotado o conocido externamente, como ha sucedido con el de la web de Movistar. Entra en juego el Reglamento General de Protección de Datos si sucede en la Unión Europea o afecta a ciudadanos de los Estados miembros.

Pese a que desde Telefónica expliquen que "hasta el momento no se ha detectado ningún acceso fraudulento", lo cierto es que tres personas que no deberían haber accedido a las facturas de otros clientes lo han hecho, como mínimo: el usuario que descubrió la vulnerabilidad, el miembro de FACUA que recibiese el aviso y el notario que levantó acta.

Porque el RGPD define las violaciones de la seguridad de los datos personales como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos".

El RGPD establece que la notificación de una brecha de seguridad relacionada con datos personales debe hacerse a la autoridad competente en un plazo máximo de 72 horas
El reglamento europeo, en aplicación desde el pasado 25 de mayo, establece la notificación de una brecha de seguridad relacionada con los datos personales a la autoridad competente en un plazo máximo de 72 horas, "a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas". La notificación deberá describir la naturaleza del problema, describir las posibles consecuencias y las medidas adoptadas para solucionarlas, entre otros datos requeridos.

Y hay más. Porque si la violación de la seguridad de los datos personales es probable que entrañe un alto riesgo para los derechos y las libertades de las personas, la comunicación debe realizarse también al interesado. Es decir, a los afectados cuyos datos hayan sido comprometidos y puedan estar en riesgo de alguna manera. Esta comunicación también contempla un plazo máximo de 72 horas a contar desde que los responsables del tratamiento de la información sean conscientes del problema de seguridad.

Incumplir la obligación de notificar este tipo de violaciones de seguridad puede acarrear multas administrativas de 10 millones de euros como máximo o, si se trata de una empresa, las sanciones pueden alcanzar una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior.

https://www.xataka.com/seguridad/qu...-cuando-encuentras-vulnerabilidad-informatica
 
Multa histórica de la UE a Google por Android: 4.340 millones de euros por abuso de posición dominante
450_1000.jpg


Bruselas acaba de hacer pública su sanción más contundente a Google: 4.340 millones de euros. La Comisión Europea ha impuesto esta multa récord al gigante tecnológico estadounidense por el abuso de posición dominante que ejerce, según su consideración, a través Android, su sistema operativo móvil. Castigo récord en un caso antimonopolio.

El proceso que ha fiscalizado a Android llevaba tiempo terminado tras varios años de trabajo. Fue en abril de 2015 cuando la Comisión abrió formalmente la investigación al considerar que Google impone a los fabricantes preinstalar aplicaciones propiedad de la compañía, Google Search y Chrome, en sus teléfonos con este sistema operativo.


La responsable de la Política de Competencia de la Unión Europea, Margrethe Vestager, ha declarado:

"Google ha utilizado Android como vehículo para consolidar el dominio de su motor de búsqueda. Estas prácticas han privado a sus competidores de la posibilidad de innovar y competir en función de sus méritos. Han impedido a los consumidores europeos beneficiarse de una competencia efectiva en un ámbito tan importante como el móvil. Esto es ilegal con arreglo a las normas de defensa de la competencia de la UE".

En el pliego de cargos publicado un año después, también se acusó a Alphabet de impedir la venta de dispositivos con sistemas operativos competidores basados en el código fuente abierto Android y de ofrecer incentivos financieros a los fabricantes y operadores con la condición de que preinstalen exclusivamente Google Search en sus dispositivos.

Google debería poner fin a "su conducta ilegal" en un plazo de 90 días o hacer frente a "multas coercitivas de hasta el 5 % del volumen de negocios mundial medio diario de Alphabet", según ha explicado la Comisión Europea
A última hora del martes el director general de Google, Sundar Pichai, se reunió con la comisaria de Competencia de la Unión Europea, Margrethe Vestager, según publica Bloomberg. El fin de la reunión habría sido tratar el estado de la sanción, siendo este un trámite habitual mediante el cual se avisa a las empresas de la inminencia de una multa de acuerdo con el relato de uno de los asistentes.

Esta decisión de la Comisión Europea exige a la multinacional "poner fin a su conducta ilegal de una manera efectiva en un plazo de 90 días" a partir de esta decisión según ha explicado en su comunicado el órgano europeo. Si no, se estarían exponiendo a multas coercitivas que pueden suponer hasta el 5 % del volumen de negocios mundial medio diario de la sociedad matriz de Google, Alphabet.

Los 4.340 millones de euros, puestos en perspectiva, según los cálculos hechos por Reuters representan algo más de dos semanas de ingresos para la empresa matriz de Google, Alphabet Inc.. Además, apenas harían mella en las reservas de efectivo de la compañía, estimadas en más de 100.000 millones de dólares.

"Google ha participado en dos casos de vinculación ilegal"
450_1000.jpg

Según asegura la Comisión Europea, Google ha participado en tres tipos de prácticas diferentes "cuyo objetivo en todos los casos era consolidar su posición dominante en la búsqueda general en internet". La decisión, además, concluye que la compañía estadounidense ha participado en dos dos casos de vinculación ilegal.

El organismo comunitario afirma en su decisión que Google ha obligado a fabricantes a preinstalar la aplicación Google Search y el navegador Google Chrome para condición para poder obtener la licencia de Play Store, su tienda de aplicaciones. Además, considera probado que "ha realizado pagos a determinados grandes fabricantes y operadores de redes móviles" a cambio de que preinstalaran de forma exclusiva la aplicación Google Search en sus dispositivos.

La Comisión Europea considera probados los tres cargos contenidos en el pliego hecho público un año después del inicio de la investigación a Android
Por último, señala que ha impedido a los fabricantes que deseaban preinstalar aplicaciones de Google "vender un solo dispositivo móvil inteligente que funcione en versiones alternativas de Android no aprobadas por Google". Así pues, se asegura que "fue Google –y no los usuarios, los desarrolladores de aplicaciones o el mercado– el que determinó en realidad qué sistemas operativos podrían prosperar". De hecho, se destaca específicamente que impidió "desarrollar y vender dispositivos móviles inteligentes basados en la bifurcación de Android de Amazon denominada Fire OS".

Los dos casos de vinculación ilegal se refieren particularmente a la aplicación de búsquedas Google Search y al navegador Google Chrome.

La Comisión expone que "Google ofrece sus aplicaciones y servicios móviles a los fabricantes de dispositivos en forma de paquete, que incluye la Google Play Store, la aplicación Google Search y el navegador Google Chrome". En el marco de la investigación, han contactado con fabricantes que les han confirmado que la Play Store es una aplicación imprescindible porque "los usuarios cuentan con tenerla preinstalada en sus dispositivos", de ahí las vinculaciones ilegales de Google Search y Google Chrome.

"La práctica de Google ha reducido los incentivos de los fabricantes para preinstalar aplicaciones de búsqueda y de navegación competidoras"
De modo que por un lado, según la decisión de los reguladores europeos de la competencia, Google se ha asegurado de la preinstalación de estas dos aplicaciones, y por otro, habría reducido la capacidad de sus rivales de competir de manera efectiva. "La práctica de Google ha reducido los incentivos de los fabricantes para preinstalar aplicaciones de búsqueda y de navegación competidoras, así como los incentivos de los usuarios para descargar dichas aplicaciones", argumentan.

¿Y ahora qué? La respuesta de Google y el futuro de Android
450_1000.jpg

Tras la decisión, desde Xataka nos hemos puesto en contacto con Google. Un portavoz nos ha asegurado que "Android ha creado más opciones para todo el mundo, no menos". Argumenta que "un ecosistema pujante, rápidas innovaciones y precios más bajos son distintivos clásicos de una fuerte competencia" y asegura que recurrirán la sentencia.

