Vulnerabilidades en Aplicaciones más populares de Apps

Peligro y Vulnerabilidades en tener en su móvil/celular aplicaciones populares como WhatsApp, Facebook, Twitter, Line y otras.

Un informe identifica los principales riesgos fue realizado por especialistas en seguridad informática del centro tecnológico Barcelona Digital alerta de los riesgos de descargarse algunas aplicaciones para móviles app en teléfonos corporativos que contienen información personal o de la empresa.

Este informe nos parece muy importante porque nos alerta de la importancia que  tiene el poner mucha atención a la seguridad de nuestro dispositivo móvil y las diferentes aplicaciones APPS que nos ofrecen de forma gratuita como por pago, en ellas existen muchas vulnerabilidades y por ello tenemos que cuidar de que aplicaciones instalamos en nuestro móvil.   

El informe publicado en ABC identifica los principales riesgos de las app en teléfonos inteligentes corporativos y muestra ejemplos de los potenciales riesgos de algunas de las aplicaciones más populares como Twitter, Facebook o WhatsApp. Los expertos ofrecen en su informe 10 reglas básicas para prevenir y mitigar los riesgos, como revisar qué permisos solicitan las app al instalarse o no compartir contraseñas ni información sensible a través de app.

Según ha informado Barcelona Digital, los smartphones se han convertido en la principal puerta de acceso al mundo digital gracias a las app, que permiten acceder desde el teléfono móvil inteligente a muchos servicios, la mayoría gratuitos y muy populares por su originalidad y utilidad. Según el informe «Los riesgos de las app en el entorno corporativo», es común que algunas app comercialicen información de un usuario obtenida de forma inadvertida a partir del dispositivo móvil donde se ha descargado.

Según los expertos, esta información posee un gran valor puesto que pone de manifiesto hábitos, gustos y preferencias que definen el perfil social del usuario. «Cuando esta apropiación indebida de información se realiza a través de un móvil corporativo se entra en la esfera profesional incluyendo contactos, mensajes, correos electrónicos, relaciones profesionales, proyectos, pensamientos, etc. que pueden comprometer la competitividad de la empresa propietaria del dispositivo», advierte el informe.

Entre los principales riesgos asociados a la descarga y uso de app en dispositivos móviles corporativos, el informe identifica la apropiación indebida de la información, el abuso o secuestro del dispositivo y el incumplimiento legal y normativo. Según Barcelona Digital, únicamente el 61% de las 150 aplicaciones más descargadas tienen una política de privacidad clara donde se especifican las condiciones de utilización de la información.

Además, las «app» que tienen una política de privacidad establecida presentan habitualmente contratos de licencia muy extensos que raramente nadie lee en su totalidad, pero que generalmente se aceptan, alerta el informe. «El usuario de las 'app' normalmente tiene una falsa sensación de protección frente a temas de seguridad y privacidad, pensando a menudo que estas condiciones de uso siguen los principios y recomendaciones de la legislación vigente y aplicable en estas cuestiones», advierte el informe.

Otro riesgo inherente a las app es el abuso del dispositivo sin que el usuario sea consciente de ello, como por ejemplo en caso de espionaje o de secuestro del terminal. Algunas apps, según los expertos, pueden ser creadas con motivaciones fraudulentas, y atacar directamente a los terminales para apoderarse de ellos.

Definición :

Aplicación móvil:

Una aplicación móvil, también llamada APP, es un software que se puede descargar e instalar en un teléfono celular o tablet de alguna de las tiendas (stores) que los fabricantes de dispositivos móviles han desarrollado, como son: Google Play, Apple Store, Blackberry App World y Windows Phone Store.

Hasta la próxima entrega amig@s

Elvin Mendoza, MTICS

Fuente:

http://www.abc.es/tecnologia/informatica-internet-telecomunicaciones.asp

http://en.wikipedia.org/wiki/Mobile_app

http://www.platcom.net/desarrollo-de-aplicacionesmoviles-apps.html

http://www.seguridad.unam.mx/noticia/?noti=1211

Preguntas y Respuestas para su seguridad en la PC

???

En esta publicación buscamos varias definiciones de las amenazas con más probabilidades de que le afecten su computadora y a la vez conozca cómo se propagan y les pueda servir de conocimiento y de ayuda. Esto lo he realizado porque hay muchas personas que necesitan este tipo de información para

¿Qué es Malware?

