Search Results for: IoT

La palabra privacidad se ha introducido en nuestro vocabulario y en nuestras vidas. Está de moda: leyes que tratan de privacidad, medios que no dejan de mencionarla, nos lo recuerda Google, es algo configurable en las redes sociales y los navegadores, nos mandamos «privados», las páginas web tienen una «política de privacidad», etc.

El término privacidad según la RAE significa: «ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión». La privacidad es todo lo que concierne a nuestra esfera personal frente a nuestra dimensión pública o profesional. Y además, tenemos derecho a protegerla.

Pero en internet los datos de nuestra esfera personal: dónde vivimos, qué nos gusta, si tenemos pareja, por dónde nos movemos, qué compramos, nuestra ideología, enfermedades, etc. no son tan privados. Está claro que nuestra actividad en internet deja una huella que algunos utilizan para personalizar la publicidad que nos ofrecen y otros, con mala intención, para enviarnos mensajes de phishing personalizados.

[Read more…]

Un comunicado de la página principal de Revolv anunció que, a partir del 15 de mayo, el hub y la app de Revolv no iban a funcionar más.

Para los que no lo conocen, Revolv es uno de los tantos sistemas inteligentes que hay en el mercado, y que ofrecen equipar, conectar y monitorizar los hogares con dispositivos IoT (siglas anglosajonas para lo que en la lengua de Cervantes hemos venido a llamar “Internet de las Cosas”), y controlar así puertas, alarmas, luces y mucho más desde cualquier dispositivo móvil que admita la aplicación.

[Read more…]

Queridos lectores, ¿os suena haber visto un timbre que permite ver quién te llama? Estaréis pensando que de dónde he salido, que acabo de descubrir los videoporteros (versión moderna de los telefonillos), ¿verdad? Pues no, no me estoy volviendo loco. Vengo a hablaros de un geek algo novedoso que todos desearíamos tener en nuestra casa, pero que no nos gustaría que tuviese nuestro vecino.

Hace algunas semanas leía un artículo donde se hablaba de un timbre conectado a Internet; y cuando digo timbre me refiero específicamente al que hay al lado de nuestra puerta, no al de la puerta del edificio (que es el videoportero clásico). Sí, otro dispositivo más que se engloba dentro del término IoT (Internet de las Cosas). Lo interesante de este gadget está en su cámara, que permite al usuario visualizar quién llama a su puerta desde el smartphone, y lo que es aún mejor, dispone de un detector de movimiento. Es decir, que más que un timbre, es una cámara de videovigilancia con un telefonillo unifamiliar incorporado.

[Read more…]

No dejamos de ver películas en las que un hacker con un portátil es capaz de desactivar las alarmas de una casa para que sus compañeros pueden entrar a robar sin ser detectados. Parece de broma, pero, ¿lo es? ¿Hasta que punto es real esto?

Andrew Zonenberg de IOActive ha realizado un estudio sobre las alarmas SimpliSafe, una compañía que define sus dispositivos como “Low Cost”, fáciles de instalar y sin mantenimiento.

Estas alarmas se componen de una estación base, de un teclado y sensores, las cuales emiten señales de Radio Frecuencia en la banda ISM (Industrial, Scientist and Medical) a 433 MHz y hacen uso de una topología en estrella, en la que todos los dispositivos se comunican a través de un punto central, en este caso la estación base.

[Read more…]

Hace unos días, publicábamos una entrada en la que se planteaban, entre muchas otras cosas, problemas, responsabilidades y consejos de buenas prácticas para fabricantes respecto a la seguridad, destacándola como la asignatura pendiente en el IoT. A modo de continuidad, subiremos de nivel, porque estamos hablando de la seguridad de los diferentes componentes de una casa o una empresa,  interconectados y que ofrecen a los ciberdelicuentes no ya una ventana, sino directamente un mirador panorámico a nuestra cotidianeidad y el mundo de cada uno. De modo que vamos a pasar de hablar de “asignatura pendiente”, a directamente tildar de “inseguridad” de el IoT.

