Archivos por Etiqueta: hacking

El FBI investiga quién esta detrás del mayor ciberataque sufrido por EEUU en años.

No ha sido un ataque más. La creciente sofisticación de los hackers en sus asaltos al sistema ha disparado la alarma entre los investigadores y las compañías afectadas. El FBI intenta determinar quién está detrás de uno de los ciberataques más complejos y efectivos de la corta pero intensa historia de internet, con la mente puesta en las actividades criminales y en un jaque a la seguridad nacional. La sistemática arremetida de los piratas se produce después de que el presidente Obama anunciara una respuesta de Estados Unidos a los últimos ataques de Rusia, que han acaparado parte de la campaña electoral bajo la sombra de un supuesto intento del Vladímir Putin de influir en el resultado, con ayuda de WikiLeaks.

En las redes se apuntaba ayer a un grupo de ciberdelincuentes de origen ruso y chino como responsables del último ataque masivo, pero no hay ninguna confirmación oficial. La única constatación hoy es el creciente temor de las autoridades y las grandes compañías estadounidenses a la creciente fragilidad a un sistema digital del que depende buena parte de su economía y su seguridad.

Colapso de los servicios

A las siete de la mañana del pasado viernes en Nueva York (las cuatro en la costa oeste estadounidense), un ejército de «decenas de millones de IPs(direcciones de ordenador) infectados» lograban colapsar los servidores centrales de Dynamic Network Services Inc., conocida como Dyn, esencial proveedor de webs de compañías tecnológicas. No fue la única oleada. Después de que la compañía hubiera defendido sus posiciones con todas las armas a su alcance en las primeras dos horas y media, otras dos ofensivas, aparentemente calculadas en tiempo y forma, se cebaron con la compañía que opera los sistemas DNS, esenciales en su labor de redirigir el tráfico en internet.

El resultado de la operación de asalto informático empezó a contarse por webs de grandes compañías afectadas, PayPal, Airbnb, Spotify, Twitter, Kayak, GitHub, eBay.., entre otras muchas, junto a los grandes periódicos, The New York Times, The Wall Street, The Financial Times, inaccesibles para millones de usuarios, primero en Estados Unidos, después en Europa y en Asia. Para entender la efectividad del ciberataque, es necesario radiografiar la interconexión digital y situarla en el mapa. La compañía Dyn tiene su base en New Hampshire, en el este de Estados Unidos. Los sistemas DNS (Sistemas de Nombre de Dominio, en sus siglas en inglés), se centralizan en California, en el oeste. Dyn gestiona los DNS, que a su vez funcionan como una centralita para el tráfico de internet. La relevancia de los DNS es tal que, por ejemplo, convierte de manera amistosa direcciones de web como la del FBI, fbi.gov, en direcciones numéricas que permiten a los ordenadores hablarse entre ellos. Sin esa operación de colaboración mutua, internet no podría funcionar. Así ocurrió el viernes, cuando los piratas informáticos regaron los servidores de IP con virus, como si de una manguera se tratara, y provocaron lo que en la jerga es conocido como DDoS (Denegaciones de Servicio Distribuidas), en sus siglas en inglés

Aunque la capacidad tecnológica de las grandes compañías determina también su dependencia y su capacidad de autonomía. A pesar del salto de calidad de los hackers, que llevó ayer a los responsables de Dyn a calificar el ataque de «inteligente», la gigante Amazon fue capaz de resolver el problema en pocos minutos.

Aparatos conectados a internet

Según los especialistas, el salto de calidad de los hackers estriba en haber utilizado cientos de miles de aparatos conectados a internet, como cámaras, monitores para bebés, grabadores y enrutadores caseros, infectados sin el conocimiento de sus propietarios, con software que les permitían el control suficiente para después llevar a cabo el lanzamiento masivo de los virus. Kyle York, jefe de estrategia de Dyn, además de alertar sobre la dimensión de lo sucedido, advirtió de que el futuro puede ser aún peor: «El número y los tipos de ataques, su duración y su complejidad van en aumento». Por ello, llamó la atención sobre el peligro de que las grandes compañías tecnológicas «puedan sufrir una caída total del servicio. Esto es totalmente salvaje. Es el salvaje Oeste el que está ahí fuera».

