Microsiervos | Seguridad

Cómo hacer que Twitter no guarde el historial de los sitios que visitas

Mon, 21 May 2012 16:30:00 +0100

«Despersonalizando» Twitter

Estos días se ha estado hablando de como Twitter es capaz de guardar un registro de los sitios que visitas sólo con que estos tengan instalado el botón para tuitear la página en cuestión o si tiene instalado alguno de los widgets de Twitter. El objetivo de esto, según cuentan en New tailored suggestions for you to follow on Twitter es poder hacerte mejores recomendaciones acerca de qué usuarios seguir. La lógica empleada es que la gente que visite los mismos sitios que tú probablemente tendrá los mismos gustos que tú y por ello pueden ser cuentas de Twitter que te interese seguir. Según explican en la correspondiente página de ayuda esa información es borrada a los diez días, y las sugerencias mejoradas sólo las ves tú cuando estás en la web de Twitter; además dicen que no están usando esa información para colocarte anuncios y que nunca la venderán a terceros. Pero si aún así quieres desactivarla, sólo tienes que ir a Twitter, iniciar sesión, hacer clic en el icono que aparece justo a la izquierda del de escribir un nuevo tuit, escoger Configuración, y asegurarte de que la opción Personalización no está marcada. Aunque dependiendo de donde vivas es posible que ni puedas hacer tal cosa todavía porque esta nueva función no ha sido activada ni para todos los países, y en concreto para ninguno en Europa. Esto está explicado también en la citada página de ayuda. Y de paso que estás ahí, puedes asegurarte de que sí tienes marcada la opción Solo HTTPS para hacer más seguro tu uso de Twitter.

Una máquina Enigma de papel

Fri, 18 May 2012 13:01:39 +0100

Niños, ya tenéis deberes para el finde: Construir una máquina Enigma de papel.

Apple publica una herramienta para eliminar el troyano Flashback

Tue, 15 May 2012 23:45:00 +0100

No es sin tiempo, pero Apple ha publicado al fin una herramienta específica para eliminar Flashback, el malware más extendido para Mac OS de los últimos años.

Flashback en acción. El icono recuadrado puede cambiar según la variante del virus y a voluntad de sus programadores.

Se trata de la Actualización de seguridad para eliminación Flashback. Según la información disnponible en la web de Apple, «Esta actualización elimina las variantes más comunes del software malicioso Flashback. Si se detecta software malicioso Flashback, aparecerá un cuadro de diálogo que le informará de que dicho software se ha eliminado. En algunos casos, es necesario reiniciar el ordenador para eliminar completamente el software malicioso Flashback encontrado.»

Y esta, niños, es la razón por la que las contraseñas no se escriben en un papel y se cuelgan de la pared

Thu, 10 May 2012 13:09:24 +0100

… porque quizá venga la televisión a grabarte y el cartelón con las contraseñas del Wi-Fi esté a tu espalda. Viejuno pero divertido, rescatado de Front Line Sentinel vía Schneier.

Apple actualiza Java en Snow Leopard y Lion para eliminar el troyano Flashback

Fri, 13 Apr 2012 09:30:00 +0100

No sin tiempo, desde hace unas horas estás disponibles a través de Actualización de software sendas actualizaciones de Java para Mac OS X 10.6 Snow Leopard y Mac OS X 10.7 Lion que según dice la propia Apple «eliminan la mayoría de las variantes del malware Flashback».

Son, respectivamente, la Actualización 8 de Java para Mac OS X 10.6 y Java para OS X Lion 2012-003. Además estas actualizaciones configuran el plug-in de Java para Safari para desactivar la ejecución automática de applets Java, y aunque el usuario vuelva a activarla si al cabo de 35 días no se ha ejecutado ningún applet se vuelve a desactivar. Para versiones anteriores de Mac OS X la recomendación de Apple es desactivar Java en Safari, aunque no he conseguido aclarar si realmente la vulnerabilidad que permite a Flashback instalarse afecta a Mac OS X 10.5 y anteriores. Se calcula que Flashback ha infectado al menos 650.000 Macs en todo el mundo, lo que lo convierte el malware más extendido para Macintosh en muchos años.

¿Qué comunicaciones interceptan los servicios secretos? Probablemente más de las que creemos

Thu, 12 Apr 2012 11:00:00 +0100

Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas». El otro día se apuntaba a que en la documentación del caso MegaUpload se incluían menciones a correos personales de los acusados como parte de las pruebas que presentaba el FBI. Algunos se preguntaron: ¿Cómo pueden estar ahí ese tipo de mensajes? ¿Es que acaso rutinariamente se monitorizan las conversaciones privadas de la gente? Habría que ser muy ingenuo para pensar que no se hace. En el caso MegaUpload parece bastante evidente que la interceptación se hizo por orden de un juez, a petición del FBI. Es algo normal en todo tipo de casos y las órdenes de «pinchar» correos electrónicos y teléfonos van avaladas por la firma de un juez si se observan indicios de delito. En otros países sucede exactamente igual.

Troyano Flashback en Mac OS X: cómo detectarlo y eliminarlo sin usar el Terminal

Tue, 10 Apr 2012 20:45:00 +0100

Si las estimaciones de Doctor Web son correctas, y todo parece indicar que sí lo son, con unos 650.000 ordenadores infectados en todo el mundo Flashback es el malware más extendido para Macintosh desde los lejanos tiempos de nVIR. Pero a diferencia de nVIR, que era un virus que se replicaba por sus propios medios, fundamentalmente vía diskettes, la versión actual de Flashback es un troyano que se instala aprovechando un fallo de Java. Este fallo hace que baste con visitar un sitio web comprometido –ya sea con conocimiento de sus dueños o no– para que se produzca la infección. La única diferencia que habrá si introduces o no la clave de administrador en el cuadro de diálogo que aparece al visitar esos sitios será la forma en la que se produzca la infección.

Flashback en acción. El icono recuadrado puede cambiar según la variante del virus y a voluntad de sus programadores.

Esta es una diferencia importante con versiones anteriores de Flashback, que aparecieron en septiembre de 2011 haciéndose pasar por instaladores de Adobe Flash y que no funcionaban a menos que el usuario las abriera e introdujera la clave de administrador. La noticia relativamente buena en todo esto es que el fallo en cuestión de Java –que por cierto no hay que confundir con JavaScript– afecta a una versión muy concreta, así que en principio parece que sólo deberían verse afectados Macs corriendo Mac OS X 10.6 Snow Leopard o Mac OS X 10.7 Lion. Ese fallo de seguridad está además corregido –con bastante retraso por parte de Apple, todo hay que decirlo– en Actualización 7 de Java para Mac OS X 10.6 y Java para OS X Lion 2012-001 respectivamente.

¿Cómo saber si estás infectado?

F-Secure tiene unas instrucciones para averiguarlo en Trojan-Downloader:OSX/Flashback.I, pero estas implican usar el Terminal y escribir una serie de comandos, algo que a la mayoría de los usuarios de Mac les resulta más bien raro. Así que lo más fácil es descargarse Test4Flashback, una aplicación desarrollada por Marc Zeedar de la revista Real Studio Developer. Basta con abrirla para que esta haga las oportunas comprobaciones y muestre una ventana diciendo si el Mac está infectado o no. Si no estás infectado, asegúrate de instalar la actualización de Java enlazada arriba para evitar llegar a estarlo. También parece que independientemente de la versión de Java que esté instalada en un Mac las variantes hasta ahora conocidas de Flashback no intentan atacar sistemas en los que estén instalados los antivirus VirusBarrier X6, iAntiVirus, avast!, ClamXav, utilidades como HTTPScoop, Little Snitch, Packet Peeper, o el entorno de desarrollo Xcode.

¿Cómo eliminar Flashback?

Por el momento ninguno de los antivirus enlazados arriba lo hace automáticamente, y hasta hace nada las instrucciones que da F-Secure eran el único remedio para hacerlo sin recurrir a reinstalar todo a partir de cero y medidas drásticas de ese estilo. Eso sí, hay que ejecutarlas desde el Terminal, por lo que hay que tener cuidado y seguirlas al pie de la letra, no sea que vaya a ser peor el remedio que la enfermedad.

De todos modos, buscando por ahí he visto que Kaspersky ha sacado hace nada una utilidad llamada Flashfake Removal Tool que se puede descargar de Virus-fighting utilities que por lo visto automatiza el proceso.

Stay calm

A pesar de todo lo dicho hasta ahora, lo de Flashback tampoco es el fin del mundo, aunque igual tampoco nos viene mal como recordatorio de que aunque los Mac son muy seguros, no lo son al 100% y que conviene estar pendiente de las actualizaciones de seguridad. Aunque sí es cierto que Apple podría ser un poco más ágil a la hora de parchear vulnerabilidades como esta. Así que no hay que «panicar» ni nada parecido, y conviene recordar que cuando salga Mountain Lion con Gatekeeper será aún más difícil que este tipo de problemas se reproduzca. Pero si mientras tanto te quieres instalar alguno de los antivirus gratuitos que hay para Mac OS X, pues tampoco pasa nada. En cualquier caso, recuerda que los virus, troyanos, y demás malware mutan a manos de sus desarrolladores, así que es fundamental mantener los antivirus actualizados. (Alguna información vía TidBITS y Macworld).

