Ciberseguridad - Privacidad - Fake News - Ciberdelitos

Esto es lo que tardaría un hacker en romper tu contraseña por fuerza bruta, pero ahí no acaba la cosa

Esto es lo que tardaría un hacker en romper tu contraseña por fuerza bruta, pero ahí no acaba la cosa



Las contraseñas importan. Lo hacen cada vez más, de hecho: nuestra dependencia de servicios online en los que usamos un usuario y una palabra clave es creciente, pero es difícil convencer a muchos usuarios de que deberían tener mucho cuidado a la hora de elegirlas y usarlas.
Dos son los consejos ya eternos en este ámbito: usar contraseñas fuertes (complejas) y no reutilizar contraseñas para diversos servicios. Cometer un error sobre todo en el primer caso nos expone de forma notable, y un estudio en el que se visualiza el tiempo que tardaría un hacker o un cracker en averiguar nuestra contraseña por fuerza bruta quizás logre convencer a muchos de una vez por todas de lo importante que es prestar atención a la elección y gestión de contraseñas.

Con las contraseñas no se juega

Estamos en 2020 y la gente sigue usando como contraseña '123456'. Luego nos extrañamos de que haya robos masivos de contraseñas que tienen consecuencias nefastas para los usuarios: la suplantación de identidad y los robos de información y dinero se han convertido en algo tristemente común en los últimos tiempos.

Visualiz


Lo cierto es que aun eligiendo contraseñas más complicadas la cosa puede ser igualmente peligrosa para los usuarios. La creciente potencia de cálculo de los sistemas con los que se crackean contraseñas por fueza bruta ha hecho que incluso cadenas más largas sean asumibles para alquien que tiene tiempo y recursos para tratar de averiguarlas por ese sencillo método.


Una visualización del usuario de Reddit hivesystems a partir de datos de HowSecureIsMyPassword.net ha permitido revelar lo que se tardaría en desvelar contraseñas de distinta longitud y que usan distintos tipos de juegos de caracteres en un PC de gama media actual. Ese estudio está inspirado en un artículo similar que Mike Halsey, MVP de Microsoft, publicó en 2012.

Usar sólo números es por ejemplo muy mala política: incluso con contraseñas largas de 16 dígitos sería posible averiguarlas en tan solo 2 días. La cosa mejora cuando empezamos combinaciones de números con letras mayúsculas y minúsculas, pero ya puestos lo ideal es además utilizar símbolos (de interrogación o admiración, signos de puntuación, paréntesis, guiones y barras, etc) para lograr contar con una contraseña fuerte que sea muy difícil de romper.

Xkcd Pass


El problema de usar esas combinaciones complejas es, lógicamente, que son difíciles de recordar. Ahí es donde entran en acción los gestores de contraseñas, aplicaciones y servicios web como 1Password, LastPass o Dashlane, en los que contaremos con una contraseña maestra —que debe ser fuerte y debemos recordar sí o sí— y en el que ciertas reglas mnemotécnicas (como sustituir una o -mayúscula o minúscula- por un cero o una ele minúscula por un uno) pueden ayudar mucho, como explican los propios responsables de LastPass.

Espera, que aún hay más

En esa visualización, no obstante, hay (al menos) una puntualización importante que va más allá del tiempo estimado para romper esas contraseñas: quienes tratan de romperlas no suelen hacerlo por fuerza bruta, sino que usan diccionarios con palabras y cadenas de caracteres que forman parte de cierto idioma y en las que además se pueden aplicar esas reglas mnemotécnicas de las que hablábamos para ampliarlos.

Password3


Así, una herramienta para desvelar contraseñas puede probar a comparar el hash de palabras como "laboratorio" con el hash de la contraseña del usuario que se quiere intentar crackear, pero también con variaciones como "1aboratorio" o "1ab0rat0ri0", por ejemplo. Los buenos diccionarios, muy cotizados entre quienes se dedican a estos menesteres, son una valiosa ayuda para esta tarea, y pueden reducir de forma notable esos tiempos de la tabla.


Aún así, elegir contraseñas suficientemente largas y que hacen uso de símbolos, números y letras suele hacer que esa tarea sea suficientemente compleja hasta para quienes dedican por ejemplo servidores basados en GPUs y dedicados a esta tarea —y los hay desde hace años—. Eso, unido a los gestores de contraseñas, debería hacer que cualquiera estuviera razonablemente tranquilo.

Lo de razonablemente, en cursivas. Por si las moscas.

 
Qué es el 'vishing' y cómo evitar caer en el último timo que suplanta a la Seguridad Social y pide dinero por Bizum

Qué es el 'vishing' y cómo evitar caer en el último timo que suplanta a la Seguridad Social y pide dinero por Bizum


Haciéndose pasar por la Seguridad Social, nos piden que reembolsemos una cantidad a través de Bizum. Es el último timo del que ha alertado la Oficina de Seguridad del Internauta. Para materializar este fraude se utiliza la técnica del 'vishing', que vendría a ser el equivalente del 'phishing' a través de la voz.

Aquí os explicamos en qué consiste esta nueva estafa, cómo evitar caer en el engaño y qué otros ciberataques se han detectado que utilicen el 'vishing'.


En qué consiste el 'vishing'

Estos ataques utilizan ingeniería social para engañar a las víctimas a través de llamadas telefónicas. El atacante se hace pasar por un trabajador, técnico o una organización como es el caso de la Seguridad Social y bajo este pretexto intenta que la víctima le facilite datos personales o bancarios y realice alguna aportación económica.
Como en el caso del 'phishing', el gancho puede ser muy distinto en cada ocasión. Desde participar en un sorteo, recoger un cheque regalo o recibir soporte técnico. El objetivo del atacante es engañar al usuario, en esta ocasión a través del número de teléfono.
La llamada puede realizarse desde un número móvil o fijo y los atacantes se basan en un reclamo inicial llamativo donde haga falta los datos del usuario para poder participar. Puede ser datos de la tarjeta de crédito para obtener una recompensa o que un falso soporte técnico convenza a instalar un programa que acabe siendo la puerta a un acceso remoto.

Sobre el timo de Bizum y la Seguridad Social

Bizum


En el caso de 'vishing' más reciente, tenemos un fraude donde una persona llama en nombre de la Seguridad Social e indica que van a recibir un reembolso con una cantidad de dinero concreto, como una prestación por maternidad o hijos a cargo para hacer frente a la crisis del Covid-19 y que se gestionará a través de Bizum. Pero una vez aceptada la transacción, en lugar de recibir un reembolso, recibe un cargo de una determinada cantidad de dinero.

El mensaje que recibe el usuario proviene de un remitente que aparece como TGSS, siglas de Tesorería General de la Seguridad Social. Sin embargo, el mensaje no es para recibir el pago, sino una petición de cobro. El problema viene que si el usuario no se percata de ello, se le realiza un cargo de más de 300 euros en algunos casos. Si uno se fija es fácil darse cuenta, pero el hecho de haber recibido la llamada y la falta de costumbre ha provocado que algunos usuarios caigan.




El problema del 'vishing' es que los atacantes cambian habitualmente de número de teléfono, por lo que no es tan sencillo como bloquear un determinado número.

Desde los organismos oficiales alertan que la Seguridad Social no utiliza la aplicación Bizum y que cualquier gestión ha de hacerse a través de páginas oficiales.

Panda Security alerta de esta estafa y explica que "los atacantes no llaman de forma indiscriminada a una base de datos de teléfonos aleatoria, sino que estudian primero a sus víctimas". Buscan información en redes sociales para crear un perfil, conocer su dirección y poder crear una mejor coartada.

El pasado mes de julio, la Guardia Civil desarticuló un grupo criminal establecido en Jaén, Granada y Málaga con la que estafaron más de 26.000 euros a 61 personas distintas.

Qué recomendaciones de seguridad debemos seguir

Antispam


Es importante señalar que el timo de Bizum se realiza con la Seguridad Social, pero bien podría ser con cualquier otra entidad en el futuro. El fraude por 'vishing' no es precisamente nuevo y afortunadamente hay una serie de consejos bastante sencillos para minimizar el riesgo.

La recomendación más importante es la de no facilitar ningún tipo de información personal ni bancaria a través del teléfono. En caso de dudas, hay que ponerse en contacto con el banco o la entidad con la que supuestamente estamos hablando, pero a través de vías oficiales y de ninguna manera repitiendo el número de teléfono con el que estás en contacto.
Hoy en día, algunas aplicaciones de llamadas como la de Google incorporan un filtro 'anti-spam'. En caso de que la aplicación detecte la llamada como fraudulenta, muy probablemente debamos estar alerta.

La Oficina de Seguridad del Internauta (OSI) y el INCIBE aconsejan vigilar regularmente qué información existe de nosotros en internet, para detectar si nuestros datos privados pueden ser utilizados sin consentimiento. En caso de encontrar un dato que no hayamos consentido, existe el derecho de acceso, rectificación, cancelación u oposición. Como siempre, lo más importante en este tipo de gestiones es actuar con calma y reflexionar antes de proporcionar ningún tipo de dato.

 
Parece un SMS de Correos pero es un ingenioso ataque de phishing: así funciona el 'SMS spoofing' para falsificar el remitente

1024_2000.jpg


"Estimado cliente, su paquete no se ha podido entregar porque no se han pagado las tasas de aduana (€ 1). Siga las instrucciones". Parece ser un SMS de Correos, pero realmente se trata de una estafa. Un caso recurrente que cada cierto tiempo vuelve a aparecer y afecta a centenares de usuarios. Estos días, tal y como han mostrado muchas personas en las redes sociales, ha vuelto a circular.

