jueves, 6 de noviembre de 2014

Su iPhone puede ser atacado por un software maligno

Cargando...
Apple. Foto: Reuters. Imagen tomada de: http://www.portafolio.co/

Una empresa de seguridad en Internet de EE.UU. informó que detectó un nuevo tipo de software maligno que ataca a los dispositivos de la marca Apple, tanto iPhones como iPads y ordenadores Mac.

El nuevo software maligno contra Apple, es decir, software diseñado para causar daños o sustraer información de forma ilegal de ordenadores y otros dispositivos electrónicos, tuvo su origen en China y se propagó a través de la tienda de aplicaciones on-line de ese país Maiyadi App Store.

En un comunicado, la empresa Palo Alto Networks, responsable del hallazgo, indicó que se ha bautizado a este nuevo software maligno como WireLurker y que constituye la amenaza "a mayor escala" que jamás habían visto dirigida contra los productos de Apple.

Según la compañía californiana, con sede en Santa Clara, WireLurker ha infectado "a 467 aplicaciones diseñadas para el sistema operativo Mac OS X" que se encuentran disponibles en la tienda virtual Maiyadi App Store y que han sido descargadas más de 356.104 veces durante los últimos seis meses.

Esto no significa necesariamente que 356.104 usuarios hayan sido afectados, ya que no se sabe cuándo exactamente fueron infectadas las aplicaciones y por qué algunos de los dispositivos pueden haber neutralizado el software maligno, pero sí supone que todos ellos han estado, por lo menos, expuestos de forma potencial a este riesgo.

Aunque las aplicaciones infectadas están diseñadas para sistemas operativos de ordenadores Mac, la empresa alertó de que el software maligno también puede haberse trasladado a iPhones y iPads en caso de que estos se hayan conectado mediante una conexión USB a un ordenador infectado.

"WireLurker monitoriza cualquier dispositivo con sistema operativo iOS que esté conectado vía USB a un ordenador infectado y le instala las aplicaciones con el software maligno", indicaron desde Palo Alto Networks.

Entre otras cosas, WireLurker puede robar información relativa a contactos telefónicos, acceder a mensajes privados y controlar aspectos de cada dispositivo como la descarga de actualizaciones, además de constituir una vía de acceso a los dispositivos para los hackers. Por el momento, Apple ha evitado pronunciarse sobre este nuevo hallazgo.

Tomado de: Portafolio.co

¿Tienes una 'smart TV'? Puede espiar todo lo que dices, y tiene tu permiso

Cargando...
Internet de las cosas. Imagen tomada de: cdnnet.kalooga.com

Esto es como leer el prospecto de un medicamento. Si uno se ciñe a los riesgos potenciales (aunque remotos) de tomarse un simple analgésico y acabar al borde del colapso, lo cierto es que se le quitarían las ganas de tomarse la pastilla. En lo que respecta a las políticas de privacidad, esas que nos vemos obligados a aceptar cuando instalamos algún software, si uno se lee al pie de la letra todo el contenido de las mismas, es posible que le invada el pánico y aborte la idea de instalar el programa o utilizar el móvil.

Si lo recuerdan, Facebook se vio en un serio aprieto al salir a la luz las condiciones de uso de Messenger en las que el usuario se veía obligado a aceptar que la firma de Zuckerberg tuviera acceso al micrófono del móvil, hacer llamadas o enviar SMS sin el permiso del dueño o grabar vídeos y sin que nadie se enterara. Leído esto a uno se le ponían los pelos como escarpias, aunque lo cierto es que la mayoría de los desarrolladores se ven obligados a exigir la rúbrica de estas condiciones para poder dotar de funcionalidad al software con el amparo de un marco legal.

Por lo general y salvo estos sustos, no hay problema porque nadie se suele leer los acuerdos de privacidad. Bueno, casi nadie. Michael Price, un abogado que defiende los derechos civiles, decidió que ya era hora de jubilar su viejo televisor y hacerse con un moderno y flamante Smart TV. Del viejo tubo a la pantalla plana y las posibilidades que ofrece un televisor conectado a Internet.