Actualización 13 de abril de 2012

Apple ha publicado por fin actualizaciones para Java que eliminan las variantes más conocidas este troyano. Por otra parte, Kaspersky ha retirado temporalmente su herramienta para eliminar Flashback porque por lo visto en algunos casos hacía cambios en ciertos archivos del sistema que causaban más problemas que el propio virus.

Somos unos cotillas, o de como la curiosidad mató al dueño del smartphone

Wed, 04 Apr 2012 21:30:00 +0100

Hace unos meses Symantec «perdió» unos cuantos smartphones en varias ciudades de los Estados Unidos y Canadá con el objeto de ver qué hacían aquellas personas que se los encontraran con ellos. A tal efecto les instalaron software que les permitía ver en remoto la ubicación de los teléfonos y lo que hacían con ellos. Los resultados del estudio, presentados en The 'lost' cell phone project, and the dark things it says about us, fueron al menos curiosos: un 43 por ciento de los que los encontraron abrieron una aplicación llamada «banca en línea», un 53 por ciento en el archivo llamado «Recursos Humanos Nóminas», un 57 por ciento en el archivo «claves guardadas», un 60 por ciento abrió herramientas de redes sociales y el correo electrónico, y una carpeta llamada «fotos privadas» atrajo a un 72 por ciento. Y a pesar de que el archivo de Contactos de los teléfonos en cuestión tenía sólo dos entradas, una de ellas marcada claramente como la del dueño del teléfono, sólo un 50 por ciento de las personas que los encontraron se pusieron en contacto con el supuesto dueño para devolverlos. Así que… ¿Tienes tu teléfono protegido por algún tipo de clave? ¿Haces copias de seguridad de sus contenidos? ¿Puedes localizarlo, bloquearlo, o borrarlo en remoto? Pues ya estás tardando, hace muuuucho que perder un teléfono supone mucho más que la molestia –que tampoco era poco– de perder tu agenda de contactos. (Vía Schneier on Security).

Así es como el software XRY entra en tu móvil «protegido»: hasta la cocina y más allá

Wed, 28 Mar 2012 15:23:02 +0100

Lo cuentan en Forbes: Here's How Law Enforcement Cracks Your iPhone's Security Code, ilustrado con este bonito vídeo y otros que hay por ahí.

[Micro Systemation, la compañía sueca que desarrolla el software XRY] actúa de forma similar a como se hacen los jailbreak que permiten a los usuarios eliminar las restricciones instaladas en sus dispositivos [como teléfonos o tablets] buscando fallos de seguridad en el software del teléfono. [El software XRY] puede romper fácilmente la clave de bloqueo de un dispositivo iOS o Android, volcar todo su contenido en un PC, descifrarlo, recuperar información del GPS, los archivos, registros de llamadas, contactos, mensajes e incluso secuencias de las teclas que se han pulsado.

Este software -que está en continuo desarrollo según aparecen teléfonos nuevos y versiones de sistemas operativos- lo utilizan por ejemplo numerosas fuerzas de seguridad para acceder al contenido de los teléfonos de sospechosos. Tomad nota niños, no utilicéis el móvil para hacer el mal.

Detectores de metales que descubren cuánto dinero llevas encima

Wed, 28 Mar 2012 11:24:35 +0100

En New Scientist: Metal detector knows how much cash is in your wallet.

Un buen puñado de billetes suman suficiente material magnético [de las tiras magnéticas -aunque de material plástico- y de las tintas magnéticas] para ser detectado a distancia por los arcos de seguridad, lo que permitiría descubrir a quienes intentan pasar cantidades de dinero grandes y en efecto a través la frontera [...] «Los resultados del estudio son viables, aunque sería necesario un montón de trabajo de desarrollo para que resultara práctico.»

Los conspiranoicos tenían razón.

La curiosa paradoja de la privacidad de la Internet actual

Tue, 13 Mar 2012 22:16:59 +0100

Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas». Quienes lleven más tiempo en Internet recordarán que algunas de las primeras preocupaciones de los pioneros tenían que ver con la privacidad de los internautas en su vida digital en la Red. Aunque en general en castellano se entiende que intimidad y privacidad son más o menos lo mismo –la información sobre el «ámbito privado» de las personas– en realidad son un poco diferentes. La intimidad es lo más absolutamente personal, en lo que nadie debería interferir, como por ejemplo las conversaciones privadas, el correo o el interior de tu casa. La privacidad, por otro lado, se refiere más bien a las cuestiones de carácter personal que tienen lugar en el ámbito público, como cuando uno va al cine, compra algo en una tienda o consulta un libro en una biblioteca. Los grados en que se pueden defender la privacidad y la intimidad varían un poco según las circunstancias, pero se consideran derechos constitucionales y están ampliamente protegidos por las leyes. En algunos casos –como en los de personas famosas o personajes públicos– el conflicto de la información pública y estos derechos suponen problemas de todo tipo. También es una situación anómala –pero no por ello inexistente– la violación de la privacidad y la intimidad de muchas personas, por ejemplo cuando se revelan secretos o conversaciones privadas o salen a la luz situaciones que se consideraban en el ámbito íntimo y personal. Con la llegada de Internet hubo quien pensó que todo lo digital sería una tremenda amenaza para ambas cosas. Muchos tomaron grandes precauciones. También surgieron en aquella época grupos que hicieron un gran trabajo, como la Electronic Frontier Foundation para defender un amplio abanico de derechos digitales, entre ellos el de la «privacidad digital» entendida en su sentido más amplio. Derechos como por ejemplo comunicarse sin que nadie pudiera interferir ni interceptar las comunicaciones, el derecho al anonimato, a no ser rastreado por empresas sin el consentimiento expreso y tantos otros. Curiosamente, con el paso de los años hemos asistido asombrados a una especie de curiosa paradoja en la Internet actual. Quienes pensaban que una de las principales preocupaciones de los usuarios de Internet sería proteger su privacidad vieron cómo a la gente en general no parecía preocuparles demasiado – al menos en la práctica. Incluso, al contrario, muchos propiciaban con sus actos volcar toda su intimidad en la Red, sin preocuparles demasiado lo que se pudiera hacer con ella. No se trataba solo de que la gente enviara correos electrónicos personales sin cifrar que podían ser fácilmente interceptados: es que se publicaban decenas y cientos de datos íntimos sin la más mínima precaución en todo tipo de soportes: foros, diarios, páginas web, bases de datos de contactos y, más recientemente, redes sociales. ¿Hasta qué punto era consciente la gente de lo que estaba haciendo? Probablemente, no mucho. La paradoja es en cierto modo equivalente a otras situaciones sorprendentes en otros ámbitos. Por ejemplo, mucha gente es muy recelosa de su privacidad pero, ¿quién hubiera pensado que también habría masas de individuos haciendo cola frente a los estudios de televisión para mostrar sus intimidades –literalmente– las 24 horas al día en un Gran Hermano frente a millones de televidentes? En cierto modo, temíamos al Gran Hermano… pero ahora muchos se arrojan a sus brazos y los demás disfrutan con ello. Incluso los más concienciados vuelcan sus escritos y pensamientos más personales en la Red, sus fotos, sus vivencias diarias… y no ponen demasiado cuidado en evitar poder ser rastreados, a veces sin ser conscientes de que aunque que las grandes empresas del marketing –por no hablar de otras entidades, o incluso gobiernos– puedan hacer con todo ello. En cierto modo, simplemente da igual: a veces es incluso ventajoso hacerlo. Hoy en día los millones de fotografías volcadas a Internet permiten a software especializado ubicar a cualquier persona por los rasgos de su cara gracias a los sistemas de reconocimiento facial – en el mismo Facebook, sin ir más lejos; sin duda lo mismo estará sucediendo con las imágenes de vídeo de las cámaras de vigilancia de los edificios y calles de las ciudades. Una indagación ligeramente más profunda permite saber desde dónde se conecta alguien, por dónde navega y qué información lee o qué ficheros transfiere. Si tienes un teléfono inteligente con GPS o te gusta jugar al FourSquare, puedes rastrear (y ser rastreado) por los amigos con un par de clics y saber por dónde andan en cada instante. ¿Quién dijo que prefería que nadie supiera por dónde estaba? Hoy en día es casi más ventajoso estar localizable para ahorrar tiempo, hacer nuevos amigos o trabajar de forma óptima. Tal vez la paradoja es que creíamos valorar más la privacidad que las ventajas que nos supone hoy en día compartir nuestra intimidad: un mayor contacto con los amigos y los seres queridos, la posibilidad de descubrir a gente nueva–y, lo más importante, ser descubiertos– o las ventajas del contacto instantáneo, permanente y en tiempo real con familiares y conocidos… en incluso con desconocidos, que de todo hay. ¿El siguiente paso? Ya hay quien está dispuesto a compartir lo más íntimo de lo íntimo: su código genético. Proyectos como 1000 Genomas y otros parecidos admiten, casi cual foro al que uno envía fotos, que se envíen perfiles genéticos completos para que los investigadores trabajen con ellos. Ya no se trata de compartir algunas curiosidades genéticas que otrora se habrían considerado íntimas, sino de enviar la secuencia genética completa que nos hace únicos. Probablemente no se pueda llegar mucho más allá en esta apertura pública de nuestra intimidad, excepto quizá cuando la tecnología permita hacer volcados completos del cerebro en tiempo real y subirlos a alguna especie de dropbox. Desde luego, los tiempos han cambiado mucho.

