Autor: jsanchez

El Blockchain bajo sospecha

Hace tiempo que escuchamos hablar de la blockchain como una tecnología prácticamente invulnerable que se está implementando en industrias como el sistema financiero y la salud por sus ventajas en pos de la seguridad. Sin embargo, un artículo publicado por la revista del MIT Technology Review asegura que esto quizás no sea tan así y que, “así como la blockchain cuenta con funcionalidades de seguridad únicas, también presenta vulnerabilidades únicas”. En esta línea, opina que esta idea, ya instalada desde hace un tiempo, comenzó a ponerse a prueba sobre todo en el último tiempo y con el auge de nuevos proyectos de criptomonedas.

Sumado al surgimiento de nuevas criptomonedas, el interés de otras industrias por la adopción del uso de blockchain hizo que esta tecnología se fuera complejizando, aumentando el margen de error por la exigencia de un desarrollo más complejo. El artículo ejemplifica este fenómeno citando el caso de Zcash, una criptomoneda que utiliza un proceso matemático complejo para permitir a los usuarios realizar transacciones en privado y que reveló públicamente que tuvieron que reparar una falla criptográfica en el protocolo que, de haber sido explotada por un atacante, podría haber permitido crear ilimitadas Zcash falsas.

blockchain

Los especialistas de ESET opinaron en Tendencias 2019 que los ataques dirigidos al robo de criptomonedas darán que hablar este año. En 2018 se registraron varios casos de ataques de distinta naturaleza que utilizaron malware con el fin de obtener criptomonedas mediante la minería ilegal. Ejemplos de esto son el caso de Kodi y la manipulación por parte de cibercriminales para distribuir malware de criptominería y el ataque de cadena de suministro al Exchange gate.io, por nombrar algunas. Sin embargo, algo más grave y que tuvo lugar en los primeros días de enero de 2019 fue el ataque del 51% dirigido a Ethereum Classic en el que los cibercriminales lograron robar un millón de dólares.

¿Qué es el ataque del 51%? Se trata de una amenaza a la que cualquier criptomoneda es susceptible de ser víctima, debido a que la mayoría están basadas en cadenas de bloques que utilizan protocolos proof of work para verificar las transacciones. Un protocolo de blockchain es un conjunto de reglas que determinan cómo las computadoras conectadas a una red deberán verificar nuevas transacciones y añadirlas a la base de datos.

En el proceso de verificación (conocido como minería) los distintos nodos de una red consumen grandes cantidades de poder de procesamiento para demostrarse que son lo suficientemente confiables para añadir información sobre una nueva transacción a la base de datos. En este sentido, “un minero que de alguna manera obtiene control de una mayoría del poder de minería de una red puede engañar a otros usuarios enviándoles pagos y luego crear una versión alternativa de la blockchain, denominada fork, en la cual el pago nunca ocurrió, explica el artículo de Technology Review. Por lo tanto, un atacante que controle el mayor porcentaje del poder de procesamiento puede hacer que el fork sea la versión de más autoridad de la cadena y proceder a gastar la misma criptomoneda nuevamente” explica.

Llevar adelante un ataque del 51% contra las criptomonedas más populares puede resultar demasiado costoso por el poder de cómputo que requiere y el costo de conseguirlo, lo que llevó a que en 2018 los cibercriminales realizaran ataques de este tipo dirigidos hacia criptomonedas de menor renombre y que exigen menor poder de cómputo; logrando robar hasta 120 millones de dólares en total, explica el artículo. Sin embargo, recientemente se supo del primer ataque del 51% que afectó a una de las principales 20 criptomonedas más populares, el ataque a Ethereum Classic. Y de acuerdo a predicciones, este tipo de ataque se incrementará en frecuencia y severidad.

Monero y el incremento del riesgo de ser víctima de ataques del 51%

Una reciente investigación elaborada por Binance afirma que la última actualización (hardfork) que introdujo Monero en su red, a principios de marzo de 2019, incluye un algoritmo contra los mineros ASIC -algo que los desarrolladores vienen persiguiendo desde hace ya varios años-, ya que según informes, la red de monero estaba siendo dominada por estos mineros (contribuyeron en el 85% del hashrate acumulado de la red), lo cual aumenta el riesgo de ataques del 51% como consecuencia de la posibilidad de centralizar la red.

Este cambio reciente provocó una disminución de la dificultad del minado de la red del 70% como consecuencia de la exclusión de los mineros ASIC. Sin embargo, esto también aumentó el riesgo de un ataque del 51% a la criptomoneda.

Problemas de seguridad para los contratos inteligentes

La tecnología blockchain también se utiliza para los contratos inteligentes. Un contrato inteligente es un programa informático que corre en una red blockchain y que puede ser utilizado para el intercambio de monedas, propiedades o cualquier cosa de valor. Según el artículo del MIT, otro uso que se le puede dar a los contratos inteligentes es el de crear un mecanismo de votación a través del cual todos los inversores de un fondo de capital de riesgo pueden decidir cómo distribuir el dinero.

blockchain-que-es-como-funciona

Un fondo de estas características (llamados Organización Autónomas Descentralizadas) que se creó en 2016 bajo el nombre de The Dao y utiliza el sistema de blockchain Ethereum, fue víctima de un ataque informático en el que los ciberciminales robaron más de 60 millones de dólares en criptomonedas al explotar un fallo en un contrato inteligente que administraba esta organización.

Este ataque dejó en evidencia que un error en un contrato inteligente activo puede tener consecuencias críticas, ya que al apoyarse en la blockchain no puede repararse con un parche. En este sentido, los contratos inteligentes pueden ser actualizados, pero no se pueden reescribir, explica el artículo. Por ejemplo, pueden crearse nuevos contratos que interactúen con otros contratos o se pueden crear kill switches centralizados en una red para detener la actividad una vez que el ataque es detectado, aunque puede resultar tarde, asegura el artículo.

La única forma de recuperar el dinero es ir al punto de la cadena de bloques previo al ataque y crear un fork para una nueva cadena de bloques y lograr que toda la red acepte usar esa blockchain en lugar de la otra. Esto fue lo decidieron hacer los desarrolladores de Ethereum. Y si bien la mayor parte de la comunidad aceptó cambiar a la nueva cadena que conocemos hoy como Ethereum, un grupo reducido no quiso y se mantuvo en la cadena original que pasó a llamarse Ethereum Classic.

En conclusión, la tecnología blockchain continúa siendo una gran herramienta para garantizar la seguridad, aunque se han identificado casos que la han convertido en vulnerable. Esto no quiere decir que dejó de ser segura, sino que con el paso del tiempo y el desarrollo natural del ecosistema tecnológico (incluyendo aquí la evolución del cibercrimen) surgen desafíos que ponen a prueba cualquier tipo de tecnología, como es la cadena de bloques. En este sentido, no debemos perder de vista que las etiquetas que se instalan alrededor de producto, como podría ser: “blockchain es una tecnología imposible de vulnerar”, son ciertas hasta que se demuestre lo contrario, ya que después de todo, tal como afirma una regla en el mundo de la seguridad: toda tecnología es vulnerable.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

¿Se puede hackear un marcapasos?