La Comisión Europea, no obstante, exige a la compañía que cese "su conducta ilegal de manera efectiva" dándoles un plazo de 90 días.

Google, dice la Comisión, también deberá hacer frente a las demandas por daños y perjuicios de personas o empresas afectadas
Así pues, a mediados de octubre Google debería haber acabado con todas las prácticas que Bruselas considera infractoras de las normas antimonopolio de la Unión Europea si no quiere exponerse a multas de hasta el 5 % del volumen de negocios mundial medio diario de Alphabet.

Concretamente y como mínimo, dice la institución, "Google debe interrumpir y no volver a participar en ninguno de los tres tipos de prácticas". Además, también se le exige que se abstenga de llevar a cabo otras medidas que tengan como objetivo repetir las actividades que esta decisión castiga y se señala que Google deberá hacer frente a las demandas por daños y perjuicios que puedan ser ejercitadas ante los tribunales de los países miembros por cualquier persona o compañía afectada.

Una segunda multa de récord
450_1000.jpg

Hace un año precisamente, Google fue castigada por la Unión Europea alcanzando el anterior récord de una multa antimonopolio: 2.420 millones de euros. En aquella ocasión, la sanción se debió a la vulneración de la competencia en el mercado de las búsquedas por internet que había hecho el gigante estadounidense según la Comisión Europea. En especial, se aludía específicamente a la prevalencia de Google Shopping.

La Comisión Europea mantiene una tercera disputa con Google por abuso de posición dominante de su plataforma publicitaria AdSense. El departamento dirigido por Vestager, avisó en 2016 de que cree que han empleado esa posición de dominio para "restringir artificialmente la posibilidad de que otras páginas web puedan desplegar publicidad de competidores de Google".

Bruselas mantiene un tercer pulso con Google por un supuesto abuso de posición dominante de AdSense
Tanto en el caso de AdSense como en el resto, Google se ha defendido. Durante la investigación a Android, desde Google han definido Android como "una carretera de varios carriles de elección".

La sanción de 4.340 millones de euros se calcular en base a un porcentaje de las ventas anuales del producto objeto de la infracción, la duración de la misma y otras consideraciones, como si la empresa multada es reincident. Y en cualquier caso, no puede exceder el 10 % del volumen de negocio anual global de la compañía en cuestión.

https://www.xataka.com/moviles/mult...4-340-millones-euros-abuso-posicion-dominante
 
La historia de los 364 reclusos que explotaron una vulnerabilidad en sus tablets para robar 225.000 dólares

JPay es una compañía privada que otorga servicios digitales a diversas prisiones y correccionales de Estados Unidos, haciendo uso de una tablet diseñada especialmente para reclusos. Hoy se ha dado a conocerque 364 internos de una correccional en Idaho se unieron para robar 225.000 dólares en créditos, esto debido a una vulnerabilidad en el sistema de la misma tablet.

Las tablets de Jpay brindan servicios a los reclusos como descarga de música, libros, vídeos, juegos, transferencias de dinero, así como correo electrónico para estar en contacto con el mundo exterior. Todo esto tiene un coste, y son los familiares o amigos quienes deben transferir dinero, en forma de créditos, el cual es necesario para hacer uso de todos estos servicios.

JPay sólo ha recuperado 65.000 dólares
Jeff Ray, portavoz del Departamento de Correccionales de Idaho, mencionó que los reclusos explotaron intencionalmente una vulnerabilidad dentro de la tablet para aumentar indebidamente los saldos de sus cuentas de JPay. Ante esto, 364 presos se otorgaron una media de 1.000 dólares en créditos, aunque hubo algunos que aumentaron sus saldos en 10.000 dólares.

JPay no ha querido dar detalles de la vulnerabilidad de sus tablets, sólo mencionaron que "esta conducta fue intencional y no accidental. (Y que) Exigía un conocimiento del sistema de JPay y múltiples acciones de cada recluso para explotar la vulnerabilidad del sistema y así acreditar indebidamente su cuenta".

450_1000.jpg

Ante esto, JPay ha decidido suspender la capacidad de los presos para descargar música, vídeos, libros y juegos hasta que se les compense el dinero perdido, del cual han recuperado 65.000 dólares hasta el momento. El único servicio que se mantiene activo es el de envío y recepción de correo electrónicos.

El Departamento de Correccionales ha emitido reportes disciplinarios a los reclusos presuntamente implicados en esto, lo que significa que estarían en posición de perder privilegios, e incluso se podrían enfrentar areclasificaciones en cuanto a sus niveles de riesgo de seguridad.

Mientras tanto, los familiares o amigos de los presos que vieron un aumento en sus créditos, deberán pagar lo antes posible ese dinero que obtuvieron debido a la vulnerabilidad en el sistema de JPay.

https://www.xataka.com/seguridad/hi...ilidad-sus-tablets-para-robar-225-000-dolares
 
Cryptojacking, el nuevo fraude de los ciberdelincuentes




cryptopirata.png

¿Has oído hablar del término cryptojacking o criptosecuestro? A continuación te lo explicamos.
El término cryptojacking deriva de la conjunción de Cryptocurrency (Criptomonedas) y Hijacking (Secuestro). Como se puede deducir, se refiere al secuestro de un dispositivo electrónico sin el consentimiento o conocimiento del usuario, aprovechando la capacidad de procesamiento y de cálculo de la tarjeta gráfica, de la memoria y del procesador se utiliza para el minado de criptomonedas.

El minado consiste en calcular una serie de algoritmos para verificar las transacciones realizadas hasta ese momento. El que primero encuentra la solución a estos cálculos recibe el premio (en criptomonedas) por realizar dicha comprobación.

Este tipo de ataques surgió por primera vez en 2011, aunque su auge se ha producido al calor del alza de las cotizaciones de las monedas virtuales, a finales de 2017. El éxito de este tipo de ataque se debe a que es fácil de efectuar y automatizar, además de la dificultad de detectar su presencia en el dispositivo infectado.

Según la empresa de software de seguridad McAfee, el cryptojacking o criptosecuestro ha afectado a más de 3 millones de dispositivos en el primer trimestre de este año con un crecimiento exponencial desde finales de 2017, preferentemente ordenadores y servidores de todo el mundo, además de páginas web como por ejemplo, administraciones públicas, tiendas online o foros, entre otros.

El objetivo de estos ataques actualmente se está redirigiendo de los ordenadores y servidores a los dispositivos móviles, dispositivos inteligentes y dispositivos IoT, aprovechándose de fallos de seguridad y vulnerabilidades, como por ejemplo, la falta de actualizaciones, cifrados inseguros, etc.

grafica_criptosecuestro.jpg


¿Cómo se infecta un dispositivo?
Cualquier dispositivo puede ser objetivo de este tipo de secuestro, principalmente mediante alguno de los siguientes métodos de infección:

  1. Cuando un usuario hace clic en un enlace o en un anuncio sin saber su procedencia, puede que éste le redirija a un página web que previamente haya sido manipulada e infectarse mediante inyección de código malicioso en el navegador. Una vez que el usuario cierra el navegador o el proceso afectado, el dispositivo dejaría de realizar acciones de minado.
  2. Malware contenido en archivos adjuntos en correos electrónicos o plugins modificados, que inyectan código o instalan complementos infectados en el dispositivo. En este tipo de infección, si se cierra el navegador o se finaliza el proceso, el dispositivo sigue minando, y si se trata de forzar el cierre, el dispositivo se bloquea y se reinicia, por lo que es más difícil eliminar el malware.
¿Cómo detectar si tu dispositivo ha sido víctima del cryptojacking?
Debido a que el proceso de minado requiere de un alto grado de uso del procesador, se verá repercutido en el uso habitual de los dispositivos infectados. Los principales síntomas son que funcionan lento, se quedan colgados constantemente o que la velocidad de conexión a Internet se ralentiza.

