Archivo de la etiqueta: hacker

Los peligros de la nube

Lo que un ser humano protege, otro puede desprotegerlo

Esa frase, que leí hace bastantes años, vino esta mañana a mi mente según leía acerca de la filtración masiva de fotografías/vídeos de algunas famosas a través de Internet.

Aunque el supuesto autor alega haber aprovechado un fallo de seguridad en iCloud (el servicio de sincronización y almacenamiento en la nube de Apple), según pasan las horas las hipótesis son de lo más variadas aunque, al final del día, poco importan los medios empleados y sí el final de la historia.

Compramos toda una serie de dispositivos y, en su interior, almacenamos todo tipo de información (contactos, correo electrónico, imágenes/vídeos, contraseñas, etc.) dando por supuesto que todo ello se encuentra a buen recaudo y que nada malo puede suceder (después de todo, se hace una copia automática, ¿no?).

Sin embargo, ya sea por la comodidad de tener todos nuestros dispositivos sincronizados o por sentirnos más seguros almacenando una copia de seguridad en la nube, esa información sale del dispositivo y se almacena en los servidores de alguna compañía. Servidores que, nos digan lo que nos digan, pueden piratearse (de ahí la frase inicial).

Este pirata te puede "abordar" a ti

Este pirata te puede “abordar” a ti

En la mayoría de las ocasiones, el pirateo no parte de algún tipo de fallo de seguridad en los servidores sino que se aprovecha la ingenuidad del usuario a la hora de elegir contraseñas, usar la misma en diferentes servicios, no activar la autenticación en dos pasos, etc.

¿Para qué va a preocuparse?

Lo mismo pensarían todas esas personas cuyas fotos y vídeos íntimos circulan hoy libremente por Internet y cuya vida, sea como sea, no volverá a ser la misma.

El usuario quiere comprar dispositivos que pueda usar sin grandes complicaciones y despreocuparse de posibles pirateos o fallos de seguridad. La realidad es muy distinta: nuestros datos no están seguros y, partiendo de esa premisa, cuidado con lo que almacenáis en vuestros dispositivos o en la Red.

Actualización (02/09/2014): Apple ha negado que las fotos/vídeos se hayan obtenido explotando un error en iCloud y confirma que se trató de un ataque a los nombres de usuario, contraseñas y preguntas de seguridad de los usuarios afectados.

Un negocio muy lucrativo

Desde un principio, hemos asociado el término hacker (pirata informático) a ese experto informático que, esperando cualquier error por nuestra parte, esperaba pacientemente para colarse en nuestro ordenador y hacerse con información confidencial, fotografías, etc.

Más tarde, se les asoció con la creación de virus informáticos, robos de información a grandes empresas o vulneración de sus sistemas informáticos. En muchas ocasiones, sus acciones buscaban la mera autocomplacencia y, en otros, la única finalidad era el dinero obtenido mediante extorsión, chantaje…

Desde hace años, esos expertos informáticos han encontrado un negocio más lucrativo: encontrar errores en el software desarrollado por compañías informáticas para venderlo al mejor postor (incluidos gobiernos).

Reino Unido, Rusia, Israel, Brasil o India son los países que más cantidades destinan a hacerse con los llamados “zero day“: errores en el código de programas informáticos que permitan a quien lo encuentra/explota acceder al ordenador o sistemas informáticos de cualquier negocio o agencia que lo use.

Frente a esos posibles compradores se alinean las compañías que desarrollan software (ej. Google, Facebook, Microsoft) que, a través de un programa de incentivos económicos, buscan que el hacker que encuentre un error en el código de sus programas se lo venda a ellos dado que, de ser explotado por alguien (léase gobierno, agencia o particular), la impresión que el público en general tiene de sus productos podría descender considerablemente con el consiguiente perjuicio económico.

Hacker 4

¿Cuánto puede costar un “zero day”?

Por poner un ejemplo, Microsoft paga un tope de $150.000 por cada error grave detectado en alguno de los programas que desarrolla. Facebook ha llegado a pagar $20.000 por un único error (misma cantidad que Google paga por cada error encontrado en su software) y, hasta el momento, la red social ya ha pagado un total de  un millón de dólares (incluyendo $2.500 a un chaval de 13 años) por dichos conceptos.

