Jun 23

Artículo: ¡Contraseñas seguras¡

Artículo publicado en https://www.osi.es/es/campanas/contrasenas-seguras

Interesantes artículos con recomendaciones sobre el uso y generación de contraseñas seguras.

Imagen banner
Imagen articulo del blog

Artículo del blog

¿Sabías que el 90% de las contraseñas son vulnerables?

Imagen Video Cuánto tardarían

Vídeo

¿Cuánto tardarían en averiguar mis contraseñas?

Imagen articulo de la historia real

Historia real

Una contraseña fácil, ¿pero cuántas cuentas comprometidas?

Imagen infografía Ataques a las contraseñas

Infografía

Ataques a las contraseñas

Imagen articulo del blog

Artículo del blog

Típicos errores que cometemos al usar nuestras contraseñas, y cómo corregirlos

Imagen recurso pedagógico

Recurso pedagógico

Mejora tus contraseñas

Imagen artículo blog

Artículo del blog

El factor de autenticación doble y múltiple

Imagen recurso pedagógico

Recurso Pedagógico

El camino seguro

Imagen recurso pedagógico Crea tu contraseña segura

Infografía

Crea tu contraseña segura paso a paso

Imagen Gestores de contraseñas: ¿cómo funcionan?

Artículo de blog

Gestores de contraseñas: ¿cómo funcionan?

Feb 11

Artículo: Un informe de Microsoft revela que los ciberataques más exitosos se aprovechan de vulnerabilidades “básicas” que pueden salvarse con factores de doble autenticación

Artículo publicado en: https://www.businessinsider.es

Las tácticas de la mayoría de los ciberataques no son tan sofisticadas como se puede pensar, defiende Microsoft en un un nuevo informe.

De hecho, la mayoría de esos ataques podrían ser bloqueados con el factor de doble autenticación activado, que solo el 22% de los usuarios de Azure tienen.

Con unas defensas tan exiguas, los negocios siguen enfrentándose a amenazas continuadas, explica un alto cargo de la multinacional a Business Insider.

El daño provocado por los ataques de ransomware sigue creciendo, pero eso no quiere decir que sus técnicas sean necesariamente más sofisticadas. Así lo explica un nuevo informe estadístico de Microsoft.

En el primer informe de Cyber Signals que Microsoft publica, se desgranan ciertas tendencias a partir de los datos de 1.200 millones de usuarios que forman parte del directorio activo de Azure. La tecnológica ha descubierto que robar o adivinar contraseñas sigue siendo una de las técnicas más comunes con las que los ciberdelincuentes logran hackear a los usuarios.

Eso quiere decir que la mayoría de los ciberataques podrían evitarse activando el factor de doble autenticación a la hora de iniciar sesión: este sistema exige a los usuarios verificar su identidad cuando acceden al servicio con un dispositivo distinto al que están usando para entrar en su cuenta. Solo el 22% de los usuarios de Azure tienen activado este mecanismo, lamenta la compañía.

Es la primera vez que Microsoft publica estadísticas sobre cuántos de sus usuarios confían en el factor de múltiple autenticación en sus servicios.

Los ciberdelincuentes especializados en ransomware se limitan a aprovechar “una oportunidad” y después “correr”, explica a Business Insider el responsable de Inteligencia de Amenazas por Ransomware de Microsoft, Cristopher Glyer. Es raro que un ciberatacante haga todo lo que esté en su mano para romper la seguridad de las cuentas.

Por eso solo las cuentas con las configuraciones de seguridad más débiles son las que a la postre se convierten en los objetivos preferidos de estos criminales.

Incluso colectivos de criminales informáticos patrocinados por países extranjeros se aprovechan de estas prácticas de hacking tan rudimentarias para comprometer la seguridad de sus objetivos, asegura el vicepresidente de Microsoft Security, Vasu Jakkal, a este medio.

La unidad de Inteligencia de Amenazas de Microsoft documenta en su informe que incluso grupos ligados a Rusia e Irán están usando técnicas como el password sprays (probar una misma contraseña de uso común en varias cuentas de usuario) para tratar de acceder a las mismas. 

El año pasado, el gran ataque que sufrió SolarWind, y por el que se llegó a acusar al Gobierno ruso, en realidad había comenzado porque se comprometió una contraseña que no era segura.

“Cuando piensas en ciberatacantes de estados extranjeros piensas que usarán técnicas muy sofisticadas”, dice Jakkal. “Y en realidad no lo necesitan porque les basta con robar contraseñas para contar con un acceso inicial a los sistemas de sus víctimas”.

Esto quiere decir que los ciberdelincuentes no siempre tienen que invertir mucho dinero y tiempo para asaltar a la mayoría de sus víctimas. Los agentes maliciosos pueden comprar contraseñas robadas que se han filtrado en brechas de seguridad. 150 dólares puede suponer un paquete de 400 millones de contraseñas, según Microsoft. Así, hackear a alguien puede ser tan sencillo como iniciar sesión.

“Las barreras de entradas han descendido, lo que implica que a medida que nos adentramos en la siguiente ola de digitalización y en el mundo de los metaversos y todo eso (elige la palabra que prefieras), veremos las mismas amenazas de siempre”, resume Jakkal.

Ene 03

Utilidad: Reparar tarjeta memoria SD dañada o estropeada.

Publicada en: https://blog.elhacker.net/2021/12/reparar-datos-fotos-tarjeta-memoria-sd-danada-o-estropeada-formateada.html

Las memorias o tarjetas micro SD se han vuelo tremendamente populares en los últimos tiempos, y como herramienta de uso diario que son, no son pocas las que se averían, se corrompen o simplemente fallan y dejan de funcionar.

Los errores más habituales que podemos ver en sistemas como Android o Windows suelen tener este aspecto:

  • “Error en la tarjeta SD”
  • “Tarjeta SD dañada” o “La tarjeta SD está dañada”
  • “La unidad (E:) no está accesible”
  • “El archivo o carpeta está dañado y no se puede leer”

Puedes usar un adaptador para la micro SD. Si nuestro equipo tiene ranura para micro SD, perfecto. Si no necesitaremos un adaptador SD/Micro SD USB/Micro SD para insertar la tarjeta. Suelen ser bastante baratos.
También podemos utilizar otro método para reparar la tarjeta, el cual consiste en ir a la unidad de la SD dentro de “Equipo” y mediante clic derecho en “Propiedades” seleccionar “Herramientas -> Comprobar (Comprobación de errores)”.

Con el comando chkdsk /x /f el sistema buscará errores en la tarjeta micro SD y si encuentra alguno intentará repararlo. Es una utilidad que funciona bastante bien, y normalmente suele solucionar la mayoría de problemas de este tipo. Si tienes problemas para ejecutar el comando te recomiendo que utilices un programa llamado CheckDiskGUI. Se trata de una herramienta gratuita que permite hacer más o menos lo mismo que el comando chkdsk pero con una interfaz gráfica, lo cual hace que sea muchísimo más fácil de manejar.

Recupera archivos borrados con Recuva o similares

Una vez Windows es capaz de leer la SD tenemos que intentar salvar el mayor número de datos posibles. Una buena opción es pasar todos los datos al disco duro del ordenador, pero si faltan archivos (fotos, videos, documentos etc.) necesitaremos un programa de recuperación de datos para extraer el mayor número de información.

Hay un millar de aplicaciones para recuperar datos. A mí la que mejor me ha funcionado hasta ahora ha sido “Recuva” (gratuita), pero la verdad es que a la larga las que mejor rendimiento suelen ofrecer son aplicaciones que requieren licencia, tales como DiskDigger o Get Data Back

La aplicación DiskDigger también cuenta con una versión app para Android que podemos utilizar para recuperar nuestras fotos y archivos, pero vamos a necesitar permisos root para que despliegue todo su potencial (eso sí, teniendo en cuenta siempre que la versión de escritorio es mucho más efectiva).

Programas gratuitos para reparar errores en una tarjeta micro SD dañada

En este tutorial hemos hablado del comando chkdsk de Windows y el programa Partition Master, pero existen muchas otras herramientas con las que podemos intentar reparar una tarjeta de memoria dañada.

