Archivos por Etiqueta: hacking

El patrón de desbloqueo del móvil al descubierto

Que es imperiosamente necesario proteger el contenido de nuestros móviles es algo que ya a casi nadie se le escapa: fotografías, agenda de contactos, correos electrónicos, cuenta corriente… Quien logre franquear la pantalla de un smartphone ajeno puede tener acceso a prácticamente toda la vida de su propietario. El problema al que se enfrentan los usuarios de los móviles es el de la conveniencia: desbloquear el móvil con un código puede ser muy engorroso cuando lo hacemos muchas veces al cabo del día, y en este sentido Google propuso para los móviles de su plataforma el popular patrón de desbloqueo.

Mediante un garabateo en la pantalla dibujando una combinación específica, se puede desbloquear el móvil de una manera menos pesada que introduciendo una combinación de números o caracteres. Esta manera de desbloquear ha ido creciendo en popularidad con el paso del tiempo y sus usuarios se han sentido tranquilos al creer que su información estaba a salvo de ojos ajenos. Sin embargo, un reciente estudio ha demostrado que esta forma de proteger la pantalla del móvil es insultantemente fácil de franquear y con unos ratios de error bajísimos.

¿Qué es, al final, un patrón? Se trata de un dibujo que llevamos a cabo sobre la pantalla del móvil y que lo desbloquea. Y tal vez en la propia forma de emplear este sistema se encuentre su gran vulnerabilidad: el patrón puede ser visto a bastante distancia por cualquier persona. Para demostrar la fragilidad de este popular sistema, un grupo de investigadores del Reino Unido y China han dado con un sistema mediante el cual pueden descifrar la gran mayoría de los patrones en unos pocos intentos. Este equipo ha creado un algoritmo mediante el cual se analizan los movimientos de la mano al desbloquear la pantalla, grabando la secuencia a distancia y se crean posibles alternativas de desbloqueo.

En el estudio se ha grabado con un móvil convencional y a una distancia de 2,5 metros a cientos de personas desbloqueando sus Android mediante patrón, logrando un 95% de aciertos en hasta cinco intentos de desbloqueo. Uno podría pensar que generando patrones complejos (múltiples dibujos sobre la pantalla) el sistema sería más difícil de desbloquear, pero el estudio ha demostrado justo lo contrario: cuanto más complejo es el patrón, más fácil de desbloquear es utilizando este sistema.

El hallazgo ha sido tan demoledor que los responsables del estudio han instado a los propietarios de móviles Android a no emplear el patrón como modo de bloqueo del terminal cuando la información a salvaguardar sea muy importante. Aunque estos expertos también proponen una solución intermedia cuando se esté en lugares públicos: proteger de posibles miradas ajenas con una mano el trazado del patrón. Una solución simple, pero efectiva. Y por descontado, si el dispositivo lo soporta, lo más recomendable es emplear sistemas biométricos para proteger nuestros dispositivos.

1485336951_413986_1485337505_noticia_normal_recorte1

Cómo evitar que los mensajes de WhatsApp puedan ser leídos por terceras personas.

Fue sin duda una de las medidas más importantes adoptadas por WhatsApp: incorporar un sistema de cifrado que hacía completamente inaccesible el contenido de una conversación salvo para los interlocutores.Mediante este sistema, el emisor genera -de una manera totalmente automatizada- unas claves que llegan el destinatario y sólo él puede descifrarlas. Este sistema de encriptación garantizaba la absoluta privacidad de las conversaciones, pero una investigación, desvelada por The Guardian, ha descubierto un agujero en este sistema que permitiría acceder al contenido de los mensajes.

En el Preguntas y Respuestas de WhatsApp podemos leer: “El cifrado de extremo a extremo en WhatsApp asegura que solo tú y el receptor puedan leer lo que se envía, y que nadie más, ni siquiera WhatsApp lo pueda hacer”. Una explicación rotunda y que no deja lugar a dudas, pero que ahora ha sido derribaba gracias a un estudio llevado a cabo por la Universidad de California. Su máximo responsable, el experto en seguridad Tobias Boelter, ha descubierto una puerta de atrás (backdoor) mediante la cual el sistema podría cambiar esas claves temporales y asignar unas nuevas que permitieran acceder al contenido.

