Archivo mensual febrero 2019

Pormalwarebytes

¿Será la nueva normalidad el pago por la privacidad?

¿Será la nueva normalidad el pago por la privacidad?

¿Será la nueva normalidad el pago por la privacidad?

Publicado: 27 de febrero de 2019 por 

La privacidad es un derecho humano, y la privacidad en línea no debe ser una excepción.

Sin embargo, a medida que EE. UU. Considera nuevas leyes para proteger los datos en línea de las personas, al menos dos propuestas (una ley estatal que aún puede modificarse y un proyecto de ley federal que aún no se ha presentado) incluyen una negociación no deseada: intercambiar dinero por privacidad.

Este marco, a veces llamado «pago por privacidad», es claramente incorrecto. Echa la privacidad como un producto que los individuos con los medios pueden comprar fácilmente. Pero un movimiento en esta dirección podría profundizar aún más la separación entre clases socioeconómicas. Los «que tienen» pueden operar en línea libre de miradas indiscretas. Pero los «no tienen» deben renunciar a ese derecho.

Aunque este marco ha sido utilizado por al menos una de las principales compañías de telecomunicaciones antes, y no hay leyes que impidan su práctica hoy en día, los que están en ciberseguridad y la industria de la tecnología en general deben ponerle fin. Antes de que el pago por la privacidad se convierta en ley, la privacidad como derecho debería convertirse en una práctica de la industria.

Las leyes de privacidad de datos son populares, pero defectuosas

El año pasado, la Unión Europea implementó una de las leyes de privacidad de datos más amplias del mundo. El Reglamento general de protección de datos, o GDPR, regula la forma en que las empresas recopilan, almacenan, comparten y utilizan los datos de los ciudadanos de la UE. La ley ha inspirado a los países de todo el mundo a seguir su ejemplo, con Italia emitiendo multas reglamentarias contra FacebookBrasil aprobando un nuevo proyecto de ley de protección de datos y Chile modificando su constitución para incluir derechos de protección de datos.

Los Estados Unidos no son una excepción a este efecto de onda.

El año pasado, los senadores Ron Wyden de Oregon, Marco Rubio de Florida, Amy Klobuchar de Minnesota y Brian Schatz, junto con otros 14 senadores como copatrocinadores, de Hawaii, propusieron proyectos de ley federales por separado para regular la forma en que las empresas recolectan y utilizan y proteger los datos de los estadounidenses.

El proyecto de ley del senador Rubio le pide a la Comisión Federal de Comercio que escriba su propio conjunto de reglas , que el Congreso votará dos años después. El proyecto de ley del senador Klobuchar requeriría que las compañías redacten términos claros de acuerdos de servicio y envíen notificaciones a los usuarios sobre violaciones de privacidad dentro de las 72 horas. El proyecto de ley del senador Schatz introduce la idea de que las empresas tienen el «deber de cuidar» de los datos de los consumidores al proporcionar un nivel de seguridad «razonable».

Pero es el proyecto de ley del senador Wyden, la Ley de Protección de Datos del Consumidor, lo que se destaca, y no por una buena razón. Oculta entre varias disposiciones de privacidad hacia adelante, como una autoridad de cumplimiento más fuerte para la FTC e informes de privacidad obligatorios para compañías de cierto tamaño, es una estipulación peligrosa de pago por privacidad.

De acuerdo con la Ley de Protección de Datos del Consumidor, las compañías que requieren el consentimiento del usuario para sus servicios podrían cobrar una tarifa a los usuarios si los usuarios han optado por no seguir el seguimiento en línea.

Si se aprueba, así es como funcionaría la Ley de Protección de Datos del Consumidor:

Digamos que un usuario, Alice, ya no se siente cómodo al hacer que las empresas recopilen, compartan y vendan su información personal a terceros con el fin de hacer publicidad dirigida y aumentar los ingresos corporativos. Primero, Alice se registraría en el sitio web «No rastrear» de la Comisión Federal de Comercio, donde elegiría optar por no participar en el seguimiento en línea. Luego, las compañías en línea con las que interactúa Alice deberán verificar el estado «No rastrear» de Alice.

Si una compañía ve que Alice ha optado por no seguir el seguimiento en línea, esa compañía no puede compartir su información con terceros y seguirla en línea para crear y vender un perfil de su actividad en Internet. Las empresas que se ejecutan casi en su totalidad en los datos de los usuarios, incluidos Facebook, Amazon, Google, Uber, Fitbit, Spotify y Tinder, deberán prestar atención a las decisiones individuales de los usuarios. Sin embargo, esas mismas compañías podrían presentar a Alice una elección difícil: puede seguir usando sus servicios, sin el seguimiento en línea, siempre que pague un precio.

Esto representa un precio literal para la privacidad.

El abogado senior de Electronic Frontier Foundation, Adam Schwartz, dijo que su organización se opone firmemente a los sistemas de pago por privacidad.

«La gente debería ser capaz de no solo optar por la vigilancia corporativa», dijo Schwartz. «Además, cuando eligen mantener su privacidad, no deberían tener que pagar un precio más alto».

Los esquemas de pago por privacidad pueden venir en dos variedades: se le puede pedir a las personas que paguen más por más privacidad, o pueden pagar una cantidad menor (con descuento) y recibir menos privacidad. Ambas opciones, dijo Schwartz, incentivan a las personas a no ejercer sus derechos de privacidad, ya sea porque el costo es demasiado alto o porque la ganancia monetaria es demasiado atractiva.

Ambas opciones también dañan a las comunidades de bajos ingresos, dijo Schwartz.

«Las personas pobres tienen más probabilidades de ser obligadas a renunciar a su privacidad porque necesitan el dinero», dijo Schwartz. «Podríamos estar yendo a un mundo de ‘personas que tienen privacidad’ y ‘personas que no tienen’ que se ajustan a los estados económicos actuales. Es suficientemente difícil para las personas de bajos ingresos vivir en California con su alto costo de vida. Esto solo agravaría aún más la calidad de vida «.

Desafortunadamente, una disposición de pago por privacidad también se incluye en la Ley de Privacidad del Consumidor de California, que el estado aprobó el año pasado. Aunque la ley incluye una cláusula de «no discriminación» destinada a prevenir solo este tipo de práctica, también incluye una exención que permite a las empresas proporcionar «incentivos» a los usuarios para que aún recopilen y vendan información personal.

En un blog más grande sobre formas de mejorar la ley , que era entonces un proyecto de ley, Schwartz y otros abogados de la EFF escribieron:

«Por ejemplo, si un servicio cuesta dinero y un usuario de este servicio se niega a dar su consentimiento para la recopilación y venta de sus datos, entonces el servicio puede cobrarles más de lo que cobra a los usuarios que dan su consentimiento».

Aplicaciones del mundo real

La alarma de pago por privacidad no es teórica: se implementó en el pasado y no existe ninguna ley que impida que las empresas vuelvan a hacerlo.

En 2015, AT&T ofreció un servicio de banda ancha con un descuento de $ 30 por mes si los usuarios aceptaron que se rastreara su actividad de Internet. De acuerdo con las propias palabras de AT&T, esa actividad en Internet incluía las » páginas web que visita, el tiempo que dedica a cada una, los enlaces o anuncios que ve y sigue, y los términos de búsqueda que ingresa «.

La mayoría de las veces, pagar por la privacidad no siempre es tan obvio, con dólares reales que salen o van a la billetera o cuenta corriente de un usuario. En cambio, sucede detrás de la escena, y no es el usuario cada vez más rico, son las empresas.

Desarrollado por montañas de datos de usuario para anuncios dirigidos, Alphabet, el padre de Google, registró $ 32.6 mil millones en ingresos por publicidad solo en el último trimestre de 2018. En el mismo trimestre, Twitter registró $ 791 millones en ingresos por publicidad. Y, notable por la insistencia de su director general en que la compañía no vende datos de usuarios, los planes previos de Facebook para hacerlo fueron revelados en los documentos publicados esta semana . Registrarse para estos servicios puede ser «gratuito», pero eso solo se debe a que el producto no es la plataforma, es el usuario.

