Usas contraseñas aleatorias que, además, son muy largas, difíciles de adivinar y cambias cada cierto tiempo. En tu correo y todos los servicios que lo soportan tienes activada la verificación en dos pasos. Tienes cuidado con las páginas a las que entras y revisas tu ordenador periódicamente para comprobar que no está infectado. Con todas estas medidas, puede que te creas "intocable" en el mundo digital, pero no te puedes olvidar de una cosa: tú eres tan sólo un eslabón de la cadena.

Que el usuario se proteja al máximo para evitar posibles disgustos es algo necesario y recomendable, pero al final puede no servir de nada si otro eslabón más débil acaba sucumbiendo ante atacantes que saben muy bien lo que buscas. Ya lo hemos visto en el reciente caso de Ashley Madison con la publicación, hace unas horas, de la información personal (nombres, direcciones, correos y otros datos) de la mayoría de sus usuarios. Usuarios que se registraron allí para engañar a sus parejas (o, al menos, tantearlo).

"Filtrando" un modo de vida

La alarma saltaba el pasado día 20 de julio. Un grupo de hackers, autodenominado The Impact Team, decía tener en su poder la base de datos de Ashley Madison. Este sitio web es especialmente popular y polémico por su temática: el facilitar relaciones "discretas" entre personas que ya tienen pareja. ¿Por qué? Los autores del ataque acusaban a la compañía de "engañar" a los usuarios y de cobrarles si estos querían borrar su perfil, a modo de chantaje, aunque ni siquiera pagando eliminaban los datos. Por ello, exigían que todos los sitios web de la empresa fueran borrados.

Ashley Madison no cedió a las amenazas y hace tan sólo unas horas conocíamos el resultado: los datos de sus más de 32 millones de usuarios están en Internet, a disposición de cualquiera que quiera buscarlos y demostrar así que la web no cumplía su parte del trato. Un "hackeo" de estas características siempre es grave, pero aquí estamos hablando de algo más: el sitio web vendía discreción y seguridad a sus miembros para que llevaran a cabo infidelidades. Es poco probable que las contraseñas se acaben descifrando (estaban hasheadas), pero entre la información filtrada hay direcciones y nombres completos.

Todavía es pronto para ver las consecuencias de esta filtración. Inicialmente apareció en la Deep Web, pero ya existen trackers de BitTorrent que la ofrecen para descargar y los archivos ya tienen miles de fuentes. Además, otros usuarios se están animando a hacer sus propias búsquedas y compartirlas en Twitter, aunque el centro neurálgico de toda actividad parece estar siendo 4chan, con numerosas personas buscando a ver si hay algo "jugoso" entre todo lo que se ha publicado y, supuestamente y según afirman algunos, avisando ya a las parejas de algunos de los afectados.

Hackeos a la orden del día

Si esto fuese un simple "hackeo" que afectase a una web concreta, podríamos hablar de un caso aislado. Pero, por desgracia, últimamente no dejan de llegarnos noticias de servicios que han sido comprometidos. ¿Recuerdas cuando el año pasado eBay te mandó cambiar la contraseña? No fue una comprobación al azar, sino la consecuencia de que una auditoría interna de la compañía descubriera que los datos de más de 233 millones de usuarios, incluyendo teléfono, contraseñas y direcciones físicas, habían sido comprometidos.

Otro de los grandes ataques tuvo lugar en 2013 con Adobe como objetivo y dejó al descubierto emails, contraseñas y "pistas" de las contraseñas de sus usuarios. Si ya hablamos de contenido para adultos, y además de Ashley Madison, en febrero de 2012 fue la página YouPorn la que vio cómo el nombre y el usuario de más de 1 millón de cuentas aparecía en la red. En 2014 sufrimos el Celebgate, con la aparición de numerosas fotos de famosas desnudas. Este año le tocaba el turno a Adult Finder.

Los "hackeos" de servicios con filtración de información de usuarios ocurren con demasiada frecuencia ultimamente

Podría seguir repasando servicio tras servicio, pero me eternizaría: Forbes, Yahoo, Gawker, Snapchat, PSN... Aquí podéis ver una lista bastante completa de algunos de los más recientes. Y ojo porque estos problemas de seguridad no afectan únicamente a servicios en los que te registras, sino también podrían darse en la Administración y otros departamentos. En el caso de Estados Unidos, el IRS (que equivaldría a nuestra Hacienda), reconocía hace unos días haber detectado el acceso no autorizado a los datos de 334.000 contribuyentes. Hasta los propios hackers son a veces hackeados.

¿Qué pasa con los correos?

¿Qué ocurriría si alguien pudiese leer tus correos electrónicos? Seguro que alguna vez has compartido información personal a través de ellos que no te gustaría que trascendiese. Si utilizas un dominio propio o tu empresa lo usa para el correo corporativo, más te vale que esté protegido adecuadamente. Además, en muchos casos una dirección de email puede ser el** punto de entrada a una cuenta** de la que no se conozca la contraseña.

En Sony Pictures no se aplicaron demasiado el cuento y toda su red cayó presa de un importante ataque a finales del año pasado. Se filtraron películas, documentos internos y otra información importante. Y sí, no faltaron los propios correos electrónicos de los empleados. En ellos, y además de tratar aspectos confidenciales del negocio, había también algún que otro insulto y crítica hacia actores y otras personalidades del mundo del cine. El escándalo fue tal que la presidenta de la compañía tuvo que abandonar su cargo.

Tampoco los correos están blindados a los ataques: mucho ojo con lo que escribes

"Pero yo uso Gmail o Hotmail...". Ya, bueno, en este caso, y siempre que pongas todo de tu parte para asegurar tu cuenta (contraseña, identificación en dos pasos, etc.), la seguridad final sigue dependiendo de Google, de Microsoft o del proveedor de turno. Hasta el momento ninguno de ellos ha tenido ningún fallo reconocido importantísimo de seguridad, pero eso no significa que estén protegidos al 100%. Mismamente, hace casi dos años un bug en Google hizo que las conversaciones de Hangouts llegaran a destinatarios erróneos, causando todo tipo de dramas entre los usuarios.

Protocolos y certificados

Puede que incluso el fallo de seguridad no se dé directamente en el usuario y tampoco en el servicio. ¿Recordáis la polémica con Heartbleed? Afectaba a la librería OpenSSL, que de aquella utilizaban muchos servicios y aplicaciones. Sus consecuencias fueron menores de las que podrían haber sido por la rápida reacción de algunos servicios pero ¿quién nos dice que no vamos a sufrir un nuevo Heartbleed? ¿Quién nos asegura que no lo estemos sufriendo ya? A fin de cuentas, dicho fallo llevaba dos años en la librería y se desconoce si durante todo ese tiempo alguien se estuvo aprovechando de él.

Otro caso reciente: el de Lenovo. Al fabricante chino le descubrieron metiendo malware en algunos de sus portátiles. Utilizaban un certificado raíz propio para meter anuncios al usuario, lo que podría haber sido explotado con fines maliciosos por cualquiera con conocimientos. ¿Y si hago una instalación limpia cada vez que compro un ordenador? Pues que sepas que también han pasado en eso, y ahora hay quejas de que utilizan otros métodos para seguir instalando sus aplicaciones y seguir enviando información a sus servidores.

Cuando el usuario ya no es el eslabón más débil...

Como usuario de Internet, una de tus mayores preocupaciones debería ser mantener tus cuentas y tu información a salvo. Por ello, es recomendable y casi imprescindible hoy en día que sigas unas pautas de seguridad básicas (cuidando tus contraseñas, sí, pero también protegiendo tu navegación y activando la autentificación en dos pasos siempre que sea posible). Sin embargo, y como hemos visto, esto no es suficiente.

Estos fallos de seguridad son inaceptables para grandes compañías, en las que los clientes confían sus datos sin pensárselo dos veces

Cuando el usuario ya no es el eslabón más débil de la cadena de seguridad, los servicios deberían darse cuenta de que hay algo que están haciendo mal. "Vaya, otra app ha sido hackeada", pensamos cada vez que nos llegan noticias como ésta. "Vaya, otra vez me mandan cambiar la contraseña", nos lamentamos al ver estos avisos. Pero este tipo de problemas no deberían ser una rutina más y nosotros, como usuarios, deberíamos ser muy críticos con este tipo de sucesos. Si hablamos de grandes compañías como eBay, Adobe o cualquiera de las otras, estos fallos son simplemente inaceptables.

Sumemos todo lo que filtran los atacantes a toda la polémica con las filtraciones de la NSA, lo que ya saben de nosotros las redes sociales, los datos que recopilan anunciantes y otros servicios... Privacidad, ¿dónde? Desde luego, y sabiendo todo esto, mejor ser algo paranoicos que lamentar después: en Internet nunca debes fiarte de nadie, ni siquiera de los sitios donde te registras.

