¿Te acuerdas la polémica de hace un año, cuando se filtraron las fotos de los desnudos de varios famosos? Esto no sólo le alegró el día a más de uno (e incluso la noche), marcó un precedente y nos dio una lección general.

Por ejemplo, este hecho hizo que la gente se diera cuenta de que el nombre de sus mascotas no es una contraseña segura, y que la verificación en dos pasos no es exclusiva de los fanáticos de la informática, sino que es algo que tienen que tener en cuenta incluso los usuarios de iPhones adornados con diamantes de Swarovski.

Las fotos, que se filtraron desde el servicio de iCloud de Apple causando un gran revuelo el año pasado, eran copias almacenadas de imágenes hechas con dispositivos Apple. Los hackers emplearon una de las técnicas más sencillas para introducirse en el sistema, usando una combinación de phishing y fuerza bruta. Para compensar el fallo y proteger a sus usuarios, Apple activó en iCloud la verificación en dos pasos (o 2FA) e instó a sus usuarios a utilizarla en todo momento.


Anterior
Siguiente
5 formas de proteger tus fotos privadas
28 ago 2015 Vladislav Biryukov Consejos, Featured Post, Seguridad No hay comentarios

¿Te acuerdas la polémica de hace un año, cuando se filtraron las fotos de los desnudos de varios famosos? Esto no sólo le alegró el día a más de uno (e incluso la noche), marcó un precedente y nos dio una lección general.

angryg

Por ejemplo, este hecho hizo que la gente se diera cuenta de que el nombre de sus mascotas no es una contraseña segura, y que la verificación en dos pasos no es exclusiva de los fanáticos de la informática, sino que es algo que tienen que tener en cuenta incluso los usuarios de iPhones adornados con diamantes de Swarovski.

Las fotos, que se filtraron desde el servicio de iCloud de Apple causando un gran revuelo el año pasado, eran copias almacenadas de imágenes hechas con dispositivos Apple. Los hackers emplearon una de las técnicas más sencillas para introducirse en el sistema, usando una combinación de phishing y fuerza bruta. Para compensar el fallo y proteger a sus usuarios, Apple activó en iCloud la verificación en dos pasos (o 2FA) e instó a sus usuarios a utilizarla en todo momento.

Sin embargo, la 2FA es opcional en iCloud, además de en Gmail, Facebook y muchos otros servicios web. La mayoría de la gente prefiere saltársela, ya que es poco práctica y la gente no tiene tiempo para ésto.

Además, es muy fácil perder el control de tu correo electrónico o de tus perfiles en las redes sociales, aunque no seas Kim Kardashian o Kate Upton. Las consecuencias pueden ser devastadoras, especialmente si trabajas en una compañía online.

Dos candados son mejor que uno

La mayoría de las personas piensa en la verificación en dos pasos como en el sistema de envío de contraseñas de un solo uso en los mensajes de texto. Bueno, es el método más destacado de 2FA para servicios web, sin embargo, no es el único.

En general, la 2FA es como una puerta con dos candados. Uno de ellos es la combinación tradicional de registro y contraseña y el segundo podría ser algo diferente. Además, si no crees que dos candados sean suficientes, puedes utilizar tantos como quieras, aunque alargaría el proceso de apertura de la puerta, por lo que está bien usar al menos dos.

Las contraseñas enviadas por SMS son una forma comprensible y relativamente segura de verificación, aunque no siempre es práctica. En primer lugar, cada vez que quieras acceder a un servicio tienes que tener a mano el móvil, esperar a que te llegue el SMS e introducir los dígitos que aparecen…

Si te equivocas o introduces el código muy tarde, tienes que repetir de nuevo el mismo procedimiento. Si, por ejemplo, la red del usuario está colapsada, el SMS puede llegar demasiado tarde. En mi opinión, esto es bastante irritante.


Anterior
Siguiente
5 formas de proteger tus fotos privadas
28 ago 2015 Vladislav Biryukov Consejos, Featured Post, Seguridad No hay comentarios

¿Te acuerdas la polémica de hace un año, cuando se filtraron las fotos de los desnudos de varios famosos? Esto no sólo le alegró el día a más de uno (e incluso la noche), marcó un precedente y nos dio una lección general.

angryg

Por ejemplo, este hecho hizo que la gente se diera cuenta de que el nombre de sus mascotas no es una contraseña segura, y que la verificación en dos pasos no es exclusiva de los fanáticos de la informática, sino que es algo que tienen que tener en cuenta incluso los usuarios de iPhones adornados con diamantes de Swarovski.

Las fotos, que se filtraron desde el servicio de iCloud de Apple causando un gran revuelo el año pasado, eran copias almacenadas de imágenes hechas con dispositivos Apple. Los hackers emplearon una de las técnicas más sencillas para introducirse en el sistema, usando una combinación de phishing y fuerza bruta. Para compensar el fallo y proteger a sus usuarios, Apple activó en iCloud la verificación en dos pasos (o 2FA) e instó a sus usuarios a utilizarla en todo momento.