Sin embargo, un puñado de compañías actualmente rechazan este enfoque, negándose a vender o monetizar la información privada de los usuarios.

En 2014, CREDO Mobile se separó de AT&T al prometer a los usuarios que su privacidad «no está a la venta. Período.” (La compañía admite en su política de privacidad que puede‘vender o listas de correo comerciales’que contienen los nombres de los usuarios y direcciones de calles, sin embargo.) Protonmail, un servicio de correo electrónico cifrado, se posiciona como hoja a Gmail , ya que hace no hace publicidad en su sitio, y promete que los correos electrónicos encriptados de los usuarios nunca se escanearán, accederán ni leerán. De hecho, la compañía afirma que no puede acceder a estos correos electrónicos incluso si lo desea.

En cuanto al primer producto de Google, la búsqueda en línea, la alternativa de privacidad más clara es DuckDuckGo. El servicio enfocado en la privacidad no rastrea las búsquedas de los usuarios, y no construye perfiles individualizados de sus usuarios para entregar resultados únicos.

Incluso sin monetizar los datos de los usuarios, DuckDuckGo ha sido rentable desde 2014, dijo el gerente de la comunidad, Daniel Davis.

«En DuckDuckGo, hemos podido hacer esto con anuncios basados ​​en contexto (consultas de búsqueda individuales) en lugar de personalización».

Davis dijo que las decisiones de DuckDuckGo se guían por la creencia de que la privacidad es un derecho fundamental. «Cuando se trata del mundo en línea», dijo Davis, «las cosas no deberían ser diferentes, y la privacidad por defecto debería ser la norma».

Es hora de que otras compañías sigan su ejemplo, dijo Davis.

«El control de los propios datos no debe tener un precio, por lo que es esencial que [la] industria trabaje más para desarrollar modelos de negocios que no hagan de la privacidad un lujo», dijo Davis. «Somos una prueba de que esto es posible».

Con suerte, otras compañías están escuchando, porque no debería importar si el pago por privacidad está codificado como ley, nunca debe aceptarse como una práctica de la industria.

Pormalwarebytes

Phishing sofisticado: un resumen de campañas notables

Phishing sofisticado: un resumen de campañas notables

Phishing sofisticado: un resumen de campañas notables

Publicado: 20 de febrero de 2019 por 

El phishing es un problema casi tan antiguo como Internet. Sin embargo, los delincuentes siguen buscando en su bolsa de trucos de phishing en 2019 porque, en pocas palabras, simplemente funciona. Al atacar a la psique humana y sacar provecho de emociones como el miedo, la ansiedad o la pereza, los ataques de phishing tienen éxito porque apuntan a nuestras debilidades y las explotan, de la misma manera que un kit de explotación aprovecha una vulnerabilidad en un software. programa.

Para comprender por qué los ataques de phishing siguen funcionando, buscamos tácticas de vanguardia diseñadas por actores de amenazas para ofuscar sus verdaderas intenciones y capitalizar la negligencia básica. Para ese fin, hemos reunido un resumen de campañas notables de suplantación de identidad del año pasado. Aquí están los ataques que se destacaron.

No puedes descartar fácilmente este

Myki , creadores del administrador de contraseñas de mayor calificación con el mismo nombre, descubrió recientemente una estafa engañosa de phishing en Facebook que es tan convincente que despertó el interés de los investigadores de seguridad.

El hullabaloo comenzó cuando la compañía comenzó a recibir múltiples informes de los usuarios de que su administrador de contraseñas Myki se negaba a llenar automáticamente una ventana emergente de Facebook en los sitios que visitaban, citando esto como un error.

Después de una investigación adicional, los investigadores de seguridad de Myki se dieron cuenta de que no se trataba de un error y, de hecho, su producto estaba protegiendo a sus clientes de confiar en la supuesta ventana emergente de Facebook. A continuación se muestra una demostración en video de la campaña de phishing que pudieron desenterrar y reproducir con éxito:

Video de demostración (Cortesía de Myki)

«[The] Hacker diseña un mensaje emergente de inicio de sesión social en HTML de aspecto muy realista», escribió Antoine Vincent Jebara, cofundador y CEO de Myki, en una publicación de blog . «La barra de estado, la barra de navegación, las sombras y el contenido se reproducen perfectamente para que se vean exactamente como un mensaje de inicio de sesión legítimo».

El pop-up falso se ve y se siente tan real que los usuarios pueden arrastrarlo y descartarlo como se podría con un pop-up legítimo. Pero aunque aporta un nivel convincente de legitimidad al ataque, la ventana emergente cede el juego una vez que los usuarios intentan arrastrarlo fuera de la página, lo que no puede suceder porque las partes que tocan el borde de la ventana del navegador desaparecen, lo que hace que los usuarios se dan cuenta de que la ventana emergente es parte de la propia página web.

Por lo tanto, la próxima vez que note que su administrador de contraseñas está actuando de forma extraña, como no rellenar previamente las ventanas emergentes como sabe que se supone, intente arrastrar la ventana emergente desde su navegador. Si una sección (o casi toda) desaparece después de alcanzar el borde del navegador, es una ventana emergente falsa. Cierra la pestaña de la página inmediatamente!

Phishing por mil personajes

Por cualquier cuerdo estándar, una URL larga de 400 a 1.000 caracteres es una exageración. Sin embargo, esto no impidió que un phisher lo usara en su campaña. No solo una vez, sino en varias instancias en un correo electrónico de campaña de suplantación de identidad (phishing), para gran molestia de los destinatarios inteligentes .

Captura de pantalla de la URL kilométrica larga utilizada en la campaña (Cortesía de MyOnlineSecurity)

La URL extraída anterior se tomó de un correo electrónico que aparentaba ser una notificación del dominio de correo electrónico del destinatario, diciéndoles que su cuenta estaba en la lista negra debido a fallas de inicio de sesión múltiples. Luego instruyó a los destinatarios para actualizar y verificar su cuenta de correo electrónico antes de que el proveedor del servicio suspenda o finalice la cuenta.

Nadie sabe a ciencia cierta por qué alguien estaría lo suficientemente loco como para intentar esto. Por ahora, los estafadores conocidos existen formas mejores y más sostenibles de ofuscar las URL. Pero, por desgracia, los phishers trabajadores todavía están por ahí. No es fácil copiar y pegar todos esos caracteres, después de todo, y mucho menos escribirlos manualmente.

Vamos a darles una A por esfuerzo, ¿vale? Sin embargo, el phishing no es cosa de risa, así que vigilémoslo.

(No) perdido en (Google) traducción

Los servicios de traducción en línea fueron diseñados para cumplir un propósito: traducir el contenido de su idioma original a otro. ¿Quién hubiera esperado que los phishers pudieran usar una página de Google Translate legítima como la página de destino para los usuarios que intentan poseer?

Captura de pantalla del correo electrónico de phishing (Cortesía de Akamai)

Para: {destinatario} 
De: Cuentas de seguridad <facebook_secur @ hotmail [.] Com> 
Asunto: Alerta de seguridad 
Cuerpo del mensaje:

Conectándose a un nuevo dispositivo

[redactado]

Un usuario acaba de iniciar sesión en su cuenta de Google desde un nuevo dispositivo de Windows. Le enviamos este correo electrónico para verificar que es usted.

[Consultar la actividad]

‘¿Por qué hacer esto?’ usted podría preguntarse De acuerdo con Larry Cashdollar, ingeniero sénior de respuesta de seguridad de Akamai, en una publicación de blog , “Usar Google Translate hace algunas cosas; llena la barra de URL (dirección) con gran cantidad de texto aleatorio, pero lo más importante visualmente es que la víctima ve un dominio legítimo de Google. En algunos casos, este truco ayudará a que el delincuente evite las defensas de los puntos finales «.

También señaló que este tipo de táctica podría ser aceptada por objetivos sin sospecha cuando se ve en un dispositivo móvil, ya que el correo electrónico de phishing y la página de destino parecen más legítimos. Sin embargo, cuando se ve en una computadora portátil o de escritorio, las fallas de esta táctica son evidentes.