Reparación de unidades dañadas

  • TestDisk y PhotoRec: Programa gratuito y open source para reparar tablas de partición, recuperar particiones borradas y el sector de arranque FAT32 desde el backup. También puede recuperar sectores de arranque NTFS, FAT y más. | Descargar desde su web oficial
  • HDDScan: Estupenda herramienta para diagnosticar errores en discos duros, unidades flash USB y hasta servidores RAID. Busca daños en la unidad de almacenamiento en busca de sectores dañados y permite realizar algunos tests y correcciones. | Descargar desde su web oficial
  • Disk Check (Puran Software): Este programa gratuito es muy similar a CheckDiskGUI. Básicamente se trata de una interfaz gráfica con la que podemos usar todas las herramientas de corrección de errores del comando chkdsk. Sencillo pero efectivo. | Descargar desde cnet.com
  • AOMEI Partition Assistant: Utilidad muy similar al Partition Master que permite formatear una unidad, así como buscar errores e intentar repararlos de forma automática con la herramienta chkdsk. El programa está disponible en dos sabores: una versión estándar gratuita pero limitada (aunque suficiente en la mayoría de casos) y una versión de pago más completa. | Descargar desde su web oficial

Errores comunes al reparar / formatear una tarjeta con los comandos CHKDSK y DISKPART

Al intentar reparar la tarjeta SD desde MS-DOS con el comando DISKPART es posible que el sistema nos devuelva algún mensaje de error. A continuación desgranamos algunos de los fallos más habituales.

«chkdsk no está disponible para archivos RAW»

Cuando una tarjeta de memoria está en formato RAW significa que ha perdido su formato de archivos. En este caso, lo podemos solucionar fácilmente formateando el disco. Eso sí, perderemos cualquier información almacenada en la memoria (lo cual nos obligará a pasar algún programa si queremos recuperar los datos).

«Acceso denegado porque no tiene privilegios suficientes»

Este es un fallo bastante habitual al utilizar PowerShell o la ventana de terminal de Windows sin permisos de administrador. Para corregir este error:

  •  En Windows 10: Desde el buscador de Cortana escribe “cmd” y selecciona “Ejecutar como administrador” para abrir una ventana de MS-DOS con privilegios de superusuario. Nota: si no tienes acceso a Cortana también puedes dirigirte hasta C:\WINDOWS\system32 y ejecutar el archivo cmd.exe con permisos de administrador haciendo clic derecho sobre el fichero.
  • En versiones anteriores de Windows: Desplázate hasta la carpeta C:\Windows\System32 y localiza el archivo «cmd.exe». Haz clic derecho sobre el archivo mientras presionas la tecla «shift» y seleccionamos «Ejecutar como administrador«.

«El volumen es demasiado grande»

Otro fallo clásico. Este nos suele saltar cuando ejecutamos el comando «format» y el motivo es que Windows no es capaz de formatear ninguna unidad a FAT32 con un tamaño mayor a 32GB.

Para conseguir que Windows nos permita formatear tarjetas de memoria de 64GB, 128GB o superiores debemos instalar una aplicación de terceros como por ejemplo FAT32 Format.

Error del servicio de disco virtual: el volumen es demasiado pequeño»

En este caso nos ocurre al contrario: la unidad es demasiado pequeña. Para poder seguir adelante tendremos que formatear la microSD a formato NTFS.

De esta forma, cuando estemos realizando los comandos en DISKPART, en lugar de ejecutar «format fs=FAT32″ utilizaremos «format fs=NTFS».

Si no obtenemos resultados, lanzaremos esta otra serie de comandos:

  • diskpart
  • clean
  • convert gpt
  • format fs=NTFS

«Error de servicio de disco virtual: El medio está protegido contra escritura»

Este es un fallo que devuelve Windows cuando detecta que la tarjeta SD solo tiene permisos de lectura. Revisa por si la tarjeta tiene alguna pestaña de bloqueo y cámbiala de posición.

Si tienes una microSD no verás ninguna pestaña. En este caso lo recomendable es proceder con el siguiente comando de MS-DOS:

attributes disk clear readonly

«Error del servicio de disco virtual»

Existen varios fallos relacionados con el servicio de disco virtual.

  • «Error del Servicio de disco virtual: No hay medios en el dispositivo«. Indica que el sistema no es capaz de comunicarse con la tarjeta de memoria. Para el PC es como si fuera una unidad vacía.
  • «Error del Servicio de disco virtual: Se agotó el tiempo de espera para la operación«. Lo que nos indica este error es que el sistema ha intentado establecer contacto pero la tarjeta SD no responde.
  • «Error diskpart ha encontrado un error: no se puede realizar la solicitud por un error del dispositivo de E/S«. Al igual que en los casos anteriores, estamos ante un error de comunicación entre la microSD y el PC.
  • «DiskPart ha encontrado un error: El dispositivo no está listo«. Con este error el sistema nos dice que no puede establecer contacto con la tarjeta de memoria.

En resumidas cuentas, estos 4 errores vienen a indicar un posible fallo de hardware en la memoria SD. Si estás utilizando algún tipo de adaptador USB para conectar la tarjeta al PC prueba a utilizar otro adaptador para descartar que el fallo esté en el adaptador.

Si no es un fallo del adaptador lo más probable es que la memoria se haya deteriorado o esté rota. Si se ha caído al agua o está mojada puedes intentar secarla introduciendo la tarjeta en una bolsa de arroz durante un par de días, aunque las posibilidades de recuperación son bastante bajas.

Fuentes:
https://elandroidefeliz.com/reparar-tarjeta-micro-sd-sin-perder-datos/

Ene 03

Artículo: Un repaso por las herramientas utilizadas para realizar ataques Man‑in‑the‑Middle (MITM), nunca está de más el conocerlas.

Publicada en: https://blog.elhacker.net/2021/12/herramientas-para-realizar-ataques-man-in-the-middle-mitm.html

Man-in-the-Middle (MitM), que en español significa “hombre en el medio”, es un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos (hosts) conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes

Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, el delincuente debe estar presente en la misma red que los hosts apuntados en el ataque para cambiar la tabla de enrutamiento ARP para cada uno de ellos.

Aunque alterar la tabla de enrutamiento es infinitamente más simple cuando se realiza en la misma red, técnicamente sería posible secuestrar los routers de los proveedores de Internet y alterar arbitrariamente sus tablas de enrutamiento, pero la complejidad de este tipo de ataque es incomparablemente mayor. Por tanto, todos los ejemplos que citaré en este artículo estarán relacionados con el ataque desde dentro de la red.


Tipos de ataques man-in-the-middle

  • Ataques basados en servidores DHCP
  • ARP cache poisoning
  • Ataques basados en servidores DNS
  • Simulación de un punto de acceso inalámbrico
  • Ataque Man in the Browser

Tipos de ataques man-in-the-middle

Ya hemos visto cómo proceden los atacantes a realizar un ataque man in the middle. Pero veamos más en profundidad qué tipos de ataques existen y en qué consiste cada uno de estos métodos.

Ataques basados en servidores DHCP

Los atacantes utilizan su ordenador como si fuera un servidor DHCP en una red local. Estos servidores sirven para asignar direcciones IP y realizar la configuración de los dispositivos que forman parte de una red, para que se puedan comunicar con otras redes. Mediante un DHCP simulado, los hackers pueden controlar las direcciones IP locales para desviar e interceptar el tráfico saliente.

ARP cache poisoning

El protocolo ARP tiene como función resolver IPs en redes LAN. Para proceder al envenenamiento de caché ARP, el hacker necesita conocer el sistema del destinatario. Al hacer una petición ARP se envía tanto la IP como la dirección MAC del equipo que realiza la solicitud, así como la IP del equipo de destino. Mediante el ARP cache poisoning, se busca dar respuestas falsas en estas peticiones, para que el usuario use el ordenador del hacker como punto de acceso a internet y así poder interceptar los datos salientes de los ordenadores de las víctimas.

Ataques basados en servidores DNS

En este tipo de ataques los ciberdelincuentes manipulan el caché de servidores DNS con el objetivo de dar direcciones falsas. Generalmente, estos ataques se centran en servidores que utilizan versiones del software DNS muy antiguas, ya que son más vulnerables. Además, en caso de lograr acceso a estos servidores, será mucho más sencillo enviar registros falsos y envenenar su caché.

Simulación de un punto de acceso inalámbrico

Este tipo de ataque man in the middle por WiFi está dirigido principalmente a los usuarios de los teléfonos móviles. El hacker crea un punto de acceso inalámbrico en una red pública, por ejemplo en una biblioteca o cafetería. El objetivo es hacer que el equipo del atacante funcione como un punto de acceso inalámbrico a internet, para que los usuarios se conecten a él a través de sus dispositivos móviles y así hacer de intermediario entre los usuarios y la red pública.

