Archive for Seguridad Informática

noviembre 10th 2017

3 servicios de VPN para proteger tu privacidad en redes Wi-Fi

Número de lecturas: 968
{lang: 'es-419'}

A la hora de proteger tu privacidad, especialmente navegando en redes inseguras, hay una herramienta que hoy en día se torna indispensable: un túnel VPN o Virtual Private Network.

Esta aplicación cifra la información del usuario que viaja entre el dispositivo y un servidor de confianza, logrando que este tráfico no pueda ser interceptado por ningún curioso conectado a la misma red.

El uso de esta herramienta aparece siempre entre nuestros consejos más populares, y su uso es cada vez mas necesario, especialmente tras la vulnerabilidad descubierta recientemente en el protocolo WPA2.

Pero a menudo recibimos consultas sobre qué servicio conviene elegir y cuáles son las ventajas y desventajas. Por eso, a continuación vamos a presentarte algunas opciones de servicios de VPN que puedes utilizar en todos tus dispositivos, especialmente en tu móvil, el cual es más propenso a conectarse a redes Wi-Fi públicas o desprotegidas.

Recuerda que ningún software es infalible ni mucho menos perfecto, pero seleccionamos estas opciones para que sepas por dónde empezar.

#1 Proton VPN

Este proyecto nace luego de que un grupo de entusiastas de la Organización Europea para la Investigación Nuclear (CERN) desarrolle Proton Mail, el primer servicio gratuito de correo electrónico cifrado.

Este servicio no solo funciona muy bien, sino que tiene el respaldo de organizaciones confiables como el CERN y el Massachusetts Institute of Technology. Además, su casa matriz se encuentra en Suiza, donde las leyes de protección de datos personales son mucho más estrictas que en otros países.

Esto hace que su política de privacidad sea clara: Proton VPN no guarda registros de navegación de sus usuarios ni de sus sesiones, exceptuando la sesión activa. Sin embargo, su versión gratuita solo permite navegar a través de servidores salientes en Estados Unidos, lo cual deja al usuario a merced de las leyes de privacidad de este país.

Proton VPN utiliza el protocolo Open VPN para sus conexiones y cifra la información del usuario con AES-256, y el intercambio de llaves se realiza con RCA-2048, lo cual hace que sea una conexión segura.

La desventaja es que, si bien tiene un cliente para Windows, no cuenta con opciones para otras plataformas. Sin embargo, es posible descargar los archivos de configuración y utilizar otro cliente VPN, como el Open VPN Connect que ellos mismos recomiendan para Android.

#2 Hotspot Shield

La compañía AnchorFree Inc. lanzó sus servicios de VPN en el año 2008, y ya lleva varios años en el mercado. Actualmente posee diferentes opciones para sus usuarios, entre las que incluye una versión básica y gratuita de su cliente VPN y diferentes planes de suscripción para sus versiones denominadas “Elite”.

Además, cuenta con clientes para todo tipo de plataformas: Windows, Mac, iOS, Android e incluso una extensión exclusiva para utilizar en el navegador Chrome.

Dentro de sus principales características, en la versión gratuita se destaca que no requiere autenticación ni login. Es decir que no le pide al usuario ninguna información personal para comenzar a utilizar el servicio.

También ofrece la posibilidad configurar la aplicación para que se conecte automáticamente, ya sea al iniciar otra aplicación o al detectar una red potencialmente insegura.

Hotspot Shield utiliza TLS 1.2 para establecer la sesión entre el usuario y sus servidores y generar la clave de cifrado. Luego, cifra la información del usuario utilizando el algoritmo AES con una llave de 128 bits.

Posee más de 20 opciones de servidores para su versión paga, pero en la versión gratuita permite navegar únicamente a través de los servidores en Estados Unidos, los cuales, en general, funcionan con buena velocidad y sin inconvenientes.

Si bien la versión gratuita no tiene limitaciones en cuanto a la cantidad de datos transmitidos, tiene la gran desventaja de mostrar publicidades. Cada 5 o 6 minutos se muestra una publicidad de pantalla completa, lo cual puede resultar tedioso, especialmente si utilizamos la conexión por varias horas.

