¿Qué sabe Internet sobre mí? I Parte

¿Qué sabe Internet sobre mí? I Parte

por | Seguridad Informática, Sin categorizar

A estas alturas ¿quién no ha buscado alguna vez su nombre en Google? Es tan fácil como escribir nuestro nombre en el navegador y darle a buscar y si queremos una búsqueda más precisa, podemos poner nuestro nombre entre comillas dobles. De esta forma podemos ver (casi) todo lo que internet sabe sobre mí, en este caso en Google, pero hay más y lo vamos a ver en este artículo.

Dato de curiosidad: ¿sabías qué, a la acción de buscar nuestro propio nombre en un buscador como Google se conoce como egosurfing?

¿Dónde vivo?

Si alguien quisiera saber dónde vives tiene varias formas de cumplir su objetivo, por ejemplo, infobel.com publica una guía electrónica de sus clientes la cual ha sido indexada por Google y mediante consultas avanzadas en el buscador podemos sacar información de una persona:

Escribe lo siguiente en el buscador:

site:infobel.com «Arroyo» inurl:”people»

buscador

Como podemos observar, en cada uno de los resultados aparece el nombre de la persona, su dirección, el identificador, etc.

Otros directorios telefónicos en los que podríamos hacer este tipo de consultas son:

¿Cómo es mi casa?

Una vez que saben dónde vivimos, a la persona en cuestión le podría interesar como es nuestra casa y así saber, por ejemplo, nuestro nivel económico.

En España se podría dirigir a la sede electrónica del catastro y hacer una consulta de los datos catastrales sabiendo nuestra dirección y todo esto sin identificarse.

tu-casa-en-el-catastro

De esta manera se podría saber los metros cuadrados de la vivienda, si es un piso, vivienda unifamiliar, etc.

Lo que Facebook sabe de ti:

Si accedemos al perfil de una persona en Facebook que no es amiga(o) nuestro solo veremos las fotos e información que esa persona quiere que veamos. Pero poniendo en el navegador la dirección correcta podemos obtener mucha más información.

Para la siguiente prueba de concepto necesitamos saber el identificador de perfil del usuario, para sacarlo haremos lo siguiente:

  1. Entramos en el perfil de la persona en cuestión
  2. Accedemos al código fuente de la página
  3. Buscamos la cadena «fb://»
  4. Copiamos la numeración que aparece después de /profile/

Profile de Facebook

Una vez que tenemos el identificador de perfil podemos obtener fácilmente la siguiente información:

  • Sus historias publicadas:
    • https://www.facebook.com/search/numero_identificador/stories-by
  • Sus fotos publicadas:
    • https://www.facebook.com/search/numero_identificador/photos-of
  • Las historias en las que ha sido etiquetada:
    • https://www.facebook.com/search/numero_identificador/stories-tagged
  • Las fotos en la que ha sido etiquetada:
    • https://www.facebook.com/search/numero_identificador/photos-tagged
  • Los grupos a los que pertenece:
    • https://www.facebook.com/search/numero_identificador/groups/
  • Los amigos que tiene:
    • https://www.facebook.com/search/numero_identificador/friends/
  • Dónde trabajan sus amigos:
    • https://www.facebook.com/search/numero_identificador/friends/employers/
  • Dónde estudiaron sus amigos:
    • https://www.facebook.com/search/numero_identificador/friends/schools-attended/
  • Qué sitios han visitado sus amigos:
    • https://www.facebook.com/search/numero_identificador/friends/places-visited/

 

Por ejemplo, podemos deducir en qué localidad vive una persona si sabemos dónde viven la mayoría de sus amigos.

