Archivos por Etiqueta: hacking

Un vídeo de solo 5 segundos que bloquea el iPhone

Las amenazas cibernéticas vienen de cualquier parte. Incluso en forma de video. Un «youtuber» llamado EverythingApplePro ha descubierto un inquitente video que circula por internet y se puede descargar desde la red social VK, conocida como el «Facebook ruso», que inutiliza los terminales iPhone, fabricados por Apple, durante su reproducción, obligando al usuario a reiniciar el sistema.

Según varios medios especializados, desde hace poco ha comenzado a propagarse por internet un enlace que redirige a un contenido audiovisual -de solo cinco segundos y de un tamaño de medio mega- que contiene un «exploit» y que logra explotar una vulnerabilidad en el sistema operativo iOS que provoca que a los pocos segundos de reproducir el dispositivo móvil comience a ralentizarse y, automáticamente, se bloquee y quede inutilizado en menos de un minuto

El video, que se visualiza desde el reproductor de video nativo del iPhone, puede llegar a tardar hasta un minuto hasta que el teléfono se bloquee, obligando a realizar un reinicio forzado -mantener pulsado el botón de encendido y volumen hasta que aparezca el logotipo de la empresa- para poder recuperarlo.

 Este error, que por ahora se desconoce la causa (se cree que es un archivo corrupto que genera un problema en la memoria del teléfono), afecta a las versiones del sistema operativo móvil de Apple desde iOS 5 y a los modelos a partir del iPhone en adelante. Según algunos medios, cuando más antiguo es el «smartphone» más rápido se produce el bloqueo. Una vez que los iPhones se han reiniciado aparentemente vuelve todo a la normalidad.
video-k0hb-620x349abc

Hackeo masivo a cajeros de Europa para que den dinero sin control

Hace tiempo que los cajeros automáticos son objetivo de los ciberdelincuentes. Y cada vez más, este tipo de ataques se diseñan y se ejecutan con las mejores técnicas. Muestra de ello es la última hazaña que ha descubierto la firma rusa de seguridad cibernética Grupo IB: la ciberdelincuencia ha conseguido atacar de forma remota varios cajeros automáticos en más de una docena de países europeos. Entre ellos, España.

Los ataques se han producido a lo largo de este año mediante la utilización de un «software» malicioso que obliga a las máquinas a escupir dinero en efectivo, según ha explicado la compañía en una información que recoge la agencia Reuters.

 Diebold Nixdorf y NCR Corp, los dos mayores fabricantes de cajeros automáticos del mundo, han dicho que eran conscientes de los ataques y que han estado trabajando con los clientes para mitigar la amenaza. Numerosos cajeros en toda Europa han sido víctima de los ciberdelincuentes, que también han actuado en otros países como Taiwán y Tailandia.
 Hace ya más de cinco años que los ciberdelincuentes incluyeron a los cajeros automáticos en su lista de objetivos. La diferencia es que, hasta ahora, este tipo de acciones eran más bien escasas, individualizadas, y requería de que el cibercriminal accediese físicamente a la máquina.

Sin embargo, los ciberataques recientes llevados a cabos en Europa y Asia se han llevado a cabo a distancia, de forma remota, permitiendo a los «hackers» diseñar un ataque en masa, sin la necesidad de modificar el cajero, que expedía, una vez atacado, grandes cantidades de dinero antes de que los bancos descubrieran el «hackeo».

«Los ciberdelincuentes han saltado ya al siguiente nivel para poden poder atacar un gran número de máquinas a la vez», ha declarado a Reuters Nicholas Billett, de Diebold Nixdorf.

El Grupo IB se ha negado a dar los nombres de los bancos afectados en lo que se conoce como «jackpotting», el término utilizado para describir este tipo de ataques a los cajeros. Los único que ha desvelado la compañía es que los ataques se han llevado a cabo en Armenia, Bielorrusia, Bulgaria, Estonia, Georgia, Kirguistán, Rumania, Rusia, España, Gran Bretaña y Malasia.

La compañía ha bautizado a este grupo de cibercriminales con el nombre de Cobalt, capaces de hacerse con el control total sobre una red bancaria en solo 10 minutos mediante la propagación de «malware». Su nombre se debe a que los ciberdelincuentes utilizaron la herramienta de seguridad conocida como Cobalt Strike, que la utilizaron en los robos para poder moverse entre los ordenadores de la red bancaria infectada.

«Se espera que los ataques a los ATMs («Automated Teller Machine», cajeros automáticos) se conviertan en una de las principales amenazas dirigidas a los bancos: permiten a los ciberdelincuentes cometer fraudes de forma remota desde cualquier lugar del mundo y atacan a toda la red ATM sin estar localizado por los servicios de seguridad», explica Dmitry Volkov, responsable de investigación de la firma. «Dicho esto -continua-, este tipo de ataque no requiere del desarrollo de costosos y avanzados softwares». De hecho, el experto asegura que este tipo de herramientas están -disponibles en la web profunda (Deep web).

