Problemas con las cuentas de Yahoo

En éstos días pasados se conoció que las cuentas de Yahoo habrían sido atacadas, Jay Rossiter, vicepresidente senior de Yahoo, informó en su momento que "han identificado un intento coordinado para obtener acceso a las cuentas de correo de Yahoo".

"Según confirma, para el ataque se ha empleado una base de datos de usuarios y contraseñas recogidas de un ataque a otra compañía (sin identificar el origen). También indica que se ha empleado un programa especial, para automatizar el intento de acceso con las cuentas y contraseñas.

Según confirma el vicepresidente se han "reseteado" las contraseñas de las cuentas atacadas y se está empleado autenticación de doble factor para que los usuarios puedan asegurar sus cuentas. A los usuarios afectados se les pedirá (si no lo han sido ya) el cambio de contraseña, igualmente habrán recibido una notificación por correo o incluso un SMS en caso de tener un número de móvil asociado a la cuenta" (Hispasec).

Desde Yahoo informan que lo que usuario puede hacer para ayudar a mantener sus cuentas seguras, además de la adopción de mejores prácticas de contraseñas, cambiar su contraseña con regularidad con el uso de diferentes variaciones de símbolos y caracteres. 

De manera espacial se les recomienda a los usuarios no utilizar la misma contraseña en varios sitios o servicios. Utilizando la misma contraseña en varios sitios o servicios hace que los usuarios sean especialmente vulnerables a este tipo de ataques.

Las autoridades estadounidenses pueden incautar la computadora portátil de un viajero sin ningún problema

Qué pasa si las autoridades le confiscan su computadora
Por Tara McKelvey para BBC.

Un juez federal en Nueva York dictaminó que las autoridades estadounidenses pueden incautar la computadora portátil de un viajero cuando cruza la frontera, sin tener un motivo legal, sin que se sospeche que la persona haya cometido algún delito y sin dar ninguna clase de explicación. ¿Qué pasa si confiscan la suya?

El año pasado, los medios dedicaron gran parte de su cobertura a historias sobre la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de Estados Unidos y sus operaciones de vigilancia, y los riesgos de estas actividades para la privacidad de los usuarios en internet.

La publicación de documentos obtenidos por el exanalista de la NSA Edward Snowden arrojó nueva luz sobre el programa global de espionaje electrónico.

Sin embargo, las autoridades pueden averiguar información sobre usted de una forma más tradicional: confiscando sus posesiones en la frontera.

Hace mucho tiempo, los oficiales de migración podían leer su diario. Ahora pueden estudiar en destalle el disco duro de su computadora.

El juez federal sustentó su decisión en una normativa sobre incautación en la frontera aprobada después de los atentados de 2001 contra las Torres Gemelas y el Pentágono.

Si las autoridades estadounidenses lo desean, pueden confiscar su ordenador cuando usted ingrese dentro de los límites del país, para buscar allí evidencia de actividad delictiva, vínculos con servicios de inteligencia en el extranjero o conexiones extremistas.

Bajo la lupa

Algunos activistas políticos, académicos y periodistas temen que les incauten sus computadoras portátiles si cruzan las fronteras. Y muchos han respondido a esta amenaza participando en talleres organizados por expertos en privacidad para aprender cómo proteger la información que contienen sus ordenadores cuando viajan.

"Las búsquedas en los medios electrónicos permitidas por ley y llevadas a cabo en las fronteras y en los puntos de entrada al país son vitales para detectar información que supone un grave daño", dice un funcionario del Departamento de Seguridad Nacional de Estados Unidos.

Paul Rosenzweig, profesor invitado del centro de estudios Heritage Foundation de Washington, considera que esto no debería sorprendernos.

"Si un agente del CBP (Oficina de Aduanas y Protección Fronteriza) tiene un mal día, puede vaciar tu maletín en el suelo. Así es como protegemos las fronteras en Estados Unidos", apunta el académico.

Maletines, computadoras portátiles, memorias externas, organizadores de bolsillo... todo puede llegar a ser inspeccionado.

Proceso de descarte

Si las autoridades incautan su ordenador, con toda seguridad copiarán todo el contenido de su disco duro. Después, puede que envíen la copia a la División de Investigación Criminal del Ejército en Fort Belvoir, Maryland.

Eso fue lo que hicieron después de confiscarle la computadora a David House, un activista que había estado recaudando dinero para la defensa legal de Chelsea Manning (el soldado estadounidense -conocido anteriormente como Bradley Manning- que filtró miles de documentos clasificados del gobierno a WikiLeaks).

Diversas pertenencias de su casa fueron incautadas cuando regresó de sus vacaciones en México, en noviembre de 2010.

Más tarde, las autoridades transfirieron imágenes y archivos de su ordenador a una "máquina forense", según el informe de la división publicado por la Unión Estadounidense por las Libertades Civiles (ACLU, por sus siglas en inglés), el año pasado.

Durante la inspección de su computadora, las autoridades desestiman los archivos que no son pertinentes a la investigación, dice Rosenzweig, y añade que la política oficial es ignorar toda la información que no esté vinculada a una actividad criminal.

"Si encuentran una receta para hacer pizza o un mensaje para tu amante, lo ignorarán", explica Rosenzweig. "Lo puedes creer o no, dependiendo de la confianza que tengas en el gobierno".

Al cabo de un tiempo, le devuelven a uno la computadora. "Puede tomar días o semanas hasta que se recupere el ordenador", señala Peter Swire, del Instituto de Tecnología de Georgia.

No solo en EE.UU.

Otros países tienen prácticas similares. Las autoridades británicas incautaron la computadora del ciudadano brasileño David Miranda en el aeropuerto de Heathrow, en agosto de 2013, amparadas bajo la ley antiterrorista.

Miranda es la pareja del periodista de The Guardian Glenn Greenwald, quien publicó una serie de revelaciones sobre el programa de vigilancia de EE.UU. basándose en documentos de Snowden.

Miranda fue retenido durante nueve horas.

No obstante, es raro que las autoridades se interesen en el ordenador portátil de un viajero.

Entre octubre de 2008 y agosto de 2009, por ejemplo, más de 220 millones de personas viajaron desde y hacia EE.UU., según el Departamento de Seguridad Nacional.

Durante ese tiempo, las autoridades investigaron cerca de 1.000 computadoras portátiles de viajeros.

La perspectiva es poco probable, pero es alarmante. Aquellos que quieren proteger su información, pueden encriptar sus discos duros.

"Yo encripto toda mi información confidencial con un programa muy robusto que, probablemente, supera la capacidad del FBI para descifrarlo", dice Rosenzweig.

"Creo que no me pueden forzar a revelar mi contraseña, que no escribí en ninguna parte", agrega el experto.

Otra opción es eliminar toda la información de su computadora y guardarla en un disco externo en la casa.

Así podrá estar a salvo de la intromisión de las autoridades, al menos en la frontera. / Por Tara McKelvey para BBC.

A cuanto se venden los datos de las víctimas cibernéticas

Los datos de las víctimas cibernéticas a precio de ganga
Publicado por Paul Rubens, BBC.

¿Le apetece una cuenta bancaria con US$300.000 en ella? Si usted sabe dónde buscar y no le importa tratar con delincuentes cibernéticos, entonces el precio actual para conseguir acceso a ella es de US$300, según un estudio de los bajos fondos de la piratería virtual.

Por ese dinero obtendrá los datos de la cuenta bancaria, además de nombre de usuario y la contraseña que le proporciona acceso total al dinero en internet.

Para los compradores delincuentes el precio es una ganga en comparación con las sumas que pagaban hace tan sólo dos años. En 2011, por US$300 la mayoría hubiera esperado adquirir una cuenta bancaria con apenas US$7.000 dólares o menos, dicen los investigadores.

La investigación fue realizada por Joe Stewart, director de investigación de malware en Dell SecureWorks, y David Shear, un investigador independiente.

La pareja monitoreó criminales rusos y otros foros en internet en los que se negocian los detalles financieros.

Stewart dice que el precio de todo tipo de información financiera robada ha caído fuertemente en los últimos años en los mercados negros de hackers, y sugiere que esto es el resultado de algunas violaciones de datos a gran escala que se han producido durante este período.

