El eslabón más débil

Spam, spam, spam… Es lo primero que he tenido que hacer al regresar de estas vacaciones: limpiar numerosos correos basura que me estaban esperando y que tantos otros han recibido exactamente igual que yo.

Mujeres y hombres, que no conozco, me anexan fotos que no he pedido. Otros correos me informan de viajes (y de otros premios) que he ganado en concursos en los que no he participado. Aún otros me mandan pps’s y mp3 o wmv’s e incluso swf’s que tienen algún tufillo. En nombre de un banco del que no haré publicidad, entidad con la que no me une contrato alguno, alguien me informa sobre un agujero de seguridad y me pide que acceda a una página web para reestablecer mi cuenta. Otros emisores me han usurpado el usuario o me llegan con el parecido de algún emisor conocido, pero… Spam, spam, spam… ¡Qué sería del correo electrónico sin el spam! Al menos, la identificación y rápida eliminación de correos no deseados deja una pequeña sensación de triunfo, haciéndonos sentir dueños del inbox de nuestro webmail. Y esta pequeña victoria diaria se la debemos a spammers y a sus ‘ingenios’ de envíos masivos e indiscriminados. Gracias.

Aunque hace tiempo más que sobrado que se informó de las nuevas estrategias maliciosas, cuyo único objetivo es hacernos picar el anzuelo, el viejo spam sigue vigente. Si es cierto que nuestras estrategias de defensa se han venido depurando con los años, también es verdad que no se puede proteger al cien por cien una dirección de correo –incluso aunque no se use- y que por más reglas de correo que uno se invente tampoco resulta posible dejar de practicar la depuración manual de aquellos mensajes burdos o refinados, pero al fin sospechosos.

(Me sigo poniendo al día) Después de revisar el segundo informe trimestral de PandaLabs, me quedan claros dos aspectos: primero, que el punto más vulnerable de un ordenador es el usuario; segundo, que los ciberdelincuentes están utilizando con mayor insistencia las redes sociales para perpetrar sus ataques contra los particulares, espacios -aviso para navegantes- que se han convertido en auténticos viveros para estos cazadores furtivos.

Merece la pena, por tanto, echar un vistazo al mencionado informe, que recoge los principales datos, de abril a junio, de por dónde rondan y cómo se producen aquellos usos delictivos.

¿Han oído hablar del ‘TabNabbing’, una nueva forma de phissing ideada a la sombra de los nuevos hábitos de navegación por pestañas? ¿Y del Clickjacking?

En dicho informe podrá consultar éstas y otras técnicas de ataque, conocerá otras rutinas empleadas por los ciberdelincuentes y le permitirá chequear si le pueden afectar las últimas vulnerabilidades.

Hablando de Panda, merece la pena sugerir la inclusión de su blog entre el paquete de visitas recurrentes que cada uno tenga seleccionadas, pues contiene información que no solo no está de más (educativa/preventiva), sino que puede contribuir a evitarnos algún disgusto.

Según Panda, con quien concuerdo, el eslabón más débil, en la cadena de seguridad, somos nosotros mismos.

© jvillalba

Redes sociales seguras

España ha ocupado en 2009 el 7º lugar de los países con mayor porcentaje de infecciones malware.

Las redes sociales y los ataques SEO mediante webs falsas han sido los métodos preferidos por los delincuentes para distribuir este nuevo malware.

Los datos ofrecidos por PANDA Security –coincidiendo con su vigésimo aniversario-, en el Informe Anual PandaLabs 2009 de 22 páginas, describen un escenario que nos permite a los ciberciudadanos informarnos sobre las estrategias que han adoptado los ciberdelincuentes a fin de incrementar nuestra protección ante sus ataques y en evitación de los cibercebos servidos, en algunos casos, mediante falsas ‘páginas oficiales’, enlaces recomendados, sistemas de protección gratuitos o noticias de actualidad; entre otras tácticas de ataque.

Para hacerse una rápida idea de la magnitud que ha cobrado el problema, baste con señalar ‘el dato’:

“En 2009 se ha creado más cantidad de nuevo malware que en los 20 años anteriores: 25 millones de ejemplares en un solo año.”

