Etiqueta: ciberseguridad

Seguridad informática y seguridad de la información: similitudes y diferencias.

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

Seguridad informática y seguridad de la información son dos conceptos que algunos periodistas no suelen manejar correctamente, provocando la confusión entre sus lectores al usarlos como si fuesen sinónimos. Voy con una mini-entrada para hablar de estos conceptos. ¿Es lo mismo seguridad informática que seguridad de la información?

Imagen genérico de una consola de comandos
Photo by Negative Space on Pexels.com

Si recordáis la entrada que hicimos sobre la Tríada CID, cuando hablamos de proteger información habamos de garantizar su confidencialidad (a grandes rasgos, que solo pueda acceder a ella quien tenga permiso para ello), su integridad (que no pueda ser manipulada ni destruída de forma accidental o malintencionada) y su disponibilidad (que sea accesible dentro de un tiempo razonable). A esos tres conceptos podemos sumar también el de autenticación, que implicaría la verificación de que el origen de los datos es correcto, que quien nos los envía es quien dice ser. Tanto la seguridad informática como la seguridad de la información persiguen ambas estos objetivos, eso es lo que tendrían en común: las dos hacen referencia a disciplinas que buscan proteger la información (datos personales, datos de negocio, propiedad intelectual) de una organización (empresa, gobierno, fundación), encargándose del cumplimiento de los requisitos legales en esa materia y de la protección contra delincuentes, contra neglicencias de los operarios o contra accidentes e imprevistos.

Cuando hablamos de seguridad informática hablamos de la disciplina que trata de proteger la información almacenada en un sistema informático, además de proteger también la propia infraestructura de dicho sistema (los equipos, las redes, los sistemas de almacenamiento, etc.). Se suele usar el término ciberseguridad como sinónimo de seguridad informática, aunque algunos especialistas señalan un matiz diferenciador entre ambos conceptos: consideran que la ciberseguridad debe hacer referencia solo a la protección de sistemas que estén interconectados y cuando se haga uso de tecnologías y prácticas ofensivas, mientras que seguridad informática sería un término más amplio que engloba la protección de los sistemas informáticos, indistintamente de si están interconectados o no y de si se usan técnicas ofensivas o solo técnicas defensivas.

El término seguridad de la información sería todavía más amplio, no limitándose solo a la protección de la información contenida en los sistemas informáticos sino también a la que sea almacenada o manipulada de forma impresa o verbal. No atañe solo a equipos informáticos y redes, sino también a las instalaciones físicas o a las personas que forman parte de la organización.

De forma resumida: podríamos decir que la seguridad informática es una parte de la seguridad de la información, pero que no son sinónimos porque la seguridad de la información abarca más cosas.

Ciberseguridad: ¿Qué es el QRishing y cómo nos defendemos de este fraude?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

Por aquí hemos hablado del phishing a través de correos fraudulentos, del envío de facturas falsas, del smishing o del vishing, así que por seguir con los «ings» toca hablar del QRishing, palabro que no tengo ni idea de cómo se pronunciaría y que viene a ser una combinación de QR y phishing.

Los códigos QR (abreviatura del inglés Quick Response, que vendría a ser Respuesta Rápida en castellano) fueron creados por Toyota a mediados de los 90 para gestionar sus inventarios de repuestos y se popularizaron rápidamente en Japón, expandiéndose por Europa durante la primera década de los 2000 y alcanzando su mayor aceptación durante la pandemia de 2020, cuando los locales de hostelería comenzaron a usarlos para enlazar urls con sus cartas al no poder utilizar una carta en papel. Cada vez más en los últimos años se están convirtiendo en una alternativa a los tradicionales códigos de barras, pues permiten almacenar información más compleja.