En la actualidad, el negocio crece vertiginosamente dadas la ventaja que, para gobiernos y agencias, supone poseer un “zero day” no descubierto. Buen ejemplo de ello fue Stuxnet, un programa informático desarrollado por EEUU e Israel que, en 2010, se introdujo en el sistema informático iraní, aprovechando errores del mismo, y consiguió ralentizar su programa de enriquecimiento de uranio.

En la actualidad, ya existen compañías creadas por grupos de hackers con el único objetivo de encontrar y vender estos errores en el código dado lo lucrativo del negocio. Éste llega a tal nivel, que entre la propia comunidad hacker se desdeña a aquellos que, como se hacía en otros tiempos, ofrecen esa información gratuitamente a las compañías que desarrollan software.

(Pablo)

¿Estamos seguros…ahí fuera?

Ayer recibí un correo procedente de NVIDIA (conocido fabricante de tarjetas gráficas para ordenadores) en el que me anunciaban que alguien había pirateado la base de datos de usuarios de su fórum y me recomendaban cambiar mi contraseña, más aún si dicha contraseña la usaba para acceder a otros servicios.

Pongámonos en la siguiente situación (bastante típica para el típico usuario de Internet): si mi contraseña de acceso a NVIDIA es la misma que uso para acceder a mi correo electrónico, cuenta bancaria, redes sociales, servicios de almacenamiento online (ej. DropBox, Google Drive, etc.), tiendas de aplicaciones (iTunes, Google Play…), etc. puedo estar corriendo un grave peligro porque, cualquier persona dotada de un mínimo de habilidad informática, puede hacerse con el control de mi, llamémoslo así, vida digital.

El caso anterior no es la primera vez que lo veo; por lo general, al ser humano no le gusta complicarse la vida: elige una contraseña sencilla que pueda recordar bien. Ejemplos típicos son usar el apellido, fecha de nacimiento propia o de un familiar, nombre de su pareja…

Este pirata te puede “abordar” a ti

Los expertos recomiendan usar una contraseña compleja, es decir, que se componga de números y letras (y estas últimas mayúsculas y minúsculas) que dificulten la tarea a un “ladrón de contraseñas”.

¿Qué ese tipo de contraseña es difícil de recordar?

Ello no es excusa dado que existen programas, como 1Password, que se encargan de recordar tus contraseñas y nombres de usuario y, según visites cada página web, evitarte tener que teclear esa información de nuevo.

Muchas veces leemos noticias de que este o aquel servicio han sido pirateados y, como no somos usuarios del mismo, no nos preocupa. Sin embargo, no esperes a que lo peor suceda: cambia tus contraseñas por otras más complejas y, aunque parezca aburrido, no uses la misma contraseña siempre.

(Pablo)

Vigila el contenido de tu smartphone

Leo en El Mundo que, por lo visto, un pirata informático ha robado fotos comprometedoras del iPhone de Scarlett Johansson sin ni siquiera tener acceso físico al terminal.

Como dice el artículo, no es la primera vez que sucede en Hollywood y me lleva a pensar lo inocente que es la gente a la hora de usar sus teléfonos móviles y, sobre todo, a la hora de determinar que contenido dejas almacenado en él.

Habitualmente no veo a gente cogiendo el iPhone de otras personas para echar una ojeada a sus fotos, mensajes, etc. pero, dada la sencillez de uso de este terminal, con desbloquearlo y tocar el icono fotos accedes al album de fotos y videos del dueño del teléfono; lo mismo sucede para sus mensajes SMS o de correo electrónico. 

Ciertamente, el terminal de Apple permite su bloqueo mediante código pero, tener que introducir cuatro dígitos cada vez que tengo que usar el teléfono, se hace bastante pesado. 

Aunque la sencillez de uso del iPhone es algo que facilita ese tipo de “intrusiones”, tampoco os penseis que es muy difícil acceder a ese contenido desde terminales con sistema operativo Android ó Windows Phone 7.

Por lo tanto, lo recomendable es pararte a pensar el  tipo de información que almacenas en tu teléfono y, si vas a almacenar contenido comprometido, instala alguna aplicación del estilo Private Pics que solicita contraseña para acceder a las fotos de tu móvil.

(Pablo)

NOTA: A todo esto, ¿por qué la gente guarda fotos comprometidas en su teléfono móvil? ¿las van enseñando por ahí?.