Buscadores de identidades digitales

Existen buscadores específicos para buscar personas, concretamente su identidad digital. Unas páginas de búsqueda generalizada de trabajadores, o personas de forma individual son:

  • http://pipl.com/
  • http://www.yasni.co.uk/
  • http://knowem.com/

Otra página que nos permite realizar búsquedas personalizadas desde el email y comprobar las apariciones en redes sociales es:

  • http://www.spokeo.com/email

Y si lo que necesitamos es comprobar que un email existe y es válido podemos utilizar

  • http://centralops.net/co/
    • En su sección de “Email Dossier”

 

Ahora ya sabes algunas de las técnicas que se suelen utilizar para rastrearnos. Utilízalas para ver la información pública que hay sobre ti y exige el derecho al olvido

En la segunda parte de esta serie de artículos podrás informarte sobre otras técnicas o acciones que permiten descubrir nuestros datos personales públicos en Internet. …No te lo puedes perder 😉

¿Quieres conocer nuestros servicios de ciberseguridad?
¡Socorro mi cafetera me ataca!: El ataque de tipo DDoS

¡Socorro mi cafetera me ataca!: El ataque de tipo DDoS

por | Seguridad Informática, Sin categorizar

¿Te imaginas que tu cafetera, lavadora y nevera se pusieran de acuerdo para atacarte a la vez? Pues esto es lo que le ha ocurrido a uno de los servicios más importantes de Internet.

El 21 de octubre de este año se produjo lo que podemos considerar como uno de los ataques más grandes de los últimos años. El ataque de tipo DDoS fue dirigido contra DynDNS, uno de los proveedores más importantes de DNS que da servicio a empresas de nombre y prestigio como Twiter, Spotify, PayPal o Reddit.

DNS es el servicio que permite identificar un nombre de dominio o dirección Web con la dirección IP del servidor que lo aloja.

DDoS o Denegación de Servicio Distribuido es un ataque que pretende colapsar un servidor realizando un número muy elevado de peticiones contra este, evitando que pueda responder con normalidad, provocando una sobrecarga en los recursos del sistema o la pérdida de red. Este ataque suele ser habitual llevarlo a cabo a través de una red de bots (botnet).

Botnet

 

 

Una botnet es una red de dispositivos infectados por un malware que pueden ser controlados de forma remota por un atacante, a los dispositivos que componen esta red se les llama equipos zombis.

Lo más interesante de este último ataque es que la botnet estaba formada por dispositivos de internet de las cosas (IoT), los dispositivos IoT es un concepto que se refiere a objetos cotidianos que están conectados a internet, tales como, lavadoras, cafeteras, smartwatches, etc.

No es la primera vez que se usan estos dispositivos en ataques de este tipo, ni será la última.

 

 

¿Por qué se utilizar dispositivos IoT para los ataques de tipo DDos?

Podemos destacar 3 razones:

Cada día hay más dispositivos conectados: cada vez hay más tipos de dispositivos que utilizamos en nuestro día a día que están conectados a la red.

Configuración de seguridad descuidada: normalmente se suele dejar la configuración por defecto en los dispositivos, es decir, se quedan protegidos mediante las credenciales de origen que pone el fabricante y que son idénticas en todos los dispositivos del mismo modelo. En general, basta con una simple consulta en Google para obtener la clave por defecto.

Están encendidos durante más tiempo: por ejemplo, un DVRs o una cámara de seguridad IP no se suele apagar, por lo tanto, el tiempo que puede utilizar el atacante un dispositivo es mayor que si utiliza un ordenador personal.

Debido a que cada vez hay más dispositivos conectados y que es más fácil crear redes de bots con estos dispositivos IoT, veremos ataques de este tipo con mayor frecuencia.

Párate a pensar que, si esa lavadora que te avisa al móvil cuando termina o la cafetera que te manda un mensaje cuando se está quedando sin cápsulas, fueran parte de esa botnet…

¿El ataque DDoS que tumbo la red de Estados Unidos es el inicio de algo peor?

Ahora la mayor incógnita es, ¿cuál será el siguiente objetivo?

 

¿Quieres conocer nuestros servicios de ciberseguridad?
Principales riesgos del uso de WhatsApp

Principales riesgos del uso de WhatsApp

por | Seguridad Informática, WhatsApp

Debido a la reciente publicación del informe sobre los principales riesgos del uso de WhatsApp realizada por el CCN-CERT (Capacidad de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN), hemos querido destacar las principales medidas de seguridad que hay que tomar en el uso de esta aplicación.

1. Evitar que nos roben la cuenta suplantando nuestro número de teléfono.

Debido a un grave fallo de seguridad en las redes GSM, concretamente en el protocolo SS7 utilizado para el establecimiento y finalización de llamadas entre otros usos, sería posible hackear un móvil simplemente sabiendo el número de teléfono, haciendo creer a la red telefónica que el número de teléfono del atacante es el mismo que el de la víctima y de esta forma recibir los mensajes dirigidos a ella. Mediante esta técnica el atacante puede apoderarse de la cuenta de WhatsApp y acceder a todos los mensajes.

