¿Cuándo podemos deshacernos de las contraseñas para siempre?

¿Cuándo podemos deshacernos de las contraseñas para siempre?

¿Cuándo podemos deshacernos de las contraseñas para siempre?

Publicado: 16 de octubre de 2019 por 

O tal vez debería haber pedido, “¿Podemos alguna vez deshacernos de contraseñas para el bien?”

El mundo de la seguridad sabe que las contraseñas son un problema. Los productos se envían con contraseñas predeterminadas que nunca se cambian. Las personas reutilizan contraseñas antiguas o adoptan contraseñas fáciles de adivinar que los hackers pueden derrotar fácilmente mediante la fuerza bruta. O los usuarios simplemente no pueden seguir teniendo que recordar 27 contraseñas diferentes para varias cuentas en línea.

Muchas veces antes, hemos discutido formas de hacer que las contraseñas sean más seguras. Use frases más largas y complejas que no incluyan información de identificación personal. Considere un servicio de administración de contraseña o inicio de sesión único. Utilice la autenticación de dos o múltiples factores (MFA) porque las credenciales de inicio de sesión simples no son lo suficientemente seguras.

Sin embargo, estos enfoques no hacen nada para eliminar nuestra dependencia de las contraseñas como línea de defensa entre la información pública y privada. Y, en última instancia, las contraseñas siempre serán susceptibles a errores humanos.

Para combatir el problema de la contraseña, los desarrolladores de dispositivos móviles y aplicaciones han comenzado a adoptar medidas biométricas para reemplazar las contraseñas numéricas, incluido el uso de huellas digitales, gráficos y reconocimiento facial. Estoy bastante seguro de que muchas empresas están trabajando en una solución para solucionar este problema, o tal vez incluso sienten que ya lo han encontrado. Pero hasta ahora ninguno de ellos ha resultado ser ni remotamente tan popular como la contraseña.

Antes de considerar un futuro sin contraseña, echemos un vistazo a algunas de las medidas de seguridad y alternativas existentes para las contraseñas. Porque una cosa es segura: nadie está contento de tener que recordar diferentes contraseñas para cada sitio, aplicación y dispositivo.

Pero si los usuarios continúan escribiendo sus contraseñas en cuadernos o notas post-it, reutilizando contraseñas en plataformas, o pegándose en combos fáciles de recordar como 1-2-3-4-5 , entonces los ciberdelincuentes seguirán teniendo un campo día con sus datos.

Administradores de contraseñas

Los administradores de contraseñas son un salvavidas para aquellos de nosotros que nos preocupamos lo suficiente como para usar una contraseña diferente para cada sitio. ¿Pero son realmente una alternativa a las contraseñas? Todavía necesitas las contraseñas originales, ¿verdad? En realidad, necesita una contraseña adicional porque los administradores de contraseñas requieren que desarrolle una contraseña maestra para gobernarlas a todas. Sin embargo, el beneficio es que, después de ingresar todas las credenciales de su cuenta al administrador de contraseñas una vez, solo necesita recordar la contraseña maestra en el futuro.

Podría argumentar que si pierde el acceso a su administrador de contraseñas o si se ve comprometido de alguna manera, esto solo empeora las cosas mucho, mucho más. De hecho, hay algún riesgo. Sin embargo, los administradores de contraseñas a menudo cifran o codifican las contraseñas originales para las cuentas, y las que usan autenticación 2FA o de múltiples factores tienen medidas de seguridad adicionales para evitar una violación.

Los administradores de contraseñas no son perfectos, pero generalmente son mucho más seguros que la alternativa estándar actual. Continuamos recomendando a los consumidores que usen administradores de contraseñas con MFA como la mejor práctica de ciberseguridad.

Inicio de sesión único (SSO)

El software SSO es popular en los lugares de trabajo para administrar la variedad de aplicaciones de terceros adoptadas por las organizaciones, así como para proteger mejor el acceso de los trabajadores remotos a los recursos de la empresa. Al iniciar sesión en un sitio central cuando comienza su jornada laboral, se le otorga acceso a un panel de aplicaciones y servidores de la compañía aprobados para su punto final, generalmente por el resto del día. La ventaja para la organización es que el acceso otorgado se puede ajustar en función de las necesidades y la autorización del usuario individual.

El uso del software SSO hace que sea muy importante bloquear su computadora cuando abandona su escritorio, o nunca dejar su computadora portátil desatendida en una cafetería. Esto se debe a que las credenciales de inicio de sesión que administra se otorgan a la máquina, como si usted fuera el único usuario. Entonces, John the Prankster podría echar un vistazo a tu último recibo de pago si dejas tu estación de trabajo desbloqueada. O, lo que es peor, si le roban su computadora y todavía está conectado, el criminal puede ver todos los datos del lugar de trabajo a los que tiene acceso.

Recuperación de contraseña

Desafortunadamente, muchos usuarios han recurrido a la recuperación de contraseña como un modo de acceder a sus cuentas. Si no pueden escribir la contraseña, pero deben recordar contraseñas complejas y diferentes para cada cuenta (y aún no han adoptado la administración de contraseñas, ya sea porque desconocen el servicio, no están dispuestos a pagarlo o desconfían de su privacidad y beneficios de seguridad), entonces, ¿qué otra opción tienen sino reiniciar constantemente?

