lunes, 21 de septiembre de 2015

Cifrar o no cifrar, esa es la cuestión


cifrar-no-cifrarEl cifrado es un tema candente entre los expertos en seguridad informática. Quizás ha ayudado la noticia de que Dídac Sánchez, un informático español de 22 años, ha declarado haber descifrado el código de la paloma muerta.
Este código surgió en 2012 cuando, realizando unas obras de restauración en una casa del sur de Inglaterra, se encontró una paloma mensajera muerta en el interior de una chimenea. Esta paloma llevaba un mensaje cifrado que parecía tener su origen en la Segunda Guerra Mundial.
Al haber pasado 70 años de su envío y sin pistas sobre que clave o sistema se empleó en su cifrado, incluso las autoridades admitieron que probablemente nunca se conocería su contenido.
mensaje_paloma_muerta
Ya en 2012 hubo quien afirmó haber conseguido descifrarlo, pero hubo muchas críticas ya que la arbitrariedad del sistema empleado y la falta de sentido del mensaje ponían en duda el resultado.
Ahora un español afirma que, después de haberse gastado 1,5 millones de euros en contratar a grandes especialistas en la materia, ha conseguido dar con el sistema de cifrado, pero no hace público el mensaje por motivos confidenciales. Este último punto y el que pretenda poner en práctica un software de cifrado basado en ese sistema, parece que también pone en entredicho su palabra.
Pero dejando atrás estas controversias, volvamos al tema que nos atañe: cifrar o no cifrar.
Para los expertos en seguridad del tema y para los reguladores, está bastante claro: el cifrado añade un nivel más a la seguridad informática haciendo que nuestros datos estén más seguros.
Sin embargo, las empresas son reacias a emplearlo y hay algunos políticos que están en su contra.
Veamos los principales argumentos que esgrimen:

Cifrar ralentiza mi ordenador

En los ordenadores modernos, incluso portátiles o teléfonos inteligentes, rara vez funcionan al 100% de su capacidad. Hace unos años podríamos encontrar diferencias entre el rendimiento de un equipo sin cifrar a otro que lo estuviera. Sin embargo, hoy en día esa diferencia es prácticamente mínima, inapreciable en nuestro trabajo diario.
Obviamente, a un ladrón que hubiera robado nuestro dispositivo le sería muy complicado acceder a nuestros datos si no dispone de nuestra clave de seguridad, por lo que está claro que deberíamos optar por el cifrado completo de nuestro dispositivo.

¿No es peligroso? ¿Qué pasa si olvido mi contraseña?

Si no disponemos de una gestión correcta de nuestras contraseñas, el cifrado puede ser peligroso o no servir para nada. Por ejemplo, si pegamos la contraseña en un post-it a la tapa de nuestro portátil, el poder del cifrado se verá dramáticamente reducido. Si escogemos una contraseña robusta pero la olvidamos al cabo de tres días, nuestros datos desaparecerán junto a nuestra memoria. Por ello es necesario gestionar correctamente nuestras contraseñas y disponer de mecanismos seguros para recuperarlas.

¿Debo ceñirme a cifrar lo que me obliga la ley?

En una empresa la información es dinero. La ley obliga a algunas empresas a cifrar los datos confidenciales de sus clientes. Obviamente todos estamos obligados a cumplir la ley, pero en este caso debemos dar un paso más, no podemos estar satisfechos cifrando únicamente lo que nos manda ley, debemos intentar realizar un cifrado completo de nuestros datos.
Son innumerables las empresas que han sufrido una filtración de sus datos. Las consecuencias siempre son desastrosas, desde darle una importante ventaja competitiva a la competencia, al bochorno por ver nuestras intimidades publicadas en la web.
El cifrado completo de nuestros dispositivos es una buena manera de solucionar el problema, ya que aunque alguien tenga acceso fraudulentamente a nuestros datos, estos serán ilegibles sin la correspondiente contraseña.

Uso servicios cloud ¿es necesario el cifrado?