{Foto: My 1000 Friends (CC) Todd Huffman @ Flickr}

Cómo funciona la criptografía de clave pública, explicado en vídeo

Mon, 12 Mar 2012 10:26:12 +0100

Unos minutos de explicación muy divulgativa sobre uno de los sistemas de criptografía más revolucionarios de todos los tiempos – usado de forma ubicua en Internet. El problema de que Alice se comunique con Bob sin que Eve –que tiene pinchada la línea– intercepte los mensajes no es tan sencillo como parece, porque han de generar una clave, intercambiarla públicamente, etcétera. Aunque criptografía asimétrica es un término que suena un poco complicado, con este relato puede entenderse mejor la base de este sistema de claves públicas de forma fácil de entender.

Gran Hermano: la mujer cuya ficha policial consultaron 104 agentes «porque estaba buenorra»

Wed, 29 Feb 2012 12:52:44 +0100

En CityPages publicaron una curiosa noticia con una importante moraleja sobre qué sucede a veces con nuestra información personal y el acceso que las entidades públicas, incluyendo los agentes de las fuerzas de seguridad del estado, pueden hacer de ella. El caso es el de una mujer estadounidense de unos 37 años que había sido policía. Rubia, de ojos verdes y físicamente atractiva, su vida privada sufrió una extraña «invasión» cuando se corrió la voz entre los colegas de trabajo acerca de que «estaba de muy buen ver», de que participaba en competiciones de culturismo y actividades por el estilo. Unos 104 agentes de 18 agencias diferentes consultaron 425 veces sus datos personales: foto, nombre, dirección, teléfono y demás en la base de datos de Tráfico, que registra a todos los ciudadanos con carnet de conducir (en Estados Unidos es similar al DNI). Algunos llegaron incluso a llamarla para proponerle citas, como si tal cosa. El problema es que esa información personal está protegida por las leyes y no puede consultarla cualquiera así como así. De hecho los ordenadores registran quienes accede a las fichas (e incluso a veces ni eso, gracias a las puertas traseras) y esos cientos de agentes pueden tener ahora serios problemas con la justicia. Podemos imaginar lo molesta que resultó la situación para la mujer en cuestión. Pero también que si para una nimiedad como es conseguir un teléfono o una dirección para el ligoteo los agentes de la ley se saltan las normas, qué no harán cuando consideran que se trata de algo más importante –según su particular «criterio»–. Es un problema que viene de antiguo: ¿quién vigila a los vigilantes? La mujer va a denunciar el caso, y dice que no es una cuestión puntual, sino que a pesar de las restricciones legales, la policía utiliza esa base de datos como si fuera un Facebook, y que lleva años siendo así sin que nadie haga nada para impedirlo. Este caso ejemplifica perfectamente por qué hay tanta gente en contra de registros como los DNI, las cámaras de vídeo en las calles y otras medidas de «seguridad» consistentes en meter toda la información de la gente en grandes bases de datos. Más allá de la supuesta seguridad que proporcionan –que además sabemos que es poca– pueden suponer una importante violación de la privacidad y facilitar los malos usos, tanto por los propios agentes encargados de custodiarla como por quienes puedan sobornarlos o simplemente hackear esos sistemas en remoto y acceder a ellos. (Vía Neatorama.) Actualización: Como nos recuerda Iosu, otro terreno donde se producen este tipo de problemas es en el de los historiales clínicos informatizados; véase esta noticia reciente: El Servicio Navarro de Salud debe pagar 125.000 euros por un acceso «ilegítimo» a un historial clínico.

Deliciosamente irónico: ¿Quién caza a los cazadores? Otros cazadores más ingeniosos

Wed, 14 Dec 2011 20:44:53 +0100

Mencionábamos el otro día la existencia de la curiosa página informativa YouHaveDownloaded.com, que a partir de una dirección IP muestra qué ficheros se han descargado en las redes de torrents/P2P. La página actúa como forma de concienciar a la gente de que lo que se hace a través de Internet no siempre es tan anónimo como parece. Ahora en ElOtroLado.net cuentan la segunda y deliciosa parte de la historia: cómo la gente se ha entretenido en buscar en el servicios las IPs de empresas y entidades de lo más variopinto, con resultados… sorprendentes:

Los cazadores de BitTorrent cazados (…) en TorrentFreak han comprobado las IPs de las empresas de la industria de los contenidos. Así, publican que desde Sony Pictures se descargan releases de películas, series y música, así como desde NBC, Universal o Fox. Como curiosidad, desde las oficinas de Google se descargó una copia de Windows 7. También comprobaron cómo desde la sociedad de derechos de autor holandesa se han bajado series y videojuegos, pero ésta ha respondido que sus direcciones IP habían sido «usurpadas». (Los miles de usuarios P2P denunciados deberían tomar buena nota de su defensa).

Cazadores cazados, que probablemente no se denunciarán a sí mismos para no entrar en bucle visto el absurdo de todas las cuestiones que rodean estos temas.

Crypteks: el USB doblemente seguro

Wed, 07 Dec 2011 11:56:24 +0100

El Crypteks USB es un pendrive que además de utilizar un cifrado AES de 256 bits por hardware está diseñado en aluminio con cinco rodillos a modo de mecanismo de seguridad, a la antigua usanza: solo se puede abrir para enchufar si conoces la «palabra secreta» y luego la contraseña adecuada para acceder a los ficheros. Digamos que no es que no se pueda conseguir lo mismo con un pendrive normal y corriente del todo a 100, pero con uno de estos se puede hacer lo mismo con estilo. (Vía DVICE Atom Feed.)

Avances en hackeos pirómanos

Tue, 29 Nov 2011 22:21:37 +0100

Mmm… Repasemos las noticias de hoy, a ver… clic, clic…

Investigadores alertan que las impresoras se pueden hackear para que ardan en llamas (Fayerwayer)

Pse, lo habitual, nada alarmante. Ilustrativa foto, por cierto…

Una forma sencilla de comprobar si te ponen los cuernos gracias a un típico problema de seguridad

Thu, 24 Nov 2011 20:23:29 +0100

¿Puede un solo bit causar una catástrofe de pareja? Aparentemente, sí. Este pequeño pero absurdo problema de seguridad es típico de muchos servicios de Internet. Si quieres saber si alguien está registrado o no en un servicio web, basta que compruebes en la típica opción de Olvidé mi contraseña qué información te piden para recuperarla. Si se trata del correo electrónico –que hoy en día es lo más corriente– teclea cualquier cosa y comprueba la respuesta: si te confirma algo sobre si esa dirección está o no registrada en el servicio, he ahí un problema. Esto viene a cuento de una anotación que vi pasar por FayerWayer sobre SecondLove en México, una «red social de infieles, para él y para ella». Se supone que la gente se registra en SecondLove para ponerle los cuernos a su pareja e imagino que «compartir ideas, trucos y recursos» al respecto con otros aventureros de lo prohibido. Hasta ahí, todo bien. Eso sí: si sus parejas sospechan algo o simplemente quieren comprobar si están siendo corneadas oficialmente sólo tienen que ir a la página Recupera contraseña, teclear la dirección de correo de la otra persona como si la hubiera olvidado y esperar la respuesta. Si aparece «Todavía no eres un usuario registrado de Second love» se puede respirar tranquilo. Si, en cambio, responde que se acaba de enviar un correo… ¡Ooops! Cuidado al salir por la puerta, no te golpees con los cuernos contra el marco. El problema de seguridad es que el servicio te está transmitiendo una información que no debería dar a un extraño: el dato sobre si una cuenta determinada existe o no. Es un solo bit, pero crítico. Dado que los correos electrónicos identifican personas únicas, puedes saber si una persona está ahí o no está ahí. De hecho, muchos hackers/crackers que se infiltran en ciertos servicios primero prueban con esta técnica qué cuentas existen para luego atacar con diccionarios y otras fórmulas todas las contraseñas posibles e intentar entrar en ellas. ¿Cómo proteger un servicio de este absurdo pero incómodo problema? La alternativa más simple y segura para quienes los desarrollan es simplemente no confirmar lo que haya sucedido en la operación, respondiendo –como hacen muchos– con un mensaje genérico del tipo: «Gracias. Si la dirección de correo que usted ha tecleado está registrada en este servicio, recibirá un correo en unos minutos…» Asunto resuelto. Otra forma de enfocarlo es intentar registrarse con la dirección de correo de otra persona: si el servicio contesta «ese correo ya está registrado», ¡bingo! En cambio un servicio bien diseñado aceptará el registro con un simple y neutral «Gracias, hemos enviado un correo a su cuenta para que confirme el registro» (exista ya o no). El mensaje subsiguiente en el correo –que sólo llegará al verdadero propietario de esa dirección– será bien para un registro nuevo, bien para avisar de un intento de registro sobre una dirección no válida (por repetida). En el caso que nos ocupa, parece razonable pensar que ante la evidente pertenencia a una «red social para infieles» la excusa de «sólo estaba mirando» no cuela. El problema se alivia un poco suponiendo que la gente no es demasiado burra y usa un correo alternativo en vez de su cuenta personal o de empresa para registrarse en ciertos sitios (especialmente en una «red social para infieles») pero como bien sabemos no suele ser el caso. Eso sí, como aviso de que ha sido cazado por la parienta recibirá horas antes un bonito correo diciendo «Estimado usuario, usted ha solicitado cambiar la contraseña. Pulse en este enlace para iniciar el proceso…» En ese caso, quien piense Mmmm… ¡pero si yo no he pedido cambiar nada…! puede darse por cazado.