Algunas personas abusan de la función de recuperación de contraseña para cada sitio web en el que necesitan iniciar sesión. Probablemente conoces el ejercicio:

  • Haga clic en «Olvidé mi contraseña».
  • Reciba un correo electrónico con una URL en la que debe hacer clic antes de que pierda validez, o peor aún, le envían una nueva contraseña temporal en texto sin formato.
  • Inicie sesión y cambie la nueva contraseña, y estará feliz.
  • Repita cuando quiera visitar de nuevo.

Recientemente me di cuenta de una posible desventaja de este método cuando perdí el acceso a una de mis cuentas de correo electrónico. ¡Ay! ¿Qué sucede cuando no tiene una contraseña y no puede recuperar su reemplazo porque está bloqueado de su cuenta de correo electrónico, lo apaga o tampoco puede recordar la contraseña de su dirección de correo electrónico?

Por suerte, no tuve que averiguarlo. Pude iniciar sesión y cambiar mi cuenta de correo electrónico cuando fue necesario. Pero para aquellos que dependen de la recuperación de la contraseña, eso implica mucho recordar las contraseñas de las cuentas de correo electrónico y confiar en que las credenciales del correo electrónico nunca serán comprometidas o robadas. Porque, ¿qué sucede cuando se piratea tu correo electrónico? Ahora todos sus enlaces de restablecimiento de contraseña se envían directamente a un cibercriminal. Hable sobre el despido.

Biometría

La biometría se refiere al uso de características físicas para identificar a los usuarios y permitirles acceder y controlar sus computadoras. En lugar de letras, números y símbolos escritos en un teclado, los dispositivos que usan autenticación biométrica miden y calculan los atributos físicos del cuerpo, desde la presión hasta las pequeñas huellas hechas por las huellas digitales, hasta el reconocimiento facial y la cadencia vocal.

Si bien la biometría definitivamente está ganando terreno, especialmente como uno de los factores de autenticación en MFA, hay un problema importante que acecha en el horizonte. ¿Qué pasa si alguien logra «robar» su autenticación biométrica levantando una huella digital? ¿O si «pierde» el acceso a él por algún tipo de accidente o cirugía reconstructiva? ¿Qué se supone que debes hacer? ¿Crecer un par de ojos nuevos? Incluso su número de dedos podría cambiar en algún momento.

La biometría conductual es algo de lo que cada vez más instituciones financieras comienzan a darse cuenta. Esta es una forma dinámica de autenticación que analiza los patrones de comportamiento de una persona, la forma en que interactúan con los sistemas y las tecnologías, para identificar a los usuarios.

Si bien su precisión es alta, la biometría del comportamiento aún no coincide al 100 por ciento, por lo que por ahora la tecnología se está utilizando para monitorear sesiones en lugar de durante la autenticación de inicio de sesión. Esto significa que un banco u otra organización puede usar la biometría del comportamiento para verificar si todavía está usando el sitio, o si alguien más se hizo cargo de la sesión y cerró la sesión en consecuencia.

Llaves físicas

Este es un tipo de autenticación que a menudo es parte de una autenticación de dos factores (2FA). Primero inicia sesión y luego demuestra que dice quién es presionando un botón en la tecla física. Este puede ser un dispositivo conectado a su computadora como una memoria USB o por Bluetooth o cualquier otro contacto de corto alcance. En febrero de 2019, Google anunció que los dispositivos Android con 7.0 y superior podrían usarse para registrar a las personas en sitios web y aplicaciones. Con FIDO2 , un estándar abierto desarrollado por FIDO Alliance, los usuarios de Android pueden iniciar sesión automáticamente en sus sitios mediante el inicio de sesión biométrico o de contraseña para su dispositivo en lugar de contraseñas individuales.

La desventaja de usar una clave de seguridad física es que requiere hardware adicional que puede perderse o romperse o, en el caso de los dispositivos Android, bastante costoso. Sin embargo, sería una buena alternativa si pudiera usarse en todas partes, lo que por el momento ni siquiera está cerca de la verdad.

Los dispositivos iOS actualmente no usan el estándar FIDO2, y alrededor del 42 por ciento de los usuarios de Android todavía están ejecutando el software de la versión 6.0 y anteriores. Además, aunque muchos navegadores adoptan el estándar FIDO, los desarrolladores de software y aplicaciones aún deben incorporar su API para poder utilizar la función para iniciar sesión en sus programas.

Aplicaciones de autenticación

Las aplicaciones de autenticación le permiten usar su teléfono para iniciar sesión en sitios específicos, generalmente escaneando un código QR en el sitio web y luego autenticándose a través de su teléfono utilizando datos biométricos o un código de acceso. Su teléfono enviará una confirmación al sitio web y, en consecuencia, se le permitirá continuar.


Lectura recomendada: ¿La autenticación de dos factores (2FA) es tan segura como parece?


Estas aplicaciones de autenticación a menudo son utilizadas por bancos y otras organizaciones públicas. Sin embargo, los códigos QR , o códigos de barras bidimensionales, tienen defectos conocidos que han sido explotados por ciberdelincuentes y utilizados con frecuencia en estafas.