Algunos proveedores de servicios en la nube, cifran tus datos en cuanto los subes y los descifran justo antes de que los descargues. Esta es una buena práctica ya que si alguien accede fraudulentamente a sus servidores, nuestros datos estarán a salvo gracias al cifrado.
Sin embargo nuestro consejo es que continúes cifrando tu dispositivo. De esta manera sabrás que, sin tener en cuenta la tecnología usada por tu proveedor, tus datos están a salvo de miradas indiscretas.

¿A quién le pueden interesar mis datos?

Soy una pequeña empresa o un humilde trabajador. ¿Quién se va a preocupar en atacarme?
Esta es una de las principales razones por la que muchos usuarios no creen que es importante el cifrado.
Sin embargo la mentalidad de los ciberdelincuentes es totalmente distinta. Disponen de herramientas automáticas que escanean Internet en busca de ordenadores con determinadas vulnerabilidades para hacerse con su control.
No les preocupa nuestro nombre, solo somos un número más del que poder obtener beneficios, ya sea con el robo de información, el pago de rescates, o simplemente para usarlo como trampolín para cometer otros delitos.

Resumen

El cifrado es una capa más en nuestra política lucha contra los ciberdelincuentes. Si disponemos de las herramientas necesarias, su uso no supone ningún problema y es recomendable para todos los usuarios.

Asegura tus actividades íntimas: No dejes que tu intimidad se filtre en línea

El escándalo de Ashley Madison alcanzó su punto álgido cuando los hackers publicaron datos privados de los usuarios en el mercado negro. Al parecer, la situación resultó ser fatal y dos suicidios le siguieron al incidente. Podemos reír sin parar de los infieles que recibieron su merecido pero nadie ha cancelado su derecho inalienable a la privacidad.
dating-sites-tips-featured
Seas quien seas, un funcionario ocultando una aventura, un ciudadano decente entrando a una web de citas o incluso una esposa de “mente abierta” comprando un nuevo juguete sexual para su esposo, preferirás mantenerlo en privado. Aquí hay 6 sencillos pasos sobre cómo no ser descubierto la próxima vez que quieras divertirte.
  1. Nunca uses tu dirección principal de correo electrónico o tu correo electrónico corporativo. En el supuesto caso de que se filtren los datos, tus colegas se sorprenderán al encontrarte en la lista de personas “amantes” de la diversión. Si tienes una posición oficial importante, los nerds más delatores de Internet seguramente navegarán a través de los datos filtrados y revelarán sus hallazgos, tal como lo hicieron con los clientes Ashley Madison.
  1. Si es posible, paga en efectivo o usa tarjetas de regalo (compradas anteriormente con dinero en efectivo) para asegurarte de que el vendedor no registre tu nombre y dirección y se preserve tu anonimato. Por lo menos, puedes usar una tarjeta virtual de un solo uso para proteger tu tarjeta principal de los hackers.
  1. Vincular tus perfiles de Facebook y/o cuentas de Instagram a una página web, no es una idea muy buena. Principalmente por los ladrones y estafadores. La gente a menudo publica actualizaciones de su estado cuando se va de vacaciones, hace check-in en el aeropuerto o publica fotos con productos recién comprados, incluyendo joyas y aparatos electrónicos. Hacer esto es la manera perfecta de invitar a los ladrones a tu casa o pedir a un estafador una cita. Tal vez, es momento de pensar en fortalecer o cambiar las configuraciones de privacidad en tu Facebook, ¿no crees?
  1. Si necesitas súper privacidad, no uses tu apellido real. Limítate a escribir tu nombre solamente o a elegir un apodo. Si tienes tu apellido y foto, cualquiera puede fácilmente encontrarte en Facebook. O LinkedIn. Mantén tu perfil de FB privado, pero no tiene sentido cuando se trata de LI.
  1. No te fíes de toda la gente en una web de citas. Una rubia sexy podría ser fácilmente un hombre barbudo aburrido o incluso un robot. ¿Recuerdas el número real de mujeres en Ashley Madison? Se anunciaban 37 millones de usuarias registradas y sólo alrededor de 12.000 de las cuentas activas pertenecían a mujeres reales. La mayoría de los otros perfiles, como se vio después, eran hombres o robots.
  1. Muchas compañías tratarán de pescar tus datos personales fuera de tu navegador, incluyendo el historial de búsqueda, geolocalización y otras cosas privadas. Y ellos no te pedirán permiso. ¿Quieres detenerlos? La mejor medida que puedes tomar es depender de soluciones profesionales. Y por supuesto, Kaspersky Internet Security es la solución, ya que su función de navegación privada garantiza que tus datos personales no abandonarán el dispositivo hasta que tú se lo permitas.
Desafortunadamente, la mayoría de las webs de citas, sexshops y otros recursos webs picantes ofrecen muy poca seguridad. Si ellos no pueden ofrecerte seguridad, nosotros debemos cuidarte por nuestra cuenta, o podrías arrepentirte después.