Hace unos años, en un episodio de la serie Homeland, uno de los protagonistas logró hackear el marcapasos del vicepresidente de los EE.UU. ¿Realidad o ficción? Pues la verdad es que este tema no está tan alejado de la realidad porque no es la primera vez (y seguramente tampoco la última) en la que hablamos de problemas de seguridad en dispositivos médicos. Desde que en 2012 el investigador Barnaby Jack expusiera los problemas de seguridad de algunos de estos dispositivos en una conferencia, el descubrimiento de nuevas vulnerabilidades es algo que ya no debería sorprendernos.

Vulnerabilidad en dispositivos Medtronic

Si en anteriores investigaciones los marcapasos afectados fueron de las marcas St. Jude y Abbot (que absorbió a la primera hace unos años), en esta ocasión la empresa afectada es Medtronic. Según una información reciente proporcionada por el Departamento de Seguridad Nacional de los Estados Unidos estos dispositivos serían vulnerables a ataques debido a que el protocolo de comunicación utilizado para comunicarse con el marcapasos no dispone de ningún tipo de cifrado ni realiza ningún procedimiento de autenticación.

marcapasos

Estaríamos hablando de dos vulnerabilidades que permitirían a un atacante, que estuviese dentro del rango de alcance del dispositivo, interceptar la comunicación que el marcapasos realiza por radiofrecuencia con la consola que Medtronic proporciona para tal efecto. La explotación de este problema de seguridad podría derivar en la posibilidad de leer y escribir en cualquier ubicación de la memoria del dispositivo y, en consecuencia, en modificar su comportamiento.

Las dos vulnerabilidades han recibido una puntuación de 9.3 y 6.5 sobre 10 posibles según el cálculo establecido por el CVSS, lo que demuestra su nivel crítico. Además, la prueba de concepto realizada por investigadores de Clever Security desveló que no se necesitaban grandes conocimientos para que un atacante pueda aprovechar estos problemas de seguridad.

Respuesta de Medtronic

Como era de esperar, el fabricante de estos dispositivos médicos ha anunciado que ha tomado medias y controles adicionales a los ya existentes para intentar evitar la explotación de estas vulnerabilidades en el protocolo de conexión. Sin embargo, los investigadores responsables de descubrir estos fallos ya han indicado que estas mejoras solo sirven para tratar de detectar posibles ataques y que, sin actualizaciones del firmware, estos ataques no se pueden prevenir.

Ante estas afirmaciones, Medtronic publicó un comunicado en el que confirmaban que, hasta el momento, no habían detectado ningún ataque de este tipo y que además existe un riesgo mínimo de que se produzcan en un futuro. Según este comunicado, un atacante debería tener un conocimiento exhaustivo de los dispositivos médicos, telemetría inalámbrica y electro fisiología para poder explotar estos agujeros de seguridad.

También se indica que, para que un ataque tuviera éxito se debería conocer el modelo implantado en el paciente, el tipo de cambios que podrían causarle daño, qué apartados de la configuración tendrían que ser modificados, y qué comandos y cuando se deberían de introducir en la telemetría para realizar estos cambios.

A pesar de todo, según la versión del fabricante, no parece que sea una tarea sencilla conseguir atacar a uno de estos dispositivos. Sin embargo, todo lo indicado en el comunicado de Medtronic hace referencia a medidas de seguridad por oscuridad, es decir, que asume que los atacantes desconocen la mayoría de detalles necesarios para conseguir que su ataque tenga éxito. Por desgracia, si algo nos ha demostrado la experiencia es que este concepto no es precisamente efectivo y solo hace falta un atacante motivado para que todas estas supuestas medidas de seguridad caigan.

Recomendaciones de seguridad

arritmias

Ante esta situación, es comprensible que los usuarios de los dispositivos médicos afectados estén preocupados y se pregunten que medidas deberían adoptar. Por ese motivo, el Departamento de Seguridad Nacional de los Estados Unidos ha publicado una serie de recomendaciones que indicamos a continuación:

  • Se debe mantener un buen control físico sobre las consolas de monitorización domésticas y programadores utilizados para controlar y modificar el estado del marcapasos.
  • Solo se deben utilizar consolas de monitorización, programadores y dispositivos implantables obtenidos directamente desde un proveedor médico autorizado o representante de Medtronic para asegurar la integridad del sistema.
  • No se deben conectar dispositivos no autorizadas a las consolas de monitorización ni a los programadores a través de puertos USB y otras conexiones físicas.
  • Solo se deben utilizar los programadores para conectarse e interactuar con los dispositivos implantados en hospitales y entornos médicos controlados.
  • Las consolas de monitorización doméstica solo deben usarse en entornos privados como nuestro hogar.
  • Es importante informar de cualquier comportamiento anómalo en relación con este tipo de dispositivos al proveedor de servicios sanitarios o a un representante de Medtronic.

En cualquier caso, con la experiencia de vulnerabilidades existentes desde hace años, los fabricantes de dispositivos médicos como marcapasos o bombas de insulina, harían bien en tomar buena nota de los problemas existentes para ofrecer una solución de seguridad eficaz. Aunque hoy este tipo de ataques suenen a algo improbable, la realidad nos demuestra que no son tan extraños como nos quieren hacer creer y que, por tanto, se han de tomar cartas en el asunto antes de que alguien los sufra.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

Ransomware e incidentes en sectores estratégicos

A pesar de que el ransomware ya no es la amenaza más detectada en la actualidad, esto no significa que haya dejado de ser un problema. Las muestras de malware que cifran archivos y demandan un rescate para poder recuperarlos siguen apareciendo continuamente y con innovaciones o comportamientos nuevos, lo que demuestra que los delincuentes siguen teniendo en cuenta esta amenaza para conseguir sus objetivos.

LockerGoga, ¿el sector industrial como objetivo?

En las últimas semanas varios medios se han hecho eco de las acciones del ransomware LockerGoga, especialmente de aquellas que han conseguido infectar sistemas que pertenecen a empresas relacionadas con el sector industrial y que tienen cierta importancia estratégica. La primera acción de la que se tiene constancia ocurrió a finales de enero de 2019, cuando la empresa Altran Technologies (especializada en servicios de ingeniería e I+D) informó que el 24 de enero fue víctima de un ciberataque que se propagó por la red corporativa.