Pero uno de los peligros de estos mensajes es que no parecen enviarse desde una cuenta extraña, sino que aparecen en la misma sección donde anteriormente habíamos recibido otros SMS de Correos. Una maniobra para confundir al usuario e intentar que el SMS trampa genere más confianza.

Se trata de un claro caso de phishing, un uso fraudulento donde se nos reclama pagar para recibir el supuesto paquete retenido. Te contamos qué ocurre con estos SMS, cuál es nuestra recomendación ante estos casos y cómo han logrado los atacantes hacerse pasar por Correos.

Una estafa que vuelve periódicamente

El mecanismo del SMS-estafa de Correos es sencillo. En primer lugar recibimos el mensaje de alerta con un remitente conocido y una advertencia que a la mayoría de usuarios le puede interesar. El "pago de tasas por aduana" es un cebo que no tiene por qué encajar con todos, pero sí despierta la curiosidad.

En caso de hacer clic en el enlace, se nos deriva a una web con un Captcha y el diseño de Correos. Esta web es aparentemente segura, pues dispone de un certificado SSL auténtico y dominio 'https' para darle veracidad. Sin embargo se encuentra en el dominio 'https://correos.es.packageupdate.club', lo que ya nos indica que algo extraño ocurre. Posteriormente al Captcha, es donde el SMS nos solicita nuestros datos personales y la tarjeta de crédito.

Phising Correos


Llegados a este punto, queda claro que la recomendación es no abrir el enlace y no ofrecer ningún dato personal. En caso de haber abierto el enlace no hay problema, pero si por casualidad llegaste a dar tus datos bancarios, recomendamos acudir al banco y cambiar la contraseña de tu cuenta.

Desde Correos explican a Xataka que “estos intentos de phishing se producen
periódicamente
”. La último oleada reconocida por la propia Correos fue a principios del pasado mes de septiembre, donde desde sus redes sociales ya enviaron un mensaje de advertencia. Como se puede ver por las imágenes, en aquel momento el SMS hacía referencia a la fecha 02/09, mientras que en los SMS recibidos durante los últimos días se habla del 11/10.


“Correos no envía por SMS aquellas comunicaciones que requieran acción del usuario, simplemente notificaciones”, nos explica la compañía. Es un patrón que también aplica a otras entidades como los bancos, donde siempre que hay algún problema no es directamente a través de un enlace donde se nos ofrece la solución. Esto es así para evitar intentos de phishing.

A diferencia de los correos engañosos que algunos atacantes envían, este SMS-estafa tiene la particularidad que se “cuela” entre el resto de SMS verídicos. ¿Se han visto los sistemas de Correos comprometidos? ¿Han aprovechado los atacantes un fallo de seguridad para enviar estos mensajes? “No, se trata de un mensaje de phishing habitual”, responden desde Correos. “
Esta última oleada de SMS ha coincidido en el tiempo con el hackeo de la cuenta de Correos Atiende. Sin embargo, desde Correos nos explican que se trata de un problema puntual de esa red social y ya se trabaja para solucionarlo con Twitter España. “En ningún caso los dos temas están relacionados”, aseguran.

Qué es el SMS spoofing o cómo falsificar el remitente de los SMS

¿Cómo logran los atacantes enviar estos SMS haciéndose pasar por Correos? La respuesta nos la apunta Deepak Daswani, experto en ciberseguridad y cofundador de Hackron, el Congreso anual de Hacking en Tenerife. "Hay formas de hacerlo, pero lo más fácil es contratar un servicio de SMS para dar forma al ID del usuario o remitente".

"Hay servicios de este tipo gratuitos, donde se contrata un proveedor externo de otro país y te deja enviar mensajes con el remitente que tu quieras", nos explica Deepak. Es lo que se conoce como el SMS Spoofing, una técnica que permite enviar un mensaje desde una fuente desconocida, haciéndote pasar por una fuente conocida.

La técnica del 'Spoofing' también se aplica a correos electrónicos, llamadas o incluso direcciones IP o DNS. En todos ellos el objetivo es el mismo; suplantar una identidad concreta para hacer creer que el mensaje o llamada lo envía una persona de confianza. Algo que en estos SMS-estafa sería Correos.
Y es que falsificar mensajes es tan fácil, que incluso los Tribunales deberían ser cautelosos a la hora de permitir utilizarlo como única evidencia en un juicio. Falsificar un SMS es trivial, pues existen una gran variedad de aplicaciones y páginas web que ofrecen estos servicios, incluyendo mensajes de WhatsApp o Telegram.

Smsgang


Una de las webs que nos enseña Deepak es 'SMSGang.com'. "Si quieres probar a enviar texto de verdad, generalmente te piden que pagues". Se refiere a los créditos que solicitan estas páginas para poder enviar los 'fake SMS', porque pese a que sí existen webs gratuitas como 'Sendanonymoussms.com', aquellas que permiten modificar el campo del remitente suelen ser de pago.

Con webs como SMSGang podemos observar que el mecanismo es sencillo. En un primer campo nos solicita el número de teléfono al que queremos enviar el SMS, en un segundo campo está el "from", el apartado más importante pues será el identificador del remitente. Aquí hay servicios que únicamente permiten añadir un número de hasta 11 caracteres, pero también hay otros que permiten escribir un texto.

Precisamente con los SMS-estafa, los atacantes habrían utilizado la técnica del SMS Spoofing para escribir "from:Correos". Después únicamente fue necesario que la aplicación de mensajes del móvil, tanto en Android como en iOS, identificase que los SMS mantienen el mismo ID o remitente y los colocase en la misma sección.

Spoofing



Como nos explica Román Ramírez, organizador de RootedCON y experto en el mundo de la ciberseguridad en España: "El protocolo funciona así. No te haces pasar por Correos, pones 'CORREOS' en el from. Hay ocho mil servicios como este, en muchos solamente te dejan falsear el número origen, pero en otros puedes poner "dios"". Una técnica que como nos cuenta, da lugar a todo tipo de anécdotas.

Con una búsqueda rápida encontramos servicios como 'Spoofbox', 'Spoofmytextmessage' o 'Pranktexts'. Este último dispone de una sección de "cómo funciona" donde explica, entre otros detalles, que en caso de responder a uno de estos mensajes, el SMS irá directamente al remitente real.


Cómo protegerse de estos ataques de phishing

"Prácticamente no hay nada que se pueda hacer para evitar esto, al menos en móviles viejos es la operadora la que tendría que filtrar estos mensajes falsos", explican desde Spamloco. ¿Significa esto que no hay manera de detectar cuando el remitente es falso? No necesariamente, pero sí es un problema muy ligado a cómo funciona el protocolo SMS.

La primera recomendación es buscar indicios que nos hagan dudar de la legitimidad del mensaje. Aquí entran desde faltas de ortografía, frases inconsistentes o errores sin sentido. En otras ocasiones el nombre del remitente no es exacto. También ocurre que la URL de la página web que nos enlazan no es la habitual. Independientemente, la recomendación habitual de los expertos en seguridad es que nunca hagamos clic en estos enlaces que nos envían por SMS, mucho menos realizar gestiones desde ahí y en ningún caso añadir nuestros datos.

 
Cómo funcionan las apps que espían el uso de WhatsApp y crean un historial de hábitos de alguien sin su consentimiento

Cómo funcionan las apps que espían el uso de WhatsApp y crean un historial de hábitos de alguien sin su consentimiento



Siendo WhatsApp una de las aplicaciones de mensajería más utilizadas del mundo, se ha convertido también en una de las apps de las que más provecho se busca sacar por parte de terceros. Funciones para programar mensajes, características extra no disponibles en el cliente oficial, temas y personalización o tácticas de espionaje. Esto último es más común de lo que parece, y aparentemente imposible de evitar.
Hay gente que está realizando modificaciones no oficiales de Whatsapp para intentar llegar a todo lo que no ofrece ahora mismo

En Xataka
Hay gente que está realizando modificaciones no oficiales de Whatsapp para intentar llegar a todo lo que no ofrece ahora mismo
En un reporte de Business Insider detallan cómo hay una proliferación de apps de terceros que consiguen espiar la actividad de otros en WhatsApp sin su consentimiento. Si bien no consiguen obtener acceso al historial de conversaciones ya que estas están cifradas de extremo a extremo, sí que pueden obtener otro tipo de información para detectar tendencias o hábitos.
Screenshot
La descripción de una de las apps: "...automáticamente rastreamos las acciones de tus queridos en WhatsApp...", "...te notificaremos al instante cuando detectemos un movimiento..."
Las aplicaciones se promocionan a menudo como aplicaciones para control parental, con la idea de controlar si un hijo está usando WhatsApp en vez de estar estudiando por ejemplo. Aunque claro, otras directamente hacen referencia a actividades más negativas como "ver si tu amante está hablando con otra persona". Según Business Insider hay decenas de estas apps en Google Play Store y Apple App Store. Una búsqueda rápida en las tiendas de Google y Apple efectivamente devuelven varios resultados de apps por el estilo. Las apps suelen estar disponibles de forma gratuita con compras in-app que desbloquean todas las funciones o sin limitaciones.

Play
Los resultados devueltos en Google Play Store tras una búsqueda rápida de apps por el estilo.