La saturación en la oferta podría continuar por algún tiempo.

Secretos en venta

"No es sólo que haya bajado el precio de las credenciales electrónicas de una cuenta bancaria", añade Stewart.

Por ejemplo, un expediente completo de información financiera y de otro tipo sobre un individuo que puede ser utilizado para cometer el robo de identidad, ahora cuesta sólo US$25 para una víctima de EE.UU., o US$30-40 para una británica.

Hace dos años estos expedientes completos, conocidos como Fullz en la jerga de los hackers, cambiaron de manos por hasta US$60 cada uno.

Un Fullz típico de una vícctima contiene:

• Nombre completo y dirección
• Números de teléfono y direcciones de correo electrónico con contraseñas
• Fecha de nacimiento
• Número de la seguridad social u otra identificación del empleado
• Y uno o más de los siguientes datos:
• Información de la cuenta bancaria
• Credenciales de banca online
• Información de tarjetas de crédito, incluyendo los códigos PIN

De hecho, ahora parece que hay tanta oferta de datos de tarjetas de crédito robadas que los hackers han tenido que reducir sus precios y tomar medidas aún más extremas de venderlos antes de que caduquen o se cancelan.

"Los hackers robaban datos de tarjetas de crédito de uno en uno, pero ahora han averiguado donde pueden robar grandes cantidades de datos de una sola vez", dice Stewart.

"Por lo general, los vendedores en los mercados negros ofrecen sus compradores algunos detalles de tarjetas de crédito de forma gratuita para que estos puedan verificarlos y comprarlos en lotes de alrededor de mil".

El precio actual es de US$4 por la tarjeta Visa o Mastercard de estadounidenses y entre US$7 y US$ 8 de británicos o europeos queridos, dice.

Fraudes sofisticados

La razón de que las informaciones financieras estadounidenses robadas valen menos que las británicas o las europeas es en parte porque es más difícil y más costoso para los delincuentes transferir fondos robados de EE.UU. a donde ellos se encuentran, que generalmente es Europa del Este o Asia, dice Stewart.

Esto generalmente implica el uso de intermediarios que reciben una parte para blanquear el dinero.

Los paquetes Fullz sólo han estado disponibles desde hace unos años, y su existencia indica que los delincuentes son cada vez más sofisticados en sus ofertas, según Stewart.

"Antes sólo ofrecían listas de números de tarjetas de crédito, pero el que ofrezcan Fullz muestra que los hackers se han vuelto más inteligente y ahora son capaces enfocarse en lugares específicos donde se almacenan una amplia gama de datos personales", dice.

Los criminales cibernéticos también se han vuelto más sofisticados en la forma en que ofrecen datos financieros robados a clientes potenciales.

Esto incluye la creación de sitios web con funciones de búsqueda que permiten a los mismos compradores buscar datos robados para obtener detalles específicos.

"Establecieron éstos como servicios de suscripción de modo que los suscriptores pudiesen tantas búsquedas como quisieran de cuentas en bancos específicos para obtener dinero en efectivo de la manera más conveniente", dice.

No obstante, no todos los precios están cayendo en el mundo de la delincuencia cibernética.

Los piratas informáticos tratan de identificar y explotar las vulnerabilidades programas y sistemas operativos para obtener acceso a detalles de tarjetas de crédito y otros datos.

Ladrones de Bitcoin

Stefan Frei, director de investigación de la consultora de seguridad NSS Labs, dice que el precio que los cibercriminales están dispuestos a pagar por descubrir nuevas vulnerabilidades está aumentando, y cuanto más segura se considera una plataforma, mayor valor tiene piratearla.

"La gente está poniendo más de su vida en las computadoras, por lo que el valor de hackear un equipo es mucho mayor que antes", explica.

"Una vulnerabilidad IOS puede cambiar de manos por US$500.000 o incluso US$1 millón".

De cara al futuro, Stewart cree que el ascenso de Bitcoin, una moneda virtual, podría causar que los ladrones cambien de blanco. Las empresas se sienten atraídas por el apoyo a la innovación como una alternativa al dinero en efectivo porque es barato de usar, los pagos son casi instantáneos y el movimiento les da publicidad.

Sin embargo, el investigador de Dell advierte que las billeteras digitales, los programas informáticos utilizados para almacenar Bitcoins, son objetos más tentadores para los hackers que las cuentas bancarias.

"Muchos usuarios de Bitcoin no saben mucho acerca de la seguridad, y muchos protegen sus carteras digitales con un nombre de usuario y una contraseña que los delincuentes pueden superar fácilmente utilizando malware", afirma.

"Lo atractivo para un criminal es que si roban una billetera Bitcoin no tiene que pasar por un intermediario como lo hace con una cuenta bancaria real para mover el dinero. Puede cobrarlo al instante en cualquier lugar del mundo". / Publicado por Paul Rubens, BBC.

Las contraseñas de Internet: ¿un oscuro fracaso?

Hace unos días leíamos, y no dejábamos de sorprendernos al comentarlo, que la clave bancaria más utilizada en el mundo es... "1234".

Recientemente supimos que una filtración masiva tras un crackeo de gran envergadura que afectó a Adobe, liberando datos de más de 2.9 millones de cuentas, "descubre" que la contraseña más usada era 123456.

En línea con todo ésto se ha informado que el Cibercrimen generó pérdidas de US$117.400 millones el último año.

En BBC Mundo publican una interesante nota acerca de las contraseñas, un elemento que el usuario común debería considerar más a efectos de su seguridad.

Las contraseñas de internet: historia de un fracaso
Publicado por BBC Mundo

Unos 24 caracteres que incluyan letras en mayúsculas, en minúsculas, números, símbolos y algún signo de un alfabeto distinto. Es la receta ideal para una contraseña segura, ¿pero quién es capaz de memorizar eso?

Particularmente porque en la actualidad se necesitan claves para prácticamente todo: iniciar sesiones en correos electrónicos, redes sociales, bancos, servicios como gas o electricidad, aplicaciones en celulares y compras a través de internet, por mencionar sólo algunas áreas.

¿Las más seguras? Deben ser complicadas, larguísimas y cambiarse frecuentemente. Si es suficientemente compleja para que un cracker -como se llama a los individuos que usan la tecnología para "romper" los códigos y robar datos- logre descifrarla, entonces será casi imposible recordarla.

Las claves también revelan información personal, como la fecha de nacimiento o el grupo musical de preferencia de su dueño, pero justamente esos elementos que permitirían que la persona memorice la contraseña son los que hacen vulnerable a las claves.

Un reportaje realizado por la BBC en Reino Unido señala que una persona utiliza un promedio de 26 cuentas con clave de acceso, mientras que las contraseñas que utiliza para protegerlas son apenas seis, lo que incrementa las posibilidades de que sean hackeadas.

Futuro oscuro

Hay computadoras que hacen 53.000 millones de intentos por segundo para adivinar contraseña.

Las contraseñas existen desde hace siglos: los primeros registros históricos que se tienen datan de los tiempos de los romanos.

Y aunque en los inicios de la era de internet eran efectivas, con el paso del tiempo se han vuelto vulnerables.
En la actualidad existen programas y computadoras capaces de realizar 53.000 millones de intentos por segundo para adivinar una contraseña. Las posibilidades de que lo logre, y en poco tiempo, son muy elevadas.

Jeremi Gosney, director de SCG, una empresa que se dedica a descubrir las claves de otros y fabrica dispositivos con ese objetivo, creó un grupo de computadoras que funcionan como una unidad y que son capaces de probar 350.000 millones de veces por segundo diferentes contraseñas para tratar de descifrar la que le interesa.

"A algunos les puede sorprender, pero en el mercado existe interés por la compra de equipos computarizados con ese fin porque son útiles para organismos policiales, departamentos que se dedican a la investigación de crímenes y otras dependencias gubernamentales", dice Gosney.

Aunque esos, claro, son sólo sus usos bienintencionados. El robo de constraseñas con fines delictivos es otra de las aristas del asunto.

En los últimos cinco años, los recursos de los que se valen los crackers se han sofisticado.