Ejemplo de código QR
Código QR (Ejemplo tomado de Wikipedia)

Su popularización en los últimos tiempos, cuando se han vuelto un recurso casi omnipresente y todos los teléfonos traen ya un lector de QR incorporado, ha llevado a que también se utilicen para el cibercrimen. El QRishing consiste en engañar a la víctima para que lea un código QR creyendo que le llevará a un sitio legítimo y conducirle realmente a uno fraudulento, para allí intentar robar sus credenciales de acceso a algún servicio o incluso colarle un falso pago (fue muy sonado un caso en Texas en el que se usaron códigos QR falsos para engañar a la gente que quería pagar los tickets del parking). Os podría contar un gracioso troleo que realicé sirviéndome de estos códigos el verano pasado (una acción entre activismo, pedagogía y un poco de cabronería también), pero prometí contárselo a un amigo y si lo lee aquí luego perderá su gracia cuando lo hablemos entre birras.

¿Cómo nos protegemos?

Bueno, primero vamos con las medidas técnicas: yo diría que es importante que la aplicación que usemos no abra directamente la URL escaneada en el código sino que, en lugar de eso, nos muestre la dirección a la que va a llevarnos y nos pregunte antes si queremos ir. Un simple gesto que nos hará perder un par de segundos a cambio de ganar mucho en seguridad.

Más allá de tener una app un poco más segura el resto dependerá de nuestro proceder, como en todo lo que podamos considerar fraude o estafa: habría que comprobar que el código viene de una fuente fiable, si nos piden credenciales de acceso ver que la página sea legítima y si tiene sentido que nos lo pidan, si es para realizar un pago habrá que andarse con mi ojos y ver tanto que la plataforma sea legítima como que el receptor del pago sea el correcto y comprobar finalmente en la página de nuestro banco que la transacción haya sido correcta. Si tomamos como ejemplo la estafa de los aparcamientos en Texas, añadiría que también hay que fijarse que el código que vamos a escanear no haya sido manipulado, si hay una pegatina con un código colocada encima de otro es mejor desconfiar y alertar a la entidad o negocio que debería gestionarlo por si fuera un intento de estafa.

Ciberseguridad: consejos a la hora de usar conexiones con el protocolo RDP

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redesDeja un comentario

El protocolo de acceso a escritorio remoto (en adelante RDP) ha formado parte de Windows desde hace años, apareciendo originalmente para Windows XP. Cuando nos conectamos por RDP tenemos un equipo que hace de servidor, al que nos conectaremos, y el resto de equipos serán clientes. Aunque es una forma muy cómoda de trabajar también hay que señalar que con el paso de los años se ha quedado bastante obsoleto en términos de seguridad: carece de encriptación y es muy sensible a los ataques por fuerza bruta. Cuando durante el confinamiento de marzo-mayo de 2020 muchas empresas se lanzaron a teletrabajar sin un plan claro, dada la urgencia, se abusó de estas conexiones y muchas sufrieron problemas de seguridad (recuerdo haber leído un artículo en Twitter allá sobre el 18 de marzo donde ya se remarcaba la cantidad de escritorios remotos vulnerables que se podían localizar en España). Los delincuentes intentar servirse de conexións RDP vulnerables para instalar ransomware, spyware o practicar el cryptojacking.

Fotografía genérica de un app de seguridad.
Photo by Pixabay on Pexels.com

¿Cómo podemos usar RDP de forma segura?

Vamos a plantear varios puntos. El primero ¿necesitamos conexión vía RDP para trabajar? En muchos casos es más seguro implementar soluciones de trabajo a través de portales en la nube, claro que también requiere de una inversión en desarrollo (que se verá compensada en el largo plazo por la mejora en productividad y en seguridad).

En caso de que realmente necesitemos esta conexión vamos con el siguiente punto ¿Está nuestro software actualizado? Este es un punto recurrente en todas las entradas sobre ciberseguridad, pero es importante recordar que un equipo desactualizado suele ser más vulnerable ante cualquier tipo de ataque. No olvides descargar siempre las actualizaciones de seguridad del sistema operativo.

