Ciberseguridad: ¿Qué es el rogueware? La amenaza que supone un falso antivirus.

Seguimos con el tema de la ciberseguridad y hablamos de nuevo de cosas relacionadas con el tema de las apps maliciosas, pues el rogueware es algo similar: acabamos instalando software malicioso que creemos que es legítimo.

Imagen de una web de seguridad
Photo by Pixabay on Pexels.com

Seguro que si has utilizado alguna página para ver partidos de fútbol o series pirateadas en una de las miles de molestas ventanas de publicidad que te salen alguna vez te ha saltado un aviso que decía «Tu equipo podría estar infectado por un virus«, o tal vez te haya aparecido la publicidad de un complemento bloqueador de publicidad para tu navegador a pesar de que dicha web te bloquea el acceso si tienes uno activado. En ambos casos en enlace te llevará a una página para descargar dicho software. Esto es el rogueware: un software que se hace pasar por un antivirus, que instalamos tras haber sido engañados para creer que nuestro ordenador está infectado y que realmente será el que nos infectará. Existen otras estrategias para infectarnos, pero a día de hoy el método más utilizado es através de esos enlaces web.

¿Cómo actuará este rogueware cuando nos haya infectado?

Hay muchas varientes: en algunos casos puede que nos salte un aviso diciendo que se ha detectado contenido ilegal (pornografía, software pirateado) en nuestro equipo y nos pida un dinero en concepto de extorsión para no denunciarlo (recordemos el llamado «Virus del FBI» que secuestraba el navegador), en otros casos deshabilitará nuestro antivirus legítimo u otras herramientas anti-malware para dejarnos más vulnerables antre otro tipo de ataque que se ejecutará posteriormente, en ocasiones nos instalará un adware que es un software malicioso que nos abre constantemente ventanas de publicidad (seguro que recordáis hace años el pesado Lollipop), también puede que nos instale un software que mine criptomonedas sin que seamos conscientes de ello o que transforme nuestro equipo en parte de una red zombie.

¿Cómo nos protegemos?

Bueno, un bloqueador de publicidad legítimo en nuestro navegador como AdBlock ayudará a que no aparezcan estos mensajes, aunque ese tipo de páginas para streamings ilegítimos suelen bloquear el acceso a los usuarios que usan estas herramientas. Lo importante es pensar que si necesitamos un antivirus no hay que descargarlo nunca de un enlace de una publicidad que nos salte en un pop-up de una página web, si queremos un antivirus debemos descargarlo directamente del sitio del fabricante o de su cuenta oficial en una tienda de software online.

¿Y si ya nos infectamos?

Depende del tipo de infección a la que nos enfrentemos, en algunos casos una herramienta anti-malware como Malwarebytes puede ser suficiente para eliminarlo. Si nos ha secuestrado el navegador a veces bastará con reinstalarlo. En el peor de los escenarios podríamos vernos obligados a tener que reinstalar el sistema operativo.

Ciberseguridad: Cryptojacking ¿Qué es y cómo protegernos?

En la entrada sobre apps maliciosas os hablaba de aplicaciones que pueden usar vuestro dispositivo sin consentimiento para minar criptomonedas. Esto en principio no representa un riesgo para nuestra seguridad o privacidad, pero no quita que sea un fastidio: penalizará el rendimiento de nuestro dispositivo por tener el procesador y la memoria ocupadas en el minado, esto puede desembocar en un consumo excesivo de energía, en el sobrecalentamiento del dispositivo y un acortamiento de su vida útil, incluyendo daños en el disco duro, en los ventiladores o en la batería en caso de teléfonos móviles o tablets.

Logo de Bitcoin
Photo by Karolina Grabowska on Pexels.com

Para utilizar nuestros equipos los atacantes recurren a distintos medios: por un lado aplicaciones y otros programas que podemos instalar como si fuesen legítimios pero que lo que hacen es ejecutarse en segundo plano de forma constante para minar monedas, por otro lado también fue muy habitual durante un tiempo servirse de aplicaciones escritas en javascript que se abrían en segundo plano cuando visitábamos una web maliciosa y se quedaban minando monedas.

¿Cómo nos protegemos?