Para apoyar mis palabras, comparto el informe sobre la inseguridad en el IoT publicado por Telefónica a finales del 2015 [PDF]. En él se mencionan los principales factores que contribuyen a la inseguridad del IoT,  y el que encabeza la lista es el denominado “Human Firewall”. Para los no iniciados, este concepto representa la tendencia más o menos acentuada a caer en las trampas (algunas veces evidentes y otras no tanto) de los ciberdelincuentes. En un extremo tenemos a esa madre (por poner una figura desde el cariño nacido del fondo del alma) que pincha en ese anuncio que dice: “¡Enhorabuena, eres nuestro usuario número 1’000’000! ¡Haz clic aquí para recibir tu Tablet gratuita!”, dejando la puerta cibernética abierta a troyanos, griegos, romanos, egipcios y elfos cabalgando unicornios rosas seguidos de una legión de orcos de Mordor. En el otro extremo está esa persona cauta que no le da clic a ningún enlace que considere extraño ni aunque de verdad estuviera ahí el acceso a la receta secreta de la Coca-Cola.

Pero no sólo apoya mis palabras el informe de Telefónica, sino también los estudios, reportajes y experimentos que abundan en ese gran océano de información que es Internet y que son un impagable respaldo (hablo de los que son serios, por supuesto) a la acusación sobre la falta de seguridad de los componentes de nuestras casas (no tan) inteligentes. Por ejemplo, sorprende que una investigación emprendida por HP concluyese que el 100% (¡ni más, ni menos!) de los dispositivos IoT estudiados en el campo de la seguridad del hogar contienen vulnerabilidades, incluidas la autenticación y el cifrado de contraseñas.

Pongamos por ejemplo un componente muy de moda actualmente: los Smart-TV (que en la lengua de Cervantes viene a ser “televisores inteligentes”). A todos nos encanta que ese futuro que veíamos de pequeños en las películas de ciencia ficción, en el que se hacían videollamadas con las televisiones, ya está aquí… Sin embargo, ese futuro no viene solo, sino que viene acompañado de vulnerabilidades que pueden tener como consecuencia el acceso del ciberdelincuente al salón de nuestro hogar a través de la cámara, las conversaciones que mantenemos, la información de los canales que vemos, e incluso la posibilidad de acceder en los dispositivos USB que le hayamos conectado a la Smart-TV. Tendría acceso al control total de nuestro dispositivo, pudiendo cambiarnos el canal en un momento tan crítico como el desenlace en el final de temporada de The Walking Dead… ¡Imperdonable!

Otros ejemplos son los sensores de movimiento de ultrasonido, por hablar de un componente de lo más mundano para los que viven en ciudades medianamente modernizadas. Pues bien, resulta que estos simpáticos componentes están ojo avizor para las personas, pero cuando alguien pasa con un cartón enorme, un corcho o incluso una sábana blanca vieja tapando al humano, el sensor no detecta movimiento alguno… Estoy segura que muchos gamers de “Metal Gear Solid” que estén leyendo esto me dirán que a ellos no les pilla de sopetón.

Ahora, pasemos a otro componente esencial de la casa: el termostato. Todos sabemos lo importante que es tener la casa aclimatada (eco-consejo del día: el aire acondicionado a no menos de 24ºC y la calefacción a no más de 21ºC). Pues bien, los termostatos componentes del IoT permiten que podamos regular la temperatura y la humedad de nuestros hogares con nuestros móviles, disponiendo de la información en cualquier momento y lugar. Imaginad un momento el panorama: nos vamos una semana de vacaciones al pueblo, que queda a 400km de distancia. Dejamos todo a punto en nuestra casa inteligente, y suficiente comida para nuestro gato para que aguante holgadamente hasta que volvamos, y nos vamos con la tranquilidad de tener la temperatura controlada. Ahora imaginad que un ciberdelincuente de la peor calaña accede al termostato y activa la calefacción a marchas forzadas en pleno agosto. Las consecuencias las podéis imaginar. Por desgracia, los termostatos también entran dentro de la lista de los componentes IoT con vulnerabilidades.

