Zona Restringida: Geoposicionamiento no permitido

La tendencia de “estar permanentemente conectados” pone a nuestra disposición una serie de herramientas con las que “hacer nuestra vida más cómoda” pero esto, a su vez, nos expone a múltiples amenazas que pueden repercutir negativamente en nosotros como individuos o en nuestras organizaciones. Cabe pensar que esta cuestión está muy interiorizada por quienes se dedican de forma directa o indirecta al mundo de la seguridad. Sin embargo, la realidad nos lleva a descubrir que el número de anécdotas y noticias relativas a incidentes de seguridad sigue creciendo y, en muchos casos, los protagonistas son precisamente quienes se dedican a la seguridad.

En la entrada de hoy ponemos el foco en el impacto que ha ocasionado la información recabada y publicada a través de la herramienta Strava[Read more…]

Guía CSIRT-CV: Sistemas de mensajería instantánea seguros

Enmarcada en su labor de formación y divulgación de la seguridad de la información, CSIRT-CV ha publicado una guía de herramientas seguras de mensajería instantánea destinadas a usuarios u organizaciones que necesiten altos niveles de privacidad y confidencialidad.

Las herramientas analizadas y descritas responden a las siguientes premisas:

  • Utilización de cifrado robusto para evitar la captura de información, especialmente cuando las conversaciones sean entre diferentes sedes conectadas por Internet
  • Posibilidad de ejecutar los clientes en diversas plataformas, especialmente Windows, Linux y Mac
  • Posibilidad de crear chats o salas de discusión
  • Evitar que las comunicaciones pasen por un proveedor externo que pueda acceder, almacenar o modificar las conversaciones. Para ello solo se han seleccionado herramientas que permitan instalarse en infraestructura propia y ser explotadas mediante el personal propio
  • Garantizar la transparencia del software utilizado, seleccionando solo herramientas de código abierto

[Read more…]

Facebook y la protección de datos: una de cal y una de arena

Hemos de admitirlo: hace tiempo que se sabe que los datos personales son el petróleo de la sociedad 2.0, y en este sentido Facebook es el emporio de la información de personal; sin duda es la red social que más datos almacena, gestiona y monetiza en la red.

Lo supo hace tiempo y por eso no es casual que en 2014 desembolsaran nada menos que 22.000 millones de dólares para adquirir WhatsApp. Los registros obtenidos con esa adquisición convirtieron a la red social en todo un coloso monopólico en el mercado de la información personal, y hemos de recordar que Facebook también es el dueño de Instagram.

Todos recordamos aquellas vehementes promesas de nuestro ilustre amigo de Palo Alto Marc Zuckerberg, garantizando públicamente que ambas plataformas no intercambiarían los datos de los usuarios ni habría sesiones de datos entre ambas. No sé si coincidirían con el día de los inocentes, pero inocente el que lo creyó. ¿Cómo se justificaría una inversión de 22.000 millones de dólares por una aplicación gratuita sin la explotación de la única fuente clara de ingresos?

También dijeron entonces que no tenían una forma “fiable” y automática de relacionar las cuentas de WhatsApp y Facebook de sus usuarios, y claro, como no le íbamos a creer…

El caso es que WhatsApp no tardó en cambiar las condiciones de uso para que debiéramos aceptar sin rechistar y sin opción al pataleo el intercambio de información con Facebook, no hubo alternativa, ni siquiera, desmarcando la opción de dar permiso a Facebook para obtener nuestros datos. El plazo para aceptar estas nuevas condiciones fue de treinta días, en caso de no ser aceptadas, se desactivaría la cuenta de WhatsApp. Toda una declaración de principios.

Para más inri, el texto legal correspondiente a la cesión de datos a Facebook aparecía junto a una casilla premarcada, algo que contradice de forma flagrante los requisitos del consentimiento legítimo que exige el nuevo reglamento.

[Read more…]

Essential Reading for the Security Professional

Hace ya algún tiempo, desde la cuenta de twitter @securityartwork lanzamos una petición para crear lista de libros imprescindibles en el ámbito de seguridad
(https://www.securityartwork.es/2016/02/12/recopilacion-de-algunos-libros-imprescindibles-para-aprender-seguridad-informatica-secbook)

Ampliando el post original y pensando en los que empiecen ahora sus vacaciones o dispongan de tiempo y ganas de buena lectura, os hacemos partícipes de Cybersecurity Canon, una iniciativa que lleva varios años promoviéndose desde Palo Alto Networks.

Como seguramente todos sabréis, Palo Alto Networks es una empresa de seguridad con sede en California, conocida principalmente, al menos en mi caso, por su firewall de nueva generación y por su equipo de investigación de amenazas UNIT 42 (https://www.paloaltonetworks.com/threat-research).

