Los ataques de ingeniería social. Recomendaciones contra una de las amenazas más extendidas de ciberseguridad.

El pasado 5 de febrero fue el día Mundial de la Seguridad a Internet. En el marco de celebración de este día, aprovechamos para compartir unas recomendaciones de seguridad contra los ataques de ingeniería social. La seguridad de un sistema radica en la seguridad del eslabón más débil. Es por ello que cuando se diseña un sistema informático se revisa cuidadosamente que toda la tecnología (servicios, aplicaciones, protocolos, etc.) tenga unas mínimas garantías de seguridad. Lo que a veces no se revisa tan cuidadosamente es la robustez del sistema frente a descuidos o fallos humanos, y esto siempre es un punto débil de los sistemas. La ingeniería social es el conjunto de acciones que tienen como finalidad el robo de información o el acceso no autorizado a sistemas informático mediante la manipulación psicológica de usuarios reales, aprovechando las tendencias naturales y las reacciones emocionales de las personas. ¿Cómo te pueden atacar? Una de las prácticas más habituales de ingeniería social es la del phising, correos electrónicos que simulan venir de instituciones de confianza y que nos redirigen a una página web falsa donde nos piden información sensible y la víctima, de forma vuluntaria, introduce sus datos personales y claves de acceso. Otra de las modalidades de ingeniería social es el baiting. Esta modalidad tiene como objetivo robar datos corporativos. Consiste en dejar, por ejemplo, un USB infectado al alcance de un empleado para que este lo encuentre y lo conecte en su ordenador. Una vez instalado, el usb ejecuta software malicioso que permite a los atacantes acceder a los datos de la compañía. Otro ejemplo de estos ataques es...

Seguridad en los móviles

Los móviles se han convertido en dispositivos electrónicos imprescindibles en nuestras vidas. Son utilizados para tantas cosas que a menudo se consideran como extensiones personales. Sus usos más comunes son el acceso a Internet, el correo electrónico, la mensajería instantánea, las redes sociales, los libros electrónicos, la música, las películas, las fotos, la banca electrónica, el comercio electrónico, o los juegos en línea. Con toda esta amalgama de usos, el móvil contiene más información personal y privada que ningún otro dispositivo que podamos tener, y es un dispositivo utilizado para realizar operaciones críticas y confidenciales. Por otro lado, los móviles son dispositivos muy vulnerables. Son pequeños y siempre los llevamos muy a mano, lo que facilita los olvidos y pérdidas, sustracciones por descuido, o los robos. También son dispositivos enfocados a la población general, que no es experta en temas de seguridad y que a menudo no saben cómo mantener correctamente protegidos y qué usos pueden ser peligrosos. Y finalmente son dispositivos sobre los que eventualmente se producen ataques de seguridad importantes, ya sea a través de agujeros de seguridad del firwmare, de aplicaciones oficiales mal diseñadas, o de apps fraudulentas que contentan malware. Los móviles tienen tanta información que hay una industria hacker muy importante detrás esperando sacar provecho. Las seis principales amenazas a los terminales móviles son las siguientes: Fuga de datos: la fuga involuntaria de datos en los móviles generalmente se debe (1) a la instalación de aplicaciones gratuitas que se encuentran en tiendas de aplicaciones oficiales y que funcionan según lo anunciado, pero que también envían datos personales, y potencialmente corporativos, a un servidor remoto,...

La nuevas certificaciones de seguridad para WiFi

Wi-Fi Alliance es una organización internacional sin ánimo de lucro que agrupa fabricantes de tecnología WiFi (estándar IEEE 802.11) y que certifica los productos que cumplen con sus especificaciones de interoperabilidad WiFi, seguridad y protocolos específicos de aplicaciones. Este año Wi-Fi Alliance ha presentado la mayor actualización de seguridad WiFi de los últimos 14 años, la certificación WPA3 (WiFi Protected Access 3) que pretende superar algunas de las vulnerabilidades que se han detectado en la certificación actual WPA2. Por ejemplo, el famoso ataque KRACK (Key Reinstallation Attack) que permitía que un atacante accediera al contenido de una comunicación cifrada pudiendo incluso inyectar tráfico malicioso. Al igual que WPA2, WPA3 ofrece dos tipos de configuraciones, el modo WPA3-Personal para usuarios domésticos, y el WPA3-Enterprise para entornos empresariales. Los cambios en WPA3-Personal son: – Un nuevo método de autenticación de dispositivos llamado SAE (Simultaneous Authentication of Equals) que reemplaza el PSK (Pre-Shared Key) y que es robusto frente a los ataques KRACK. Además permite que si un día un atacante logra descubrir la clave WiFi de un dispositivo, no pueda descifrar datos de antiguas conexiones, sino que solo podrá robar los datos generados después del robo. – Un proceso de autenticación que hace mucho más difíciles los ataques de romper contraseñas a través de ataques de fuerza bruta basados en diccionario. Para llevar a cabo estos ataques el atacante tiene que interactuar con la red para cada contraseña que quiera probar, y por lo tanto esto conlleva mucho tiempo. En el caso del WPA3-Enterprise, el cambio más importante es que se permitirá el cifrado de datos con claves de 192 bits,...