En Xataka | Los hackers de Ashley Madison publican los datos de sus más de 32 millones de usuarios
Imagen | EFF Photos

El pasado 24 de noviembre, Sony Pictures sufría un importantísimo ataque informático. Unos días más tarde, aparecía en la red un archivo repleto de documentos confidenciales pertenecientes a la compañía. Se propagó muy rápido a través de páginas y redes P2P: en cuestión de horas lo tenían miles de personas. Con la base de datos de Ashley Madison ocurrió lo mismo: apareció en la deep web, dio el salto a The Pirate Bay y de ahí se convirtió en información accesible para cualquiera que quiera verlo.

En Internet, y una vez se publica la información filtrada en una red P2P o en otra página, cualquiera con unos mínimos conocimientos puede acceder a ella y descargarla sin mayores problemas. Pero ¿qué dice la ley? Si tú no eres el responsable del ataque, ¿puedes descargar todos estos datos confidenciales sin miedo? Y una vez en tu poder, ¿qué puedes hacer con ellos sin meterte en problemas? A continuación repasamos qué dice la legislación vigente en España sobre todo este asunto.

Lo que dice el Código Penal

Partimos del Código Penal, que en su Artículo 197 del Código Penal sobre la Revelación de secretos nos da más información sobre las penas que puede acarrear el hacerse con información de otras personas. En los dos primeros puntos hablan de lo que ocurre cuando alguien se apodera de información ajena y en el tercero se contempla lo que pasa si alguien, que no ha participado en el ataque, difunda dicha información obtenida en él:

Artículo 197: 1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Será castigado con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.

Si seguimos leyendo, en el artículo 4 y posteriores especifican como las penas son mayores si el delito lo comete una persona que esté encargada de los ficheros, si se consiguen utilizando datos personales (como contraseñas) de una víctima, si se divulgan datos de carácter personal (por ejemplo, religión o vida sexual) o si el ataque se realiza con fines lucrativos.

Entonces, ¿puedo descargar sin miedo?

Hemos hablado con Sergio Carrasco (@sergiocm, de Derecho en Red) y David Maeztu (@davizmaeztu, de Derecho y Normas), abogados especializados en nuevas tecnologías, para que nos ayuden a interpretar a lo que se refiere exactamente el Código Penal. Hay algo que ambos me señalan al principio: la redacción es demasiado amplia e interpretable, por lo que no podemos esperar una respuesta definitiva y segura al 100% a todas las preguntas que esta situación puede generar.

La legislación actual no especifica ni concreta demasiado bien al respecto, es bastante interpretable

¿Puedes descargar sin miedo archivos procedentes de filtraciones, como los de Sony o los de Ashley Madison? "Si tu accedes a una web, habiendo sido ya divulgados, no se entendería cometido el delito. Además porque tampoco puedes saber la realidad o no de esos datos", nos explica David, que además nos precisa lo siguiente: "Realmente la redacción es tan amplia que podría considerarse casi cualquier cosa, pero en aplicación de principios como el de última ratio del derecho penal, por ejemplo, considero que la intención del tipo penal (la descripción de los hechos del delito) es la de perseguir a quienes se apoderan en un primer momento de los datos o quienes realizan la posterior divulgación".

En esta interpretación coincide Sergio: "Es un tema complejo, pero en mi opinión no debe aplicarse este precepto a la ligera. El art. 197.2 solo contempla la comisión dolosa y en perjuicio del titular. Es cierto que la redacción es excesivamente amplia, lo cual puede llevar a equívocos respecto a su alcance, y también es cierto que no requiere que se produzca efectivamente la causación de perjuicio de otro, pero al no admitir la incriminación imprudente y que en los "accesos eventuales" llevados a cabo por el mero pulsar un enlace dudo que haya una intención de llevar a cabo el acceso para causar el perjuicio (lo que impediría el cumplimiento de los requisitos del tipo subjetivo) no debería aplicarse".

¿Y compartir la información?

Vale, ya has descargado la información, pero ¿puedes compartirla? Aquí ya nos entran las dudas debido a lo que dice la segunda parte del artículo 197.3 (señalada en negrita anteriormente), donde se hace mención específicamente a aquellos que "con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento" revelen o cedan a terceros los datos descubiertos. Parece que sí podría considerarse delito el compartir esta información. Y ojo, porque no hablamos sólo de enlazar, sino que "difusión" también podría ser un simple retweet.

Así también lo interpreta Sergio Carrasco: "El tema de la difusión es muy distinto. El núcleo esencial del delito es la difusión, con lo cual sí podrían cumplirse los requisitos del tipo (información reservada puesta a disposición de terceros, y hecho con conocimiento y voluntad de difundir, revelar o ceder los datos) si retuiteo un enlace a los mismos (en condición de autor por la difusión realizada a partir de este retuit). El 197.3 tiene de nuevo una redacción excesivamente amplia, y al hablar de difusión permitiría que entraran en el tipo objetivo muchos supuestos que, a mi juicio, no deberían ser merecedores de reproche penal en base al principio de ultima ratio del Derecho Penal".

El apartado dedicado a la difusión, 197.3, tampoco es del todo preciso

David nos explica que dicho artículo parece ir enfocado a penalizar la difusión, pero también nos matiza que "habiendo habido una divulgación ya pública puede ampararse". En cualquier caso, y según resalta el abogado, "son redacciones y circunstancias que pueden dar lugar a interpretaciones. No nos movemos en ámbitos de blanco o negro, es un poco complejo". Por tanto, no está demasiado claro lo que puede ocurrir si se da esta situación.

Estos artículos fueron modificados con la reforma del Código Penal de este año y, precisamente por su amplia redacción, han sido muy criticados por algunos colectivos. Además, en algunos casos las filtraciones pueden llegar a ser consideradas "terrorismo", gracias a la nueva definición de dicho término. ¿Qué puedes hacer entonces? Por desgracia, y por lo que hemos explicado, no podemos responder con garantías a esta pregunta. Parece que descargar estos archivos no debería suponer un problema (siempre que ya sean públicos y no seas tú el atacante), pero el divulgarlos te podría dar un disgusto. Tú decides.

Imagen | Ashley Madison

Ashley Madison, la red social conocida por ser un refugio para aquellos que quieren ser infieles a sus parejas, ha sido la gran protagonista de esta semana después de que los hackers que la atacaron hace tiempo cumplieran su amenaza y publicaran la base de datos de sus clientes en Internet. ¿Qué ha ocurrido desde entonces? Pues un poco de todo, y es que hasta los atacantes han hablado y han prometido que éste podría no ser el final.

Los hackers hablan... y amenazan

Desde Motherboard han podido hablar brevemente con los responsables del ataque a Ashley Madison, los integrantes del autodenominado Impact Team. En la corta entrevista, aseguran que la seguridad de Ashley Madison no es que fuera mala, sino que era inexistente. "Nadie estaba vigilando", explican, y proporcionan un ejemplo: "podías usar Pass1234 para pasar de Internet al VPN y a root en todos sus servidores". Reconocen además que que llevan tiempo "hackeándoles".

Aseguran tener en su poder fotos y chats privados de los usuarios de Ashley Madison

No sólo eso: aseguran tener en su poder 300 GB de datos internos, pero no únicamente de la compañía, sino también mensajes de chat e imágenes intercambiadas entre sus usuarios. ¿Qué van a hacer con ello? "1/3 de las fotos son imágenes de penes y no las filtraremos. Tampoco filtraremos la mayoría de correos de los empleados. Quizá los de otros ejecutivos", aseguran. ¿El motivo de todo esto? Que Avid Life Media, según ellos, chantajean a la gente. Y que tomen nota otras compañías que "se aprovechan del dolor de otros, los secretos y las mentiras" para hacer negocio: las tienen en su punto de mira.

Segunda y tercera filtración

Además de la primera filtración, los hackers publicaron ayer un segundo pack de documentos, aunque en este caso parecen incluir tan sólo documentos internos. Entre ellos está un archivo, noel.biderman.mail.7z, en el que supuestamente se encuentra todo el correo electrónico de Noel Biderman, el CEO de Avid Life Media (la compañía matriz de Ashley Madison). Eso sí, el archivo comprimido parece estar corrupto y no puede descomprimirse.

Quizá por eso, unas horas después llegaba un nuevo conjunto de documentos, el tercero, aunque parece que el archivo sigue teniendo errores. "No garantizamos que haya más filtraciones, pero el 7z está corrupto así que quizá haya otra filtración con el correo de Noel. 40GB sin comprimir", explicaban los atacantes.

Algún "listo" aprovecha para chantajear

Lo decíamos cuando hablábamos de la filtración: era posible que algunos utilizaran toda la información publicada para su propio beneficio. Y así parece haber sido: un ex-usuario de la plataforma explicaba a CoinDesk que había recibido un correo en el que se le instaba a pagar 2 bitcoins (unos 400 euros) si no quería que avisasen a sus conocidos de que tenía una cuenta en dicho sitio. "Si ya no estás en esa relación, imagina cómo afectará esto a tus amigos y familia", decían los chantajistas en el correo.

Algunos usuarios han recibido chantaje: bitcoins a cambio de que no avisen a sus familias

Un diario de Nueva Zelanda, Auckland Now, se hace eco de otro caso en el que una persona recibía otro mensaje casi idéntico. En algunos casos, los mensajes pueden parecer inofensivos, y es que se incluyen emails de gente que nunca llegó a confirmar la cuenta. Pero existen usuarios de los que se ha filtrado el correo, su nombre real y su dirección, por lo que** podrían llevar a cabo su amenaza** después de todo.