Malware, palabra que se deriva del término software - es un término que se refiere a cualquier programa informático creado para realizar acciones ilegítimas y a menudo perjudiciales. Algunos ejemplos de malware o programas maliciosos son los virus, las puertas traseras (backdoors), los capturadores de teclas (keyloggers), los ladrones de contraseñas (password stealers) y otros programas troyanos, virus para secuencias de comandos (scripts) (batch, wndows shell, java, etc.),  programas espía (spyware) y programas publicitarios (adware).

¿Qué es Phishing?

El phishing es un tipo muy específico de ciberdelincuencia diseñado para engañar al usuario, haciéndole revelar información financiera confidencial. Los ciberdelincuentes crean un sitio web fraudulento que se parece casi completamente al sitio web de un banco x legítimo, o al de cualquier otro sitio web en el que se realicen transacciones en línea.

¿Qué es Keylogger?

Son aplicaciones programadas que registran las teclas que el usuario pulsa y los hackers las usan para hacerse de información confidencial (nombres de usuario, contraseñas, números de tarjetas de crédito, PINs, etc.).

¿Qué es Spyware?

Como su nombre lo indica, programa espía, es un programa diseñado para recopilar información del cliente/usuario y enviarla a un tercero sin que el usuario lo autorice o se entere. Estos programas pueden controlar las teclas que el usuario acciona ("keyloggers"), recopilar información confidencial (contraseñas, números de tarjetas de

¿Qué es un Troyano?

Este término troyano proviene de caballo de Troya (caballo de de madera) usado por los griegos para infiltrarse en la ciudad de Troya y destrozarla. La definición clásica de un troyano es un programa que aparece como un programa legítimo pero al ejecutarlo ocasiona daños.

Los troyanos suelen instalarse en secreto y lanzan su carga maliciosa sin que el usuario se entere de ello. Gran parte de los modernos programas delictivos (crimeware) la componen distintos tipos de troyanos que son específicamente diseñados con propósitos netamente maliciosos. Los más comunes son los troyanos backdoor (a menudo incluyen un keylogger), los troyanos espía.

¿Cuál es la diferencia entre un Virus y un Gusano?

Un virus es un programa que se replica, es decir, que se propaga de un archivo a otro en el sistema del equipo, y de un ordenador a otro. Además, puede estar programado para borrar o dañar información.

Los gusanos se consideran como un subgrupo de los virus, pero con ciertas diferencias clave. Un gusano es un programa informático que se replica, pero no infecta otros archivos. En lugar de ello, se instala en un equipo y luego busca cómo propagarse a otros equipos.

¿Qué es una descarga "Drive-By Download”?

Drive-by Es una descarga que el equipo del usuario se infecta con solo visitar un sitio web que contenga un código malicioso. Los ciberdelincuentes buscan en Internet servidores vulnerables que puedan capturar. En estos servidores, los ciberdelincuentes inyectan su código malicioso (a menudo en forma de script malicioso) en las páginas web.

¿Qué es Rootkit?

Es una colección de programas que un hacker usa para evitar su detección mientras intenta acceder de forma ilegítima a un equipo. Aunque el término se originó en el ambiente Unix, se suele aplicar a las técnicas que los autores de troyanos para Windows® usan para ocultar sus actividades ilegítimas. Se ha incrementado el uso de los rootkits para ocultar las actividades de los troyanos. Cuando se instalan en el sistema, los rootkits no sólo son invisibles ante los usuarios, sino que también están diseñados para evitar la detección de las soluciones de seguridad.  En las direcciones de correos electrónicos pueden rastrear los hábitos de navegación en Internet del usuario. Además, el spyware inevitablemente afecta el rendimiento del equipo infectado.

¿Qué es Botnet?

El término se usa para designar una red de ordenadores controlados por ciberdelincuentes mediante troyanos u otros programas maliciosos.

Hasta la próxima publicación amig@s 

Cordial saludo,

Elvin Mendoza T., M.A.

Cómo protegerse del "Pretexting

Cómo protegerse del "Pretexting, puede colapsar tus finanzas

Voy a iniciar esta publicación definiendo el Pretexting y la Ingeniería Social, para que entiendan mejor de que se trata esta entrega.

"Pretexting, en español (Pretextos)" es una elaborada y preparada mentira inventada para hacer que una persona renuncie a su valiosa información financiera y Datos personales). Wikipedia define como: "el acto de la creación y utilización de un escenario inventado (el pretexto) para acoplarse a una víctima específica de manera que aumenta la posibilidad de que la víctima divulgar información o realizar acciones que serían poco probables en circunstancias normales".

