Archivos por Etiqueta: hacking

Un foto podría ser la puerta de entrada para robar datos de WhatsApp

Código malicioso oculto en una fotografía. Así es como un ciberdelincuente o persona malintencionada podría tomar el control de los datos de un servicio de mensajería. Un grupo de investigadores de la firma de seguridad Check Point han descubierto una vulnerabilidad en las versiones para navegadores web de WhatsApp y Telegram, dos de los servicios más extendidos del mundo, y que están dirigidos al método en que ambos servicios de chat procesan las imágenes y los archivos multimedia. Tras comunicarles el problema el pasado 7 de marzo, ambas compañías ya han puesto solución.

Los expertos creen que con solo enviar una imagen «aparentemente inofensiva» un ciberdelincuente podría «tomar el control de tu cuenta y abrir todo», señala a este diario Mario García, director general de Check Point para España y Portugal. Esta vulnerabilidad podría permitir a un ciberdelincuente enviar el código malicioso oculto dentro de una imagen de aspecto inofensivo. De forma que en el momento en el que el usuario abriera la fotografía dejaría vía libre a sus datos almacenados tanto en WhatsApp como Telegram. Además, esta técnica daría libertad a los ciberdelincuentes a enviar el archivo malicioso a todos los contactos de la víctima, lo que «potencialmente permite un ataque a gran escala».

Este «bug», limitado a las versiones web, no afecta al sistema de cifrado implantado por las «apps» para dispositivos móviles. El diseño del servicio para ser utilizado desde un ordenador común, independientemente del navegador, contenía una vulnerabilidad que en caso de ser explotada podría exponer los datos personales registrados en el servicio, tales como tener acceso a la agenda de contactos, acceder al historial de las conversaciones o descargar las imágenes almacenadas, así como enviar mensajes en nombre de la víctima.

El mecanismo que utiliza para cargar los archivos en WhatsApp admite varios tipos de formatos y tipos de documentos (Office, PDF, audio, vídeo e imágenes). Cada uno de ellos se puede enviar a los usuarios de WhatsApp como un archivo adjunto. Sin embargo, desde Check Point apuntan a que han logrado saltarse las restricciones de ese mecanismo al cargar un documento HTML malicioso con una previsualización aparentemente verosímil de una imagen con el fin de engañar a una víctima para abra la fotografía.

La idea, en efecto, es que se ha descubierto la forma en que se puede introducir un archivo ejecutable que «no es visible por parte del usuario» en el propio texto de la imagen sino en los metadatos que contiene. «Y sin que supieras nada y han tomado el control de tu cuenta», asegura. Actualmente, tanto WhatsApp como Telegram utilizan una encriptación de mensajes de «extremo a extremo», un sistema de protección que garantiza que únicamente los interlocutores tienen acceso a los mensajes enviados, aunque los expertos creen que esta técnica fue la fuente del punto débil.

El problema -dicen- es que dado que los mensajes se cifran justo en el mismo instante en el que se envían ambos servicios no pudieron detectar el tipo de archivos que se estaba adjuntando, por lo que no pudieron evitar que se enviara «malware». Después de corregir esta vulnerabilidad, el contenido se validará ahora antes del cifrado, lo que permitirá bloquear los archivos maliciosos.

En el caso de WhatsApp, su versión para navegadores, disponible para todos las versiones, actúa a modo de espejo al recoger todos los mensajes enviados y recibidos en la aplicación para móviles pero los sincroniza con los dispositivos de los usuarios. En septiembre de 2015, la misma compañía halló otra vulnerabilidad en WhatsApp Web, que permitía a los «hackers» enviar a los usuarios una vCard aparentemente inofensiva que contenía «malware».

Telegram niega el problema

«Esto no es verdad, Telegram nunca tuvo este problema», aseguran, sin embargo, fuentes de la compañía de mensajería en contra de la investigación llevada a cabo por Check Point. La empresa especializada en seguridad, en realidad y según Telegram, «señaló un problema diferente en Telegram Web, que estaba basado en la misma idea, pero tenía implicancias muy diferentes para el usuario final». Según explica la «app» de mensajería, si sus usuarios simplemente abrieron el video para reproducirlo en una pestaña nueva o en modo de pantalla completa, no pasa nada.

whastapp-23-kMBB--620x349@abc

¿Estamos concienciados de los potenciales peligros del Internet de las cosas?