Consejo de la semana: Cómo protegerte de la recopilación de datos online

Al momento de buscar, ver, leer o comprar algo en línea, la información de tus clicks, búsquedas, webs visitadas, o compras, se registran. Este dato está disponible para ambos, el propietario de la web y para terceros. Esto incluye publicidad, redes sociales, comerciantes e investigadores de mercado.
tip of the weekLos datos almacenados son utilizados para diseñar publicidad que se adapta a tus preferencias. Después de hacer click en, por ejemplo, algunas fotos de gatos ingleses o de haber verificado precios de modelos de smartphones recientes, los anunciantes, al haber hecho un seguimiento de tus actividades en línea, adaptan los módulos de publicidad y banners para mostrarte ofertas de criadores de gatos ingleses o incluyen anuncios en línea de smartphones en páginas web que normalmente visitas.
Si no quieres que te rastreen en línea, ni compartir tus datos con comerciantes, deberías activar la función de Navegación Privada en la nueva versión de Kaspersky Internet Security.
Navegación Privada: no permite que los anunciantes, las redes sociales y los servicios de análisis web sigan tus actividades en línea. Para activar esta función debes marca la casilla de Bloqueo de seguimiento de solicitudes en los ajustes del programa.
private-browsing-1-en
También puedes hacer click en el botón de Protección Kaspersky en tu navegador y activar el bloqueo.
private-browsing-2-en

Realidad o Ficción: ¿puede un virus dañar el hardware de una PC?