Massive MIMO: multiplexando en el espacio

Parece que la creciente demanda de conexión inalámbrica de alta velocidad que se ha experimentado en los últimos años -aunque quizás ya es más oportuno hablar de la última década- no disminuirá en el futuro. Todas las predicciones realizadas por organismos y empresas especializadas apuntan a un continuo crecimiento, principalmente debido a las nuevas necesidades tanto de los clientes particulares de conexión móvil como de la industria. Ante esta situación la pregunta es obvia: ¿está preparada la comunidad científica para garantizar las velocidades de transmisión y la capacidad que demanda la sociedad? La respuesta a dicha pregunta es sencilla: en estos momentos las redes instaladas a lo largo y ancho del mundo no son capaces de garantizarlo. A pesar de ello, no cabe desesperar, ya que las últimas releases de 3GPP[1] incorporan algunos de los últimos avances tecnológicos que, previsiblemente, serán capaces de conseguirlo. La industria fundamenta el incremento de la capacidad de las futuras redes de comunicaciones móviles en tres pilares fundamentales: La densificación de la red. Es decir, el despliegue de muchos más nodos –muchos de ellos con bajas potencias de transmisión, conocidos como small cells– para disminuir la distancia entre terminal móvil y estación base. El incremento del espectro para sistemas de comunicaciones móviles. Actualmente la industria ve como una gran oportunidad las llamadas frecuencias milimétricas. Estas frecuencias –por encima de los 6GHz- permitirían anchos de banda mucho mayores que los actuales –previsiblemente alrededor de los 500 MHz. La multiplexación espacial. En otras palabras, la provisión de servicio a distintos terminales simultáneamente en el tiempo y con los mismos recursos radio –es decir, frecuencias- mediante la...

Crear una nube en tu casa

El concepto de Nube o Cloud Computing ha tenido un éxito tremendo: ha pasado de ser un término de marketing para vender servicios de computación remota a estar en boca de todos nuestros conocidos -incluso los más legos tecnológicamente- que no tienen ningún reparo en usar la Nube para hacer sus copias de seguridad, guardar sus datos personales o utilizar la multitud de servicios que nos puede proporcionar. Usada correctamente, la Nube permite a los usuarios utilizar aplicaciones (redes sociales, inteligencia artificial, aplicaciones en alta disponibilidad o almacenamiento masivo de datos) que no podríamos ejecutar nunca en nuestra infraestructura doméstica por falta de recursos, ya sea informáticos o humanos. Pero, aplicada sin criterio, la Nube limita nuestra libertad y pone en peligro nuestros datos: puede ocurrir que un servicio que fuese gratuito pase a ser de pago, que nuestros datos sean revelados o utilizados, o que un servicio sea eliminado por no ser ya rentable para el proveedor. Es especialmente sangrante la moda de ejecutar arbitrariamente servicios en la Nube que podrían ser ejecutados localmente sin problema. En este caso, la Nube no aporta ninguna ventaja, solo inconvenientes como: lentitud de respuesta, dependencia del proveedor, dependencia de la conexión a Internet y pérdida de privacidad. En algunos casos, incluso, se ligan unos dispositivos físicos a un servicio en la Nube, que se proporciona bien de forma gratuita, bien mediante el pago de una cuota mensual. De esta manera, estos dispositivos quedarán siempre bajo el control del proveedor y aunque los hayamos pagado, no podremos usarlos cuándo y cómo queramos. Por esa razón, al proponer mi Trabajo de Fin de...

Reto “Barcelona Dades Obertes” 2018: introduciendo los datos abiertos en el ámbito educativo

(Trobareu la versió en català més avall) Los datos abiertos (open data en inglés) son un elemento clave dentro de la estrategia de las ciudades que persiguen un modelo de “ciudad inteligente” (smart city en inglés). Estas ciudades (o regiones) apuestan por poner a disposición del ciudadano conjuntos de datos relativos a la ciudad que pueden ser aprovechados y reutilizados sin ninguna restricción, empoderando de esta manera al ciudadano en la estrategia digital de la ciudad. Estos conjuntos de datos tienen que cumplir una serie de requisitos para considerarse “abiertos”. Según el creador del “world wide web” Tim Berners-Lee existen hasta cinco niveles de “apertura de los datos”, en el que se conoce como el modelo de cinco estrellas. Estos niveles van desde la publicación en Internet de los datos, a la contextualización de los datos mediante enlaces, pasando por la estructuración o el formato de los mismos. Sin ir más lejos, el Ayuntamiento de Barcelona dispone de un amplio catálogo de datos abiertos, como ya vimos en este mismo blog. El Portal Open Data BCN recoge a día de hoy más de 466 conjuntos de datos y es pieza capital en la estrategia “Barcelona Ciutat Digital”. El Portal se ha integrado recientemente en la Oficina Municipal de Datos, los objetivos de la cual se organizan en tres líneas de trabajo: la captación y almacenamiento, la analítica, machine learning y las predicciones y, por último, la difusión y comunicación a partir de los datos abiertos. Entre las iniciativas de la Oficina Municipal de Datos para dar a conocer los datos abiertos de la ciudad, y fomentar su uso entre la ciudadanía, se...