Estafas a través de WhatsApp
Usamos con una insensata facilidad WhatsApp, por la rapidez, por mantenernos en contacto con amigos y familiares o para tener conectados grupos de diversa índole. Tan fácil nos lo ponen que somos incapaces de pensar lo que ocurre con nuestros datos o algo tan sencillo para los delincuentes como estafar a los seguidores de esta mensajería instantánea.
La historia de WhatsApp es realmente un relato de éxito. Esta aplicación de mensajería instantánea para teléfonos inteligentes fue desarrollada por el estadounidense de origen ucraniano Jan Koum y el estadounidense Brian Acton en los años 90. Se lanzó al mercado en 2009. Su inmediato éxito, desplazando los mensajes SMS que todos usábamos entonces, provocó que en 2014 lo comprara Facebook por la friolera de 19.000 millones de dólares.
Hoy queremos hablaros de las estafas a través de WhatsApp. No es la primera vez que hablamos de WhatsApp en este blog. En octubre del año pasado, por ejemplo, publicamos un artículo titulado Otras formas de “ataque”. En él había un apartado reservado a WhatsApp.
Pero hoy nos centramos en los intentos de estafa que ha denunciado WABetaInfo, el portal independiente más importante de noticias y actualizaciones sobre WhatsApp.
Los estafadores compran un número de VoIP (método por el cual se pueden hacer llamadas de voz a través de la red) y que no se permite usar en WhatsApp. Pero con él pueden buscar personas aleatoriamente. Cuando encuentran un número telefónico válido contactan con el usuario de WhatsApp y de modo inocente preguntan cosas como “¿Quién eres? Me he encontrado tu número en mi agenda”. De esta forma inician una conversación banal y poco a poco el interlocutor va confiando en el estafador, que empieza a hacer preguntas sobre la edad, el trabajo o cosas parecidas.
Al final la víctima le añade como contacto en sus redes sociales y a partir de ahí el delincuente tiene acceso a fotografías, lista de contactos y toda la información personal que el incauto tiene en las redes. Y ahí llega el problema: el estafador se hace con fotos de la víctima y pide dinero a cambio de no usarlas de modo fraudulento.
El portal explica que hay que denunciar el hecho al propio WhatsApp, cosa que se puede hacer desde la información del perfil; elevar el nivel de seguridad o también denunciarlo a la policía.
Podéis leer el artículo en el portal WABetainfo AQUÍ, así como las principales recomendaciones sobre la protección de la aplicación.
Esta estafa no es nueva, pero de vez en cuando hay un pico que vuelve a ponerla en el primer plano de la actualidad. Eso es lo que está ocurriendo ahora desde que han circulado las noticias sobre la posible comercialización de nuestros datos en WhatsApp y que han motivado una fuga masiva hacia Telegram.
Una vez más debemos insistir en que las ventajas de la tecnología son muchas, pero hay que ser consciente también de los problemas que nos pueden ocasionar. Hay que ser precavido y usar Internet, las redes, los móviles o las aplicaciones con sentido común y con desconfianza ante lo desconocido. Eso que parece tan sencillo acabamos por olvidarlo en el día a día. Así que toda precaución es poca.
Imagen principal: Pixabay
- Publicado en Ataques / Incidencias, General, Historia, Noticias, Privacidad
¿Cómo gestiona vuestra empresa o despacho profesional los certificados digitales de terceros?
Desde hace algún tiempo se habla mucho de los certificados digitales. Se trata de un medio que garantiza la identidad de una persona, empresa o entidad en Internet. Permite realizar trámites con la Administración y otros portales, de forma más segura, rápida y cómoda. Para los autónomos y sociedades es fundamental contar con un certificado digital, ya que la Agencia Tributaria obliga a presentar una serie de documentos de forma telemática. Pero… ¿cómo gestiona vuestra empresa o despacho profesional los certificados digitales de terceros?
El problema de los certificados digitales llega cuando es un gestor o un despacho profesional o una empresa que se ocupa de todos los trámites de sus clientes. Y….
● … ¿qué pasa entonces? Lo que suele ocurrir es que solicitan una copia y la contraseña del certificado digital a sus clientes.
● ¿Y qué ocurre? Que ese certificado y su contraseña va de mano en mano cada vez que alguien de la oficina debe hacer un trámite. Porque normalmente el que se ocupa de la Seguridad Social es uno y el que hace la declaración de la renta es otro. Y así sucesivamente, porque son muchas las gestiones con la Administración: realizar consultas y/o peticiones, enviar documentación o firmar documentos para la Agencia Tributaria, la Dirección General de Tráfico y muchas otras. Así lo explican en la web de Holded, un útil programa de gestión para empresas, y que nosotros usamos en nuestro día a día.
