Analytics

jueves, 4 de octubre de 2018

Riesgos en el uso de las Redes Sociales

Muchas veces no somos conscientes de la aparente “necesidad” de estar en las RRSS y los riesgos que estas nos pueden suponer a muchos de nosotros. El ser humano es social por naturaleza, y las RRSS permiten llevar al extremo esa característica. Parece ser que la sociedad nos “obliga” a tener presencia en las redes y da la sensación de que nuestro valor reside en el número de seguidores que tenemos.

Las RRSS han motivado que nos encontremos más expuestos, y que un tercero pueda llegar a obtener un gran volumen de información sobre nosotros. En general, no sólo se utilizan para fines profesionales, sino más aún para fines personales, con perfiles públicos y abiertos.

Al publicar contenido, por ejemplo, puede estar activa la geolocalización, la cual nos revela datos de la ubicación desde la que se publica dicho contenido y, por tanto, el lugar en el que se encuentra una persona, o publicar fotográficas que revelan datos sensibles o pequeños detalles que pueden ser aprovechados por un tercero, además de otros muchos aspectos que pueden ser detectados y abusados por personas con fines maliciosos.

El problema de la geolocalización
Existen diversos mecanismos que ayudan a validar la información de los usuarios que se encuentra expuesta. A continuación, vamos a utilizar una herramienta a modo de ejemplo, para listar algunos de los datos mencionados anteriormente:

Tinfoleak- es una aplicación open-source desarrollada en Python y disponible aquí para su descarga: “https://github.com/vaguileradiaz/tinfoleak”. La herramienta permite extraer información de las publicaciones realizadas por los usuarios de Twitter. Para ello, se pueden realizar consultas en base a un nombre de usuario, unas coordenadas geográficas, o determinados filtros (fecha y hora de origen y fin, palabras  clave, aplicaciones utilizadas, etc.)

A  continuación, se muestra la cabecera del informe HTML que genera como resultado (en este caso,
sobre el usuario “CIA”):


Una de las funciones implementadas en tinfoleak es la búsqueda de publicaciones en un área geográfica determinada. Por ejemplo, a partir de unas coordenadas y un radio de acción, la herramienta extrae información y la muestra de forma estructurada revelando los datos más relevantes. La siguiente captura muestra como es posible identificar el lugar en el que se encontraban los usuarios, así como el contenido que publican y las aplicaciones utilizadas:


Alguien que identifique nuestra ubicación, puede utilizarla para conocer si nos encontramos fuera de la vivienda (por tanto, susceptible de sufrir un robo) o para predecir nuestros movimientos (por ejemplo, para conocer nuestro lugar de trabajo, el colegio de nuestros hijos, o donde vamos a cenar los viernes por la noche).

El uso del doble perfil
En muchas ocasiones, los usuarios disponen de varias cuentas en RRSS. Una, la “oficial” y otra la “oculta” donde utilizando un perfil anónimo permite dar rienda suelta a la verdadera personalidad del usuario.

Podría citar algún ejemplo mediático como el caso de la gran actriz Jennifer Lawrence (“Los juegos del hambre”), que ha confesado que tiene una cuenta secreta en redes sociales desde hace años. Otro ejemplo sería el de James Comey, ahora exdirector del FBI, que reconoció él mismo en una conferencia sobre inteligencia y seguridad nacional que tenía cuentas secretas en Twitter e Instagram solo para familiares y amigos cercanos. Otro caso es el de Adele, quien dice tener una cuenta secundaria en Twitter porque sus representantes no le tenían permitido publicar en su propio perfil sin supervisión (por si decía cosas inapropiadas cuando se encontraba en un estado de embriaguez).

Es increíble como las noticias falsas (fake news) creadas ya sea por un usuario, organización, un estado... pueden llegar a influenciar en la sociedad. Este tipo de noticias por lo general suelen jugar mucho con los sentimientos. Esto logra que en cuestión de minutos miles de personas pueden tomar estas noticias como reales. La gente que está detrás de estas noticias falsas quieren causar algún tipo de impacto en nuestra sociedad. Veamos algunos ejemplos:

Ejemplo1: El falso independentista. El 1 de octubre circuló en Twitter la fotografía de un hombre que tiene la mitad del rostro ensangrentado. A su lado, otra persona la auxilia poniendo sobre su cabeza una tela verde. El texto del tuit decía que había sido herido en un barrio de Barcelona con un proyectil de goma de las fuerzas antidisturbios y pedía la renuncia de Rajoy a la presidencia del gobierno de España. La imagen fue replicada como prueba de los excesos de la Policía en Cataluña, pero se trataba de una foto tomada en el 2012. El hombre de la imagen era un minero que había resultado herido cinco años antes en una protesta en Madrid.