Cashdollar mencionó que esta campaña de phishing es un ataque de dos puntas, en el que los phishers intentaron obtener las credenciales de Google primero y luego las de Facebook. El dominio para el inicio de sesión falso de Facebook no está alojado en una página de Google Translate, eso sí.

«… Es muy poco común ver que un ataque de ese tipo apunte a dos marcas en la misma sesión», escribió Cashdollar.

Para que los usuarios eviten caer en semejante phish, Cashdollar tiene esto para decir: «La mejor defensa es un buen ataque. Eso significa tomarse su tiempo y examinar el mensaje completamente antes de tomar cualquier acción. ¿La dirección “de” coincide con lo que está esperando? ¿El mensaje crea un curioso sentido de urgencia, temor o autoridad, casi exigiéndole que haga algo? Si es así, esos son los mensajes de los que hay que sospechar y los que tienen más probabilidades de resultar en cuentas comprometidas «.

¿A dónde fue el zorro marrón rápido?

Desafortunadamente, fue reemplazado por letras colocadas en lugares donde no se suponía que debían hacerlo, por lo que los phishers podían ocultar el código fuente de su página de destino para que pareciera menos sospechoso.

Esto fue lo que encontraron nuestros amigos en Proofpoint cuando se encontraron con una campaña que aprovechaba los archivos de fuentes personalizados para decodificar y ocultar contenido.

Este ataque de phishing en particular comenzó como un correo electrónico que aparentemente se originó en un banco importante de los EE. UU., Y cuando los usuarios hicieron clic en el enlace del correo electrónico, fueron enviados a una réplica convincente de la página oficial del banco, lista y en espera de recibir información de credenciales.

Los archivos de fuentes personalizados, concretamente woff y woff2 , instalaron un cifrado de sustitución, que luego reemplazó las letras que los usuarios ven en la página con otras letras en el código fuente mediante la sustitución directa de caracteres. Por lo tanto, el texto «El zorro marrón rápido …» que se ve en el archivo de fuente normal, por ejemplo, era «Eht wprcx bivqn fvk …» en el archivo de fuente personalizado.

Captura de pantalla del archivo de fuente woff (Cortesía de Proofpoint)

Proofpoint observó que el kit de phishing puede haber estado disponible desde mayo de 2018, si no antes.

Para combatir esta táctica y las demás que se mencionan en este resumen, los usuarios deben seguir apegándose a los protocolos informáticos seguros establecidos , como no hacer clic en los enlaces de correos electrónicos sospechosos y visitar los sitios web de los bancos directamente desde el navegador en lugar de hacerlo por correo electrónico.

Las empresas también pueden estar al tanto de los ataques de phishing menos obvios incorporándolos a los programas de capacitación de los empleados. Cualquier buen plan anti-phishing utilizará las técnicas que se utilizan actualmente en la naturaleza (mientras que el Príncipe de Nigeria, aunque todavía está por ahí, probablemente no sea necesario entrenar).

Pormalwarebytes

¿Debes eliminarte de las redes sociales?

¿Debes eliminarte de las redes sociales?

¿Debes eliminarte de las redes sociales?

Publicado: 14 de febrero de 2019 por 

Te sientes como si hubieras tenido suficiente. Todas las noticias recientes, desde el error de Cambridge Analytica de Facebook hasta varios abusos de las vulnerabilidades de Twitter, me preguntan: ¿Debo eliminarme de las redes sociales?

Las redes sociales tienen sus aspectos positivos. Puede mantenerse en contacto con familiares lejanos (o no), ser incluido en la planificación de eventos sociales dentro de su círculo de amigos, recibir actualizaciones en tiempo real de noticias regionales y nacionales, y promover su empresa, contenido u otras empresas personales. Además, puedes experimentar todos los memes geniales  dos semanas después de haber sido publicados en Reddit.

Por otra parte, hay bastantes razones, que abarcan la seguridad, la privacidad y las prácticas comerciales sombrías en general, para irse. Solo en 2018, Facebook experimentó una brecha de seguridad que afectó a 50 millones de cuentas , fue responsable de  un genocidio incitado mediante el uso de su plataforma, mantuvo los datos del usuario que dijo que eliminó y se descubrió que estaba abusando de las aplicaciones de desarrollo de Apple para probar en niños. Twitter, mientras tanto, no solo ha estado en el extremo final de los errores de contraseña , los piratas informáticos y las violaciones de datos , sino que algunos podrían decir que estos días es un incendio general de las cuentas de bots.

Instagram y Snapchat tampoco carecen de defectos. Los piratas informáticos están apuntando a las cuentas de personas influyentes en Insta, mientras que Snapchat ha recibido ataques de suplantación de identidad y violaciones de seguridad .

Desafortunadamente, no podemos tomar la decisión de dejar las redes sociales por ti. En su lugar, le recomendamos que haga una lista de pros y contras. Considere qué datos podrían perderse. Considere qué tiempo y paz mental se puede ganar. Sopesar las recompensas contra los riesgos. Si se retira con ganas de dar un paso atrás, pero no del todo sin dejar de fumar, podemos ayudarlo a mejorar la configuración de seguridad y privacidad. Y si eso no es suficiente, le mostraremos cómo eliminar sus cuentas.

Vamos a empezar lentamente

Si no estás listo para cortar el acorde, una buena opción para refrescarte en las redes sociales es ajustar la configuración de privacidad en todas tus cuentas. Esto es algo sensato de hacer, incluso si no está considerando irse. También tiene el efecto secundario adicional de aumentar la conciencia de cuánto compartes en las redes sociales.

En un blog anterior, discutimos cómo asegurar sus perfiles de redes sociales con gran detalle. Recomendamos a los usuarios que no se están eliminando a sí mismos, lea esto primero para comprender las complejidades. A continuación, le ofrecemos una lista rápida y sucia de enlaces a seguir para ajustar la configuración de privacidad en las cuatro plataformas de redes sociales más importantes:

Después de ajustar la configuración, es una buena idea monitorear y hacer un seguimiento del uso de las redes sociales para avanzar, ya sea con el fin de administrar el tiempo, concentrarse o vencer la adicción a las redes sociales. A medida que más y más de nuestro consumo de medios se traslada a los teléfonos inteligentes, puede aprovechar varias aplicaciones que lo ayudarán a alcanzar estos objetivos. Éstos incluyen:

¡Adiós, top cuatro!

Digamos que te sentaste, pensaste bien y decidiste que es hora de pasar de las redes sociales. Puedes comenzar por recoger los enlaces apropiados. A continuación, hemos incluido enlaces para descargar sus datos desde las plataformas más populares. Debe descargar su información personal de estos sitios de redes sociales antes de la opción nuclear, en caso de que experimente remordimientos. Además, es realmente revelador descubrir exactamente la cantidad de datos que genera y comparte en las plataformas de redes sociales.

Facebook

Tiempo para la eliminación permanente: una  vez que hayan transcurrido 14 días, se iniciará su solicitud de eliminación. Esto puede tardar más de 90 días en completarse.

Gorjeo

Tiempo para la eliminación permanente:  Twitter tarda hasta 30 días en eliminar por completo su cuenta.

Instagram

Tiempo para la eliminación permanente:  inmediatamente!

Snapchat

Tiempo hasta la eliminación permanente:  30 días.

Google+

Ja ja ja, ho ho ho, he he he he. Este es principalmente para las risitas. Google abandonará este esfuerzo en particular el 2 de abril de 2019. Pero si siente la necesidad de eliminarse antes de eso, esto es lo que debe hacer:

El tiempo justo

A los investigadores de seguridad les encantan las plataformas de redes sociales. Son una gran fuente de inteligencia de código abierto ( OSINT ) y nos ayudan a hacer posible la atribución (siempre que su adversario tenga una mala OPSEC ). Sin embargo, las razones por las que disfrutamos de las redes sociales también pueden ser las razones por las que los consumidores regulares deberían tomar un impulso y considerar los beneficios.