En este escenario, en el que nadie se libra de los ataques (organismos oficiales, empresas, medios de comunicación y personajes famosos han sido víctimas de numerosos ataques con resultados graves, que pueden consultarse en el informe), el nodo débil somos los internautas [AUI].

El mencionado trabajo de PandaLabs permite tomar buena nota de algunas opciones de defensa.

Previsiones 2010

Entre otras previsiones*, que recoge el informe, PANDA Security pronostica el incremento de las “técnicas de ingeniería social aplicadas especialmente a buscadores (técnicas BlackHat SEO) y a redes sociales, así como a infecciones desde páginas web, conocidas como drive-bydownload.”

Ingeniería social

Motivado por el crecimiento exponencial de las redes sociales** y de los servicios 2.0, éstas se han convertido en terreno propicio para los ciberdelincuentes.

Algunas líneas generales de defensa

 

Accesos engañosos a Facebook

Ha sido objeto de numerosos intentos de fhishing con el objeto de sabotear cuentas de usuarios, mediante el ingreso en sitios falsos que reproducen a la perfección la skin de la red.

En septiembre se descubrió que hubo intentos de obtener dinero de usuarios a cambio de obtener passwords de cuentas ajenas.

Comentarios maliciosos en Twitter.

Se trata de tweets sobre los temas más populares listados en Twitter Trends (listados de todos los tweets que hay publicados sobre un tema) en los que se inscriben enlaces maliciosos a webs en las que instala malware en el Pc del visitante.

Comentarios cebo en YouTube

Han sido identificados más de 30.000 comentarios con enlaces a sitios maliciosos, que operan como en el caso anterior.

Más comentarios maliciosos en Digg.com***

Se identificaron más de 500.000 comentarios en los que al linkar la recomendación los usuarios quedaban infectados con rogueware (falsos antivirus).

Falsos antivirus (rogueware) gratuitos que salen muy caros.

 Un lucrativo negocio con el que los delincuentes están ganando más de 34 millones de dólares al mes, según cálculos de PandaLabs. [El Negocio de los

Falsos Antivirus]

Operan ofreciendo la descarga gratuita y una vez instalados funcionan avisando sobre inexistentes amenazas, pidiendo que se compre la correspondiente licencia.

En los próximos reinicios se impide la ejecución de programas y se recrea un falso estado de peligro ofreciendo enlaces para comprar la licencia (PersonalProtector imita perfectamente la pantalla del Centro de Seguridad de Windows)

De las 20 familias de rogueware, las de mayor impacto en 2009 fueron: SystemSecurity, TotalSecurity2009, SystemSecurity2009, SystemGuard2009 y WinPcDefender.

Completan el 90%: Xpantivirus 2008, Antivirus 2009, SpywareGuard 2008, XPPolice, AntivirusXPPro, , MSAntiSpyware 2009, SecuritySystem, ProAntispyware 2009, RogueAntimalware 2009, MalwareDefender 2009, PCProtectionCenter 2008, VirusResponseLab 2009, VirusShield 2009, WinDefender 2009, VirusRemover 2008, AdvancedVirusRemover

Resultados inseguros de búsqueda

Los ciberdelincuentes han utilizado técnicas de posicionamiento en Google, Yahoo y otros motores de búsqueda (Técnicas BlackHat SEO) para conseguir las primeras posiciones en temáticas de actualidad, lo que lleva a ingresar en páginas maliciosas desde las que se produce el ataque o se presenta el cebo.

SPAM y correo electrónico

De conformidad con los datos de PANDA Security, nada menos que el 92% del correo electrónico mundial ha sido Spam, cuyos principales asuntos han sido:

1. Venta de productos ilegales.
2. Redirección, con motivo de noticias de actualidad, a webs falsas para infectar (cuidado con los enlaces propuestos).
3. Distribución directa de malware (cuidado con los ficheros anexos).

La práctica de engaño se basa en la actualidad, de la que se extraen noticias con tirón para perpetrar el engaño.

