¿Qué es el vishing y cómo nos podemos proteger de este fraude?

Hace unos meses hablamos por aquí del smishing, una técnica de fraude on-line que se sirve de mensajes sms para engañar al receptor y conseguir sus datos de acceso a algún servicio. Hoy hablaremos del vishing, que es una técnica similar.

El término vishing viene de fusionar los términos ingleses voice (voz) y phishing (como se denomina a los fraudes online que se realizan a través del engaño), esta técnica de fraude consiste en servirse de llamadas telefónicas o mensajes de voz para engañar a la víctima y conseguir acceso a su equipo o a sus cuentas. Normalmente el atacante se hará pasar por una empresa u organismo legítimo y presionará a la víctima, en estos esquemas de estafa suele meterse prisa al atacado diciéndole que tiene un tiempo limitado para responder intentando de esta forma bloquearle mentalmente, intentar que no tenga tiempo a pensar en qué está pasando.

Fotografía de alguien usando un teléfono y un ordenador
Photo by Sora Shimazaki on Pexels.com

Existen diversas variantes de este ataque, una de ellas esa la de hacerse pasar por un falso servicio técnico, a veces de Microsoft, de Apple, de Goole y otras veces de la compañía telefónica, apremiando a la víctima a instalar un software de escritorio remoto para que el atacante pueda conectarse con la excusa de ir a protegerle de un virus, realizarle un reembolso por un servicio o comprobar algún problema en la red. Una vez la víctima le haya dado acceso el atacante instalará en el equipo algún tipo de troyano que robará sus datos de acceso a distintos servicios, o puede que se sirva de un ransomware para secuestrar sus ficheros y cobrar una extorsión. Otra variante de esto es hacerse pasar por la policía diciendo que el ordenador se ha utilizado para un delito informático y solicitando acceso remoto al mismo para investigar, suena bastante surrealista pero he conocido un caso directamente de una persona que lo sufrió.

Otra variante de este fraude muy utilizada es cuando el atacante se hace pasar por un empleado de Hacienda o del banco y llama a la víctima para solicitar algún dato para confirmar alguna operación o pedirle acceso a sus credenciales, generalmente presionándola diciendo que tiene que realizarse la acción en pocos minutos. Después utilizarán esos datos para saquear las cuentas bancarias de la víctima. Esta estrategia suele usarse en ocasiones combinada con el smishing: se envía un sms para robar las credenciales de la víctima y luego se le llama haciéndose pasar por alguien del banco, para que revele el código que le habrán enviado como segundo factor de verificación de la operación.

¿Cómo nos protegemos?

Bueno, como ya hemos visto en algunos casos previos, poca defensa tecnológica hay ante estos ataques pues se trata de lo que llamamos «ingeniería social». No existe un software que nos proteja pues en este caso se trata de usar subterfugios para engañarnos y que demos nosotros acceso a los atacantes. La única defensa depende de que no demos los datos, por lo que es importante ser consciente de que estos ataques suceden habitualmente, debemos buscar formas de verificar con quien estamos hablando, es importante desconfiar si nos presionan para hacer algo demasiado rápido y sobre todo no dar datos bancarios por teléfono. Tampoco debemos permitir el acceso remoto a nuestro equipo a un servicio técnico si no lo hemos llamado nosotros, es improbable que una compañía nos llame para solucionar una avería si no se la hemos comunicado, como también es improbable que el banco nos llame para pedirnos un código que nos han mandado ellos mismos. Lo habitual es que tengamos que llamar nosotros y que no nos llamen ellos. Una cosa fundamental: los códigos de verificación que recibas por teléfono nunca se los des a nadie, ya que si te llaman para pedirte uno al momento de recibirlo probablemente es alguien que intenta saltarse una verificación de dos factores sobre alguna de tus cuentas (confirmar una operación del banco, acceder a tu cuenta de google o de whatsapp..).

Criptoanálisis de manguera de goma o de tubo de goma

Seguramente muchos ayer leisteis la noticia del secuestro de Zaryn Dentzel, el fundador de Tuenti que alega que unos encapuchados le secuestraron y torturaron, en principio para conseguir sus claves de su cartera de criptomonedas (aunque algunos medios señalan que en su declaración oficial omitió ese dato, tal vez fuera un rumor lo de las criptos, tal vez le tenga miedo a la Agencia Tributaria, insondables misterios). Las criptomonedas son muy difíciles de rastrear y garantizan un alto grado de anonimato en sus operaciones, eso que muchos de sus defensores venden como una de sus grandes virtudes tiene también un gran peligro para su poseedor: si alguien te roba el control de la cuenta dile adiós a tu dinero. Esto nos lleva a que haya casos en los que una cantidad obscena de dinero esté protegida tan solo por una contraseña.

