lunes, 21 de septiembre de 2015

Y cuando los menores de las fotos de Facebook e Instagram crezcan, ¿qué?

Cargando...
Redes Sociales. Imagen tomada de: El Tiempo.com

Los padres están creando una biografía digital de sus hijos cuando los exponen en redes sociales, una exhibición que, según expertos en privacidad, será fuente de conflicto cuando esos menores crezcan y exijan la retirada de los contenidos que les atañen. 

La explosión de las redes sociales es un fenómeno relativamente reciente y por el momento no se han producido en España enfrentamientos judiciales entre padres e hijos por el tratamiento que aquellos han hecho de la información de los menores en Internet, pero los expertos en privacidad Samuel Parra y Alonso Hurtado prevén que es cuestión de tiempo que esto suceda. 

Es una verdad universalmente aceptada que el hijo propio es el más guapo y ocurrente de cuantos pisan el planeta. Y en la era de la exposición en Internet, el progenitor quiere compartir con el mundo la alegría de ser responsable de tamaña criatura. 

Una opción respetable, pero que no siempre va precedida de una decisión informada de las consecuencias: la más evidente es que se va conformando una identidad digital del menor, un rastro vital en la red edificado desde el prisma de un tercero, en este caso, sus padres. 

"Esa información o imágenes que se publican van alimentando una biografía digital que, en ocasiones o con el paso del tiempo, puede adquirir más peso que la real. Los ciudadanos deben ser conscientes de que la información que publican hoy —de ellos mismos o de sus hijos— puede revelar detalles importantes sobre sus gustos, preferencias o hábitos", destacan desde la Agencia Española de Protección de Datos (AEPD). 

Ya no es que se enseñen monerías o patochadas que puedan avergonzar al menor cuando crezca —que también: son muy numerosos los vídeos de pequeños que terminan convirtiéndose en virales—, es que se están ofreciendo datos de su personalidad e imágenes que dejan un rastro con el que el sujeto puede no estar cómodo. 

La responsabilidad de los padres 

En España, los progenitores o tutores legales de los niños son los responsables del tratamiento de sus datos personales hasta los 14 años. Una vez cumplida esa edad, el adolescente asume la potestad sobre su información pasada, presente y futura. 

"En teoría, debemos hacer lo que se supone que es mejor para los menores, ahora bien, el día que estos niños sean mayores lógicamente podrán decidir que desean mandar al garete toda su identidad digital", indica Hurtado, abogado del bufete Écija. 

Desde la AEPD recuerdan que los menores son un "colectivo altamente vulnerable" y que los padres tienen la responsabilidad de proteger su derecho a la protección de los datos, por lo que les conmina a publicar información en Internet con "sentido común". 

"Las fotos que se publican en una red social pueden difundirse más allá de lo que se había previsto, ya sea porque no se ha configurado el perfil de forma adecuada o porque al tratarse de información digital es fácilmente copiable y reproducible", enfatizan. 

"Considero absolutamente innecesario tener que estar exponiendo la vida del menor constantemente. Prácticamente desde que nace, incluso antes de nacer", añade Parra, responsable de la firma ePrivacidad. 

El experto subraya que no se sabe adónde puede llegar esa información —"hay gente malintencionada que puede cogerla o modificarla" y los servicios de Internet pueden integrarse en nuevas plataformas en el futuro— ni tampoco la repercusión que le pueda ocasionar al menor el día de mañana. 

Cuando el menor quiere eliminar el contenido 

En el caso de que el adolescente decida, una vez cumplidos los 14 años, que quiere retirar información publicada por sus padres y que atañe a su persona, puede seguir varios pasos. 

El primero, coinciden la AEPD y Parra, es solicitar al progenitor que elimine ese contenido de Internet. El segundo, recurrir a la red social: Facebook, Twitter, Youtube o Instagram tienen herramientas para solicitar la retirada de contenidos. 

Si esas compañías no atienden el requerimiento, entonces el afectado podrá dirigirse a la Agencia Española de Protección de Datos para que tutele su derecho de cancelación. Si por esta vía tampoco lo consigue, entonces podrá acudir a los tribunales. 

"Los conflictos que hayan podido surgir seguro que se han quedado en casa, pero con el paso del tiempo, que habrá millones de menores ya adultos, a lo mejor sí surgen conflictos judiciales. De momento no hay nada. (...) Estoy seguro de que se va a producir, pero todavía es pronto para eso", afirma el experto de ePrivacidad.