Esto es posible cuando el destinatario no está conectado y el mensaje queda almacenado en los servidores de WhatsApp esperando a ser enviado. En ese proceso, el sistema podría generar unas nuevas claves y acceder al contenido del mensaje. Es cierto que este proceso debería hacerse con cada de uno de los mensajes enviados, pero también es cierto que si se repite, se puede llegar a transcribir una conversación completa. ¿Quiere esto decir que nuestros mensajes son accesibles por parte de hackers? No, el cifrado sigue garantizando un estándar de seguridad elevado, pero el problema reside en que WhatsApp podría descifrar el mensaje ante una petición de las autoridades.

¿Qué dice WhatsApp al respecto? Un portavoz de la firma ni ha confirmado ni desmentido este extremo a The Guardian, remitiéndose al listado de peticiones de acceso hechas por las autoridades de cada país.

La solución

El usuario puede poner coto de alguna manera a esta posibilidad: para ello es necesario, en la app en el móvil, acceder a Configuración/Cuenta/Seguridad y ahí activar la pestaña “Mostrar notificaciones de seguridad”.

Activando esta opción el usuario será alertado de un posible cambio de claves en la conversación (que puede suceder también cuando el destinatario cambia de móvil). Esta medida no impide que WhatsApp pueda descifrar un mensaje dado, pero sí alertará al usuario del cambio de claves y podrá optar por dejar de escribir mensajes que podrían ser potencialmente leídos.

1484321785_874904_1484322390_noticia_normal_recorte1

Consejos para mantener intacta la privacidad de nuestros dispositivos conectados

La electrónica y los dispositivos tecnológicos son, desde hace mucho tiempo, en un foco de atracción de los consumidores. Y la vorágine de las nuevas tecnologías ha atrapado a pequeños y mayores. De cara a la campaña de navidad los españoles se gastarán una media de 200 euros, según diversos informes consultados por este diario. Y gran parte del dinero se destinará a la compra de este tipo de productos no exentos de riesgos por la ingente cantidad de información sensible que albergan. Una situación delicada que preocupa a los expertos.

Desde la Agencia Española de Protección de Datos, que recientemente instó a las Comunidades Autónomas que incluyan en su currículo escolar unas medidas para fomentar el uso responsable de internet, ha advertido de los posibles riesgos de utilizar dispositivos conectados a la red. Una contraseña robusta, evitar utilizar la misma para todos los servicios digitales o desactivar el sistema de geoposicionamiento de los móviles son algunas medidas que recomiendan los expertos.

Tecnología vestible: tu cuerpo dice más de lo que crees. «Si puedes desactivar la genololalización, mejor», señala Andrés Calvo, responsable del área de informática de la AEPD. Por regla general, los dispositivos móviles y algunos modelos de relojes y pulseras inteligentes cuentan con funciones prácticas que, en manos ajenas, pueden perfilar información de los propietarios.

La llamada tecnología «vestible» (pulseras, relojes, podómetros, etc.) incorpora sensores que registran y pueden transferir información sobre hábitos y costumbres del usuario, tanto al fabricante como a terceros.

«Si los utilizas para monitorizar tu actividad física, es recomendable comprobar quién está recogiendo los datos que aportas, para qué los va a utilizar y si los va a ceder a otros. Si vas a subir estos datos a una red social intenta dar la menor información personal posible al registrarte y elimina o limita el acceso a tu ubicación siempre que puedas, ya que a partir de este dato se puede inferir mucha más información sobre ti de la que imaginas», aconsejan desde el regulador español en materia de protección de datos.

Aparatos con cámara: una ventana indiscreta. Puede que, aparentemente, los dispositivos con cámaras incorporadas (no sólo los móviles) no entrañen ningún riesgo. Sin embargo, los expertos en seguridad informática han insistido en reiteradas ocasiones que ningún dispositivo conectado está 100% a salvo de un ataque o «hackeo».

Por esta razón -esgrime Calvo- es aconsejable que «cuando no quieras que te vean apaga la cámara», ya que «puede ocurrir que haya una vulnerabilidad del sistema» y se acceda de manera discreta al sistema de visión o su cámara.