'En línea', lo quieras o no

Pero, ¿qué hacen exactamente? Aprovechan una funcionalidad de WhatsApp que lleva disponible desde prácticamente que WhatsApp existe: 'En línea'. Cuando estamos dentro de la aplicación automáticamente aparecemos como en línea o disponible para el resto de usuarios. Esto es, en cierto modo, útil para que los demás sepan si deben o no hablarnos. En cierto modo, ya que entrar en la aplicación no siempre significa que uno esté disponible para hablar con el resto o con alguien en concreto.


Este simple aviso es suficiente para que este tipo de apps cumplan con su función de espionaje. Generalmente al iniciarlas por primera vez nos piden que insertemos el número o los números que nos interese "monitorizar". A partir de ahí siempre que ese número esté activo en WhatsApp la app nos puede enviar una notificación o crear un timeline cronológico con los intervalos en los que ese número ha estado utilizando WhatsApp durante el día.

Linea


La función de 'En línea' no se puede desactivar. No hay forma alguna de entrar en WhatsApp y utilizar la app sin que aparezca 'En línea' para el resto de usuarios. Si bien podemos desactivar la notificación de lectura u ocultar estados entre otros ajustes de privacidad, desactivar el 'En línea' no es posible. Tampoco hace efecto el tener desactivada la función que indica la última vez que nos hemos conectado. En otras palabras, guste o no estas apps van a seguir teniendo acceso a nuestra actividad sin consentimiento a no ser que WhatsApp cambie las funciones de privacidad.

Qué información pueden obtener de un usuario de WhatsApp

A priori que estas apps detecten cuándo alguien está en línea o no parece insignificante, a fin de cuentas se puede saber entrando directamente en WhatsApp y comprobarlo uno mismo. No obstante estas apps evitan que uno tenga que entrar constantemente y además dejan un registro de todas las veces que alguien se ha conectado. Un ejemplo del uso de esto: un jefe que monitorice si sus empleados están usando WhatsApp en las horas de trabajo.

Dos


Notificaciones de conexión a WhatsApp y un timeline de el tiempo de uso de Whatsapp por parte de un número que se está monitorizando.

Aparte de esto, algunas de las apps ofrecen características extra como puede ser por ejemplo estadísticas de cuánto tiempo y cuándo se ha conectado una persona. La función más peligrosa de todas quizás sea la de comparar cuándo dos números están online. Con esto la app "deduce" que esas dos personas han interactuado entre ellas comparando los tiempos en las que ambas han estado activas y en consecuencia podrían haber interactuado. Si bien no tiene la app forma alguna de demostrarlo, por el tiempo que ambas personas han estado activas cada minuto saca un porcentaje de posibilidad de interacción.

Artboard


Ejemplo de una de las apps en las que añadimos los números a rastrear y ofrece todo tipo de datos de uso, incluso las posibles interacciones entre dos números.

Cabe remarcar una vez más que ninguna de estas aplicaciones tiene forma alguna de acceder a las conversaciones de los usuarios debido a su cifrado. A pesar de todo, son apps que fuerzan y ayudan a violar la privacidad de un usuario en WhatsApp al monitorizar su actividad en la app.
En respuesta a Xataka, un portavoz de WhatsApp nos ofrece la siguiente explicación:
"WhatsApp proporciona controles de privacidad a los usuarios para proteger su foto de perfil, el estado "visto por última vez" y el de "acerca de". Mantenemos sistemas automatizados contra el abuso que identifican y previenen el abuso por parte de aplicaciones que intentan detectar información de los usuarios de WhatsApp, y trabajamos constantemente para mejorar nuestros sistemas con el tiempo. También solicitamos que las tiendas de aplicaciones eliminen las aplicaciones que abusan de nuestra marca y violan nuestros términos de servicio".
Vía | Business Insider

 

Ciberataque contra Estados Unidos: Microsoft advirtió que hackers rusos ingresaron en sus redes y accedieron a su código fuente

El gigante tecnológico aclaró que la agresión, atribuida por altos funcionarios norteamericanos al gobierno de Vladimir Putin, no pudo comprometer o modificar ninguno de sus programas​

31 de Diciembre de 2020



Microsoft fue una de las tantas empresas hackeadas por piratas informáticos rusos (REUTERS/Mike Segar/File Photo)
Microsoft fue una de las tantas empresas hackeadas por piratas informáticos rusos (REUTERS/Mike Segar/File Photo)

Microsoft reconoció este jueves que hackers rusos, los autores del masivo ciberataque contra redes informáticas gubernamentales y privadas de Estados Unidos, obtuvieron acceso a su “código fuente” interno, un elemento clave para la construcción de su software.


El gigante tecnológico norteamericano aclaró, no obstante, que el ataque, que altos funcionarios de Estados Unidos han atribuido al gobierno de Rusia, no pudo comprometer o modificar ninguno de sus programas.


“Detectamos actividad inusual en un pequeño número de cuentas internas, y al revisarlas descubrimos que una cuenta había sido utilizada para ver el código fuente en varios repositorios”
, señaló Microsoft en su blog de seguridad.



Y agregó: “La cuenta no tenía permisos para modificar ningún código o sistema de ingeniería y nuestra investigación confirmó que no se hicieron cambios”. Además, remarcó que este incidente “no puso en riesgo la seguridad de sus servicios o cualquier dato de los clientes”.


La empresa con sede en Redmond, Washington, apuntó que su investigación tampoco encontró indicios de que sus sistemas hayan sido utilizados para atacar a otros. Sin embargo, el diario The Washington Post informó la semana pasada que algunos de los clientes en la nube fueron hackeados a través de un socio tercero que maneja los servicios de acceso a la nube de la empresa.


Esta noticia supone que el ataque tuvo un alcance aún mayor de lo previsto en el software de seguridad de la empresa estadounidense SolarWinds.

[IMG alt="La sede de la empresa hackeada, SolarWinds, en las afueras de Austin, Texas (REUTERS/Sergio Flores)
"]https://www.infobae.com/new-resizer.../infobae/XJI4WZZ4T34PALWL3OGTYV5PZE.jpg[/IMG] La sede de la empresa hackeada, SolarWinds, en las afueras de Austin, Texas (REUTERS/Sergio Flores)

También se cree que esto pudo haber dado a los piratas informáticos rusos acceso a los sistemas operados por los Departamentos del Tesoro, Energía y Seguridad Nacional de Estados Unidos, y a una amplia gama de agencias gubernamentales y del sector privado.

Microsoft había reconocido anteriormente “aplicaciones SolarWinds maliciosas” en sus sistemas. Pero los últimos datos que obtuvo en su investigación interna revelaron que los hackers accedieron a sus sistemas más de lo que la empresa creía.


El gigante tecnológico comentó que fue el primero en alertar a varias agencias del Gobierno sobre el hecho de que habían sido comprometidos.

El fiscal general de Estados Unidos, Bill Barr, y el Secretario de Estado, Mike Pompeo, atribuyeron el ataque -que durante meses afectó instalaciones clave del gobierno y el sector privado- a Rusia, una posición que no comparte el presidente Donald Trump.


El pasado sábado 19 de diciembre Pompeo acusó a Moscú de haber organizado un ciberataque masivo cuyo objetivo era robar los secretos de múltiples agencias del Gobierno, incluidos el Pentágono y laboratorios nucleares.

[IMG alt="Hackers rusos penetraron los sistemas de seguridad de agencias federales y empresas privadas de EEUU (EFE/ SASCHA STEINBACH)
"]https://www.infobae.com/new-resizer.../infobae/FWDUU6CFLBHTBGNMVYADLVT5DE.jpg[/IMG] Hackers rusos penetraron los sistemas de seguridad de agencias federales y empresas privadas de EEUU (EFE/ SASCHA STEINBACH)

El jefe de la diplomacia norteamericana fue el primer miembro de la administración Trump que vinculó públicamente al Kremlin con el ciberataque.


“Creo que es cierto que ahora podemos decir con bastante claridad que fueron los rusos los que participaron en este suceso”, dijo Pompeo en una entrevista en el programa de radio “The Mark Levin Show”. “Fue un esfuerzo muy significativo (…) Todavía estamos averiguando exactamente lo que fue”, añadió.

El secretario de Estado había minimizado lo ocurrido al recordar que el país sufre ciberataques a diario, y había apuntado a China como el mayor responsable de éstos.


El pasado jueves 17 de diciembre, la Agencia de Ciberseguridad y Seguridad en las Infraestructuras de Estados Unidos (CISA, por su sigla en inglés) advirtió de que ese ataque informático supone un “riesgo grave” para el Gobierno federal, ya que ha comprometido “infraestructuras cruciales” en el país, por lo que será difícil de eliminar. “La expectativa de la CISA es que eliminar a este actor amenazante de los entornos comprometidos será enormemente complejo y difícil para las organizaciones” afectadas.

“Es probable que el adversario tenga más vectores de acceso inicial y tácticas, técnicas y procedimientos adicionales que aún no se han descubierto”, alertó la agencia.

Altos funcionarios de EEUU responsabilizan al gobierno de Vladimir Putin del masivo ciberataque (EFE/EPA/MICHAIL KLIMENTYEV/SPUTNIK)
Altos funcionarios de EEUU responsabilizan al gobierno de Vladimir Putin del masivo ciberataque (EFE/EPA/MICHAIL KLIMENTYEV/SPUTNIK)

De acuerdo a lo indicado por las autoridades locales, los responsables del ataque espiaron durante meses a los clientes en todo el mundo de un producto de la empresa SolarWinds. El ciberataque se canalizó a través del popular programa llamado Orion, que monitorea redes informáticas y que usan el Gobierno de Estados Unidos, cientos de grandes compañías y empresas que supervisan infraestructuras cruciales.

