Google Chrome: nueva vulnerabilidad

 

Vulnerabilidad

Los hackers han vuelto a sorprendernos con su creatividad, esta vez  el truco es muy simple: tomar instantáneas de los usuarios que navegan con Google Chrome, el browser más popular hasta la fecha.

Tal vez sepáis que Adobe Flash puede utilizar el micrófono y la webcam para interactuar con el usuario. Aunque éste debe dar permiso para que funcionen las herramientas, en Chrome es posible sobreponer una imagen que oculte dicho cuadro de diálogo. Así, se coloca una imagen atractiva  (como en la fotografía que os mostramos a continuación) para que la víctima haga clic en “play” y, en realidad, esté activando el botón “permitir”.

Imagen Chrome

Con un solo clic de ratón, se toma la foto y se sube al servidor del hacker. La mayoría de portátiles tienen una luz especial que indica que la webcam está encendida, pero, aunque el usuario se dé cuenta, ya es demasiado tarde. Entre las plataformas utilizadas se encuentran los sistemas Windows 7, 8, Mac OS X y Linux.

A pesar de que las fotos de las víctimas carezcan de gran valor, los cibercriminales están interesados en ellas porque las pueden utilizar, por ejemplo, para robos de identidad. Además,  también es posible encender el micrófono del mismo modo sin que la víctima se percate, grabando, de forma secreta,  sus conversaciones.

Aunque todavía no se conoce ningún caso en el que se haya utilizado este truco para un ataque en el mundo real, su simplicidad y eficacia pueden ser de gran utilidad para robar información personal de los usuarios. Las víctimas no pueden predecir quién, cuándo y qué información se usará en el futuro. Además, este problema se acrecienta cuando tratamos con aplicaciones móviles; el navegador “inofensivo” no solo filtra nuestro historial de navegación; otras páginas también pueden acceder a nuestra localización exacta y  conocer nuestro entorno a través de la cámara y el micrófono. Es bastante complicado mantener nuestra navegación web en privado, en cambio, tratar con la localización y la cámara es mucho más fácil. No se suelen utilizar estas funciones, así que es posible desactivarlas en los ajustes “Avanzados” de Google Chrome. Si alguna vez os encontráis (aunque sea poco habitual) una página que necesite de estas herramientas, solo os llevará 10 segundos activar la cámara o localización para deshabilitarlas posteriormente.

Fuente | kaspersky

Lo que necesitas saber sobre las cookies

 

cookies_title_sp

¿Qué son las cookies?

Una cookie es un fragmento de texto o un pequeño dato que el servidor web proporciona al navegador cuando visitamos una página web; guardando información en el disco duro sobre nuestros hábitos online. Cada vez que visitamos una página que usa cookies, nuestro dispositivo  envía los datos para que el navegador pueda recordar quiénes somos y crear, así, una experiencia de usuario más personalizada.

Existen dos tipos de cookies: temporales y permanentes. Las temporales, o de sesión, solo tienen validez el tiempo que dura la sesión. Una vez se cierra el navegador, se eliminan. En cambio, las cookies permanentes están configuradas para varias sesiones de navegación y sólo desaparecen cuando llega su fecha de expiración o las eliminamos nosotros mismos.  Las páginas web utilizan este tipo de cookie para personalizar la experiencia online del usuario como, por ejemplo, recordando los datos de acceso y los productos de nuestro carrito de la compra o recibir la información meteorológica según nuestra ubicación.  Además de este tipo de cookies, también podemos encontrar cookies de terceros, configuradas por websites para rastrear nuestro comportamiento en otras páginas. Esto lo suelen utilizar los anunciantes para saber las web que visitamos y recopilar información que les ayude a crear un perfil de nuestras preferencias.

Las buenas noticias son que, al permitir a las cookies acceder a nuestra información, obtenemos una experiencia de usuario más personal. No obstante ¿es seguro que nos rastreen de este modo?

¿Son las cookies peligrosas?