Autenticación de puntaje de confianza

Esto está estrechamente relacionado con la biometría del comportamiento. Google , y tal vez otros, están trabajando en esto. Una puntuación de confianza se calcula en función de varios factores, como la ubicación, el reconocimiento facial y el patrón de escritura. Si la puntuación es lo suficientemente alta, se le otorgará acceso.

Suena genial, pero ¿te imaginas lo frustrante que puede ser cuando se te niega el acceso y no tienes idea de por qué? Y si dicho software de autenticación le dijera qué está haciendo diferente de lo habitual, esto abre la posibilidad de que un atacante se haga pasar por usted mediante prueba y error.

Certificados

Un certificado de autenticación de cliente es un certificado de seguridad utilizado para autenticar clientes durante un protocolo de enlace SSL. Autentica a los usuarios que acceden a un servidor intercambiando el certificado de autenticación del cliente. En pocas palabras, esto significa que tiene un certificado válido en su sistema que no ha expirado y fue emitido por una autoridad de certificación de confianza.

Parte de la información cifrada se envía de un lado a otro para garantizar que tenga la clave pública y privada que acompaña a ese certificado. Cuando ese intercambio tiene éxito, el servidor puede proporcionarle acceso a los recursos a los que tiene derecho. Sin embargo, los ciberdelincuentes han descubierto formas de abusar del sistema de certificados a través de malware, por lo que este método no es 100% infalible.

SQRL

Algo similar a los certificados de autenticación es el método de autenticación de GRC, que se denominó SQRL. Para obtener una descripción completa de cómo funciona SQRL, recomendamos leer Bienvenido a SQRL (PDF) . Es un concepto interesante que combina los puntos fuertes de algunos de los otros métodos, como el cifrado , en un método de autenticación de un solo factor.

Comprobación de credenciales robadas

Nos gustaría señalar algunos servicios que puede utilizar para verificar si sus credenciales de contraseña han sido robadas o comprometidas. La mayoría de nuestros lectores estarán familiarizados con ¿He sido pwned , donde se puede comprobar en base a la dirección de correo electrónico.

En el sitio de VeriCloud, puede buscar según la dirección de correo electrónico y el dominio (para organizaciones), y puede hacer que VeriCloud le envíe por correo electrónico las contraseñas filtradas. No se sienta culpable cuando su (s) dirección (es) de correo electrónico aparezcan en estos sitios. Le pasa a los mejores de nosotros! Pero compruebe dónde se encontraron y asegúrese de cambiar la contraseña que usó allí y no la reutilizó en otro lugar.

Datos matemáticos sobre contraseñas

En caso de que necesite crear nuevas contraseñas, esto es algo a tener en cuenta. ¿Sabías cuánta diferencia hacen esos pocos personajes extra?

Básicamente, la fuerza de la contraseña está determinada por dos factores diferentes y el número de posibilidades se puede calcular con la fórmula a a la potencia de b , donde a = el número de caracteres permitidos yb es la longitud de la contraseña.

Por ejemplo, una contraseña básica que puede contener seis letras minúsculas tendrá varias posibilidades 26 ^ 6, lo que equivale a 308,915,776. Puede parecer mucho, pero en un ataque de fuerza bruta, dicha contraseña durará menos de un segundo.

Agregar dos letras nos da aproximadamente 209 mil millones de opciones y dicha contraseña duraría contra un ataque de fuerza bruta durante unas horas. Si también puede usar letras mayúsculas, números y caracteres especiales, la base de la ecuación es 77, y podemos llegar a 208 mil millones con solo seis caracteres.

Aún así, estamos buscando una contraseña que tomaría solo unas horas para descifrar un ataque. Para construir una contraseña que dure toda la vida en el estado actual de las velocidades de cómputo requeriría una contraseña de 12 letras (95,428,956,661,682,176 opciones) o nueve caracteres si podemos usar el conjunto completo (95,151,694,449,171,437 opciones).

Tenga en cuenta que las velocidades de la computadora continúan aumentando y que aún existe la posibilidad de que su contraseña se filtre, por lo que no hay garantía de que dicha contraseña dure. Pero en este momento, la contraseña larga y de múltiples caracteres sigue siendo el rey. Mientras que otros métodos como la biometría, las claves físicas y la autenticación web están en proceso, ya se han identificado fallas de seguridad.

En cuanto al futuro, las ideas sobre microchips implantados, contraseñas cerebrales e identificación basada en ADN ya han circulado, pero las preocupaciones éticas cobran gran importancia. ¿Alguna vez habrá un sistema verdaderamente 100 por ciento seguro para reemplazar las contraseñas?

Nuestra suposición es no. De hecho, no existe una protección del 100 por ciento. Pero con la adopción generalizada de mejores prácticas y una tecnología más fácil e innovadora, el problema de la contraseña debería, como mínimo, porque es mucho menos molesto para los consumidores, lo que lo hará mucho más seguro para el mundo.