SolarWinds, que dice que entre sus clientes se encuentran la mayoría de las compañías Fortune 500 de Estados Unidos, dijo que la maniobra fue llevada a cabo “por un estado nación exterior y destinado a ser un ataque limitado, sumamente dirigido y ejecutado manualmente”.

Pero dos personas con conocimiento de la investigación le dijeron a la agencia Reuters que cualquier organización que tuviera una versión actualizada del software de gestión de red Orion de la compañía habría tenido una “puerta trasera” instalada por los atacantes en sus sistemas informáticos.

“Después de eso, es sólo cuestión de si los atacantes deciden aprovechar más ese acceso”, dijo una de las fuentes.

El ciberataque, que comenzó supuestamente en marzo, utilizó actualizaciones de ese software para entrar en los sistemas de múltiples agencias federales, incluidos los departamentos del Tesoro, de Estado, de Comercio y de Seguridad Nacional.

Supuestamente, los autores también intentaron robar secretos del Pentágono y del programa nuclear de Estados Unidos en Los Alamos, la instalación donde se creó la primera bomba atómica.

La CISA, sin embargo, no ha identificado a las agencias afectadas ni ha revelado qué información podría haberse visto comprometida en la operación.

Agencias de inteligencia estadounidenses han comunicado al Congreso que creen que la responsable del pirateo es una agencia de élite de la inteligencia rusa, según el diario The New York Times, si bien Moscú ha negado públicamente cualquier implicación en ese ciberataque.

[IMG alt="Pese a las acusaciones de Pompeo, Trump no responsabilizó a Rusia por el ciberataque (POOL VIA CNP / ZUMA PRESS)
"]https://www.infobae.com/new-resizer.../infobae/XFTZRMDHJFCARG4RYAIGDVUNTI.jpg[/IMG] Pese a las acusaciones de Pompeo, Trump no responsabilizó a Rusia por el ciberataque (POOL VIA CNP / ZUMA PRESS)

“Si ha habido ataques durante muchos meses y los estadounidenses no pudieron hacer nada al respecto, probablemente no vale la pena culpar inmediatamente y sin fundamento a los rusos. No tuvimos nada que ver con eso”, expreso el portavoz del Kremlin, Dmitry Peskov, tras las acusaciones contra el Kremlin.

Los líderes de los comités de Seguridad Nacional y Supervisión y Reforma de la Cámara Baja de Estados Unidos anunciaron una investigación sobre el ciberataque, que se teme que sea el más dañino en años.

El presidente electo Joe Biden también se refirió al caso, que describió como “una infracción masiva de la seguridad que potencialmente ha afectado a miles de víctimas, incluidas compañías estadounidenses y entidades gubernamentales” del país.

“He instruido a mi equipo a aprender todo lo que podamos sobre esta agresión (...) e impondremos costes sustanciales a los responsables de este tipo de ataques maliciosos, incluyendo en coordinación con nuestros aliados”, señaló el líder demócrata en un comunicado.

Tras los masivos ciberataques contra Estados Unidos, equipos de seguridad y agencias internacionales se movilizaron rápidamente para contener las consecuencias de posibles hackeos generalizados.

Con información de The Washington Post, AFP, REUTERS y EFE

 

Si alguien te pide un código de seis dígitos que te acaba de llegar a WhatsApp, no se lo des: es un engaño para robarte la cuenta


Si alguien te pide un código de seis dígitos que te acaba de llegar a WhatsApp, no se lo des: es un engaño para robarte la cuenta



15 Febrero 2021
Alesya MO @alesyamo_

La última persona de la que desconfías es de tu madre. Si te manda un mensaje pidiéndote un código, porque la pobre se ha liado (malditos cacharros), se lo das. Al segundo siguiente, ya no puedes entrar en tu cuenta de WhatsApp. Tu madre no era tu madre, sino un cracker que se ha hecho pasar por ella desde su número de teléfono.

Desde hace unos meses hemos visto llegar una nueva forma de suplantación de identidad: escribirte desde el número de tus propios conocidos y familiares para que no sospeches. Es un ataque en cadena para hacerse con tu cuenta de WhatsApp y proseguir el ataque escribiendo a tus contactos, y así sucesivamente.


Es un método muy efectivo porque una vez se consigue suplantar a alguien es mucho más fácil seguir la cadena y hacerse con las cuentas de sus contactos. Hemos hablado con varias personas que han sido contactadas por estos atacantes. Veamos su modus operandi.


"Te envié un código de 6 dígitos por error. ¿Me lo puedes pasar?"​

Primero que todo, ¿qué es este código que te piden? A fin de proteger tu cuenta, WhatsApp envía una notificación push cuando alguien intenta registrar una cuenta de WhatsApp con tu número de teléfono. Para mantener la cuenta a salvo, es importante que no compartas el código de verificación con nadie.

Si recibes esta notificación sin haberla pedido, significa que alguien ingresó tu número de teléfono y solicitó el código de registro. Si alguien está intentando apoderarse de tu cuenta, para lograrlo, necesitará el código de verificación que se envió por mensaje SMS a tu teléfono. Sin ese código, ningún usuario que intente verificar tu número podrá completar el proceso de verificación y usar el número en WhatsApp.

Captura
Captura de pantalla del mensaje que recibió Antonio de uno de sus contactos.

¿Cuál es la treta de estos delincuentes para convencerte de darte ese código de verificación? Hacerse pasar por uno de tus contactos de confianza. Este fue el caso de Antonio, a quien escribió uno de sus amigos: "Acto seguido, caí en el error que acababa de cometer, ya que la lógica dice que en ningún momento esta persona me debería haber solicitado tal código e intenté entrar a mi cuenta de nuevo. Ahí recibí el mensaje que ya no tenía acceso a la cuenta ya que, dado el funcionamiento de WhatsApp, una cuenta no puede ser usada en dos teléfonos a la vez".
catorua 2
El mensaje que aparece en WhatsApp una vez que hackean la cuenta (Antonio).

Tenemos muchos más testimonios en esta misma línea. La misma historia repetida una y otra vez que se repite, por lo visto, desde agosto de 2020. Una vez que acceden a tu cuenta, les escriben el mismo mensaje a todos tus contactos.
Capturas
Diferentes capturas de varias víctimas que hemos podido contactar para este artículo.

Cómo recuperar una cuenta robada... y qué es lo que quieren al robártela​

Algunas de las víctimas anteriores pudieron recuperar su cuenta solicitando otro código de verificación y metiéndolo a toda prisa para recuperar el control de la cuenta. Si no funciona, lo más efectivo es ponerse en contacto directamente con WhatsApp para informar del robo.
El siguiente paso sería enviar un email incluyendo la frase "Teléfono robado/extraviado: Por favor, desactiva mi cuenta" en tu mensaje y tu número de teléfono en el formato internacional completo, añadiendo el prefijo nacional. En cualquier caso, lo primero que te recomendamos es que actives la verificación en dos pasos.


En cuánto al "qué pretenden con este robo", Sergio Carrasco, abogado experto en derecho al olvido y ciberseguridad entre otras especialidades nos explica que se trata de "ejemplos de phishing para obtener acceso a la cuenta de WhatsApp, y que acaba en spoofing".

Su objetivo puede ser variado. Por un lado, obtener una cuenta de confianza desde la que poder hacer otros ataques, como el fraude del CEO aunque sea a niveles más cotidianos. Por otro, en una línea similar, para pedir ayuda económica a contactos cercanos alegando una situación extraordinaria, dependiendo del perfil de la cuenta obtenida.

"Estas actuaciones suelen estar fuertemente automatizadas (suelen ser bots que se comunican con la API de WhatsApp para ir solicitando la recuperación, para no ir número por número de manera manual), razón por la cual en ocasiones llega a perfiles de los que parece que no se va a poder obtener nada. Diferente sería si se pudieran realizar pagos directamente desde WhatsApp, que actualmente no es el caso", explica Sergio. Habrá que estar todavía más atentos para cuando los pagos vía WhatsApp sí estén con nosotros.

 

Me han clonado el perfil de Instagram para crear una cuenta +18 con mis fotos y pedir dinero como en Onlyfans

1024_2000.jpg




23 Febrero 2021Actualizado 23 Febrero 2021, 13:10
Enrique Pérez @Lyzanor

Eligen las fotos más llamativas de tu perfil de Instagram, crean una cuenta fake con el mismo nombre y enlazan a una web para mayores de 18 años donde poder acceder bajo suscripción a contenido por**gráfico supuestamente subido por ti. Es la nueva oleada de suplantación de identidad, basada en el fenómeno OnlyFans de pagar por acceder a contenido erótico.

Todo lo que colgamos públicamente en redes sociales es susceptible de ser mostrado en otros sitios sin nuestro conocimiento y fuera de nuestro control. Es lo que ocurre en este caso, donde se están utilizando las fotos de usuarios de Instagram, mayoritariamente chicas, para engañar a otros y hacerles creer que se han abierto un perfil similar al que hay en páginas como OnlyFans.



"Pornocuentas" falsas basadas en tu perfil de Instagram​


"Estaba por ponerme a estudiar y empezaron a llegarme notificaciones al teléfono. Como estaba concentrada no quise ir a verlo, hasta que me llamó la atención la gran cantidad de mensajes que estaban entrando. Entro a mi WhatsApp y chats de Instagram y veo que muchos amigos y conocidos me compartían este perfil preguntándome si estaba al tanto de él", nos explica una usuaria afectada.

