¿Debes eliminarte de las redes sociales?

¿Debes eliminarte de las redes sociales?

¿Debes eliminarte de las redes sociales?

Publicado: 14 de febrero de 2019 por 

Te sientes como si hubieras tenido suficiente. Todas las noticias recientes, desde el error de Cambridge Analytica de Facebook hasta varios abusos de las vulnerabilidades de Twitter, me preguntan: ¿Debo eliminarme de las redes sociales?

Las redes sociales tienen sus aspectos positivos. Puede mantenerse en contacto con familiares lejanos (o no), ser incluido en la planificación de eventos sociales dentro de su círculo de amigos, recibir actualizaciones en tiempo real de noticias regionales y nacionales, y promover su empresa, contenido u otras empresas personales. Además, puedes experimentar todos los memes geniales  dos semanas después de haber sido publicados en Reddit.

Por otra parte, hay bastantes razones, que abarcan la seguridad, la privacidad y las prácticas comerciales sombrías en general, para irse. Solo en 2018, Facebook experimentó una brecha de seguridad que afectó a 50 millones de cuentas , fue responsable de  un genocidio incitado mediante el uso de su plataforma, mantuvo los datos del usuario que dijo que eliminó y se descubrió que estaba abusando de las aplicaciones de desarrollo de Apple para probar en niños. Twitter, mientras tanto, no solo ha estado en el extremo final de los errores de contraseña , los piratas informáticos y las violaciones de datos , sino que algunos podrían decir que estos días es un incendio general de las cuentas de bots.

Instagram y Snapchat tampoco carecen de defectos. Los piratas informáticos están apuntando a las cuentas de personas influyentes en Insta, mientras que Snapchat ha recibido ataques de suplantación de identidad y violaciones de seguridad .

Desafortunadamente, no podemos tomar la decisión de dejar las redes sociales por ti. En su lugar, le recomendamos que haga una lista de pros y contras. Considere qué datos podrían perderse. Considere qué tiempo y paz mental se puede ganar. Sopesar las recompensas contra los riesgos. Si se retira con ganas de dar un paso atrás, pero no del todo sin dejar de fumar, podemos ayudarlo a mejorar la configuración de seguridad y privacidad. Y si eso no es suficiente, le mostraremos cómo eliminar sus cuentas.

Vamos a empezar lentamente

Si no estás listo para cortar el acorde, una buena opción para refrescarte en las redes sociales es ajustar la configuración de privacidad en todas tus cuentas. Esto es algo sensato de hacer, incluso si no está considerando irse. También tiene el efecto secundario adicional de aumentar la conciencia de cuánto compartes en las redes sociales.

En un blog anterior, discutimos cómo asegurar sus perfiles de redes sociales con gran detalle. Recomendamos a los usuarios que no se están eliminando a sí mismos, lea esto primero para comprender las complejidades. A continuación, le ofrecemos una lista rápida y sucia de enlaces a seguir para ajustar la configuración de privacidad en las cuatro plataformas de redes sociales más importantes:

Después de ajustar la configuración, es una buena idea monitorear y hacer un seguimiento del uso de las redes sociales para avanzar, ya sea con el fin de administrar el tiempo, concentrarse o vencer la adicción a las redes sociales. A medida que más y más de nuestro consumo de medios se traslada a los teléfonos inteligentes, puede aprovechar varias aplicaciones que lo ayudarán a alcanzar estos objetivos. Éstos incluyen:

¡Adiós, top cuatro!

Digamos que te sentaste, pensaste bien y decidiste que es hora de pasar de las redes sociales. Puedes comenzar por recoger los enlaces apropiados. A continuación, hemos incluido enlaces para descargar sus datos desde las plataformas más populares. Debe descargar su información personal de estos sitios de redes sociales antes de la opción nuclear, en caso de que experimente remordimientos. Además, es realmente revelador descubrir exactamente la cantidad de datos que genera y comparte en las plataformas de redes sociales.

Facebook

Tiempo para la eliminación permanente: una  vez que hayan transcurrido 14 días, se iniciará su solicitud de eliminación. Esto puede tardar más de 90 días en completarse.

Gorjeo

Tiempo para la eliminación permanente:  Twitter tarda hasta 30 días en eliminar por completo su cuenta.

Instagram

Tiempo para la eliminación permanente:  inmediatamente!

Snapchat

Tiempo hasta la eliminación permanente:  30 días.

Google+

Ja ja ja, ho ho ho, he he he he. Este es principalmente para las risitas. Google abandonará este esfuerzo en particular el 2 de abril de 2019. Pero si siente la necesidad de eliminarse antes de eso, esto es lo que debe hacer:

El tiempo justo

A los investigadores de seguridad les encantan las plataformas de redes sociales. Son una gran fuente de inteligencia de código abierto ( OSINT ) y nos ayudan a hacer posible la atribución (siempre que su adversario tenga una mala OPSEC ). Sin embargo, las razones por las que disfrutamos de las redes sociales también pueden ser las razones por las que los consumidores regulares deberían tomar un impulso y considerar los beneficios.

Cuando esté listo para tomar una decisión, le brindamos todos los enlaces necesarios para realizar copias de seguridad y eliminar estas cuentas, así como también algunos materiales que pueden ayudarlo a decidir cuáles conservar y cómo protegerlos adecuadamente.

Si los medios sociales están causando ansiedad, estrés o depresión; si está cansado de que sus datos se extraigan y compartan con terceros; Si está empezando a sentirse más como un trabajo para mantener en lugar de placer, entonces puede ser el momento de reforzar las defensas y tomar un descanso, o incluso alejarse para siempre. Y si ese momento llega, estamos aquí para ti.

