Analytics

viernes, 27 de marzo de 2015

Vicente Aguilera participa en el programa 8 al día de 8 TV

Después del trágico accidente aéreo que ocupa todos los telediarios, y portadas de periódicos, las redes sociales se han inundado de comentarios. Un elevado número de ellos, ofensivos contra los catalanes. Este hecho ya ha sido denunciado y se están adoptando medidas para intentar identificar a las personas que han publicado (y retuiteado) dichos comentarios.

Con este motivo, Vicente Aguilera fue invitado ayer al programa de 8 TV, "8 al día", cómo experto en seguridad informática para hablar de la privacidad en las redes sociales, dando a conocer la herramienta Tinfoleak que ha desarrollado y que, entre otras muchas características, extrae datos relevantes a partir de la geolocalización de tuits.

Vicente explicó cuán fácil puede resultar rastrear estos tuits, y cómo personal experto puede llegar a identificar los usuarios de Twitter y seguir sus movimientos.

Os dejamos el enlace a la noticia que incluye el vídeo:
http://www.8tv.cat/8aldia/videos/la-justicia-investiga-tuits-catalonofobs-per-laccident-davio/

jueves, 26 de marzo de 2015

Derecho al Olvido: Aspectos Clave

El Grupo de Autoridades europeas de protección de datos (GT29) aprobó a finales del mes de noviembre de 2014 un documento sobre la aplicación de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 13 de mayo de 2014 relativa al denominado “derecho al olvido”. En dicha sentencia el TJUE dictaminó que Google tendría que retirar enlaces a informaciones lícitas e indexadas que un ciudadano considerase que le perjudican en su buscador.

El documento del GT29 se encuentra disponible en el siguiente enlace: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp225_en.pdf

En el se analizan por un lado, los aspectos clave del derecho al olvido; y, por otro, los criterios interpretativos comunes que deben aplicar las autoridades de los distintos estados europeos, para evaluar las solicitudes presentadas por los ciudadanos cuando los buscadores les han denegado, o no han atendido adecuadamente, sus derechos de cancelación u oposición con el objetivo de que los criterios de aplicación sean comunes y proporcionen mayor seguridad jurídica.

En este artículo nos centraremos en la primera parte del artículo del GT29, relativa a los aspectos clave del derecho al olvido, en el que se abordan diversas cuestiones, que arrojan luz sobre las principales dudas y criterios interpretativos surgidos tras la publicación de la sentencia por parte del TJUE.

  1. Responsabilidad de los motores de búsqueda:
    Lo primero de todo es que en dicho documento, se reconoce que los motores de búsqueda realizan un tratamiento de datos personales. Si bien el tratamiento de datos que realiza el motor de búsqueda es diferente de aquel que realizan los editores de sitios web, que cargan los datos en una página de internet.

    El GT29 señala que la diferencia entre unos y otros está en la transformación que realiza el operador de un motor de búsqueda, porque puede afectar a los derechos fundamentales a la intimidad y a la protección de datos de carácter personal en aquellos casos en que la búsqueda se lleve a cabo sobre la base del nombre de una persona. Y ello porque en la práctica, el procesamiento de información sobre la base del nombre de una persona que se realiza a través del motor de búsqueda, permite a cualquier usuario de Internet obtener en forma de lista de resultados un resumen estructurado de la información sobre ese individuo que pueda haber en la red; y que probablemente sin la búsqueda a través de un motor, no se podrían haber encontrado, o se habría llegado a ellos con gran dificultad.

    El hecho de que se reconozca que los motores de búsqueda realizan un tratamiento de datos personales implica que los motores de búsqueda deben asumir las responsabilidades propias de quienes tratan datos en los términos previstos en la normativa europea.

  2. El ejercicio de los derechos:
    En relación con el punto anterior, otro apartado sobre el que se pronuncia el GT29 es el del derecho que tienen los interesados a solicitar, si se cumplen las condiciones establecidas en los artículos 12 (derecho de acceso) y 14 (derecho de oposición del interesado) de la Directiva 95/46 (relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales), frente a los motores de búsqueda, la eliminación de enlaces a páginas web publicadas por terceros que contengan información relativa a sí mismos y que haya sido obtenida a través de la lista de los resultados que se muestra tras realizar una búsqueda sobre la base del nombre de una persona.

    Con ello, se posibilita a los ciudadanos que se dirijan a los motores de búsqueda directamente, para poder solicitar la eliminación de cualquier enlace que consideren lesivo contra sus derechos por el impacto desproporcionado que puede tener sobre la privacidad personal la difusión de determinadas informaciones. Por ello, aun siendo legal el contenido publicado, se otorga esta opción a los ciudadanos, sin que resulte necesario que las personas tengan que ponerse en contacto con el sitio original o editor del sitio web.

