TikTok es una de las apps más populares del momento. También es una de las más polémicas. La razón está en las afirmaciones por parte de entidades de seguridad como el FBI, que han denunciado que la red social es un método de espionaje y robo de información. Una idea que parece ser compartida por Steve Huffman, presidente y co-fundador de Reddit, el foro más grande en la Internet.

Las declaraciones de Huffman se dieron durante un panel, en el que él discutió algunas de las innovaciones más recientes de la app, asegurando que las compañías de tecnología tenían muchas lecciones que aprender de TikTok, pero precisamente sobre aquello que evitar:

“Quizás me arrepienta de (decir) esto, pero ni siquiera puedo llegar a ese nivel de pensamiento con ellos”, dijo Huffman. “Debido a que considero esa aplicación tan fundamentalmente parasitaria, que siempre está escuchando, la tecnología de huellas digitales que usan es realmente aterradora, y no pude instalar una aplicación como esa en mi teléfono”, afirmó, para más tarde agregar “Le digo activamente a la gente que no instale ese spyware en su teléfono”.

Te puede interesar: TikTok está desarrollando su propia función de deepfake 

La app, sin duda, ha tenido un crecimiento importante. Y, aunque muchos pueden acusar estas críticas a la guerra comercial entre EE.UU y China, lo cierto es que son diversas las empresas de seguridad que han alertado sobre la cantidad de información que la aplicación de videos cortos puede obtener de un usuario. Un llamado de atención que ha llevado a que incluso el Departamento de seguridad de los Estados Unidos y el ejército de este país prohibieran a sus soldados el instalar o usar la red social.

Lo cierto es que la app en China no es la única que ha sido (y debe ser) criticada por la información que obtiene de sus usuarios. Facebook es una red social mucho más grande y ha sido objetivo de observaciones similares por parte de sus críticos, que han apuntado a la manera en la que obtiene información. En el caso de TikTok la paranoia está en que los secretos de los usuarios caigan en manos del gobierno de China, mientras que en el de Facebook el temor está en cuál será el próximo postor al que la red de Mark Zuckerberg ofrecerá tu información.

Imágenes: montaje ENTER.CO

Los delincuentes saben que este es el mecanismo más efectivo para controlar la vida online de las personas. Además, a través del correo también se puede acceder a otras cuentas privadas de las víctimas, como redes sociales, accesos bancarios, plataformas de compra y otros servicios en línea.

El panorama de los robos de correos electrónicos es preocupante. Según datos de Google (que nos brindó Mi.com.co), cada semana son robadas 250.000 cuentas de correo. De esta cifra, 235.000 son ‘hackeadas’, es decir, que sus contraseñas son descifradas por terceros.

Las 15.000 restantes son obtenidas a través de un ‘keylogger’, que es un programa que registra las pulsaciones realizadas en un teclado, las memoriza y las envía a través de Internet. También se estima que más de 1.900 millones de cuentas de correos, con sus contraseñas, se encuentran a la venta en el mercado negro.

Secuestro de datos

¿Cómo se benefician los cibercriminales del robo de correos? Una de las tácticas más comunes de los delincuentes es extorsionar a las víctimas y cobrar dinero a cambio de recuperar su cuenta. Otro mecanismo es ofrecer las cuentas en el mercado negro (con sus claves) para que otras personas le saquen provecho a la información personal obtenida (contraseñas, accesos bancarios, entre otros).

Los correos electrónicos se suelen vender en el mercado negro por entre 50 centavos de dólar y 10 dólares por correo. Estos correos se suelen vender en paquetes que pueden contener hasta 1.000 cuentas robadas. Sin embargo, de acuerdo con un estudio de Symantec, el valor de las cuentas robadas ha caído en los últimos años. En 2007, los correos en el mercado negro costaban entre 4 y 30 dólares. Esto puede indicar que existe una gran oferta (muchas cuentas robadas disponibles).