{Foto: The Prop Store of London: Minotaur costume from Voyage of the Dawn Treader (CC) PopCultureGeek.com @ Flickr}

000000

Tue, 06 Sep 2011 21:48:38 +0100

En este vídeo se puede ver cómo abrir una caja fuerte privada de esas que hay en los hoteles utilizando como contraseña 000000. Esto no quiere decir que todas las cajas de hotel se puedan abrir con ese código; solamente las de esa marca y en ese hotel concreto… O no. Se supone que 000000 es la contraseña secundaria por defecto en ese modelo y que por descuido, comodidad o vaguería la han dejado tal cual instalaron la caja. De hecho, no sería raro que esto mismo sucediera en muchos otros hoteles –y con otras marcas y modelos de caja– de forma consciente o inconsciente: mucha gente olvida su contraseña y es un trastorno abrirlas con una llave o tarjeta; de este modo todos los empleados pueden resolverlo en un plis-plas. (El vídeo por cierto lo vi pasar por Boing Boing.) Que 000000 o 0000 sea el valor por omisión de las contraseñas es algo habitual. Otras cajas o dispositivos pueden tener más o menos dígitos, usar 1234, 123456 o algo parecido. Como dicen en el vídeo no está de más probar que esto no sucede cuando entras en la habitación del hotel. Es mucho mejor evitar que alguien «con conocimiento» pueda llevarse limpiamente y sin dejar rastro tu pasaporte, dinero, ordenador o gadgets que creías seguros. Precisamente hoy venía pensando en escribir algo sobre un problema similar, que es el de las contraseñas que utilizan sistemas de seguridad y archivo que manejan datos muy personales, incluso aunque esté fuertemente limitado quién y cuándo accede a ellos. Supongamos algún sistema gestionado por el Estado, un cuerpo de seguridad o cualquier entidad (salud, banca, seguros) o empresa privada con nuestros datos más personales y delicados. Normalmente se guardarán con todo tipo de medidas de alta seguridad, cifrados, etcétera. Y probablemente existirá un log o registro donde se guarda información puntual sobre «quién-consulta-qué» para que en caso de darse una fuga de información se pueda saber qué trabajador accedió los datos. El problema es que muchísimos de esos sistemas tienen una puerta trasera incluida por los propios programadores o administradores de sistemas para evitar incomodidades: basta teclear 0000, 9999, 1234 o algo así para poder acceder sin que quede registro. Esto puede ser por varias razones, no necesariamente malicia: empleados que olvidan los códigos, consultas de prueba que no deben quedar registradas y demás. A veces se crea en el sistema un usuario dummy con 9999 como contraseña, para salvar el mismo problema. El caso es que esto permite dar un mal uso a un sistema que –por otro lado– probablemente sea bastante seguro. Todo esto viene porque el otro día vi a alguien en una oficina pública utilizar un 9999 para consultar unos datos importantes sin identificarse; también me han descrito cómo en ciertos sistemas se puede sacar información relevante de otros sistemas importantes sin dejar rastro usando trucos similares. Así de simple y así de inseguro. ¿Suena imposible? Bueno, más o menos como abrir la caja fuerte de un hotel sin saber la contraseña… y sin utilizar una palanca.

Al asalto de cajeros automáticos con cámaras térmicas

Wed, 31 Aug 2011 11:08:01 +0100

A la izquierda el teclado de un cajero; a la derecha la imagen infrarroja, tomada con una cámara térmica después de haber sido utilizado.

No es un método perfecto ni muy práctico, pero hay que reconocer que es bastante ingenioso. Lo ha estudiado un grupo de investigadores del Departamento de Ciencias Informáticas de la Universidad de California en San Diego. Se trata de utilizar una cámara térmica, que revela el calor de los objetos, para averiguar qué teclas se han pulsado en el cajero automático al introducir el número secreto o PIN de la tarjeta. Es decir, a cuáles de ellas se ha transferido calor del cuerpo al pulsarlas. Los autores del estudio pudieron leer el PIN en el 80 por ciento de los casos si usaban la cámara justo después de que el cliente se marchara; y hasta el 50 por ciento de las veces si transcurría hasta un minuto. Más allá las posibilidades de acertar se reducen a un 20 por ciento. El método sería aplicable, en teoría, todo es en teoría, en cerraduras por clave y similares. Entre los factores que degradan la efectividad del método están los materiales de las teclas (plástico o goma o metal), la forma en que las personas pulsan las teclas y toca el cajero y hasta la presión sanguínea del usuario, que contribuye a transferir más o menos calor durante su utilización. Además operaciones más o menos largas –incluso al teclear la cantidad de dinero a retirar– pueden dificultar averiguar qué las teclas correspondientes al PIN, y el orden. Lo anterior sin contar el coste de este tipo de cámaras (~12.000 euros) en comparación con una cámara en miniatura convencional. ¡Ah! y el hecho de que se puede anular el hackeo simplemente dejando reposar la mano sobre el teclado al terminar, para calentar bien todas las teclas. El estudio está en [PDF] Heat of the Moment: Characterizing the Efficacy of Thermal Camera-Based Attacks, vía Technology Review.

Los marcianos invaden la Tierra, pero Google tiene un plan...

Tue, 23 Aug 2011 12:43:43 +0100

(Imagen: DestroySites.com)

...para su supervivencia, claro. El equipo de seguridad de Google, formado por unas 250 personas repartidas en distintas oficinas del mundo, se dedica a evaluar riesgos, establecer medidas y resolver cualquier incidente que pueda afectar a sus servicios, plataforma y datos.

Para asegurar que la compañía es capaz de adaptar su servicio ante posibles desastres, Google rutinariamente pone a prueba a sus empleados sobre cómo manejarían distintas situaciones, incluyendo casos como una invasión alienígena de sus oficinas o la desaparición de California.

Para Eran Feigenbaum, director de seguridad de Google, manejar este tipo de escenarios es parte de un plan que asume que "lo ha sucedido lo peor",

La realidad es que los incidentes de seguridad suceden por distintos motivos. La cuestión es cómo reaccionamos ante ellos.

Respecto a la seguridad y fiabilidad que supone computación en la nube, Feigenbaum cree que, aún sin ser perfecto en ese aspecto, sí que resulta "tan seguro, si no más, de lo que la mayoría de las empresas tienen hoy". (Computerworld, The Next Web.)

Mundo Hacker TV: seguridad informática y hacking en la tele, todos los fines de semana de agosto

Sun, 07 Aug 2011 23:59:00 +0100

Mundo Hacker TV, que nació en la radio para luego saltar a la televisión por Internet a través de Globbtv, ahora va a poder llegar al gran público en Telecinco a través de Nosolomúsica. Será con cuatro programas especiales que se emitirán este verano, en horario muy «hackeril», a las 4.00 de la madrugada del domingo al lunes. (Lo que quiere decir que el primero es esta misma noche.) El programa se podrá ver en Telecinco, tras terminar Nosolomúsica, o bien a posteriori en en la web MundoHackerTV.com. El programa tiene un tono divulgativo, mucho sentido del humor y la intención de aproximar todo lo relacionado con la seguridad informática a la gente corriente de forma amena. Quien tenga unas mínimas nociones de informática y curiosidad por aprender encontrará en el programa un buen refugio para sus inquietudes. Actualización (8 de agosto de 2011): Aquí está el primer programa

Mundo Hacker TV: El cibercrimen

El pincho de memoria USB steampunk con seguridad estilo candado

Wed, 20 Jul 2011 08:00:00 +0100

Este pincho de memoria USB [original: en ruso] proviene de Steampunker, y combina una memoria moderna con un mecanismo estilo candado que permite utilizarla si se conoce la combinación. No es tan seguro como un sistema de identificación de huellas digitales pero bonito sí que es. En este otro enlace puede verse otra variante más elaborada todavía digna de novela de Julio Verne. (Vía Engadget.)

