la vida es bella

Read More

Cuidado con los correos engañosos (II)

¡Me ha tocado la lotería, y sin jugar! ¡Qué fácil es ganar dinero!

Ya habíamos comentado anteriormente que en el buzón de nuestro correo electrónico podemos recibir mensajes no deseados de publicidad (spam), correos que pretenden que descarguemos virus o que intentan cometer alguna estafa. Sin embargo, existen más tipos de correos que intentan engañarnos.
Vamos a ver algunos de los tipos de estafa más populares:
Carta nigeriana
En este tipo de correos, se notifica a la víctima que mediante una herencia (de alguien de quien nunca ha oído hablar), o algún otro motivo similar, ha resultado ganadora de una gran cantidad de dinero. Sin embargo, para poder acceder a él, debe abonar una cantidad «simbólica» en materia de tasas, impuestos... mucho menor que el premio a recibir, ¡vaya chollo!
El resultado, que el delincuente se queda con esa cantidad abonada, y la víctima no recibe ningún dinero.



La víctima recibe un correo en el que se le informa de que ha ganado un premio de lotería (¡a la que nunca ha jugado!) Tan sólo debe proporcionar una serie de datos para acceder al dinero, ¡vaya suerte!
Al final el premio no existe y la información personal que se ha proporcionado se podrá usar para fines fraudulentos.

Read More

¿Sabes cómo actuar ante una suplantación de identidad?

OSI publica una serie de recomendaciones sobre la suplantación de identidad y como gestionar este tipo de incidente en los servicios más utilizados por los usuarios.

Desde la generalización del acceso a la sociedad de la información han surgido en este ámbito muchos delitos específicos relacionados con las nuevas tecnologías.
Uno de estos delitos es la suplantación de identidad que se define como la "actividad maliciosa en la que un atacante se hace pasar por otra persona por distintos motivos" como para cometer un fraude, realizar ciberbullying o grooming, etc. Un caso típico de suplantación de identidad que se suele dar en las redes sociales es crear un perfil de otra persona e interactuar con otros usuarios haciéndose pasar por ella.
Por este motivo OSI publica una serie de recomendaciones y ayudas para la gestión y denuncia de este tipo de actividades de forma que se pueda facilitar al usuario consultar de forma centralizada la información.
Los servicios que se incluyen en este contenido son:
Correo

• Gmail
• Hotmail

Redes sociales

• Facebook
• Twitter
• Tuenti
• Linkedin

Read More

El robo de identidad y sus consecuencias

El robo de identidad se produce cuando un atacante obtiene información personal de una persona física o jurídica y la utiliza ilegalmente, por ejemplo, para realizar algún fraude o delito.

La identidad de una persona está formada por sus datos personales como el nombre, teléfono, domicilio, fotografías, número de la seguridad social, números de cuentas bancarias... En definitiva, cualquier dato que permita identificar a esa persona.
Daños producidos
Con la información obtenida se pueden realizar numerosas actividades fraudulentas, por ejemplo:

• Pérdida económica: Si se han obtenido los datos de la cuenta bancaria, los ladrones pueden sustraer cantidades económicas de la cuenta o realizar compras y cargar la cantidad en la cuenta de la víctima.
• Suplantar la identidad de la víctima: Bien sea creando una cuenta nueva, o modificando la contraseña de acceso del usuario a alguna de sus cuentas, para que la víctima no pueda tener control sobre ella y únicamente pueda acceder el atacante. De esta forma se pretende realizar lo que comúnmente se denomina ciberacoso o ciberbullying, la finalidad es generar diferentes tipos de contenidos en nombre de la víctima, con la intención de que el resto de usuarios de ese servicio -correo electrónico, red social, blog...- se formen una idea negativa de la víctima, aunque también hay casos de ciberacoso en que se chantajea al usuario legítimo, si desea recuperar su cuenta.
  En este caso, aunque no haya una pérdida económica, la suplantación de identidad puede ocasionar problemas de credibilidad y afectar a su reputación.
  