Bueno, empezamos con el clásico consejo de «ojo con lo que instalas y con las webs que visitas» de toda la vida, pero que por otra parte es muy importante extremar precauciones cuando nos conectamos a sitios poco legítimos o cuando instalamos algún software. En cualquier caso, incluso siendo cuidadosos podemos vernos atacados, nadie está libre. Instalar un antivirus y tenerlo actualizado es otro de los consejos esenciales, estos criptomineros son un problema conocido desde 2017 así que todos los antivirus modernos ya suelen detectarlos. Si crees estar infectado la herramienta Malwarebytes es bastante efectiva para detectar este tipo de programas maliciosos, puedes instalarla desde la web del fabricante y revisar que tu equipo esté libre de amenazas. Para evitar los scripts maliciosos cuando visitamos un sitio web tenemos distintas extensiones para el navegador, por ejemplo la extensión libre NoCoin o la extensión minerBlock que está disponible para Firefox y para Chrome.

Resetear una contraseña en Linux usando una jaula chroot

Vamos a dejar temporalmente el tema de la ciberseguridad, sin dejarlo realmente de todo, y vamos a hablar sobre cómo restaurar una contraseña de Linux usando una jaula chroot, una técnica que ya vimos hace años que se podía utilizar también para otras tareas de reparación y recuperación como restaurar el GRUB. El comando chroot nos permite ejecutar un proceso bajo un directorio raíz simulado, aislado del resto del sistema. La verdad es que resetear una contraseña de esta forma es algo que no pruebo desde hace años.

Supongamos que tenemos que acceder a un equipo con Linux y hemos perdido u olvidado la contraseña. Lo primero será arrancar el equipo con una distribución de Linux en modo live, lanzamos un terminal y nos hacemos administradores ejecutando:

sudo -s

El siguiente paso sería crear una carpeta que usaremos como «punto de montaje» que en el ejemplo llamaremos recuperapass, para montar en ella la partición en la que tengamos las contraseñas (en el ejemplo pondremos sda1, en vuestro caso poned la que corresponda) y ejecutar chroot sobre ella:

mkdir /mnt/recuperapass
mount /dev/sda1 /mnt/recuperapass
chroot /mnt/recuperapass

En este punto ya está montada nuestra partición dentro de la jaula chroot en la que tenemos permisos de administrador, de esta forma podemos utilizar el comando passwd para establecer una nueva contraseña de administrador, o pasarle el nombre de un usuario si queremos cambiar la de un usuario concreto. Tras eso salimos del proceso iniciado por chroot y desmontamos la partición:

exit
umount /mnt/recuperapass

Llegados a este punto apagamos e iniciamos nuestro Linux normalmente. Ya deberíamos poder entrar con la nueva contraseña.

Ciberseguridad: ¿Qué es el grooming y cómo actuar ante un caso?

Seguimos la serie de entradas sobre ciberseguridad y privacidad y vamos a tocar uno de los temas más graves y sensibles: el grooming.

¿Qué es el grooming? El grooming es un riesgo digital que afecta a los menores de edad, es el término que aplicamos a la situación de ciberacoso en la que un adulto manipula, engaña o chantajea a un menor de edad con objetivos sexuales: esto implica desde conseguir fotografías hasta realizar prácticas sexuales on-line, incluso llegándose a intentos de conocerse en persona. Esto puede darse en redes sociales, en sistemas de mensajería o en cualquier tipo de comunidad digital. El Código Penal español ya recoge este delito en el artículo 183.ter, pudiendo sancionarse con penas de cárcel de uno a tres años o multas de seis a veinticuatro meses. La red de investigación europea EUKids Online, de la que forma parte el instituto de ciberseguridad español INCIBE, recogía en un informe de 2018 que más del 42% de los menores con una edad comprendida entre los 13 y los 16 años, el rango de edad más afectado por esta amenaza,habían recibido mensajes de tipo sexual a través de internet.

¿Por qué este grupo entre los 13 y los 16 años es el más afectado? Suele ser la edad en la que estos menores empiezan a tener dispositivos con acceso a internet propios (tablets, teléfonos) y cuentas en redes sociales (algunos antes, claro, pero mintiendo en el formulario de acceso). Es lógico pues que este sea el rango de edad más atacado, los niños más pequeños no tienen tanta exposición a las redes. Por esto también es importante no proporcionarles este tipo de dispositivos de forma prematura.

