Archivos de la categoría ‘Twitter’

La red social se convirtió en la “tercera nación” más poblada del planeta, después de China e India. Aunque se trata de un mundo virtual, se ha convertido en el principal objetivo de los ciberdelincuentes. ¿Cuáles son las nuevas “armas de seducción” que usan para robar identidades?

Luego de China y la India, un tercer país integra el podio de las naciones más pobladas del mundo. Pero se trata de un territorio virtual, sin presencia en el mundo físico. Se llama Facebook, con más de 600 millones de habitantes, denominados “perfiles” y que se han convertido en el principal objetivo de los delincuentes informáticos.

Los “hackers” buscan aprovechar la enorme masividad del espacio creado por Mark Zuckerberg para cometer ilícitos, tales como el robo de identidad y de claves personales.

Por ejemplo, este martes se supo que una red de ciberdelincuentes envió una invitación fraudulenta a diez millones de usuarios para realizar una encuesta, mecanismo utilizado para obtener ingresos de los incautos.

Según alertó la compañía de seguridad Sophos, la invitación se refiere a un supuesto evento denominado “¿Quién te ha bloqueado de su lista de amigos?”. Hasta ahora fue aceptada por unos 165.000 usuarios de la red social, mientras que otros 10,3 millones la han dejado en espera, pero no la rechazaron.

Sophos señala que se incluyen instrucciones en el enlace “More info”, que los llevan a visitar una web en la que hay encuestas y concursos online, diseñados para que los ciberdelincuentes obtengan dinero.

En algunos casos, también se les pide un número de teléfono móvil.

La empresa de seguridad denuncia la facilidad con la que aparecen eventos y acciones de este tipo en Facebook. Y señala que los responsables de la red social deberían ser más activos a la hora de “atajar” y cerrar estas iniciativas.

También aconseja a los usuarios que no acepten invitaciones no solicitadas acerca de eventos desconocidos y que siempre piensen dos veces antes de hacer clic en los enlaces recibidos a través de la red social.

Apunten con el mouse

Durante marzo, las redes sociales se consolidaron como los blancos predilectos de los ciberatacantes, que dirigieron sus amenazas a los usuarios de Facebook, según informó Eset, una empresa de seguridad informática.

Hace unos pocos días, los mismos sufrieron un ataque de “scam”. Se les ofrecía la posibilidad de obtener la contraseña de la cuenta que quisieran, a cambio del envío de dos mensajes de texto con costo.

La curiosidad de muchos de ellos por conseguir el password de alguna persona es algo que los atacantes suelen aprovechar, habida cuenta del interés que despierta en las víctimas.

La página ofrece el supuesto servicio de “Hackear Facebook”, en relación a dejar al alcance del interesado la supuesta posibilidad de acceder a información protegida.

Esta página también contiene detalles (para ser más creíble), tales como el ícono favicon de Facebook – en la barra de dirección – como así también aparece un reloj mostrando una cuenta regresiva. Supuestamente, al llegar a cero, el “servicio” deja de estar disponible:

 

Tal como se señalara, este ofrecimiento no es gratis, sino que está atado al envío de esos dos mensajes de textos con los datos que requiere la página, que dependen del país donde se encuentra residiendo la víctima.

Este falso servicio se encuentra alojado en un servidor de hosting de Alemania, al que ya se envió la información correspondiente solicitando la baja de este sitio fraudulento, por el cual ya se ha estafado a personas de distintas naciones.

“Una vez más, vemos que las víctimas más curiosas y distraídas son las que caen en estos tipos de fraudes online. Es importante destacar que todas estas propuestas son falsas”, señaló Claudio Cortés Cid, especialista de Awareness & Research de Eset.

El Informe Trimestral de PandaLabs 2011, desarrollado por la compañía de seguridad Panda, coincide en destacar el uso cada vez más intensivo de Facebook para distribuir “malware”.

“Los primeros meses del año han sido especialmente intensos, en cuanto a actividad vírica se refiere”, afirma la compañía en una nota.

Un “me gusta” peligroso


Recientemente la compañía de seguridad BitDefender advirtió sobre una nueva amenaza que afecta a los usuarios de la mayor de las redes sociales.

Se trata de Likejacking, un término que toma su nombre del botón “Like”, o “Me gusta”, que aparece bajo cada comentario o elemento compartido en Facebook.

La notoriedad que el botón de “Me gusta” logró en la red social, o en cualquier página integrada con las aplicaciones externas de Facebook, no pasó desapercibida para los ciberdelincuentes, que lo aprovechan para distribuir malware.