La ingeniería social, en el contexto de seguridad de la información, se entiende el arte de la manipulación de la gente a realizar acciones o divulgar información confidencial. Se trata de un tipo de estafa a los efectos de la recopilación de información, fraude, o la obtención de acceder a sistema informático. Se diferencia de los tradicionales en que muchas veces el ataque es un mero paso en un esquema de fraude más complejo.

Son muchas las noticias publicadas en la Internet, que hablan sobre la utilización del "pretexting" para investigar a ciudadanos.

Desde hace largo tiempo que en muchos países, investigadores privados y otros, han usado esta táctica para obtener la información y expedientes personales de las personas investigadas.

"Pretexting", consiste en llamar a una compañía de teléfonos simulando ser un cliente para obtener información del mismo, sin contar con el permiso de la persona en sí.

Se trata de una forma de "ingeniería social", bien conocida en el ámbito de los piratas informáticos, e implica el uso de estrategias para obtener datos y documentos personales.

La variabilidad de trucos va desde lo creativo a lo simple, Contra estas iniciativas, parece que es poco lo que el consumidor ordinario, el director de una industria de alta tecnología, o el periodista especializado puede hacer. Pero hay algunas opciones o alternativas.

Comprar un teléfono tarjetero. Las empresas no guardan un expediente con detalles de las llamadas. Esta solución no es conveniente o deseable para todo el mundo, pero si a usted le preocupa que sus expedientes telefónicos sean obtenidos fraudulentamente por terceros, o requeridos por autoridades, las ofertas prepagas de un servicio telefónico es la mejor opción en cuanto a privacidad.

Los teléfonos prepagos vienen generalmente con una determinada cantidad de minutos disponibles para utilizar al comienzo. Este saldo puede ser aumentado comprando las tarjetas prepagas para el teléfono por el valor que usted necesite.

Naturalmente, su número de teléfono prepago aparecerá en los expedientes telefónicos de las personas que le llamen, y en los de aquellos a quien usted llame. Pero los servicios prepagos no requieren que proporcione su nombre.

Es más seguro pagar su teléfono y tarjetas prepago con efectivo, y agregar solamente los minutos a través de la interfase incorporada del propio teléfono -no utilice el sitio Web del proveedor del servicio, por que podrían rastrear su dirección IP.

No proporcionar datos de usted mismo. Un mínimo de información puede ayudar a los estafadores o scammers para conseguir mucho más; en el caso de Hewlett-Packard, los investigadores utilizaron los últimos cuatro dígitos de los números de las tarjetas de Seguridad Social de las victimas, para así identificarse a las compañías telefónicas que engañaron.

No proporcione información personal sobre el teléfono, en un correo electrónico o personalmente, a menos que usted hubiera iniciado el contacto. Incluso en ese caso, sea cauteloso sobre proveer más información de la necesaria.

Elegir sus propias contraseñas. Las compañías generalmente usan los números de documentos de identidad y fechas de nacimiento como autentificación, a pesar de que esos datos no son muy privados. No deje que lo hagan e insista a las compañías proveedoras del teléfono que utilicen una contraseña indicada por usted o una única identificación en lugar de números relacionados con sus datos personales. Y utilice distintas contraseñas para diferentes cuentas.

Romper los documentos. Destruya los documentos que contengan información personal antes de desecharlos, y no deje tales documentos en donde otras personas puedan verlos.

Mantener los datos fundamentales y confidenciales fuera de línea, es decir offline. No publique ningún datos personal u otra información personal identificable sobre usted o su familia en su página personal, correo, red social, blog y programas de mensajes de texto, y un largo etc.

Cordial saludo, y hasta la próxima entrega amig@s...

Elvin Mendoza

Fuentes:

Definiciones disponibles en: http://en.wikipedia.org/wiki/Social_engineering_(security)

Contenido explicatio disponible en: S21sec, http://www.s21sec.com/es/sobre-s21sec/news-a-events/noticias

Pretexting disponible en: http://www.wired.com/news/technology/1,71769-0.html

Datos en la Red de Redes sin privacidad, EEUU sobre la mira.

Hasta borrar los datos o enviar mensajes que se autodestruyen eran comportamientos relativamente poco comunes y hasta un poco peligrosos para el usuario comunes de la Internet. No obstante, la revelación de la existencia del programa PRISM en EEUU para monitorizar Internet ha impulsado dichas prácticas.

Las herramientas para esconderse detrás del anonimato, como por ejemplo los programas de cifrado, han existido durante años, aunque a menudo están asociados con los 'hackers' y delincuentes.

Además, "muchas personas no son conscientes que estas herramientas existen, y muchas de ellas son sólo utilizables por 'geeks'", añade Sascha Meinrath, líder de la New America Foundation, que ayuda a mantener la seguridad y la privacidad de las comunicaciones en los países totalitarios.