Para terminar, hablemos de ese maravilloso mundo que son los washlets: los inodoros inteligentes (los amantes de Japón y la cultura japonesa dirán que para qué me paro en obviedades, pero hay que explicarlo, puesto que es un fenómeno muy reciente en Occidente) que tienen un sensor de movimiento para abrir y bajar la tapa del inodoro al detectar presencia, cuentan con un sistema de calentamiento de la taza ideal para los días más rigurosos del invierno, y los más modernos tienen un sistema de limpieza con agua y posterior secado cuya intensidad se puede programar a voluntad. Como habéis adivinado, estas maravillas de la ingeniería también tienen sus vulnerabilidades, que prefiero dejar a la malicia imaginativa y la picaresca de cada uno de vosotros.

Aunque los ejemplos que hemos puesto para reflejar la inseguridad de la IoT son anecdóticos, la amenaza es muy real. Lo peor es que con toda seguridad, a medida que la conectividad se vaya incorporando como un elemento “de serie” más a los electrodomésticos y cualquier elemento susceptible de ser conectado a Internet (con o sin necesidad), los vectores de ataque se incrementarán.

Para no explayarnos más, ahí va una lista con algunos de los dispositivos IoT más vulnerables:

• Cámaras.
• Routers domésticos.
• Receptores de satélite.
• Reproductores Media Center.
• Teléfonos fijos y móviles.
• Robots aspiradores.
• Impresoras.
• Sensores magnéticos de puertas y ventanas.

Por último, y no menos importante, cerramos este post citando los consejos al consumidor que nos da el informe de Telefónica, para que toméis nota y os convirtáis en un Human Firewall positivo que hace de nuestro mundo moderno un lugar más seguro:

• Cuando se configuran las redes, cambia las contraseñas predeterminadas de routers domésticos y de los dispositivos IoT, usando un cifrado lo más fuerte posible.
• Usa los dispositivos en diferentes redes domésticas, cuando sea posible.
• Utiliza contraseñas seguras y robustas para las cuentas de los dispositivos.
• Deshabilita o protege el acceso remoto a los dispositivos cuando no se necesite.
• Investiga las medidas de seguridad adoptadas por el fabricante de los dispositivos.
• Modifica la configuración de privacidad y de seguridad de los dispositivos acorde a nuestras necesidades.
• Deshabilita las funciones del dispositivo que no estén siendo/vayan a ser utilizadas.
• Instala las actualizaciones cuando estén disponibles.

Desde hace siglos, mucho antes de la invención de la informática, el ser humano es consciente de que la información es poder. Desde algo tan breve como una contraseña, a algo tan extenso como puede ser un documento sensible, la preservación del valor de la información que contienen se basa en lo mismo: el secreto. A lo largo de la vida útil de dicha información, seguirá siendo relevante el hermetismo respecto a la misma, ya que en caso de quebrarse, su valor se perdería. No obstante, una vez expira esa vida útil, la importancia de mantener el secreto puede pasar a un segundo plano. Por esta razón, algunos documentos que en su momento eran objeto de celoso secreto, actualmente están desclasificados y a la disposición del público general.

Con este antecedente, se puede comprender la existencia de leyes como la Freedom Of Information Act (FOIA) estadounidense. Promulgada en 1966 por el presidente Lyndon Johnson, permite a los ciudadanos americanos acceder a los registros de las agencias  federales (salvo en una serie de excepciones) en un intento por acercarse a un modelo más abierto de gobierno.

[Read more…]

Nosotros hemos sido muy buenos y nos hemos portado muy bien, o eso creemos. Sin embargo, en el mundo de la ciberseguridad hay otros que se han portado muy mal y según los pronósticos de los expertos, este año que comienza se portarán aún peor. Por eso os pedimos estos regalos para poder hacer frente a las principales amenazas y tendencias que veremos en 2016:

IoT con mayor seguridad. Controlar los objetos que nos rodean desde nuestro smartphone está muy bien, lo que no podemos permitir es que a través de las conexiones de estos objetos nos controlen a nosotros. Esto es lo que puede suceder en 2016 si la industria del IoT continúa desarrollando sistemas de conexión a Internet para relojes, pulseras de actividad, televisores, termostatos, coches y hasta monitores para bebés sin tomar en cuenta la seguridad de los mismos. A medida que su popularidad crece, estos objetos se hacen cada vez más atractivos para los ciberdelincuentes porque representan accesos fáciles a los móviles de los usuarios, el verdadero objetivo, que a su vez son las puertas a otros botines más suculentos como puede ser la información clave de una organización.