Además, el uso de los dispositivos al máximo rendimiento provoca otra serie de indicadores físicos, como sobrecalentamiento de los componentes y un alto consumo de energía eléctrica. Una solución para comprobar si un equipo está minando mientras se navega por Internet es utilizar un complemento o plugin en el navegador que avisa al usuario en caso de detectar código oculto.

Consejos para evitar el uso indebido de tus dispositivos
Para evitar el criptosecuestro de tus dispositivos, es recomendable que sigas las siguientes recomendaciones:

  1. Si desconfías de una página web, en https://whoismining.com/ puedes comprobar si incluye código oculto de minado. Para ello debes introducir la URL o dirección web que quieres examinar.
  2. Si sospechas que tu navegador pueda estar infectado, puedes realizar un análisis mediante un test online en https://cryptojackingtest.com/.
  3. Utiliza un bloqueador de publicidad en el navegador de tu ordenador. En el caso de los móviles, tienes disponibles varias apps tanto en Android como iPhone.
  4. Mantén actualizado el software de tus dispositivos, siempre que sea posible.
  5. Para evitar infectar el dispositivo, no instales ningún complemento, software o aplicación, si éste no proviene de una fuente segura y confiable o de la página oficial.
  6. Si tienes ciertos conocimientos técnicos, puedes utilizar un bloqueador de ejecución de código de JavaScript en tu navegador, por ejemplo en Firefox o Chrome.
  7. Además de tener un antivirus actualizado, realiza análisis periódicos en busca de infecciones, vulnerabilidades o cualquier otra amenaza.
  8. Utiliza cortafuegos para bloquear las conexiones sospechosas que observes. Visita nuestra sección “Herramientas gratuitas” dónde encontrarás tanto para ordenador como para móvil.
  9. En caso de duda, contacta con nosotros en el buzón de incidencias.
Y tú, ¿eres consciente de que te hayan secuestrado un dispositivo para minar criptomonedas?, ¿cómo te diste de cuenta? Comparte tu experiencia con nosotros dejando un comentario.

https://www.osi.es/es/actualidad/bl...king-el-nuevo-fraude-de-los-ciberdelincuentes
 
Reddit confirma un hackeo y el robo de datos de algunos de sus usuarios

450_1000.jpeg



Reddit confirmó que entre el 14 y 18 de junio de 2018, un hacker accedió a su sistema después de haber comprometido algunas cuentas de sus empleados. El 19 de junio se percataron de la irrupción y hoy confirman que los datos de algunos de sus usuarios, sin mencionar cifras concretas, estuvieron expuestos.

Según Reddit, este hacker habría accedido a una parte del sistema donde se almacenaba el respaldo del sitio desde su lanzamiento en 2005 hasta mayo de 2007. Entre toda la información que se encontraba aquí, estaban las direcciones de correo de todos sus usuarios, incluidos nombres y contraseñas, así como la claves de cifrado (hash), y hasta sus mensajes privados.

La culpable fue la autenticación de dos pasos basada en SMS
De acuerdo a la información publicada por Reddit, el hacker también pudo acceder a los boletines enviados vía correo electrónico durante junio de este 2018, donde se incluye una lista de usuarios, con nombres y correos electrónicos, y los subreddits a los que están suscritos.

Ante esto, Reddit está enviando correos electrónicos a todos los usuarios afectados, que son en su mayoría personas que se unieron al sitio desde sus inicios hasta mayo de 2007. La recomendación es, como en casos de este tipo, cambiar la contraseña cuanto antes, en caso de que se siga usando la misma, así como modificar la contraseña en otros sitios en caso de haber usado la misma. Asimismo, se pide que "eliminen cualquier publicación incriminatoria accesible desde su perfil".

450_1000.jpg

Según explican, esta brecha de seguridad surgió después de que el hacker logró interceptar los SMS de los métodos de autenticación de dos pasos (2FA) de algunos de sus empleados. Con esto, el atacante pudo tener acceso a los datos de la copia de seguridad del sitio, incluido el código fuente, así como los datos y credenciales de otros empleados. Eso sí, Reddit asegura que no pudo modificar ni alterar nada.

"Hoy aprendimos que la autenticación basada en SMS no es tan segura como esperábamos"

Reddit también está pidiendo a todos sus usuarios que de ser posible eliminen la autenticación basada en SMS y se pasen a una 2FA basada en token a través de aplicaciones como Authy o Google Authenticator.

Y ahora es cuando entendemos la insistencia de Google de abandonar el SMS como método de autenticación, y tratar de usar las llaves de seguridad físicas, que ellos mismos están por lanzar y que son usadas por sus empleados desde 2017.

Más información | Reddit

https://www.xataka.com/seguridad/reddit-confirma-hackeo-robo-datos-algunos-sus-usuarios
 
Cómo crear una contraseña segura y cómo gestionarla después para proteger tus cuentas

Hoy vamos a explicar cómo proteger tus cuentas online frente a ataques informáticos. Para eso primero vamos a dar algunos consejos para crear unas contraseñas que sean lo más seguras posible, y después seguiremos con una serie de recomendaciones para gestionarlas después y reforzar la seguridad de tus cuentas online.

De hecho, tienes que tener en cuenta que hoy en día la seguridad de la contraseña es algo secundario a la hora de protegerte, ya que lo más importante es cómo gestionas después esas contraseñas. Esto quiere decir que no sólo es importante seguir los primeros consejos para crear una buena contraseña, sino que después hay que seguir los segundos para no cometer errores clásicos como utilizar la misma contraseña en varios servicios, algo que minimiza tu seguridad.

Para escribir este artículo hemos contado con la colaboración de dos expertos en seguridad online. Por una parte nos ha ayudado Josep Albors, especialista en ciberseguridad y responsable de investigación y concienciación ESET España, y por otraPablo F. Iglesias, consultor de presencia digital y reputación online en PabloYglesias.com.

Entre ambos nos han aportado la serie de consejos que tienes a continuación divididos en dos secciones. Primero te damos consejos sobre cómo crear una contraseña segura, y después pasamos a decirte cómo reforzar la seguridad de tus cuentas online gestionando esas contraseñas que has creado.

Cómo crear una contraseña segura
450_1000.jpg

Para empezar, lo que nunca tienes que hacer es utilizar contraseñas cortas que puedan obtenerse mediante ingeniería social, como el nombre de tu mascota, fechas importantes para ti o códigos postales. Tampoco hagas sustituciones clásicas como cambiar una e por un 3 o una o por un 0, ya que son trucos que los cibercriminales se conocen, y estate atento a las listas de las peores contraseñas para saber las que NUNCA tienes que utilizar.

No te centres en criterios y fórmulas predefinidas. Esto quiere decir que te olvides de que en una contraseña tienes que tener determinados caracteres alfanuméricos, que uno de ellos tiene que ser en mayúscula y que otro sea un símbolo. Todas estas fórmulas clásicas las saben también los cibercriminales, por lo que es una de las cosas que intentarán probar a la hora de adivinar la que tienes.

También es importante que utilices contraseñas fáciles de recordar pero difíciles de adivinar. Un medio muy eficaz es el de utilizar combinaciones de varias palabras, que aunque aparentemente no tengan relación lógica entre ellas tú puedas relacionar para recordar.