Asegurar el proveedor de servicios gestionados (MSP)

Asegurar el proveedor de servicios gestionados (MSP)

Asegurar el proveedor de servicios gestionados (MSP)

Publicado: 11 de octubre de 2019 por 

Los proveedores de servicios gestionados (MSP) han sido una bendición para las medianas empresas. Permiten descargar la deuda técnica a un agente con las habilidades y recursos para administrarla, dando así a la organización un espacio para enfocarse en el crecimiento de un negocio, en lugar de los detalles de la infraestructura.

Durante mucho tiempo, los proveedores de servicios externos no fueron atacados directamente por sus fallas de seguridad, ya que los objetivos lucrativos estaban más directamente disponibles. Pero con las mejores prácticas de seguridad obteniendo una adopción lenta en todas las organizaciones empresariales, los MSP se han vuelto gradualmente sujetos a amenazas, con sus clientes como el objetivo final, ya que se consideran una victoria más fácil que atacar a los clientes por la puerta principal.

Hoy en día, un MSP puede esperar ser atacado no solo por derecho propio, sino como un punto clave para obtener datos del cliente que de otro modo podrían defenderse mejor contra el ataque directo.

Pero, ¿qué tan malo es realmente el panorama de amenazas para los proveedores de servicios administrados? Los MSP generalmente operan en un entorno de recursos limitados, y seguramente los ataques secundarios no serían tan comunes como los ataques directos, ¿verdad?

Echemos un vistazo a lo que los proveedores de servicios externos enfrentan hoy en un intento de mantener a esos clientes seguros y felices.

Ataques de ransomware en MSP

Los proveedores de servicios administrados no estarían contentos de ver esta nota de rescate.

El ransomware puede usarse en un ataque secundario apalancado contra datos específicos del cliente. También se puede implementar en un ataque oportunista, al igual que con los usuarios finales individuales. O puede servir como un ataque dirigido contra un segmento del mercado que sufrió graves daños por el tiempo de inactividad, como lo ha sido para las ciudades y escuelas de EE. UU.

En junio de 2019, se observaron ataques contra clientes de MSP utilizando PowerShell para impulsar el ransomware Sodinokibi a puntos finales administrados. Estas tácticas fueron empleadas previamente por los actores de ransomware GandCrab, que utilizaron una vulnerabilidad en el software de administración remota en un intento de infectar a todos los clientes de MSP a la vez.

Si bien el ransomware es una constante en el panorama de amenazas tanto para usuarios finales como para empresas de todos los tamaños, los ataques dirigidos a múltiples vectores que utilizan software auxiliar como punto de pivote solo se veían anteriormente con grupos APT . Dado el potencial de los actores de amenazas de monetizar la gran base de clientes de un MSP de una vez, los defensores deben esperar que los ataques complejos como estos aumenten en el futuro.

Ataques APT

Los ataques APT son el foco de mucho esfuerzo en las conversaciones de seguridad empresarial, a pesar de que son bastante raros. El noventa por ciento de las organizaciones recibirían un mejor servicio al enfocarse en los 10 principales OWASP , la administración de activos y los errores de configuración predeterminados incluso antes de comenzar a abordar los ataques APT.

Dicho esto, los MSP con objetivos de alto valor como clientes pueden caer en el 10 por ciento de las empresas sujetas a ataques secundarios y dirigidos. Anteriormente visto con mayor frecuencia con firmas de abogados que prestan servicios a clientes sensibles, algunos movimientos de APT se han expandido para dirigirse a todos los proveedores de servicios que tienen datos en sus objetivos principales.

Entre 2017 y 2018, el grupo MenuPass utilizó credenciales robadas para obtener acceso a un MSP noruego con aproximadamente 850,000 clientes en total. Posteriormente enumeraron los datos de la red y la información patentada extraída, con la probable intención de obtener inteligencia sobre clientes específicos de MSP.

Notable en esta campaña fue el uso subrepticio de credenciales legítimas para afianzarse en las redes de víctimas. Estas tácticas se observaron en la naturaleza en la medida en que USCERT lanzó un aviso a los proveedores de servicios de TI para implementar una estrategia de defensa en profundidad para mitigar futuros ataques APT.

Los defensores deben tener en cuenta aquí el uso de credenciales legítimas. Los grupos APT son más conocidos por usar vulnerabilidades de día cero u otros ataques que requieren altos recursos y apoyo institucional. Pero al igual que otros grupos de amenazas menos sofisticados, no tienen la obligación de continuar haciéndolo: una gestión deficiente de las credenciales junto con un software de terceros sin parches es suficiente para permitir a los actores APT un camino claro hacia los datos de propiedad de un cliente a través de la red MSP.

Entonces, ¿cómo saber si su lista de clientes incluye «objetivos sensibles» sujetos a este tipo de ataque? El modelado de amenazas es un tema en sí mismo que puede recorrer un largo camino hacia la identificación de clientes en riesgo. (Consulte nuestra versión sobre el modelado de amenazas aquí .) Pero los ataques anteriores indican que los clientes involucrados en la ley, los contratos de defensa, la fabricación u organización de la disidencia política están potencialmente sujetos a ataques APT, ya sea directamente o a través de sus redes.

