Archivos por Etiqueta: hacking

¿Estamos concienciados de los potenciales peligros del Internet de las cosas?

En el Mobile World Congress de Barcelona 2017 se centró en los coches conectados, el futuro de las casas inteligentes y, por supuesto, en los nuevos teléfonos. Y, entre tanta tendencia, Intel Security mostró los resultados de sus últimas soluciones de seguridad porque la realidad es que el 38% de nuestro tiempo en casa lo pasamos conectados a estos aparatos.

Pese a este estilo de vida cada vez más conectado, casi la mitad (46 %) de los españoles no sabe cómo comprobar si sus dispositivos están protegidos correctamente, y la mitad de los usuarios encuestados no están seguros de cómo comprobar si sus dispositivos han sido hackeados. En este sentido, los consumidores, además de comprender los riesgos asociados a los portátiles y tabletas, también necesitan conocer los riesgos asociados a dispositivos como las Smart TV, coches conectados. Por esta razón, hablamos con Francisco Sancho, Product Partner Manager Consumer and Mobile de Intel Security España.

¿Cuál es, en su opinión, la radiografía actual de la ciberseguridad con respecto al consumo? Tanto desde el punto de vista de los usuarios como de las empresas

 La parte buena es que, entre los usuarios, hay una concienciación de seguridad en el mundo del PC. Sin embargo, no la hay aún con respecto al mundo «mobile». Seguimos viendo carencias entre los usuarios, quienes tienen un dispositivo móvil desprotegido. Esto se traduce en que está expuesto al «malware». Hay que ser conscientes de que nuestro «smartphone» ha sustituido al PC. Con nuestro móvil hacemos compras, vemos las redes sociales, hacemos clic… Y si bien es cierto que algunos hábitos los tenemos asumidos, sigue habiendo cierta reticencia a proteger los dispositivos móviles. Por ejemplo, damos de forma frívola nuestros datos personales.

¿Por qué cuesta tanto que el usuario se conciencie?

Hace ya varios años que en Intel pasamos a un modelo de pago de seguridad anual para proteger cualquier tipo de dispositivo. Con esa suscripción anual también puedes proteger tu móvil, además de tu ordenador, por ejemplo. Hasta hace tres años, la adopción de los usuarios de medidas de seguridad con respecto al móvil era muy baja así que nosotros decidimos cambiar la forma en la que dábamos el mensaje.

¿Qué hicisteis?

Hay que recordar que el «smartphone» es una herramienta con la que manejamos datos sensibles. Por tanto, hay que protegerse. Así, desde Intel ofrecemos soluciones de seguridad para el PC ¿no? Pues en el momento en el que el usuario se instala esa solución en su ordenador, nosotros le decimos que haga «clic aquí» para que también pueda proteger su dispositivo móvil. El resultado está siendo bueno. No hay que olvidar que España es uno de los países con mayor penetración de «smartphones».

Por tanto, se trata de ponérselo fácil. Al usuario hay que guiarle por la Red como si fuera un niño ¿no?

Efectivamente. Con nuestras soluciones de seguridad puede proteger su PC, Móvil y, por ejemplo, su «smartwatch». Por parte de los fabricantes tenemos que simplificar el mensaje. Hasta ahora, hemos sido muy técnicos y no se nos entendía. Hay que dar mensajes claro porque solo el 10% de los consumidores sabe qué es un «firewall».

Por tanto, ¿seguiréis trabajando en esta misma línea?

El diseño de los productos que vamos a lanzar en breve siguen esa línea. Por ejemplo, tenemos McAfee LiveSafe, una nueva herramienta para proteger al usuario durante la compra online. Tenemos una tecnología que se instala en el dispositivo y comprueba la reputación de la página web en la que quieres comprar: te indica si es verde, amarillo o rojo. Muy fácil. También hemos añadido el reconocimiento de contraseñas: tenemos un módulo que crea claves complejas. El usuario solo tiene que meter la autenticación de la cara y listo.