450_1000.png
Viñeta sobre la fortaleza de contraseñas, y cómo varias palabras simples pueden ser más efectivas que sólo dos con símbolos y números. Viñeta de xkcd

Se ha comprobado que esta técnica es más efectiva que la de simplemente combinar mayúsculas, minúsculas, números y caracteres especiales en una contraseña corta. Estas no sólo son fórmulas predefinidas de esas que ya hemos recomendado no utilizar, sino que acaban siendo tan intrincadas que a veces acaban siendo tan difíciles de recordar que pierden todo el sentido.

Si buscas una contraseña lo más fuerte posible puedes utilizar recursos como el estimador ZXCVBN, una herramienta de código abierto creada por Dropbox para estimar la fuerza de contraseñas. Muchos medidores de fortaleza que te aparecen en las webs al crear una contraseña no son precisos, por lo que basados en el de Dropbox puedes crear contraseñas mucho mejores.

450_1000.png

Puedes poner esto en práctica en esta demo online. En ella puedes escribir tu contraseña, y debajo te pondrá el tiempo que puede tardar en resolverse. También tienes un campo guesses_log10 en el que cuanto mayor sea la cifra resultante más segura será la contraseña que estés probando.

Cómo gestionarlas para proteger tus cuentas
450_1000.jpg

Lamentablemente, hoy en día de poco sirve haber tomado las molestias oportunas para crear una buena contraseña si luego no las gestionamos correctamente, lo que a medio y largo plazo puede llevar a minimizar su eficacia. Por eso, ahora te dejamos una serie de pasos que es importante dar tras crear la contraseña para mantener tus cuentas seguras.

Una de las recomendaciones principales es no reutilizar las contraseñas en más de una web. Intenta tener una contraseña diferente en cada web, para que si alguien consigue descifrar una de tus contraseñas o la obtiene gracias a una filtración no pueda utilizarla para acceder a tus cuentas en más de una web o servicio online.

Intenta no compartir tus contraseñas con nadie más, ya que al hacerlo aumentas considerablemente las posibilidades de que caigan en malas manos. Esto puede ser porque la propia persona con la que las compartas las utilice para acceder a tus cuentas, pero también porque no sepa mantenerlas guardadas de forma segura y un tercero acabe conociéndolas.

Es importante cambiar tus contraseñas cada cierto tiempo. Proteger tus contraseñas no siempre depende de ti al 100%, ya que puede haber filtraciones que las expongan online. Por eso es importante ir cambiando tus contraseñas para que en el caso de que estas acaben filtrándose evites que alguien pueda utilizarlas.

En este sentido, también es recomendable mirar periódicamente páginas como Have I been pwned. Se trata de una veterana web que recopila todas las filtraciones de contraseñas. En ella, sólo escribes tu correo electrónico y la web te dice si se ha filtrado alguna contraseña en servicios en los que lo has utilizado. De esta manera, si ves que ha habido una filtración puedes prevenir y empezar a cambiar contraseñas.

Y ya que hablamos de correos, también es recomendable utilizar varias cuentas de correo para registrarte en las diferentes webs. Los correos se utilizan como identificadores, y si utilizas varios minimizarás el impacto que podría tener el que alguien acceda a uno de ellos. Por ejemplo, puedes tener un correo para servicios de uso personal, otro para los relacionados con el trabajo, e incluso un tercero para aplicaciones menos importantes.


450_1000.jpg
Verificación en dos pasos: algo que sabes (contraseña) + algo que tienes (la clave o la interacción de ese segundo paso).

Utiliza siempre que puedas el doble factor de autenticación. Se trata de la verificación en dos pasos, una opción de seguridad que ofrece la mayoría de grandes servicios como WhatsApp, y que hace que para terminar de identificarte en un servicio necesites un segundo paso después de introducir la contraseña.

El segundo paso que se requiere depende del servicio. Algunos te envían un código por SMS que tienes que introducir después de la contraseña, aunque no es el método más seguro, mientras que otros te piden crear un pin o interactuar con la misma aplicación utilizando otro dispositivo como el móvil. Aunque suene molesto, es importante activarlo si de verdad no quieres que entren en tu cuenta.

Y por último, ante cualquier duda utiliza aplicaciones de terceros para gestionar tus contraseñas. Es posible que tras haber leído todos estos consejos te dé un poco de pereza hacerlos todos, algo que puede poner en peligro tu seguridad online. Es ahí donde entran en juego los gestores de contraseñas para hacer todo esto por ti.

Estos gestores de contraseñas se encargarán de crear por si mismos contraseñas robustas para los servicios online en los que estás registrado, e incluso las van cambiando periódicamente. Al utilizarlo pasarás de tener que recordar varias contraseñas a una única contraseña maestra. Eso sí, también es importante ir cambiando periódicamente las contraseñas de estos gestores y aplicar en ellos todos nuestros consejos, ya que de ellos depende la seguridad del resto de tus cuentas.

Imágenes | Santeri Viinamäki, Psyomjesus

https://www.xataka.com/basics/como-...o-gestionar-despues-para-proteger-tus-cuentas
 
Nota publicada en 2016 pero de absoluta actualidad para este tema

¿Cuánto tiempo lleva siendo 123456 la peor contraseña posible y por qué nunca lograremos eliminarla?

Lo hemos vuelto a hacer. De acuerdo con el listado de las peores contraseñas de 2015 publicado recientemente por la desarrolladora de software de seguridad SplashData, hemos vuelto a colocar "123456" en el número 1 de las contraseñas más usadas, en una lista recopilada de entre más de dos millones de contraseñas.

A primera vista dan ganas de tomarse el listado a risa, porque realmente cuesta creer que a estas alturas todavía haya gente que usa "123456" o "password" como contraseña para proteger cosas tan importantes como su correo electrónico o el acceso online al banco. Pero si repasamos los informes de SplashData de otros años y analizamos un poco la tendencia, vemos el asunto esbastante serio.



Cómo se elabora el listado
SplashData, creadora del gestor de contraseñas SplashID, lleva cinco años elaborando este informe anual. Y no falla: cada año demuestra que la gente, a pesar de los peligros que ello conlleva, sigue usando contraseñas que comprometen su seguridad online.

Para hacernos una idea, en un documento elaborado a partir de los resultados de esos cinco informes, SplashData enumera algunas de las tendencias en contraseñas. Por ejemplo, solamente en EE.UU., las empresas perdieron37.000 millones de dólares en temas relacionados con filtraciones de datos en 2015. Mientras, tanto, un tercio de los usuarios usa la misma contraseña en diferentes webs, y hasta un 10% usa la misma para todos los servicios online donde se registra.

A la hora de crear su informe, SplashData obtiene los datos a partir de dumps de texto que encuentra en foros y otras webs durante los últimos doce meses, obtenidos mediante ataques o a través de brechas de seguridad en servidores. A partir de esos datos, elabora un listado de las 25 contraseñas más comunes - que, por ende, son también las peores, porque nunca es buena idea usar una contraseña "conocida".

El objetivo último de SplashData con estos informes anuales es concienciar a los usuarios de la importancia de escoger una contraseña segura, y de usar una diferente para cada sitio para evitar el "efecto cascada" en caso de que uno de los servicios que usamos sea objeto de un ataque. Pero a tenor de los resultados, todavía queda camino por recorrer.

450_1000.jpg

Por qué seguimos usando "123456"
El informe de este año incluye a "123456", "password" y "12345678" como las tres peores contraseñas de 2015. Las dos primeras ni siquiera han cambiado desde el año pasado, donde repitieron clasificación con "12345" como tercera clasificada, y en 2013las tres volvieron a ocupar exactamente los tres mismos puestos que este año. En2012 y 2011, por último, "123456" y "password" simplemente intercambiaron posiciones entre sí como primera y segunda contraseña de la lista.