También han proliferado el “envío de mensajes que contienen facturas, comprobantes de productos que el usuario supuestamente ha adquirido a través de Internet (…) y mensajes que parecen ser enviados por empresas de mensajería informando al usuario que no se ha podido realizar la entrega del paquete que envió”

[Cuidado también –añado- a los correos que pueden tomar como excusa la situación de paro actual, ofreciendo empleo u operaciones para lucrarse económicamente]

Falsos vídeos

Precaución con Adobe (no ha tenido un buen 2009 –ver informe-) y ojo a las peticiones de instalación de un códec para poder servir el vídeo que se ha ofertado visualizar.

“Cuando el usuario se disponía a reproducir el video, aparecía un mensaje informando que es necesario actualizar la versión del Flash Player y le ofrece la opción de descargar una versión más nueva. Es en ese momento cuando se descarga y ejecuta el troyano.”

En conclusión

La mejor receta de seguridad es la preventiva, que consta de los siguientes ingredientes: educación y cultura, formación, sentido común y protección:

1. Abstenerse de ejecutar enlaces proporcionados por fuentes desconocidas o que, tal vez debido al contexto en el que se producen, puedan resultar sospechosos.
2. Si se han ejecutado, activar la función SiteAdvisor del antivirus y, antes de disponerse  a navegar, inspeccionar visualmente la página.
3. Si se pide realizar una descarga de cualquier tipo de ejecutable (plugin, códec…), mejor no hacerlo o, como poco, abstenerse hasta estar completamente seguro.
4. Si no se admite la negativa y la descarga se produce a pesar de la orden, cerrar la página y, si no obecede, desconectarse de la red.
5. Si se piden los números de la cuenta bancaria o de la tarjeta de crédito, no ingresarlos.
6. Si no es un sitio conocido y se solicita ingresar usuario y clave, ignorar la petición.
7. Si empiezan a figurar mensajes sobre la vulnerabilidad del PC, desconfiar, desconectarse de la red y revisar el estado de seguridad del equipo.
8. Si tras la descarga se observa un comportamiento anómalo, desconectarse de la red y aplicar el antivirus.
9. Si la página resulta muy interesante, a pesar de todo, efectuar una investigación de la misma en Internet, apoyándose en fuentes seguras.
10. Reducir en un 90% nuestra vulnerabilidad: mantener activos y actualizados los sistemas de protección del equipo, usar software original, realizar periódicamente backup de la información esencial y mantener el PC al día, según el propio plan de limpieza y mantenimiento.

© jvillalba

* –CloudAntivirus; incremento del malware, principalmente rogueware, bots y troyanos bancarios; afecciones Windows 7 en los dos próximos años, los Mac ya no están a salvo, ciberguerra-. Por el momento,  “2010 no va a ser el año del malware para móviles”.

** Se registra un notable incremento de uso de las redes sociales, en detrimento del correo electrónico, para comunicarse con amigos y followers.

*** En mi opinión, resulta muy molesta su publicidad.

CNCCS | CCN-CERT | inteco cert | CNPIC | Delitos telemáticos | Ciberdelincuencia.org

A propósito de las 17 reglas de ENISA

European Network and Information Security Agency publicó un informe, el 8 de febrero, con el propósito de sensibilizar sobre los riesgos potenciales derivados del uso indebido de las redes sociales on line (SNSs), preferentemente a través de teléfonos móviles, cuestión sin duda meritoria y digna de elogio, cuyo valor radica más en la insistencia que en la novedad. Un informe de 49 páginas, en formato pdf, de mucho interés, que es recomendable conocer.

Con todo, de las diecisiete ‘golden rules’, una me ofrece muchas dudas. Concretamente la 3.

ENISA propone utilizar un seudónimo (nickname) para los perfiles en red y lo argumenta bien: (1) no es necesario usar su nombre real en línea; (2) con ello protege su identidad y privacidad; (3) si lo considera conveniente, podrá revelarlo a sus contactos más estrechos.

Necesario, lo que se dice necesario, no es pues no se precisa obligatoriamente del propio nombre para conectarse y actuar en Internet. Más que protegerse, el término que me parece más adecuado en el contexto es ‘ocultarse’ para no dar la cara, cuestión muy alejada de lo que significa ‘desnudarse’. Finalmente, si uno se pretende ocultar, ¿para qué revelarlo selectivamente? ¿Para presumir? ¿Por narcisismo? ¿Para ‘reencontrarse’ en línea y saber con quién se está relacionando?