Como el nombre del post indica, esta iniciativa pretende identificar los libros de lectura obligatoria para todos los profesionales de la ciberseguridad, sean de ficción o no, y en la que cualquier profesional puede involucrarse. Para ello se puede escribir una revisión acerca de un libro relacionado con el ámbito de la ciberseguridad, la cual debe cumplir unos requisitos establecidos. De esta forma,  una vez se valida la revisión del libro, éste pasa a la lista de candidatos publicados en la web.

Todos los años desde Palo Alto, un comité de expertos revisa las publicaciones de la lista de candidatos y organiza un ‘salón de la fama’ donde, finalmente, durante una ceremonia se intenta entrevistar a los autores de los libros seleccionados.

Por ejemplo, dentro de la iniciativa podemos encontrar algunos clásicos como The Cuckoo’s Egg, The Cryptonomicon o la serie de Hacking Exposed.

¿Qué opinan los lectores de esta iniciativa? ¿Encuentran familiares los títulos de los libros nominados? ¿Se atreverían a publicar una revisión de sus libros favoritos? Esperamos vuestros comentarios.

[Read more…]

Security On Air

Hace apenas dos meses, celebramos en Security Art Work nuestro décimo aniversario. Si bien es toda una alegría ver como nuestros “retoños” crecen y van madurando, lo es en igual medida celebrar el nacimiento de nuevos miembros de la familia. Hoy nos dirigimos a ustedes, ávidos lectores de nuestro blog, para anunciarles el comienzo de un nuevo proyecto dentro del ámbito de la difusión de la ciberseguridad. Se trata de Security On Air.

Como los más perspicaces habrán podido deducir (tanto por el nombre como por el logotipo), se trata de un programa de radio difundido a través de Internet. Dicho de otro modo: un podcast sobre ciberseguridad. Su duración rondará los 15-20 minutos (para que puedan escucharlo de camino a la oficina o añadirlo a la lista de reproducción mientras hacen un poco de deporte) y su frecuencia será mensual.

[Read more…]

ImageGate: Ransomware en Facebook y Linkedin

Los investigadores de la empresa de seguridad Check Point han hecho un descubrimiento que puede hacer temblar los cimientos de las comunicaciones de hoy en día. En un mundo gobernado por las redes sociales y con Facebook como máximo exponente de las mismas, parece que los ciberdelincuentes han encontrado la vía de infección más extensa y de mayor repercusión. Y es que, como la firma de seguridad ha notificado a las compañías Facebook y Linkedin, usuarios malintencionados pueden usar sus respectivas plataformas para expandir el ransomware Locky (malware del que se ha hablado recientemente en este mismo blog).

Ya que la vulnerabilidad aún no ha sido solucionada, la empresa israelí no ha querido dar detalles técnicos para no dar facilidades a aquellos que quieran explotarla con fines maliciosos. A pesar de ello, se conoce el modus operandi para explotarla. La vulnerabilidad se basa en infectar por Locky a partir de las imágenes de las redes sociales. Para ello hay dos posibilidades: la primera de ella consiste en embeber el código malicioso en la imagen que posteriormente será subida al sitio web de la red social. La segunda consiste en utilizar dobles extensiones, camuflando archivos SVG, JS y HTA como archivos de imagen. Gracias a nuestros compañeros de laboratorio de malware de S2 Grupo, podemos confirmar que el formato ”.js” es el más utilizado para su difusión.

No hay una única manera mediante la cual un usuario pueda infectarse. Dependiendo de la táctica empleada, es posible que únicamente con visitar la dirección donde se encuentra la imagen, ésta se descargue en el equipo. En otras ocasiones, el usuario deberá pinchar sobre la imagen para llevar a cabo la descarga. Por último, y relacionado con el descubrimiento de Bart Blaze, es posible que la imagen dañina sea enviada mediante Messenger Facebook.

Una vez se ha descargado y abierto la imagen en el equipo, se pondrá en marcha la operación infección. Al ejecutarla, y siempre y cuando lo hagamos desde un sistema operativo Windows, lo que estaremos haciendo es lanzar un script que comunica con los centros de control del ransomware, descargando una copia del mismo en la máquina en cuestión. Os recomiendo ver este vídeo.

Por si alguien no está al tanto del funcionamiento del ransomware, básicamente su finalidad es conseguir dinero mediante el cifrado de los archivos de la máquina infectada. Cuando el usuario los quiera abrir, se le pedirá una gran suma de dinero por descifrar sus archivos, pago que normalmente se hará mediante bitcoins.