Ejemplo2: Una mujer con hiyab en el puente Westminster. El 22 de marzo de 2017 un vehículo arrolló a decenas de personas sobre el puente Westminster de Londres, matando a 6 y dejando heridas a 49. El atentado fue reivindicado por el Estado Islámico. Horas después del ataque, la foto de una mujer musulmana con hiyab (velo que cubre la cabeza) y que camina al lado de un grupo de personas que atiende a un herido sobre el puente, circuló en Twitter. El post comentaba que la joven seguía su paso con actitud indiferente ante las víctimas y varios se sumaron a esa crítica. Días después, la mujer se pronunció sin revelar su nombre a través de TellMAMA, una organización que lucha contra la islamofobia en Reino Unido. Comentaba que no sólo estaba destrozada por sufrir las consecuencias de un ataque terrorista, sino que también le inquietaba ver su foto en las redes sociales las cuales hablaban de odio hacia su persona y comentarios xenófobos.


Es lógico que quien crea este tipo de noticias lo hace con una intención y no precisamente buena.

Cada día mucha gente sube fotos, videos, audios y demás contenido a redes sociales, pero … ¿sabemos qué información estamos suministrando (consciente o inconscientemente) cada vez que publicamos contenido? ¿Nos preguntamos acaso quien podría llegar a ver lo que publicamos? ¿Qué uso podrían hacer de nuestra información?

Realmente, no nos paramos a pensar en el tipo de personas que pueden acceder a nuestras publicaciones: ciberdelincuentes, ciberterroristas, empresas organizadas, etc...  que quieren aprovecharse del usuario con el fin de ganar dinero a su costa u obtener datos para ser utilizados con fines maliciosos y/o infectar a su vez a otros usuarios, facilitando así su distribución.

Alguna de sus técnicas, por comentar un ejemplo claro, sería el típico mensaje que nos ha llegado a todos y nos indica “por favor comparte este mensaje…”. No todo el mundo reflexiona sobre las intenciones de la persona que ha creado dicho mensaje, y lo difunde de forma totalmente ingenua. Dicho mensaje podría contener un enlace que nos acabe infectando, extraiga datos privados, etc. El atacante se aprovecha de la falta de concienciación en seguridad de los usuarios y consigue, en muchos casos, su objetivo.

Juegan también mucho con los sentimientos. El hecho de engañar a las personas con mensajes y añadir fotos en los cuales se hablan o se hace referencia a desgracias (temas relacionados enfermedades, desastres naturales, pobreza, delincuencia, agresiones, pagos, etc..).
A continuación, se muestran algunos de los casos posiblemente más habituales en las redes.

Usos maliciosos y abusos más habituales en las RRSS
  • Enlaces maliciosos compartidos
    Si tuviéramos que seleccionar alguno de los ejemplos más peligrosos haciendo referencia a todo lo hablado anteriormente mencionaríamos los enlaces maliciosos. Por ejemplo, los típicos mensajes que nos incitan a hacer clic para acceder a determinado contenido nos indican que nuestro número de teléfono ha sido seleccionado, o que hemos sido ganadores de un concurso, entre otros. Al final, todos pretenden que ejecutemos código malicioso con el que el atacante consigue un beneficio. De esta forma, pueden capturar información personal, acceder al contenido de los mensajes, enviar mensajes a nuestros contactos, modificar la configuración de seguridad, eliminar ficheros, robar documentos, o inutilizar el dispositivo.
  • Bulos o hoax
    Igualmente, existen los bulos o hoax, es decir, las noticias falsas que hemos recibido prácticamente todos. Así, por ejemplo, muchas veces nos llegan cadenas o enlaces de tipo: haz esta acción o te quedarás sin WhatsApp, reenvía este mensaje a diez personas porque WhatsApp si no tendrá un coste mensual, mira el nuevo radar que ha sacado la Dirección General de Tráfico, etc.
Algunos ejemplos:
Esta, por ejemplo, es una petición típica de solicitud de amistad que suele recibirse con frecuencia:

Si nos fijamos en el enlace como podemos ver esta acortado: https://goo.gl/5NkNsA
Si accedemos a la web URL x-ray (ulrxray.com) veremos realmente donde apunta ese enlace:

Como podemos ver apunta realmente a:

http://yjelm.instagirlsonline.com/

Esta página está clasificada como un redirector de navegador. YJELM.INSTAGIRLSONLINE.COM modifica la configuración de un navegador web y/o muestra anuncios emergentes no deseados. Este código puede reemplazar la página de inicio existente, la página de error o la página de búsqueda del navegador con el dominio YJELM.INSTAGIRLSONLINE.COM.