Es decir, durante cinco años estas dos contraseñas han sido constantemente las dos más usadas, lo que no deja de ser preocupante porque no se aprecia una tendencia hacia la mejora. Año tras año, seguimos usando las mismas, igual de fáciles, igual de peligrosas. Y con la cantidad de noticias sobre ataques, filtraciones de contraseñas, vulnerabilidades, phishing y demás, ¿cómo es posible que estas personas no se tomen sus contraseñas en serio?

Carlos Roberto y Guillermo Julián, dos redactores con amplia experiencia en estos temas, responden con algunas pistas: "La mayoría de los usuarios lo único que buscan es la comodidad de una contraseña fácil de recordar. Además, muchos sitios web piden una contraseña de mínimo 6 u 8 caracteres, y ahí '123456' o 'password' encajan perfectamente", dice Carlos. Guillermo añade que "no hay una conciencia de seguridad, la gente sigue pensando que a ellos no les va a pasar".

Por su parte, Pablo González, Technical Business Manager de Eleven Paths, coincide en el factor comodidad: "Para muchos usuarios, cuando un sistema le hace poner una contraseña para proteger su identidad digital, le están poniendo en un compromiso. Por esta razón, muchos usuarios buscan contraseñas sencillas y fáciles de recordar"

Un experto en cibercrimen de los cuerpos de seguridad del Estado con el que hemos contactado también defiende la teoría de que la mayoría de la población carece de suficiente concienciación en cuanto a su seguridad en Internet:

Como la gente usa habitualmente el ordenador, el móvil o la tableta en casa o en espacios que considera seguros, por extensión cree que por usarlos en ese contextotambién son seguros. Si a eso le unimos el desconocimiento (de la mayor parte) de los usuarios de Internet de cómo funciona la red, esto hace que la gente no se tome tan en serio la seguridad de sus dispositivos y servicios informáticos como la de otros ámbitos de su vida.


La educación es la clave
Decíamos antes que el objetivo de SplashData con la publicación de este informe escrear conciencia, y de educar de alguna forma a la gente en el uso de contraseñas seguras. Y precisamente ahí, en la educación, es donde está la clave. Carlos Roberto habla incluso de empezar desde niños, en el colegio, y Guillermo Julián menciona cursillos de formación e incluso campañas publicitarias.

El problema está en la resistencia natural del ser humano al cambio, y en que el usuario, como dice Carlos, "prefiere vivir en la comodidad de la falsa seguridad de Internet a saber que su contraseña se puede descifrar en menos de diez segundos" (algo que, por otro lado, seguramente desconozca).

De hecho, según Pablo González, "el usuario sólo ve el peligro cuando un incidente de seguridad, como puede ser un robo de identidad digital, se traduce en algo que le afecta directamente". Es cuestión, por tanto, de ser hacerles conscientes de que gran parte de su información personal (nombre, documentos, datos sanitarios y financieros...) está a un solo clic, y cualquiera que pueda conseguir su contraseña podrá acceder a ella. Una buena de hacerlo, como dice Pablo, es mostrarles ejemplos reales de casos de este tipo.

Otro aspecto importante a tener en cuenta es el tipo de usuario. Con el acceso a Internet cada vez más fácil, y la proliferación de dispositivos con conexión, encontramos todo tipo de personas al otro lado del teclado, desde niños hasta octogenarios.

450_1000.jpg

Precisamente los usuarios de más de 60 años y los adolescentes están en los grupos de más riesgo según los datos de SplashData, algo en lo que coincide el experto en cibercrimen que hemos consultado: "Ahora hay mucha gente mayor y niños pequeños usando la red, y suelen ser mucho más confiados que otros usuarios. También están menos preocupados por la seguridad y por tanto pueden convertirse en víctimas potenciales de todo tipo de delitos informáticos". Ellos deberían ser, por tanto, los primeros en recibir esa más que necesaria formación en temas básicos de seguridad.

¿Hay perspectivas de mejora?
Si repasamos los cinco informes de SplashData, la primera conclusión es bastante negativa. Pero hay pequeños detalles que alimentan la esperanza de una creciente conciencia de seguridad.

Para empezar, es importante tener en cuenta el porcentaje de usuarios que utilizan esas contraseñas. De acuerdo con los datos que maneja SplashData, de los más de dos millones de usuarios y contraseñas usados para la elaboración del listado de las peores contraseñas, sólo un 3% de las cuentas filtradas usaban esas 25 contraseñas del listado. El porcentaje es coherente con las cifras de otros años, pero la tendencia general es a la baja - es decir, cada vez más personas se pasan a las contraseñas seguras.

Por otro lado, ciertos datos del listado de este año hacen pensar que la gente empieza a tomar conciencia de su seguridad online. Por ejemplo, algunas contraseñas más largas que la media (10 caracteres) debutan en la lista, pero son simplemente versiones alargadas de las claves más simples ("1234567890" y "qwertyuiop"). En palabras del CEO de SplashData, Morgan Slain: "Hemos visto el esfuerzo de la gente por usar contraseñas más seguras haciéndolas más largas, pero están basadas en patrones tan simples que siguen siendo igual de peligrosas".

Hablando de nuevo con Carlos Roberto y Guillermo Julián, las conclusiones son claras: hay mejoras en cuanto a la tecnología, pero hace falta algo más. "Los sistemas de autentificación en dos pasos son un paso adelante", dice Carlos. "El problema es que hay un choque de intereses, donde a los servicios les interesa que el acceso sea fácil, (no tanto seguro) y a los usuarios les da igual".

450_1000.jpg

Guillermo también menciona la importancia de desarrollar nuevos métodos de identificación más seguros, a la vez que se mejoran los procesos para detectar intrusiones y paliar sus consecuencias. En ese aspecto, Carlos habla de un punto importante: el de hacer los sistemas de seguridad accesibles para todos, incluso los usuarios de nivel más básico: "Muchos de los sistemas de seguridad se tienen que repensar para que los puedan utilizar todo tipo de usuarios de forma fácil, pero también con todas las medidas de seguridad necesarias. En este aspecto se ha trabajado muy poco y parece que los sistemas de seguridad se diseñan para usuario expertos, no para todo el mundo."

Al final, la mejor solución será la que combine un mínimo de formación en el usuariocon las herramientas más adecuadas para proteger los datos a ambos lados: tanto en el servidor donde se alojan, como en el acceso a los mismos desde nuestros dispositivos. De momento llevamos cinco años usando "123456"; veremos qué nos depara 2016.

https://www.genbeta.com/seguridad/c...posible-y-por-que-nunca-lograremos-eliminarla
 
Nota publicada en 2016 pero de absoluta actualidad para este tema
Las contraseñas más usadas de 2016 son las que imaginas... con algunas sorpresas
Las brechas de seguridad y las filtraciones de datos suponen una gran preocupación hoy en día. Sin embargo, puede que tengan algo bueno. Las filtraciones de contraseñas puede que den pie a que se tomen como objetivo cuentas individuales, pero también son una ventana fascinante al nivel de seguridad que parte del público considera suficiente para usar servicios online.

Todos conocemos a alguien que insiste en usarcontraseña o password como su clave de acceso, o algo tan inseguro como 123456. Keeper Security ha publicado una lista de las contraseñas más comunes de 2016, y aunque estos casos old but gold siguen estando en los primeros puestos, hay unas cuantas sorpresas entre todo este miasma de despropósitos de seguridad.