Es por ello que debemos ser prudentes a la hora de utilizar estos maravillosos artefactos y esperemos que mejoren sus sistemas de seguridad este año.

Soluciones para librarnos de hardware infectado. Según los expertos en malware, durante 2016 los ataques perpetrados a través de firmware infectado crecerán en popularidad. El firmware es el software que maneja físicamente al hardware y el que carga el sistema operativo. Este tipo de infección, al estar oculta en el firmware, permanece a pesar de que se formatee por completo el hardware y se reinstale el sistema operativo, convirtiéndose en un problema persistente para quien tenga la “suerte” de toparse con él en un disco duro o USB, por ejemplo.

Este método ya lleva varios años utilizándose, sin embargo, se pronostica que su uso se extenderá en 2016 porque en el mercado de la ciberdelincuencia se comienzan a comercializar herramientas y asistencia para facilitar su aplicación como es el caso del UEFI rootkit.Aunque existen ciertas soluciones para este malware, esperemos que este año salgan a la luz opciones más sencillas y accesibles para todos.

No ser víctima del ransomware. El secuestro de un ser querido es una de las cosas más terribles que puede vivir una persona, y aunque nuestra información no es una persona sí puede ser lo suficientemente valiosa como para hacernos pasarlo muy mal si somos víctimas de un ransomware. Como es un negocio muy lucrativo, se prevé que esta forma de malware aumente en 2016 ampliando su target a sectores industriales, financieros y gobiernos locales de países ricos donde las víctimas puedan pagar rápidamente un rescate para recuperar su información. El desarrollo continuo de nuevas formas de infección hace aún más difícil luchar contra el ransomware.

Uno de los problemas es que bo es suficiente evitar enlaces maliciosos, con solo visitar una página web aparentemente inofensiva podemos caer en la trampa. Sin embargo, existen algunas medidas que podemos aplicar para evitarlo como mantener actualizados nuestros navegadores y usar plugins que nos indiquen la reputación de los sitios web que visitamos.

Más concienciación en ciberseguridad. Aun cuando la ciberseguridad empieza a ser un tema popular tanto en medios de comunicación como en empresas, organismos públicos y otras organizaciones, el uso cada vez mayor de dispositivos móviles tanto en el ámbito personal y laboral exige estar al día para evitar las nuevas amenazas que tienen como objetivo estos medios. Es muy “normal” que nos instalemos una app sin leer la información y funcionalidades que requiere para funcionar, o que demos acceso a toda nuestra información sin pensar dos veces en las consecuencias.Los móviles representan para los ciberdelincuentes puertas de entrada a la información clave de una organización y se prevé que para el 2016 los ciberataques a través de estos dispositivos aumenten en paralelo con su uso.

Cloud segura. Estamos cada vez más en la nube y eso nos permite disfrutar de grandes beneficios pero también nos exige poner los pies en la tierra si no queremos quedar expuestos a grandes riesgos como, por ejemplo, encontrar que nuestra información “privada” está siendo indexada por Google. En 2016 la nube estará en el punto de mira de los ciberdelincuentes porque se prevé que cada vez más empresas usen repositorios de información en la nube. Algunas de ellas sin considerar las medidas de seguridad que implementan para salvaguardar su información, lo que se presentará como un factor clave a la hora de seleccionar un proveedor de servicio.

Debemos ser muy cuidadosos y exigentes a la hora de seleccionar a nuestros proveedores y configurar el servicio. Y por otra parte, esperemos que los proveedores continúen mejorando sus sistemas de seguridad para garantizar la debida protección y privacidad de los datos de sus clientes.

No más passwords =) Olvidarnos de hacer combinaciones de caracteres alfanuméricos rocambolescas para cada uno de nuestros dispositivos y aplicaciones que después no recordamos y que pueden ser descubiertas con facilidad parecía un sueño inalcanzable, pero en 2016 quizás ya sea una realidad.Todo parece indicar que nuevos métodos de autenticación más seguros, eficientes y amigables basados en sistemas biométricos, geolocalización, proximidad de Bluetooth y pictogramas serán puestos en nuestras manos por las grandes compañías tecnológicas.