Kits de explotaciones: invierno 2019 revisión

Kits de explotaciones: invierno 2019 revisión

Kits de explotaciones: invierno 2019 revisión

Publicado: 12 de febrero de 2019 por 
Última actualización: 11 de febrero de 2019

Las campañas de publicidad maliciosa en diciembre y el nuevo año han evitado que la actividad de los kits de explotaciones hibernen en el invierno de 2019. En su mayoría observamos Fallout y RIG con la aparición ocasional y limitada de GrandSoft para una orientación geográfica más amplia.

Además, los kits de exploits con un enfoque limitado como Magnitude, Underminer y GreenFlash Sundown se mantuvieron en el mismo camino: entregar ransomware a países mayormente asiáticos, y en particular a Corea del Sur.

Resumen de invierno 2019

  • Fallout EK
  • RIG EK
  • GrandSoft EK
  • Magnitud EK
  • Socavador ek
  • GreenFlash Sundown EK

De Internet Explorer  CVE-2018-8174  y de flash  CVE-2018-4878  siguen siendo las vulnerabilidades más comunes en todos los ámbitos, a pesar de que un par exploits han integrado la más reciente de Flash CVE-2.018-15.982 .

Fallout EK

Fallout sigue trayendo aire fresco a una atmósfera por otra parte obsoleta mediante la introducción de nuevas funciones e incluso la adopción de nuevas vulnerabilidades. También parece ser un buen marco experimental para algunos actores que han personalizado la entrega de la carga útil. Fallout fue el segundo kit de explotación para agregar  CVE-2018-15982 , una vulnerabilidad más reciente para Flash Player.

RIG EK

Good old RIG todavía está dando vueltas, pero ha tomado un asiento trasero ante el nuevo Fallout en muchas de las cadenas de malvertising que rastreamos, excepto quizás por Fobos . No ha habido cambios notables para informar desde la última vez que lo revisamos.

GrandSoft EK

GrandSoft y su carga útil Ramnit todavía van de la mano a través de una distribución limitada vinculada a sitios web comprometidos. Es quizás uno de los kits de explotación menos sofisticados en el mercado en este momento.

Magnitud EK

Mientras tanto, Magnitude EK está activa y servida a través de cadenas de publicidad maliciosa, con un enfoque en algunos países APAC como Corea del Sur. Magnitude continúa entregando su carga útil de ransomware Magniber sin archivos.

Socavador ek

Los esquemas de encriptación over-the-top de Underminer para ocultar sus proezas nos mantienen a los investigadores honestos cuando intentamos identificar exactamente qué hay debajo del capó. Vale la pena señalar que solo unos pocos días después de la publicación de Flash day-day y Proof of Concept (PoC) ( CVE-2018-15982 ), Underminer ya lo estaba implementando  .

GreenFlash Sundown EK

GreenFlash Sundown, también un kit de exploits geográfico específico, ha estado entregando varias razas de ransomware a objetivos en Asia. En nuestra última captura, lo vimos soltar el ransomware Seon en usuarios de Corea del Sur.

Mitigación

Si bien los parches oportunos y la evitación de Internet Explorer como navegador web ofrecerían protección contra los kits de explotación mencionados anteriormente, la realidad es que muchos usuarios (especialmente en entornos corporativos) todavía están detrás. Además, mientras que el IE se está eliminando gradualmente en América del Norte, todavía es muy adoptado en los países asiáticos, lo que explica por qué están siendo atacados actualmente.

La tecnología anti-exploit de Malwarebytes bloquea cada uno de estos kits de exploits (Fallout, RIG, GrandSoft, Magnitude, Underminer y GreenFlash Sundown) antes de que tengan la oportunidad de reducir su carga útil.

A medida que avanzamos en 2019, podemos decir que los kits de exploits, aunque no se acercan a su actividad máxima en 2017, aún se mantienen, y se utilizan principalmente en campañas de distribución de publicidad maliciosa. En términos de actividad global, Fallout lidera la carga, proporcionando las campañas y la carga útil más diversas. Mientras tanto, los EK específicos de Asia continúan en su mayor parte con su patrón habitual de impulsar la innovación (hasta cierto punto) y distribuir ransomware.

Fusionar Facebook Messenger, WhatsApp e Instagram: un obstáculo técnico y de reputación

Fusionar Facebook Messenger, WhatsApp e Instagram: un obstáculo técnico y de reputación

Fusionar Facebook Messenger, WhatsApp e Instagram: un obstáculo técnico y de reputación

Publicado: 7 de febrero de 2019 por 

Se supone que la mensajería segura es solo eso: segura. Eso significa que no hay puertas traseras, cifrado sólido, mensajes privados que permanecen privados y, para algunos usuarios, la capacidad de comunicarse de forma segura sin entregar toneladas de datos personales.

Por lo tanto, cuando se produjera la noticia, el paria de privacidad en línea y escándalo de Facebook expandiría la mensajería segura a través de sus aplicaciones Messenger, WhatsApp e Instagram, una amplia comunidad de criptógrafos, legisladores y usuarios preguntaron: ¿Espere, qué?

La tecnología no solo es difícil de implementar, sino que la compañía que la implementa tiene un historial deficiente tanto en la privacidad del usuario como en la seguridad en línea.

El 25 de enero, el New York Times informó que el CEO de Facebook, Mark Zuckerberg, había comenzado los planes para integrar las tres plataformas de mensajería de la compañía en un solo servicio, permitiendo a los usuarios comunicarse entre ellos a través de aplicaciones móviles separadas. Según el New York Times, Zuckerberg “ordenó que todas las aplicaciones incorporen cifrado de extremo a extremo”.

La respuesta inicial fue dura.