Grupo IB cree que Cobalt está vinculado a una conocida organización criminal cibernética llamada Buhtrap, que robó 1.800 millones de rublos (28 millones de dólares) a los bancos rusos entre agosto de 2015 y enero de 2016 a través de transferencias bancarias fraudulentas.

Dmitry Volkov, jefe de inteligencia de amenazas del Grupo IB, ha dicho a Reuters que espera que se produzcan más agresiones en cajeros automáticos de este tipo.

El negocio de la ciberdelincuencia

Los «hackeos» a cajeros automáticos se han llevado a cabo, hasta ahora, de otra manera. Atrás han quedado los tiempos en los que los piratas informáticos se limitaban a robar los números de las tarjetas de créditos o las credenciales de acceso a la banca online.

Esta máquinas de las entidades bancarias, en su gran mayoría, están informatizados de tal manera que los cibercriminales se aprovechan de sus vulnerabilidades para atacar. Tal y como recuerda la firma de seguridad informática Kaspersky Lab, la vulnerabilidad de los cajeros hacen que sean blanco de este tipo de ataques porque, entre otros aspectos, suelen tener un software poco seguro.

A principios de este año, un grupo de «hackers» consiguió robar cerca de 100 millones de dólares al Banco Central Bangladesh. Fue uno de los mayores robos bancarios de la historia, aunque el objetivo de la banda era robar mil millones de dólares. No lo consiguieron por culpa del error ortográficoque cometió el ciberdelincuente.

«Lo que estamos viendo ahora demuestra que estamos ante un nuevo modelo de crimen organizado», ha declarado Shane Shook a Reuters, un consultor de seguridad independiente que ayuda a los bancos y los gobiernos a investigar ataques cibernéticos y ha revisado la investigación del Grupo IB. Cabe recordar que el cibercrimen mueve más dinero que otro tipo de negocios como el del narcotráfico.

Normalmente, los «jackpotting» se sirven de otro tipo de «muleros», es decir, personas contratadas por la organización para recoger el dinero que lanzan los cajeros.

De momento, el FBI ha enviado ya una alerta privada a los bancos estadounidenses, advirtiéndoles de que presten especial atención a los movimientos en sus cajeros automáticos, según ha publicado el «Wall Street Journal».

cajero-hacker-kg-420x236abc

Así se puede cambiar lo que Google sabe de tí.

Google lo sabe todo de ti. Donde has estado, cuál es la última canción que has escuchado en Youtube o qué destino te interesa para las vacaciones. Su buscador, el más potente y utilizado del mundo, registra cada palabra tecleada. Sus servidores almacenan millones de datos de usuarios a tiempo real. Pero, ahora aseguran que quieren ceder parte de este inmenso control a los usuarios y hacer posible elegir la información que compartes. Dan dos opciones: tanto borrar las búsquedas que ya has realizado como dejar de guardar lo que buscarás. Para conseguirlo han creado la herramienta ‘Mi Actividad’ desde donde se gestiona el historial de todos los servicios de Google: Youtube, Mapas, Chrome, Voz… El objetivo: mejorar la confianza que los usuarios tienen en su empresa.

En un edifico de ladrillo gris a las afueras de Munich (Alemania), está el equipo de 400 ingenieros que se ocupa de la seguridad y privacidad de la gran compañía tecnológica. Seis plantas de oficinas desde donde se ha apostado por un servicio que ya consideran como un ejercicio de transparencia. “Por supuesto que hemos tenido que hacer una gran inversión, pero merece la pena porque significa ganarse la confianza de los usuarios y cuánto más gente confía, más usuarios para Google”, reflexiona Wieland Holfelder, jefe del equipo de ingenieros de Munich.

Ahí explican orgullosos una herramienta que crearon para “dar respuesta a toda esa gente que quería saber los datos que Google guardaba sobre ellos“, explica Holfelder. El proceso para conocer la respuesta es sencillo. El usuario debe entrar en ‘Mi cuenta’ —el espacio personal donde está el inicio de sesión y la seguridad—, y elegir ‘Mi actividad’.

El primer vistazo asusta. Está lo qué tecleaste hace un minuto o hace un año; el vídeo que te pasaron o aquella imagen que viste. Todo ha quedado registrado. Pero, puedes elegir borrarlo. Se puede eliminar cada búsqueda de forma individual o por períodos de tiempo: hoy, hace una semana, un año o todo lo guardado. De un clic puedes hacer desaparecer todos tus datos.

¿Se puede comprobar si sigue almacenado en los servidores o se ha eliminado realmente? “No, pero es una cuestión de confianza. Si lo borras tienes que confiar en que lo hemos borrado de verdad”, contesta Holfelder. De nuevo, la confianza. ¿Deberíamos confiar en vosotros? “Por supuesto, los datos están más seguros con nosotros”.