    La sentencia del TJUE expresa de manera clara que los derechos de cancelación y oposición solo “afecta a los resultados aparecidos en las páginas de resultados lo que no implica que la información deba ser suprimida ni de la fuente original ni de los índices del propio motor de búsqueda”. De tal manera que, la información sigue siendo accesible a través de otros términos de búsqueda (y en su sitio original a pesar de poder solicitarse la eliminación del enlace).

    Los motores de búsqueda están obligados a cumplir con las disposiciones de las leyes nacionales de protección de datos con respecto a los requisitos para formular una petición, los plazos y contenido de las respuestas a los interesados.

    El principal conflicto de intereses que se plantea es el del (mal) llamado “derecho al olvido” frente al derecho a estar informado. En todo caso, siempre se deberá procurar alcanzar el equilibro entre los diferentes derechos e intereses. Si bien, el resultado dependerá de la naturaleza y la sensibilidad de los datos procesados y en el interés del público a tener acceso a esa información en particular

    Cada solicitud de derecho al olvido se deberá analizar individualmente. Para que el motor de búsqueda pueda evaluar cada caso concreto, los interesados deberán justificar suficientemente las razones por las que solicitan la exclusión, identificar las URL específicas, e indicar si cumplen un papel en la vida pública, o no.

    Por su parte el motor de búsqueda deberá valorar el interés de los usuarios en el acceso a una información. En caso de que se considere que un dato es de interés público, o se refiere a una figura pública, no se bloquea su acceso. De esa manera, la libertad de información no se ve afectada cuando se trata de noticias de interés general al no proceder el reconocimiento del derecho al olvido en esos casos.

    En todo caso, en aquellos supuestos en que el motor de búsqueda niegue una solicitud de exclusión, debe proporcionar la suficiente información al interesado por las razones de la negativa. Teniendo en cuenta la relevancia del acceso a páginas web a través de buscadores, las autoridades europeas instan a los buscadores a que hagan públicos los criterios de exclusión que están aplicando. Por su parte, el interesado, podrá acudir a la autoridad de protección de datos o a los tribunales si no están satisfechos con la respuesta. 

  3. Alcance:
    En este apartado el GT29 señala que, si bien la sentencia del TJE se dirige específicamente a los buscadores generalistas, ello no significa que no se pueda aplicar a otros intermediarios. Los derechos podrán ser ejercidos siempre que se cumplan las condiciones establecidas en la sentencia.

    La aplicación adecuada de la sentencia debe hacerse de tal manera que los interesados estén protegidos eficazmente contra el impacto de la difusión universal y la accesibilidad de la información personal ofrecida por los motores de búsqueda en aquellos casos en que la búsqueda se realiza sobre la base del nombre de las personas.

    El fallo señala expresamente que el derecho sólo afecta a los resultados obtenidos en búsquedas basadas en el nombre de la persona. Esta matización es importante porque la página o información relativa a esa persona podrá ser accesible a través de cualquier otro término de búsqueda. Si bien es cierto que la sentencia usa el término "nombre", sin más especificaciones, y que se puede concluir que el derecho se aplica a las posibles versiones diferentes del nombre, incluyendo también los nombres de familiares o diferentes grafías.

    El GT29 también se pronuncia sobre la limitación que se venía haciendo a la lista de dominios de la UE, por parte de algunos buscadores alegando que los usuarios tienden a acceder a los motores de búsqueda a través de sus dominios nacionales, y señala que no puede considerarse un medio suficiente para garantizar satisfactoriamente los derechos de los interesados. En la práctica, esto significa que, la lista de exclusión debe incluir también los dominios .com.

  4. Comunicación a terceros:
    En relación con la práctica de algunos buscadores de informar a los usuarios de que la lista de resultados puede no estar completa como consecuencia de la aplicación del derecho europeo, el GT29 ha señalado que dicha práctica no encuentra fundamento en ninguna exigencia normativa y que sólo puede ser aceptable si la información se ofrece de tal manera que los usuarios no puedan deducir, en ningún caso, que una persona concreta ha solicitado la retirada de ciertos resultados asociados a su nombre.

    Se cuestiona también en el documento del GT29 el hecho de que algunos buscadores comuniquen a los editores que ciertas páginas dejarán de estar accesibles en determinadas búsquedas, lo que pone en tela de juicio los efectos de la solicitud del derecho al olvido. Las autoridades europeas consideran que no existe base legal para dicha comunicación salvo en el caso de que dicho contacto se justifique en la necesidad de recabar información adicional en la que basarse a la hora de tomar una decisión sobre la supresión o no de un enlace. Si bien para garantizar la transparencia ya se ha comentado que se ha instado a los motores de búsqueda a la publicación de los criterios de exclusión de un enlace y faciliten las estadísticas detalladas (y anonimizadas) de las peticiones recibidas.

