¿Es fácil que nos clonen nuestra tarjeta sim? SIM swap y los fraudes.
Las tarjetas sim no dejan de ser tarjetas de datos con una configuración y unos códigos más o menos seguros. Así que con un clonador de tarjetas sim podemos copiar una existente a una nueva.
Con un simple programa de Play store (hay varios, pero nosotros hemos usado MagicSim), podemos transferir los datos de una sim a otra. Eso sí, necesitamos un código de desbloqueo que nos tiene que dar nuestro operador.
Si esta última información no la tenemos, deberemos desbloquear, con un software, tanto en teléfono como en un portátil con lector de tarjetas sim y software de clonado.
Una vez copiada, nuestro operador no distinguirá entra la buena y la clonada. Si tenemos el servicio multi sim activado, tendremos llamadas y sms en dos dispositivos. Sino, habrá que esperar que el original se desconecte (reinicio, sitio sin cobertura, etc…) para conectar la otra.
Otra opción es lo nombrado en el párrafo anterior, servicio MultiSim, aunque también es aplicable a pedir una sim nueva.
Según el operador necesitamos pocos datos para dar de alta una tarjeta nueva, y que nos envíen esta a una dirección concreta, sea o no la nuestra, y a veces sin avisos de que se ha emitido una nueva.
A partir de aquí con todos estos métodos es cuestión de imaginación, pero al interceptar nuestras comunicaciones, aunque sea por poco tiempo (24-48 horas hasta que nos damos cuenta y sabemos que ha pasado), nos pueden suplantar la identidad y ese segundo factor de identificación tan usado por los bancos.
Se puede leer algo más sobre lo que pueden hacer los delincuentes con estas técnicas AQUÍ.
Qué es el e-skimming y como defraudan a los e-commerces con los pagos.
Por poner en referencias de varios términos:
Skimming es una palabra que hace referencia al robo de datos de una tarjeta de crédito, ya sea en un cajero, presencialmente o robando datos de un sitio donde estén almacenados.
Carding es la acción de defraudar con los datos anteriores, ya sea en micro pagos, compras en comercios o e-commerces.
Y ahora la que hacíamos referencia en el título, e-skimming, es la técnica de robo de datos de formas de pago almacenados o en vivo en un e-commerce.
Esto lo realizan mediante campañas de phising contra los operadores de dicha web, para acceder al control del backend.
Otra manera es a través de vulnerabilidades del código de la web, que suele ser muy frecuente en tiendas medias-pequeñas, ya que los operadores no suelen actualizarla.
¿Y que recomendamos para blindarnos? Actualizaciones al día, sobre todo de plugins. Copias y en diferentes sitios de la web y bases de datos.
Y una auditoría de vez en cuando no estaría mal. Nosotros las realizamos, a e-commerces y otras webs con datos sensibles. Si tiene interés en ver si su web es vulnerable o no, contáctenos.
Hay otras recomendaciones que ayudarán a subir el nivel de seguridad de su comercio electrónico, que puede ver AQUÍ.
- Publicado en Análisis forense, Hazlo tu mismo, Noticias, Seguridad
Calcule Vd mismo el nivel de riesgo de su empresa en Ciberseguridad
Una de las dudas que le surgen a muchos de nuestros posibles clientes, es el nivel de protección que tienen ahora, si les vale la pena realizar una auditoría.
Las auditorías deberían realizarse una vez al año en cualquier tipo de empresa, como mínimo, ya que los activos y las tecnologías cambian muy rápido, al igual que las vulnerabilidades.
Si Vd quiere conocer este estado de primera mano, sin que una empresa de Ciberseguridad le evalúe, déjenos sus datos de contacto y le enviaremos un link a continuación para que pueda realizarlo Vd mismo.
Después de la encuesta, donde no se guardan sus datos personales, verá el resultado final inmediatamente, y le recomendará que medidas tomar.
Si este es negativo o no todo lo positivo que podría esperarse, no dude en contactar con nosotros para que le ayudemos con una auditoría, protección 24/7 y formación.
- Publicado en Hazlo tu mismo, Seguridad
Buenos compañeros de viaje.
Cuando empiezas una aventura empresarial, por mucho ímpetu que tengas, si no te rodeas de talento la cosa puede no funcionar.
Siempre intentamos que nuestros colaboradores sean mejor que lo que ya tenemos, o que nosotros mismos, por supuesto. Y también lo aplicamos a los servicios de terceros que damos.
Como os hemos anunciado anteriormente, ofrecemos un servicio de monitorización 24/7, junto con seguro en caso de desastre tecnológico de MGS seguros.
