El Blog de Salvador Vilalta » seguridad internet

Feliz Navidad… 2.0 y próspero 2012 – Resumen del año

svilalta — Sat, 24 Dec 2011 18:09:41 +0000

Como cada año quisiera aprovechar este penúltimo post del año para desear una Feliz Navidad y un próspero año nuevo a todos los que habéis visitado mi blog .

En especial, a todos mis suscriptores. Saber que estáis ahí me impulsa a seguir escribiendo y mejorando cada semana.

En esta ocasión quisiera revisar todo lo publicado este año a modo de resumen:.

ENERO

FEBRERO

MARZO

ABRIL

MAYO

JUNIO

JULIO

AGOSTO

SEPTIEMBRE

OCTUBRE

NOVIEMBRE

DICIEMBRE

Feliz Navidad… 2.0 y próspero 2012 – Resumen del año
El estado de la blogosfera en 2011
Google Grants publicidad en Adwords gratuita para entidades sin ánimo de lucro
Carrier IQ el gran hermano de los dispositivos móviles

En total 50 posts a lo largo de este año que espero os hayan resultado de interes.

Tambien comentaros que diariamente genero mi periódico personal basado en los tweets de la gente a la que sigo. Constituyen un resumen diario de información valiosa que os invito consultéis.

De nuevo gracias a todos y mis mejores deseos para 2012.

Salu2.0

Carrier IQ el gran hermano de los dispositivos móviles

svilalta — Sun, 04 Dec 2011 11:28:39 +0000

Menudo lío se ha armado esta semana al trascender en los medios la existencia de esta aplicación, instalada “de serie” en millones de dispositivos smartphone en todo el mundo. Un escándalo sin precedentes que salpica a la mayoría de operadoras.

El pasado mes de octubre, el investigador de Connecticut Trevor Eckhart descubría esta aplicación. Posteriormente Trevor grabó un video demostrando cómo se realizaba la captura de datos.

¿Pero, qué es Carrier IQ?

En teoría se trataría de una herramienta de diagnóstico instalada en la mayoría de dispositivos smartphones que recopila información sobre la actividad del usuario en su dispositivo e incluso puede registrar pulsaciones de teclado, textos en mensajes cortos y enviar esta información a terceros.

Inicialmente esta aplicación tenía la finalidad de recopilar información de los usuarios que permitiera a las operadoras mejorar la calidad del servicio hacia sus clientes

¿Qué dispositivos tienen instalada esta aplicación?

Parece ser que afectaría ni más ni menos que a 150 millones de dispositivos. La mayoría de dispositivos Android (parece que se salvan los Samsung Gallaxy y alguno más), también en dispositivos Apple (IOS con versiones anteriores a la 5) aunque en este caso parece que solo se activa cuando el terminal está en modo diagnóstico. Al parecer los dispositivos de RIM, blackberry y los de Microsoft no incorporan esta funcionalidad (en Alt1040 no parece que esté esto tan claro).

¿Puedo conocer su existencia?

SI, existe alguna herramientas de diagnóstico gratuita que te permitirá conocer la existencia de esta aplicación en tu terminal.

Voodoo Carrier IQ Detector (android). La he probado en mis dispositivos Samsung Gallaxy S y en mi tablet Gallaxy Tab (No he encontrado rastro de la aplicación). Gratuita y descargable desde el Android Market. Se instala y desinstala como cualquier aplicación.
Es factible desactivar el envío de información desde dispositivos Apple siguiendo estas instrucciones.

¿Puedo desinstalarlo?

NO, por lo menos de forma sencilla, Carrier IQ no puede ser ni detenido ni desinstalarse sin reinstalar el sistema operativo del terminal. Y esto es muy grave.

¿Cómo funciona?

Os dejo el video de Trevor para que veáis como se realiza la captura de datos

Menuda crisis para la propia compañía CARRIER IQ cuyo CEO Larry Lenhart ha salido al paso con un video en Youtube explicando el propósito de este software. En este sentido, sería necesario dirigir la mirada hacia las operadoras y fabricantes que son los que deciden en última instancia sobre el software que “de serie” se instala sobre el sistema operativo en los dispositivos.