#3 TunnelBear VPN

Esta aplicación lanzada por la compañía TunnelBear Inc. tiene un diseño bastante peculiar. Es muy amigable y fácil de utilizar, ya que basta con elegir el servidor de salida para que nuestro “oso” cave un túnel cifrado hasta este destino.

Además, es una de las pocas que ofrece salida a través de servidores en México y Brasil, lo cual mejora notablemente la velocidad de navegación para usuarios de Latinoamérica.

El servicio es multiplataforma y cuenta con versiones para Windows, Mac, Android, iOS e incluso una extensión para el navegador. La aplicación para Android tiene algunas configuraciones interesantes, como la opción de GhostBear, que agrega una capa extra de cifrado para hacer aún más difícil su detección.

La empresa remarca su política de privacidad, donde aseguran que no guardan los datos de navegación de sus usuarios. Sin embargo, la aplicación solicita registrar un correo para comenzar a utilizarla.

Una gran ventaja es que la versión gratuita de TunnelBear no muestra publicidades molestas al usuario, pero, en contramedida, solo permite 500 MB de tráfico por mes. En caso de necesitar ampliar esta cuota, el usuario tiene la posibilidad de duplicar la cantidad de datos compartiendo la aplicación en redes sociales y con amigos.

A la hora de elegir un servicio VPN existen múltiples alternativas, por lo tanto, antes de decidir, recuerda que el principal objetivo de estas aplicaciones es proteger tu información y tu privacidad.

Aquí planteamos algunas opciones de aplicaciones gratuitas, pero sabemos que nada es realmente gratis en este ambiente, por lo que te recomendamos prestar especial atención a la información que compartes y tomar los recaudos necesarios. Si tienes la posibilidad de invertir algo de dinero y elegir las versiones completas, hazlo, porque tu privacidad lo vale.

Por último, no olvides leer cuidadosamente los términos y condiciones del servicio que elijas utilizar, especialmente su política de privacidad. Después de todo, estarás depositando tu confianza y tu información en sus manos.

Fuente:

welivesecurity.com

noviembre 9th 2017

Descubren cómo ‘hackear’ los enlaces en Facebook para tenderte una trampa

Número de lecturas: 2020
{lang: 'es-419'}

El investigador en ciberseguridad Barak Tawily ha desvelado que la red social por excelencia sigue siendo un coladero de noticias falsas y campañas de fraude y suplantación de identidad, a pesar de los esfuerzos de la compañía por mantener a raya a los atacantes. Aun así, existen varios trucos para que los usuarios estén a salvo de estas prácticas fraudulentas. Te mostramos a reconocerlas y evitarlas.

Cuando navegamos por Facebook y un enlace llama nuestra atención, una de las primeras cuestiones en la que nos fijamos para comprobar su veracidad es su procedencia. Ver que pertenece a una web que conocemos o nos parece fiablenos dará garantías. Aunque, por desgracia, no siempre será cierto. El experto en ciberseguridad Barak Tawily, de 24 años,  ha descubierto cómo enlaces de Facebook que parecen fiables pueden ser fraudulentos, lo cual pone en riesgo al usuario y cuestiona la seguridad de la red social, a pesar de los esfuerzos de la compañía por acabar con estas prácticas.

Hace más de un año, Facebook permitía cambiar el título, la descripción o la imagen de una publicación que se compartía en la red social. Esto daba lugar a una proliferación alarmante de contenido fraudulento, lo que llevó al equipo de Mark Zuckerberg a limitar estas ediciones en julio de este mismo año. “A partir de hoy, las páginas que no pertenezcan a editores no podrán reemplazar los metadatos de los enlaces (como el título, la descripción, o la imagen) en la API (término que se refiere en inglés a la interfaz de programación de aplicaciones) o en el editor de páginas”, anunciaba la compañía. Sin embargo, quedaba una excepción para colar ‘spam’:  las páginas de editores.