Hace unos días volvieron a recibir un premio, esta vez del Diario La Razón, en sus III premios Tecnología, de lo que podéis ver la noticia ampliada AQUÍ.
Si queréis estar al día en Seguros y otros servicios que presta MGS, podéis revisar su blog.
Y si os interesa el servicio de protección, junto con una de nuestras auditorias, para protegeros, sino al 100%, si en un porcentaje muy alto, no dudéis en contactar con nosotros.
- Publicado en Noticias, Seguridad, Sobre TECNOideas
¿Qué medidas puedes adoptar para hacer frente a ciberataques en tu empresa ?
Las brechas de seguridad están a la orden del día, el phishing no deja de crecer y los ataques BEC (Business Email Compromise) o fraude del CEO, son cada vez más habituales. Las ciberamenazas crecen y se multiplican.
Ahora vivimos en un mundo de mayor complejidad, con interacciones más complejas, más dispositivos y sensores conectados, trabajadores dispersados y la nube. Todo ello ha creado una superficie de ataque exponencialmente mayor que ha cambiado por completo las reglas.
La seguridad hoy en día requiere de un cambio en el modelo de inversión para pasar de tratar de prevenir las brechas a toda costa a construir una seguridad intrínseca en todo, desde la aplicación a la red, básicamente todo lo que se conecta y transporta datos.
Las brechas son inevitables pero lo verdaderamente importante es la rapidez y efectividad con las que se mitigan las amenazas, y para ello es necesaria la cooperación e implicación de todos los departamentos de la empresa.
Ello implica que hay que invertir en las personas adecuadas para impulsar las mejores prácticas y que haga que la empresa vaya un paso por delante en un mundo con ciberataques cada vez más sofisticados.
Cuando se habla de Ciberseguridad se tiende a pensar que las amenazas vienen siempre de fuera, pero en realidad un gran porcentaje de los problemas se inician dentro de la empresa, la mayoría de las veces por un error humano, pinchando un enlace malicioso, abriendo un adjunto que no es lo que parece, respondiendo un email que no es de quien dice ser…
Pues el 29 % de los ataques producidos en las empresas son de procedencia desconocida, por lo que las soluciones de seguridad tradicionales, como los antivirus basados en firmas, el firewall perimetral y los sistemas de prevención de intrusiones no son suficientes por si mismos para lograr una protección efectiva (que no total).
Muchas infraestructuras críticas ahora están conectadas a internet sin contar la protección necesaria, (entre ellos el sector industrial), otros sectores ampliamente protegidos, como son el sector financiero, también serán el blanco preferido de los cibercriminales.
¿Qué medidas podemos adoptar para hacer frente a los ataques sofisticados y dirigidos ?
- Formación y concienciación, puesto que más del 80% de los incidentes de seguridad se deben a errores humanos.
- Detectar vulnerabilidades y gestionar parches de seguridad
- Configurar un cortafuegos para asegurar las conexiones y prevenir intrusiones en nuestra red.
- Utilizar solo aquellas aplicaciones fiables y autorizadas.
- Proteger el correo electrónico con una potente solución anti-spam
- Habilitar un filtrado web para evitar el acceso a sitios maliciosos, descargas de código, sandboxing, etc
- Proteger todos los dispositivos: servidores, estaciones de trabajo y dispositivos móviles en cualquiera de las plataformas con una solución avanzada de última generación
- Por si todo lo anterior falla…Contar con un sistema de recuperación ante desastres
Las consecuencias que tiene un ciberataque para una empresa son devastadoras y la gran mayoría no cuenta con medios suficientes para recuperarse tras sufrirlos. ¿quieres asesorarte sobre qué medidas adoptar en tu negocio para aumentar la seguridad de tus sistemas? ¿eres una pyme y dispones de un presupuesto ajustado?
Cuéntanos tu proyecto y trataremos de ayudarte.
- Publicado en Hazlo tu mismo, Seguridad
Sandboxing o como hacer pruebas de software desconocido con total seguridad.
Muchas de las infecciones por virus o malware, se dan con programas que nos descargamos de sitios no verificados, o de esos que no se pagan, y luego pagas con sangre el haberlos bajado.
Pero hay formas de poder probar este software la primera vez, para que nuestros software antivirus no nos de un buen susto.
La técnica se llama Sandboxing, es crear una caja de pruebas hermética dentro de nuestro ordenador, para que si al probar un programa, este esté infectado, no se propague a todo el sistema.