Sin embargo, la 2FA es opcional en iCloud, además de en Gmail, Facebook y muchos otros servicios web. La mayoría de la gente prefiere saltársela, ya que es poco práctica y la gente no tiene tiempo para ésto.

Además, es muy fácil perder el control de tu correo electrónico o de tus perfiles en las redes sociales, aunque no seas Kim Kardashian o Kate Upton. Las consecuencias pueden ser devastadoras, especialmente si trabajas en una compañía online.

Dos candados son mejor que uno

La mayoría de las personas piensa en la verificación en dos pasos como en el sistema de envío de contraseñas de un solo uso en los mensajes de texto. Bueno, es el método más destacado de 2FA para servicios web, sin embargo, no es el único.

En general, la 2FA es como una puerta con dos candados. Uno de ellos es la combinación tradicional de registro y contraseña y el segundo podría ser algo diferente. Además, si no crees que dos candados sean suficientes, puedes utilizar tantos como quieras, aunque alargaría el proceso de apertura de la puerta, por lo que está bien usar al menos dos.

Las contraseñas enviadas por SMS son una forma comprensible y relativamente segura de verificación, aunque no siempre es práctica. En primer lugar, cada vez que quieras acceder a un servicio tienes que tener a mano el móvil, esperar a que te llegue el SMS e introducir los dígitos que aparecen…

Si te equivocas o introduces el código muy tarde, tienes que repetir de nuevo el mismo procedimiento. Si, por ejemplo, la red del usuario está colapsada, el SMS puede llegar demasiado tarde. En mi opinión, esto es bastante irritante.

Si no tienes cobertura (algo bastante frecuente cuando viajamos), no obtendrás una contraseña. También es posible que pierdas el móvil, y no si no tienes la posibilidad de utilizar otros medios de comunicación, una situación como ésta es aún más frustrante.

Para estar cubierto en estos casos, muchos servicios web como Facebook o Google, ofrecen otras soluciones. Por ejemplo, ofrecen una lista de contraseñas de un solo uso que puedes recopilar de manera preventiva, imprimirlas y guardarlas en algún lugar seguro.


Así mismo, la 2FA con códigos de un solo uso recibidos vía SMS puede activarse no en todas las ocasiones, sino sólo cuando alguien accede desde un dispositivo desconocido. Tú decides, así que decide basándote en tu nivel de paranoia. El método es el mismo para cualquier app que esté ligada a tu cuenta, como los clientes de correo electrónico. En cuanto introduzcas una contraseña específica generada, la recordarán durante bastante tiempo.

Así que, a no ser que ingreses en tus cuentas cada día desde un dispositivo distinto, activarlas mediante la verificación en dos pasos mediante SMS no es gran cosa. Una vez que lo instales, funciona correctamente.

Identificación mediante un smartphone

Si viajas frecuentemente, una forma más inteligente de activar la 2FA podría ser mediante una app especial. Al contrario que los SMS, este método de autenticación funciona sin conexión a Internet. Las contraseñas de un solo uso se generan en el smartphone, no en un servidor (sin embargo, la instalación inicial sí requerirá conexión a la red).

Hay un gran número de aplicaciones de autenticación, pero Google Authenticator sin duda puede servir como estándar de la industria. Este programa respalda otros servicios además de Gmail, como Facebook, Tumblr, Dropbox, vk.com y WordPress, entre otras.

Si prefieres una aplicación con paquete de características, prueba Twilio Authy. Es similar a Google Authenticator pero añade un par de opciones útiles.

En primer lugar, te permite almacenar los certificados en la nube y copiarlos en otros dispositivos (smartphones, PCs, tablets and y muchas otras plataformas, incluyendo Apple Watch). Incluso en el caso de que te roben un dispositivo, todavía tienes control de tus cuentas. La app solicita un número PIN cada vez que la ejecutas, y la contraseña puede anularse si tu dispositivo se ha visto comprometido.

En Segundo lugar, Twilio Authy, al contrario que Google Authenticator, te facilita mucho las cosas al empezar a usar un nuevo dispositivo.

Una contraseña para gobernarlas a todas

Las soluciones que hemos mencionado tienen una pega importante. Si usas el mismo dispositivo para acceder a tus cuentas y para recibir SMS con contraseñas de un solo uso o implementar una aplicación que genere claves de 2FA, esta protección no resulta demasiado segura.

Los tokens de seguridad ofrecen un nivel mayor de protección. Su formato y su forma varían y pueden ser tokens USB, tarjetas inteligentes, tokens offline con un monitor digital, pero el principio es, en esencia, el mismo. En resumidas cuentas, se trata de mini ordenadores, que generan claves de un solo uso bajo petición. Las claves son introducidas manualmente o de forma automática a través de una interfaz USB, por ejemplo.



ste tipo de claves de hardware no dependen de la red de cobertura o de un teléfono u otra cosa; simplemente hacen su trabajo sin importar nada más. Pero se compran por separado y es muy sencillo perder alguno de estos diminutos artilugios.

