Resumen del mes de mayo

Aquí podrás leer un resumen de nuestros mejores artículos de mayo.

resumen mensual mayo

En mayo publicamos una gran variedad de artículos nuevos sobre las historias y consejos más recientes acerca de la seguridad informática, desde los peores errores que puedes cometer en Facebook a la colaboración más reciente de Kaspersky Lab. ¡No te preocupes si te has perdido alguna de estas noticias! Hemos resumido los mejores artículos del mes y los hemos destacado aquí, manteniéndote al día de toda la actualidad relacionada con la ciberseguridad.

 

5mistakesLos cinco peores errores que puedes cometer en Facebook

Aunque Facebook puede ser un lugar de encuentro social divertido, también conlleva algunos peligros. Hay unos cuantos errores típicos que los usuarios suelen cometer en esta red y, cada uno de ellos, podrían hacer que pierdas dinero, reputación o las buenas relaciones que tienes con las personas que aprecias. Así que para evitar estos peligros, nunca publiques tu biografía públicamente, especialmente en relación a tu fecha de nacimiento. Además, cuando estés publicando, asegúrate de que tus actualizaciones de estado sólo sean visibles para tus amigos, y asegúrate también que estos amigos sean conexiones reales. Evita también que en tus posts aparezcan indicadores de localización, pues con esto los cibercriminales podrían rastrearte con mucha más facilidad. Y finalmente, siempre debes usar una contraseña compleja para tu cuenta, con el fin de reducir el riesgo de que alguien la ataque.

smartLa mayoría de las casas inteligentes son vulnerables

Las casas inteligentes o “smart homes” son exactamente lo que piensas que son: casas en las cuales los electrodomésticos, los sistemas de calefacción y aire acondicionado, la iluminación, detectores de humo y/o las cerraduras están todos conectados a la red doméstica y, últimamente, a Internet junto con los ordenadores, los teléfonos y las tablets, así como cualquier otro dispositivo tradicional susceptible de conectarse a Internet. Puede que esto suene atractivo y algo así como las casas del futuro pero, recientemente, los investigadores han estado criticando los sistemas de seguridad inteligentes. De hecho, nuestros amigos de AV-Test.org estudiaron el estado de seguridad de siete equipos de casas inteligentes separados, encontrando que cuatro de esos sistemas no eran seguros. Los dispositivos que resultaron ser vulnerables en este estudio podían ser explotados por ataques internos y en algunos casos externos, que tenían como objetivo o la red doméstica y las máquinas conectadas a ésta, o la casa misma, y las cosas que había dentro de esta. AV-Test se centró en su prueba si la comunicación entre los dispositivos estaba cifrada, y resultó que tres productos no usaban cifrado alguno. En general, un criminal podría manipular los sistemas conectados para dañarlos, pero debido a que la mayoría de los hackers criminales quieren conseguir dinero, los ataques más comunes serían aquellos que, eventualmente, usan las debilidades de los sistemas como puntos de acceso para obtener datos valiosos guardados en la red del hogar. La primera noticia buena: AV-Test cree que si los creadores de estos productos se tomaran su tiempo en desarrollar un concepto sólido de seguridad en vez de apresurarse a sacar sus productos al mercado, entonces sería posible crear sistemas de casas inteligentes seguros. Y aquí la otra noticia buena: si estás pensando en comprar uno de estos sistemas, AV-Test te dice lo que tienes que buscar, sistemas que siempre requieran autenticación y usen cifrado en sus comunicaciones.

watchdogsKaspersky Lab asesora a los desarrolladores de Watch_Dogs

Hoy en día, la privacidad y la vigilancia constantes son cuestiones muy debatidas incluso fuera de la comunidad informática. Los ciudadanos normales y corrientes no tienen muchas armas con las que luchar contra la vigilancia a través de medios tecnológicos, pero el nuevo videojuego de Ubisoft, Watch_Dogs, da a los jugadores la posibilidad de eludir la vigilancia omnisciente de la tecnología, asumiendo el rol del vigilante Aiden Pearce. El juego fue desarrollado teniendo en cuenta los consejos de los expertos de seguridad de Kaspersky Lab, después de que un guión se enviara a Kaspersky para una revisión. El guión llegó a manos de Vitaly Kamluk, uno de los investigadores más importantes en Kaspersky Lab, que lo analizó y decidió que le gustaba. “Solo di un par de sugerencias”, dijo Kamluk durante una entrevista en las oficinas de Ubisoft en San Francisco durante un preestreno de Watch_Dogs el pasado mes de abril. “Hicieron un buen trabajo. El juego es realista y al mismo tiempo divertido”. A menudo a la gente no le gusta que la realidad entre en sus mundos de fantasía, pero Watch_Dogs introduce perfectamente en el juego los exploits y el hackeo de las cámaras de seguridad. “No hay situaciones con hackers típicas de Hollywood”, dijo Kamluk: “se trata de situaciones de la vida real.”

locker¿Un Cryptolocker para Android?