Imagen representando criptomonedas
Photo by David McBee on Pexels.com

Es evidente pues que la necesidad de una seguridad informática potente se convierte en un punto crítico, estos sistemas suelen tener cifrados muy fuertes, políticas de auntenticación de varios factores, exigen contraseñas complejas, actualizan y revisan constantemente su seguridad… en resumen, que robar una cuenta a través de un ataque informático suele ser técnicamente complejo y costoso en tiempo y recursos, en esta estructura el eslabón más débil sería el usuario, el factor humano. Por eso cuando hablaba ayer de la noticia con unos compañeros, hacía referencia al término «criptoanálisis de manguera de goma» o «método del tubo de goma«.

Foto de una consola de Linux
Photo by Pixabay on Pexels.com

El término se dice que fue enunciado por primera vez a principios de los 90 por el especialista en ciberseguridad Marcus J. Ranum, investigador del proyecto DARPA, y es un eufemismo para hablar de conseguir una contraseña no através de un ataque técnico informático, sino sirviéndose de presiones psicológicas, coacción o incluso tortura para que la persona que conoce la clave nos la entregue. El nombre haría referencia a una técnica de interrogatorio por tortura concreta, el bastinado con una manguera de goma (literalmente, golpear a alguien con una manguera de goma hasta que confiese). Aunque originalmente el nombre haga referencia a una forma de tortura física, cuando hablamos de «manguera de goma» podemos referirnos a todo tipo de presiones y coacciones: amenazas de cárcel, de revelación de secretos comprometedores para la imagen pública de la persona, de consecuencias legales, de multas, presiones a familiares… Incluso no siempre tiene que tratarse de métodos ilegales o brutales, como ya hemos visto hablamos de un concepto amplio consistente en presionar a quien tiene la clave para que la entregue, puede incluso referirse a la obtención de beneficios penitenciarios por colaborar con una investigación. Imaginemos que hacienda investiga las cuentas de un evasor fiscal y necesita la clave de cifrado de un disco duro para poder hacerlo, clave que tiene el contable de dicho evasor: ofrecerle una rebaja en su condena entraría dentro de este concepto también.

Firefox Monitor: herramienta para saber si tus datos han sido expuestos en Internet.

Mozilla sigue con su plan de esgrimirse adalid de la seguridad y la privacidad en internet y nos trae un nuevo producto: Firefox Monitor.

Esta herramienta nos pedirá que introduzcamos una dirección de correo y comprobará en diversas fuentes públicas si esta se ha visto expuesta en alguna filtración de datos de algún servicio a la que esté asociada.

Su funcionamiento es simple, basta con acceder a este enlace a la web de Firefox Monitor, introducir nuestro correo y pulsar en Buscar Filtraciones. Nos llevará a una ventana con los resultados de la búsqueda similar a esta:

Si algún servicio que uses aparece en esa lista ya sabes lo que toca, cambiar la contraseña.

Monitor además incluye un directorio actualizado con todas las filtraciones de las que tienen conocimiento y una sección con consejos de seguridad. Además ofrece un servicio de registro que nos enviará una alerta por correo electrónico si nuestro correo se ve expuesto en una filtración.

Configurar una contraseña maestra en Firefox para proteger las contraseñas guardadas

El navegador Firefox incluye de serie una interesante herramienta llamada Contraseña Maestra (o Master Password) . Si eres de esos que no quieren memorizar un montón de contraseñas de distintos servicios y las almacena en la memoria del navegador puede resultar muy útil.

Imagina que tienes guardada en la memoria del navegador tus usuarios y contraseñas de Facebook, Twitter, Amazon, Netflix… hasta de la web del banco o de Paypal. Si le dejas a alguien ese ordenador podrá acceder a todas estas cuentas. Para eso sirve esta configuración: proteges con una contraseña única todas esas cuentas, de forma que solo tienes que recordar una.

Para activarlo tienes que pulsar el botón de Menú en Firefox, irte a opciones y ahí, en el menú de la izquierda, ir a Privacidad & Seguridad.

Ahora cargará las configuraciones a la derecha del menú. Ahí buscas la cabecera Usuarios y Contraseñas y marcas Usar una contraseña maestra. Eso abrirá un gestor para añadir tu nueva contraseña.

Tras configurarlo tendrás que cerrar y volver a abrir Firefox para que la configuración haga efecto.

Desde esa misma pantalla podrás también modificar la contraseña cuando lo creas necesario.