En el extranjero, la Comisión de Protección de Datos de Irlanda, que regula Facebook en la Unión Europea, solicitó de inmediato una “sesión informativa urgente” de la compañía, advirtiendo que las propuestas anteriores de intercambio de datos plantearon “problemas importantes de protección de datos”.

En los Estados Unidos, el senador demócrata Ed Markey de Massachusetts dijo en una declaración : “No podemos permitir que la integración de la plataforma se convierta en una desintegración de la privacidad”.

Los tecnólogos de seguridad cibernética oscilaron entre el optimismo cauteloso y la simple cautela.

Algunos profesionales se enfocaron en los beneficios claros de habilitar el cifrado de extremo a extremo en las plataformas de mensajería de Facebook, enfatizando que cualquier cifrado de extremo a extremo es mejor que ninguno.

El ex ingeniero de software de Facebook Alec Muffet, quien dirigió el equipo que agregó el cifrado de extremo a extremo a Facebook Messenger , dijo en Twitter que el plan de integración “claramente maximiza la privacidad que se brinda a la mayor cantidad de personas y es una buena idea”. ”

Otros cuestionaron los motivos y la reputación de Facebook, examinando el modelo de negocios establecido por la compañía de la recolección de cantidades masivas de datos de usuarios para entregar anuncios dirigidos.

El profesor asociado y criptógrafo de la Universidad John Hopkins, Matthew Green, dijo en Twitter que “este movimiento podría ser bueno o malo para la seguridad / privacidad. Pero dada la historia reciente y las motivaciones financieras de Facebook, no apostaría el dinero de mi almuerzo en “bueno”.

El 30 de enero, Zuckerberg confirmó el plan de integración durante una llamada trimestral de ganancias. La compañía espera completar el proyecto este año o a principios de 2020.

Va a ser una batalla cuesta arriba.

Tres aplicaciones, una mala reputación.

Fusionar tres aplicaciones de mensajería separadas es más fácil decirlo que hacerlo.

En una entrevista telefónica, Green dijo que el obstáculo tecnológico inmediato de Facebook será la integración de “tres sistemas diferentes, uno que no tenga ningún cifrado de extremo a extremo, uno donde sea predeterminado y otro con una función opcional”.

Actualmente, los servicios de mensajería en WhatsApp, Facebook Messenger e Instagram tienen diversos grados de encriptación de extremo a extremo. WhatsApp proporciona cifrado de extremo a extremo predeterminado, mientras que Facebook Messenger proporciona cifrado de extremo a extremo opcional si los usuarios activan las “Conversaciones secretas”. Instagram no ofrece cifrado de extremo a extremo en su servicio de mensajería.

Además, Facebook Messenger, WhatsApp e Instagram tienen características separadas, como la capacidad de Facebook Messenger para admitir más de un dispositivo y el soporte de WhatsApp para conversaciones grupales, junto con clientes de escritorio o web independientes.

Green dijo que se imagina que alguien utilice el cliente web de Facebook Messenger, que actualmente no admite el cifrado de extremo a extremo, iniciando una conversación con un usuario de WhatsApp, donde el cifrado se establece de forma predeterminada. Estos lapsos en el cifrado predeterminado, dijo Green, podrían crear vulnerabilidades. El desafío está en reunir todos esos sistemas con todas esas variables.

“Primero, es probable que Facebook tenga que crear una plataforma y luego mover todos esos sistemas diferentes a un sistema un tanto compatible, que, por lo que puedo decir, incluiría la centralización de servidores clave, usando el mismo protocolo y un montón de desarrollo técnico. Eso tiene que pasar ”, dijo Green. “No es imposible. Solo duro “.

Pero hay más en el éxito de Facebook que el conocimiento técnico de sus ingenieros. También está su reputación, que, en los últimos tiempos, presenta a la empresa como un barón de los datos de hoy en día, planteándose en fallas en la privacidad después de una falla en la privacidad.

Después de las elecciones presidenciales de los Estados Unidos de 2016, Facebook se negó a calificar la ” subrepticia colección de información personal de 50 millones de usuarios ” cuando fue presentada ante el Congreso para testificar sobre el papel de su compañía en una potencial campaña internacional de desinformación. La empresa no “vende” datos de usuario a los anunciantes. Pero menos de un año después, un comité parlamentario británico publicó documentos que mostraban cómo Facebook dio a algunas compañías, entre ellas Airbnb y Netflix, acceso a su plataforma a cambio de favores, sin necesidad de venta.

Hace cinco meses, la aplicación Onavo de Facebook se inició desde la App Store de Apple para recopilar datos, y a principios de este año, se dice que Facebook les pagó a usuarios de tan solo 13 años para que instalaran la aplicación “Facebook Research” en sus propios dispositivos, una aplicación destinada estrictamente para el uso de los empleados de Facebook. Facebook retiró la aplicación, pero Apple tenía en mente repercusiones adicionales: eliminó el certificado empresarial de Facebook, en el que la empresa confiaba para ejecutar sus aplicaciones internas de desarrollador.

Estas repetidas fallas en la privacidad son suficientes para que algunos usuarios eviten por completo el experimento de encriptación de extremo a extremo de Facebook.

“Si no confías en Facebook, el lugar de preocupación no es si arruinan el cifrado”, dijo Green. “Quieren saber quién está hablando con quién y cuándo. El cifrado no protege eso en absoluto “.

Si no es Facebook, ¿entonces quién?

Reputacionalmente, hay al menos dos compañías que los usuarios buscan tanto para un cifrado de extremo a extremo sólido y un respaldo sólido para la privacidad y seguridad del usuario: Apple y Signal, que ejecutan respectivamente las aplicaciones iMessage y Signal Messenger.