Os dejo también un video que explica cómo funciona Carrier IQ y el propósito para el que fue creado

¿Dónde queda en todo esto la protección de datos? Como decía un profesor mío, tecnología del siglo XXI para leyes del siglo XX.
Definitivamente la normativa y el control van muy por detrás de los avances tecnológicos. Sinceramente da miedo que puedas ser monitorizado de esta forma y con toda seguridad es ya factible identificar a usuarios individuales y esto es………….. peligroso.

Enlaces de interes:

Carrier IQ. Website de la compañía | ¿Qué es exactamente Carrier IQ? (Genbeta) | Carrier IQ espía todo. Noticia en Taringa

Qué es exactamente el polémico CArrier IQ (Benbeta) | ¿Utilizas un iPhone, Blackberry o Gmail? Estás jodido- aLT1040 |

En Internet no hay “duros a cuatro pesetas”. Estafas online.

svilalta — Sun, 07 Aug 2011 11:39:23 +0000

Ya hace algún tiempo que quería dedicar una entrada a estafas en Internet. A continuación algunas de las más conocidas y que muchos de vosotros habréis experimentado, seguramente.

Antes de nada comentar que debemos DESCONFIAR siempre de aquellas cosas que parezcan fáciles de conseguir tanto en el mundo offline como online. Seguramente encierran algo turbio cuanto menos.

SCAM

Gracias a un error tecleando una URL hace unos días llegué a un sitio web bastante “curioso”. Estaba tecleando www.youtube.com y en realidad tecleé www.youyube.com.
La ventana que me apareció fué esta:

Lo primero que uno piensa es que se encuentra efectivamente en Youtube (fijaos en cómo usan el logo con el look and feel de YT ) y que por alguna razón se está lanzando una encuesta absolutamente relacionada con videos y que termina en la toma de datos (teléfono móvil y email) del usuario “confiado” para participar en un “sorteo” de tres importantes regalos.

Si os fijais no obstante en la URL, esta es http://videorewardcentral.com/?sov=12004 y evidentemente esto tiene muy poco que ver con Youtube. Por tanto NO es youtube el que realiza esta “encuesta”. si además intentáis averiguar quién está detrás de este sitio web os perderéis en una maraña de enlaces que apuntan de un sitio a otro.

Pero… ¿esto qué é lo que é? (como diría Carlos Herrera de Onda Cero)

Pues esto es SCAM (estafa en inglés). En este caso es un sitio web que se aprovecha de los errores al teclear la URL para intentar “cazar” a usuarios desprevenidos.

Buscando en la red referencias sobre este sitio encontraréis “Ganar dinero con Youyube”, videos explicativos de lo fácil que es ganar una pasta sin esfuerzo en la red y otras referencias más cercanas a la realidad si buscáis “Youyube estafa” en Taringa o Youtube scam Youyube.

ESTAFAS POR EMAIL – TIMO DE LA ESTAMPITA

Esta misma semana recibía dos de estos timos. Alguno de ellos bastante “currado” para hacer caer a más de un confiado.

El primero de ellos un email de este tipo:

Hi
bulletproof@earthlink.net [bulletproof@earthlink.net]
Enviado el:	domingo, 07 de agosto de 2011 7:41
Para:	Salvador Vilalta Blanco

Hey are you doing good? I just wanted to share this with you , I had a good week last week! Check it out http://x.co/YgWe“George Washington was first in war, first in peace — and the first to have his birthday juggled to make a long weekend.” — Ashley Cooper

En este caso el enlace nos lleva a una web dinámica que personaliza algunos contenidos en función de la ubicación del usuario receptor del email e incluso cita a personajes conocidos (Jessica Parker en este caso) para dar mayor potencia al mensaje:

Como podréis comprobar otro ejemplo que juega con la “codicia” (un potente detonante de acción) para cazar al incauto. Si os fijáis debajo del “presunto” reportaje veréis imágenes de personas muy felices con el talón ganado trabajando desde casa. De manual!