Regalando caballos de troya con forma de ratones USB

Sun, 03 Jul 2011 19:30:11 +0100

Esta es buenísima: una empresa de seguridad informática hicieron una prueba para ver cuán vulnerable podría ser una compañía si se pudiera «pinchar» algo en el USB de uno de sus ordenadores. Metieron un software llamado Meterpreter en una memoria USB camuflada como ratón, y lo enviaron como regalo a un empleado. Éste, que el día que explicaron lo de Aquiles y Troya no estaba en clase, pinchó el ratón, autorizó al antivirus McAfee a pasarlo por alto durante la instalación. ¡Listo! Ordenador controlado, acceso a la red, contraseñas tecladas… hasta la cocina, vamos. En el artículo donde cuentan este caso, Attack of the computer mouse (The H Security, vía FayerWayer) también dicen que es habitual hacer pruebas de este tipo, una combinación de ataque técnico e ingeniería social, que incluye «dejarse olvidado un USB por ahí» tras haber entrado en una oficina por cualquier razón. La gente lo encuentra, pincha y ¡bingo! Si a alguien le parece raro, simplemente recordar aquel estudio de hace años que explicaba que el 90% de la gente revela su contraseña a cambio de un bolígrafo barato si actúas como si les estuvieras haciendo una «encuesta».

Las 10 contraseñas de iPhone más populares

Mon, 13 Jun 2011 23:05:08 +0100

Una de cada siete personas utiliza alguno de los siguientes códigos a modo de PIN para bloquear su iPhone: 1234, 0000, 2580, 1111, 5555, 5683, 0852, 2222, 1212 y 1998. [Fuente: Most Common iPhone Passcodes de Daniel Amitay, vía The Next Web.]

25 años desde el desastre de Chernobyl

Tue, 26 Apr 2011 20:15:00 +0100

Chernobyl dos días después de la explosión

Hoy se cumplen 25 años del desastre de la central nuclear de Chernóbil, el más grave accidente nuclear de la historia. No es que fuera fácil que se este aniversario pudiera pasar desapercibido, pero desde luego lo de la central de Fukushima I en Japón, que ya ocupa el segundo lugar en la lista de los peores desastres de este tipo, se ha asegurado de que esto sea imposible. The Big Picture y la BBC tienen sendas galerías de imágenes en Chernobyl disaster 25th anniversary e In Pictures: Inside the Chernobyl nuclear power plant. Aparte del artículo de la Wikipedia enlazado arriba, la Pizarra de Yuri tiene una más que recomendable anotación acerca de los liquidadores que se encargaron de poner la situación bajo control en Los tres héroes de Chernóbyl.

Por qué usar Mail en el iPad/iPhone es una mala idea la mayor parte de las veces

Thu, 07 Apr 2011 19:42:00 +0100

El jefe hackeó la base de datos o cómo liarla poniendo un iPad/iPhone para leer el correo corporativo de la empresa es un artículo llegado desde el Lado del Mal acerca de las vulnerabilidades en el programa de correo Mail de los iPad de Apple. Directo y a la yugular:

Sin duda, lo peor de todo es que, en el año 2011 volvemos a tener un cliente de correo que por defecto hace la lectura de correo electrónico HTML haciendo peticiones de archivos vinculados. Y esto es un gran fail. Se pueden conocer la dirección IP [desde la que un usuario lee un mensaje], su operadora, la geolocalización si está usando Wi-Fi (…) la versión de iOS y sus exploits, los programas instalados en el iPad (…) De verdad, si has desplegado estos cacharros en tu empresa… lo siento, vas jodido. La seguridad es lamentable…

No es que sea un problema sin solución (se puede arreglar cambiando la configuración) pero, tal y como cuentan en el artículo original, la idea de que las opciones por defecto que Mail lleva incorporadas sean las más inseguras no parece una gran idea a primera vista.

Internet es una selva peligrosa a veces

Mon, 28 Mar 2011 10:13:00 +0100

Por un lado, hackearon la base de datos de MySQL.com mediante una inyección SQL, el colmo de las ironías cósmicas, lo cual por extensión afectó a la seguridad de las bases de datos MySQL de muchos clientes de la empresa. Por otro una empresa emisora de certificados llamada Comodo ha organizado un escándalo al emitir certificados digitales falsos para sitios como mail.google.com, login.yahoo.com, login.live.com y otros, liándola parda.

Metaproblema de seguridad: la compañía RSA, atacada

Fri, 18 Mar 2011 11:42:27 +0100

RSA, la legendaria firma de seguridad informática que ha desarrollado algunos de los sistemas que se utilizan en Internet y en todo tipo de productos informáticos de seguridad ha sufrido una intrusión, según cuenta el New York Times y reconoce su presidente en la web de la empresa. Al parecer un grupo externo llevó a cabo un «sofisticado ataque» mediante el cual accedieron a cierta información sobre SecurID, unas populares llaves autenticadoras de la compañía. Estas llaves las utilizan como solución de alta seguridad empleados de muchas empresas y organizaciones en todo el mundo. No está clara la dimensión del problema todavía, por lo que la compañía ha pedido cautela a los clientes que utilizan SecurID. El mayor problema del asunto estaría, como ha afirmado el experto en seguridad Whitfield Diffie, en que los atacantes se hubieran hecho con algún tipo de «clave maestra» que se utilice en los algoritmos de cifrado de los productos de RSA, con los que pudieran descifrar datos, romper códigos con mayor facilidad de lo que teóricamente es posible o suplantar a identidades en certificados electrónicos. (Vía MeFi.)

Twitter añade la opción de usar HTTPS por defecto para una navegación más segura

Tue, 15 Mar 2011 23:30:00 +0100

Aunque ya hace algún tiempo que se podía usar Twitter mediante una conexión cifrada mediante el protocolo HTTPS, había que acordarse de hacerlo yendo a https://www.twitter.com/ en lugar de a la dirección habitual (ojo con la s antes de los dos puntos). Pero a partir de hoy Twitter ha añadido la opción de activar las conexiones HTTPS por defecto sin que tengamos que acordarnos de ir a esa dirección especial. Para ello, basta con ir a la página de Configuración de tu cuenta y hacer clic en la opción «Usar siempre HTTPS»:

Después de volver a introducir tu contraseña, la opción queda activada; lo notarás porque todas las páginas que veas en la web de Twitter empezarán por https y si tu navegador tiene un icono para indicar conexiones seguras, también aparecerá. Con esto se evita que alguien pueda capturar tus credenciales cuando usas una red abierta no protegida como por ejemplo una Wi-Fi pública con herramientas como Firesheep y hacerse pasar por ti. Según cuentan en Making Twitter more secure: HTTPS esto funciona en la web de Twitter y con las aplicaciones oficiales para iPhone e iPad, pero no, por ejemplo, con los navegadores de los móviles como Safari en iOS, aunque están trabajando para solucionar esto. Otra cosa a tener en cuenta es que si usas un cliente de una tercera parte para acceder a Twitter y este no soporta HTTPS, tendrás que esperar a que lo actualicen para activar esta opción. (Vía Lifehacker).

Cómo navegar por Facebook con mayor seguridad, en un par de clics, usando también conexiones HTTPS.

Cómo navegar por Facebook con mayor seguridad, en un par de clics

Fri, 04 Mar 2011 12:24:50 +0100

Un consejo de seguridad de aplicación instantánea que encontré en Soaring on a Pig with Bread Wings: ir a la configuración de la cuenta de Facebook y hacer que todas las conexiones sean seguras (HTTPS), marcando el apartado Seguridad de la cuenta la opción Navegación segura y de paso Enviarme un correo cuando un dispositivo nuevo entre en esta cuenta. La primera opción sirve para navegar sin que nadie pueda interceptar el tráfico (por ejemplo, al usar Wi-Fi) y funciona con todos los navegadores; la otra te avisa cuando alguien entra desde un sitio que no es tu ordenador o móvil habitual. No cuesta nada activarlas y hacen más segura tu cuenta Facebook.