Tomado de: 20minutos

Desarrollador crea herramienta de visualización de la red Tor

Cargando...
Captura del sitio Onionview. Imagen tomada de: Diario TI.

La red Tor es el sistema más popular para transitar por Internet de forma anónima, y es utilizada no solo por disidentes políticos, filtradores de información y habitantes de países con regímenes totalitarios, sino también por delincuentes interesados en ocultar su identidad. Según diversas estimaciones, el sistema cuenta con 2,5 millones de usuarios diarios.

Para que el tráfico de datos pueda ser anónimo, estos son direccionados por distintos nodos distribuidos en todo el mundo. Estos nodos son operados por entusiastas y voluntarios.

Un desarrollador australiano identificado como Luke Millanta lanzó recientemente una herramienta de visualización denominada Onionview, que permite ilustrar el grado de propagación que tiene el proyecto.

En una entrevista con la publicación Wired, Millanta comenta que “muchos creen que Tor es algo siniestro, operado en unos pocos sótanos”, precisando que, por el contrario, en todo el mundo hay alrededor de 6000 nodos.

El mapa permite averiguar que países cuentan con el mayor número de nodos. Tor Tiene su origen en Estados Unidos, pero actualmente es Alemania (un país, por lo demás, donde la privacidad tiene gran relevancia), que exhibe el mayor número de nodos, con un total de 1364. En segundo lugar se ubica Estados Unidos, con 1328 nodos. Francia, Holanda, Rusia, Suecia y Rumanía también ocupan los primeros lugares. La base de datos es actualizada cada media hora.

La popularidad de la red Tor aumentó considerablemente como resultado de las revelaciones de Edward Snowden en 2014. Hace cinco años, en todo el mundo sólo había sus 1000 nodos de la red Tor.

Tomado de: DiarioTI

App Store de Apple sufre su primer gran ciberataque

Cargando...
Logo de Apple

El gigante chino del software Tencent, dueño del popular servicio de comunicaciones Wechat (un híbrido entre Whatsapp y Twitter), asegura que ha reparado un error de seguridad en esa aplicación descargada de Apple Store. 

Se trata de una de las 39 aplicaciones en la App Store de Apple creadas con un software infectado, al que se ha denominado XcodeGhost, según alertó en su blog la firma de ciberseguridad Palo Alto Networks Inc. 

Entre ellas estaba WeChat y Didi Kuaidi, una aplicación china similar a Uber, y otras en varios sectores como cartografía, banca o servicios de telefonía móvil. 

Apple aseguró el domingo que está limpiando el App Store para eliminar el software malicioso, en el que supone el primer ataque a gran escala de este tipo a un servicio de la compañía estadounidense. 

El error de seguridad fue "recientemente descubierto afectando a los usuarios de iOS sólo en la versión de WeChat 6.2.5", publica el blog oficial del servicio de mensajería de Tencent. 

Añade que "ha sido reparado y no afectará a los usuarios que instalen o actualicen la versión 6.2.6 de WeChat o una superior, que ya está disponible en Apple Store. 

Una App con más de 400 millones de usuarios 

Tencent asegura que una investigación preliminar sobre lo ocurrido revela que no ha habido robo o filtración de la información o el dinero de los usuarios, pero que el equipo de Wechat continuará vigilando la situación. 

Una vez el fallo en seguridad fue hallado, el equipo de WeChat, dice el texto, "tomó los pasos necesarios para evitar cualquier robo de la información de los usuarios", e insta a los que experimenten cualquier tipo de problema a contactar con la compañía. 

WeChat fue creado por Tencent en 2011 y el pasado año superó los 400 millones de usuarios, haciendo cada vez mayor competencia a Whatsapp en el área de la mensajería instantánea. 

Por su parte, Didi Kuaidi dijo en un comunicado que la privacidad de los usuarios no se había visto invadida, y que la aplicación "se ha actualizado inmediatamente" para solucionar el asunto.

Tomado de: 20minutos.es

viernes, 11 de septiembre de 2015

Kaspersky revela red de cibercrimen vía Internet satelital

Cargando...
Ciberdelincuentes. Imagen tomada de: Diario TI.

La gran desventaja de las conexiones de Internet satelital es que todo el tráfico de bajada va sin cifrar, permitiendo que cualquier persona con un equipo adecuado pueda interceptarlo y así obtener acceso a los datos que los usuarios están descargando.

