LATEST ARTICLES

October 9th 2019

Simjacker: un ataque mediante la SIM

by admin in Seguridad Informática     tags:       No Comment
Número de lecturas: 212
{lang: 'es-419'}

Simjacker: vigilancia de teléfonos basada en la SIM.

Hace poco los expertos de AdaptiveMobile Security descubrieron un método de ataque en teléfonos móviles que se puede llevar a cabo utilizando una computadora normal y un módem USB barato. Mientras que algunos métodos antiguos para la vigilancia de teléfonos móviles requerían un equipo especial y una licencia operativa de telecomunicaciones, este ataque, llamado Simjacker, se aprovecha de una vulnerabilidad encontrada en las tarjetas SIM.

Todo se debe a S@T Browser

La mayoría de las tarjetas SIM que se han puesto a la venta desde principios del 2000, incluidas las eSIM, incluyen un menú sobre el operador. Este menú ofrece información sobre el saldo, opción de recarga, soporte técnico y, a veces, funciones adicionales como el tiempo o, incluso, el horóscopo. En los teléfonos antiguos aparece en el menú principal. Por su parte, iOS lo esconde en los ajustes (en Aplicaciones SIM) y en los teléfonos Android se trata de una aplicación llamada SIM Toolkit.

El menú es básicamente una aplicación (en concreto, varias aplicaciones con el nombre SIM ToolKit [STK]), pero estos programas no se ejecutan en el mismo teléfono, sino en la tarjeta SIM. Recuerda que tu tarjeta SIM es una computadora diminuta con sistema operativo y programa propios. STK responde a comandos externos, por ejemplo, al presionar un botón del menú del operador, y hace que el teléfono ejecute ciertas acciones, como enviar mensaje SMS o comandos USSD.

Una de las aplicaciones que incluye el STK se llama S@T Browser y se utiliza para ver páginas web de un cierto formato y páginas ubicadas en la red interna de la operadora. Por ejemplo, S@T Browser puede suministrar información sobre el saldo de tu cuenta.

La aplicación S@T Browser no se ha actualizado desde el 2009 y, aunque en los dispositivos modernos sus funciones las ejecutan otros programas, S@T Browser se sigue usando de forma activa o, al menos, sigue instalada en muchas tarjetas SIM. Los investigadores no han mencionado las zonas geográficas ni las empresas de telecomunicación en concreto que venden tarjetas Sim con esta aplicación instalada, pero aseguran que hay más de mil millones de personas repartidas en no menos de 30 países que las utilizan, y es precisamente en S@T Browser donde se encuentra la vulnerabilidad de la que estamos hablando.

Los ataques Simjacker

El ataque comienza con un mensaje SMS que contiene una serie de instrucciones para la tarjeta SIM. Siguiendo estas instrucciones, la tarjeta SIM solicita al teléfono móvil su número de serie y el identificador de celular de la estación base en cuya zona de cobertura se encuentre el suscriptor y envía un SMS de respuesta con esta información al número del atacante.

Las coordenadas de las estaciones se conocen (e incluso están disponibles en línea), por lo que el identificador de celular se puede utilizar para determinar la ubicación de los suscriptores que se encuentren a menos de unos cien metros. Los servicios basados en la ubicación dependen del mismo principio para determinar la ubicación sin asistencia satelital, por ejemplo, en interiores o cuando el GPS esté desactivado.

El usuario no se percatará de ningún tipo de manipulación que se realice en la tarjeta SIM. Ni los mensajes SMS entrantes con comandos, ni las respuestas con los datos de la ubicación del dispositivo aparecen en la aplicación de mensajería, por lo que es muy probable que las víctimas de Simjacker ni siquiera sepan que alguien las está espiando.

¿A quién ha afectado Simjacker?

Según AdaptiveMobile Security, los espías han estado rastreando la ubicación de usuarios de varios países no especificados. Y en uno de esos países, terminaron comprometidos entre 100 y 150 números al día. Como norma general, estas solicitudes se suelen enviar solo una vez a la semana; no obstante, los movimientos de algunas víctimas están mucho más monitoreados. De hecho, el equipo de investigación descubrió que varios usuarios recibían cientos de SMS maliciosos a la semana.