Wikileaks, Assange y la tecnología y criptografía que rodean al fichero secreto Insurance.AES256

Thu, 20 Jan 2011 19:22:15 +0100

Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas». Mucho se ha escrito sobre Wikileaks y mucho se escribirá, porque la historia de las filtraciones de la documentación secreta de las embajadas de los Estados Unidos y la persecución de Julian Assange no ha hecho sino empezar. Pero de todos los aspectos del asunto uno que puede intrigar a mucha gente es lo relacionado con el fichero denominado «Seguro de vida» (Insurance file), un archivo de 1,4 GB que Assange liberó a finales de julio y que es una misteriosa forma de «protección personal», de la que poco se ha hablado. El archivo original, llamado Insurance.AES256, se publicó en las páginas de Wikileaks. Esa misma página sufriría diversos ataques que la dejarían inservible a raíz de la publicación de la documentación en los periódicos de todo el mundo, hasta que fue clonada en diversas partes del mundo con el apoyo de miles de activistas. En cualquier caso, algunas personas pudieron bajarlo el archivo y lo distribuyeron rápidamente a través de P2P mediante el protocolo BitTorrent, de modo que cualquiera puede acceder a él. Es tan fácil como ir a The Pirate Bay o cualquier otro buscador de torrents, buscar «insurance» y descargarse el torrente con alguna de las herramientas adecuadas. A día de hoy hay más de 2.000 seeders o personas compartiéndolo, aproximadamente las mismas que intercambian los episodios de éxito de algunas series de televisión de moda: más que suficiente para garantizar que quien quiera pueda descargarlo. El contenido del fichero de Assange está cifrado. Eso quiere decir que tras descargarlo no se puede hacer nada con él si no se conoce la clave secreta. La misma clave que se usó para cifrar el mensaje sirve para descifrarlo. Puede ser algo tan simple como «SoyJulianAssangeYEstasSonMisRevelaciones» o una interminable ristra del estilo «ius/68768/#ATvs#jztKJJzcikqwmz89*ipshf…» La idea de Assange es que ese fichero sólo pueda ser descifrado si a él le sucede algo que provoque su muerte o le deje incapacitado, como por ejemplo si sufre algún extraño «accidente». Ni Assange ni nadie de Wikileaks ha explicado lo que contiene el archivo: sólo se pueden hacer suposiciones sobre lo que encierra. Hay quien cree que pueden ser todos los documentos completos que ha almacenado Wikileaks desde sus orígenes, otros que dicen que pueden ser una selección de los más altos secretos de los Estados Unidos. E incluso otra teoría bastante plausible afirma que tal vez no sean nada, simplemente un vacile de alguien que juega «de farol» amenazando con revelar algo en busca de su propia seguridad. La fórmula para la revelación del «seguro de vida» parece sencilla, pero también tiene su intríngulis. Si por ejemplo Assange hubiera revelado la contraseña a algunos colaboradores, debería confiar en que ninguno de ellos la usara antes de que a él le suceda algo malo. Si hubiera repartido la clave en trozos entre varios de ellos, con que alguno la perdiera o no pudiera usarla las del resto no valdrían de nada y el contenido se perdería para siempre. Si la hubiera escrito en algún lugar como en su testamento debería confiar en que quien lo guarda no fuera sobornado o coaccionado para revelarla (o que nadie la robara antes de tiempo). Si hay personas en el proceso, y se sabe que la seguridad del objeto protegido es tan débil como sea la seguridad del más débil de los eslabones que participan, las garantías no son muchas: las personas somos con diferencia más débiles, inseguras e impredecibles que cualquier otro sistema automático. Una solución tecnológica relativamente sencilla que probablemente habrá empleado el fundador de Wikileaks es lo que se conoce como dispositivo del hombre muerto. Assange es un hacker que no tendría problemas en programar un servidor en algún lugar remoto para enviar un mensaje con la clave secreta en el momento adecuado a un montón de gente a cuentas tales como las de los periódicos y emisoras de televisión. La fórmula sería similar a la que se emplea en esos dispositivos físicos «del hombre muerto» que protegen trenes, tractores y otro tipo de maquinaria pesada: mientras el operador mantenga activado el dispositivo, por ejemplo, pisando o pedal, o en el caso de Assange entrando cada semana en una página web que sólo el conoce, para reiniciar un contador, el mensaje no se enviaría. Pero si por alguna razón ese proceso de seguridad no se completa –señal de que el propietario ha muerto o está incapacitado para actuar libremente– los mensajes se lanzarían. Los dispositivos del hombre muerto se usan en las más diversas situaciones, algunas de ellas tan al límite como los detonadores de bombas que portan los terroristas en las películas (mientras mantienen apretado el botón nada sucede, pero si son abatidos y su mano lo suelta, todo vuela por los aires) o los aviones con armamento nuclear (cuando las armas están activadas, detonarán si el avión desciende más de lo debido, señal de que está fuera de control). En el caso del fichero de Assange, sería una forma un tanto enrevesada pero segura de publicar mundialmente la contraseña que abriría la caja de Pandora. Por otro lado, ¿podría alguien descargarse el archivo Insurance.AES256 y romper la clave de alguna forma, revelando su contenido antes de lo que Assange deseara? ¿Podría hacerlo el gobierno estadounidense o algún otro? En estas semanas han circulado diversos análisis sobre la seguridad del sistema de cifrado empleado para guardar el fichero en cuestión. El AES-256 (Advanced Encryption Standard) es la versión más robusta del sistema de cifrado simétrico «oficial» de los Estados Unidos. Reemplazó al conocido DES que gozó de gran popularidad desde finales de los 70 pero resultaba demasiado débil para los equipos actuales. El AES es muy parecido pero más seguro, con diversas versiones con claves de 128, 192 y 256 bits. Su funcionamiento es público, y se puede usar un programa como AES Crypt para cifrar y descifrar este tipo de ficheros. Para los comunes de los mortales, el AES es un sistema seguro y sencillamente indescifrable, sea cual sea el tamaño de la clave elegida. Para los expertos es también una fortaleza difícil de atacar, sobre la que se han publicado muchos estudios pero sin que hayan surgido vulnerabilidades claras. Para los gobiernos capaces de invertir ingentes sumas de dinero, capacidad de cómputo y mentes criptográficas también parece un reto insuperable. Ni siquiera sirve de mucho la «fuerza bruta» que a veces se emplea para comprobar todas las claves posibles: el número de opciones posibles es simplemente demasiado grande como para que se puedan probar todas y completar un ataque en un tiempo razonable. El único resquicio de duda que queda en el mundillo de la criptografía es alguna ligera debilidad que los teóricos encontraron en el AES dependiendo del tamaño de bloques utilizados. En concreto algunos estudiosos consideran que el AES-256 es ligeramente más inseguro que el AES-192 o el AES-128 bajo ciertas circunstancias, lo que haría cuestionar si que Julian Assange usara AES-256 fue una buena idea dado que en cierto modo podría no ser tan seguro como parece. Y si una figura tan reputada como Bruce Schneier recomendó el año pasado usar AES-128 en vez de AES-256 por algo será. De todos modos, no parece claro que esa debilidad sea suficiente para que alguien pueda descargar el fichero y atacarlo hasta el punto de descifrarlo. De momento todo parece apuntar a que el «seguro de vida» de Assange permanece seguro y cifrado y que aunque mucha gente lo ha descargado nadie ha podido descifrarlo todavía, idea que por cierto abre en sí misma todo un abanico de cuestiones al respecto: ¿Sería ético? ¿Legal? ¿Útil? Podría decirse que la combinación de la alta tecnología de los más avanzados sistemas criptográficos y la relativamente baja tecnología de algo tan básico como un «dispositivo del hombre muerto» están resultado prácticos hasta el momento para los objetivos del fundador de Wikileaks. { Foto: Manifestación Wikileaks Zaragoza (CC) Sombrerero Loko }

En la Rusia Soviética todo ese spam se lo enviarían a él

Sun, 05 Dec 2010 09:28:29 +0100

El FBI asegura que un tercio del spam mundial procede de un ruso de 23 años. Al parecer el tipo está detrás de una de las mayores botnets de la Red. (Vía Slashdot.)

¿Quién protege a los que nos protegen? (de los virus informáticos)

Thu, 21 Oct 2010 23:19:38 +0100

La página de descargas de Kaspersky, hackeada para difundir antivirus falsos, otra demostración de que esto es una jungla y de que la realidad supera a la ficción: la página web de los que nos protegen de los virus, desprotegida e infectada con virus.