Si no informas de manera fácil y directa al consumidor de que tiene a su disposición este tipo de opciones, con un mensaje muy positivo, no conseguiremos nada. Se trata de decirle: «Voy contigo por internet y te recomiendo esto».

Una vez más, la biometría se alza como una gran solución de seguridad

Es un buen factor porque, aunque lo es, quizás para el usuario es solo una mayor facilidad. Con la biometría mejoramos la experiencia del usuario. Yo creo que es algo determinante. Llevamos 20 años hablando de las contraseñas.

Pero si el usuario no sabe que tiene que proteger su «smartphone», ¿qué va a pasar cuando llegue realmente el IoT?

En el MWC tratamos este tema. En Internet de las Cosas (IoT) lo vemos como una fuente más de generación de problemas de seguridad. Y viendo que son múltiples fabricantes, múltiples dispositivos, etc. no nos vale un solo software como medida de seguridad. Los juguetes conectados, que mandan imágenes de nuestros hijos a servidores que no sabemos dónde están y para qué, son problemas que afectan a la seguridad y privacidad.

Ante este panorama, Intel, junto a fabricantes de routers, lo que vamos a hacer es aplicar la protección en el mismo router porque en el dispositivo no podemos hacer nada con McAfee Secure Home Platform. Así, si un juguete inteligente intenta mandar información de un menor, nosotros bloqueamos el router y avisamos a los padres con un sms de dicha acción. Y así, ayudamos al usuario a entender qué pasa: «Hemos llevado a cabo este bloqueo por x razón y nos gustaría ofrecerte estas recomendaciones». Un mensaje claro, sencillo y sobre todo positivo.

MWC-intel-k1XD--620x349@abc

La verificación en dos pasos llega a WhatsApp.

Lo corroboran los expertos: la verificación en dos pasos es la medida que más seguridad proporciona a nuestras cuentas en Internet y los diferentes servicios asociados. WhatsApp ha tardado en incorporarla de forma masiva, pero por fin acaba de anunciar su disponibilidad en Android, iPhone y Windows Phone -conviene recordar que el servicio comenzó a probar esta capa de seguridad en beta en noviembre del año pasado-. La incorporación de la verificación en dos pasos se suma al cifrado de extremo a extremo que fue añadido por el servicio perteneciente a Facebook el año pasado.

Para activar esta capa adicional de seguridad, el usuario deberá acceder a Configuración > Cuenta > Verificación en dos pasos y ahí pulsar sobre Activar. El sistema recomendará añadir una dirección de correo electrónico y es importante indicarla porque nos servirá para recordar la contraseña en caso de olvido. Este email debería ser alguno al que el usuario pueda acceder siempre (por ejemplo, no se recomienda utilizar el del trabajo) puesto que cualquiera que acceda a dicha dirección puede conocer nuestra contraseña.

Esta nueva medida de seguridad puede tranquilizar a los más preocupados por su privacidad, pero hay que tener en cuenta que puede llegar a ser un tanto molesta: el sistema nos obligará a introducir la contraseña cada cierto tiempo. En cualquier caso, es absolutamente recomendable activar dicha función que irá llegando a los móviles con la app instalada a lo largo del día de hoy, siempre que se tenga actualizada a la última versión.

48791776--620x349

Los hackers podrían extraer informació de tus dedos que muestras en los selfies.

Unos investigadores del Instituto Nacional de Informática de Japón han desarrollado un método que permite copiar las huellas dactilares fotografiadas hasta a tres metros de distancia por una cámara digital. Algo que debería poner en alerta, dicen, a quienes suelen hacerse fotos mostrando el signo de la victoria, el de la paz o incluso el saludo vulcaniano de los trekies.

A partir de la información de la fotografía los informáticos pueden obtener datos válidos para pasar por alto sistemas de seguridad como los que desbloquean teléfonos móviles, ordenadores, puertas y otros dispositivos, que cada vez son más comunes y están reemplazando a la identificación mediante una combinación de nombre de usuario y contraseña tradicional.