En el Mobile World Congress de Barcelona 2017 se centró en los coches conectados, el futuro de las casas inteligentes y, por supuesto, en los nuevos teléfonos. Y, entre tanta tendencia, Intel Security mostró los resultados de sus últimas soluciones de seguridad porque la realidad es que el 38% de nuestro tiempo en casa lo pasamos conectados a estos aparatos.

Pese a este estilo de vida cada vez más conectado, casi la mitad (46 %) de los españoles no sabe cómo comprobar si sus dispositivos están protegidos correctamente, y la mitad de los usuarios encuestados no están seguros de cómo comprobar si sus dispositivos han sido hackeados. En este sentido, los consumidores, además de comprender los riesgos asociados a los portátiles y tabletas, también necesitan conocer los riesgos asociados a dispositivos como las Smart TV, coches conectados. Por esta razón, hablamos con Francisco Sancho, Product Partner Manager Consumer and Mobile de Intel Security España.

¿Cuál es, en su opinión, la radiografía actual de la ciberseguridad con respecto al consumo? Tanto desde el punto de vista de los usuarios como de las empresas

 La parte buena es que, entre los usuarios, hay una concienciación de seguridad en el mundo del PC. Sin embargo, no la hay aún con respecto al mundo «mobile». Seguimos viendo carencias entre los usuarios, quienes tienen un dispositivo móvil desprotegido. Esto se traduce en que está expuesto al «malware». Hay que ser conscientes de que nuestro «smartphone» ha sustituido al PC. Con nuestro móvil hacemos compras, vemos las redes sociales, hacemos clic… Y si bien es cierto que algunos hábitos los tenemos asumidos, sigue habiendo cierta reticencia a proteger los dispositivos móviles. Por ejemplo, damos de forma frívola nuestros datos personales.

¿Por qué cuesta tanto que el usuario se conciencie?

Hace ya varios años que en Intel pasamos a un modelo de pago de seguridad anual para proteger cualquier tipo de dispositivo. Con esa suscripción anual también puedes proteger tu móvil, además de tu ordenador, por ejemplo. Hasta hace tres años, la adopción de los usuarios de medidas de seguridad con respecto al móvil era muy baja así que nosotros decidimos cambiar la forma en la que dábamos el mensaje.

¿Qué hicisteis?

Hay que recordar que el «smartphone» es una herramienta con la que manejamos datos sensibles. Por tanto, hay que protegerse. Así, desde Intel ofrecemos soluciones de seguridad para el PC ¿no? Pues en el momento en el que el usuario se instala esa solución en su ordenador, nosotros le decimos que haga «clic aquí» para que también pueda proteger su dispositivo móvil. El resultado está siendo bueno. No hay que olvidar que España es uno de los países con mayor penetración de «smartphones».

Por tanto, se trata de ponérselo fácil. Al usuario hay que guiarle por la Red como si fuera un niño ¿no?

Efectivamente. Con nuestras soluciones de seguridad puede proteger su PC, Móvil y, por ejemplo, su «smartwatch». Por parte de los fabricantes tenemos que simplificar el mensaje. Hasta ahora, hemos sido muy técnicos y no se nos entendía. Hay que dar mensajes claro porque solo el 10% de los consumidores sabe qué es un «firewall».

Por tanto, ¿seguiréis trabajando en esta misma línea?

El diseño de los productos que vamos a lanzar en breve siguen esa línea. Por ejemplo, tenemos McAfee LiveSafe, una nueva herramienta para proteger al usuario durante la compra online. Tenemos una tecnología que se instala en el dispositivo y comprueba la reputación de la página web en la que quieres comprar: te indica si es verde, amarillo o rojo. Muy fácil. También hemos añadido el reconocimiento de contraseñas: tenemos un módulo que crea claves complejas. El usuario solo tiene que meter la autenticación de la cara y listo.

Si no informas de manera fácil y directa al consumidor de que tiene a su disposición este tipo de opciones, con un mensaje muy positivo, no conseguiremos nada. Se trata de decirle: «Voy contigo por internet y te recomiendo esto».

Una vez más, la biometría se alza como una gran solución de seguridad

Es un buen factor porque, aunque lo es, quizás para el usuario es solo una mayor facilidad. Con la biometría mejoramos la experiencia del usuario. Yo creo que es algo determinante. Llevamos 20 años hablando de las contraseñas.

