Archivo para la Categoría “[In]Seguridad Informática”

Los "hackers" están utilizando el esperado final de la serie de televisión "Perdidos" como gancho para extender un falso antivirus denominado MySecurityEngine, según informa PandaLabs en nota de prensa.

Este falso antivirus se propaga a través de los buscadores de Internet, camuflados como enlaces para descargar los últimos capítulos de esta serie de televisión.

Así, cuando la víctima busca en Internet asuntos referidos a la serie, como información sobre el último capítulo o referencias para visualizarlo en directo, aparecen como resultados falsas webs que cuando el usuario pincha en ellas se descarga un fichero que instala el falso antivirus.

No obstante, Panda advierte de que "Perdidos" no es la única serie que está siendo utilizada por los "hackers" como gancho.

En los últimos días también han aparecido un alto número de intentos de engañar a los internautas utilizando la misma técnica pero con búsquedas relacionadas con la serie "Glee", "Padre de Familia" o con el reciente estreno de la película Iron Man 2.

También se utilizan otro tipo de ganchos, como el reciente fallecimiento del cantante de rock Ronnie James Dio, que ha sido utilizado para desplegar un "potente ataque" de Black Hat SEO, un virus que modifica los resultados que el usuario recibe en sus búsquedas a través de Internet.

Artículo extraído de Periodista Digital.

Desactivado el portal de consulta de la Renta Básica de Emancipación

La Agencia de Protección de Datos ha abierto una investigación para determinar si ha existido una vulneración de la normativa de protección de datos

El Ministerio también ha abierto una investigación

El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos.

El error estaba en un portal del Ministerio dedicada al seguimiento de las solicitudes de la "renta básica a la emancipación", un sitio web que es comúnmente conocido por los trabajadores del centro como el portal "qué hay de lo mío".

Esta vulnerabilidad, descubierta por Alonso Vidales Miguélez -experto en diseño web y lector del Navegante-, y comunicada directamente al Ministerio, es relativamente fácil de explotar para realizar ataques ‘spoofed form’, por el que cambiando ciertos parámetros en la página se puede acceder de manera aleatoria a los datos de un ciudadano.

En esta página -http://rbe.vivienda.es-, los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. No obstante, y de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio.

De esta manera, al consultar los detalles de esta ‘nueva’ consulta, se podía acceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.

Horas después del descubrimiento de este error, el Director de la Agencia de Protección de Datos "ha ordenado la apertura de actuaciones de investigación para determinar si pudiera haber existido una vulneración de la normativa de protección de datos", según informa la propia Agencia.

El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer ‘online’ con una vulnerabilidad similar.

Hay que destacar que el portal víctima de la vulnerabilidad no fue desarrollado por el equipo técnico interno de Vivienda, a diferencia del resto del sitio web del citado Ministerio.

Leer esta entrada completa »

Para adivinar la clave de las cuentas, no hace falta que los ciber-delicuentes hagan uso de complicadas herramientas de software.

Con mucha frecuencia, éstas suelen ser más fáciles de lo que pensamos.

Una ex pareja celosa, un jefe sin escrúpulos o un hacker ocioso puede poner en riesgo nuestra privacidad, comprar con nuestras tarjetas de crédito o, simplemente, hacernos pasar un muy mal rato, si consiguen descifrar las contraseñas de nuestro correo electrónico o de nuestra cuenta en Facebook.
El riesgo es considerable: pueden llegar a conocer nuestros datos bancarios o detalles de nuestra vida privada (fotografías, vídeo, documentos…), con quién y cuándo nos relacionamos… Toda esta información puede ser utilizada para realizar compras con nuestras tarjetas de crédito, sin nuestro consentimiento, o incluso, para extorsionarnos.
Hace unos meses, se produjo un ataque a los servidores de Rock You, una empresa especializada en widgets paras redes sociales. Los hackers se hicieron con en botín de 32 millones de contraseñas de usuarios y entre las más usadas se encontraban algunas realmente fáciles de adivinar.
Si nos basamos en los datos recogidos hasta el momento, las diez peores contraseñas utilizadas en el mercado español de Internet serían las siguientes:

• 123456
• 12345
• 123456789
• contraseña
• tequiero
• Yahoo *
• qwerty
• 1234567
• 12345678
• abc123

* En el número 6, se incluiría el nombre del sitio al que queremos acceder. Por ejemplo, si fuese Facebook, la contraseña sería Facebook o Yahoo en el caso de que quisiéramos acceder a una web de Yahoo.

¿Qué es lo que hace que una contraseña sea débil?

Mirando esta lista, la conclusión sería que los peores passwords son los formados por series sucesivas de números, en los que se utiliza la palabra "contraseña" o la del nombre del sitio al que queremos entrar.
También son ejemplo de malas contraseñas las que estén formadas por nuestro nombre o apellido, las primeras letras del abecedario o "qwerty" que es la primera fila de letras de un teclado. Todas muy fáciles de recordar, pero vulnerables.
Si sólo está formada por una palabra del diccionario, por muy rara que sea, también estamos en peligro: los hackers se sirven de programas que realizan los llamados "Ataques de diccionario" para adivinar las contraseñas y vulnerar nuestra privacidad.
Una buena forma de saber si nuestra contraseña es fuerte, es probarla en la página Microsoft Online Safety, donde se evalúa si es lo suficientemente segura. Si no lo es, merece la pena seguir esta serie de sencillos consejos para crear un password prácticamente inexpugnable:

¿Cómo crear una contraseña segura?