Cuando esté listo para tomar una decisión, le brindamos todos los enlaces necesarios para realizar copias de seguridad y eliminar estas cuentas, así como también algunos materiales que pueden ayudarlo a decidir cuáles conservar y cómo protegerlos adecuadamente.

Si los medios sociales están causando ansiedad, estrés o depresión; si está cansado de que sus datos se extraigan y compartan con terceros; Si está empezando a sentirse más como un trabajo para mantener en lugar de placer, entonces puede ser el momento de reforzar las defensas y tomar un descanso, o incluso alejarse para siempre. Y si ese momento llega, estamos aquí para ti.

Pormalwarebytes

Kits de explotaciones: invierno 2019 revisión

Kits de explotaciones: invierno 2019 revisión

Kits de explotaciones: invierno 2019 revisión

Publicado: 12 de febrero de 2019 por 
Última actualización: 11 de febrero de 2019

Las campañas de publicidad maliciosa en diciembre y el nuevo año han evitado que la actividad de los kits de explotaciones hibernen en el invierno de 2019. En su mayoría observamos Fallout y RIG con la aparición ocasional y limitada de GrandSoft para una orientación geográfica más amplia.

Además, los kits de exploits con un enfoque limitado como Magnitude, Underminer y GreenFlash Sundown se mantuvieron en el mismo camino: entregar ransomware a países mayormente asiáticos, y en particular a Corea del Sur.

Resumen de invierno 2019

  • Fallout EK
  • RIG EK
  • GrandSoft EK
  • Magnitud EK
  • Socavador ek
  • GreenFlash Sundown EK

De Internet Explorer  CVE-2018-8174  y de flash  CVE-2018-4878  siguen siendo las vulnerabilidades más comunes en todos los ámbitos, a pesar de que un par exploits han integrado la más reciente de Flash CVE-2.018-15.982 .

Fallout EK

Fallout sigue trayendo aire fresco a una atmósfera por otra parte obsoleta mediante la introducción de nuevas funciones e incluso la adopción de nuevas vulnerabilidades. También parece ser un buen marco experimental para algunos actores que han personalizado la entrega de la carga útil. Fallout fue el segundo kit de explotación para agregar  CVE-2018-15982 , una vulnerabilidad más reciente para Flash Player.

RIG EK

Good old RIG todavía está dando vueltas, pero ha tomado un asiento trasero ante el nuevo Fallout en muchas de las cadenas de malvertising que rastreamos, excepto quizás por Fobos . No ha habido cambios notables para informar desde la última vez que lo revisamos.

GrandSoft EK

GrandSoft y su carga útil Ramnit todavía van de la mano a través de una distribución limitada vinculada a sitios web comprometidos. Es quizás uno de los kits de explotación menos sofisticados en el mercado en este momento.

Magnitud EK

Mientras tanto, Magnitude EK está activa y servida a través de cadenas de publicidad maliciosa, con un enfoque en algunos países APAC como Corea del Sur. Magnitude continúa entregando su carga útil de ransomware Magniber sin archivos.

Socavador ek

Los esquemas de encriptación over-the-top de Underminer para ocultar sus proezas nos mantienen a los investigadores honestos cuando intentamos identificar exactamente qué hay debajo del capó. Vale la pena señalar que solo unos pocos días después de la publicación de Flash day-day y Proof of Concept (PoC) ( CVE-2018-15982 ), Underminer ya lo estaba implementando  .

GreenFlash Sundown EK

GreenFlash Sundown, también un kit de exploits geográfico específico, ha estado entregando varias razas de ransomware a objetivos en Asia. En nuestra última captura, lo vimos soltar el ransomware Seon en usuarios de Corea del Sur.

Mitigación

Si bien los parches oportunos y la evitación de Internet Explorer como navegador web ofrecerían protección contra los kits de explotación mencionados anteriormente, la realidad es que muchos usuarios (especialmente en entornos corporativos) todavía están detrás. Además, mientras que el IE se está eliminando gradualmente en América del Norte, todavía es muy adoptado en los países asiáticos, lo que explica por qué están siendo atacados actualmente.

La tecnología anti-exploit de Malwarebytes bloquea cada uno de estos kits de exploits (Fallout, RIG, GrandSoft, Magnitude, Underminer y GreenFlash Sundown) antes de que tengan la oportunidad de reducir su carga útil.

A medida que avanzamos en 2019, podemos decir que los kits de exploits, aunque no se acercan a su actividad máxima en 2017, aún se mantienen, y se utilizan principalmente en campañas de distribución de publicidad maliciosa. En términos de actividad global, Fallout lidera la carga, proporcionando las campañas y la carga útil más diversas. Mientras tanto, los EK específicos de Asia continúan en su mayor parte con su patrón habitual de impulsar la innovación (hasta cierto punto) y distribuir ransomware.

Pormalwarebytes

Fusionar Facebook Messenger, WhatsApp e Instagram: un obstáculo técnico y de reputación

Fusionar Facebook Messenger, WhatsApp e Instagram: un obstáculo técnico y de reputación

Fusionar Facebook Messenger, WhatsApp e Instagram: un obstáculo técnico y de reputación

Publicado: 7 de febrero de 2019 por 

Se supone que la mensajería segura es solo eso: segura. Eso significa que no hay puertas traseras, cifrado sólido, mensajes privados que permanecen privados y, para algunos usuarios, la capacidad de comunicarse de forma segura sin entregar toneladas de datos personales.

Por lo tanto, cuando se produjera la noticia, el paria de privacidad en línea y escándalo de Facebook expandiría la mensajería segura a través de sus aplicaciones Messenger, WhatsApp e Instagram, una amplia comunidad de criptógrafos, legisladores y usuarios preguntaron: ¿Espere, qué?

La tecnología no solo es difícil de implementar, sino que la compañía que la implementa tiene un historial deficiente tanto en la privacidad del usuario como en la seguridad en línea.

El 25 de enero, el New York Times informó que el CEO de Facebook, Mark Zuckerberg, había comenzado los planes para integrar las tres plataformas de mensajería de la compañía en un solo servicio, permitiendo a los usuarios comunicarse entre ellos a través de aplicaciones móviles separadas. Según el New York Times, Zuckerberg «ordenó que todas las aplicaciones incorporen cifrado de extremo a extremo».

La respuesta inicial fue dura.

En el extranjero, la Comisión de Protección de Datos de Irlanda, que regula Facebook en la Unión Europea, solicitó de inmediato una «sesión informativa urgente» de la compañía, advirtiendo que las propuestas anteriores de intercambio de datos plantearon «problemas importantes de protección de datos».

En los Estados Unidos, el senador demócrata Ed Markey de Massachusetts dijo en una declaración : «No podemos permitir que la integración de la plataforma se convierta en una desintegración de la privacidad».

Los tecnólogos de seguridad cibernética oscilaron entre el optimismo cauteloso y la simple cautela.

Algunos profesionales se enfocaron en los beneficios claros de habilitar el cifrado de extremo a extremo en las plataformas de mensajería de Facebook, enfatizando que cualquier cifrado de extremo a extremo es mejor que ninguno.

El ex ingeniero de software de Facebook Alec Muffet, quien dirigió el equipo que agregó el cifrado de extremo a extremo a Facebook Messenger , dijo en Twitter que el plan de integración «claramente maximiza la privacidad que se brinda a la mayor cantidad de personas y es una buena idea». ”

Otros cuestionaron los motivos y la reputación de Facebook, examinando el modelo de negocios establecido por la compañía de la recolección de cantidades masivas de datos de usuarios para entregar anuncios dirigidos.

El profesor asociado y criptógrafo de la Universidad John Hopkins, Matthew Green, dijo en Twitter que «este movimiento podría ser bueno o malo para la seguridad / privacidad. Pero dada la historia reciente y las motivaciones financieras de Facebook, no apostaría el dinero de mi almuerzo en «bueno».

El 30 de enero, Zuckerberg confirmó el plan de integración durante una llamada trimestral de ganancias. La compañía espera completar el proyecto este año o a principios de 2020.