Los ataques más comunes contra los escritorios remotos son ataques de fuerza bruta y en muchos casos se sirven de un diccionario de usuarios y contraseñas, por lo que es recomendable no utilizar nombres genéricos para los usuarios (tipo Admin, Administrador, Administrator, etc.) dificultando así el trabajo del atacante, además de complementarlo con una política de contraseñas robustas. A día de hoy depender solo de la contraseña puede no ser suficiente, por lo que sería recomendable utilizar alguna solución para realizar una autenticación de dos factores, ya sea a través de datos biométricos, de una clave generada al momento que se envíe al usuario o del uso de un dispositivo externo para la validación. Otra buena política es bloquear el acceso de un usuario a través de este protocolo tras un número determinado de intentos fallidos de conexión. También es importante definir bien los permisos de los usuarios para limitar qué pueden y qué no pueden hacer según el trabajo que vayan a desempeñar. Un último consejo es no dejar «usuarios zombies«, cuántos más usuarios tenga el servidor más posibilidades tendrá el atacante de intentar entrar, por lo que si un usuario deja de utilizarse lo mejor será eliminarlo del sistema.

Una de las mejores soluciones que tenemos para hacer más robusta nuestra seguridad en los accesos a un servidor por RDP es utilizar una VPN: por un lado nos dará un cifrado para nuestras comunicaciones, cosa de la que carece el protocolo RDP, y por otro podremos limitar el acceso al servidor y permitirlo solo a través de dicha VPN, lo que reduce enormemente las posibilidades de un ataque. Lo ideal es conectarse a través de una VPN, pero si por lo que sea no disponéis de una entonces al menos no utilicéis el puerto por defecto, el 3389, para la conexión. Cambiando este puerto se logra reducir un poco el número de ataques automatizados, aunque no es una solución ideal pues el atacante podría simplemente buscar los puertos a la escucha. También se puede implementar un filtrado por IP en el cortafuegos, pero es algo que solo recomendaría para empresas que cuenten con una IP fija, para el teletrabajo no acaba de ser una solución práctica pues la mayoría de conexiones domésticas utilizan direcciones IP dinámicas.

Seguridad informática ¿Qué es un wiper y cómo nos podemos proteger?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

En los últimos meses otro término relativo a la ciberseguridad del que se está hablando mucho, por la situación bélica en el este de Europa, es wiper. ¿De qué hablamos? Pues de un tipo de malware diseñado para destruir la información almacenada en discos duros. Al contrario que el ransomware, que secuestra nuestros datos, el wiper lo que hace es destruirlos. Esto no es algo nuevo, allá por los 90 virus como Casino, CIH o alguna de las últimas versiones del virus de los Barrotes también estaban diseñados para destruir los datos, aunque en los últimos años este tipo de amenazas se habían vuelto menos habituales ya que es complicado para un ciberdelincuente conseguir un retorno económico si ha destruído de forma irremisible la información, siendo sustituídos por herramientas que roban datos, meten publicidad o los cifran para cobrarnos el rescate. En efecto, un wiper no es especialmente útil para extorsionar o robar, pero sí es muy útil en contextos de ciberguerra o ciberterrorismo. En los últimos meses además de grandes campañas de ransomware también se ha visto un crecimiento del uso de este tipo de herramientas, pensadas para destruir información confidencial o inutilizar sistemas informáticos enteros.

Cada wiper puede funcionar de una forma distinta, los más efectivos que se han analizado durante esta guerra, se cree que usados por los servicios de inteligencia militar rusos, principalmente sobreescriben los primeros bytes de cada fichero con una serie de datos aleatorios para dejarlos inservibles, además de rellenar también el espacio vacío y destruir las particiones y el sector de arranque del sistema, dejándolo inutilizado. La idea es destruir la información, inutilizar el sistema y dificultar además el trabajo forense.

¿Cómo nos protegemos?

Aunque en el párrafo anterior nos centremos en el uso de esta tecnología como arma en el contexto de la guerra entre Rusia y Ucrania, esto no quiere decir en absoluto que empresas o entidades públicas de otros países estén libres de recibir este tipo de ataques. Como siempre que hablamos de posibles pérdidas de datos, lo primero y más básico es tener una política de copias de seguridad que nos garantice que la pérdida si no es nula al menos que sea mínima, con copias diarias de los datos críticos y guardados en varias ubicaciones distintas. Es importante mantener los sistemas operativos actualizados, al igual que el antivirus y el cortafuegos, en caso de disponer de uno. Finalmente el comportamiento del usuario será la última clave: cuidado con lo que se descarga de correos, unidades de almacenamiento externas, sistemas de mensajería, etc. Como siempre la recomenación será tener cuidado con lo que recibimos, descargamos y ejecutamos.