Los sospechosos de siempre

Habiendo revisado algunas operaciones interesantes centradas específicamente en los datos y clientes de MSP, sería negligente si no mencionáramos los ataques que, por peso, constituyen la mayor parte de las amenazas que enfrentan todas las organizaciones.

Aunque APT 10 lo utiliza para violar un MSP australiano, el mal manejo de las credenciales de administrador no es un ataque avanzado. El hecho de no examinar y parchear adecuadamente el software de terceros introduce un riesgo significativo que no requiere un actor sofisticado para explotar. (Más información sobre la seguridad de aplicaciones de terceros aquí ).

Para un ejemplo reciente, se ha descubierto que la plataforma de administración en la nube OnApp tiene una vulnerabilidad que permite el acceso a todos los servidores administrados con un proveedor de la nube, siempre que comiencen con el acceso a uno.

Por último, la gestión deficiente de los activos y la falta de herramientas de análisis de registro adecuadas (o, en algunos casos, la falta de uso) ha sido responsable de escalar un incidente de seguridad relativamente menor a una violación significativa en muchos casos, ya sea que el ataque fuera objetivo o no. Aunque los proveedores de servicios de TI enfrentan desafíos únicos como se enumeró anteriormente, ignorar los conceptos básicos puede dar como resultado ataques oportunistas tan dañinos como los APT potenciales.

La comida para llevar

Un MSP que busca proporcionar un servicio de primer nivel a un cliente valioso ya no puede centrarse exclusivamente en el tiempo de actividad como la única medida de calidad. Un panorama de amenazas cambiante ha convertido a los datos de alto valor en un objetivo destacado, independientemente de en qué red se encuentre. El aumento de la conciencia de seguridad en las organizaciones empresariales solo continuará aumentando la recompensa de atacar objetivos auxiliares, como los proveedores de servicios, en cumplimiento de los objetivos de los actores de amenazas.

Los proveedores de servicios de TI de terceros generalmente no son abiertamente negligentes, pero pueden encontrarse detrás de la curva de seguridad debido a la falta de experiencia actualizada en el tema, la falta de cobertura de los conceptos básicos y, lo más importante, la idea de que La seguridad es un centro de costos que debe minimizarse de la forma más agresiva posible.

La seguridad empresarial es, de hecho, una inversión en la confianza pública que se requiere para un crecimiento sostenido del capital. El MSP exitoso a largo plazo será el mejor capaz de mantener y capitalizar la confianza del cliente. Ignora esa confianza bajo tu propio riesgo.

Una semana en seguridad informática (7 al 13 de octubre)

Una semana en seguridad (7 al 13 de octubre)

Una semana en seguridad informatica (7 al 13 de octubre)

Publicado: 14 de octubre de 2019 por 

La semana pasada en Malwarebytes Labs, observamos el posible futuro del seguro de ciberseguridad , describimos el proceso para asegurar el proveedor de servicios administrados de hoy y proporcionamos un explicador en profundidad sobre la táctica de espionaje comercial conocida como «envío de guerra».

Además, al considerar la intersección del Mes nacional de concientización sobre ciberseguridad y el Mes nacional de concientización sobre la violencia doméstica, presentamos un resumen del panorama actual de stalkerware , incluyendo por qué es difícil protegerse y por qué Malwarebytes se compromete a aumentar la seguridad para los usuarios en todas partes.

Otras noticias de ciberseguridad

Cómo protegerse contra el stalkerware, una amenaza móvil turbia pero peligrosa

Cómo protegerse contra el stalkerware, una amenaza móvil turbia pero peligrosa

Cómo protegerse contra el stalkerware, una amenaza móvil turbia pero peligrosa

Publicado: 9 de octubre de 2019 por 
Última actualización: 8 de octubre de 2019

La semana pasada , prometimos que, en honor a los meses de Conciencia Nacional de Ciberseguridad y Conciencia de Violencia Doméstica, continuaríamos la lucha contra el flagelo en línea conocido como stalkerware, o aplicaciones utilizadas para rastrear y espiar a las víctimas sin su consentimiento.

Les dijimos a los lectores que, a pesar de trabajar para protegerse contra los programas de stalkerware durante más de cinco años, era hora de llevar nuestros esfuerzos al siguiente nivel difundiendo la conciencia sobre stalkerware y sus peligros, y demostrando cómo la policía, los vendedores de ciberseguridad y los grupos de defensa puede formar equipo para obtener mejores resultados.

Presentamos nuestra visión y nuestros planes para acciones futuras, llamando a otros proveedores de seguridad, organizaciones e individuos a participar.

Y ahora estamos listos para volver al trabajo.

El NCSAM de este año enfatiza la responsabilidad personal, destacando la importancia de tomar medidas proactivas para mejorar la ciberseguridad en el hogar y en el lugar de trabajo. El tema general de 2019 se reduce a un ingenioso eslogan: Own IT. Asegúralo. Protegerlo . Si necesita que se deconstruya un poco, el mensaje pide a los usuarios que consideren las preocupaciones clave de seguridad, como mantener la privacidad en línea, proteger los dispositivos de los consumidores y las experiencias de navegación, y protegerse contra estafas y otras amenazas.