● ¿Y si el trabajador de la empresa teletrabaja? Pues se lleva el certificado y la contraseña a su ordenador personal
–si no tiene de empresa– para realizar los trámites desde su domicilio.
● ¿Dónde guarda la empresa este certificado? Normalmente en una carpeta que forma parte de un árbol de clientes donde se acumulan los certificados de todos ellos.
● Pero eso, ¿cumple la ley de Protección de Datos? Evidentemente, no.
● ¿Y a efectos de ciberseguridad, qué nivel de seguridad es ese? Está claro, ¿no? ¡Ninguno!
● ¿Qué ocurre si es despacho profesional, gestoría o empresa desea certificarse con la ISO 27001, otra normativa, o pasar una auditoría externa? Pues que no va a poder ser. Uno de los primeros ítems que se precisa es tener muy bien preservado los datos sensibles como es un certificado digital.
¿Qué es exactamente un certificado digital?
Un certificado digital no es más que un fichero informático firmado electrónicamente por un prestador de servicios de certificación, como podéis leer en la Wikipedia. Normalmente existen dos claves, una privada y otra pública y trabajan de forma complementaria.
Tenéis información al respecto en el portal de la administración electrónica del Gobierno AQUÍ.
Estos certificados digitales se pueden obtener en diferentes lugares, pero el más usado y típico es obtenerlo a través de la Fabrica Nacional de Moneda y Timbre, siguiendo las instrucciones que encontraréis en su web. El trámite es relativamente sencillo, aunque a veces parece que cuesta sacarlo. Por supuesto hay que pagarlo, entre 14 y 29,04 euros, para las personas jurídicas.
Otra cosa importante es que hay que estar atento a su caducidad, que suele estar en torno a los dos años. Puede renovarse hasta dos meses antes de la fecha final.
¿Cómo gestionar estos certificados?
Se suelen guardar como copia, en una carpeta, casi siempre sin contraseña, tanto en el repositorio, como en el mismo certificado. El certificado se instala localmente en cada máquina de cada usuario, lo que implica que las gestiones se deben hacer con el mismo navegador con el que se ha obtenido o importado. Con él se se suelen realizar una o varias peticiones, al año, trimestre o mes, según las necesidades de cada cual. Pero ¡cuidado!, porque normalmente la trazabilidad, gestión, y control, es ínfimo.
Hay que saber que el mercado ofrece varias opciones para gestionar los certificados digitales, tanto propios como de terceros, tanto integrados en programas de gestión, como en webs, aplicativos o a través de servidores on-premise, o en cloud. No os asustéis por estos términos. Un software on-premise no significa otra cosa que se instala en los servidores y dispositivos locales de las empresas, a diferencia del cloud, en cuyo caso los servidores están en la nube.
Nosotros, ya que era una necesidad constatada de nuestros clientes, hemos empezado a trabajar con uno de los mejores softwares, Redtrust, que es de una empresa española, adquirida el año pasado por la empresa de Estados Unidos, Keyfactor.
Redtrust es una solución que permite el uso seguro, controlado y centralizado de los certificados digitales de vuestra empresa y vuestros clientes, sin que estos lleguen a estar almacenados en las estaciones de trabajo de los usuarios.
Su software permite hacer todo lo que necesita una empresa con muchos certificados, TANTO SUYOS COMO DE TERCEROS, ya sea a través de una solución en servidor propio, dentro de la empresa, o en una máquina virtual o cloud. El listado de acciones es enorme, pero aparte de subirlos a un repositorio seguro, etiquetarlos, asignarles usuarios o grupos, se puede dar permisos de uso, de firma, a usuarios, a URLs concretas o acciones.
Si el usuario que tiene que hacer alguna gestión tiene muchos certificados asignados, puede, antes de realizar dicha gestión, buscar en el agente que se instala, los certificados a usar, para que no tenga que mirar el listado interminable en la ventana emergente que sale en este tipo de acciones.
Finalmente tenemos avisos por uso debido o indebido, o un registro con todas las acciones, para auditar todas las acciones y ver si concuerdan. Esto nos evitará, duplicidades (o muchas más) instalaciones de certificado, que cualquiera pueda consultar datos, o lo que es peor, realizar acciones no demandas, y sobre todo tener un control exhaustivo de nuestros certificados, y de su caducidad, para adelantarnos, y evitarnos las engorrosas gestiones de una vez caducados.
¿Es vuestro caso?
¿Gestionáis multitud de certificados digitales y no sabéis cómo controlarlo?
Pensad que sois responsables de esos certificados y de las acciones que se realicen.
Así que si necesitáis ayuda con este tema no lo dudéis y poneros en contacto con nosotros.
TECNOideas puede daros este servicio, de forma aislada si lo deseáis. Es decir que no es necesario que nos ocupemos de vuestras redes para daros este servicio,
aunque sí es recomendable, claro.