Irónicamente, algunas de las herramientas para asegurar el anonimato en Internet surgen, precisamente, de programas financiados por el Gobierno de EEUU para ayudar a la gente en estos regímenes autoritarios.

"La tecnología utilizada en Teherán y Phnom Penh se usa también en Nueva York y Washington", apunta Meinrath.

Uno de los más conocidos para ocultar las huellas 'online' es TOR (The Onion Router). Desarrollado por los militares de EEUU, ahora está dirigido por una organización sin fines de lucro, TOR Project, y cuenta con 500.000 usuarios en todo el mundo, el 15% en los propios Estados Unidos.

La aplicación Wickr permite destruir los datos que se envían a dispositivos móviles. "Todos nuestros mensajes se autodestruyen. Todo el mundo quiere que sus mensajes se autodestruyan de Misión Imposible", bromea su fundador Nico Sell, quien además reconoce "un aumento significativo de las descargas en la última semana".

El motor de búsqueda DuckDuckGo, que no guarda las direcciones IP de sus miembros, también ha experimentado últimamente un crecimiento récord. Desde que se publicó la existencia de PRISM, al constatar la participación de pesos pesados como Google, "la gente está buscando alternativas", declara su fundador Gabriel Weinberg.

Curiosamente, Casey Oppenheim, cofundador de otro programa diseñado para ocultar las identidades en línea llamado Disconnect.me, informa de lo contrario: su servicio no ha experimentado un crecimiento de uso. Para él, "la mayoría de las personas no entiende la magnitud" de las huellas que dejan en Internet.

Las empresas no pueden cifrar de forma absoluta sus datos ya que deben estar disponibles en caso de solicitud por parte de la Justicia. Además, afirma que el uso de una clave de cifrado para el intercambio de correo electrónico parece demasiado complicado para muchas personas.

¿Podemos fiarnos de las grandes empresas que operan en Internet? Como Google, Facebook, Instagram, Twitter, Youtube y todos los Servicios de correos electrónicos gratuitos y un largo etc. La petición de datos por la NSA este tipo de empresas amenaza su reputación. Desde hace días, muchos usuarios están expresando y compartiendo críticas irónicas sobre la privacidad de nuestros datos. ¿Con quién quieres compartir esto o aquello en la red de redes? Hay una cosa seguro de que los datos e informaciones que compartimos y tenemos en la red tiene un alto porcentaje de no ser borrada nunca más y permanecer en la red hasta después de nuestra vida y mas allá.

Ciudadano despierta que la información desde que está en la red ya no nos pertenece, así que lo que no quieres que se sepa no lo envíes por la red, ni lo publiques, no lo comparta en las redes sociales… cuídate!!! Estamos en la mira definitivamente.

Cordial saludo para tod@s, y hasta la próxima entrega...

Elvin J. Mendoza. M.A.

Algunas ideas tomadas y disponibles en la publicación del periodico

 el elmundo.es

El delito del Spear Phishing

El Spear Phishing

Es muy parecido al phishing, la diferencia consiste en el envío de mensajes específicos y personalizados a un grupo de personas previamente elegidos. Esta es la pequeña diferencia respecto al phishing tradicional por correo eléctronico, que consistía en el envío de un mismo correo electrónico de forma masiva y al azar a miles o millones de usuarios.

El medio para distribuirlo más utilizado es el mismo en los dos casos, el correo electrónico. Se envía un correo con la intención de ser  legítimo con una invitación para abrir un archivo adjunto que contiene un malware, un enlace que dirige a una página para la descarga de un programa maligno, es decir malicioso o un enlace que dirige a un formulario con el objetivo de obtener datos personales y confidenciales.

Con el envío de mensajes específicos, para los que previamente se suele haber realizado una búsqueda de información del objetivo, a un grupo limitado de usuarios seleccionados expresamente y  generalmente de una misma empresa e incluso de un departamento en concreto, y con datos muy preciso, se persigue obtener habitualmente la siguiente información:

     -Información altamente confidencial propia de la Empresa, organización e institución.
     -Datos personales de los clientes, datos e información bancaria, entre otros. 
     -Información de otras organizaciones con las que trata la organización víctima.

El éxito de esta técnica de ingenieria social se basa en:

        
      -Es todavía un tipo de ataque desconocido por el público no especializado. 
      -Al ser un ataque con alto componente de ingeniería social es difícil de detectar por los    
        tradicionales      métodos antiphishing.
 