Normalmente estas claves se utilizan para proteger los servicios de banca electrónica, los sistemas institucionales o empresariales y otros temas importantes. A su vez, es posible que utilices una elegante memoria USB para proteger tus cuentas de Google o WordPress, siempre que la unidad USB sea compatible con la especificación abierta de FIDO U2F (como en el conocido caso de los conocidos tokens YubiKey ) .

¡Muestra tus implantes!

Las claves tradicionales de hardware ofrecen un alto nivel de seguridad, pero no son muy prácticas. Te hartarías al tener que introducir el USB cada vez que necesites acceso a un servicio en la red, además de que no se puede insertar en un smartphone.

Sería más sencillo usar una clave inalámbrica, emitida vía Bluetooth o NFC. Esto es posible con las nuevas especificaciones de FIDO U2F que se han presentado este verano.

Una chapa serviría para identificar al usuario legítimo y se puede utilizar en cualquier parte: en un llavero, una tarjeta bancaria, o incluso en un chip NFC implantado bajo la piel. Cualquier Smartphone podría leer esta clave y autentificar al usuario.

Uno, dos… muchos

Sin embargo, el concepto general de la verificación en dos pasos ya está pasado de moda. Los principales servicios como Google o Facebook (sigilosamente) utilizan el análisis multi-factor para ofrecer un acceso totalmente seguro. Evalúan el dispositivo y el navegador utilizado para acceder, además de la localización o el uso de ciertos patrones. Los bancos utilizan sistemas similares para localizar posibles actividades fraudulentas.

De manera que, en el futuro confiaremos en las soluciones multi-factor avanzadas, que proporcionan tanto comodidad como seguridad. Uno de los mayores ejemplos que muestran este enfoque es el Proyecto Abacus, que se presentó en la reciente conferencia de Google I/O.

En un futuro, tu identidad se confirmará no sólo mediante una contraseña, sino también por una combinación de factores: tu localización geográfica, lo que estés haciendo en ese momento, tu forma de hablar, tu respiración, los latidos de tu corazón, etc., utilizando ciberprótesis y otras cosas similares. El dispositivo para percibir e identificar estos factores sería, como es predecible, tu smartphone.

Aquí tienes otro ejemplo: unos investigadores suizos utilizan el ruido ambiental como un factor de autentificación.

La idea general de este concepto, que los investigadores han llamado Sound-Proof (Prueba de sonido, en inglés), es muy sencilla. Cuando intentes acceder a un servicio específico desde tu ordenador, el servidor solicitará la instalación de una aplicación en tu smartphone. Entonces, tanto el ordenador como el smartphone, registran el sonido ambiente, lo transforman en una firma digital, la cifran y la envían al servidor para analizarla. Si coincide, esto sirve como prueba de que el usuario que está intentando acceder es legítimo.

https://pbs.twimg.com/tweet_video/CMtKa5YWsAA2Cy1.mp4

Sin embargo, este enfoque no es perfecto. ¿Y si un cibercriminal estuviera sentado en un restaurante justo al lado del usuario? En ese caso, el ruido ambiental es prácticamente el mismo, por lo que se deberían tener en cuenta otros factores para poder evitar que se comprometa su cuenta.

En resumen, tanto Sound-Proof como Abacus pertenecen a la seguridad del futuro. Cuando se comercialicen, las amenazas y los desafíos con respecto a la seguridad de la información también habrán evolucionado.

Por el momento, te recomendamos que actives la 2FA. Encontrarás las instrucciones para activarla en la mayoría de los servicios más conocidos en páginas web como Telesign Turn It On.

Fuente: Kaspersky.blog

La problemática de las contraseñas débiles, por la que muchos usuarios perezosos caen víctimas de ataques tras crear claves simples o dejar las que vienen por defecto, también es observada en el mundo mobile. Específicamente, lo vemos en los patrones de autentificación de los smartphones y tablets Android.

En muchas ocasiones hemos escrito acerca del uso de contraseñas fuertes, aconsejando también utilizar un doble factor de autentificación siempre que la plataforma lo permita. Hemos recomendado no utilizar contraseñas del tipo “admin” o “1234” ya que son consideradas contraseñas casi por defecto de muchos sistemas.

Los dispositivos Android permiten como modalidad de desbloqueo el ingreso de un PIN numérico, una contraseña alfanumérica o un patrón gráfico. Siendo este último muy popular entre los usuarios, profundizaremos acerca de las probabilidades de que sea adivinado, cuáles son los dibujos más comunes y, en base a esto, cómo tú puedes aumentar la seguridad de tu smartphone a la hora de elegir tus patrones.
Cómo funciona el patrón



Desde el año 2008 Google ha implementado en su plataforma Android el patrón de desbloqueo como medida de seguridad para bloquear un equipo. La técnica migró mediante aplicaciones hacia otros sistemas operativos diferentes, como es el caso de iOS de Apple.