En 2013, Open Whisper Systems desarrolló el protocolo de señal. Este protocolo de encriptación proporciona encriptación de extremo a extremo para llamadas de voz, videollamadas y mensajería instantánea, y es implementado por WhatsApp, Facebook Messenger, Allo de Google y Skype de Microsoft en diversos grados. Periodistas, defensores de la privacidad, criptógrafos e investigadores de seguridad cibernética elogian habitualmente a Signal Messenger, Signal Protocol y Open Whisper Systems.

“Use cualquier cosa de Open Whisper Systems”, dijo el ex contratista de defensa de la NSA y el denunciante del gobierno Edward Snowden.

“[Signal es] mi primera opción para una conversación encriptada”, dijo el investigador en seguridad cibernética y defensor de la privacidad digital Bruce Schneier.

Por otra parte, Apple ha demostrado su compromiso con la privacidad y seguridad del usuario a través de declaraciones hechas por ejecutivos de la compañía, actualizaciones para solucionar vulnerabilidades y acciones legales tomadas en los tribunales de EE. UU.

En 2016, Apple contraatacó una solicitud del gobierno de que la compañía diseñara un sistema operativo capaz de permitir que el FBI descifre un iPhone individual. Un argumento así, argumentó Apple, sería demasiado peligroso de crear. A principios del año pasado, cuando una empresa estadounidense comenzó a vender dispositivos para descifrar el iPhone, llamado GrayKey, Apple solucionó la vulnerabilidad a través de una actualización de iOS.

En repetidas ocasiones, el CEO de Apple, Tim Cook, ha apoyado la seguridad y privacidad del usuario, y dijo en 2015: “Creemos que las personas tienen un derecho fundamental a la privacidad. El pueblo estadounidense lo exige, la constitución lo exige, la moral lo exige ”.

Pero incluso con estas reputaciones esterlinas, la verdad es que la seguridad cibernética es difícil de hacer bien.

El año pasado, los investigadores de ciberseguridad encontraron una vulnerabilidad crítica en la aplicación de escritorio de Signal que permitía a los actores de amenazas obtener los mensajes de texto sin formato de los usuarios. Los desarrolladores de Signal arreglaron la vulnerabilidad dentro de las cinco horas reportadas .

La semana pasada, la aplicación FaceTime de Apple, que encripta las videollamadas entre usuarios, sufrió un error de privacidad que permitió a los actores de amenazas espiar brevemente a las víctimas . Apple corrigió el error luego de que se difundiera la noticia de la vulnerabilidad.

De hecho, varias aplicaciones de mensajería seguras, incluyendo Telegram , Viber , Confide , Allo y WhatsApp, han reportado vulnerabilidades de seguridad, mientras que otras, incluyendo Wire , se han visto afectadas por las prácticas de almacenamiento de datos.

Pero las vulnerabilidades no deben asustar a las personas para que no utilicen el cifrado de extremo a extremo. Por el contrario, deberían alentar a las personas a que encuentren la aplicación de mensajería cifrada de extremo a extremo adecuada para ellas.

No hay una talla única para todos, y eso está bien

No existe tal cosa como una aplicación de mensajería segura perfecta, de talla única, dijo la Directora Asociada de Investigación de Electronic Frontier Foundation, Gennie Gebhart, porque no existe una definición de seguridad perfecta, de talla única. .

“En la práctica, para algunas personas, seguro significa que el gobierno no puede interceptar sus mensajes”, dijo Gebhart. “Para otros, seguro significa que un socio en su espacio físico no puede tomar su dispositivo y leer sus mensajes. Esas son dos tareas completamente diferentes para una aplicación ”.

Al elegir la aplicación de mensajería segura adecuada para ellos, Gebhart dijo que las personas deberían preguntar qué necesitan y qué quieren . ¿Están preocupados de que los gobiernos o los proveedores de servicios intercepten sus mensajes? ¿Están preocupados de que las personas en su entorno físico obtengan acceso a sus mensajes? ¿Están preocupados por dar su número de teléfono y perder el anonimato?

Además, vale la pena preguntar: ¿Cuáles son los riesgos de un accidente, como, por ejemplo, el envío erróneo de un mensaje no cifrado que debería estar cifrado? Y, por supuesto, ¿qué aplicación están usando los amigos y la familia?

En cuanto a las constantes noticias de vulnerabilidades en las aplicaciones de mensajería segura, Gebhart aconsejó no reaccionar de forma exagerada. La buena noticia es que, si está leyendo acerca de una vulnerabilidad en una herramienta de mensajería segura, entonces las personas que crean esa herramienta también conocerán la vulnerabilidad. (De hecho, los desarrolladores solucionaron la mayoría de las vulnerabilidades de seguridad enumeradas anteriormente). El mejor consejo en esa situación, dijo Gebhart, es actualizar su software.

“Ese es el número uno”, dijo Gebhart, explicando que, aunque esta línea de defensa es “tediosa y quizás aburrida”, a veces los consejos aburridos simplemente funcionan. “Cepille sus dientes, cierre su puerta, actualice su software”.

La ciberseguridad es muchas cosas. Es difícil, es complejo, y es un deporte de equipo. Ese equipo te incluye a ti, el usuario. Antes de utilizar un servicio de mensajería, o conectarse en línea, recuerde seguir los consejos aburridos. Será mejor que se asegure su privacidad.