La solución a estos tipos de ataques no es sencilla, es complejo debido a su gran variabilidad en cuanto al contenido del mensaje, cuáles son las personas objetivo, qué vulnerabilidad se intenta explotar, y asi sucesivamente, por lo que disponiendo de las mejores tecnologías de seguridad implantadas, un ataque de Spear Phishing puede resultar satisfactorio y con exito.

La solución más exitosa para este delito y muchos otros con alto componente de ingeniería social, resultará de la prevención mediante campañas de formación y concienciación periódicas que permitan mantener informados a los empleados de la organización sobre los nuevos casos de Spear Phishing, las actualizaciones de seguridad, vulnerabilidades, malware, etc. forjando así una cultura de seguridad global para todas las organizaciónes e instituciónes tanto públicas y privadas. 

Hasta la proxima entrega amig@s.

Cordial saludo,  

Elvin J. Mendoza, M.A.

La Banca Online en el año 2013 en los Smartphone y la Web

Para el presente año la banca online así como los celulares, se proyecta que serán los más afectados en 2013, por incremento de los Smartphone en manos de los usuarios.

Según las diferentes evaluaciones por varias instituciones de seguridad digital, se han evaluado los principales amenazas o peligros que estarán presente durante el año 2013 y han llegado a la conclusión de que el mundo de la seguridad seguirá una evolución sin excesivos cambios pero si creciente en número e impacto. Es decir, no prevé ningún cambio radical en la tipología de los ataques y destaca por encima de todos el malware de la banca online, el fraude en telecomunicaciones y el código malicioso en los celulares.

Malware en la banca online

“Como no puede ser de otra manera, los ataques a las entidades bancarias y a las transacciones monetarias seguirán acaparando la mirada de los ciberdelincuentes. Citadel continuará siendo el rey indiscutible en el código malicioso. Asimismo, de forma secundaria se observará un uso creciente de Rammit y Carberp, e incluso es probable que haya algún uso residual del defenestrado SpyEye. Por otro lado, debido al abundante material disponible, quizás durante el año algún grupo aislado retome el desarrollo de ZeuS y publique una nueva variante, que sin llegar a hacer competencia a Citadel, logre cosechar cierto éxito. Como vías de infección se mantendrá el uso del drive by download (infección a través de descarga)”1.

La inserción de código malicioso en los sitios web legítimos, denominado web malware, acaba derivando en un problema de la logística de indisponibilidad, además de la reputación, tanto para los clientes/usuarios como para sus proveedores de hosting que acaban siendo identificados como sitios sospechosos y peligrosos por los buscadores de la Internet y antivirus.

Seguiremos informándoles sobre los temas a continuación en la próxima entrega:

• Evolución y amenaza.

• Datos de la afectación del web malware.

• Ejemplos de cómo funciona y como cuidarse.

• Soluciones a esta problemática.

Su amigo en la red: Elvin Mendoza, hasta la próxima entrega.

 

1 Disponible en http://www.s21sec.com

Seguridad en transacciones bancarias, las afectaciones del troyano llamado Citadel.

Queridos lectores la seguridad siempre ha sido una cuestión de suma importancia más aun si se trata de asuntos de transacciones bancarias atreves de internet, aquí les traigo la última información sobre lo que está pasando en esta ámbito y que está disponible en S21sec, aquí lo público para los seguidores de este blogger.

El mundo de la seguridad lleva tiempo viendo cómo el troyano Citadel se ha convertido en el referente del malware bancario. Tras varios días investigando el comportamiento del mismo, y debido a la cantidad de muestras que están llegando a nuestras manos, hemos detectado un cambio (generalizando, ya que siempre hay alguna excepción) en la manera en que los ciberdelincuentes actúan sobre nuestros clientes que disponen del servicio de remediación y que está dando sus frutos, y nos basamos en que la afectación a dichos clientes ha disminuido respecto al resto de entidades afectadas (más de 400) a lo largo del último mes.

Del total de muestras recogidas durante el último mes, un 19% afectaban a nuestros clientes. De todos los incidentes generados durante este tiempo, solamente un 2,7% permanecen activos en este momento. Del total de incidentes generados para todas las entidades afectadas hay activos en este momento más de un 10%. A este dato influyen la menor afectación y la mejora en los procesos de remediación.

Como dato curioso, en varias muestras se ha confirmado que los ciberdelincuentes eliminan la afectación a nuestros clientes manteniendo la afectación al resto de entidades, con el fin de poder mantener activas esas amenazas.

Espero que esta información sea de ayuda y orientación y hasta la proxima publicación.