Pero si el usuario no sabe que tiene que proteger su «smartphone», ¿qué va a pasar cuando llegue realmente el IoT?

En el MWC tratamos este tema. En Internet de las Cosas (IoT) lo vemos como una fuente más de generación de problemas de seguridad. Y viendo que son múltiples fabricantes, múltiples dispositivos, etc. no nos vale un solo software como medida de seguridad. Los juguetes conectados, que mandan imágenes de nuestros hijos a servidores que no sabemos dónde están y para qué, son problemas que afectan a la seguridad y privacidad.

Ante este panorama, Intel, junto a fabricantes de routers, lo que vamos a hacer es aplicar la protección en el mismo router porque en el dispositivo no podemos hacer nada con McAfee Secure Home Platform. Así, si un juguete inteligente intenta mandar información de un menor, nosotros bloqueamos el router y avisamos a los padres con un sms de dicha acción. Y así, ayudamos al usuario a entender qué pasa: «Hemos llevado a cabo este bloqueo por x razón y nos gustaría ofrecerte estas recomendaciones». Un mensaje claro, sencillo y sobre todo positivo.

MWC-intel-k1XD--620x349@abc

La verificación en dos pasos llega a WhatsApp.

Lo corroboran los expertos: la verificación en dos pasos es la medida que más seguridad proporciona a nuestras cuentas en Internet y los diferentes servicios asociados. WhatsApp ha tardado en incorporarla de forma masiva, pero por fin acaba de anunciar su disponibilidad en Android, iPhone y Windows Phone -conviene recordar que el servicio comenzó a probar esta capa de seguridad en beta en noviembre del año pasado-. La incorporación de la verificación en dos pasos se suma al cifrado de extremo a extremo que fue añadido por el servicio perteneciente a Facebook el año pasado.

Para activar esta capa adicional de seguridad, el usuario deberá acceder a Configuración > Cuenta > Verificación en dos pasos y ahí pulsar sobre Activar. El sistema recomendará añadir una dirección de correo electrónico y es importante indicarla porque nos servirá para recordar la contraseña en caso de olvido. Este email debería ser alguno al que el usuario pueda acceder siempre (por ejemplo, no se recomienda utilizar el del trabajo) puesto que cualquiera que acceda a dicha dirección puede conocer nuestra contraseña.

Esta nueva medida de seguridad puede tranquilizar a los más preocupados por su privacidad, pero hay que tener en cuenta que puede llegar a ser un tanto molesta: el sistema nos obligará a introducir la contraseña cada cierto tiempo. En cualquier caso, es absolutamente recomendable activar dicha función que irá llegando a los móviles con la app instalada a lo largo del día de hoy, siempre que se tenga actualizada a la última versión.

48791776--620x349

Los hackers podrían extraer informació de tus dedos que muestras en los selfies.

Unos investigadores del Instituto Nacional de Informática de Japón han desarrollado un método que permite copiar las huellas dactilares fotografiadas hasta a tres metros de distancia por una cámara digital. Algo que debería poner en alerta, dicen, a quienes suelen hacerse fotos mostrando el signo de la victoria, el de la paz o incluso el saludo vulcaniano de los trekies.

A partir de la información de la fotografía los informáticos pueden obtener datos válidos para pasar por alto sistemas de seguridad como los que desbloquean teléfonos móviles, ordenadores, puertas y otros dispositivos, que cada vez son más comunes y están reemplazando a la identificación mediante una combinación de nombre de usuario y contraseña tradicional.

El problema de vincular la información biométrica a algo que puede fotografiarse y reproducirse no debería ser en principio motivo de alerta, dado que para la mayor parte de la gente su presencia en Internet no es demasiado fácil de rastrear: muchos rostros (y huellas) son de gente relativamente anónima, por lo cual es difícil que un atacante encuentre justamente las huellas de la víctima cuya identidad pretende suplantar.

Los investigadores advierten, sin embargo, que para las personas famosas la situación puede ser diferente, dado que sus rostros y fotos son más comunes y numerosas. Y también recuerdan que últimamente han proliferado los sitios en Internet en los que basta subir una foto de un rostro cualquiera para localizar a esa persona en las redes sociales. Hace un par de años un pirata informático afirmó haber clonado las huellas de la ministra de defensa alemana, Ursula von der Leyen, aunque no se pudo comprobar si la copia era realmente efectiva.

