Security Art Work

Lamentablemente, los incidentes con ransomware se han convertido en algo habitual para cada día más organizaciones. Una de las formas ampliamente utilizadas por los creadores de este tipo de malware para su difusión es, como es sabido, el correo electrónico con un archivo adjunto.

Aún a día de hoy, el envío masivo de SPAM malicioso sigue siendo una técnica tan sencilla como efectiva. Últimamente es muy habitual que los adjuntos contenidos en este tipo de correos sean archivos javascript (.js) comprimidos dentro de archivos zip.

[Read more…]

La palabra privacidad se ha introducido en nuestro vocabulario y en nuestras vidas. Está de moda: leyes que tratan de privacidad, medios que no dejan de mencionarla, nos lo recuerda Google, es algo configurable en las redes sociales y los navegadores, nos mandamos «privados», las páginas web tienen una «política de privacidad», etc.

El término privacidad según la RAE significa: «ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión». La privacidad es todo lo que concierne a nuestra esfera personal frente a nuestra dimensión pública o profesional. Y además, tenemos derecho a protegerla.

Pero en internet los datos de nuestra esfera personal: dónde vivimos, qué nos gusta, si tenemos pareja, por dónde nos movemos, qué compramos, nuestra ideología, enfermedades, etc. no son tan privados. Está claro que nuestra actividad en internet deja una huella que algunos utilizan para personalizar la publicidad que nos ofrecen y otros, con mala intención, para enviarnos mensajes de phishing personalizados.

[Read more…]

Esta entrada corre a cargo de @tunelko, analista de seguridad miembro de @DefConUA y apasionado jugador de competiciones CTF.

En el anterior artículo de esta serie empezamos a hablar sobre algunas diferencias y enfoques existentes en las competiciones de seguridad.

Se me olvidó comentar que hay dos tipos de plataformas donde podréis jugar. Las que te cobran por participar (huid!) y las que son organizadas de forma altruista por personas que invierten su tiempo a cambio únicamente de la satisfacción de que otros puedan aprender. No voy a ser yo quien diga a nadie cómo tienen que ganarse la vida los demás pero sí me gustaría advertir que existen competiciones de pago que, al menos para mí, me parecen engañosas. ¿Una plataforma de retos tan atractiva que hay que pagar? ¿Qué diferencias existen con las demás? Otra cosa bien distinta es que, con algún tipo de certificación o curso te den acceso a laboratorios o competiciones para poder poner en práctica los conocimientos. ¡Sí!, eso sí me gusta :).

[Read more…]

Hace unas semanas, “mi” entidad bancaria me informó de que habían implementado ciertas modificaciones para incrementar la seguridad de las operaciones bancarias (en realidad admito que no sé si decía “incrementar” de manera explícita, pero desde luego estoy seguro de que no mencionaba “reducir”). El cambio consistía en que la archiconocida tarjeta de coordenadas dejaba de funcionar, y en su lugar el código que se debía utilizar para autorizar la operación se recibiría en el móvil.

Todo parece correcto. Me siento frente al ordenador, abro la página web de la entidad bancaria e introduzco mi código de acceso. Voy, por ejemplo, a realizar una transferencia. Relleno los datos y a la hora de firmar la operación en el móvil recibo un mensaje push con el código que tengo que utilizar. En apariencia el cambio no es de gran relevancia, aunque sí es cierto que es más cómodo, ya que el móvil lo suelo tener localizable, y la tarjeta no siempre la llevaba conmigo. Además, en teoría es más fácil perder o que te roben la tarjeta de coordenadas que el móvil, por lo que con este cambio evitamos que si la pierdo, tenga que solicitar una nueva, lo cual puede suponer un incordio si necesito hacer una operación de urgencia.

Genial, ¿no? Dejémoslo en psé…

El problema viene cuando consideramos la pérdida o robo del móvil. Si asumimos que un usuario no protege el acceso a su móvil por PIN, huella dactilar o patrón de deslizamiento (que es algo que la entidad bancaria no tiene por qué asumir), nos encontramos con que la seguridad de cualquier operación queda reducida a un número de cuatro cifras: el PIN de acceso a la cuenta. Y no hablamos de un pago, como podría ser el caso del robo de la tarjeta, sino de cualquier operación. Por ejemplo, una transferencia de todo mi dinero a una cuenta de Western Union.