"Se han desarrollado equipos que facilitan su labor, por ejemplo las tarjetas que mejoran el funcionamiento de los videojuegos. En segundo lugar están los incidentes en los que han quedado expuestos millones de contraseñas de usuarios, porque revelan cómo las personas las seleccionan. Finalmente, está la creación de programas que permiten descubrir claves, Hashcat es uno de las más populares", explica a la BBC Dan Goodin, editor de seguridad informática del sitio web Ars Technica.

Sobreviviendo

¿Se puede hacer algo para contrarrestar un panorama tan apocalíptico?
"Este medio es un juego constante de ataques y contrataques. Una de las opciones existentes es la de verificar la identidad de la persona a través de dos pasos. Después de usar su contraseña, la persona recibe un texto o utiliza una aplicación en su celular que permite asegurar que es quien dice ser", comenta Stuart Aston, asesor de seguridad de Microsoft en el Reino Unido.

Según el especialista, otro elemento importante es la longitud de la clave siguiendo el principio de "a mayor número de caracteres, mayor seguridad". Otra acción sencilla que dificulta el proceso de los crackers, y que no muchos conocen, es la de añadir un espacio entre un carácter y el otro.

Para facilitar la tarea, se puede utilizar un administrador de contraseñas, una herramienta cada vez más popular. Se trata de un programa que genera una complicada y larga clave única que permite almacenar el resto de las que se tengan.

¿Se acerca el fin?

Pero hay quienes opinan que el futuro –y el fin de la era de las contraseñas- podría estar en la tecnología biométrica.

"Existen diferentes alternativas en el mercado, las que reconocen las huellas digitales, el rostro o el iris. Y en la medida en la que se desarrollen, su costo disminuirá. En este momento pagamos por el valor de las patentes 90% menos de lo que teníamos que pagar cuando empezamos", afirma Martin George, director de Smart Sensors, una empresa que se dedica a la elaboración de tecnología para la identificación a través del iris.

Pero este mecanismo también tiene sus detractores entre quienes argumentan que no sirve como método único de reconocimiento, como Aston.

O que no es suficientemente segura, como Gosney: para ejemplificar su punto, cuenta que su abogada utiliza un programa biométrico de reconocimiento facial para iniciar una sesión en su laptop, pero él, tomándole una foto con su teléfono y poniendo la imagen frente a la cámara de la computadora, logró tener acceso al equipo ajeno.

Así las cosas, muchos creen que las contraseñas, pese a su vulnerabilidad, seguirán siendo la mejor alternativa para proteger la información personal por un buen tiempo.

"Nada podrá hacer que la contraseña desaparezca", afirma tajante Gosney.

Per Thorsheim, organizador de la Conferencia de Contraseñas y experto en el tema, no es tan tajante, pero está convencido de que se seguirán usando al menos por 20 años más. / Publicado por BBC Mundo.

Post relacionado:

• Password ¿sus contraseñas son seguras?. 06/08/2013.

¿Se viene el adiós a las contraseñas?

Para tener más seguridad, dígales adiós a las contraseñas

Por Andrew Blackman para The Wall Street Journal.

El problema fundamental con las contraseñas radica en que tienen su máxima efectividad para proteger a una empresa cuando son largas, complicadas y se cambian con frecuencia. En otras palabras, cuando es menos probable que los empleados las recuerden.

Como consecuencia, las firmas de tecnología se apresuran a brindar soluciones que sean más seguras y convenientes. Muchas computadoras portátiles ahora vienen con lectores para huellas digitales incorporados. Los teléfonos inteligentes y otros aparatos, también están abriendo opciones biométricas como reconocimiento facial y de voz.

El año pasado Apple Inc. adquirió AuthenTec Inc., un desarrollador de tecnología de sensores de huellas digitales, y la semana pasada anunció que su nuevo iPhone tendrá un sensor para huellas digitales. Microsoft Corp. sostiene que su sistema operativo Windows 8.1, que se conocerá el mes próximo, está "optimizado para datos biométricos basados en huellas digitales". La comprobación de autenticidad por medio de datos biométricos se podrá usar para más fines dentro del sistema, dice la compañía.

Mientras tanto, Google Inc., PayPal Inc., Lenovo Group Ltd. y otras empresas unieron fuerzas en una organización conocida como la Alianza FIDO (siglas en inglés para Identidad rápida en línea), que busca crear estándares para la industria con datos biométricos y otras formas de la llamada autenticación fuerte.

Google también está experimentando con una nueva clase del dispositivo de hardware conocido como token, creado por la firma californiana Yubico Inc. Al igual que los token tradicionales que generan contraseñas numéricas al azar y que las empresas usan desde hace años, los aparatos de Yubico generan contraseñas temporales que son usados como segunda forma de autenticación de identidad.

Pero en lugar de tener que leer la contraseña del token y teclearla, los empleados pueden simplemente conectar el token a un puerto USB o apoyarlo sobre un aparato móvil con comunicación de campo cercano, una tecnología a través de la cual se comunican los aparatos electrónicos al hacer contacto físico.

Google está probando dispositivos token con sus empleados este año, y planea ofrecerlos a los consumidores a comienzos del año próximo como una forma de ingresar a Gmail y otras cuentas de Google con mayor seguridad.

Mayank Upadhyay, director de ingeniería de seguridad de Google, afirma que los token son fáciles de usar y tienen un sólido cifrado.

Otra opción nueva, de RSA, la división de seguridad de EMC Corp. EMC -0.38% y la creadora de los populares token SecurID, es la autenticación basada en el riesgo.

Esta tecnología analiza grandes cantidades de datos de usuarios de varios grupos en una empresa para establecer el comportamiento "normal" y luego le asigna calificaciones de riesgo a cada usuario. Si un empleado hace algo poco habitual, como conectarse desde otra ubicación, usar una computadora distinta o intentar acceder a un sistema distinto al habitual, la calificación de riesgo aumentará, y el empleado podría tener que ingresar información extra de autenticación, como por ejemplo verificar su identidad por teléfono.

Muchas personas prevén que el panorama de la seguridad cambie rápidamente a medida que más y más empleados llevan sus propios teléfonos inteligentes y otros aparatos al trabajo. Aunque la proliferación de estos aparatos suele considerarse una amenaza para la seguridad, algunos analistas sugieren que los aparatos móviles pueden mejorar la seguridad al facilitar el uso de la autenticación biométrica. La mayoría de los aparatos incluyen un micrófono y una cámara, y pueden también señalar la ubicación geográfica de un empleado.

De cara al futuro, investigadores de la Universidad de California en Berkeley estudian el uso de las ondas cerebrales como autenticación. En las pruebas, los sujetos usaron unos auriculares que midieron las señales de sus ondas cerebrales mientras se imaginaban que hacían una tarea en particular, y los investigadores pudieron distinguir entre personas distintas con 99% de precisión. En teoría, una tarea imaginada de este tipo podría convertirse en el "contrapensamiento" de un empleado.

La mayoría de los expertos prevé que las empresas usen una variedad de parámetros. El Hospital Saratoga, en el estado de Nueva York, por ejemplo, usa lectores de huellas digitales como una alternativa más segura que las contraseñas. Pero aunque solucionaron muchos de los problemas de seguridad del hospital, los lectores no funcionan para todos. Algunos trabajadores voluntarios de edad avanzada tienen problemas para mantener la mano quieta, y los lectores no funcionan cuando la gente tiene puestos guantes, o cuando sus manos están muy secas, indica Gary Moon, analista de seguridad del hospital. Además, algunos empleados se negaron a entregar sus huellas digitales.

Como consecuencia, señala Moon, el hospital aún usa contraseñas como sistema de seguridad de respaldo.

Las empresas necesitan acceso a una combinación de distintas tecnologías, sostiene Vance Bjorn, fundador de DigitalPersona Inc., con sede en California. "Una tecnología resuelve ciertos problemas, pero podría no ser la mezcla adecuada de seguridad, conveniencia, costo y facilidad de implementación para todo el mundo". / Por Andrew Blackman para The Wall Street Journal.-

---.---

Opinión personal: Trata sobre una problemática muy actual, y que no será fácil de resolver.

Aún me inclino por contraseñas largas, complicadas y que se cambien con frecuencia. Entiendo que el futuro pasa por la mediciones biométricas. Me da la impresión que primero apuntarán a datos biométricos basados en huellas digitales y aspectos faciales. Luego será el tema de la biometría ocular, con los escáneres de iris o de retina.