Va a ser una batalla cuesta arriba.

Tres aplicaciones, una mala reputación.

Fusionar tres aplicaciones de mensajería separadas es más fácil decirlo que hacerlo.

En una entrevista telefónica, Green dijo que el obstáculo tecnológico inmediato de Facebook será la integración de «tres sistemas diferentes, uno que no tenga ningún cifrado de extremo a extremo, uno donde sea predeterminado y otro con una función opcional».

Actualmente, los servicios de mensajería en WhatsApp, Facebook Messenger e Instagram tienen diversos grados de encriptación de extremo a extremo. WhatsApp proporciona cifrado de extremo a extremo predeterminado, mientras que Facebook Messenger proporciona cifrado de extremo a extremo opcional si los usuarios activan las «Conversaciones secretas». Instagram no ofrece cifrado de extremo a extremo en su servicio de mensajería.

Además, Facebook Messenger, WhatsApp e Instagram tienen características separadas, como la capacidad de Facebook Messenger para admitir más de un dispositivo y el soporte de WhatsApp para conversaciones grupales, junto con clientes de escritorio o web independientes.

Green dijo que se imagina que alguien utilice el cliente web de Facebook Messenger, que actualmente no admite el cifrado de extremo a extremo, iniciando una conversación con un usuario de WhatsApp, donde el cifrado se establece de forma predeterminada. Estos lapsos en el cifrado predeterminado, dijo Green, podrían crear vulnerabilidades. El desafío está en reunir todos esos sistemas con todas esas variables.

«Primero, es probable que Facebook tenga que crear una plataforma y luego mover todos esos sistemas diferentes a un sistema un tanto compatible, que, por lo que puedo decir, incluiría la centralización de servidores clave, usando el mismo protocolo y un montón de desarrollo técnico. Eso tiene que pasar ”, dijo Green. «No es imposible. Solo duro «.

Pero hay más en el éxito de Facebook que el conocimiento técnico de sus ingenieros. También está su reputación, que, en los últimos tiempos, presenta a la empresa como un barón de los datos de hoy en día, planteándose en fallas en la privacidad después de una falla en la privacidad.

Después de las elecciones presidenciales de los Estados Unidos de 2016, Facebook se negó a calificar la » subrepticia colección de información personal de 50 millones de usuarios » cuando fue presentada ante el Congreso para testificar sobre el papel de su compañía en una potencial campaña internacional de desinformación. La empresa no «vende» datos de usuario a los anunciantes. Pero menos de un año después, un comité parlamentario británico publicó documentos que mostraban cómo Facebook dio a algunas compañías, entre ellas Airbnb y Netflix, acceso a su plataforma a cambio de favores, sin necesidad de venta.

Hace cinco meses, la aplicación Onavo de Facebook se inició desde la App Store de Apple para recopilar datos, y a principios de este año, se dice que Facebook les pagó a usuarios de tan solo 13 años para que instalaran la aplicación “Facebook Research” en sus propios dispositivos, una aplicación destinada estrictamente para el uso de los empleados de Facebook. Facebook retiró la aplicación, pero Apple tenía en mente repercusiones adicionales: eliminó el certificado empresarial de Facebook, en el que la empresa confiaba para ejecutar sus aplicaciones internas de desarrollador.

Estas repetidas fallas en la privacidad son suficientes para que algunos usuarios eviten por completo el experimento de encriptación de extremo a extremo de Facebook.

«Si no confías en Facebook, el lugar de preocupación no es si arruinan el cifrado», dijo Green. “Quieren saber quién está hablando con quién y cuándo. El cifrado no protege eso en absoluto «.

Si no es Facebook, ¿entonces quién?

Reputacionalmente, hay al menos dos compañías que los usuarios buscan tanto para un cifrado de extremo a extremo sólido y un respaldo sólido para la privacidad y seguridad del usuario: Apple y Signal, que ejecutan respectivamente las aplicaciones iMessage y Signal Messenger.

En 2013, Open Whisper Systems desarrolló el protocolo de señal. Este protocolo de encriptación proporciona encriptación de extremo a extremo para llamadas de voz, videollamadas y mensajería instantánea, y es implementado por WhatsApp, Facebook Messenger, Allo de Google y Skype de Microsoft en diversos grados. Periodistas, defensores de la privacidad, criptógrafos e investigadores de seguridad cibernética elogian habitualmente a Signal Messenger, Signal Protocol y Open Whisper Systems.

«Use cualquier cosa de Open Whisper Systems», dijo el ex contratista de defensa de la NSA y el denunciante del gobierno Edward Snowden.

«[Signal es] mi primera opción para una conversación encriptada», dijo el investigador en seguridad cibernética y defensor de la privacidad digital Bruce Schneier.

Por otra parte, Apple ha demostrado su compromiso con la privacidad y seguridad del usuario a través de declaraciones hechas por ejecutivos de la compañía, actualizaciones para solucionar vulnerabilidades y acciones legales tomadas en los tribunales de EE. UU.

En 2016, Apple contraatacó una solicitud del gobierno de que la compañía diseñara un sistema operativo capaz de permitir que el FBI descifre un iPhone individual. Un argumento así, argumentó Apple, sería demasiado peligroso de crear. A principios del año pasado, cuando una empresa estadounidense comenzó a vender dispositivos para descifrar el iPhone, llamado GrayKey, Apple solucionó la vulnerabilidad a través de una actualización de iOS.

En repetidas ocasiones, el CEO de Apple, Tim Cook, ha apoyado la seguridad y privacidad del usuario, y dijo en 2015: «Creemos que las personas tienen un derecho fundamental a la privacidad. El pueblo estadounidense lo exige, la constitución lo exige, la moral lo exige ”.

Pero incluso con estas reputaciones esterlinas, la verdad es que la seguridad cibernética es difícil de hacer bien.

El año pasado, los investigadores de ciberseguridad encontraron una vulnerabilidad crítica en la aplicación de escritorio de Signal que permitía a los actores de amenazas obtener los mensajes de texto sin formato de los usuarios. Los desarrolladores de Signal arreglaron la vulnerabilidad dentro de las cinco horas reportadas .

La semana pasada, la aplicación FaceTime de Apple, que encripta las videollamadas entre usuarios, sufrió un error de privacidad que permitió a los actores de amenazas espiar brevemente a las víctimas . Apple corrigió el error luego de que se difundiera la noticia de la vulnerabilidad.

De hecho, varias aplicaciones de mensajería seguras, incluyendo Telegram , Viber , Confide , Allo y WhatsApp, han reportado vulnerabilidades de seguridad, mientras que otras, incluyendo Wire , se han visto afectadas por las prácticas de almacenamiento de datos.

Pero las vulnerabilidades no deben asustar a las personas para que no utilicen el cifrado de extremo a extremo. Por el contrario, deberían alentar a las personas a que encuentren la aplicación de mensajería cifrada de extremo a extremo adecuada para ellas.

No hay una talla única para todos, y eso está bien

No existe tal cosa como una aplicación de mensajería segura perfecta, de talla única, dijo la Directora Asociada de Investigación de Electronic Frontier Foundation, Gennie Gebhart, porque no existe una definición de seguridad perfecta, de talla única. .

«En la práctica, para algunas personas, seguro significa que el gobierno no puede interceptar sus mensajes», dijo Gebhart. “Para otros, seguro significa que un socio en su espacio físico no puede tomar su dispositivo y leer sus mensajes. Esas son dos tareas completamente diferentes para una aplicación ”.

Al elegir la aplicación de mensajería segura adecuada para ellos, Gebhart dijo que las personas deberían preguntar qué necesitan y qué quieren . ¿Están preocupados de que los gobiernos o los proveedores de servicios intercepten sus mensajes? ¿Están preocupados de que las personas en su entorno físico obtengan acceso a sus mensajes? ¿Están preocupados por dar su número de teléfono y perder el anonimato?

Además, vale la pena preguntar: ¿Cuáles son los riesgos de un accidente, como, por ejemplo, el envío erróneo de un mensaje no cifrado que debería estar cifrado? Y, por supuesto, ¿qué aplicación están usando los amigos y la familia?