Se trata solo de uno de los múltiples casos que se pueden encontrar en redes sociales, donde es fácil encontrar usuarios que denuncian que su perfil de Instagram ha sido clonado. Y en ocasiones donde también han aprovechado sus imágenes para enlazar a una de estas páginas con contenido para adultos.

De la noche a la mañana, decenas de chicas han visto como les han creado perfiles 'fake' de Instagram que aprovechan sus fotos para atraer usuarios hacia supuestos "OnlyFans" abiertos por ellas.

"Yo no lo podía ver porque me había bloqueado, pero les pedí que me enviasen capturas de pantalla. El perfil de Instagram tenía de foto de perfil la misma que yo tengo en mi cuenta y en la descripción colocó un link indicando que esa era mi supuesta página con contenido para mayores de 18 años", nos describe.
Instagram
Captura de uno de los perfiles clonados de Instagram, con enlace a la web +18.

Estos perfiles 'fake' de Instagram no suelen alcanzar mucha repercusión, pero se han dado casos de usuarios populares en Instagram, donde el perfil clonado consigue atraer cientos de sus seguidores debido a que es difícil a simple vista diferenciar el copiado del original.

La situación la explica Pablo Duchement, profesor y perito judicial, quien denuncia públicamente que en las últimas semanas ha recibido la denuncia de decenas de chicas españolas a quienes les han clonado su perfil de Instagram, con un nombre extremadamente parecido al suyo y cuyas fotos de perfil ha servido para crear "pornocuentas" de pago en páginas web de suscripción.



En respuesta a Xataka, Duchement explica que una de las usuarias que presentó denuncia vio como su perfil de Instagram fue clonado y consiguió que centenares de usuarios visitasen el perfil de la página para adultos.

En ese perfil +18, ya bloqueado, se podía encontrar una imagen de la usuaria, algunas de sus fotos de Instagram y un vídeo de una chica masturbándose, pero donde no se veía la cara. El objetivo es hacer creer que la persona afectada es quien aparece en el vídeo y que si deciden suscribirse podrán ver más contenido para adultos, supuestamente subidos por la persona a quien le han robado las fotos de su perfil.

En las páginas +18, muchas de ellas creadas por Wix y al estilo OnlyFans, se ve el nombre de las afectadas, varias de sus fotos y un vídeo erótico señuelo para hacer creer que hay más contenido.

La página para adultos es "del estilo Onlyfans", aunque no se trata directamente de ese portal. Según explica Duchement, se trata de webs habitualmente creadas con Wix y "seguramente ubicadas en Europa del Este". Unas páginas centradas en por**grafía amateur que imitan el sistema de suscripción de Onlyfans.

"Esta chica me llama e intenta presentar denuncia, pero el Guardia Civil no se entera. Pues no sabe ni siquiera qué es Onlyfans al no tener conocimiento de tecnología", comenta el perito. "¿Entonces eres tú la del vídeo?", le preguntaron a la chica. Al responder que no, el policía contestó que no pasaba nada, obviando la suplantación digital y el daño a su imagen.

Maria Imagen
Captura del perfil fake +18 creado a partir de la cuenta de Instagram.

"La verdad es que me preocupa, no me gusta que la gente me vea relacionada con este tipo de páginas. Se nota perfectamente cómo se pueden generar dinero con las mujeres como objeto de consumo, utilizaron fotos mías que son completamente normales para crear un perfil de este tipo", denuncia una de las usuarias afectadas.

Cualquier foto en bikini o donde se vea el cuerpo sirve a los atacantes para crear estos perfiles 'fake'.

La página que nos describe está ya cerrada, después de presentar una denuncia y enviar un correo a Wix. En el perfil había de portada una foto de la usuaria; una foto que subió a su perfil de Instagram hace dos años y donde salía en bikini, sin ser especialmente provocativa. "A muchas amigas mías les han creado perfiles 'fake' de Instagram, aunque nunca relacionados a páginas que vendan subscripciones", nos explica, manifestando un problema bastante extendido.

Las denuncias en comisaría están a la orden del día y no es algo que tenga fácil solución, pues no se trata de un hackeo, sino de una suplantación de identidad basada en contenidos públicos.



Para cerrar el perfil clonado de Instagram, los usuarios deben denunciar a la cuenta. Instagram posteriormente se pone en contacto con ellos y tras solicitar una foto de su documento de identidad, procede a cerrar la cuenta 'fake'. Un proceso parecido debe realizarse para cerrar el perfil +18. En el caso de Wix, la compañía dispone de una web para denunciar contenido abusivo.



Un daño a la imagen brutal y muy rentable para los atacantes​


Esta suplantación de identidad puede suponer un daño enorme, más cuando las personas afectadas tienen una alta reputación online o su perfil profesional gira en torno a su visibilidad en la red.

"Solo con esta chica, cuyo número de seguidores era muy elevado, pudieron sacar unos 6.000 euros en una semana, según el número de seguidores que se había suscrito a su perfil fake +18", explica Duchement. "Sabían a por quién iban. Una persona muy joven y con mucha repercusión en Instagram".

No es un caso aislado. A finales de diciembre, ABC Australia publicaba la historia de Jessica Laurie, quien sufrió un percance similar y describía así su preocupación: "estoy estudiando en la industria de la salud y una de mis mayores preocupaciones era poder encontrar un trabajo después de esto, si se intensificaba".

Hay todo tipo de afectados, aunque principalmente eligen mujeres jóvenes y con muchos seguidores en Instagram. En algunos casos, los atacantes han logrado engañar y activar centenares de suscripciones.

Fran Magiera, influencer de 23 años, explicaba a 9Honey su caso particular: "Cuando descubrí que era alguien que no solo pretendía ser yo al usar mis imágenes, sino que anunciaba una página de OnlyFans usando mis imágenes, me sentí violada".

Tras esto, muchas de las personas afectadas han acabado haciendo privado su perfil de Instagram, pero Magiera apunta que no debería ser la solución: "deberíamos tener derecho a compartir las imágenes que queramos sin que los estafadores intenten sacar provecho de ello. Soy consciente de que publicar fotos en bikini en un perfil público invita a los cretinos, pero no es una excusa para que los estafadores usen mis imágenes con fines de lucro o suplantación de identidad".

Para crear una cuenta de OnlyFans o JustForFans, los usuarios deben identificarse con una imagen de su documento de identidad y habitualmente suele asociarse una cuenta bancaria. No es el caso de las webs +18 creadas con Wix, que no dejan de ser una alternativa específicamente para este tipo de suplantaciones.

Se da la situación, que estas cuentas 'fake' están afectando también a los propios usuarios de OnlyFans. Los atacantes consiguen hacer creer que la persona también cuelga contenido erótico en esa página en vez de en OnlyFans, AdmireMe o alguna de las webs legítimas. "Nosotros también somos víctimas de estos ataques y trabajamos con nuestro equipo legal para denunciar estos perfiles", explican a Vice desde OnlyFans.



"Siempre supuse que era una persona. Me llamó mucho la atención que el perfil fake hubiera comenzado a seguir a mis seguidores", nos explica una de las afectadas. Sin embargo, P. Duchement, que ha seguido decenas de casos, cree que hay un patrón claro.

"Ni siquiera se me pasaba por la cabeza que fuera resultado de un algoritmo, pero parece que sí. Es el mismo orden de fotos. Por ejemplo, la quinta, sexta y novena foto del perfil. Junto al mismo vídeo de la chica", nos explica el perito. Un patrón que se repite en las usuarias afectadas de Las Palmas, pero no en todos los casos que hemos podido observar.



Qué podemos hacer si suplantan nuestro perfil​


El propio Instituto Nacional de Ciberseguridad (INCIBE) ha alertado que en las últimas semanas se ha detectado un elevado número de cuentas de Instagram que han sido suplantadas.

Así describe el problema la Oficina de Seguridad del Internauta:

"La suplantación de identidad se realiza sobre un usuario con cuenta de Instagram, generalmente de perfil femenino, aunque no se descarta que pueda materializarse también sobre perfiles masculinos. En este caso, se realiza una doble suplantación de identidad, ya que además de crear una cuenta ilícita en Instagram, también se crea un segundo perfil falso en la red social OnlyFans".

"La cuenta fraudulenta generada en Instagram solicita amistad a los seguidores de la cuenta legítima y les envía un mensaje directo, en el que se incluye información y enlace a la cuenta ilegítima de OnlyFans animando a su suscripción que, de hacerse efectiva, generará un daño económico a la víctima ya que dicha cuenta realmente es ilegítima".

Osi
Aprendiendo a diferenciar un perfil real de uno falso. Imagen: OSI

En esa dirección, desde la Oficina de Seguridad del Internauta han creado una pequeña guía con recomendaciones para las personas afectadas.

El primer paso es bloquear la cuenta que te está suplantando, principalmente para evitar que pueda identificar a tus seguidores. Una vez bloqueada a través de los cauces de la plataforma, el siguiente paso es denunciar la cuenta a la red social para que cierren el perfil falso. Este proceso acostumbra a durar unos cuantos días y por el momento Instagram no ha realizado ningún comentario al respecto. Una vez denunciado el perfil 'fake', se recomienda avisar a nuestros contactos para que estén alerta y evitar que se piensen algo que no es.

