Mega.co.nz no me convence, hay gran riesgo con la contraseña

Leyendo opiniones sobre Mega.co.nz, el nuevo servicio de almacenamiento en línea de Kim Dotcom, lanzado ayer, me doy con algunos importantes detalles a tener en cuenta.

El primero es el asunto de la contraseña, Mega no pide confirmar la contraseña (password) cuando se crea una cuenta, y no almacena las contraseñas, de modo que si uno la pierde, no hay ninguna forma de recuperar la misma. El sistema de ayuda del servicio informa que “desafortunadamente su contraseña MEGA no es sólo una contraseña – es la clave de cifrado principal para todos sus datos. Si la pierde, se pierde el acceso a todos los archivos que no están en una carpeta compartida y que no tienen ningún fichero previamente exportado o la llave de la carpeta”. La contraseña se usa para generar de forma indirecta las llaves para cifrar y descifrar los archivos que se suben.

Todas las operaciones criptográficas simétricas están basados ​​en AES-128. Funciona en modo de encadenamiento de bloques de cifrado para el archivo y bloques de atributos de carpeta y en el modo de contador de los datos del archivo.

En el cifrado simétrico la misma clave se utiliza para cifrar y descifrar los datos, lo que es menos seguro que el cifrado asimétrico (donde una clave cifra y descifra una clave diferente), pero es más rápido y más fácil de implementar.

La clave utilizada para cifrar sus archivos y carpetas Mega se almacena en los servidores de Mega, en lugar de en el equipo local. La misma clave se guarda encriptada usando la contraseña de su cuenta. Se está señalando que no parece haber ningún mecanismo de recuperación de contraseña en cualquier lugar de las pantallas de Mega o de inicio de sesión, ni ningún método para cambiar la contraseña en el panel de control de usuario. Debido a que la principal clave AES-128 se aloja con su contraseña, recordar la contraseña es vital. Perderla significa que no sólo pierden la capacidad de iniciar sesión en el servicio, se pierde la capacidad para descifrar los archivos, y punto.

Se ha informado que el cifrado a partir de la contraseña implica la imposibilidad de cambiar la contraseña de usuario sin descartar las llaves para descifrar. Por lo que uno debería quedarte "para siempre" con una única contraseña, algo que suena hasta feo.

En el lamentable caso que alguien descubra y utilice la contraseña elegida por Ud. y se tome su cuenta, la usurpe, no hay ninguna manera de recuperar la cuenta y desalojar al usurpador. Quedaría como única manera de proteger los datos el borrarlos de Mega.

También se informa que no es posible hacer streaming de archivos almacenados en Mega, debido a que el “modelo de encripción de extremo a extremo por sí excluye cualquier manipulación del lado del servidor de datos, que serían necesarios para implementar esta característica”.

Otro tema que se señala como conflictivo es que el sistema de encriptado y descifrarlo hace muy difícil saber si el contenido subido por un usuario es o no legal, y no podría saber si se comente alguna infracción, a menos que se "le indique directamente qué es lo que está violando el copyright, incluyendo el enlace y la llave para descifrar el archivo". De ésta manera, Mega no podría ser señalado de ser responsable de “facilitar” nada, porque no puede saber qué es ilegal y qué no. Muy vidrioso el tema.

Como lo dijimos ayer, "estar con todas las luces prendidas en el caso de decidir usar el servicio". No me convence.

Fuentes:

• Cuidado con tu contraseña: El cifrado de Mega. FayerWayer.
• Mega users: If you're hacked once, you're hacked for life. ZDNet.
• Megabad: A quick look at the state of Mega’s encryption. ars technica.

Post relacionado:

Mega.co.nz inicia sus servicios con algunas dificultades. 20/01/2013.

Password ¿sus contraseñas son seguras?

El otro día leíamos, y no dejábamos de sorprendernos, que la clave bancaria más utilizada en el mundo es... "1234". El artículo de Farewayer informaba que ``según el estudio y relevamiento realizado por la empresa británica Data Genetics, la clave de acceso a servicios bancarios más utilizada por usuarios, tanto por internet como por cajeros automáticos es "1234". Pero si esto puede parecer obvio o conocido por todos, se refuerza la teoría de la comodidad si vemos las claves que ocupan los puestos siguientes: "1111", "0000", "1212" y "7777"´´ . El dato es que más de 3,4 millones de personas en el mundo aseguraron que lo hacen porque "es más simple de recordar". Esa "comodidad" mal entendida tiene hoy por hoy sus serios riesgos.

Lo mismo pasa con las contraseñas en los equipos, dispositivos móviles, sistemas y aplicaciones.

¿Sabes cuánto tarda un hacker en descifrar tus contraseñas?
Publicado por Kaspersky Lab

Los usuarios de Internet tienen una media de cinco cuentas diferentes y cada una debe contar con una contraseña propia, todo un reto para nuestra memoria. Utilizar una contraseña única para todas las cuentas es un riesgo, porque si un hacker adivina dicho código, tendrá la llave de nuestra vida online. Sin embargo, solo los usuarios avanzados utilizan una contraseña como Xp89$ABG-faw?6 para cada página que visita. Entonces, ¿cómo podemos elegir un código que sea seguro y fiable?
Kaspersky Lab pone a disposición de los usuarios un programa online con fines educativos que es capaz de reconocer cuánto puede tardar un hacker en descubrir nuestra contraseña: Password Check, http://password.social-kaspersky.com/. El funcionamiento es muy sencillo, una vez escrita la contraseña, el programa informa, de una manera divertida, del tiempo que tardaría alguien en robártela.
Además indica si la longitud es adecuada, si es una palabra demasiado común o si contiene secuencias de teclado. Antes de crear las contraseñas que vamos a utilizar y comprobar en Password Check su fortaleza debemos tener en cuenta ciertos aspectos de seguridad que nos ayuden a mantener nuestra vida virtual a salvo de los hackers.

¿Por qué necesitamos contraseñas fuertes?
Siempre se han usado contraseñas que combinan letras, símbolos y caracteres especiales para proteger los ordenadores, los documentos y los archivos. Incluso cuando están cifrados, un cibercriminal puede tener acceso físico al equipo e introducir claves hasta que encuentra la correcta. Este método es muy eficaz con las claves cortas. Cuanto más larga y complicada es una contraseña, más tiempo conlleva averiguarla. Las claves de 4 y 5 caracteres apenas requieren unos segundos, en cambio cada nuevo símbolo que añadamos es un nuevo obstáculo para el hacker. Este mismo principio se aplica a la combinación de letras, símbolos y números; al incluirlos reducimos las oportunidades de que descubran nuestra clave.
Si la contraseña es una palabra, no importa lo rara o larga que sea, existen muchas posibilidades de que descubran nuestro código de acceso. Simplemente añadiendo un símbolo extra, ya aumentamos su complejidad. Por este motivo, los expertos recomiendan que combinemos diferentes caracteres aunque luego nos sea difícil memorizar dicha contraseña.

Receta para la contraseña perfecta
La principal regla, y la más importante, es que la contraseña sea larga. Podemos añadir diferentes caracteres sin la necesidad de crear un galimatías. Usa una frase clara, que sea fácil de recordar y realiza cambios para impedir que alguien la averigüe. NadaEsBlancoONegro2 es legible, ¿verdad? Es más fácil recordar una frase con un par de modificaciones que una serie aleatoria de símbolos. Pero, debemos tener cuidado y no usar una frase demasiado conocida o popular. Es mejor crear nuestra propia oración para cada cuenta.
A la hora de elegir la longitud y complejidad de nuestra frase debemos tener en cuenta lo siguiente: el valor de los datos a proteger, la frecuencia con que usamos la clave y si utilizamos dicha contraseña en un dispositivo móvil. Por ejemplo, NadaEsBlancoONegro2 es perfecta para una página de música; en cambio, deberíamos crear una clave más compleja como NadaEsBlancoONegro2EnnU3STR4V1D463 para nuestro correo electrónico o banca online.
Existen herramientas específicas que nos ayudan a memorizar nuestras contraseñas. Por ejemplo, el producto de seguridad informática Kaspersky PURE incluye un módulo que contiene una base de datos con las contraseñas del usuario. Dicho repositorio de claves está perfectamente cifrado con algoritmos complejos y el usuario sólo necesita recordar la contraseña de acceso a la tabla. Con sólo memorizar un código, podremos mantener a salvo el resto de nuestra vida online. / Kaspersky Lab.-

Las contraseñas de Internet: ¿un oscuro fracaso?