Algo que también cambiaron recientemente. “A partir del 12 de septiembre, las páginas de los editores solo pueden editar enlaces de dominios de sitios web que hayan autorizado con la herramienta de propiedad de enlaces”, explicaban desde el servicio de ayuda de Facebook para empresas. Aun así,  parece que el problema no está solucionado. Y lo más curioso es que se debe a la forma en que la propia compañía ha configurado la inserción de enlaces.

Como cuenta el investigador en su blog, cuando un usuario pega un enlace en su muro o lo envía a través de Facebook Messenger, un ‘bot’ llamado  Facebook External Hit extrae los datos relevantes del código HTML [el lenguaje en el que se diseñan las webs] y genera una vista previa con imagen, título, descripción y dominio de origen.

Ten cuidado con lo que te envían tus amigos a través de Facebook Messenger
Ten cuidado con lo que te envían tus amigos a través de Facebook Messenger

Tras indagar en su funcionamiento interno, Tawily encontró la clave para engañar a los usuarios. “El ‘bot’ de Facebook busca etiquetas HTML específicas, algunas son las conocidas como ‘meta’, concretamente con los valores ‘og: url’, ‘og: image’ y ‘og: title’”, explica. Estas metaetiquetas incluyen la información sobre el autor, el título, las palabras clave o la URL que se insertan en el encabezado de una página web y, aunque resultan invisibles para un visitante normal, son de gran utilidad para el posicionamiento en buscadores (el famoso SEO).

Según el análisis de Tawily, Facebook no valida si el enlace mencionado en la metaetiqueta ‘og: url’ es igual que la URL de la página. Así, es posible abusar de esta característica a través de metaetiquetas elaboradas. “En caso de que alguien suministre a Facebook una URL que lleve a un HTML con los etiquetas modificadas con datos falsos de otro sitio web (por ejemplo, YouTube), los datos de vista previa se verán como una canción de YouTube, pero el enlace real llevará a las víctimas a la URL que contiene el HTML malicioso”, detalla Tawily.

Este error permite a cualquier persona crear una URL personalizada simplemente editando las metaetiquetas de su web antes de publicar el enlace en la red social.

Cuando Tawily se percató del problema, él mismo contactó con la red social para informarles del error. Sin embargo, se encontró que desde la compañía negaban que esto entrañase un problema de seguridad. “Facebook incluye contenido generado por el usuario, por lo que la capacidad de inyectar contenido en una página, incluso en facebook.com, es una vulnerabilidad de muy bajo riesgo. Consideramos que los errores de suplantación de contenido como este son de bajo riesgo y de bajo impacto”, respondieron los de Zuckerberg.

Además le aseguraron a Tawily que todos los enlaces publicados son validados a través del sistema Link Shim. Este se encarga de verificar la URL compartida con una lista negra para evitar la suplantación de identidad y los sitios web maliciosos.

Así, este sistema de seguridad activo desde 2008 no solo no detectará un nuevo dominio que genere enlaces falsificados (pues de primeras no lo tendrá en su lista negra), sino que tampoco se percatará si modifica el  código de los metadatos como se demuestra en el siguiente vídeo:

En su blog, Tawily advierte que “hay muchas formas de aprovechar esta vulnerabilidad para realizar varios tipos de ataques, como robar información sensible como credenciales o tarjetas de crédito”. Muestra de ello es lo  ocurrido a mediados de octubre en una campaña de suplantación de identidad dirigida a usuarios de Suecia, Finlandia y Alemania.

Según detectó la firma finlandesa de seguridad F-Secure, se llegaron a efectuar casi un total de 200.000 clics. Estos se hacían sobre un enlace que parecía contener un vídeo de YouTube; sin embargo, los usuarios eran dirigidos a un sitio que los clasificaba según el tipo de dispositivo que estuvieran usando. Aquellos con móviles Android e iOS eran redireccionados a una web de ‘phising’ (una suplantación), mientras otros iban a parar a la web contenidosviral.net con una gran carga de anuncios maliciosos.