Persona utilizando un teléfono con redes sociales.
Photo by Helena Lopes on Pexels.com

No hay que tomarse a la ligera esta amenaza, un menor que haya sufrido este tipo de acoso o abuso puede sufrir graves daños psicológicos o emocionales a medio o largo plazo, este tipo de agresiones podrían afectarle de muchas maneras: causarle ansiedad, depresión, inseguridad, condicionar su forma de relacionarse con otras personas, provocar que normalice los comportamientos abusivos, dificultarle el relacionarse con normalidad con otras personas o tener relaciones afectivas sanas… incluso puede llegar a ponerse en una situación en la que corra el peligro de sufrir una agresión física. Las consecuencias de la agresión pueden llegar a ser muy graves.

¿Cómo se previene el grooming? Bueno, no hay una fórmula científica para esto, no hay una serie de pasos que sí o sí nos lleven a conseguir una seguridad perfecta porque hablamos de relaciones entre humanos aunque se hagan por medio de dispositivos informáticos. En internet existen varias guías sobre el tema realizadas por profesionales. Uno de los puntos clave sería enseñar al menor a reconocer el peligro, una buena educación tanto en el terreno digital como en el terreno afectivo-sexual: que sepa no solo utilizar sus dispositivos de una forma técnicamente competente sino también de una forma socialmente responsable y segura, que sepa reconocer una agresión sexual y que sepa cómo actuar frente al acoso o al intento de abuso. Si se le va a dar al menor un dispositivo es importante enseñarle antes cómo usarlo de forma segura.

Se habla también en algunos ejemplos o guías para padres sobre controlar el uso que el menor hace de las redes sociales, esto está bien pero hay que ser conscientes de que no es una solución definitiva, el menor puede tener una cuenta que los padres desconozcan, si es un app de mensajería puede haber borrado las conversaciones, el contenido peligroso puede estar oculto en el equipo y protegido por cifrado… incluso una actitud demasiado inquisitiva puede hacer que la relación de confianza entre el menor y sus padres se deteriore al punto de que este no se atreva a contarles que está siendo acosado. Eso no quita, claro, que se deba echar un ojo a lo que publica y a sus interacciones y hablar con él en caso de detectar algún comportamiento que pueda ser de riesgo, intentando siempre que la comunicación sea constructiva, explicarle por qué no debe subir según qué cosas (fotografías, ubicaciones, etc.) o por qué ciertos comentarios que puede recibir no son adecuados. Es decir, es un buen complemento a la educación y formación, pero no un sustituto.

Detectar si un menor está siendo víctima de grooming es complicado en muchos casos, aunque se esté alerta sobre si manifiesta algún comportamiento inusual este puede confundirse con cambios de actitud típicos de la adolescencia. Pueden ser síntomas de estar siendo agredido el que se manifiesten cambios de humor bruscos, tristeza, abandono de actividades que antes le ilusionaban, cambios entre sus grupos de amistades, falta de comunicación, reacciones inusualmente agresivas ante bromas o comentarios críticos, miedo a salir de casa, ausencias injustificadas a sus clases… Como ya comenté, son unas señales que pueden pasar en muchos casos por actitudes típicas de esa edad y dificultan la detección temprana del problema.

Al final hay que ser conscientes de que es imposible proteger a un hijo durante todo el tiempo, por esto es importante enseñarle a protegerse, además de intentar tener una relación de confianza para que se sienta seguro si tiene que denunciar una agresión, porque si el menor piensa «Si les cuento a mis padres esto me van a gritar, me van a castigar» es muy posible que se calle hasta que llegue a un punto en que la situación ya sea insoportable.

redes sociales
Photo by cottonbro on Pexels.com

¿Qué hacer en caso de que un menor sea víctima de este tipo de acoso? Dos cosas muy importantes: la primera es no culpabilizar a la víctima, la segunda es denunciar. Es importante en un primer momento no presionar al menor ni hacerle sentirse culpable, es importante que se sienta seguro y apoyado en ese momento para que pueda denunciar lo que ha sufrido, para que no se sienta señalado o para que no llegue a creer que él mismo ha sido culpable de haber recibido una agresión. Para denunciar se puede recurrir tanto a las fuerzas policiales (Policía Nacional o Guardia Civil) como acudiendo directamente al juzgado de guardia o a la fiscalía de menores. Aunque en el momento de presentar la denuncia no será necesario aportar las pruebas nunca está demás llevarlas, a ser posible con la menor manipulación de las mismas. Recomiendo consultar con un perito forense informático para estas labores, para intentar no destruir las evidencias en el proceso.