Hace unos días leíamos, y no dejábamos de sorprendernos al comentarlo, que la clave bancaria más utilizada en el mundo es... "1234".

Recientemente supimos que una filtración masiva tras un crackeo de gran envergadura que afectó a Adobe, liberando datos de más de 2.9 millones de cuentas, "descubre" que la contraseña más usada era 123456.

En línea con todo ésto se ha informado que el Cibercrimen generó pérdidas de US$117.400 millones el último año.

En BBC Mundo publican una interesante nota acerca de las contraseñas, un elemento que el usuario común debería considerar más a efectos de su seguridad.

Las contraseñas de internet: historia de un fracaso
Publicado por BBC Mundo

Unos 24 caracteres que incluyan letras en mayúsculas, en minúsculas, números, símbolos y algún signo de un alfabeto distinto. Es la receta ideal para una contraseña segura, ¿pero quién es capaz de memorizar eso?

Particularmente porque en la actualidad se necesitan claves para prácticamente todo: iniciar sesiones en correos electrónicos, redes sociales, bancos, servicios como gas o electricidad, aplicaciones en celulares y compras a través de internet, por mencionar sólo algunas áreas.

¿Las más seguras? Deben ser complicadas, larguísimas y cambiarse frecuentemente. Si es suficientemente compleja para que un cracker -como se llama a los individuos que usan la tecnología para "romper" los códigos y robar datos- logre descifrarla, entonces será casi imposible recordarla.

Las claves también revelan información personal, como la fecha de nacimiento o el grupo musical de preferencia de su dueño, pero justamente esos elementos que permitirían que la persona memorice la contraseña son los que hacen vulnerable a las claves.

Un reportaje realizado por la BBC en Reino Unido señala que una persona utiliza un promedio de 26 cuentas con clave de acceso, mientras que las contraseñas que utiliza para protegerlas son apenas seis, lo que incrementa las posibilidades de que sean hackeadas.

Futuro oscuro

Hay computadoras que hacen 53.000 millones de intentos por segundo para adivinar contraseña.

Las contraseñas existen desde hace siglos: los primeros registros históricos que se tienen datan de los tiempos de los romanos.

Y aunque en los inicios de la era de internet eran efectivas, con el paso del tiempo se han vuelto vulnerables.
En la actualidad existen programas y computadoras capaces de realizar 53.000 millones de intentos por segundo para adivinar una contraseña. Las posibilidades de que lo logre, y en poco tiempo, son muy elevadas.

Jeremi Gosney, director de SCG, una empresa que se dedica a descubrir las claves de otros y fabrica dispositivos con ese objetivo, creó un grupo de computadoras que funcionan como una unidad y que son capaces de probar 350.000 millones de veces por segundo diferentes contraseñas para tratar de descifrar la que le interesa.

"A algunos les puede sorprender, pero en el mercado existe interés por la compra de equipos computarizados con ese fin porque son útiles para organismos policiales, departamentos que se dedican a la investigación de crímenes y otras dependencias gubernamentales", dice Gosney.

Aunque esos, claro, son sólo sus usos bienintencionados. El robo de constraseñas con fines delictivos es otra de las aristas del asunto.

En los últimos cinco años, los recursos de los que se valen los crackers se han sofisticado.

"Se han desarrollado equipos que facilitan su labor, por ejemplo las tarjetas que mejoran el funcionamiento de los videojuegos. En segundo lugar están los incidentes en los que han quedado expuestos millones de contraseñas de usuarios, porque revelan cómo las personas las seleccionan. Finalmente, está la creación de programas que permiten descubrir claves, Hashcat es uno de las más populares", explica a la BBC Dan Goodin, editor de seguridad informática del sitio web Ars Technica.

Sobreviviendo

¿Se puede hacer algo para contrarrestar un panorama tan apocalíptico?
"Este medio es un juego constante de ataques y contrataques. Una de las opciones existentes es la de verificar la identidad de la persona a través de dos pasos. Después de usar su contraseña, la persona recibe un texto o utiliza una aplicación en su celular que permite asegurar que es quien dice ser", comenta Stuart Aston, asesor de seguridad de Microsoft en el Reino Unido.

Según el especialista, otro elemento importante es la longitud de la clave siguiendo el principio de "a mayor número de caracteres, mayor seguridad". Otra acción sencilla que dificulta el proceso de los crackers, y que no muchos conocen, es la de añadir un espacio entre un carácter y el otro.

Para facilitar la tarea, se puede utilizar un administrador de contraseñas, una herramienta cada vez más popular. Se trata de un programa que genera una complicada y larga clave única que permite almacenar el resto de las que se tengan.

¿Se acerca el fin?

Pero hay quienes opinan que el futuro –y el fin de la era de las contraseñas- podría estar en la tecnología biométrica.

"Existen diferentes alternativas en el mercado, las que reconocen las huellas digitales, el rostro o el iris. Y en la medida en la que se desarrollen, su costo disminuirá. En este momento pagamos por el valor de las patentes 90% menos de lo que teníamos que pagar cuando empezamos", afirma Martin George, director de Smart Sensors, una empresa que se dedica a la elaboración de tecnología para la identificación a través del iris.

Pero este mecanismo también tiene sus detractores entre quienes argumentan que no sirve como método único de reconocimiento, como Aston.

O que no es suficientemente segura, como Gosney: para ejemplificar su punto, cuenta que su abogada utiliza un programa biométrico de reconocimiento facial para iniciar una sesión en su laptop, pero él, tomándole una foto con su teléfono y poniendo la imagen frente a la cámara de la computadora, logró tener acceso al equipo ajeno.

Así las cosas, muchos creen que las contraseñas, pese a su vulnerabilidad, seguirán siendo la mejor alternativa para proteger la información personal por un buen tiempo.

"Nada podrá hacer que la contraseña desaparezca", afirma tajante Gosney.

Per Thorsheim, organizador de la Conferencia de Contraseñas y experto en el tema, no es tan tajante, pero está convencido de que se seguirán usando al menos por 20 años más. / Publicado por BBC Mundo.

Post relacionado:

• Password ¿sus contraseñas son seguras?. 06/08/2013.

Datos de cerca de 5 millones de cuentas GMail expuestos

5 millones de (viejas) credenciales de Gmail filtradas: ¿qué pasó exactamente?.

"En horas de la mañana, hemos visto en Reddit y otros foros que alrededor de 5 millones de credenciales de cuentas de Gmail fueron filtradas. Una vez más, se apuntó a cibercriminales rusos como los responsables. Pero independientemente de quién esté detrás, luego de investigar un poco lo ocurrido, advertimos que estaban en desuso: en la mayoría de los casos, las contraseñas tenían una antigüedad de 5 años y en realidad no permitían el acceso a las cuentas, ya que estas estaban suspendidas. En todo caso, la “filtración” es una colección de credenciales obtenidas por campañas de phishing o ataques de malware a lo largo de los últimos años, aunque muchas fueron cambiadas en algún momento".

Por Sabrina Pagnotta, publicado en ESET Latinoamérica - Laboratorio.-

Según ha publicado FayerWayer, "Todo apunta a que no hay ninguna filtración de Google, si no que son cuentas de Gmail  usadas en foros, como dicen en este comentario de Menéame".

"La mía dice que está, pero la contraseña no coincide, curiosamente la contraseña que tienen es la que suelo usar para registrarme en foros donde no participio y solo piden registro, así que de hackear google me da que nada, han hackeado foros, pero es muy probable que gran cantidad de usuarios tengan la misma contraseña en el foro que en su correo electrónico".