El procedimiento es el siguiente:

  • Un usuario hace clic en un link distribuido a través de spam o redes sociales y es direccionado a una web.
  • Una vez que ve el contenido que hay en la misma, la abandona.
  • Sin embargo, sin su consentimiento se publicó en su muro de Facebook un enlace a esa web.
  • El comentario aparece tal como si lo hubiera publicado él y como si hubiera pulsado al botón de “Me gusta”.
  • Los amigos verán ese link y considerarán que es algo interesante, por lo que a su vez harán clic en el enlace y también serán víctimas de ese mismo ataque.

Los ciberdelincuentes pueden cambiar el contenido de la web y colocar en ella una página de phishing o malware, disfrazado de códecs o plugins, supuestamente indispensables para ver el contenido de esa web.

De esta manera, los usuarios que lleguen a ella no verán sólo cómo se publica un comentario en su nombre en su muro de Facebook sin su consentimiento, sino que además terminarán con su computadora infectada.

Para identificar un ataque de este estilo, BitDefender recomienda a los usuarios prestar especial atención a dos aspectos:

  • El primero, el asunto del link. Si se trata de un tema sensacionalista, fantástico o morboso, hay que desconfiar.
  • En segundo lugar, observar la web donde se almacena el contenido, ya que los ciberdelincuentes no suelen usar páginas populares de video o audio para publicar su material, porque éstas realizan cuidadosos análisis de seguridad, sino webs menos populares o incluso creadas a propósito para sus estafas.

¿Qué pasa si usted hizo clic y fue víctima? BitDefender recomienda eliminar el mensaje publicado en el muro y alertar a todos los amigos que pudieran haberse visto afectados.

Prevención


Desde Eset proponen sus propias “reglas de oro” para protegerse en la red.

Algunas de ellas son básicas como:

  • Ajustar las opciones de privacidad en Facebook ofreciendo el perfil completo sólo a los amigos cercanos.
  • Ser precavido a la hora de instalar aplicaciones.
  • Pensar antes de hacer clic en “Me gusta”, para evitar ser víctimas de gusanos secuestradores de clic.

También, en relación a la privacidad, recuerdan que “ocasionalmente”, Facebook cambia los ajustes de la misma, por lo que conviene comprobar siempre si se han aprobado.

Otros de los consejos hacen referencia a evitar utilizar los enlaces reenviados y enfatizan en la necesidad de aceptar como amigos sólo a personas conocidas.

Por último, recuerdan que los datos se mantienen en circulación para siempre, por lo que “no debe asumirse que cuando se elimina una foto, o la totalidad de la cuenta, se están eliminando todos los datos de modo definitivo”.

 

Twitter, ahora más seguro

Publicado: 17 marzo, 2011 en Seguridad, Twitter

Twitter ha anunciado a través de su blog que acaba de dar un paso importante para hacer más fácil gestionar la seguridad durante el acceso a la plataforma de microblogging. Se trata de una opción que permite utilizar siempre que accedes a Twitter el protocolo HTTPS, destinado a la transferencia segura de datos de hipertexto y usado por entidades bancarias y tiendas on-line, entre otros. Esto es particularmente necesario cuando se usa Twitter en una conexión WiFi no segura.

Para activar la opción, hay que acceder a Twitter a través de la web, entrar en la configuración de usuario y marca la casilla junto a “Usar siempre HTTPS”. Esto mejorará la seguridad de la cuenta y protegerá mejor la información si el usuario accede a través una red pública de Internet inalámbrica, donde alguien puede estar monitoreando nuestra actividad. En el futuro, los responsables de la plataforma pretenden que la HTTPS sea la configuración predeterminada para todas las cuentas. De momento, ya han implementado HTTPS por defecto en las aplicaciones oficiales de Twitter para iPhone y iPad, así como al iniciar sesión, para proteger la contraseña. Pero aún no está disponible de forma predeterminada si se accede desde un navegador móvil. Por otra parte, “si usas una aplicación desarrollada por terceros, debes consultar con ellos si ofrecen soporte para HTTPS”, advierten a los usuarios en el blog oficial de Twitter.

Lo reveló una encuesta de Microsoft, en el marco de la Semana de la Seguridad Informática. La consulta fue hecha a 500 chicos argentinos. Un tercio, además, admitió haber conocido en persona a un amigo “virtual”.