En Windows 10 pro o Enterprise hay un método para activar el modo Sandbox, en un entorno aislado. Para ello hay que tener instalado el Update versión 1903, de Mayo de 2019, que con las actualizaciones automáticas deberías tener, y activar las opciones de virtualización en la Bios.
Para ello deberemos activarlo en las características de Windows, con la opción ‘Espacio aislado de Windows‘. Así cada vez que queramos usar el sandbox, con teclear esa palabra en inicio de windows, nos aparecerá la aplicación.
No es que sea una aplicación en si, sino un sistema windows dentro de otro windows, un sistema virtualizado, vamos, como una máquina virtual de otras marcas, cono Virtualbox o Vmware, con lo que necesitas una máquina algo potente para que vaya fluído.
Algunas aplicaciones para hacer esto podrían ser:
Sandboxie, gratuita y una de las más populares, pero algo difícil de configurar. Puedes crear plantillas para diferentes configuraciones de nuestro sistema.
Shade Sandbox, también gratuita, más sencilla que la anterior, y por lo tanto más fácil de manejar y configurar, con opción de arrastrar y soltar para crear nuestras pruebas.
Turbo.net, empaqueta a modo de máquina virtual, sin llegar a serlo.
Y como añadido, un sistema operativo que tiene el Sandbox en su ADN, Qubes Os. En él configuraremos con plantillas diferentes los diferentes riesgos que creamos podemos tener, como hacer documentos de texto, navegar por internet, probar aplicaciones, etc…
Idea compleja, no compatible con todo el software, pero que si nos acostumbramos a trabajar con él, hace de nuestro ordenador una herramienta casi invulnerable, aunque al final siempre depende de que nos equivoquemos, como humanos que somos.
- Publicado en Hazlo tu mismo, Seguridad
Cyberbullying
Hace tiempo que quería hablar de Bullying a través de la tecnología, o Cyberbullying, que queda muy molón ponerle Cyber a cualquier cosa, desde un movimiento cultural, hasta un café.
Con o sin Cyber, el acoso en el colegio y a estudiantes ha ocurrido siempre, por lo que el poner unas herramientas avanzadas para hacerlo, no lo hacen especial.
Que hay que evitarlo, claro, pero no por ser Cyber, sino cualquier tipo de acoso.
Hace unos meses, con la vuelta al cole leía que la Fundación ANAR, ayuda a niños y adolescentes en riesgo, donde daban unas directrices, que a parte de ser las más lógicas, como dialogar con el menor (se supone con el acosado), trabajo conjunto padres/tutores para erradicar el problema (supongo que de los acosadores), informar y formar, y varios más.
Pero la que más sorprende es la primera, “Uso de herramientas de control y monitorización digital para acompañar a los menores”
Esto significa espiar a los menores en todo lo que hagan con la tecnología. No propone formación específica en saber que fuentes pueden ser problemáticas, no creerte todo lo que te dicen, investigar si quien te dice es el que es, etc…
Lo que quieren es que el menor se acostumbre a ser espiado desde pequeño, porque es lo normal, ya que de mayor también lo será.
En otro artículo referido a la empresa ESET, abogan por otros métodos, como aplicaciones predeterminadas, no dejar instalar otras, etc… una solución un tanto más corporativa, pero al menos sin espionaje.
Ya que es muy extenso, lo podéis leer AQUÍ.
En resumen prohibir no está bien, espiar ni mucho menos, lo que hay que hacer, ya que la gente insiste en dar tecnología a niños de 8 o 9 años, con lo que conlleva, pues al menos formarlos, y muy bien, y continuamente, para que se minimicen los posibles efectos adversos.
Por nuestra parte estamos diseñando unos cursos de concienciación de uso de la Tecnología para escolares y Profesorado, a petición de un instituto. Si le interesa para su colegio, no dude en preguntarnos.
Directiva PSD2. Variación en pagos digitales, el final de la tarjeta de coordenadas
El pasado 14 de setiembre era la fecha límite para poner en acción una normativa aprobada en el año 2015 en la Comunidad Europea, que consiste en la identificación de dos factores.
Esa es la teoría, pero ¿que datos nos van a pedir a partir de ahora en el banco?
Hay que puntualizar que sólo será para las transacciones de comercio electrónico, no las operaciones dentro del portal de nuestro banco.
Dejaremos de usar la típica tarjeta de coordenadas, ya que no abandonaremos la página de nuestro comercio, y este se conectará
vía API al banco, y tampoco nos pedirá el dichoso CCV de la tarjeta.
A partir de aquí la notificación del banco nos llegará a través de SMS, lo cual cada día menos seguro por la facilidad de clonación de tarjetas SIM o de suplantación de estas, o vía la aplicación del banco.