Gerardo Aristizábal, gerente de Mi.com.co, explica que todos estamos en constante riesgo de ser víctimas de robo de correos. Entre otros motivos, esto se debe a que  “gran parte de la sociedad e incluso muchas empresas no protegen adecuadamente sus datos ya que gestionan toda su información a través de correos gratuitos que los exponen constantemente a ser víctimas de este tipo de delitos”.  

¿Cómo evitamos ser víctimas?

Mi.com.co, una empresa colombiana que ofrece plataformas de correo electrónico corporativo, nos ofrece algunas recomendaciones para evitar ser víctimas de robos de correo:

1. Utiliza contraseñas que tengan números, letras y símbolos.

2. Cambia tus contraseñas periódicamente.

3. No ingreses a tu cuenta de correo en lugares desconocidos o de poca confianza (café Internet o equipos ajenos).

4. Envía todas tus comunicaciones empresariales únicamente a través del correo corporativo.

5. Si debes registrarte en sitios web que no son de tu total confianza. Mejor usa otra cuenta de correo en la que tengas menos información importante guardada.

6. Evita responder los correos spam. El creador de este email utilizará la información para confirmar la validez de la cuenta.

7. No envíes cadenas de correo electrónico. Estas se utilizan para captar correos válidos que le facilitan la tarea al ciberdelincuente.

8. Procura no conectarte a redes Wi-Fi abiertas cuando estés usando un computador que no sea de tu confianza.

9. No compartas datos sensibles a través de correos electrónicos.

Imágenes: Mi.com.co y Pixabay.

Según TechCrunch, Uber no informó el incidente a los reguladores ni a los clientes afectados, sino que pagó 100.000 dólares a los atacante para deshacerse de los datos a fin de mantener el robo de datos en secreto.

Pero, ¿cómo sucedió? El informe dice que el ataque se dio porque los atacantes lograron obtener credenciales de inicio de sesión para una cuenta de Uber Amazon Web Services usando un sitio privado de GitHub, mantenido por ingenieros de Uber.

Por fortuna, parece que el hackeo no incluyó números de seguridad o información de ubicación del viaje. Por lo tanto, se cree que la información que se filtró no ha sido utilizada alguna para alguna acción desde entonces.

“Nada de esto debería haber sucedido, y no voy a poner excusas para eso. Si bien no puedo borrar el pasado, puedo comprometerme en nombre de cada empleado de Uber que aprenderemos de nuestros errores “, dijo en el blog de Uber Dara Khosrowshahi, el nuevo CEO de la compañía. “Estamos cambiando la forma en que hacemos negocios” añadió el ejecutivo.

Uber también informó que en el momento del incidente tomaron medidas inmediatas para proteger los datos de los usuarios. Así mismo, la empresa añadió que los individuos responsables fueron detenido y que se obtuvieron garantías de que los datos descargados habían sido destruidos. Pese a todo esto, la plataforma decidió implementar medidas de seguridad para restringir el acceso y fortalecer los controles en la cuentas de almacenamiento en la nube.

Errores que no se perdonan facilmente

Sin embargo, las consecuencias de esta divulgación de datos podrían ser muy grandes para Uber. Un nuevo artículo de TechCrunch señala que el organismo de control de protección de datos del Reino Unido emitió un comunicado diciendo que el anuncio de la empresa “plantea enormes preocupaciones en torno a su política de protección de datos y ética.” También advirtió que las violaciones deliberadamente ocultas de reguladores y ciudadanos “podrían atraer multas más altas”.

Por último, este no parece ser el mejor momento para Uber puesto que adicional al hackeo, se enfrenta a una serie de investigaciones federales relacionadas con diversos aspectos de sus operaciones comerciales.

Imagen: Pixabay

Limita los accesos

Es importante que los responsables realicen un riguroso control de ingreso para que sepan quiénes, cuándo y desde dónde han ingresado. Esto impedirá que cualquier tercero pueda ingresar sin haber sido registrado previamente. También es importante que se limiten los tipos de procesos que estén autorizados con las bases de datos. Si existen procedimientos autorizados pero que ya no se realizan, también es aconsejable deshabilitarlos para que no haya ataques por allí. Además, siempre que sea posible, la base de datos debe estar en un servidor que no tenga acceso directamente desde Internet, para evitar que la información quede expuesta a atacantes remotos.