Antes de proseguir con mis dudas, una pregunta: ¿le satisface a usted no saber con quién está entrando en contacto en línea? ¿Le agrada estar sospechando de toda posible interacción?

La regla 3 me parece que atenta contra una norma básica de etiqueta en La Red: actuar por derecho, en el propio nombre, dando la ‘cara’ sin ‘desnudarse’ y sin poner en peligro la propia privacidad, pero mostrando la propia identidad, aunque con la máxima prudencia, el máximo respeto hacia los demás y aplicando la inteligencia.

En Internet siempre ha seducido a muchos el pretendido anonimato, pero solo se oculta quien alberga dudosas intenciones. Es la plaga de los snnifers de los antiguos foros y chats, la tribu de los husmeadores en busca de piezas de caza.

El anonimato no representa una fórmula de salvaguardia democrática ni anima la participación ante requerimientos de terceros, por el contrario ampara numerosas conductas reprobables en las que algunos no incurrirían si se les pudieran adjudicar como sujetos.

Sin duda hay que protegerse y principalmente hay que velar por la seguridad de los jóvenes, pero ocultarse en el anonimato, ampararse en identidades diseñadas para la ocasión, me parece muy peligroso y perturbador para el correcto desarrollo de las personas. Creo más en la educación, en dedicar tiempo a tutorizar y a acompañar a quienes por veces primeras se adentran en el nuevo mundo de La Red y de las redes y a quienes van creciendo, descubriendo y experimentando nuevas opciones en el ámbito de la cibersociedad.

En este sentido ENISA, como otras muchas organizaciones y asociaciones, recibe toda mi consideración, pero la función educativa primigenia descansa en las familias y ha de ser ayudada y completada, pero no hurtada, por las instituciones educativas, cuestión que precisa amor y mucho tiempo de dedicación, pero también ejemplo en el núcleo primario, que es donde se gesta el carácter y la orientación del sujeto, siendo ésta la principal referencia en valores y comportamientos.

Matando al perro se termina con la rabia (de ese perro), pero educando en el error, en vez de en la prudencia y el conocimiento, se gestan yerros que luego es fácil generalizar a otros ámbitos de la vida.

Sin restar valor al informe, declaro que me opongo a la regla 3 de ENISA.

© jvillalba

 –

[full report original: documento pdf de 49 páginas]

–

Percepción de los internautas sobre los bulos

Según la AI, el II informe sobre la percepción de los internautas de los bulos en la red señala que el 70% de los internautas no sabe distinguir entre una noticia y un bulo, porcentaje que ha crecido un 10% con respecto de 2008.

Algunos han dicho que este hecho pone en duda la credibilidad de Internet como fuente de información, afirmación con la que no estoy de acuerdo, precisamente por el carácter horizontal de la Red, que también permite denunciar la emisión o propagación de bulos anulando de esta manera su efecto.

La AI menciona los cuatro rasgos diferenciales del bulo, como son (atemporalidad) la inexistencia de fecha en los mensajes, la omisión de la supuesta fuente de información (anonimato), la introducción de un gancho (si se desatiende ocasiona una pérdida de oportunidad) y la petición expresa (reenvío).

Tales rasgos proporcionan unos primeros indicadores para diferenciar el bulo de la noticia, pero no siempre se cumplen los cuatro, pues, por ejemplo, podrían referir fuentes falsas.

Este verano, como parece que viene sucediendo desde 2003, hubo internautas que estuvieron pendientes de avistar dos lunas desde la tierra… Antes de sufrir las consecuencias de un bulo es recomendable, siempre que no se tenga certeza sobre el contenido de un mensaje, máxime si éste ha sido reenviado por un familiar, amigo o conocido, es recomendable tratar de acreditar la fuente y preguntarse por su solvencia como origen de esa información. Las más de las veces basta con introducir el asunto o una parte del mensaje en un buscador para darse cuenta inmediatamente de que se trata de un HOAX, otras, ante amenazas más serias lo más aconsejable será realizar consultas en línea en sitios acreditados como pueden ser –entre otros- Shell Security, Inteco-Cert o Alerta antivirus, lo que puede ahorrarnos quebraderos de cabeza.