Como medida de seguridad, esta compañía decidió desconectar su red y aplicaciones, lo que afecto a sus actividades en algunos países europeos. A pesar de que la empresa no hizo referencia alguna a un caso de ransomware en su comunicado, algunos investigadores apuntaron a esta posibilidad tras ver como se subieron varias muestras del ransomware LockerGoga a Virustotal el mismo día que se producto el incidente.

ransomware2

Más recientemente, en concreto durante la madrugada del 18 al 19 de marzo, la noruega Norsk Hydro (una de las productoras de acero más importante del mundo) sufrió otro incidente similar que afectó a los sistemas presentes en la mayoría de sus áreas de negocio. Su departamento de seguridad afirmó que los atacantes aprovecharon el Directorio Activo de Windows para propagarse.

Los portavoces de la empresa sí que mencionaron el ransomware como el código malicioso responsable de este incidente y también informaron de que algunos sistemas estaban funcionando en modo manual. A pesar de que el ataque fue calificado como bastante severo, los mismos representantes afirmaron que gracias a las copias de seguridad y a sus planes de continuidad de negocio, serían capaces de recuperarse en poco tiempo sin tener que pagar un rescate. Esto no ha evitado que se hayan sufrido pérdidas que aun están por determinar pero que, en un primer cálculo, se estima que estarán entre los 31 y los 36 millones de euros.

Por otro lado, en el último incidente hecho público hasta el momento se han visto afectadas dos empresas del sector químico en los Estados Unidos. Las empresas Hexion y Momentive, controladas por el mismo fondo de inversión, sufrieron un ataque el pasado día 12 de marzo, según se ha conocido recientemente al filtrarse información interna. Los síntomas descritos coinciden con varios casos de ransomware conocidos pero la nota de rescate que ha salido a la luz corresponde con la de LockerGoga.

Sin embargo, en este incidente parece que las medidas de seguridad no funcionaron adecuadamente ya que la fuente interna que lo ha hecho público ha comunicado que desde estas empresas se han encargado cientos de nuevos equipos para sustituir a los afectados. Tampoco queda claro si la información cifrada por el ransomware podrá ser recuperada o si se disponían de las pertinentes copias de seguridad.

Un ransomware poco elaborado

No cabe duda de que LockerGoga se ha hecho un nombre con los incidentes que acabamos de comentar, y seguramente otros que aun no han salido a la luz. Sin embargo, lo más destacable de este ransomware son, precisamente, las empresas que se han visto afectadas. Un análisis técnico de este malware demuestra que ni se encuentra especialmente activo, ni tiene una propagación destacada fuera de ciertos países ni se preocupa por pasar desapercibido mientras cifra los archivos de los sistemas infectados.

wannacry-ransomware

A la hora de realizar el proceso de cifrado LockerGoga realiza un consumo elevado del procesador de la maquina infectada. También provoca que el explorador del sistema se cuelgue repetidamente y satura el sistema a tal nivel que no permite la ejecución de otras aplicaciones. Este comportamiento permite su rápida detección siempre que haya un usuario que sea capaz de localizar los síntomas que acabamos de describir.

El análisis del malware también demostró que LockerGoga es un ransomware muy lento a la hora de cifrar los archivos, probablemente debido a que el código del malware no estaba depurado, y tampoco se esfuerza en evitar ser detectado. Los ficheros que cifra (al menos en las versiones detectadas hasta la fecha son los que tienen las siguientes extensiones: DOC, DOT, WBK, DOCX, DOTX, DOCB, XLM, XLSX, XLTX, XLSB, XLW, PPT, POT, PPS, PPTX, POTX, PPSX, SLDX y PDF. Cuando el ransomware termina de cifrar los archivos procede a añadir la extensión .locked a todos los archivos infectados. Además, tal y como es habitual, deja una nota en el escritorio del sistema con instrucciones para ponerse en contacto con los delincuentes y que incluye una dirección de correo que servirá para recibir instrucciones y proceder al pago del rescate.

Sin embargo, hay un punto en el que los delincuentes sí que se han esmerado un poco y es en la inclusión de certificados válidos para firmar los ejecutables maliciosos. Esto ayuda a que el malware pase desapercibido para algunas soluciones de seguridad, aunque si el sistema objetivo del ransomware dispone una herramienta de análisis de comportamiento, resultará bastante fácil detectar la actividad maliciosa cuando este empiece a cifrar archivos de forma masiva.

Entre los certificados usados para cifrar las muestras de LockerGoga encontramos uno asignado a Sectigo RSA y a otras entidades importantes. Algunos de estos certificados ya han sido revocados y otros no tardarán en serlo pero, mientras los delincuentes sean capaces de firmar sus muestras con algunos de estos certificados, sus posibilidades de seguir infectando a sus víctimas aumentan considerablemente.

Antes de lanzarnos a hacer conjeturas arriesgadas y atribuciones que pueden estar equivocadas sobre la fijación de LockerGoga en el sector industrial, hemos de tener en cuenta que hasta el momento solo conocemos aquellos casos en los que los responsables de las empresas han comunicado el incidente o se ha sabido por otros medios. Es posible que haya otros sectores afectados incluso en países que suelen considerarse como sospechosos habituales de lanzar estos ataques, tal y como podemos ver en esta tabla obtenida gracias a la inteligencia de amenazas de ESET.

ransomware

Como vemos, en el primer puesto de países afectados aparece China, acompañado de Rusia y otros países. El hecho de que LockerGoga se haya hecho famoso por las noticias relacionadas con incidentes en el sector industrial resulta claramente llamativo, pero aun es pronto para concretar si todos estos ataques están relacionados y lo que se buscaba era provocar la paralización de estas empresas o, simplemente, fueron una víctima más entre las miles que puede haber afectado esta amenaza.

Conclusión

Campañas de infección como la protagonizada por LockerGaga demuestran que el ransomware sigue activo aunque el número de casos haya descendido respecto a años anteriores. También es cierto que los delincuentes han variado ligeramente su estrategia y ya no se centran tanto en tratar de infectar al mayor número de víctimas posible porque ahora prefieren atacar a objetivos más específicos.

En cualquier caso, los mismos consejos que se recomendaban para atajar el ransomware de hace unos años sirven para los casos actuales, por lo que nunca es demasiado tarde para empezar a aplicarlos.

Josep Albors

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

El backup que salvará tus datos

El día 31 de marzo es la fecha elegida desde hace unos años para celebrar el día mundial de la copia de seguridad, una iniciativa que nos recuerda la importancia que tiene para nuestra información el contar con un respaldo. Estas copias de seguridad o backups son aún más importantes cuando hablamos de los datos que almacenan las empresas y de los peligros a los que se exponen, especialmente con amenazas como el ransomware.

La copia de seguridad y la recuperación ante un incidente

La proliferación de ese tipo de amenazas durante los últimos años ha provocado que los backups formen parte del kit esencial de seguridad de cualquier empresa, pero también de muchos usuarios particulares. Resulta vital tener una o varias copias de seguridad pero también debemos asegurarnos que se están realizando de la forma correcta para poder contar con ellas cuando sea necesario.

backup-data-av-test-informe-itsitio

El Reglamento General de Protección de Datos que entró en vigor en mayo del pasado 2018 considera las copias de seguridad como una de las piezas clave a la hora de proteger la información de una empresa. La posibilidad de recuperar sus datos críticos y de tenerlos disponibles en el menor tiempo posible resulta esencial, no solo para garantizar la continuidad del negocio sino para evitar las sanciones impuestas por este reglamento a aquellas empresas que no gestionen los datos de sus clientes de forma adecuada.