Ejemplo Ejecución del ataque ARP

Un ataque ARP poisoning funciona de la siguiente manera:

  • El atacante hace uso de la herramienta de ARP Spoofing y escanea las direcciones MAC e IP de los hosts de la subred del objetivo.
  • El atacante elige su destino y comienza a enviar paquetes ARP través de la LAN. Estos paquetes contienen la dirección MAC del atacante y la dirección IP de la víctima con el fin de que la arp cache de los equipos establezca la relación de esa MAC con esa dirección ip.
  • Si el atacante logró vincular su dirección MAC a una dirección IP auténtica, va a empezar a recibir cualquier dato que se puede acceder mediante la dirección IP. A partir de aquí, el atacante puede robar datos o lanzar un ataque más sofisticado.

Como sucede en la mayoría de los ataques, incluso si el delincuente no tiene un profundo conocimiento sobre lo que va a ejecutar, podrá llevarlo a cabo, aunque sea de forma mecánica. Y en el caso de los ataques de Man-in-the-Middle no es diferente: siguiendo algunas instrucciones que se encuentran fácilmente en Internet, es posible reproducir este tipo de ataque. Por eso es tan importante tomar siempre medidas de protección.

Para comprender cómo funciona el ataque, veamos la imagen a continuación. En la misma se puede apreciar la tabla de enrutamiento presente en la computadora de la víctima, aún sin cambios.

Cada una de las entradas de la tabla ARP tiene una dirección única, como puede observarse en la numeración final presente en cada una de ellas.

Como hemos dicho anteriormente, cuando se está ejecutando un ataque MitM, el delincuente se hace pasar por la dirección de destino de la víctima, que suele ser un router o alguna otra dirección que sea la puerta de entrada a esa red. Vale la pena mencionar que los ataques en los que se hacen pasar por la dirección de destino de la víctima representan uno de los tantos tipos de ataques de MitM. Dicho esto, existen algunas herramientas que pueden realizar este tipo de ataque. En el caso de nuestro ejemplo, el ataque realizado fue de envenenamiento de ARP, también conocido como ARP spoofing o envenenamiento de tablas ARP. El ARP, o Adress Resolultion Protocol, es un protocolo de resolución de dirección que se utiliza en la comunicación entre direcciones IP y la dirección física de un equipo, más conocida como dirección MAC.

El software utilizado para automatizar este ataque fue Ettercap a través de la línea de comandos. Sin embargo, el software también tiene una interfaz gráfica muy intuitiva y fácil de usar. Después de ejecutar el comando, la víctima cree que el atacante es la puerta de enlace y comienza a enviarle todas sus solicitudes.

Como la visualización que ofrece Ettercap tiene una estructura muy difícil de interpretar, es posible utilizar analizadores de red más robustos como Wireshark  o BetterCap para monitorear la interfaz de red que está recibiendo este tráfico y tratarlo o guardarlo para realizar un análisis posterior.

Herramientas MITM (Man In The Midle)

  • Dnsspoof: DNS spoofer. Elimina las respuestas de DNS del enrutador y lo reemplaza con la respuesta de DNS falsificada.
  • Ettercap: Una suite completa para hombres en medio de ataques. Cuenta con olfateo de conexiones en vivo, filtrado de contenido sobre la marcha y muchos otros trucos interesantes. Es compatible con la disección activa y pasiva de muchos protocolos e incluye muchas características para el análisis de red y host.
  • Bettercap: Una herramienta potente, flexible y portátil creada para realizar diversos tipos de ataques MITM contra una red, manipular el tráfico HTTP, HTTPS y TCP en tiempo real, buscar credenciales y mucho más.
  • Mallory: Un hombre extensible de TCP / UDP en el proxy intermedio que está diseñado para ejecutarse como una puerta de enlace. A diferencia de otras herramientas de este tipo, Mallory admite la modificación de protocolos no estándares sobre la marcha.
  • MITMf: Framework para ataques Man-In-The-Middle.
  • Mitmproxy: Un proxy hombre-en-el-medio interactivo con capacidad para SSL para HTTP con una interfaz de consola.
  • Mitmsocks4j: El hombre en el medio SOCKS Proxy para JAVA.
  • Nogotofail: Una herramienta de prueba de seguridad de tráfico de red blackbox en ruta.
  • Responde: Un envenenador LLMNR, NBT-NS y MDNS, con servidor de autenticación rogue HTTP/SMB/MSSQL/FTP/LDAP incorporado compatible con NTLMv1 / NTLMv2 / LMv2, NTLMSSP de seguridad extendida y autenticación HTTP básica.
  • Ssh-mitm: Una herramienta de hombre en el medio SSH / SFTP que registra sesiones interactivas y contraseñas.

MITMf (Man In The Middle Framework)

El “framework” permite hacer “bypass HTTPS”, denominado “MITMf” (Man In The Middle Framework), el cual consta de un kit de herramientas que permiten realizar varios ataques compenetrados entre los que destacan “ARP Spoofing”, “DNS Spoofing” y “SSLstrip2”, con el que evadir las conexiones cifradas vía HTTPS.

Para proceder a la realización del ataque lanzamos “mitmf.py” con la siguiente configuración:
“Mitmf.py -i <interfaz> – -spoof – -hsts – -arp – -dns – -gateway <puertaenlace> – -target <IP>”

Hetty

Hetty es un kit de herramientas HTTP rápido de código abierto con potentes funciones para ayudar a los investigadores de seguridad, los equipos y la comunidad de recompensas por errores. La herramienta liviana con una interfaz web Next.js incrustada comprende un hombre HTTP en el proxy intermedio.

Características principales

  • Le permite realizar una búsqueda de texto completo
  • Tiene un módulo de remitente que le permite enviar solicitudes HTTP manualmente en función de las solicitudes fuera del registro del proxy o al crearlas desde cero.
  • Un módulo de atacante que le permite enviar solicitudes HTTP automáticamente
  • Instalación simple e interfaz fácil de usar
  • Envíe manualmente las solicitudes HTTP comenzando desde cero, elaborando la solicitud o simplemente copiándola desde el registro de proxy.

Bettercap

Bettercap es una herramienta de reconocimiento y ataque de red completa y escalable.

La solución fácil de usar proporciona a expertos en seguridad y equipos red team todas las funciones para probar o atacar redes Wi-Fi, IP4, IP6, dispositivos Bluetooth de baja energía (BLE) y dispositivos HID inalámbricos. Además, la herramienta tiene capacidades de monitoreo de red y otras características como creación de puntos de acceso falsos, rastreador de contraseñas, suplantación de DNS, captura de protocolo de enlace, etc.

Características principales

  • Un potente rastreador de red incorporado para identificar datos de autenticación y recopilar credenciales
  • potente, extensible
  • Sondea y prueba de forma activa y pasiva los hosts de la red IP en busca de posibles vulnerabilidades MITM.
  • Interfaz de usuario basada en web fácil de usar e interactiva que le permite realizar una amplia gama de ataques MITM, rastrear credenciales, controlar el tráfico HTTP y HTTP, etc.
  • Extrae todos los datos que recopila como POP, IMAP, SMTPy credenciales FTP, URL visitadas y hosts HTTPS, cookies HTTP, datos publicados HTTP y más. Luego lo presenta en un archivo externo.
  • Manipule o modifique el tráfico TCP, HTTP y HTTPS en tiempo real.

 Proxy.py

Proxy.py es un servidor proxy WebSockets, HTTP, HTTPS y HTTP2 ligero de código abierto. Disponible en un solo archivo de Python, la herramienta rápida permite a los investigadores inspeccionar el tráfico web, incluidas las aplicaciones cifradas TLS, mientras consume un mínimo de recursos.

Características principales

  • Es una herramienta rápida y escalable que puede manejar decenas de miles de conexiones por segundo.
  • Funciones programables como un servidor web integrado, proxy y personalización de enrutamiento HTTP, etc.
  • Tiene un diseño liviano que usa 5-20 MB de RAM. Además, se basa en las bibliotecas estándar de Python y no requiere ninguna dependencia externa.
  • Un panel personalizable en tiempo real que puede ampliar mediante complementos. También le da la opción de inspeccionar, monitorear, configurar y controlar el proxy.py en tiempo de ejecución.
  • La herramienta segura utiliza TLS para proporcionar un cifrado de un extremo a otro entre el proxy.py y el cliente.

 Mitmproxy

Los mitmproxy es una solución de proxy HTTPS de código abierto y fácil de usar.

Generalmente, la herramienta fácil de instalar funciona como un proxy HTTP de intermediario SSL y tiene una interfaz de consola que le permite inspeccionar y modificar el flujo de tráfico sobre la marcha. Puede utilizar la herramienta basada en la línea de comandos como un proxy HTTP o HTTPS para registrar todo el tráfico de la red, ver lo que solicitan los usuarios y reproducirlos. Por lo general, mitmproxy se refiere a un conjunto de tres herramientas poderosas; mitmproxy (interfaz de consola), mitmweb (interfaz basada en web) y mitmdump (versión de línea de comandos).