Los escáneres de iris están empezando a utilizarse en la seguridad de los aeropuertos, y algunos están probando esta tecnología como sustituta de los mostradores de facturación. En este caso, "nuestro ojo sería nuestro billete".

Los escáneres de retina son bastante invasivos y menos habituales, pero se siguen utilizando para restringir el acceso a instalaciones militares, laboratorios de investigación y otras áreas de alta seguridad.

Los token no me inspiran mucha confianza, al igual que los pen drives se pueden perder con facilidad.

Mediante un simple correo electrónico el SEA tumbó el website del New York Times

El martes próximo pasado, el website del diario New York Times que está alojado en MelbourneIT, una empresa australiana que ofrece servicios de hosting, fue tumbado mediante un interesante ataque.

Al Syrian Electronic Army SEA se le atribuye los ataques a las páginas web del New York Times, Huffington Post y Twitter.

Según se ha informado el SEA envió un simple correo electrónico para utilizar la metodología del phishing, "pescar" un incauto y a partir de allí ingresar a los sistemas de MelbourneIT, utilizando el usuario y contraseña de un revendedor, y manipular los registros DNS.

Una nota en Gigaom.com explica con claridad la modalidad del ataque y señala que una vez los atacantes ingresaron en el sistema, de MelbourneIT, actuaron con precisión cambiando los registros DNS de varios dominios, entre ellos el de nytimes.com. De esta forma se consiguió redirigir el tráfico, tumbando la prestigiosa web durante unas 20 horas.

En tanto, una vez conocido el ataque, el diario neoyorquino actualizó sus contenidos a través de la dirección alternativa news.nytco.com/global.

Se ha señalado que si bien la reacción de la empresa de hosting fue rápida, el daño ya estaba hecho. Los expertos indican que este tipo de ataque es complicado de reparar, debido a que se necesita cierto tiempo, al menos 24 horas, para volver a la normalidad.

El sitio de Twitter Reino Unido también fue desconectado para algunos usuarios durante el ese día. Hay que tomar debida nota de lo que puede hacer abrir simple correo electrónico.

Fuente:

• Anatomy of a hack: How the SEA took down the NYT and Twitter. Gigaom.com. 27/08/2013.

Recomendaciones para que tu hijo no revele datos personales en internet

¿Cómo hacer para que tu hijo no revele datos personales en internet?

Publicado por Cromo - El Observador, Uruguay

Agesic lanza una campaña sobre el cuidado de datos personales; participarán los niños de sexto año de todas las escuelas del país.

Visto en YouTube, vía AGESIC y Cromo - El Observador

Este jueves comenzó la campaña “Tus datos valen, cuidalos”, que busca enseñar a todos los niños del país sobre el cuidado de los datos personales y cómo administrarlos. La campaña, organizada por la Agencia de Gobierno Electrónico y Sociedad de la Información (Agesic), invitará a los niños de sexto año de escuela a realizar afiches que expliquen lo aprendido en el taller. El diseño ganador será utilizado para ilustrar la campaña educativa del año siguiente.

Todas las escuelas de Uruguay, tanto públicas como privadas, recibirán una caja con diferentes materiales. Se trata de un juego de roles, en el que cada niño deberá vestir caretas con los nombres “nena”, “varón”, “maestra”, “empresario”, “desconocido”, entre otros. La caja también tiene fichas en las que se mencionan datos personales, como el nombre, el email, el celular, la dirección o la cédula. El objetivo será decidir qué fichas dar a los compañeros de juego dependiendo de la careta que lleven puesta. De una manera lúdica, los niños aprenderán qué es un dato personal, cuáles tienen mayor importancia y quiénes pueden tenerlos. Además conocerán sobre los derechos de acceso, de actualización, de supresión y de inclusión de los datos personales.

“La idea es enseñarle a los niños qué cosas hacer y qué cosas no hacer dependiendo de quién sea la persona. Si es un desconocido no le vas a dar tu celular, o el número de tu casa, o información de si te vas de vacaciones. Si es un familiar o la maestra, sí. Es un modo de que los chiquilines aprendan e internalicen cómo manejar sus datos”, dijo el presidente de Agesic, Federico Monteverde.

Además, los niños de sexto año de escuela participarán de un concurso en el que tendrán que crear un afiche que presente la información aprendida. “El afiche que diseñan sirve en la medida que aplican los conocimientos y se los transmiten a los integrantes de su familia”, explicó Monteverde.

En cuanto al uso de datos en internet, Agesic aconseja a los padres que conozcan sobre los fenómenos grooming y cyberbullying. Cuando se habla de grooming, se refiere al acoso que recibe un niño por parte de un adulto para establecer una relación emocional o sexual. El cyberbullyng, en tanto, es cuando el acoso lo realiza otro menor. Generalmente se trata de insultos, maltratos, amenazas o humillaciones. Ambos fenómenos se dan tanto en redes sociales como en foros, blogs, o chats.

Recomendaciones para los niños jóvenes en el uso de Internet

La Unidad Reguladora y de Control de Datos Personales (URCDP) también realiza una serie de recomendaciones a niños y jóvenes para el cuidado de datos personales a la hora de navegar en internet:

-Saber qué personas tienen acceso a la computadora que usa el joven.
-Eliminar los registros del navegador.
-Proteger con contraseña los archivos que se usan.
-Siempre cerrar la sesión de la cuenta que se esté usando.
-Cuando se usa un navegador, borrar los archivos recientes (el caché).
-Borrar el historial de los sitios a los que se accedió.
-Tener el antivirus en funcionamiento.
-No aceptar solicitudes con nombres de usuario asociados a dibujos animados o juguetes.
-El nombre de usuario no debe contener ni el nombre ni la edad del niño o adolescente.
-Desconfiar de la excesiva amabilidad o de las invitaciones a viajes y salidas.

Cómo identificar situaciones de riesgo

-Cuando la otra persona insiste en recibir fotos, videos, o cualquier otro dato.
-Cuando hay una amenaza de pérdida de interés si el joven no cumple con lo que se le pide.
-Cuando alguien insiste en un encuentro personal, sobre todo cuando sugiere que sea sin compañía.- 

Fuente: Cromo - El Observador, Uruguay. 15/08/2013.

Password ¿sus contraseñas son seguras?

El otro día leíamos, y no dejábamos de sorprendernos, que la clave bancaria más utilizada en el mundo es... "1234". El artículo de Farewayer informaba que ``según el estudio y relevamiento realizado por la empresa británica Data Genetics, la clave de acceso a servicios bancarios más utilizada por usuarios, tanto por internet como por cajeros automáticos es "1234". Pero si esto puede parecer obvio o conocido por todos, se refuerza la teoría de la comodidad si vemos las claves que ocupan los puestos siguientes: "1111", "0000", "1212" y "7777"´´ . El dato es que más de 3,4 millones de personas en el mundo aseguraron que lo hacen porque "es más simple de recordar". Esa "comodidad" mal entendida tiene hoy por hoy sus serios riesgos.

Lo mismo pasa con las contraseñas en los equipos, dispositivos móviles, sistemas y aplicaciones.

¿Sabes cuánto tarda un hacker en descifrar tus contraseñas?
Publicado por Kaspersky Lab

Los usuarios de Internet tienen una media de cinco cuentas diferentes y cada una debe contar con una contraseña propia, todo un reto para nuestra memoria. Utilizar una contraseña única para todas las cuentas es un riesgo, porque si un hacker adivina dicho código, tendrá la llave de nuestra vida online. Sin embargo, solo los usuarios avanzados utilizan una contraseña como Xp89$ABG-faw?6 para cada página que visita. Entonces, ¿cómo podemos elegir un código que sea seguro y fiable?
Kaspersky Lab pone a disposición de los usuarios un programa online con fines educativos que es capaz de reconocer cuánto puede tardar un hacker en descubrir nuestra contraseña: Password Check, http://password.social-kaspersky.com/. El funcionamiento es muy sencillo, una vez escrita la contraseña, el programa informa, de una manera divertida, del tiempo que tardaría alguien en robártela.
Además indica si la longitud es adecuada, si es una palabra demasiado común o si contiene secuencias de teclado. Antes de crear las contraseñas que vamos a utilizar y comprobar en Password Check su fortaleza debemos tener en cuenta ciertos aspectos de seguridad que nos ayuden a mantener nuestra vida virtual a salvo de los hackers.