Con cada vez prácticas más sofisticadas, algunas veces resulta difícil no caer en estos engaños. Sin embargo, hay algunos trucos para no dejarse engatusar en la Red.

Por ejemplo, algo tan sencillo como desplazarse sobre el enlace antes de hacer clic para ver la dirección URL puede ayudarnos. Si vemos que aparecen palabras inconexas o alguna anomalía en el dominio, será mejor no acceder. También nos pondrá sobre aviso si en el contenido que se nos presenta vemos errores gramaticales, sobre todo si es una web con cierto renombre.

Oraciones mal redactadas o faltas ortográficas en las publicaciones deben hacernos sospechar.
Oraciones mal redactadas o faltas ortográficas en las publicaciones deben hacernos sospechar.

El sentido común también nos resultará útil. Aunque muchas veces la realidad supera la ficción, las publicaciones con titulares excesivamente impactantes pueden ser un cebo para el clic más peligroso.

Si alguno de nuestros amigos es quien comparte un enlace, tampoco hay que fiarse cuando detectamos anomalías. Por ejemplo, si nos lo envía por Facebook Messenger y nuestro amigo no se encuentra activo en el chat, puede que le hayan secuestrado la cuenta. Por eso lo mejor, antes de acceder a cualquier de estos enlaces, es preguntar a nuestro amigo para verificar que ha sido él quien nos lo ha mandado y no hay peligro.

Así que en internet, como en cualquier otro aspecto de la vida, la cautela debe ser la norma para no dejarse engañar y terminar con un buen susto por culpa de los ciberdelincuentes.

octubre 20th 2017

Los problemas de seguridad en WPA2 plantean serias preguntas sobre el Wi-Fi

Número de lecturas: 1134
{lang: 'es-419'}

Se ha demostrado que puede romperse el sistema de cifrado WPA2, dejando las conexiones Wi-Fi susceptibles a atacantes, que podrían leer información que, se creía, viajaba segura porque estaba cifrada.

KRACK” o Key Reinstallation AttaCK, como se ha llamado a la vulnerabilidad, implica que un tercero podría espiar la red, por lo que las conversaciones privadas ya no serían tan privadas en algunas circunstancias; el tráfico Wi-Fi que viaja entre dispositivos y puntos de acceso podría ser interceptado por cibercriminales que estén en un rango cercano a su víctima, quienes podrían espiar las comunicaciones, instalar malware o modificar páginas web.

Este será un problema grave para las compañías y sus departamentos de TI, mientras buscan la forma de protegerse y resguardar su información. Afortunadamente, los expertos pondrán manos a la obra para dar con una solución.

Desafortunadamente, quienes seguramente se vean más afectadas por los problemas de seguridad en WPA2 son las familias y pequeñas empresas que tienen routers más viejos, los cuales necesitan urgentemente una actualización de firmware. Sin embargo, Alex Hudson tiene un buen consejo para los que teman por esta noticia:

Los sitios seguros todavía son seguros, aún en Wi-Fi; piensa en configurar tus computadoras en modo “Red pública” – eso aumenta el nivel de seguridad del dispositivo respecto a los modos de red “Privada/Hogar”. Recuerda, si un tercero puede entrar a nuestras redes hogareñas, ya no son mucho más seguras que las de un café con red abierta; si estás paranoico con tu dispositivo móvil, apaga el Wi-Fi y usa tus datos móviles cuando sea necesario; suena como que no es posible un ataque similar contra la red de alimentación por Ethernet, por lo que las redes domésticas basadas en enchufes de red siguen estando ok; mantén las computadoras y los dispositivos parcheados y actualizados.

El investigador senior de ESET David Harley dice respecto a estos consejos: “Trata a tu propia red como si fuera una red pública y configura tus equipos de manera acorde. Muchos usuarios hogareños probablemente no tendrán molestias de esa manera, o al menos serán capaces de resolver las probables dificultades, pero las empresas, incluso las relativamente pequeñas con una sola LAN, tenderían a ser más afectadas”.

¿Qué puedes hacer?