Datos sensibles y críticos

Luego de limitar los accesos hay que definir qué información de esas bases de datos son sensibles y críticos. Para esto, es importante entender la lógica y arquitectura de la base de datos. No todos los datos que almacenamos son críticos o deben ser protegidos, por lo que no tiene sentido gastar tiempo y recursos en esta información. Recuerda tener un inventario de lo que tienes en tu base de datos para que no se quede ningún dato sensible o crítico por fuera al momento de hacer una copia de respaldo.

Cifrado de información

Utiliza algoritmos robustos en esos datos sensibles y críticos para cifrar la información. Cuando un atacante usa una vulnerabilidad y logra tener acceso a un servidor o un sistema, lo primero que intentará robar son las bases de datos. Las mismas tienen un gran valor, ya que normalmente incluyen muchos gigas de información, y la mejor manera de preservarla es volverla ilegible.

Anominizar las bases de datos no productivas

Muchas empresas invierten tiempo y recursos en proteger sus bases de datos productivas, pero al momento de hacer un desarrollo o crear un entorno de pruebas, simplemente hacen una copia de la base original y comienzan a utilizarla en ambientes mucho menos controlados, exponiendo de esta manera toda la información sensible.

La anonimización es un proceso mediante el cual se crea una versión similar, manteniendo la misma estructura que la original, pero alterando los datos sensibles para que permanezcan protegidos. A partir de esta técnica se cambian los valores respetando el formato.

Los datos se pueden cambiar de diferentes maneras: mezclándolos entre sí, cifrándolos, mezclando los caracteres o sustituyendo palabras. El método elegido dependerá del administrador, las reglas y formatos que se deban mantener, pero sea cual sea, debe garantizar que el proceso sea irreversible. Es decir, que no se pueda hacer ingeniería reversa para volver a obtener los datos originales.

Monitoreo constante

Estar atento, controlar y registrar los usuarios y sus movimientos sobre los datos te permitirá saber quién, qué, cuándo y cómo han manipulado la información. Puedes construir historial de las transacciones para comprender patrones en el acceso y modificación de los datos, evitando así las fugas de información, controlar cambios fraudulentos y detectar acciones sospechosas en tiempo real.

Imagen: iStock.

RELEASE: 19,252 emails from the US Democratic National Committee https://t.co/kpFxYDoNyX#Hillary2016#FeelTheBernpic.twitter.com/Pft8wnOujl

— WikiLeaks (@wikileaks) 22 de julio de 2016

Aunque hasta ahora la gente en internet está examinando los mensajes de correo en su totalidad, ya han aparecido algunos que han despertado polémica. En uno de ellos, encontrado por The Intercept, el jefe financiero del partido, Brad Marshall, le sugiere a otros altos rangos demócratas “conseguir que alguien le pregunte por lo que cree“, pues “aunque ha dicho que es judío“, Marshall cree que en realidad es ateo.

Aunque en el correo no es claro de quién se habla, el medio ha interpretado que se trata de Bernie Sanders, el otro precandidato demócrata. Como anota el sitio, falta explicar por qué los funcionarios del partido, que no deberían tener preferencias en las elecciones primarias, estarían haciendo esta clase de trabajo a favor de Clinton.

Otra polémica tiene que ver con la publicación de datos privados de cientos de pequeños donantes, como las direcciones de sus casas, los números de sus tarjetas de crédito o sus números de seguridad social. Esos datos están en algunos de los mensajes en los que se registran donaciones de particulares al partido, incluso por montos tan bajos como cinco dólares.

Como señala Gizmodo, Wikileaks tiene una política de no editar los contenidos que le son filtrados, y en cambio publicarlos completos, sin eliminar esa clase de información. Siempre se ha debatido si recortar u omitir datos de estos materiales es una buena práctica o no, pues aunque se evita causarles daño a personas cuya información personal es revelada –y que, a menudo, son ajenas al conflicto que se quiere exponer–, se abre la puerta a la introducción de sesgos a la hora de presentar los datos.