Este trazo personalizado, en muchos casos, se convierte en la primera barrera de seguridad física ligada a estos smartphones.

Si bien el teclado se encuentra compuesto por una combinación de nueve números, dando una gran cantidad de posibilidades (casi llegando al millón) el patrón puede tener como mínimo 4 y como máximo 9 dígitos, lo que ya comienza a limitar las variables a unas 389.000.

Por otra parte este número también está condicionado de manera abrupta por las siguientes tres reglas:

1. Cada punto solo puede ser utilizado una vez

Mirando la figura de arriba podrás darte cuenta de esta manera combinaciones como por ejemplo “2233” o “5555” son imposibles.

2. No se puede omitir un punto intermedio en una recta

Es decir que las combinatorias “4646” o “7171” son otro claro ejemplo entre muchas de la cantidad de variables no permitidas por el sistema.

3. El dedo no puede salirse de la superficie táctil

Esta regla está vinculada también a la anterior, sin embargo se le agrega el agravante de que muchas veces los dedos dejan rastros visibles en la pantalla, y de esa manera es fácil llegar a ver el camino que ha recorrido el patrón, ya que por esta regla no hay muchas variantes.

Para dar un ejemplo, solo hay dos maneras de escribir el patrón de la figura “124578369” o “963875421”.
Qué dicen las estadísticas

Un reciente estudio de la Universidad Noruega de Ciencia y Tecnología demostró que se eligen combinaciones demasiado predecibles y, por lo tanto, débiles. De los 4.000 patrones analizados, el 44% empezaba por la esquina superior izquierda, y en el 10% de los casos se dibuja una letra imaginaria que suele estar asociada al nombre propio, de algún familiar, amigo o mascota.

Además, la mayoría utilizaba cuatro o menos nódulos, limitando la cantidad de combinaciones posibles. El estudio indica algunas tendencias que dejan en claro que los seres humanos son predecibles, según halló la estudiante noruega Marte Løge como parte de su tesis.

Otras de sus conclusiones fueron:

    El 77% de los patrones se inició en una de las cuatro esquinas
    5 es el promedio de dígitos utilizados, lo que implica que son solo 9.000 combinaciones posibles
    Suelen comenzar de izquierda a derecha y de arriba hacia abajo
    En general, los creados por hombres eran más largos (y más seguros) que el promedio de los creados por mujeres
    Tanto zurdos como diestros comparten los mismos patrones

Al igual que la clave “Admin” o “1234”, muchos patrones se convierten en muy fáciles de predecir especialmente cuando se da la condición de que comienzan con la letra inicial de su propio nombre o de alguien muy cercano. Si el atacante conoce esta información, dejaría la cantidad de posibles patrones en el orden de solamente cien.

En la siguiente imagen podemos ver tres códigos inseguros, que nunca deberías utilizar:



atrones más seguros

Las reglas aquí siguen la misma lógica que las de la construcción de una contraseña segura. Es importante no formas letras y utilizar patrones que en lo posible tengan 9 puntos.

Es muy conveniente utilizar un patrón que contenga un triángulo para desdibujar las huellas de dedos y, de alguna forma, cambiar la inercia del trazado para despistar a los atacantes.

En la siguiente imagen podemos visualizar dos patrones, en los cuales adivinar la combinatoria es realmente complejo y demandaría mucho tiempo:



En muchos modelos de smartphones existe la opción de no hacer visible el trazado, práctica recomendable ya que de esta forma, si alguien intenta espiar tu código de desbloqueo, le resultará mucho más difícil y estarás más seguro.
¿Qué podemos concluir?

Hemos visto cuáles son los patrones que no debes utilizar cuando la seguridad de tu dispositivo está en tus manos; sin embargo, también sería lógico pensar e intentar requerir a los desarrolladores que aumenten la protección. Por ejemplo, rompiendo alguna de las leyes mencionadas – como la de no poder repetir un punto o salir de la superficie táctil. De esta manera, se incrementaría de forma exponencial la cantidad de probabilidades.

Como mencionamos al principio del post, también existen otros métodos de desbloqueo que prestan una mayor seguridad como es el caso de las claves alfanuméricas. Sin embargo, la tendencia es que la autenticación en smartphones comienza a migrar hacia factores de desbloqueo biométricos, como es el reconocimiento facial o los lectores de huellas dactilares.

Pero hasta que la migración sea total, es muy probable que lleve bastante tiempo y esta es la causa principal de la importancia de mantener seguros los patrones de bloqueo.