"Es posible que todas esas cuentas donde la contraseña funciona es debido a que mucha gente aun usa la misma contraseña para su correo y otros servicios en internet". FayerWayer.--

Les sugiero leer bien la nota de ESET, y, aunque una investigación determinó que muchas de las contraseñas que se muestran en el "registro" son antiguas o falsas, de todas maneras hay que estar muy atentos al tema "contraseñas de sus cuentas".

Para habilitar la verificación en dos pasos para Gmail y mejorar la seguridad de la cuenta, ingrese aquí, en la ayuda de Google.

Nota relacionada:

• Contraseñas: se roban cada vez más aunque sean más complejas. Por Ariel Torres para LA NACION

"Una red sólo es tan fuerte como su eslabón más débil"

Los hijos, el eslabón más débil de la seguridad cibernética

Por Alexandra Samuel, publicado en The Wall Street Journal.

¿Qué se puede hacer cuando la mayor amenaza a su ciberseguridad vive bajo su propio techo?

Es un hecho de la vida en línea: una red sólo es tan fuerte como su eslabón más débil. Para muchos, ese eslabón más débil son sus hijos. Descargan virus sin darse cuenta, eluden normas de seguridad para visitar sitios que sus padres no autorizan y gastan mucho dinero usando el sistema de pedidos en un clic de sus padres.

Y, lo más frustrante de todo, muchos superan con holgura la capacidad de sus padres de evitar que hagan travesuras; de hecho, muchos actúan como la ayuda técnica de facto de la familia. En una encuesta reciente, la mitad de los estadounidenses con hijos menores de 18 años indicaron que sus hijos habían violado su seguridad en línea de alguna forma. Y el costo de esas violaciones se puede acumular, ya sean computadoras dañadas, productividad perdida o dinero gastado en compras no autorizadas.

Foto de Pipy Lupindo, vista en Flickr
La foto no pertenece a la nota de WSJ

Mantenerse un paso por delante de los niños es aún más complicado porque no alcanza con que los padres impidan las travesuras. También deben tener presente que sus hijos buscan en ellos modelos de comportamiento. Así que muchas estrategias de seguridad que usan también deben ser lecciones que ayuden a sus hijos a mantenerse por el buen camino.

Felizmente, hay muchos pasos que no sólo reforzarán su seguridad, sino que también lo convertirán en una guía útil para su hijo. A continuación, algunas medidas que debería tomar.

La tecnología y sus hijos

Los niños de 5 años que se portan bien y los jóvenes rebeldes de 15 años representan riesgos de seguridad radicalmente distintos. Su pequeño podría tocar accidentalmente varias teclas y cambiar el nombre de su disco rígido; su hijo de cuarto grado podría saber lo suficiente de tecnología como para descargar varios archivos, y virus.

Entender cómo lidiar con esos problemas potenciales implica obtener un panorama preciso de la tecnología en su casa y cómo la usan sus niños.

Primero, asegúrese de saber exactamente qué máquinas, aparatos y archivos usan sus hijos para saber qué necesita poner bajo llave. No sólo las computadoras o tabletas de los pequeños; recuerde que muchos les prestamos nuestros teléfonos o tabletas a nuestros hijos en algunas ocasiones. Además, no olvide otros aparatos conectados a Internet, como su consola de juegos, el lector de libros electrónicos o el conversor de TV por cable.

A continuación, identifique qué contraseñas conocen sus hijos y considere cuáles deberían ser manejadas sólo por adultos. Con preadolescentes, una buena práctica es tener perfiles separados en cualquier aparato que usen sus niños, y darle a cada uno un perfil que les permita conectarse a aplicaciones o juegos educativos, mientras se reserva sólo para usted el acceso administrativo total.

Enséñeles a sus hijos que los perfiles de otras personas están fuera de su alcance y asegúrese de que sólo tengan la contraseña para su propio perfil. Los niños más grandes probablemente querrán administrar sus propios perfiles y aparatos, y que su historial de navegación sea privado, pero de todos modos usted debería monitorear el acceso que tengan a sus aparatos y cuentas, o los compartidos.

Luego analice de forma realista el temperamento y comportamiento de su hijo. ¿Tiene un adolescente que está probando sus límites constantemente? ¿Un hacker natural que es incansablemente curioso sobre lo que puede acceder, vulnerar o reprogramar? Eso significa tomar una postura más severa sobre la seguridad. Luego, debe entender cuán habilidosos son sus hijos. Debe monitorear la capacidad de sus niños de evadir las restricciones paternas y de alterar sus aparatos.

Eleve su nivel de seguridad

Luego debe elevar lo más posible el nivel de seguridad de su red, y asegurarse de que sus hijos entiendan la importancia de la seguridad.

Primero, ocúpese de sus contraseñas. La mejor práctica es usar un administrador de contraseñas como LastPass o 1Password para generar y recordar contraseñas únicas y complejas para cada sitio que usa. Lo importante es que use distintas contraseñas en distintos lugares, y que no use una contraseña que podrían adivinar sus hijos.

Segundo, asegúrese de que los archivos en su computadora personal sean compartidos sólo si alguien accede a su computadora con una contraseña. De esa forma, sus niños no pueden acceder a sus archivos, ni borrarlos o modificarlos conectándose de forma remota.

Tercero, establezca un sistema de respaldo para todas las computadoras y aparatos en su casa. El mejor enfoque es rotar entre dos discos de respaldo, para que si su hijo descarga algo que infecta un disco con un virus, aún tenga un respaldo previo.

Cuarto, impida compras no autorizadas al desactivar los pedidos en un clic y asegurarse de que cada compra dentro de una aplicación y cada descarga de medios sea posible sólo con contraseña.

Eso es lo básico. Luego debe enseñarles a sus hijos a reducir los riesgos de sus actividades en línea: cómo reconocer la diferencia entre una fuente confiable y una potencial fuente de software maligno; cómo elegir una contraseña segura; cuándo usar su nombre real en línea y cuándo conviene un pseudónimo.

Solucione bien los problemas

Mientras las buenas prácticas de seguridad pueden reducir su nivel de riesgo general, también necesita un plan para cuando ese plan falla.

Si sus hijos están acostumbrados a hablar con usted sobre lo que hacen en línea, enséñeles a reportar problemas. Si su hija le muestra cómo hizo para evadir las restricciones que usted le había fijado, puede castigarla, y asegurarse de que la próxima vez no le cuente lo que hace, o puede agradecer por su ingenuidad. Así, aprende que debe contarle sobre cualquier actividad que podría debilitar su seguridad. También es bueno pedirles a los niños que le ayuden a solucionar cualquier problema que pudieran haber causado.

—Alexandra Samuel es investigadora de tecnología y autora del libro ‘Work Smarter with Social Media’, algo así como ‘Trabaje de forma más inteligente con los medios sociales’. / Por Alexandra Samuel, publicado en The Wall Street Journal.--

Problemas con las cuentas de Yahoo

En éstos días pasados se conoció que las cuentas de Yahoo habrían sido atacadas, Jay Rossiter, vicepresidente senior de Yahoo, informó en su momento que "han identificado un intento coordinado para obtener acceso a las cuentas de correo de Yahoo".

"Según confirma, para el ataque se ha empleado una base de datos de usuarios y contraseñas recogidas de un ataque a otra compañía (sin identificar el origen). También indica que se ha empleado un programa especial, para automatizar el intento de acceso con las cuentas y contraseñas.

Según confirma el vicepresidente se han "reseteado" las contraseñas de las cuentas atacadas y se está empleado autenticación de doble factor para que los usuarios puedan asegurar sus cuentas. A los usuarios afectados se les pedirá (si no lo han sido ya) el cambio de contraseña, igualmente habrán recibido una notificación por correo o incluso un SMS en caso de tener un número de móvil asociado a la cuenta" (Hispasec).

Desde Yahoo informan que lo que usuario puede hacer para ayudar a mantener sus cuentas seguras, además de la adopción de mejores prácticas de contraseñas, cambiar su contraseña con regularidad con el uso de diferentes variaciones de símbolos y caracteres. 

