El 21 de junio de 2016, Mark Zuckerberg, el CEO de Facebook, publicó un mensaje en la red social para celebrar un nuevo récord de Instagram. La plataforma para compartir fotografías y vídeos, propiedad de la empresa de Zuckerberg, ya contaba con más de 500 millones de usuarios activos mensuales.
Zuckerberg escribió: “Este es un homenaje a la visión de Kevin Systrom y Mike Krieger, y a todas las personas que han abierto una ventana a su mundo: desde grandes eventos hasta los momentos cotidianos. Gracias por hacer de Instagram un lugar tan hermoso”.
Hasta aquí todo parece ir bien y sobran motivos para que la estrella de la red social esté feliz. Sin embargo, este momento trascendental quedó rápidamente en segundo plano. ¿Por qué? Porque la publicación resultó tener una interesante imagen adjunta donde Zuckerberg sostiene un marco que simula una fotografía de Instagram.
Una vez más, parecería algo bastante rudimentario. Sin embargo, detrás de él, sobre el escritorio, se ve una MacBook personal, que suponemos es la suya, y que no solo tiene tapado el enchufe de audio con cinta adhesiva, sino también la cámara web integrada. Está de más decir que esta imagen provocó una gran conmoción online. (In)Seguridad en cámaras web: un problema muy real
La comprensión colectiva de la seguridad cibernética está mejorando en forma lenta pero segura. Esto es algo positivo, ya que la amenaza de la ciberdelincuencia crece día a día. Tanto es así que los profesionales de seguridad y ciertas autoridades han admitido que están muy preocupados por su rápido crecimiento.
No obstante, definitivamente aún hay falta de concientización entre los usuarios de computadoras. Una de las consecuencias positivas que tuvo la publicación viral de Zuckerberg en Facebook es que aumentó la toma de conciencia sobre la seguridad en cámaras web y otras vulnerabilidades asociadas, que hace muy poco tiempo se ha convertido en un área de preocupación real en los círculos fuera de la industria de la seguridad informática.
Por otra parte, en la Internet de hoy, donde todo está mucho más conectado mediante la Internet de las Cosas, este problema va a ser cada vez mayor. Por eso es importante que aprovechemos este súbito incremento en la atención que está recibiendo la seguridad en cámaras web, por cortesía del pionero en redes sociales.
Durante la pasada edición de ekoparty en Buenos Aires, Argentina, pudimos atestiguar increíbles exposiciones de la mano de grandes oradores internacionales que presentaron sus hallazgos en materia de ciberseguridad. Ciertamente, uno de los speakers que dejó una muy buena impresión entre el público fue Martin Vigo, ingeniero en seguridad oriundo de Galicia, España.
Tras un pequeño curso introductorio que bien podría haberse titulado “Cómo identificar a un gallego 101” más algunos desopilantes chistes y acompañado de un aire distendido, muy similar a otro investigador español que ya todos conocemos, Martin se puso manos a la obra para probar cómo es posible convertir un iPhone y una Mac en un verdadero equipo de ciberespionaje, comenzando su charla Do-it-Yourself Spy Program: Abusing Apple’s Call Relay Protocol.
El reino de Internet ha cambiado mucho en los últimos años. Antes, navegar significaba usar motores de búsqueda hasta llegar a contenidos específicos, o leer artículos en tus sitios de noticias favoritos. Hoy, las redes sociales, los videos y la mensajería instantánea son centrales para la experiencia online de un usuario, especialmente en la generación más joven.
Pero la comodidad de interactuar con amigos y conocidos tiene su precio. Una nueva serie de riesgos ha aparecido y a pesar de que las redes sociales están haciendo un esfuerzo importante, con frecuencia es la negligencia de los usuarios la que lleva a que se comprometa su seguridad.