Ciberseguridad: reconocer facturas on-line fraudulentas

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

Una de las estafas que más ha crecido en los últimos años en el mundo de internet es el envío de facturas fraudulentas mediante correo electrónico o sistemas de mensajería instantánea. Fue especialmente grave durante el confinamiento de la primavera de 2020, momento en el que en España se registraron varios intentos de fraude suplantando a Hacienda o a la Oficina de Patentes para intentar engañar a empresas y organismos públicos. Lógicamente los atacantes suelen hacer un trabajo previo de investigación antes de ataque, sirviéndose de fuentes abiertas (por ejemplo buscar licencias de obra en registros públicos municipales o autonómicos) o de subterfugios (fishing, vishing) para recabar información tanto de la víctima a la que pretenden estafar como del proveedor al que pretenden suplantar.

¿Cómo nos protegemos?

  • Lo primero es comprobar la legitimidad de la factura: el número de cuenta, el CIF, el concepto, incluso el diseño comparando con facturas anteriores, la dirección de correo desde la que se nos ha enviado la factura… Si vemos algo extraño, algo distinto, si es una factura que no esperábamos o si es algo que ya habíamos pagado antes y nos vuelven a enviar lo mejor es contactar con el emisor, no a través del propio correo desde el que hemos recibido la factura sino por el contacto que ya tuviésemos con esa entidad/proveedor de antemano (teléfono, otro mail, etc) para comprobar que no hayan sido suplantados.
  • Dos red flags: si nos apremian al pago con mucha urgencia e incluso con amenazas legales (ya comentamos en la entrada sobre el vishing que esa estrategia de asustar se usa para que la víctima se ponga nerviosa y no piense) o si el proveedor nos informa de un cambio en su cuenta bancaria, esto debería ponernos sobre aviso y en esos casos es mejor contactar y confirmar esa información por otros medios.
  • Como ya hemos comentado hablando del smishing o de los correos fraudulentos, intentar no pinchar en enlaces ni descargar ficheros que recibamos en esos correos.
  • Además de intentar no ser estafados también es importante intentar no ayudar involuntariamente a los estafadores: en ocasiones estos atacantes intentarán hacerse con una factura real para poder falsificarla con mayor detalle, por lo que desconfía cuando te pidan una factura con alguna excusa tipo «es para revisarla«.

Cifrar la tarjeta SD en nuestro teléfono

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redesDeja un comentario

Cuando ayer hablaba de apps de ciberseguridad para Android comentaba entre otras buenas prácticas de seguridad la idea de cifrar la tarjeta SD del dispositivo. Me habéis preguntado cómo se hace esto y por qué habría que hacerlo.

El por qué es simple: si alguien te roba tu teléfono puede que no sea capaz de desbloquearlo si lo has protegido con un patrón, datos biométricos, código pin, etc. pero si saca la tarjeta SD y la mete en otro dispositivo entonces podrá ver todo lo que hay en ella. ¿Ventajas de cifrarla? Mayor seguridad, si te roban el teléfono esos datos están protegidos, acceder a ellos es muy difícil, puede que no imposible pero sí muy complicado ¿Contras? Dos: una pequeña pérdida de rendimiento cuando accedas a la tarjeta que será más o menos significativa según la potencia del teléfono y, sobre todo, que una vez cifrada si se te estropea el teléfono no voy a decir que sea imposible recuperar esos datos, pero estás en la misma situación que el atacante: es complicado.

¿Cómo se cifra una tarjeta SD en Android?

Bueno, como siempre con Android dependemos mucho del fabricante y de la versión del sistema operativo. Como algo genérico diré que esa opción siempre va a estar en los ajustes del teléfono, donde deberemos buscar los que sean relativos a seguridad y dentro de los mismos deberíamos encontrar alguna referencia a la tarjeta SD.