Desde Instagram explican que disponen de varias medidas para salvaguardar la autenticidad de las cuentas, como la verificación y la localización y eliminación de cuentas que suplantan a otras. Para denunciar una de estas cuentas, disponen de un centro de ayuda. Periódicamente, la compañía publica distintas campañas con consejos para mejorar la seguridad.

Estos son los pasos recomendados para "hacer desde casa" y dentro de la propia plataforma. El siguiente paso sería documentar todo lo ocurrido, hacer capturas de pantalla y presentar una denuncia ante la policía. Porque nuestra reputación digital es algo a tener muy presente y ataques como este pueden dañarla seriamente.

 

Autenticación de doble factor guste o no guste: Google la activará automáticamente a más de 150 millones de cuentas


Autenticación de doble factor guste o no guste: Google la activará automáticamente a más de 150 millones de cuentas



6 Octubre 2021
Cristian Rus @CristianRus4

La autenticación de doble factor es, a día de hoy, una de las mejores opciones para proteger nuestra seguridad en el mundo digital. ¿El problema? Puede llegar a ser algo engorroso a la hora de iniciar sesión debido a los pasos extra a tomar. Pero, con la seguridad como razón de peso, Google está activando este método para sus usuarios. Esperan que para finales de este año consigan activar automáticamente la autenticación de doble factor a más 150 millones de cuentas.

Según ha anunciado la compañía, tienen entre sus planes activar la verificación en dos pasos a millones de cuentas de Google en estos tres próximos meses. Actualmente la mayoría de usuarios pueden activar esta autenticación de doble factor por sí mismos, pero muchos que tienen esta posibilidad aún no lo han hecho. Google lo hará por ellos.



La autenticación en dos pasos de Google se trata básicamente de pedir una confirmación extra aparte de la contraseña al iniciar sesión. Hay diferentes métodos y opciones, desde recibir un SMS hasta utilizar un llavero físico si lo deseamos. Pero quizás el proceso más cómodo y el que de hecho Google pretende activar a lo usuarios es el de otro dispositivo con sesión iniciada. Al tratar de iniciar sesión, tras poner la contraseña correctamente, se pedirá a los usuarios que confirmen un mensaje que aparece en otro dispositivo como por ejemplo un teléfono inteligente.
Screenshot


Dado que gran parte de los saurios de Google disponen de un smartphone donde han iniciado sesión con la cuenta de Google, son usuarios elegibles para disponer de la autenticación de doble factor. Desde mayo de este año de hecho es algo que viene predeterminado en las nuevas cuentas de Google. Pero las antiguas aún deben activar por si mismas o de lo contrario Google lo activará próximamente.
Es un proceso que va a llevar un tiempo. Con tal de "no romper nada" Google va a activarlo de forma paulatina con la idea de que a largo plazo todas las cuentas de Google tengan la autenticación en dos pasos activada.
Screenshot 1

2FA tanto en Google como en cualquier otro lugar que lo permita​

Una buena contraseña no hace que una cuenta sea infalible. Tampoco que tenga la autenticación de doble factor activada, pero dificulta muchísimo más las cosas. A día de hoy la gran mayoría de servicios de Internet importantes cuenta con la opción de activar la autenticación de doble factor. Es particularmente recomendable activarla si es posible, tanto en Google como en el resto de plataformas.


Para facilitar la gestión de contraseñas e inicios de sesión con autenticación de doble factor es recomendable utilizar gestores de contraseña y gestor de autenticación. Estos pueden ser por ejemplo Microsoft Authenticator o Google Authenticator. Además, muchos gestores de contraseña integran directamente esta herramienta para tener todo en un mismo lugar.

Vía | Google

 

Face ID ya funciona con mascarilla y sin el Apple Watch: una comodidad que llega dos años después del inicio de la pandemia


Face ID ya funciona con mascarilla y sin el Apple Watch: una comodidad que llega dos años después del inicio de la pandemia



Hace 5 horasActualizado 28 Enero 2022, 08:30
Enrique Pérez @Lyzanor

Buenas noticias para los usuarios de iPhone. Con la última beta de iOS 15.4 llega una funcionalidad que permitirá ahorrar tiempo a la hora de desbloquear el móvil. Face ID ya funciona con la mascarilla puesta y sin necesidad de tener que llevar un Apple Watch. Una comodidad que llega dos años después del inicio de la pandemia, pero que todavía será de gran utilidad ya que el uso de las mascarillas sigue muy presente.



Apple actualiza los algoritmos de Face ID para funcionar con las mascarillas​

Faceid Mascarilla


Cualquiera que haya probado Face ID con mascarilla durante este tiempo sabe que daba muchos problemas si no teníamos el Apple Watch bien configurado. Lamentablemente, los usuarios de iPhone no disponían de alternativas ya que Apple decidió basar toda su seguridad biométrica para desbloquear el móvil en Face ID, eliminando el lector de huellas.




Ahora esos problemas desaparecen, ya que el nuevo algoritmo de Face ID funciona aunque llevemos la mascarilla puesta y, según las primeras impresiones de nuestros compañeros de Applesfera, su funcionamiento es "instantáneo y con una precisión nunca vista".



Para configurar Face ID deberemos ir a los ajustes y activar la nueva opción que ahora aparece. Según describe la propia Apple: "si usas Face ID llevando una mascarilla puesta, el iPhone podrá autenticarte si reconoce los rasgos identificativos de la zona de tus ojos". Es decir, no podremos configurarlo con gafas de sol ya que Face ID se basa en los rasgos de nuestros ojos. Sí funciona con gafas normales.
Faceid

Imagen: Pedro Aznar

Esta nueva función necesitará de un iPhone 12 o iPhone 13 para funcionar. Es decir, la nueva función de Face ID con mascarilla no funcionará con los iPhone X ni los Xs, pese a que sí disponen de este método de desbloqueo.
Apple explica que el uso de Face ID sin mascarilla es más fiable y seguro, ya que se basa en más puntos de detección. Aún así, parece que los ingenieros de la compañía han conseguido un nivel de seguridad suficiente elevado como para que se hayan decidido a implementarlo. Se trata de una novedad que será muy bien recibida, aunque a muchos les habría gustado poder aprovecharla antes.

 

Google está forzando la autenticación en dos pasos. Y funciona: "Hay un 50% menos de cuentas robadas"


1644352104878.jpeg


Hace 4 horas
Javier Pastor @javipas

Google anunció hace meses que iba a ponerse seria con la protección de nuestras cuentas de usuario. Inició la activación forzada y por defecto de un sistema de autenticación en dos pasos (2FA) para 150 millones de usuarios, y la medida está dando resultado.
Que una empresa nos fuerce a hacer algo parece polémico, pero la propuesta de Google tenía mucho sentido. El gigante de las búsquedas ha indicado ahora que gracias a esa activación del sistema 2FA el número de cuentas afectadas por el robo de contraseñas se ha reducido a la mitad.


Usar 2FA no es una opción para Google​

Los cacos están a la que salta. Los robos masivos de contraseñas se suman a los ciberataques e intentos de phishing con los que los ciberdelincuentes tratan de robarnos nuestros datos, y la decisión de Google estaba dirigida a minimizar los problemas por esos eventos.

La empresa ya ha hecho que 150 millones de usuarios hayan tenido que activar la autenticación en dos pasos en sus cuentas. Han incluido además a dos millones de usuarios de YouTube, y "como resultado de este esfuerzo, hemos visto una reducción del 50% en el número de cuentas que se han visto comprometidas entre esos usuarios".


La reducción es notable, y para Google está claro que "tu cuenta de Gmail es a menudo el enlace para acceder a cuentas que no son de Google para banca online, redes sociales, compras y más". Por eso han iniciado esa activación forzosa de estos métodos de verificación en dos pasos, pero además pretenden ir más allá en ese esfuerzo.

De hecho los ingenieros de Google confiesan que están trabajando en tecnologías que "proporcionen una experiencia de inicio de sesión segura y transparente y que eliminen la dependencia de las contraseñas". Las llaves de seguridad Titan son un buen ejemplo de esa ambición, por ejemplo.

La empresa ha indicado que en 2022 seguirán impulsando esa activación por defecto del sistema de autenticación/verificación en dos pasos, y desde luego la propuesta es una buena forrma de añadir una barrera más con la que tratar de disuadir a los ciberdelincuentes de que intenten robar nuestras credenciales.
Más informaci´ón | Google

 

Cryptojacking


El cryptojacking (también denominado minería de criptomonedas maliciosa) es una amenaza emergente de Internet que se oculta en un ordenador o en un dispositivo móvil, y utiliza los recursos de la máquina para “extraer” diversas formas de monedas digitales conocidas como criptomonedas. Es una amenaza floreciente que puede apoderarse de navegadores web, así como comprometer todo tipo de dispositivos, desde ordenadores de escritorio y portátiles hasta teléfonos inteligentes e incluso servidores de red.

Al igual que la mayoría de los ataques maliciosos al público informático, el motivo es el beneficio, pero a diferencia de otras amenazas, está diseñado para permanecer completamente oculto del usuario. Para comprender la mecánica de la amenaza y saber cómo protegerse contra ella, empecemos por conocer algunos antecedentes.