De hecho, es uno de los mitos más escuchados en el mundo de la seguridad informática. Al mismo tiempo, es el más inusual. La doble cara de esta naturaleza es la razón por la que este mito ha perdurado.
foto fact
De hecho, es uno de los mitos más conocidos en el mundo de la seguridad informática. Al mismo tiempo, es el más inusual. La doble cara de esta naturaleza es la razón por la que este mito ha perdurado.
Los desarrolladores de antivirus han ido desmintiendo aquellos mitos a través de los años. Seguramente algunos de estos casos son teóricamente posibles, pero los mecanismos de protección infalibles, no permiten que sucedan este tipo de cosas. Así que, como bien dicen, duerman tranquilos pequeños amigos, que nada de esto pasará, y todo este tipo de cosas.
Los usuarios pretenden estar satisfechos ante estas explicaciones, pero aun así siguen creyendo en los mitos. Puede pasar cualquier cosa, después de todo, los vendedores nos ocultan las cosas.
Sin embargo, la vida es muy curiosa y está llena de sorpresas. Por ejemplo, en 1999 una epidemia de virus Win95.CIH (también conocido como Chernobyl), tomó el control de miles de máquinas. El malware corrompió información almacenada en ambos lugares, tanto en discos duros, como chips BIOS de las tarjetas madre. Algunas de las PCs afectadas no encendían, debido a que su programa de arranque estaba dañado. Para nivelar los efectos de ataque, tenían que reemplazar los chips BIOS y reescribir los datos.
¿Fue realmente inflingido este daño a la PC? En realidad, no. Después de una serie de manipulaciones, las tarjetas madre podían ser curadas y volver a su estado operativo. Pero el problema no podía ser solucionado con cualquier “kit de emergencia casero”, se necesitaría un equipo especializado.
Hoy en día, todo es aún más confuso.
En primer lugar, cualquier pieza independiente de hardware, se encuentra atada a un microprograma reescribible, a veces, incluso a más de uno. Me sorprende que esta tendencia no afectara a los tornillos que mantienen a estos hardware súper inteligentes juntos.
Cada uno de estos microprogramas ha ido evolucionando con los años, convirtiéndose en una pieza de software algo complicada, la cual por diseño, está potencialmente abierta a un ataque. El momento en que el ataque tiene éxito, las consecuencias no siempre tienen un remedio inmediato.
Toma como ejemplo la historia del firmware modificado de discos duros. Por cierto, al analizar la campaña de ciberespionaje, los expertos de Kaspersky Lab exploraron módulos de spyware inyectados en códigos de microprogramas para una cantidad de modelos diferentes de discos duros. Estas piezas de malware son utilizadas para ganar un control completo de los discos afectados; los cuales no tienen remedio, incluso después de formatearlos.
Uno no puede cambiar el firmware utilizando herramientas estandard– el firmware es responsable de actualizarse por sí solo. Como era de esperarse, es realmente complicado cuando alguien intenta sacarlo del lugar donde pertenece. Pero claro, si cuentas con un equipo especializado es posible que puedas aplicar la fuerza y cambiar cualquier microprograma. En la vida real, una unidad afectada se va directo a la basura, es la opción más efectiva y rentable.
¿Se puede considerar como un daño físico? Bueno, eso es debatible. Pero la cantidad de historias sobre las vulnerabilidades de hardware continúan aumentando.
En segundo lugar, no está muy claro qué tipo de máquina se puede definir como “computadora”. Por ejemplo, cualquier coche actual es una computadora– y lo que es aún más importante – una computadora conectada sobre ruedas. Está expuesta a ser hackeada o comprometida de forma remota, al igual que en esta reciente demostración publicada del hackeo de un Jeep Cherokee.
Correcto, el hackeo fue hecho por hackers, no por un virus – Okay, sí, fue muy fácil, pero solo porque han hecho años de investigación para poder lograr este hackeo. Sin embargo, no sería una sorpresa si un ataque de este tipo terminara golpeando algún poste de luz por la calle. Supongo que esto podría llamarse daño.
Entonces, ¿puede un virus realmente dañar el hardware de una PC? ¿Es realidad o ficción?
Es cierto. Sin embargo, la respuesta aquí depende mucho de lo que realmente quieras decir con “daño”, “virus”, “PC”, etc.

viernes, 11 de septiembre de 2015

“MaliciousCard” la vulnerabilidad de WhatsApp que pone en peligro tu PC


whatsapp_puertaTodos conocemos WhatsApp, la aplicación de mensajería instantánea que ha cambiado la manera de comunicarnos. O por lo menos sabemos que hay cientos de millones de usuarios de telefonía móvil en todo el mundo que la usan a diario.
Quizás desconozcamos que además de la versión para teléfonos inteligentes, existe otra para los que prefieren usar su ordenador para este tipo de menesteres.
Esta versión se llama WhatsApp Web y permite recibir y enviar mensajes, imágenes, vídeos, audio o incluso tu localización desde la comodidad del navegador de tu ordenador. De los 900 millones de usuarios activos de WhatsApp se calcula que al menos 200 millones usan WhatsApp Web.
Pero lamentablemente, la seguridad no es uno de los puntos fuertes de esta aplicación De hecho, Alemania llegó a recomendar que no se utilizara por problemas de confidencialidad.
La mayor parte de estos problemas afectaban a los usuarios que lo empleaban en sus móviles.Sin embargo, como informaComputerHoy, se ha descubierto una vulnerabilidad que afectaba a los que usaban WhatsApp en su ordenador.
“MaliciousCard”, que es el nombre con el que llamaron a la vulnerabilidad, se aprovecha de un fallo de seguridad en las tarjetas de contacto (vCard), por lo que, con que la víctima abriera una vCard maliciosa, el atacante podría tomar control de su ordenador.
En el ejemplo utilizado para ilustrar el problema, se ve como la víctima recibe en teoría un mensaje legítimo que contiene el teléfono de Angelina Jolie.
maliciouscard
En cuanto lo abre, el malware se instala en el ordenador.En este caso simplemente es una pantalla con el texto “Hacked” pero se podría introducir cualquier tipo de malware.
maliciouscard_hacked
Afortunadamente WhatsApp se tomó muy en serio el problema tardando menos de una semana en solucionar el fallo, lo que se puede considerar como un tiempo apropiado en estos casos.