De manera espacial se les recomienda a los usuarios no utilizar la misma contraseña en varios sitios o servicios. Utilizando la misma contraseña en varios sitios o servicios hace que los usuarios sean especialmente vulnerables a este tipo de ataques.

Masiva filtración de datos de cuentas de correos electrónicos

En éstos días se conoció que unas 711 millones de cuentas de correos electrónicos (e-mails) fueron filtrados; inclusive hay cuentas publicadas con el nombre de usuario y la contraseña. La información de la filtración la publicó el diario The Guardian, indicando que "la información se filtró porque los "spammers" no pudieron asegurar uno de sus servidores, permitiendo a cualquier visitante descargar las direcciones y los datos con facilidad".

Imagen de archivo

La están considerando una de las mayores brechas de datos de la historia. Sin embargo, según la nota de The Guardian, "es probable que el número de datos de contacto de los humanos reales contenidos en el volcado sea menor debido al número de direcciones de correo electrónico falsas, malformadas y repetidas contenidas en el conjunto de datos, de acuerdo con expertos en violación de datos".

La fuente informó que Troy Hunt, un experto australiano en seguridad informática que dirige el sitio Have I Been Pwned, que notifica a los suscriptores cuando sus datos terminan en brechas, escribió en una entrada de blog: "El que estoy escribiendo hoy es 711m registros, lo que lo hace El mayor conjunto de datos que he cargado en HIBP. Sólo por un sentido de la escala, que es casi una dirección para cada hombre, mujer y niño en toda Europa".

También se informa que hay millones de contraseñas contenidas, aparentemente, como resultado que los spammers recopilaron información en un intento de ingresar a las cuentas de correo electrónico de los usuarios y enviar spam bajo sus nombres. Pero, dice Hunt, la mayoría de las contraseñas parecen haber sido recogidas de fugas anteriores: un conjunto refleja los 164m robados de LinkedIn en mayo de 2016, mientras que otro conjunto refleja 4,2 millones de los robados de Exploit.In, otro preexistente Base de datos de contraseñas robadas.

Cómo saber si su cuenta de correo está afectada

Hunt creó un website para que los usuarios averigüen si su cuenta fue expuesta o no. Se debe ingresar en: Have I Been Pwned (https://haveibeenpwned.com).

El "Phishing" tras uno de los mayores golpes a la campaña de Hillary Clinton

Cómo fue el 'hackeo' de piratas informáticos de Rusia durante las elecciones de Estados Unidos.
Publicado por BBC Mundo.

Los ataques de Rusia contra instituciones y gobiernos de Occidente son una práctica común, según analistas, pero no se había dado uno contra las elecciones de EE.UU.

Los rusos le dicen "kompromat": usar información política en contra de una persona para dañar su imagen o chantajearla.

"Material comprometedor" es lo que significa esa composición de palabras en ruso y que se usa como táctica en contra de figuras públicas nacionales y extranjeras.

Para las agencias de inteligencia de Estados Unidos, una suerte de "kompromat" es lo que está en investigación.

La Agencia Central de Inteligencia (CIA) concluyó que hubo una inferencia ilegal vía ataques cibernéticosen la elección presidencial de este año.

• ¿El origen? Rusia, presuntamente con un grupo de hackers llamados The Dukes.
• ¿El responsable? El presidente ruso Vladimir Putin, o al menos eso dice el gobierno de EE.UU.
• ¿El objetivo? La campaña presidencial del Partido Demócrata y su candidata, Hillary Clinton.
• ¿El efecto? Un golpe en la campaña de los demócratas.

Pero hay otra duda que, a falta de la publicación de investigaciones de inteligencia, se ha podido conocer poco a poco conforme se revela parte de la trama que vivió el Partido Demócrata este año: cómo ocurrió la interferencia vía ataques informáticos supuestamente orquestados desde Moscú.

El email que causó todo

"Robar información con propósitos políticos o económicos es tan viejo como la humanidad", apunta Ciaran Martin, el jefe del Centro Nacional de Ciberseguridad de Reino Unido.

Pero lo nuevo es la forma en que se está haciendo, y en todo ello internet "da la oportunidad a la gente a hacerlo en una escala diferente", advierte Martin a la BBC.

La campaña de Clinton y el Partido Demócrata fueron objeto de múltiples ataques que causaron el robo de información, pero uno fue el de mayor relevancia.

John Podesta era el jefe de la campaña de Hillary Clinton, un antiguo asesor del presidente Barack Obama y parte del equipo de la Casa Blanca.

En marzo pasado, cuando estaba en marcha la campaña de las primarias demócratas, Podesta recibió una alerta de correo electrónico.

Era una como la que recibe cualquier persona que usa el servicio de Gmail y que dice en letras grandes sobre un fondo rojo "Alguien tiene tu contraseña".

"Es legítimo"

Ese correo es el que cualquier usuario del correo de Google recibe cuando ocurre un inicio de sesión sospechoso, desde un lugar inusual o en un dispositivo desconocido.

Para proteger la seguridad de la cuenta, pide que el usuario cambie la contraseña inmediatamente y de esa manera quede bloqueado cualquier nuevo intento de ingreso cuando la clave fue robada.

Podesta no hizo clic al instante, sino que envió ese mensaje a su equipo de soporte técnico y ciberseguridad para que se encargaran de comprobar la veracidad de la alerta.

"Este es un correo legítimo", fue el diagnóstico de Charles Delavan, del equipo técnico de Clinton, el 19 de marzo pasado, según una investigación de The New York Times.

Podesta no era el único que había recibido el correo, sino que se trataba de una oleada de correos dirigidos a miembros del Comité Nacional Demócrata y los miembros de la campaña de Clinton.

"Phishing"

Hacer clic en el botón "cambiar contraseña" de ese correo fue quizás el error que desencadenó uno de los mayores golpes a la campaña de Hillary Clinton.

John Podesta acababa de entregar su contraseña genuina con un método de hackeo ampliamente conocido llamado "phishing" o suplantación de identidad.

"La fuente ilegítima debe parecer un individuo conocido y de confianza", Google en el caso de Podesta.

"Hay información dentro del mensaje que apoya su validez", como las imágenes del buscador, un mensaje bien escrito y lógico.

"Y la petición que el individuo hace parece tener una base lógica": en este caso mostraba los datos sobre la supuesta entrada ilegal a tu cuenta.

El Comité Nacional Demócrata hizo público en junio el hackeo, pero desde abril el partido tuvo conocimiento de que ordenadores habían sido infiltrados, correos electrónicos intervenidos y los chats espiados.

La entonces directora del CND, Debbie Schultz, calificó como "grave" lo sucedido y dijo que rápidamente se tomaron medidas para "expulsar a los intrusos y asegurar la red".

Ataques desde Moscú

Desde junio, Schultz denunció la intromisión, pues dijo que la firma de seguridad CrowdStrike, contratada por los demócratas.

La firma identificó dos grupos de atacantes, uno llamado Fancy Bear que acababa de entrar al sistema, y otro que llevaba allí casi un año y se denomina Cozy Bear.

Ambos son nombres utilizados por un grupo de ciberespionaje vinculado al gobierno ruso que los investigadores del FBI han llamado The Dukes (los duques), explica desde Moscú el periodista Andrey Soshnikov, experto en temas de seguridad de BBC Rusia.

Toni Gidwani, exanalista del Pentágono y consultora de la firma de ciberseguridad Threat Connect, dijo que este año el mundo ha detectado "un descarado número" de ataques desde Moscú.

"A los rusos no parece importarles que estas actividades les sean atribuidas. Están dispuestos a descargar una tremenda cantidad de información personal y privada como parte de estos ataques", dijo Gidwani a la BBC.

Sin embargo, desde Moscú se sigue cuestionando que hasta ahora el gobierno estadounidense no haya presentado las pruebas que tuvo desde hace meses que se dio a conocer la intrusión al Partido Demócrata.

