Criptoanálisis de manguera de goma o de tubo de goma

Seguramente muchos ayer leisteis la noticia del secuestro de Zaryn Dentzel, el fundador de Tuenti que alega que unos encapuchados le secuestraron y torturaron, en principio para conseguir sus claves de su cartera de criptomonedas (aunque algunos medios señalan que en su declaración oficial omitió ese dato, tal vez fuera un rumor lo de las criptos, tal vez le tenga miedo a la Agencia Tributaria, insondables misterios). Las criptomonedas son muy difíciles de rastrear y garantizan un alto grado de anonimato en sus operaciones, eso que muchos de sus defensores venden como una de sus grandes virtudes tiene también un gran peligro para su poseedor: si alguien te roba el control de la cuenta dile adiós a tu dinero. Esto nos lleva a que haya casos en los que una cantidad obscena de dinero esté protegida tan solo por una contraseña.

Imagen representando criptomonedas
Photo by David McBee on Pexels.com

Es evidente pues que la necesidad de una seguridad informática potente se convierte en un punto crítico, estos sistemas suelen tener cifrados muy fuertes, políticas de auntenticación de varios factores, exigen contraseñas complejas, actualizan y revisan constantemente su seguridad… en resumen, que robar una cuenta a través de un ataque informático suele ser técnicamente complejo y costoso en tiempo y recursos, en esta estructura el eslabón más débil sería el usuario, el factor humano. Por eso cuando hablaba ayer de la noticia con unos compañeros, hacía referencia al término «criptoanálisis de manguera de goma» o «método del tubo de goma«.

Foto de una consola de Linux
Photo by Pixabay on Pexels.com

El término se dice que fue enunciado por primera vez a principios de los 90 por el especialista en ciberseguridad Marcus J. Ranum, investigador del proyecto DARPA, y es un eufemismo para hablar de conseguir una contraseña no através de un ataque técnico informático, sino sirviéndose de presiones psicológicas, coacción o incluso tortura para que la persona que conoce la clave nos la entregue. El nombre haría referencia a una técnica de interrogatorio por tortura concreta, el bastinado con una manguera de goma (literalmente, golpear a alguien con una manguera de goma hasta que confiese). Aunque originalmente el nombre haga referencia a una forma de tortura física, cuando hablamos de «manguera de goma» podemos referirnos a todo tipo de presiones y coacciones: amenazas de cárcel, de revelación de secretos comprometedores para la imagen pública de la persona, de consecuencias legales, de multas, presiones a familiares… Incluso no siempre tiene que tratarse de métodos ilegales o brutales, como ya hemos visto hablamos de un concepto amplio consistente en presionar a quien tiene la clave para que la entregue, puede incluso referirse a la obtención de beneficios penitenciarios por colaborar con una investigación. Imaginemos que hacienda investiga las cuentas de un evasor fiscal y necesita la clave de cifrado de un disco duro para poder hacerlo, clave que tiene el contable de dicho evasor: ofrecerle una rebaja en su condena entraría dentro de este concepto también.

Firefox Monitor: herramienta para saber si tus datos han sido expuestos en Internet.

Mozilla sigue con su plan de esgrimirse adalid de la seguridad y la privacidad en internet y nos trae un nuevo producto: Firefox Monitor.

Esta herramienta nos pedirá que introduzcamos una dirección de correo y comprobará en diversas fuentes públicas si esta se ha visto expuesta en alguna filtración de datos de algún servicio a la que esté asociada.

Su funcionamiento es simple, basta con acceder a este enlace a la web de Firefox Monitor, introducir nuestro correo y pulsar en Buscar Filtraciones. Nos llevará a una ventana con los resultados de la búsqueda similar a esta:

Si algún servicio que uses aparece en esa lista ya sabes lo que toca, cambiar la contraseña.

Monitor además incluye un directorio actualizado con todas las filtraciones de las que tienen conocimiento y una sección con consejos de seguridad. Además ofrece un servicio de registro que nos enviará una alerta por correo electrónico si nuestro correo se ve expuesto en una filtración.

Configurar una contraseña maestra en Firefox para proteger las contraseñas guardadas

El navegador Firefox incluye de serie una interesante herramienta llamada Contraseña Maestra (o Master Password) . Si eres de esos que no quieren memorizar un montón de contraseñas de distintos servicios y las almacena en la memoria del navegador puede resultar muy útil.

Imagina que tienes guardada en la memoria del navegador tus usuarios y contraseñas de Facebook, Twitter, Amazon, Netflix… hasta de la web del banco o de Paypal. Si le dejas a alguien ese ordenador podrá acceder a todas estas cuentas. Para eso sirve esta configuración: proteges con una contraseña única todas esas cuentas, de forma que solo tienes que recordar una.

Para activarlo tienes que pulsar el botón de Menú en Firefox, irte a opciones y ahí, en el menú de la izquierda, ir a Privacidad & Seguridad.

Ahora cargará las configuraciones a la derecha del menú. Ahí buscas la cabecera Usuarios y Contraseñas y marcas Usar una contraseña maestra. Eso abrirá un gestor para añadir tu nueva contraseña.