«Desconéctala o tápala con una cinta adhesiva si no la estás utilizando para evitar que un extraño pueda verte si se hace con el control del dispositivo sin que te des cuenta», añaden las mismas fuentes.

Por otro lado, si te han regalado un dron, además de la normativa aeronáutica, hay que tener en cuenta que si difundes por internet imágenes en las que se pueda identificar a las personas que aparecen en ellas «necesitarás tener su permiso o consentimiento». En opinión de Calvo, «la gente regala drones con bastante alegría; parece un juguete que no tiene más importancia, pero está sujeto a la seguridad aeronáutica».

Contraseñas más robustas y borrado remoto: dispositivos vulnerables. «¿Por qué no pones un codigo bastante complicado? Hay que evitar las mismas contraseñas en los servicios donde estamos», insiste Calvo, quien recomienda además el uso de gestores de credenciales (algunas de descarga gratuita) que almacenan los datos de manera segura.

Desde el organismo regulador consideran imprescindible localizar en las opciones de configuración del terminal la forma en la que podrías acceder a distancia a su contenido para eliminarlo y piensa si te interesa utilizar una aplicación para realizar el borrado remoto, un servicio por ejemplo disponible de fábrica en algunos sistemas operativos móviles como iOS (Apple) .

«Valora si además quieres bloquear algunas aplicaciones que contengan información sensible y, en cualquier caso, realiza copias de seguridad con frecuencia», sugieren.

Política de privacidad: no aceptar sin leer. Por regla general, se estima que una pequeña parte de los usuarios de nuevas tecnologías leen pormenorizadamente los términos de uso de los servicios y programas que instalan. Esta tendencia, sin embargo, conlleva algunos problemas porque se suelen además aceptar sin miramientos los permisos y accesos a determinada información (contactos, álbum de fotos, cámara) que es posible que no sea necesaria para el buen funcionamiento de ese servicio digital.

Los expertos lo tienen claro: no aceptes sin leer. «Antes de instalar una aplicación, consulta su política de privacidad para comprobar quién va a recoger qué datos sobre ti y qué va a hacer con ellos. Valora también los comentarios de otros usuarios, ya que en ocasiones pueden aportarte información útil. Además, comprueba periódicamente las apps instaladas y qué permisos les has concedido, y elimina aquellas que ya no utilices», aconsejan.

Juguetes conectados: cuidado con los datos que obtienen. «Adónde van las imágenes de los aparatos y juguetes. Para qué finalidad se utiliza la información de los menores», se cuestiona Calvo. En su opinión, los padres deberían «leer la política de privacidad del juguete» y «revisar o cambiar las contraseñas que vienen por defecto» para evitar intromisiones ilegítimas.

Ejemplos hay muchos, y más en un momento en el que los juguetes conectados empiezan a pegar fuerte e interesar a los consumidores. «Comprueba en primer lugar si pueden captar la voz o la imagen de los menores, entre otros datos, mientras juegan con ellos y dónde se almacenan. Revisa la política de privacidad para consultar qué permisos estás concediendo y a quién sobre esos datos. Si te piden que registres el juguete online para obtener funciones adicionales, averigua cuál será el destino de la información personal facilitada y para qué se utilizará», sostienen.

Educación: importante el diálogo y supervisión. Otro detalle a tener en cuenta y que suelen insistir desde diferentes áreas de la seguridad y privacidad es en la necesidad de educar a los menores en un comportamiento saludable también en internet.

Además de instaurar controles parentales, los expertos creen que la labor de pedagogía es fundamental para una buena higiene en redes sociales y antes el uso de las nuevas tecnologías. «El diálogo y la supervisión son las mejores herramientas cuando los menores entran en contacto con la tecnología. Es recomendable acordar con ellos para qué van a utilizar los dispositivos y valorar si se quieren instalar herramientas de control parental. Es aconsejable que si los padres quieren instalar un software de localización en el dispositivo para conocer la ubicación del menor, lo hablen previamente con él», recomiendan.

iot-2-kqdf-620x349abc

Los peligros de los juguetes conectados a internet

En Navidad la venta de juguetes se disparan. Y no es para menos. Los Reyes Magos y Papá Noel tienen que cargar con millones de regalos para todos los niños. En sus sacos hay cada vez más muñecos interactivos, videoconsolas, teléfonos inteligentes, tabletas o drones. Aunque son aparentemente inofensivos, el hecho de que estos juguetes sean inteligentes, es decir, estén conectados a internet, pone en riesgo a los menores.