Las contraseñas más usadas el pasado año

450_1000.jpg


El top 10 de las claves más usadas son como sigue en orden inverso: 987654321,123123, password, 1234567, 1234567890, 111111, 12345678, qwerty, 123456789 y, como no podía ser de otra manera, 123456 plantada firmamente en el número uno. En este sentido no hay sorpresas, y como siempre lo que resulta notable (aparte de que cualquiera podría adivinarlos en un ataque de fuerza bruta), es que son bastante cortas.

Aparte de estas, hay otras que parecen más seguras en puestos más avanzados de la lista, como 1q2w3e4r y zxcvbnm, pero basta con teclearlas uno mismo para ver por qué son tan populares. Por otro lado, en los puestos 15 y 20 de la lista, tenemos18atcskd2w y 3rjs1la7qe. Parecen contraseñas seguras, pero expertos en seguridad informática como Graham Cluley tienen una teoría con respecto a ellas:

Lo que creo que ha pasado con estas cuentas es que fueron creadas por bots, quizá con la intención de generar spam.

Los escritores de bots han decidido quedarse con unas contraseñas genéricas en lugar de optar por escribir código para que se generen automáticamente. Con respecto a los malos hábitos de los usuarios, vale la pena señalar que aunque la mayoría de estas contraseñas se usan para tener algo fácil de recordar existen reglas mnemotécnicas para memorizar contraseñas complejas que quizá sería hora de ir aplicando.

Vía | Keeper Security
Imagen | TheDigitalWay

https://www.genbeta.com/seguridad/l...16-son-las-que-imaginas-con-algunas-sorpresas

0 de
Las contraseñas están más seguras en la agenda de papel que en una hoja de cálculo
450_1000.jpg


Las contraseñas en la empresa son un problema. Si tenemos una política de seguridad que obligue a cambiarla cada mes y no poder repetir las anteriores, incluir mayúsculas o minúsculas, etc. muchos usuarios se sienten incómodos. Al final acaban registrando todas las contraseñas en una hoja de cálculo dentro del equipo, cuando lo cierto es que las contraseñas están más seguras en la agenda de papel que en una hoja en el escritorio de tu equipo.

Si no podemos acordarnos de todas las contraseñas y no utilizamos un gestor de contraseñas para que nos guarde todas las que necesitamos para acceder, no ya sólo al ordenador, sino a múltiples sitios web, correo electrónico, etc. lo mejor es tenerlas anotadas, pero no como un documento digital.

Se trata de poner un pequeño cortafuegos ante un problema de seguridad. Lo más probable es que muchas de estas contraseñas no se cambien o no se actualicen a lo largo del tiempo. Si tenemos un incidente de seguridad o alguien consigue acceder a nuestro ordenador todas las contraseñas quedarán expuestas. El riesgo de tener todo apuntado en una agenda en el trabajo y que alguien nos las robe es menos que tenerlo en un documento digital.

En otros casos los usuarios siempre utilizan las mismas contraseñas para todos los servicios. El principal inconveniente de esta cuestión es que cuando se adivina, se pueden acceder a todos los servicios y aplicaciones que utiliza el usuario, como en un sistema de vasos comunicantes. En todo caso es necesario encontrar un sistema que sea amigable para el usuario y a la vez mantenga en nivel de seguridad adecuado.

En los servicios web lo ideal es utilizar la verificación en dos pasos siempre que sea posible, pero lo cierto es que este tipo de sistemas de doble identificación nos suelen utilizarse en las aplicaciones y sistemas operativos de escritorio. Por eso se necesita encontrar una fórmula intermedia entre seguridad y usabilidad para los trabajadores.

https://www.pymesyautonomos.com/tec...la-agenda-de-papel-que-en-una-hoja-de-calculo
 
1408783369-kn0E--620x349@abc.jpg

La bandera de China en el edificio que Google poseía e China en 2010, antes de su veto - AFP
Las ONG en contra de Google: «¿Va a ceder datos si el gobierno chino se los pide?»
Tras la filtración de que la compañía tecnológica está trabajando en un algoritmo que se adapte a la censura del país, las organizaciones defensoras de los Derechos Humanos levantan el hacha de guerra

La República Popular China cuenta con casi 1.400 millones de habitantes y más de 1.500 millones de suscriptores con móvil. En la era en que las relaciones pasan a través de un «smartphone», un mercado emergente y con tanto potencial de desarrollo es demasiado tentador para las tecnológicas que, aunque cuentan con el veto del gobierno de Pekín a través del llamado «Gran cortafuegos» (llamado así en honor a su edificación más célebre), no dejan de frotarse las manos.


Es por eso que Google pasará por el aro y, después de prohibirse sus servicios durante diez años, su buscador de contenido podría ser readmitido, según una exlusiva de The Intercept. Eso sí, en él los chinos no podrán encontrar información sobre derechos humanos, religión o protestas pacíficas tales como las de la Plaza de Tiananmen en 1989. Nada que esté dentro de la lista negra estipulada por los mandatarios chinos, quienes han sido denunciados por diferentes organizaciones por violar repetidamente las libertades civiles.


«Será un día sombrío para Internet»
«Si para acceder a su mercado Google ha aceptado las extremas normas de censura establecidas por China, será un día sombrío para la libertad en Internet. Resulta imposible ver cómo semejante decisión es compatible con el lema de Google ‘Haz lo correcto’, y pedimos a la empresa que cambie de rumbo», afirma en un comunicadoPatrick Poon, investigador de Amnistía Internacional sobre el terreno. El mismo Poon califica de «fuerte ataque a la libertad de información» los pasos de Google, quien «sentaría un escalofriante precedente y daría la victoria al gobierno chino».

Por otro lado, señala una de las incógnitas más importantes sobre este movimiento, relativa a la Ley de Ciberseguridad de China aprobada en 2016, por la que el gobierno puede restringir el anonimato de la red, exigir datos personales de usuarios en su país (sean o no ciudadanos chinos) o «soporte técnico» en investigaciones nacionales. «¿Va Google a ceder y entregar datos personales si las autoridades chinas se los piden?», se pregunta el responsable de Amnistía Internacional.


En la misma línea se muestra Maya Wang, su homóloga en la ONG Human Rights Watch: «Que Google esté desarrollando esta versión censurada de su motor de búsqueda en medio de una dura campaña nacional contra los derechos humanos en China es alarmante», explica a ABC la responsable de la ONG en el país. Además, apunta a la posibilidad de que este algoritmo censor del buscador «instigue los abusos del gobierno» a los ciudadanos.


Las otras interesadas
No sería lel primer intento de la firma por volver a competir en el mercado asiático. La compañía ha invertido grandes sumas en empresas chinas que pueden dar soporte a sus servicios online (entre ellas, JD.com, el «Amazon» local) y tiene planeado abrir un centro de investigación de inteligencia artificial.


Tampoco habría sido la única tecnológica vetada que intenta su regreso: LinkedIn, la red social laboral por excelencia, censura contenido en China. O Facebook, que también desarrolló un algoritmo que respete las exigencias chinas y no muestre resultados «incómodos», tuvo durante unas horas el permiso para abrir una filial en la provincia china de Zhejiang, aunque finalmente se prohibió su establecimiento.

https://www.abc.es/tecnologia/redes...gobierno-chino-pide-201808030230_noticia.html
 
hackers-famosos-k5VG--620x349@abc.jpg

Recopilación de los 5 hackers, de izq a drcha: Kevin Mitnick, Kevin Poulsen, Jonathan James, Adrian Lamo y Albert González - ABC
Las fechorías de cinco de los hackers más famosos de la historia
Algunos de estos hábiles informáticos fueron parte de las listas de los cibercriminales más buscados, otros se pasaron al lado de la ciberseguridad tras su periplo


En las fauces de la informática surgen nombres de hackers que durante años rellenaron titulares de periódicos. Algunos de ellos fueron parte de una larga lista de criminales de la piratería informática. Otros decidieron dedicar sus esfuerzos a la ciberseguridad; en muchos casos, una elección tomada a posteriori de haber pasado por el bando que permanecía al margen de la ley.

