. EVINY BRACHO

¿HAS PERDIDO TUS DETALLES?

EVINY

CONSULTOR IT

Lo que sé, lo comparto. Ingeniero en informática, desarrollador de un simulador de robot-aprendiz de espacios confinados, a través de inteligencia artificial y redes neuronales.

Obsesionado por la seguridad de la información y con fijación en la puntualidad. Medio gruñón y al mismo tiempo inspirado en dar siempre lo mejor, me dedico a darle forma a los proyectos de Addtera y ofrecer soluciones eficaces a todos nuestros clientes.

Medito, hago música e intento entender los anime-mangas que obsesionan a mi hija.

Se trata de uno de los síntomas de la imparable digitalización de la sociedad

Llegan los resultados de investigaciones en el mundo de la informática, y resulta que 2017 ha sido declarado como el peor año para la seguridad informática. La cantidad de reclamos por ciberataques y pérdida de datos, dados a conocer en 2017 ha superado la de los cuatro años anteriores, afirma un estudio del AIG, compañía estadounidense de finanzas y seguros, cuyos resultados publica Insurance Times.

El reporte de AIG, publicado la semana pasada, afirma que  26% de los reclamos en 2017 se relacionaron con los ‘ransomware’ (virus que restringen el acceso al sistema del usuario hasta que se envíe un pago para quitar las restricciones).

Otra de las causas de pérdidas de datos, más común, está relacionada con los ataques de ‘hackers’ y otros fallos de seguridad como accesos no autorizados y fraude de suplantación de identidad. Y aunque sea difícil de creer, el error humano sigue siendo un elemento reincidente en la mayoría de los reclamos, a pesar de que el número de notificaciones provocadas por negligencia de los usuarios se redujo 7% el año pasado.

Definitivamente: la puesta en marcha del RGPD aumentará la cantidad de ciberataques 

Según Mark Camillo, director de Cíber para EMEA (Europa, Oriente Medio y África) en AIG, la entrada en vigor de las Normas Generales de Protección de Datos de la Unión Europea aumentará la cantidad de ataques cibernéticos, pues los extorsionistas aumentarán las amenazas relacionadas con “comprometer los datos” de una empresa hasta que el dinero se reciba, ya que las nuevas regulaciones harán que las “consecuencias sean más significativas”.

Un repaso de esas malas noticias sobre seguridad informática en 2017:

WannaCry: alrededor de 150 países afectados por este ransomware

El más conocido de todos, por el daño ocasionado y el alcance mundial. Más de 150 países afectados; y dirigido especialmente a empresas de todo tipo, que empleaban versiones de Windows no actualizadas. Muchos de los afectados pagaron los rescates. Una de las últimas novedades al respecto es que Estados Unidos ha acusado formalmente a Corea del Norte de estar detrás de este ataque.

Caso Equifax, una de las peores brechas de la historia

Esta importante agencia de créditos fue corrompida por unos ciberdelincuentes que robaron los datos personales de más de 140 millones de personas, incluyendo información sensible, como números de seguros sociales.

El daño se tornó aún más grave cuando los expertos señalaron que con los datos obtenidos se podían suplantar identidades en ese momento y también en el futuro, si continúan invariables.

Brecha de Uber y el pago de 100.000 dólares al atacante

Esto sucedió en 2016 pero la noticia saltó un año después; la compañía había ocultado el ciberataque. Un hacker robó los datos personales de 57 millones de clientes y conductores entre los que se incluyen nombres, direcciones de correo electrónico, números de teléfono y, en el caso de chóferes estadounidenses, números de licencia de conducir.

Lo que empeoró la situación fue descubrir que la empresa ocultó el hackeo pagando 100.000 dólares estadounidenses al atacante. Esto indignó a gran parte de la comunidad e iba en contra de la confianza de usuarios y conductores, así como en contra de la obligación legal que tenían de comunicar el suceso a las agencias gubernamentales y a las personas afectadas.