Otro ejemplo, este si muy conocido que también juega con la codicia del incauto, el de la herencia o ladonación también conocido como “Timo Nigeriano o timo 419″:

Donación de Mairena Asunción,
Mairena Asunción, Mairena [mairena_3i@yahoo.de]
Enviado el:	sábado, 06 de agosto de 2011 0:20

Donación de Mairena Asunción,Estimado en cristo,Te saludo en nombre de nuestro señor Jesús Cristo nuestro señor que soy señora Mairena Asunción,de República de kuwait yo me caso con Sr. Rodolfo Asunción para quien trabajó con la embajada kuwait de Ivory Coast en nueve años antes de que él murió en 12/01/2004.Nos casaron por once años sin un niño. Él murió después de una breve enfermedad que duró por solamente cuatro días. Antes de su muerte éramos ambos otra vez nacido cristiano. Puesto que su muerte que decidía no casar otra vez o no conseguir a un niño fuera de mi hogar contra el cual la biblia está.Cuando mi último marido estaba vivo él depositó la suma de $ 2,500 millones de dólares de EE.UU. en estado unida atlantique banco Abidján Costa de Marfil, África Occidental. Actualmente, este dinero todavía está en el banco. Recientemente, mi médico me dijo que no durará para los próximos ocho meses debido al problema del cáncer.El que me disturba es más mi enfermedad del movimiento. Sabiendo mi condición decidía donar este fondo a una organización de la caridad -……… [...sigue]

Poco hay que decir sobre esta estafa pero miles de personas y millones de euros han “caído” en ella en muchos países del mundo.

PHISING

Esta forma de fraude esta también muy usada y en ella caen múltiples incautos. Está

fundamentada en la suplantación de identidad de una compañía (habitualmente financiera) y en la solicitud de datos aconfidenciales al usuario para hacer un uso fraudulento de cuentas bancarias o tarjetas de crédito.

Suelen estar camuflados en emails que solicitan confirmación de determinados datos y posteriormente un enlace que suele abrir una página web idéntica a la de nuestro banco donde el usuario introduce sus credenciales. Incluso en algunos casos algún usuario ha introducido TODAS las coordenadas de su tarjeta de claves de banca electrónica (hay que ser un poco bestia para ello).

Otros tipos de fraude

Robos de identidad, las subastas o compra-ventas fraudulentas, keyloggers (capturan pulsaciones de teclado y con estas nuestras credenciales), troyanos bancarios (substituyen páginas web reales por otras maliciosas), pharming (funciona sobre la resolución de nombres redirigiendo URL reales a otras que no lo son), SMshing (similar al phising pero mediante SMS’s).

En este último caso introducir nuestro número de móvil puede acarrearnos la “suscripción” inmediata a un sistema de descarga de contenidos obligatorios diario o a que nuestra operadora nos envíe advertencias de suscripción a estos servicios y nos cargue un importe por cada mensaje que nos envíe.

¿Cómo nos protegemos ante todo esto?

Algunas recomendaciones podrían ser:

Jamás recibir un correo electrónico no solicitado. Es mejor eliminarlo en el servidor antes de recibirlo en nuestra aplicación de correo electrónico. Estos correos infectados con virus pueden ejecutar código malicioso incluso sin abrir un fichero adjunto sospechoso.
Siempre mantener el fichero de firmas y la suite de seguridad actualizados a la última versión disponible.
Utilizar contraseñas robustas y evitar escribirlas en ficheros situados en el ordenador.
Jamás facilitar datos personales fuera de entornos seguros y fuentes de total confianza.
Los regalos y promociones fáciles de obtener pueden esconder grandes amenazas.
Tener siempre activos los cortafuegos, bien del sistema operativo o de la propia suite de seguridad.
La búsqueda de software y/o claves de activación no legales es la puerta de entrada favorita de muchos virus y/o malware.
Desconfía cuando detectes actividad sospechosa en tu equipo.
Hacer copias de seguridad periódicas que permitan recuperar datos en caso de infección.

Enlaces de interes:

Guardia Civil- Consejos de seguridad

INTECO – Centro de Respuesta a Incidentes de Seguridad

Nace Tándem Digital, nuevo blog de tecnología

svilalta — Sat, 11 Dec 2010 20:07:44 +0000

TandemDigital surge de una idea colaborativa junto a Montse Ferrer para la edición on line en catalán, del periódico El Punt que también se visualiza en Avui.

El objetivo de este nuevo blog es dar a conocer las herramientas que conforman la web 2.0 bajo un lenguaje comprensible para todo el mundo, intentando aportar algo de luz hacia las nuevas tecnologías tanto en el ámbito personal como en el profesional.