"Este cuento de 'hackeos' se parece a una pelea banal entre funcionarios de seguridad estadounidenses sobre sus esferas de influencia", dijo Maria Zakharova, la portavoz de la cancillería rusa.

Expuestos

Neera Tanden fue una de las asesoras de Hillary Clinton cuyos correos electrónicos fueron publicados en internet.

Dice a la BBC que "era como una humillación diaria" el ver todos los días nuevos correos electrónicos publicados y comentados en la televisión de EE.UU.

¿Fue la diferencia entre el triunfo y la derrota de Clinton? "Absolutamente", responde.

No solo los correos de Tanden, sino múltiples correos de Podesta y otros demócratas de alto rango mostraron una serie de golpes bajos del partidoen las primarias en contra del otro contendiente, Bernie Sanders.

A eso se sumaron miles de correos publicados por WikiLeaks, antes y después de la Convención Nacional Demócrata que nominó a Clinton, y cuyo origen se ha negado a revelar su fundador, Julian Assange.

"Editores que publican información periodística durante una elección es parte de una elección libre", dijo Assange a The New York Times en una declaración en la que niega que haya sido la intención de WikiLeaks dañar a Clinton o ayudar a Trump.

"No" era legítimo

Donald Trump ganó la elección presidencial del 8 de noviembre con 305 contra 233 votos del Colegio Electoral, una mayoría más amplia de la que los números optimistas del republicano hubieran previsto.

El presidente electo ha dicho que es "ridículo" presumir que él estaba enterado de cualquier intento de hackeo ruso o que se hubiera coordinado con el gobierno ruso para ganar la presidencia.

Pero para el gobierno de Obama y los demócratas, no es una historia terminada.

En sintonía con la conclusión de una investigación de la CIA, respaldada este viernes por el FBI, el presidente de EE.UU. también ha responsabilizado al gobierno de Rusia de los ciberataques.

"No pasa mucho en Rusia sin Vladimir Putin", dijo este viernes el presidente estadounidense, pues "esto ocurrió en los niveles más altos del gobierno ruso".

El jueves adelantó que EE.UU. tomará acciones en respuesta a este golpe cibernético.

Pero quizás este "kompromat" pudo haberse evitado si el asesor de seguridad de los demócratas no hubiera cometido el errorque le reconoció en entrevista a The New York Times: haber olvidado escribir un "not" en su respuesta en inglés a John Podesta.

Es decir, no haberle escrito "This is 'not' a legitimate email", en español: "Este 'no' es un correo legítimo". / Publicado por BBC Mundo.--

Nota relacionada:

• Quiénes son The Dukes, los hackers que supuestamente intervinieron en las elecciones de Estados Unidos con apoyo del gobierno de Rusia. "Las acusaciones son abrumadoras y se resumen en seis palabras: Rusia intervino en las elecciones estadounidenses. Tal como se dio a conocer en días recientes, según las agencias de inteligencia de Estados Unidos, el gobierno ruso trató de influir en sus elecciones presidenciales". Por BBC Mundo.

Post relacionados:

• Relacionan al Presidente de Rusia con ciberactividades contra elección presidencial estadounidense. 15/12/2016.
• Rusia intervino en elecciones para ayudar a Donald Trump, señalan. 10/12/2016.
• Alemanes señalan ciberespionaje y ciberoperaciones rusas. 09/12/2016.
• EE.UU - La ciberseguridad en la agenda del gobierno. 08/12/2016.

Más sobre Cyberwar y Ciberseguridad en éste blog.--

Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

PEBKAC - Ciberidiotas

Cómo dejar de ser un "ciberidiota" (y qué consecuencias puede traer serlo).
Por Mark Ward y Matthew Wall, publicado por BBC News.

Los humanos solemos ser la pieza que más falla en los mecanismos de seguridad que protegen la privacidad de la información que tenemos en nuestro computador o en internet.

Entonces, ¿cómo podemos dejar de ser unos ciberidiotas?

Cuando uno llama al soporte técnico de algún servicio informático, muchas veces lo hace sabiendo que el experto que está al otro lado debe pensar que somos idiotas. El suspiro que sueltan en muchas ocasiones al contarle nuestro gran drama les delata.

Foto de Getty Images, vista en BBC

Inlcuso tienen una palabra para definir a gente como yo:PEBKAC, que en inglés corresponde a las siglas de "Hay un problema entre el teclado y la silla" (Problem Exists Between Keyboard and Chair).

En otras palabras, el problema es el usuario.

Pero antes de ofenderse por la actitud o preguntas básicas de nuestro interlocutor es conveniente hacernos unas cuantas a nosotros mismos:

¿Cuándo fue la última vez que cambiaste tu contraseña? ¿Para cuántas cuentes utilizar la misma clave? ¿Cuándo hiciste la última copia de seguridad? ¿Y cuántas veces te venció la curiosidad y pinchaste en el link que venía en un correo de origen dudoso?

Efectivamente, cada año nos recuerdan lo ingenuos que somos a la hora de elegir contraseñas: la clásica 123456 y frases sencillas como "tequiero" o "bienvenido" siempre se cuelan en las listas de las claves que más riesgos representan para la seguridad.

Contraseñas como estas podrían ser superadas, seguramente sin mucha dificultad, por un niño de dos años que se pase unas cuantas horas aporreando el teclado con algún juguete.

Pero, si todos los años nos dicen la mismo ¿por qué sigue ocurriendo?

La respuesta es que somos vagos.

"Mucha gente olvida su contraseña y luego solo usa la clave temporal que les dio el departamento de informática ", dice Thomas Pedersen de OneLogin, una compañía de seguridad en internet.

"El problema es que estas contraseñas temporales a veces pueden durar un mes". Entonces, en una organización grande, hay potencialmente cientos de personas que usan la misma contraseña.

"Esto los hace vulnerables a un ataque de seguridad cuyo objetivo es tomar las contraseñas más comunes y probarlas en millones de cuentas", explica Pedersen.

"Los hackers lograrán su objetivo una vez por cada 5.000 o 6.000 intentos de entrar en el sistema", agrega.

Una contraseña fuerte ayuda en materia de seguridad

Una interesante lectura recomendada, muy oportuna ante las novedades de robos de contraseñas y datos de usuarios en varias redes sociales.

Consejos para tener una contraseña supersegura.- "La semana pasada quedaron expuestas cientos de contraseñas de usuarios tanto de LinkedIn, como de eHarmony y Last.fm, tras ataques informáticos contra estos servicios. A pesar que este “problema” es fácil de arreglar y consiste en cambiar la contraseña por otra, también quedó al descubierto que muchos usuarios continúan utilizando combinaciones fáciles de vulnerar, además de usarla la misma para varias de sus cuentas".

"Ante esta situación y quién sabe si en el futuro no vuelve a suceder con otro servicio, recopilamos un par de consejos básicos para que mejorar la fortaleza de tu contraseña y en el mejor de los casos evites una suplantación de identidad". Por Christel Borgna para FayerWayer.

Anticipan que Windows incluirá un método de autenticación biométrica

El avance de la tecnología biométrica sobre las contraseñas es una tendencia bien marcada, obviamente Microsoft no es ajeno a ello y anuncia que ésta tecnología llega a Windows, han anunciado que Windows Hello permitirá que los usuarios desbloqueen su máquina usando su huella o su cara.

Imagen: Captura de pantalla de vídeo en YouTube

Próximamente en Windows: use su dedo o su rostro como contraseña.
Por Shira Ovide para The Wall Street Journal.

Microsoft le está dando impulso a la cruzada para matar a la contraseña.

La empresa dijo que su próxima versión de Windows incluirá un método de autenticación biométrica, es decir, la capacidad de conectarse a una computadora, tableta o teléfono inteligente de Windows con sólo colocar el dedo en un sensor, o a través de software que reconozca una imagen del rostro o el iris del usuario.

Microsoft indicó que la función de software, llamada Windows Hello, estará incluida en varios aparatos que funcionan con Windows 10, el nuevo sistema operativo que la empresa prevé lanzar este año.

