En los últimos dos meses hemos trabajado conjuntamente con Arbusta, empresa dedicada a ofrecer servicios de Application Quality Assurance y Data Quality Assurance, con el objetivo de llevar adelante una serie de mejoras en el ámbito de la seguridad informática de dicha empresa.
Cryptojacking: ¿qué es, y por qué es un problema?
Entre las primeras amenazas de malware de la actualidad, se encuentra el cryptojacking en navegadores.
¿Qué es el cryptojacking? Es la utilización de la CPU de computadoras ajenas para minar criptomonedas sin el consentimiento de los usuarios.
Seguir leyendo «Cryptojacking: ¿qué es, y por qué es un problema?»
Mitos y confusiones
Algunos existen desde hace años, otros son recientes. Viajan por Internet, de boca en boca y podemos escuchárselos tanto a nuestra madre como al administrador de sistemas de la empresa donde trabajamos.
Veamos cuáles son los mitos y confusiones más frecuentes:
https = sitio legítimo
No hay que confundir conexión segura con legitimidad. Podemos estar estableciendo una conexión segura con un criminal.
Veo esta confusión replicarse una y otra vez, incluso en artículos que supuestamente pretenden ofrecer consejos sobre cómo evitar problemas de seguridad, redactados con la mejor de las intenciones. Lamentablemente las buenas intenciones no son suficientes, y a veces se causa más daño que lo que se pretende evitar.
En Mac/Linux no hay virus
Generalmente esto va a compañado de una falsa sensación de seguridad que hace que se preste menos atención a los cuidados más básicos, como pensar dos veces antes de abrir un archivo adjunto, instalar o abrir una aplicación de fuentes desconocidas, etc.
Si bien es cierto que Mac y Linux son en general sistemas operativos muy seguros, no son perfectos, por supuesto, y el crecimiento de su adopción hace que se conviertan en blancos de cada vez más interés para los atacantes.
«Yo sé identificar un mail de phishing»
Posiblemente la mayoría pueda identificar un mail de phishing mediocre, pero la cosa cambia cuando el atacante utiliza tácticas más sofisticadas y difíciles de detectar por el usuario promedio, como por ejemplo, el spoofing, que permite cambiar la dirección del remitente original por una de un contacto de confianza.
Identificar un mail de phishing es más complicado de lo que parece, y nuevamente, la confianza en nuestra propia habilidad para detectarlos nos juega en contra.
«Yo se cómo crear contraseñas seguras»
Si poca gente puede identificar correctamente un mail de phishing, todavía menos gente sabe realmente cómo crear una contraseña segura.
Existen varios mitos urbanos sobre cómo debe ser una contraseña segura, pero al final del día o son contraproducentes, o producen contraseñas que son tan poco prácticas que se terminan abandonando por otras más «cómodas», y casi por definición, inseguras.
El problema principal radica en nosotros, los usuarios, y no en el mecanismo de contraseñas en sí. Somos perezosos, olvidadizos, descuidados y nos cuesta recordar cosas complejas. La segunda parte del problema con las contraseñas, es que nos cuesta asumir esta realidad sobre la naturaleza de nuestra mente y nuestra memoria, y que la mejor solución es directamente no depender de ella, y utilizar en cambio, un gestor de contraseñas.
«¿Quién me va a querer hackear a mi?»
Ahh, el EGO.
Lamentablemente, no somos tan importantes como nos gustaría pensar. El que alguien sufra un incidente de seguridad no quiere decir que China o Rusia tiene algún interés en arruinarle la vida.
Lo más posible es que un script kiddie haya utilizado alguna herramienta para escanear IPs con servicios abiertos o vulnerables accesibles desde Internet, o para enviar campañas masivas de emails de phishing desde una cómoda plataforma contratada en la dark web.
En Internet estamos igualmente expuestos a nuestro vecino como a un atacante que está del otro lado del planeta. Si existe en el mundo alguien interesado en cometer un delito en Internet, todos somos potenciales víctimas.
Eventos recientes
Desde la última actualización del blog, he participado de varios eventos de distinta naturaleza.
Taller de herramientas digitales para periodistas
Realicé 2 entregas, una en Diciembre de 2017 y otra en enero de 2018.
En este taller examinamos aplicaciones, servicios y técnicas que son relativamente conocidas en el ámbito de la informática, pero no tanto en el del periodistmo y la comunicación social. El objetivo fue hacer de puente entre estos dos ámbitos y brindar a los participantes conocimientos y herramientas que los asistan en su labor periodistica y de investigación/difusión.
Charla «Introducción a la tecnología blockchain»
Fui invitado a dar una charla de introducción a la tecnología blockchain al personal de TI de Terminal 6, en el ámbito de su segunda reunión anual de TI.
Di una introducción técnica sobre la tecnología blockchain y sobre la implementación más relevante en la actualidad, Bitcoin. También hablé sobre las ventajas y desventajas de blockchain, así como de las algunas de las críticas más actuales.
Taller de autodefensa en Internet
Este taller estuvo orientado al público en general que estuviera interesado en obtener los conocimientos fundamentales para poder desenvolverse de forma más segura en Internet.
¿Qué hay preparado para el futuro próximo?
Curso de introducción al desarrollo en Android
En este taller orientado a personas con conocimientos generales de programación o de otros lenguajes y plataformas, vamos a aprender las bases del desarrollo Android e inmediatamente ponerlas en práctica mediante la creación de 3 aplicaciones relativamente básicas pero funcionales: Una botonera de sonidos, un navegador web y un juego de habilidad que utiliza el acelerómetro del teléfono.
Más talleres de autodefensa digital
Más entregas del taller de autodefensa en Internet y un taller complementario pero que también funciona como evento individual, para profundizar en temas un poco más avanzados, como gestores de contraseñas, segundo factor de autenticación, VPNs, Tor, etc.
Pescando ballenas
Hace unos días una empresa cliente me notificó que había recibido un correo sospechoso, y a los pocos días, nuevamente, otra persona de la misma empresa me notificó de otro correo con las mismas características.
Desde el primer momento supimos que se trataba de phishing, pero no por las razones que todos están pesando. La dirección de origen era (aparentemente) una dirección legítima, no tenía archivos adjuntos, no tenía links, no tenía imágenes embebidas de tracking. En nuestro caso, el factor delator (y muy afortunado) fue otro…
En este artículo describo las distintas pistas que fui siguiendo, los callejones sin salida con los que me encontré, y finalmente, la conversación que mantuve con los mismísimos atacantes que parece salida de una película de Woody Allen.
TTTDevs Blog 