Existen asociaciones y ONG‘s que dan ayuda y apoyo tanto a las víctimas de agresiones sexuales como a las víctimas, haciendo un trabajo muy valioso para la sociedad. Creo que es muy recomendable acudir a ellas por disponer de profesionales que conocen bien la problemática, que pueden dar apoyo al menor agredido o aconsejarnos cual será la mejor manera de actuar, tanto antes como después de denunciar, ya que no hay que olvidar que para la persona agredida siempre será un proceso duro el enfrentarse a su agresor, por lo que es importante que se sienta apoyada.

Ciberseguridad: Apps maliciosas en dispositivos móviles

Empezaré esta entrada sobre ciberseguridad contando una historia propia, que el cuento y la leyenda han sido siempre buenos instrumentos educativos para advertir de peligros, aunque en este caso la historia es real pero debidamente anonimizada.

Hará menos de un mes un familiar me comenta que el conocido de un amigo le va a pasar un app para ver «todo el fútbol gratis» desde su tablet Android. La simple descripción de la aplicación hace que en mi hombro izquierdo un pequeño duende con un trébol de tres hojas grite «Danger! Danger!» (y no está cantando la canción de Electric Six), luego os explico por qué ya desconfío de entrada. El app debe ser de confianza porque el conocido del amigo es un tío que sabe mucho de estos temas. Como os podéis imaginar el app no está en la tienda oficial de aplicaciones de Android, es un fichero apk que le envían por Whatsapp, fichero que le pido, me descargo y desempaqueto con el Android Studio. Lo primero que hago es echarle un ojo al Android Manifest para ver qué permisos pide: ¿Ver estado de la red? Bueno, esto entra en la lógica ¿Usar datos móviles? Vale, si no estás conectado a una wifi los necesitará para el streaming ¿Ver información de la Wifi? Esto me mosquea, una cosa es ver si hay red y otra ver los detalles. Entonces empiezo ya a ver cosas que no deberían estar ahí: Acceso a los SMS, acceso a los contactos, acceso a las llamadas, acceso a la ubicación, acceso al GPS, acceso al almacenamiento, acceso al Bluetooth, acceso a pagos desde la aplicación, acceso al micrófono… Esos permisos no tienen ningún sentido para la finalidad de la aplicación, de hecho el combo SMS+Pagos me provoca hasta terror y sudores fríos. Recomiendo no instalarla porque el riesgo potencial de dicha aplicación es muy alto.

Imagen de un teléfono móvil
Photo by cottonbro on Pexels.com

¿Por qué me mosqueó la aplicación ya de entrada y antes de haber visto nada? Pensemos un momento de forma crítica y analítica: hacer una aplicación requiere invertir tiempo en diseñarla, programar el código, hacer pruebas, actualizarlo cuando haya problemas de seguridad o cambios en el núcleo de Android… En este caso además se trata de una aplicación que muestra una información que hay que actualizar a diario, todos los días hay que subir los enlaces de los partidos de la jornada, así que estamos ante una aplicación que requiere que alguien invierta muchas horas en mantenerla fucionando. Además, hoy por hoy con la ley en la mano lo que hace dicha aplicación es ilegal, por lo que la persona que mantiene el app se podría ver envuelto en problemas legales con empresas muy grandes y ricas, que tienen todos los recursos legales del mundo para amargarte la vida. Entonces ¿por qué alguien dedicaría tanto tiempo y se arriesgaría a tener problemas con la ley si no va a conseguir un retorno económico? Puede que sea alguien con mucho tiempo y dinero que pretende empezar una guerra contra los gigantes del contenido, pero es más probable que sea alguien que busque conseguir un retorno económico con dicha aplicación.

¿Qué son las apps maliciosas?

El ejemplo que he puesto con la historia que os he contado es una buena definición de un app maliciosa: una aplicación que teóricamente parecía legítima pero que realmente era una trampa para acceder a un montón de permisos dentro de nuestro teléfono. ¿Qué puede conseguir un ciberdelincuente con eso? Pues depende de los permisos que le hayamos dado: infectar nuestro dispositivo para ser parte de una red zombie en un ciberataque, usar nuestro teléfono para minar criptomonedas, robar nuestros datos, suscribirnos a servicios de sms premium o llamar a números de tarificación especial, tomar el control de nuestro dispositivo… Se roban tantos datos a día de hoy que en la deep web los de un solo individuo llegan a venderse por cantidades ridículas. ¿Crees que los datos de un ciudadano medio, incluyendo acceso a sus cuentas de correo, a la web de su seguro médico y al app de su banco, valen miles de euros? No, hoy por hoy hay paquetes de información así vendiéndose por 10 euros en la deep web.