¿Por qué necesitamos contraseñas fuertes?
Siempre se han usado contraseñas que combinan letras, símbolos y caracteres especiales para proteger los ordenadores, los documentos y los archivos. Incluso cuando están cifrados, un cibercriminal puede tener acceso físico al equipo e introducir claves hasta que encuentra la correcta. Este método es muy eficaz con las claves cortas. Cuanto más larga y complicada es una contraseña, más tiempo conlleva averiguarla. Las claves de 4 y 5 caracteres apenas requieren unos segundos, en cambio cada nuevo símbolo que añadamos es un nuevo obstáculo para el hacker. Este mismo principio se aplica a la combinación de letras, símbolos y números; al incluirlos reducimos las oportunidades de que descubran nuestra clave.
Si la contraseña es una palabra, no importa lo rara o larga que sea, existen muchas posibilidades de que descubran nuestro código de acceso. Simplemente añadiendo un símbolo extra, ya aumentamos su complejidad. Por este motivo, los expertos recomiendan que combinemos diferentes caracteres aunque luego nos sea difícil memorizar dicha contraseña.

Receta para la contraseña perfecta
La principal regla, y la más importante, es que la contraseña sea larga. Podemos añadir diferentes caracteres sin la necesidad de crear un galimatías. Usa una frase clara, que sea fácil de recordar y realiza cambios para impedir que alguien la averigüe. NadaEsBlancoONegro2 es legible, ¿verdad? Es más fácil recordar una frase con un par de modificaciones que una serie aleatoria de símbolos. Pero, debemos tener cuidado y no usar una frase demasiado conocida o popular. Es mejor crear nuestra propia oración para cada cuenta.
A la hora de elegir la longitud y complejidad de nuestra frase debemos tener en cuenta lo siguiente: el valor de los datos a proteger, la frecuencia con que usamos la clave y si utilizamos dicha contraseña en un dispositivo móvil. Por ejemplo, NadaEsBlancoONegro2 es perfecta para una página de música; en cambio, deberíamos crear una clave más compleja como NadaEsBlancoONegro2EnnU3STR4V1D463 para nuestro correo electrónico o banca online.
Existen herramientas específicas que nos ayudan a memorizar nuestras contraseñas. Por ejemplo, el producto de seguridad informática Kaspersky PURE incluye un módulo que contiene una base de datos con las contraseñas del usuario. Dicho repositorio de claves está perfectamente cifrado con algoritmos complejos y el usuario sólo necesita recordar la contraseña de acceso a la tabla. Con sólo memorizar un código, podremos mantener a salvo el resto de nuestra vida online. / Kaspersky Lab.-

Migrando a The Old Reader, por el momento

Captura de pantalla

Bueno, aunque seguimos con las pruebas de las alternativas para "suplantar" Google Reader que para el próximo 1 de julio es jubilado por Google, nos vemos en la necesidad de decidirnos por la herramienta que nos permita seguir trabajando. Aquí comentamos algunas de las aplicaciones que probamos, hoy nos decidimos por usar y migrar nuestros feeds a The Old Reader. Muy parecido a versiones anteriores de Google Reader, lo que facilita el entenderlo rápidamente, pero le falta mucho para tener las mismas prestaciones.

En The Old Reader podemos insertar libremente nuestros feeds, marcar lo que hemos leído, mantenerlo como no leído y tildarlo como "Me gusta" en caso de destacar el artículo o post, tiene funciones sociales para compartir enlaces, y los comandos de navegación son similares a los de Google Reader, todo en interfaz intuitiva, pero mucho más sencilla, más conservadora han dicho algunos.

El usuario se puede registrar en The Old Reader a través del login de Facebook, o el de Google+. Se pueden importar los feeds desde Google Reader a The Old Reader, una vez ingresado la contraseña de Google. Pero también existe la alternativa de buscarlos desde el archivo archivo OPML o XML, que generamos con Google Takeout, donde uno previamente ha "guardado" desde Google Reader, toda la información de sus suscripciones.

Al hacer éste procedimiento, The Old Reader se toma un tiempo, ya que su base de usuarios creció recientemente 15 veces (y contando), como lo cuentan en su blog. Una vez que uno inició la importación del archivo OPML, el sistema le puede mostrar un mensaje similar a éste:

"Thank you for uploading your OPML file. We will soon start importing your subscriptions. There are 33120 users in the import queue ahead of you".

Al cabo de un tiempo le puede llegar un aviso que señala:

Hello "use name",
We are happy to inform you that we have finished importing your subscriptions.
"nnn" feeds you imported should now be available at http://theoldreader.com/.
Thank you for using The Old Reader”.

En el caso que uno no quiera esperar y desee ir probando el sistema del lector de feeds, puede tomarse el trabajo de ir suscribiendo una a una sus suscripciones, que se irán encolumnado en la barra lateral izquierda. Para ordenarlas se puede pulsar dos veces en el título de una fuente o carpeta para renombrarla, y para crear una carpeta arrastre y suelte la fuente al final de la columna, y automáticamente se crea nuevas carpetas.

Post relacionados:

• Digg anuncia servicio que cubriría el hueco que dejará Google Reader. 25/03/2013
• Inician campaña para solicitar a Google que mantenga a Google Reader. 20/03/2013.
• Buscando alternativas a Google Reader. 19/03/2013.
• Bad News!! Google jubila a Google Reader. 14/03/2013.

Twitter ciberatacado 250 mil usuarios pueden haber sido afectados

Tras una serie de revelaciones de varias compañías que anunciaron recientemente habían sido ciberatacadas, Twitter anunció ayer viernes que también había sido el blanco de un ataque sofisticado.

La compañía publicó en su blog un post titulado "Manteniendo a nuestros usuarios seguros", donde comentan que detectaron patrones inusuales de acceso que los condujeron a la identificación intentos de accesos no autorizados a los datos de usuario de Twitter.

Descubrieron un ataque directo y señalan que fueron capaces de cerrar el proceso posterior. Sin embargo, su investigación ha indicado hasta ahora que los atacantes pudieron haber tenido acceso a la información de usuario limitada - nombres de usuarios, direcciones de correo electrónico, los tokens de sesión y cifrados / salado versiones de contraseñas - de aproximadamente 250.000 usuarios, según señaló Bob Lord, director de seguridad de la información en Twitter, en el post de la referencia.

Como resultado, Twitter dijo que tenía restablecer contraseñas y tokens de sesión revocada por las cuentas sospechosas de estar afectadas. La compañía también envió un correo electrónico a los usuarios afectados informándoles de que su antigua contraseña ya no era válida y que se tendría que crear una nueva.

Ésta noticia de Twitter llega en una semana llena de anuncios de compañías de medios de prensa que han sido ciberatacadas. El jueves, el New York Times reveló que los piratas informáticos, habían estado en el interior de su red durante al menos cuatro meses, y había logrado robar los nombres de usuario y contraseñas de todos sus empleados en un aparente intento de identificar las fuentes y reunir información sobre otros relatos relacionados a la familia del primer ministro de China.

Luego se sumó The Wall Street Journal informando que también había sido blanco de ciberataques y que el FBI ha estado investigando incidentes de hacking en medios de comunicación desde hace más de un año, y habría un patrón de larga duración por una entidad extranjera para comprometer la seguridad de las grandes empresas de Estados Unidos.

Actualización 06/02/2013: Twitter evalua nuevo sistema de autentificación.

Fuentes:

• Keeping our users secure. Twitter blog. 01/02/2013.
• Twitter Hacked; Company Says 250K Users May Have Been Affected. WIRED. 02/02/2013

Post relacionados

• Twitter evalua nuevo sistema de autentificación. 06/02/2013.
• Hackers chinos en medios de EE.UU.. 01/02/2013.
• Symantec se defiende tras el hackeo al New York Times. 01/02/2013.