Cloud computing o computación en la nube, redes sociales, realidad aumentada, marketing de proximidad, tecnología aplicada a diferentes sectores, en especial en turismo, van a ser nuestros principales argumentos.

No os perdáis el primer post de Montse Ferrer sobre “Quieres ser original, regala en digital” (eso sí, en catalán, mi lengua nativa).

La seguridad en la protección de datos en la empresa debe mirar hacia adentro. Data Leakage Prevention (DLP) Parte 2

svilalta — Sun, 11 Jul 2010 15:03:58 +0000

En mi post de la semana pasada en el que hablaba sobre seguridad en los datos hacía mención a la seguridad interna y a la poca atención que sobre la misma se dedica, destinando grandes recursos a protegernos de los ataques del exterior y olvidando riesgos también muy importantes provenientes del interior (empleados insatisfechos, competidores desleales, datos disgregados, infraestructuras inseguras, etc).

Dicen que la información es poder y por tanto, debemos proteger la información sensible de nuestras compañías de una forma efectiva cuando se accede a ella desde diferentes ubicaciones.

Para solventar esto existen soluciones en el mercado que permiten encriptar y establecer derechos sobre los distintos archivos que queramos proteger.

Este tipo de soluciones exigen tener instalados tanto en el servidor que emite el fichero como en la máquina que lo recibe aplicaciones software y en ocasiones hardware (llaves token) . Estas permiten efectuar acciones de lectura y/o escritura sobre dichos ficheros en base a una política de seguridad establecida para cada usuario.

Por cortesía de Forware - Solución Anti Leak Suite

En el caso por ejemplo de un robo físico de una máquina, sin contar con el software y la llave que permita desencriptar los datos va a ser prácticamente imposible el acceso a la información contenida en esta.

En el caso de la apertura de un fichero (el cual podemos haber recibido mediante un email o disponer del mismo en nuestro ordenador portátil), este se abre desde la RAM de la computadora. El sistema de seguridad permite o deniega en ese momento el acceso al archivo o incluso fuerza la apertura del mismo con una aplicación específica en función de las políticas de seguridad establecidas por la compañía. Este tipo de políticas puede ser modificado por los administradores, sincronizándose los cambios a los equipos remotos incluso vía email.

Según un estudio realizado por Launchpad Europe, la prevención en la fuga de datos es ahora una prioridad para muchas empresas a nivel mundial.

ENLACES DE INTERES:
Estudio Launchpad Europe sobre DLP
Forware
Computer Week hablando de DLP
InternetLab hablando de DLP

Disclaimer: Debo reconocer mi amistad con los Granadinos de Forware. Hay que hacer un poco de patria

La seguridad en la protección de datos en la empresa debe mirar hacia adentro. Data Leakage Prevention (DLP) Parte 1

svilalta — Sun, 04 Jul 2010 13:57:44 +0000

Diferentes informes realizados por empresas de seguridad apuntan que las Pymes son las empresas que menos recursos asignan a la protección de la seguridad en los datos mientras que las grandes corporaciones cuentan con diferentes capas de protección.

Es importante remarcar que las empresas se preocupan mucho de la protección frente a agentes externos mientras que dedican pocos recursos a la protección contra elementos de la propia organización.

Riesgos:

Externos
Internos
Causas accidentales

Externos

Ataques desde el exterior (hackers)
Colaboradores con acceso a infraestructura
Robos físicos de equipos o soportes.

Internos
Todo tipo de dispositivos que permitan copiar información desde el interior de la compañía pueden constituir una amenaza. Algunos riesgos:

Grabadoras
Pendrives
Smartphones y dispositivos similares con tarjetas de expansión.
Unidades de cinta
Bases de datos distribuidas
Acceso masivo a datos

Accidentales

Incendios
Fallos de hardware
Subidas de tensión
Envíos de email por error con información sensible.
Borrados accidentales

Las políticas de seguridad implantadas en las compañías deben anticiparse a los riesgos enumerados anteriormente implementando entre otras las siguientes medidas:

Físicas
- Caja seguridad ignífugas almacenamiento copias seguridad
- Ventilación servidores y equipos críticos
- Seguridad acceso a CPD’s
- Alarmas anti-incendios
- Desconexión o eliminación de elementos que permitan realizar copias.
- Hardware
  - Firewall
  - SAI
  - Estabilizadores de tensión
  - Discos espejo
  - Appliances de seguridad
- Software
  - Soluciones antivirus, anti-spyware, anti hackers, anti pishing, etc.
  - Copias de seguridad in company
  - Copias de seguridad online
  - Cifrado de datos (EFS). Este permitiría por ejemplo que si un empleado copia datos en una unidad pendrive estos fueran ilegibles una vez copiados
  - Limitación de acceso a datos a empleados. Bases de datos online, no distribuidas.
- Jurídicas (contractuales)
  - Acuerdos de confidencialidad tanto con empleados como con colaboradores que dispongan de acceso a datos sensibles.

En esta serie de post que inicio en el día de hoy voy a centrarme en la seguridad interna y concretamente en la encriptación de datos.

Reconocimiento Facial y Realidad Aumentada, estamos preparados para ello?

svilalta — Sat, 27 Feb 2010 19:32:36 +0000

Al hilo de un post en el Blog de Enrique Dans al respecto del lanzamiento de Recognizr, herramienta que usa la tecnología de realidad aumentada para capturar desde la cámara de un móvil la cara de una persona y buscar de forma automática sus datos en redes sociales me ha parecido interesante buscar información relacionada con esta tecnología y las ventajas y peligros que esta entraña.

Como bien dice Enrique en su post, “..la tecnología crea constantemente situaciones para las que no necesariamente estamos preparados”.

De hecho va un paso por delante de la propia imaginación en muchos casos.

Veamos el video de esta tecnología desarrollada por la empresa sueca TAT:

¿Qué es la realidad aumentada, RA?
De forma muy resumida (RA) es el término que define la superposición de elementos virtuales sobre elementos del mundo real. Ello permite crear una “realidad mixta” en tiempo real.

Son necesarios dispositivos que permitan realizar esta superposición.
Veamos algunos ejemplos gráficos:

En este ejemplo se usa la RA como elemento de marketing. Ver otros usos de la RA en Marketing en Mashable.

Otros usos de la RA:

Educación
Entretenimiento
Ingeniería
Aplicaciones industriales
Medicina
Arquitectura
Simulación

Los usos futuros de esta tecnología van a revolucionar sin duda nuestra forma de ver las cosas. Conferencias virtuales, navegadores, teléfonos móviles, decoración, rotulación interactiva, etc.

No obstante, los usos “inadecuados” de esta tecnología (por ejemplo en seguridad) cruzando por ejemplo reconocimiento facial con bases de datos de vídeo privados, pueden violar la intimidad de las personas y pueden ser usados con fines maliciosos.

Seguiremos atentos a la evolución de esta interesante tecnología.

La geolocalización de personas en internet, una brecha de seguridad?

svilalta — Sun, 21 Feb 2010 17:39:56 +0000

Al hilo de varios artículos que he leído hace algunos días en medios digitales y algunas reflexiones personales que hace algún tiempo me venía planteando, creía interesante escribir un post acerca del peligro de comprometer nuestra seguridad incluyendo nuestra geo-localización en entradas de Twitter o utilidades como Google Latitude o FourSquare.

No quisiera dar ideas a mentes perversas pero si es necesario tener en cuenta las implicaciones de que se conozca públicamente dónde estamos y el tiempo que estamos y encima nosotros mismos no seamos conscientes de lo que estamos haciendo.

Tanto es así que en PleaseRobme aparecen listados usuarios de Twitter que están fuera de sus casas. En este sitio web alertan de la facilidad de generar aplicaciones en las que se pueda acceder a casas “vacías” porqué sus duesños se encuentran en otro lugar.

Como decía el artículo de ITPro redactado por Davey Winder:

“Seriamente, pondrías un anuncio en un periódico local diciendo ‘Dejaré mi casa mañana a las 10:00 de la mañana y estaré fuera sobre unas tres horas’ o algo así?”

Claramente la respuesta es NO aún siendo innumerables los casos de gente que lo hace en el equivalente online bajo el pretexto de ser mas sociales o jugar a algún juego.

Soy un convencido no obstante que en un entorno más controlado, con gente en la que confíes, la geolocalización permitirá interesantes interacciones sociales.