La iniciativa de Microsoft muestra el apetito por reemplazar el paradigma actual de una contraseña para todo en nuestras vidas digitales, que es un dolor de cabeza para los usuarios y una amenaza para la seguridad. El iPhone de Apple presentó un sensor de huellas digitales hace 18 meses y otros fabricantes de teléfonos inteligentes han seguido su ejemplo. Windows 8, el actual sistema operativo de Microsoft que data de 2012, tiene una opción para una “contraseña de foto”, que le permite a la gente conectarse a sus computadoras con un patrón único de toques con el dedo sobre una imagen en la pantalla de inicio.

El anuncio de Microsoft viene acompañado de una advertencia. La empresa no fabrica la mayoría de los aparatos de computación que usan su software, así que deberá depender de socios como Dell y Lenovo para que fabriquen computadoras y tabletas Windows con hardware de sensor digital y herramientas de reconocimiento de imágenes.

En su entrada de blog anunciando la opción biométrica, Microsoft indicó que trabaja “de cerca con nuestros socios de hardware para proporcionar aparatos equipados con Windows Hello que serán enviados con Windows 10”. / Por Shira Ovide para The Wall Street Journal.--

Visto en YouTube, vía Windows

Post relacionado:

• El avance de la tecnología biométrica sobre las contraseñas. 04/03/2015.

El "spear phishing", una modalidad de estafa cibernética vía e-mail que se impone

Imagen por Jorge S. King ©Todos los derechos reservados

El "spear phishing" es una modalidad de phishing cada vez más común, cuyo objetivos son gobiernos y empresas. Se trata de ataques dirigidos, vía correos electrónicos (e-mails), para que las víctimas abran un archivo adjunto (no solicitado) que posee un código malicioso, o hagan clic en un enlace que los lleve a un website con exploits. Éstos ataques son cada vez más específicos y "personalizados".

Los correos suelen referirse o dirigirse a sus objetivos por su nombre específico, rango o posición, en lugar de utilizar títulos genéricos en el asunto del email como ocurre en las campañas de phishing más amplias. Más del 90% de los correos electrónicos dirigidos, con ésta modalidad delictiva, estarían utilizando archivos maliciosos adjuntos como fuente de infección, en su mayoría de formato .DOC, .PPS .RTF, .XLS y .ZIP

Los intentos más recientes, de ésta modalidad de phishing, han tomado como objetivo a clientes de bancos y servicios de pago en línea, como así también a esquemas gubernamentales. La acción delictiva se complementa con el robo de identidad de la víctima, el delito de más rápido crecimiento en el mundo.

El atacante conoce el nombre de la víctima, su dirección de correo electrónico, y tiene un mínimo de información acerca de la misma. Por lo general, el saludo del mensaje de correo es personalizado: "Hola, Bob", en lugar de "Estimado señor". Es posible que el correo haga referencia a un "amigo en común", y/o también puede referirse a alguna compra online reciente. Dado que el correo electrónico parece provenir de alguien conocido, es posible que la víctima esté menos atento y proporcione la información que le solicitan. Y cuando se trata de una empresa que conoce y le solicita que actúe con urgencia, seguramente lo hará sin pensarlo, en la mayoría de las veces.

¿Cómo se convierte en el blanco de ataques de spear phishing? A partir de la información que publica en Internet desde su PC o su smartphone. Por ejemplo, puede que analicen sitios de redes sociales, encuentren su página, su dirección de correo electrónico, su lista de amigos y una publicación reciente en la que comenta a sus amigos lo estupenda que es la nueva cámara que se compró en un sitio de ventas online. Con esa información, un atacante de spear phishing puede simular ser amigo suyo, enviarle un correo electrónico y solicitarle la contraseña de su página de fotos. Si usted le da la contraseña, el atacante la usará, junto con otras variantes, para intentar acceder a su cuenta de ese sitio de ventas online del que habló. Si la descubren, la usarán y le dejarán una buena deuda. También es posible que el atacante utilice esa misma información para hacerse pasar por alguien del sitio de ventas online y solicitarle que restablezca su contraseña o que vuelva a verificar su número de tarjeta de crédito. Si usted le responde, el atacante le hará un gran daño financiero.

Mantenga en secreto sus secretos

Su nivel que seguridad y el de su información depende, en parte, de ser cuidadoso. Analice su presencia online. ¿Cuánta información acerca de usted hay publicada que podría combinarse para estafarle? ¿Su nombre? ¿Su dirección de correo electrónico? ¿Nombres de amigos? ¿Sus direcciones de correo electrónico? ¿Usted tiene un perfil, por ejemplo, en algún sitio conocido de redes sociales? Examine sus publicaciones. ¿Hay algo allí que no desea que caiga en manos de un estafador? ¿Publicó algún dato en la página de un amigo que podría resultar revelador? / Norton.

La descubierta red de espionaje Octubre Rojo, que pone en jaque datos gubernamentales, envía malware vía ésta modalidad. Se aprovecha de víctimas, cuidadosamente seleccionados dentro de una organización, cuyos equipos contienen al menos tres vulnerabilidades diferentes en Microsoft Excel y Word. Les enván mensajes de correo electrónicos con archivos infectados adjuntos, que una vez descargado en el equipo de la víctima, deja caer un troyano que escanea la red local para detectar si hay otros dispositivos vulnerables a la falla de seguridad similar.

La industria informática también tiene su mercado negro, algo conocido y sufrido por muchos desde hace ya mucho tiempo, a la góndola de discos, vídeos y programas pirateados, se le sumó un nuevo producto: los códigos para robar mediante la suplantación de identidad.

Fuentes:

• El método de infección utilizado en la "Operación octubre rojo". 18/01/2013
• "Octubre Rojo" uno de los ciberataques más significativos jamás descubiertos. 15/01/2013.
• The "Red October" Campaign - An Advanced Cyber Espionage Network Targeting Diplomatic and Government Agencies. Securelist - Kaspersky Lab Expert.
• Spear Phishing: estafa, no deporte. Norton. 08/06/2011.

Robos de cuentas en WhatsApp

No cabe duda de que WhatsApp domina el ámbito de la mensajería instantánea, siendo la aplicación más utilizada y una herramienta de uso cotidiano para millones de usuarios. Y es ésto lo que la hace atractiva a los crackers, y es impresionante lo que está pasando.

Logo de WhatsApp, visto en Wikipedia

Recientemente, siguiendo una tendencia que se impone, se han crackeado y robado numerosas cuentas de WhatsApp. La broma local es "que te roben el WhatsApp es tan contagioso como el dengue". Un verdadero dolor de cabeza para muchos.

Los riesgos de que le crackeen su cuenta de WhatsApp son numerosos y graves.

Robo de información personal y financiera: Los crackers (ciberdelincuentes) pueden acceder a sus datos personales, como su número de teléfono, dirección, contactos e incluso información financiera si la has almacenado en WhatsApp. Esta información puede utilizarse para suplantar su identidad, cometer fraudes o incluso lo puede extorsionar, a Ud. y a otros.

Pérdida de privacidad: sus conversaciones privadas en WhatsApp ya no serían confidenciales si su cuenta fuera crackeada. Los crackers podrían leer sus mensajes, ver sus fotos y vídeos, e incluso escuchar sus llamadas de voz.

El avance de la tecnología biométrica sobre las contraseñas

Hace casi un par de años se señalaba que hay quienes opinan que el futuro –y el fin de la era de las contraseñas- podría estar en la tecnología biométrica.

"Existen diferentes alternativas en el mercado, las que reconocen las huellas digitales, el rostro o el iris. Y en la medida en la que se desarrollen, su costo disminuirá. En este momento pagamos por el valor de las patentes 90% menos de lo que teníamos que pagar cuando empezamos", afirmaba Martin George, director de Smart Sensors, una empresa que se dedica a la elaboración de tecnología para la identificación a través del iris, en una nota para BBC Mundo, replicada en éste blog.

Hoy en la sección de tecnología del diario La Nación, informan sobre "cómo son las tecnologías que podrían reemplazar a la contraseña clásica para desbloquear el teléfono móvil":

Chau contraseña: tu próximo celular se desbloqueará con el iris o con ultrasonido.