Cuando investigaban la actividad del arma de ciberespionaje de habla rusa Turla, activa desde hace más de 8 años, los analistas de Kaspersky Lab se encontraron con el máximo nivel de anonimato. Para ocultar su actividad, este grupo utiliza debilidades de seguridad en las redes de satélites globales. En las operaciones de ciberespionaje, el servidor de comando y control es una de las partes más importantes de la infraestructura maliciosa, ya que sirve como un “centro de operaciones” para el malware desplegado en equipos concretos. En caso de que los expertos en seguridad o agentes del orden público tuviesen acceso al servidor, se pondría en riesgo toda la operación maliciosa o al menos una parte de ella.

Así, la mayor desventaja de un “centro de operaciones” es que estos servidores pueden utilizarse para rastrear a los cibercriminales que están detrás de la operación al regresar a su ubicación física. Sin embargo, como demuestra el reciente análisis de Kaspersky Lab, algunos actores de ciberespionaje han encontrado la manera de controlar a sus víctimas y, al mismo tiempo, hacer que sea increíblemente difícil que les rastreen.

Las comunicaciones por satélite son conocidas sobre todo como herramienta para la radiodifusión de televisión y comunicaciones seguras. Sin embargo, también se utilizan para proporcionar acceso a la Internet. Estos servicios se utilizan sobre todo en lugares remotos donde otros tipos de acceso a Internet son inestables y lentos, o la conexión no está disponible. Uno de los tipos más extendidos y de bajo coste de conexión a Internet vía satélite es una denominada downstream-only.

En este caso, las solicitudes de salida desde un PC pasan por líneas convencionales (conexión por cable o GPRS) y todo el tráfico entrante llega desde el satélite. La conexión por satélite permite al usuario obtener velocidad de descarga, sin embargo, tiene una gran desventaja: todo el tráfico de bajada va sin cifrar, permitiendo que cualquier usuario con un equipo adecuado pueda interceptar el tráfico y obtener acceso a los datos que se están descargando.

Turla aprovechó esta debilidad de una manera diferente: fue utilizada con el fin de ocultar la ubicación de sus servidores C&C:  
  1. Primero se “escucha” el satélite downstream para identificar las direcciones IP activas de usuarios de Internet por satélite que están en línea en el momento actual.
  2. Luego, selecciona una dirección IP y cambia la configuración de red del servidor C&C con el fin de imitar el usuario legítimo. 
  3. Uso de conexiones convencionales, se comunican con los equipos infectados y les da instrucciones para enviar datos hacia las direcciones IP deseadas para los usuarios de Internet por satélite. Los datos viajan a través de las líneas convencionales a telepuertos del proveedor de Internet por satélite, de ahí al satélite y, finalmente, – desde el satélite a los usuarios con las direcciones IP elegidas.
Curiosamente, el usuario legítimo cuya IP fue utilizada por los ciberdelincuentes con el fin de recibir datos desde la máquina infectada, también recibirán estos paquetes. Esto se debe a que los ciberdelincuentes de Turla instruyen a los equipos infectados para enviar datos por los puertos que están cerrados por defecto en gran mayoría de los casos. Así que el PC del usuario legítimo simplemente deja caer estos paquetes, mientras que el servidor C&C Turla los recibe y procesa, ya que mantiene los puertos normalmente cerrados.

Otro dato interesante sobre las técnicas de los actores Turla es que tienden a utilizar los proveedores de conexión a Internet vía satélite ubicadas en Oriente Medio y países africanos. En su investigación, los analistas de Kaspersky Lab han descubierto el grupo Turla usando IPs de proveedores ubicados en países como Congo, Líbano, Libia, Níger, Nigeria, Somalia o los Emiratos Árabes Unidos.

“En el pasado, hemos visto al menos tres actores diferentes que utilizan enlaces de Internet por satélite para enmascarar sus operaciones. De ellos, el grupo más interesante e inusual es Turla. Esta técnica permite que los ciberdelincuentes alcancen el máximo nivel de anonimato. Pueden estar en cualquier lugar en el rango de la cobertura del satélite, que por lo general supera a miles de kilómetros”- afirma Stefan Tanase, Analista Principal de Seguridad de Kaspersky Lab. “Como es casi imposible de localizar a un ciberdelincuente, el uso de estos mecanismos se vuelve más popular, es importante que los administradores de sistemas para implementar las estrategias de defensa correctas para mitigar este tipo de ataques”.

Los productos de Kaspersky Lab detectan y bloquean el malware utilizado por el actor amenaza Turla.