Los ataques Simjacker pueden ir mucho más lejos

Los investigadores han descubierto que los cibercriminales no usaban todas las funciones que ofrecía S@T Browser en la tarjeta SIM. Por ejemplo, el SMS se puede utilizar para hacer que el teléfono llame a cualquier número, envíe mensajes con un texto aleatorio a números arbitrarios, abra enlaces en el navegador o, incluso, desactive la tarjeta SIM, dejando a la víctima sin teléfono.

Esta vulnerabilidad da lugar a posibles y numerosas situaciones de ataque, donde los criminales pueden transferir dinero por SMS a un número de cuenta, llamar a números de pago, abrir páginas de phishing en el navegador o descargar troyanos.

Esta vulnerabilidad es especialmente peligrosa porque no depende del dispositivo en el que se inserte la tarjeta SIM vulnerable, sino que el conjunto de comandos STK está estandarizado y es compatible con todos los teléfonos e, incluso, con los dispositivos IdC con SIM. Para algunas operaciones, como realizar una llamada, algunos dispositivos solicitan la confirmación del usuario, pero muchos otros, no.

¿Cómo puede un usuario evitar los ataques Simjacker?

Por desgracia, no existe ningún método independiente para que los usuarios eviten los ataques de tarjeta SIM. Es responsabilidad de las operadoras móviles garantizar la seguridad de sus clientes. Sobre todo, deberían evitar utilizar aplicaciones de menú de SIM desactualizadas, además de bloquear los códigos SMS que contengan comandos peligrosos.

Pero también hay buenas noticias. Aunque no se necesita ningún hardware caro para ejecutar el ataque, sí requiere amplios conocimientos técnicos y capacidades especiales, por lo que es poco probable que cualquier cibercriminal pueda utilizar este método.

Además, los investigadores notificaron al desarrollador S@T Browser, SIMalliance, sobre la vulnerabilidad y, como respuesta, la empresa expidió una serie de directrices de seguridad para los operadores que utilizan la aplicación. Los ataques Simjacker también se notificaron a la Asociación GSM, una organización internacional que representa los intereses de los operadores móviles de todo el mundo. Por tanto, se espera que las empresas tomen todas las medidas de protección necesarias en cuanto tengan la oportunidad.

Fuente:

kaspersky.com

October 2nd 2019

En el desarrollo de apps ¿Flutter o Ionic?

by admin in android, Angular, Apple, Desarrollo web, google, Herramientas Utiles, iPhone     tags: , , , , , ,       No Comment
Número de lecturas: 240
{lang: 'es-419'}
flutter o ionic

Los frameworks agilizan el trabajo de los programadores a la hora de desarrollar apps.

Su utilización garantiza una mayor productividad durante la jornada laboral, agilizando las horas de trabajo volcadas en el desarrollo.

Para ayudar a los desarrolladores y equipos a tomar la decisión correcta, esta breve guía explica las similitudes y diferencias entre Flutter o Ionic.

¿Qué es Flutter?

 

Flutter es un framework de Google. Permite, a partir de un mismo código, el desarrollo de apps compatibles con iOS y Android a una velocidad récord.

Basándonos en nuestra experiencia, Flutter mejora el rendimiento de las aplicaciones. Reduce su tamaño y es en general más estable y

produce menos errores.

¿Qué es Ionic?

 

Ionic es un framework originalmente basado en Angular. Permite a nuestros programadores el desarrollo de apps con tecnologías web. Utiliza estándares como HTML, CSS y JavaScript. Prepara el código de una app para que pueda funcionar tanto en plataformas iOS como en Android. También,  ofrece la posibilidad de realizar una compilación más y hacer una ampliación de escritorio basada en ElectronJS. Dando lugar a una Progressive Web App.

Flutter vs Ionic

Ionic y Flutter comparten una visión común de crear aplicaciones de alto rendimiento que funcionen en todos los dispositivos. Sin embargo, sus filosofías centrales no podrían ser más diferentes.