Ni la candidata ni el partido Demócrata se han pronunciado hasta el momento.

Imagen: Wikileaks

Un autodenominado hacker que se identifica como ‘Guccifer 2.0’ aseguró este viernes que es el único responsable por el robo y posterior filtración de información de las redes del Comité Nacional Demócrata, en la que fueron sustraídos varios documentos de la campaña de Hillary Clinton a la presidencia de Estados Unidos.

El supuesto intruso publicó algunos de esos documentos en un blog. El más llamativo es un ‘estudio de oposición’ sobre Donald Trump, el virtual candidato republicano, en el que se exploran sus posibles debilidades de cara a la carrera presidencial. También aparecen supuestas listas de donantes a la campaña demócrata, aunque ‘Guccifer 2.0’ asegura que “esta es solo una pequeña parte de todos los documentos” que descargó de las redes del partido.

En la publicación se dice, además, que el filtrador le entregó la mayoría de ellos a Wikileaks, que –según afirma– los publicará pronto. La organización tuiteó el enlace del blog donde están los documentos, pero no ha confirmado ni desmentido que los tenga en su poder.

Esta versión contrasta fuertemente con la que le entregó el Partido Demócrata y la firma de seguridad Clowdstrike a The Washington Post, que hasta ahora era considerada como la oficial. Según ellos, el partido Demócrata sufrió al menos dos ataques independientes, pero realizados a órdenes del gobierno ruso. En uno de ellos monitoreaba el correo y los chats de los miembros del Comité, y en otro se habrían obtenido los documentos robados.

Según la firma de seguridad, los atacantes pudieron haber obtenido acceso a las redes del Comité por medio de ataques de ‘phishing’ a algunos de sus empleados.

Sin embargo, un portavoz del gobierno en Moscú negó que hubiera habido participación del Kremlin en estos ataques. German Klimenko, el principal asesor del presidente Vladimir Putin en temas de internet, dijo que la intrusión quizás ocurrió “porque alguien simplemente olvidó su contraseña, o puso algo tan simple como ‘123456’”, contó el Post.

En su publicación, ‘Guccifer 2.0’ –cuyo nombre, dice PC World, es un homenaje a ‘Guccifer’, otro ‘cracker’ que atacó a varios políticos estadounidenses y fue extraditado a ese país– fustigó a Clowdstrike: “ojalá sus clientes se piensen dos veces qué tan competente es esta compañía”.

Si no fue un trabajo de espionaje, ¿cuáles fueron sus motivos, entonces? “¡Que se jodan los Illuminati y sus conspiraciones!”, remata su post.

Imagen: captura de pantalla. 

Todas las filtraciones de información son actos ilegales. Por eso, cuando un medio de comunicación decide usar datos obtenidos de esa manera para producir contenidos, siempre está tomando posición en un viejo dilema: ¿es válido publicar en un medio de comunicación información obtenida ilegalmente?

Creo que esa pregunta casi nunca importa. La pregunta que realmente importa es: ¿la información es relevante o no? Por supuesto que hay matices –nadie quiere usar un dato que se haya obtenido matando, torturando o secuestrando a alguien–, pero en el caso de los robos de datos informáticos el dilema no suele ser tan angustiante.

De hecho, creo que es bueno que los medios publiquen información robada cuando esta es muy relevante. De otro modo, nunca nos hubiéramos enterado de la vigilancia masiva de las comunicaciones electrónicas que adelanta el Gobierno de Estados Unidos, por ejemplo.

Pero que eso sea cierto no implica que todos los datos robados sean igualmente relevantes. La información hurtada a Ashley Madison no lo es: la intimidad de las personas privadas no debe ser objeto de escrutinio público, al menos cuando esas personas no lo han autorizado.

El hecho de que una persona pertenezca a un cuerpo estatal, o que sea empleado público, o lo que sea, no justifica que sus conductas íntimas deban ser expuestas públicamente. Lo que nos importa de esas personas, la parte ‘pública’ de sus vidas, en ningún caso tiene que ver con quiénes son o eran sus parejas sentimentales, o cuáles son sus costumbres sexuales.