    Puede ser legítimo que los motores de búsqueda puedan contactar con los editores originales antes de cualquier decisión sobre una solicitud de exclusión, en casos particularmente difíciles, cuando es necesario para obtener una comprensión más completa sobre las circunstancias del caso. En esos casos, los motores de búsqueda deben tomar todas las medidas necesarias para proteger adecuadamente los derechos de los datos afectados

  5. Papel de las APD:
    Por último, el GT29 considera que las denuncias presentadas por los interesados a las autoridades de protección de datos respecto de denegaciones por los motores de búsqueda, deberán ser tratadas de la misma manera que las demás peticiones de mediación que se puedan plantear a dichas autoridades en base a la legislación aplicable en cada nación, puesto que la decisión de si un resultado de búsqueda en particular debe ser retirado de una lista, implica evaluar si el tratamiento de datos personales realizado por el motor de búsqueda se ajusta a los principios de protección de datos.


Autor: Verónica Eguirón - ISO27001 Lead Auditor, CDPP
Departamento de Consultoría. 

lunes, 23 de marzo de 2015

Nueva versión de Tinfoleak, lista para su descarga

Tras una larga espera, hoy se ha publicado la versión 1.5 de Tinfoleak. Para aquellos que aún no la conozcan, pueden visitar la sección de herramientas[1], o mi página personal[2] donde se describen sus características, e incluyo capturas y videos con ejemplos de uso. De forma muy escueta, Tinfoleak permite extraer y analizar información relevante de la red Twitter mediante técnicas OSINT (Open-Source Intelligence).

En esta nueva versión, se han incorporado importantes mejoras que incrementan la capacidad de análisis de información pública en Twitter.

A continuación se describen, muy brevemente, las principales novedades en cuanto a sus funcionalidades.
  • Generación de resultados en formato HTML
    Además de mejorar el aspecto estético, el hecho de poder disponer de la información en este formato, permite que la navegación entre los resultados, y fuentes externas, sea mucho más ágil. Visualizar las imágenes publicadas en los tweets o consultar en Google Maps las coordenadas de un lugar visitado por el usuario, son algunos ejemplos claros de este potencial.
  • Mayor capacidad de análisis mediante la geolocalización de tweets
    Aunque la versión anterior ya utilizaba la geolocalización, y mostraba datos básicos (fecha, hora, coordenadas y lugar de la publicación)  asociados a tuits con esta característica habilitada, en esta versión se ha potenciado de forma considerable para obtener datos de gran interés. Así, ahora es posible:

    • Identificar los lugares más visitados: se identifican las ubicaciones desde las que se han publicado más tuits, mostrando los días de la semana que ha tuiteado desde cada una de las ubicaciones más visitadas, y resaltando los días que más tuitea desde dichos lugares. Esto, además, permite predecir pautas y conocer, por ejemplo, la vivienda habitual del usuario, su segunda residencia, su lugar de trabajo, restaurantes que frecuenta, etc. Las coordenadas enlazan con Google Maps, para poder ubicar fácilmente dicho lugar y conocer el entorno.

    • Obtener la ruta seguida por el usuario: se identifican las ubicaciones asociadas a las coordenadas geográficas, conociendo además, el número de días que ha permanecido en cada ubicación (a partir de la fecha y hora del primer y último tuit en esa ubicación), el número de tuits que ha enviado en cada estancia y el número total de tuits que ha publicado desde esa ubicación en distintas estancias.

    • Obtener datos asociados a cada tuit geolocalizable: se muestra, para cada tuit que revela las coordenadas desde las que fue publicado, la fecha y hora de su envío, las coordenadas geográficas (enlazándolas a Google Maps) y el lugar desde el que se publicó. De forma adicional, se incluye el tipo de información multimedia asociada (foto o video) a cada tuit, en caso de existir, y contiene un enlace para ser visualizada. También se incluye un enlace al tuit, para poder ser consultado.
  •  Información sobre metadatos en imágenes: Se obtienen los metadatos asociados a las imágenes, y se muestran de forma ordenada. En especial, se ha detectado que las fotografías de perfil y banner, contienen información relevante. La siguiente captura muestra un ejemplo, sobre los metadatos de Steve Wozniak.
  • Mayor detalle sobre el uso de aplicaciones cliente. En esta versión, en lugar de mostrar la aplicación utilizada en cada tuit, junto con la fecha y hora de su publicación, se identifican las aplicaciones y, para cada una de ellas, se muestra el número de veces que se ha utilizado (incluyendo el porcentaje de uso respecto el total de aplicaciones) y el periodo de tiempo entre el que se ha hecho uso de dicha aplicación.