Millones de cuentas robadas a Yahoo

Ya finalizando 2017, nos enteramos de que el ataque a Yahoo que había sido catalogado como el mayor de su historia, era todavía peor. Si cuando se supo, en septiembre de 2016, se hablaba de 500 millones de cuentas afectadas, esa cifra subiría a 3.000 millones en octubre del año pasado.

El robo afectó a todas las cuentas que tenía la compañía en 2013, siendo una violación masiva que expuso un sinfín de datos. Desde nombres reales, nombres de usuario, correos electrónicos o conversaciones, hasta números de teléfono, fechas de nacimiento, contraseñas, la firma digital y preguntas de seguridad con sus respuestas.

Herramientas de espionaje estadounidenses supuestamente filtradas

El grupo The Shadow Brokers se hizo mundialmente conocido por filtrar herramientas de la NSA tras haber conseguido acceder a sus sistemas. Aseguraron ser los primeros en acceder a los archivos de esta agencia gubernamental estadounidense.

Bad Rabbit, otro ransomware

Este ransomware comenzó a infectar ordenadores, especialmente en Europa, mostrando una pantalla en la que se informa sobre el ataque, el cifrado de los datos y la cantidad a pagar por el rescate. Una cifra que, además, amenaza con subir cuanto más tiempo pasase.

Bad Rabbit afectó a una importante agencia de noticias rusa, Interfax; y Kaspersky informó que sus investigaciones detectaron que muchas páginas afectadas estaban relacionadas con medios de comunicación.

Lexnet, la justicia española expuesta en la red

Lexnet es una plataforma de intercambio de información y documentos que emplean abogados, procuradores y administraciones para comunicarse con los órganos judiciales del país.

El problema es que esta plataforma tenía un grave fallo de seguridad que, según confirmó el Ministerio de Justicia español, provocó que se filtrasen más de 11.000 documentos. Esto expuso la arquitectura de sus sistemas informáticos y parte de su código fuente. Pero además, la brecha implicó que cualquier usuario de la plataforma pudiese entrar en los perfiles de otros letrados y cuentas registradas accediendo a sus documentos.

NotPetya, la vuelta de un ransomware ya conocido

La nueva cepa de otro virus conocido. NotPetya fue una nueva versión de Petya.

Fue una nueva aplicación maliciosa que durante el mes de junio del año pasado, afectó a empresas e instituciones de países como Ucrania, España, Reino Unido, India, Holanda y Dinamarca. La suerte fue que, un investigador de seguridad llamado Amit Serper, descubrió una vacuna contra esta infección.

Grandes desastres en el mundo de las criptomonedas

Y esta es la cereza del postre, donde debemos ser muy astutos y suspicaces en caso de que estemos involucrándonos o coqueteando con el mundo de las criptomonedas.

Las monedas digitales han despuntando de una forma notable; todo el mundo sabe de su existencia aunque no sepa muy bien qué son, por lo que los ciberataques a casas de cambio, carteras u otra clase de espacios en los que poder apropiarse de estas lucrativas divisas, resultan una gran tentación para los ciberdelincuentes.

Cualquier despiste con respecto al código fuente de tu espacio público, puede generar pérdidas como lo sucedido con Zcoin o NiceHash.

Hoy, 25 de mayo de 2018, finalmente entra el día D para todas las empresas que gestionen datos de ciudadanos europeos. A partir de hoy, rige el nuevo Reglamento General de Protección de Datos (RGPD). Este cambio legal busca proteger aún más al usuario y plantea fuertes sanciones por incumplimientos.

Razón de ser del RGPD

Según Efrén Santos, socio-abogado de ICEF Consultores, “El objetivo principal de esta regulación es que el usuario conozca quién y cómo está tratando sus datos personales, con la posibilidad de tomar una decisión al respecto”. Todo ello bajo el principio básico de la transparencia, que implica información clara y directa.