Cómo ver que Apps tienen acceso a nuestra cuenta de Facebook

Ya hemos hablado de varios temas de privacidad en este blog, como cuando vimos cómo descargar nuestros datos de varias redes sociales o cuando dimos consejos para proteger nuestra privacidad tanto en facebook como en general. Muchas de las brechas de seguridad en Facebook provienen de apps de terceros con demasiados permisos. ¿Cómo podemos verlas?

Desde la web podemos hacer click en el menú desplegable a la derecha de la cabecera, ir a Configuración y allí, en el menú de la izquierda, buscar Apps y Sitios web. Si te pierdes un poco con la explicación basta con que hagas click en este enlace en un navegador donde tengas tu sesión iniciada.

Desde el app para Androidla cosa es más o menos igual: despliegas el menú, vas a Configuración y allía a Apps y Sitios Web. Una vez dentro de esa pantalla tienes que pulsar en Sesión Iniciada con Facebook. Una vez allí ya verás todas las apps conectadas, en una pantalla como la siguiente.

Apps y Sitios Web

Tanto desde el ordenador como desde la app podrás seleccionar qué apps quieres eliminar para revocarles de esta forma el acceso a tus datos. De esta forma mejorarás un poco más tu privacidad.

¿Qué hacer si alguien distribuye imágenes íntimas nuestras en internet?

No es una entrada técnica, pero por lo que he visto hoy puede ser muy práctica.

Si algún desaprensivo tiene fotos o vídeos vuestros en una situación sexual y los hace públicos, a través de una red social, un sistema de mensajería, un foro o alguna web de vídeos es importante mantener la calma en el primer momento. Ok, tendrás ganas de matar a alguien y el impulso de insultar o amenazar, pero no es lo más práctico. Distribuir esas imágenes es un delito en España y en la mayoría de países de la Unión Europea.

  • Lo primero es recopilar pruebas: recoger los enlaces, descargar todo lo descargable y hacer capturas de pantalla, aunque teniendo en cuenta que no son una prueba definitiva. Es importante preservar estas pruebas ante notario o en el juzgado. Voy a matizar un par de cosas aquí: lo de descargar lo digo para cuando sean fotos nuestras, si son de terceras personas no lo hagas. Es decir, si te encuentras con que algún criminal ha compartido fotos, por ejemplo, de sexo con menores no se te ocurra descargarlas, aunque lo hagas con intención de denunciarlo, porque no eres un investigador y podrías meterte en un problema. En ese caso simplemente copia el enlace y envíalo a las fuerzas de seguridad pertinentes. Otra cosa, si es un caso de mucha gravedad (por ejemplo que implique a menores, o que derive en acoso) lo mejor es que contactes con el colegio de peritos forenses informáticos de tu comunidad.
  • Lo siguiente es hacer una denuncia ante las fuerzas de seguridad pertinentes o en el juzgado de guardia.
  • Con la denuncia presentada y las pruebas recopiladas y registradas es el momento de contactar con el servicio donde se ha publicado para exigir que corten la difusión del mismo. Si hay una denuncia de por medio seguramente se muestren colaborativos rápidamente, sobre todo si es un servicio que tenga una oficina en España, donde están obligados ante una orden judicial.

¿Por qué en este orden? Porque si en un primer momento amenazas, o insultas, le das la opción al delincuente de borrar su rastro. Es posible que esto detenga la difusión, cierto, pero también entorpece la investigación y puede que se vaya de rositas para volver a repetir su delito.

Entiendo que cuesta mantener la sangre fría en un momento de tal gravedad, pero es importante proceder bien para conseguir que el responsable acabe recibiendo una condena en el juzgado.

Cifrar una máquina virtual de Virtual Box

Virtual Box nos permite dar un extra de seguridad a nuestras máquinas virtuales cifrando sus discos duros, recurriendo al algoritmo de cifrado simétrico AES, dándonos a elegir entre claves de 128 bits y de 256 bits.

Para ello seleccionamos en la pantalla principal de Virtual Box la máquina que queremos cifrar y pulsamos el botón de Configuración.

Virtual box

Allí nos vamos a la pestaña Disk Encryption, marcamos el check de Enable Disk Encryption, elegimos en el desplegable el tipo de cifrado y finalmente definimos una contraseña.

Cifrar Unidad

Tras aceptar comenzará el cifrado de los discos de la máquina elegida. Una vez terminado cuando la iniciemos nos pedirá la contraseña para continuar. Si queremos deshacer el cifrado basta con desmarcar el check de Enable Disk Encryption y poner la contraseña cuando nos la pida.