Lucha contra el terrorismo y la violencia en Internet. El ataque terrorista de Paris ha sido uno de los sucesos más tristes e impactantes de 2015, pero es solo la punta del iceberg de un fenómeno que tiene años y en el que han perdido la vida muchas personas en diferentes partes del mundo: el surgimiento del llamado “estado islámico”, en el cual Internet y especialmente las redes sociales han servido de medios de difusión y captación de nuevos adeptos.Resulta curioso que en Facebook no puedas publicar fotos de desnudos pero sí de armas.

Esperemos que en 2016 los gigantes de Internet como Google, Facebook y Twitter, sin vulnerar la privacidad de sus usuarios, claro está, colaboren y se comprometan de manera más activa a la hora de detectar y neutralizar a grupos violentos en general.

Aplicaciones y sistemas de seguridad amigables y chulos. Basta ya de aplicaciones y sistemas de seguridad incomprensibles, espantosos y pesados. Gracias a que la seguridad de la información cobra cada vez más importancia para organizaciones y personas en general, el desarrollo de soluciones potentes pero también centradas en el usuario con diseños atractivos, intuitivas y fáciles de usar está en auge. Un ejemplo de ello son los nuevos sistemas de autenticación que comentamos ya anteriormente. Para los desarrolladores, la usabilidad y el diseño han dejado de ser aspectos secundarios y se han convertido en una prioridad para poder competir con otras opciones en el mercado.

Esperemos que esta tendencia aumente en 2016 y así los sistemas de seguridad dejen de ser definitivamente un pesado y feo lastre para el usuario.

Y podríamos continuar con muchas cosas más pero no os queremos agobiar, queridos reyes magos. Ya sabemos que vendréis bastante cargaditos este año así que nos despedimos deseándoles a todos nuestros lectores un 2016 lleno de seguridad pero también de muchos éxitos.

Se les quiere ;)

Fuentes:

• http://www.mcafee.com/sg/resources/reports/rp-threats-predictions-2016.pdf
• http://www.inc.com/will-yakowicz/5-cybersecurity-predictions-for-2016.html
• http://www.csoonline.com/article/3013060/security/top-15-security-predictions-for-2016.html

La gestión de identidades y acceso está cambiando. Los sistemas que la soportan manejan datos muy diversos: cuentas, permisos, roles, políticas de acceso, flujos de trabajo y actividad de los usuarios. Los datos de gestión de identidad y acceso están dispersos en distintos sistemas y aplicaciones.  Además si se manejan muchas identidades, roles y perfiles o si estas son muy activas el volumen de datos es importante.

A pesar de ser tan diversos, dispersos y de gran volumen, ha habido grandes avances de interoperabilidad en el intercambio de estos datos, motivados en gran medida por:

• El uso de las redes sociales que permiten utilizar el perfil personal para acceder a otros servicios, el llamado social login, convirtiéndose en verdaderos proveedores de identidades
• El e-commerce y los servicios cloud que han motivado el desarrollo de mecanismos de federación de identidades que permiten a distintas empresas disponer de un único punto de autenticación y autorización

[Read more…]

Es habitual que cada profesional tenga sus preferencias en cuanto a herramientas y modo de trabajar. En general, estas preferencias vienen determinadas por nuestra experiencia y formación; y con el paso del tiempo, la colección de scripts y programas que usamos crece exponencialmente.

Una manera interesante de mantener todo este material recopilado organizado y clasificado es configurar un testbed o laboratorio de pruebas. Esta práctica es seguida habitualmente por profesionales de respuesta a incidentes y peritos, con el objetivo de probar la fiabilidad de las herramientas que usan.  Sin embargo, yo aconsejo realizarlo también a otros profesionales debido a las ventajas que ofrece:

• Dispones de un entorno de referencia para probar herramientas y técnicas forenses.
• Puedes probar programas y comandos, y evaluar cuales son más apropiadas para diferentes entornos y situaciones (por ejemplo: por tiempo de ejecución, trazas dejadas en el sistema operativo o fiabilidad en los resultados).
• A pesar de llevar bastante tiempo, una vez configurado y documentado, el entorno es fácilmente reproducible.

A continuación se explican brevemente los pasos a seguir.

[Read more…]