Cuando hablamos de privacidad y cookies muchas son las voces que se alzan en su contra. El consenso general es el siguiente: aunque no sean peligrosas para nuestro equipo, debemos tener cuidado ya que reúnen información personal y podemos ser víctimas de un ataque man-in-the-browser. En el año 2011, la investigadora de seguridad italiana Rosario Valotta encontró vulnerabilidades dentro del navegador Internet Explorer, las cuales permitían que se atacasen los datos personales de aquellos usuarios que, sin saberlo, compartían sus cookies. Afortunadamente, estos ataques no son muy comunes, pero algunas websites han empezado a tener más cuidado a la hora de proteger la confidencialidad de los usuarios; bloqueando tanto las cookies permanentes como aquéllas de terceros.

Consejos para protegernos

Existen opciones al elegir si queremos o no cookies que graben nuestros hábitos online. Los siguientes consejos nos pueden ayudar a protegernos mejor:

1. Limpia o elimina tus cookies

Siempre tenemos la opción de eliminar el historial de navegación y las cookies. Sin embargo, si no quieres hacerlo de forma manual puedes utilizar una herramienta de limpieza como PURE 3.0 que te ayude con la tarea.

2. Modifica los ajustes del navegador  

Algunos navegadores, como Firefox y Safari, te ofrecen mayor control sobre la información que rastrean las cookies. Es necesario comprobar las distintas opciones en los ajustes de privacidad de tu navegador.

3. Usa los Add-Ons

También existe la posibilidad de usar add-ons del navegador para gestionar las cookies de forma más específica. Hay multitud de opciones como activar solo aquéllas que quieras que conozcan tu vida online.

4. Comparte con moderación

Debemos utilizar el sentido común cuando usamos ordenadores públicos. Así, no es aconsejable introducir datos personales que las cookies puedan guardar y siempre tenemos que asegurarnos de que no dejamos ninguna cuenta o sesión abierta.

5. Protégete

Por supuesto, la última defensa frente a cualquier ataque es instalar una solución de seguridad informática en todos nuestros dispositivos con acceso a la Red para, así, tener el control de nuestra privacidad.

Fuente | kaspersky

Gobiernos de 36 países utilizan software para espiar a sus ciudadanos

 
Gobiernos de 36 países utilizan un avanzado software para espiar a sus ciudadanos

Se trata del kit de herramientas, conocido como FinFisher o FinSpy, que se instala después de que el destinatario acepte la actualización falsa de un software de uso común. El kit está diseñado para evitar ser detectado por los programas antivirus.

La aplicación fue desarrollada por la compañía británica Gamma International UK Ltd, que vende su producto exclusivamente a los gobiernos.

El centro descubrió que el FinSpy “hace uso de la marca y código de Mozilla”, lo que le ayuda a despistar a los usuarios.

Morgan Marquis-Boire, uno de los autores del informe del Citizen Lab, señaló que la extensión del FinFisher “realmente demuestra la ubicuidad de este tipo de programa”, según lo cita AP.

Por su parte, Mozilla, la fundación que ha creado el navegador Firefox, no tardó en reaccionar al informe, acusando a Gamma International Ltd. de utilizar el navegador para que el FinSpy no sea detectado por los usuarios, lo que tachó de una táctica abusiva, y exigió que “detenga inmediatamente estas prácticas”.

A finales del pasado mes de marzo el Partido Pirata de Alemania acusó a la Policía Criminal Federal de ese país de gastar millones de euros en lo que calificaron como “software de espionaje inconstitucional”, refiriéndose e este mismo kit de herramientas.