Un usuario medio abre la enorme caja con ilusión, monta el televisor, ojea las instrucciones lo mínimo posible para comenzar a disfrutar de su nuevo juguete, y la caja con el resto de documentación legal y demás va de cabeza al contenedor de reciclaje. Pero a Price le interesó especialmente aquel tocho de 46 páginas que explicaba la política de privacidad que el usuario se veía obligado a aceptar para disfrutar del potencial del equipo. ¿46 páginas? ¿En serio? Nuestro hombre vio tela que cortar en el asunto y se puso cómodo en el sofá.

Una que tele escucha lo que decimos

Con la cabeza bien preparada para comprender el alcance de los términos legales y mucho tiempo libre, el abogado se dispuso a despedazar el casi medio centenar de páginas del documento, ese que presuntamente nadie se supone que lee. Y bien, tomen asiento porque el asunto se las trae.

La versión corta del asunto es que el moderno televisor en cuestión pasa por el mismo filtro legal que antes hemos mencionado del software, pero una explicación más detallada y extendida, presenta unas condiciones difícilmente aceptables para cualquier usuario con un mínimo de celo por su intimidad. Como saben, algunos de los modelos de televisores inteligentes cuentan con cámara y micrófono para efectuar videollamadas, o bien, como es el caso del televisor de Price, para recibir comandos de voz de forma que pueda encenderse o cambiar de canal sin tocar el mando.


Pues bien, resulta que escondida entre la extensa colección de páginas se encontraba una cláusula que advertía al usuario que tuviera cuidado con lo que hablaba frente al televisor puesto que sus palabras serían “enviadas a terceros” en lo que ya parece haberse convertido en un mercado persa de tráfico de información cada vez más sensible entre las marcas. Y lo peor del asunto es que el televisor escucha aunque no esté encendido.

Por otro lado, la cámara cuenta con reconocimiento facial aunque en este caso las imágenes no son almacenadas en la nube, sino en el propio dispositivo. Lo realmente preocupante del asunto es que cuando uno se enfrenta a un “¿acepta usted que…?” con la casilla de “aceptar” o “declinar”, si opta por lo segundo, el equipo que acaba de adquirir deja de ser smart y pasa a ser un televisor más sin lo mejor de sus funciones.

Al final no queda otra que pasar por el aro y aceptar que para poder disfrutar de las modernidades de la tecnología uno debe vender su privacidad, en el mejor de los casos, únicamente a la marca que vende el dispositivo, algo que el abogado considera “inaceptable”.

Y esto es sólo el comienzo: con la difusión de los diferentes equipos en torno al bautizado como Internet de las cosas, nos iremos encontrando con más electrodomésticos conectados al router y obligándonos a vender nuestras vergüenzas para poder utilizarlos. Como dice el letrado, el FBI no necesitará instalar micrófonos en nuestro salón, “lo haremos nosotros mismos por ellos”.

Tomado de: elconfidencial.com

martes, 4 de noviembre de 2014

Por qué es rentable el phishing y cómo funciona

Cargando...
Phishing. Ilustración: PH Studio © Shutterstock.com. Imagen tomada de: DiarioTI.
Según Kaspersky Lab, los ataques phishing son la forma de cibercrimen más importante del siglo XXI. Hoy en día es muy común encontrar en los medios de comunicación noticias de clientes de diferentes compañías que han sido víctimas de estos ataques. Además, las estafas de phishing son cada día más numerosas y de mayor calidad. A diferencia del spam, que no es más que una distracción tediosa, el phishing conlleva, casi siempre, pérdidas de grandes cantidades de dinero. Ante esta grave amenaza, Kaspersky se plantea: ¿por qué no sabemos protegernos de ella?

Por qué funciona el phishing

Hay muchas formas de aprovecharse de la confianza de los usuarios. Probablemente, la principal sea la gran capacidad que tienen algunos criminales para engañar a los usuarios. Generalmente, se utilizan ofertas seductoras de distintas cosas. Algo que, por desgracia, es muy eficaz, ya que las personas se sienten atraídas por las grandes oportunidades. Los estafadores también se aprovechan del revuelo que generan ciertas noticias o acontecimientos.