Imagen principal: Gert Altmann en Pixabay.
- Publicado en Análisis forense, Consultoría, Privacidad
¡Esos padres y sus locos bajitos!
El cantante Joan Manuel Serrat es autor de una conocida canción titulada “Esos locos bajitos”. Explica lo que los padres esperan de sus hijos. La hemos parafraseado porque el comportamiento de los hijos e hijas ante los dispositivos móviles e Internet hace tiempo que se cuestiona por los efectos dañinos que les pueden ocasionar. Ahora dos estudios ponen de manifiesto algunos de ellos. Kaspersky demuestra que las normas que imponen los padres a los hijos no las cumplen ni los mismos progenitores. Y Unicef revela que uno de cada 10 adolescentes ha recibido por la Red proposiciones relacionadas con el sexo de un adulto.
Una vez más debemos hablar de un estudio de la empresa Kaspersky. En esta ocasión se trata de saber como los padres y sus hijos gestionan sus hábitos de consumo de redes. Según esta investigación, el 61% de padres y madres tienen dificultades para seguir un modelo de conducta para sus hijos e hijas.
Las estadísticas dicen que el 68% de los niños y niñas recibe un dispositivo antes de los nueve años. Y es evidente que los niños imitan a sus padres. Lo vemos, por ejemplo, en la conducción de un vehículo. Pero también ocurre eso en el comportamiento ante los dispositivos móviles. El estudio de Kaspersky viene a señalar que la conducta de los progenitores viene a ser como Dr. Jekyll y Mr. Hyde:
• El 54% de los progenitores intenta que toda la familia tenga hábitos digitales saludables… pero no lo consiguen, porque ellos son los primeros que lo incumplen.
• El 53% de los encuestados por Kaspersky quisieran que sus menores usaran menos de dos horas diarias sus dispositivos… pero el 82% reconoce que ellos mismos los utilizan durante más horas al día. Así, el 48% admite que pasa de 3 a 5 horas diarias conectados. Además un 62% cree que es “normal” pasar todo ese tiempo conectados.
• Solo un 11% de los padres y madres permiten que sus vástagos se conecten durante la comida… pero el 65% reconoce que ellos sí lo hacen. No es un dato cualquiera, porque los menores cuyos padres hacen eso pasan 39 minutos más al día conectados que los hijos de los padres que no lo hacen.
• Únicamente un 10% de padres acepta que sus hijos usen WhatsApp o Telegram mientras mantienen una conversación… pero hasta un 72% afirma que ellos lo hacen.
• Atención también a las redes sociales. El estudio indica que el 24% de progenitores acepta que sus hijos e hijas compartan fotos familiares en redes… pero hasta un 37% de adultos afirma que es normal hacerlo.
Podéis acceder al estudio de Kaspersky, que se titula Raising the smartphone generation AQUÍ.
Unicef radiografía el uso de la Red por parte del alumnado de ESO
El tema de las redes sociales y la adolescencia también ha sido objeto de varios estudios sociológicos y psicológicos. Pero seguramente uno de los más completos es el que ha realizado Unicef España consultando a más de 50.000 adolescentes estudiantes de ESO (Enseñanza Secundaria Obligatoria) de las 17 comunidades autónomas.
Algunos de los resultados ya eran más o menos conocidos pero el estudio reafirma datos como que 9 de cada 10 se conectan a diario o casi todos los días a Internet; que la edad media a la que se tiene un móvil es a los 11 años o que casi el 60% duerme con el móvil o la tableta en la habitación.
Se conectan para divertirse, hacer amigos o para no sentirse solos. Para la mayoría se trata de una fuente de experiencias insustituible y llena de emociones positivas. Sin embargo también hay casos que sufren exclusión social, ansiedad o acoso.
La falta de supervisión se traduce en peligros evidentes. El estudio señala que uno de cada diez adolescentes ha recibido al menos una proposición sexual de un adulto y un 11% ha sido presionado para que enviara fotos o vídeos suyos con contenido erótico o sexual.
Unicef ve especialmente preocupante los riesgos del grooming (un adulto se hace pasar por un menor para ganarse la confianza con fines sexuales) y los del acoso escolar, que según las respuestas obtenidas es sensiblemente más alto que los datos de las estadísticas oficiales. Unicef estima que se da en uno de cada tres encuestados.
Otro aspecto peligroso es el del juego: un 3,6% de los estudiantes ha reconocido que ha jugado o apostado dinero online alguna vez en su vida. Este porcentaje significa que más de 70.000 adolescentes lo han hecho en España.
El estudio es muy extenso e interesante, por lo que os invitamos a leerlo con detenimiento en la web de Unicef, donde además encontraréis muchos otros temas relacionados con la tecnología y los derechos de la infancia.
