¿Puede un jefe “espiar” tus perfiles en redes sociales?

 
Alertaba la pasada semana el medio norteamericano Wall Street Journal acerca de un enconado debate en EEUU acerca de la posibilidad de los empleadores de vigilar las cuentas en redes sociales de sus empleados. Según informaba el propio medio, son ya numerosos los estados norteamericanos que han aprobado algún tipo de normativa que pretende evitar esa práctica, por entender que dicha práctica supone una vulneración del derecho a la intimidad de sus trabajadores.

La argumentación que esgrimen desde Wall Street a favor del control empresarial de estos perfiles es que la información que sus trabajadores pueden compartir en medios sociales puede causar auténtica distorsión en el mercado, en el sentido de que el mercado financiero se puede ver alterado por la información confidencial que de este modo se filtre, con el consiguiente perjuicio que se pueda derivar para los consumidores.

Este debate, lejos de ser ajeno a Europa, ya ha llegado también al viejo continente. En España el debate está en la calle y en los medios, que no en las cortes ni en los juzgados, por el momento. Sin embargo, en esta discusión de si el empleador puede legalmente o no “espiar” los perfiles en redes sociales de sus empleados juegan, a mi entender, al igual que lo hacen en los casos de acceso al historial de navegación o al correo electrónico, principalmente dos derechos, (i) de un lado, el derecho del empresario de verificar que los medios que son facilitados al trabajador son efectivamente utilizados en el cumplimiento de la prestación laboral (cuando el acceso a RRSS se realiza desde la propia empresa) y de verificar la no difusión de información confidencial por parte del trabajador (en cualquier supuesto); y (ii) de otro lado, el derecho a la intimidad del trabajador, el cual presume “la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás”, el cual ha de ser respetado también en el marco de las relaciones laborales, en las que es factible en ocasiones acceder a informaciones atinentes a la vida íntima y familiar del trabajador que pueden ser lesivas para su intimidad.

El equilibrio entre ambos derechos, y que determina la legalidad o no del acceso, encuentra su base en el siguiente argumento. Según entendió el Tribunal Supremo (Sala de lo Social) en Sentencias de 26 de septiembre de 2.007 y 6 de octubre de 2011, aplicadas al correo electrónico y los equipos informáticos, pero extensible a mi juicio a los medios sociales, “aunque el trabajador tiene derecho al respeto a su intimidad, no puede imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las instrucciones establecidas por ésta para su uso y al margen de los controles previstos para esa utilización y para garantizar la permanencia del servicio”.

En atención a lo anterior, si la empresa ha establecido previamente las reglas de uso de los equipos y ha informado a los trabajadores de que dicho control va a existir, el control y vigilancia de los medios sociales por el trabajador estarían en principio permitidos, sin que se produzca en tal caso vulneración del secreto de las comunicaciones, siempre que dicho acceso se produzca desde equipos puestos a disposición del empleado por el empresario. De esta manera, si los medios proporcionados por la empresa se utilizan para usos privados en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado “una expectativa razonable de intimidad” en los términos que establece el Tribunal Europeo de Derechos Humanos.

Entiendo que este argumento resultaría válido, por tanto, para vigilar la actividad del trabajador en RRSS durante la jornada laboral y haciendo uso de medios proporcionados por la empresa. Pero ¿qué ocurre con la actividad del trabajador en RRSS desde, por ejemplo, su domicilio y con un ordenador privado? Pongamos por ejemplo que el trabajador desvela información confidencial de la empresa en un perfil cerrado en Facebook o en Twitter. ¿Tiene derecho el empleador de conocer que el trabajador ha incumplido sus obligaciones contractuales? ¿Sería válida, en definitiva, una estipulación en el contrato laboral que obligase al trabajador a proporcionar sus claves en RRSS a su empleador al objeto de verificar el cumplimiento de su deber de confidencialidad?

Pues ése es precisamente el debate que ahora mismo se está pergeñando en EEUU y que no tardará mucho en llegar a nuestros juzgados y tribunales. Por el momento, y puedo equivocarme, entiendo que cualquier empresa en España que solicitase dicha información al trabajador estaría extralimitándose en su función de vigilancia, lo cual habría de entenderse como una invasión de la intimidad del trabajador. No les falta razón, no obstante, a los que entienden que el perjuicio que puede realizarse a la empresa desde un perfil privado con miles de amigos o seguidores puede ser enorme. Veremos cómo se zanja el debate allende los mares, porque posiblemente será ésa la línea que posteriormente aquí seguiremos.