Por ejemplo, en mi actual teléfono Samsung con Android 11 habría que ir a los Ajustes, allí a Datos Biométricos y Seguridad y dentro de ese menú ya aparece una opción que es Cifrar Tarjeta SD. Esto no era exactamente igual en mi anterior teléfono, un Huawei con Android 10, en el que para cifrar la tarjeta SD habría que ir a Ajustes, allí pulsar en Seguridad, dentro de ese menú ir a Ajustes adicionales, después apretar sobre Cifrado y credenciales y finalmente Cifrar tarjeta de memoria. Como véis esta opcion estará en el apartado de seguridad del teléfono, pero según el fabricante estará más accesibe o menos. En todo caso, seguramente en la web del fabricante del teléfono tendréis un manual de instrucciones de vuestro dispositivo en el que vendrán detalladas las instrucciones concretas para hacerlo en ese modelo.

Algunas aplicaciones gratuitas para mejorar la seguridad y privacidad de nuestro dispositivo Android.

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, SoftwareDeja un comentario

Siempre insisto en las entradas sobre ciberseguridad en que protejamos nuestro dispositivo, utilizar herramientas del propio teléfono como por ejemplo el cifrado de la tarjeta SD o del almacenamiento, ojo a los sms que traen enlaces, mantener el software actualizado, no instalar apps de orígenes dudosos, hacer un uso responsable del dispositivo, estar atentos a posibles estafas… son cosas que están en nuestras manos. A mayores también tenemos aplicaciones que nos facilitarán la vida. Vamos a ver una serie de apps que además podemos obtener gratuitamente.

Imagen ilustrativa de una consola de comandos
Photo by Sora Shimazaki on Pexels.com

Empecemos por CONAN Mobile, una aplicación desarollada por INCIBE de la que ya hablamos hace unos años y que sigue recibiendo actualizaciones. Aunque su interfaz se ha quedado algo anticuada sigue siendo una buena herramienta a la hora de detectar configuraciones inseguras o aplicaciones maliciosas, o incluso si nuestro teléfono ha sido parte de una botnet. No es un antivirus sino una herramienta para gestión de seguridad, es bastante útil y siendo un desarrollo de una entidad pública no incluye publicidad ni otro tipo de «pago en datos» a cambio de su gratuidad.

Si bien para navegar de forma anónima nada es más eficiente que el navegador de TOR, es cierto que a veces puede resultar un pelín excesivamente contundente, algo lento o que quita demasiadas funcionalidades en algunas webs. Si queremos un navegador funcional que respete nuestra privacidad hoy por hoy creo que las dos opciones que mejor combinan sencillez, funcionalidad y seguridad son Brave Browser y Cake Browser. Seguramente alguien me pregunte por DuckDuckGo, es cierto que bloquea muchos rastreadores, pero se ha sabido hace poco que el proyecto tiene un acuerdo con Microsoft que les impide bloquear algunos rastreadores de la compañía del Windows.

Los antivirus gratuitos suelen despertar mi recelo, algunos ralentizan nuestro dispositivo, otros pasado un tiempo empiezan a bombardearte con publicida de la versión premium, algunos directamente comercian con tus datos… para comprobar si tenemos malware en nuestro teléfono yo recomiendo dos aplicaciones, sino queremos pasar por caja: por un lado el antivirus Koodous y por otro el web de VirusTotal. El primero es un antivirus creado y mantenido por una comunidad de voluntarios hispanohablantes, nos permite escanear nuestro teléfono en busca de malware. En cuanto a VirusTotal, aunque hay un app en la tienda de Google, yo prefiero abrir directamente la web en el navegador del teléfono y subir allí el fichero para comprobar si pudiera estar infectado, no por nada, sino porque el app no es oficial aunque tiene buenas valoraciones.