Google Chrome anuncia planes para mejorar la visualización de URL y la identidad del sitio web

Google Chrome anuncia planes para mejorar la visualización de URL y la identidad del sitio web

Google Chrome anuncia planes para mejorar la visualización de URL y la identidad del sitio web

Publicado: 6 de febrero de 2019 por 

“Gobreadygook ilegible” es una forma de describir las URL hoy como las conocemos, y Google ha intentado rehacer su aspecto durante años. En su último movimiento para mejorar la forma en que Chrome, y por supuesto, cómo la compañía espera que otros navegadores sigan su ejemplo, muestra la URL en su omnibox (la barra de direcciones), el equipo de Google Chrome ha hecho públicos dos proyectos que los llevan en esta dirección.

Primero, lanzaron Trickuri (pronunciado como “truco”) a tiempo para una charla que tenían previsto presentar en la Conferencia Enigma 2019 . En segundo lugar, están trabajando en la creación de advertencias de direcciones URL potencialmente falsas para los usuarios de Chrome.

¡Cuidado! Algunos engaños y phishing por delante.

Trickuri es una herramienta de código abierto donde los desarrolladores pueden probar si sus aplicaciones muestran las URL de forma precisa y coherente en diferentes escenarios. Las nuevas advertencias de Chrome, por otro lado, todavía están en pruebas internas. Emily Stark, líder de seguridad de usabilidad de Google Chrome, confiesa que el desafío radica en crear reglas heurísticas que marquen adecuadamente las URL maliciosas y eviten falsos positivos.

“Nuestra heurística para detectar URLs engañosas consiste en comparar caracteres que se parecen entre sí y dominios que varían entre sí solo por una pequeña cantidad de caracteres”, dijo Stark en una entrevista con WIRED . “Nuestro objetivo es desarrollar un conjunto de heurísticas que alejen a los atacantes de las URL extremadamente confusas, y un desafío clave es evitar marcar dominios legítimos como sospechosos. Es por eso que lanzamos esta advertencia lentamente, como un experimento ”.

Estos esfuerzos son parte del enfoque actual del equipo, que es la detección y el marcado de URL aparentemente dudosas.

El objetivo más grande de Google Chrome

La URL se utiliza para identificar entidades en línea. Es el primer lugar donde los usuarios buscan evaluar si están en un buen lugar o no. Pero no todos conocen los componentes que componen una URL, y mucho menos lo que significan en la sintaxis. El impulso de Google para que los propietarios de sitios web utilicen HTTPS ha afectado a los desarrolladores de navegadores y, en consecuencia, ha cambiado las preferencias de los usuarios para favorecer dichos sitios. En efecto, al presionar HTTPS, Google cambió el juego para brindar al usuario una experiencia en línea generalmente más segura.

Sin embargo, Google quiere ir más allá de esto y está preparado para aumentar el conocimiento de los usuarios sobre partes relevantes de la URL (para que puedan tomar decisiones rápidas de seguridad). Como resultado, están refinando Chrome para presentar estas partes y, al mismo tiempo, mantienen la vista de los usuarios lejos de las incoherencias irrelevantes.

En una entrevista aparte con WIRED, Adrienne Porter Felt, Gerente de Ingeniería de Google Chrome, dice esto acerca de cómo los usuarios perciben la URL : “A las personas les cuesta mucho entender las URL. Son difíciles de leer, es difícil saber en qué parte de ellos se debe confiar, y en general no creo que las URL funcionen como una buena manera de transmitir la identidad del sitio. Así que queremos avanzar hacia un lugar donde todos puedan entender la identidad web: saben con quién están hablando cuando están utilizando un sitio web y pueden razonar si pueden confiar en ellos. Pero esto significará grandes cambios en cómo y cuándo Chrome muestra las URL. Queremos cuestionar cómo se deben mostrar las URL y cuestionarlas, ya que estamos descubriendo la forma correcta de transmitir la identidad “.

Si bien todo esto puede sonar bien, nadie, ni siquiera Google, sabe cómo será la nueva URL final en este momento.

Una breve cronología de los esfuerzos de Google para cambiar la URL

A continuación se muestra una breve línea de tiempo de los intentos que Google ha realizado para que Chrome muestre la URL en el omnibox:

“… solo plantea demasiadas preguntas”.

Con el nuevo esfuerzo de Google, ¿cómo afectará a los esquemas de redirección? SEO? URLs acortadas?

¿Afectará esto, con el tiempo, el comportamiento de los nuevos usuarios de Internet que ingresan URL en la barra de direcciones? Por ejemplo, ¿qué sucede si no saben que ciertos elementos de la URL están borrados (de manera predeterminada) pero ahora deben escribirse (como ingresar ‘www’) para ir a su destino deseado? ¿Comprenderán el significado de .com o .org si estos elementos se borran de la vista?

¿Cómo pueden los desarrolladores web, propietarios de negocios y consumidores prepararse para estos cambios de URL?

En este momento, hay más incertidumbre que respuestas, ya que Google admite que todavía hay mucho trabajo por hacer. Y basándose en el tono de varios portavoces en las entrevistas, la compañía también espera cierto rechazo y un cierto grado de controversia que pueda surgir de sus esfuerzos. El cambio nunca es fácil.

Vamos a vigilar este URL en la sala , ¿ vale ? Y también sigamos dando comentarios y planteando preguntas. Después de todo, esta es la forma que tiene Google de mantener a los usuarios de Chrome alejados de las amenazas basadas en URL. Si los cambios no se implementan con una precisión cuidadosa, entonces los actores de amenazas pueden encontrar una manera de evitarlos, o al menos confiar en la confusión que resulta de un despliegue deficiente de nuevos procesos.

Si bien el futuro de las URL aún es turbio, una cosa es cierta: los malos saben cómo explotar las debilidades. Por lo tanto, esperamos que, para Google y para todos los usuarios, los cambios en la visualización de URL solo sirvan para fortalecer la postura de seguridad en línea de todos.