Para poder asegurarse de que estamos realizando las copias de seguridad de la manera correcta debemos tener en cuenta varios puntos importantes como los siguientes:

  1. Realiza backups de forma periódica: de poco sirve tener una copia de seguridad si esta se encuentra desactualizada, ya que los datos más recientes no se podrán recuperar. Este punto es especialmente crítico en aquellas empresas que actualicen la información constantemente y que necesitan disponer de la versión más actualizada posible de ellos.
  2. No retrases la realización de la copia de seguridad: el 31 de marzo sirve como recordatorio y llamada a la acción para todos aquellos usuarios y empresas que aún no se hayan decidido a hacer una copia de seguridad de sus datos. Es importante que se empiece a realizar este backup lo antes posible y actualizarlo periódicamente según nuestro ritmo de generación de datos.
  3. Almacena tus copias de seguridad en sitios diferentes: poco se puede hacer si sufrimos un desastre natural o un incendio porque tanto la información importante como el backup se encuentran en el mismo sitio y se ven afectadas. Muchas empresas y usuarios optan por tener copias en diferentes lugares. Una técnica muy recomendada es utilizar tanto medios físicos como el almacenamiento en la nube para guardar toda aquella información que consideremos importante.
  4. Cifra toda la información confidencial: tanto si almacenamos nuestra copia de seguridad en un medio físico como en la nube es importante cifrar aquellos datos que sean confidenciales. De esta forma evitaremos que un acceso no autorizado obtenga información que pueda ser usada en nuestra contra o por nuestra competencia. Este punto es clave para cumplir con el GDPR y existen soluciones como ESET Endpoint Encription que pueden ayudarnos a gestionar de forma efectiva el cifrado de nuestra información.
  5. Aprovecha las facilidades de la automatización: aunque es perfectamente factible que utilices medios tradicionales como el copiar/pegar para realizar copias de seguridad en entornos domésticos o incluso en pequeñas empresas, lo más aconsejable es aprovechar las posibilidades que ofrece el software de backup actual. Incluso los propios sistemas operativos incluyen esta funcionalidad pero si estás interesado en este tipo de aplicaciones te recomendamos que leas nuestro siguiente apartado.

Soluciones profesionales de copias de seguridad

Si hemos optado por utilizar una solución de backup profesional debemos tener en cuenta varios puntos para asegurarnos de que cumple con nuestras necesidades. A continuación destacamos algunas de las más importantes:

  1. Elección de la frecuencia con la que se realizará la copia de seguridad: dependiendo de la frecuencia con la que se modifiquen o añadan datos que consideremos importantes se deberá configurar el intervalo de tiempo para la realización de las copias de seguridad. Es muy probable que un usuario doméstico no necesite hacer más de un backup cada cierto tiempo pero en un entorno corporativo es frecuente ver como se realizan a diario e incluso cada pocas horas.
  2. Posibilidad de seleccionar los datos a guardar: cuando se maneja una gran cantidad de información es probable que no se necesite realizar una copia de todos y cada uno de los ficheros. Por ese motivo es importante que el software de copia de seguridad permita seleccionar los ficheros de los que guardaremos una copia y, de esta forma, ahorrar espacio.
  3. Creación de una imagen del sistema: si nuestros equipos se han visto afectados por un desastre natural, incendio o un malware que no nos permita trabajar normalmente con ellos, una de las soluciones más efectivas es restaurar a partir de una imagen del sistema que permita empezar a trabajar lo antes posible con las aplicaciones utilizadas en nuestra empresa. Una vez conseguido esto podemos restaurar los datos importantes a partir de ese backup, y de esta manera perderemos una cantidad de tiempo mucho menor con respecto a si hubiéramos tenido que recuperar todos los sistemas desde cero.
  4. Control de acceso y cifrado de la información: tan importante como realizar copias de seguridad de la información es controlar quien puede tener acceso a la misma. Por eso se debe utilizar siempre que sea posible un programa de backup que permita tanto cifrar las copias de seguridad como establecer un control de acceso a las mismas. De esta forma evitaremos que la información confidencial se vea comprometida en caso de pérdida o robo.
  5. Privacy-for-data

  6. Utilización de algoritmos de compresión efectivos: la cantidad de datos que se pueden llegar a almacenar en una copia de seguridad puede ser muy elevada por lo que debemos utilizar una solución de backup que permita comprimirlos y restaurarlos de forma rápida y eficaz. El espacio de almacenamiento es un bien preciado tanto para usuarios domésticos como para empresas y debemos evitar malgastarlo.

Una vez hemos tenido en cuenta estos puntos podemos proceder a elegir entre alguno de los varios programas disponibles para realizar copias de seguridad. Soluciones como Xopero proporcionan una protección total de la información crítica de la empresa permitiendo la realización de copias de seguridad y recuperación de la información tanto de forma local como en la nube, tanto en sistemas Windows como macOS e incluyendo servidores Microsoft Exchange y entornos virtuales.

Conclusión

Días como el que celebramos el próximo 31 de marzo son buenos para recordar la importancia que tienen las copias de seguridad. Con el aumento en la cantidad de datos importantes que se generan tanto a nivel particular como empresarial es importante aplicar medidas e implementar soluciones que nos garanticen su integridad y disponibilidad. Por ese motivo consideramos importante seguir las recomendaciones proporcionadas en este artículo y, de esta forma, tener un plan de recuperación ante incidentes para aplicarlo cuando nos haga falta.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

¿Los coches que se abren sin llave tienen un problema de seguridad?

Buscar el coche ideal que se adecúe a nuestras necesidades puede ser una tarea laboriosa a la par que entretenida, siempre que se tome con buen humor, se disponga de tiempo suficiente y se tengan ganas de aprender, claro está. A las múltiples opciones de motorización, tipos de carrocería, tamaño y acabados se ha unido en los últimos años toda una serie de sistemas electrónicos de ayuda a la conducción, entretenimiento y conectividad que pueden llegar a abrumarnos. Sobre el papel todo pinta muy bien pero, ¿son realmente seguros o suponen un aumento de la superficie de ataque a nuestros vehículos?