Al ser un fallo de la red GSM y no de la aplicación (no solo afecta a WhatsApp sino a la mayoría de aplicaciones que disponen del envío de un SMS o llamada como método de verificación de la identidad) no es posible resolverlo de forma directa. Como alternativa el CCN-CERT recomienda activar la opción de “Mostrar notificaciones de seguridad”.

seguridad en whatsapp

 

  1. Abrimos la aplicación WhatsApp y nos vamos a los ajustes.
  2. Dentro de ajustes pulsamos en Cuenta > Seguridad.
  3. Habilitamos la pestaña para que nos muestre las notificaciones de seguridad.

 

 

Cada chat iniciado dispone de un código de seguridad único que asegura la comunicación de ese chat, cifrando las llamadas y los mensajes de extremo a extremo.

Este código de seguridad puede cambiar debido a que un contacto reinstala la aplicación, cambia de móvil o ha sido víctima de un ataque de este tipo.

2. Evitar que vean nuestros mensajes incluso si los borramos.

Cuando borramos un mensaje, conversación o grupo, este no desaparece si no que es marcado como libre pudiendo ser sobrescrito por otra conversación en un futuro, pero mientras tanto sigue estando en nuestro teléfono. Estas conversaciones “borradas” pueden ser extraídas mediante técnicas forenses.

La única solución para borrar de una forma más segura un mensaje o conversación que hayamos eliminado será desinstalar la aplicación y volverla a instalar. Tenemos que tener en cuenta que si disponemos de copias de seguridad estas no serán eliminadas mediante este proceso.

3. Evitar el uso de redes Wifi públicas.

Durante el establecimiento de conexión con los servidores de la aplicación WhatsApp intercambia en texto claro información sensible acerca del usuario, como puede ser:

  1. Sistema operativo del teléfono.
  2. Versión de WhatsApp.
  3. Número de teléfono.

Por lo tanto tenemos que evitar en la medida de lo posible el uso de redes Wifi públicas para usar la aplicación. Si nos vemos obligados a usarlas lo recomendable es hacer uso de una conexión VPN.

4. Evitar el robo de cuenta mediante acceso físico.

Si un atacante tiene acceso físico al teléfono puede emular un terminal y poder robarnos la cuenta mediante verificación por SMS o la verificación por llamada.

  • En el caso de la verificación por SMS: si un atacante consigue nuestro teléfono y la previsualización de SMS se encuentra activa en la pantalla de bloqueo, podrá leer el mensaje de activación y traspasar la cuenta a otro terminal. Para evitar que esto pase tenemos que desactivar la opción de previsualización de mensajes en la pantalla de bloqueo.
  • En el caso de la verificación por llamada: es más complicado ya que no podemos poner un patrón para desbloquear llamadas. Lo único que podemos hacer es recopilar los números utilizados por la aplicación para realizar las llamadas de verificación y bloquearlos desde el terminal.

WhatsApp almacena de forma local en el teléfono la base de datos de la aplicación, de manera que, si un usuario es capaz de acceder a ella, dependiendo de la versión hay herramientas que permiten el descifrado de los datos y por tanto el acceso a toda la información.

5. Otras medidas de seguridad.

No descargar la aplicación de páginas no oficiales

Muchos delincuentes intentan engañar a los usuarios para que se descarguen aplicaciones no oficiales, las cuales suelen infectar nuestro terminal. Ofrecen para ello las ultimas características de la aplicación, la posibilidad de espiar otras cuentas u obtener otros servicios que la aplicación oficial no incluye. No debemos caer en este engaño.

Suplantación de identidad utilizando WhatsApp Web

WhatsApp Web nos permite usar la aplicación de mensajería desde cualquier ordenador a través del navegador. Para activarlo hay que entrar en este enlace y escanear el código QR que aparece en la pantalla con nuestro terminal.