Una alternativa sería utilizar un tipo de pintura especial transparente que no interfiere con la identificación de las huellas pero evita que puedan copiarse, aunque está todavía en desarrollo y no llegará al mercado de consumo hasta al menos dentro de un par de años. Otra contramedida surge de las propias empresas que desarrollan la tecnología de identificación: con la continua mejora de la resolución de sus escáneres dactilares (actualmente los hay que pueden llegar hasta 2000 puntos por pulgada) se complica sobremanera que las fotografías tomadas a distancia alcancen esa misma resolución.

Con cierto sentido del humor, uno de los experimentadores recomienda mientras tanto hacerse las fotos con la llamada “pose de Ninja”, en la que las huellas quedan al revés —hacia el rostro— o incluso recurrir a utilizar guantes o mover los dedos fuera del encuadre. El problema, según dice el profesor Isao Echizen es que “si a alguien le roban la contraseña puede cambiarla, pero las huellas dactilares son para toda la vida”. Lo cierto es que todavía no se han conocido casos sonados ni masivos de problemas de seguridad por un robo de huellas de este tipo.

La cuestión tiene algo de gracioso, pero no es baladí: históricamente se han utilizado técnicas similares para copiar llaves fotografiándolas hasta 60 metros de distancia; hace casi una década unos informáticos de Princeton utilizaron las fotografías de unas llaves de máquinas de votación estadounidense publicadas en la web de la compañía Diebold para crear copias que las abrían – increíblemente, todas las máquinas usaban la misma llave. Otros sonoros casos de problemas similares son los relacionados con fotos de tarjetas de crédito, billetes de avión

1485512728_331052_1485849365_noticia_fotograma

Los hackers “secuestran” un hotel en Los Alpes

Un fin de semana en un hotel de lujo en Los Alpes austriacos terminó por convertirse en una pesadilla para los huéspedes del hotel Romantik Seehotel Jaegerwirt, en la localidad de Turrach. El pasado 22 de enero un grupo criminal consiguió tomar el control del sistema informático del hotel. Pidió dos bitcoins, al cambio actual es una cantidad cercana a los 1.500 euros. El director del hotel, Christoph Brandstaetter, decidió hacerlo público para crear alerta y que se tomen medidas para impedir este tipo de extorsiones.

El dueño del hotel confesó que en verano hubo un primer intento y les costó varios miles de euros restaurar y reforzar la infraestructura informática. Tampoco tuvieron ayuda de las aseguradoras por no contemplarlo en la póliza.

El coste de una noche en el centro alpino en temporada alta supera los 500 euros. Brandstaetter ha aclarado a Forbes que los turistas no se alteraron pero dada la gravedad del ataque decidió pagar: “Cada euro en manos de estos extorsionadores nos daña. Conozco a otros colegas atacados que tuvieron que hacer como nosotros”.

Bucio cree que este tipo de delitos van a ser comunes en los próximos años: “No vamos a decir que tengamos miedo de estar en nuestra propia casa, pero muchos hogares inteligentes, con puertas robotizadas sí confían en un Internet de las Cosas que, si no se actualiza, puede tener consecuencias”.

La transacción se hizo siguiendo los pasos de un email hasta depositar el rescate en una billetera de bitcoin. El experto considera que el precio del rescate es relativamente bajo, propio de una maniobra exprés con la que buscaban no dejar huella, cobrar y pasar inadvertidos.

Otro matiz interesante es la elección de bitcoin como moneda para la transacción. “Para los atacantes es mucho más anónimo, deja menos rastreo que Paypal o una transferencia bancaria”, relata.

Según el Departamento de Justicia de Estados Unidos, los ciberraptos son un delito al alza, que se ha cuadruplicado en los últimos años hasta llegar a los 4.000 al año solo en este país. El FBI valora en 206 millones en rescates solo en el primer trimestre de 2016, mientras que en todo 2015 se pagaron 24 millones.

El dueño ya ha pensando cómo evitar que esto suceda de nuevo. Lo hará con una vuelta a los orígenes del hotel, que tiene 111 años. Van a cambiar todas las cerraduras y volver a la llave física tradicional. “Como lo hicieron mis bisabuelos”, dijo a la The Local.

1485812022_560119_1485812948_noticia_normal_recorte1