Créditos imagen: ©downloadsource.fr/Flickr

Mi problema fue con la tarjeta de video, reinstale drivers, compatibilidad, etc, etc.
Al final opté or cambiar de gráfica y asunto slucionado.

De momento es el unico proble que he tenido.

Saludos.

En este tema lo explican al detalle:

http://losvirus.es/dns-unlocker/

Saludos.

Puedes subirnos un log de hijackthis:

Hijackthis:
- Web: http://www.trendmicro.es/productos/herramientas-y-servicios-gratuitos/index.html
- D.Directa: http://sourceforge.net/projects/hjt/

O descarga y ejecuta Malwarebytes antimalware, aquí lo tienes:

Malwarebytes antimalware:
- Web: http://es.malwarebytes.org/
- D.Directa: http://es.malwarebytes.org/mwb-download

Si puedes sube el log de lo que haya encontrado, saludos.

Encuesta con fines no comerciales para saber hasta que punto los usuarios han tenido una buena experiéncia en la actualización al último sistema operativo hasta ahora de Microsoft.

Saludos y gracias por participar

El sitio de citas Match.com ha sido víctima de un ataque de malvertising, que podría poner a sus usuarios registrados en riesgo de ser víctimas de ransomware.

Investigadores de Malwarebytes descubrieron la amenaza, y dijeron que presentaba las mismas características que el ataque previo a PlentyOfFish, otro sitio de citas online.

Resultó que los anuncios en Match.com tenían código malicioso embebido, por lo que, si se accedía a ellos, le permitían a los cibercriminales obtener el control de un dispositivo. Esto luego les daría la oportunidad de lanzar numerosos ataques; además de robar información personal, otra técnica popular consiste en cifrar todos los datos, que solo son descifrados cuando se paga un rescate.

Con aproximadamente 27 millones de personas usando el sitio cada mes, el potencial impacto de este ataque se vuelve significativo. “Tomamos la seguridad de nuestros miembros muy seriamente”, dijo un vocero de Match.com ayer (3 de septiembre).

“Hoy tomamos la medida de precaución de suspender temporalmente los anuncios publicitarios en nuestro sitio del Reino Unido, mientras investigábamos un potencial problema de malware. Nuestros expertos en seguridad pudieron identificar y aislar los anuncios afectados, esto no representa una brecha en nuestro sitio o en los datos de nuestros usuarios”.

El vocero añadió que todavía no han recibido reportes de usuarios afectados por estos anuncios maliciosos. Sin embargo, en pro de la seguridad, recomendaron a los miembros del sitio protegerse actualizando su software antivirus; sucede que ya no hace falta que un usuario descargue ni haga clic en un anuncio para ser infectado, basta con tener plugins o software desactualizado y visitar una página infectada. Por eso, una solución de seguridad ayudará a bloquear el ingreso de la amenaza al sistema.

Match.com se describe como “la primera y más grande compañía de citas”, con un alcance global que se extiende a 25 países. Que haya sido blanco de un ataque no hace más que recordarnos el caso de Ashley Madison, otro sitio de citas online (pero extramatrimoniales) que sufrió una brecha recientemente.

Fuente: Welivesecurity

Desde el Laboratorio de Investigación de ESET Latinoamérica encontramos se ha estado propagando mediante mensajes de WhatsApp un falso sorteo de una marca de ropa española, Zara, que busca engañar a las víctimas para que regalen sus direcciones de correo y compartan el mensaje a 10 contactos diferentes.

Es una campaña muy similar a la que reportamos la semana pasada con el falso voucher para Starbucks, que se propaga en distintos países e idiomas. Lo interesante del caso que encontramos es que el engaño circula en español, a pesar de que los casos reportados en las últimas 72 horas se habían visto en inglés.

La estafa comienza con la recepción por parte de la víctima de un mensaje que la invita a participar del sorteo, al ingresar desde su navegador en el dispositivo móvil lo que ve es una pantalla como la siguiente:



Para aquellos que realmente creyeron que se podían ganar un voucher, lo que sucede es lo siguiente: se les van a realizar cuatro preguntas sobre si son clientes de la empresa o no, cada cuánto van a la tienda, y hasta qué distancia estarían dispuestos a viajar para ir a un nuevo local.

Luego de responder a diferentes preguntas sobre las tiendas de ropa, se los invita a reenviar la invitación a al menos 10 contactos diferentes, si es que quieren recibir su supuesto voucher por 500 unidades de la moneda local del país donde se visite. A continuación, vemos un ejemplo que promete 500 pesos argentinos:



Hasta que el usuario no invite a 10 contactos o grupos de WhatsApp, no se le “permite” obtener su voucher:



Entre los puntos curiosos de esta campaña encontramos que los cibercriminales utilizan la dirección de IP del dispositivo que se conecta para conocer su ubicación, y de esta manera hacerle creer a sus víctimas que la tienda se abrirá cerca de donde se encuentren.