La intimidad de las personas privadas no debe ser objeto de escrutinio público

No se trata aquí de alabar o criticar las motivaciones morales del robo. Es discutible si el éxito de Ashley Madison era ‘bueno’ o no para la sociedad –habría que definir primero qué queremos decir por ‘bueno’–, o si quienes usaban el servicio deben o no ser sujetos de escrutinio y crítica. Evidentemente, quienes robaron los datos tenían una postura inflamada sobre estas cuestiones. Pero lo que no se puede permitir por nadie, sea tuitero curioso o medio de comunicación, es ser utilizado como un agente de la Inquisición para destruir la vida íntima de otra persona.

Es posible que en el ‘hack’ se haya conocido información interesante sobre las intimidades de un negocio que, en su momento, fue la ejecución de una idea polémica y novedosa. El sitio de citas es un ejemplo más de cómo la cultura digital se entrelaza en las relaciones humanas, y la de su funcionamiento seguro es una historia muy relevante.

Pero si para reportarla toca ahondar en esos datos y, así, participar de la Inquisición, prefiero abstenerme. No me gustan las quemas de brujas.

Imagen: teakwood (vía Flickr).

Un nuevo trabajo investigativo de The New York Times revela que el FBI habría usado hackers para realizar ciberataques contra sitios gubernamentales en el extranjero. Documentos de una corte federal de Nueva York habrían habrían revelado las operaciones, las cuales tenían como objetivo robar información para luego subirla a servidores del FBI.

La cara de los ciberataques es Hector Xavier Monsegur, un hacker que había sido parte de LulzSec y Anonymous para luego transformarse en un informante del FBI. Monsegur era conocido en Anonymus bajo el alias de ‘Sabu’ y había realizado ataques contra PayPal y MasterCard.

En 2012 el FBI lo tomó bajo custodia y, desde ese momento, habría empezado a ejecutar ciberataques para la agencia. Aunque los documentos no señalan específicamente que el FBI ordenaba las acciones, la información revelada puede ser muy iluminadora sobre los hilos que dirigían los ataques.

Monsegur habría coordinado a otros hackers para realizar los ciberataques. Entre ellos se encontraba Jeremy Hammond, quien en entrevista con The New York Times reveló que siempre se comunicaron a través de chats cifrados, en los cuales le señalaban cuales sitios en el extranjero debía hackear. Según Hammond, Monsegur “no se estaba ensuciando las manos”.

Según varias declaraciones de Hammond, los sitios gubernamentales que fueron hackeados incluyen países como Irán, Nigeria, Paquistán, Turquía y Brasil.

Entre los hackers que fueron coordinados por Monsegur estaría uno de origen brasileño, que habría sido el encargado de robar información de sitios del gobierno de su país. En el momento se desconocen detalles de la vida de Monsegur y se especula que aun esté trabajando para el FBI.

Imagen: Altemark (vía Flickr).

Flame, el malware más complejo que se haya descubierto, que está robando información a diestra y siniestra en los computadores de Irán, está empleando un algoritmo criptográfico. Una hazaña que le permitió, por medio de una supuesta actualización, hacer una falsificación de credenciales de Microsoft.

Los detalles de ese ataque de cifrado fueron publicados en un blog de Microsoft, el cual dejó al descubierto la sofisticación de Flame: “El malware utiliza un ataque de colisión criptográfica en combinación con los certificados de servidor de licencias, que hace firmar el código como si viniera directamente de Microsoft“, escribió Mike Reavey, director superior del Centro de Respuesta de Seguridad de Microsoft.

Por su parte, la firma de seguridad Kaspersky (que descubrió Flame) también presentó su diagnóstico del algoritmo. “Ahora podemos confirmar que esto es el propósito principal de dos módulos especiales de Flame, llamados ‘Gadget’ y ‘Munch’. Cuando una máquina intenta conectarse a Windows Update de Microsoft, Flame redirige la conexión a través de la máquina infectada y envía una actualización falsa“. La técnica de Flame permitió a los atacantes crear una certificación fraudulenta de Microsoft, que se utilizó para engañar a la gente en la instalación de varios módulos de software.