¿Cómo me protejo de estas apps maliciosas?

Bueno, en este caso la única solución es no instalarla. Es una respuesta de perogrullo, pero eso es así. Entonces me diréis «¿no instalamos nada por si acaso?«, pues no… pero sí, me explico: si no lo necesitas no lo instales, esto es una máxima que suelo aplicar, tener aplicaciones por tener solo implica malgastar capacidad de almacenamiento en nuestro dispositivo y aumentar las posibilidades de sufrir un problema de seguridad. Si llegamos a la conclusión de que sí necesitamos esa aplicación entonces el siguiente punto es ¿desde dónde la descargamos? Pues lo mejor es hacerlo desde la tienda oficial de apps de nuestro sistema operativo (Apple, Google, Amazon, la que toque), pero cuidado, a veces alguna aplicación maliciosa logra colarse ahí, así que aunque esté en un sitio legítimo puede ser ilegítima por lo que debes siempre revisar los permisos que te pide la aplicación y pensar «¿esta aplicación necesita esto para lo que a hacer?» Yo entiendo que puede ser confuso en muchos casos, pero hay que hacer el esfuerzo por nuestro propio bien y pensar en qué le estamos permitiendo, por ejemplo ¿una aplicación para enviar dinero a mis amigos necesita acceder a mi lista de contactos? Bueno, eso tiene cierta lógica. ¿Esa misma aplicación necesita acceder a mi GPS? Pues eso en cambio ya no tiene ninguna explicación en principio coherente.

Hay otras medidas de seguridad proactivas que podemos tomar por si nos viéramos afectados por una de estas aplicaciones como tener copias de seguridad de nuestros datos, por si sufriéramos un ataque que las destruyese o secuestrase, o cifrar nuestro dispositivo para evitar que en caso de robo de datos estos fueran legibles. También aplicaciones como el CONAN de INCIBE nos permitirán comprobar la seguridad de nuestro dispositivo ¿Qué pasa si ya nos hemos infectado? Pues lo primero es eliminar la aplicación maliciosa, después ya con el equipo libre de ese malware lo mejor sería cambiar nuestras contraseñas en los distintos servicios que utilizásemos para evitar sustos por si hubieran sido robadas. La OSI tiene una infografía muy chula resumiendo todo esto.

Ciberseguridad: ¿Qué es el Web Spoofing?

La pasada semana por aquello del Black Friday volvía a compartir en mis redes sociales esta infografía que hizo el INCIBE y distribuyó a través de las redes de la OSI, siguiendo esa línea y con vistas a las compras navideñas vamos a hablar de otra técnica para cometer fraudes y delitos en la red: el web spoofing.

Cibercrimen ¿Qué es el web spoofing?
Photo by Mikhail Nilov on Pexels.com

¿En qué consiste?

Esta técnica para la estafa on-line consiste en crear una web falsa para hacerla pasar por un sitio legítimo y así robar nuestras credenciales de acceso al mismo. El atacante, por ejemplo, podría clonar la estética de la pasarela de pago de nuestro banco para hacerse con los datos de nuestra tarjeta, la página de inicio de AliExpress o Amazon para controlar nuestra cuenta o la página de acceso a Pay Pal. Esta técnica tiene que combinarse con alguna otra de ingeniería social para hacer llegar la web falsa a la víctima (por ejemplo, con el smishing del que ya hemos hablado, con correos fraudulentos, con publicidad-trampa en páginas poco legítimas…)

¿Cómo nos protegemos?

Lo primero es desconfiar de las webs sin https, si no tienen certificados digitales mejor no fiarse de ellas. Que tengan el certificado tampoco es una garantía, nuestro navegador nos permitirá comprobar a nombre de quién se ha expedido dicho certificado así que también es bueno comprobarlo. Es muy importante que revisemos bien la URL de la dirección a la que estamos accediendo para asegurarnos de que no se trata de una falsificación, que realmente es la web legítima.

Algunas herramientas para verificar información online

Ya hemos hablado de los problemas que tenemos con la proliferación de propaganda en internet y por la exposición a información tóxica en redes sociales, incluso planteamos si podemos servirnos del mismo criterio que usan los servicios de inteligencia de la OTAN para catalogar las fuentes. Hoy vamos a ver algunas herramientas para verificar información, siguiendo las recomendaciones del Centro Nacional de Cibersegurança portugués.