Los juguetes conectados forman parte del denominado Internet de las Cosas. Tostadoras, neveras, «wearables», coches…. Todo va conectado. Y el riesgo está ahí. Cabe recordar el ataque que sufrió hace dos años la empresa de juguetes VTech. Por entonces, los ciberdelincuentes consiguieron hacerse con los datos de millones de niños de todo el mundo. También españoles.

La Barbie Hello, capaz de hablar con los niños, también fue acusada de espionaje porque, según diferentes investigaciones, Mattel almacenaba en sus servidores las conversaciones de la popular muñeca con los menores. La compañía emitió un comunicado en el que aseguraba que respetaba la privacidad de los menores y que esas conversaciones se guardaban para mejorar el producto con previo consentimiento de los progenitores.

 Este año, el Consejo de Consumidores Noruego (Forbrukerradet) ha hecho públicos los «graves» fallos de seguridad en cuanto a la privacidad en dos juguetes conectados a internet. Se trata de la muñeca Cayla y el robot i-Que. Denuncian «preocupantes fallos en torno a la seguridad y la privacidad de los menores a los que están dirigidos» porque cualquiera puede tomar el control de los juguetes, que pueden hablar y grabar conversaciones, a través de un teléfono móvil.

Además, según el Consejo, se ha podido comprobar que cualquier cosa que el niño le diga a la muñeca se transfiere a la compañía estadounidense Nuance Communications, especializada en tecnologías de reconocimiento de voz, reservándose esta empresa el derecho de utilizar esta información con terceros y para una amplia variedad de propósitos.

En el análisis de los términos y condiciones que debe aceptar el usuario se han encontrado cláusulas ilegales como la obligación de aceptar que los términos se cambien sin previo aviso, que los datos personales puedan utilizarse para publicidad específica y que dicha información pueda ser compartida con terceros no identificados. Todo ello infringe la normativa europea en materia de protección de datos y de protección de los consumidores.

«La progresiva adopción de juguetes y dispositivos tecnológicos que componen el Internet de las Cosas y los casos de filtración de datos de las empresas fabricantes están ayudando a comprender la relevancia que tiene prestar especial atención a la ciberseguridad», recuerda Alberto Ruiz Rodas, Sales Engineer de Sophos para España y Portugal.

Los padres, por tanto, tienen que estar al día de todas estas cuestiones que afectan de manera directa a sus hijos. Desde Sophos, líder global en seguridad para protección de redes y endpoints, aconsejan una serie de medidas básicas visto que los fabricantes aún tienen pendiente como prioridad la tarea de la seguridad en este tipo de dispositivos. El objetivo es poner todas las medidas que estén a nuestra disposición para que los cibercriminales no tengan a los menores como un objetivo fácil.

Los padres o tutores de los pequeños deben tomarse el tiempo necesario para comprender cómo un juguete, videoconsola, coche de control remoto o muñeca, se conecta e interactúa con internet. «Deben saber que todo aparato conectado a la Red siempre es susceptible de ser ‘hackeado‘», recuerda el experto. «Aplicar medidas de seguridad preventivas -continua- es una lección importante que no debe dejar de aprenderse para poder disfrutar con tranquilidad de la tecnología, teniendo presente que los ciberdelincuentes siempre atacarán allí donde el usuario se conecte y puedan obtener cualquier beneficio al hacerlo».

Lo primero que hay que tener en cuenta es que no hay que dejar las contraseñas con las que vienen de fábrica. Todos los dispositivos vienen con una clave predeterminada que hay que cambiar. En las opciones de seguridad o privacidad, el usuario tiene esa opción. Recuerda que toda contraseña debe tener, al menos, ocho caracteres que incluyan números, símbolos y letras mayúsculas y minúsculas.

Sophos aconseja también controlar el usuario de los niños. Los padres son responsable de estar al tanto de quiénes son los «amigos virtuales» de los menores, quienes pueden recibir solicitudes de amistad dudosas.