Tomado de: Diario TI

jueves, 10 de septiembre de 2015

Con IoT, los usuarios finales se están convirtiendo en el objetivo de los ciberdelincuentes

Cargando...
Neil Campbell, Responsable General de Seguridad de Dimension Data
Fiat Chrysler Automobile (FCA) anunció que querría actualizar 1,4 millones de vehículos en los Estados Unidos para instalar un software que pudiera prevenir que hackers obtengan el control del vehículo remotamente, incluyendo volante y otros sistemas de los coches. La brecha de seguridad permitió a los hackers tomar el control de los sistemas de Chrysler, y fueron capaces de tomar el control de un Jeep.

Este hack indica dos cosas. En primer lugar, Internet of Things (IoT) o el Internet de las Cosas va a crear – y de hecho ya ha creado – más oportunidades para que los hackers invadan tanto la privacidad como, en casos como éste, aumenten el riesgo de daño de objetivos ‘blandos’, como en la reputación y en los ingresos, a acciones que pongan en riesgo incluso la vida. En segundo lugar, muchas industrias bien establecidas, que aún no han tenido que lidiar con la seguridad de TI para evitar serias amenazas, adoptarán masivamente procesos, servicios y tecnologías de seguridad.

Vamos a ver muchos más ejemplos como el incidente de Jeep, pues estas industrias están siendo inspeccionadas tanto por la comunidad de investigación de seguridad TI, como por la comunidad de ciber-delincuencia.

Con la tendencia de IoT impulsando innovación y conectividad dentro de su gama de productos o servicios, las industrias que están moviéndose hacia este tipo de exposiciones por primera vez, tendrán que involucrarse más estrechamente con proveedores de servicios de seguridad que ayuden a afrontar estos nuevos riesgos que tienen entre manos.

Lo que es más interesante es que estamos viendo a los usuarios finales convertirse en objetivos populares de la ciber-delincuencia. Esto es porque los trabajadores están, cada vez más, acostumbrados a tener acceso en tiempo real a datos de la empresa, y como resultado también se vuelven objetivos de los delincuentes que pueden así acceder a todo lo que su víctima tiene acceso, incluso tomar el control de la identidad de la persona.

Las organizaciones deben monitorizar continuamente su infraestructura de TI y la industria de Seguridad de TI – no sólo por las amenazas, sino por los nuevos enfoques para la gestión de estas amenazas. Además, las organizaciones han de reconocer que las personas pueden ser tanto el eslabón más fuerte como el más débil cuando se trata de seguridad.

Por Neil Campbell, Responsable General de Seguridad de Dimension Data
Tomado de: Diario TI

martes, 8 de septiembre de 2015

Detectan cuenta root desprotegida en discos duros inalámbricos NAS de Seagate

Cargando...
Discos duros inalámbricos NAS de Seagate. Imagen tomada de: Diario TI

Los modelos afectados cuentan con soporte WiFi integrado, para su utilización sin cables, y están dirigidos al segmento de consumidores.

La existencia de una cuenta root instalada directamente en el hardware implica que quien lo desee puede acceder a los archivos almacenados en los productos afectados. En la práctica, esto implica que cualquier usuario que esté conectado a la misma red local, o al alcance del dispositivo inalámbrico, puede copiar los contenidos, alterarlos o incluso borrarlos.

A la gravedad de esta situación se suman dos vulnerabilidades críticas, que hacen posible el acceso ilimitado a los dispositivos, con derechos de lectura y escritura.

El hallazgo fue hecho por los investigadores de seguridad informática Mike Baucom, J. Rach y Allen Harper, de la empresa Tangible Security. En su anuncio, la empresa señala que las vulnerabilidades afectan a los siguientes modelos: Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage y Lacie Fuel.

Paralelamente, los investigadores descartan que haya otros modelos afectados: “con productos de un gran fabricante como Seagate, suele haber una serie de nombres distintos que, en realidad, constituyen el mismo producto”.

Advertencia de CERT

Las autoridades estadounidenses han enviado una notificación por intermedio del organismo de seguridad CERT (Computer Emergency Response Team). Según la entidad, las vulnerabilidades han sido detectadas en el firmware con versiones 2.2.0.005 y 2.3.014, esta última de octubre de 2014. Los investigadores mencionan que Seagate fue informada sobre sus hallazgos en marzo de 2015, por lo que el fabricante ha tenido tiempo suficiente para actualizar el firmware. Este fue efectivamente el caso, ya que Seagate ha publicado firmware actualizado. Según CERT, las vulnerabilidades fueron eliminadas con el firmware versión 3.4.1.105.