Cómo navegar por Internet con seguridad en el trabajo

Cómo navegar por Internet con seguridad en el trabajo

Cómo navegar por Internet con seguridad en el trabajo

Publicado: 5 de febrero de 2019 por 

Este Día de Internet más seguro, nos unimos a Detectify, la compañía de seguridad de aplicaciones web y piratería ética,  para brindar consejos de seguridad tanto a los usuarios de Internet como a los desarrolladores web. Este artículo está dirigido a empleados de todos los niveles. Si eres un programador que busca crear sitios web seguros, visita el blog de Detectify para leer su guía de encabezados de seguridad HTTP para desarrolladores web .

Cada vez más empresas se están volviendo conscientes de la seguridad y la privacidad, como deberían ser. Cuando en años pasados, los pedidos de los departamentos de TI para un mayor presupuesto de seguridad cibernética cayeron en oídos sordos, este año, las cosas comenzaron a mejorar. De hecho, no hay nada como una serie de violaciones de seguridad para atraer la atención de las personas y los ejecutivos.

Puramente reaccionar a los eventos es un mal horrible enfoque, y las organizaciones que manejan y almacenan información confidencial del cliente han aprendido de la manera difícil. No solo pone a las empresas en modo de extinción de incendios constante, sino que también es una señal de que su actual postura de ciberseguridad puede ser inadecuada y necesita una evaluación y mejora adecuadas.

Parte de mejorar la postura de ciberseguridad de una organización tiene que ver con aumentar la conciencia de sus empleados. Al ser su primera línea de defensa, es lógico educar a los usuarios sobre las mejores prácticas de ciberseguridad , así como sobre las últimas amenazas y tendencias. Además, al  proporcionar a los usuarios un conjunto de estándares para cumplir y mantener esos estándares, las organizaciones pueden  crear una cultura de seguridad intencional .

El desarrollo de estos regímenes de entrenamiento requiere mucho tiempo, esfuerzo y quizás un brazo y una pierna metafóricos. No se desanime. Las empresas pueden comenzar a mejorar su postura de seguridad ahora compartiendo con los empleados una guía útil y útil sobre cómo navegar de forma segura por Internet en el trabajo, ya sea en una computadora de escritorio, una computadora portátil o un teléfono móvil.

Navegación segura por Internet en el trabajo: una guía

Tenga en cuenta que es posible que parte de lo que se enumera a continuación ya esté en la Política de seguridad de Internet para empleados de su empresa, pero en caso de que no tenga una política vigente (aún), la lista a continuación es un buen punto de partida.

Asegúrese de que sus navegadores instalados en la máquina de su trabajo estén actualizados. El departamento de TI puede ser responsable de actualizar los sistemas operativos (SO) de los empleados en dispositivos remotos e internos, así como otros programas críticos para el negocio. Sin embargo, puede que no sea su trabajo actualizar el software que ha instalado usted mismo, como su navegador preferido. La regla número uno cuando se navega por Internet es asegurarse de que su navegador esté actualizado. Amenazas como sitios web maliciosos, anuncios maliciososy kits de explotación pueden encontrar su camino a través de las vulnerabilidades que los navegadores obsoletos dejan atrás.

Mientras lo hace, la actualización de otro software en sus dispositivos de trabajo evita que las amenazas basadas en el navegador encuentren otras formas en su sistema. Si TI no lo cubre, actualice su compresor de archivos, programa anti-malware , aplicaciones de productividad e incluso reproductores de medios. Es una tarea tediosa y, a menudo, lenta, pero, digamos, la actualización es parte de poseer un software. Puede usar un programa de actualización de software para que la prueba sea más manejable. Pero no olvides actualizar tu actualizador, también.

Si tiene programas de software que ya no usa o necesita, desinstálelos. Seamos prácticos: realmente no hay razón para mantener el software si ha dejado de usarlo o si es solo una parte del software que viene con su computadora. También es probable que, dado que no estás usando ese software, está increíblemente desactualizado, por lo que es una vía fácil de explotar para los malos. Así que hazte un favor y deshazte. Ese es un programa menos para actualizar.

Conoce tu navegador y aprovecha al máximo sus funcionalidades.  Los navegadores modernos como Brave, Vivaldi y Microsoft Edge se han lanzado de forma bastante diferente a sus predecesores. Aparte de sus atractivos esquemas de personalización, también presumen de ser seguros (o privados) de forma predeterminada. Por el contrario, los navegadores que han existido durante mucho tiempo siguen mejorando estos aspectos, así como su versatilidad y rendimiento.

Independientemente del navegador que utilice, asegúrese de revisar sus configuraciones (si aún no lo ha hecho) y configúrelas teniendo en cuenta la seguridad y la privacidad. El US-CERT tiene información más detallada sobre cómo proteger los navegadores, que puede leer aquí .

Abstenerse de visitar sitios que sus colegas o jefes desaprueban si miran por encima de su hombro.  La mayoría de los empleados saben que visitar y navegar a sitios que no son seguros para el trabajo (NSFW) es un no-no, pero aún así lo hacen. El problema es que esto no solo da la bienvenida al malware y otras amenazas que se dirigen a los visitantes de dichos sitios, sino que también puede resultar en ser acusado, legítimamente o no, de acoso sexual . La navegación en sitios de naturaleza pornográfica podría hacer que los compañeros de trabajo sean incómodos y, si el comportamiento es generalmente tolerado por los latones, la empresa podría ser objeto de un reclamo de entorno hostil . Así que si los hackers no te asustan, tal vez una demanda lo hará.