Comodidad vs. Seguridad

He de reconocer que nunca me ha llamado en exceso el mundo de los automóviles, a pesar de que me guste contemplar ciertos modelos por su estética, importancia histórica o simple frikismo (saludos al mítico Toyota Sprinter Trueno AE86 “Hachi-Roku”). Sin embargo, el mundo automovilístico se cruzó hace años con el de la seguridad informática y, desde entonces, no han dejado de aparecer investigaciones que cuestionan la seguridad de los sistemas que incorporan los automóviles actuales.

coches-sin-llave

Desde que los investigadores pusieron el foco en la seguridad lógica de los automóviles allá por 2010 hasta la actualidad hemos vivido un apasionante recorrido. Las indagaciones realizadas por el dúo Charlie Miller y Chris Valasek ayudaron a poner el foco en un aspecto de la seguridad que se había ignorado hasta el momento, especialmente cuando demostraron en 2015 que podían tomar el control de algunos sistemas de un automóvil de forma remota.

A partir de ese momento no han parado de aparecer investigaciones que demuestran que los sistemas electrónicos y la conectividad que incorporan los automóviles actuales distan mucho de ser seguros. Si bien es cierto que muchos de estos sistemas representan una gran ayuda en la conducción y un avance considerable en los sistemas de entretenimiento e información para el conductor y pasajeros, no podemos evitar pensar en la posibilidad de que también sean la puerta de entrada para un posible ataque.

Sistemas keyless, un peligro real

Una de las “comodidades” que incorporan muchos fabricantes en sus coches reales son los sistemas de apertura y arranque sin llaves. Realmente sí que existe una llave física que se le entrega al conductor (aunque algunos fabricantes están experimentando con llaves virtuales en el smartphone) pero este no necesita introducirla en ninguna cerradura para abrir el vehículo o arrancarlo. Esto sin duda es algo muy práctico pero también permite que se realicen ataques para clonar esta llave, que permiten robar el vehículo, y que se vienen produciendo desde hace años.

Para comprobar la seguridad de aquellos vehículos que incorporan un sistema keyless, hace tiempo que se vienen realizando estudios por parte de asociaciones de automovilistas y empresas independientes. Entre las más recientes encontramos la realizada por el Club del automóvil de Alemánia (ADAC) en enero de 2019 donde demostraron que, de un total de 237 automóviles, 230 eran vulnerables a ataques “relay” que permiten el clonado de las señales emitidas por las llaves electrónicas, y que permiten el acceso al vehículo y/o su arranque.

No es la primera vez que esta asociación demuestra la vulnerabilidad de los sistemas keyless. Ya en 2016 demostraron lo fácil que puede llegar a ser para un delincuente robar un coche con este sistema ya que tiene un bajo coste. Con el paso de los años, la cuantía de los dispositivos que permiten el clonado remoto de llaves electrónicas se ha abaratado aún más y existen numerosos ejemplos de ladrones de vehículos de alta gama que explotan los fallos de seguridad de este sistema para robar el coche sin emplear la fuerza.

Además de los estudios realizados por ADAC, recientemente hemos sabido de la existencia de otras investigaciones interesantes como la que ha hecho Thatcham Research. Los resultados clasifican la seguridad de varios modelos de automóvil en base a un número de pruebas que incluyen tanto los ataques físicos a cerraduras como los lógicos a los sistemas keyless y puertos de diagnosis OBD.

Volvo Cars digital key

Es más, gracias a estos tests se obtienen unos resultados interesantes que permiten clasificar diferentes modelos de vehículos en base a ciertos puntos clave, entre los que se incluyen los ataques relay a sistemas keyless. De este estudio se deduce, por ejemplo, que modelos alemanes como Mercedes, Audi o Porsche obtienen en general buenas puntuaciones, mientras que modelos japoneses y coreanos de fabricantes como Toyota, Suzuki, Hyundai o Kia no salen muy bien parados.

En muchos de estos casos, la solución pasa por desactivar la funcionalidad keyless en aquellos modelos que se nos permita hacerlo o, en última instancia, adquirir una funda o caja Faraday para evitar que la llave emita señales que puedan ser clonadas por los delincuentes.

Conclusión

No cabe duda que la inclusión de sistemas de apertura/arranque sin llave suponen una comodidad para los conductores, como también lo son muchos otros sistemas incorporados en los coches actuales y otros que se llegarán en el futuro. Sin embargo, no es admisible que estos sistemas que nos permiten hacer la conducción más cómoda y agradable se implanten a costa de perder elementos de seguridad y, por ese motivo, debemos instar a los fabricantes a que solucionen estas vulnerabilidades.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

Descatalogamos Sage FacturaPlus, TPVPlus y Eurowin

¡Aprovecha la última oportunidad de regularizar o actualizar tu ContaPlus con un descuento especial!

Facturaplus, TpvPlus y Eurowin son desde hace más de 20 años la solución estándar para miles de empresas. Desde su lanzamiento han sido su software favorito. Durante estos años la tecnología ha evolucionado y estos avances nos han permitido convertir Facturaplus, TpvPlus y Eurowin en Sage 50cloud o Sage 200cloud.

Por este motivo, a partir del 1 de abril Facturaplus, TpvPlus y Eurowin serán descatalogados y dejarán de comercializarse a nuevos clientes.

No obstante, continuaremos ofreciendo los servicios de mantenimiento y soporte incluso después del 1 de abril. Hasta el 31 de marzo tienes la última oportunidad para actualizar o regularizar tu solución con un 20% de descuento en Sage 50Cloud y un 30% de descuento en Sage 200cloud*.

sage-Facturaplus-TpvPlus-Eurowin

* Descuento aplicable en la equiparación de módulos contratados en tu solución Plus.

Solicita información para actualizarte

Descatalogamos Sage ContaPlus

¡Aprovecha la última oportunidad de regularizar o actualizar tu ContaPlus con un descuento especial!

ContaPlus es desde hace más de 20 años la solución estándar para miles de empresas. Desde su lanzamiento ha sido su software favorito. Durante estos años la tecnología ha evolucionado y estos avances nos han permitido convertir ContaPlus en Sage 50cloud o Sage 200cloud.

Por este motivo, a partir del 1 de abril ContaPlus será descatalogado y dejará de comercializarse a nuevos clientes.

No obstante, continuaremos ofreciendo los servicios de mantenimiento y soporte incluso después del 1 de abril. Hasta el 31 de marzo tienes la última oportunidad para actualizar o regularizar tu solución con un 20% de descuento en Sage 50Cloud y un 30% de descuento en Sage 200cloud*.

sage-contaplus

* Descuento aplicable en la equiparación de módulos contratados en tu solución Plus.

Solicita información para actualizarte

ESET descubre el primer malware Clipper para Android en Google Play

Las direcciones de las carteras donde se almacenan las criptomonedas suelen estar compuestas por largas cadenas de caracteres, algo necesario para garantizar su seguridad. Lo más habitual es que los usuarios copien y peguen estas largas direcciones en lugar de escribirlas cada vez que vayan a utilizarlas. Desde hace un tiempo se ha vuelto frecuente detectar un tipo de malware conocido como “clipper”, que se encarga de interceptar el contenido del portapeles y reemplazarlo por aquello que especifique el delincuente. En el caso de las transacciones con criptomonedas el usuario afectado puede terminar pegando una dirección de cartera online que no se corresponde con la suya y sí con la del cibercriminal que se quedará con las criptomonedas.