¿Qué dicen los usuarios afectados?

Algunas empresas que se dedican a gestionar la reputación y el pasado de la gente en Internet también están viendo cómo crece el interés en sus servicios. En Eliminalia, por ejemplo, nos reconocen haber recibido 523 solicitudes de derecho al olvido en dos días. "El 45% provienen de Cataluña, el 32% de Madrid y el 8% de Andalucía", explican en una nota de prensa.

En cuanto a los usuarios afectados (en Genbeta tienen un resumen del perfil medio a partir del mapa de Tecnilogica), la reacción ha sido de todo tipo: algunos ni se habían acordado que se habían registrado (al parecer AM tuvo una importante campaña en televisión hace años), a otros les ha arruinado la vida y otros directamente pasan del tema. También han salido a la luz cuentas de gente relativamente conocida (como éste participante de un reality o éste blogger cristiano).

Adicionalmente, se están organizando varias demandas (entre ellas una demanda colectiva) contra Ashley Madison. No sólo está el asunto de los datos filtrados, sino que con ellos se ha demostrado el que, a pesar de que la gente pagase la cuota requerida para borrar el perfil (el gran negocio de la plataforma), su cuenta era desactivada y no realmente eliminada. ¿Y si eres uno de los afectados? En El Español tienen un completo artículo en el que varios expertos explican que se puede actuar contra ellos por la vía administrativa.

Mientras tanto, en Ashley Madison...

Desde Ashley Madison no han salido aún ni a confirmar ni a desmentir de que la información filtrada es real. Su último comunicado es del 18 de agosto, justo el día en el que comenzaron las filtraciones, y en él se limitan a decir que se está investigando. Lo que sí sabemos es que están utilizando solicitudes DMCA para retirada de contenido (que habitualmente se usan para obligar a servicios a borrar contenido con copyright) para que Twitter y otras redes sociales borren mensajes que incluyen aunque sea una simple captura de una parte de la información.

Mientras tanto, el FBI se ha unido a las investigaciones, en las que ya estaban participando la Policía Montada de Canadá y las autoridades locales de Toronto y Ontario (el servicio es canadiense). El Pentágono también dice estar investigando el asunto, pero por otro motivo muy distinto: quieren saber quiénes, de los que utilizaron una dirección militar, utilizaban la red social para engañar a sus parejas, algo prohibido en el código militar del país.

En Xataka | ¿Puedes descargarte filtraciones como las de Ashley Madison? Esto es lo que dice la ley

Un proyecto llamado Motion Leaks (MoLe) ha permitido comprobar cómo los sensores de movimiento de los smarwatches actuales puede ser utilizado para detectar con bastante precisión lo que estamos tecleando en nuestro ordenador.

El sistema demuestra una singular -e inquietante- característica de estos relojes inteligentes, pero también es cierto que esa detección funciona lógicamente en la mano en la que llevamos el reloj. La creación de un mapa 3D de la mano y el teclado y la aplicación de esos sensores da como resultado esa detección del tecleo real realizado por el usuario.

Un keylogger en tu reloj inteligente

El acelerómetro y el giroscopio son capaces de ofrecer a los investigadores información sobre las teclas que se están presionando en cada momento gracias a un primer algoritmo que recolecta esa información. Otro programa adicional es el que deduce las palabras que se han introducido en esa acción de tecleo.

Este segundo algoritmo detecta las pausas en las pulsaciones de teclas realizadas con la mano izquierda -es el modelo predefinido que han tomado como referencia- y a partir de ello deducir cuántas pulsaciones se teclearon con la mano derecha gracias a un registro de la frecuencia de tecleo -velocidad al teclado, vaya- del usuario.

De momento el proyecto tiene limitaciones, y por ejemplo MoLe no detecta caracteres especiales, y la barra espaciadora sigue sin reconocerse con exactitud. Aún así el sistema, que ya funciona en el Samsung Gear Live, podría ser aplicado a otros relojes inteligentes. La amenaza es evidente: un ciberatacante podría instalar malware en el reloj y espiar lo que hacemos con esta singular variante de un keylogger.

Vía | Softpedia
En Xataka | Apple no se libra del espionaje de la CIA según nuevos documentos filtrados por Snowden

El fin de semana nos enteramos del hackeo sufrido por la empresa VTech en sus servidores y cómo un hacker había logrado acceder a los datos personales de casi 5 millones de padres y más de 200.000 niños. Ese, no obstante, no ha sido el final de la historia.

El mismo hacker que lograba esos datos ha comentado que además en ese acceso fue capaz de descargar 190 GB de fotos y ficheros de texto y audio grabados con los juguetes electrónicos del fabricante. Y no solo eso: un experto en seguridad añadía que la aplicación para Android es también insegura a la hora de transferir los datos entre ella y esos servidores.

Acceso indiscriminado a fotos de niños y padres

Los 190 GB de datos proceden del servicio Kid Connect, que permite a los padres usar una aplicación en sus smartphones para chatear con sus hijos si usan una tablet de VTech. Entre las opciones de este cliente de mensajería está la de tomar una foto del usuario para guardarla en su perfil.

El hacker detectó decenas de miles de fotos de padres y niños y envió una muestra de casi 4.000 de ellas a Motherboard para verificar su descubrimiento, pero también indicó que no pretendía publicar o vender esos datos. "Francamente, me pone enfermo haber logrado todo este material", comentaba este experto en seguridad. Entre los datos también estaban mensajes intercambiados entre padres e hijos, así como ficheros de audio grabados con las aplicaciones de estos dispositivos.

El problema se extiende a la aplicación para Android relacionada con el servicio, VTech Kid Connect (disponible en Google Play) que otro experto en seguridad con el alias slipstream/RoL logró estudiar por ingeniería inversa y en la que detectó problemas graves en el código Javascript con el que estaba desarrollada.

El primer problema era el que nombre de usuario era almacenado con un hash MD5 que usaba siempre la misma cadena: o bien "vtech" o bien "vtechvtech", algo que hacía que este algoritmo que ya ha sido criticado por su debilidad sea aún más propenso a no proteger debidamente esos datos.

Pero además de ello al enviarse fotos y grabaciones de audio la aplicación combina la hora y fecha con un generador pseudoaleatorio de números, algo que según este experto "es un método criptográficamente inseguro". Este tipo de generadores "son más propensos a producir números repetidos (por ejemplo tras 65.000 imágenes)", explicaba, algo que hacía también bastante inseguro la protección de estos datos tan sensibles. Como slipstream/RoL comentaba "veamos, usa un cifrado malo, envía el hash en el inico de sesión, y fue hackeado. Sí, no tiene buena pinta".

Vía | Motherboard
En Xataka | Hackers hackeados: 400GB de datos filtrados, el CNI y la Policía Nacional supuestos clientes

El pasado fin de semana un hacker llamado CTurt envió diversos mensajes en Twitter en los que indicaba cómo había logrado hacer un "jailbreak" a la PS4, la consola de Sony que hasta el momento se había mantenido a salvo -como en el caso de la Xbox One- de este tipo de accesos no autorizados oficialmente.

Para lograrlo este desarrollador especializado en analizar la seguridad de la consola de Sony utilizó un exploit para FreeBSD, la base del sistema operativo propietario de este dispositivo, denominado Orbis OS. ¿Qué posibilidades abre este jailbreak?

De momento no hay certezas del impacto del jailbreak

Aunque el hack solo funciona con el firmware 1.76 por el momento, CTurt afirma que se podría hacer que funcionase en otras versiones más modernas del software interno de la consola. Como ocurre con otros dispositivos en los que se han logrado estos avances, ahora Sony tratará de parchear el problema con nuevas versiones de ese firmware (la versión 3.11 es la que está disponible actualmente, por ejemplo).

Por ahora el jailbreak no está disponible en formato final de forma pública -aunque ya hay un "teaser" en GitHub- y habrá que ver si efectivamente el exploit se puede aplicar a versiones posteriores del firmware, porque no hay formas de pasar de un firmware actual al 1.76 en el que sí es posible efectuar el jailbreak.

Como explican en Wololo, ese no es el final de la historia, porque este jailbreak permitirá estudiar a fondo las consolas con ese firmware para descubrir nuevas formas de explotar incluso nuevos firmwares.

En cuanto a las posibles opciones que daría un jailbreak "público y funcional", es evidente que las posibilidades son amplias porque entre otras cosas será posible ejecutar código "sin firmar" en la consola, aunque otra cosa muy distinta es habilitar el acceso a copias no legítimas de juegos que puedan hacer que aparezca la piratería que sufrieron en el pasado las consolas de Sony y Microsoft y de la que hasta ahora se habían librado. CTurt, el descubridor del jailbreak, ha dejado claro que su logro no está destinado a ese propósito.