En el marco de la 5ª edición de la Semana de la Seguridad Informática, Microsoft presentó los resultados de una encuesta que revelaron que el 37% de los 500 menores de 17 años argentinos consultados comparten sus datos personales con desconocidos.

La información más divulgada por los menores, se desprendió del informe, es la edad, el colegio al que asisten, el número de teléfono, dirección de su casa y los nombres de sus familiares. Uno de cada tres menores, además, admitió haber conocido personalmente a alguien con quien, hasta ese entonces, mantenía una relación puramente virtual.

Respecto a la iniciativa, el director de Calidad de Servicio y de la Iniciativa de Seguridad para Microsoft Argentina y Uruguay, Jorge Cella, aseguró que “la Semana de la Seguridad nos permite trabajar para encontrar respuestas al desafío de navegar protegidos, en especial los más chicos, resguardar la privacidad de los usuarios y cuidar la información”.

Las redes sociales se convirtieron rápidamente en parte de la vida cotidiana de la mayoría de los usuarios de internet. Sin ir más lejos, durante el 2010 Facebook marcó un récord y logró llegar a tener 500 millones de usuarios registrados. Hoy Twitter es un medio donde no sólo los usuarios se comunican entre ellos, sino también que fue elegido por muchos famosos para hablar directamente con sus fanáticos o por medios para dar sus primicias y exclusivas antes que el resto.

En internet las matemáticas son bastante simples. Cuando un servicio es utilizado por tantas personas de todo el mundo la seguridad empieza a estar en la línea de juego porque los hackers ven que la cantidad de información que pueden obtener es enorme. Sobre todo cuando hay gente descuidada a la hora de compartirla.

¿Cuáles son las amenazas que existen en las redes sociales? Las más comunes son “malware, phishing y robo de información” según explica Sebastián Bortnik, un especialista en seguridad informática de la compañía desarrolladora antivirus ESET. Si bien aseguró que muchas veces el problema se exagera, también comentó que existe y los usuarios “deben preocuparse por estar protegidos”

Pero hay, como en todos los casos, maneras de estar seguro. Bortnik explica que desde el campo tecnológico “es muy importante contar con las herramientas necesarias: desde un antivirus o un firewall que controle las conexiones, hasta herramientas más especializadas, que permitan bloquear el acceso a estos servicios (más enfocado a las empresas)”.

Las compañías también deben tener cuidado y para eso se necesitan medidas tanto de gestión como humanas. En la primera “hay que definir políticas de seguridad que puntualicen qué tiene permitido realizar el empleado con la información de la empresa”. Mientras que en las medidas humanas, como sucede en todos los ámbitos, “lo fundamental es la educación” del usuario.

Uno de los ataques más utilizados por los hackers para sacar información es la Ingeniería Social . Esta es una práctica donde el atacante tratará de obtener información confidencial a través del robo de identidad. Este tipo de personas pueden pedirle datos diciendo, por ejemplo, que son administradores de la red social y que necesitan esa información para comprobar algo. Por este motivo muchos servicios piden encarecidamente que nunca, bajo ninguna circunstancia, revelen contraseñas

Una de las mejores formas para estar seguros es aceptar sólo a gente que conozcas, tener bien configurada las opciones de privacidad y no compartir información demasiado personal (como tu teléfono, por ejemplo). Parece algo por demás simple, pero muchas veces por descuido o desinformación, no se tiene en cuenta.

¿Qué significa…?

  • Malware: Se trata de un software malicioso que tiene como finalidad robar información o dañar la computadora de la persona que lo instaló.
  • Phishing: Se denomina a las estafas que se hacen a través de internet. La mayoría de las veces se hace mediante la ingeniería social donde se trata de obtener información confidencial haciéndose pasar por staff de, por ejemplo, un banco.
  • Spyware: Se trata básicamente de una aplicación programada para espiar una computadora y se instala sin que el usuario ni siquiera lo note. Se usan, sobre todo, para recopilar información que más tarde será distribuido a empresas de, por ejemplo, publicidad.

Quien más, quien menos tiene una cuenta de Internet en Hotmail, Gmail o Yahoo, se ha animado a montar un blog o una cuenta de Twitter a las que dedica cierto tiempo o se ha atrevido a colocar su negocio en la red con algún tipo de página web desde la recibir pedidos.

Pero a veces quienes hacen todo esto tienen una angustiosa dependencia de esos servicios de Internet y sufren sobremanera cuando sucede lo inevitable: un corte temporal del servicio, una interrupción durante varias horas o, lo que es peor, una pérdida de datos.