Burp Suite

Características principales

  • Interceptar e inspeccionar el tráfico de red sin procesar en ambas direcciones entre el navegador web y el servidor
  • Rompe la conexión TLS en el tráfico HTTPS entre el navegador y el servidor de destino, lo que permite al atacante ver y modificar datos cifrados.
  • Opción de utilizar el navegador integrado Burps o el navegador web estándar externo
  • Solución de escaneo de vulnerabilidades automatizada, rápida y escalable, le permite escanear y probar aplicaciones web de manera más rápida y eficiente, identificando así una amplia gama de vulnerabilidades
  • Mostrar solicitudes y respuestas HTTP individuales interceptadas
  • Revise manualmente el tráfico interceptado para comprender los detalles de un ataque.

Burp es una herramienta automatizada y escalable herramienta de escaneo de vulnerabilidades. La herramienta es una buena opción para muchos profesionales de la seguridad. Generalmente, permite a los investigadores probar aplicaciones web e identificar vulnerabilidades que los delincuentes pueden explotar y lanzar ataques MITM.

Utiliza un flujo de trabajo dirigido por el usuario para proporcionar una vista directa de la aplicación de destino y cómo funciona. Al operar como un servidor proxy web, Burp se sienta como el intermediario entre el navegador web y los servidores de destino. En consecuencia, esto le permite interceptar, analizar y modificar el tráfico de solicitudes y respuestas.

Ettercap

Ettercap es un analizador e interceptor de tráfico de red de código abierto.

La completa herramienta de ataques MITM permite a los investigadores diseccionar y analizar una amplia gama de hosts y protocolos de red. También puede registrar los paquetes de red en una LAN y otros entornos. Además, el analizador de tráfico de red multipropósito puede detectar y detener ataques de intermediarios.

Características principales

  • Interceptar el tráfico de la red y capturar credenciales como contraseñas. Además, puede descifrar datos cifrados y extraer credenciales como nombres de usuario y contraseñas.
  • Adecuado para rastreo profundo de paquetes, pruebas, monitoreo del tráfico de red y filtrado de contenido en tiempo real.
  • Admite escuchas, disecciones y análisis activos y pasivos de protocolos de red, incluidos aquellos con cifrado
  • Analizar un topología de la red y establecer los sistemas operativos instalados.
  • Interfaz gráfica de usuario fácil de usar con opciones de operación de GUI interactivas y no interactivas
  • utiliza técnicas de análisis como la interceptación ARP, el filtrado de IP y MAC, y otras para interceptar y analizar el tráfic

Consecuencias de un ataque de Man-in-the-Middle

Ahora que entendemos un poco sobre la estructura del ataque en sí, queda por ver qué pueden hacer los delincuentes cuando llevan a cabo un ataque Man-in-the-Middle.

En el ejemplo que mencioné, la captura de tráfico fue realizada por Ettercap con el fin de analizar paquetes. Sin embargo, Ettercap no es la única solución que ayuda a crear ataques Man-in-the-Middle. Es posible desarrollar amenazas para realizar determinadas acciones dentro del tráfico interceptado o utilizar alguna de las soluciones ya creadas para realizar estas modificaciones. Una de las soluciones desarrolladas para este propósito fue Man-in-the-Middle Framework, o MITMf, que viene con varias funcionalidades instaladas por defecto. Algunas de estas funcionalidades permiten:

  •  Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo;
  • – Insertar en la página a la que se accede código en JavaScript creado por el atacante;
  • – Ejecutar procesos que intentan abrir tráfico encriptado HTTPS;
  • – Insertar un keylogger que capture todo lo que escribe la víctima.

Con esto, las opciones de ataque son prácticamente ilimitadas, y aún es posible utilizar el ataque para dirigir el tráfico a otros frameworks con aún más funcionalidades, como, por ejemplo, BeEF.

Además del enfoque MitM más tradicional que menciono en esta publicación, los delincuentes usan este concepto de interceptar las acciones de las víctimas en varios otros tipos de ataques, como la alteración de la memoria cuando la víctima usa el portapapeles (al copiar y pegar algo), ataques de Man-in-the-Browser (que significa hombre en el navegador) cuando el ciberdelincuente modifica información transmitida directamente por el navegador, por ejemplo, cuando se realiza una compra. Todos estos tipos de ataques tienen un impacto significativo en las víctimas y la mayoría de ellos no muestran signos de que la víctima esté siendo atacada en ese momento, lo que hace que las medidas de protección frente a este tipo de amenazas sean aún más necesarias.

Fuentes:

https://geekflare.com/es/mitm-attack-tools/
https://www.welivesecurity.com/la-es/2021/12/28/que-es-ataque-man-in-the-middle-como-funciona/

https://ciberseguridad.blog/las-mejores-herramientas-hacking/#MITM
https://jaymonsecurity.com/mitm-credenciales-sslstrip-mitmf-delorean/

Dic 07

Artículo: Identificación de posibilidades de interceptación para la comunicación de WhatsApp.

Publicado en : https://www.forensicfocus.com/webinars/identifying-interception-possibilities-for-whatsapp-communication/

During this research project, I have done enormous amount of research on everything that was known about WhatsApp interception, which methods are there, how can they be used, and how can they be prevented. Since this presentation can only be 20 minutes, I have to be very short on each subject.

The scope of my research project was not to do any research post-mortem on physical devices. For example, on a mobile phone, the scope was not to use any subpoena to get information from WhatsApp. I used several forensic digital methods to get data from WhatsApp and combine them to get as much as possible. I have used the same structure with all methods I’ve found. And I will mention the methods one by one. I’m using the same structure for all of these methods.

The first question is which methods can be identified, which information can be gathered using one of them, one of each method, which steps to take in order to successfully fulfill the method and how these methods can be prevented.

In the slide you can see all the alternative information I’ve already used. In this slide, you can see everything that I’ve worked with, all literature, and you can see them all, and what you can see that some of them use metadata, some of them use open data. Most of them are about historic content that can be gathered doing forensic research on a phone. Some of them are about future content and none of them are about real time content.

In this slide, you can see which software versions I’ve used for both the mobile phones, as well as the WhatsApp version. The first method describes a WhatsApp account takeover. The first question you can ask yourself is, was there even a WhatsApp account, giving a certain number, phone number you’ve used.

If you can take over a WhatsApp account, you can see in which WhatsApp group someone was a member. You can also see their role – were they just a normal member, or were they an administrator moderator. You can see the name of the group or groups, if they are multiple, and you can see the other members of the group, you can see their phone numbers and you can see their display names if they send in the group after you’ve joined them, which are new account. You will also receive messages that are still in transit. So between the period that they have sent the message and you have taken over the account.

And the last thing you can see, are the messages that are sent after the take-over, but how can you do it? The first option is to do an interception on the phone number. Make sure that the phone number is intercepted, and read along the two-factor authentication message, enter it on your phone, and then you get, you have taken over the account.

The second method is to do a seizure of the phone or just a SIM card. Put the SIM card in your own phone, enter the number during the WhatsApp installation, you will receive the message to confirm that you have access over the number – you have control over the number, and you’ve taken over the account.

Now what’s the risk? The risk is that the phone has to be physically in your hands in order to be successful in this method. The second thing is it will show on the phone Web WhatsApp is active. The third thing is that you can see where the messages are read on the web WhatsApp as well. So you can actually only read the messages that are already, excuse me, that are already read on the phone, if you don’t want to spook them.

How can you prevent the second method, Web WhatsApp? You can enable biometrical access to your WhatsApp account. So whenever someone has your phone, they also have to unlock it in order to be successful in order to create a pair. You can use a safe phone, with a safe access code, and don’t leave your phone unattended. That’s the third option.

The third matter that I’ve described in my research project is only disclosed for law enforcement agencies and law enforcement officers. If you are a law enforcement officer, I can send you the information. I can send you the method, but since it’s too much of an asset for us, I can’t disclose it for all of you. I’m so sorry about that. Are you a police officer, are you with law enforcement, please send me an email from your law enforcement email account on Dennis.Wijnberg@politie.nl

Fourth method that I’ve tried, it’s actually a failed method. I was not successful, but I want to share with you either way, maybe someone else can proceed on what I found and make it better.

The idea was to create a Web WhatsApp session that does not already exist. I’ve compared the local storage from the web browser, with web_ sessions.db on the phone. I’ve compared WABrowserid with browser_id as you can see here. As the slide shows the WASecretBundle ‘enckey’ and ‘mackey’ are both part of the secret key secret string, as mentioned in web_sessions.db. The enckey contains the last 32 bits, and the mackey contains the first 32 bits. Bytes. I’m so sorry, bytes. And they’re both base 64 encoded.