También encontraréis un buen resumen del estudio en este artículo del diario El País.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en General, Noticias, Privacidad, Redes sociales, Seguridad
Y al fin, multa a Zoom
Una de las empresas que más ha sonado durante la pandemia y que más rédito ha obtenido de la COVID-19 es Zoom Video Communications. Se trata de una empresa estadounidense cuya sede se encuentra en California. Pero su proceder, nada transparente con las leyes y la protección de datos, como TECNOideas ha ido pregonando, le ha llevado finalmente a tener que afrontar una cuantiosa multa.
El “éxito” de Zoom se debe principalmente a su sistema de videollamadas y reuniones virtuales que, como todos sabemos se disparó durante la pandemia. Tanto es así que la empresa norteamericana pasó de tener 10 millones de usuarios activos en 2019 a más de 300 millones a finales de abril del 2020. Entonces se estimó que su fundador, Eric Yuan pasó a ser uno de los hombres más ricos del mundo, con una fortuna personal valorada en unos 5.500 millones de dólares.
Pero no es oro todo lo que reluce y tras más de un año avisando sobre la poca seguridad de sus aplicaciones, soluciones y servicios, Zoom empezó a ser vetado por algunos gobiernos y empresas por los riesgos de seguridad.
Desde TECNOideas avisamos pronto sobre las conductas reprochables de Zoom. Accedían a datos de los usuarios sin su autorización, como los contactos. Más tarde se pudo probar que los había vendido, sin permiso ni aviso, a grandes plataformas, como Google, Facebook o Linkedin.
Por todo ello Zoom recibió varias denuncias en Estados Unidos y una demanda colectiva. La empresa reconoció los fallos y ha llegado a un acuerdo extrajudicial, según la cual la compañía de la solución de videoconferencia se verá obligada a pagar un total aproximado de 85 millones de dólares, a repartir entre sus usuarios de pago. En octubre, la jueza de San José (California) encargada del caso, deberá ratificar el acuerdo.
Igualmente, aunque esto será más difícil, se compromete a aplicar seguridad, y no “robar” más datos de sus clientes, ni traficar con ellos. Habrá que verlo, porque estos avisos y compromisos ya estaban sobre la mesa desde noviembre del año pasado.
Para los que deseéis conocer más sobre el tema, queremos recordaros que en este mismo blog hemos hecho una serie de artículos temáticos sobre Zoom, así como varios aportes más, cuando surgía una noticia. Os refrescamos la memoria con un par de ellos: “Éxito y caída de Zoom” publicado el 13 de abril de 2020 y “Nuevo ataque a Zoom con pornografía” que pudisteis leer el 3 de mayo del mismo año.
Además, como profesionales de la ciberseguridad, no hemos recomendado Zoom a nuestros clientes y a los que lo estaban utilizando les hemos ayudado a hacer el cambio a otras plataformas.
En el lado positivo del tema, podemos ver, una vez más, que en estos temas tecnológicos, incluso los más grandes acaban por ser investigados y multados, con cuantiosas cantidades, por no seguir las leyes o la más mínima noción de la ética profesional.
Y por último, una reflexión para todos los que nos seguís, seáis clientes o simples seguidores de la tecnología: no siempre lo más extendido y conocido es lo mejor para cada uno de nosotros, ni lo más fácil de usar, claro…
Imagen principal: Alexandra_Koch en Pixabay
- Publicado en General, Noticias, Privacidad
Nos quejamos de Google, pero la privacidad está en peligro por una nueva ley.
Hace unas semanas comenzamos a ver sentencias, del Tribunal de Justicia de la Unión Europea (TJUE), donde firman sentencias para que se identifique a una persona a través de su dirección IP. Y dicha resolución reza tal que así:
“el registro sistemático de direcciones IP de usuarios de esa red y la comunicación de sus nombres y direcciones postales al referido titular o a un tercero para permitir la presentación de una demanda de indemnización son admisibles si se cumplen determinados requisitos”
Tribunal de Justicia de la Unión Europea (TJUE)
Dicha sentencia tiene colación en nuestro país por el llamado caso Euskaltel, cuando se recibió denuncia de varios usuarios de dicho operador, en 2017, que presuntamente habían compartido ficheros y contenido sin permiso ni autorización en redes P2P.
Varios abogados como David Bravo o David Maeztu, especialistas en derecho tecnológico (y propiedad intelectual), recomendaron en su momento no pagar, pero ahora han visto como la Justicia puede actuar en su contra, aunque dentro de una forma proporcionada, como apuntan.
Y de tapadillo, hace unas pocas semanas, la Eurocámara derogó la Directiva 2002/58/CE de Privacidad en Internet, y activo el llamado Chatcontrol, que no es otra cosa que habilitar una puerta trasera para que la “autoridad” pueda acceder a servicios de mensajería (whatsapp, Telegram, etc…) y otros tipos de servicios, como el correo electrónico, pero solamente cuando, de momento, colabore la empresa prestataria de servicios.