Proteger nuestro teléfono con datos biométricos o con una patrón siempre es una buena práctica, pero tenemos el app AppLock, que nos permitirá añadir protección extra a aplicaciones concretas poniéndoles un pin o patrón particular, pudiendo aplicarla a los SMS, contactos, configuración, o cualquier aplicación concreta del teléfono, de hecho nos permite hasta proteger con pin fotografías u otros ficheros almacenados en el teléfono.

Finalmente otra de mis recomendaciones es usar un gestor de contraseñas y hoy por hoy creo que la mejor opción, sin tener que pagar, es Keepass2Android Password Safe, que está basada en el popular software libre Keepass. Nos permite tener nuestra base de datos de contraseñas en un fichero externo online, incluso en servicios populares como GoogleDrive o DropBox, permitiendo que lo tengamos disponible en todos nuestros dispositivos.

Spyware ¿qué es? ¿cómo nos protegemos?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

Está la prensa española hablando mucho de spyware estos días, primero por el espionaje a políticos catalanes de ideología independentista a través del software Pegasus o de otros programas de la empresa Candiru denunciado por la asociación canadiense Citizen Labs, después porque el propio gobierno central haya denunciado que los teléfonos de la ministra de Defensa y del propio presidente han sido también espiados a través de la conocida aplicación de NSO. Aquí no vamos a analizar el caso, que ya hay mucha gente hablando del tema y mejor informada que yo, sino que nos vamos a hablar de lo básico sobre software espía: definición y cómo minimizar el riesgo.

Imagen de varios equipos informáticos retro
Hardcoding:Redshift Study by . ZAKI . is licensed under CC-BY-NC-ND 4.0

¿Qué es un spyware?

Cuando hablamos de spyware hablamos de una tecnología, un código malicioso que se usa para extraer datos de un sistema de información (ordenador, red de ordenadores, teléfono, tablet…) sin el consentimiento ni conocimiento de sus usuarios. Puede usarse para robar contraseñas de distintas cuentas, credenciales de acceso a servicios en la nube, datos bancarios, correos electrónicos, ficheros almacenados, cookies de navegación… en fin, en general cualquier tipo de información que pase por el equipo infectado. El spyware recopilará información que se descargue o se genere en el dispositivo y la enviará después a un dominio que pertenezca al atacante para que este pueda analizarla. Dado que si analizamos el tráfico de nuestra red podríamos detectar la infección si vemos un tráfico inusual hacia una web extraña, estos dominios suelen estar «camuflados» con nombres similares a los de empresas legítimas o con nombres que sugieran que son páginas inocuas, además es habitual que se reparta el envío de tráfico entre varios dominios para que el volumen de información enviado no sea llamativo.

¿Quién se sirve de este tipo de software? Pues cualquiera que tenga la intención de espiar a alguien, esto abarca desde ciberdelincuentes hasta fuerzas de seguridad, pasando por gobiernos, servicios de inteligencia e incluso medios de comunicación o empresas. Desde el saqueo de cuentas a través de banca móvil a la estrategia geopolítica, pasando por el espionaje industrial, se han detectado este tipo de ataques en muchos y diversos casos. Los objetivos del espionaje pueden ser tanto empresas como gobiernos, instituciones o personas particulares.

¿Es ilegal su uso? Creo que legalmente en España estaría en el mismo supuesto legal que las escuchas telefónicas, podría ser autorizado por un juez en determinados supuestos para una investigación criminal, al menos es lo que interpreto leyendo esta circular de la Fiscalía General del Estado, de 2019 que hace referencia a las modificaciones en la Ley de Enjuiciamiento Criminal de 2015. Es evidente que cuanto menos control público exista sobre un gobierno, cuanta menos separación de poderes exista en un estado, más podrá este abusar de estas aplicaciones.

¿Cómo nos protegemos?

