Archivos por Etiqueta: hacking

Facebook Messenger plantea blindarse por completo.

Tras el cifrado «end to end» en WhatsApp, ahora es Facebook Messenger la que quiere blindar por completo su servicio. Así lo asegura «The Guardian» en una información publicada este miércoles, en la que asegura que Mark Zuckerberg está ya en ello.

Según han desvelado en exclusiva al diario tres personas que trabajan ya en el cifrado por completo de la aplicación, utilizada por más de 900 millones de personas, en los próximos meses, Facebook encriptará por completo las comunicaciones de Messenger para «bloquear a las autoridades y a Facebook de poder leer las conversaciones de los usuarios».

Sin embargo, esta encriptación será opcional. De esta manera, los usuarios podrán encriptar sus conversaciones en un chat en el que sólo podrían intercambiar texto. Las fotos, los vídeos o cualquier otro tipo de archivo no podría ser cifrados.

Está claro que la interceptación de las comunicaciones es un tema que preocupa -y mucho- a las empresas de Silicon Valley. WhatsApp era una tarea que tenía pendiente desde hace tiempo y que su principal rival,Telegram, sí ofrecía. Además, Google, con su nueva aplicación Allo, que anunció en su conferencia para desarrolladores, la conversaciones van a ir cifradas de extremo a extremo.

A raíz del enfrentamiento de Apple y el FBI, las compañías tecnológicas no están por la labor de facilitar el acceso a las comunicaciones de entidades gubernamentales o similares. De hecho. Cabe recordar, además, queMicrosoft ha demandado al Gobierno de EE.UU. por búsquedas secretas de datos de clientes y que Twitter ha toma la decisión de vetar a la inteligencia de EE.UU. en el acceso a los tuits de los usuarios.

Sin embargo, las grandes compañías de tecnología tienen un conflicto si quieren implementar los «bots» y al mismo tiempo asegurar la privacidad de los usuarios. La inteligencia artificial, para ponerla en marcha, necesita saber ciertos datos del usuario. Por ejemplo, Facebook utiliza técnicas dereconocimiento facial.

«La industria de la tecnología está cada vez más atrapada entre dos tendencias contradictorias», apunta «The Guardian». Facebook, Google, Amazon y Apple se han puesto este año manos a la obra con los asistentes virtuales que analizan el comportamiento del usuario para ayudarle en la navegación. «El problema es que este tipo de ‘aprendizaje automático’ requiere de los mensajes de los usuarios y otros datos para que las empresas los analicen y puedan dar una respuesta adecuada», recuerda el diario.

facebook-messenger--620x349

Se descubren dos importantes fallos de seguridad en los dispositivos LG

El «malware» en los «smartphones» es cada día más popular. Losciberdelincuentes centran parte de sus esfuerzos especialmente en Android, principal foco de ciberataques. Si hace unos días se daba a conocer Mazar, un peligroso «malware» que borra los datos de Android con un SMS, esta vez el caso es más grave por culpa de un «bug» en los teléfonos LG, una marca que representa más del 20% del mercado estadounidense de Android según un informe de comScore.

Los usuarios con un dispositivo LG deben tener especial precaución. Check Point, el mayor proveedor mundial especializado en seguridad, acaba de descubrir dos nuevas vulnerabilidades graves en los «smartphones» LG y los ha dado a conocer en la conferencia de seguridad LayerOne 2016, que acaba de celebrase en Los Ángeles (EE.UU). Estos fallos de seguridad hacen posible que los cibercriminales ataquen y controlen los móviles del usuario de forma remota. ¿El resultado? El «hacker» puede borrar datos de tu teléfono, bloquearlo o modificar los mensajes SMS recibidos y almacenados.

Check Point, que ya ha informado a la compañía para que solucione cuanto antes este fallo, explica cómo la primera vulnerabilidad, CVE-2016-3117, permite abusar de la falta de permisos de un servicio de LG para instalar una aplicación maliciosa en el dispositivo. De esta manera, el cibercriminal, que tiene demasiados privilegios, consigue hacerse con el control del teléfono para, por ejemplo, bloquearlo cuando quiera o borrar lo que le apetezca.

Recordamos, una vez más, la necesidad de leer siempre los permisos que solicita cualquier aplicación al ser instalada. No es lógico que una «app» para hacer ejercicio, por ejemplo, solicite el acceso al micrófono.

La segunda vulnerabilidad, a la que Check Point ha llamado CVE-2016-2035, permite explotar una implementación exclusiva de LG del protocolo que se utiliza para el envío de enlaces a direcciones web a través de SMS. Es decir, un adolescente manda un mensaje a su madre con una «url» de un restaurante con una promoción para cenas. Sin embargo, el texto, al enviarlo, es modificado y el receptor hace «clic» en una dirección web que ha sido alterada. De esta manera, el delincuente ya ha conseguido entrar en el teléfono de la madre.