La excusa es para perseguir la intolerancia, el terrorismo y el abuso infantil, entre otras cosas, eso sí, haciéndonos pasar a todos por delincuentes, sin cribar este fisgoneo, y indicando, que quien no tenga nada que esconder, no tendrá nada que temer. Supongo que os suena 1984 o Minority Report, que aunque también hay películas, nos referimos a los libros.
Recordemos que hay sistemas y algoritmos implantados desde hace tiempo por Microsoft o Gmail por ejemplo, donde escaneaban los correos sin “leer” el contenido, en busca de ciertos detonantes de seguridad, para luego dar aviso a las autoridades.
Pero eso era voluntario, respetando la privacidad, o casi, y este nuevo sistema es obligatorio, y no dicen técnicamente como se llevará a cabo, ni quien. Mucho están rizando el rizo las autoridades y legisladores con estas nuevas acciones y leyes….
Como no, el partido Pirata, se ha puesto en marcha con una WEB informativa, y una recogida de firmas para pedir que se derogue esta derogación, AQUÍ.
Mucha gente, amigos, clientes, nos dicen que no les importan sus datos, que no pasa nada porque nadie mire, o los vendan. En Internet somos lo que generamos, negocio para ciertas empresas con nuestros gustos, compras, acciones,etc… Y siempre hemos creído, y creemos, que es un derecho fundamental, la privacidad.
- Publicado en Consultoría, General, Noticias, Privacidad
¿Servicios de Google seguros?
Ya sabéis que Google es todopoderoso y por ello la vieja frase que decía que si no sales en televisión no existes ya se ha cambiado por “si no estás en Google no existes”. Google siendo lo que es, y con los antecedentes de poca transparencia que tiene, busca aumentar la confianza de sus usuarios en cuanto a seguridad y privacidad. Pero esto último puede que tenga algo que ver con las leyes de la Unión Europea, y su obligado cumplimiento.
Así que la pregunta pertinente podría ser “¿Realmente Google nos quiere ayudar con sus servicios o persigue otras cosas más comerciales?”
Veamos algunos ejemplos. En la configuración de tu cuenta de Gmail, dicen que te quieren ayudar con ciertos aspectos. Algunos son interesantes, no podemos negarlo, pero otros también los ofrecen otras empresas, aunque no diremos nombres.
Comparar tus cuentas almacenadas en Chrome, si has iniciado sesión, con fugas de datos de “otras” empresas, como dejan bien claro:
“Algunas de tus contraseñas han quedado expuestas en una quiebra de seguridad de datos que no es de Google.”
Luego indican todo lo que supuestamente hacen para que tu día a día sea más seguro:
Google Chrome
- Bloquear miles de páginas al día con contenido engañoso.
- Proteger 1.500 millones de bandejas de entrada, contra phishing, encriptación de datos entre sus servidores o diversas opciones de autenticación, como 2FA.
- Pagos seguros con Google Pay.
- Las medidas de seguridad de Chrome, para que navegues con toda tranquilidad:
– Navegación segura, zona de pruebas, etc. para protegerte de sitios peligrosos y de software malicioso.
– Actualizaciones de seguridad automáticas.
– Ayuda al crear contraseñas, como ya hacen otros navegadores.
– Modo incógnito, para poder navegar sin que se guarde la actividad en ningún sitio.
Y aparte de todo esto ponen a tu disposición varias herramientas propias, para poder corregir malos hábitos, dar recomendaciones o poner solución a errores, todo ello en MyAccount.
También inciden en el tema de la privacidad, intentando cambiar la sensación que tienen los usuarios de ellos, con frases como la que podéis leer en ESTE enlace o la siguiente:
“Promovemos rigurosas prácticas relacionadas con datos para proteger tu privacidad. Nunca usamos con fines publicitarios el contenido que creas y almacenas en aplicaciones como Drive, Gmail y Fotos.”
Seguro que muchos de vosotros sois conscientes que Google es más que un buscador. Nos intenta satisfacer rápidamente nuestras necesidades con sus servicios y recalca la importancia de nuestra seguridad. Pero, ¿realmente estamos seguros con ellos?
La lista de productos y servicios del gigante tecnológico es muy extensa. Os podemos refrescar la memoria mencionando Google Drive, Gmail, Google Maps, Google Street View, Google Earth, Google Chrome, YouTube, Google Libros, Google Noticias… Pero está claro: su fama viene de un buscador. El simple hecho de vincularlo a este motor de búsqueda seria limitar su cobertura en la web. Pero es innegable que su fuerza sigue siendo enorme. ¿Quién no ha buscado a través de Google? ¿Alguno de vosotros utiliza otros buscadores?