Se recomienda a los usuarios de modelos afectados descargar e instalar la actualización desde el sitio de Seagate.

Tomado de:  Diario TI

No pierdas los datos de tu móvil: cómo hacer copias de seguridad de un Android y un iPhone

Cargando...
Copias de seguridad en celulares. Imagen tomada de: eltiempo.com

 Perder los datos almacenados en nuestros dispositivos más habituales suele costar serios disgustos que, con un poco de tiempo, serían fácilmente evitables. El teléfono móvil se ha convertido en el dispositivo en el que más archivos (vídeos, fotos, chats...) almacenamos. Por eso, es importante saber cómo realizar copias de seguridad de esos datos, ya uses un teléfono Android o un iPhone. 

Nunca se sabe cuándo puede fallar un disco duro, y perder los datos que se guardan en él puede suponer un gran problema. Lo mismo ocurre con los móviles. Tanto si es por seguridad, como si lo que se quiere es pasar los datos a un nuevo dispositivo, hacer una copia de seguridad del teléfono al equipo informático es una costumbre que conviene adquirir cuanto antes. En Eroski Consumer se explica cómo hacer un backup de los datos de un móvil Android o un iPhone al ordenador, incluso del WhatsApp, y cuáles son las mejores aplicaciones para ello. 

Android

Android lo pone bastante fácil para hacer copia de los datos guardados en el móvil al ordenador. La forma más básica es conectar el teléfono al equipo mediante el cable USB. Al hacerlo, el móvil aparece como una unidad más en el PC (igual que cuando se conecta una memoria USB) y es posible navegar por su estructura de carpetas hasta localizar el contenido que interesa conservar. Luego solo hay que moverlo a una carpeta del ordenador. 

Para una solución algo más sofisticada, Google es una buena opción. Los móviles Android están integrados en el ecosistema del popular buscador, lo que incluye una función automática de copia de seguridad. Para activarla hay que ir a "Ajustes", "Copia de seguridad": con esto se guardan elementos como los ajustes de la conexión wifi, la configuración de Gmail, las apps intaladas a través de Google Play y la configuración de pantalla y de idioma, entre otras cosas. 

También desde "Ajustes", "Cuentas", tocando en la cuenta de Google y, luego, en la que esté sincronizada con el móvil, se puede activar la sincronización de varios servicios y aplicaciones de Google: desde el navegador Chrome hasta los e-books de Google Play Libros, Drive, contactos, calendario y más. Por último, hay que recordar que los usuarios de Google Fotos y Google Music ya cuentan con servicios de copia de seguridad automática de sus fotos y su música, respectivamente, en los servidores de Google. 

iPhone 

Con el iPhone también es muy fácil hacer copias de seguridad de los datos al ordenador. Lo más rápido y sencillo es usar la función integrada de backup de iTunes, con la que es posible hacer una copia casi completa del móvil y sincronizar con facilidad el contenido con otro dispositivo -perfecto, si se desea pasar los datos a un nuevo modelo de teléfono. 

Una copia de iTunes incluye casi todo el contenido y los ajustes de configuración del iPhone: fotos, contactos, favoritos de Safari, notas, historial de llamadas, etc. Hay cosas que no incorpora (como las aplicaciones descargadas desde la App Store), pero este contenido se puede copiar con otra función de iTunes, la de Transferir compras. Conviene recordar que todas las apps que se hayan adquirido en algún momento se pueden descargar de nuevo (sin volver a pagar) todas las veces que se quiera, en todos los dispositivos que se desee, siempre y cuando se empleen con el mismo ID de Apple. 

Para utilizar la función de backup de iTunes, solo hay que conectar el iPhone al ordenador con el cable USB y, luego, ir al menú "Archivo" > "Dispositivos" > "Guardar copia de seguridad". En caso de detectar contenido del que no se tiene copia (como en el caso de las aplicaciones que se citaban antes), el propio iTunes se ofrecerá a guardarlas antes de iniciar la copia. 

El proceso puede tardar varios minutos, en función de la cantidad de contenido que haya en el iPhone. Pero, una vez acabado, se dispondrá de una copia completa de los datos del móvil en el ordenador, fácilmente recuperable en el momento en que sea necesario. Como es lógico, conviene ir actualizando esta copia de vez en cuando, a medida que se va usando el teléfono y teniendo nuevo contenido: más fotos, nuevas apps, etc. 