”El mayor cambio será que las empresas y administraciones públicas tendrán que pedir consentimiento expreso y específico al ciudadano para cada finalidad o uso de datos”, apunta Borja Adsuara, abogado especializado en el ámbito digital. Esto implica que ya no será válido aplicar el consentimiento tácito, por el que un usuario presuntamente acepta lo que no rechaza de plano, ni tampoco podrán ofrecérsele casillas ya marcadas de asentimiento. El artículo 25 del reglamento describe la privacidad por diseño y defecto como principios obligatorios.

Sanciones

En el caso de que una organización no pueda demostrar que tiene el consentimiento expreso para poseer datos personales para un fin y uso en concreto, es mejor que no los use o que los borre, pues la Agencia Española de Protección de Datos le va a pedir la documentación si le inspecciona.

Esta es la razón por la que hemos estado recibiendo correos de diferentes servicios y empresas, solicitando revalidar expresamente la autorización de posesión de los datos personales en sus sistemas. En caso de que el usuario no complete ese procedimiento, su registro pasa a ser automáticamente ilegal a partir de hoy, 25 de mayo. La consecuencia de retener esta información sin haber sido revalidada, resulta para la empresa una multa del 4% de la facturación global anual o 20 millones, lo que resulte más gravoso.

Lo elevado de estas sanciones por la evasión o incumplimiento de la nueva normativa del RGPD, preocupa sobre todo a aquellas organizaciones que manejan mayor cantidad de datos, y que además no son originarias de la Unión Europea. Gigantes como Facebook y Google podían eludir cierto control de agencias nacionales de protección de datos o responsabilidad ante tribunales de la UE, pero eso ya no será así.

¿Qué ofrece el RGPD al usuario?

El RGPD tiene como novedad la posibilidad de limitar por primera vez el tiempo en el que la información de cualquier usuario sea tratada. Esa alternativa completa el esquema de acceso, rectificación, cancelación y oposición que ya venía siendo regulado por la Ley Orgánica de Protección de Datos española (LOPD).

Además, el usuario podrá descargarse la información que ha cedido a una empresa para llevársela a otro servicio y apelar igualmente al derecho al olvido. La inclusión de esta alternativa supone la entrada en texto legal de la jurisprudencia marcada por el Tribunal de Justicia de la Unión Europea en sentencia de 2014 y permitirá pedir a los motores de búsqueda que no muestren determinada información que pueda resultar perjudicial para cualquier ciudadano.

Un poco de legislación

En cualquier caso, Santos recuerda que el RGPD es un marco normativo que tendrá que ser completado sin contradicción por parte de las legislaciones nacionales.

El especialista en leyes del ámbito digital, Adsuara, señala también que “tendremos una época de inseguridad jurídica” porque la nueva regulación de datos tendrá que ser interpretada en relación con el nuevo reglamento de privacidad en línea, que habrá de ser aprobado próximamente. De esta interpretación dependerán aspectos como el tratamiento de las cookies, sobre las que se asienta el modelo de negocio publicitario histórico en internet.

El otro lado del RGPD

Ahora, al tradicional robo de datos personales por los cibercriminales -por ejemplo contraseñas y cuentas de correo de usuarios en bloque- para su posterior monetización con campañas de extorsión como el «phishing», podría añadirse un nuevo atractivo para el criminal: lucrarse con el acceso a esa información privada que deben custodiar más diligentemente las empresas bajo el amparo del nuevo reglamento europeo, para chantajearlas a cambio de dinero.

A las empresas les saldría más económico pagar el chantaje de un cibercriminal cuando les amenace con divulgarla que afrontar la multa que le podrían imponer las autoridades por carecer de las medidas de seguridad.

Un nuevo modelo económico podría surgir, basado en la extorsión de esta información, cuyo retorno de inversión es muy alto y el riesgo muy bajo.

Hasta ahora, algunas organizaciones preferían no comunicar incidentes de seguridad por miedo a que el problema fuera aún más grave si se hacía público y afectara su reputación, pero la obligatoriedad del reglamento de notificar las brechas de seguridad tras ser descubiertas permitirá a las autoridades perseguir el cibercrimen de forma más eficaz, comenta  José Luis Laguna, director técnico de Fortinet.