Esta ultima opción no es mejor que el sms, ya que suelen soportar solo dos sistemas operativos para Smartphone (si, hay más), en versiones concretas y modernas, por lo que deja fuera a muchos usuarios. En la app, solo deberías auntenticarte una vez cada vez cada 90 días.
La versión comercial y bancaria, habla de las mejoras, que las hay, en esta normativa, como transparencia, facilidad de reclamación,
más rapidez en las compras, etc…
Lo que ya no estamos tan de acuerdo es la facilidad en las operaciones en general, ya que necesitas de un hardware y software específico, que deja a mucha gente fuera, ya sea por no tener el adecuado o por no saber usarlo.
¿Y la seguridad? El sms no es más seguro ahora, y algunos lo dejan como única segunda vía, sin la tarjeta de coordenadas.
Y una app autenticada cada 90 días, si te roban el móvil, hay mil maneras de poder entrar, osea, que si son delincuentes profesionales, sabrán hacerlo, podrán usar tus tarjetas memorizadas en tu repositorio NFC donde has guardado tus tarjetas, y realizar operaciones.
Y voy a terminar sin dar opinión, solo los hechos nombrado antes y otro punto de reflexión ¿alguién ha mirado todos los permisos que solicitan estas apps en nuestro smartphone? Podéis leer un artículo en Privacidad.tech muy interesante al respecto AQUÍ.
- Publicado en Privacidad, Seguridad
Dos grandes eventos de ciberseguridad y hacking en Noviembre
Con un año cargado de eventos de gran calidad, en todo el ámbito tecnológico, y más especialmente en Ciberseguridad, en España, este Noviembre no podía ser menos.
Cybercamp Valencia 2019 y Honeycon Guadalajara, son estas dos nuevas citas.
Esta última se dará cita del 4 al 9 de Noviembre, y nuestro compañero Jordi Ubach impartirá un taller por nombre “Breacking ICS “. Todo el programa, gratuito, en su web, en el enlace anterior. Eso sí, hay que registrarse que las plazas para cada taller son limitadas.
Y del 27 al 30 de Noviembre en Valencia, se celebra el Cybercamp, un evento de Ciberseguridad gratuito organizado por el Incibe (Instituto Nacional de Ciberseguridad de España). A través de un gran abanico de actividades, pretende ofrecer contenido de interés para todos los públicos.
Es un evento muy extenso como para enumerar todos sus puntos, y aunque os podéis descargar el dossier informativo AQUÍ, os podemos hacer un adelanto:
- Audiencia, casi cualquiera: familias, jóvenes talentos, técnicos y futuros profesonales y ciudadanos o apasionados en general de la Ciberseguridad.
- Habrá charlas y talleres de grandes expertos tanto nacionales como internacionales, enfocados a los diferentes públicos enumerados.
- Actividades lúdicas, para las familias. Usar Internet de forma segura es el objetivo.
- Los idiomas serán español e inglés, y el evento es totalmente gratuito.
- También se emitirán talleres y conferencias vía streaming.
TECH.PARTY.2019 (PARTE-4). Final y resumen.
También fuimos a otras charlas y talleres, pero el tiempo no daba para desdoblarnos e ir a más o poder hacer más reseñas.
Estuvimos con Kneda y su “Día a día de un pentester”, que bien podría hacer una novela con sus vivencias. Con Rafael Guerrero y su Elemental querido hacker, con un punto de vista más de detective privado (con los que nosotros colaboramos bastante). O con Pablo González & Alberto Sánchez, y su UAC history.
No queremos desmerecer a nadie, haciendo estas reseñas o menciones, porque según lo que comentamos con otros ponentes y asistentes, todas estuvieron a un alto nivel.
También desde “Plusradio la radio en positivo”, el programa El Cronovisor, con su podcast de dos horas de duración, realizaron entrevistas a participantes del evento.
Lo podéis escuchar AQUÍ, y a ellos seguirlos en Twitter @ElCronovisor, facebook @radioelcronovisor e Instagram @elcronovisor, y también plusradio.es
Desde nuestra parte felicitar a la organización, de diez, a los ponentes, y todo el público, que sin todo este conjunto no sería posible.
Quizás el único pero, que nos hubiera gustado asistir a muchos más eventos, y ojalá fuera posible en futuros eventos, que esperemos que los haya, que fuera menos denso por horarios, hacerlo en un par de jornadas, para que podamos asistir y empaparnos de más conocimiento.
Gracias!
- Publicado en Análisis forense, Consultoría, Formación, Informática industrial, Protección de datos, Seguridad, software libre
Español 
Català