Los recientes fiascos protagonizados por Google perdiendo por error 150.000 cuentas de correo en Gmail durante varios días o por WordPress.com donde 30 millones de blogs quedaron inaccesibles durante las horas que duró un ataque intencionado no hacen sino recordarnos lo inevitable: la importancia de las copias de seguridad, la necesidad de valorar lo que podemos perder en caso de problemas y la idea de tener un Plan B por si algo falla.

Porque, como dice la máxima de la seguridad informática: “No se trata de si los datos pueden perderse o no, sino de cuándo se perderán”.

La falacia del uptime al 99%

Cuando los proveedores de servicios hablan de que sus máquinas funcionan el 99% del tiempo sin interrupciones (el término técnico es uptime) no están diciendo en realidad gran cosa.

Un 99% supondría que un servicio podría estar desconectado 3 ó 4 días al año y la estadística se seguiría cumpliendo. Incluso un 99,9% no es algo infalible: son 9 horas al año, lo cual bien podrían ser dos angustiosas horas en cuatro o cinco días repartidos en el calendario.

Sin embargo, esas cifras de funcionamiento son bastante razonables, especialmente cuando se trata de servicios gratuitos sobre los que no existe ni se está pagando un contrato de ‘alta disponibilidad’.

En Internet servicios como la publicidad AdWords de Google o eBay hacen paradas de unas horas cada pocas semanas para actualizar sus sistemas, avisando antes a sus clientes.

Otras veces, las situaciones ocurren de forma imprevista pero inevitable: las caídas de Twitter han sido un clásico recurrente con muchos eventos importantes, tanto que al final hasta se hicieron camisetas con “la ballena de Twitter” que iconizaba la caída del servicio.

Ante todo, mucha calma

El principal problema al que se enfrentan muchos usuarios es su propia ansiedad personal ante un contratiempo, pero eso es solo una percepción: el problema está muchas veces lejos de lo que podría ser un efecto verdaderamente relevante.

También podría perderse la conexión, romperse un cable de fibra óptica a nivel nacional… Los accidentes, simplemente, ocurren, y como tal hay que asumirlos.

Lo que hay que saber es que si se rompe el correo, por ejemplo, los mensajes llegarán sin problemas cuando vuelva a funcionar -no se perderán en el limbo- porque el sistema de correo de Internet está diseñado para reintentar las entregas.

Si durante un par de horas no se puede ‘trinar’ en Twitter probablemente nadie se dará cuenta, porque es la misma cantidad de tiempo que el usuario estaría callado si entrara al cine a ver una película y silenciara su móvil.

Incluso una caída de tres o cuatro horas en un blog relativamente exitoso que visiten, digamos, 100.000 personas al mes, supondrá únicamente una pérdida de unas 1.000 páginas no servidas.

Traducido a dinero eso son tan solo unos 50 céntimos no facturados -en caso de que incluya anuncios publicitarios- y en total tan solo unos pocos cientos de visitas que seguramente vuelvan al cabo de un rato a ver si todo ha vuelto a funcionar.

Incluso para un sitio web que sirviera diez millones de páginas al mes, parar 6 ó 7 horas “por mantenimiento” supondría tan solo unas pérdidas cuantificables en unos 50 ó 100 euros.

La concienciación ante este tipo de situaciones es por tanto una buena medida para evitar volverse loco: saber qué se va a perder realmente y si esas pérdidas son verdaderamente importantes, recuperables o no.

Si se trata únicamente de una pérdida de tiempo (no poder acceder al correo, no poder dejar mensajes en las redes sociales), lo que técnicamente se conoce como ‘coste de oportunidad’, el problema es menor.

Y poca gente tiene servicios críticos donde cada minuto que transcurre equivale a una venta perdida: si acaso los bancos, tiendas y sitios de transacciones podrían preocuparse de ello -y ya lo hacen- y aun así pocos funcionan al 99,99%. Lo que cuesta mantener servicios que funcionen de forma ininterrumpida a partir de cierto límite simplemente no compensa.

Preparándose para lo peor

Para calmar la angustia y evitar en cualquier caso situaciones peores como la pérdida de una cuenta o la pesadilla de ver borrado todo lo que hay en ella existen algunas alternativas.

La educación y la prevención suelen ser buenas herramientas en todo tipo de situaciones, y aquí no lo son menos. Muchas redes sociales, como Facebook, permiten exportar toda la información mediante una sencilla función.