  • Mayor detalle sobre hashtags utilizados
    La información recopilada sobre hashtags, se encuentra dividida en tres secciones. En la primera (“Hashtags in Tweets”), para cada tuit del usuario analizado, se muestran los hashtags que se incluyen, la fecha y hora de su publicación, número de retuits y favoritos, y un enlace al texto del tuit, de forma que se puedan consultar, además del texto asociado a los hashtags, respuestas sobre el mismo publicadas por otros usuarios, y otra información adicional relacionada con el tuit.

    En la segunda sección (“Hashtag Detail”), para cada hashtag identificado en la sección anterior, se muestra el periodo en el que ha sido utilizado y el número de veces que se ha publicado, además del número de retuits y favoritos que ha tenido. Asimismo, el hashtag se enlaza con Twitter, de forma que se pueda acceder fácilmente a información (fotografías, vídeos, tuits, etc.) relacionada sobre el mismo.

    Por último, la tercera sección (“Top Hashtags”) muestra los diez hashtags más utilizados por el usuario (igualmente, enlazados con Twitter), además de la información que ya se mostraba en la sección anterior.
  • Mayor detalle sobre las menciones de usuarios realizadas
    De forma análoga al apartado de Hashtags, en este también se desglosa la información sobre las menciones realizadas por el usuario, en tres secciones: “User Mentions in Tweets”, “User Mention Detail” y “Top Mentions”.

    La información mostrada tiene un mayor nivel de detalle que en la versión anterior, y los datos obtenidos son los equivalentes a los comentados para los hashtags, pero ahora relacionados con las menciones de usuario.
 

Por otro lado, se han realizado otros cambios relevantes:
  • Fichero de configuración independiente
    Ahora no será necesario editar el código Python, sino que directamente se edita un fichero de configuración, con dos secciones (“Twitter OAuth” y “colors”), que contiene los parámetros asociados a los tokens de autenticación, así como los colores utilizados en la salida de resultados por consola.
  • Gestión de errores más amigable
    En la versión anterior, muchos usuarios que utilizaban Tinfoleak por primera vez, recibían un código de error que no sabían interpretar y que indicaba la ausencia de los tokens de autenticación (que deben ser informados para poder hacer uso de la API de Twitter). Ahora, estos mensajes son más inteligibles, y favorecerán la identificación de la causa de error.
  • Corrección de bugs
    Se ha reescrito la mayor parte del código, y se han corregido bugs que tenía identificados, así como otros que han sido reportados por usuarios que utilizan Tinfoleak. No obstante, se necesitará la colaboración de los usuarios para seguir mejorando la calidad de la herramienta.
  • Optimización de procesos
    Al reescribir el código, ha permitido identificar procesos ineficientes que han sido optimizados. Por ejemplo, la descarga de imágenes se realiza ahora de forma mucho más rápida. Otros procesos también han sido mejorados, y otros han quedado pendientes de optimizar en futuras versiones.
Finalmente, destacar que el código se ha publicado con la licencia Creative Commons Attribution-ShareAlike 4.0 (CC BY-SA 4.0)[3]

Espero que os sea de gran utilidad. ¡Cualquier feedback será bien recibido!

Referencias:

[1] Internet Security Auditors – Herramientas
https://www.isecauditors.com/herramientas-tinfoleak

[2] Vicente Aguilera Díaz Personal Website – Tools
http://www.vicenteaguileradiaz.com/tools/

[3] Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0)
https://creativecommons.org/licenses/by-sa/4.0/ 


Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría. 

viernes, 20 de marzo de 2015

Lanzamos nuevo servicio: Ciberinteligencia en Redes Sociales y el Deep Web

Explotando las propias APIs de las redes sociales así como las capacidades del Deep Web, y gracias a herramientas propias que permiten analizar y mostrar la información útil, desde Internet Security Auditors hemos querido apostar por estos nuevos servicios de Ciberinteligencia.