Imposible no dejar rastro

Estamos en un tiempo en el que es imposible no dejar rastro: no podemos evitar que se creen datos sobre nosotros y nuestros gustos, sobre las páginas o la música que buscamos, sobre las preferencias e incluso sobre donde estamos. Con este panorama, parece lógico que se nos ofrezca la opción de borrarlos. No solo con las ya famosas peticiones a la Unión Europea sobre el derecho al olvido, sino de una forma más fácil y rápida. Sin embargo, solo Google ofrece una herramienta así de sencilla para eliminar los datos almacenados sobre los usuarios.

¿Por qué les cuesta tanto a las empresas mostrar lo que saben de nosotros? “Creo que las compañías están empezando a darse cuenta de que esto es muy importante, porque la gente ya cree que este control sobre sus datos es algo que tienen que tener”, responde este ingeniero que antes trabajó para Mercedes-Benz y considera que ‘Mi Actividad’ puede servir de modelo para otras grandes compañías. ¿Va a llegar el momento en el que los ciudadanos tengan el control total sobre sus datos? “Absolutamente, estoy seguro. Si el usuario no tiene el control de determinadas cosas, pierde la confianza; y hay muchos beneficios para una empresa que tiene la confianza de sus clientes”.

Dejar de guardar las búsquedas

La otra opción que proponen es dejar de guardar los historiales. Esta opción no implica que se borre lo que ya está almacenado, sino que no se registrara a partir de ese momento. Con solo un botón puede desactivar: el registro del historial de tu actividad (tus búsquedas), de tus localizaciones, de los comandos por voz y de las reproducciones de Youtube. El sistema te advierte de lo que perderás: Google ya no podrá ofrecerte el trayecto más corto a tu casa de forma automática y tampoco verás música relacionada con la que sueles escuchar.

No comparten los datos de cuánta gente ha decidido borrar todo lo que han guardado o dejar de registrarlo, pero sí hay mil millones de personas cada año gestionando aspectos desde ‘Mi Cuenta’

Sin seguridad no hay privacidad

“Sin seguridad es imposible que haya privacidad”, sostiene Andreas Türk, jefe de producto del equipo de Identidad, Seguridad y Privacidad en Munich. Y es algo en lo que suspendemos. La contraseña más utilizada del mundo sigue siendo 12345. En una empresa que depende tanto la seguridad como Google alerta este poco esfuerzo hacia unas redes en la que se guarda tanta información personal como en nuestras propias casas. “El 95% de los ciberataques puede prevenirse con una simple configuración de la privacidad”, explica Wieland Holfelder.

¿Por qué no nos preocupa? “No es que no les importe, sino que la gente no sabe qué tiene que hacer para protegerse. Esa es nuestra responsabilidad: hacer la privacidad y la seguridad visible y fácil de entender. La gente tiene que enterarse de que existen herramientas fáciles para gestionarlas”, describe Holfelder. Ellos proponen: contraseñas fuertes (compuestas de números, letras y signos), doble autenticación (mandando un mensaje al teléfono móvil, por ejemplo) y un llavero en la nube que gestione todas estas largas contraseñas para cada uno de los sitios.

En España, según un informe realizado a 2.000 jóvenes entre 13 y 30 años, el 48% de milenials utilizan la misma contraseña en la mayoría de sus cuentas y un 61% lo hace porque le cuesta memorizar distintas contraseñas. Pero, no es recomendable tener la misma en todas las cuentas.  “Porque si te hackean una ya pueden entras en todas“, explica Türk.

Sin embargo, a pesar de todas estas medidas de protección, reconocen que las contraseñas son la parte más débil del acceso a Internet. Lo explica el jefe del equipo de seguridad: “Llegará el fin de las contraseñas, pero será un proceso muy largo y difícil. Es algo que la industria en conjunto necesita adoptar”.

1478800498_251059_1478892737_noticia_fotograma

Los retos de Internet de cara al futuro, según el creador del WWW

Internet ya no es lo que era. Y muy consciente de ello es el científico Tim Berners-Lee, creador de la www (World Wide Web). Fue el 12 de noviembre de 1990 cuando publicó la idea de la Red, aunque se puso en marcha más tarde. Mucho tiempo ha pasado desde entonces. Nuevos son los restos y los desafíos que afrontar. Y quizás el más evidente sea el de la seguridad.

En una reciente entrevista en la «BBC Radio 4», Tim Berners-Lee aplaudió la nueva estrategia de seguridad cibernética del Gobierno británico, cuyo presupuesto se ha ampliado a dos mil millones de euros para la implementar nuevas medidas con las que hacer frente la creciente amenaza de ataques cibernéticos.