Dado que octubre es el mes de la ciberseguridad en Europa y ESET lo apoya publicando contenidos para profundizar la concientización de los usuarios, es hora de listar algunos consejos que te ayudarán a protegerte en estos populares servicios. 1. Actualiza todo tu software y mantén tus dispositivos seguros
Tu sistema operativo y aplicaciones, así como todo tu software (especialmente los navegadores) deben estar al día. Además, para mantener a los villanos lejos de ti, usa una solución de seguridad completa y confiable tanto en tu computadora como en tus dispositivos móviles. 2. Usa contraseñas fuertes
Esta práctica no solo aplica para las redes sociales, sino también para el reino cibernético en general. Recuerda que tus contraseñas deben ser fuertes, robustas y únicas, de modo que no se repitan en distintos servicios; combina mayúsculas, minúsculas, números y caracteres especiales, y ten en cuenta que no es necesario preocuparte por tener que memorizarlas todas, ya que puedes usar un gestor de contraseñas para evitar que te fatiguen los asuntos de seguridad.
El siguiente video te muestra cómo crear una contraseña segura a través de un ejemplo práctico:
3. Revisa la configuración de tus cuentas
Tu prioridad principal al crear un nuevo perfil es revisar las opciones de seguridad y privacidad que ofrezca el servicio y configurarlas correctamente. Asegúrate de que tus publicaciones solo sean visibles para tus amigos cercanos o para el grupo que tenías en mente, y no para cualquiera. Si añades detalles a tu perfil, como datos personales, escóndelos de extraños y posibles estafadores para que no los puedan extraer; podrían tratar de usarlos para adivinar tus contraseñas o robar tu identidad.
Si no sabes por dónde empezar, tenemos más consejos para revisar los ajustes de tus redes sociales. Y recuerda que las compañías los cambian en forma periódica, por lo que es importante que les prestes atención cada tanto. 4. Piensa dos veces antes de publicar
Aún cuando mantengas la mayor privacidad posible en tus ajustes, capturas de pantalla de tu perfil, publicaciones o mensajes podrían terminar diseminadas por la Web si alguien en quien confías tiene malas intenciones y se lo propone. Por lo tanto, piensa siempre antes de publicar un texto, foto, opinión, mensaje personal o video. Una vez online, será difícil retirarlo por completo. 5. Sé escéptico
Una regla general: “Si algo suena demasiado bueno para ser cierto, probablemente lo sea”. Así que si alguieran te ofrece un nuevo auto, computadora o smartphone a cambio de información sensible como fecha o lugar de nacimiento, documento o teléfono, es proable que sea una trampa. Recuerda que los engaños en la Web pueden presentarse en múltiples formas y se valen de la vieja y conocida Ingeniería Social para pescar víctimas.
Mantén tus datos sensibles en privado y, antes de proporcionarlos en algún sitio o participar de sorteos y concursos, verifica su autenticidad. 6. Evita a los extraños
¿Acabas de recibir un mensaje instantáneo de alguien atractivo? ¿Lo conoces o has visto a esa persona? Si no, ten cuidado. El ciberespacio puede proporcionarles anonimato y “camuflaje” a los actores maliciosos, lo que les permite manipular a sus víctimas para que ejecuten acciones que normalmente no aceptarían. Para mantenerte protegido, limita la cantidad de personas que pueden contactarte y, si es posible, interactúa solo con quienes realmente conoces.
En algunas ocasiones, en las auditorías de seguridad, es posible encontrarse frente a un escenario en el cual todo se gestiona correctamente, lo que significa que los parches de seguridad, las políticas, la segmentación de redes, el antivirus y la concientización a los usuarios, entre otros muchos cuidados, estén bien aplicados. Es entonces cuando, para continuar el análisis desde la perspectiva de investigador o consultor de seguridad, la Ingeniería Social y algunas otras herramientas como las que veremos a lo largo del post comienzan a tener un valor más importante, siendo quizá las únicas que permitirán penetrar al sistema objetivo.
Se trata de hardware mayormente diseñado para proyectos o investigaciones de seguridad. A continuación, te presentamos las 10 herramientas que todo hacker ético necesita. #1 Raspberry Pi 3
Estamos ante la tercera generación de estas computadoras de bajo presupuesto, que pueden ser utilizadas con múltiples fines. Un clásico ejemplo en auditorías de seguridad es utilizar una Raspberry Pi con sus baterías apropiadas, una distribución como Kali Linux y aplicaciones como FruityWifi, que se convertirán en la navaja suiza del pentesting. #2 WiFi Pineapple*
Este conjunto de herramientas para pruebas de penetración inalámbrica es muy útil para distintos tipos de ataques, como ejemplo el clásico Man-In-The-Middle. Mediante una interfaz web intuitiva, permite la conexión con cualquier dispositivo como smartphones o tablets. Se destaca su facilidad de uso, el manejo del flujo de trabajo, la información detallada que brinda y la posibilidad que brinda de emular distintos ataques avanzados, que están siempre a un par de clics de distancia.