Por qué es importante conocer qué sucede en las redes Sociales, que aumentan minuto a minuto en usuarios y, sobretodo, en información, y cómo afecta todo este cúmulo de nueva información a nuestra organización para tomar medidas con la suficiente agilidad. El Deep Web, el lado opuesto, redes como TOR que se crearon, originalmente, para ofrecer una protección bajo el anonimato a personas cuya identificación pudiera ponerlas en peligro y que se ha convertido en la mayor fuente de información no lícita, y de productos y mercancías ilegales.

https://www.isecauditors.com/ciberinteligencia-analisis-monitorizacion

jueves, 19 de marzo de 2015

Nueva oficina en Colombia de Internet Security Auditors

Después de varios años desarrollando actividades fuera de España, con un foco intenso en Iberoamérica, Internet Security Auditors da un paso más en su proceso de internacionalización iniciando actividades en Bogotá (Colombia). Desde esta oficina, se pretende dar servicio más cercano a los clientes del país y de toda la región, con un equipo, como el que existe en España, altamente cualificado y experto en los servicios de Ciberseguridad que ofrece la empresa, que se ha convertido en uno de los referentes nacionales del sector.

De esta forma, Internet Security Auditors pretende ampliar los buenos resultados obtenidos hasta el momento en toda Iberoamérica desde su oficina enclavada en uno de los ejes empresariales de la ciudad.

Las actividades comerciales en el país las dirigirá Daniel Fernández, socio y Director Global de Ventas de Internet Security Auditors, y podrá encontrarnos en la Calle 90 # 12-28, en el teléfono +57 (1) 638 68 88 o por correo electrónico comercial@isecauditors.com.

También puede contactar con nosotros através de nuestros perfiles de redes sociales o nuestra web.

miércoles, 18 de marzo de 2015

Personajes públicos españoles e ISIS conocen Tinfoleak

Las redes sociales se han convertido en un medio de información y comunicación básico, imprescindible, que permite la interacción ágil e inmediata entre sus usuarios. El uso de estas redes es muy diverso y, dependiendo de las características que ofrecen, se orientan a un sector concreto de usuarios o, por el contrario, tienen un carácter más generalista.

Entre ellas, sin duda, Twitter ha sido acogida de forma masiva por un amplio público, de edades y con finalidades muy distintas, y cuenta con cerca de 300 millones de usuarios activos mensualmente [1].

Viendo las capacidades que ofrecía esta red, en 2013 creé la herramienta Tinfoleak[2], con el fin de explotar la información pública que existe en Twitter, y que puede ser utilizada en tareas de ingeniería social, pentesting o vigilancia digital, entre otros ámbitos.

La herramienta tuvo una gran repercusión, en especial durante la segunda mitad de 2014, donde diversos foros como Security By Default[3] o MakeUseOf[4] se hicieron eco de ella, además de existir videos con ejemplos de uso de Tinfoleak, como “Tinfoleak: Twitter verrät alles”[5] con más de 25.000 visitas, y describiendo cómo instalar Tinfoleak, como “Tinfoleak installieren”[6] con más de 13.000 visitas.

El 1 de noviembre de 2014, en el congreso No cON Name[7], presenté Tinfoleak realizando un análisis de los tweets públicos de personajes famosos, entre los que se encontraba Santiago Segura, Steve Wozniak, Nicholas Stoller y Xavier Trias. Sobre Santiago Segura, que fue el gran protagonista, mostré la ubicación de su vivienda, lugares que más frecuenta, o la ruta que había seguido en su última gira de promoción, entre otros datos. Ese mismo día, el diario catalán ARA.cat cubría la noticia en su edición digital[8], y días más tarde (el 26 de noviembre) se publicó un artículo en el blog de HTC [9] en la misma línea. El 8 de diciembre, la edición digital del diario Cinco Días[10] volvía a hacer referencia a Tinfoleak y a referirse a la geolocalización de tweets como un arma contra la privacidad.

Casualidad o no, el 9 de diciembre, Santiago Segura[11] publicó su último tweet geolocalizado. Desde ese día no ha vuelto a publicar su posición en ningún momento (cuando hasta esa fecha, lo hacía en todos sus tweets y a diario). ¿Leyó el artículo de Cinco Días? ¿Alguien le puso en su conocimiento sobre esta fuga de información? No lo sabemos, pero parece demasiada casualidad que la decisión de no publicar su posición la tomara, precisamente, en esa fecha. No obstante, aún a día de hoy, es posible  consultar la geolocalización de sus tweets anteriores al 9 de diciembre.

Un caso análogo ocurre con el alcalde de Barcelona, Xavier Trias[12]. También fue expuesto como ejemplo en los análisis realizados con Tinfoleak, y desde el 11 de noviembre, ha dejado de publicar la geolocalización en sus tweets. Además, a  diferencia de Santiago Segura, él ha borrado este dato en prácticamente la totalidad de su historial de tweets. ¿Coincidencia? Apostaría a que ambos conocen Tinfoleak...

Por todos es sabido que los grupos terroristas utilizan las redes sociales (¡incluso WhatsApp!) para labores de captación y comunicación, y las unidades de inteligencia de los cuerpos y fuerzas de seguridad es algo que tienen muy presente.