 

  • El principio de Ionic es utilizar la plataforma web. Adoptando estándares abiertos siempre que sea posible.
  • Al programar con Ionic se aprende sobre las herramientas y los lenguajes de la web. Es un framework diseñado para ofrecer un gran rendimiento en dispositivos móviles, equipos de escritorio y, especialmente, en la web.
  • Flutter, en cambio, crea un ecosistema propio que está en desacuerdo con los lenguajes comunes, conjuntos de herramientas y estándares que se encuentran en el mundo del desarrollo en general.
  • Flutter ofrece un rendimiento muy bueno en dispositivos móviles. Pero las limitaciones fundamentales de su arquitectura hacen que sea una mala elección para implementaciones basadas en web.
  • La elección de la solución debe basarse en dónde y cómo se planea implementar la app y qué habilidades se conoce o se quiere aprender en el futuro.

 

Visión compartida

Tanto Ionic como Flutter son únicos entre todos los otros enfoques de desarrollo de aplicaciones. Comparten la visión de crear un framework para diseñar la interfaz de usuario que funcione en todas partes. Ofreciendo un gran rendimiento y una buena experiencia de usuario dondequiera que se ejecute.

Mientras que la mayoría de los enfoques multiplataforma, como React Native, se centran casi exclusivamente en dispositivos móviles. Ionic y Flutter están diseñados para abordar dispositivos móviles, equipos de escritorio y la web. Todo esto con una base de código compartida.

La distinción clave entre ellas es la forma en que cada solución trata de realizar esta visión y en que medida pueden cumplirla.

Filosofías opuestas

Las diferencias entre Ionic y Flutter comienzan con la filosofía central de cada framework. Que no podría ser más diferente. En todo lo que hacemos en Ionic, el principio rector es “utilizar la plataforma” mediante la adopción de estándares y capacidades web abiertas siempre que sea posible.

Cuando se elige Ionic, no se apuesta realmente por Ionic. Se está apostando en la web.

Esto se debe a que Ionic y sus herramientas se basan en tecnologías web abiertas. Desde los lenguajes web que utiliza para crear aplicaciones (HTML, CSS, JavaScript) hasta los componentes de interfaz de usuario basados en estándares que se ejecutan dentro de la app.

Flutter ha optado por realizar su visión creando un ecosistema completamente nuevo y propio desde cero. Desde Dart, el lenguaje que usa Flutter para crear aplicaciones, hasta su motor de renderizado personalizado. Casi todo Flutter se basa en su propio conjunto de estándares que no aprovechan las capacidades del navegador, los lenguaje web y las librerías JavaScript de hoy en día.

Estas filosofías opuestas tienen un profundo efecto en lo que se puede hacer con cada framework, y el impacto que tienen tanto hoy como en el futuro.

Cómo funciona Flutter
El lenguaje central de Flutter es Dart, un lenguaje poco conocido que comenzó en 2011. Aunque lleva unos años, pocos desarrolladores lo conocen hoy (menos del 2%, según la Encuesta StackOverflow de 2019), y rara vez se usa fuera de la comunidad de Flutter.

Al compilar para dispositivos móviles, Flutter usa el compilador Dart para convertir su código Dart en un código nativo que se ejecutará en la plataforma del dispositivo. Junto con un motor de renderizado personalizado para mostrar su interfaz de usuario dentro de una app móvil.

Las aplicaciones móviles de Flutter acceden a las funciones nativas del dispositivo mediante una biblioteca de complementos similar a Ionic y React NativeFlutter no usa los elementos de la interfaz de usuario nativos. Como encontrarías en React Native, ni utiliza componentes web como Ionic. En su lugar, Flutter ofrece su propia biblioteca de widgets de interfaz de usuario.

Las aplicaciones móviles de Flutter acceden a las funciones nativas del dispositivo mediante una biblioteca de complementos similar a Ionic y React Native. Los paquetes listos para usar están disponibles para acceder a las funciones comunes del dispositivo. También se puede escribir código personalizado específico para la plataforma si el paquete o el complemento que se está buscando no está disponible. Utilizando una plataforma de mensajería asíncrona específica de Flutter que maneja la correspondencia entre el cliente (UI) y el host (sistema operativo de la plataforma).