Utilice un administrador de contraseñas. Puede parecer que este consejo está fuera de lugar, pero lo incluimos por una razón. Los administradores de contraseñas no solo almacenan una multitud de contraseñas y las mantienen seguras. También pueden impedir que su navegador complete previamente los campos en sitios aparentemente legítimos, pero en última instancia, maliciosos, lo que lo convierte en un improbable protector contra los intentos de phishing. Por lo tanto, la próxima vez que reciba un correo electrónico de su “banco” informándole que hay una infracción y debe actualizar su contraseña, y su administrador de contraseñas se niega a completar esa información, examine la URL en la barra de direcciones con cuidado. Puede que estés en un sitio en el que no quieras estar.


Lee: ¿Por qué no necesitas 27 contraseñas diferentes?


Considere instalar aplicaciones que actúen como otra capa de protección. Hay un montón de fantásticas aplicaciones de navegador por las que un empleado consciente de la privacidad y la seguridad puede beneficiarse enormemente. Los bloqueadores de anuncios, por ejemplo, pueden eliminar anuncios en sitios que han sido utilizados por actores maliciosos antes en campañas de publicidad maliciosa. Los bloqueadores del rastreador permiten bloquear los rastreadores en los sitios que controlan su comportamiento y recopilan información sobre ellos sin su consentimiento. Los bloqueadores de secuencias de comandos deshabilitan o impiden la ejecución de secuencias de comandos del navegador, que los delincuentes pueden utilizar incorrectamente. Otras aplicaciones, como HTTPS Everywhere , obligan al navegador a dirigir a los usuarios a las versiones HTTPS disponibles de los sitios web.

Considere la posibilidad de sandboxing. Un sandbox es un software que emula un entorno en el que se puede navegar por Internet y ejecutar programas independientemente del punto final real. Normalmente se usa para probar y analizar archivos para verificar si son seguros de implementar y ejecutar.

No estamos diciendo que los empleados deben saber cómo analizar los archivos (aunque con felicitaciones, si puede). Solo los empleados que normalmente abren archivos adjuntos de sus correos electrónicos personales, se topan con sitios que pueden considerarse imprecisos en el mejor de los casos , o que desean revisar los programas de proveedores externos, lo hacen en una configuración segura y aislada de la red de su oficina. Aquí hay una lista de software gratuito de sandbox  que puede leer más sobre si está interesado en probar uno.

Supongamos que eres un objetivo. No muchos empleados quisieran admitir esto. De hecho, puede que no haya cruzado sus mentes hasta ahora. A muchas empresas pequeñas, por ejemplo, les gustaría pensar que no pueden ser blanco de ataques cibernéticos porque los delincuentes no persiguen a “el pequeño”. Pero varias encuestas, inteligencia e investigación cuentan una historia diferente.

Los empleados necesitan cambiar su forma de pensar. Cada vez que nos conectamos al trabajo, ya sea por razones válidas o no, estamos poniendo en riesgo a nuestras empresas. Por lo tanto, debemos tomar la iniciativa de navegar de manera segura, adoptar las mejores prácticas de seguridad cibernética y aceptar sesiones de capacitación con mentes abiertas. Tenga en cuenta que hay mucho en juego en el entorno de la oficina, y que un solo clic del mouse en un enlace defectuoso puede hacer que todo un negocio se caiga. ¿Quieres ser la persona responsable?

Estamos todos juntos en esto

Cuando se trata de evitar que las amenazas en línea se infiltren en la red de su organización y mantengan seguros los datos confidenciales de la empresa y los clientes, es cierto que ya no son solo preocupaciones de TI. La seguridad cibernética y la privacidad son y deberían ser la preocupación de todos los empleados, desde el rango y el archivo hasta el nivel gerencial y ejecutivo .

De hecho, nadie debe estar exento de la capacitación continua en seguridad cibernética, ni los funcionarios de alto rango deben seguir pensando que las políticas de la empresa no se aplican a ellos. Si todos los empleados pueden adherirse a la sencilla guía anterior, creemos que las organizaciones de todos los tamaños ya están en una mejor posición de seguridad que antes. Sin embargo, este es solo el primer paso. Todavía existe la necesidad de que las organizaciones evalúen sus necesidades de ciberseguridad y privacidad, para que puedan invertir efectivamente en herramientas y servicios que ayuden a proteger mejor su entorno de trabajo único. Independientemente de los cambios que decidan implementar que requieran la participación de los empleados, los funcionarios de TI y de alto rango deben asegurarse de que todos participen juntos.

¡Mantenerse a salvo!

Más publicaciones del blog del Día de Internet más seguro:

Una semana en seguridad informática (28 de enero – 3 de febrero)

Una semana en seguridad (28 de enero - 3 de febrero)

Una semana en seguridad informática (28 de enero – 3 de febrero)

Publicado: 4 de febrero de 2019 por 

La semana pasada, publicamos otra en nuestra entrevista con una serie de cazadores de malware , explicamos una vulnerabilidad de FaceTime y nos sumergimos profundamente en un nuevo ladrón . También arrojamos algo de luz   sobre una violación de datos de Houzz , y lo que sucedió exactamente entre Apple y Facebook .

Otras noticias de ciberseguridad.