Fuente | blogs.lainformacion

¡Cuidado con las webcams!

 

Aunque los hackers intenten infectar los ordenadores con malware para obtener acceso remoto al equipo, esto no implica que su objetivo sea, solamente, económico. Algunos cibercriminales, simplemente, se divierten accediendo a las webcams, a las conversaciones privadas o a las fotografías de los usuarios. Además, la mayoría de sus víctimas son mujeres jóvenes y atractivas o adolescentes.

Existen múltiples aplicaciones, con fines legales e ilegales, que permiten el acceso remoto al equipo. Aplicaciones como Remote Desktop y TeamViewer cuentan con la bendición de los administradores de sistemas y los equipos técnicos (sin olvidar los jóvenes que ayudan a sus abuelas con los problemas informáticos). No obstante, la función principal de estas apps es la misma que en otros programas maliciosos como ZeuS, el cual convierte a tu PC en parte de un botnet, controlado por hackers a miles de kilómetros de distancia. Los piratas informáticos utilizan el equipo de la víctima para obtener beneficios económicos; escanear los discos en búsqueda de información valiosa (contraseñas, detalles de pago…); usando, posteriormente, el ordenador para enviar spam y ataques DDoS. Además, algunos hackers utilizan el acceso remoto para espiar a la víctima por puro placer y diversión.

Uno de los botines más ansiados por lo hackers son las fotos “comprometidas”. El invasor escanea, manualmente, los discos e incluso los dispositivos móviles en busca de imágenes de la víctima desnuda. Por supuesto, el propietario del equipo no tiene porque ser un joven apuesto o tener la costumbre de desnudarse delante de la webcam. Por este motivo, los voyeur recopilan, cuidadosamente, esos momentos tan íntimos. Dependiendo de los hábitos y principios del hacker, éste puede publicar las imágnes por “puro entretenimiento” o introducirlas en una base de datos de blackmail.

Además de espiar a la víctima, a los hackers les gusta gastar bromas. Gracias a herramientas de acceso remoto específicas, los cibercriminales pueden interactuar con la víctima: mostrar mensajes en la pantalla, abrir una website, eliminar la barra de herramientas, abrir el CD y un sinfín de travesuras. El desconcierto de la víctima al ver que su equipo se comporta de forma extraña divierte a estos canallas.

A diferencia de los hackers con fines económicos, los cuales poseen buenas habilidades técnicas, estos ataques los realizan piratas amateurs, sin recursos o capacidades. Éste es el motivo por el cual utilizan ataques de ingeniería social o difunden el malware a través de archivos P2P. Para evitar a estos gamberros, los usuarios deben tomar precauciones: descargar, solamente, aplicaciones procedentes de fuentes de confianza; usar soluciones de seguridad informática; evitar compartir archivos P2P; no pinchar en enlaces sospechosos…  Además, debemos prestar atención a nuestra webcam y evitar que alguien nos espíe. Si nuestra webcam es externa, podemos desconectarla del USB y enchufarla sólo cuando la utilicemos; o, en su lugar, girarla para que enfoque a un punto muerto de la habitación. Esto es imposible si la cámara está integrada en el portátil. No obstante, casi todos los modelos están equipados con una señal luminosa, que se enciende cuando la cámara está funcionando. Si la luz está encendida y tu nos has activado la cámara; desconecta, inmediatamente el WiFi del equipo y comprueba con un antivirus que el ordenador está limpio.

Fuente | blog.kaspersky

WhatsApp es un coladero: sus servidores permiten distribuir virus, contenido ilegal y datos robados con total impunidad

WhatsApp pone un circo y le crecen los enanos. Por si fueran pocos los usuarios que se plantean cambiar de chat tras la polémica por el pago, dos investigadores españoles acaban de hacer público un nuevo fallo que deja al descubierto los enormes agujeros de seguridad del servicio de mensajería instantánea más utilizado del planeta.

Uno de ellos es Pablo San Emeterio, experto en seguridad de Optenet que ya el pasado noviembre dio a conocer una vulnerabilidad que permitía interceptar comunicaciones, espiar los mensajes de los usuarios, ver sus fotos y vídeos e incluso suplantar su identidad. Gracias a la repercusión que tuvo su trabajo, más de un mes después, WhatsApp actualizó su aplicación y enmendó sus errores.