Fuente | actualidad.rt

Seguridad en WordPress: 5 plugins que deberías probar

 
La seguridad es un aspecto de gran importancia en el que no todo el mundo suele reparar o dedicarle el tiempo suficiente. A pesar que, prácticamente cada día, se generan un buen número de noticias sobre fallos de seguridad o suplantaciones de identidad, no siempre los usuarios ponen las medidas adecuadas para mitigar la probabilidad de verse envueltos en un incidente que ponga en riesgo sus datos personales o les provoque una crisis de reputación. Está claro que la seguridad total no existe pero sí que es cierto que, con las medidas adecuadas, podemos sentir confianza en algo (de hecho así es como se define la seguridad) y, por ejemplo, podremos gestionar nuestra página web o nuestros perfiles sociales de una manera más cómoda centrándonos en lo que es importante solamente realizando una inversión previa de tiempo en mejorar la seguridad en WordPress o en nuestros perfiles de Twitter o Facebook.

Wordpress - seguridad en WordPress

WordPress es uno de los gestores de contenidos más extendidos en la red, un hecho que hace que encontremos un buen número de recursos para complementar las funcionalidades de este CMS (ya sean widgets o extensiones) y, claro está, al estar tan extendido en uso no es raro que haya gente con no muy buenas intenciones que intenten acceder a nuestro blog para extraer información o para sembrar malware que atente contra nuestros visitantes.

No es la primera vez que hablamos de la seguridad en WordPress pero, dada la importancia de esta temática, vale la pena ampliar el alcance con nuevos recursos con los que “blindar” nuestro blog o nuestra página web y, de esta forma, podamos dedicar más tiempo a lo que es realmente importante: los contenidos.

Remember Me Not

Remember Me Not es una extensión dedicada a aquellos que utilizan la opción “recordarme” cuando hacen login en WordPress. Aunque no niego que esta funcionalidad sea cómoda, sí que es cierto que supone un riesgo dejar la sesión abierta (mantener una cookie en el navegador) cuando accedemos a nuestro blog desde un ordenador de uso público o desde un equipo que no es nuestro.

La mejor pauta a seguir en estos casos es usar sesiones anónimas en el navegador, así cuando cerramos la ventana cerramos de golpe todas las sesiones; sin embargo, si tampoco somos dados a bloquear nuestro equipo cuando nos levantamos de la mesa, quizás necesitemos una ayuda adicional con este plugin que lo que hace es eliminar de WordPress la opción de “recordar” nuestra sesión y, por tanto, cada vez que accedamos al blog tendremos que entrar con nuestro usuario contraseña (eliminando así las sesiones abiertas).

Htaccess Secure Files

Htaccess Secure Files es un interesante plugin para WordPress que nos ayuda a gestionar los archivos .htaccess de Apache y controlar así el acceso a determinados directorios de nuestra web.

Con la idea hacer algo más accesible esta medida de seguridad a todos los usuarios, este complemento nos abstrae de la tarea de escribir nuestros archivos .htaccess y manejar su sintaxis para pasar a un editor gráfico en el que definiremos los roles que pueden tener acceso a ciertas carpetas de la estructura de WordPress así como las direcciones IP admitidas (o rechazadas) para gestionar el blog o, incluso, gestionar qué acciones pueden hacer los usuarios de nuestro blog (activar plugins, crear usuarios, etc).

Un recursos muy interesante para mejorar la seguridad en WordPress sin necesidad de ser expertos en la materia.

Seguridad SSL

WordPress HTTPS (SSL)

WordPress HTTPS (SSL) es un complemento a tener en cuenta si queremos ofrecer conexiones cifradas entre nuestro blog y los visitantes, algo que es muy útil, por ejemplo, si trabajamos con WordPress en un proyecto relacionado con el comercio electrónico.

Este complemento aspira a ser una consola central desde la que gobernar todos los aspectos relacionados con SSL y WordPress, por ejemplo, forzar el uso de SSL cuando nuestros usuarios están validados en el sistema, forzar conexiones seguras cuando estamos trabajando con la zona de administración de la página o crear un esquema de redirecciones de determinadas páginas hacia sus versiones bajo conexiones seguras.

Un recurso muy interesante que deberíamos tener siempre a mano o, en su defecto, alternativas como SSL for Logged In Users.