Para llegar a los usuarios que aprendieron de pequeños la lección de no fiarse de los desconocidos, los ciberdelincuentes utilizan otra herramienta muy efectiva: las redes sociales. Según una investigación realizada por Kaspersky Lab, en 2013 más del 35% de los ataques phishing iban dirigidos a usuarios de redes sociales. La herramienta antiphishing de los productos de Kaspersky detectó más de 600 millones de accesos a páginas phishing que se suplantaban redes sociales conocidas. Un 22% de los casos eran páginas falsas de Facebook.

Otro método que los delincuentes utilizan mucho para engañar a los usuarios y que hagan clic en algún enlace es generar urgencia y pánico. Muchas veces, para asegurarse de que el ataque va a tener éxito, los criminales utilizan tácticas de “vishing” (phishing por voz). No todo el mundo es capaz de pensar fríamente en este tipo de situaciones críticas, en las que un supuesto representante de un banco te solicita tu número de tarjeta de crédito para evitar que tu cuenta sea bloqueada.

El phishing evoluciona constantemente

Una de las principales razones por las que estos ataques son tan eficientes, se debe a la constante evolución y sofisticación de las técnicas y herramientas del phishing.

Es muy difícil distinguir visualmente las páginas web falsas de las originales. Muchas de ellas tienen, incluso, URLs muy similares y utilizan conexiones seguras con certificados HTTPS auténticos. Asimismo, según Kaspersky Lab el phishing en teléfonos móviles es cada vez más común, ya que las características técnicas de los smartphones y tablets (las dimensiones de las pantallas, por ejemplo), hacen que sea aún más difícil distinguir las páginas reales de las falsas.

La popularidad del phishing no va a desaparecer, ya que es uno de los ataques más lucrativos que existen. Las herramientas utilizadas para los ataques phishing son muy accesibles y su capacidad de alcance es enorme, sobre todo en redes sociales. Asimismo, no requiere mucho esfuerzo por parte de los criminales, ya que la mayoría de las acciones se hacen de forma automatizada.

¿Cómo evitar el phishing, según Kaspersky Lab?
  • Use el sentido común al navegar por la red.
  • Mantenga la calma y no se deje provocar por nadie, algo muy común en los casos tanto de estafas como de vishing.
  • Preste atención a los enlaces que recibe por mail o las redes sociales y fíjese en las páginas web a las que estos dirigen.
  • Si recibe un enlace sospechoso, de un amigo o conocido, pregúntele si fue él quien lo envió.
  • Si se encuentra frente a un ataque vishing (por teléfono), recuerde que ningún representante de un banco le insistirá para que le diga cuál es el número de su tarjeta de crédito.
  • Lo ideal es evitar acceder a páginas web a través de enlaces. Lo mejor es que escriba el nombre del sitio que quiere visitar a través de la barra de direcciones del navegador.
  • Mantenga su antivirus siempre actualizado, especialmente si éste cuenta con herramientas antiphishing. Para poder combatir esta amenaza, la herramienta antiphishing de Kaspersky Lab evalúa cada página a la que accede y la compara con más de 200 criterios típicos de páginas phishing.
Tomado de: DiarioTI

Europa realiza ejercicio a gran escala de seguridad informática

Cargando...
Ciberdelincuentes. Imagen tomada de: Diario TI.

El proyecto, nombrado Cyber Europe 2014, involucra a cerca de 400 profesionales de ciberseguridad, equipos nacionales de respuesta a emergencias informáticas, ministerios, empresas de telecomunicaciones y energéticas, entidades financieras y proveedores de servicios.

Según la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (Enisa), organizadora de la iniciativa, se simularán más de dos mil incidentes de diversa índole.

La idea es que los resultados del ejercicio muestren un balance de la situación, y además se pueda definir los próximos pasos para seguir mejorando, precisó Udo Helmbrecht, director ejecutivo de Enisa.

Entre los ataques a los que serán sometidas las redes están la denegación de servicio a servicios en línea, informes de los servicios de inteligencia y los medios de comunicación sobre ataques por Internet, y desfiguración de sitios web.

Asimismo, se simularán extracciones de información delicada y ataques a infraestructuras críticas, como redes de energía o de telecomunicaciones.