El "spear phishing", una modalidad de estafa cibernética vía e-mail que se impone

Imagen por Jorge S. King ©Todos los derechos reservados

El "spear phishing" es una modalidad de phishing cada vez más común, cuyo objetivos son gobiernos y empresas. Se trata de ataques dirigidos, vía correos electrónicos (e-mails), para que las víctimas abran un archivo adjunto (no solicitado) que posee un código malicioso, o hagan clic en un enlace que los lleve a un website con exploits. Éstos ataques son cada vez más específicos y "personalizados".

Los correos suelen referirse o dirigirse a sus objetivos por su nombre específico, rango o posición, en lugar de utilizar títulos genéricos en el asunto del email como ocurre en las campañas de phishing más amplias. Más del 90% de los correos electrónicos dirigidos, con ésta modalidad delictiva, estarían utilizando archivos maliciosos adjuntos como fuente de infección, en su mayoría de formato .DOC, .PPS .RTF, .XLS y .ZIP

Los intentos más recientes, de ésta modalidad de phishing, han tomado como objetivo a clientes de bancos y servicios de pago en línea, como así también a esquemas gubernamentales. La acción delictiva se complementa con el robo de identidad de la víctima, el delito de más rápido crecimiento en el mundo.

El atacante conoce el nombre de la víctima, su dirección de correo electrónico, y tiene un mínimo de información acerca de la misma. Por lo general, el saludo del mensaje de correo es personalizado: "Hola, Bob", en lugar de "Estimado señor". Es posible que el correo haga referencia a un "amigo en común", y/o también puede referirse a alguna compra online reciente. Dado que el correo electrónico parece provenir de alguien conocido, es posible que la víctima esté menos atento y proporcione la información que le solicitan. Y cuando se trata de una empresa que conoce y le solicita que actúe con urgencia, seguramente lo hará sin pensarlo, en la mayoría de las veces.

¿Cómo se convierte en el blanco de ataques de spear phishing? A partir de la información que publica en Internet desde su PC o su smartphone. Por ejemplo, puede que analicen sitios de redes sociales, encuentren su página, su dirección de correo electrónico, su lista de amigos y una publicación reciente en la que comenta a sus amigos lo estupenda que es la nueva cámara que se compró en un sitio de ventas online. Con esa información, un atacante de spear phishing puede simular ser amigo suyo, enviarle un correo electrónico y solicitarle la contraseña de su página de fotos. Si usted le da la contraseña, el atacante la usará, junto con otras variantes, para intentar acceder a su cuenta de ese sitio de ventas online del que habló. Si la descubren, la usarán y le dejarán una buena deuda. También es posible que el atacante utilice esa misma información para hacerse pasar por alguien del sitio de ventas online y solicitarle que restablezca su contraseña o que vuelva a verificar su número de tarjeta de crédito. Si usted le responde, el atacante le hará un gran daño financiero.

Mantenga en secreto sus secretos

Su nivel que seguridad y el de su información depende, en parte, de ser cuidadoso. Analice su presencia online. ¿Cuánta información acerca de usted hay publicada que podría combinarse para estafarle? ¿Su nombre? ¿Su dirección de correo electrónico? ¿Nombres de amigos? ¿Sus direcciones de correo electrónico? ¿Usted tiene un perfil, por ejemplo, en algún sitio conocido de redes sociales? Examine sus publicaciones. ¿Hay algo allí que no desea que caiga en manos de un estafador? ¿Publicó algún dato en la página de un amigo que podría resultar revelador? / Norton.

La descubierta red de espionaje Octubre Rojo, que pone en jaque datos gubernamentales, envía malware vía ésta modalidad. Se aprovecha de víctimas, cuidadosamente seleccionados dentro de una organización, cuyos equipos contienen al menos tres vulnerabilidades diferentes en Microsoft Excel y Word. Les enván mensajes de correo electrónicos con archivos infectados adjuntos, que una vez descargado en el equipo de la víctima, deja caer un troyano que escanea la red local para detectar si hay otros dispositivos vulnerables a la falla de seguridad similar.

La industria informática también tiene su mercado negro, algo conocido y sufrido por muchos desde hace ya mucho tiempo, a la góndola de discos, vídeos y programas pirateados, se le sumó un nuevo producto: los códigos para robar mediante la suplantación de identidad.

Fuentes:

• El método de infección utilizado en la "Operación octubre rojo". 18/01/2013
• "Octubre Rojo" uno de los ciberataques más significativos jamás descubiertos. 15/01/2013.
• The "Red October" Campaign - An Advanced Cyber Espionage Network Targeting Diplomatic and Government Agencies. Securelist - Kaspersky Lab Expert.
• Spear Phishing: estafa, no deporte. Norton. 08/06/2011.

Mega.co.nz no me convence, hay gran riesgo con la contraseña

Leyendo opiniones sobre Mega.co.nz, el nuevo servicio de almacenamiento en línea de Kim Dotcom, lanzado ayer, me doy con algunos importantes detalles a tener en cuenta.

El primero es el asunto de la contraseña, Mega no pide confirmar la contraseña (password) cuando se crea una cuenta, y no almacena las contraseñas, de modo que si uno la pierde, no hay ninguna forma de recuperar la misma. El sistema de ayuda del servicio informa que “desafortunadamente su contraseña MEGA no es sólo una contraseña – es la clave de cifrado principal para todos sus datos. Si la pierde, se pierde el acceso a todos los archivos que no están en una carpeta compartida y que no tienen ningún fichero previamente exportado o la llave de la carpeta”. La contraseña se usa para generar de forma indirecta las llaves para cifrar y descifrar los archivos que se suben.

Todas las operaciones criptográficas simétricas están basados ​​en AES-128. Funciona en modo de encadenamiento de bloques de cifrado para el archivo y bloques de atributos de carpeta y en el modo de contador de los datos del archivo.

En el cifrado simétrico la misma clave se utiliza para cifrar y descifrar los datos, lo que es menos seguro que el cifrado asimétrico (donde una clave cifra y descifra una clave diferente), pero es más rápido y más fácil de implementar.

La clave utilizada para cifrar sus archivos y carpetas Mega se almacena en los servidores de Mega, en lugar de en el equipo local. La misma clave se guarda encriptada usando la contraseña de su cuenta. Se está señalando que no parece haber ningún mecanismo de recuperación de contraseña en cualquier lugar de las pantallas de Mega o de inicio de sesión, ni ningún método para cambiar la contraseña en el panel de control de usuario. Debido a que la principal clave AES-128 se aloja con su contraseña, recordar la contraseña es vital. Perderla significa que no sólo pierden la capacidad de iniciar sesión en el servicio, se pierde la capacidad para descifrar los archivos, y punto.

Se ha informado que el cifrado a partir de la contraseña implica la imposibilidad de cambiar la contraseña de usuario sin descartar las llaves para descifrar. Por lo que uno debería quedarte "para siempre" con una única contraseña, algo que suena hasta feo.

En el lamentable caso que alguien descubra y utilice la contraseña elegida por Ud. y se tome su cuenta, la usurpe, no hay ninguna manera de recuperar la cuenta y desalojar al usurpador. Quedaría como única manera de proteger los datos el borrarlos de Mega.

También se informa que no es posible hacer streaming de archivos almacenados en Mega, debido a que el “modelo de encripción de extremo a extremo por sí excluye cualquier manipulación del lado del servidor de datos, que serían necesarios para implementar esta característica”.

Otro tema que se señala como conflictivo es que el sistema de encriptado y descifrarlo hace muy difícil saber si el contenido subido por un usuario es o no legal, y no podría saber si se comente alguna infracción, a menos que se "le indique directamente qué es lo que está violando el copyright, incluyendo el enlace y la llave para descifrar el archivo". De ésta manera, Mega no podría ser señalado de ser responsable de “facilitar” nada, porque no puede saber qué es ilegal y qué no. Muy vidrioso el tema.

Como lo dijimos ayer, "estar con todas las luces prendidas en el caso de decidir usar el servicio". No me convence.

Fuentes:

• Cuidado con tu contraseña: El cifrado de Mega. FayerWayer.
• Mega users: If you're hacked once, you're hacked for life. ZDNet.
• Megabad: A quick look at the state of Mega’s encryption. ars technica.

Post relacionado:

Mega.co.nz inicia sus servicios con algunas dificultades. 20/01/2013.