Algunos ya hablan de lograr ejecutar en la consola emuladores y aplicaciones que hasta ahora no estaban disponibles para la PS4, pero por ahora todo son especulaciones respecto al impacto real de un jailbreak que abre una puerta que antes parecía totalmente cerrada, pero que no sabemos si Sony logrará cerrar definitivamente

Vía | NetworkWorld
En Xataka | PlayStation 3 como centro multimedia

Poco a poco los relojes inteligentes y las pulseras cuantificadoras empiezan a formar parte de nuestro día a día. Y con ellos, como con cualquier otro dispositivo, se le abren las puertas a nuevos posibles tipos de ataque por parte de los cibercriminales, uno de los cuales podría valerse de sus brújulas y el acelerómetros para desvelar nuestras contraseñas.

El estudiante de máster en la Universidad es de Copenhague Tony Beltramelli explica en una publicación su proyecto de fin de carrera. Se trata de un sistema al que ha llamado Deep-Spying, y con el que quiere demostrar que sería perfectamente posible utilizar los sensores de nuestro smartwatch para saber qué contraseña estamos escribiendo en un teclado.

Deep-Spying: un futuro a tener en cuenta

Beltramelli ha escrito un código con el que es capaz de utilizar la brújula y el acelerómetro de un SmartWatch 3 de Sony para analizar sus movimientos y adivinar qué es lo que está escribiendo. Las pruebas han sido realizadas en un teclado de doce dígitos, y durante ellas el sistema ha sido capaz de conocer una parte del código escrito casi en tiempo real.

Para que su algoritmo sea efectivo se le ha sometido a un proceso de Deep Learning para que aprenda dónde se sitúan las teclas y cómo suelen ser los movimientos del brazo que llevan hacia una u otra. Como vemos la tecnología está aun en pañales, pero Beltramelli cree que con más tiempo se puede conseguir que consiga a procesar datos complejos de una manera mucho más eficiente.

Con su proyecto este estudiante intenta concienciarnos de que, una vez accedido a él, un cibercriminal podría utilizar los sensores de movimiento de cualquiera de nuestros dispositivos para espiarnos de manera efectiva. Para quien le pueda interesar su investigación, ha puesto el código de su algoritmo a disposición de cualquier usuario a través de GitHub.

Ya el pasado septiembre os hablamos de un proyecto similar aplicado a reconocer lo que escribimos en un teclado completo con increíble precisión. Por lo tanto estas tecnologías ya están ahí, y tendremos que tenerlas muy en cuenta para protegernos de este tipo de ataques de cara al futuro. En el caso del que os hemos hablado hoy, según el propio Beltramelli su talón de Aquiles es que podremos burlarlo si llevamos el reloj en la mano que hemos utilicemos.

Vía | Motherboard
En Xataka | El keylogger evoluciona: Tu smartwatch es capaz de saber lo que tecleas

Poder disfrutar y trabajar con periféricos inalámbricos evita el engorro de los cables, pero puede introducir problemas. Eso es lo que han confirmado los expertos en seguridad informática de la empresa Bastille, que han descubierto un conjunto de vulnerabilidades que han logrado explotar con un sistema llamado 'mousejacking'.

Este tipo de exploit logra que un atacante pueda aprovechar esas conexiones inalámbricas en periféricos de fabricantes como Logitech, Dell, Microsoft, HP, Amazon, Gigabyte o Lenovo para poder "inyectar" tanto movimientos y pulsaciones del ratón como pulsaciones de teclas. Existen virtualmente millones de potenciales equipos y usuarios afectados.

El cifrado es el problema

En las pruebas el grupo de expertos aprovecharon un pequeño adaptador USB de radio conectado a un portátil para conectarse remotamente a equipos que estaban a 100 metros de distancia y en los que lograron realizar esas acciones con el ratón y el teclado conectados inalámbricamente no a través de tecnologías como WiFi o Bluetooth, sino con protocolos propietarios de radio que aprovechan esos fabricantes.

La mayoría de estos fabricantes hacen uso de chips de la empresa noruega Nordic Semiconductor. En estos componentes es posible integrar sistemas de cifrado, pero deben ser las empresas las que deben desarrollar su propio firmware para proteger esas comunicaciones entre el dongle USB que suele ofrecer conectividad inalámbrica y los periféricos que la aprovechan. Esos firmwares no siempre son lo seguros que deben ser, y eso es lo que provoca el problema.

Esta vulnerabilidad podría ser aprovechada para que el atacante descargase malware en el ordenador remoto de la víctima y a partir de ahí tomar control de ese equipo. Varios de los fabricantes aseguran tener ya un parche para el problema mientras que otras como Lenovo admiten que tendrán que reemplazar este tipo de soluciones porque no ofrecen actualizaciones para dichos periféricos.

En nuestras pruebas con un receptor Unifying de Logitech hemos comprobado cómo esa actualización no parece estar disponible: el software con versión 012.003.00025 está afectado por el problema según Bastille, pero no hay versiones superiores de este componente.

Vía | Wired
Más información | Bastille | MouseJack
En Xataka | BadUSB, el malware "casi invisible" que se puede ocultar en el firmware de los USB

Seguro que alguna vez has leído la palabra 'ransomware', un tipo de malware que siembra el pánico entre quienes lo sufren y que ahora se ha hecho un poco más famoso tras afectar por primera vez al sistema operativo de Apple, OS X.

Este tipo de código es especialmente perjudicial para quienes se ven afectados por él porque quien nos infecta pide un rescate para poder volver a acceder a la información afectada. De repente nos encontramos con que nuestro servicio, nuestra página web o nuestro ordenador están absolutamente bloqueados, y solo el cibercriminal responsable del ataque puede liberarnos... previo pago de una suma de dinero.

El temible secuestro de tus datos

La técnica lleva literalmente décadas usándose, y normalmente consiste en el cifrado del disco duro de la máquina víctima, lo que provoca que sea imposible acceder a sus servicios y datos a no ser que contemos con la clave que protege esa información.

En muchos casos quienes llevan a cabo los ataques dejan bien patente lo que ha pasado y cómo proceder en esos casos: una dirección de correo electrónico o ciertas páginas web para contactar con el cibercriminal e incluso la cantidad que tendremos que abonar para que volvamos a poder "rescatar" todo lo que quedó bloqueado con el ataque.

Los ataques que secuestran nuestra información han crecido tanto o más que otras formas de malware, y se ha convertido en una jugosa forma de obtener ingresos por parte de los cibercriminales. Según un estudio de McAfee este tipo de amenazas creció** un 58% en el segundo trimestre de 2015**, y la forma de inyectar este tipo de código es tan variada como los escenarios en los que se aplica.

De hecho la amenaza es patente para usuarios finales, pero es mucho más preocupante para empresas que pueden verse afectadas también por este tipo de ataques que pueden llegar a bloquear la operativa de un producto o servicio. Los atacantes no roban datos como tales, simplemente los dejan donde estaban pero cifrados.

El cifrado y bitcoins como bases de los ataques

Para "liberar a los rehenes" necesitaremos realizar un pago electrónico que habitualmente se hace con un sistema que es perfecto para este ámbito: los bitcoins llegan como el medio preferido por los ciberatacantes, ya que este tipo de transacciones no son revocables y es muy complicado saber quién llega a recibir ese dinero en el otro extremo.

Se trata además de ataques dirigidos de forma específica a un particular o a una entidad, y el problema es que la popularidad de estos ataques ha hecho que el ransomware pueda ser aprovechado prácticamente por cualquiera con cierta base técnica, ya que los desarrolladores de malware han desarrollado herramientas que precisamente facilitan los intentos para introducir ransomware en cualquier máquina.

Existen casos ya famosos de ransomware: un reciente artículo en el blog de Sophos nos recordaba que sistemas temibles como Teslacrypt, TorrentLocker, Los Pollos Hermanos (no es broma) o el tristemente célebre Cryptowall (actualmente en la que muchos consideran como la "versión 4.0") han hecho que los ingresos para los cibercriminales sean especialmente cuantiosos año tras año.

¿Cómo nos infectamos?

Como explicaban los expertos de Sophos, en el caso de Cryptowall -que es análogo a otros sistemas de este tipo- se instalan pequeños ficheros en diversas carpetas clave de nuestro sistema -el directorio de datos de aplicaciones, el de inicio e incluso algún directorio con un nombre aleatorio- que simplemente se conectan a un servidor remoto controlado por el cibercriminal.

En esa conexión se obtiene la clave que cifra el contenido de nuestro disco duro, y por ejemplo en el caso de Cryptowall 4 lo que se hace es centrarse en el directorio de datos de aplicaciones y en la creación de una entrada de registro para cargarse en cada reinicio o inicio de sesión.

A partir de ahí empiezan las tareas de cifrado, que en el caso de Cryptowall 4 son especialmente perjudiciales: se suele utilizar el algoritmo de cifrado AES y cada fichero tiene un cifrado distinto que hace que incluso dos ficheros idénticos parezcan diferentes si uno atiende al contenido cifrado.

En el caso de Cryptowall 4 se cifran hasta los nombres de los ficheros para hacernos la vida aún más complicada, y aunque cada fichero pueda tener una clave de cifrado distinta, todos ellos se pueden descifrar con la misma clave maestra, una que lógicamente está en posesión de los cibercriminales y que es la que obtendremos si pagamos ese rescate.