Como plataforma, la WiFi piña permite numerosos módulos que se van desarrollando en la comunidad y que añaden características que amplían sus funcionalidades. Afortunadamente, estos módulos se instalan de forma gratuita directamente desde la interfaz web en cuestión de segundos.
Algunos usuarios del servicio de streaming de música Spotify Free, que se mantiene a base de publicidad, recibieron más anuncios de los que esperaban.
Todo empezó el pasado martes 4 de octubre, cuando alguien reportó un problema en el foro de la aplicación diciendo:
Está sucediendo algo bastante alarmante en Spotify Free. Esto empezó hace varias horas. Si tienes Spotify Free abierto, ejecutará – y seguirá ejecutando – el navegador de Internet por defecto de la computadora para acceder a diferentes tipos de sitios con malware / virus. Algunos ni siquiera requieren acción del usuario para poder causar daño.
Tengo 3 sistemas (computadoras) diferentes que están libres de infecciones y todas están haciendo esto, todas a través de Spotify – estoy considerando que son los anuncios publicitarios en Spotify Free.
En cuestión de horas, usuarios de Twitter se hicieron eco de estas conjeturas e indicaron que navegadores en Windows 10, Mac OS X y Ubuntu estaban ejecutando los avisos sospechosos. Luego, AppleInsider reportó que los sitios dudosos estaban distribuyendo ejecutables javascript y Flash infecciosos; por su parte, Engadget y TrustedReviews consultaron a Spotify sobre el tema.
La compañía reconoció el problema y emitió el siguiente comunicado:
Un pequeño número de usuarios ha experimentado un problema con pop-ups de sitios web cuestionables en sus navegadores por defecto, como resultado de un problema aislado con un anuncio en nuestro segmento gratuito. Ya hemos identificado la fuente del problema y lo hemos cerrado. Continuaremos monitoreando la situación.
Así, indicó que un anuncio publicitario fue el responsable de la producción y reproducción de múltiples avisos maliciosos.
Spotify se vio afectada por un incidente similar en 2011, cuando una publicidad que aparecía directamente en su software de escritorio de Windows instalaba un falso programa antivirus. En ese entonces, Spotify aclaró que los usuarios que tuvieran instalada una solución de seguridad completa estaban protegidos.
En 2014, la compañía sufrió una fuga de datos. Si bien fue un incidente altamente aislado, ya que solo se logró acceder a los datos de un usuario, se lo tomó seriamente. En ese momento, declaró: “Nos tomamos estos asuntos muy seriamente y como precaución general le pediremos a ciertos usuarios de Spotify que vuelvan a ingresar su nombre de usuario y contraseña para iniciar sesión en los próximos días. Como medida de seguridad adicional, vamos a guiar a los usuarios de la app de Android para que actualicen en los próximos días”.
Existen muchas herramientas que permiten analizar rápidamente el comportamiento de las muestras móviles, con el objeto de facilitar la tarea de analistas, testers y pentesters. En el caso de Android, una de esas aplicaciones es AppMon, que a través de la instrumentación de código permite acceder al registro de funciones utilizadas y sus respectivos parámetros.
A lo largo de este artículo echaremos un vistazo a su funcionalidad. ¿Cómo funciona AppMon?
Esta aplicación hace uso de potente entorno de instrumentación dinámica multiplataforma del cual ya hemos hablado en pasadas ocasiones: Frida. Con base en esta plataforma, AppMon incluye una serie de scripts que permitirán a los analistas espiar los eventos que la aplicación estudiada va generando en el sistema, cuyos resultados podrán luego ser visualizados a través de una interfaz web con filtros de búsqueda y ordenamiento.
Además, AppMon incluye scripts que permiten realizar una intrusión dentro de la aplicación modificando su normal curso de acción, como se muestra en el siguiente video. Claro que cada analista podrá también incluir sus propios scripts en la herramienta.
Mostrar Mensajes