¿Está tu empresa preparada para el nuevo RGPD?

Hace un par de días se ha dado a conocer la noticia sobre una vulnerabilidad informática llamada EFAIL (Email+fail). Este nuevo ataque afecta a PGP y S/MIME.

La consecuencia de su ejecución es que puedes perder la privacidad en el correo cifrado, ya que el algoritmo utilizado por este ataque permite recuperar los textos tanto en el correo recibido como el enviado.

Lo primero: desactivar las extensiones que descifran PGP

La recomendación principal es, que todos los usuarios de esta tecnología deshabiliten o desinstalen cualquier herramienta que descifre automáticamente correos cifrados con PGP. Existen instrucciones para hacerlo en casos como Enigmail en ThunderbirdGPGTools en Apple MailGpg4win en Outlook.

Una de las aplicaciones señaladas fue KMail, el cliente de correo oficial del Proyecto KDE. Y lo primero que se expone en los resultados de esta investigación es que los usuarios que usan OpenPGP y S/MIME no tienen de qué preocuparse, pues no están afectados por la vulnerabilidad descubierta. El cifrado de extremo a extremo, que es lo que permiten PGP y S/MIME, se utiliza para reforzar la privacidad de las comunicaciones. Para hacer uso de esos protocolos, KDE se apoya en GnuPG, cuya trayectoria dejó sorprendido al mundo entero.

Sin embargo es muy recomendable restringir al máximo la reproducción de contenidos en los mensajes en formato HTML, sobre todo impidiendo aquellos que son externos.

¿Cuál es el fundamento del efail?

La razón de ser del ataque consiste en introducir más contenido cifrado dentro de mensajes cifrados interceptados, luego es recuperado por el cliente de correo mientras se despliega el HTML. Después se iniciaría la filtración del texto del email como parte de una solicitud GET de HTTP a un servidor controlado por el atacante.

¿Cómo se pueden proteger los datos?

Según explicó Sebastian Schinzel, uno de los investigadores, “el efail emplea contenido HTML de los correos electrónicos, imágenes por ejemplo, para filtrar el texto sin formato a través de las URL solicitadas”.

Shinzel destacó que “para crear estos canales de filtración el atacante primero necesita acceso a los correos electrónicos encriptados, por ejemplo, interceptando el tráfico de la red, comprometiendo cuentas y servidores de correo electrónico o sistemas de respaldo”.

Según advirtieron los expertos, los piratas informáticos pueden aprovecharse de las vulnerabilidades en algunos sistemas como Outlook, Apple Mail, iOS Mail o Mozilla Thunderbird y sus complementos PGP (Gpg4win, GPG Tools y Enigmail) de modo que es necesario dejar de usar “de forma inmediata” este tipo de cifrado.

Además, es recomendable desactivar el renderizado HTML, ya que los ataques EFAIL abusan del contenido activo, como imágenes o estilos HTML. Según afirman los expertos, esta es la forma más fácil de resolver el problema.

“El HTML se usa como una puerta trasera para crear un ‘oráculo’ para los correos cifrados modificados”, concluyó Werner Koch, otro de los investigadores.

Dos tipos de efail con mitigaciones a corto y largo plazo

En el documento de los investigadores se dan más detalles sobre estas vulnerabilidades, que según ellos se pueden explotar con dos tipos de ataque.

En primer lugar está el ataque de “exfiltración directa” que se aprovecha de vulnerabilidades en Apple Mail, iOS Mail y Mozilla Thunderbild. Estos problemas se pueden corregir con los clientes mencionados, de modo que es de esperar que pronto aparezcan los parches para mitigar tales riesgos.

El segundo ataque es el llamado CBC/CFB gadget, (Cipher-Block-Chaining / Cipher-FeedBack), los sistemas de cifrado simétrico que se usan en OpenPGP.