Esta técnica, según Check Point, podría ser utilizado como parte de un ataque de «phishing» para robar credenciales de usuario o parar instalar aplicaciones maliciosas.

Hasta que LG solucione ambos «bugs», los usuarios pueden tomar varias medidas para mitigar el riesgo. La compañía aconseja examinar toda solicitud de instalación de aplicaciones antes de aceptarla o usar una solución de seguridad móvil personal que supervise el dispositivo ante cualquier comportamiento malicioso.

 

LG-Optimus-L5--620x349

 

Microsoft ya no te permite utilizar contraseñas “tontas”

‘12345’, ‘qwerty’, ‘password’… Aunque cueste creerlo, el ingenio de los usuarios a la hora de determinar una contraseña es absolutamente nulo y cada año se repite el listado de contraseñas más utilizadas sin sufrir apenas variaciones. Es el paraíso de los hackers, que apenas tienen que esforzarse para acceder a cuentas ajenas. El incidente sufrido por LinkedIn, en el que millones de datos de usuarios de su sistema fueron robados, quedando toda su información al descubierto, ha sido la gota que ha colmado el vaso. Microsoft ha decidido cortar por lo sano con este problema y va a prohibir el uso de contraseñas tontas en todos sus servicios.

“Lo más importante a la hora de escoger una contraseña es que sea única y, en consecuencia, difícil de averiguar”, explica Microsoft en su blog corporativo. Básicamente, lo que hará el gigante es cotejar el listado dinámico de contraseñas más empleadas con la propuesta por el usuario, y si coinciden, se impedirá su uso. Con esta simple medida la firma se asegura que el ataque a este tipo de usuarios resulte más complicado, o al menos, no tan sencillo.

Además, la compañía ha creado una guía básica para ayudar a los usuarios a proteger correctamente sus cuentas (aplicable, lógicamente, a cualquier otro servicio). Entre los consejos principales están escoger una contraseña de al menos 8 caracteres, emplear alguna mayúscula y símbolo, y sobre todo, activar la verificación en dos pasos. Se trata en definitiva de dificultar al máximo la acción de loshackers, pero no cabe duda que a costa de perder comodidad y acceder a una cuenta. En este sentido, los usuarios que tengan activada la verificación en dos pasos conocen bien lo tedioso que resulta configurar un nuevo dispositivo por primera vez.

El problema es que muchos internautas no pueden (o quieren) acordarse de una contraseña única por servicio que, además, combina símbolos y mayúsculas. Hasta que los sistemas biométricos se impongan, donde brillan los gestores de contraseñas, unos servicios que equilibran de la mejor manera la seguridad y la conveniencia, y hacen que el problema de la seguridad en las cuentas sea mucho más llevadero.

1464342398_151158_1464342802_noticia_normal_recorte1

Loa cajeros automáticos en el punto de mira de los cibercriminales.

¿Cuántas veces vas al cajero automático de tu banco a sacar dinero? Esta acción tan habitual del día a día requiere cada vez más de un especial control de seguridad. Atrás se están quedando los tiempos en los que el clásico ladrón intentaba vaciarlos físicamente. Estamos ya en un momento en el que los ciberataques a los cajeros, o ATM (Automated Teller Machine) se han convertido en una amenaza emergente que ya cuenta con su propio «malware».

El Centro Europeo de Ciberdelincuencia de Europol (EC3) y Trend Microhan publicado los resultados de su último informe conjunto, «El ‘malware‘ para cajeros automáticos, en auge», en el que se analizan los distintos tipos de amenazas.

«Los grupos criminales se han dado cuenta de que el uso de ‘malware’ es la forma más fácil y segura de robar dinero e información de las tarjetas desde los cajeros automáticos», aseguran David Sancho y Numaan Huq, investigadores de Trend Micro. De hecho, de 2014 a 2015 este tipo de fraudes se han incrementado en un 15 por ciento.

Tras estas acciones se esconden grupos criminales cada vez más sofisticados que ya se han dado cuenta de la oportunidad que hay en las herramientas de «hacking» para esta área. «Las estadísticas indican solamente un uso muy incipiente del software malicioso para el fraude en cajeros automáticos, pero sin duda es una tendencia que ha venido para quedarse», alertan los expertos.

EE.UU., Indonesia y Filipinas son los principales países en los que más se producen este tipo de ataques, según European ATM Security Team. Urge, por tanto, frenar esta tendencia y más teniendo en cuenta que en el mundo hay más de tres millones de cajeros automáticos, en los que se produce una media de operaciones de retirada de efectivo por valor de unos 8.600 millones de euros al año.

¿Por qué nace el software malicioso para cajeros?

Según la investigación de EC3 y Trend Micro, «hay muchos factores que han facilitado el cambio hacia el uso de un conjunto de herramientas de ‘hacking’ para apuntar a los cajeros automáticos». Uno de ellos es el uso de un sistema operativo anticuado como Windows XP porque ya no puede recibir losparches de seguridad.