La ONG Amnistía Internacional, por ejemplo, nos ofrece una herramienta para ver metadatos de vídeos de Youtube, lo que nos permitirá saber la fecha y hora a la que se ha subido un vídeo y nos mostrará las miniaturas del mismo para que podamos hacer una búsqueda inversa de imágenes. Lo he probado con un vídeo de esta misma noche, la expulsión de LeBron James ante los Detroit Pistons y este ha sido el resultado:

Captura de pantalla del visor de metadatos de youtube

Otra buena opción para validar una información es comprobar las imágenes que la acompañan, para saber por ejemplo si han salido de otra página, en qué fecha se subieron originalmente, etc. Para eso la búsqueda de imagenes de Google nos permite hacer una búsqueda inversa (la opción Buscar por Imagen, que nos deja subir una foto o adjuntar la url de la misma). El buscador ruso Yandex también nos ofrece esa posibilidad. Yo he probado a subir un meme en el que se ve a un niño fumando junto a un pollo, comprobando que en los resultados sí aparece la foto original del meme sin su marco:

Captura de pantalla de una búsqueda inversa de imágenes en Google

Para recuperar informaciones que ya no están online, cosas que existieron pero fueron borradas, siempre podemos recurrir a páginas como Web Archive, Archive.md, la portuguesa Arquivo.pt o las herramientas que nos ofrece Yubnub, que son algo más complejas. Estas webs nos permitirán recuperar informaciones borradas, pues muchas veces parte de un ciclo de vida de una teoría conspirativa implica el borrado de la original para reutilizarla tiempo después con un par de modificaciones.

Finalmente tenemos una web que nos permite rastrear el origen de una publicación en Facebook o Twitter, llamado Who Posted What. Es algo más complejo de usar que la búsqueda de imágenes de Google, pero puede ayudarnos a saber de dónde proviene una información

Ciberseguridad ¿Qué es el shoulder surfing?

Vamos a seguir hablando un poco de ciberseguridad y vamos con formas de ataque que no requieren de ningún conocimiento técnico, como cuando hace unos días vimos en qué consistía la técnica de la «manguera de goma«. Hoy hablaremos del «shoulder surfing«, empezando con un ejemplo real, algo anecdótico pero que será un buen inicio:

Principios de 2015, al salir del trabajo me estoy tomando una cerveza en la barra del bar donde trabaja una amiga mía y charlamos animadamente, pues no hay más clientes. Me pregunta algunas cosas sobre ciberseguridad porque sabe que soy programador y hace poco ha visto a Chema Alonso en la tele, en una entrevista, y piensa que hay mucho sensacionalismo con la seguridad informática, que se montan «muchas películas» sobre el tema, pero que realmente no es tan fácil realizar un ataque informático. Le pregunto si me invita a la cerveza si logro desbloquear su teléfono, acepta estando segura de que no podré. Me da el teléfono y lo desbloqueo al momento, birra gratis. ¿Cómo he logrado desbloquearlo? Pues haciendo uso de esta técnica del «Shoulder surfing«, que en castellano podríamos traducir como «mirar por encima del hombro«: bloqueaba su teléfono con un código numérico, solo tuve que fijarme en qué números había pulsado, me había quedado cierta duda con el último dígito, pero era fácil deducirlo porque era su año de nacimiento. Conste que ella reclamó diciendo que «eso no es un ataque informático, solo has visto la contraseña«, pero independientemente del método usado yo había logrado acceder a su dispositivo.

Imagen con ejemplo de espionaje
Photo by Noelle Otto on Pexels.com

Aunque pueda sonar como algo mundano, como algo que podríamos llamar cutre, obtener una contraseña por mera observación es bastante simple y más habitual de lo que creemos. Suele encuadrarse dentro de la llamada «ingeniería social«, pero yo hasta pienso que calificarlo de ingeniería en muchos casos es demasiado. Si bien es cierto que en casos de espionaje se ha recurrido a algunas medidas técnicas (cámaras ocultas o prismáticos), lo más habitual suele ser que simplemente el atacante se coloque cerca de su víctima y observe cómo teclea el código para acceder.

¿Cómo nos protegemos de este ataque?