Mega.co.nz inicia sus servicios con algunas dificultades

MEGA, el nuevo emprendimiento de Kim Dotcom (nacido Kim Schmitz en Kiel, Alemania), y conocido como Kimble por sus amigos, acaba de ser estrenado a nivel mundial. Mega.co.nz es considerado un servicio sucesor de Megaupload, cerrado por el FBI el 19 de enero de 2012, hace un año exactamente, por supuesta infracción de derechos de autor, terminó con los servidores confiscados y perdiendo todos los datos que en esos discos estaban almacenados.

Mega.co.nz es un sitio de almacenamiento en línea, un servicio similar a Dropbox o Google Drive, pero con una capacidad de 50 GB libres, sin cargo. Las cuentas pagas son:

• Cuenta Pro I: con 500GB de almacenamiento, 1TB de ancho de banda, por €9.99 por mes.
• Cuenta Pro II: con 2TB de almacenamiento, 4TB de ancho de banda, por €19.99 por mes.
• Cuenta Pro III: con 4TB de almacenamiento, 8TB de ancho de banda, por €29.99 por mes.

Kim Dotcom anunció el lanzamiento del sitio mega.co.nz el domingo a las 06H48 en Nueva Zelanda y comentó en su cuenta de Twitter: "100.000 usuarios en menos de una hora" y "250.000 usuarios registrados. Servidores a su máxima capacidad. Todo irá mejor cuando pase la euforia inicial. Wow!".

Aunque se indiva que el servicio "ya funciona" en todo el mundo, lo que se está comentando es que no todo anda muy bien, la demanda inicial de éste nuevo servicio está generando algunos inconvenientes, como problemas para acceder a la página, dificultades para subir ficheros o lentitud extrema. Algunas opiniones han señalado que el lanzamiento del servicio no contó con la debida planeación.

Otra de las sorpresas señaladas es que "MEGA recomienda Google Chrome para funcionar, todo un guiño hacia Google, su principal fuente de tráfico". Se ha anunciado que ya existe una aplicación para Windows en fase beta y también se lanzarán apps para Linux, Mac y dispositivos móviles. Se informa además, que cada archivo subido a MEGA podrá ser rastreado y se sabrá de quién es. De esta manera los gestores del servicio pretenden con las normativas del copywright.

Con respecto a la seguridad, está basada en la encriptación de los datos que suban los usuarios a los servidores, informan que todos los datos de MEGA están cifrados y la llave de cifrado la tiene el usuario lo cual garantiza la privacidad de los datos. Pero atentos a la historia precedente no pocos recomiendan estar con todas las luces prendidas en el caso de decidir usar el servicio.

La causa contra Kim Dotcom y Megaupload todavía se encuentra en proceso judicial, un detalle no menor a tener encuenta.

Post relacionado:

• Mega.co.nz no me convence, hay gran riesgo con la contraseña. 21/01/2013.
• Cierre de Megaupload con efecto domino. 19/01/2012.

Oracle lanza la actualización Java SE 7 Update 11 que corregiría la vulnerabilidad

Oracle ha lanzado el Alerta de seguridad CVE-2013-0422 para hacer frente a la falla en el software de Java integrado en los navegadores web. Más información acerca de esta alerta de seguridad está disponible en https://blogs.oracle.com/security Este es un blog que trata sobre cuando el error fue reportado y las acciones que los usuarios de Java debe tomar para proteger sus sistemas.

En el sitado blog, Oracle señala que éstas vulnerabilidades no afectan a Java en servidores, aplicaciones Java de escritorio, o Java incorporado. Las vulnerabilidades corregidas con ésta alerta de seguridad son CVE-2013-0422 y CVE-2012 3174, que sólo afectan a la versiones Oracle Java 7, son explotables remotamente sin autenticación y han recibido una puntuación total de 10,0 CVSS, y ha recomendado que esta alerta de seguridad se aplique lo antes posible, ya que estos problemas pueden ser explotados "in the wild", y algunos exploits están disponibles en varias herramientas de hacking.

Microsoft anunció que la vulnerabilidad de seguridad de alto riesgo que afectaban a Java 7 e Internet Explorer 6, 7 y 8 quedarán resueltas finalmente en los próximos días. Estaría lanzando parches de emergencia, serán distribuidos a través de Windows Update. Microsoft ha advertido a los que aplicaron el primer parche que no tendrán que desinstalarlo y que la solución a la vulnerabilidad se instalará automáticamente en los ordenadores que tengan activadas las actualizaciones automáticas.

En algunos medios especializados se está señalando que la gravedad del exploit es realmente muy importante, tanto que hasta el propio Departamento de Seguridad Nacional de Estados Unidos también lanzó un aviso a los usuarios recomendando desactivar Java hasta el lanzamiento del parche. Se conoció que Apple hizo lo propio en respuesta a la amenaza, mientras que Mozilla aprovechó la ocasión para promocionar uno de los últimos añadidos en Firefox, Click to Play, que permite detener la carga de Java en páginas hasta que el usuario dé su permiso.

También se conoció la información que hace unos días la vulnerabilidad fue aprovechada con rapidez para atacar a usuarios mediate ransomware, un tipo de malware que bloquea el ordenador infectado y muestra un mensaje a los usuarios chantajeándoles para estafarles una determinada cantidad (entre 200 y 300 dólares) si quieren desbloquearlo, algo que no sucede si se realiza el pago.

Con ésta alerta de seguridad, y además de las correcciones para CVE-2013-0422 y CVE-2012 3174, Oracle Java está cambiando la configuración de seguridad a "alto" por defecto. Los arreglos de esta Alerta son un cambio en la configuración por defecto de Java de nivel de seguridad "Medio" y "Alto". Con el ajuste "Alto", el usuario siempre se le pregunta antes de firmar cualquier applet de Java o aplicaciones Java Web Start que se ejecuta.

Actualización:

Informan que "el martes Oracle va a lanzar 86 parches que cubren vulnerabilidades que afectan a diversos productos, entre ellos, 18 problemas que afectan a MySQL (dos de éstas pueden ser explotadas sin que se solicite nombre de usuario o contraseña)".

Post relacionados:

• Como resguardarce del problema en Java, algunas sugerencias básicas. 11/01/2013.
• Descubren graves fallas de seguridad en Java, recomiendan su desinstalación. 11/01/2013.
• Cuidado con Java. 08/08/2012.

Informan de una grave falla en Skype

Skype disables password reset to block account hijack by email.- "Technique developed by Russian hackers meant accounts could be taken over simply if user's email address was known. Skype has disabled its password reset capability after hackers discovered a serious security hole that could let anyone take control of an account by knowing its email address". By Charles Arthur / Technology news, comment and analysis | guardian.co.uk

Ésta nueva falla de seguridad en el servicio de videoconferencias, Skype, fue encontrada hace ya unos meses atrás por crackers rusos. El bug permitiría a cualquiera cambiar el password de una cuenta y obtener el control de ésta. Es grave porque se explota una vulnerabilidad donde sólo es necesario saber el nombre de usuario y dirección de correo electrónico asociada de la cuenta de Skype, para "ocuparla" al crear una nueva cuenta, y posteriormente pedir un token de seguridad por olvido de contraseña. Hasta suena simple.

Descubren peligroso troyano que se propaga a través de Skype

Visto en Wikipedia.

Cuidado! Nuevo malware ha sido descubierto esparciéndose por Skype con el objetivo de tomar control del equipo sin nuestro consentimiento. Es extorsivo, secuestra el eequipo.

Se distribuye mediante un mensaje de Skype con el texto Lol, is this your new profile pic? (¿Es ésta tu nueva foto de perfil?) y adjuntando un archivo .zip, donde supuestamente estaría la citada imagen.

Una vez descargado la imagen, el troyano bloquea el PC atacado y exige el pago de una cantidad para liberarlo.

La amenaza de seguridad fue descubierta por GFI y publicada en su web. Allí explican que en realidad la imagen es un archivo ejecutable que instala en el equipo, de la víctima, se trata de una variante del gusano Dorkbot, que crea una puerta trasera (o Blackhole). Esta vulnerabilidad es utilizada para infectar el equipo utilizando sus agujeros de seguridad.