¿Qué hacer para protegerse?

Es imposible estar al 100% seguros de que estaremos libres de amenazas, pero sí podemos realizar una serie de pasos para poder proteger nuestros sistemas y nuestros ordenadores. El primero de ellos, mantener actualizadas nuestras aplicaciones y también nuestro sistema operativo.

Torrentlocker ha sido especialmente activo en nuestro país.

Esa primera regla básica se debe complementar con otras medidas también lógicas. Entre ellas, el uso de algún tipo de antivirus que se actualice y chequee nuestro sistema con regularidad. Aquí los fabricantes de soluciones de seguridad tratan de competir con sus propias alternativas, pero dado que los atacantes renuevan sus técnicas es imposible contar con la garantía total de que una u otra solución nos ayudará a protegernos del todo.

Tampoco estará de más volver a acudir al sentido común y evitar la descarga de documentos y ficheros sospechosos de remitentes aún más sospechosos, pero como siempre uno de los métodos clave para evitar problemas más adelante es disponer de copias de seguridad de nuestros datos, y aquí nos pueden ayudar tanto los servicios en la nube como sistemas de almacenamiento externo que de hecho no tengamos conectados a nuestro ordenador en todo momento para que no se ven afectados.

Hay otras medidas que podemos tomar como el llamado Cryptolocker Prevention Kit que genera una serie de directivas de grupo (group policies) y que evitan que el ransomware pueda instalarse en sus directorios habituales. Cuidado con el uso de la red Tor y la deep web -aquí los ataques son más frecuentes- y también con las carpetas compartidas de red, a las que deberíamos dar permisos de acceso solo por parte del administrador del sistema salvo cuando necesitemos acceso de lectura y escritura, que deberemos activar y desactivar tras esas operaciones.

En Genbeta | De profesión, secuestrador digital

En diciembre del año pasado conocimos la noticia de que un hacker había logrado hacer el 'jailbreak' de la PS4, algo que habría la puerta a ejecutar código de todo tipo en un dispositivo que hasta ahora había sido infranqueable.

Ahora hemos sabido que kR105, uno de los hackers que más ha investigado en el tema desde que CTurt publicara el descubrimiento inicial, ha logrado publicar un exploit totalmente operativo que permite arrancar Linux en la PlayStation 4 desde las herramientas PS4-Playground. En resumen: si tienes una PS4 con el firmware 1.76, puedes aplicar este método.

Esto es solo el principio

Aunque el código del exploit apareció hace unos días, ha sido ahora cuando se ha comprobado que efectivamente no había problemas con dicho código. Para poder probar el sistema necesitaremos una unidad USB formateada en FAT32 y conectada a cualquiera de los puertos USB de la PS4.

En esa unidad necesitaremos introducir dos ficheros (bzImage y initramfs.cpio.gz) con los que se inicia ese proceso de carga del sistema Linux básico, y aunque no dispondremos de un entorno de escritorio al uso, sí que accederemos a una consola Linux convencional desde la que poder comenzar a introducir comandos.

Es más que posible que a partir de aquí aparezcan todo tipo de nuevas opciones para poder sacar partido a este tipo de exploit, pero lo que parece inviable es poder usar la consola para jugar a copias no legítimas de juegos de la PS4. Lo que sí aparecerán con toda probabilidad -entre otras cosas- son emuladores que permitan aprovechar la PS4 para jugar a juegos de otras plataformas sin problemas.

Vía | The Register
Más información | Wololo.net
En Xataka | Una semana en la deep web. Esto es lo que me he encontrado

Hace más de un año un investigador de seguridad llamado Karsten Nohl demostró cómo le bastaba el número de teléfono de la víctima para acabar logrando la ubicación del propietario de ese móvil o espiar sus llamadas y mensajes en ese número.

Ha pasado todo ese tiempo y el problema sigue vigente. ¿El motivo? Este método para infiltrarse en un móvil cualquiera se basa en el uso del llamado Signalling System No. 7 (SS7), que actúa como una especie de moderador en las transmisiones entre nuestro móvil y nuestra operadora. Si el hacker logra acceso a la red SS7, estamos básicamente a su merced.

Los usuarios no pueden hacer nada

Nohl volvió a hablar del problema en el programa 60 Minutos de la CBS, y allí explicó como llevaba meses trabajando con varias redes móviles internacionales para analizar el impacto que este tipo de vulnerabilidad seguía teniendo.

En la demostración que hizo en el programa hizo un seguimiento de un congresista norteamericano, y de hacerlo además desde su lugar de trabajo en Berlín usando únicamente su número de teléfono. Logró localizar la posición del congresista, pero además leyó los mensajes que había escrito y grabó las llamadas entre él y su equipo.

Hay poco que los usuarios puedan hacer para estar a salvo de este tipo de espionaje: el ataque ocurre por parte de la operadora y no importa el móvil utilizado. Como explicaba Nohl la operadora móvil sabe dónde estás basándose en triangulación de antenas, y no había nada -salvo apagar el móvil- que los usuarios pudieran hacer.

Ni instalar aplicaciones de seguridad, ni elegir un teléfono o un PIN distinto. Se sospecha que el método desvelado por Nohl lleva tiempo siendo usado por agencias de inteligencia, incluida la NSA de los EE.UU. en sus programas de espionaje masivo.

Vía | The Guardian
En Xataka | NSA: un compendio del escándalo

Cuando los Cuerpos de Seguridad intervienen un teléfono tras el visto bueno del poder judicial, es lógico pensar que cuando el usuario utiliza ese teléfono se registra no solo la llamada, sino sonidos que estén alrededor del interlocutor. El teléfono se convierte en un micrófono ambiente aunque lo realmente interesante suela ser la conversación que se mantiene en ese teléfono pinchado.

Sin embargo lo que no sabíamos -y se ha revelado tras una reciente sentencia del Supremo- es que un teléfono pinchado puede convertirse en un micrófono ambiente sin necesidad de que el usuario descuelgue el teléfono. ¿Estás en una reunión, tu teléfono está pinchado, te llaman y no lo coges? No importa: ese móvil registrará todo lo que se esté diciendo a su alrededor hasta que los agentes encargados de la escucha detengan esa tarea.

¿Invasión a la privacidad o herramienta para protegernos?

Lo explicaba en su blog el abogado David Maeztu tras la noticia publicada en ElDiario.es. En ella se desvelaba cómo el sistema Sitel que se lanzó en 2004 permite prolongar esa grabación de forma indefinida con tan solo realizar la llamada, aunque el receptor no coja el teléfono.

Tal y como recoje la sentencia en un caso por tráfico de drogas, el Tribunal Supremo confirma que la autorización para grabar las llamadas de un móvil intervenido se inician en el mismo momento en el que suena el primer tono en el teléfono intervenido:

Únicamente cuando la llamada ha sido establecida y el móvil la recibe, antes de aceptarla el destinatario, el sistema comienza a grabar; es decir, la llamada, para la que existía acuerdo judicial de intervención y grabación, ya se había producido, con independencia de que si el destinatario no la acepta, no genere coste para quien la realiza

Como explica Maeztu, sí que se conocía esa opción en el caso de que el interlocutor llamara o recibiese una llamada y descolgase el teléfono, pero lo que no se sabía hasta ahora era que esa función de micrófono ambiente se activaba nada más iniciarse la llamada, aunque el interlocutor no lo descolgase. Para Maeztu

Que el Supremo no vea la diferencia, es preocupante, pero al igual que el Constitucional no vio lo grave de admitir un registro de un ordenador sin orden judicial. Es cierto que en este caso el delito es grave, que el tráfico de drogas debe ser perseguido, pero los medios empleados deben ser respetuosos con ciertos postulados. El hecho de que nuestro teléfono actúe como un micrófono de ambiente, porque no se utiliza como teléfono, y esto sea admitido debería hacernos reflexionar sobre si estos medios son realmente legítimos o sobre si todo es posible con la tecnología disponible.

Aunque obviamente debe existir un equilibrio entre nuestra privacidad y las herramientas que los cuerpos de seguridad utilizan para luchar contra el cibercrimen, este tipo de medidas deberían ser de conocimiento público.

Lo cierto es que como indicaba este abogado especializado en el ámbito tecnológico y de la seguridad informática, "tu teléfono es un micrófono y puede ser utilizado en su contra". Diríamos más: no solo tu teléfono: cualquier teléfono es en realidad un micrófono que puede ser utilizado en tu contra. Cuidado con lo que dices, y con quien lo dices. Uf.

Vía | ElDiario.es
Más información | Tribunal Supremo
En Xataka | El Ministerio del Interior gastará más de 11 millones de euros en interceptar legalmente nuestras comunicaciones

Veinte años después de convertirse en todo un fenómeno, de arrebatar a 'Parque Jurásico' el récord de recaudación (aunque le duró poco, apenas un año) y de elevar a status de estrella a Will Smith, 'Independence Day' vuelve a las carteleras. La cinta de Roland Emmerich nos deparó momentos muy recordados (la destrucción de la Casa Blanca, el discurso del presidente...) pero ninguno como la "curiosa" manera en la que los humanos conseguíamos vencer a los aliens (Alerta Spoiler): un virus informático.