Otros expertos incidieron en resaltar la dimensión sin precedentes del ciberataque: «Nunca habíamos visto algo como esto, diseñado para impactar en tantos y tan importantes sitios web», aseguraba ayer a la cadena de televisión CNN el director de ingeniería de ventas de la compañía Dynatrace, David Jones. Y para justificar su afirmación, explicaba: «Habitualmente, estos ataques de denegación de servicio se centran en sitios individuales. A diferencia de eso, ahora hablamos de un ataque a las direcciones DNS, que son como un listín telefónico: cuando quemas una, quemas todas a la vez».

Dudas sobre la fiabilidad de DNS

La dimensión del colapso informático y los perjuicios que supone para las compañías dependientes de internet, que son ya la gran mayoría en Estados Unidos, provocó ayer también las críticas hacia las DNS y su fiabilidad:«Han sido a menudo negligentes en términos de seguridad. Si en el futuro siguen ocurriendo cosas como ésta, el agua va a terminar rebosando el vaso», afirmaba en términos no muy amistosos el vicepresidente para tecnología de Nsfocus, Richard Meeus.

La ciberguerra informática ha sido uno de los dolores de cabeza para el presidente Obama durante los ocho años de mandato, en los que ha intentado sin éxito reconducir la amenaza en forma de acuerdos amistosos tanto con China como con Rusia. En su última visita a la Casa Blanca, hace pocos meses, el presidente Xi Jinping aportó sólo buenas palabras, a pesar de las duras palabras que en su presencia lanzó Obama, en defensa de las grandes corporaciones tecnológicas, habitualmente amenazadas por los ataques chinos.

En el caso de Rusia, la guerra informática estalló de forma descarnada a pocos meses de las elecciones. Las recientes amenazas de Obama de lanzarse a un cuerpo a cuerpo cibernético se produjeron después de que los servicios secretos se mostraran seguros de la autoría del Gobierno de Putin del robo de correos electrónicos de los servidores del Partido Demócrata. Su difusión por WikiLeaks sirvió en primer lugar para forzar la dimisión de la presidenta del Comité Nacional, Debbie Wasserman Schultz, al trascender que había ayudado a Hillary Clinton, en perjuicio del senador Bernie Sanders, durante las primarias del partido.

Su dosificada puesta en común posterior para dañar a la candidata, además de enervar a la Administración Obama, ha asentado la creencia de que existe un frente para intentar aupar a Donald Trump a la Casa Blanca. El magnate ha alimentado la sospecha con sus crecientes alabanzas hacia el presidente ruso, que combinaba con sus afirmaciones de que no conoce al mandatario ruso.

«Preparados para responder»

Hace apenas unos días, fue el vicepresidente Biden el encargado de salir al paso de los ataques informáticos y lanzar una advertencia: «Estamos preparados para responder al intento ruso de condicionar nuestras elecciones. Estamos enviando un mensaje. Tenemos la capacidad de hacerlo». Aunque advirtió de que el momento nunca se anuncia. En recientes entrevistas con medios de información internacionales, el presidente Putin ha negado cualquier vinculación de su Gobierno con los ataques informáticos a Estados Unidos.

claves-contrasenas-2015--620x349

¿Huella dactilar o reconocimiento ocular para acceder a un smartphone?

Los sistemas de seguridad basados en contraseñas no han muerto, al contrario, siguen siendo uno de los principales métodos de acceso a los servicios de internet y a los dispositivos electrónicos. Los fabricantes, a lo sumo, han visto las orejas al lobo y han asumido las demandas de los consumidores para introducir mecanismos más robustos que intenten poner freno a posibles intromisiones. En el ámbito de la movilidad, salvo excepciones, comienzan a popularizarse los sensores biométricos en donde se almacena la huella dactilar, la impresión visible que se encuentran en los dedos de los seres humanos y que se utilizan como medio de identificación de personas. Pero también empiezan a surgir otras propuestas. La biometría, en efecto, ha llegado para quedarse.