A pesar de que Check Point asegura que avisó a ambas compañías en septiembre, a día de hoy no está todavía resuelta la vulnerabilidad. La mejor manera de mantenerse a salvo del citado malware es no abrir cualquier tipo de archivo que se haya descargado de manera sospechosa, o de cuya legitimidad no estemos seguros. La operación conocida como ImageGate sigue activa y con un riesgo potencial para una inmensa cantidad de usuarios.

Algunas referencias de interés:

La Agencia Mundial Antidoping, en la mira de los hackers

La importancia de los sistemas de seguridad informáticos en el deporte quedó patente en los últimos meses, cuando la base de datos de la Agencia Mundial Antidoping (AMA) fue hackeada en varias ocasiones.

El primer ataque cibernético ocurrió durante los Juegos Olímpicos de Río de Janeiro, en agosto, cuando unos hackers accedieron a la cuenta de la atleta rusa Yuliya Stepanova. El segundo fue semanas después, cuando la AMA denunció que un grupo de hackers rusos, conocidos como “Fancy Bears“, accedieron a su sistema y filtraron información médica confidencial de algunos deportistas, entre ellos Rafael Nadal, Chris Froome, Bradley Wiggins, Venus Williams o Simone Biles.
Los “Fancy Bears” publicaron en su página web los nombres de numerosos atletas de primer nivel que recibieron por parte de la AMA exenciones de uso terapéutico, unas autorizaciones especiales que permiten a los deportistas consumir sustancias prohibidas durante un determinado periodo de tiempo después de una lesión física o con el objetivo de curar una enfermedad aguda o crónica.
La principal lacra del deporte en las últimas décadas es el doping. Normalmente conectado con escándalos de corrupción en los máximos organismos deportivos internacionales, el doping no es sólo una herramienta para ganar. Es una herramienta de poder.
[Read more…]

Los wearable como testigo

Subir escaleras, caminar, correr, dormir,… son algunas de las actividades que hoy en día monitorizamos. O “nos monitorizan”. Gran parte de los smartphones registran, por defecto, una parte de la actividad física que realiza el usuario, donde se registra –además- el día y la hora en que se realiza y en algunos casos incluso la ubicación donde se ha realizado. Pero hoy en día hay otro tipo de dispositivos que también registran este tipo de actividad y son más cómodos “de llevar”. Estos son los wearable, que como sabemos son pequeños dispositivos que “llevamos puestos” como pueden ser relojes, pulseras, gafas inteligentes, sensores en zapatillas, etc.

Desde luego, en muchos casos la información que registran estos dispositivos es muy útil. Más ahora que existe el síndrome “runner” y tantísimas personas practican este deporte. Los más avanzados utilizan relojes GPS que registran la velocidad, el ritmo, el recorrido y otras variables. Otros utilizan los smartphones con aplicaciones que también registran la actividad del corredor y además la mayoría permiten publicar en tiempo real esta información, así como la situación en el mapa de nuestro “atleta”. Es de sobra sabido que quien publica esta información se expone a que cualquier persona esté viendo lo que está haciendo, dónde está e incluso si mantiene una rutina, se la está dando a conocer para que la utilice a discreción.

[Read more…]

¿Abierta la caja de pandora? Hacked Team.

No hace falta explicar qué ha pasado con #HackingTeam, ¿verdad? El pasado domingo se desató un revuelo en redes sociales, blogs, páginas de noticias,etc. HackingTeam había sido hackeado, pwned.

hackedteam

Twit enviado desde la cuenta oficial

Así que la gente preparó palomitas, preparados para digerir todo lo que había pasado (y estaba por pasar).

[Read more…]

Hacking Team: El espionaje como negocio

¿Quiénes son y a qué se dedican?

Hacking Team es una empresa de ciberseguridad que realiza software, el cual se puede considerar de dudable legitimidad ya que su función es conseguir/recopilar información sensible y de carácter privado.

Dicha empresa tiene una suite de seguridad, compuesta por un gran número de herramientas y funcionalidades. Esta suite se conoce como Da Vinci. Como es de esperar, se puede personalizar para cada cliente, dependiendo de necesidades y presupuesto.

Tienen (o tenían, ya que a raíz de lo sucedido, dudo que continúen siendo clientes…) un gran abanico de clientes, entre los cuales se encuentran gobiernos y fuerzas del orden de diferentes países como Alemania, Arabia Saudita, Australia, Azerbaiyán, Bahrein, Chile, Chipre, Colombia, Corea del Sur, Ecuador, Egipto, Emiratos Árabes Unidos, España, Estados Unidos, Etiopía, Honduras, Hungría, Italia, Kazajstán, Luxemburgo, Malasia, Marruecos, México, Mongolia, Nigeria, Omán, Panamá, Polonia, República Checa, Rusia, Singapur, Sudán, Suiza, Tailandia, Uzbekistán, Vietnam… Y cómo no, (¡qué curioso!), entre ellos está España.

[Read more…]