Podéis ver algunas opciones de navegadores alternativos a Google en un artículo de TECNOideas de 2018 AQUÍ.
One World Trust es una fundación creada en 1951 por parlamentarios de varios partidos cuyo objetivo es mejorar la gobernanza global para hacer prosperar los intereses de toda la humanidad. Publica un ranking en el que examina instituciones gubernamentales, empresas nacionales, multinacionales y ONG. Según este ranking, Google es una de las instituciones menos confiables y transparentes, al negarse a colaborar con la Unión Europea en el caso de retención de datos a los consumidores. Además el gran buscador logró un cero a nivel de transparencia. Podéis ver la noticia en The Register, una web británica de noticias de tecnología y opinión. Aunque este ranking tiene ya unos años y algunas cosas han cambiado, creemos que es suficientemente clarificador.
Los internautas que realizan búsquedas a través de este buscador y tengan cuenta en alguno de los servicios (como en Gmail) son “vigilados” de alguna forma, es decir, todas las búsquedas que se realizan y todos los sitios web visitados quedan en una base de datos: siempre que haya ingresado a su cuenta de Google.
¿Servicios de Google seguros? Google es un negocio y todo lo que hace es por una razón, no por el simple amor hacia los usuarios. Todos sabemos esto y no necesitamos aclaraciones. Es algo obvio. Pero conviene recordarlo de vez en cuando para que todos seamos plenamente conscientes de ello cuando usemos sus productos y servicios.
También conviene recordar que hay cosas que podemos desactivar sin más, como os explicábamos en este artículo de noviembre de 2019 de nuestro blog y que podéis volver a leer AQUÍ.
- Publicado en Consultoría, General, Malos hábitos, Privacidad
Un nuevo estándar DNS que protege los datos de las búsquedas
Los servidores DNS que convierten el nombre de una web en una dirección IP son los que permiten la navegación por Internet. Pero en este camino se almacenan los datos de los usuarios. El viejo sueño de que eso no ocurra se hace ahora realidad con un nuevo estándar DNS que protege los datos de las búsquedas y que se llama Oblivius DoH.
Los servidores DNS (Domain Name System, o sea Sistema de Nombres de Dominio), son absolutamente imprescindibles para navegar por internet. Gracias a ellos al escribir el nombre de una web o su dirección en vuestro navegador, se traduce esa información a una dirección IP, lo que permite la navegación.
Normalmente los ordenadores o proveedores de internet facilitan un rúter con un DNS. Y así es como siempre puede saber cuál es vuestra IP y quién es el que se conecta. Tan importante es el DNS que cuando una ley o decisión judicial o gubernamental ordena bloquear el acceso a una serie de páginas, lo que se hace es, precisamente, bloquear el acceso a la DNS.
Aunque los ordenadores permiten en sus configuración de red, cambiar las DNS que usamos para navegar y usar algunas alternativas (¡ya hablamos de ello en el lejano 2011!) que pueden mejorar vuestra privacidad, lo cierto es que siempre se acaba por poder tener los datos.
Ahora tres empresas han unido sus fuerzas para evitar esto. Apple, Fastly y Cloudflare han desarrollado un nuevo estándar DNS que protege los datos de las búsquedas. Lo que hace “simplemente” es separar las direcciones IP de las consultas colocando un proxy intermediario entre el usuario y el servidor DNS. De esta forma ninguna entidad podrá ver las dos al mismo tiempo. Y escribimos “simplemente” entre comillas, porque detrás de esto hay un complicado tema tecnológico cuya explicación sobrepasa los límites de este blog. Pero no os preocupéis. Si alguno de vosotros desea conocer exactamente los intríngulis técnicos os invitamos a visitar la web de Cloudflare, en donde encontraréis una bonita explicación.
Cloudflare es una empresa de San Francisco que entre sus servicios ofrece uno gratuito de servidor de nombres de dominio a todos los clientes que utilicen una red Anycast. En la práctica gestiona el 35% de los dominios DNS administrados. La compañía ha anunciado también que, además de este nuevo protocolo, pone a disposición el código fuente para que cualquiera pueda probarlo.
Por su parte Fastly es un proveedor estadounidense de servicios de computación en la nube. Estas dos empresas junto a Apple han lanzado este producto que mejora la privacidad del DNS y que han bautizado con el nombre de Oblivius DoH. Y que por cierto, a pesar del nombre, ¡no es una escuela más de Harry Potter!
- Publicado en General, Noticias, Privacidad, Productos
ProMonitor: un servicio antipiratería y de reputación online
Una empresa de servicios como la nuestra, no puede estar cerrada nunca a las peticiones de sus clientes y a la evolución de los servicios que requiere el mercado. Es así como a veces comenzamos aventuras sin darnos prácticamente cuenta.