Este peligroso malware hizo su primera aparición en 2017 en sistemas Windows y fue observado aplicaciones para Android en webs de apps fraudulentas en el verano de 2018. En febrero de 2019, investigadores de ESET descubrieron un malware clipper en Google Play, la tienda oficial de Android.

Este tipo de malware está arraigado dentro de la industria del cibercrimen desde el notable incremento de precio (y posterior descenso) sufrido por las criptomonedas hace unos años. Los investigadores de ESET llegaron a descubrir una muestra de este malware alojada en el popular sitio de descargas de software download.cnet.com. Sin embargo, no fue hasta agosto de 2018 cuando apareció el primer clipper para Android que se vendió en foros de hacking.

Copiar y robar

Google-Play

El malware de este tipo que encontraron los investigadores en la tienda Google Play es detectado por las soluciones de seguridad de ESET como Android/Clipper.C y suplanta a un servicio legítimo llamado MetaMask. Su propósito principal es robar las credenciales de la víctima y sus claves privadas para obtener el control sobre los fondos en criptomonedas del usuario, concretamente de la criptodivisa Ethereum. Sin embargo, también incorpora la posibilidad de reemplazar al vuelo la dirección de una cartera de Bitcoin o Ethereum que se haya copiado al portapapeles por la de una cartera perteneciente al atacante.

Los investigadores de ESET encontraron el malware Android/Clipper.C poco después de que fuera subido a la tienda oficial de Android el pasado 1 de febrero de 2019. Seguidamente se informa de este descubrimiento al equipo de seguridad de Google Play, que se encargó de eliminar la aplicación de la tienda oficial.

Parece claro que este malware tenía como objetivo a aquellos usuarios que quisieran usar la versión móvil de la función que ofrece MetaMask, pensado para ejecutar las aplicaciones descentralizadas de Ethereum desde un navegador sin tener que ejecutar el nodo completo de Ethereum. Sin embargo, este servicio no ofrece actualmente ninguna aplicación móvil, tan solo complementos para navegadores de sistemas de escritorio como Chrome y Firefox.

ESEt-password

No es la primera vez que se detectan aplicaciones maliciosas en Google Play haciéndose pasar por MetaMask. Sin embargo, la funcionalidad de estas aplicaciones maliciosas se limitaba al robo de credenciales y de información confidencial para poder acceder a las criptomonedas obtenidas por la víctima.

Consejos de seguridad

La primera aparición del malware clipper en Google Play sirve como advertencia para que los usuarios de Android sigan aplicando las mejores medidas de seguridad posibles para proteger sus dispositivos móviles.

Desde ESET recomendamos seguir los siguientes consejos para protegerse tanto de malware del tipo clipper como de otras amenazas para Android:

  • Debemos mantener nuestro dispositivo Android actualizado y utilizar una solución de seguridad de reputada eficacia.
  • Intentar descargar las aplicaciones siempre desde la tienda oficial Google Play.
  • Aún descargando las aplicaciones desde la tienda oficial, debemos asegurarnos de que la app se corresponde con la de su desarrollador legítimo. Para ello, podemos consultar su web oficial para ver si realmente existe esa aplicación. Si no existe, debemos sospechar de cualquier resultado que nos aparezca en Google Play haciéndose pasar por ella.
  • Revisa cada uno de los pasos en aquellas operaciones relacionadas con algo valioso, desde información confidencial a dinero. Si se utiliza el portapapeles siempre debemos comprobar que lo que hemos copiado es realmente aquello que deseamos introducir.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

Riesgos asociados a las redes Wi-Fi públicas: cuáles son y cómo prevenirlos

El 5 de febrero, se celebra alrededor del mundo el Safer Internet Day, o Día de la Internet Segura, una iniciativa que nació en La Unión Europea hacia 2004 y cuyo eslogan llama a “unirnos por una mejor Internet”. En el marco de este evento, discutimos una cuestión clave a la que hay que estar atentos para seguir la línea de la campaña: las redes Wi-Fi públicas y la seguridad de las mismas.

La llegada del Wi-Fi a los lugares públicos marcó un antes y un después en el día a día de los usuarios interconectados, ya que nos permitió aprovechar el servicio de Internet cuando nos sentamos en algún café, ya sea que tengamos que pedir la contraseña o que directamente esté abierta para cualquiera que desee conectarse.

Pero si tan solo nos detuviéramos unos minutos para pensar en qué tan seguras son estas conexiones, rápidamente encontraríamos varios motivos para dar una respuesta negativa. Si al visitar un lugar público no dejamos nuestras pertenencias en cualquier sitio, porque conocemos los riesgos de hacerlo, ¿por qué lo haríamos con la información almacenada en nuestros dispositivos?

wifi-public

A continuación, te mostramos cuáles son algunos de los riesgos s los que nos exponemos al utilizar redes Wi-Fi públicas.

Ser víctima de un ataque “Man in the Middle”

Como su nombre lo indica, los de ataques “Man in the Middle”, que traducido sería “hombre en el medio”, asociados a conexiones a redes Wi-Fi públicas suelen estar relacionados con la presencia de un intermediario entre la víctima y el sitio que ésta visita, pudiendo el cibercriminal acceder a los datos mientras viajan.

No solo se trata de ataques altamente efectivos, sino que, además, también motivo de su efectividad, son muy difíciles de detectar, dado que la información es interceptada a mitad de camino cuando viaja entre el dispositivo de usuario y el router, sin que sea percibido.

Robo de datos personales, información confidencial y/o credenciales

Por supuesto, si la red Wi-Fi a la que te conectas no es lo suficientemente segura, los datos que guardas en tu computadora o teléfono (archivos personales o contraseñas) pueden quedar expuestos al robo. ¿Cómo? Por ejemplo, si un criminal se aprovecha de la falta de mecanismos de seguridad en una red Wi-Fí pública podría interceptar el tráfico mediante un ataque Man in the Middle. Esto podría tener consecuencias aún peores si te conectas a esta red desde tu equipo de trabajo, donde probablemente haya información confidencial.

Tal vez recuerdes cuando hacia fines de 2010 el desarrollador de Firefox lanzó una extensión de su navegador, denominada Firesheep, con el objetivo de demostrar el peligro de las conexiones a redes abiertas cuando se ingresa a sitios que requieren credenciales. En pocas palabras, el complemento permitía realizar hijacking de sesiones HTTP, es decir, secuestrar conexiones de red, sesiones de usuario y otros servicios informáticos.