También conviene revisar los chats del muñeco conectado. ¿Con quién habla el menor? ¿De qué habla? Estas respuestas tienen que estar controladas por parte de los tutores, quienes también tienen que controlar la edad recomendada del dispositivo.

Desde Sophos recuerdan optar por la consola en vez de por el móvil a la hora de jugar. Y esto tiene una sencilla explicación. Los expertos recuerdan que un móvil puede parecer más barato en cuanto a los juegos (que frecuentemente son gratis), pero estos suelen ser «freemium», es decir, su uso de forma básica es gratuita pero para usar opciones avanzadas hay que pagar. Sin embargo, en las consolas esto no suele suceder y además, están focalizadas en un determinado tipo de público, por lo que eligiendo la consola adecuada, nos aseguraremos que sus juegos y aplicaciones son aptas para ellos.

Muy importante es también tener asegurados los medios de pago, algo que solo debe ser controlado por los padres. Sólo así se impedirá que los menores puedan hacer dentro de la propia aplicación compras. Los niños no deben conocer este tipo de claves, que tampoco pueden quedar «almacenadas» o «recordadas» en los dispositivos.

Por último, Sophos recuerda una de las medidas de seguridad informática más básicas y efectivas: tener siempre el software actualizado. Normalmente, las actualizaciones incluyen parches de seguridad diseñados para proteger al usuario de los ciberdelincuentes.

kayla-muneco-inteligente-khqc-620x349abc

¿Pueden escucharnos a través de los auriculares?

Ya se sabe: todo aparato electrónico que se conecta a internet se expone a ser «hackeado». Los piratas informáticos han demostrado en los últimos años la posibilidad de acceder a webcams para espiar a los ciudadanos, a dispositivos móviles de todo tipo, a muchos otros aparatos electrodomésticos e, incluso, hasta coches. Pero siempre hay algo más.

Ahora, investigadores de la Universidad Ben Gurion (BGU) de Israel han anunciado un software capaz de introducir código malicioso en un ordenador para acceder a los altavoces y auriculares como sistema de escucha a distancia, incluso aquellos que no disponen de un micrófono incorporado. Bautizado como «Speak(a)r», los ingenieros han desarrollado un programa informático aún en fase experimental, que explota una vunlerabilidad. «La mayoría de los ordenadores PC y portátiles hoy en día son susceptibles a este tipo de ataques», aseguran los expertos.

Los investigadores han demostrado cómo un «malware» puede convertir los auriculares en micrófonos para utilizarlos en secreto y de manera discreta, demostrando así cómo esta tecnología muy extendida en la sociedad puede servir a técnicas de espionaje y grabar conversaciones de manera remota y sin que se den cuenta los usuarios. Incluso es posible -recoge el estudio- que pese a haber desconectado la opción micrófono del equipo se podría acceder a unos auriculares que estén conectado en esos instantes mediante la instalación de ese «malware» en el ordenador.

 «El hecho que los auriculares y altavoces estén físicamente fabricados como micrófonos y que el puerto de audio en un PC pueda ser reprogramado desde la salida a la entrada crea una vulnerabilidad que puede ser explotada por los hackers», explica en un comunicado el profesor Yuval Elovici, especializado en ciberseguridad y miembro del Departamento de Ingeniería de Software y Sistemas de Información de BGU. En opinión de Mordechai Guri, otro de los investigadores del proyecto, esta es una de las razones por las que personas como Mark Zuckerberg, fundador y consejero delegado de Facebook, tapa el micrófono y la webcam de su equipo.

El software está diseñado para transmitir «malware» y reconfigurar de manera sigilosa el puerto de los auriculares en una toma de micrófono, logrando que los auriculares que estén conectados puedan ejecutarse como un micro y, por tanto, convertir la computadora en un dispositivo de espionaje. Según destacan los ingenieros, el «malware» convierte las vibraciones del aire en señales electromágneticas para capturar totalmente el audio ambiente de una habitación. Los expertos creen que para evitar ser espiados en estos casos se debería desactivar todo sl sistema de audio.

big_9e76dcfefbf647d7ad8c4a62884f33e6-k2xd-620x349abc