En resumen, para cumplir con los objetivos establecidos de crear un “framework de IU que funcione en todas partes”. El equipo de Flutter utiliza el lenguaje Dart. Flutter utiliza un motor de renderizado personalizado, una implementación nativa y un framework web personalizado para el navegador. Reflejando su decisión de construir una arquitectura independiente.

Cómo funciona Ionic
Las aplicaciones de Ionic se crean utilizando los lenguajes web: HTML, CSS y JavaScript. Por lo tanto, si se sabe cómo construir una aplicación web básica, se sabe cómo crear con Ionic.

Con Ionic se puede implementar una aplicación nativa de iOS o Android, una aplicación de escritorio nativa o una aplicación web. Todo desde una base de código compartida única. Cuando se ejecuta en dispositivos móviles, Ionic se ejecuta dentro de un contenedor nativo utilizando Cordova o, más recientemente, Capacitor. Permite el acceso completo a cualquier API o características del dispositivo nativo. La interfaz de usuario de la aplicación móvil hecha con Ionic se ejecuta en un sitio web. Se trata de un navegador que es “invisible” para el usuario. En una implementación de escritorio, Ionic se ejecuta dentro de un contenedor de escritorio nativo como Electron, o directamente en cualquier navegador móvil o de escritorio como una aplicación web progresiva.

Ionic utiliza el estándar de componentes web. Por lo que se ejecuta en cualquier navegador web y son compatibles con cualquier framework JS, incluidos React, Vue y Angular. Ionic proporciona una biblioteca de más de 100 componentes de interfaz de usuario que puede personalizar con CSS para adaptarse a las pautas de la marca. También puede usar Stencil. Un compilador de componentes web de código abierto del equipo de Ionic. Para crear una propia biblioteca de componentes web personalizados. De hecho, cualquier componente de interfaz de usuario basado en web o biblioteca web se ejecutará en Ionic. Lo que ofrece la libertad de aprovechar cualquier elemento de la web para el proyecto.

flutter o ionic
En el desarrollo de apps ¿Flutter o Ionic?

Es importante tener en cuenta los siguientes factores:

Rendimiento

Flutter podría ser una mejor opción en cuanto a rendimiento. Sin embargo, en muchos casos, Ionic da el mismo rendimiento si está escribiendo una aplicación para un consumidor más estándar o para el uso de empleados. Hay que tener en cuenta que el rendimiento casi siempre se reduce a cómo se escribe el código. No depende de la plataforma o framework que se elija.

Ionic utiliza el tiempo de ejecución y los recursos del navegador estándar. Por lo que el tamaño de la aplicación suele ser muy pequeño. Flutter requiere una gran cantidad de código para aplicaciones muy básicas, porque envia todo ese tiempo de ejecución a pesar de que el navegador ya tiene funciones disponibles para casi todo. Por lo tanto, si se está buscando alcanzar los estándares de rendimiento de Google para aplicaciones web progresivas (PWA) o ocupar un lugar destacado en las páginas de resultados del motor de búsqueda, resultará casi imposible con el rendimiento actual de Flutter en la web.

Portabilidad de código

Cuando se trata de implementar una aplicación en dispositivos móviles y de escritorio, tanto Ionic como Flutter aparecen uniformemente emparejados. Con Flutter puedes crear algunas aplicaciones de iOS y Android con un solo código. Se puede compilar la aplicación para ejecutarse de forma nativa en una serie de plataformas de escritorio.

La pregunta es si se desea implementar la aplicación a través de la web. Ya sea como una aplicación web de escritorio tradicional o como PWA. Las limitaciones inherentes de la implementación web de Flutter probablemente nunca funcionarán para aplicaciones que requieren tiempos de carga rápidos y un rendimiento ágil. Sin mencionar que su enfoque propietario limitará el número de bibliotecas web que se puede aprovechar. Dado que Ionic se basa en la web y se basa completamente en los estándares web, creemos que es justo darle a Ionic la ventaja cuando se trata de dispositivos móviles, equipos de escritorio y la web.