viernes, 4 de septiembre de 2015

¿Aun utilizas Windows 2003?


windows-server-2003El 8 de Abril de 2014 Microsoft dejaba de soportar uno de sus productos más utilizados, Windows XP. Este verano, el día 14 de Julio, lo ha hecho con Windows 2003. En ambos casos, Microsoft publicó las fechas de retirada del producto con bastante antelación, pero al igual que sucedió con Windows XP, aún quedan muchos servidores con este sistema operativo. A 5 meses de llegar el fin del soporte, Microsoft calculaba que unos 30.000.000 de servidores necesitaban actualizarse a un SO soportado, ¿habrán llegado a tiempo?. Si a esto le sumamos que durante un año pueden salir entorno a 40 actualizaciones críticas, podemos darnos cuenta del peligro que esto conlleva.
El año pasado hablábamos de sistemas operativos de escritorio, una vulnerabilidad crítica podría poner en peligro las máquinas con las que trabajamos cada día, pero… una vulnerabilidad en un servidor podría poner en peligro el trabajo de toda una empresa.
El fin del soporte de un sistema operativo implica que no va a tener más actualizaciones, lo cual nos pone en una situación constante de vulnerabilidades de día cero.Existirán problemas que no serán resueltos: si en un año aparecen 40 actualizaciones críticas, estamos hablando de que ese año ha habido 40 vulnerabilidades importantes que pondrían en peligro nuestro servidor y que a partir del 14 de Julio de 2015 no serán resueltas.
Pero no solo Microsoft abandonará Windows 2003, paulatinamente los fabricantes de software también dejarán de trabajar con dicha versión. Si no actualizamos, podríamos encontrarnos en la situación de que no solamente nuestro sistema operativo está desactualizado, sino que nuestro programa de ERP también lo está, y además la nueva versión no es compatible con 2003, por lo que no podremos actualizarlo, ni obtener las nuevas funcionalidades que nos ofreciera el producto.Por ejemplo, un software de contabilidad no nos dejaría actualizarlo con los planes contables del año en curso, o un programa de nóminas no nos dejaría actualizarlo con los nuevos cambios en la legislación.

¿Están las empresas concienciadas del peligro que esto supone?

Windows 2003 fue un sistema operativo de gran éxito, y como decíamos antes, aún está instalado en una gran cantidad de servidores. Esto supone que gran cantidad de equipos, a partir del 14 de julio, estarán expuestos a las nuevas vulnerabilidades que puedan surgir. Las grandes empresas suelen tener todo esto controlado (aunque no siempre), pero las pymes suelen ser un poco más “tardonas” en adaptar sus servidores a las nuevas versiones, a veces por dejadez o por pensar: ¿quién va a querer mis datos? Aunque la mayoría de las veces la razón es más bien económica, a veces cambiar de S.O o de servidor, es mucho más barato que solucionar un problema originado por un ciberataque que nos robe información o nos la secuestre mediante cryptolocker o similar.
Muchas empresas se plantean lo siguiente ya tengo antivirus y mi servidor está protegido con un firewall por lo tanto estoy protegido. Pues me temo que no, evidentemente un buen antivirus detectará el malware y hará mucho más difícil que pueda infectarme, pero si dicho malware utiliza vulnerabilidades de día cero que consiguen saltarse la protección AV, entonces estaremos expuestos a las vulnerabilidades. Lo mismo sucede con un firewall, podrá detener ataques al servidor, pero si esos ataques son a sistemas operativos descatalogados, es posible que no existan firmas para las vulnerabilidades de ese sistema, ya que trascurrido un tiempo, no solo Microsoft abandona el software, sino que los fabricantes también lo hacen, aunque este se produce pasado bastante más tiempo.