¿Qué son las criptomonedas?​


Las criptomonedas son un tipo de dinero digital que existe solo en el mundo digital, sin una forma física. Se crearon como una alternativa al dinero tradicional y se hicieron populares por su diseño avanzado, su potencial de crecimiento y su anonimato. Una de las primeras formas de criptomoneda, y de más éxito, el bitcoin, surgió en 2009. En diciembre de 2017, el valor de un solo bitcoin alcanzó su máximo histórico, casi 20 000 USD, después cayó por debajo de los 10 000 USD. El éxito del bitcoin inspiró la creación de otras criptomonedas que operan más o menos de la misma manera. Antes de que haya pasado una década desde su invención, personas de todo el mundo utilizan criptomonedas para comprar y vender cosas o hacer inversiones.

La palabra “criptomoneda” viene de la combinación de otros dos términos, “criptografía” y “moneda”. Se define como dinero electrónico basado en los principios del cifrado matemático complejo. Todas las criptomonedas existen como unidades monetarias descentralizadas y cifradas que pueden transferirse libremente entre los participantes de la red. Dicho de otra manera, una criptomoneda es electricidad convertida en líneas de código que tienen un valor monetario.

“Las unidades de criptomoneda (llamadas “coins”) no son más que entradas en una base de datos”.

Las unidades de criptomoneda (llamadas “coins”) no son más que entradas en una base de datos. Para realizar una transacción que modifica la base de datos, tienen que cumplirse ciertas condiciones. Piense en cómo hace el seguimiento de los movimientos de su cuenta bancaria. Cada vez que autoriza transferencias, retiradas de efectivo o depósitos, la base de datos del banco se actualiza con las nuevas transacciones. Las criptomonedas funcionan de forma similar, pero con una base de datos descentralizada.

A diferencia de las monedas tradicionales, las criptomonedas como el bitcoin no están respaldadas por un gobierno o un banco específicos. Ningún gobierno o regulador central supervisa la criptomoneda. Está descentralizada y se gestiona en múltiples bases de datos duplicadas simultáneamente en una red de millones de ordenadores que no pertenecen a ninguna persona u organización. Es más, la base de datos de criptomoneda funciona como un libro de contabilidad digital. Utiliza el cifrado para controlar la creación de nuevas monedas y comprobar la transferencia de fondos. Durante todo el proceso, la criptomoneda y sus propietarios permanecen en total anonimato.

La naturaleza anónima y descentralizada de las criptomonedas implica que ningún organismo regulador decide qué cantidad de moneda debe ponerse en circulación. Por el contrario, la manera en que la mayoría de las criptomonedas entra en circulación es un proceso denominado “minería”. Sin entrar en detalles, el proceso de minería consiste básicamente en convertir los recursos informáticos en coins de criptomoneda. Al principio, cualquiera que tuviera un ordenador podía extraer criptomonedas, pero esto se convirtió rápidamente en una carrera armamentística. Actualmente, la mayoría de los programas de minería utiliza ordenadores potentes y configurados ad hoc que extraen criptomonedas a todas horas. La gente empezó enseguida a buscar nuevas maneras de extraer criptomonedas y surgió el cryptojacking. En lugar de pagar un ordenador caro dedicado a la minería, los hackers empezaron a infectar ordenadores normales y a utilizarlos como una red a su antojo.

Si las criptomonedas son anónimas, ¿cómo se utilizan?​


Los propietarios de criptomonedas las guardan en “carteras” virtuales, que están cifradas de forma segura con claves privadas. En una transacción, la transferencia de fondos entre los propietarios de sendas carteras digitales requiere que se introduzca un registro del intercambio en el libro de contabilidad digital público descentralizado. Los datos acerca del último bitcoin u otras transacciones de criptomoneda se recopilan en ordenadores especiales cada 10 minutos y se convierten en un rompecabezas matemático. Allí, la transacción convertida en rompecabezas espera la confirmación,

que tiene lugar cuando los miembros de otra categoría de participantes, denominados mineros, resuelven independientemente los complejos rompecabezas matemáticos que demuestran la legitimidad de la transacción. A continuación, se completa la transacción transfiriendo el dinero de la cartera del propietario a otra cartera. Normalmente, un arsenal de programas de minería trabaja sin descanso en la resolución del rompecabezas en una carrera por ser el primero en encontrar la resolución que autentica la transacción.

“Los mineros se dieron cuenta de que incluso los PC más punteros con un procesador potente no podían extraer coins de forma suficientemente rentable para cubrir los costes”.

El programa de minería que resuelve primero el problema cifrado recibe una recompensa, que suele ser cierta cantidad de nueva criptomoneda. Este método se concibió especialmente como incentivo para quienes sacrifican el tiempo y la capacidad informática de sus ordenadores a fin de mantener la red y crear nuevos coins. Debido a que la complejidad de los cálculos para resolver el rompecabezas ha aumentado constantemente a lo largo del tiempo (en particular los del bitcoin), los mineros se dieron cuenta de que incluso los PC más punteros con un procesador potente no podían extraer coins de forma suficientemente rentable para cubrir los costes.

Entonces, se intensificó la búsqueda añadiendo a los programas de minería sofisticadas tarjetas de procesamiento de vídeo, a veces varias, para manejar los onerosos cálculos. Finalmente, los mineros que querían seguir siendo competitivos aumentaron su negocio creando granjas enormes de ordenadores con hardware especializado en la minería de criptomonedas a escala comercial. Esta es la situación actual: quienes se dedican en serio a la minería de criptomonedas invierten mucho dinero en competir con otros programas de minería a fin de resolver los primeros el rompecabezas y reclamar su recompensa.

Adaptarse a este esfuerzo enorme es una carrera armamentística muy costosa, que requiere una gran potencia de procesamiento y mucha energía eléctrica para aumentar las oportunidades de rentabilidad de la minería. Por ejemplo, antes de que China cerrara las granjas de criptomoneda del país, algunas facturas eléctricas mensuales alcanzaban los 80 000 USD.

“Si es víctima del cryptojacking, puede no darse cuenta”.

¿Qué es el cryptojacking?​


El cryptojacking es un plan para utilizar los dispositivos de otras personas (ordenadores, teléfonos inteligentes, tabletas o incluso servidores), sin su consentimiento ni su conocimiento, para extraer criptomonedas subrepticiamente a costa de la víctima. En lugar de construir un ordenador dedicado a la minería, los hackers utilizan el cryptojacking para robar los recursos informáticos de los dispositivos de sus víctimas. Cuando se suman todos estos recursos, los hackers pueden competir con operaciones sofisticadas de minería de criptomonedas sin incurrir en unos gastos operativos caros.

Si es víctima del cryptojacking, puede no darse cuenta. La mayoría del software de cryptojacking está diseñado para permanecer oculto al usuario, pero esto no significa que no se note. Este robo de sus recursos informáticos reduce la velocidad de otros procesos, aumenta la factura de la luz y acorta la vida del dispositivo. En función de lo sutil que sea el ataque, se pueden observar ciertas señales de alarma. Si su PC o Mac se ralentizan o el ventilador se pone en marcha más veces de lo normal, tiene motivos para sospechar que se trata de cryptojacking.

La motivación del cryptojacking es sencilla: el dinero. La minería de criptomonedas puede ser muy lucrativa, pero que llegue a ser rentable resulta casi imposible sin los medios para cubrir grandes costes. Para alguien que tiene recursos limitados y una moral cuestionable, el cryptojacking es una manera asequible y eficaz de extraer valiosos coins.

Últimas novedades sobre el cryptojacking (minería de criptomonedas maliciosa)​


Labs CTNT report shows shift in threat landscape to cryptomining (El informe de Labs CTNT revela un giro en el panorama de amenazas de la minería de criptomonedas)
Malicious cryptomining and the blacklist conundrum (La minería de criptomonedas maliciosa y los interrogantes de la lista negra)
The state of malicious cryptomining (El estado de la minería de criptomonedas maliciosa)

¿Cómo funciona el cryptojacking?​


Los cryptojackers tienen más de una manera de aprovecharse de los ordenadores de otros usuarios. Uno de los métodos funciona como el malware clásico. El usuario hace clic en un enlace malicioso en un correo electrónico que carga código de minería de criptomonedas directamente en el ordenador. Una vez infectado el ordenador, el cryptojacker comienza a trabajar a todas horas para extraer criptomonedas, manteniéndose oculto en segundo plano. Como reside en el PC, es local, lo que significa que es una amenaza persistente que ha infectado el propio ordenador.

Un enfoque alternativo del cryptojacking se denomina a veces minería de criptomonedas fortuita. Al igual que los exploits de publicidad maliciosa, el plan implica la incrustación de un fragmento de código de JavaScript en una página web. Después, realiza la minería de criptomonedas en las máquinas de los usuarios que visitan esa página.

“La minería de criptomonedas fortuita puede infectar incluso los dispositivos móviles Android”.

En los primeros casos de minería de criptomonedas fortuita, los editores web se apuntaron a la fiebre del bitcoin en un intento por complementar sus ingresos y monetizar el tráfico de sus sitios; pedían permiso abiertamente a los visitantes para extraer criptomonedas mientras estaban en sus sitios. Lo planteaban como un intercambio justo: usted obtiene contenido gratuito mientras ellos utilizan su ordenador para la minería. Si se encuentra, por ejemplo, en un sitio de juegos, probablemente permanecerá en la página durante algún tiempo mientras el código de JavaScript extrae coins. Después, cuando sale del sitio, la minería de criptomonedas se cierra y libera su ordenador. En teoría, no es tan malo, siempre que el sitio sea transparente y honesto acerca de lo que está haciendo, pero es difícil asegurarse de que los sitios jueguen limpio.