Por lo tanto lo que muchos deseamos ver en 'Independence Day: Contraataque', de nuevo dirigida por el ínclito Emmerich, es con qué nueva heroicidad "hacker" nos deleitará David Levinson, el personaje interpretado por Jeff Goldblum. Pero no adelantemos acontecimientos y volvamos a 1996 para analizar esa mítica escena con (poco) esmero y (mucha) sorna.

Vamos a hackear una nave extraterrestre

Los aliens llegan a la Tierra el 2 de Julio de 1995 con unas naves de combate gigantescas e impenetrables y las aviesas intenciones de cargarse la Tierra y o que es más grave: la fiesta del 4 de Julio. En minutos reducen a cenizas Los Ángeles, Nueva York y Washington (y unas cuantas ciudades del resto del mundo pero eso ya tal) y avanzan.

En dos días se prevé que la humanidad sea exterminada. Nuestra última esperanza es Obi-Wan son una nave alien estropeada (y escondida en el Área 51) desde Roswell y una idea: meter un virus en el sistema informático de los aliens para apagar los escudos impenetrables de las naves de combate y darles fuerte y duro con nuestros cazas y nuestra artillería.

Sin embargo en 1996 todavía no había wifi gratuito y de calidad en las grandes ciudades (bueno, ni en 2016, para que nos vamos a engañar) por lo que las naves aliens tienen que montar su propio wifi para conectarse y usar el whatsapp marciano para coordinar sus ataques. Obviamente, de esta súper wifi alienígena, no nos quieren dar la clave (tienes que ser cliente, como la del Starbucks).

Por lo tanto para infectar el virus habrá que pilotar la nave hasta la gigantesca nave nodriza (tamaño media Luna, más o menos 3800 millones de campos de fútbol, que es una medida muy española), colarse en ella, buscar un punto de acceso y subir el código. Luego soltar una bomba de muchos megatones y huir muy rápido. ¿Qué podría salir mal?

Los personajes de Goldblum (el genio informático) y de Will Smith (el súper piloto canallita pero muy patriota) son los encargados de una misión que en las casas de apuestas hubiera tenido una cuota de 1 a 1 a que iba a terminar muy pero que muy mal. Sorprendentemente consiguen la primera parte del plan (la de llegar hasta la nave nodriza) con bastante facilidad y entonces se inicia la magia: Levinson no utiliza la consola de la nave si no su propio Powerbook de mediados de los 90 para conectarse a la red, subir el virus y ejecutarlo.

El código se propaga más rápido que los spoilers de 'Juego de Tronos', los escudos caen, un poco de fanfarria y la humanidad prevalece. La venganza del hacker. "Yo soy humano, humano, humano". "Hemos venido a emborracharnos, el resultado nos da igual".

Por qué esto no tiene ningún sentido

En el gran clásico de las invasiones alienígenas, 'La Guerra de los Mundos' de H. G. Wells, los recordados trípodes son derrotados por las enfermedades terrestres, para las cuales no están preparados (no he puesto el Spoiler Alert esta vez porque si no sabes esto, te mereces que te spoilen todo en la vida). Los guionistas de 'Independence Day', el propio Emmerich y su colega Dean Devlin, decidieron homenajear al clásico pero adaptándolo al mundo de la informática, que con el abaratamiento de los PCs, la fascinación por la cultura hacker y el advenimiento de Internet empezaba a ser muy mainstream. Sin embargo no se preocuparon mucho por documentarse, la verdad.

El primer problema grave en la sinopsis loca que hemos comentado anteriormente es la compatibilidad. Que un virus creado en un PowerBook 5300, un pesado artilugio con 8MB de memoria, CPU a 100Mhz, escaso de conectores y con tendencia a prenderse fuego que apenas podría abrir con solvencia esta página que estás leyendo, pudiera resultar compatible y entendible por un sistema operativo de una raza alienígena miles de años más avanzada que la nuestra roza el disparate.

Pero es que, ¿cómo se conecta siquiera? ¿Por el puerto serie? ¿Por el paralelo quizás? ¿Usan los aliens la tecnología Ethernet? Mira que con esos dedacos pringosos que gastaban no los veo yo haciendo muchos cables de red, la verdad.

De todos modos, si gracias a Steve Jobs que estás en los cielos, consiguen conectar con la red de la nave y el virus resulta compatible (y ya estamos suponiendo), está el tema de la seguridad. ¿Tiene sentido que una raza que equipa sus naves con escudos invisibles indestructibles no tenga cortafuegos, comprobaciones o procedimientos de seguridad ante incursiones en su red informática? Por favor, ¡que le corten la cabeza al jefe de sistemas! Y un par de malos comentarios en Linkedin, ya que estamos.

Una de excusas

Lo cierto es que con un poco de preparación y documentación se podría haber sacado algo bastante potable para llegar al climax de la cinta. Pongamos por ejemplo que después de 40 años de ingeniería inversa a la nave del Área 51, los ingenieros han conseguido entender el funcionamiento del sistema informático de la nave y poder ejecutar código en él. Se escribe el virus en el lenguaje nativo, se carga en la propia nave y cuando la nave esté dentro del cinturón de seguridad, se ejecuta en el sistema central. Vale que el tema de la seguridad no lo salvas mucho pero por lo menos consigues arreglar las cuestiones de la compatibilidad y la conexión. Menos da una piedra.

Parece que hay una escena eliminada del guión que iría por estos derroteros pero curiosamente, en una entrevista comunitaria en Reddit (las famosas AMAs), el propio guionista Dean Devlin comentó lo siguiente cuando le sacaron el tema: "Ok: lo que descubre el personaje de Jeff Goldblum es que la estructura de programación de la nave alien es simple código binario y como cualquier programador junior te diría, el código binario es un conjunto de ceros y unos. Lo que hizo Goldblum fue convertir los ceros en unos y los unos en ceros y así revertir efectivamente el código enviado". Lo que usted diga, Mr. Devlin, lo que usted diga.

De todas formas que nadie se equivoque, a pesar de este imposible y loco hacking (y del ridículo discurso del presidente-piloto interpretado por Bill Pullman), 'Independence Day' es un entretenimiento noventero de primer nivel, cine palomitero de la gran época del cine palomitero. Y estaremos en primera fila para ver 'Independence Day: Contraataque'... aunque sólo sea para ver como Levinson lo consigue esta vez: ¿SQL injection? ¿Phising del Banco Central Alien? ¿El virus I Love You? ¿El príncipe Nigeriano? ¿Serán los Anonymous los que salven esta vez? Más aún, ¿los coreanos del norte?

Os dejo, me voy a hacer cola a la puerta del cine. ¡Ganazas!

Los ladrones de coches solían utilizar métodos clásicos para abrir las puertas de los coches y poner en marcha el motor, pero los tiempos cambian y la evolución del sector y la integración de más y más tecnología en estos coches está provocando un cambio inquietante en ese tipo de tareas: ahora los coches comienzan a robarse con un portátil.

Es lo que han descubierto en Houston, donde un par de ladrones fueron grabados con una cámara mientras usaban un portátil para abrir e iniciar el motor de un Jeep Wrangler y luego llevárselo cómodamente del garaje de su propietario. Este tipo de delitos está comenzando a ser cada vez más común, y eso hace que las alertas sobre la creciente informatización de los coches hayan aumentado.

Robar coches solo es la punta del iceberg

Uno de los oficiales que investigaba ese robo indicaba que aunque no sabía exactamente lo que estaban haciendo los ladrones, parecía claro que habían logrado infiltrarse en el ordenador del coche para luego superar todos los mecanismos de seguridad tanto en el acceso a su interior como en su arranque.

La organización National Insurance Crime Bureau ha indicado que este método está comenzando a ponerse de moda entre los ladrones de coches de última generación. A lo largo de los últimos tiempos hemos visto como el papel de la tecnología en el coche es cada vez más relevante, y eso preocupa ahora que vemos casos de ciberataques dirigidos a estos vehículos.

En realidad el problema no solo se ciñe al robo de coches, sino al uso de esas técnicas para propósitos mucho más inquietantes, como controlar un coche de forma completamente remota para cometer delitos e incluso catástrofes en las que haya vidas humanas en juego.

Aquí hemos visto casos como los de los coches de Chrysler, pero es evidente que una de las empresas más afectadas potencialmente por el problema podría ser Tesla, aunque ha quedado demostrado que sus vehículos tienen una ventaja relevante: si los hackean pueden actualizarlos para parchear la vulnerabilidad.

Vía | The Wall Street Journal
En Xataka | Los hackers avisan: cuidado con la seguridad en los coches conectados## Pon tu título aquí...

El pasado febrero os contamos que los expertos en seguridad informática de la empresa Bastille habían descubierto una serie de vulnerabilidades en ratones y teclados inalámbricos de fabricantes como Anker, EagleTec, General Electric, Hewlett-Packard, Insignia, Kensington, Radio Shack, Toshiba. Concretamente en los protocolos propietarios de radio que utilizan sus periféricos en vez del Bluetooth o WiFi.