Look & feel nativo

Aunque ninguno de los frameworks utiliza los elementos de la interfaz de usuario nativos de cada plataforma. Flutter e Ionic actualizan automáticamente el diseño de sus elementos de la interfaz de usuario para que coincida con la plataforma en la que se ejecuta la aplicación: Material Design para Android y Cupertino para iOS.

Ambas soluciones le permiten acceder a los servicios de la plataforma y las API nativas a través de una biblioteca de complementos predefinidos, con un conjunto de herramientas para crear sus propios complementos personalizados según sea necesario.

Sin embargo, debe tenerse en cuenta cómo es la implementación móvil nativa de Flutter. Si se está haciendo un trabajo nativo personalizado con Flutter, se debe aprender la manera en que Flutter trabaja con iOS y Android.

Conocimientos y habilidades

Aquí es donde las distinciones entre Ionic y Flutter se hacen realmente evidentes.

Primero, a menos que seas uno de los 1.9% de los desarrolladores que ya conocen Dart, en comparación con el 70% que conoce JavaScript, tendrás que pensar que quieres aprender un nuevo idioma. JavaScript es, por supuesto, una apuesta bastante segura para cualquier desarrollador. La necesidad de los desarrolladores de aprender Dart dependerá únicamente del éxito o fracaso de Flutter como solución viable a largo plazo.

Segundo, debido a que Flutter opera en su propio ecosistema altamente personalizado. Hay que aprender la forma de Flutter de hacer las cosas. Por ejemplo, si está resolviendo problemas de interfaz de usuario. Se aprenderá y dominará el motor de renderizado personalizado de Flutter. No las aplicaciones web en general. Cuando se interactúe con plataformas de dispositivos nativos, se debe aprender la interpretación de Android y iOS de Flutter, no Android o iOS en general. Este factor es uno de los mayores a considerar, al saltar a un silo de desarrollo que no comparte estándares y herramientas con otras plataformas.

En contraste, cuando estás creando con Ionic, no necesariamente estás aprendiendo Ionic. Estás aprendiendo cómo construir aplicaciones web en general. Se aprende a escribir con JavaScript, con CSS y a crear interfaces de alto rendimiento con componentes web basados en estos estándares.

Oportunidades para el futuro

El último factor a considerar es la vida útil del proyecto, la libertad y flexibilidad que se tendrá a medida que la aplicación madure.

Con Ionic, se apuesta por el desarrollo en la web. Por lo que incluso si eliges construir en otras plataformas en el futuro, todo lo que construyas se basará en estándares web abiertos. Y, dado que Ionic se basa en componentes web, puede usarlo con cualquier framework JS. Con Ionic se tendrá la libertad de aprovechar lo que sea que traiga el mañana.

La tecnología está en constante evolución y cada vez más rápido. Por lo que es necesario seleccionar la tecnología más versátil en cada momento. Que permita crear productos digitales y soluciones reusables, modulares, que puedan acoplar y desacoplar componentes fácilmente sin tener que rehacer el producto.

 

Gráfica comparativa

Para ayudar a resumir las distinciones clave entre Flutter y Ionic, esta tabla de comparación proporciona un desglose de algunas de las dimensiones que se deben considerar.

 

flutter o ionic

 

El principio de Ionic es utilizar la plataforma web y adoptar estándares abiertos siempre que sea posible. Cuando se trabaja con Ionic, se aprende y aplica las herramientas y los lenguajes de la web. Utilizando un framework diseñado para ofrecer un gran rendimiento en dispositivos móviles, equipos de escritorio y, especialmente, en la web.

Flutter, en cambio, ha optado por hacerlo solo. Creando un ecosistema propio que está en desacuerdo con los lenguajes comunes, los conjuntos de herramientas y estándares que se encuentran en el mundo del desarrollo en general. Por lo tanto, si se elige Flutter, se debe aprender la forma de Flutter de hacer las cosas. Por supuesto, hay beneficios claros para una arquitectura personalizada.

