En varias ocasiones hemos hablado y reportado en este blog sobre diversos casos de phishing, técnica que consiste en la obtención de información sensible como nombres de usuarios y contraseñas a través de la suplantación de la imagen de una conocida compañía que simula pedir ese tipo de datos utilizando amenazas verbales como que si no se ingresa lo solicitado, la cuenta será deshabilitada. A diferencia del malware que puede robar este tipo de datos automáticamente, en los ataques de phishing es el usuario quien suministra la información de forma manual una vez que el cibercriminal ha logrado convencerlo de hacer tal acción.

En este caso el blanco elegido por los atacantes no es ni un banco, aerolínea o tarjeta de crédito, es Twitter, conocida red social que se caracteriza por su estilo acotado de 140 caracteres y el gran alcance mediático que generan los mensajes que son compartidos a través de la misma. Abusando de todas esas ventajas, los ciberdelincuentes están empleando como temática de Ingeniería Social, afirmaciones que apelan directamente a la curiosidad de la potencial víctima. Tweets o mensajes en inglés sobre supuestos rumores malintencionados o cosas “muy malas” son los ganchos que buscan cautivar al usuario para que haga clic sobre el enlace fraudulento. Si la persona no es precavida y sigue dicho hipervínculo, estará ingresando a un sitio malicioso que solicita las credenciales de acceso a Twitter. Para hacer más real el phishing, se utiliza la excusa que esa información es necesaria debido a que ha transcurrido un período largo de inactividad por parte del usuario y que la sesión ha sido cerrada como medida de seguridad.

Aunque por el momento sólo se han detectado mensajes en inglés, es posible que este ataque de phishing sea traducido a otros idiomas como el español con tal de aumentar aún más la cantidad de afectados. Realizando un análisis detallado hemos encontrado que al menos 31.000 usuarios han sido víctima de este phishing, quedando a merced de los ciberdelincuentes información como nombres de usuarios, correos electrónicos y contraseñas. En este último punto nos detendremos un poco: pese a que el principal error de toda esta situación es la entrega de información sensible siguiendo enlaces sospechosos, las contraseñas que escogen los usuarios suelen no ser aptas ni robustas, hecho que pudimos constatar nuevamente. De las 31.000 credenciales sustraídas, la mayoría están formadas por ocho caracteres, sin embargo, en reiteradas oportunidades observamos que a pesar que la longitud de la claves es relativamente larga, estas pueden ser vulneradas en pocos segundos y además, están formadas por frases fáciles de adivinar como twitter1 o la repetición de una palabra varias veces como es el caso de boysboysboys.

Ver m�s… »

Categories: Alertas, Redes Sociales
5 Comments »

El siguiente post está basado en una publicación realizada por Cameron Camp en el blog de ESET en inglés.

Recientemente, nuestro colega e investigador en seguridad de ESET, Cameron Camp, se ha suscrito a Pinterest.com, red social que en la actualidad está de moda. Su particular estilo permite que las personas compartan sus intereses con otras a través de un servicio web similar a un foro, pero que emplea tablones de anuncios visuales como forma de comunicar y graficar aquello que le resulta interesante y digno de destacar al usuario. De esta forma, se genera un proceso en donde los amigos de este opinan sobre el tópico planteado (pinned), generándose así, un ranking de popularidad por área sobre los temas que son debatidos por las personas que utilizan el servicio. Aquellos tópicos más populares, relevantes o recientes, aparecen primeros en la parte superior de la página. Por otro lado, Pinterest está muy bien integrada con otras redes sociales como Facebook y Twitter, a tal punto de ser un requisito poseer una cuenta en algunos de los mencionados portales para poder suscribirse a la misma.  Además, dicha característica permite importar información personal de los usuarios de esos servicios para crear un compuesto visual de lo que puede ofrecerle Pinterest al internauta en base a sus preferencias.

¿Es esta nueva red social popular? Absolutamente sí, y los números afirman eso. Los creadores y dueños de esta red social parecen haber acertado en el blanco perfecto. Según relata Camp, la idea detrás de Pinterest resulta tremendamente adictiva. Esto, porque se trata de una red social completamente personalizable en donde los usuarios encuentran y comparten escrita y visualmente, temas con otras personas de gustos similares. Alguna vez se dijo que Twitter sería una idea difícil de vender, sin embargo, el éxito que la misma ha experimentado demostró lo contrario, algo que estaría reflejándose nuevamente  en Pinterest y su novedosa forma de comunicar.

La idea de este post es compartir con los lectores, las etapas relacionadas con la creación de una cuenta en Pinterest.com, las configuraciones de seguridad disponibles, como también, una seria de medidas que pueden ser implementadas para poder disfrutar más tranquilamente, la experiencia que ofrece esta nueva red social.