El Gobierno ha sido el primer en pedir a la sociedad una especial atención en torno a los peligros de los dispositivos conectados a internet. No hay que olvidar que el cibercrimen es, en la actualidad, la industria criminal que más dinero mueve en el mundo. Para el creador de la www, se necesitan herramientas para defender no solo a los usuarios, sino también para defender un «internet abierto», la infraestructura clave en la que deben circular con normalidad los datos nacionales de carácter público porque «es responsabilidad del Gobierno al igual que el agua potable. Hay que pensar en los datos como infraestructura», explicaba en otra entrevista a «The Guardian» este mismo mes.

 Pero el problema es muy grave. Los países mantienen entre sí una guerra cibernética sin cuartel. Recientemente, EE.UU. ha acusado formalmente a Rusia de organizar ciberataques para sabotear las elecciones. Twitter, Spotify, Netflix y otras web quedaron inutilizadas por un ciberataque masivo. Internet es un todopoderoso. Es la clave de todo conocimiento. Para bien y para mal. De hecho, durante su participación en el evento «Decentralized Web Summit», celebrado el pasado mes de junio para analizar los retos de internet, Tim Berners-Lee recordó como la Red es tan vital que todos quieren controlarla.

Gobierno, corporaciones o «hackers» quieren disponer de la web a su antojo. Hay quienes bloquean las páginas para que los ciudadanos no accedan a cierto tipo de información. He aquí un nuevo reto: la descentralización de la red. Pero no el único porque esa red descentralizada debería estar dotada de una mayor privacidad.

Vigilancia masiva

Está claro que las filtraciones de Edward Snowden supusieron un punto de inflexión en la historia de la Red. Por esta razón, para el padre de la www, el problema no está con la tecnología. Para él, estamos ante un problema social. Y solo la tecnología lo puede solucionar. Por esta razón, Berners-Lee fundó la «World Wide Web Foundation» en 2009. El objetivo es avanzar en la web abierta como un bien público y un derecho básico para poder construir un mundo más justo.

Esa perspectiva social de los retos de internet se materializan en esta entidad que persigue expandir su acceso (60% del planeta todavía no está conectado), servir a la gente, y no a los gobiernos ni empresas, innovando para que el conocimiento y los datos sean accesibles a todos.

apertura-bc-kkkb-620x349abc

El sistema matemático que (casi) no falla adivinando contraseñas

‘123456’, ‘0000’… Ha quedado claro que no nos esmeramos en exceso a la hora de escoger las contraseñas y que, pese a las recomendaciones de los expertos, el usuario medio sigue optando por fórmulas sencillas de recordar. Es el complejo equilibrio entre la seguridad y la comodidad de uso: si se utilizaran siempre sofisticadas combinaciones de caracteres, resultaría más complejo para los hackers acceder a una cuenta… pero también para el propio usuario. Esta debilidad ha sido puesta en evidencia una vez más pero en esta ocasión ha sido un sistema creado por unos investigadores que adivina la gran mayoría de las contraseñas conociendo algunos datos de su víctima.

Investigadores de las universidades Lancaster, Peking y la Fujian Normal University han trabajado de forma coordinada para dar con un sistema que es capaz de acertar las contraseñas con un 73% de posibilidades de éxito. Este sistema ha sido bautizado como TarGuess y basa su eficacia en llevar a efecto de manera automatizada lo que los hackers hacen de forma manual cuando intentan acceder a una cuenta on-line: investigar la actividad de su víctima en la red. Cómo se llaman sus familiares, su mascota, dónde ha pasado sus vacaciones… Combinando estos datos comienza el juego de las adivinaciones y con él se elevan las posibilidades de acertar.

El equipo ha replicado esta sistemática empleando modelos matemáticos con los que se ponen cifras a su eficacia: 73% de éxito en contraseñas convencionales, y un llamativo 32% en aquellos casos en los que el usuario se ha esforzado por lograr una contraseña sofisticada. El gran reto al que se enfrentó el equipo fue lograr dar con las combinaciones adecuadas antes de que el servidor bloquee la cuenta (como medida de seguridad ante los ataques por fuerza bruta). Pero es aquí donde entran en juego los algoritmos de TarGuess.

El sistema trabaja con escenarios en los que se repiten los patrones y hasta siete modelos matemáticos que emplean a su vez la información de la que se dispone de la víctima. Los investigadores trabajaron además con los datos filtrados en los ataques a cuentas como Yahoo! para luego dejar a TarGuess poner a prueba su efectividad en otros sitios. La principal conclusión de este proyecto por parte del equipo es que los sistemas de seguridad empleados en la actualidad no son suficientes ante un ataque organizado basado en algoritmos y esperan concienciar a los usuarios acerca de la importancia de escoger contraseñas sofisticadas.

1478694955_288239_1478695706_noticia_normal_recorte1