La aplicación, el malware, bloquea mediante contraseña el acceso al sistema y exige, a la víctima, el pago de 200 dólares (alrededor de 160 euros) en 48 horas, una característica clásica del malware de tipo "ransomware". De no cumplirse esta exigencia, amenaza con borrar todo el contenido, también muestra una pantalla donde acusa a la víctima de haber violado algunas leyes federales, incluyendo la visita de sitios prohibidos, la descarga de mp3 y la visualización de contenido para adultos, entre otras falsas acusaciones. Los creadores de éste atraco extorsivo van más allá y advierten de que reportarán a un departamento especial del Gobierno de EE.UU., en caso de no cumplir sus peticiones.

Según se ha informado en CNET, Skype dijo que está investigando el asunto y recomienda actualizar las versiones de Skype, y asegurarse de que el software de seguridad de los equipos esté actualizado.

"Estamos al tanto de esta actividad maliciosa y están trabajando con rapidez para mitigar su impacto", dijo la compañía en un comunicado. Señalaron que es muy recomendable actualizar a la versión más reciente de Skype como las aplicaciones de seguridad en su ordenador y estar muy atentos a comportamiento "extraños" en los link a sus contactos.

Refuerce la seguridad de su red WiFi

Foto: "Teletrabajo" ©Todos los derechos reservados.

Hoy por hoy en todas las ciudades avanza el uso de los servicios de acceso a Internet vía sistemas convergentes que ofrecen TV, Teléfono e Internet con un ancho de banda acorde al uso y el bolsillo del usuario. Acompaña éste crecimiento, el uso de routers para "armar" la red WiFi hogareñas, una tendencia que se vio primero en las empresas, con las WLAN (Wireless Local Area Network).

Con ello también vinieron los peligros. A cada rato nos enteramos de algún hecho delictivo que se basó en el "asalto" a la red inalámbrica.

Por cierto, cada ves que leo noticias sobre robo de datos aprovechándose de conexiones wireless, no puedo evitar acordarme cuando, hace unos buenos años ya, Daniel Sentinelli, como periodista del programa de TV "Dominio Digital", mostraba lo fácil que era colarse en conexiones y redes wifi. Recuerdo que una vez salió a pasear y desde el auto con un sencillo dispositivo a modo de antena, se enganchaba de una manera sencilla.

Volviendo al tema, en muchos países ya hay jurisprudencia en ésto, si alguien accede a Internet, a través de una red WiFi de un vecino que la tenía abierta, y comete un ilícito, el que termina pagando ante la justicia es el vecino y no el delincuente.

Por otro lado, así como ha prosperado el uso de las TICs, han prosperado los servicios que se ofrecen, entre ellos el home banking o e-banking, que comprende aquellas herramientas que ofrecen las entidades bancarias para que sus clientes realicen sus operaciones bancarias a través de la computadora utilizando una conexión a la red Internet.

Aquí hay que considerar algunos detalles que llaman a la atención, muchos de los usuarios a éstos servicios bancarios no tienen sus redes WiFi protegidas, y muchos de aquellos que han establecido una contraseña para acceder, sus routers usan un débil cifrado WEP. Y casi ninguno utiliza herramientas de auditoría de seguridad, y la gran mayoría desconoce de que se trata todo ésto.

En general los expertos en seguridad informática consideran que los usuarios deben aprender a maximizar la protección de tu red WiFi. Es importante que conozcan bien su router, con el que habilitan su red inalámbrica, ya sea en su empresa o en su hogar. Y se informe sobre cada tipo de cifrado WiFi y sobre el funcionamiento básico de la tecnología WiFi.

Además, como muchas veces se ha señalado, una vez que se ha aprendido sobre tu router, se debe cambiar su configuración para que se adapte a sus necesidades. Un router que mantiene las opciones de fábrica es un router que está gritando ¡crackeame!.

Recuerde, reforzar la seguridad de tu conexión es evitar desagradables sorpresas. Tal vez nunca le pase nada sin hacer mucho de todo ésto que se señala importante, pero tampoco está de más hacerlo. Lo cierto es que el riesgo existe y es importante.

Post relacionados

• Notable aumento de riesgos en redes WiFi. 08/04/2011.
• La Policía advierte sobre el aumento de "usuarios de programas para reventar las contraseñas de redes wireless". bandaancha.eu.
• Redes Wi Fi hogareñas, nuevos peligros. 09/2010.
• Proteja su red red inalámbrica. 08/2010.

Todas las fotografías con Todos los derechos reservados por Jorge S. King© 2007-2012 Absténgase de utilizarlas.

Cómo las fallas de seguridad terminaron con los datos en nube de Mat Honan

Tal como se informó en los medios, Mat Honan es un experto en tecnología que se convirtió en blanco de una acción de ataque cuyo resultado fue que todos sus archivos desaparecieron de su iPad, iPhone y Mackbook, y sus cuentas en los servicios de Gmail y Twitter fueron "pirateadas". Como lo señaló BBC, Honan, fue "objeto de su propia cobertura tecnológica".

El periodista realizó una investigación y escribió un exhaustivo artículo en Wired, describiendo cómo se gestó el ciberataque y el caos en su vida digital:

How Apple and Amazon Security Flaws Led to My Epic Hacking.- "In the space of one hour, my entire digital life was destroyed. First my Google account was taken over, then deleted. Next my Twitter account was compromised, and used as a platform to broadcast racist and homophobic messages. And worst of all, my AppleID account was broken into, and my hackers used it to remotely erase all of the data on my iPhone, iPad, and MacBook". By Mat Honan in GADGET LAB - WIRED.

Hoy también fue publicado otro interesante artículo en WIRED que apunta a tener elementos para introducirse en aspectos a tener muy en cuenta en cuanto a la seguridad en línea:

How Not to Become Mat Honan: A Short Primer on Online Security.- "By now, you’ve probably read or heard about Wired staff writer Mat Honan’s journey through digital hell, in which hackers social-engineered Apple into giving them the keys to his digital life and allowing them to scrub his laptop, iPhone and iPad, hijack his and Gizmodo’s Twitter accounts and delete eight-years-worth of email from his Gmail account". By Kim Zetter in THREAT LEVEL - WIRED.

La nota plantea, y es un buen consejo para todos, tomar nota de la seriedad con que se deben considerar los aspectos de seguridad de las cuentas de los servicios que se utilizan.

Visto en YouTube, vía WIRED y Google.

Ademas sugiere usar SSL o una VPN con WiFi públicas; no usar la misma contraseña para varias cuentas; utilizar contraseñas complejas y largas; no vincular cuentas (todo un tema para algunos); realizar copias de seguridad del sistema y extremar los cuidados en el uso del número de la tarjeta de crédito.

Post relacionado:

• Paran el servicio de cambios de contraseñas de Apple ID. 08/08/2012.
• Ciberataque a un periodista - El caso Honan. 06/08/2012

Una contraseña fuerte ayuda en materia de seguridad

Una interesante lectura recomendada, muy oportuna ante las novedades de robos de contraseñas y datos de usuarios en varias redes sociales.

Consejos para tener una contraseña supersegura.- "La semana pasada quedaron expuestas cientos de contraseñas de usuarios tanto de LinkedIn, como de eHarmony y Last.fm, tras ataques informáticos contra estos servicios. A pesar que este “problema” es fácil de arreglar y consiste en cambiar la contraseña por otra, también quedó al descubierto que muchos usuarios continúan utilizando combinaciones fáciles de vulnerar, además de usarla la misma para varias de sus cuentas".

"Ante esta situación y quién sabe si en el futuro no vuelve a suceder con otro servicio, recopilamos un par de consejos básicos para que mejorar la fortaleza de tu contraseña y en el mejor de los casos evites una suplantación de identidad". Por Christel Borgna para FayerWayer.

Cuidado con los smartphones sin contraseña

El 96% de las pérdidas de smartphones sin contraseña compromete datos privados.- "Symantec ha realizado un experimento para demostrar la importancia de utilizar un código de acceso en teléfonos inteligentes. La compañía ha comprobado que en la amplia mayoría de los casos de pérdida de dispositivos, las personas que los encuentran acceden a los datos personales de los mismos. En un 83% de las veces se detectó acceso a información laboral disponible desde el terminal". Por Noticias de CIO España.