Antes de comenzar, debemos destacar que aquellos que posean una cuenta, pero no se hayan tomado el tiempo de configurarla correctamente, sino que utilizaron las opciones de fábrica, están expuestas a un posible envío de información personal, tanto de forma semiautomática como por la ayuda de amigos que sin saberlo, podrían publicar algo comprometedor. Permitir de fábrica, que la información sea compartida con prácticamente cualquiera por defecto, es algo que puede traer consecuencias graves. Por lo mismo, un bloqueo selectivo es un buen enfoque a implementar.

Empecemos desde el comienzo. Si el usuario aún no se ha inscrito, el proceso para obtener una cuenta en Pinterest resulta más difícil de lo que aparenta ser. Primero, se pasa a estar en una lista de espera para ser invitado. Dicho proceso puede ser agilizado si un conocido que ya utilice este servicio, envía una invitación directamente. Este sistema de inscripción a través de invitaciones es similar al que una vez empleó de forma exitosa, Gmail.

Una vez que la invitación ha sido recibida, el proceso continúa así:

En este caso, se utilizó Facebook como ejemplo, por lo tanto, cuando se hace clic en dicho botón, el usuario es dirigido al sitio de Facebook en nombre de Pinterest, como lo muestra la siguiente imagen:

Ver m�s… »

Categories: Redes Sociales
2 Comments »

Cada mes los lectores comparten con nosotros tendencias y estadísticas sobre diversos temas que se plantean contestando las encuestas que preparamos mensualmente en ESET Latinoamérica. Con respecto a la de enero, la temática escogida abordó el tema de las redes sociales y cómo los usuarios comparten información sensible a través de las mismas.

El masivo auge que han experimentado servicios como Facebook y Twitter debido a sus características únicas como la posibilidad de compartir información y noticias logrando un alto alcance e impacto en pocos segundos, o la posibilidad de reencontrarse con personas a las cuales no se les ha visto en harto tiempo, han provocado que los usuarios cambien sus hábitos con respecto a qué datos publican a través de la red.

En el siguiente gráfico se puede apreciar el porcentaje de utilización de algunas redes sociales según las estadísticas recopiladas:

Ver m�s… »

Categories: Estadísticas, Redes Sociales
No Comments »

Hace aproximadamente un mes, fue lanzada la versión 3.73 del firmware para la consola Playstation 3 de Sony. Después de eso, no pasó mucho tiempo hasta que el investigador francés Mathieulh se las arregló para descifrar el archivo lv0.elf. Esto permitiría a los usuarios utilizar en la consola, aplicaciones de terceros o que no estuvieran debidamente firmadas.

Mathieulh publicó una captura en donde se puede observar el descifrado del archivo en la versión 3.73 del SDK:

Algunos usuarios ya estaban esperando que él hiciera pública la vulnerabilidad, no obstante el investigador espera poder tener algún tipo de contacto con la empresa antes de mostrarles a los usuarios como vulnerar el firmware de la consola.

En su cuenta de Twitter, se puede observar como el desarrollador confirma su postura negativa a la publicación de las claves, dumps y demás información sobre cómo vulneró el firmware:

Ver m�s… »

Categories: Alertas
2 Comments »

La semana pasada comentamos con ustedes acerca de cómo desactivar la geolocalización desde los distintos sistemas operativos para dispositivos móviles, de esta manera al tomar alguna fotografía y compartirla no se revela la ubicación del usuario. De igual manera que para los smartphones, hoy vamos a repasar cómo hay que hacer para no compartir las coordenadas geográficas en las redes sociales.

Según la red social, el usuario puede elegir con quiénes comparte su ubicación y con quiénes no. Este tipo de funcionalidades podrían permitirle a un atacante conocer en dónde se encuentra la víctima en tiempo real, y qué es lo que la misma está haciendo. Una vez más remarcamos la importancia de configurar las opciones de privacidad y seguridad para conocer con quién se comparte la información y cuándo.

Facebook es la red social con más usuarios a nivel mundial, y en Latinoamérica es utilizada por una gran cantidad de personas a diario. Entre las últimas funcionalidades provistas por la red social se encuentra Lugares, una aplicación que permite compartir con los contactos la ubicación del usuario, o que sus amigos lo etiqueten en distintos sitios. Esta opción puede ser útil para mantener actualizado a los contactos acerca de qué es lo que está haciendo el usuario y en dónde está. Por otro lado, si no se cuenta con una buena configuración de privacidad, el usuario podría estar publicando abiertamente su ubicación.

La configuración de esta funcionalidad se encuentra en la sección de privacidad de la cuenta, desde dónde se puede habilitar o deshabilitar. Algo a remarcar de esta funcionalidad es que en caso de que el usuario tenga la aplicación de Facebook instalada en su smartphone y la misma se encuentra activada, automaticamente estará compartiendo su ubicación con cada actualización que haga. Para evitar esta situación el usuario debe desactivarla desde la página web, accediendo al Menú-> Configuración de la privacidad. Una vez allí acceder a la opción de configuración de Cómo funcionan las etiquetas y deshabilitar la función de “Tus amigos pueden indicar dónde estás”:

Ver m�s… »

Categories: Educación, Tutoriales
1 Comment »