Los atacantes con falsas promociones o descuentos en productos intentan engañar a la víctima para que escanee un código QR para que le lleve directamente a aprovecharse de estas ventajas. Lo que en realidad está haciendo este atacante es robar las credenciales de inicio de sesión.

Facebook like WhatsApp

Cuando Facebook se hizo con WhatsApp por el 2014, los creadores de la aplicación aseguraron que seguirían trabajando de forma independiente a Facebook indicando, a través de un post en el blog oficial que “El respeto a su privacidad está codificado en nuestro ADN, y hemos construido WhatsApp en torno al objetivo de conocer un poco acerca de usted como sea posible.”

Esta política ha sido respetada hasta agosto de 2016 que, con una nueva actualización de la aplicación, si el usuario da su consentimiento, transferirá los datos de sus usuarios a Facebook y el resto de compañías que Mark Zuckerberg posee para “actividades diversas”. Los datos que compartirán son el de teléfono, contactos, hora de última conexión y los hábitos de uso de la aplicación.

 

Por último os dejamos unas recomendaciones de seguridad para los terminales móviles.

  • Mantener el teléfono siempre bloqueado: para evitar el acceso a nuestra información si el teléfono cae en manos ajenas. Eliminando también las previsualizaciones de los mensajes.
  • Cuidado con los permisos que solicitan las aplicaciones. Por ejemplo una aplicación de cámara de fotos no tiene que tener permiso para utilizar el teléfono.
  • Conocer los riesgos de “rootear” o hacer “jailbreaking” al terminal ya que puede comprometer seriamente su seguridad.
  • Desactivar las conexiones cuando no las estemos utilizando. Wifi, bluetooth, etc.

 

Para más información recomendamos leer el documento completo del CCN-CERT que puedes descargar aquí.

 

 

 

¿Quieres conocer nuestros servicios de ciberseguridad?
Fraude en Internet para suplantar a la Agencia Tributaria

Fraude en Internet para suplantar a la Agencia Tributaria

por | Seguridad Informática, Sin categorizar

Se ha informado por parte de la Oficina de Seguridad del Internauta de un caso de Phishing (suplantación de la identidad de una Entidad reconocida, con la finalidad de obtener datos personales o bancarios fraudulentamente) recientemente. Los usuarios afectados han recibido un correo electrónico del ciberdelincuente, que intenta suplantar a la Agencia Tributaria, informando de un reembolso que ha de realizar, y redirige a una web con un formulario supuestamente de la agencia donde solicitan datos personales e información bancaria.

correo-phishing

Si nos fijamos en la página a la que nos redirige el ciberdelincuente veremos que no corresponde a la página verdadera de la Agencia Tributaria (http://www.agenciatributaria.es/)

20160215_phishing_agencia_tributaria

Si no has recibido aún el correo, si te llega bórralo nada más llegar y elimínalo también de tu papelera de reciclaje para que no haya confusión posible.
Si has recibido el correo, has tenido poca precaución y has introducido datos personales y/o bancarios:

  • Habla con tu Banco y bloquea las claves de Banca por Internet.
  • Bloquea las tarjetas de crédito asociadas al Banco.

Si ya se ha producido alguna operación no autorizada por ti:

  • Comunica a tu Banco lo que ha sucedido.
  • Denuncia el fraude a la Policía.

Y recuerda nuestras recomendaciones generales en caso de fraude de phising:

  1. No abrir correos de desconocidos que soliciten información personal o bancaria.
  2. No facilitar información bancaria por internet o teléfono a desconocidos.
  3. No utilizar páginas de transacciones bancarias que no tengan certificado, el cual se identifica con un candado junto a la dirección de la página.
  4. No seguir enlaces en correos o descargues ficheros adjuntos en correos remitidos incluso por contactos conocidos, salvo que te digan directamente que lo hagas con una finalidad.
  5. Utilizar una funcionalidad anti-phising en tu navegador, que detectará cuando el navegador detectará esté intentando acceder a un sitio web falso.
  6. Utilizar una utilidad anti-spyware (normalmente tu proveedor de antivirus la incluirá) y mantenerla actualizada.

Esperamos que esta información te haya servido de ayuda. Si necesitas más información sobre otros fraudes phishing puedes consultar en éste enlace sobre seguridad informática.

¿Quieres conocer nuestros servicios de ciberseguridad?