Seis reglas simples de ciberseguridad para todas las edades

Hoy en día los padres se preocupan cada vez más sobre las cosas que puedes hacer en Internet. Saben que existe gente rara y virus maliciosos en Internet; les da miedo tu ingenuidad, tu inocencia, y el potencial del ciberbullying. Claro, a veces exageran pero aun así tienes que lidiar con ello.
tips-for-kids-06-fb
¿Tienes padres asfixiantes que quieren saber todo lo que pasa en tu vida online y offline? Lo siento, pero así es como debe ser. Si quieres más libertad, compórtate como cualquier adulto normal lo haría: demuéstrale a tus padres que puedes tomar buenas decisiones.
También te beneficiarás al hacerlo. El mantener tus cuentas de juegos y redes sociales seguras, es un bonus tangible, ¿no? Como os venimos contando, los cibercriminales podrían tomar control de tu página de Facebook, infectar tu smartphone con un virus o robar tu cuenta de juegos inmediatamente.
A estos criminales realmente no les importa a quién le roban – podría ser a ti o a tu abuelo Joe – pero es probable que tu tengas más en juego que tu abuelo. Es por eso que necesitas asegurar tu PC contra troyanos y virus. Algunos de ellos fueron creados para espiarte y robar tus contraseñas y otra información de valor.
Hablando de contraseñas, son el talón de Aquiles para la mayoría de usuarios domésticos. La gente elige combinaciones poco fiables con símbolos como “12345” o el “sistema qwerty”, los guardan en documentos en su disco duro y los comparten con amigos en chats… ¿Es necesario decirte que este tipo de ingenuidad no es la mejor manera de comportarse en Internet?
¿Le haces saber a extraños a dónde vas, lo que desayunas o las direcciones de amigos? No lo creo. En Internet deberías hacer lo mismo. Si no configuras tu privacidad apropiadamente en tu página, cualquiera puede saber todo sobre ti simplemente viendo tus cuentas de Facebook e Instagram. ¡Así que guarda secretos!
Los cibercriminales saben cómo hacer dinero hackeando tu smartphone. De hecho, son muy buenos en eso. Roban de tu cuenta haciendo llamadas o suscribiéndote a servicios de mensajería innecesarios – estas son las técnicas más obvias de ganar dinero. Por esta misma razón tu teléfono necesita estar protegido al igual que tu PC.
El ciberbullying es otro castigo de Internet. La gente es cruel y los adolescentes pueden ser terribles. Buscando justicia te podrías atascar en una lucha online infinita que no hará más que afectarte. No pierdas tu tiempo y/o esfuerzo en otras personas, mejor concentra tu tiempo y energía en cosas que realmente te importan. Al enfrentar un problema que se está saliendo de control, piensa en estos consejos.
Y recuerda que las personas pueden ser muy mentirosas. El anonimato del Internet solo fomenta esta naturaleza. Por eso no debes creer en esos niños y niñas “cool” con redes sociales invencibles que pretenden tener una vida ideal – lo más probable es que no sea así. Todos tenemos nuestros propios prejuicios, cometemos errores, sonreímos y los soportamos. A veces, incluso mentimos. Así que no todo lo que ves en Internet es lo que parece.
Cuando completes nuestra guía de seguridad online, entonces estarás listo para el gran viaje por Internet. ¡Te deseamos un buen viaje y viento en popa! Y lo último pero no menos importante, por favor, recuerda que cada vez que enfrentes situaciones dudosas, siempre puedes consultarle a tus padres o incluso pedir consejos aquí, en los comentarios.