Se puede obtener más información en estas dos webs acerca de la página y sus posteriores consecuencias una vez se ha accedido:
https://greatis.com/blog/howto/remove-yjelm-instagirlsonline-com.htm
https://malwaretips.com/blogs/remove-yjelm-instagirlsonline-com/

Otro ejemplo, sería el típico mensaje cuando al visitar una página se nos abre el molesto pop-up:
Haz clic aquí – (Son ganchos para que pinches)



Otro mensaje que llama a muchos la atención es este:

Comentar que es totalmente falso. Este tipo de radares no se usan en España (el de la imagen es de Suiza)
También nos encontramos con las típicas cadenas falsas como esta, que pretenden que lo reenvíes salvo pena de sufrir algún coste económico:



Otro mensaje como el siguiente indicar que son fraudes:



Otro enlace que nos llega mucho por WhatsApp, Facebook, Instagram. con contenido malicioso

Las personas que están detrás de todo esto están controlando de alguna manera a las personas que han compartido ese mensaje y posteriormente focalizan sus ataques sobre ellas. Ya sea enviando publicidad, obteniendo datos de esa persona para otros fines o crear una alarma social.

También mencionar los típicos mensajes que llegan de números que no conoces indicando que se realice una llamada a un determinado número, o que hay una incidencia en tu línea, que has recibido un paquete y has de desplazarte a una dirección para recogerlo, etc. en los cuales te indican que si no lo haces tendrás problemas y tendrás que hacer frente a las consecuencias. En realidad, todo esto no son más que los famosos mensajes PREMIUM, que provocan que en cuanto se realice la llamada o se envíe un SMS, comiencen a cobrar al usuario una tarificación especial.


¿Como protegernos?
A continuación, se muestran algunas recomendaciones:
  • Aplicar el sentido común: si vemos un enlace el cual no es de una dirección fiable no lo abramos y si tenemos dudas, podemos utilizar un servicio web que nos muestre la URL completa del enlace acortado (como http://urlxray.com), y utilizar algunos servicios que verifican enlaces maliciosos, como:
    https://www.virustotal.com/#/home/url
    http://www.urlvoid.com/
    http://app.webinspector.com/
    https://vms.drweb.com/online/?lng=en
    https://www.psafe.com/dfndr-lab/
  • Para evitar gastos asociados a timos telefónicos, hablar con nuestra operadora de telefonía y solicitar que se bloqueen los servicios premium y llamadas 902.
  • No compartir cadenas o mensajes sin antes haber verificado que el remitente es de confianza, ya que en la mayoría de los casos son todo bulos.¡
  • Usar siempre fuentes seguras para descargar aplicaciones y detenernos a revisar los permisos que requiere cuando instalemos una aplicación.
  • No conectarnos a una Wifi pública, ya que una persona ajena podría interceptar las comunicaciones, por lo que podrían hacerse con nuestros datos, infectarnos o acceder en su defecto a nuestro equipo o dispositivo. En caso de que necesitemos conectarnos, utilizar siempre una VPN, la cual nos ofrece una conexión virtual de punto a punto (es como una especie de túnel).
  • Configurar siempre el doble factor de autenticación (verificación en dos pasos) en las aplicaciones que utilicemos.
  • Disponer de antivirus actualizado en todos los dispositivos que utilicemos.
  • Mantener el dispositivo o equipo actualizado.

¿Cómo saber si tenemos infectado nuestro dispositivo móvil?
A continuación, se describen algunos métodos que podrían permitir detectar si nuestro terminal ha sido infectado:
  • Instalar un antivirus para detectar las posibles amenazas y en su defecto eliminarlas.
  • Observar si el dispositivo funciona más lento de lo habitual
  • Observar si nuestra página de inicio del navegador ha sido modificada
  • Observar si al navegar notamos que nos redirigen a otras páginas que no son las que hemos solicitado o se muestran pop-up (típicas ventanas con publicidad).
  • Observar si notamos picos en el consumo de datos.
  • Observar si notamos un exceso en el uso de la batería.
  • Observar si nuestra factura telefónica tiene un coste superior al habitual.



Autor: Héctor Berrocal Vidal - CEH, MCP, CCNA, ITIL
Dpto. Auditoría

martes, 2 de octubre de 2018

Vicente Aguilera entrevistado en el programa de radio En casa de Herrero

El pasado viernes 28 de septiembre Vicente fue entrevistado por Luis Herrero en su programa de radio En casa de Herrero.

El motivo de la entrevista fue el último incidente de seguridad sufrido por Facebook, donde se habrían puesto en riesgo 50 millones de cuentas de usuario.

La vulnerabilidad afectaba a la funcionalidad (“ver como”) que fue deshabilitada, y se revocaron los tokens de acceso de 90 millones de usuarios, lo que implicaba una re-autenticación por parte de los usuarios en la aplicación de esta red social. El problema no sólo afectaba a Facebook, sino también a todas aquellas aplicaciones en las que los usuarios usaban Facebook para autenticarse (por ejemplo: Tinder, Spotify, o Airbnb entre otras muchas).