«Otra razón puede encontrarse en la creciente sofisticación de losciberdelincuentes y en que se han dado cuenta de que la alternativa digital es menos arriesgada y les permite moverse con mayor sigilo», recuerdan los expertos, sin olvidarse de la decisión de los fabricantes de cajeros automáticos de emplear «middleware» que proporciona Interfaces de Programación de Aplicaciones (API) para comunicarse con los dispositivos periféricos de la máquina (como el PIN pad, cajero automático, etc.) independientemente del modelo.

Además, la investigación recoge cuáles son los principales tipos de «malware» así como su origen. «La falta de medidas de seguridad implementadas por los bancos comerciales en América Latina y Europa del Este, ha abierto la puerta para que los criminales abusen de los cajeros automáticos en estas regiones», aseguran los expertos.

Por otro lado, aunque lentamente, los investigadores aseguran que las técnicas se están exportando a otros países con el objetivo de ampliar el número de ataques.

Cada una de las familias de «malware» mencionadas tiene una determinada función de puesta a punto que se puede distinguir por dos características principales: el tipo fabricante de cajeros automáticos y las capacidades específicas del virus, tanto si utiliza para copiar los números de tarjetas y códigos PIN de los clientes del banco, como si se emplea para la retirada real de efectivo. «Lo que el ‘malware’ tiene en común es que es instalado normalmente de forma manual vía USB o CD», concluyen.

cajero-malware--620x349

Las grandes compañías de seguridad de datos, buscan alternativas para acabar con las contraseñas

Una de cada tres personas no protege su móvil mediante una contraseña. El demoledor dato lo pone sobre la mesa Raj Samani, directivo de Intel Security, para alertar sobre la aparente indiferencia de los usuarios ante las crecientes amenazas en la red. Mientras los ataques cibernéticos crecen de manera exponencial y afectan a cualquier usuario, la gran mayoría vive ajena a este fenómeno. Todavía hay un porcentaje muy elevado de usuarios que no protege su móvil con contraseña ¿La causa? Vivimos un extraño pulso entre la conveniencia y la seguridad. Si se aumenta la primera, disminuye la segunda, y viceversa. Si resulta demasiado complicado desbloquear el smartphone cada vez que llega una nueva notificación, el usuario optara por relajar sus líneas de defensa, y de ahí ese alarmante dato. Los fabricantes son bien conscientes de esta circunstancia y, por ello, han comenzado a aplicar sistemas biométricos para identificar al usuario de una forma inequívoca pero muy cómoda, como el sistema TouchID de Apple.

El eslabón más débil en esta cadena es siempre el humano: son todavía muchas las personas que no protegen de ninguna manera el acceso a sus teléfonos móviles, dejando al alcance de cualquiera no sólo la información más personal, sino también datos, vídeos y fotografías más personales. Un alarmante informe en Estados Unidos ha advertido que el 14% de los médicos que almacenan el historial de sus pacientes en el móvil no usa ningún tipo de contraseña. Otro estudio ha desvelado que cerca de un 15% de los usuarios almacena sus contraseñas en el móvil, de manera que si éste cae en manos ajenas, queda al descubierto y accesible toda nuestra información personal.

Apuesta por la biometría

Los últimos avances se dirigen hacia acabar por fin con las contraseñas. Esta forma de proteger nuestra información se ha convertido al final en un propio problema en sí: el usuario lo considera un engorro y lo esquiva como puede. En 2015 se mantuvo invariable la lista de contraseñas más utilizadas entre los usuarios, de manera que si uno se encuentra con un móvil por la calle, tiene altas posibilidades de desbloquearlo tecleando ‘12345’ o ‘qwerty’ ¿Qué se propone como alternativa? Algo que combine eficazmente la seguridad con la conveniencia, y eso es lo que hacen precisamente los sistemas biométricos, como la huella digital, la identificación facial empleando la cámara o bien una combinación de ambos.

Estos sistemas son muy cómodos de utilizar por parte del usuario y mucho más seguros que las contraseñas, ya que la identificación del usuario es inequívoca y no cabe la opción de que alguien tenga conocimiento de nuestra contraseña y pueda acceder a nuestro dispositivo. Mencionábamos antes el desbloqueo del móvil empleando la huella digital, pero los últimos sistemas emplean algo mucho más cotidiano: la cámara frontal del móvil. La identificación del rostro ahorra el engorro de tener que teclear la contraseña, y su funcionamiento es cada vez más efectivo.

Pero hasta que estos sistemas sean de uso masivo entre los usuarios, se pueden emplear gestores de contraseñas, unas aplicaciones que se encargan no sólo de almacenar de forma segura, sino también de sugerir nuevas por cada sitio que nos registramos. La más moderna de ellas,TrueKey, emplea varios niveles de reconocimiento biométrico para proteger las valiosas contraseñas de manos ajenas: el usuario puede configurar el desbloqueo mediante reconocimiento facial, huella dactilar o incluso combinando ambas opciones.

1461057742_103067_1461573678_noticia_normal_recorte1