Lo que no sabíamos (o no era público), era que los terroristas disponen de sus propios manuales de  uso y configuración segura de los servicios que utilizan. Entre ellos, claro está, Twitter.

Sin tener ninguna relación directa con los casos expuestos anteriormente sobre personajes públicos, pero sí con la relevancia que tiene lo que se publica en las redes sociales, el 3 de noviembre de 2014, se hacía público[13] que el grupo terrorista ISIS, había difundido un manual, bajo el título “How to Tweet Safely Without Giving out Your Location to NSA”, a todos sus miembros sobre cómo prevenir la vigilancia de la NSA. Entre las recomendaciones que ofrecen, se incluye el hecho de deshabilitar la geolocación en Twitter y tener presente el hecho de no revelar tu posición (algo que no tuvo en cuenta el yihadista neozolandés[14] que fue detenido por este motivo). Lógicamente, desconocemos si Tinfoleak fue utilizada en la investigación. Como es obvio, la herramienta puede ser utilizada con finalidades muy diversas, incluida la cibervigilancia[16] de las redes sociales.

Esta semana será publicada una nueva versión de Tinfoleak, donde se incluirán algunas de las destacadas mejoras que he desarrollado en sus funcionalidades.


Referencias:
[1] Twitter usage
https://about.twitter.com/company

[2] Tinfoleak
https://www.isecauditors.com/herramientas-tinfoleak

[3] Tinfoleak, stalkeando Twitter en línea de comandos
http://www.securitybydefault.com/2014/09/tinfoleak-stalkeando-twitter-en-linea.html

[4] How anyone cand find your personal details via Twitter with Tinfoleak
http://www.makeuseof.com/tag/anyone-can-find-personal-details-via-twitter-tinfoleak/

[5] Tinfoleak: Twitter verrät alles
https://www.youtube.com/watch?v=_r6vTsq10uk

[6] Tinfoleak installieren
https://www.youtube.com/watch?v=nYoSHPbNvAo

[7] Vigilados: explotando las redes sociales para predecir nuestro comportamiento
https://www.noconname.org/files/presentaciones/2014/NcN_2014-Vigilados_Explotando_las_redes_sociales_para_predecir_nuestro_comportamiento-Vicente_Aguilera_Diaz.pdf

[8] Tinfoleak sap on vius, on passes les vacances i què fas els dissabtes a la tarda
http://www.ara.cat/xarxes/twitter-seguretat-tecnologia-tinfoleaks-noconame-hackers-xarxes_socials_0_1240676193.html

[9] Una herramienta de padre español permite seguir tu rastro (o el de Santiago Segura) en Twitter
http://www.experiensense.com/tinfoleak-twitter/

[10] Twitter puede delatar cuando y dónde has estado en todo momento
http://cincodias.com/cincodias/2014/12/08/lifestyle/1418038239_877405.html

[11] Perfil en Twitter de Santiago Segura
https://twitter.com/ssantiagosegura

[12] Perfil en Twitter de Xavier Trias
https://twitter.com/xaviertrias

[13] ISIS issued a manual for a safe use of Twitter and other media
http://securityaffairs.co/wordpress/29801/intelligence/isis-twitter-use-manual.html

[14] How to Tweet Safely Without Giving out Your Location to NSA
https://justpaste.it/h0t5

[15] New Zealand jihadist deletes tweets after discovering he left geotagging on
https://ibrabo.wordpress.com/2014/12/30/new-zealand-jihadist-deletes-tweets-after-discovering-he-left-geotagging-on/

[16] Servicios de Ciberinteligencia
http://www.isecauditors.com/ciberinteligencia-analisis-monitorizacion


Autor: Vicente Aguilera - CISA, CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría.

viernes, 13 de marzo de 2015

Protección de información en dispositivos (Parte 2)

Lejos quedan aquellos días en los que los teléfonos móviles servían mayormente para realizar llamadas y enviar mensajes de texto cortos (SMS), y como mucho, para echar unas partidillas al Snake. Hoy en día, dichos dispositivos han evolucionado para convertirse en lo más parecido posible a un ordenador personal de dimensiones reducidas, permitiendo al usuario interactuar de manera ágil con su sistema operativo para realizar muchas y diversas acciones, incluidas compras online, visualización de películas y otros contenidos, etc.

No obstante, y aunque esto pueda parecer un gran avance, lógicamente tiene también su parte negativa, y como no podría ser de otra manera para estar incluida en esta entrada, afecta a la privacidad y a la seguridad de la información almacenada en dichos dispositivos.