Hasta la fecha, se ha diferenciado a los buenos de los malos como «white hat» y «black hat», pero desde el pasado año está aceptado tratar a todos de hackers (sean de un bando o de otro). Porque para bien o para mal, todos son partícipes del desarrollo de la ciberseguridad. Los malos porque tratan de entrar a un sistema y los buenos porque intentan evitarlo pensando como un «black hat» o subsanan la vía de acceso que localizaron los ciberdelincuentes.

12345

Kevin Mitnick

kevin%20mitnick-kybC--510x287@abc.jpg

Foto de archivo de uno de los más famosos "hackers" de la historia de la informática moderna, el norteamericano Kevin Mitnick - Rober Solsona

Kevin Mitnick (1963), nacido en Los Ángeles, comenzó sus primeros pasos sin lo que propiamente haría un hacker: sin un ordenador. En vez de eso, empezó por empaparse del comportamiento de los empleados de determinados sectores para extraer información valiosa. A la corta edad de 13 años supo cómo engatusar a un conductor de autobús para desarrollar una réplica de los billetes para viajar gratis. No fue hasta años después que su destreza en informática tomaría como punto de partida el pirateo a las redes telefónicas, técnica de moda en la época más conocida como «phreaking».



A principios de los años 80 fue acusado de robar manuales privados a la compañía telefónica Pacific Bell y de piratear el sistema NORAD (por sus siglas en inglés: Comando de Defensa Aeroespacial de Norteamérica). Esta «hazaña» le llevó a convertirse en fuente de inspiración de la película Juegos de Guerra (1983). Por lo que no es de extrañar que en esa década fuera apodado por el departamento de Justicia como el «delincuente informático más buscado en la historia de Estados Unidos».

Su particular juego por intentar acceder a cualquier sistema, del que no obtenía nada más que la mera satisfacción de haberlo logrado, se convirtió en una obsesión retribuida con más de una estancia en la cárcel. Tras hackear a entidades como Nokia, Motorola o el Pentágono, fue condenado a cinco años de cárcel. Sin embargo, nunca se refirió a sus actividades como piratería informática, si no como «ingeniería social» por lo que fue el primero en acuñar este término.

Tiempo después decidió abandonar sus malos hábitos, colgó el sombrero negro y se puso el blanco, y se pasó al lado de la ciberseguridad montando su propia empresa. O eso era lo que parecía, porque en 2014 lanzó un portal de venta deherramientas «exploits» de software crítico poco seguras (sin parchear) a cambio de ingentes cantidades de dinero.

Lo cierto es que durante muchos años, supuestamente se le relacionó con más de un delito que no hizo por el desconocimiento de la Justicia en temas de ciberseguridad. En su autobiografía «Un fantasma en el sistema» admite más de una fechoría, a la par que desmiente otras. Al menos, según su versión.

Adrian Lamo

Adrian-Lamo-ky8F--510x287@abc.jpg

Fotografía de archivo de Adrian Lamo - Reuters

Adrian Lamo (1981) nació en Boston, pero nunca perteneció a ninguna parte. Fue apodado como «el hacker sin hogar» porque solía deambular sin rumbo y usaba las cafeterías y las bibliotecas como base para sus fechorías. Lo que exponía en menor grado a ser detectado al emplear una red wifi diferente. Años después, descubriría que su actitud disocial estaba relacionada porque tenía asperger.

Este hacker comenzó por pequeñas «jugarretas» como usar una herramienta de administración de contenidos de Yahoo no protegida para modificar un artículo de «Reuters». Y así, poner en evidencia al ex Fiscal General de los Estados Unidos John Ashcroft, tergiversando sus palabras. Pirateaba sistemas y luego lo notificaba a los usuarios de ese servicio o portal y a la prensa. Por lo que, actuaba en cierta manera como un investigador independiente.

Sin embargo, su buena voluntad acabó cuando hackeó la intranet de «The New York Times» para incluirse en una lista de fuentes expertas en piratería informática y recabar información de personajes públicos de gran importancia. También pirateó a otras empresas como Microsoft y el Banco de América.

Su último periplo fue el de entregar a la ex soldado y analista de inteligencia de ejército de Estados Unidos Chelsea Manning por filtrar documentos clasificados. Entre otras cosas, presuntamente entre el material filtrado había entregado a WikiLeaks un vídeo en el que mostraba a soldados estadounidenses asesinando a un fotógrafo de «Reuters» y a otros civiles en Afganistán.

Adrian Lamo falleció el pasado marzo de este 2018 por causas que aún no se han hecho públicas. Aunque la Policía local de la ciudad donde se halló el cadáver en Wichita (Kansas) no sospechaba de que hubiera sido asesinado, lo cierto es que recibía constantemente amenazas.

Kevin Poulsen

kevin-poulsen-kLhB--510x287@abc.jpg

Kevin Poulsen, editor de «Wired» - Wired

El apodado hacker «Dark Dante» (1965) pirateó con 17 años la red del Pentágono (Arpanet), ante lo cual se libró de la cárcel porque al ser menor de edad prefirieron castigarlo con una advertencia y no un juicio. Dicho escarmiento no frenó a este joven nacido en Pasadena (California), ya que las autoridades sospecharon que había generado una base de datos de información de una investigación cerrada sobre el ex presidente del Filipinas Ferdinand Marcos.

Tras ver lo que se le venía encima, tuvo que pasar a la clandestinidad durante 17 meses. Momento en el que aprovechó para piratear la red telefónica de un programa de radio para asegurarse ser el ganador de un Porsche. Además, Poulsen se burló del FBI pirateando varios ordenadores federales y revelando detalles de escuchas telefónicas de consulados extranjeros. Por lo que recibió un segundo apodo como «el Hannibal Lecter de los delitos informáticos», por las numerosas leyes que había contravenido.

Sin que le pareciera poco ser un fugitivo, durante un programa de televisión que le mostraba en pantalla como uno de los hackers más buscados, en el momento en que apareció el teléfono para que cualquier espectador aportara cualquier información, las líneas telefónicas se cancelaron en ese instante.

Finalmente, Kevin Poulsen fue capturado y condenado a tres años de prisión, y a no acercarse durante una temporada a ningún ordenador. Cuando salió de la cárcel en 1995 cambió la informática por el periodismo y actualmente se desempeña como editor principal de «Wired» y escribe sobre informática. Aunque no abandonó del todo su amor por los ordenadores, porque en 2006 llevó a las fuerzas del orden ante más de 700 depredadores sexuales que merodeaban por MySpace en busca de menores.

Albert González

albert-gonzalez-kMB--510x287@abc.jpg

ABC

En el instituto era considerado un líder de «frikis» de la informática, los que le valoraban como tal no sabían cuán lejos eran capaces de llegar sus habilidades. Se hizo asiduo a un portal de comercio criminal llamado «Shadowcrew.com». Sin embargo a los 22 años fue arrestado en Nueva York por fraude con tarjetas relacionado con el robo de datos de millones de cuentas.

Para evitar ir a la cárcel le ofrecieron un trato. Trabajar como informante del servicio secreto del sitio web en el que se había labrado un nombre y una reputación. Las fuerzas del orden llevaban tiempo detrás de procesar a los integrantes de ese servicio. A cambio, recibía la notoria compensación económica al año de 75.000 dólares.