"BARCELONA.- Uno de los temas del Congreso Mundial de Móviles, que comenzó el lunes en la ciudad (y en el que se han presentado una gran variedad de equipos) es el de la seguridad: el smartphone es una herramienta de comunicación, pero cada vez más también una billetera electrónica y una llave para abrir cerraduras "inteligentes".

Para mantener los datos del teléfono seguros, históricamente se han usado claves alfanuméricas, dibujos en pantalla, reconocimiento facial o el registro de una huella digital. La primera es segura, pero es la más molesta para ingresar; es, en la jerga de los ejecutivos que muestran sus soluciones alternativas en los stands del Congreso, la que mayor fricción genera. Uno quiere desbloquear el teléfono y quiere hacerlo rápido". Por Ricardo Sametband para La Nación.

Post relacionado:

• Las contraseñas de Internet: ¿un oscuro fracaso?. 08/11/2013.

Troyanos e intranets

 

 

Sent to you by Jorge via Google Reader:

 

 

Troyanos e intranets

via Blog Laboratorio Hispasec by bquintero on May 09, 2007

Solemos hablar por aquí de los troyanos destinados a robar usuarios y contraseñas de acceso a banca electrónica. Muchos de ellos utilizan como referencia la URL o el título de la página de autentificación, buscando cadenas relativas a las entidades que quieren capturar.

¿Qué ocurriría sin en vez de cadenas de entidades bancarias alguno se dedicara a las "intranet"? No hay que hacer ningún ejercicio de imaginación, en este caso la escuela rusa se ha adelantado a la brasileña, y parece que les va bien.

Si es un profesor el infectado, tal vez el atacante pueda dar una alegría a algún alumno de universidad que vea de la noche a la mañana alterada sus notas, pero cuando consiguen el acceso a intranets con información sensible de empresas privadas, o suplantar a un profesional sanitario en la red interna de centros hospitalarios, no se me ocurre que puedan hacer ninguna "gracia".

Algunas de las URLs que el troyano en cuestión cazó:
intranet.jeisys.com
intranet.cg78.fr
ebaufi40.allianz.de/servass_app/intranet/ServiceAssistent
www7.univali.br/intranet/
www.falkirk-council.gov.uk/IssueLogin?redirect=http://falkirk-intranet.falkirkc.com/
intranet.ld.ru/exchange/logon.asp
www.cirrealtors.com/realtors/intranet/wc.wc?RLT~LawyerChng
intranet.ebis.siemens.de/DB4Web/ebis/SPE/ebis/s_nav13.html
intranet.electroflot.ru/ZP/netread.asp
gic.jmes.es/Intranet/Adulto/home.htm
www.phraehospital.com/intranet/hrd/login_form.php
intranet.felix.ru/main.php?chap=phones
intranet2.udp.cl/udpcom/tomaramos/catalogo/cursos.asp
intranet.rte.ie/phonebook/index.php
www.csrdn.qc.ca/intranet-login.asp
home.knpc.net/oshome/knpc/newintranet/index.asp
intranet.kbtu.kz/Registrar_Stud/Autorisation.asp
intranet.tecnicasreunidas.es/asp/login/SAP-login.asp
japan.jeisys.com/intranet/member/login.asp
www.agbar.es/intranet/index.asp
www.media.ankara.edu.tr/intranet/

Por títulos de las páginas:
GE Healthcare Intranet - Login
Site intranet de l\'Agglo. de Rouen
Racal Acoustics Intranet - WELCOME TO OPERATIONS INTRANET SITE
Troutman Sanders Intranet
DOðUÌ Grubu -- Intranet
HES Intranet for students
CRC Health Intranet Portal
Welcome to KNPC Intranet
Welcome to the Yan Oi Tong Tin Ka Ping Primary School Intranet System
HCL BPO Corporate Intranet
Regal-Beloit Intranet Home Page
SDMA Intranet Login
Portal Intranet DIVRE I Sumatera

En algunos casos los datos capturados no son aprovechables de forma directa, bien porque las URLs corresponden a recursos internos no accesibles desde Internet, bien porque han tenido la prudencia de implementar un doble factor en la autenticación no limitándola al usuario y contraseña. Sin embargo, hay una mayoría que directamente pueden haber sido comprometidos.

Moraleja:
- Intenta evitar la cadena "intranet" en la URL, título de la página y en el resto del HTML.
- Implanta un doble factor de autenticación (filtro por IP, OTP, smartcards, biometría, etc), pero no dejes entrar al interior de tu "casa" con sólo introducir un usuario y contraseña.

 

 

Things you can do from here:

• Visit the original item on Blog Laboratorio Hispasec
• Subscribe to Blog Laboratorio Hispasec using Google Reader
• Get started using Google Reader to easily keep up with all all your favorite sites

 

 

Cuando tu memoria te hace perder una fortuna

Ganaron fortunas gracias al bitcoin pero ahora no pueden cobrar su recompensa.
Publicado por Infobae.

Un complejo sistema de seguridad compuesto por dos "llaves" está generando dolores de cabeza entre quienes apostaron a la criptomoneda.

El momento esperado de cosechar el fruto de la siembra llegó para muchos arriesgados inversores que apostaron al bitcoin. Pero según reporta el periódico financiero The Wall Street Journal, el complicado sistema de seguridad creado para proteger las cuentas de los usuarios se ha convertido en un verdadero dolor de cabeza para aquellos interesados en cobrar finalmente sus valiosas monedas virtuales.

La problemática que preocupa a los inversores se ha vuelto aún más apremiante durante las últimas semanas, luego de que la criptomoneda nacida en 2009 tocara un techo histórico de 20.028 dólares en Coincheck, uno de los mercados japoneses con mayor volumen de negocio. El hecho se agrava aún más si se tiene en cuenta que, a diferencia de cuando se olvida una contraseña bancaria tradicional, en el caso del bitcoin no existe un número de atención al cliente para recibir asistencia.

El WSJ cita el caso particular de Philip Neumeier, quién compró 15 bitcoins en 2013 por un precio de alrededor de USD 260 la unidad. Su inversión inicial hoy está valuada en unos USD 300.000 pero al haber pasado tanto tiempo desde la adquisición, hoy lucha por recordar el password que le daría acceso a su cuenta para poder hacerse del dinero.

Cuidado con los smartphones sin contraseña

El 96% de las pérdidas de smartphones sin contraseña compromete datos privados.- "Symantec ha realizado un experimento para demostrar la importancia de utilizar un código de acceso en teléfonos inteligentes. La compañía ha comprobado que en la amplia mayoría de los casos de pérdida de dispositivos, las personas que los encuentran acceden a los datos personales de los mismos. En un 83% de las veces se detectó acceso a información laboral disponible desde el terminal". Por Noticias de CIO España.

Los botones de ingreso vía Facebook y Google no convencen a usuarios, les preocupa revelar sus preferencias

Facebook y Google despiertan la suspicacia de los usuarios
Por Elizabeth Dwoskin para The Wall Street Journal.

Facebook Inc. y Google Inc. libran una batalla por ser la puerta de entrada a través de la cual los usuarios se conecten con sitios web y aplicaciones móviles. Pero los usuarios y los negocios podrían estar perdiendo el interés en esa opción.

Los consumidores se preocupan por revelar en público sus preferencias y hábitos ante empresas y en todas sus redes sociales. Las compañías se debaten entre facilitar la vida de sus usuarios y permitir que Facebook y Google tengan acceso a los datos resultantes.

"Hace unos años, había un frenesí, pero el interés alcanzó su punto máximo", dice Sucharita Mulpuru-Kodali, analista de Forrester Research que estudia el acceso a sitios web a través de cuentas en redes sociales. El temor está en hacer clic a algo y que luego eso aparezca en el muro de uno en Facebook, agrega.