Se espera que los grandes fabricantes puedan lanzar nuevo firmware que disminuya el impacto que tendrá KRACK. Así que mantente atento a la inminente publicación de parches y actualizaciones para instalarlas de inmediato en todos tus dispositivos (móviles o de escritorio).

Microsoft ya ha publicado una actualización para solucionar el problema, así que si tienes activadas las actualizaciones automáticas pronto tendrás el parche instalado. En Bleeping Computer hay un listado de actualizaciones de firmware y drivers disponibles, que se va completando a medida que surge información.

Mientras tanto, intenta acceder a Internet desde una VPN, si es posible, ya que añade otra capa de cifrado a tu tráfico. Y evita los sitios que no tengan HTTPS.

De todas formas, la pregunta surgirá: ¿ahora necesitamos WPA3? Bueno, la respuesta corta es “todavía no”. Afortunadamente, el problema puede abordarse y corregirse incluso de manera retroactiva. Esto significará que WPA2 no tendrá que ser reemplazado todavía.

Video demostrativo del ataque:

Más Información:

http://www.elladodelmal.com/2017/10/krack-attack-o-como-reventar-wpa2-y-de.html
https://gabrielchavez.me/fallo-de-seguridad-en-wpa2/

Fuente:

welivesecurity.com

agosto 28th 2017

Escanea la seguridad de tus aplicaciones Web con Spaghetti

Número de lecturas: 1306
{lang: 'es-419'}

A diario se crean miles de aplicaciones web, muchas de ellas sin seguir lineamientos de seguridad básicas, para analizar que nuestras aplicaciones web se encuentra en un nivel de seguridad alta es posible usar Spaghetti, un escaner de vulnerabilidad bastante interesante.

¿Qué es Spaghetti?

Es una aplicación de código abierto, desarrollada en Python que nos permite escanear aplicaciones web en búsqueda de vulnerabilidades, la aplicación esta diseñada para encontrar varios archivos predeterminados o inseguros, así como para detectar configuraciones erróneas.

aplicaciones web

Al ser desarrollada en python esta herramienta puede ser ejecutada en cualquier sistema operativo que sea compatible con la versión 2.7 de python.

Contiene un potente Fingerprinting que nos permite recopilar información de una aplicación web, entre las que se destacan la información relacionada al servidor, el framework utilizado para su desarrollo (CakePHP,CherryPy,Django,…), si contiene un firewall activo (Cloudflare,AWS,Barracuda,…), si ha sido desarrollado utilizando un cms (Drupal,Joomla,Wordpress,…), el sistema operativo en el que se ejecuta la aplicación y el lenguaje de programación utilizado.

Además viene equipado con otras series de funcionalidades que permitirá hacer un exhaustivo analisis de la integridad y seguridad de una aplicación web, todo esto desde la terminal y de manera sencilla.

En líneas generales una vez que ejecutemos la herramienta simplemente debemos elegir la url de la aplicación web que deseamos analizar e introducir los parámetros correspondiente a la funcionalidad que deseamos aplicar, luego la herramienta hará el análisis correspondiente y mostrará los resultados obtenidos.

¿Cómo instalar Spaghetti?

Para instalar Spaghetti en cualquier distro simplemente debemos tener instalado python 2.7 y ejecutar los siguientes comandos:

$ git clone https://github.com/m4ll0k/Spaghetti.git
$ cd Spaghetti 
$ pip install -r doc/requirements.txt
$ python spaghetti.py -h

Luego simplemente podemos utilizar la herramienta en todas las aplicaciones web que deseemos escanear. La utilidad es bastante poderosa y fácil de usar, además cuenta con un desarrollador muy activo, que se especializa en herramientas relacionadas a la seguridad informática.

Es importante destacar que el mejor uso que le podemos dar a esta herramienta es el de encontrar brechas de seguridad abiertas en nuestras aplicaciones web, para solventarlas y hacerlas más segura, no obstante, algunos usuarios podrían aprovechar esta herramienta para intentar acceder a aplicaciones web que no son de su propiedad por lo que recomendamos dar un uso adecuado a la misma.

 

Fuente:
blog.desdelinux.net