O que é a Tríade CID?

Esta é uma tradução ao português dum artigo antigo. Cá uma ligação ao orixinal.

A Tríade CID não tem relação com poemas medievais castelhanos nem com as bandas desenhadas do Hernández Palacios, mas é um conceito da cibersegurança que faz ênfase em três princípios que têm de trabalhar em conjunto para garantir a segurança de um sistema informático: Confidencialidade, Integridade e Disponibilidade.

 

  1. Confidencialidade: Os dados têm de estar só na mão dos utentes autorizados. Umas políticas de controlo do acesso têm de ser aplicadas para evitar que a informação classificada cair em mãos, seja ou não de forma intencionada, de utentes sem acesso.
  2. Integridade: O conceito integridade faz referência  a que os dados que temos armazenados sejam corretos e completos. Tem de se poder garantizar que os dados não foram mudados de forma não autorizada, que não é possível a perda destes dados é que os mesmos são consistentes, isto é que a informação é mesmo correcta à que temos no mundo exterior.
  3. Disponibilidade: Afinal, o conceito disponibilidade implica que a informação tem de estar acessível sempre para os utentes autorizados num tempo razoável. Isto é que os dados têm de estar sempre disponíveis para os utentes.

Na altura de desenhar uma estratégia de cibersegurança para uma empresa ou simplesmente na altura de armazenar qualquer coleção de dados confidenciais um deve considerar que estes três pontos têm de ser atingidos.  

¿Cómo reconocer un correo electrónico malicioso?

Tras una serie de días teniendo que arreglar problemas derivados de gente que abre correos a lo loco he creído útil dar aquí unas pautas que deberían ayudarnos a reconocer correos maliciosos. Si bien es cierto que la mayoría se servicios de correo electrónico populares tienen filtros contra el spam que evitan que nos inunde el correo basura, algunos más sencillos (Gmail, por ejemplo, te permite bloquear una dirección) y otros más configurables (volviendo al Gmail, en Gsuite da varios opciones)

Pero  a pesar de la inefable ayuda de estos filtros siempre puede colársenos algún correo malicioso, con archivos infectados o enlaces para hacer fishing, sea como fuere el filtro de spam no es infalible y en nuestro buzón siempre puede acabar apareciendo un correo trampa. ¿Cómo lo reconocemos? Aquí van unas pautas:

  • Si el correo electrónico no tiene asunto debemos empezar a desconfiar, o si el asunto está en un idioma que no conocemos.
  • Si el correo electrónico solicita la actualización de una cuenta y nos manda un enlace al que acceder para introducir nuestras credenciales… la mosca detrás de la oreja. Lo mejor es no pinchar ya, pero si accedes al enlace fíjate en la barra de direcciones para ver si te está llevando a la web legítima.
  • La ortografía cuenta: cuando el texto del correo electrónico tiene palabras mal escritas o puntuación extraña también debemos desconfiar. En muchos casos se usan traducciones automáticas, así que si vemos modismos extraños (shit yourself little parrot) tampoco hay que fiarse.
  • Cuando los enlaces del correo electrónico son largos, dirigen a direcciones IP o son crípticos lo mejor es no abrirlos.
  • Si por la forma parece provenir de una empresa legítima u organismo público y cumple alguna de las anteriores, entonces no lo dudes: malicioso seguro. Hacienda no te va a mandar un correo pidiéndote tu número de cuenta para realizarte una devolución de impuestos.
  • Si se solicita que el usuario abra un archivo adjunto ahí lo mejor es ya encender todas las alarmas, más aun si se trata de un archivo ejecutable o un fichero comprimido.

Aquí os dejo un ejemplo de un caso real que viene relatado en la web de INCIBE, para que le peguéis una ojeada.

Generar contraseñas seguras en Linux con APG

Ya vimos en el pasado cómo generar contraseñas en linux con mkpasswd, hoy veremos otro método. APG, abreviatura de Automatic Password Generator, viene instalado en Ubuntu y sus derivados. Es un programa pensado para generar contraseñas «memorizables«. Si lo ejecutas a secas te pedirá una «raíz«, una serie de datos con los que trabajar, y en base a eso creará una contraseña «memorizable«, y con «memorizable» quiero decir que junto a la contraseña te mostrará una transcripción fonética para que la recuerdes mejor.

APG Ejemplo
Ejemplo de APG

También puedes generar contraseñas totalmente aleatorias usando el comando apg a -1, que ofrece resultados de entre 8 y 10 caracteres.

Ejemplo APG 2
Ejemplo de APG con a -1