Sin embargo, la avaricia le pudo más. 75.000 dólares le eran insignificantes en comparación de todo el dinero que podía obtener con dichas actividades ilícitas. Por lo que empezó a ejercer un doble papel dentro de ese portal, como informante y como delincuente.

En 2010 fue sentenciado a 20 años de prisión después de confesar haber robado millones de cuentas personales de tarjetas de crédito y débito. Fue considerado el mayor caso de delito informático de Estados Unidos. Actualmente continúa en prisión cumpliendo su pena.

Jonathan James

jonathan-james-kMB--510x287@abc.jpg





    • Con 15 años Jonathan James (1983), originario de Miami, dejó a Estados Unidos perplejo, porque consiguió entre otras cosas acceder a los servidores de la NASA, descargarse el código fuente de la Estación Espacial Internacional, piratear al departamento de Defensa y al Centro Marshall para Vuelos Espaciales

      Tras ser descubierto, «C0mrade», como también era conocido, se convirtió en el primer menor de edad de Estados Unidos en ser condenado por piratería informática a la edad de 16. Finalmente, su condena fue indulgente. Fue condenado a seis meses de arresto domiciliario y libertad condicional hasta cumplir los 18 años, momento en el que falleció su madre. A pesar de que no haber sido ordenado su ingreso en prisión, fue enviado a la cárcel seis meses por dar positivo en drogas.

      En 2008, el servicio secreto entró por la fuerza en su casa porque sospechaban que estaba involucrado en el robo demillones de tarjeta de crédito, investigación vinculada a otro pirata informático, Albert Gonzáez, y al portal de venta «Shadowcrew.com». Cierto es que James admitió conocer a algunos de los hacker involucrados en el caso «TJX Hacker», porque era un «mundillo» pequeño, pero siempre negó tener nada que ver con los delitos.

      Para este joven, la piratería era un reto del que parecía no querer obtener ninguna retribución económica. Sus actividades no generaban lucro y tenía muy poco dinero. Sin embargo, James empezó a tener miedo de ser usado como chivo expiatorio. Lo que tristemente le llevó a suicidarse el 18 de mayo de 2008 a los 24 años. Antes de morir dejó una carta alegando que no «confiaba en la justicia», como asegura el «Daily Mail».
https://www.abc.es/tecnologia/redes...as-famosos-historia-201808060411_noticia.html







 
La historia del supuesto hacker de 20 años que está siendo acusado de robar más de 5 millones de dólares en bitcoins
450_1000.jpg


Joel Ortiz, un joven estudiante de 20 años de Boston, Estados Unidos, fue detenido en el aeropuerto de Los Ángeles cuando se dirigía a Europa, ¿la razón? Está siendo acusado de ser la cabeza de un grupo dehackers dedicados a robar criptomonedas.

Las autoridades de California mencionaron que Ortiz tiene denuncias de más de 40 personas a quienes supuestamente les habría secuestrado sus números de teléfono móvil, lo que lo habría ayudado a robar más de cinco millones de dólares en criptomonedas, principalmente bitcoins.

El 'SIM swapping' ataca otra vez
Ortiz es el primer caso denunciado en Estados Unidos de robo de criptomonedas usando el 'SIM swapping', una técnica que empieza a volverse muy popular para ataques, sólo basta recordar el caso del reciente hackeo a Reddit. El 'SIM swapping' consiste en engañar a la operadora móvil para que transfiera el número telefónico de una víctima hacia una SIM en propiedad del hacker.

Una vez que el atacante tiene la SIM con el número de su víctima, el siguiente paso es cambiar sus contraseñas, principalmente de correo electrónico y redes sociales, así como de sus carteras de criptodivisas como en este caso en concreto. Al tener el número telefónico, tampoco importa que las cuentas estén protegidas por autenticación de dos pasos por medio de SMS, ya que todo se recibe en el SIM secuestrada.

Joel Ortiz enfrenta un total de 28 cargos: 13 por robo de identidad, 13 por hackeo y dos por robo mayor. Todas las demandas provienen de inversores en criptodivisas y participantes de la pasada conferencia Consensus, que se llevó a cabo en Nueva York el pasado mes de mayo, y la cual se enfoca en temas deblockchain y criptomonedas.

450_1000.jpeg

De acuerdo a los primeros datos de la investigación, Ortiz pertenece al grupo autodenominado OGUSERS, quienes se encargan de hackear e intercambiar cuentas de personajes famosos e importantes en Twitter e Instagram, donde el objetivo es siempre tratar de robar criptodivisas.

En todos los casos, las víctimas reportaron que su número de teléfono móvil había muerto, y cuando se acercaron con su operadora para recuperarlo, es cuando se percataron del robo. Entre los afectados, está un inversor que perdió millón y medio en bitcoins, y un empresario que perdió un millón.

Según los investigadores, Ortiz ya había atacado antes, entre febrero y marzo, a un inversor de quien secuestró su número en dos ocasiones, restableciendo sus contraseñas de Gmail y accesos a sus sitios de carteras de criptomonedas. Incluso aseguran que Ortiz uso el número para llamar y amenazar a la esposa e hija de su víctima.

Las autoridades tuvieron que ejercer presión a las tecnológicas
Allied Alforcement, un grupo integrado por diversos especialistas en delitos cibernéticos de la policía de California, fue el departamento encargado de investigar las actividades de Ortiz. Enviaron solicitudes de información a la operadora AT&T, donde pedían el registro de llamadas de los números robados mientras estaban secuestrados, con lo que encontraron dos IMEI que apuntaban a dos smartphones Samsung con Android.

450_1000.jpg

Una vez que tuvieron los IMEI de los smartphones, lo siguiente fue ponerse en contacto con Google para pedir todos los datos conectados a esos smartphones. Aquí fue donde encontraron una cuenta de Gmail y una de Microsoft, las cuales mostraban la actividad de Ortiz, como cambios de contraseñas, conversaciones con otros miembros de OGUSERS y datos para el SIM swapping. Así como pruebas del intercambio de bitcoins en sitios como Coinbase, Bittrex y Binance, donde aseguran hay movimientos millonarios.

Asimismo, AT&T también proporcionó un documento con todos los números que se activaron en esos IMEI durante el mes de mayo, y es así como descubrieron que habían sido más de 40 los afectados, ya que sólo algunos denunciaron. Una vez que tuvieron los números, lo siguiente fue llamar a los dueños y preguntar si habían sufrido algún robo durante mayo, lo cual fue determinante para emprender acciones legales en contra de Ortiz.

Las autoridades aseguran que hasta el momento han logrado confiscarle a Ortiz 250.000 dólares en bitcoins, pero no han podido encontrar el resto del dinero en otras criptomonedas.

A día de hoy, Ortiz está encarcelado en California y se le ha fijado una fianza de un millón de dólares, aunque este 9 de agosto se llevará a cabo su audiencia donde se espera que se declare culpable y se ofrezca para ayudar a capturar al resto de los miembros de OGUSERS. Algo que, en teoría, le ayudará a reducir su sentencia.

https://www.xataka.com/criptomoneda...ndo-acusado-robar-5-millones-dolares-bitcoins
 
Debes estar registrado para responder.

Temas Similares

Entre cookies y privacidad
Respuestas
0
Visitas
759
Serendi
S
¿Sabes cómo proteger tu privacidad en Linkedin?
Respuestas
0
Visitas
889
Serendi
S
Nuevos controles de privacidad de Google, cómo usarlos
Respuestas
0
Visitas
5K
Serendi
S
Guía de privacidad y seguridad en Internet.
Respuestas
3
Visitas
1K
Serendi
S
Las exigencias de privacidad ponen en jaque a los gigantes de la tecnología
Respuestas
1
Visitas
543
Bombilla
B
Back