Bueno, si recordáis las entradas sobre apps maliciosas, sobre rogueware o sobre distintos tipos de troyanos (que son tres de las formas en las que nuestro dispositivo puede acabar infectado) hay varios puntos a seguir:

  • Tener nuestro software actualizado. Si vemos artículos técnicos hablando sobre Pegasus una de las cosas que comprobaremos es que se servía de vulnerabilidades de iOS, Android o Whatsapp que fueron parcheadas posteriormente, por lo que es fundamental mantener las actualizaciones al día.
  • Revisar los permisos de las aplicaciones. A veces el spyware puede estar escondido en una aplicación que nos hemos descargado pensando que sirve para otra cosa, es importante comprobar que los permisos que pide la aplicación al instalarse sean coherentes con el uso que se le va a dar. Por ejemplo, si descargamos un app que nos de la predicción del tiempo atmosférico es normal que pida permisos sobre nuestra ubicación (para darnos la predicción del sitio en el que nos econtremos), pero debería alarmanos que nos los pida, por ejemplo, sobre nuestra lista de contactos.
  • Instalar un app que nos ayude a gestionar la seguridad. Yo siempre recomiendo usar la aplicación de seguridad Conan, del CCN.
  • Ojo con las cosas que descargamos, hay que comprobar siempre que vengan de una fuente legítima. Como también se ha visto en el caso Pegasus, se utilizaban ficheros PDF infectados para ejecutar remotamente código en el dispositivo que instalaba el software espía.
  • Analizar nuestro tráfico de red. Esto ya es para usuarios avanzados o profesionales, revisar el tráfico de la red y comprobar con qué dominios se comunican puede ayudarnos a descubrir un software espía oculto en algún equipo.
  • Reiniciar el teléfono regularmente. Aunque parezca una chorrada tiene su sentido. Según investigadores de la empresa de antivirus Kaspersky el reinicio regular del dispositivo dificulta el espionaje ¿Por qué? Pues porque según parece los más sofisticados spywares (ahora sí que hablamos de Pegasus o de otras herramientas millonarias) que son capaces de infectar dispositivos con técnicas «0-click» (es decir, que no requieren de una acción concreta del usuario) no instalan nada en el dispositivo para reducir su rastro, sino que se cargan en la memoria en tiempo de ejecución. Esto implica que si el teléfono se apaga ese código malicioso desaparece y el atacante tendría que volver a infectar el dispositivo para volver a espiarlo.
  • Repensar las políticas BYOD. Hace unos años desde distintas webs dedicadas a economía y negocios se nos decía que los teléfonos corporativos estaban «muertos«, que ahora lo que se llevaba era el bring your own device, es decir, que cada uno se traiga al trabajo su propio dispositivo. Lo que se vendía como una forma de mejorar la comodidad del usuario y su «libertad» (palabra multiuosos para múltiples estafas), y que realmente no era más que una forma de buscar que las empresas ahorrasen en la compra de dispositivos, ha acabado por convertirse en uno de los eslabones más débiles de la ciberseguridad empresarial. Es otra de las cosas que hemos visto en el asunto Pegasus: los teléfonos de cargos públicos se utilizaban como si fuesen personales, instalaban y descargaban más o menos lo que querían y no había unas reglas de seguridad rígidas al respecto de su uso. También hay que decir que en el caso de las últimas versiones del polémico y ahora popular software de NSO no era necesario que el atacado descargase nada, el atacante podía infectar el dispositivo sin que el usuario participase, pero en la mayoría de spywares sí suele infectarse el dispositivo a través de algún malware introducido mediante phishing.

Todos estos consejos nunca nos garantizarán una protección total (puede que nos encontremos con un spyware que explote una vulnerabilidad todavía no solucionada y que incluso permita ataques del tipo «0-click» antes mencionados, o que no sea detectable por el software antivirus por ser todavía muy nuevo), pero sí que nos pueden ayudar a minimizar el riesgo de ser atacados. Siendo realistas, es poco probable que algún servicio secreto o gobierno tenga interés en espiar a un ciudadano medio que no tenga un cargo político, pero sí es cierto que cualquiera puede ser víctima de un ataque que intente robar sus datos bancarios o incluso, en según qué profesiones, datos relativos a su trabajo, como por ejemplo en casos de espionaje industrial, o en el espionaje a periodistas de investigación del que se han reportado múltiples ejemplos. Ante los más modernos spywares, los que se venden como un servicio por el que se cobran millones, es complicado y a veces hasta imposible defenderse (por eso se pagan millones), pero hay muchos otros más baratos y usados por delincuentes de todo tipo contra los que podemos estar más seguros teniendo un poco de cuidado.