El problema de vincular la información biométrica a algo que puede fotografiarse y reproducirse no debería ser en principio motivo de alerta, dado que para la mayor parte de la gente su presencia en Internet no es demasiado fácil de rastrear: muchos rostros (y huellas) son de gente relativamente anónima, por lo cual es difícil que un atacante encuentre justamente las huellas de la víctima cuya identidad pretende suplantar.

Los investigadores advierten, sin embargo, que para las personas famosas la situación puede ser diferente, dado que sus rostros y fotos son más comunes y numerosas. Y también recuerdan que últimamente han proliferado los sitios en Internet en los que basta subir una foto de un rostro cualquiera para localizar a esa persona en las redes sociales. Hace un par de años un pirata informático afirmó haber clonado las huellas de la ministra de defensa alemana, Ursula von der Leyen, aunque no se pudo comprobar si la copia era realmente efectiva.

Una alternativa sería utilizar un tipo de pintura especial transparente que no interfiere con la identificación de las huellas pero evita que puedan copiarse, aunque está todavía en desarrollo y no llegará al mercado de consumo hasta al menos dentro de un par de años. Otra contramedida surge de las propias empresas que desarrollan la tecnología de identificación: con la continua mejora de la resolución de sus escáneres dactilares (actualmente los hay que pueden llegar hasta 2000 puntos por pulgada) se complica sobremanera que las fotografías tomadas a distancia alcancen esa misma resolución.

Con cierto sentido del humor, uno de los experimentadores recomienda mientras tanto hacerse las fotos con la llamada “pose de Ninja”, en la que las huellas quedan al revés —hacia el rostro— o incluso recurrir a utilizar guantes o mover los dedos fuera del encuadre. El problema, según dice el profesor Isao Echizen es que “si a alguien le roban la contraseña puede cambiarla, pero las huellas dactilares son para toda la vida”. Lo cierto es que todavía no se han conocido casos sonados ni masivos de problemas de seguridad por un robo de huellas de este tipo.

La cuestión tiene algo de gracioso, pero no es baladí: históricamente se han utilizado técnicas similares para copiar llaves fotografiándolas hasta 60 metros de distancia; hace casi una década unos informáticos de Princeton utilizaron las fotografías de unas llaves de máquinas de votación estadounidense publicadas en la web de la compañía Diebold para crear copias que las abrían – increíblemente, todas las máquinas usaban la misma llave. Otros sonoros casos de problemas similares son los relacionados con fotos de tarjetas de crédito, billetes de avión

1485512728_331052_1485849365_noticia_fotograma

Los hackers “secuestran” un hotel en Los Alpes

Un fin de semana en un hotel de lujo en Los Alpes austriacos terminó por convertirse en una pesadilla para los huéspedes del hotel Romantik Seehotel Jaegerwirt, en la localidad de Turrach. El pasado 22 de enero un grupo criminal consiguió tomar el control del sistema informático del hotel. Pidió dos bitcoins, al cambio actual es una cantidad cercana a los 1.500 euros. El director del hotel, Christoph Brandstaetter, decidió hacerlo público para crear alerta y que se tomen medidas para impedir este tipo de extorsiones.

El dueño del hotel confesó que en verano hubo un primer intento y les costó varios miles de euros restaurar y reforzar la infraestructura informática. Tampoco tuvieron ayuda de las aseguradoras por no contemplarlo en la póliza.

El coste de una noche en el centro alpino en temporada alta supera los 500 euros. Brandstaetter ha aclarado a Forbes que los turistas no se alteraron pero dada la gravedad del ataque decidió pagar: “Cada euro en manos de estos extorsionadores nos daña. Conozco a otros colegas atacados que tuvieron que hacer como nosotros”.

Bucio cree que este tipo de delitos van a ser comunes en los próximos años: “No vamos a decir que tengamos miedo de estar en nuestra propia casa, pero muchos hogares inteligentes, con puertas robotizadas sí confían en un Internet de las Cosas que, si no se actualiza, puede tener consecuencias”.