Authy Two Factor Authentication

Gracias a Authy Two Factor Authentication podremos añadir a nuestra instalación de WordPress una estupenda mejora de seguridad en WordPress en cuanto al acceso de usuarios se refiere puesto que podremos dotarlo de la autentificación en dos pasos, es decir, el mismo mecanismo de seguridad que podemos encontrar en Dropbox o en Gmail pero llevado a la seguridad en WordPress.

Dicho de otra forma, además de ser necesario el par usuario-contraseña, se introduce un tercer elemento al proceso de login con el envío de un código numérico a través de SMS que sirve como verificador de la identidad de la persona que pretende acceder al blog (muy útil para los administradores).

Minimum Password Strength

Minimum Password Strength es un complemento que está basado en el “medidor” de fortaleza de contraseñas que incluye WordPress pero que dota a los administradores de la potestad de fijar un nivel mínimo de fortaleza a las contraseñas. Dicho de otra forma, podremos fijar un nivel fuerte de contraseñas a los usuarios y, por tanto, estos tendrán que usar este tipo de contraseñas porque serán las únicas admisibles en el sistema.

La idea, en mi opinión, es interesante porque genera en el usuario la adopción de ciertas prácticas que, si no las obligamos, sin difíciles de interiorizar y, si se cumplen las expectativas que anuncia el desarrollador del plugin, las próximas actualizaciones de la extensión irán encaminadas a que aplicar políticas de contraseñas específicas a los distintos roles de nuestro WordPress, es decir, podremos aplicar contraseñas fuertes a los administradores y, por ejemplo, admitir las de fortaleza media a los editores (dotándonos así de mayor control sobre nuestro blog y las políticas de seguridad).

Fuente | bitelia

Un ciberataque puede poner en peligro la vida humana

 

 
WatchGuard ha presentado la lista de predicciones de seguridad para el año 2013, elaborada por su equipo de analistas de seguridad. Según la compañía, el incremento de las ciberamenazas dejará a las organizaciones al amparo del riesgo, a pesar de sus medidas de contraataque, que no cree efectivas.

Uno de sus pronósticos más sorprendentes es que los ciberataques pueden provocar la muerte. Con la tecnología incorporada en dispositivos médicos, la muerte tratada digitalmente es una realidad. Recientemente, un investigador ha mostrado cómo suministrar una descarga de 830 voltios sin cables a un marcapasos inseguro, lo que demuestra que los ataques digitales pueden tener un impacto físico en la vida real.

Por otro lado, el malware está entrando en la red a través de una puerta abierta. El año pasado vimos el primer malware que buscaba máquinas virtuales (VM) y las infectaba directamente, y en esta línea evolucionará en este 2013. De esta forma, pueden evitar sistemas de detección de amenazas automáticos virtualizados y aprovechar esas debilidades .

Además, es tu navegador, no tu sistema, lo que el malware busca, ya que mucho de los datos personales están almacenados en servicios de cloud. Por eso WatchGuard alerta de la aparición del nuevo malware MitB o navegador zombi, que se ejecuta como una extensión, plugin o asistente de ayuda malicioso cuando la víctima navega por la web.

También, avisan de que hay que tener cuidado con los carteristas que intentan vaciar los monederos móviles, especialmente en dispositivos Android, que son a los que se dirigen la mayoría de los cibercriminales.

Junto a estas predicciones, Carlos Vieira, country manager para España y Portugal, comenta que “este es un año en el que la seguridad alcanza una nueva dimensión, los ataques se vuelven cada vez más frecuentes y, por desgracia, más perjudiciales, ya que muchas organizaciones sufren ataques antes de tomar las medidas para protegerse de los delincuentes”.

Para 2013 se espera que el Gobierno de Estados Unidos apruebe al menos una nueva ley de ciberseguridad que afectará a las organizaciones privadas y ayudará a enjuiciar crímenes digitales.

Fuente | ticbeat