En el contexto de stalkerware, entonces, el objetivo de esta campaña en particular es aumentar la conciencia de esta amenaza, así como la dificultad de definir y, por lo tanto, proteger contra ella. Nuestro objetivo es ayudar a los usuarios a ser proactivos personalmente demostrando por qué el stalkerware es turbio y peligroso, dónde establecer la línea entre los programas legítimos de monitoreo y el stalkerware, y lo más importante, cómo protegerse contra el stalkerware si los usuarios sienten que se está utilizando contra ellos.

Lo que hace que el stalkerware sea peligroso

En blogs anteriores, ya describimos qué es stalkerware y qué puede hacer , especialmente en un dispositivo móvil. En pocas palabras: Stalkerware puede ver todo lo que ve en su dispositivo, escuchar todo lo que escucha, determinar su ubicación física e incluso controlar remotamente su cámara y micrófono. Las llamadas se pueden interceptar, espiar y grabar, todo sin el conocimiento del propietario del dispositivo.

Las aplicaciones de Stalkerware pueden realizar operaciones de vigilancia igualmente nefastas como el spyware , una categoría de amenazas que la industria de la ciberseguridad considera maliciosas. Sin embargo, a diferencia del spyware, el stalkerware está ampliamente disponible en el mercado abierto, incluido Google Play, para cualquiera que esté dispuesto a pagar.

A menudo se comercializan como herramientas de monitoreo parental , aunque a veces anuncian directamente su verdadero propósito (atrapar a un cónyuge infiel en el acto o «vigilar» a un socio), las aplicaciones de stalkerware pueden eludir muchos protocolos de detección de soluciones de seguridad cibernética porque, si se usan con consentimiento o como se comercializó originalmente, pueden no ser particularmente maliciosos.

El peligro es que existe una gran área gris entre el spyware malicioso utilizado por los estados nacionales y los programas de monitoreo legítimos utilizados por los padres o en el lugar de trabajo. Cuando la placa base de VICE informó por primera vez sobre el uso desenfrenado de las aplicaciones de vigilancia por parte de «personas normales», los amantes celosos o desconfiados a menudo fueron citados como los principales participantes. Y si bien las aplicaciones de stalkerware pueden ayudar a confirmar la sospecha persistente de un asunto, con mayor frecuencia se aprovechan como herramientas para el control y el abuso.

De hecho, según la línea directa nacional de violencia doméstica , la vigilancia digital es una forma de abuso en sí misma.

Tomemos un segundo para desempacar eso, porque es importante. Si alguien usa stalkerware para monitorear a su pareja sin saberlo, está participando en una forma de abuso . No es un gran salto desde allí a la manipulación en toda regla, e incluso a la violencia.

De hecho, de acuerdo con un estudio de 2014 realizado por NPR , un 85 por ciento de los refugios estadounidenses para mujeres maltratadas estaban trabajando directamente con una víctima que es rastreada por GPS; El 75 por ciento dijo que los abusadores de sus víctimas estaban escuchando a escondidas sus conversaciones de forma remota, utilizando aplicaciones móviles ocultas. Esto fue hace cinco años.

A pesar de los esfuerzos concertados para “eliminar” algunas aplicaciones conocidas de software de acosador para consumidores por parte de hacktivistas, incluida una violación de FlexiSpy y Retina-X , fabricantes de PhoneSheriff y SniperSpy, el mercado de vigilancia personal solo ha crecido.

En 2014, comenzamos con 421 firmas para aplicaciones definidas como stalkerware, incluidos programas de monitoreo y spyware. Las firmas se crean para identificar amenazas conocidas y se cargan en la base de datos de nuestro software para que cuando un usuario de Malwarebytes se encuentre con esa amenaza, la detectemos automáticamente.

Hoy, tenemos más de 4,300 firmas de monitoreo en nuestra base de datos, un aumento de más del 900 por ciento en cinco años. Y eso son solo firmas de amenazas conocidas.

A través de una tecnología llamada heurística del comportamiento, podemos identificar si una aplicación está actuando como una amenaza, en este caso, si está monitoreando la actividad del usuario, la ubicación, el historial del navegador o empleando otras técnicas de vigilancia, y detectarla en función de actividades sospechosas. De esa manera, detectamos muchas más amenazas que antes eran desconocidas. A través de la heurística y las firmas combinadas, ahora detectamos más de 150,000 aplicaciones de stalkerware.

Además, miles de esas aplicaciones están actualmente activas en la naturaleza. En los últimos tres meses, hemos visto 2.332 programas que consideramos stalkerware detectados al menos una vez por Malwarebytes para Android. De esos, 107 fueron categorizados como spyware, mientras que los otros 2,225 fueron marcados como monitores.

El software de monitoreo está catalogado actualmente como un programa potencialmente no deseado (PUP) por Malwarebytes, por lo tanto, no se bloquea y elimina automáticamente de los sistemas del usuario. En su lugar, aislamos la aplicación y permitimos a los usuarios tomar la decisión de mantener o no el programa y evitar que nuestro software lo detecte en el futuro o lo deseche.