The problem is that WAToken2 does not exist in web_sessions.db. I think it is because it’s stored on a server somewhere. It’s not stored in web_sessions.db, so it cannot be injected in web_sessions.db, otherwise you could create something in the local storage and then inject it in web sessions if you have access to that file on the phone. I know it’s all quite hypothetical, but I think it could be, it could be working if you had web_sessions.db, if you have, if you had WAToken2 there.

During the handshake it is exchanged as serverToken in the connection array, also conn array. Key_server_token, and WAToken2, in the JavaScript API. JavaScript.

The fifth method is WhatsApp Calls. It allows you to see the IP address of the person someone is calling with. This only works if both parties are in their address lists in WhatsApp in the contact list, or otherwise this will not work.

As you can see in the diagram below, in the evidence below, in the monitor set up Samsung S8 called with an iPhone eight. IPhone eight was connected to my MacBook pro using Wireshark in order to intercept all signals and the backward pair was connected with the router. And then the router with the Internet, of course. The iPhone was connected over 4G.

This example shows that I could see the IP address of the person I was calling with. In this slide you can see how it looks in Wireshark, for example, and I’ve mentioned a display filter in Wireshark: stun.type equals 0 X 0 0 1 [note – this is different between the slide and the talk]. And ip.dst! = 192.168.1.0/16.

In this case, my internal traffic has filtered from the other traffic. How can this method, method 5, be prevented? Of course you could use a VPN, virtual private network, so the IP address will not show. Another option would be to do only wifi on major locations where a lot of people are on the same wifi network.

During my research project, I’ve seen that several fugitives were calling their parents, their children, their loved ones using WhatsApp. That allowed us to see the IP address of the person they were calling with. Since the family calls were all intercepted, we could find their location abroad. They were arrested over there.

The sixth method is about WhatsApp open source intelligence. As my research shows, multiple things can be gathered by using WhatsApp open source intelligence. For example, someone’s profile picture. This can be used to identify whether a person is using WhatsApp or not. It can also be used to see what number is currently attached to a certain person, for example.

This previously was impossible to do this by enumeration. So for example, in the Netherlands, we start mobile phone numbers with 31 for the Netherlands, 6 for a mobile number, and then we have several codes for several mobile phone providers. After that is a random amount of — it’s not a random amount of numbers, it’s an amount of numbers that can be enumerated and therefore can be automated. And therefore you could retrieve all those phone numbers and their profile pictures attached. Lauren Clusit [name?] did in 2017 research on this.

What also can be gathered is when someone was online for the last time. This can be used for law enforcement to see whether someone has a regular pattern for living in a certain time zone, for example. It can also be used for an employer to see whether their employee is going on a regular time to bed, to sleep. Why do they perform on a certain level at work? It can be misused by employers as well. Last thing that can be gathered is that about, so you can, someone can enter there or someone about details of their life, and this can also be retrieved.

How can this method be prevented? In the privacy tab, in the account settings of WhatsApp, you have several options to disable. You can, for example, the last seen, profile photo, about, and status, and you can select whether this is visible for no-one, for everyone, or only for your contacts. As this image shows a daily pattern can be gathered. You can see when two people had a conversation based on when they were online and when they were not. You can see what their work hours are. You can see how often they use WhatsApp. Is that a normal behavior for someone in a certain job. Your employee, your employer can watch this for an employee unless you have forensic counter measures, of course.

Would you be comfortable with your employer seeing all this about you? Last but not least we also have to think about ourselves. We have to think about our own security in order to not become a victim.

This method is not unique for WhatsApp. It can also work for other messaging systems. This research is in motion continuously. So if you have any new findings about this subject, please feel free to contact me. I can show you all of my research data, and I’m really happy to share everything I’ve found and what I’ve found, especially for law enforcement officers I can show you even more.

As this slide shows, there are several methods to do and to use alternative methods for WhatsApp interception. On the left, you can see all the methods I’ve just described. And on top of it, you can see what can be gathered.

Dic 06

Artículo: ¿Cómo realizar informática forense en archivos PDF maliciosos? Revisa si este PDF contiene malware o backdoors.

Me ha parecido una publicación mi interesante debido a la gran cantidad de archivos PDF que manejamos hoy en día. El poder escudriñar en un momento dado si el archivo que tenemos puede tener algún invitado, es de vital importancia.

Noticia publicada en: https://noticiasseguridad.com/tutoriales/como-realizar-informatica-forense-en-archivos-pdf-maliciosos-revisa-si-este-pdf-contiene-malware-o-backdoors/

El formato PDF se ha convertido en una de las formas más populares para visualizar archivos, ya que este formato es compatible con toda clase de dispositivos tecnológicos, incluyendo computadoras de escritorio, laptops, tabletas electrónicas y smartphones. Debido a esta presencia universal, los actores de amenazas comenzaron a usar estos documentos para entregar malware y desplegar otras variantes de ataque.

En esta ocasión, los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) le mostrarán cómo aplicar informática forense para analizar documentos PDF y determinar si están comprometidos con alguna variante de contenido malicioso.

Antes de continuar, cabe recordar que la cadena de ataque vía PDF suele comenzar enviado documentos maliciosos vía email. Cuando estos documentos se abren en el sistema afectado, en la mayoría de los casos se ejecuta código JavaScript en segundo plano capaz de explotar vulnerabilidades en herramientas como Adobe PDF Reader o almacenar archivos ejecutables para etapas de ataque posteriores.

Los documentos PDF, ya sean legítimos o maliciosos, tienen 4 elementos principales, mencionan los expertos en informática forense:

  • Encabezado: Contiene información sobre la versión del documento y otros datos generales
  • Cuerpo: Se refiere a los objetos del documento. Este elemento está formado por flujos que se utilizan para almacenar datos
  • Tabla de referencias cruzadas: que apunta a cada objeto
  • Tráiler: Elemento que apunta a la tabla de referencias cruzadas

Ahora que sabemos la información esencial sobre un ataque vía documentos PDF, podremos revisar cada forma de analizar estos elementos.

Escaneo de PDF usando PDFiD

PDFiD es un componente de Didier Stevens Suite capaz de escanear documentos PDF usando una lista de cadenas para detectar elementos JavaScript, archivos incrustados, acciones al abrir archivos y conteo de líneas específicas en un documento.

En este ejemplo, podemos ver que PDFiD detectó varios objetos, flujos, código JavaScript y elementos OpenAction en el archivo Report.pdf. Según los expertos en informática forense, la presencia de estos elementos sugiere que el archivo analizado contiene JavaScript o scripts Flash. El elemento /Embedded indica la presencia de otros formatos dentro de los PDF, mientras que los elementos /OpenActionAA y /Acroform inician acciones automáticas al abrir el archivo.

Visualizar el contenido de los objetos PDF

Ya sabemos que hay código JavaScript dentro del archivo PDF analizado. Este será el punto de partida de la investigación; para encontrar un objeto JavaScript indirecto, ejecute la herramienta pdf-parser.py.

Según el resultado de estos escaneos, el código JavaScript oculto ejecutará el malware cada vez que se abra el archivo, por lo que el siguiente paso es extraer la carga maliciosa.

Extracción de archivos incrustados usando Peepdf

Esta es una herramienta de Python que contiene todos los componentes necesarios para la validación y el análisis de archivos PDF, mencionan los expertos en informática forense. Para aprovechar al máximo sus capacidades, ingrese el comando peepdf  – i file_name.pdf. La función -i habilitará el modo interactivo del script:

Para encontrar más funciones, ingrese el comando –help:

El resultado del análisis indica que hay un archivo incrustado en el objeto 14. Una inspección más cercana de este objeto permite ver que apunta al objeto 15; a su vez, el objeto 15 apunta al objeto 16. Finalmente, pueden apreciarse indicios de la presencia de un archivo malicioso en el objeto 17.

Según el contenido del PDF, solo hay una secuencia en él, que también apunta al objeto 17. Por lo tanto, el objeto 17 es una secuencia con un archivo incrustado.

El flujo 17 contiene una firma de archivo que comienza con MZ y un valor hexadecimal que comienza con 4d 5a. Acorde a los expertos en informática forense, estos son signos que apuntan a un archivo ejecutable.

A continuación, guardaremos la secuencia como ejecutable virus.exe.         

Análisis de comportamiento

Ejecute el archivo en sup-tuals-tion usando un sistema Windows 7 de 32 bits.

Como puede ver en la ventana de Process Explorer, virus.exe creó dos procesos sospechosos (zedeogm.execmd.exe) que se interrumpieron después de iniciarse.