Facebook creó Facebook Connect en 2008, y luego le cambió el nombre a Facebook Login. Los fabricantes de aplicaciones lo encontraron útil para atraer usuarios, quienes se ahorran la molestia de registrarse con sus credenciales. En tanto, Facebook obtiene más información sobre lo que hicieron sus usuarios en otros sitios de la web. Google siguió el mismo camino con Google+ Sign-In en 2013.

Los botones de conexión les permiten a los consumidores ingresar en otros sitios web y aplicaciones usando su nombre de usuario y contraseña, por ejemplo, de Facebook Login o Google+.

Pero según una encuesta a 66 empresas grandes y medianas, sólo 17% de los encuestados usa esa opción, y más de la mitad no tiene planes de hacerlo. Forrester nunca había hecho una encuesta similar, pero Mulpuru-Kodali afirma que las ofertas de ingreso por red social ya no son atractivas para minoristas ni usuarios.

El estancamiento de las ofertas para este tipo de conexión pone de manifiesto el desafío de establecer una identidad digital, y los esfuerzos continuos de Silicon Valley de ponerse en el centro. Ya en 1999, Microsoft Corp. ofrecía Passport, que incluía un nombre de usuario, contraseña y una billetera que les permitía a los usuarios registrarse y comprar bienes en Internet. En medio de la indiferencia de los consumidores y demandas de privacidad, Microsoft dejó de ofrecer un servicio de ingreso universal en 2006.

Otros, incluidos Yahoo Inc., Amazon.com Inc. y Twitter Inc., tienen sus propios botones de acceso por red social, que atrajeron a pocos seguidores. Hace poco, Yahoo prohibió los botones de ingreso de otras empresas en sus propiedades en la web, lo que vuelve más dramática la competencia.

Establecer una identidad digital es cada vez más urgente en momentos en que las pantallas se reducen, las contraseñas se multiplican y las empresas buscan formas de llegar a la gente en sus teléfonos inteligentes y de recomendar productos según los hábitos de los usuarios.

Hoy, cuando los usuarios ingresan por primera vez a un sitio web o a una aplicación a través de Facebook Login o Google+, les preguntan qué datos están dispuestos a compartir, incluidas fotos, listas de contactos y sus "me gusta". Los usuarios de Google+ también pueden agregar su información de Google Wallet y preferencias de YouTube.

Las empresas cuyos productos básicos están incorporados en una aplicación, como el sitio de reservas de hotel por Internet HotelTonight, dicen que el ingreso con un clic es un gran beneficio en la pequeña pantalla de un teléfono inteligente. La gente "se pone contenta con la opción de pasar por alto un formulario largo", sostuvo el presidente ejecutivo de HotelTonight, Sam Shank, sobre la opción de ingreso de Google+. "Lo importante es que la transacción sea lo más perfecta posible". HotelTonight también usa Facebook Login.

Facebook afirma que su servicio está ganando popularidad, y lo usan 80 de 100 aplicaciones populares para teléfonos inteligentes en Estados Unidos. Google describió su botón de ingreso como un potencial reemplazo para las "cookies" de los navegadores, que pueden ser imprecisas y no extienden la identidad de un usuario a los smartphones.

Ambas empresas están cambiando sus estrategias. Hace poco, Facebook indicó que comenzaría a ofrecer ingresos anónimos, una concesión a preocupaciones sobre la privacidad. El director de Google+ dio un paso al costado recientemente en medio de señales de que la red social no es popular entre los usuarios.

"Recibimos comentarios de usuarios", dijo Eddie O'Neil, gerente de producto de Facebook Login. "Lo primero que dice la gente es que quiere más transparencia; segundo, más control".

Algunos usuarios aún desconfían. "No quiero que todos el mi red social sepan qué estoy comprando", dijo Rebecca Silliman, que trabaja en marketing para una firma de comercio electrónico en San Francisco.

Asimismo, muchas compañías, en particular pequeños minoristas, tienen sentimientos encontrados.

Los botones de ingreso "son un gran concepto", dijo Eric Singleton, director general de información del minorista de indumentaria femenina Chico's FAS Inc., que considera incluir botones de conexión por red social en las aplicaciones para teléfono inteligente que prepara. El ejecutivo explicó que la firma quiere ofrecer recomendaciones personalizadas a los compradores, que podrían variar según la ubicación y la hora.

Los botones podrían ser de ayuda, dijo Singleton, pero le preocupa el historial inconsistente de Facebook para proteger la privacidad del consumidor. Chico's prueba de forma interna Google+ Sign-In, pero a Singleton le preocupan los desafíos técnicos de conectarse con el sistema de Google, y si le aportaría a la firma el tipo de datos que busca. Señaló que querría asegurarse de que "en cualquier cosa que haga Chico, le quede al consumidor 100% claro qué están aceptando". / Por Elizabeth Dwoskin para The Wall Street Journal. Rolfe Winkler contribuyó a este artículo.--

Sobre la seguridad informática con Mozilla

Clase práctica de seguridad informática con Mozilla.- "La seguridad en internet no es un tema como para tomárselo a broma, los hay que son más obsesivos con el tema y los hay que pasan un poco más. Yo quizá debería incluirme en los primeros, comparto demasiadas cosas, uso demasiados servicios y manejo una parte tan importante de mi vida en la red que no creo que sea una cuestión que deba dejarse al azar. Precisamente por eso considero de vital importancia saber escoger adecuadamente una contraseña". de ALT1040.

En lo personal opino igual "la seguridad en internet no es un tema como para tomárselo a broma", sobre la consulta ¿hace falta una contraseña distinta para cada sitio? digo un rotundo si. Y si pueden organizarse de alguna manera para recordarlas a todas, mejor. Optimo es que busquen de especificar contraseñas mayores a 12 caracteres, combinando letras, símbolos y números. Ejemplo: Alfa#328-pkn-01ZDT. La recomendación es que se las cambie al menos dos veces al año.

Otro tema es el control del cookies. Todo un tema realmente.

Factor humano y seguridad

Alguna ves replicamos en este espacio una nota publicada por Tendencias 21, que indicaba "El factor humano es esencial para la seguridad informática". En la nota (11/2006), se destacaba la siguiente conclusión: "Las empresas menosprecian el papel de la conducta humana y se han inclinado a confiar en el hardware y en el software para resolver problemas de seguridad, por lo que necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología si quieren asegurar con éxito las infraestructuras de TI".

Más cerca, en el tiempo (09/2007), siguiendo la temática de la seguridad publicamos la historia de  Andy Lin, de 51 años de edad, un administrador de sistemas Unix en Medco Health. Cuando comenzaron los rumores de absorción de esa empresa por parte de Merck, Lin pensó que podía perder su empleo, por lo que introdujo una bomba lógica en el sistema, es decir, un código oculto destinado a activarse el día de su propio cumpleaños.

Hoy nos enteramos de otra noticia similar, bastante interesante:

Un pirata informático pone en jaque a San Francisco al cambiar las claves.- "Un pirata informático y ex trabajador del gobierno de la ciudad de San Francisco ha puesto en jaque a esta localidad tras manipular y ocultar la clave de acceso a una red informática de información confidencial.

Según fuentes del ayuntamiento de San Francisco, Childs creó una clave que le daba acceso exclusivo a esta red. El ex funcionario proporcionó inicialmente a la policía una contraseña que resultó ser falsa y después se negó a facilitar cualquier información.

Terry Childs, que será acusado formalmente hoy, manipuló un nuevo sistema informático conocido como FiberWAN, en el que las autoridades de la ciudad almacenan datos confidenciales como nóminas de funcionarios municipales o correos electrónico oficiales.

Childs está en prisión bajo fianza mientras que las autoridades municipales intentan acceder a la red.

“Hemos logrado algunos avances”, señalaron fuentes del ayuntamiento a la prensa de San Francisco.

La principal preocupación de las autoridades es que Childs haya facilitado la contraseña a terceras personas que pudieran acceder a la información o destruirla, señalaron. De Redacción de Noticiasdot.com.

Sin dudas, tratar bien a la gente que trabaja contigo, es un buen consejo. Pueden leer otros post relacionados aquí.