Bueno, como comentamos en la entrada sobre ataques contra contraseñas, las opciones de activar la validación por múltiples factores o de usar un gestor de contraseñas son importantes. Para el desbloqueo de dispositivos móviles se puede contar con el desbloqueo por reconocimiento facial o por huella dactilar. En este caso, además, tendríamos que sumar como medida de seguridad el asegurarnos de que nadie está viendo nuestra pantalla ni nuestras manos al teclear e intentar no hacerlo en lugares públicos y llenos de gente (la barra de un bar, el transporte público, etc.)

Ataques informáticos contra contraseñas: fuerza bruta y diccionario.

Desde hace años las contraseñas protegen muchos de nuestros datos en la red: acceso a servicios económicos, tiendas en línea, redes sociales, correos… Por lo que para un ciberdelincuente las contraseñas son objetivos jugosos, pues le permiten acceder a información o funciones muy valiosas: acceder a nuestro dinero, acceder a nuestros correos, suplantar nuestra persona…

Existen muchas formas de hacerse con una contraseña, en el pasado ya hablamos de técnicas de ingeniería social como el smishing, de cómo se pueden servir de correos fraudulentos, incluso de métodos no informáticos como la coacción o la tortura (ataque de manguera de goma). Aquí vamos a ver dos formas de hacerlo sin tener que contactar con la persona atacada para engañarla, simplemente «forzando» la contraseña. Tenemos principalmente dos posibilidades: fuerza bruta pura y ataque con diccionario.

Código fuente de un script
Photo by luis gomes on Pexels.com

El ataque por fuerza bruta es bastante sencillo: consiste en bombardear nuestra contraseña con todas las opciones posibles. Prueba y error, así de sencillo. Dependiendo de la robustez de nuestra contraseña y de las medidas de seguridad del sitio al que intenten acceder tardará más o menos, pero con el tiempo suficiente cualquier contraseña acabaría por caer.

El ataque con diccionario es una versión sofisticada de la fuerza bruta: utiliza un software que prueba distintas combinaciones de caracteres más usuales o más probadas. Estos diccionarios suelen complementarse con listas de contraseñas ya utilizadas que se han sacado de alguna filtración. Como curiosidad, también se sirven de los requisitos de seguridad que nos imponen los servicios para crear una contraseña: por ejemplo, si creamos un diccionario para un sitio que exige como mínimo 6 caracteres, con un número y una mayúscula, ya no se probará ninguna contraseña que no coincida con ese patrón.

Ya que hablamos de filtraciones de contraseñas para los diccionarios debemos hablar de las tablas rainbow o arcoíris también. En su momento ya hablamos de las funciones de resumen o hash, que son muy utilizadas para almacenar contraseñas y también comentamos el problema de la colisión (dos contraseñas distintas pero que casualmente producen el mismo hash, lo que permite hace un ataque basado en la paradoja del cumpleaños). Muchas veces cuando hay una filtración de contraseñas estas no están en texto plano sino que se filtran estos hashes, las tablas arcoíris son una herramienta que nos permite buscar contraseñas que generen el mismo hash. Aunque en principio los ataques por fuerza o por diccionario suelen ser más sencillos y menos costosos computacionalmente, las tablas arcoíris han sido una solución muy usada para atacar contraseñas de mucha longitud.

¿Cómo podemos protegernos de estos ataques?

Bueno, a nivel desarrollador hay múltiples opciones, como añadir un «salt» (una cadena de texto aleatoria) a la contraseña durante el proceso de validación antes de generar el hash, de forma que dificulta el uso de tablas arcoiris, usar un captcha para evitar sistemas automatizados, ralentizar la respuesta de error un par de segundos para aumentar la espera en caso de ataque automatizado, bloquear temporalmente una cuenta en caso de recibir múltiples errores con un tiempo de bloqueo que crezca progresivamente, utilizar cookies para bloquear intentos recurrentes desde un mismo equipo… Eso en caso de portales web, para otras aplicaciones, como las de uso corporativo, incluso se puede limitar el rango de ip‘s para acceder y obligar a los usuarios a usar una VPN.