La mejor manera de descubrir cuál es el adecuado para un desarrollo es comenzar a construir con ambos y luego comparar las experiencias.

Fuente:

syntonize.com

September 26th 2019

What’s new in angular 8?

by admin in Angular, AngularJS     tags:       No Comment
Número de lecturas: 284
{lang: 'es-419'}

we are talking about the new Angular 8.0, which is finally here and how!

Here are the Highlights of Angular 8

Differential Loading by Default

From now on, Angular will serve different browsers with different bundles by default. The CLI extension will generate distinct bundles for old legacy (ES5) browsers and modern JavaScript browsers.

Lazy Loading with Dynamic Imports

Lazy loading has been custom to the router and was built into the toolchain since the very birth of Angular. The loadChildren key in the route configuration is used to accomplish the same.

Improved Support for Web Worker Bundling

When you are into CPU-intensive tasks, web workers are the best way to speed up application and improve their parallelizability. They write code off the main thread and offload tasks to a separate background thread.

Opt-In Usage Sharing

This is yet another interesting addition to the Angular CLI which seems like an effort to align Angular 8 with the community needs. With this, the open-source web application framework will collect anonymous data only when allowed to.

Support for TypeScript 3.4

Angular 8.0 has not only welcomed TypeScript 3.4, but also mandated it. In other words, you will now have to update your TypeScript version without failing.

Dart-sass for Sass Files

Angular CLI has ditched node-sass for dart-sass to create your Sass files. This would now be the reference implementation replacing Ruby – the legend. Dart is believed to be super fast almost to the point of notoriety.

Builder APIs and Workspace APIs in the CLI

Changes in ViewChild and ContentChild

Earlier, ViewChild and ContentChild were two nasty, inconsistent things. They were implemented so components could request elements that were not in a structural directive,

Improvements in AngularJS Migration

The latter smoothly shifts its responsibilities from AngularJS $location to Angular Location, thus easing it for applications with hybrid operations that depend on ngUpgrade and route in AngularJS as well as Angular part.

For more information on angular 8 Top New Features you read this article :: Angular 8: Top New Features and How to Upgrade

Fuente:

https://www.quora.com/What-s-new-in-angular-8

September 9th 2019

Qué es y qué puedes hacer para evitar el ‘SIM swapping’, el ciberataque que causa estragos y que permite vaciar cuentas bancarias

by admin in Seguridad Informática     tags: , ,       No Comment
Número de lecturas: 336
{lang: 'es-419'}

Si tu móvil deja de tener cobertura, ten miedo: un nuevo fraude telefónico conocido como ‘SIM swapping’ está siendo utilizado para que un ciberatacante duplique nuestro número de teléfono y utilice ese sistema para usurpar nuestra identidad, se autentiqie en nuestro banco y nos robe todo el dinero.

Ya hay víctimas de un fraude que ha sido utilizado para otros propósitos: a Jack Dorsey, cofundador de Twitter, le robaron su cuenta en el servicio con ese mismo sistema, lo que una vez más deja en evidencia la debilidad de mecanismos como el de los mensajes SMS para los sistemas de autenticación en dos pasos. Eran buena opción originalmente, pero como ya dijimos en el pasado, es mucho más recomendable utilizar aplicaciones independientes de autenticación, y no los SMS que cada vez son más vulnerables en este ámbito.

Cuidado, esta historia de terror te podría ocurrir a ti

En El País contaban recientemente un caso en el que un usuario se quedó sin cobertura repentinamente. Apagó el móvil, volvió a encenderlo y nada. Al volver a casa llamó a su operadora desde otro móvil, y resultó que alguien se había hecho pasar por él para solicitar un duplicado de su tarjeta SIM en una tienda de la operadora en otra ciudad.