Y es que con la inclusión de los teléfonos móviles inteligentes (smartphone) en nuestras vidas, cada vez es más habitual que la gente almacene, de manera temporal o permanente, información personal y/o confidencial en este tipo de dispositivos. Esto, como en el caso de los ordenadores personales (ver primera parte de este artículo), puede conllevar a fugas de información. Para ello, imaginemos que una persona pretende deshacerse de uno de estos dispositivos smartphone (por ejemplo a través de una venta, donación, cesión, etc.), o bien llevarlo a reparar, y dicha persona no ha realizado un borrado correcto de sus datos personales antes de ello. Cuando una tercera persona reciba este dispositivo, y a través de unos conocimientos mínimos del sistema operativo, será capaz de acceder a toda esta información remanente, que puede incluir datos sensibles como claves de cifrado, información médica, fotográficas, vídeos, o datos de tarjetas de pago en el caso de monederos electrónicos.

Para ello, en ésta entrada daremos indicaciones de cómo realizar un borrado seguro de datos en este tipo de dispositivos antes de ceder el dispositivo a una tercera persona. Para hacerlo, nos basaremos en los Sistemas Operativos más comúnmente utilizados por los usuarios en la actualidad en dichos dispositivos: Android, iOS, Windows Phone y Blackberry OS.

Hay que tener en cuenta que al tratarse de un borrado “definitivo” de los datos, una vez sean ejecutados los procedimientos indicados a continuación, los datos eliminados no podrán ser recuperados. Por tanto, se recomienda realizar copias de seguridad externas antes de su realización.

Android

Dicho sistema operativo proporciona herramientas locales de borrado de la información en el propio dispositivo. Para la eliminación de todos los datos personales incluidos en el smartphone, se debe ir a menú  “Ajustes - Privacidad”, y en la sección “Datos personales”, se debe seleccionar la opción “Restablecer datos de fábrica”, tal y como se muestra en la siguiente imagen:

Dicha opción elimina todos los datos del teléfono, incluyendo información sobre cuentas de Google asociadas y configuraciones del equipo. No se eliminará el propio sistema operativo ni las actualizaciones del sistema aplicadas, con lo que el dispositivo seguirá siendo utilizable.

Hay que tener en cuenta además, que dicho procedimiento solo eliminará los datos almacenados en la memoria interna del dispositivo, pero no actuará sobre los datos almacenados en las tarjetas de almacenamiento externas (SD, miniSD, microSD, Memory Stick, Compact Flash, etc). Por tanto, será necesario o bien extraer estas tarjetas del dispositivo antes de su cesión, o bien eliminar también los datos contenidos en dichas tarjetas, a través de aplicaciones de Google Play, como Secure Delete, Secure Wipe o All-In-One  Toolbox.


iOS

Para eliminar de forma segura la memoria y datos internos de un dispositivo que funciona con sistema operativo iOS, se debe seguir el siguiente procedimiento:
  1. Acceder al menú “Ajustes” del teléfono.
  2. Acceder al submenú “General”.
  3. Acceder al submenú “Restablecer”.
  4. Seleccionar la opción "Borrar contenidos y ajustes".
  5. Llegados a este punto, si se dispone de copias de seguridad de los datos en alguna parte del propio dispositivo, se deben incluir también dichas rutas en el proceso de borrado, para asegurar que todos los datos personales serán eliminados de manera permanente.
  6. Una vez incluidas las rutas de las copias de seguridad, se debe seleccionar la opción “Borrar iPhone”.



Windows Phone

Para eliminar los datos contenidos en un smartphone con Windows Phone 7.5 o superior, se deben seguir los siguientes pasos:
  1. Acceder al menú “Configuración”.
  2. Seleccionar el submenú “información”.
  3. Seleccionar la opción “restablecer configuración inicial”.
     Con dicha opción, se eliminaran todos los datos personales contenidos en el dispositivo, y se devolverá al móvil la configuración inicial de fábrica, siendo utilizable por una tercera persona.

    Blackberry OS

    Para eliminar los datos contenidos en un dispositivo con Blackberry OS como sistema operativo, deben seguirse los siguientes pasos:
    1. Seleccionar el menú “Configuración”.
    2. Seleccionar el submenú “Seguridad y Privacidad”.
    3. Seleccionar la opción “Borrado de Seguridad”.
    4. Seleccionar todas las rutas a eliminar con un “check”.
    5. Escribir “blackberry”, y seleccionar la opción “Eliminar Datos”. 

Conclusiones

Debido a la importancia cada vez mayor que tienen dispositivos como los smartphone en nuestras vidas, es también cada vez mayor el volumen y la criticidad de la información personal que los usuarios introducimos en ellos, a veces incluso sin ser conscientes de ello.