Cada una de las ocho principales violaciones de datos observadas ocasionó la pérdida de decenas de millones de registros de datos, dejando expuestas 552 millones de identidades y ocasionando pérdidas económicas millonarias en todo el mundo, advierte un comunicado de Enisa.

Sólo este tipo de esfuerzo común puede ayudar a que nuestra economía y nuestra sociedad de hoy se mantengan protegidas, sentenció Neelie Kroes, comisaria europea de Agenda Digital.

Según estadísticas oficiales, la tasa de ciberataques se incrementó casi 25 por ciento entre 2012 y 2013 en el planeta.

Tomado de: Panamon.com

La seguridad informática mueve US$34.000 millones

Cargando...
Derek Manky, estratega global de seguridad de Fortinet. Imagen tomada de: Dinero.com
Es un hecho que el peligro ya no está solo en las calles. La información, uno de los activos más valiosos de las compañías, está expuesta a muchos riesgos en el ciberespacio.

De acuerdo con una investigación adelantada por Fortinet, empresa especialista en protección de redes, usuarios y datos, señala que actualmente los directivos de las organizaciones, tanto grandes como medianas, tienen cada vez más presiones por mantener la empresa segura y que esto ha situado al tema de seguridad en una posición primordial y protagónica sobre otras iniciativas de negocio.

La Encuesta Global de Fortinet, que incluyó respuestas de profesionales de TI de países latinoamericanos como Brasil, Colombia y México, reveló que el 63% de los tomadores de decisiones de TI admite el abandono o el retraso de por lo menos una nueva iniciativa de negocio debido a los temores de seguridad cibernética.

En entrevista con Dinero, el canadiense Derek Manky, estratega global de seguridad de Fortinet, habló sobre seguridad informática.

¿De cuánto es el gasto global en seguridad informática?

De acuerdo con el reporte de seguridad de Piper Jaffray 2014, el gasto global en seguridad TI se estima que alcanzó los US$34.000 millones. De la misma manera, el costo de las violaciones de datos en el mundo entero se estima que rodeó entre los US$400.000 y US$575.000 millones. A pesar de tener una inversión global de US$34.000 millones, las brechas de seguridad todavía abundan y los criminales cibernéticos están produciendo un montón de dinero como resultado de su actuar delictivo. 

¿Cuáles son los principales riesgos que corren las empresas?

Por lo general, encontramos dos grandes ámbitos. En primer lugar, las fallas o problemas que involucran al servidor; la codificación insegura, el desarrollo web realizado por terceros que no son conscientes de la seguridad y no siguen un ciclo de desarrollo con la seguridad adecuada. Por ejemplo, un ataque de denegación de servicios (DDoS, por sus siglas en inglés) es otro gran riesgo que va en aumento, especialmente para sectores como el financiero o el de prestación de servicios que no pueden correr el riesgo de sufrir una interrupción en el servicio.

En segundo lugar, encontramos las fallas o problemas del lado del cliente donde existen muchos riesgos de ataques. Los ciberdelincuentes envenenan un sitio de confianza al que ellos saben que las víctimas deben ingresar. Una vez que los usuarios han sido infectados, el atacante puede infiltrarse en la red interna de la empresa y luego ingresar a bases de datos privilegiados, por ejemplo. Siguen existiendo simples fallas que pueden prevenirse mediante la educación de los usuarios.

¿Para qué sirve la seguridad informática?

Los ataques informáticos están aumentando en frecuencia y severidad, así como la accesibilidad para llevarlos a cabo es cada vez mayor. Además, la complejidad de estos ataques se incrementa y, consecuentemente, los métodos tradicionales de detección son a menudo inútiles y su mitigación se hace más difícil. Con esta evolución, es esencial que las organizaciones revisen su postura de seguridad y se aseguren de contar con las herramientas de defensa adecuadas para estar protegidos permanentemente.