En cuanto a las constantes noticias de vulnerabilidades en las aplicaciones de mensajería segura, Gebhart aconsejó no reaccionar de forma exagerada. La buena noticia es que, si está leyendo acerca de una vulnerabilidad en una herramienta de mensajería segura, entonces las personas que crean esa herramienta también conocerán la vulnerabilidad. (De hecho, los desarrolladores solucionaron la mayoría de las vulnerabilidades de seguridad enumeradas anteriormente). El mejor consejo en esa situación, dijo Gebhart, es actualizar su software.

«Ese es el número uno», dijo Gebhart, explicando que, aunque esta línea de defensa es «tediosa y quizás aburrida», a veces los consejos aburridos simplemente funcionan. «Cepille sus dientes, cierre su puerta, actualice su software».

La ciberseguridad es muchas cosas. Es difícil, es complejo, y es un deporte de equipo. Ese equipo te incluye a ti, el usuario. Antes de utilizar un servicio de mensajería, o conectarse en línea, recuerde seguir los consejos aburridos. Será mejor que se asegure su privacidad.

Pormalwarebytes

Google Chrome anuncia planes para mejorar la visualización de URL y la identidad del sitio web

Google Chrome anuncia planes para mejorar la visualización de URL y la identidad del sitio web

Google Chrome anuncia planes para mejorar la visualización de URL y la identidad del sitio web

Publicado: 6 de febrero de 2019 por 

«Gobreadygook ilegible» es una forma de describir las URL hoy como las conocemos, y Google ha intentado rehacer su aspecto durante años. En su último movimiento para mejorar la forma en que Chrome, y por supuesto, cómo la compañía espera que otros navegadores sigan su ejemplo, muestra la URL en su omnibox (la barra de direcciones), el equipo de Google Chrome ha hecho públicos dos proyectos que los llevan en esta dirección.

Primero, lanzaron Trickuri (pronunciado como «truco») a tiempo para una charla que tenían previsto presentar en la Conferencia Enigma 2019 . En segundo lugar, están trabajando en la creación de advertencias de direcciones URL potencialmente falsas para los usuarios de Chrome.

¡Cuidado! Algunos engaños y phishing por delante.

Trickuri es una herramienta de código abierto donde los desarrolladores pueden probar si sus aplicaciones muestran las URL de forma precisa y coherente en diferentes escenarios. Las nuevas advertencias de Chrome, por otro lado, todavía están en pruebas internas. Emily Stark, líder de seguridad de usabilidad de Google Chrome, confiesa que el desafío radica en crear reglas heurísticas que marquen adecuadamente las URL maliciosas y eviten falsos positivos.

«Nuestra heurística para detectar URLs engañosas consiste en comparar caracteres que se parecen entre sí y dominios que varían entre sí solo por una pequeña cantidad de caracteres», dijo Stark en una entrevista con WIRED . «Nuestro objetivo es desarrollar un conjunto de heurísticas que alejen a los atacantes de las URL extremadamente confusas, y un desafío clave es evitar marcar dominios legítimos como sospechosos. Es por eso que lanzamos esta advertencia lentamente, como un experimento ”.

Estos esfuerzos son parte del enfoque actual del equipo, que es la detección y el marcado de URL aparentemente dudosas.

El objetivo más grande de Google Chrome

La URL se utiliza para identificar entidades en línea. Es el primer lugar donde los usuarios buscan evaluar si están en un buen lugar o no. Pero no todos conocen los componentes que componen una URL, y mucho menos lo que significan en la sintaxis. El impulso de Google para que los propietarios de sitios web utilicen HTTPS ha afectado a los desarrolladores de navegadores y, en consecuencia, ha cambiado las preferencias de los usuarios para favorecer dichos sitios. En efecto, al presionar HTTPS, Google cambió el juego para brindar al usuario una experiencia en línea generalmente más segura.

Sin embargo, Google quiere ir más allá de esto y está preparado para aumentar el conocimiento de los usuarios sobre partes relevantes de la URL (para que puedan tomar decisiones rápidas de seguridad). Como resultado, están refinando Chrome para presentar estas partes y, al mismo tiempo, mantienen la vista de los usuarios lejos de las incoherencias irrelevantes.

En una entrevista aparte con WIRED, Adrienne Porter Felt, Gerente de Ingeniería de Google Chrome, dice esto acerca de cómo los usuarios perciben la URL : “A las personas les cuesta mucho entender las URL. Son difíciles de leer, es difícil saber en qué parte de ellos se debe confiar, y en general no creo que las URL funcionen como una buena manera de transmitir la identidad del sitio. Así que queremos avanzar hacia un lugar donde todos puedan entender la identidad web: saben con quién están hablando cuando están utilizando un sitio web y pueden razonar si pueden confiar en ellos. Pero esto significará grandes cambios en cómo y cuándo Chrome muestra las URL. Queremos cuestionar cómo se deben mostrar las URL y cuestionarlas, ya que estamos descubriendo la forma correcta de transmitir la identidad «.

Si bien todo esto puede sonar bien, nadie, ni siquiera Google, sabe cómo será la nueva URL final en este momento.

Una breve cronología de los esfuerzos de Google para cambiar la URL

A continuación se muestra una breve línea de tiempo de los intentos que Google ha realizado para que Chrome muestre la URL en el omnibox:

«… solo plantea demasiadas preguntas».

Con el nuevo esfuerzo de Google, ¿cómo afectará a los esquemas de redirección? SEO? URLs acortadas?

¿Afectará esto, con el tiempo, el comportamiento de los nuevos usuarios de Internet que ingresan URL en la barra de direcciones? Por ejemplo, ¿qué sucede si no saben que ciertos elementos de la URL están borrados (de manera predeterminada) pero ahora deben escribirse (como ingresar ‘www’) para ir a su destino deseado? ¿Comprenderán el significado de .com o .org si estos elementos se borran de la vista?

¿Cómo pueden los desarrolladores web, propietarios de negocios y consumidores prepararse para estos cambios de URL?

En este momento, hay más incertidumbre que respuestas, ya que Google admite que todavía hay mucho trabajo por hacer. Y basándose en el tono de varios portavoces en las entrevistas, la compañía también espera cierto rechazo y un cierto grado de controversia que pueda surgir de sus esfuerzos. El cambio nunca es fácil.

Vamos a vigilar este URL en la sala , ¿ vale ? Y también sigamos dando comentarios y planteando preguntas. Después de todo, esta es la forma que tiene Google de mantener a los usuarios de Chrome alejados de las amenazas basadas en URL. Si los cambios no se implementan con una precisión cuidadosa, entonces los actores de amenazas pueden encontrar una manera de evitarlos, o al menos confiar en la confusión que resulta de un despliegue deficiente de nuevos procesos.

Si bien el futuro de las URL aún es turbio, una cosa es cierta: los malos saben cómo explotar las debilidades. Por lo tanto, esperamos que, para Google y para todos los usuarios, los cambios en la visualización de URL solo sirvan para fortalecer la postura de seguridad en línea de todos.

Pormalwarebytes

Cómo navegar por Internet con seguridad en el trabajo

Cómo navegar por Internet con seguridad en el trabajo

Cómo navegar por Internet con seguridad en el trabajo

Publicado: 5 de febrero de 2019 por 

Este Día de Internet más seguro, nos unimos a Detectify, la compañía de seguridad de aplicaciones web y piratería ética,  para brindar consejos de seguridad tanto a los usuarios de Internet como a los desarrolladores web. Este artículo está dirigido a empleados de todos los niveles. Si eres un programador que busca crear sitios web seguros, visita el blog de Detectify para leer su guía de encabezados de seguridad HTTP para desarrolladores web .

Cada vez más empresas se están volviendo conscientes de la seguridad y la privacidad, como deberían ser. Cuando en años pasados, los pedidos de los departamentos de TI para un mayor presupuesto de seguridad cibernética cayeron en oídos sordos, este año, las cosas comenzaron a mejorar. De hecho, no hay nada como una serie de violaciones de seguridad para atraer la atención de las personas y los ejecutivos.