Los expertos en seguridad informática suelen ser tajantes al respecto: no existe nada 100% seguro. Siempre se deja algún resquicio que pueden aprovechar los ciberdelincuentes. Frente a ellos, únicamente queda el desafío de mejorar los sistemas de los servicios y dispositivos que utilizamos de forma habitual y que, por regla general, almacenan información sensible. Uno de los primeros modelos de teléfono móvil inteligente en introducir un lector de huellas dactilares fue el Toshiba G500 en 2007. Vinieron otros tantos, como elMotorola Atrix (2011) cuyo objetivo era desbloquear el terminal. No fue, sin embargo, hasta la llegada del iPhone 5S (2013) cuando el mundo de la tecnología se rindió ante una solución que se ha visto solvente y cómoda. Como esta industria es, a veces, tan desagradecida, hubo un intento, en 2002, que se acercaba a esta visión futurista: el IPAQ para PocketPC de HP.

En cualquier caso, los sensores biométricos ya se pueden ver en los teléfonos más avanzados del mercado y en algunos de gama media. El turno ha sido, ahora, para el sistema de reconocimiento ocular, como que se está presente en el Galaxy Note 7, de Samsung, que pese a los problemas técnicos derivados de sus baterías defectuosas el terminal ha introducido novedades importantes. ¿Cuál de ambos métodos se impondrá? A día de hoy, todo apunta a que por comodidad y buen rendimiento la huella dactilar.

Los expertos dudan de que estos lectores de huellas dactilares presentes en el entorno móvil sean totalmente seguros. Se han difundido experimentos y casos de suplantación de identidad únicamente realizando copias de la marca del propietario. Las distintas modalidades biométricas están, todavía, en diferentes etapas de maduración. El reconocimiento por huellas dactilares se lleva usando desde hace más de un siglo, mientras que el reconocimiento por iris no tiene más de una década de utilización. «Los sistemas tradicionales basados en contraseñas han demostrado lo buenos que son», ironiza Luis Corrons, director técnico de PandaLabs, pero «no quiere decir que vayan a desaparecer».

En su opinión, para que una tecnología u otra triunfe es crucial que sea fácil de usar y, por ahora, la huella dactilar es mucho más cómoda para los usuarios.«Puede que haya sistemas más seguros, pero para que se implementen si no es cómodo de usar no se va a imponer», considera. La tecnología actual permite almacenar la huella de manera precisa y rápida, lo que ha permitido que los fabricantes de telefonía móvil apuesten por este mecanismo en sus lanzamientos. Sin embargo, los expertos creen que esta marca (la huella) se va dejando en muchos sitios de manera constante y, en algún caso, «se ha demostrado que es fácil de copiar y hacernos pasar por otra persona y utilizarla», asegura a ABC. «Cada vez que agarras con la mano el dispositivo, lo llenas de tus propias huellas. Con lo que casi cualquier delincuente queconozca algunos métodos muy poco tecnológicos puede duplicar nuestra huella y usarla para desbloquearte el teléfono».

Frente a esta postura, el reconocimiento ocular, aún en una profunda fase de evolución, se empieza a ver en algunos dispositivos. Como aspecto positivo, esta modalidad -dice Corrons- es más difícil de «hackear» pero, por contra, es más incómodo de utilizar. «No vamos la huella del ojo en todos los sitios, aunque se tomen imágenes a grandes resoluciones, pero es más incómodo y forzado, con lo cual tengo mis dudas que vaya a extenderse en el mundo de la movilidad. De cara a acceso a sitios seguros parece más seguro», sostiene.«La huella dactilar es más insegura que el sistema reconocimiento ocular» desde el punto de vista de copiar la identificación.

Según el especialista de PandaLabs, dependiendo del momento y la tarea a llevar a cabo es recomendable utilizar un mecanismo u otro. Por ejemplo -dice- para realizar pagos móviles es preferible servirse de la huella dactilar, aunque la mejor opción es una solución combinada, es decir, introducir la huella y el iris para acceder a la información. Esto es, apostar por una verificación de segundo factor. «La experiencia me dice que todo es hackeable, para añadir más seguridad no es simplemente encontrar un único mecanismo, sino dos sistemas; la combinación de dos suele hacer que sea mucho más difícil».

El robo bancario, en el punto de mira

En otros entornos como los cajeros bancarios el uso de la biometría entraña ciertas dudas. Los expertos de la firma Kaspersky Lab han analizado cómo los ciberdelincuentes podrían explotar las nuevas tecnologías de autenticación previstas por los bancos. Aunque muchas organizaciones financieras consideran las soluciones basadas en biometría como el futuros, los ciberdelincuentes pueden tener a su disposición otra oportunidad para robar información sensible.