Cuéntenos un caso famoso de delito informático 

Hace algunos años, TJX Marshalls, en Estados Unidos, fue impactada por un ataque masivo donde se robaron los datos de 100 millones de tarjetas de crédito y hubo daños y perjuicios por un monto de más de US$200 millones. Todo esto ocurrió porque alguien hackeó la red inalámbrica de la compañía utilizando una vulnerabilidad muy conocida en el sistema de Privacidad Equivalente Cableada (WEP, por sus siglas en inglés) e introdujo un programa malicioso que no fue percibido durante años. Aquí, algunas simples medidas de seguridad que rondarían o estarían cerca de los cinco dígitos (menos de US$100.000 dólares) habrían sido capaces de evitar que se presentaran daños y pérdidas por millones y millones de dólares. 

¿Qué empresas se destacan por sus niveles de seguridad informática?

Algunos casos exitosos en esta área incluyen a Microsoft, Adobe y a Google. El por qué es muy fácil de explicar: Se debe a que ellos son un blanco frecuente de ataques por lo que han tenido que construir prácticas de seguridad de primer nivel para un desarrollo seguro. Hace diez años, era muy fácil encontrar brechas y vulnerabilidades dentro de Microsoft Windows/Office o Adobe Reader. Hoy en día, ellos han construido muchos controles de seguridad dentro de los productos y también codificaciones seguras. Hoy, a nuestro equipo le toma 30 veces más de tiempo encontrar ese tipo de problemas o fallas en la seguridad.

Tomado de: Dinero.com

Tipos de fotos que no debe publicar en internet

Cargando...
Redes Sociales. Imagen tomada de: http://www.smdigital.com.co
Poner fotos en redes sociales, y ver las de otros, es todo un placer. Es parte intrínseca de esta revolución digital, del compartir y mostrar sin límites. Incluso a veces catalogamos de ‘aburridos’ o de ‘poco sociales’ a aquellos contactos que muy pocas veces o casi nunca publican fotos suyas. Pero pueden estar en lo correcto.

Estas son cinco tipos de fotografías que usted no debería publicar en redes:

Niños. ¿Ha pensado que su hija o hijo pueden reclamarle por haber publicado su imagen en redes sociales sin su consentimiento? Exponer a los menores de edad, su cara e identidad en internet, es algo que se debe pensar muy bien. Existen muchos casos de padres arrepentidos de haber publicado un video o foto de su hija o hijo, que se hizo viral, tratando de evitar que dicho material se siga compartiendo en línea. Y la situación se pone mucho peor si las fotos se acompañan de datos personales del menor: dónde viven, estudian, toman clases deportivas, etc.

Ubicación. Ojo con dar pistas exactas de su dirección de vivienda o trabajo. ¿Es necesario? No creo. Evite postear imágenes donde se vean números, nombres de calles, etc., que puedan revelar su ubicación. Se han conocido casos de hechos delictivos en los que los criminales obtuvieron datos detallados del domicilio de las víctimas a través de fotos propias o de terceros en redes sociales.

Boletas. Es una práctica muy común e inentendible poner fotos de las boletas o entradas a un concierto, evento deportivo, tiquete de avión, etc., en redes sociales. Los delincuentes no sólo pueden saber dónde estará con precisión de fecha y hora, sino que además pueden falsificar el documento. Los códigos de barras y números de los tiquetes son suficientes para lograr una copia de su boleta, dejando por fuera del espectáculo a aquellos ingenuos.

Placas. Tampoco es recomendable que aparezcan en Internet por ahí fotos que muestren los números de matrícula de sus vehículos (carros o motos). Son datos fácilmente rastreables en internet y podrían ubicar, con ellos, información más privada como su cédula, dirección de vivienda, deudas del vehículo, etc.

Identificación. Evite con paranoia la posibilidad de que aparezcan sus datos de identificación en línea. He visto gente que publica su certificado electoral; o su cédula. Incluso he visto imágenes de tarjetas de crédito rondando por ahí. Nada más peligroso, pues son datos con los que pueden clonar un medio de pago, pedir un préstamo a su nombre, solicitar productos y servicios, entre otros riesgos que a diario ocurren.

Mucho cuidado. Se sorprenderían de la la cantidad de casos que se viven a diario de personas y empresas víctimas de delitos por información que ellos mismos publicaron en una fotografía en línea. 

Que el afán de mostrar no le gane al sentido común.

José Carlos García R. 
Editor Tecnósfera
@JoseCarlosTecno

Tomado de: ElTiempo.com