Hoy os queremos contar un caso de éxito surgido de estas necesidades y de nuestro conocimiento en diferentes áreas.
La realidad es que tras un par de peticiones por parte de unos clientes descubrimos que podíamos prestar un nuevo servicio muy concreto. Y que además el mercado no lo tenía cubierto y lo necesitaba. Así que nos pusimos a trabajar y poco a poco avanzamos hasta la creación de ProMonitor. El proyecto se convirtió en un éxito hasta el punto que decidimos que tuviera vida propia más allá de los servicios que prestaba TECNOideas 2.0 ciberseguridad.
ProMonitor: un servicio antipiratería y de reputación online que son cuatro servicios muy ligados entre sí
Tener vida propia significa, entre otras cosas, que hemos creído conveniente crearle su propia web: ProMonitor.es.
Si navegáis un poco por ella veréis que se trata de ayudar a proteger el contenido digital o físico de su venta fraudulenta en Internet; del monitor reputacional de personas, marcas o empresas y del proceso de venta de los e-commerces.
Todo comenzó con el encargo de un cliente, que nos pidió que indagáramos sobre la posibilidad que hubieran pirateado sus productos físicos. El cliente creaba un producto artesanal, de alto precio y que vendía por Internet. Tras haber vendido varias unidades a un cliente de China, se percató que sus ventas habían bajado más de un 50%.
Empezamos a trabajar y, efectivamente, encontramos copias del producto original que se vendían a un 10% del valor inicial. Y además nuestro cliente no recibía nada por ello.
Como somos peritos judiciales redactamos informes periciales, y acompañamos a nuestro cliente en todo el proceso judicial que aun sigue a día de hoy.
Este hecho nos abrió los ojos y contactamos con otro cliente que se dedica a la formación online grabada. Lo hicimos porque éramos conscientes que en su sector hay mucha piratería. Muchos de sus cursos se vendían en Internet a un precio irrisorio sin que el verdadero propietario de los derechos recibiera nada a cambio.
Nuestro cliente se prestó a que estudiáramos su caso, que funcionó y tuvimos éxito, por lo que luego contactamos a otras empresas del ramo.
Así que con todo probado, pasada la fase Alpha y la Beta, y teniendo ya varios clientes, lo hemos puesto en orden y perfeccionando. Para ello acudimos a una empresa hermana, ORION ANALISTAS, de manera que ahora ofrecemos un servicio más completo a nuevos clientes que tengan la piratería por condena, tocada su reputación online por trolls, o que crean que la venta de sus productos físicos o su proceso de postventa no es del todo óptimo.
En resumen, ProMonitor significa un servicio antipiratería y de reputación online que consta de cuatro servicios interconectados:
• Antipiratería de productos digitales
• Protección de productos físicos en la venta online
• Monitor reputacional, comentarios falsos
• Certificación de calidad en los procesos de compra
Así que si haces contenido digital, cobras por él, o tienes productos físicos que fabricas tu o tu empresa, eres o tienes una marca, en la que te influye la reputación online a la hora de los ingresos, o tienes un e-commerce, y quieres auditar el proceso de después de la compra, en ProMonitor te podemos ayudar.
- Publicado en Consultoría, General, Privacidad, Protección de datos, Seguridad, Sobre TECNOideas
Revelación responsable con final feliz en Australia
Ya hablamos anteriormente de lo que significa la “revelación responsable” aplicada al sector de la ciberseguridad. Se trata de informar al o a los afectados de una vulnerabilidad o fuga de datos, para que puedan corregir el error. Podéis leer el anterior artículo AQUÍ.
Pero como decíamos, en el caso de los hackers (¡no caigáis en el error de lo que es un hacker! Tenéis la definición AQUÍ) españoles, cuando suelen detectar un problema en algún organismo o empresa ESPAÑOLA, se han de dar por vencidos y, en consecuencia, ya no suelen comunicarlo. ¿Por qué? Porque acarrea más problemas que beneficios.
Por suerte hay otros países en que se toman en serio el trabajo de los hackers, como es el caso que os vamos a relatar. Y para ello nos vamos a Australia.
Alex es un hacker australiano, que aceptó el reto de un amigo suyo. Resulta que este amigo había localizado una foto de una tarjeta de embarque y le dijo a Alex si sería capaz de identificar al sujeto de la imagen. Alex fue investigando y tirando de los hilos, consiguió dar con los datos al completo de la persona objetivo.
Resulta que la aerolínea en cuestión, Quantas, usa un obsoleto y poco seguro sistema, donde con el código de barras, y/o la numeración correspondiente, se puede acceder a los datos personales que se han facilitado para hacer la reserva del vuelo.