Stuxnet: el «ciber-arma» que se los está poniendo por corbata a media comunidad de seguridad e inteligencia

Fri, 24 Sep 2010 20:54:19 +0100

Lo acongojante del caso Stuxnet, una especie de medio virus medio gusano medio vaya usted a saber qué, no es su malignidad, bastante chunga según dicen, sino el tipo de ataque que está preparando. La información es confusa cuando menos, pero según unos Stuxnet está diseñado para controlar procesos industriales, como los que gestionan aeropuertos, sistemas de generación de energía y refinerías (se menciona entre otros el software SCADA de Siemens); según otros, su objetivo final es destruir una planta nuclear en Irán. Cuando hice una nota rápida el otro día sobre el tema, todavía parecía simplemente un feroz hijo de puta, pero visto lo visto hoy casi se diría que es una amenaza mundial. Definitivamente, el MundoReal™ se parece cada vez más a Juegos de Guerra. Igual que dicen que no debes asustarte al viajar en avión cuando hay turbulencias, sino cuando ves el miedo en la cara de las azafatas, aquí empiezan a leer análisis que no levantan precisamente el ánimo. ComputerWorld lo califica como el malware más malo maloso de todos los tiempos, un código diseñado por «un amplio grupo de expertos que sin duda le ha dedicado grandes recursos»; en Zerohedge hacen un excelente resumen donde lo describen como «un arma de precisión dirigida a destruir un objetivo del Mundo Real, todavía desconocido». Hasta nuestro admirado Bruce Schneier, el mismísmo Chuck Norris de la seguridad informática, lo califica de «impresionante», tal vez el mismo tipo de impresión a modo de admiración que le dejaba a Ash la mortífera y letal precisión del Alien que llegó a la nave Nostromo. Al parecer la «criaturita», que se detectó en junio pasado pero puede llevar muchos más meses dando vueltas por ahí, ha afectado ya a 45.000 sistemas de control industrial de todo el mundo, aunque principalmente en Irán, Pakistán, India e Indonesia. Según el artículo de ComputerWorld, Stuxnet utiliza no una sino cuatro vulnerabilidades de tipo zero-day (agujeros de seguridad totalmente desconocidos hasta el momento) localizadas en Windows para colarse en los ordenadores y propagarse por Internet. Veremos en qué acaba el asunto, pero desde luego parece que ha pasado de ser una mera anécdota. Aunque imagino que si está ya detectado y localizado estarán analizándolo a fondo y tomando medidas en todas partes del globo para erradicarlo tan pronto como sea posible y evitar males mayores.

Lo que Internet sabe de ti

Tue, 17 Aug 2010 22:32:24 +0100

What the Internet Knows About You, inquietante curiosidad.

Una idea sobre contraseñas: sistemas más seguros sin perder flexibilidad

Tue, 20 Jul 2010 08:00:00 +0100

Unos investigadores de Microsoft han tenido una idea que han denominado cómo proteger las contraseñas de ataques estadísticos, que encontré resumida en Technology Review. La idea es tan simple como probablemente efectiva: en servicios web que utilizan miles y miles de personas, y igual que los «nombres de usuario» no se puede repetir, las contraseñas tampoco se pueden repetir cuando alcanzan cierta «popularidad» predefinida. De este modo la mayor parte de los usuarios se encuentran al poco tiempo de emplearse este sistema con la prohibición de usar contraseñas como 123456, password o qwerty (algunas de las «más habituales» del panorama). Lo único que se me ocurrió es que un atacante de esos que prueban miles de contraseñas populares «a ver si alguna cuela» podría adivinar usando este sistema cuándo cierta contraseña ha sido usada, pero… que mucha gente va a usar 123456 ya lo conoce de antemano. Lo que hace el sistema además es bloquear el acceso de un usuario si comprueba que hay demasiados intentos fallidos con diversas contraseñas (ataque por diccionario a una cuenta concreta) o alternativamente demasiados intentos de entrar a diversas cuentas con la misma contraseña (ataque buscando qué usuarios tienen contraseñas «populares»).

Trucos fáciles para mejorar las contraseñas de uso cotidiano, consejos
Seguridad en la oficina: seis errores típicos
No le enseñes tu contraseña a tu loro, impactante consejo
¿Cómo hace Bruce Schneier para recordar todas sus contraseñas?, sabios consejos del Chuck Norris de la seguridad informática

Cómo hackearon los registros de los primeros iPad 3G para hacerse con 114.000 direcciones de correo

Sat, 12 Jun 2010 11:17:46 +0100

En el siempre recomendable Security by Default tienen un excelente resumen de la historia de las 114.000 direcciones de correo «capturadas» a los primeros compradores de los iPad en Estados Unidos: ¿Buscas 114.000 correos de gente influyente? Razón: AT&T. Fue obra de los hackers de Goatse Security, un grupo que se dedica a investigar y exponer al público problemas de seguridad. El problema fue un error de diseño en la web de AT&T que es la operadora 3G con la que se registran los iPad que llevan ese tipo de conexion móvil; mediante los números de serie y algunos detalles más era posible consultar los correos de los propietarios y recopilarlos uno a uno. Con un poco de habilidad y paciencia crearon un generador de números de serie para ir pidiéndolos todos –algo que nadie detecto–. Especialmente ingenioso es que lo hicieron a partir de algunos números de serie que se veían en fotografías que la gente publicaba en Internet. Otra derivada del problema es que los correos recopilados durante el el incidente son especialmente jugosos: early-adopters, gente del mundo de la tecnología, prensa especializada, de compañías punteras y demás. Como dicen en Security by Default:

Lo que darían ciertas empresas y mafias organizadas de ciberdelicuentes por esos 114.000 contactos de «peces gordos» con información confidencial y útil en sus PCs. ¿Os imagináis una campaña de phising o ingeniería social correctamente dirigida contra los contactos adecuados? ¿O lo que supondría instalar un troyano especialmente creado para los iPad de este tipo de personajes?

Cuestión de percepciones sobre la seguridad cotidiana

Tue, 01 Jun 2010 15:12:50 +0100

Interesante dato: Las maletas precintadas sufren más robos que las no protegidas.

Según una encuesta realizada por la OCU entre 10.000 viajeros en 150 aeropuertos de todo el mundo, las maletas precintadas con el objetivo de aumentar la seguridad sufren más robos (un 3,4%) que las no protegidas (0,9%).

Son las consecuencias de aumentar la seguridad de algunos sistemas de forma «visible»: al hacerlo se delata a los potenciales criminales de que pueden contener algo valioso. Y como triste conclusión, una lamentable realidad:

La obsesión por la seguridad puede acabar creando una psicosis de peligro.

{ Foto (CC) Booleansplit }

Abrir maletines con combinación es una cuestión casi trivial, prueba 000

Thu, 27 May 2010 11:36:53 +0100

Aproximadamente tres de cada cuatro maletines están protegidos por la combiación numérica 000, que es la que viene de fábrica. La mayor parte de la gente simplemente no la cambia. El dato empírico lo obtuvo un profesor de la Universidad de Nueva York tras entrevistar a cien personas por la calle. [Fuente: Guía para Sobrevivir.]

Así es por dentro un DNI electrónico

Fri, 09 Apr 2010 20:16:56 +0100

Análisis de la estructura interna del DNI-E, publicado en 48Bits Blog, es un documento muy técnico a la par que muy interesante sobre cómo está codificada la información contenida en los DNIe (DNI electrónicos españoles). El contenido se divide en una zona privada, otra pública y otra de seguridad, donde hay todo tipo de certificados y claves. Entre otras cosas están incluidas digitalmente la fotografía y la imagen de la firma del propietario, además del resto de datos personales y otros que sólo pueden leer los cuerpos y fuerzas de seguridad. (Vía, cómo no, Kriptopolis.) Actualización (10 de abril de 2010): José Luis explica en su blog lo que es VALIDE, un servicio de validación de firma y certificados, para consultar la validez de un documento firmado electrónicamente, realizar una firma electrónica, comprobar la validez de un certificado digital emitido por cualquier entidad de servicio de certificación reconocida, etcétera.

¿Qué es SITEL? Explicaciones sobre el sistema español para interceptar comunicaciones telefónicas

Sun, 31 Jan 2010 12:13:29 +0100

SITEL es una herramienta que sirve para interceptar las llamadas telefónicas fijas y móviles, SMS y navegación por Internet. Está en manos del Ministerio del Interior español y a él pueden acceder los cuerpos y fuerzas de seguridad del Estado y el CNI, lo cual se hace en colaboración con todas las operadoras de telefonía. Lo que rodea a este sistema –que lleva unos seis años en funcionamiento– siempre ha sido poco claro, pero toda la información que se ha podido recopilar en este tiempo permite hacerse una idea de su capacidad. El otro día en La rosa de los vientos, de Onda Cero, el experto en periodismo de investigación y espionaje Fernando Rueda explicó en un pequeño informe tan esperado como aclaratorio las características de SITEL. Aquí se puede oír ese interesante fragmento procedente de la sección Materia Reservada del programa, extraído de su edición #469 (24 de enero de 2010) desde la página Rosa Vientos Podcast que los recopila cada semana. [MP3, 13 min.] [Los fans del programa pueden suscribirse también al podcast en MP3 en iTunes Store: RosaVientosPodcast.com].