Cómo obtienen los delincuentes estos datos
Los principales métodos empleados por los delincuentes para adquirir información personal de las víctimas utilizando Internet son:

• Crear un tipo de virus que se instale en el ordenador o móvil y que recopile información personal, sin que el usuario sepa que está ahí o conozca su verdadero fin.
• Ingeniería social: manipular al usuario para que proporcione sus datos aprovechando la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones (dar detalles financieros a un aparente funcionario de un banco, proporcionar una contraseña a un supuesto administrador del sistema...). La forma más común de ingeniería social es a través de correos electrónicos o sitios web falsos, que tengan la misma apariencia que la entidad que se pretende suplantar.
  El phishing es la técnica más popular, donde el atacante se hace pasar por una entidad real, generalmente un banco, con el objeto de obtener los datos del usuario en recursos contratados con esa empresa (cuenta bancaria, contraseña...)
  
  
  
  
  Cómo evitarlo
  Los delincuentes se aprovechan de la falta de información de algunos usuarios, y de la dificultad que entraña el ubicar el lugar físico exacto donde se llevan a cabo las operaciones fraudulentas.
  La mejor manera de evitar el robo de identidad es la prevención, sin embargo, si sospechas que has podido ser víctima de un robo de identidad, es importante que contactes con tu entidad financiera para solicitarles el bloqueo de las cuentas involucradas. También debes cambiar las contraseñas o bloquear las cuentas que pudieran estar comprometidas, y sobre todo, denunciar el caso ante la autoridad competente. Te explicamos cómo hacerlo en Actúa ante el fraude.
  A continuación presentamos algunas pautas para protegerse contra el robo de identidad:
  
• Revisa el informe bancario: Obtén una copia de tu informe de crédito cada cierto tiempo y verifica aquellos elementos que te parezcan extraños, por ejemplo, compras, traspasos o reintegros que no recuerdas haber realizado.
• Usa contraseñas robustas: Utiliza contraseñas que no guarden relación obvia con tu usuario, por ejemplo: no utilizar fechas de cumpleaños, números telefónicos, nombres de familiares, etc. También es importante que utilices una contraseña diferente para cada cuenta, de esta forma, si te roban la contraseña de acceso a alguna de tus cuentas, el resto seguirán seguras. Encuentra más información en cómo crear una contraseña segura.
• Es muy importante no proporcionar información personal a través de teléfono o Internet si no se tiene la certeza de que el representante de la compañía es quien dice ser. Por ejemplo, en Internet, si se quiere acceder a algún servicio, es mejor teclear la dirección en el navegador, que no seguir el enlace que aparezca en algún correo o alguna página Web.

Read More

10 consejos para tu teléfono inteligente

En nuestro teléfono guardamos muchos datos personales como fotos, números y direcciones de amigos… ¡Por lo que es muy importante minimizar los riesgos de que esos datos puedan acabar en manos ajenas!

Del mismo modo que nos preocupamos por la seguridad de nuestro ordenador instalando un antivirus o un cortafuegos… y mantenemos unas buenas prácticas de uso mientras navegamos por Internet, ahora que los smartphones o teléfonos inteligentes ofrecen funcionalidades parecidas a las de un ordenador, también debemos preocuparnos por mantener nuestra seguridad mientras los usamos.
Para ello te recomendamos que sigas los siguientes consejos:
Controla el acceso a tu dispositivo mediante un número PIN (Número de identificación personal). Además, puedes configurar el móvil para que se bloquee automáticamente cuando pase un cierto tiempo (por ejemplo 2 minutos), y que solicite una contraseña (distinta del PIN) para volver a activarse. Algunos dispositivos utilizan un patrón que debes marcar para desbloquear el terminal y acceder a su menú principal.

1. De esta forma, si se te olvida bloquearlo manualmente, puedes evitar llamadas o conexiones a Internet involuntarias, además, si lo dejas en algún sitio por descuido, impedirás que alguien pueda acceder a toda la información que guardas en él.
   
2. No abras correos electrónicos de remitentes que no conoces, ni descargues archivos de los que ignoras su procedencia. Podrían, en ambos casos, instalar algún tipo de virus en el dispositivo con malas intenciones.
3. Mantén actualizado el software de tu teléfono. Recuerda que para ello, siempre debes utilizar la página oficial de la marca de tu móvil. Esta medida debes aplicarla también para la descarga e instalación de aplicaciones. Los sistemas operativos más utilizados por los smartphones actualmente –por ejemplo Android e iPhone- tienen su propio «Market» (tienda virtual) desde donde podrás descargar las aplicaciones disponibles.
   