Ahora, estos mismos investigadores han demostrado que aprovechando la vulnerabilidad no sólo son capaces de insertar pulsaciones en nuestro equipo como si estuvieran utilizando nuestro teclado, sino también leer las que nosotros introducimos. Esto quiere decir, a efectos prácticos, que pueden registrar lo que escribimos y hacerse así con nuestras contraseñas desde 75 metros de distancia.

"Nos sorprendió. No teníamos ninguna expectativa de que en pleno 2016 estas empresas estarían vendiendo teclados sin cifrado", ha dicho Ivan O’Sullivan, Jefe de Investigación de Bastille, tras descubrir que leer las pulsaciones es posible gracias a que estos grandes fabricantes las transmiten desde su teclado sin ningún tipo de protección.

Keysniffer y Mousejacking

En sus pruebas, los técnicos de la empresa de seguridad han utilizado un pequeño adaptador USB de radio de apenas 12 dólares, rescribiendo su firmware para utilizar los protocolos de los teclados y ratones que habían estado utilizando. El adaptador lo insertaron en un portátil desde el que consiguieron actuar sobre ordenadores a 250 pies de distancia, 76,2 metros.

En sus pruebas de febrero lograron insertar pulsaciones en los ratónes y teclados conectados inalámbricamente con protocolos de radio en vez de tecnología WiFi o Bluetooth utilizando una técnica a la que bautizaron como Musejacking. Con ello pudieron descargar malware en los ordenadores de forma remota.

Ahora, con su nuevo ataque bautizado como Keysniffer, los investigadores también han conseguido ser capaces de leer las pulsaciones en el mismo tipo teclados y ratones. Esto quiere decir que pueden registrar todo lo que escribimos, incluidas las webs que visitamos, nuestros nombres de usuario o contraseñas. Y lo peor de todo es que mientras Musejacking era detectable, Keysniffer parece que no lo es.

La mayoría de los teclados afectados utilizan chips de una empresa llamada Mozart Semiconductor, y dos de ellos utilizaban sus propios sistemas no-Bluetooth. Bastille ha creado una página web con los detalles técnicos de la vulnerabilidad y una lista de los fabricantes y dispositivos afectados. También incluyen las respuestas de los fabricantes cuando se les ha reportado el problema.

Vía | Wired
Imagen | Andrew
En Xataka | Si usas un teclado o un ratón inalámbrico, puedes ser víctima del 'mousejacking'

Llevamos tiempo debatiendo sobre la seguridad de periféricos como las webcams, y hace unas semanas también comentamos que había vulnerabilidades que hacían posible ataques a través de teclados inalámbricos por radio. Pero hay otros componentes de nuestro PC, como los monitores, que no solemos considerar peligrosos ni una puerta mediante la que ser atacados.

Pero un grupo de investigadores ha descubierto un método con el que poder hackear nuestro monitor a distancia. De esta manera no sólo se podrían reproducir los píxeles que está mostrando, pudiendo espiarnos sin necesidad de haber accedido a nuestro PC, sino que también se podrían manipular estos píxeles para mostrar diferentes imágenes en nuestros monitores.

Todo a través de un malware durmiente

El primer paso para acceder a nuestro monitor es el de conseguir que visitemos determinada web maliciosa o un enlace de phishing. A través de estos dos canales, un atacante podría insertar una pieza de código en el firmware del monitor, que es el programa instalado para controlar sus parámetros.

La magia del ataque reside precisamente en ese código que han dejado insertado en el PC, ya que puede ser programado para esperar unas órdenes enviadas a través de determinados píxeles intermitentes. Estos píxeles pueden ser camuflados en vídeos o webs.

En otras palabras, desde que nuestro PC se infecta hasta que se decide explotar la infección podría pasar el suficiente tiempo como para bajar la guardia después de haber entrado en un enlace malicioso. Entonces, algo tan inocente como un vídeo subido a YouTube por el atacante puede activar el malware que le abre de par en par las puertas de nuestro monitor.

And Cui, Científico Jefe de la empresa Red Balloon Security y líder de la investigación, ha presentado su descubrimiento en el marco de la conferencia Def Con de Las Vegas. Allí explicó que un monitor infectado con su ataque puede ser utilizado para espiar lo que estamos viendo, aunque también para mostrarnos imágenes con las que, por ejemplo, simular mensajes de emergencia y casi obligarnos a tomar ciertas decisiones, un peligro a tener en cuenta aplicado al mundo empresarial.

Sin embargo, en el ambiente doméstico el ataque sería menos efectivo, ya que las imágenes tardan bastante en cargar en el monitor. Esto lo hace peligroso en empresas donde algunos monitores de control tienen pantallas estáticas, pero no en un PC doméstico donde siempre estamos haciendo cosas diferentes.

En cualquier caso, lo que Cui y su equipo quieren demostrar con este ataque es que no debemos bajar la guardia ni ante elementos tan aparentemente inofensivos como nuestro monitor, un periférico que deberíamos dejar de considerar inhackeable.

Vía | Motherboard
Imagen | Sean MacEntee
En Xataka | Una vulnerabilidad permite leer lo que escribes en algunos teclados inalámbricos por radio

Un grupo hasta ahora desconocido de hackers que se hace llamar "Shadow Brokers", ha salido a proclamarse como los primeros en haber accedido a la Agencia de Seguridad Nacional de los Estados Unidos, la ya famosa NSA, y haber extraído una gran cantidad de archivos que dan a conocer diversas herramientas de espionaje que han sido usadas en todo el mundo.

Este misterioso grupo de hackers asegura tener en su poder una gran colección de archivos que pertenecen a la división de espionaje de la NSA, algo que consiguieron gracias al romper la seguridad del Equation Group, que es el grupo más grande de ciberespías que fue descubierto el año pasado en un reporte de Kaspersky. Ahora todos estos archivos están siendo subastados el mejor postor.

Las herramientas más sofisticadas de espionaje por un millón de bitcoins

Hasta el momento hay versiones encontradas respecto a la veracidad del ataque y la validez de Shadow Brokers, esto debido a sus métodos un tanto extraños donde por ejemplo toda la información ha sido publicada en Tumblr (la página ha sido retirada), sitio donde se pueden leer las exigencias del grupo y una muestra de los archivos que han extraído de los servidores de la NSA.

En segundo lugar, los supuestos hackers han publicado ya el 40% de los archivos para dar validez a sus acciones, entre los que nos encontramos con sofisticadas herramientas como Stuxnet, el gusano informático que se descubrió en junio de 2010 y que fue utilizado para atacar las instalaciones de enriquecimiento de uranio de Irán, así como programas de espionaje dirigidos a productos de Cisco, Juniper, Fortigate y Topsec, una firma de seguridad especialista en redes chinas.

Shadow Brokers está pidiendo por el 60% restante de la información un millón de bitcoins, aproximadamente 568 millones de dólares. Lo extraño de todo esto es, repito, el método, ya que la cadena pública ha sido colocada en el mencionado Tumblr, pero no hay certeza de saber quién ha pujado más por la información, ni siquiera cuánto se ha conseguido, si de verdad se entregará el resto de los archivos, o habrá algún tipo de reembolso al tener al mejor postor

Para esto, Shadow Brokers ha colocado un FAQ donde tratan de "aclarar" las dudas y explican bajo un inglés mal redactado y con faltas de ortografía el por qué habríamos de confiar en ellos, a lo que mencionan que sin confianza no hay riesgo, si quieren recompensas hay que tomar el riesgo, tal vez se gane, tal vez se pierda, lo que es un hecho es que no hay ninguna garantía.

Junto a este FAQ, los Shadow Brokers han colocado diversos mensajes donde muestran su ideología y explican parte del proceso que les llevó a hacerse con estos archivos, donde una parte curiosa es que aseguran que tuvieron acceso a los ordenadores de Equation Group, el que hasta el momento es conocido como el grupo de hackers más sofisticado del mundo y que ha operado en secreto por más de dos décadas, lo que hace que la credibilidad de Shadow Brokers se ponga en tela de juicio.

¿Son reales los archivos?

Ahora adentrémonos en la historia, ya que si Shadow Brokers y sus métodos no son lo suficientemente creíbles ¿qué sucede con el contenido que han liberado? Aquí la cosa se pone interesante, porque de acuerdo a expertos en seguridad informática no es posible determinar al 100% la veracidad de esas herramientas de espionaje, esto porque el grupo se ha encargado de publicar partes clave pero no la herramienta completa, sin embargo, las muestras de código nos hablan de que el desarrollo coincide con el trabajo de la agencia.

Claudio Guarnieri, experto en tecnologia para Amnistia internacional, dice que el hackeo es creíble.

This #EquationGroup free dump seems mostly binary builds, installation scripts, and general configuration for a C&C. Seems credible.

— Nex ~ Claudio (@botherder) 15 de agosto de 2016

Nicholas Weaver, investigador de la Universidad de California en Berkeley, también está convencido que los archivos son reales y la NSA está en serios problemas si estas herramientas llegan a manos equivocadas.

There are a lot of people in Ft Meade shitting bricks.