Tras configurarlo tendrás que cerrar y volver a abrir Firefox para que la configuración haga efecto.

Desde esa misma pantalla podrás también modificar la contraseña cuando lo creas necesario.

Cómo ver que Apps tienen acceso a nuestra cuenta de Facebook

Ya hemos hablado de varios temas de privacidad en este blog, como cuando vimos cómo descargar nuestros datos de varias redes sociales o cuando dimos consejos para proteger nuestra privacidad tanto en facebook como en general. Muchas de las brechas de seguridad en Facebook provienen de apps de terceros con demasiados permisos. ¿Cómo podemos verlas?

Desde la web podemos hacer click en el menú desplegable a la derecha de la cabecera, ir a Configuración y allí, en el menú de la izquierda, buscar Apps y Sitios web. Si te pierdes un poco con la explicación basta con que hagas click en este enlace en un navegador donde tengas tu sesión iniciada.

Desde el app para Androidla cosa es más o menos igual: despliegas el menú, vas a Configuración y allía a Apps y Sitios Web. Una vez dentro de esa pantalla tienes que pulsar en Sesión Iniciada con Facebook. Una vez allí ya verás todas las apps conectadas, en una pantalla como la siguiente.

Apps y Sitios Web

Tanto desde el ordenador como desde la app podrás seleccionar qué apps quieres eliminar para revocarles de esta forma el acceso a tus datos. De esta forma mejorarás un poco más tu privacidad.

¿Qué hacer si alguien distribuye imágenes íntimas nuestras en internet?

No es una entrada técnica, pero por lo que he visto hoy puede ser muy práctica.

Si algún desaprensivo tiene fotos o vídeos vuestros en una situación sexual y los hace públicos, a través de una red social, un sistema de mensajería, un foro o alguna web de vídeos es importante mantener la calma en el primer momento. Ok, tendrás ganas de matar a alguien y el impulso de insultar o amenazar, pero no es lo más práctico. Distribuir esas imágenes es un delito en España y en la mayoría de países de la Unión Europea.

  • Lo primero es recopilar pruebas: recoger los enlaces, descargar todo lo descargable y hacer capturas de pantalla, aunque teniendo en cuenta que no son una prueba definitiva. Es importante preservar estas pruebas ante notario o en el juzgado. Voy a matizar un par de cosas aquí: lo de descargar lo digo para cuando sean fotos nuestras, si son de terceras personas no lo hagas. Es decir, si te encuentras con que algún criminal ha compartido fotos, por ejemplo, de sexo con menores no se te ocurra descargarlas, aunque lo hagas con intención de denunciarlo, porque no eres un investigador y podrías meterte en un problema. En ese caso simplemente copia el enlace y envíalo a las fuerzas de seguridad pertinentes. Otra cosa, si es un caso de mucha gravedad (por ejemplo que implique a menores, o que derive en acoso) lo mejor es que contactes con el colegio de peritos forenses informáticos de tu comunidad.
  • Lo siguiente es hacer una denuncia ante las fuerzas de seguridad pertinentes o en el juzgado de guardia.
  • Con la denuncia presentada y las pruebas recopiladas y registradas es el momento de contactar con el servicio donde se ha publicado para exigir que corten la difusión del mismo. Si hay una denuncia de por medio seguramente se muestren colaborativos rápidamente, sobre todo si es un servicio que tenga una oficina en España, donde están obligados ante una orden judicial.

¿Por qué en este orden? Porque si en un primer momento amenazas, o insultas, le das la opción al delincuente de borrar su rastro. Es posible que esto detenga la difusión, cierto, pero también entorpece la investigación y puede que se vaya de rositas para volver a repetir su delito.

Entiendo que cuesta mantener la sangre fría en un momento de tal gravedad, pero es importante proceder bien para conseguir que el responsable acabe recibiendo una condena en el juzgado.

Cifrar una máquina virtual de Virtual Box

Virtual Box nos permite dar un extra de seguridad a nuestras máquinas virtuales cifrando sus discos duros, recurriendo al algoritmo de cifrado simétrico AES, dándonos a elegir entre claves de 128 bits y de 256 bits.

Para ello seleccionamos en la pantalla principal de Virtual Box la máquina que queremos cifrar y pulsamos el botón de Configuración.

Virtual box

Allí nos vamos a la pestaña Disk Encryption, marcamos el check de Enable Disk Encryption, elegimos en el desplegable el tipo de cifrado y finalmente definimos una contraseña.

Cifrar Unidad

Tras aceptar comenzará el cifrado de los discos de la máquina elegida. Una vez terminado cuando la iniciemos nos pedirá la contraseña para continuar. Si queremos deshacer el cifrado basta con desmarcar el check de Enable Disk Encryption y poner la contraseña cuando nos la pida.

O que é a Tríade CID?

Esta é uma tradução ao português dum artigo antigo. Cá uma ligação ao orixinal.