Además de iTunes, otra forma de hacer una copia de seguridad de los datos del iPhone es utilizar iCloud, el sistema de alojamiento de ficheros en la "nube" de Apple. Además, resulta aún más fácil que con iTunes. Solo hay que activarlo dentro de "Ajustes" > "iCloud" en el dispositivo y se realizará una copia de los datos seleccionados: fotos, contactos, favoritos de Safari, notas, contraseñas, citas del calendario... Dentro de la misma sección de iCloud, abriendo el menú "Almacenamiento" > "Gestionar almacenamiento", es posible ver con exactitud qué hay guardado en la copia de seguridad y cómo se distribuye el espacio. iCloud proporciona 5 GB de forma gratuita, pero si es necesario, se pueden comprar más. 

Copias de WhatsApp 

Los procesos y apps explicados están enfocados en hacer copia de seguridad de los datos del móvil (fotos, documentos, contactos, etc.) y los ajustes de configuración, pero las aplicaciones de terceros quedan fuera de su rango. ¿Qué hacer entonces cuando se quiere hacer una copia de seguridad, por ejemplo, de los chats de WhatsApp? En este caso es bastante sencillo, puesto que la propia aplicación de WhatsApp tiene su sistema integrado de copia de seguridad. Para usarlo, solo hay que ir a los ajustes de chat del programa y activarlo. Así se tendrá una copia de las conversaciones para poder pasarlas a un teléfono nuevo o, simplemente, para tenerlas guardadas. 

Apps para hacer copias de seguridad 

Una de las apps más potentes y completas para copia de seguridad y sincronización de datos en Android es Helium. No requiere root (cuenta de usuario) en el dispositivo y permite hacer copias tanto en la tarjeta SD como en la nube. Otra aplicación muy conocida, aunque en este caso sí necesita tener acceso root, es Titanium Backup. 

Además de estas apps, que valen en general para todos los modelos de móvil Android (con ciertos requisitos en cuanto a versión del sistema operativo), las firmas más conocidas de fabricantes de terminales con el sistema operativo de Google también han lanzado sus propias aplicaciones de copia de seguridad. Con ellas es muy fácil pasar los datos de un móvil de esa marca a otro modelo superior. Algunos ejemplos son Smart Switch (Samsung), LG Backup, Xperia Transfer, Copia de Seguridad de HTC o Migración Motorola.

Tomado de: 20minutos

¿Son seguras las tarjetas contactless de pago? Ventajas y desventajas

Cargando...
Tarjetas contactless ventajas y desventajas. Imagen tomada de: Diario TI.
 
 Tener una tarjeta bancaria contactless es muy útil. No tienes que pasar la tarjeta por datáfonos al hacer el pago en el establecimiento, recordar el PIN (cuando los pagos sean inferiores a 20 euros aproximadamente), intentar firmar con un boli que nunca funciona, por no hablar del momento de sacar la cartera y buscar el dinero. Un único gesto y operación realizada.

Asimismo, para las personas que trabajan en la caja, el pago sin contacto también es una ventaja. Esto hace que el proceso de compra sea mucho más rápido, aumenta el nivel de venta y disminuye las largas colas que se producen en este tipo de negocios. Sin embargo, todas estas facilidades de uso pueden dejar al descubierto la propia seguridad de las tarjetas.

Mayor alcance

Estas tarjetas funcionan con la tecnología NFC. Las tarjetas tienen un microchip integrado y una antena que responde a las órdenes del terminal de pago mediante una gama de frecuencia de 13.56 MHz. El alcance en la transmisión NFC es muy corto, por lo que la primera línea de defensa es física. El lector, en esencia, debería encontrarse al lado de la tarjeta, por lo que no se podría hacer de forma clandestina. Además, se podría montar un lector personalizado para operar a largo alcance.

Este tipo de dispositivos tiene la capacidad de gestionar solicitudes de tarjetas contactless en entornos públicos, como centros comerciales, aeropuertos y otros lugares concurridos. En muchos países, las tarjetas compatibles con NFC están en todas las carteras, por lo tanto, los lugares con mucha masificación de gente pueden ser una gran fuente de posibles víctimas para los delincuentes.

Actualmente ya no se necesita una proximidad física o un escáner personalizado para realizar un ataque. Los hackers españoles, Ricardo Rodriguez y José Vila, desarrollaron un sistema para “eliminar la distancia” y lo presentaron en la conferencia Hack in the Box.