— Nicholas Weaver (@ncweaver) 15 de agosto de 2016

Pero también está la otra cara, quienes aseguran que se trata de una operación perpetrada por la misma NSA para confundir y saber quién o quiénes están detrás de un posible ataque a los Estados Unidos, algo que no creo que sea muy difícil de adivinar, ya que se cree que tiene alguna conexión con el hackeo que sufrió el Partido Demócrata de los Estados Unidos, el cual nos han vendido como si hubiese sido un plan de un rumano solitario, pero al parecer hay información que va más allá.

Como era de esperarse, la NSA ni nadie del gobierno ha salido, ni saldrán, a hacer declaraciones al respecto. Es muy pronto para saber todo lo que envuelve este supuesto hackeo, sin embargo el tema está presente y hay muchos interesados en saber y conocer a fondo estas herramientas de espionaje, algo que nuevamente pondría en la mira a los Estados Unidos, claro, siempre y cuando se confirme que todo es real. Estaremos al pendiente, ya que todo esto se antoja muy interesante.

8) Circumstantial evidence and conventional wisdom indicates Russian responsibility. Here's why that is significant:

— Edward Snowden (@Snowden) 16 de agosto de 2016

The undetected hacker squatting on this NSA server lost access in June 2013. Rare public data point on the positive results of the leak.

— Edward Snowden (@Snowden) 16 de agosto de 2016

Vía | Wired

Jacob Ajit es un joven de 17 años que estaba utilizando su smartphone de forma totalmente normal y consumiendo la cuota de datos contratada en su tarjeta prepago de T-Mobile. Cuando se acabaron los datos, no obstante, descubrió algo curioso.

Resulta que T-Mobile le permitía conectar a su red, pero solo para llevarle a un sitio web en el que se le preguntaba si quería renovar su plan de tarjeta prepago. Curiosamente se dio cuenta de que la aplicación para evaluar la velocidad de su conexión seguía funcionando, y eso le dio una idea con la que logró seguir navegando en su móvil y usar la conexión de datos sin pagar un duro.

Navega sin pagar nada gracias a un fallo de T-Mobile

En esa prueba con la conocida herramienta SpeedTest de Ookla Jacob contaba cómo el móvil era capaz de descargar datos a 20 Mbps, lo que demostraba que de alguna forma era posible seguir accediendo a internet. Tras conectar el teléfono a su Mac y usar el programa mitmproxy logró descubrir cómo era posible que eso estaba sucediendo.

En T-Mobile habían cometido un error: permitían que el móvil siguiese accediendo a cualquier URL siempre y cuando en ella hubiese una carpeta /speedtest. Para verificar que esto era así creó una carpeta con ese nombre en su blog y copió en ella varios ficheros y vídeos musicales de, por ejemplo, Taylor Swift. Podía acceder a ellos sin problemas.

¿Qué hizo entonces? Crear un servidor Proxy en Heroku haciendo uso de una herramienta llamada Glype. La idea era muy simple: ese proxy sería su página de inicio, a través de la cual podría introducir cualquier URL para utilizar ese fallo de configuración de T-Mobile y seguir navegando aun sin tener datos.

El joven demostró el problema que existía y se puso en contacto con T-Mobile para que solucionaran el problema. La solución, afirma, es muy sencilla, y basta con que revisen su lista blanca para deshabilitar este tipo de direcciones URL. De momento no ha habido respuesta de la operadora, pero desde luego el descubrimiento vuelve a demostrar el ingenio de algunos desarrolladores... y su honradez.

Más información | Jacob Ajit
En Xataka | Así te pueden espíar y grabar conversaciones a través del micrófono de tu smartphone

Hace unos meses asistimos a una verdadera batalla dialéctica y judicial entre Apple y el FBI. Los atentados de San Bernardino hicieron que la agencia de inteligencia exigiese a Apple ayuda para desbloquear el iPhone 5C de uno de los terroristas responsables de aquel ataque. Apple se negó, y el FBI acabó acudiendo a otros métodos para lograr algo que inicialmente parecía imposible.

El método para desbloquear aquel iPhone 5c parecía enormemente complejo y de hecho en el FBI aseguraron que no serviría para iPhones más recientes, pero un investigador de seguridad ha demostrado que un método alternativo hubiera permitido a esta agencia conseguir hackear este terminal con una inversión de apenas 90 euros. El FBI pagó 1 millón de dolares por el exploit con el que finalmente logró acceso a aquel terminal.

EL secreto está en la memoria NAND

El Dr. Sergei Skorobogatov, de la Universidad de Cambridge, ha logrado desarrollar un sistema capaz de superar la clave basada en un PIN que muchos usuarios utilizan en sus dispositivos. En un vídeo en YouTube el Dr. Skorogobatov muestra cómo tras extraer un chip de memoria NAND estudió su comportamiento para ver cómo podría clonar el chip.

Una vez averiguó ese mecanismo, clonó el chip NAND para conectar el teléfono a un chip modificado en el que simplemente reseteaba el contador de intentos de descubrimiento del código PIN para lograr acertar como el correcto. "Como puedo crear tantos chips clónicos como quiera, puedo repetir el proceso tantas veces como necesite hasta encontrar el código de acceso".

Encontrar el código de desbloqueo para su terminal de pruebas le costó en total 40 horas de trabajo y un equipamiento que está por debajo de los 90 euros. La técnica, llamada NAND mirroring, fue desestimada por el director del FBI James Comey como una opción para tratar de acceder al contenido del dispositivo de Syed Rizwan Farook, responsable junto a su mujer de la muerte de 14 personas en California el pasado mes de diciembre.

El descubrimiento no solo está explicado en el vídeo: el Dr. Skorobogatov ha publicado un informe de 10 páginas en el que explica detalladamente cómo replicar el proceso y en el que también revela formas para tratar de proteger otros dispositivos ante este tipo de ataque.

Vía | BBC
Más información | arXiv
Backdoors, seguridad y privacidad: ¿existe el equilibrio perfecto? Los expertos opinan

El pasado 15 de agosto se anunciaba un hecho que llamaba la atención en el mundo de la seguridad informática, ya que un grupo de hackers, autodenominado Shadow Brokers, aparecía en escena asegurando que habían logrado obtener una gran cantidad de archivos que pertenecían a la división de espionaje de la Agencia de Seguridad Nacional de los Estados Unidos (NSA), un hecho que desde un inicio parecía sospechoso debido a sus inusuales métodos, pero que al final se acabo confirmando por varias fuentes, entre las que se destacan Edward Snowden y Cisco.

Hoy después de varios días de silencio respecto a este hackeo, en Reuters aseguran haber hablado con cinco personas relacionadas con la investigación que está llevando a cabo la NSA para encontrar el origen de la filtración, donde en un giro "inesperado" de las cosas se está dando a conocer que la misma NSA habría sido la responsable del hackeo debido a un "error" de uno de sus empleados.

El "error" habría sucedió hace tres años

Hay que destacar que desde que se dio a conocer el hackeo, la NSA no se ha pronunciado al respecto para confirmarlo o desmentirlo, por lo que resulta interesante conocer algunos de los detalles de la investigación en curso, la cual se inicio con dos teorías: por un lado se pensaba que se trataba de una nueva filtración de Snowden, y por otro lado se apuntaba a la posible responsabilidad de Rusia, quien habría logrado entrar a los cuarteles generales de la agencia en Fort Meade, Maryland.

Ahora esas dos teorias se han descartado por completo al descubrir que un empleado, quien ya no trabaja para la agencia desde hace algunos años, habría dejado sus credenciales habilitadas en un ordenador remoto durante una misión hace tres años, credenciales que habrían sido encontradas por hackers rusos quienes hasta ahora han entrado a los servidores de la NSA para extraer los archivos y programas de espionaje.

La realidad es que todo suena como guión de película de espías, ya que el responsable del descuido ha reconocido su error, donde no es el único involucrado porque otras personas en esa misión habrían ocultado el error, algo que ahora se descubre es algo habitual en la agencia, porque según la investigación no es la primera vez que alguien en la NSA comete este tipo de descuidos.

Desde que se descubrió el hackeo el pasado agosto, la NSA habría afinado sus sensores para detectar el uso de sus herramientas fuera de suelo estadounidense, lo que también serviría para rastrear a adversarios rusos y chinos quienes suelen realizar ataques cibernéticos con mayor frecuencia; pero hasta el momento no han detectado ningún tipo de actividad por lo que se decidió no informar a los fabricantes estadounidenses que podrían ser afectados por el uso de estas herramientas, como el caso de Cisco y Fortinet.

Dentro de esta investigación aún no hay pruebas contundentes de que Shadow Brokers esté relacionado con el gobierno ruso, hasta el momento todas sus suposiciones sin fundamento, lo que ha llevado a que varios analistas y críticos sospechen de que se trata de una estrategia, muy mal diseñada, de la misma NSA y el gobierno de Obama, lo que hasta cierto punto tendría lógica ya que un grupo de hackers con dichas herramientas habría vendido de forma inmediata y en secreto, no como sucedió donde las herramientas se publicaron para llamar la atención de todo el mundo en búsqueda de un supuesto comprador.

Vía | Reuters En Xataka | El hackeo de Shadow Brokers a la NSA: ¿un mal negocio o una prueba irrefutable?