Puramente reaccionar a los eventos es un mal horrible enfoque, y las organizaciones que manejan y almacenan información confidencial del cliente han aprendido de la manera difícil. No solo pone a las empresas en modo de extinción de incendios constante, sino que también es una señal de que su actual postura de ciberseguridad puede ser inadecuada y necesita una evaluación y mejora adecuadas.

Parte de mejorar la postura de ciberseguridad de una organización tiene que ver con aumentar la conciencia de sus empleados. Al ser su primera línea de defensa, es lógico educar a los usuarios sobre las mejores prácticas de ciberseguridad , así como sobre las últimas amenazas y tendencias. Además, al  proporcionar a los usuarios un conjunto de estándares para cumplir y mantener esos estándares, las organizaciones pueden  crear una cultura de seguridad intencional .

El desarrollo de estos regímenes de entrenamiento requiere mucho tiempo, esfuerzo y quizás un brazo y una pierna metafóricos. No se desanime. Las empresas pueden comenzar a mejorar su postura de seguridad ahora compartiendo con los empleados una guía útil y útil sobre cómo navegar de forma segura por Internet en el trabajo, ya sea en una computadora de escritorio, una computadora portátil o un teléfono móvil.

Navegación segura por Internet en el trabajo: una guía

Tenga en cuenta que es posible que parte de lo que se enumera a continuación ya esté en la Política de seguridad de Internet para empleados de su empresa, pero en caso de que no tenga una política vigente (aún), la lista a continuación es un buen punto de partida.

Asegúrese de que sus navegadores instalados en la máquina de su trabajo estén actualizados. El departamento de TI puede ser responsable de actualizar los sistemas operativos (SO) de los empleados en dispositivos remotos e internos, así como otros programas críticos para el negocio. Sin embargo, puede que no sea su trabajo actualizar el software que ha instalado usted mismo, como su navegador preferido. La regla número uno cuando se navega por Internet es asegurarse de que su navegador esté actualizado. Amenazas como sitios web maliciosos, anuncios maliciososy kits de explotación pueden encontrar su camino a través de las vulnerabilidades que los navegadores obsoletos dejan atrás.

Mientras lo hace, la actualización de otro software en sus dispositivos de trabajo evita que las amenazas basadas en el navegador encuentren otras formas en su sistema. Si TI no lo cubre, actualice su compresor de archivos, programa anti-malware , aplicaciones de productividad e incluso reproductores de medios. Es una tarea tediosa y, a menudo, lenta, pero, digamos, la actualización es parte de poseer un software. Puede usar un programa de actualización de software para que la prueba sea más manejable. Pero no olvides actualizar tu actualizador, también.

Si tiene programas de software que ya no usa o necesita, desinstálelos. Seamos prácticos: realmente no hay razón para mantener el software si ha dejado de usarlo o si es solo una parte del software que viene con su computadora. También es probable que, dado que no estás usando ese software, está increíblemente desactualizado, por lo que es una vía fácil de explotar para los malos. Así que hazte un favor y deshazte. Ese es un programa menos para actualizar.

Conoce tu navegador y aprovecha al máximo sus funcionalidades.  Los navegadores modernos como Brave, Vivaldi y Microsoft Edge se han lanzado de forma bastante diferente a sus predecesores. Aparte de sus atractivos esquemas de personalización, también presumen de ser seguros (o privados) de forma predeterminada. Por el contrario, los navegadores que han existido durante mucho tiempo siguen mejorando estos aspectos, así como su versatilidad y rendimiento.

Independientemente del navegador que utilice, asegúrese de revisar sus configuraciones (si aún no lo ha hecho) y configúrelas teniendo en cuenta la seguridad y la privacidad. El US-CERT tiene información más detallada sobre cómo proteger los navegadores, que puede leer aquí .

Abstenerse de visitar sitios que sus colegas o jefes desaprueban si miran por encima de su hombro.  La mayoría de los empleados saben que visitar y navegar a sitios que no son seguros para el trabajo (NSFW) es un no-no, pero aún así lo hacen. El problema es que esto no solo da la bienvenida al malware y otras amenazas que se dirigen a los visitantes de dichos sitios, sino que también puede resultar en ser acusado, legítimamente o no, de acoso sexual . La navegación en sitios de naturaleza pornográfica podría hacer que los compañeros de trabajo sean incómodos y, si el comportamiento es generalmente tolerado por los latones, la empresa podría ser objeto de un reclamo de entorno hostil . Así que si los hackers no te asustan, tal vez una demanda lo hará.

Utilice un administrador de contraseñas. Puede parecer que este consejo está fuera de lugar, pero lo incluimos por una razón. Los administradores de contraseñas no solo almacenan una multitud de contraseñas y las mantienen seguras. También pueden impedir que su navegador complete previamente los campos en sitios aparentemente legítimos, pero en última instancia, maliciosos, lo que lo convierte en un improbable protector contra los intentos de phishing. Por lo tanto, la próxima vez que reciba un correo electrónico de su «banco» informándole que hay una infracción y debe actualizar su contraseña, y su administrador de contraseñas se niega a completar esa información, examine la URL en la barra de direcciones con cuidado. Puede que estés en un sitio en el que no quieras estar.


Lee: ¿Por qué no necesitas 27 contraseñas diferentes?


Considere instalar aplicaciones que actúen como otra capa de protección. Hay un montón de fantásticas aplicaciones de navegador por las que un empleado consciente de la privacidad y la seguridad puede beneficiarse enormemente. Los bloqueadores de anuncios, por ejemplo, pueden eliminar anuncios en sitios que han sido utilizados por actores maliciosos antes en campañas de publicidad maliciosa. Los bloqueadores del rastreador permiten bloquear los rastreadores en los sitios que controlan su comportamiento y recopilan información sobre ellos sin su consentimiento. Los bloqueadores de secuencias de comandos deshabilitan o impiden la ejecución de secuencias de comandos del navegador, que los delincuentes pueden utilizar incorrectamente. Otras aplicaciones, como HTTPS Everywhere , obligan al navegador a dirigir a los usuarios a las versiones HTTPS disponibles de los sitios web.

Considere la posibilidad de sandboxing. Un sandbox es un software que emula un entorno en el que se puede navegar por Internet y ejecutar programas independientemente del punto final real. Normalmente se usa para probar y analizar archivos para verificar si son seguros de implementar y ejecutar.

No estamos diciendo que los empleados deben saber cómo analizar los archivos (aunque con felicitaciones, si puede). Solo los empleados que normalmente abren archivos adjuntos de sus correos electrónicos personales, se topan con sitios que pueden considerarse imprecisos en el mejor de los casos , o que desean revisar los programas de proveedores externos, lo hacen en una configuración segura y aislada de la red de su oficina. Aquí hay una lista de software gratuito de sandbox  que puede leer más sobre si está interesado en probar uno.

Supongamos que eres un objetivo. No muchos empleados quisieran admitir esto. De hecho, puede que no haya cruzado sus mentes hasta ahora. A muchas empresas pequeñas, por ejemplo, les gustaría pensar que no pueden ser blanco de ataques cibernéticos porque los delincuentes no persiguen a “el pequeño”. Pero varias encuestas, inteligencia e investigación cuentan una historia diferente.

Los empleados necesitan cambiar su forma de pensar. Cada vez que nos conectamos al trabajo, ya sea por razones válidas o no, estamos poniendo en riesgo a nuestras empresas. Por lo tanto, debemos tomar la iniciativa de navegar de manera segura, adoptar las mejores prácticas de seguridad cibernética y aceptar sesiones de capacitación con mentes abiertas. Tenga en cuenta que hay mucho en juego en el entorno de la oficina, y que un solo clic del mouse en un enlace defectuoso puede hacer que todo un negocio se caiga. ¿Quieres ser la persona responsable?