Según Process Monitor, el archivo zedeogm.exe se guardó dentro de los procesos en ejecución. Luego cambió las reglas establecidas en Windows Firewall. El siguiente paso fue ejecutar el archivo WinMail.exe; después de eso, el programa lanzó cmd.exe para ejecutar el archivo tmpd849fc4d.bat y detener el proceso.

Conclusión

El uso de técnicas de informática forense para el análisis de documentos PDF puede ser fundamental para evitar interactuar con contenido malicioso. En conjunto con otras medidas preventivas, esta práctica puede cerrar uno de los principales vectores de amenazas en la actualidad.

Otras medidas recomendadas para prevenir esta amenaza incluyen:

  • Verificar el remitente de un correo electrónico no deseado
  • Ignorar los enlaces o archivos adjuntos en correos electrónicos no solicitados
  • Mantener sus herramientas antivirus siempre actualizadas
  • Verificar los errores tipográficos, muy comunes en correos electrónicos maliciosos

Como de costumbre, le recordamos que este material fue elaborado con fines exclusivamente informativos y no debe ser tomado como un llamado a la acción. IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades, informática forense y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

Dic 06

Artículo: 10 reglas esenciales de seguridad en Internet.

Fuente: https://www.welivesecurity.com/la-es/2021/11/30/reglas-esenciales-basicas-seguridad-internet/

Una lista con las reglas más importantes de seguridad en Internet que todo usuario digital debería conocer de memoria e incorporar a su rutina.

En el Día internacional de la Seguridad Informática, compartimos un listado de 10 reglas básicas que todo usuario digital debería incorporar como parte de sus hábitos para disfrutar de la tecnología e Internet de forma segura y minimizar considerablemente los riesgos de ser víctima de las amenazas informáticas más comunes.

Como vemos en la siguiente imagen, es posible dividir este conjunto de reglas en tres niveles: básico, intermedio o avanzado:

Y si bien la lista de la imagen y la que compartimos a continuación podría ser más larga, lo más importante es tomar verdadera conciencia de los riesgos que existen en el mundo virtual actualmente y de lo vital que es y seguirá siendo aprender a gestionar nuestra seguridad digital.

10 reglas de seguridad en Internet para todos los usuarios

1. Utilizar contraseñas largas y complejas

Evita las contraseñas simples y fáciles de adivinar, como fechas, nombres o cualquiera de las que año tras año vemos en la lista de las peores contraseñas. Otro aspecto fundamental: no utilices la misma contraseña para más de una cuenta. La reutilización de claves es una de las peores prácticas en seguridad.
A la hora de crear una contraseña segura lo ideal es que sean largas , incluso frases contraseña con hasta 20 caracteres y que incluyan letras, números, mayúsculas, minúsculas y caracteres especiales. ¡No te olvides que el espacio cuenta como un carácter!
Una buena idea también es utilizar un administrador de contraseñas, ya que estas herramientas no solo permiten almacenar de forma ordenada las credenciales de acceso para todas las cuentas que hemos creado, sino que en general ofrecen la posibilidad de confeccionar contraseñas realmente seguras y únicas.

2. Utilizar la autenticación en dos pasos en todas tus cuentas

El paso siguiente a la buena gestión de tus contraseñas es implementar la autenticación en dos pasos, también conocido como doble factor de autenticación, en cada una de las cuentas y servicios que utilices.
Activar esta opción te brinda una capa de seguridad adicional muy importante que dificultará a un atacante lograr acceso a tus cuentas por más que tenga el usuario y la contraseña. Para más información, lee el siguiente artículo que explica todo sobre la autenticación en dos pasos y cómo activarla en algunos de las plataformas y herramientas más populares.

3. Utilizar una conexión a Internet segura

En el caso de los dispositivos móviles como el smartphone, utiliza los datos para navegar por Internet y evita —o utiliza con precaución— las redes Wi-Fi públicas, sobre todo si vas a ingresar credenciales de acceso o información sensible. Si tenes que usar una red Wi-Fi pública o insegura, por ejemplo, porque viajaste y estás en un bar o un restaurante, procura conectarte a través de una VPN. Por último, asegúrate de que la conexión a tu red Wi-Fi cuente con una contraseña segura y corrobora también que configuración de tu router sea la adecuada.

4. Configurar correctamente la privacidad de todas tus cuentas

Son muchas las buenas razones para gestionar correctamente la privacidad de nuestra información en cada una de las plataformas y servicios que utilizamos, ya que el uso indebido de nuestros datos personales, incluso los que parecen más inofensivos, pueden representar un riesgo al que la mayoría de nosotros estamos expuestos. Más aún si no tomamos ningún recaudo para evitarlo.
Lo que publicamos en el universo online puede volverse en nuestra contra. Datos como nuestra fecha de nacimiento, dónde trabajamos, cuál es nuestra profesión, lugar de residencia, etc. pueden ser utilizados por estafadores para robar nuestra identidad o engañarnos con una historia bien elaborada a partir de información que nosotros publicamos. Limitar la información accesible de forma pública y mantener el mayor control posible sobre quiénes pueden ver lo que publicamos puede hacer la diferencia. Si piensas publicar en Internet algo que preferirías que no lo vean todos, quizás sea mejor que no lo publiques.
Más allá de la información que publicamos y cómo los cibercriminales pueden aprovecharla e incluso recolectarla para venderla, la configuración de nuestra privacidad también implica estar atentos a los permisos que otorgamos a las aplicaciones que instalamos o a los servicios en los que creamos una cuenta. Sino recordemos lo que pasó con Facebook y Cambridge Analytica en 2018 cuando se conoció que detrás de una aplicación aparentemente inofensiva que ofrecía un test de personalidad se recolectó información personal de más de 50 millones de personas que luego fue utilizada por una para realizar campañas publicitarias y políticas.

5. Realiza backup de la información de valor

Ser conscientes de que, por más cuidadosos que seamos, a todos nos puede pasar que extraviemos o que nos roben nuestra computadora o teléfono. También puede ocurrir que bajemos la guardia un instante y nos infectemos con malware por descargar un archivo o una aplicación que no debíamos, o que por alguna otra razón perdamos acceso a nuestra más preciada información. En estos casos, contar con una copia de seguridad de la información más importante se convierte, sin lugar a duda, en el bien más preciado. Por eso, no postergues la tarea de organizar tu backup como corresponde para asegurar que tus fotos, videos, documentos y archivos más importantes.

6. Mantén tus dispositivos y aplicaciones actualizadas

A diario vemos noticias sobre el descubrimiento de nuevas vulnerabilidades en Sistemas Operativos, herramientas de uso diario y el lanzamiento de actualizaciones para corregir esos fallos. Muchas veces incluso se conocen nuevas vulnerabilidades que, previo a su descubrimiento, ya están siendo explotadas por atacantes de manera activa. Google Chrome, por poner un ejemplo, reportó en lo que va de 2021 solamente 15 vulnerabilidades zero-day que fueron explotadas por atacantes antes de ser parcheadas en una actualización.
Lamentablemente, la mala costumbre de muchos usuarios de no mantener la tecnología que utilizan con las últimas actualizaciones instaladas los expone, ya que los atacantes aprovechan estos fallos para lanzar sus ataques. De hecho, muchas de las vulnerabilidades más explotadas en la actualidad fueron parcheadas hace ya varios años; sin embargo, siguen siendo efectivas para los atacantes por la falta instalación de actualizaciones.

7. Únicamente descarga aplicaciones de tiendas oficiales

A la hora de instalar una aplicación en tu teléfono, asegúrate de descargarla de tiendas oficiales como Google Play o App Store y evitar fuentes desconocidas. Los cibercriminales suelen crear aplicaciones maliciosas que intentan engañar a los usuarios haciéndoles creer que son apps oficiales de bancos, juegos, billeteras virtuales, etc.
Incluso en las tiendas oficiales debes tener cuidado porque como hemos visto en reiteradas oportunidades, pese a los controles de seguridad que aplican estas tiendas los cibercriminales muchas veces encuentran la forma de sortear los mecanismos de seguridad y logran publicar falsas apps, por lo que es importante también leer los comentarios y las calificaciones de otros usuarios ya que ahí podemos encontrar señales en caso de que se trata de algo sospechoso.
Además de las aplicaciones, debes tener cuidado con las descargas que realizas en general. Los atacantes también buscan distribuir malware a través de cracks de programas o juegos. Por lo tanto, a la hora de descargar solo confía en fuentes oficiales.