Ya os lo podéis imaginar: aparte de la ruta y el vuelo (con fecha y hora), nombre, apellidos, dirección, número de pasaporte, fecha de nacimiento, etc. Lo suficiente para poder suplantar la identidad de una persona y arruinarle la vida.
Alex intenta ver que procedimiento tiene que seguir, empezando por la web de la compañía aérea, pero sin éxito. Al final consiguió contactar, y quien le devolvió el mensaje fue la Agencia de Seguridad Australiana, pudiendo dar aviso con detalle y consiguiendo que la compañía arreglara el fallo. Alex incluso recibió una llamada del afectado, que resultó ser un ex-Primer Ministro del país en cuestión.
Podéis leer la historia al completo en Micosiervos.
Moraleja, que la tiene y grande. Como siempre, los delincuentes no es que sean más listos que los sistemas de seguridad, es que aprovechan los fallos de estos y la INFORMACIÓN QUE LA GENTE SUELE REGALAR, para poder entrar de forma fraudulenta.
Así que el postureo se puede pagar caro, cualquier dato que te parezca insignificante, puede ser un tesoro para otro. Como se viene diciendo desde hace tiempo “Los datos son el nuevo petróleo del siglo XXI”.
Ya lo veis, incluso en un viaje cualquiera, por simple y cercano que sea, nuestros datos están ahí. Es muy importante confiar siempre en empresas de ciberseguridad para minimizar los riesgos de un ataque. Parece sencillo y creemos que estamos en buenas manos cuando volamos, por ejemplo, con una compañía tan solvente como Quantas. Pero no siempre es así.
Una noticia reciente informaba que el grupo Lockbit, (creador de ransomware), filtró en la red datos de pasaportes de 182.179 personas.
¿Necesitáis más ejemplos?
- Publicado en Análisis forense, Consultoría, General, Privacidad, Seguridad
Facebook en el ojo del huracán por acceder a la cámara de los usuarios de Instagram y por las elecciones en Estados Unidos
Una vez más la red social más conocida del mundo está en primer plano de la actualidad. Esta vez por su posible papel en las elecciones presidenciales de Estados Unidos. Pero también porque ha sido denunciada por acceder a la cámara de los usuarios de Instagram.
Una antigua trabajadora de Facebook ha revelado que la compañía no estuvo a la altura en temas políticos y no supo o no quiso actuar ante diversas campañas organizadas para influir en los resultados de elecciones en países de todo el mundo. Estas campañas, además, poseían una alta dosis de desinformación política.
No es un tema nuevo, desde luego, pero sí lo es el hecho de que haya sido una exempleada la que ha revelado fehacientemente este hecho en un informe interno.
Podéis leer esta noticia, en buzzfeednews.com, uno de los medios de comunicación de la empresa estadounidense de medios de comunicación en Internet, BuzzFeed, donde la extrabajadora, de nombre Sophie Zhang, llega a decir que “tengo sangre en mis manos”.
Desde que se supo que estas campañas han existido, se ha puesto, de nuevo, Facebook en el ojo del huracán, debido a las muy próximas elecciones presidenciales en Estados Unidos. Tanto es así que el propio Mark Zuckerberg ha tenido que intervenir y a principios de este mes de septiembre publicó un mensaje en la red. En este mensaje dejó claro que Facebook bloqueará los mensajes políticos antes de las elecciones estadounidenses y que trabajará con funcionarios electorales para eliminar la desinformación sobre la votación.
En cualquier caso, la polémica sigue, porque la prohibición de publicar anuncios y mensajes políticos nuevos será operativa solamente una semana antes de la celebración de las elecciones.
Podéis leer una noticia al respecto en el periódico CincoDías.
Nueva denuncia a Facebook por acceder a las cámaras de los usuarios de Instagram
Una ciudadana de Estados Unidos acaba de denunciar a Facebook por obtener datos personales mediante la aplicación de Instagram en iOS. Naturalmente, sin pedir permiso al usuario.
Cuando en el mes de julio se supo que Facebook accedía a la cámara de los teléfonos móviles incluso cuando no se estaba utilizando, saltó la polémica. Instagram se apresuró a decir que era un fallo y lo corrigió rápidamente.
Hay que recordar que Instagram pertenece a Facebook y por ello, la denunciante indica que la empresa obtiene de esta forma datos personales importantes que usa en sus investigaciones de mercado.
Podéis ver la noticia en Bloomberg o en castellano en Yahoo.
No es la primera vez que Facebook está en el ojo del huracán. En este mismo blog hemos informado varias veces sobre los problemas de la red. Por ejemplo, “Este año va camino de ser un Annus horribilis para Facebook” (Julio 2018); “Facebook acepta acuerdo y multa de 5.000 millones de dólares” (Julio 2019) o “Facebook lo vuelve a hacer “ (Septiembre 2019).
- Publicado en General, Noticias, Privacidad, Redes sociales
Español 
Català