Un nuevo tipo de ransomware que afecta a los usuarios de Android podría estar relacionado con Cryptolocker, temido por su capacidad de cifrar archivos importantes del equipo y luego pedir un rescate para descifrarlos. Esta vez, un grupo de cibercriminales llamado Reveton, responsable de diferentes tipos de ransomware, está promocionando una muestra de malware parecido a un Cryptolocker capaz de infectar a los dispositivos móviles Android. Un importante investigador de seguridad que trabaja bajo el seudónimo “Kafeine”, descubrió este malware y habló de él en su blog “Malware don’t need Coffee“. Se dio cuenta de que, cuando las víctimas de los dispositivos Android se conectaban a un dominio infectado con este tipo de malware, eran redireccionados a una página web pornográfica; a través de unas técnicas de ingeniería social, los usuarios terminaban accediendo a un archivo de aplicación que contenía el malware. Tendrías que instalar el malware tú mismo para que tu sistema resultara infectado; es por esto que recomendamos instalar solo aplicaciones que procedan de la tienda de Google Play. No se sabe cuánto tiene que ver este ransomware con Cryptolocker pero, quienquiera que lo haya creado, se está aprovechando del éxito del viejo Cryptolocker en lo que parece un fraude de marketing. Es un fenómeno muy interesante, ya que demuestra cómo los cibercriminales utilizan tácticas de negocio y técnicas de marketing para maximizar sus beneficios, aunque esto es algo de lo que se debería hablar en otro post.

lockKeep calm y mantente alerto: OpenID y OAuth son vulnerables

Solo unas semanas después del descubrimiento inquietante del bug Heartbleed, apareció otro problema, aparentemente bastante extendido, del que preocuparse. Los problemas se encontraron en los protocolos populares de Internet OpenID y OAuth. El primer protocolo se usa cuando inicias una sesión en páginas web utilizando tus datos de acceso y se encuentra en Google, Facebook, LinkedIN, etc. El segundo se necesita cuando autorizas páginas web, aplicaciones o servicios con Facebook/G+/etc., sin realmente revelar tu contraseña y nombre de usuario a páginas de terceros. Estos dos normalmente se usan de manera conjunta y resulta que esto podría dirigir tu información a manos equivocadas. Puedes encontrar una explicación más técnica en Threatpost, pero, básicamente, esto es lo que pasa: en primer lugar, el usuario visitaría una página maliciosa de phishing, que tiene esos típicos botones de “Inicia sesión con Facebook”. Cuando el usuario hace clic en el enlace, aparece una ventana real de Facebook/G+/LI, pidiendo al usuario que introduzca su nombre de usuario y contraseña para autorizar el acceso al perfil del usuario. Finalmente, la autorización para usar el perfil se envía a la página falsa (de phishing) usando la redirección incorrecta, y un cibercriminal recibe la autorización (OAuth token) para acceder al perfil del usuario con cualquier permiso que tenga la aplicación original. Para los más cautelosos, la solución a prueba de balas sería dejar de usar OpenID y esos botones prácticos de “Iniciar sesión con…” durante algunos meses. Para evitar la traba de tener que memorizar decenas o incluso cientos de diferentes datos de acceso para varias páginas, podrías empezar a usar finalmente un gestor de contraseñas eficiente.Sin embargo, si tienes pensado continuar utilizando la autorización OpenID, no hay un peligro inminente en hacerlo. Simplemente tienes que estar muy atento y evitar cualquier fraude de phishing. Si accedes a algún servicio usando Facebook/Google/etc., asegúrate de abrir la página del servicio manualmente introduciendo la dirección o a través de un marcador, no desde el link de tus mails o programas de mensajería. Vuelve a revisar la barra de direcciones para evitar visitar páginas poco fiables y no te inscribas a nuevos servicios con OpenID, a menos que estés al 100% seguro de que el servicio es de buena reputación y que has llegado a la página web correcta. Además, usa soluciones de navegación segura como Kaspersky Internet Security ― Multi-Device que prevendrá que tu navegador visite sitios peligrosos, incluyendo las páginas phishing.

Consejos