8. Desconfía de las personas que conoces en Internet

Las plataformas sociales abundan en la actualidad y los usuarios cada vez más, y a menor edad, pasan más tiempo interactuando con amigos y también con desconocidos. Sin embargo, las plataformas sociales también tienen un lado oscuro y la violencia digital está presente en diversas formas, afectando a grandes y chicos.
Los fraudes o el acoso en sus diversas formas son moneda corriente en las redes sociales tradicionales, en apps y plataformas de citas online, foros, etc. Por lo tanto, tener cierto grado de desconfianza y cautela en Internet puede ayudarte a evitar varios malos momentos.

9. Instala una solución antimalware en tu computadora y teléfono

Tener tus dispositivos asegurados con una solución de seguridad confiable que te proteja contra el phishing, malware, archivos adjuntos en correos o sitios sospechosos será un gran aliado para proteger no solo tus dispositivos, sino la información en ellos. Las soluciones de seguridad en la actualidad cuentan con muchas funcionalidades que contemplan las necesidades actuales, como la posibilidad realizar acciones de manera remota un equipo en caso de robo o extravío, como bloquearlo y enviar un SMS de alerta a usuarios previamente seleccionados o eliminar los datos del dispositivo.

10. Mantener la guardia alta con los correos, mensajes y al momento de realizar búsquedas

Más allá de las consideraciones técnicas que mencionamos hasta ahora, recuerda que el factor humano es el eslabón más débil de la cadena. Por eso, siempre debes estar atento y nunca bajar la guardia. Ten presente que en cualquier momento puedes recibir un correo inesperado solicitando que descargues algo, que hagas clic en un enlace o que envíes información personal y sensible. También al momento de realizar compras online debes realizar las debidas diligencias y chequear la reputación del vendedor, los comentarios de otros compradores y no dejarte llevar por ofertas demasiado buenas para ser verdad.
Por último, al momento de buscar información ten cuidado con los sitios que aparecen en buscadores como Google, ya que los atacantes pueden alterar los resultados que ofrecen los motores de búsqueda o incluso usar anuncios falsos para posicionar falsos sitios que suplantan la identidad de bancos, aplicaciones, juegos, tiendas, etc.

Conclusión

La lista podría continuar con otras recomendaciones más específicas, pero lo más importante es tener presente que las modalidades delictivas van cambiando y los cibercriminales siempre prueban distintas estrategias para agarrar desprevenido a los usuarios.

Dic 01

Artículo: Así puedes proteger tu privacidad usando Google Chrome

Publicado en: https://www.redeszone.net/noticias/seguridad/proteger-privacidad-google-chrome/

Actualmente el navegador más popular es Google Chrome. En el caso de que tengamos sincronizada nuestra cuenta de Google nos ofrece muchas posibilidades, tales como gestionar nuestras contraseñas, los marcadores, además de permitirnos trabajar con sus herramientas como Google Drive. Por otro lado, los usuarios cada vez valoramos más nuestra privacidad. A veces tenemos dudas en elegir entre las comodidades que nos ofrece o ganar en privacidad. Eso sin contar que en alguna ocasión te toca compartir tu ordenador y no quieres que otras personas miren tus marcadores u otros datos. En este artículo vamos a ver cómo puedes proteger la privacidad en Google Chrome.

Privacidad en Google Chrome

En el caso de tener sincronizada nuestra cuenta Google estamos perdiendo privacidad. Esto supone que tenemos que enviar todos esos datos a Google para que los sincronice con el resto de tus dispositivos, eso puede comprometer hasta cierto punto nuestra privacidad. Una forma en la que podemos evitarlo es limitando la cantidad de datos que queremos sincronizar en nuestra cuenta de Google. En la esquina superior derecha del navegador, si pulsamos sobre la inicial de vuestra cuenta Google sincronizada, tenéis que elegir Gestionar tu cuenta Google. Allí en el apartado Datos y privacidad podéis ir revisando qué actividad va ir recopilando sobre nosotros.

Por otro lado, también en la esquina superior derecha del navegador pulsaremos en el icono de los tres puntos verticales. Allí haremos clic sobre Configuración, las opciones que nos interesan se encuentran en Privacidad y seguridad.

Uno de los apartados que más nos interesa es Borrar datos de navegación. Allí en la pestaña Básico seleccionamos Desde siempre y escogemos las opciones correspondientes para borrar el historial de navegación, las cookies y la caché de archivos. Esto conviene hacerlo habitualmente para no dejar rastro por Internet. Por ejemplo, las empresas y organismos pueden aprovecharse con la Adware Tracking Cookie.

En el apartado Cookies y otros datos de sitios podemos elegir el comportamiento de las cookies. Una opción sería bloquear todas las cookies pero no sería recomendable porque no podríamos usar algunos servicios. Lo ideal sería optar por una opción intermedia que sería Bloquear cookies de terceros en incógnito. La última sección que nos interesa es Configuración de sitios que controla la información que pueden usar y mostrar los sitios en los que modificar los permisos de ubicación, cámara, micrófono y más. Por ejemplo, podemos controlar que ese sitio web nos envíe o no notificaciones.

También para conseguir mayor privacidad en Google Chrome debemos pensar en revisar nuestros complementos del navegador. En ese aspecto hay que intentar que sean los menos posibles, de confianza y evitar algunos como Flash o JavaScript.

Haz esto si prestas tu PC a otras personas

Habitualmente la mayoría de usuarios usan Google Chrome en su ordenador propio, y como mucho, lo comparten con personas de su confianza. Lo que sucede es que esto no siempre es posible y para mantener la privacidad en Google Chrome tenemos varias opciones disponibles. Esas opciones que nos ofrece Chrome son el modo incógnito y el modo invitado que ya llevan bastante tiempo presentes en el navegador. Además, hay que añadir que tanto el modo incógnito como invitado están a nuestra disposición de manera predeterminada, esto significa que no tendremos que instalar nada.

Ahora vamos a explicar brevemente en qué consisten estas dos opciones para guardar nuestra privacidad en Google Chrome. Una breve explicación de cada una sería:

  • El modo incógnito: simplemente lo que hace es que nos permite navegar sin que nuestros datos queden en el registro. En ese aspecto nuestras contraseñas guardadas son accesibles y también nuestros marcadores.
  • El modo invitado: nos va a permitir crear un perfil independiente que va a trabajar de manera aislada para que no pueda comprometer nuestros datos ni las del resto de usuarios. No podrán ver nuestros marcadores ni acceder a nuestras contraseñas.

Por último, para mantener la privacidad en Google Chrome aquí podéis aprender a utilizar el modo de invitado y el modo de incógnito.

Nov 09

Artículo: Autenticación sin contraseñas. ¿Estamos preparados para abandonarlas por completo?Protegerse.

Artículo interesante sobre el futuro posible de las contraseñas.

Autenticación sin contraseñas. ¿Estamos preparados para abandonarlas por completo?

Desde hace algún tiempo se viene barajando la posibilidad de abandonar las contraseñas como principal método de autenticación en nuestras cuentas y dispositivos. Si bien nos han acompañado durante décadas, en los últimos años se ha demostrado que no suponen muchos impedimentos para que un atacante consiga su objetivo.

Cuando las contraseñas ya no cumplen su cometido

Teniendo en cuenta que muchos usuarios siguen utilizando contraseñas fácilmente predecibles y que incluso las reutilizan en múltiples sitios online, no deberíamos extrañarnos de que los delincuentes sigan obteniendo acceso a todo tipo de cuentas y servicios, ya sea porque roban estas credenciales a los usuarios o directamente a las empresas encargadas de custodiarlas.

Es por eso que empresas como Microsoft han empezado a apostar por un mundo sin contraseñas o, al menos, no como las conocíamos hasta ahora. Esto facilitaría mucho la vida tanto a usuarios como a responsables de equipos de seguridad y, a pesar de que una de las compañías de software más importantes abogue por este mundo sin contraseñas, aun son pocas las empresas que se atreven a dar este paso.

Se calcula que, actualmente, cada usuario tiene que recordar decenas de contraseñas tanto de cuentas personales como corporativas. Esto es algo que dificulta su generación y gestión y, aunque existan soluciones como para gestionarlas incluso incluidas en soluciones de seguridad, muchos usuarios optan por el camino fácil, generando contraseñas predecibles y reutilizándolas.

Desde el punto de vista de la ciberseguridad, el problema de las contraseñas se encuentra ampliamente documentado y son un objetivo principal de los atacantes que cada vez les resulta más fácil de robar o averiguar. Una vez obtenidas, los atacantes pueden hacerse pasar por usuarios legítimos para enviar correos maliciosos, sortear las defensas de una red corporativa y conseguir persistencia en estas redes durante varias semanas o incluso meses, lo que les permite preparar ataques con un mayor impacto.