Basta conectarse e ir a Mi cuenta > Descargar tu información para solicitar una copia. El enlace para descargar los mensajes, fotos y demás material llega por correo electrónico al cabo de unos minutos.

Servicios como Backupify tienen como misión hacer una copia de seguridad de forma periódica de diversos servicios sociales, tales como Facebook, Twitter, Flickr, Picasa, Gmail, Google Docs, Google Contacts y Google Calendar, entre otros.

En Backupify la versión gratuita funciona al cabo de un rato tras haber configurado cada uno de los servicios elegidos, y puede programarse, por ejemplo, para hacer una copia semanalmente, de hasta 2 GB.

La empresa ofrece versiones de pago de la misma herramienta, que por unos pocos euros al mes (entre 4 y 15) permiten guardar hasta 20 GB o incluso más, con soporte técnico personalizado.

MailStore es otra solución centrada en el correo electrónico, pensada para grupos de trabajo y pequeñas empresas, que permite archivar uno de los recursos más importantes -el correo electrónico- en un mismo ordenador y para decenas de usuarios. Funciona con muchos servicios de correo, buzones POP3/IMAP y también con los populares Gmail y Windows Live Mail.

Los sistemas que emplean los autores de blogs como Blogger o WordPress tienen cada uno sus propias formas de salvaguardar o los datos, pero software específico como Automatic WordPress Backup puede venir bien. En el caso de Blogger una exportación completa suele ser más que suficiente.

Un comunicado de la empresa de seguridad informatica “Bit Defender” seniala que hay evidencias que demuestran la estrecha relacion entre las recientres estafas de Twitter y las de Facebook.

Segun el documento, una de las URL utilizadas para llevar a cabo el ataque de Twitter “#howlong” fue usada tambien para varias estafas en Facebook como “See your first status” , “Adivina quien ve tu perfil” o “El mayor admirador”.

Parece ser que este modo de operar en las redes sociales es muy eficaz. Por ejemplo, dos de las direcciones URL utilizadas en la ultima estafa obtuvieron mas de 8.000 clicks.

El Jefe de Inteligencia contra Amenazas de Bit Defender, George Petre, indico que “las similitudes entre las dos estafas indican que sus autores no se complican mucho a la hora de crearlas, sino que buscan claramente su eficacia”.

Malware, troyanos y virus son 10 veces más efectivos en redes sociales como Twitter, Facebook o YouTube que si se propagan a través de otras aplicaciones y páginas.

La confianza de encontrarse entre un grupo de ‘amigos’ como es el caso de Facebook o con los contactos profesionales de Linkedin y la dificultad para identificar enlaces engañosos debido al acortamiento de las urls ha convertido a las redes sociales en un auténtico polvorín de infecciones.

Un informe de la consultora de seguridad informática AV-Test revela que durante el 2010 las redes sociales y sitios más populares de Internet, como el portal de vídeos YouTube recibieron más de 2 millones de ataques procedentes de programas espía, malware, virus o troyanos.

Y no es casual. El índice de eficacia en estos sitios supera a la media. Se trata de aplicaciones para el ocio, en las que el usuario no percibe el peligro. Una cuenta profesional o privada no garantiza la ausencia de amenazas. Pero nuestra navegación se relaja cuando no exploramos la red y las redes sociales generan un espacio de aparente seguridad.

Una solución a los perfiles engañosos y los enlaces ocultos, podría venir de la empresa G Data software que el próximo abril, sacará una aplicación gratuita capaz de analizar, antes de seguir un enlace, la fiabilidad de la página de destino.

En el caso de los vídeos de YouTube, la prevención depende del internauta. Muchos refieren problemas de copyright para exhibir una imagen y sugieren otro sitio web donde visionar el contenido. La impaciencia lleva a los usuarios más incautos a visitar páginas poco seguras.

Hay que recordar que la amenaza es mayor cuanto más utilizado es el medio, ya sean las redes sociales, un software o sistema operativo. Android se acaba de estrenar como el más popular en EEUU y paralelamente acaba de sufrir el mayor ataque de malware de su historia.

Ha tenido que retirar decenas de aplicaciones de Android Market infectadas y la sospecha se extiende a todo el catálogo debido a la presencia del código abierto. Apple en cambio, certifica al máximo la seguridad de sus apps en iTunes, aunque nadie está libre de riesgos, que se lo digan a Windows y sus habituales agujeros de seguridad.