Crear un certificado autofirmado con OpenSSL

en por Donnie Rocken Ciberseguridad-Privacidad, Informática, sistemas y redesDeja un comentario

Ya habíamos hablado anteriormente de OpenSSL, vamos a ver hoy cómo podríamos generar un certificado autofirmado. Vamos a generarlo con cifrado SHA512 y con clave RSA de 4096 bits, que se llamarán micerautofirm.key y micert.pem (el nombre lo podeís poner vosotros).

openssl req -x509 -sha512 -nodes -newkey rsa: 4096 -keyout micerautofirm.key -out micert.pem

Este certificado autofirmado tiene validez por un mes. Si queréis uno para más tiempo podéis utilizar el parámetro -days y pasarle un entero con el número de días. Por ejemplo, para un año:

openssl req -x509 -sha512 -nodes -days 365 -newkey rsa: 4096 -keyout micerautofirm.key -out micert.pem

Ciberseguridad ¿Qué son los ataques de denegación de servicio DDOS y DOS?

en por Donnie Rocken Ciberseguridad-Privacidad, InformáticaDeja un comentario

Se está escuchando hablar mucho de ciberseguridad en medios que tradicionalmente no tratan el tema, pues la situación bélica derivada de la invasión de Ucrania por parte de Rusia está mostrando la importancia de la ciberseguridad y la ciberguerra en panorama actual de defensa.

Persona con máscara de Guy Fawkes, típica del grupo Anonymous
Photo by Pixabay on Pexels.com

Aquí ya hemos estado aclarando algunos conceptos durante los últimos meses, ahora en esta dramática fase cobran especial importancia los ataques con ransomware, la difusión de propaganda y algo de lo que no habíamos hablado: los ataques de denegación de servicio (DOS o DDOS). Estos ataques han sido muy comentados en la prensa desde ayer, dado que varias organizaciones están haciendo llamamientos a ciudadanos con conocimientos técnicos para coordinarse y lanzar esta tipo de ataques contra sitios webs gubernamentales rusos, como respuesta a las acciones bélicas contra Ucrania.

¿En qué consiste este ataque?

Un ataque DOS lo que busca es provocar la caída de un servicio de internet (como una página web, una máquina en concreto conectada a la red o un sistema de mensajería) a base de enviar un montón de peticiones a dicho servidor o una petición con una cantidad masiva de información. Este bombardeo de solicitudes, si no es detenido mediante un cortafuegos o un sistema de monitorización, provocará una ralentización del servicio que estamos atacando e incluso podría dejarlo completamente inaccesible para sus usuarios, ya sea por saturación de la capacidad de la máquina que atiende las peticiones o por saturación de la red por exceso de tráfico. En los últimos tiempos se han popularizado una variante de este tipo de ataque más difícil de bloquear, que es el ataque reflejado: esta metodología de ataque no consiste en enviar directamente un montón de información al objetivo para bloquearlo, sino en hacer varias peticiones aparentemente legítimas a muchos sitios distintos suplantando la dirección del objetivo, para que esas respuestas vayan hacia él y le saturen sin delatar las direcciones de los verdaderos atacantes.

¿Qué significa DOS y DDOS?

Ambos son acrónimos que describen este tipo de ataques: DOS sería Denial of Service (Denegación de Servicio) mientras que DDOS vendría de Distributed Denial Of Service (Denegación De Servicio Distribuído). La diferencia entre ellos es que los ataques DOS se realizan desde una única máquina o dirección IP, mientras que los DDOS son más potentes pues se sirven de múltiples equipos para lanzar su ataque, ya sea con varios atacantes coordinados o sirviéndose de una red zombie. Mientras que un ataque desde una sola IP es relativamente fácil de repeler, pues basta con bloquear o desviar el tráfico entrante de la IP atacante, el ataque distribuído es más complicado al implicar múltiples direcciones.