Cifrado

La primera línea de defensa ha de ser el cifrado. Las transacciones contactless están protegidas por el mismo estándar EMV que protege a las tarjetas de pago tradicionales que están equipadas con un chip EMV. Las bandas magnéticas son fáciles de clonar, a diferencia de los chips. Al recibir una solicitud de un TPV, su chip interno genera una clave de un solo uso. Esta clave podría ser interceptada, pero no sería válida para la siguiente transacción.

Los analistas de seguridad han mencionado varias veces su preocupación por el sistema EMV; sin embargo, en la vida real, aún no se han escuchado casos de hackeo de estas tarjetas. En una implementación estándar, el concepto de seguridad de la tarjeta EMV está basado en la combinación de claves de cifrado y un código PIN introducido por el usuario. En el caso de las transacciones contactless, no siempre es necesario el código PIN, por lo tanto los sistemas de protección están limitados a claves de cifrado generadas por una tarjeta y un terminal.

En teoría, es posible producir un terminal que lea datos de una tarjeta NFC de un bolsillo. Sin embargo, este terminal personalizado debe emplear claves de cifrado obtenidas desde un banco y un sistema de pago. Las claves son emitidas por la entidad bancaria, por lo que resulta muy fácil investigar e identificar una estafa.

El valor de la transacción

Otra línea de defensa es la limitación del valor de las transacciones de pagos contactless. Este límite se codifica en los ajustes del TPV, de manera que sea adecuada al banco, basado en recomendaciones obtenidas por los sistemas de pago.

En caso de que el límite se excediera, la transacción se rechazaría o requeriría una prueba de validez adicional, por ejemplo un código PIN o una firma, dependiendo de los ajustes aplicados por el banco emisor. Para prevenir los intentos de cobros continuos de pequeñas cantidades se necesitaría un mecanismo de seguridad adicional.

Sin embargo, este sistema tiene un inconveniente. Hace casi un año, otro equipo de investigadores de la universidad de Newcastle (Reino Unido), informó de la existencia de una vulnerabilidad en el sistema de seguridad de las tarjetas contactless de Visa. Al elegir otra divisa que no fuera la libra, se podía superar el límite. Si el TPV está desconectado de la red, el valor máximo de transacción puede alcanzar hasta 1 millón de euros. Los representantes de Visa negaron la viabilidad de este ataque en la vida real, declarando que una transacción de tal magnitud sería rechazada por los sistemas de seguridad de los bancos.

El resultado final

Aunque la tecnología de pago contactless presupone varias capas de protección, esto no significa que el dinero esté 100% seguro. Muchos elementos de las tarjetas bancarias están basados en tecnologías obsoletas como las bandas magnéticas, la posibilidad de realizar pagos online sin una autenticación adicional, etc.

En muchos aspectos, la seguridad depende de los ajustes utilizados por las instituciones financieras y por las tiendas online. Éstas, en la búsqueda de la compra rápida, prefieren sacrificar la seguridad del pago por obtener mayores ingresos.

Es por eso que las recomendaciones de seguridad básicas siguen estando a la orden del día, incluso en el caso de los pagos contactless:
  • El objetivo es evitar que otras personas vean tu número PIN o la información de tu tarjeta. Para ello, nunca se debe enseñar la tarjeta, y se debe extremar la precaución al descargar ciertas aplicaciones en el smartphone.
  • La mejor solución siempre pasa por instalar un antivirus, activar las notificaciones de los movimientos bancarios por mensaje de texto y avisar al banco en cuanto se observe alguna actividad sospechosa.
  • Para asegurarse de que nadie lea tu tarjeta NFC, es necesario comprar un sistema de protección para tu cartera.
Por Kaspersky Lab

Tomado de:  Diario TI

viernes, 4 de septiembre de 2015

Conozca las recomendaciones para que los menores ingresen a las redes sociales

Cargando...
Menores de edad navegando en la red. Imagen tomada de: Vanguardia.com
La detención del comunicador social y periodista Alejandro Matamoros, quien presuntamente se habría ganado la confianza de cerca de 150 jóvenes menores de edad para obtener pornografía infantil, prendió nuevamente las alarmas en el país sobre la seguridad de las redes sociales.

Según la investigación, Matamoros habría creado dos perfiles en la red social Facebook, bajo los nombres de Juliana Salazar y Andrés Monsalve, con los cuales creó una conexión emocional con sus víctimas para obtener los videos y las fotografías intimas de los menores.