No fue suficiente. Juan Garrido, ingeniero de InnoTec/Entelgy, decidió sumar fuerzas con San Emeterio y, gracias a la aportación de este ‘hacker’ del sevillano barrio de Triana, han vuelto a sacar los colores a la multinacional estadounidense. Sus conclusiones, presentadas ayer durante la primera edición de las Jornadas de Seguridad y Ciberdefensa de la Universidad de Alcalá de Henares (Ciberseg), son demoledoras. En palabras llanas, WhatsApp tiene abiertas de par en par las puertas de sus servidores y cualquiera puede entrar y salir sin pedir permiso ni dejar huellas.

“De manera anónima puedes utilizar la infraestructura de WhatsApp para subir lo que tú quieras y sin límite”, explican. Virus, páginas web falsas, archivos ilegales, documentos secretos… Lo que sea. Se puede hacer en cinco minutos desde cualquier ordenador, gratis, y sin necesidad de averiguar contraseñas, pasar noches en vela escribiendo código o utilizar complejas técnicas de ‘hacking’. Además, es prácticamente imposible cazar al delincuente. “Es tan sencillo hacerlo que nadie puede negarnos que se esté haciendo ya”, afirma Garrido.

WhatsApp, una ‘nube’ negra

Cualquiera que haya utilizado alguna vez WhatsApp sabe que, además de mensajes de texto, es posible enviar archivos a nuestros contactos. Concretamente fotografías, vídeos, audios, tarjetas de contacto y coordenadas GPS. ¿Has probado alguna vez a enviar un documento de texto, un PDF o un archivo ejecutable? No se puede. Tampoco es posible enviar ficheros de más de 10 MB.

Pero estas son restricciones que se aplican del lado del cliente, en su dispositivo, y que no existen en los servidores donde se almacenan los archivos. Lo mismo sucede con el proceso por el cual se comprueban las credenciales (nombre de usuario y contraseña). Por tanto, lo único que se necesita para subir cualquier tipo de fichero a los servidores de WhatsApp de forma anónima es un sistema que permita comunicarse con la plataforma sin necesidad de utilizar la ‘app’, que es donde se encuentran todos los obstáculos.

Este sistema existe y más adelante explicaremos cómo funciona. De momento, quedémonos con que el servidor de WhatsApp permite subir archivos de cualquier tamaño y tipo (incluidos los ejecutables) desde un ordenador y sin identificarse. Si sumamos a esto que la plataforma no dispone de antivirus y que los contenidos se borran automáticamente en un plazo de 15 días, tenemos el caldo de cultivo perfecto para que al rey de chats le brote una infraestructura criminal en toda regla en su propia casa.

En la mente del atacante

San Emeterio y Garrido no se llevan un duro de esto, ni tienen una cruzada contra WhatsApp, ni pretenden dar pistas a los cibercriminales. Lo único que buscan al desvelar los fallos del servicio es que sus responsables los corrijan y, así, el usuario esté más protegido. Por eso tratan de adelantarse a los posibles usos delictivos que un ‘hacker’ sin escrúpulos podría encontrar.

En Ciberseg han ejemplificado unos cuantos. Por ejemplo, el público asistente, en su mayoría estudiantes de ingeniería, ha podido ver cómo un virus de lo más convencional (Citadel, incluido en la base de firmas de la gran mayoría de antivirus comerciales) se albergaba en los servidores de WhatsApp sin ningún impedimento y generaba una URL que el atacante podría usar para distribuirlo. Tres cuartos de lo mismo sucedería con contenidos ilegales, como por ejemplo una canción, un libro o una película con derechos de autor o, lo que es infinitamente peor, pornografía infantil.

En un segundo ejemplo, el hipotético cibercriminal alojaba en los servidores del chat una imitación de la web de una conocida entidad bancaria. Con la URL que se generaba, podía llevar a cabo la estafa conocida como ‘phising’: hacer creer al usuario que se trata de la auténtica página del banco para que introduzca su contraseña, robarla y acceder a su dinero.

Después, en un tercer ejemplo, exponían como la brecha de seguridad de WhatsApp podría facilitar enormemente el espionaje industrial. A día de hoy, el trabajador de una gran empresa tiene muy complicado robar documentos confidenciales sin ser descubierto. Si los imprimiese, los guardase en un pendrive o los enviase por correo, podrían pillarle. Sin embargo, sirviéndose de esta vulnerabilidad, podría trocear el archivo, subirlo a los servidores de WhatsApp y hacerlo pasar por una imagen que le ha enviado uno de sus contactos.