Porque los cajeros automáticos llevan años en el punto de mira de los ciberestafadores a la caza de datos de tarjetas de crédito. Lo hicieron mediante los llamados «skimmers», que se trata de aparatos caseros conectados capaces de robar información de la banda magnética de la tarjeta y el código pin con ayuda del teclado PIN o una cámara web de un cajero automático falso. Los expertos recuerdan que, con el tiempo, el diseño de estos dispositivos ha mejorado para hacerse menos visible. «Con la implementación de las tarjetas de chip y pin, se hace mucho más difícil, pero no imposible, clonarlas», aseguran.

De acuerdo con una investigación de Kaspersky Lab actualmente existen al menos doce vendedores que ofrecen este tipo de aparatos capaces de robar las huellas dactilares de las víctimas. Y al menos tres de ellos ya están analizando dispositivos que podrían obtener ilegalmente datos de los sistemas de reconocimiento de venas de la mano y del iris.

«El problema de la biometría es que es imposible cambiar la imagen de la huella digital o el iris, a diferencia de las contraseñas o códigos PIN que pueden ser fácilmente modificados en caso de estar comprometidos. Por lo tanto, si los datos se ven comprometidos una vez, no será seguro usar ese método de autenticación de nuevo. Es muy importante mantener dichos datos protegidos y transmitirla de manera segura. Los datos biométricos se registran también en los pasaportes modernos – llamados pasaportes electrónicos – y visados. Por lo tanto, si un ciberatacante roba un pasaporte electrónico, tendrá acceso a los datos biométricos de esa persona. Roban la identidad de una persona», afirma en un comunicado Olga Kochetova, experta en seguridad de Kaspersky Lab.

kjer-kt3g-620x349abc

Cuidado con el pendrive “asesino”!!

Vivimos tiempos inciertos en lo que toca a la seguridad de nuestros equipos y la privacidad del usuario. Si hace unos días nos hacíamos eco del hackeo de millones de cuentas de Dropbox, la amenaza llega ahora en forma de un dispositivo, un aparentemente inocente pendrive que sin embargo puede inutilizar de manera definitiva cualquier ordenador en cuestión de segundos. El dispositivo ha sido bautizado con un muy gráfico USB Killer (asesino de USB); acaba de salir al mercado y se han agotado por completo las existencias.

¿Cómo funciona exactamente este dispositivo? Del tamaño y formato de unpendrive, USB Kill, al ser conectado a un puerto USB, acumula parte de la carga eléctrica del propio equipo al que se conecta en unos condensadores para luego descargarla de vuelta de golpe con el consiguiente daño en el ordenador. Hay dos malas noticias en este peculiar periférico: la primera es que repite este ciclo de carga y descarga hasta que es desconectado físicamente del equipo atacado, y la segunda es que cualquier dispositivo dotado de un puerto USB puede ser una víctima potencial de USB Killer.

Sus creadores son un grupo de expertos en seguridad informática de Hong Kong y, aparentemente, la intención del proyecto es buena. USB Killer nació inicialmente en 2015 como un dispositivo orientado a los fabricantes de ordenadores como herramienta para verificar la seguridad de los productos comercializados. La idea parecía noble: la empresa vendería estos dispositivos de prueba con el objeto de que los fabricantes pudieran mejorar la seguridad de los equipos, pero lo cierto es que pronto decayó el interés y hoy en día tan sólo uno, Apple, cuenta en sus ordenadores con un sistema que evita este tipo de ataque.

“Por lo que hemos visto”, escriben los creadores de USB Killer en su blog, “salvo Apple, el resto de los fabricantes ha optado por no proteger a sus clientes”. El proyecto que arrancó con fuerza y grandes perspectivas de futuro, se vio de pronto en dique seco ante la aparente negativa de los fabricantes de verificar la protección de sus equipos empleando este dispositivo. Sin embargo, este grupo de emprendedores lejos de tirar la toalla decidió dar un giro inesperado al negocio: si los fabricantes les ignoraban, dejarían esta herramienta en manos de los propios consumidores.