Estamos todos juntos en esto

Cuando se trata de evitar que las amenazas en línea se infiltren en la red de su organización y mantengan seguros los datos confidenciales de la empresa y los clientes, es cierto que ya no son solo preocupaciones de TI. La seguridad cibernética y la privacidad son y deberían ser la preocupación de todos los empleados, desde el rango y el archivo hasta el nivel gerencial y ejecutivo .

De hecho, nadie debe estar exento de la capacitación continua en seguridad cibernética, ni los funcionarios de alto rango deben seguir pensando que las políticas de la empresa no se aplican a ellos. Si todos los empleados pueden adherirse a la sencilla guía anterior, creemos que las organizaciones de todos los tamaños ya están en una mejor posición de seguridad que antes. Sin embargo, este es solo el primer paso. Todavía existe la necesidad de que las organizaciones evalúen sus necesidades de ciberseguridad y privacidad, para que puedan invertir efectivamente en herramientas y servicios que ayuden a proteger mejor su entorno de trabajo único. Independientemente de los cambios que decidan implementar que requieran la participación de los empleados, los funcionarios de TI y de alto rango deben asegurarse de que todos participen juntos.

¡Mantenerse a salvo!

Más publicaciones del blog del Día de Internet más seguro:

Pormalwarebytes

Una semana en seguridad informática (28 de enero – 3 de febrero)

Una semana en seguridad (28 de enero - 3 de febrero)

Una semana en seguridad informática (28 de enero – 3 de febrero)

Publicado: 4 de febrero de 2019 por 

La semana pasada, publicamos otra en nuestra entrevista con una serie de cazadores de malware , explicamos una vulnerabilidad de FaceTime y nos sumergimos profundamente en un nuevo ladrón . También arrojamos algo de luz   sobre una violación de datos de Houzz , y lo que sucedió exactamente entre Apple y Facebook .

Otras noticias de ciberseguridad.

  • Kwik Fit golpeado por malware: especialista en servicio de automóviles se encuentra con problemas cuando los sistemas se desconectan . (Fuente: BBC)
  • Mozilla publica una política de seguimiento : Mozilla expande su visión de lo que es y no es aceptableen el seguimiento de la tierra. (Fuente: Mozilla)
  • Distracción de los parlantes inteligentes : cómo puede ahogar de manera efectiva a su interlocutor inteligente con un poco de distracción. (Fuente: El Registro)
  • Ataque de privacidad dirigido a usuarios de 3/4 / 5G : torres móviles falsas teóricas están de vuelta en el negocio, con una inversión en el monitoreo de las actividades del propietario del dispositivo . (Fuente: Help Net Security)
  • Cómo piratearon mi Instagram : una buena advertencia sobre los peligros de la reutilización de la contraseña . (Fuente: Naked Security)
  • Ladrones de identidad en las redes sociales : los estafadores no se detendrán ante nada para atraer el corazón y ganar un poco de dinero en el trato. (Fuente: ABC news)
  • Otra casa inteligente hackeada : una familia relata su horror al ver que partes de su casa se abren para la diversión de alguien . (Fuente: Komando)
  • Mashup de Facebook : los planes para combinar Whatsapp, Instagram y Facebook Messenger se revelancon preguntas de seguridad planteadas. (Fuente: New York Times)
  • Los ataques de suplantación de identidad (phishing) continúan aumentando : las preocupantes estadísticas a través de los expertos de seguridad encuestados que coinciden en un gran número en que el phishing está en el mismo nivel o más alto que antes. (Fuente: Mashable)
  • Los investigadores descubren un servicio de hospedaje amigable con el malware : después de un aumento en las infecciones, los investigadores rastrean las cosas hasta un host que parecía un » nido de malware de avispón » ”(Fuente: TechCrunch)
Pormalwarebytes

Violación de datos de Houzz: ¿Por qué informar a sus clientes es la llamada correcta?

Violación de datos de Houzz: ¿Por qué informar a sus clientes es la llamada correcta?

Violación de datos de Houzz: ¿Por qué informar a sus clientes es la llamada correcta?

Publicado: 1 de febrero de 2019 por 

Houzz es una plataforma en línea dedicada a la renovación y el diseño de casas. Hoy (1 de febrero de 2019), notificaron a sus clientes sobre una violación de datos que supuestamente ocurrió en diciembre de 2018.

Las violaciones de datos desafortunadamente se han convertido en un evento común. De hecho, apodamos 2018 el año del tsunami de brecha de datos . Además, Houzz no es una corporación gigante con millones de clientes. Entonces, ¿por qué estamos escribiendo sobre esto, puede preguntar? Principalmente porque creemos que hay algunas corporaciones gigantes que pueden aprender de este evento como un ejemplo sobre cómo manejar una violación de datos de manera adecuada.

Giro de vuelta

Descubrir e informar a sus clientes sobre una violación que ocurrió hace menos de dos meses es mucho mejor que lo que hemos visto recientemente. No esperaron a que se terminara la investigación sobre cómo ocurrió la violación. Tan pronto como supieron lo que fue robado, decidieron informar a los afectados. Por supuesto, es imperativo que obtenga esta información en las manos de sus clientes tan pronto como sea posible. Probablemente, este sea el motivo por el cual una investigación forense líder está llevando a cabo la investigación. La policía también ha sido notificada.

Informar a los clientes

Houzz informó a sus clientes directamente por correo electrónico, así como en su sitio web, sobre la violación. Ellos dijeron:

Houzz supo recientemente que un tercero no autorizado había obtenido un archivo que contenía algunos de nuestros datos de usuario.

El correo comienza con esta divulgación, continúa explicando qué sucedió y qué información fue robada. También contiene un enlace a su sitio web, donde puede encontrar más información .

Clientes de correo Houzz

La información proporcionada es concisa y precisa, no solo una observación general de que no se robó información financiera, lo que afortunadamente no fue robada. Houzz incluyó una lista de información que fue robada.

Los siguientes tipos de información podrían haber sido afectados por este incidente:

  • Cierta información públicamente visible del perfil Houzz de un usuario solo si el usuario hizo pública esta información (por ejemplo, nombre, apellido, ciudad, estado, país, descripción del perfil)
  • Ciertos identificadores internos y campos que no tienen un significado discernible para nadie fuera de Houzz (por ejemplo, país del sitio utilizado, si un usuario tiene una imagen de perfil)
  • Cierta información de cuenta interna (p. Ej., ID de usuario, nombres de usuario anteriores de Houzz, contraseñas cifradas unidireccionadas con un nombre único por usuario, dirección IP, ciudad y código postal deducidos de la dirección IP) y cierta información de cuenta disponible públicamente (p. Ej., Nombre de usuario actual de Houzz y si un usuario inicia sesión en Houzz a través de Facebook, la ID pública de Facebook del usuario)

Es importante destacar que este incidente no involucra números de Seguro Social, tarjetas de pago, cuentas bancarias u otra información financiera.

En el sitio web, los clientes pueden encontrar información detallada sobre cómo cambiar su contraseña. Y, como hemos hecho en el pasado, recomiendan a sus clientes que usen una contraseña única para cada servicio,  que no tiene por qué ser una molestia tan grande como cabría esperar.

Mejoras

Houzz anunció mejoras de seguridad sin entrar en detalles. Si bien los clientes pueden encontrar esto vago, tiene sentido retener los detalles, ya que la investigación está en curso, y no querrían que los actores de amenazas sean  más sabios. Al ver que ya estaban usando contraseñas cifradas unidireccionales con una sal única para cada usuario fue ciertamente alentador.

Tratar con las violaciones de datos

Las infracciones de datos ocurren todo el tiempo. Sucede lo mejor de las empresas. Es la forma en que esas organizaciones tratan con ellos lo que puede salvar la cara. Lo que otros negocios pueden quitar de este ejemplo:

  • Informe a los clientes tan pronto como tenga sentido y sea preciso sobre la información robada.
  • Acércate a tus clientes directamente. No dejes que lo lean en los periódicos o en las redes sociales.
  • Involucrar a la policía y una firma especializada en investigaciones forenses.
  • Aprende de lo que salió mal y mejora en eso.