Para estos investigadores los principales métodos para resolver ambos problemas son los siguientes:

  • A corto plazo: desactivar el descifrado directo en el cliente de correo. Tendrá que usarse una aplicación separada de nuestro cliente para descifrar esos correos.
  • A corto plazo: desactivar el renderizado HTML. Los ataques EFAIL abusan del contenido activo, por ejemplo en imágenes y estilos HTML, y desactivar el renderizado evita que nos expongamos.
  • A medio plazo: parches. Algunos desarrolladores proporcionarán parches para evitar el problema.
  • A largo plazo: actualizar los estándares OpenPGP y S/MIME. Es la propuesta de los investigadores, aunque no parece que los responsables de este estándar estén de acuerdo.

El problema existe, pero lo cierto es que OpenPGP no está especialmente extendido por no haberse facilitado su uso en muchos clientes de correo de escritorio o web.

El protocolo S/MIME, utilizado principalmente en comunicaciones empresariales, también tiene un uso modesto, lo que hace de alguna manera que este anuncio sea importante, mas no crítico.

¿Has recibido ya el mensaje de WhatsApp con el emoticón de un círculo negro? Lleva varios días circulando entre los usuarios de la aplicación más ejecutada del planeta.

Este círculo negro enviado a través de un mensaje de WhatsApp llega con la frase: “Don’t touch here”, (No toques aquí). Se ha hecho rápidamente viral,  y el efecto de tocar el círculo negro es que desaparecen miles de caracteres, colapsando el óptimo funcionamiento de este servicio de mensajería.

Y tú… ¿has caído?

Tal vez lo has recibido, y el mensaje te indica que no debes tocar un círculo negro que aparece en el texto porque va a congelar la aplicación de mensajería, pero a pesar de la advertencia nuestra curiosidad puede más y terminamos tocándolo.

¿Se bloqueará WhatsApp si lo toco?

Es la pregunta que uno se hace al recibir el mensaje, y efectivamente, así sucede.

Como por arte de magia la pantalla de nuestro teléfono queda congelada y no podemos usar la aplicación, pero solo basta con salir de la App y volver a ingresar a ella para que pase este efecto.

¿Por qué sucede esto?

Si recibiste el mensaje y efectivamente se detuvo la aplicación, puedes estar tranquilo/a, tus datos personales no han sido robados, ni es un virus; en realidad se trata de una nueva cadena viral que está circulando en diferentes países. Al parecer, este fallo en la aplicación afecta solo a los usuarios de Android.

El secreto está en los caracteres ocultos detrás del mensaje, los cuales no pueden ser procesados por la aplicación y esto hace que se congele. Es un error similar a la vieja cadena que enviaba cuatro mil emojis en el mensaje, lo que saturaba la App y producía su respectiva detención.

Así que la próxima vez que recibas una cadena de este tipo, lo recomendable es borrar el mensaje recibido y así evitarse las molestias que puedan causar este tipo de bromas.

También está sucediendo en Instagram

Funciona exactamente igual que en WhatsApp,  el equipo del portal “Andro4all” decidió probarlo en Instagram y publicó el mensaje con el código encriptado en la red social logrando congelar a varios usuarios.

Lograron copiar y pegar el mensaje en cuentas propias de Instagram, pero no desde cuentas ajenas. La aplicación detectaba este contenido como “inadecuado” para ser replicado en la red social como si fuera un comentario.

Tal y como sucede con WhatsApp, al tocar el círculo negro en Instagram, la aplicación se congela debido a que la App no está preparada para leer un mensaje tan largo como el que trae. Aún no se sabe si se puede generar el mismo efecto en InstagramStories. Solo quienes tangan más de 10.000 seguidores podrían invitar a sus seguidores a hacer “swipe” y  copiar el enlace ahí. Sin embargo, se recomienda evitar presionar dicho mensaje, así sea en un comentario, post o DM de la aplicación, escondido tras la frase “dont touch here”.

¡No pasa nada, se ha hecho viral pero no es un virus!

El colapso que sufre el teléfono no está relacionado con virus, ya que se trata simplemente de un truco para que el sistema falle. Igual siempre es bueno, no abrir mensajes o correos que nos despierten dudas.

SUBIR