Foursquare permite geolocalizar contactos

Firma Electrónica, qué es y cómo funciona

svilalta — Sat, 13 Feb 2010 17:13:20 +0000

¿Qué es?
Es una huella digital de un documento cifrado con una clave

Viene a solventar tres importantes problemas asociados a la documentación electrónica:

confidencialidad
integridad
autenticidad.

¿Cómo funciona?

Es un mecanismo criptográfico que asocia la identidad de una persona o equipo informático al mensaje o documento que este envía. Podría decirse que es lo más parecido a una firma autografiada para el medio electrónico. En función del tipo de firma incluso asegura que no puede modificarse el contenido de un documento firmado. Contiene una clave privada y otra clave pública (criptografía asimétrica).

Funcionamiento de la encriptación – desencriptación de un documento mediante la firma digital (fuente Wikipedia):

Si el código hash calculado no concuerda con el resultado de la firma digital desencriptada o el documento ha sido modificado posteriormente a la firma del mismo o la firma no fue generada por la clave privada del emisor del documento.

Ver animación funcionamiento verificación de firma.

CA= Certification Autorithy

Aplicaciones de la firma digital:

Mensajes con autenticidad asegurada
Mensajes sin posibilidad de repudio
Contratos comerciales electrónicos
Factura_Electrónica
Desmaterialización de documentos
Transacciones comerciales electrónicas
Invitación electrónica
Dinero electrónico
Notificaciones judiciales electrónicas
Voto electrónico
Decretos ejecutivos (gobierno)
Créditos de seguridad social
Contratación pública
Sellado de tiempo

Tipos de firma electrónica:

Básica
Avanzada

Enlaces de interés sobre firma electrónica:

Gestion documental para gente normal (Mi amigo Fernando se ha explayado)
CERES (Certificación Española)
DNI Electrónico, FAQ
Ministerio de Industria

Copias de seguridad. El 50% de las empresas que pierden su información a causa de desastres desaparecen inmediatamente

svilalta — Mon, 11 Jan 2010 05:42:34 +0000

Según la Oficina de Trabajo de Estados Unidos, el 50% de empresas que pierden su información a causa de desastres desaparecen inmediatamente, mientras que 93% desaparecen en el plazo de un año.

En este sentido, es necesario que las empresas se hagan la siguiente pregunta:

¿Mi negocio podría sobrevivir si perdiera todos los datos de mis clientes, bases de datos, información contable, etc?

Ante casos de catástrofes (una catástrofe no tiene porque ser un huracán o un terremoto o un ataque terrorista, puede ser sencillamente un incendio que afecte a nuestra oficina en la que se encuentran todos nuestros sistemas) es necesario estar prevenido y por lo menos tener copias actualizadas de los datos críticos de la compañía FUERA DE ELLA.

En 2002, la Asociación Española para la dirección informática, realizó un estudio sobre seguridad en la información. Este cuadro es la respuesta a la pregunta:¿Cuánto tiempo estima que podría sobrevivir su empresa sin la información contenida en sus ordenadores?

Es necesaria por tanto la creación de políticas de copias de seguridad y planes de contingencia para la recuperación rápida de los datos críticos de la compañía.

Algunos consejos.

Periodicidad. Es necesario establecer cada cuanto tiempo realizamos la copia. Esta debiera ser diaria. Podemos establecer políticas de copias completas al inicio y fin de semana e incrementales entre estas.
Ubicación del dispositivo de copia. Debemos seleccionar dispositivos diferentes al de la fuente de los datos ya que si por ejemplo el disco duro del dispositivo principal falla, también perderemos la copia de seguridad.
Custodia y salvaguarda de los datos. Si almacenamos el dispositivo dentro de la empresa y sufrimos un robo o un incendio, podemos perder toda la información tanto del dispositivo fuente como de las copias de seguridad. En este punto es donde las soluciones NAS, SAN y copias remotas juegan un papel relevante.
Automatización. Debe tratarse de un proceso automático y no dejarse a la decisión arbitraria de nadie.
Definición responsable copias.

La famosa ley de Murphy observa que si alguien permanece tranquilo cuando todos los demás pierden la calma es porque no ha entendido la gravedad del problema o dicho de otra forma, si algo puede salir mal, saldrá mal y en las peores circunstancias posibles. Este principio, por ende molesto aunque no menos verídico, debería aplicarse especialmente en este asunto.