Mucho podemos hablar (y hablaremos en futuras partes de este artículo) sobre la protección de dichos elementos, y sobre la exposición de información personal a la que están sujetos sus dueños, al instalar por ejemplo aplicaciones externas no confiables. No obstante, en esta entrada nos hemos centrado en las acciones a realizar por los usuarios para conseguir eliminar toda la información personal contenida en dichos dispositivos, antes de su cesión a un tercero.

Como ya indicamos en la primera parte de este artículo, hay que tener en cuenta que estas técnicas no son 100% eficaces, ya que con equipos profesionales y costosos, y con los conocimientos adecuados, se puede llegar a recuperar los objetos eliminados. No obstante, y si se aplican estas técnicas de manera correcta, los resultados que se obtienen son muy buenos, de manera que se minimiza de manera muy elevada dicha posibilidad.


Autor: Guillem Fàbregas - CISA, CISM, PCIP
Departamento de Consultoría.

miércoles, 11 de marzo de 2015

Vicente Aguilera invitado a los grupos Cybersecuritics de la UNIR

La Universidad Internacional de La Rioja (UNIR), cuenta con 16 grupos de investigación en distintas disciplinas (como Derecho, Psicología, Humanidades o Ingeniería, entre otras) y dirigidos por doctores especializados en los distintos ámbitos, que le permiten disponer de una red de investigación de excelencia.

A finales de 2014, UNIR Research aprobó, tras superar un proceso de evaluación interno y externo, la creación del Grupo de Investigación Cybersecuritics, dirigido por el Doctor Manuel Sánchez Rubio.

Vicente Aguilera ha sido invitado a formar parte del grupo Cybersecuritics, en el que se incluyen personalidades destacadas en ámbitos muy diversos, siempre relacionados con las tecnologías de seguridad y la ingeniería.

La línea de investigación planteada por este Grupo de Investigación, pretende abarcar el desarrollo de la investigación aplicada en beneficio de la sociedad de la información. La  línea de investigación desarrolla un esfuerzo investigador horizontal que pueda ser aplicado a más de una de las iniciativas de desarrollo tecnológico actuales. Más concretamente, se pretende alcanzar una especialización en el área de seguridad de la información. El modo de hacerlo no es otro que partiendo del conocimiento individual de los investigadores que forman el grupo, plantear como primer objetivo alcanzar un conocimiento grupal que permita de manera colaborativa avanzar dentro del campo de la investigación aplicada.

Más información:
http://research.unir.net/ppi-ii-2013-2015/grupo-de-investigacion-cybersecuritics-es/

jueves, 5 de marzo de 2015

Escaneos ASV: ¿Empresa o Herramienta?

Uno de los puntos requeridos en la Norma PCI DSS se basa en que la empresa que realiza los escaneos externos (requerimiento 11.2.2) esté incluida en las listas de ASV (Approved Scanning Vendors). Estas listas están publicadas en la página del PCI SSC indicando el lugar en el que operan, teléfono de contacto y si disponen de empleados ASV cualificados (certificados adicionalmente como ASV):


Este último punto es muy importante. Cuando una empresa aparece como proveedor ASV autorizado se requiere que la propia empresa sea ASV y un número mínimo de empleados certificados como tal:


Esto quiere decir que generalmente para presentar un informe de escaneos ASV se requiere que sea alguien autorizado/cualificado para ello y además sea quien interprete los resultados, ya que el PCI SSC establece un plan específico para corroborar que está capacitado para tal fin.

Otro aspecto a tener en cuenta es que hay que distinguir entre empresa ASV, solución/herramienta ASV y servicio de escaneo ASV:


Según el programa ASV definido por el PCI SSC, únicamente empleados certificados como ASV están autorizados a configurar la herramienta de escaneo y modificar los resultados de los escaneos tras realizar una interpretación de los mismos:


Adicionalmente, en el informe de resultados ROC generado por una QSA, se requiere verificar que el proveedor empleado para realizar escaneos ASV esté incluido en las listas del PCI SSC y además se debe incluir su código de empresa certificada:


La conclusión en relación con los escaneos ASV es que no sólo es necesario utilizar una herramienta de escaneos de vulnerabilidades que permita cumplir con los requisitos ASV, si no que la propia empresa que configura tal herramienta e interpreta los resultados debe estar certificada como ASV y estar incluida en las listas del PCI SSC.

Fuentes:
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php
https://www.pcisecuritystandards.org/documents/ASV_Program_Guide_v2.pdf
https://www.pcisecuritystandards.org/documents/asv_qualification_requirements_v2.1.pdf


Autor: Javier Lorrio - CISSP, CISA, CCSA, CCSE
Departamento de Consultoría.