La transacción se hizo siguiendo los pasos de un email hasta depositar el rescate en una billetera de bitcoin. El experto considera que el precio del rescate es relativamente bajo, propio de una maniobra exprés con la que buscaban no dejar huella, cobrar y pasar inadvertidos.

Otro matiz interesante es la elección de bitcoin como moneda para la transacción. “Para los atacantes es mucho más anónimo, deja menos rastreo que Paypal o una transferencia bancaria”, relata.

Según el Departamento de Justicia de Estados Unidos, los ciberraptos son un delito al alza, que se ha cuadruplicado en los últimos años hasta llegar a los 4.000 al año solo en este país. El FBI valora en 206 millones en rescates solo en el primer trimestre de 2016, mientras que en todo 2015 se pagaron 24 millones.

El dueño ya ha pensando cómo evitar que esto suceda de nuevo. Lo hará con una vuelta a los orígenes del hotel, que tiene 111 años. Van a cambiar todas las cerraduras y volver a la llave física tradicional. “Como lo hicieron mis bisabuelos”, dijo a la The Local.

1485812022_560119_1485812948_noticia_normal_recorte1

El patrón de desbloqueo del móvil al descubierto

Que es imperiosamente necesario proteger el contenido de nuestros móviles es algo que ya a casi nadie se le escapa: fotografías, agenda de contactos, correos electrónicos, cuenta corriente… Quien logre franquear la pantalla de un smartphone ajeno puede tener acceso a prácticamente toda la vida de su propietario. El problema al que se enfrentan los usuarios de los móviles es el de la conveniencia: desbloquear el móvil con un código puede ser muy engorroso cuando lo hacemos muchas veces al cabo del día, y en este sentido Google propuso para los móviles de su plataforma el popular patrón de desbloqueo.

Mediante un garabateo en la pantalla dibujando una combinación específica, se puede desbloquear el móvil de una manera menos pesada que introduciendo una combinación de números o caracteres. Esta manera de desbloquear ha ido creciendo en popularidad con el paso del tiempo y sus usuarios se han sentido tranquilos al creer que su información estaba a salvo de ojos ajenos. Sin embargo, un reciente estudio ha demostrado que esta forma de proteger la pantalla del móvil es insultantemente fácil de franquear y con unos ratios de error bajísimos.

¿Qué es, al final, un patrón? Se trata de un dibujo que llevamos a cabo sobre la pantalla del móvil y que lo desbloquea. Y tal vez en la propia forma de emplear este sistema se encuentre su gran vulnerabilidad: el patrón puede ser visto a bastante distancia por cualquier persona. Para demostrar la fragilidad de este popular sistema, un grupo de investigadores del Reino Unido y China han dado con un sistema mediante el cual pueden descifrar la gran mayoría de los patrones en unos pocos intentos. Este equipo ha creado un algoritmo mediante el cual se analizan los movimientos de la mano al desbloquear la pantalla, grabando la secuencia a distancia y se crean posibles alternativas de desbloqueo.

En el estudio se ha grabado con un móvil convencional y a una distancia de 2,5 metros a cientos de personas desbloqueando sus Android mediante patrón, logrando un 95% de aciertos en hasta cinco intentos de desbloqueo. Uno podría pensar que generando patrones complejos (múltiples dibujos sobre la pantalla) el sistema sería más difícil de desbloquear, pero el estudio ha demostrado justo lo contrario: cuanto más complejo es el patrón, más fácil de desbloquear es utilizando este sistema.

El hallazgo ha sido tan demoledor que los responsables del estudio han instado a los propietarios de móviles Android a no emplear el patrón como modo de bloqueo del terminal cuando la información a salvaguardar sea muy importante. Aunque estos expertos también proponen una solución intermedia cuando se esté en lugares públicos: proteger de posibles miradas ajenas con una mano el trazado del patrón. Una solución simple, pero efectiva. Y por descontado, si el dispositivo lo soporta, lo más recomendable es emplear sistemas biométricos para proteger nuestros dispositivos.

1485336951_413986_1485337505_noticia_normal_recorte1