Como usuario es recomendable no usar contraseñas débiles, cortas y fáciles de recordar ni usar datos personales como nuestro nombre o fecha de nacimiento como contraseña. Tampoco se recomienda usar patrones muy sencillos, como la primera letra en mayúscula y acabada en un número, que son fáciles de recordar pero al ser tan populares ya muchos diccionarios los contemplan. La autenticación con varios factores (por ejemplo, que envíe una confirmación a nuestro teléfono) es una solución que debemos habilitar siempre que esté disponible, de hecho Google ha empezado a hacerla obligatoria. Además es muy recomendable usar un gestor de contraseñas, existen muchos tanto de pago, como totalmente gratis o con versiones limitadas gratis. Si no quieres pagar la opción libre KeePass aunque tenga una interfaz algo anticuada está en permanente actualización y es fiable y segura.

Admiralty Code ¿Qué es? ¿Puede servirnos para estar prevenidos ante noticias falsas/propaganda?

El «Admiralty Code«, también llamado «NATO System«, en castellano «Sistema de la OTAN«, es un método para analizar la fiabilidad de la información diseñado y utilizado por la OTAN y por los servicios de inteligencia de los países que forman parte del acuerdo UKUSA. Aunque originalmente fue creado como una herramienta para servicios de inteligencia naval su utilidad puede extenderse a muchos otros contextos, incluso al académico, el investigador JM Hanson destacaba en un artículo para la UNSW de Sidney que podría tratarse de una herramienta fundamental para fomentar el auto-aprendizaje, además de una buena metodología para los estudiantes que buscan recursos educativos o fuentes para una investigación. Ya hemos hablado en el pasado de la proliferación de propaganda en internet, tanto con fines económicos como políticos, también de cómo reducir nuestra exposición a la misma. Los criterios usados en el método Admiralty Code pueden ser útiles herramientas a la hora de analizar la información que recibimos en nuestro teléfono, correo electrónico, etc.

¿En qué consiste pues este método? Pues consiste en analizar tanto la fiabilidad de la fuente como la coherencia y credibilidad de la información, usando dos escalas de seis puntos para ello.

Escala de fiabilidad de la fuente:

  • A – Totalmente Fiable: La fuente tiene un buen historial previo, siempre ha ofrecido información fiable y auténtica, mostrándose además competentes en el tratamiento y presentación de la información.
  • B – Habitualmente Fiable: La fuente tiene un buen historial previo, en la gran mayoría de las ocasiones ha ofrecido información fiable y auténtica.
  • C- Algo Fiable: Aunque la fuente ha ofrecido en el pasado información válida, debemos «cogerla con pinzas» porque no siempre nos ofrece datos fiables.
  • D – Habitualmente no confiable: Aunque la fuente ha ofrecido en el pasado información válida alguna vez, debemos «cogerla con pinzas» porque en la mayoría de las ocasiones no ha sido una fuente fiable.
  • E – Desconfiable: La fuente tiene un historial previo de información falsa o poco fiable, ya sea por incompetencia o por ser ese su objetivo.
  • F – Sin Datos: Desconocemos el historial previo de la fuente.

Escala de credibilidad de la información:

  1. Confirmado en varias fuentes: La información parece lógica y coherente, además está confirmada por varias fuentes independientes.
  2. Probablemente cierto: La información parece totalmente lógica y coherente, aunque no esté confirmada en más fuentes de momento.
  3. Posiblemente cierto: La información parece razonablemente lógica y coherente.
  4. Dudoso: Aunque lo que nos cuente la información es posible, carece de lógica o de coherencia con otras situaciones conocidas pasadas.
  5. Improbable: Lo que nos cuenta la información es imposible, contradictorio o totalmente ilógico en si mismo. Varias informaciones sobre el tema la contradicen.
  6. Sin base: Carecemos de base para poder medir la credibilidad de la información.

De esta forma podríamos elaborar una tabla con la que validar nuestros contenidos, con un código de colores similar a un semáforo [verde: esto en principio parece cierto, amarillo: habrá que andarse con ojo, rojo:esto probablemente sea falso] para estar advertidos de la fiabilidad de la información que estamos recibiendo:

Tabla con categorías de verosimilitud de información cruzadas con la calidad de fuente

Este sistema ha recibido críticas de múltiples analistas de inteligencia, por ejemplo porque su bidimensionalidad puede llevarnos a tener dudas: ¿es más fiable una información marcada como B3 o como C2? En cualquier casi aquí no planteamos ya la idea de elaborar informes de inteligencia, sino la de servirnos de este criterio un poco como guía para evaluar las noticias que leemos. Cuando veamos un titular jugoso pensemos primero ¿de dónde sale esta noticia? ¿qué historial tiene este medio en este tema? y después pasemos al punto ¿esto es posible? ¿es coherente?