Si bien esto permite a los usuarios tomar una decisión autónoma sobre qué tipos de aplicaciones permitir en sus dispositivos, también representa un desafío si los abusadores simplemente pueden agregar programas de monitoreo a una lista de exclusión y seguir espiando sin intrusiones.

Puede comenzar a ver ahora por qué el stalkerware ha resultado problemático para la industria de la seguridad. ¿Dónde trazas la línea entre libertad y seguridad? Para nosotros, se reduce a un término simple: consentimiento.

Para monitorear, o no para monitorear

En un mundo donde las oportunidades para conectarse en el ámbito digital se traducen en oportunidades para engañar, engañar, intimidar, acosar, acosar y de otra manera ser bombardeados por lo horrible, no es de extrañar que los usuarios estén tentados a vigilar a aquellos que más les importan: parejas e hijos.

Como dijimos en nuestro artículo sobre la diferencia entre las aplicaciones de monitoreo parental y el stalkerware, no estamos aquí para decirle a las personas cómo criar a sus hijos. Tampoco estamos a punto de eliminar los consejos de relación. Pero podemos decirle lo que se considera una invasión de la privacidad o el acceso no autorizado a los ojos de la ley, así como a la comunidad de ciberseguridad.

Si elimina las razones para usar aplicaciones de monitoreo, que van desde el amor legítimo y la preocupación por la seguridad hasta el deseo de ejercer poder y control sobre un individuo, las capacidades de muchos programas de monitoreo y stalkerware no son diferentes, técnicamente, de los programas de vigilancia utilizados por Estados nacionales.

Echemos un vistazo a algunos ejemplos para demostrar nuestro significado.

A continuación hay cuatro aplicaciones de monitoreo que, hasta ahora, solo Malwarebytes detecta. Dos de ellos todavía están disponibles en Google Play y en la App Store de Apple.

Rastreador de pareja

  • Nombre de detección: Android / Monitor.CoupleTracker
  • Disponible en: plataformas de terceros, su propio sitio web
  • Características: incluye ubicación y actividad del teléfono visible en tiempo real; prevención de eliminación, que evita que los socios oculten o eliminen mensajes de texto, llamadas u otro contenido; historial de llamadas y mensajes de texto

Track Boyfriend

  • Nombre de detección: Android / Monitor.TrackFriend
  • Disponible en: plataformas de terceros, su propio sitio web
  • Características: incluye seguimiento de llamadas, correo electrónico y redes sociales; acceso a nombres de contactos, direcciones de correo electrónico y números de teléfono; capacidad de monitorear fechas y horas de contactos hechos con individuos, y número de veces contactadas

Shadow: Kid’s Key Logger

  • Nombre de detección: Android / Monitor.SimplleKeyLogger
  • Disponible en: Google Play
  • Características: incluye registro de claves y eventos; navegador e historial de llamadas; aplicaciones accedidas; correo electrónico y contenido de texto; permite a los padres / socios modificar o eliminar archivos, aplicaciones e imágenes; registra el tiempo pasado en línea, usando aplicaciones o en otras actividades

Niño más seguro

  • Nombre de detección: Android / Monitor.SaferKid
  • Disponible en Google Play y App Store
  • Características: monitoreo de mensajes de texto; gestión del tiempo de pantalla; navegador e historial de llamadas; acceso a nombres de contactos, direcciones de correo electrónico y números de teléfono; bloqueo de contenido para adultos; no se puede desactivar sin el conocimiento o consentimiento de los padres

Detectamos aplicaciones como estas bajo el pretexto de que podrían usarse legítimamente, pero también tienen el potencial de ser mal utilizadas. Más importante aún, muchas de las características y capacidades de estas aplicaciones pueden interpretarse como invasiones de la privacidad, incluso por parte de los padres que no intentan espiar a sus hijos. Y finalmente, si se implementa sin consentimiento, las aplicaciones de monitoreo cruzan la línea hacia territorio abusivo.

Por ejemplo, Couple Tracker requiere que ambos socios descarguen la aplicación en sus teléfonos y afirma que su ícono no se puede ocultar. Esto podría interpretarse como una señal de consentimiento, pero un abusador podría manipular fácilmente a una víctima para que participe o descargar la aplicación sin el conocimiento de su compañero, relegando el icono a un área menos visible en el teléfono.

Mientras tanto, Safer Kid permite a los padres monitorear la navegación web, los contactos telefónicos, los mensajes de texto y el historial de llamadas, al tiempo que restringe el acceso al contenido para adultos y las descargas de aplicaciones inapropiadas. Si bien limitar el acceso a Internet a contenido apropiado para la edad está dentro del derecho de los padres, las demás características de la aplicación anulan cualquier noción de privacidad. Y si un niño no conoce el conjunto completo de funciones de los controles parentales en su dispositivo, es probable que también se evapore cualquier confianza que haya establecido con ellos.

Si bien esta información por sí sola podría ser suficiente para disuadir a algunas personas, las aplicaciones de monitoreo, incluso aquellas utilizadas con consentimiento, a menudo están plagadas de vulnerabilidades y otros riesgos de seguridad.