© jvillalba

Hoax

 

El centro eres tú

 

Es verdad que Internet ha propiciado un cambio en los centros de poder y que el ciudadano goza de una capacidad de expresión antes inusitada (micropoder)

 

Es también cierto que Internet no es ajena a cualquier otra realidad humana; hay mucho bueno, hay mucho malo y, entre medias, toda la escala de valor/utilidad que quieras introducir. En el espectro de búsqueda-selección-decisión-consumo-transformación-uso, te encuentras tú (yo), el ciudadano.

 

Del micropoder a la pseudo-influencia

 

A mi me parece que, en cualquier ámbito, la intencionalidad (y aquí el uso también) marcan la diferencia, aunque hemos de reconocer que la técnica del esfumato representa mejor esa frontera, de tal modo que insinúa los límites más que delimitarlos.

 

En casos como este, inicialmente la intencionalidad depende del emisor, pero la capacidad para seleccionar y filtrar la información –también en este caso- es cuestión directamente dependiente del receptor. Es decir, que tú o yo, el público o la audiencia, tenemos la última palabra; aunque ésta en ocasiones (muchas o pocas, dependerá) venga mediatizada por los generadores de opinión, que no es el caso ante un hoax.

 

Luego aquel micropoder, como cualquier otro, es relativo.

 

Comunica que algo queda

 

Según la AI (encuesta 2008), un 67% de los internautas reconoce(mos) que no sabe(mos) distinguir entre el bulo y una noticia (se entiende que en el ámbito de Internet).

 

En ese talante bien intencionado, confiado, tal vez cándido en alguna ocasión, basan los emisores de bulos su influencia.

 

Cuando te han pillado por sorpresa y no ha sido posible anticiparse a la propagación, no queda más acción que limpiar la herida, dejar que cicatrice, aplicar curas periódicas y dejar que la costra caiga, esperando que no deje marca.

 

Con todo, el tiempo termina poniendo las cosas en su sitio. Incluso la huella del suceso, si es que queda, aporta la ventaja del recordatorio.

 

Curar la herida es una conducta reactiva; anticiparse significa disponer de unos sistemas de inteligencia competitiva en la  empresa que funcionan.

 

Vigilancia e inteligencia competitivas

 

Reaccionar ya es una demostración de ser capaces de hacer algo -¡y hay que hacerlo; no puedes quedarte impasible!- cuando ya ha ocurrido, pero es un indicador que pone en evidencia que o no se dispone de un sistema de inteligencia competitiva o que éste no funciona. Es una buena ocasión para plantearse cómo mejorarlo o implementarlo a futuro.

 

¿Cuántas de nuestras empresas tienen un modelo de vigilancia competitiva implantado?

 

Mi cuota de responsabilidad es lo que importa

 

(Se ha dicho muchas veces) Ante el incremento de las famosas y devastadoras cadenas, mensajes increíbles y toda suerte de correos basura, antes de conferirles credibilidad es recomendable informarse para asegurar y filtrar algunas informaciones de dudosa procedencia o de dudoso contenido, en cuyo proceso lesivo podemos vernos envueltos.

 

¿Dónde está el quid de la cuestión? ¿Es más responsable quien lanza un hoax o quienes lo redistribuyen sin más creando un efecto multiplicador?

 

Creo que coincidimos al decir que el mejor antídoto contra la mensajería basura es depositarla directamente en un ‘punto limpio’ para fulminarla.

 

Me parece que pensamos lo mismo si convenimos que, antes de reenviarles ruido a nuestros contactos, quizá generando además inquietud en alguien, adoptamos un compromiso responsable asegurando la información, determinando la fiabilidad de la fuente, contrastando y seleccionando mensajes.

 

© jvillalba

 

–

[AI: Asociación de internautas]

[Alerta- antivirus]

[Shellsec]

–