Porque en el móvil una vez se introduce el código de acceso a la cuenta, todo el campo es orégano; el proceso de firma de una operación no aporta nada en absoluto: se pulsa el botón “Firmar” y en ese momento el código de firma aparece en la parte superior de la pantalla. Sólo tiene que introducirse en la caja de debajo y voilà. Así de simple. De hecho, podría eliminarse la firma cuando se utilice la aplicación en el móvil asociado a la cuenta, y el resultado sería el mismo. Técnicamente, podría decir que cuando utilizo mi móvil, las operaciones no se firman.

No puedo negar que este cambio supone una gran comodidad. Sólo con el móvil puedo realizar cualquier operación sobre mi cuenta bancaria, sin tener que localizar o llevar encima la tarjeta de coordenadas. Y va en la línea del pago vía móvil que empieza a llegar de manera masiva, en el que el móvil pasa a sustituir al plástico, y en el que habrá que ver cómo van a gestionar las entidades los riesgos derivados del malware en dispositivos móviles. En cualquier caso, si consideramos que la utilización de aplicaciones móviles para la realización de gestiones bancarias es cada vez más habitual, un movimiento como este me parece que resta mucha seguridad a mi cuenta bancaria.

Un comunicado de la página principal de Revolv anunció que, a partir del 15 de mayo, el hub y la app de Revolv no iban a funcionar más.

Para los que no lo conocen, Revolv es uno de los tantos sistemas inteligentes que hay en el mercado, y que ofrecen equipar, conectar y monitorizar los hogares con dispositivos IoT (siglas anglosajonas para lo que en la lengua de Cervantes hemos venido a llamar “Internet de las Cosas”), y controlar así puertas, alarmas, luces y mucho más desde cualquier dispositivo móvil que admita la aplicación.

[Read more…]

Quizás sea un título un poco “sensacionalista” pero si nos ceñimos a la realidad tampoco estoy mintiendo, ya que al final del relato, hay DLNA, hay novia y hay desnudo.
Además esto ha hecho que sigáis leyendo y a fin de cuentas es lo que importa.

Si bien es cierto que en este artículo no voy a hablar de una vulnerabilidad particular de este protocolo sí me gustaría calificarla como tal, ya que el desconocimiento de una tecnología cotidiana puede acarrearnos algún que otro problema. Podríamos definirlo como “Human Vulnerability”.

[Read more…]

El pasado martes 3 de mayo, salió a la luz una noticia relacionada con la tecnología de la información y el campo de la medicina. La organización Merge Healthcare , y en concreto su producto Merge Hemo Programmable Diagnostic fueron los protagonistas del fallo expuesto a continuación.

El equipo en cuestión es a menudo usado para supervisar procedimientos de cateterismo de corazón, y se compone de dos módulos. El primero de ellos se ubica en el propio catéter que el personal sanitario introduce en venas y arterias del paciente con el fin de diagnosticar posibles tipos de enfermedades cardiovasculares. El segundo es un paquete software ejecutable en un equipo externo (PC, Tablet, etc.) capaz de monitorizar la información enviada por el catéter guardando y registrando los datos, así como mostrando información en tiempo real de gráficas fácilmente legibles. Para llevar a cabo su conexión, se realiza mediante interfaz serial.

[Read more…]

Esta semana IBM anunció que va a dedicar a la ciberseguridad una nueva versión basada en cloud de su tecnología cognitiva, Watson. Este sistema de inteligencia artificial (IA) se hizo famoso al competir en 2011 en un concurso en la televisión estadounidense de preguntas, Jeopardy!, y derrotar a sus dos oponentes humanos, como en 1997 lo hiciera DeepBLue a Gary Kaspárov jugando al ajedrez.

Watson será entrenado, con la ayuda de un puñado de universidades, en el lenguaje de la ciberseguridad. Su objetivo es aprender los detalles de los resultados de las distintas investigaciones en seguridad para descubrir patrones y evidencias de ataques encubiertos y amenazas ocultas que de otra forma pasarían desapercibidos. Con ello se pretende optimizar las capacidades de los analistas en seguridad utilizando sistemas cognitivos que automaticen la búsqueda de conexiones entre los datos, las amenazas emergentes y las distintas estrategias de protección. De esta forma, dicen, la “seguridad cognitiva” generará hipótesis, razonamientos basados en evidencias y recomendaciones para mejorar la toma de decisiones en tiempo real.

[Read more…]