Otro de los puntos curiosos de esta campaña es que la moneda que aparece en la encuesta varía según el país del que se acceda en base a diferentes reportes de usuarios.

Si el usuario cayó en el engaño y llegó hasta el final de la encuesta, será alertado de que su dispositivo se encuentra desactualizado y que debe instalar una actualización. Esta segunda parte del engaño puede llevar al usuario a instalar aplicaciones no deseadas o suscribirse a un sistema de mensajes SMS Premium que le incurrirán en un costo extra en su línea de teléfono.

A continuación podemos ver la falsa alerta de actualización:



Ahora, si el usuario cae en este segundo engaño e intenta actualizar, se muestra otro mensaje que le puede hacer creer que su teléfono está infectado con algún tipo de código malicioso. Pero, para poder analizarlo, deberá aceptar los términos y condiciones de un servicio y pagar por cada mensaje que reciba:



Este tipo de engaños se suelen utilizar para que las víctimas intenten instalar supuestas actualizaciones o aplicaciones de seguridad, que podrían llevar a comprometer aún más la seguridad de sus dispositivos. No se trata de una investigación de mercado, ni de la apertura de una nueva tienda de ropa, ni nada que se le parezca; es un engaño que busca persuadir a los de que entreguen su información y propaguen este scam a su lista de contactos.

Para evitar este tipo de engaños, desde el Laboratorio de ESET Latinoamérica recordamos:

    No seguir enlaces engañosos que lleguen a través de mensajes de texto, WhatsApp u otros mensajeros
    No entregar información personal si la fuente no es confiable
    No instalar aplicaciones de repositorios no oficiales
    No compartir a los contactos mensajes maliciosos o que parezcan sospechosos
    Utilizar una solución de seguridad que bloquee las aplicaciones maliciosos y los sitios fraudulentos.

Considerando que gran parte de los engaños hoy en día circulan aprovechando la popularidad y cantidad de usuarios de las plataformas principales, recomendamos asimismo proteger WhatsApp aplicando las siguientes medidas:

    Bloquear las fotos de WhatsApp para que no aparezcan en la galería
    Ocultar la notificación de “última vez conectado”
    Restringir el acceso a la foto de perfil
    Tener cuidado con las estafas
    Desactivar WhatsApp si se pierde el teléfono
    Tener cuidado con la información que se transmite a través de la plataforma

Para más consejos, no olviden de revisar nuestra Guía de Seguridad en Dispositivos Móviles.

Créditos imagen: ©Mike Mozart/Flickr

Los smartphones ya no solo cumplen las funcionalidades de un teléfono celular, sino que permiten aprovechar infinidad de usos que las nuevas tecnologías nos aportan. Debido a la variedad en aplicaciones, es muy habitual encontrar grandes cantidades de información valiosa almacenada en ellos.

De este modo, si se extravían, su dueño quedará expuesto a perder sus datos y es por esto que te mostraremos una de las formas más prácticas para encontrar tu smartphone con sistema operativo Android en caso de haberlo extraviado.

Por otra parte, si en algún momento te surgieron preguntas del tipo: ¿es posible encontrar un celular extraviado o robado? ¿Cómo saber qué camino tomé para ir a algún lugar?, o ¿cómo saber en dónde se encuentra mi hijo menor?, entonces te sugiero que sigas leyendo este post. Puede serte útil ayudándote a resolver estas cuestiones.
Conociendo nuestro Android

En muchas ocasiones, ante una duda o disputa, las personas utilizan a Google como juez, para buscar una rápida respuesta; sin embargo, no todo el mundo conoce que este gigante tecnológico también es capaz de rastrear tu Android y calendarizar la ubicación de un smartphone la mayoría del tiempo.

Esto significa que, mediante el uso de un calendario, podrás examinar en qué lugares has estado y, en caso de que no recuerdes la ubicación, podrás conocer el punto donde extraviaste el dispositivo.

Para utilizar este servicio debes ingresar al servicio Cronograma de Google.

Como vemos en las siguientes imágenes, ingresando el correo de Gmail y su contraseña ya se podrá explorar el cronograma de ubicaciones:



Ya ingresando dentro de calendario podrás observar todos los lugares donde has estado. Para verlo más claro, les dejaré un ejemplo que muestra mis propias actividades el día 15 de agosto de este año:



Como podemos observar, además de detallar el lugar y dirección, también nos indica el tiempo de permanencia en la zona. Entonces, podemos observar el tiempo que estuve, por ejemplo, en la universidad e inclusive cuánto tiempo me demoré en comer.

Además de esta información, también podremos ver el camino que tomamos para desplazarnos a cada ubicación:



La recolección de estos datos podría variar un poco de acuerdo a la conexión del teléfono, sobre todo si no tienes red móvil y datos todo el tiempo habilitados.

Navegando por el menú de calendario podrás encontrar lo que hiciste en la fecha que elijas; para utilizar este servicio solo necesitas tener activado el GPS, además de saber el usuario y  la contraseña de la cuenta correspondiente al teléfono.