- Utiliza letras y números
- Usa caracteres especiales, como la arroba.
- Combina mayúsculas y minúsculas.
- Cambia la contraseña al menos una vez al mes.
- Crea una que esté compuesta por, al menos, 10 caracteres (una longitud de 16 es lo más recomendable).
- Nunca crees un archivo en nuestro ordenador que contenga nuestras contraseñas.
- No usar la misma contraseña para diferentes sitios.
- No teclearla delante de otra persona.
- Usa un antivirus actualizado o un programa para encontrar software malicioso para saber si en nuestro ordenador está instalado un programa de reconocimiento de contraseñas.

Artículo extraído de Yahoo! Noticias.

Hasta un 21% de los ataques proceden del país europeo.

Muchas empresas han llegado a Rumanía atraídas por las buenas prestaciones de los profesionales y los bajos salarios.

Rumanía es, después de China, el país desde el que se lanzan más ataques informáticos, según un estudio de la multinacional de seguridad informática Symantec. Hasta un 21% de los intentos de obtener datos de otros ordenadores tienen su origen en computadoras de este país del Este de Europa.

Los criminales cibernéticos rumanos centran la mayoría de sus esfuerzos en fraudes comerciales, y han puesto a su país por delante de potencias del sector informático como el Reino Unido, Estados Unidos o Taiwán. Los piratas informáticos de Rumanía tienen fama de estar entre los mejores del mundo debido al gran número de informáticos del país.

En Rumanía la ciudad de Timisoara es considerada el "Silicon Valley de Europa del Este", debido a las muchas compañías de desarrollo de programas informáticos que se han asentado allí.

Muchas empresas han llegado atraídas por las buenas prestaciones de los profesionales y los bajos salarios, ya que Rumanía es junto con Bulgaria el país con los sueldos más bajos de la Unión Europea.

Sin embargo, algunos informáticos pueden haber decidido seguir caminos alternativos, más arriesgados pero mucho más lucrativos, que trabajar en una empresa de programación.

En una visita de Bill Gates a Bucarest en 2007, el presidente rumano, Traian Basescu, declaró frente al fundador de Microsoft que "una cosa mala como la piratería de programas ha sido finalmente una inversión en la educación de las generaciones jóvenes de Rumanía".

Artículo extraído de 20 Minutos.

NOTA AL MÁRGEN: el mal siempre viene del mismo sitio, aunque adopte nuevas formas de ataque.

Internet Explorer 8, el primero en caer

Todos los años, el concurso Pwn2Own permite a varios hackers poner a prueba sus técnicas para violar la seguridad de varios sistemas informáticos. Este año han ganado premios por encontrar fallos en Safari, Firefox, Explorer 8 y hasta el iPhone, pero Chrome se les ha resistido como el año pasado.

El concurso Pwn2Own se celebra en el marco del congreso sobre seguridad informática CanSecWest que tiene lugar anualmente en Canadá. Organizado por TippingPoint, empresa especializada en ofrecer soluciones de seguridad y creadora de la iniciativa Zero Day para fomentar el hacking responsable, recompensando el descubrimiento de vulnerabilidades siempre que no se divulguen públicamente.

El concurso ha comenzado con los principales navegadores web (Internet Explorer 8, Firefox, Chrome y Safari) y los teléfonos móviles inteligentes. Aunque el primero en caer ha sido el Internet Explorer 8, el ganador, Peter Vreugdenhil, ha reconocido que trabajó durante dos semanas antes del concurso para poder aprovecharse así de un agujero de seguridad que el navegador de Microsoft comparte con Firefox bajo Windows 7, según informa ZDnet.

En cualquier caso, el responsable de haber violado la seguridad de Firefox, un alemán conocido simplemente como Nils, lo ha logrado por la misma vía que Vreugdenhil. Nils ha afirmado que el navegador de Mozilla podría hacer un trabajo mucho mejor en defenderse de esa vulnerabilidad. Por su parte, el responsable de encontrar la vulnerabilidad en Safari ha sido el mismo que lo consiguió el año pasado, Charlie Miller. Los tres ganadores se han llevado un premio de 10.000 dólares, unos 7.250 euros.

Chrome se ha vuelto a librar, por segundo año consecutivo, de los ataques es estos hackers. Hay que resaltar que Google parcheó su navegador unos días antes de la celebración del concurso, seguramente como medida de precaución.

El error más escandaloso, no obstante, es el que ha presentado el iPhone. Sólo con visitar una página que incluía código malicioso, los hackers pudieron acceder a toda la base de datos de mensajes del terminal, incluidos los que habían sido borrados, en sólo 20 segundos desde que se iniciara el concurso. Naturalmente, lo traían preparado de casa.

Artículo extraído de Libertad Digital.