Lo que ellos hicieron fue aprovechar una vulnerabilidad de un algoritmo de cifrado viejo, logrando obtener que para dos documentos diferentes, se generara el mismo ‘hash’. Iván Vásquez, ingeniero de ENTER.CO explicó que “un hash es un identificador único que se genera para un documento específico. La idea es que si yo genero un hash de un documento de Word, y luego modifico ese documento y genero nuevamente el hash, este último debe ser diferente. Con un hash puedes verificar que un documento no ha sido modificado, pero si con dos documentos diferentes puedes obtener el mismo hash, se daña todo el sistema“.

Eso muestra que quien esté detrás del malware está usando una técnica que no es muy común por su dificultad, lo que es un síntoma de que los autores del malware tienen conocimientos y recursos  (de hecho se dice que probablemente es un Estado), porque se requiere de un alto poder de computación para lograr lo que han hecho.

Flame es mucho más sofisticado que Stuxnet, el malware desarrollado por Israel y Estados Unidos, que también atacó a computadores en Irán. Y de acuerdo con Kaspersky, esta ‘llama’ está específicamente interesada en robar información confidencial, archivos de Microsoft Office, PDF y softwares de diseño como AutoCad.

La firma rusa de seguridad Kaspersky le dijo a la BBC que un malware conocido como ‘Flame’ ha estado operando al menos desde agosto de 2010 y haciendo estragos en países de Asia y África, pero lo más grave es que dicho ataque pudo haber sido patrocinado por algún estado, aunque no pueden estar seguros de su origen exacto.

Más de 600 objetivos específicos fueron afectados, y las víctimas van desde individuos, empresas e instituciones académicas hasta los sistemas de gobiernos como Irán, Israel, Sudán, Siria, Líbano, Arabia Saudita y Egipto.

El equipo nacional de respuesta a emergencias informáticas de Irán publicó un comunicado diciendo que ‘Flame’ fue responsable de una pérdida de información masiva en el país.  Y no es la primera vez que la República Islámica sufre ataques por malware: Stuxnet intentó dañar la infraestructura nuclear de ese país y Duqu intentó infiltrarse en las redes con el fin de robar datos.Pero esta nueva amenaza pretende recoger grandes cantidades de información, según dijo el jefe de malware de Kaspersky, Vitaly Kamluk.

¿Quién está detrás del ataque? Hay tres agentes que desarrollan malware y spyware: hacktivistas, ciberdelincuentes y estados nacionales. Como explica Kamluk, ‘Flame’ no fue diseñado para robar dinero de cuentas bancarias  y es diferente de las herramientas de hackeo utilizadas por los hacktivistas. “Al excluir a los ciberdelincuentes y los hacktivistas -continúa Kamluk-, llegamos a la conclusión de que es muy probable que pertenezca al tercer grupo.” Además, “la geografía de los objetivos y también la complejidad de la amenaza no deja ninguna duda acerca de que sea un estado-nación el que patrocinó el malware“, añadió.

¿Qué hace ‘Flame’?

Kaspersky describe a ‘Flame’ como uno de las más complejas amenazas que se hayan descubierto. Según Wired, ‘Flame’ pesa 20 megabytes cuando todos sus módulos están instalados, contiene múltiples bibliotecas, bases de datos SQLite3, varios niveles de cifrado -algunos fuertes, otros débiles- y 20 plug-ins que se pueden conectar y desconectar para proporcionar funcionalidades. Incluso contiene un código que está escrito en el lenguaje de programación LUA -una elección poco común entre los malware.

Una vez el sistema es infectado, ‘Flame’ comienza una serie de operaciones, como rastrear el tráfico de la red. Además, realiza capturas de pantalla, pero no se trata de cualquier captura: el sistema tiene claro su objetivo y registra las actividades ‘interesantes’, como el correo electrónico o mensajería instantánea. Por otra parte, también graba conversaciones de audio, incluyendo Skype e intercepta el teclado, dijo Kamluk.