Entre algunas de las cosas que menciona Fernando Rueda, así como otras que se han publicado en diversos medios de comunicación y sitios de Internet…

El sistema puede grabar llamadas de voz completas de fijos y móviles, siempre a partir del momento en que se decide interceptar las comunicaciones de una persona. En otras palabras: no graban continuamente todas las conversaciones, sino sólo a partir de que comienza un seguimiento. Esto también es válido para el tráfico de datos de Internet, que puede capturarse al completo, incluyendo navegación, ficheros transferidos o voz sobre IP.
Los mensajes móviles (SMS), en cambio, están siempre disponibles, así como la información de quién-llama-a-quién. Probablemente porque son datos más fáciles de archivar por su reducido tamaño. Se pueden recuperar incluso muchos meses después de que se hayan enviado. (En este sentido, quedan siempre archivados).
Gracias a las redes de telefonía digitales, las interceptaciones son de calidad perfecta. Esto era un problema con los «pinchazos» que se realizaban antiguamente, que dependían a veces de la distancia hasta el objetivo. Con SITEL todo esto se hace desde las propias redes de las operadores de telefonía, y llega digitalmente a un servidor central en tiempo real. Incluso se pueden transmitir a agentes de campo también en tiempo real, si van equipados con portátiles, muy al estilo Jack Bauer.
Junto con la información de las comunicaciones se guarda el geoposicionamiento físico de los teléfonos y otros datos. De los teléfonos fijos se conocen los datos de los contratos de los titulares y sus direcciones (no solo del «espiado», también de sus interlocutores, sean quienes sean); en los móviles se guarda la ubicación geográfica en función de las celdas de telefonía (antenas) a las que estaba conectado el móvil, aunque no está claro si con precisión a nivel de triangulación o no.
Según la ley, las interceptaciones de estas comunicaciones deben estar autorizadas por una orden judicial.

Aparte de todo esto, los interesados en los tecnicismos y las posibilidades de este sistema encontrarán interesante echar un vistazo a:

SITEL en doce preguntas, un artículo divulgativo en forma de preguntas y respuestas, que incluye algunas sobre su uso en algunos casos en España, y sobre sistemas similares en diversos países
Sobre el Sistema Integrado de Interceptación Telefónica (SITEL), con información pública detallada que se ha hecho público en juicios por parte de peritos que describen el sistema y enlaces a diversos documentos oficiales del Ministerio del Interior
SITEL requiere un control, un artículo en la Asociación de Internautas.
SITEL en la Wikipedia; no hay gran cosa, así que tal vez alguien quiera animarse a completarlo con referencias apropiadas.

Este sistema de interceptación de las comunicaciones lo encargó el Gobierno español en el año 2001 y entró en funcionamiento en 2004.

Solitario: el curioso sistema criptográfico que cifra información con una baraja de cartas

Mon, 25 Jan 2010 12:48:50 +0100

Este artículo se publicó originalmente en Cooking Ideas, un blog de Vodafone donde colaboramos semanalmente con el objetivo de crear historias que «alimenten la mente de ideas». Cuando el autor de novelas de ciencia ficción Neal Stephenson escribió hace una década una de sus más conocidas obras, el Criptonomicón, pidió ayuda a expertos de diversos campos del conocimiento. Quería que la veracidad del mundo de alta tecnología que estaba imaginando fuera lo más realista posible. Uno de los elegidos fue Bruce Schneier, uno de los más conocidos analistas en temas de seguridad y técnicas criptográficas. Lo que surgió de esa colaboración enseña unas cuantas lecciones sobre algunos aspectos de la criptología, ese interesante campo medio de la matemática medio de la la informática: los códigos secretos y cómo transmitir información de forma segura de un lugar a otro. Stephenson necesitaba una forma en que sus personajes se comunicaran de forma secreta, sin que pudiera ser detectada, aunque fuera un tanto rústica. El ingenioso invento creado a medida de Schneier para la novela resultó por tanto ser más bien de baja tecnología: un sistema de cifrado que empleaba una simple baraja de cartas, al que llamó Solitario. La forma en que funciona Solitario (denominado Pontifex en la novela) es bastante básica aunque tediosa. Se basa en la idea de que una baraja francesa (de póquer) con sus 54 cartas –incluyendo los dos comodines, que han de ser distintos– puede ordenarse de millones de formas diferentes. En concreto existen 2,3 × 10⁷¹ formas de ordenar todas las cartas. Cada una de esas ordenaciones puede interpretarse como una clave, con la que cifrar textos compuestos por 26 letras diferentes (ignorando los espacios, por simplificar). En el cifrado o descifrado del mensaje, cada letra del original se «mezcla» mediante sumas y restas, según ciertas reglas, con una de las letras de la clave. Repitiendo los mismos pasos una y otra vez el resultado es un texto aparentemente ininteligible. La persona que reciba el mensaje puede, utilizando una baraja ordenada de forma idéntica, aplicar sobre ese mensaje cifrado la clave para recuperar el texto original, descifrándolo. En la novela, el personaje de Enoch Root describe cómo funciona Pontifex a Randy Waterhouse, otro de los protagonistas, de modo que entre ambos pueden intercambiar mensajes una vez consiguen dos barajas ordenadas del mismo modo. El principal problema de este tipo de criptosistemas suele ser la debilidad de la clave, que es la misma para los dos interlocutores y que podría ser interceptada por un tercero. Pero, ¿a quién le podría parecer que en una baraja de cartas desordenadas que va en la maleta podría ir guardada una clave de alto secreto? Como método alternativo, si ambos interlocutores están lejos y no pueden hacer el intercambio de forma segura en persona, se sugiere utilizar los juegos como el bridge que a veces se publican en los periódicos, acordando de antemano qué periódico y de qué día observar, así como las reglas sobre cómo ordenar las barajas con esa información. Todo lo que rodea a este criptosistema Solitario enseña algunas cosas interesantes sobre criptografía, que podrían resumirse en:

La «seguridad mediante oscuridad» no funciona: El sistema ideado por Schneier es matemáticamente seguro: se ha calculado que equivale más o menos a una clave de 236 bits. El hecho de que Solitario sea público y notorio y de que la novela haya alcanzado popularidad no le resta validez ni seguridad. El único punto crítico es que las claves (las barajas) se puedan intercambiar de antemano con seguridad. Si eso se hace correctamente, y si luego se utiliza una contraseña (frase) suficientemente segura, no hay problema aunque el «enemigo» conozca el sistema que se está usando. Idealmente basta una contraseña de 64 letras.
Un criptosistema es tan seguro como lo son sus claves. Es importante generar la clave correctamente e intercambiarla con el interlocutor de forma segura. De poco sirve generarla de forma correcta pero luego enviarla por correo electrónico o por teléfono, si el correo o el teléfono pueden ser interceptados.
Utilizar objetos comunes sirve para despistar al enemigo. Si se oculta una clave en una baraja dentro de una maleta, tal vez alguien sospeche de que estás utilizando un sistema como solitario; si tienes una caja fuerte llena de barajas o revistas de bridge, eso será una pista inequívoca de dónde están tus claves. Es mejor manejar las claves de la forma menos incriminatoria posible, y probablemente llevar una baraja desordenada en una maleta es una de ellas.
Nunca hay que cifrar dos mensajes con la misma clave. Esta es una regla que se aplica a muchos sistemas criptográficos básicos, sobre todos los que constan de un libro de claves y una serie de letras que se aplican para cifrar, descifrar y luego desechar. Si se reciclan las claves se está dando una valiosa pista al enemigo, que podría adivinarlas examinando las diferencias entre los textos cifrados. Esto mismo debe aplicarse a solitario, aunque sea un poco tedioso cifrar y descifrar los nuevos mensajes.
Es mucho mejor si los mensajes a cifrar son cortos. Cuanta menos información haya que manejar, menos fallos y menos datos que transmitir y que puedan ser interceptados y analizados.

Otra de las curiosas anécdotas de solitario ilustra cómo de extraña ha sido la política de los Estados Unidos respecto a los productos criptográficos en las últimas décadas. Según explicó en su día el experto Jesús Cea Avión, solitario es un sistema que potencialmente es «difícil» de descifrar, con una clave de 236 bits. Por esta razón es considerado por el gobierno estadounidense una «tecnología de doble uso» como también lo son las minas, las balas de ametralladora y algunos otros productos. ¡Pero… es una baraja de cartas! La situación al respecto es tan absurda que los programas de ordenador escritos para funcionar mediante la técnica de solitario no pueden ser exportados legalmente por estar sujetos a las leyes militares. Pero sin embargo, la libertad de expresión escrita está «por encima» legalmente, de modo que puede describirse cómo funciona el algoritmo –e incluso incluirse un listado con el código, como se hizo en la novela– en un libro impreso, y exportar ese libro fuera de los Estados Unidos. ¿Lo mejor de solitario? Que a diferencia de las claves secretas y mensajes que manejaban Mortadelo y Filemón, una vez leídos los textos basta mezclar la baraja unas cuantas veces para que no quede ni rastro de las claves que se utilizaron… sin necesidad de comérselas.