Una vez más el enfoque parecía loable: que sea el propio consumidor el que pruebe si su equipo es capaz de soportar un ataque de este tipo, sin embargo, a nadie se le escapa que ninguna persona en su sano juicio va a ir friendo sus ordenadores para comprobar si el fabricante los ha protegido o no. Mientras se dilucida la ética o no de este negocio, sus creadores se adelantan a las críticas argumentando que su producto está orientado a mejorar la seguridad y no a destruir equipos, comparando el mal uso con el que se puede hacer con cualquier otro objeto “como un martillo o un ladrillo”.

En cualquier caso, USB Killer está ya a la venta a un precio de 49,95 euros, aunque no se repondrán existencias hasta mediados de mes. Queda por saber si este lanzamiento provocará alguna reacción por parte de los fabricantes y se dispondrán a proteger sus equipos frente a este tipo de ataques.

1473755805_611594_1473766202_noticia_fotograma

Regresa el fraude de los vales descuento de Zara a través de WhatsApp

WhatsApp es la herramienta perfecta con la que difundir bulos y estafas. En ABC Tecnología procuramos informaros cada día para y que nadie caiga en la trampa. Esta vez, volvemos a poneros en alerta: si alguno de vuestros contactos os manda, a través de la popular aplicación de mensajería instantánea, un enlace que os remite a vales descuento en Zara, no hagáis caso.

En los últimos días, está volviendo a circular la famosa campaña falsa de vales descuento a través de WhatsApp con un vínculo acortado que lleva al usuario hasta una encuesta. El objetivo es engañarlo con una fórmula infalible: en juego hay un cupón -falso- de 500 euros de regalo para gastar en la popular tienda.

Lo primero que el usuario tiene que tener claro es que nunca va a recibir ese vale descuento. Se trata de la misma campaña en la que han sido «víctimas», en otras ocasiones, compañías como Mercadona, McDonald’s oStarbucks. Los ciberdelincuentes utilizan los nombres de grandes y reconocidas compañías para que la gente pique. Lo mejor es ignorar este tipo de acciones.

Quienes hayan sido engañados, deben tener mucha precaución porque pueden ser inducidos a instalarse aplicaciones maliciosas, han podido ser suscritos a SMS Premium (si han facilitado su número de teléfono) o sus datos pueden ser utilizados por terceros para, por ejemplo, dar de alta perfiles falsos en páginas web de citas (suplantación de identidad). Tal es la cantidad de datos que el cibercrimen recopila con estas estafas que su beneficio económico se dispara. La venta, por ejemplo, de una lista de correos electrónicos con un millón de registros se vende en el mercado negro por más de 6.000 euros.

¿Cómo comienza la estafa de los vales descuento de Zara? Con un mensaje tan simple como este:

 

Al hacer clic en el enlace, el usuario es dirigido a una fraudulenta página web en la que se le anima a participar en una sencilla encuesta para poder ganar 500 euros a gastar en el citado comercio:

Tras completarla, el fraude «obliga» a la víctima a propagar la estafa. Es, entonces, cuando el usuario tiene que introducir sus datos personales, como dirección de correo electrónico o número de teléfono, como paso final para conseguir el suculento premio que, evidentemente, nunca llegará:

Este tipo de fraudes, tal y como recuerda la Oficina de Seguridad del Internauta (OSI), tienen normalmente tres objetivos:

1. Robar los datos personales

2. Que el usuario realice llamadas de tarificación especial o reciba SMS Premium

3. Instalación de «malware»

¿Y si he picado?

Quienes hayan sido víctimas de esta falsa promoción, deben monitorizar la información que en internet se puede publicarse sobre ellos. Es posible que los datos privados que hayan facilitado los usuarios se utilicen en la red sin consentimiento. Para comprobarlo, OSI recomienda utilizar herramientas como Google Alerts.

Quienes encuentren algún tipo de información suya personal por la red, tienen a su disposición los derechos de acceso, rectificación, cancelación u oposición (ARCO) al tratamiento de sus datos personales. La Agencia Española de Protección de Datos indica las pautas a seguir.

OSI recomienda también contactar con la operadora de telefonía para que, en el caso de haber facilitado el número de teléfono durante la encuesta, bloqueen los números SMS Premium.

Y, aunque este no es el caso, si una estafa de este tipo aconseja al usuario a instalarse una aplicación, antivirus, etc. lo mejor será que hagas una limpieza de tu dispositivo.