Todo esto es cuando menos inquietante, y eso que solo se trata de una pequeña muestra de los múltiples usos maliciosos que pueden pasar por la cabeza de un ciberdelincuente.

Con total impunidad

Lo que más preocupa, y lo que convierte a WhatsApp en un auténtico paraíso pirata, es que todos estos delitos podrían cometerse impunemente. Hasta ahora, cuando un cibercriminal quería distribuir un virus o llevar a cabo una estafa mediante ‘phising’, tenía que buscarse la vida para encontrar un servidor. Normalmente lo ‘hackeaba’, pero ya no es necesario. Puede utilizar una plataforma que no levanta grandes sospechas, de forma sencilla, gratuita y prácticamente sin riesgo. Al menos hasta que los responsables del chat decidan tomar cartas en el asunto.

Durante una investigación, lo máximo que las fuerzas de seguridad podrían averiguar, si es que WhatsApp accediera a proporcionárselo, sería la dirección IP desde la que se ha subido el archivo. Solo con eso, poco o nada se puede hacer para llegar hasta la identidad del atacante, que puede recurrir a infinidad de estrategias para camuflarse: utilizar proxys encadenados para que el archivo ‘pase’ por distintos países antes de llegar a su destino, conectarse desde redes públicas (por ejemplo, las de una universidad o una biblioteca), navegar de forma anónima mediante herramientas como Tor…

Además, como ya hemos indicado, todos los archivos que se almacenan en los servidores de WhatsApp se borran automáticamente a los 15 días. Los que comparte un usuario desde la ‘app’ en su móvil, los que se suben directamente desde un ordenador, los legales, los ilegales… Todos. En otras palabras, no solo es muy difícil encontrar al autor del delito sino que el propio chat se encarga de eliminar las pruebas.

¿Y cómo se suben archivos desde el ordenador?

Como decíamos, nada de esto podría hacerse desde la aplicación que un usuario convencional utiliza para conectarse a WhatsApp. Para evitar las restricciones, es necesario emplear otro sistema que se comunique directamente con el servidor. Pablo y Juan utilizan una API extraoficial conocida como Yowsup.

Una API es una librería de código (funciones, procedimientos, métodos) que una empresa pone a disposición de los programadores para que sus aplicaciones puedan comunicarse con la suya. Por ejemplo, la API de Facebook permite que haya un botón para compartir este artículo y la de Twitter hace posible que existan gestores de terceros como Echofon o Hootsuite.

Como los fundadores de WhatsApp decidieron no publicar su propia API, los ingenieros no podían crear aplicaciones capaces de interactuar con el chat y tuvieron que recurrir a la ingeniería inversa. Estudiaron el protocolo que seguía la ‘app’ para enviar y recibir mensajes y lo reprodujeron. Así nacieron Yowsup y WhatsAPI, las bibliotecas de código que San Emeterio y Garrido han utilizado en sus investigaciones. Esta última dejó de funcionar hace unos meses.

Pueden arruinarte la vida

A lo mejor llegados a este punto, e incluso siendo consciente de la magnitud del problema, te preguntas en qué te afectan a ti, como usuario de WhatsApp, estás vulnerabilidades. ¿Por qué deberías preocuparte? Porque, sin demasiado esfuerzo, cualquiera te puede meter en un gigantesco aprieto.

Decíamos al principio de este reportaje que Pablo San Emeterio encontró en su día un sistema para espiar los mensajes que mandas y que te mandan, para ver tus fotos y tus vídeos e incluso para suplantar tu identidad y mantener conversaciones en tu nombre.

No obstante, también comentábamos que WhatsApp introdujo modificaciones para evitarlo. Concretamente cambiaron la forma en que se generan los nombres de usuario y contraseñas. Antes se formaban a partir de un identificador único (algo así como el DNI de los móviles): la dirección MAC en los dispositivos Apple o el código IMEI en los equipos con sistema operativo Android. Era lo único que un atacante necesitaba conocer además del número de teléfono de su víctima. Y era relativamente sencillo de conseguir.

Ahora es un poco más complicado. Cuando el usuario quiere conectarse al servidor, es WhatsApp quien le envía la contraseña. ¿Y ya no se puede acceder a ella? Eso parecía… Hasta que Juan Garrido descubrió que la clave quedaba registrada en una base de datos dentro del propio terminal. En iPhone ni siquiera está cifrada y en Android se podría descifrar. La única ventaja es que, en principio, si quieren espiarte o suplantarte necesitarán tener tu móvil en sus manos para poder leer el ‘password’.

Fuente | lainformacion