Eso alertó al usuario, que fue rápidamente a comprobar su cuenta bancaria y detectó que estaba bloqueada. Su entidad había detectado movimientos extraños, miles de euros habían desaparecido y tenía un préstamo solicitado a su nombre por valor de 50.000 euros. Un verdadero desastre que según responsables de la Guardia Civil responde perfectamente a esa tendencia al alza de los casos de SIM swapping.

Ayer volvía a surgir un nuevo y preocupante caso de este tipo de casos: un usuario de Twitter, Otto Más (@Otto_Mas) relataba sucesos muy parecidos. Dejó de tener línea en su móvil con contrato de Vodafone y al volver a casa conectó el móvil a la WiFi y se dio cuenta de que “me habían vaciado mi cuenta corriente” en el Banco Santander.

Alguien había duplicado su línea móvil y con los SMS de confirmación había hecho diversas transferencias “sacando el dinero poco a poco”. Pudo cancelar las transferencias y bloquear la cuenta tras varias horas al teléfono con ellos, aunque se quejaba de la mala respuesta de su operadora, de la que criticaba las pocas medidas de seguridad que exigían para quien pedía un duplicado de tarjeta SIM.

Hay aquí dos problemas claros: en primer lugar, que pedir un duplicado de la SIM es relativamente sencillo. En segundo, que hace tiempo que el uso de los SMS como sistema para plantear la autenticación en dos pasos o de dos factores (2FA) es vulnerable a diversos ataques, y este es solo el último -pero probablemente el más preocupante- de todos ellos.

El SIM swapping permite suplantar la identidad de cualquiera, incluido el CEO de Twitter

Esta técnica permite burlar las medidas de seguridad que sitúan al móvil como instrumento de verificación de nuestra identidad, y eso es peligroso como hemos visto en el ámbito económico, sino también en otros muchos escenarios.

Se modestró estos días cuando el cofundador y CEO de Twitter, Jack Dorsey, sufrió un ataque similar que provocó que de repente en su cuenta de Twitter (@jack) aparecieran mensajes ofensivos y racistas que fueron posteriormente eliminados.

El problema se debió a esa suplantación de identidad que hizo que un operador de telefonía en Estados Unidos -no se especifica cuál- permitiera al atacante obtener un duplicado de la SIM de Dorsey, lo que a su vez permitió que este atacante usara la función de publicar en Twitter mediante mensajes SMS que fue una de las características originales del servicio.

Los mensajes ofensivos provocaron una reacción inmediata en Dorsey, que anunció que Twitter deshabilitaba el envío de mensajes a la plataforma a través de SMS.

La solución está en nuestras manos (pero también en la de las operadoras y los bancos)

Como decíamos anteriormente, el problema de este ciberataque es que tiene dos caras muy separadas, ambas con su propia solución interdependiente: si no se solucionan los dos, el problema seguirá presente.

También tienen deberes pendientes bancos, entidades financieras y cualquier otra plataforma que sigue usando los SMS como sistema de autenticación en dos pasos. Es un método popular y cómodo, pero como se ha visto es muy vulnerable desde hace ya tiempo, como apuntaba el experto en seguridad Bruce Schneier. Es por esta razón por la que todas estas empresas deberían erradicar el SMS de sus sistemas de autenticación en dos pasos y utilizar otras alternativas.

Entre las más recomendables ahora mismo están las aplicaciones de autenticación que sustituyen a los SMS y que se pueden instalar en nuestros móviles. Microsoft Authenticator, Google Authenticator o Authy están entre las más conocidas, y si podemos usarlas -la plataforma con la que trabajamos debe soportar esa opción- son mucho más seguras que la autenticación vía SMS.

Dsadas

Aún más interesantes son las llaves U2F (Universal 2nd Factor keys), un estándar abierto de autenticación que hace uso de llaves físicas y que tiene como última implementación el estándar FIDO2. Fabricantes como Yubico son muy conocidos por estas soluciones, pero incluso Google se quiso introducir recientemente en este segmento con sus Titan Security Keys, aunque recientemente anunció que un teléfono Android podía convertirse también en una llave de seguridad.

Fuente:

xataka.com

  1. Pages:
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7. 6
  8. 7
  9. ...
  10. 140