También se podrá borrar información u obtener más datos de los puntos mediante el uso de Street view, el cual nos dejará ver en imágenes el lugar donde estuvo el dispositivo. Por supuesto esta información podrá ser visitada desde cualquier dispositivo, ya sea una computadora hogareña, corporativa o inclusive otro smartphone.

De esta manera, este servicio podría auxiliarte en caso de pérdida o robo, ya que tendrás la ubicación del teléfono mientras esté prendido y conectado a Internet; en caso de que no lo esté, verás el lugar de su última conexión.
Fines beneficiosos… y otros no tanto

Ya vemos que este servicio para rastrear tu Android  puede ser utilizado con fines beneficios, no solo encontrar un dispositivo extraviado sino también como medida de control parental, para saber la ubicación de los menores.

En oposición, también es importante tomar conciencia de que esta información podría estar a la mano de un ciberdelincuente en caso de que haya robado las credenciales de acceso a la cuenta vinculada al dispositivo, producto de un ataque informático como son los conocidos casos de phishing o de algún código malicioso creado con el fin de robar datos.

De esta manera, se podría conocer tu historial de direcciones y horarios en los que normalmente visitas determinados lugares, obteniendo más información de la que la gente creería que podría tener asociada a una dirección de correo electrónico.

Para finalizar, es importante mencionar que existe una gran cantidad de aplicaciones que realizan este tipo de rastreo, pero como es lógico, necesitan una instalación y una mínima configuración para ser funcionales. En cambio, este servicio de Google se encuentra funcional por defecto.

Para complementarlo, debemos utilizar soluciones de seguridad también en smartphones, además de en PC, ya que nos darán una mayor protección ante estas amenazas, mitigando el impacto contra sitios de phishing y códigos maliciosos que puedan afectar a usuarios distraídos.

Fuente: Welivesecurity

Cuando se trata de la seguridad de los datos, los atacantes siguen aprovechándose del punto más débil de todos: las personas. En este artículo analizamos 11 errores de seguridad que muchos usuarios –los más irresponsables– siguen cometiendo a diario.
1. No instalar parches

La triste realidad es que la mayoría de las filtraciones de datos no solo se debe a errores humanos, como hacer clic en un vínculo malicioso, sino también a sistemas informáticos cuyo software está desactualizado.

Por ejemplo, los atacantes suelen aprovechar las fallas de Microsoft Office y Adobe Player que los usuarios aún no corrigieron, para lograr entrar a los equipos. Otros atacantes más avanzados aprovechan las vulnerabilidades que llamamos “0-day” para las cuales todavía no se publicó el parche o la revisión correspondiente.

Para muchos usuarios, e incluso para algunos administradores de sistemas corporativos, la administración de los parches sigue siendo una tarea banal. No obstante, la buena noticia es que cada vez es más fácil hacerlo. Microsoft está implementando modificaciones en Windows que dejarán la Revisión de los Martes como cosa del pasado, mientras que la mayoría de sistemas operativos (incluyendo Android e iOS) ahora cuentan con una funcionalidad de actualización automática para aplicaciones móviles, de modo que los usuarios no tienen que hacer nada.
2. Ser demasiado confiados

Las personas siguen siendo demasiado confiadas en el mundo digital. Quizá ya la mayoría comenzó a ignorar las llamadas y los mensajes de texto no solicitados al igual que a los vendedores ambulantes que se presentan en el hogar, pero aún siguen abriendo correos electrónicos y vínculos de personas que no conocen.

Demasiado a menudo, los usuarios abren esos correos electrónicos y descargan archivos adjuntos (algunos de los cuales pueden incluir malware), y en ciertos casos hacen clic en vínculos acortados que aparecen en Twitter, LinkedIn o Facebook. Algunos de ellos los redirigen a sitios web infectados y son señuelos para que caigan en engaños.
3. Reutilizar contraseñas

El mayor paso en falso que los usuarios informáticos siguen dando es el uso de contraseñas débiles o reutilizadas, que los atacantes pueden adivinar mediante ataques por fuerza bruta.

La administración de contraseñas puede ser un problema: un estudio reveló que, en el Reino Unido solamente, la persona promedio usa contraseñas para 19 cuentas diferentes.

El surgimiento de programas para administrar contraseñas y de la tecnología biométrica mejoró algunas de estas dificultades, pero de todas maneras es probable que la seguridad de las contraseñas siga siendo un problema para algunos usuarios.

Por más sorprendente que parezca, esta contraseña seguía siendo la más popular en 2014.
4. Dar datos de más en las redes sociales

Las generaciones Y y Z usan cotidianamente Twitter, Facebook, Instagram y otras plataformas sociales, así como WhatsApp, Viber y otros servicios similares de mensajería instantánea.