«Para evitar este tipo de fraudes -continua OSI-, la mejor recomendación es no introducir jamás ni datos personales ni el número de teléfono móvil». En caso de duda, lo mejor es consultar directamente con las empresas implicadas. En este caso, por ejemplo, con los perfiles oficiales de Zara en Facebook o Twitter para saber si han organizado alguna promoción o alertan de que no han organizado sorteo, promoción, o vales descuento.

En definitiva, se trata de una estafa o intento de «phishing» (técnica muy común entre los ciberdelincuentes que consiste en simular ser una entidad legítima para robar información personal).

 

 

El error de Volkswagen por el que se pueden “hackear” más de 100 millones de coches.

Las brechas de seguridad en el campo informático pueden poner en jaque a cualquier compañía. Y Volkswagen acaba de experimentarlo. Gracias a un grupo de investigadores de la Universidad de Birmingham, el fabricante de automóviles alemán se ha enterado de dos graves «bugs» en sus sistemas por los que más de 100 millones de sus coches pueden ser «hackeados».

Tal y como publica «Wired», un ciberdelincuente, sin llave, sería capaz de entrar en cualquiera de sus vehículos y arrancarlo sin problemas. Flavio García, ingeniero informático de la universidad y autor de la investigación, asegura que esas graves vulnerabilidades «se aplican a prácticamente todos los automóviles que Volkswagen ha vendido desde 1995».

Los responsables de la investigación darán a conocer esta semana en la USENIX Security Symposium, que se celebra estos días en Austin (Tejas, EE.UU.), los detalles de su investigación, en la que ha colaborado la empresa de ingeniería también alemana Kasper y Oswald.

Según detalla «Wired», estos fallos de seguridad permiten que cualquier atacante pueda «desbloquear de forma inalámbrica prácticamente todos los vehículos que el grupo Volkswagen ha vendido durante las últimas dos décadas, incluyendo marcas como Audi y Skoda. El segundo ataque afecta a otros vehículos: Alfa Romeo, Citroen, Fiat, Ford, Mitsubishi, Nissan, Opel y Peugeot».

Un ataque muy económico

Para poder realiza ambos ataques tan solo se necesitan 40 dólares. Este es el precio para poder adquirir una placa Arduino («hardware») con receptor de radio e interceptar la señal del llavero de la víctima, que puede ser clonada después con un «software», aseguran los investigadores. «Realmente puedes construir algo que funciona exactamente igual que el mando a distancia original», asegura García.

El primer fallo, que afecta sólo a los coches de la casa (Audi y Skoda incluidos) «es posiblemente el más preocupante», indica «Wired» porque los propietarios de los vehículos no reciben aviso alguno. El «bug» se encuentra en el sistema de encendido. Aunque no es fácil, un «hacker» puede ser capaz de averiguar las claves del cifrado. Por regla general, los vehículos tiene una clave única y otra compartida. «Se pueden combinar los dos números supuestamente secretos para clonar el llavero de control remoto y el acceso a los coches».

La clave compartida es fácil de obtener, según los investigadores. «Hay varias claves diferentes para diferentes años y modelos de vehículos Volkswagen y que están almacenados en diferentes componentes internos», aseguran.

La clave que cambia se puede obtener con la placa Arduino que intercepta la señal que emiten los llaveros. Para ello, hay que estar a menos de 90 metros del vehículo. «A partir de ahí se puede hacer un clon del mando a distancia original que bloquea y desbloquea un vehículo tantas veces como desee», afirman.

Un viejo sistema criptográfico

Los investigadores no han revelado de qué componentes se extraen las claves para evitar el ataque de piratas informáticos pero han asegurado que solo el reciente Golf 7 es inmune al ataque.

La segunda vulnerabilidad está en el antiguo esquema criptográfico denominado HiTag2, aún muy utilizado. Se encarga de generar los ocho códigos del mando a distancia que abre el coche de forma aleatoria y que cambian cada vez que se presiona el botón. En tan sólo un minuto, el equipo de Flavio García consiguió romper el esquema de códigos aprovechándose de la brecha de seguridad detectada.

Los investigadores aseguran en su artículo que Volkswagen ha reconocido las vulnerabilidades.

Volkswagen-hacker-kswF--420x236@abc-krnD--420x236@abc