No solo se destacó por su facilidad de uso, sino que además estuvo disponible para diferentes versiones de Sistemas Operativos y obtuvo más de 50.000 descargas a solo un día de haberse anunciado.

wifis-publicas

Cuidado al realizar una transacción en línea

Puedes pensar que no es necesario decirlo, pero son muchos los usuarios que siguen realizando compras y transferencias online o ingresando a Homebanking conectados a la red Wi-Fi de algún café, hotel o aeropuerto. Sin importar desde qué dispositivos te conectes, el uso de una red pública siempre representará un riesgo para realizar cualquier acción que involucre algún dato privado, porque como vimos anteriormente, no sabemos si alguien está interceptando el tráfico.

Falsos puntos de acceso se presentan como redes sin clave

Cada vez es más común encontrarnos con redes Wi-Fi en lugares públicos sin ningún tipo de seguridad. Si se trata de un café, por ejemplo, es normal ver que el nombre del lugar figura también como nombre una red y que ésta no tuviera clave alguna.

En estos casos, es importante tener presente dos cosas:

En primer lugar, si bien nunca es recomendable conectarse a redes sin clave, si vas a hacerlo es aconsejable consultar cuál es el nombre de la red de ese lugar para comprobar que efectivamente sea el que ves en tu pantalla.

Por otro lado, es posible (y sencillo) que un atacante aproveche estas conexiones para clonarlas (montando una red con el mismo nombre) para utilizarla como un señuelo a la espera de que los usuarios se conecten y enlacen sus dispositivos a la antena del atacante. Si esto ocurre, todos los paquetes de conexión que entren y salgan pasarán por el equipo atacante, quien podrá ver y modificar todo a voluntad.

Por ejemplo, desde la herramienta de código abierto FruityWifi, creada para realizar auditorías de redes Wireless, alguien podría montar una falsa red y a partir de ella alterar las direcciones IP de los servidores DNS de la víctima para que apunten a servidores maliciosos. En este artículo de WeLiveSecurity podrás ver una prueba realizada en nuestro laboratorio y conocer cómo funciona este proceso.

Router vulnerado

Sí, así como los computadores y smartphones pueden infectarse, también existen vulnerabilidades presentes en otros dispositivos conectados, como los routers. Tal vez el ataque se trate de un simple secuestro del ancho de banda, o podría incluso escalar hasta convertir a los dispositivos infectados en partes de una botnet. La realidad es que, sin una mínima protección básica, como la modificación de la contraseña predeterminada, el router puede convertirse en la puerta de entrada para que un atacante logre acceder a cualquier dispositivo que esté conectado a él.

Por otro lado, si bien las compañías fabricantes suelen lanzar parches de seguridad para las vulnerabilidades que se detecten en los routers, muchos usuarios no realizan las actualizaciones correspondientes, lo que ha llevado a masivas campañas de cryptojacking y cientos de miles de usuarios afectados. Ahora, ¿podemos estar seguros que estos parches fueron aplicados en el router de un lugar que visitamos?

Cómo conectarse a redes Wi-Fi públicas de manera segura

Ahora que sabes un poco más acerca de los riesgos a los que puedes enfrentarte, no habrás creído que íbamos a dejarte sin nuestras recomendaciones de seguridad, ¿verdad? Aquí van alguna de ellas:

  • 1. Mantén tu solución de seguridad actualizada y su sistema operativo
    Demás está decir que tener una solución antivirus instalada en tus dispositivos, tanto laptops como móviles, es el primer paso para estar seguro. Una vez que cuentas con ella, asegúrate de tener siempre la última versión del producto descargada, garantizando así que todas sus funcionalidades estén al día y listas para evitar el ingreso de aplicaciones potencialmente no deseadas.Por otro lado, cabe destacar la importancia de contar con un único software antivirus instalado en tus equipos. ¿Por qué? Antes que nada, al contar con funcionalidades similares, ejecutar más de una solución podría provocar que entren en conflicto y se anulen mutuamente, dejando tu dispositivo expuesto. Por otro lado, al realizar las exploraciones automáticas consumirán muchos recursos y el equipo sufrirá una merma en su rendimiento.
    Además de tu solución antivirus, recuerda mantener siempre actualizado tu Sistema Operativo y las aplicaciones del sistema, aplicando los parches de seguridad que lanzan los fabricantes y protegiendo, entonces sí, tu laptop y dispositivo móvil.
  • wifi_puc

  • 2. Cuida las acciones que realizas desde estas conexiones
    Si decides conectarte a una red Wi-Fi pública, es aconsejable usar Internet para visitar sitios que no requieran credenciales ni información personal, como portales o diarios. Además, podrías querer deshabilitar todos los servicios de homebanking, cuentas de correo electrónico, redes sociales y demás aplicaciones que requieran usuario y contraseña para establecer la conexión.
    Si efectivamente te encuentras fuera del alcance de una red de confianza y necesitas acceder a servicios como el Homebanking o el correo, considera utilizar tus datos móviles si es que tienes esa posibilidad. Si se trata del equipo que utilizas para trabajar, hacer uso de una VPN y mantener tu información cifrada.
  • 3. Ingresa a sitios web que utilicen protocolo HTTPS
    El protocolo HTTPS garantiza que la información transmitida entre la computadora del usuario y el sitio web sea cifrada en su transmisión. Motivo suficiente para utilizarlo, ¿verdad?
    Y dado que en dispositivos móviles y/o tablets ejecutamos prácticamente las mismas acciones que desde cualquier computador de escritorio o laptop, es importante conocer si al ingresar a un sitio web éste utiliza el protocolo seguro de navegación.
  • 4. Configura tu dispositivo para que pregunte antes de conectarse
    Para evitar que la conexión sea automática y evitar posibles riesgos, recuerda configurar tu dispositivo para que te pregunte si quieres conectarte a la red del sitio en el que estás cada vez que lo visites.
    Una vez que cuentes con tu solución de seguridad instalada, tu Sistema Operativo actualizado, tus servicios críticos deshabilitados y que hayas consultado con el lugar si su red es la que dice ser (…menudo trabajo), estarás en condiciones de decidir si efectivamente quieres establecer esa conexión.
  • 5. Utiliza Doble Factor de Autenticación
    Por supuesto, nunca está de más tener una capa extra de seguridad como la que aporta el doble factor de autenticación. La mayoría de los servicios que utilizamos día a día cuentan con la posibilidad de configurar el ingreso al sitio para que luego de colocar la contraseña debas confirmar que eres tú al ingresar un código adicional que será enviado a tu teléfono a través de un SMS, un correo, una app o una llamada.
    La tecnología inalámbrica facilita y agiliza nuestra vida cotidiana, pero lamentablemente su popularidad viene acompañada de riesgos, a los que hay que estar atento para ser capaces de prevenirlos, aplicando las medidas de seguridad adecuadas, protegiendo nuestra información y garantizando nuestro disfrute de la tecnología de la manera más segura.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

Cómo saber si la contraseña que utilizas fue filtrada en una brecha

Luego de hacerse público recientemente que se filtró una lista con millones de nombres de usuario y contraseñas, te contamos algunas alternativas para descubrir si tus credenciales fueron filtradas en esta o alguna otra brecha.