   
   
4. Cifra tus datos sensibles, así no estarán legibles para quien intente acceder a tu dispositivo. Además puedes utilizar herramientas gratuitas como Lookout, WhisperCore o Lost Phone que te ofrecen diferentes mecanismos para salvaguardar tu información privada.
5. Instala un antivirus para detectar posibles amenazas. Y antes de insertar tarjetas de memoria en el móvil, comprueba que están libres de virus y no van a infectarte.
6. Realiza copias de seguridad periódicamente, así tendrás tus datos disponibles por si al dispositivo le ocurriera algo: lo pierdes, se estropea…
7. Si no estás usando los servicios de Bluetooth, Wi-fi, infrarrojos… No los dejes encendidos, evita que alguien establezca una conexión contigo sin que te des cuenta. Desactiva también el GPS si no lo necesitas, no es conveniente ni seguro estar geolocalizado en todo momento.
   Configura tu dispositivo para que te solicite autorización cada vez que se establezca una conexión. ¡Y no te conectes a una red Wifi u otro dispositivo si no conoces la procedencia y no es de confianza!
   
8. No compartas con otros usuarios tu información personal (fotos comprometidas, vídeos, mensajes…) indiscriminadamente. Piensa antes de compartir dicha información ya que dejará de ser privada y el otro usuario podría usarla para hacerte daño.
9. Ten cuidado con los SMS fraudulentos que puedas recibir en tu móvil. Intentan que llames a determinados números de tarificación especial. Nunca contestes a dichos mensajes
10. Anota el número IMEI (Identidad Internacional del Equipo Móvil). Este identificador es único para cada móvil, y aunque lo cambien de tarjeta, sigue siendo el mismo. En caso de robo, notifícaselo a la operadora para que bloquee el terminal. Puedes conocer tu IMEI tecleando *#06#.

Puedes encontrar algunas herramientas relacionadas en:

• Android
• iPhone
• Blackberry
• Windows Mobile

Read More

Riesgos asociados al uso de redes inalámbricas no seguras

Al introducir un usuario y contraseña en una página para acceder al servicio, el servidor genera como respuesta una cookie que será usada por el navegador para las peticiones posteriores. En la mayoría de los sitios de Internet el proceso anterior está cifrado, sin embargo, muy pocos mantienen el cifrado una vez realizado este paso y sirven el resto del contenido usando el protocolo HTTP.
Una cookie transmitida por HTTP puede ser robada por un usuario malintencionado en un secuestro de sesión HTTP o "sidejacking". De esta forma, es posible suplantar la identidad de la víctima y llevar a cabo todas las acciones que el usuario esté autorizado a realizar, como acceder a sus redes sociales, publicar contenidos en ellas o realizar cualquier tipo de modificación en su perfil personal.
Este problema crece exponencialmente si se hace uso de una red inalámbrica abierta. Algunas herramientas analizan el tráfico entre un ordenador y el punto de acceso al que se encuentra conectado. En algunos casos, solo es necesario un clic para que un usuario malintencionado obtenga las credenciales de su víctima.
La aplicación Firesheep es una prueba de la facilidad con la que se pueden obtener las credenciales de un usuario para diversos y conocidos sitios de Internet que sirven sus páginas mediante al protocolo HTTP.

Nota: Imagen cortesía de codebutler

Si se debe hacer uso de una red inalámbrica abierta, en conferencias, aeropuertos, cafeterías, hoteles, etc pueden instalarse herramientas en nuestros navegadores como, por ejemplo, Force-TLS que forzará al ordenador del cliente y al servidor a comunicarse mediante HTTPS

1. La primera vez que se establece una comunicación mediante HTTPS entre un cliente y un servidor de Internet. El nombre de dominio del servidor se guarda en una base de datos del cliente.
2. El equipo cliente enviará, desde ese momento, todas las peticiones mediante HTTPS.
3. El tráfico mediante HTTP ya no estará permitido,
4. Force-TLS forzará a que la comunicación desde el servidor al cliente se realice mediante HTTPS.
5. De igual forma, se forzará a que el tráfico desde el cliente al servidor sea por HTTPS.

Si se tratase de nuestra propia red inalámbrica, se recomienda configurarla de forma segura. En las páginas de la OSI y de INTECO-CERT se ofrecen unas guías con consejos para llevar a cabo una correcta configuración. Esto no corrige el problema de la comunicación entre el servidor y el ordenador del usuario, pero evita que personas no autorizadas accedan a nuestra red inalámbrica con fines malintencionados.

Read More