Estas generaciones más jóvenes comparten prácticamente cada detalle intrincado de sus vidas, lo que lleva a la posibilidad de que dicha información online se intercepte, se robe o simplemente se venda a criminales.

Esta información también se puede vender a terceros comerciantes para que hagan publicidad dirigida, y es probable que los cibercriminales usen la misma información públicamente disponible para realizar ataques de Ingeniería Social, como enviar correos electrónicos o vínculos para ataques de phishing.

    No tener soluciones de seguridad

    Los programas antivirus cambiaron y evolucionaron en los últimos años. Su objetivo es detectar y eliminar en forma proactiva virus, troyanos, gusanos y otras clases de malware para mantenerte protegido. Sin embargo, algunas personas aún no tienen una solución de seguridad, aunque es una de las primeras líneas de defensa – junto con tener buenos hábitos y mantener los sistemas actualizados.

6. Creer que “eso no va a pasar”

Uno de los mayores problemas que tienen las personas con la seguridad de la información no es algo que ignoran, como instalar parches o descargar una solución de seguridad, sino la sensación de que ellos no son un objetivo deseado para los cibercriminales.

Los individuos y las empresas siguen adoptando el mismo enfoque de que “esto no va a pasarme a mí”. Ignoran las prácticas de seguridad esenciales y luego expresan su sorpresa cuando pierden datos, dinero o información como resultado de un ataque informático.
7. Dejar los dispositivos sin supervisión

Un error simple que muchos siguen cometiendo es dejar los equipos de escritorio o portátiles sin supervisión y desbloqueados. Lo mismo aplica a dispositivos móviles, como smartphones y tabletas.

No cabe duda de que el mayor riesgo es el robo del dispositivo, pero si se dejan desbloqueados también pueden exponer a los usuarios al robo de datos o a que te espíen mientras navegas online (lo que conocemos como “shoulder surfing”).

 8. Navegar con conexiones desprotegidas

Todos exigimos tener Wi-Fi gratuito en todas partes adonde vayamos, ya sea para poder navegar en Internet, verificar la cuenta de Twitter o Facebook, comprar productos online, vigilar las transacciones bancarias o realizar una llamada VoIP.

Pero a veces nos conectamos a redes Wi-Fi públicas de mucho tráfico que no son seguras y son abiertas, como en un café. En estas conexiones de Wi-Fi abiertas que no están protegidas por contraseña, las visitas a sitios web HTTP sin cifrar (no HTTPS) pueden permitirle a un atacante llevar a cabo un ataque Man-in-the-Middle (MITM) para interceptar el tráfico y monitorearlo para robar información, como contraseñas para transacciones bancarias online.
9. Ignorar las advertencias de los certificados SSL

¿Alguna vez visitaste un sitio web y recibiste una advertencia de seguridad de que la conexión no era segura? Probablemente alguna vez te pasó y quizá seguiste adelante y entraste a ese sitio no seguro.

La advertencia indica que el certificado SSL no es válido o venció, lo que hace que la conexión no sea segura y es más probable que un tercero logre comprometerla.

De hecho, investigadores de la universidad Carnegie Mellon University dijeron ya en el año 2009 que las advertencias sobre certificados digitales en los navegadores web no son una medida de seguridad efectiva, ya que muchos las ignoran. Hace poco, Google rediseñó sus advertencias de seguridad tras enterarse de que los usuarios de Chrome ignoraban 70% de las advertencias.
10. Descargar apps desde fuentes desconocidas

Ahora ya no es tan común, pero algunos dueños de smartphones y tabletas siguen descargando aplicaciones desde sitios web y tiendas de terceros no oficiales, lo que representa un riesgo masivo.

Algunas de estas tiendas contienen aplicaciones que son maliciosas o que parecen legítimas, pero que en realidad se volvieron a compilar incluyendo códigos maliciosos.
11. Liberar dispositivos móviles

Aunque algunos dueños de dispositivos iOS y Android prefieren liberar sus dispositivos para dejar de estar sujetos a las limitaciones impuestas por Google y Apple respectivamente, el proceso de jailbreak también representa un riesgo de seguridad.

“Lo que persigue un usuario con este proceso es acceder por completo al control del sistema operativo, pudiendo, entre otras cosas, descargar aplicaciones, extensiones y temas que no están en el repositorio oficial. Pero sucede que a la vez, este proceso deja un hueco de seguridad que podría ser aprovechado de forma maliciosa”, explicó Camilo Gutierrez, Security Researcher de ESET, al analizar la funcionalidad Rootless de iOS 9 que para muchos es un impedimento para realizar jailbreak.

La liberación de dispositivos puede provocar que ciertas aplicaciones dejen de funcionar y se comporten de modo inusual, mientras que también los hace más propensos a ataques externos. Además, si cambias la configuración de un iPhone o iPad, anularás la garantía de Apple.

Y tú, ¿comestiste alguno de estos errores?

Fuente: WeliveSecurity