Las versiones más maliciosas de minería de criptomonedas fortuita no se molestan en pedir permiso y siguen en ejecución mucho después de que el usuario salga del sitio inicial. Esto es una técnica común de los propietarios de sitios dudosos o de los hackers que han comprometido sitios legítimos. Los usuarios no tienen ni idea de que el sitio que visitaron ha utilizado su ordenador para extraer criptomonedas. El código utiliza los recursos del sistema mínimos suficientes para pasar desapercibido. Aunque el usuario piensa que las ventanas visibles del navegador están cerradas, sigue abierta una ventana oculta. Normalmente es una ventana oculta de tamaño reducido que cabe debajo de la barra de tareas o del reloj.

La minería de criptomonedas fortuita puede infectar incluso los dispositivos móviles Android. Funciona con los mismos métodos que se utilizan para los ordenadores de escritorio. Algunos ataques tienen lugar a través de un troyano oculto en una aplicación descargada. O bien, los teléfonos de los usuarios pueden redirigirse a un sitio infectado que deja detrás una ventana oculta persistente. Existe incluso un troyano que invade los teléfonos Android con un instalador tan nefasto que puede invadir el procesador hasta el punto de que sobrecalienta el teléfono, aumenta el consumo de batería y deja el Android inservible. Y no solo eso.

Es posible que se pregunte por qué su teléfono tiene relativamente menos potencia de procesamiento. Cuando estos ataques se producen en masa, el mayor número de teléfonos inteligentes constituye una fuerza colectiva digna de la atención de los cryptojackers.

Algunos profesionales de la seguridad informática señalan que, a diferencia de muchos otros tipos de malware, los scripts de cryptojacking no dañan los datos del ordenador o de las víctimas. Pero el robo de recursos de la CPU tiene consecuencias. Ciertamente, la disminución del rendimiento del ordenador puede ser sólo un fastidio para un usuario individual. Pero en las organizaciones grandes que han padecido el cryptojacking en muchos sistemas, se traduce en costes reales. Los costes de consumo eléctrico y de trabajo del departamento de IT, además de las oportunidades perdidas, son sólo algunas de las consecuencias de lo que ocurre cuando una organización se ve afectada por el cryptojacking fortuito.

¿Qué prevalencia tiene el cryptojacking?​


El cryptojacking es relativamente nuevo, pero ya es una de las amenazas de Internet más comunes. En un blog de Malwarebytes reciente, nuestro equipo de Intel pone de manifiesto que, desde septiembre de 2017, la minería de criptomonedas maliciosa (otra denominación del cryptojacking) es el ataque de malware que más veces hemos detectado. El mes siguiente, en un artículo publicado en octubre de 2017, Fortune sugería que el cryptojacking es la mayor amenaza de seguridad en el mundo digital. Más recientemente, hemos observado un aumento del 4000% en las detecciones de malware de cryptojacking para Android durante el primer trimestre de 2018.

Es más, los cryptojackers apuntan cada vez más alto e invaden hardware cada vez más potente. Un ejemplo es un incidente en el que los delincuentes hacían cryptojacking desde la red de tecnología operativa del sistema de control de un servicio público europeo de distribución de agua y que degradó la capacidad del operador para gestionar la planta de ese servicio público. En otro caso mencionado en el mismo informe, un grupo de científicos rusos usaba supuestamente el superordenador de su centro de investigación y de construcción de ojivas nucleares para extraer bitcoins.

“Parece incluso que los delincuentes prefieren el cryptojacking al ransomware”.

A pesar de que estas intrusiones son contundentes, el cryptojacking de dispositivos personales sigue siendo el problema más prevalente, dado que robar pequeñas cantidades en muchos dispositivos permite acumular grandes sumas. De hecho, parece que los delincuentes prefieren el cryptojacking al ransomware (que a su vez utiliza criptomonedas para los pagos anónimos de los rescates), ya que potencialmente reporta a los hackers más dinero con menos riesgo.

¿Cómo puedo protegerme frente al cryptojacking?​


Tanto si ha sufrido un ataque de cryptojacking localmente en su sistema como si ha sido a través del navegador, puede ser difícil detectar la intrusión de forma manual después del hecho. Del mismo modo, averiguar el origen del uso de la CPU puede ser complejo. Los procesos pueden ocultarse o enmascararse como legítimos para impedir que el usuario detenga el mal uso. Otra ventaja para los cryptojackers es el hecho de que, cuando su ordenador funciona a máxima capacidad, la protección se ejecutará muy lentamente y, por lo tanto, será más difícil resolver el problema. Al igual que ocurre con las precauciones contra el malware, es mucho mejor instalar la seguridad antes de convertirse en víctima.

Una opción obvia es bloquear JavaScript en el navegador que utiliza para explorar la web. Aunque esto interrumpe el cryptojacking fortuito, podría bloquear también el uso de funciones que le gustan y que necesita. Hay programas especializados, como “No Coin” y “MinerBlock”, que bloquean las actividades de minería en los navegadores más comunes. Los dos tienen extensiones para Chrome, Firefox y Opera. Las versiones más recientes de Opera incluso tienen No Coin integrado.

“Tanto si los atacantes tratan de usar malware como si intentan una descarga involuntaria a través del navegador o un troyano, está protegido contra el cryptojacking”.

No obstante, nuestra sugerencia es evitar las soluciones creadas a medida y buscar un programa de seguridad informática más completo. Malwarebytes, por ejemplo, le protege de algo más que del cryptojacking. También previene el malware, el ransomware y varias amenazas de Internet. Tanto si los atacantes tratan de usar malware como si intentan una descarga involuntaria a través del navegador o un troyano, está protegido contra el cryptojacking.

En un panorama de amenazas que se transforma constantemente, mantenerse a salvo de los peligros más recientes, como el cryptojacking, es un trabajo a tiempo completo. Con Malwarebytes, tendrá los medios necesarios para detectar y limpiar cualquier tipo de intrusión y asegurarse de que sólo usted utiliza los recursos de su ordenador.
(Para obtener información más detallada, lea “How to protect your computer from malicious cryptomining” [Cómo proteger su ordenador de la minería de criptomonedas maliciosa] por Pieter Arntz).


https://es.malwarebytes.com/cryptojacking/

 

Qué hacer en caso de ser víctima de ransomware o secuestro de datos

Pagar por el rescate no es la mejor opción, ya que rara vez los criminales devuelven la información hurtada​

10 de Julio de 2022







Consejos para recuperarse de un ataque cibernético (foto: Dir&Ge)
Consejos para recuperarse de un ataque cibernético (foto: Dir&Ge)

El ransomware es un tipo de ataque cibernético en el que el criminal logra bloquear el acceso a los sistemas y computadores de una organización (o persona), además de robar archivos y documentos para luego cobrarle a la víctima una suma de dinero a cambio de restablecerle el acceso a sus ordenadores. Por ello, a este tipo de ciberdelito se le conoce también como secuestro de datos.

Para llevar a cabo este secuestro, los cibercriminales aplican otras formas de malware o ataques por internet. La estrategia más conocida es el phishing, que consiste en en enviar correos electrónicos con enlaces adjuntos, suplantando empresas o personas para que los usuarios se convenzan de que el archivo es confiable. Sin embargo, una vez abierto el enlace, se descubre que es un software malicioso que infecta a la computadora y los sistemas.

Con toda seguridad, un ataque de este tipo resulta muy peligroso para una organización, ya que se estaría poniendo en situación de vulnerabilidad los datos de miles de personas, como cuentas bancarias, direcciones, números de contacto, documentos de identidad y todo tipo de información que le puede ser muy útil a un delincuente.

Aunque algunas compañías pueden pensar que la mejor manera de solucionar y recuperarse de un ransomware es pagando por el rescate de los datos, no hay nada más alejado de la realidad. Según Marco Fontenelle, director general de Quest Software para Latinoamérica, el 80 % de las entidades que han sido víctimas de un secuestro de datos vuelven a ser atacadas, muy posiblemente por el mismo criminal.

Las cifras indican que solo el 8 % de las organizaciones que pagan por un rescate logran recuperar todos sus datos. Y tres de cada diez, es decir el 29 %, apenas recuperan la mitad de sus datos o incluso menos.

Pues bien, Infobae brinda algunas estrategias que las organizaciones podrían aplicar tras un ransomware:

- Separar y tener un plan para las copias de seguridad​

El mejor plan para recuperarse de un secuestro de datos es prevenir la pérdida de los mismos, creando copias de seguridad periódicamente y almacenándolas en la nube por medio de proveedores confiables. Estas copias deben ser cifradas antes de ser guardadas en el sistema “cloud” para fines de seguridad.

- Tener elaborado un plan de reacción ante un posible ataque​

Marco Fontenelle indica que las mayoría de las empresas limitan sus planes para afrontar secuestro de datos a unos simples lineamientos por escrito, pero resulta muy importante tener protegidos los diferentes elementos de la infraestructura, como enrutadores, almacenamientos en nube, conmutadores, routers, entre otros.

- Implementar una recuperación por etapas​

Ante un episodio de ransomware, la mejor manera de restablecer todos los datos es por etapas, donde se le dará prioridad a los sistemas críticos y que son imprescindibles para las operaciones comerciales; de esta forma la organización se podrá recuperar rápidamente.

- Aplicar soluciones de calidad​

En la recomendación anterior se dijo que para recuperarse lo antes posible hay que implementar soluciones por etapas, pero además hay que verificar que todos los procesos se hagan correctamente y sin pasar nada por alto, o, de lo contrario, se dará vía libre a otro ataque cibernético.

 
Back