  • Kwik Fit golpeado por malware: especialista en servicio de automóviles se encuentra con problemas cuando los sistemas se desconectan . (Fuente: BBC)
  • Mozilla publica una política de seguimiento : Mozilla expande su visión de lo que es y no es aceptableen el seguimiento de la tierra. (Fuente: Mozilla)
  • Distracción de los parlantes inteligentes : cómo puede ahogar de manera efectiva a su interlocutor inteligente con un poco de distracción. (Fuente: El Registro)
  • Ataque de privacidad dirigido a usuarios de 3/4 / 5G : torres móviles falsas teóricas están de vuelta en el negocio, con una inversión en el monitoreo de las actividades del propietario del dispositivo . (Fuente: Help Net Security)
  • Cómo piratearon mi Instagram : una buena advertencia sobre los peligros de la reutilización de la contraseña . (Fuente: Naked Security)
  • Ladrones de identidad en las redes sociales : los estafadores no se detendrán ante nada para atraer el corazón y ganar un poco de dinero en el trato. (Fuente: ABC news)
  • Otra casa inteligente hackeada : una familia relata su horror al ver que partes de su casa se abren para la diversión de alguien . (Fuente: Komando)
  • Mashup de Facebook : los planes para combinar Whatsapp, Instagram y Facebook Messenger se revelancon preguntas de seguridad planteadas. (Fuente: New York Times)
  • Los ataques de suplantación de identidad (phishing) continúan aumentando : las preocupantes estadísticas a través de los expertos de seguridad encuestados que coinciden en un gran número en que el phishing está en el mismo nivel o más alto que antes. (Fuente: Mashable)
  • Los investigadores descubren un servicio de hospedaje amigable con el malware : después de un aumento en las infecciones, los investigadores rastrean las cosas hasta un host que parecía un ” nido de malware de avispón ” ”(Fuente: TechCrunch)

Violación de datos de Houzz: ¿Por qué informar a sus clientes es la llamada correcta?

Violación de datos de Houzz: ¿Por qué informar a sus clientes es la llamada correcta?

Violación de datos de Houzz: ¿Por qué informar a sus clientes es la llamada correcta?

Publicado: 1 de febrero de 2019 por 

Houzz es una plataforma en línea dedicada a la renovación y el diseño de casas. Hoy (1 de febrero de 2019), notificaron a sus clientes sobre una violación de datos que supuestamente ocurrió en diciembre de 2018.

Las violaciones de datos desafortunadamente se han convertido en un evento común. De hecho, apodamos 2018 el año del tsunami de brecha de datos . Además, Houzz no es una corporación gigante con millones de clientes. Entonces, ¿por qué estamos escribiendo sobre esto, puede preguntar? Principalmente porque creemos que hay algunas corporaciones gigantes que pueden aprender de este evento como un ejemplo sobre cómo manejar una violación de datos de manera adecuada.

Giro de vuelta

Descubrir e informar a sus clientes sobre una violación que ocurrió hace menos de dos meses es mucho mejor que lo que hemos visto recientemente. No esperaron a que se terminara la investigación sobre cómo ocurrió la violación. Tan pronto como supieron lo que fue robado, decidieron informar a los afectados. Por supuesto, es imperativo que obtenga esta información en las manos de sus clientes tan pronto como sea posible. Probablemente, este sea el motivo por el cual una investigación forense líder está llevando a cabo la investigación. La policía también ha sido notificada.

Informar a los clientes

Houzz informó a sus clientes directamente por correo electrónico, así como en su sitio web, sobre la violación. Ellos dijeron:

Houzz supo recientemente que un tercero no autorizado había obtenido un archivo que contenía algunos de nuestros datos de usuario.

El correo comienza con esta divulgación, continúa explicando qué sucedió y qué información fue robada. También contiene un enlace a su sitio web, donde puede encontrar más información .

Clientes de correo Houzz

La información proporcionada es concisa y precisa, no solo una observación general de que no se robó información financiera, lo que afortunadamente no fue robada. Houzz incluyó una lista de información que fue robada.

Los siguientes tipos de información podrían haber sido afectados por este incidente:

  • Cierta información públicamente visible del perfil Houzz de un usuario solo si el usuario hizo pública esta información (por ejemplo, nombre, apellido, ciudad, estado, país, descripción del perfil)
  • Ciertos identificadores internos y campos que no tienen un significado discernible para nadie fuera de Houzz (por ejemplo, país del sitio utilizado, si un usuario tiene una imagen de perfil)
  • Cierta información de cuenta interna (p. Ej., ID de usuario, nombres de usuario anteriores de Houzz, contraseñas cifradas unidireccionadas con un nombre único por usuario, dirección IP, ciudad y código postal deducidos de la dirección IP) y cierta información de cuenta disponible públicamente (p. Ej., Nombre de usuario actual de Houzz y si un usuario inicia sesión en Houzz a través de Facebook, la ID pública de Facebook del usuario)

Es importante destacar que este incidente no involucra números de Seguro Social, tarjetas de pago, cuentas bancarias u otra información financiera.

En el sitio web, los clientes pueden encontrar información detallada sobre cómo cambiar su contraseña. Y, como hemos hecho en el pasado, recomiendan a sus clientes que usen una contraseña única para cada servicio,  que no tiene por qué ser una molestia tan grande como cabría esperar.

Mejoras

Houzz anunció mejoras de seguridad sin entrar en detalles. Si bien los clientes pueden encontrar esto vago, tiene sentido retener los detalles, ya que la investigación está en curso, y no querrían que los actores de amenazas sean  más sabios. Al ver que ya estaban usando contraseñas cifradas unidireccionales con una sal única para cada usuario fue ciertamente alentador.

Tratar con las violaciones de datos

Las infracciones de datos ocurren todo el tiempo. Sucede lo mejor de las empresas. Es la forma en que esas organizaciones tratan con ellos lo que puede salvar la cara. Lo que otros negocios pueden quitar de este ejemplo:

  • Informe a los clientes tan pronto como tenga sentido y sea preciso sobre la información robada.
  • Acércate a tus clientes directamente. No dejes que lo lean en los periódicos o en las redes sociales.
  • Involucrar a la policía y una firma especializada en investigaciones forenses.
  • Aprende de lo que salió mal y mejora en eso.