A mediados de enero el investigador Troy Hunt reveló que estuvo circulando en el servicio de almacenamiento en la nube MEGA y también en unos foros de hacking, una lista, denominada Collection#1, que contenía la filtración más grande hasta el momento de contraseñas organizadas en un listado compuesto por más de 700 millones de direcciones de correo y más de 20 millones de contraseñas.

Enterados de esto, es normal que muchos de nosotros nos encontramos ante la interrogante de si nuestras direcciones de correo y/o contraseñas que utilizamos para acceder a nuestras cuentas formaron parte de esta o de alguna otra filtración o brecha. Saber si nuestras credenciales fueron filtradas o no, también nos dará una pauta acerca de si las contraseñas que estamos eligiendo a la hora de registrarnos en un nuevo servicio o cambiarla, son lo suficientemente seguras y/u originales. Por eso, ante estas cuestiones y con la excusa de sumarnos a la propuesta del sitio Gizmodo con su iniciativa de celebrar todos los 1 de febrero el “Día de cambiar tu contraseña”, a continuación te contamos cómo averiguar si tu dirección de correo o contraseña se filtró alguna vez y comprobar si las contraseñas que elijes son seguras o no.

password-seg

La primera que vamos a utilizar es el servicio de Have I Been Pwned, el cual es liderado por la misma persona que dio a conocer la masiva filtración que mencionamos al principio de este post. Este servicio nos permite verificar si nuestra dirección de correo electrónico fue filtrada alguna vez en las distintas listas que circulas con datos de correo y claves. Además, su base de datos está actualizada e incluye las direcciones y contraseñas que fueron filtradas recientemente.

Al ingresar al sitio podemos ver que cuentan con una base de datos de 6.000 millones de cuentas que han sido filtradas alguna vez. Una vez aquí procedemos a introducir nuestra cuenta de correo para verificar si estamos en alguna de esas listas.

En este caso verificamos que, lamentablemente, la dirección ingresada fue efectivamente filtrada en alguna oportunidad. Si descendemos podemos ver que nos indica en que servicios ocurrieron las filtraciones.

Como se puede ver en la imagen, encontramos la información ordenada por fechas y sitios que fueron víctimas de filtración de nuestra información, como por ejemplo, aparecen casos emblemáticos como los que sufrió LinkedIn y Taringa; así como también distintas listas que regularmente vuelven a circular con información recogida de varios sitios.

¿Qué hacemos entonces con esta información? De más está decir la importancia que tiene cambiar las claves en los sitios mencionados, pero como además es muy común que usemos las mismas credenciales para más de un sitio o servicio, nos veremos en la necesidad de cambiar la clave filtrada en todos los sitios donde la utilizamos, ya que una vez que nuestra clave está en manos de un tercero, nunca sabremos en cuantos sitios probaran entrar con la misma.

A la hora de elegir una nueva contraseña recomendamos otra herramienta muy útil que está dentro del mismo sitio.

En este caso, la información que nos devolverá la página es cuantas veces fue utilizada (y por supuesto, filtrada) una clave.

Probando algunas de las contraseñas que suelen figurar en los rankings de claves más utilizadas, por más que cueste creerlo, encontramos los siguientes ejemplos:

Clave Cantidad de veces vista en filtraciones
123456 23,174,662
password 3,645,804
qwerty 3,810,555
111111 3,093,220
google 183,778
facebook 64,811
a3Z6!B:9#s.2 0

Como podemos notar, si probamos una contraseña completamente aleatoria, tenemos grandes chances de que no esté relacionada con alguna de las fugas de información, es decir que probablemente no ha sido utilizada o no logró ser descifrada. Esto nos da un buen parámetro de qué será una clave segura, o al menos difícil de que este en posesión de terceros.

Algo importante a tener en cuenta a la hora de elegir una contraseña segura, no solo será la de verificar que no esté en alguna base de datos de filtraciones, sino recordar algunas buenas practicas a la hora de elegirla.

malware

  • Usar caracteres alfanuméricos.
  • Usar caracteres especiales.
  • Que tenga por lo menos 8 caracteres de longitud (más de 10 nos dará mayor seguridad aun ante cualquier ataque por fuerza bruta).
  • Además, hay que considerar utilizar un segundo factor de autenticación, ya que nos aportará una capa de seguridad adicional sobre la contraseña elegida.

Pero lo más importante es que sea fácil de recordar por nosotros, ya que, si por el hecho de buscar “la contraseña” terminamos anotándola en un papel, o peor aún, pegándola en el pie del monitor, o situaciones similares que se han encontrado, todo lo seguridad que hayamos empleado quedará en la nada misma.

En el caso de aquellos usuarios que utilicen un gestor de contraseñas como KeePass, que nos permitirá generar combinaciones más seguras y las almacena cifradas en el propio gestor, existe la posibilidad de comparar todas las claves que llevamos guardadas ahí contra las bases de datos de Have I Been Pwned, gracias a una herramienta publicada en GitHub.

Se trata de la aplicación kdbxpasswordpwned, la cual nos permite comparar de manera automática todas las claves que tenemos en nuestro gestor KeyPass contra la base de filtraciones.

SI bien la aplicación puede que esté dirigida a un usuario con mayores conocimientos técnicos, con el siguiente paso a paso intentaremos que sea lo más sencillo posible utilizarla.

En primer lugar, procedemos a instalar la aplicación con la siguiente línea de comando en nuestro sistema con Python:

$ pip install kdbxpasswordpwned

Una vez instalado, debemos ir a la carpeta donde tengamos nuestro archivo.kdbx (formato de archivo del gestor de contraseñas KeyPass) y ejecutar el siguiente comando:

Como podemos apreciar, nos va a pedir la clave de nuestro archivo cifrado, para luego comparar cada una de las contraseñas que tenemos alojadas en el gestor. En este ejemplo, podemos observar que se encontraron dos claves de ejemplo que tenemos guardadas, con lo que nuevamente nos da la pauta de que si se tratara de claves reales deberíamos cambiarlas inmediatamente en los servicios que las utilizamos.

Como último consejo de este post, porque nunca está de más observar qué hacen los ciberdelincuentes con la información que obtienen, estemos atentos a recibir correos electrónicos donde nos quieran extorsionar por el hecho de tener nuestras claves, ya que desde el Laboratorio ESET vemos que siguen vigentes actualmente campañas de sextorsión falsas donde nos envíen un mensaje con nuestra clave en el correo (en el titulo o en las primeras líneas del cuerpo) y nos exigen un pago a cambio.

Recuerden cambiar periódicamente sus claves de acceso, por más que los servicios y aplicaciones no los obliguen, utilizar el segundo factor de autenticación en los servicios que lo permitan y de esta manera mantendremos más segura nuestra información personal y el acceso indebido a la misma.

Noticias, opiniones y análisis de la comunidad de seguridad de ESET

Iberbyte informática® 2019. Todos los derechos reservados©. -