En 2017, los investigadores de Cisco  revelaron múltiples vulnerabilidades para «Circle with Disney», una herramienta para monitorear el uso de Internet de un niño. En 2018, un investigador de ciberseguridad con sede en el Reino Unido  encontró dos servidores en la nube no seguros operados por TeenSafe . Los servidores incluían decenas de miles de detalles de cuentas, incluidas las direcciones de correo electrónico de los padres y las direcciones de correo electrónico de Apple ID de los niños.

El mes pasado, los investigadores de Avast descubrieron serias fallas de seguridad en 600,000 rastreadores portátiles para niños vendidos en Amazon y otros comerciantes en línea. Los dispositivos expusieron los datos enviados a la nube, incluidas las ubicaciones de GPS en tiempo real de los niños.

Armado con este conocimiento, si todavía está considerando una aplicación de monitoreo, trate de evitar estos marcadores importantes:

  • ¿Se puede usar la aplicación sin el consentimiento de la persona que se está monitoreando?
  • ¿El programa tiene capacidades que infringen la privacidad personal o permiten el acceso no autorizado según lo define la ley o su propio compás moral?
  • ¿Existen riesgos de seguridad reales al usar la aplicación?

Si la respuesta es «sí» a cualquiera de estos, nuestro consejo es encontrar un programa diferente, o considerar abandonar la idea de vigilar a los seres queridos por completo.

Cómo protegerse contra el stalkerware

En el otro lado de la moneda están las víctimas de los acosadores, la mayoría de las veces parejas o cónyuges, con un guiño especial a aquellos involucrados en violencia doméstica. Dado que muchas de estas aplicaciones se pueden usar sin consentimiento e incluyen características ocultas que ocultan su presencia, es difícil para las víctimas de stalkerware saber exactamente a qué se enfrentan para determinar los siguientes mejores pasos.

Sin embargo, como se señaló anteriormente, la mayoría de las víctimas de violencia doméstica también son víctimas de abuso digital, incluido el seguimiento de sus ubicaciones y comunicaciones. Y la mayoría podría decirle que no sabían cómo lo hacía su compañero, pero sabían que, de alguna manera, habían «pirateado» su dispositivo.

Entonces, el primer paso es una verificación intestinal. Hay algunos síntomas técnicos de stalkerware, que incluyen una vida útil de la batería que se agota rápidamente y un mayor uso de datos, pero podrían ser síntomas de una multitud de otros problemas de malware, hardware o batería. Por lo tanto, cuando intente evaluar si su dispositivo ha sido infiltrado con stalkerware, tenga en cuenta los siguientes factores, que se detallan en nuestro artículo para víctimas de abuso doméstico sobre qué hacer cuando encuentra stalkerware en su dispositivo :

  • ¿Su pareja tiene acceso físico a su dispositivo?
  • ¿Su pareja conoce la contraseña de su dispositivo?
  • ¿Tu pareja parece saber dónde estás sin decirle?
  • ¿Su novia de repente hace preguntas urgentes sobre un tema que solo discutió por mensaje de texto o correo electrónico con otra persona?
  • ¿Las fotos desaparecen repentinamente o aparecen en su dispositivo sin su manipulación?
  • ¿Tu pareja parece saber demasiado ?

Los grupos de defensa de la violencia doméstica y las víctimas con las que hablamos señalaron la misma señal: una sensación de ser observados. Como Erica Olsen, directora del proyecto Safety Net para la Red Nacional para Terminar con la Violencia Doméstica, aconsejó a los usuarios en un blog anterior de Labs: confía en ti mismo. Conoces la sensación de ser observado y controlado. Confíe en esos sentimientos y nunca descarte sus propias preocupaciones.

Si bien documentamos previamente y cuidadosamente los próximos pasos para las víctimas de abuso, los siguientes pasos para los usuarios «regulares» no son tan matizados y complejos. Los usuarios de Android pueden descargar la versión gratuita de Malwarebytes para Android y ejecutar un escaneo para eliminar el stalkerware, spyware u otros programas de monitoreo. Si nuestro programa encuentra stalkerware en su dispositivo, le recomendamos que lo elimine e inmediatamente cambie la contraseña de su dispositivo (o cree una contraseña si no tiene una).

A partir de ahí, considere restablecer las contraseñas de otras cuentas utilizando un dispositivo limpio y seguro. Y en el futuro, preste especial atención a las aplicaciones en su dispositivo y los permisos disponibles para cada uno.

No conocemos los detalles de las relaciones de los usuarios con sus socios, y no nos atreveríamos a considerar asesorar sobre cómo averiguar quién puso el stalkerware en su dispositivo o si confrontar o no a una persona que usted sabe es responsable. Nuevamente, esto está fuera del contexto de la violencia doméstica. Para aquellos que son víctimas de abuso, es necesario un protocolo completamente diferente para garantizar la seguridad física. No podemos enfatizar eso lo suficiente.

Pero para aquellos que no corren el riesgo de tener parejas abusivas, podemos decir esto: mereces una experiencia autónoma, gratuita y segura con la tecnología. Quien infringe eso no es tu amigo. Si usted es un padre que quiere mantener a sus hijos seguros o una pareja que le preocupa que la persona que ama se extravíe, puede abordar estas situaciones sin destruir la confianza, con el consentimiento informado y con respeto a la privacidad personal.