Desde Redpapaz, una organización creada por padres de familia para combatir los principales factores que afectan la construcción del entorno cultural positivo para la niñez, han reportado en lo corrido del año 3.839 casos de pornografía infantil, donde se incluyen casos de 'Grooming' y 'Sexting'.

La coordinadora de la mesa de Tecnología de Información y comunicaciones de Redpapaz, Viviana Quintero, señaló que en Internet hay mucha gente dedicada a este tipo de prácticas para engañar a los menores, las cuales ejecutan de diferentes formas.

"Estos criminales lo que hacen es ganarse la confianza de los niños con perfiles atractivos y les solicitan fotos o videos, después los chantajean para que les envíen más fotos", aseguró Quintero sobre el modus operandí de este tipo de personas.

Es por ello que desde la organización aconsejan a los padres de familia que los menores de edad no deben ingresar a las redes sociales antes de cumplir los 14 años y en caso que esto ocurra lo ideal es que el papá tenga acceso a la contraseña y cuenta del niño.

"Si un papá tiene un hijo con una edad menor a 14 años, tiene que hacer un acuerdo con el niño para que le comparta la clave de su cuenta, hasta que cumpla más de 14; se deben generar lazos de confianza entre padres e hijos y lo más importantes es creerles cuando hagan este tipo de denuncias", resaltó.

Quintero también propone a los padres tratar de detectar los perfiles de Facebook que pueden ser potencialmente falsos, especialmente identificarlo a través de aspectos como pocas fotos e imágenes con muchos paisajes y que regularmente no tienen fotos de reuniones familiares o con amigos.

“Le recomendamos a los padres que le digan a sus hijos que no acepten en Facebook a personas que no conocen en la vida real", fue el mensaje final de Viviana Quintero.

A continuación pueden visualizar un experimento social en el cual se comprobó la vulnerabilidad de los menores de edad y los riesgos a los que se exponen con el uso del las redes sociales y del Internet: 




Consecuencias legales

El abogado litigante Osvaldo Ortiz aseguró que el primer paso que debe tener en cuenta un padre de familia cuando descubra que su hijo está siendo víctima de este tipo de conductas es que denuncie inmediatamente ante la Fiscalía General de la Nación.

Una vez instaurada la demanda, la entidad se encargará del material probatorio, como computadores y archivos encontrados en la red, con el fin de que sean analizados y recojan los elementos en cadena de custodia, para que se le de un tratamiento especial.

Para personas que cometen este tipo de conductas, la Fiscalía tiene la facultad de imputar los delitos de pornografía infantil y acto sexual con menor de 14 años, los cuales contempla una pena mínima de 14 años de prisión y no tendrían rebajas. 
Tomado de: Vanguardia

Se duplican ataques que buscan 'tumbar' páginas web

Cargando...
Ataque distribuido. Imagen tomada de: Vanguardia.com
 Un informe del proveedor de servicios de red Akamai mostró que durante el segundo trimestre del 2015 se duplicó el número de ataques de denegación de servicios. Mediante este tipo de acciones, los cibercriminales deshabilitan servicios y páginas en la red para que los usuarios no tengan acceso.

Este tipo de ofensivas consiste en ‘bombardear’ los servidores para tumbar el servicio. En los últimos años la banca y servicios de juegos de video en línea han sido los principales blancos de los atacantes, lo que se ha traducido en millonarias pérdidas para reconocidas compañías.

China aparece como el país desde el cual se realiza la mayoría de los ataques de denegación de servicio (37 por ciento del total), mientras que la segunda posición es para Estados Unidos (17 %) y la tercera para el Reino Unido (10 % ). “Los tres países mostraron un crecimiento significativo en el número de ataques procedentes dentro de sus fronteras, con un aumento del 50 por ciento respecto al trimestre anterior”, destacó Akamai.

Se estima que cerca del 35 por ciento de los ataques perpetrados durante el segundo trimestre del año se enfocaron en plataformas de videojuegos. “Los juegos en línea –según Akamai– sigue siendo la industria más atacada desde el segundo trimestre de 2014. Se mantuvo estable en 35 por ciento en comparación con el último trimestre del año pasado”.

Uno de los ataques más sonados fue el que sufrieron las plataformas PSN y Xbox Live a finales del 2014, que derivó en que por días millones de usuarios de estos servicios en línea no se pudieran conectar a las plataformas.

Tomado de: ElTiempo