Beneficios y problemas para la implantación de la autenticación sin contraseñas

El cambio a un sistema de autenticación sin contraseñas supone un salto grande para la mayoría de empresas, ya sea utilizando una app que utilice sistemas biométricos, una llave de seguridad o un código de un solo uso. En el caso de que una empresa adopte esta estrategia podrían mejorar aspectos como:

  • Una mejora en la experiencia de usuario: haciendo el acceso a cuentas y servicios más fáciles y sin la necesidad de que los usuarios tengan que recordar sus contraseñas.
  • Mejoras en la seguridad: al no haber contraseñas que robar, las empresas se pueden olvidar de una de las principales puertas de entrada y que son responsables de la mayoría de brechas de seguridad durante los últimos meses. Como mínimo se está consiguiendo que los atacantes se tengan que esforzar más para conseguir su objetivo.
  • Reducción de costes y daño reputacional: Al reducir la probabilidad de ser víctimas de amenazas relacionadas con el robo de contraseñas y de filtraciones de información, también se reducen los costes asociados con el reseteo de contraseñas e investigación de incidentes.

Sin embargo, la autenticación sin contraseñas no es la panacea que podríamos pensar y aun existen desafíos a los que debemos enfrentarnos.

  • La seguridad al 100% no está asegurada: Aquellos que utilicen el SMS para obtener los códigos de verificación están expuestos a los ataques de SIM Swapping. Además, si los atacantes consiguen comprometer los dispositivos que se encargan de generan estos códigos, también serán capaz de obtenerlos.
  • La biometría no es infalible: En el caso de que los usuarios utilicen una característica física que no se puede cambiar, la seguridad de las cuentas puede verse comprometida en el caso de que un atacante consiga acceder a esta información biométrica. De hecho, ya hay técnicas que se están desarrollando e incluso utilizando para sortear las tecnologías de reconocimiento facial y de la voz.
  • Costes de la implementación: Dependiendo de los mecanismos de autenticación elegidos para sustituir a las contraseñas, los costes pueden variar sustancialmente. En el caso de usar tokens físicos el coste puede dispararse pero, en el lado opuesto, las aplicaciones instaladas en dispositivos móviles pueden hacer que este coste sea mucho más manejable.
  • Resistencia por parte de los usuarios: Si las contraseñas han sobrevivido durante tanto tiempo, a pesar de sus problemas, ha sido en buena parte debido a que los usuarios saben instintivamente como utilizarlas. Imponer un cambio tan importante puede ser más fácil en un entorno de gran empresa, donde los usuarios no tienen más remedio que seguir las reglas pero en entornos de pequeña y mediana empresa este cambio puede costar más de lo deseado por lo que se deben implementar aquellos que sean menos molestos y más intuitivos.

Conclusión

Con el aumento del uso de servicios online y el teletrabajo provocados por la situación sanitaria actual, se ha puesto de manifiesto la necesidad de contar con mecanismos de autenticación más robustos si se quiere mitigar el impacto que tienen los ciberataques en empresas de todos los tamaños. El abandono de las contraseñas puede ser posible empezando por utilizar el smartphone como centro de esta nueva estrategia, aunque solo con el tiempo comprobaremos si esto se produce de forma generalizada.

Oct 18

Píldora nº 8. Píldoras semanales sobre #Ciberseguridad para usuarios.

LA CIBESEGURIDAD EN LA EMPRESA. PARTE 1ª

Después de adquirir un buen conocimiento de los riesgos y las respuestas, el siguiente paso es incorporar acciones, tareas y reglas en el funcionamiento diario de una empresa o negocio, para minimizar tanto que se produzcan compromisos de seguridad como la medida en que afectan a su negocio.

Esta sección proporciona instrucciones sobre muchas acciones específicas para ayudarlo a convertirse en ciberseguro. No todos se aplican a todas las pequeñas empresas, pero seguirlos aumentará su seguridad. Es importante que lea y considere cada sección, para luego decidir qué acciones tendrán prioridad en las reglas de seguridad cibernética de su empresa.
Como mínimo:

• Realice copias de seguridad con regularidad 
• Parchee aplicaciones y ejecute actualizaciones y análisis de seguridad
• Proteja dispositivos y cuentas con contraseñas complejas y de tiempo limitado con autenticación multifactor. 
• Proteja los sistemas limitando el control de aplicaciones y limitando las cuentas administrativas.
 

COPIAS DE SEGURIDAD

Realice copias de seguridad con regularidad. Las copias de seguridad se utilizan para restaurar datos perdidos, dañados o comprometidos, y cuanto más actualizada sea la copia de seguridad, más rápido podrá recuperarse del retroceso. Hacer una copia de seguridad de sus activos e información lo protegerá de la pérdida de información causada por la eliminación accidental, fallas del sistema, desastres (como un incendio), corrupción de datos (como una actualización fallida) o robo (como ransomware).

Para realizar una copia de seguridad, puede utilizar un almacenamiento cercano o un disco duro externo. Algunos programas de seguridad tienen capacidad de respaldo incorporada.

Empiece por realizar una copia de seguridad completa. Su sistema operativo puede programarse para hacer esto a intervalos. Las copias de seguridad completas del sistema se pueden usar para restaurar computadoras cuando el sistema operativo está comprometido y usted no puede acceder al sistema.

Realice copias de seguridad de los datos en unidades portátiles o externas, que se pueden quitar del sistema y almacenar por separado y de forma segura. Intente realizar copias de seguridad de archivos y carpetas valiosos a diario. Esto se considera un buen punto de referencia para todas las copias de seguridad. Muchas empresas recomiendan usar servicios en la nube para realizar copias de seguridad de sus datos, y esto se ha convertido en el valor predeterminado para dispositivos móviles, como iCloud de Apple, o de Amazon o Microsoft. Si bien la nube es útil, recuerde que está confiando sus datos a otra empresa fuera de su control. Esto podría poner en riesgo sus datos, tanto en términos de los datos en sí, como de las implicaciones legales de hacerlo. Debe evaluar estos riesgos como parte de su estrategia cibernética general.

ACTUALIZAR EL SISTEMA OPERATIVO





Parchear sus aplicaciones, las vulnerabilidades de seguridad en software, aplicaciones y sistemas operativos de seguridad.

Cuando billones de ataques están dirigidos a usuarios y empresas. Diariamente, los desarrolladores trabajan arduamente para implementar parches para mantener el software seguro. 

Los piratas informáticos buscan explotar las vulnerabilidades en el software existente. 

Diariamente se descubren nuevos métodos de explotación. Para combatir esto, debe aplicar regularmente los parches que publican los desarrolladores a todas las aplicaciones que usa.

La mayoría de los parches implementados para aplicaciones no tienen el propósito de agregar nuevas características, sino para proteger las características existentes contra muchos ataques nuevos. 

Busque actualizaciones para las aplicaciones que ejecuta y realice análisis de seguridad todos los días.

 https://blogs.msdn.microsoft.com/govtech/2015/04/21/if-you-do-only-one-thing-to-reduce-your-cybersecurity-risk/

SEGURIDAD EN LOS DISPOSITIVOS

 Cuide sus activos físicos como lo haría con sus valiosas pertenencias personales. Cuando almacena su información en dispositivos, hay más pasos para garantizar su seguridad. Lo mismo se aplica a sus dispositivos.

Una forma útil de almacenar y realizar copias de seguridad de los activos es en un almacenamiento externo y extraíble, como memorias USB y unidades. Son pequeños y pueden contener grandes cantidades de datos, y generalmente son de bajo costo. Sin embargo, lo exponen a infecciones por malware, robo de información no segura y fácilmente transferible, o la pérdida del dispositivo y todo su contenido.

Protéjase contra estos riesgos con prácticas adecuadas de manipulación segura, incluido un lugar seguro para almacenarlos, y la denuncia de dispositivos perdidos, robados o dañados. Los dispositivos móviles deben tratarse de la misma manera que las computadoras de escritorio. La información privada suele estar protegida por un único código de acceso, que es lo único que los protege contra el compromiso de seguridad de la empresa. Asegúrese de que todos los dispositivos móviles tengan códigos de acceso y estén bloqueados cuando no estén en uso.

Cifre todos sus datos confidenciales en dispositivos de almacenamiento portátiles utilizando carpetas con contraseña o archivos .zip, y guárdelos de forma segura fuera de la vista.

Tenga cuidado al aceptar dispositivos como unidades USB de otras personas, ya que pueden contener malware. No lo sabrá con certeza hasta que esté en su sistema, por lo que es mejor estar seguro
Source: The Australian Small Business and Family Enterprise Ombudsman

Entradas más antiguas «