A Tríade CID não tem relação com poemas medievais castelhanos nem com as bandas desenhadas do Hernández Palacios, mas é um conceito da cibersegurança que faz ênfase em três princípios que têm de trabalhar em conjunto para garantir a segurança de um sistema informático: Confidencialidade, Integridade e Disponibilidade.

 

  1. Confidencialidade: Os dados têm de estar só na mão dos utentes autorizados. Umas políticas de controlo do acesso têm de ser aplicadas para evitar que a informação classificada cair em mãos, seja ou não de forma intencionada, de utentes sem acesso.
  2. Integridade: O conceito integridade faz referência  a que os dados que temos armazenados sejam corretos e completos. Tem de se poder garantizar que os dados não foram mudados de forma não autorizada, que não é possível a perda destes dados é que os mesmos são consistentes, isto é que a informação é mesmo correcta à que temos no mundo exterior.
  3. Disponibilidade: Afinal, o conceito disponibilidade implica que a informação tem de estar acessível sempre para os utentes autorizados num tempo razoável. Isto é que os dados têm de estar sempre disponíveis para os utentes.

Na altura de desenhar uma estratégia de cibersegurança para uma empresa ou simplesmente na altura de armazenar qualquer coleção de dados confidenciais um deve considerar que estes três pontos têm de ser atingidos.  

¿Cómo reconocer un correo electrónico malicioso?

Tras una serie de días teniendo que arreglar problemas derivados de gente que abre correos a lo loco he creído útil dar aquí unas pautas que deberían ayudarnos a reconocer correos maliciosos. Si bien es cierto que la mayoría se servicios de correo electrónico populares tienen filtros contra el spam que evitan que nos inunde el correo basura, algunos más sencillos (Gmail, por ejemplo, te permite bloquear una dirección) y otros más configurables (volviendo al Gmail, en Gsuite da varios opciones)

Pero  a pesar de la inefable ayuda de estos filtros siempre puede colársenos algún correo malicioso, con archivos infectados o enlaces para hacer fishing, sea como fuere el filtro de spam no es infalible y en nuestro buzón siempre puede acabar apareciendo un correo trampa. ¿Cómo lo reconocemos? Aquí van unas pautas:

  • Si el correo electrónico no tiene asunto debemos empezar a desconfiar, o si el asunto está en un idioma que no conocemos.
  • Si el correo electrónico solicita la actualización de una cuenta y nos manda un enlace al que acceder para introducir nuestras credenciales… la mosca detrás de la oreja. Lo mejor es no pinchar ya, pero si accedes al enlace fíjate en la barra de direcciones para ver si te está llevando a la web legítima.
  • La ortografía cuenta: cuando el texto del correo electrónico tiene palabras mal escritas o puntuación extraña también debemos desconfiar. En muchos casos se usan traducciones automáticas, así que si vemos modismos extraños (shit yourself little parrot) tampoco hay que fiarse.
  • Cuando los enlaces del correo electrónico son largos, dirigen a direcciones IP o son crípticos lo mejor es no abrirlos.
  • Si por la forma parece provenir de una empresa legítima u organismo público y cumple alguna de las anteriores, entonces no lo dudes: malicioso seguro. Hacienda no te va a mandar un correo pidiéndote tu número de cuenta para realizarte una devolución de impuestos.
  • Si se solicita que el usuario abra un archivo adjunto ahí lo mejor es ya encender todas las alarmas, más aun si se trata de un archivo ejecutable o un fichero comprimido.

Aquí os dejo un ejemplo de un caso real que viene relatado en la web de INCIBE, para que le peguéis una ojeada.

Generar contraseñas seguras en Linux con APG

Ya vimos en el pasado cómo generar contraseñas en linux con mkpasswd, hoy veremos otro método. APG, abreviatura de Automatic Password Generator, viene instalado en Ubuntu y sus derivados. Es un programa pensado para generar contraseñas «memorizables«. Si lo ejecutas a secas te pedirá una «raíz«, una serie de datos con los que trabajar, y en base a eso creará una contraseña «memorizable«, y con «memorizable» quiero decir que junto a la contraseña te mostrará una transcripción fonética para que la recuerdes mejor.

APG Ejemplo
Ejemplo de APG

También puedes generar contraseñas totalmente aleatorias usando el comando apg a -1, que ofrece resultados de entre 8 y 10 caracteres.

Ejemplo APG 2
Ejemplo de APG con a -1

Siete puntos a tener en cuenta para comprar on-line.

En estas fechas navideñas se hacen muchas compras, y en los últimos años las compras on-line han crecido exponencialmente. Tanto como para colapsar los centros de algunas empresas de transporte. Pero ¿Son seguras? En los últimos años la seguridad de estas transacciones también ha mejorado mucho, pero sin una serie de buenas prácticas por parte del usuario todo el trabajo de los programadores de dichos sistemas puede irse al garete.

Hace unas semanas, motivados por el Black Friday, INCIBE y OSI realizaron una guía con una serie de pasos para comprar de forma segura en Internet. Con ánimo divulgativo os dejo por aquí la infografía que realizaron y también este enlace donde podéis ver el contenido del post original en el sitio web de la OSI.

Guía OSI INCIBE compra on-line