Los tiempos están cambiando’. Cuando los usuarios alguna vez se sintieron libres de navegar por Internet de forma anónima, publicar sobre sus vidas más íntimas en las redes sociales y descargar aplicaciones con frivolidad, la gente está jugando cosas un poco más cerca del chaleco en estos días.

Hoy en día, los usuarios prestan más atención a la privacidad y a cómo se transmite, procesa, almacena y comparte su información personal. Casi todos los días, son bombardeados con noticias de violaciones de datos , abusos o negligencia de información personal por parte de gigantes tecnológicos, y la creciente sofisticación de las tácticas y estafas cibercriminales .

No es de extrañar que los usuarios de Internet estén buscando ciertas herramientas que les brinden mayor privacidad, y no solo seguridad, mientras navegan por la web, ya sea en casa, en la oficina o mientras viajan.

Si bien algunos podrían optar por Tor o un servidor proxy para abordar su necesidad de privacidad, muchos usuarios hoy en día adoptan redes privadas virtuales o VPN .

Dependiendo de a quién le pregunte, una VPN es cualquiera de estos: [1] un túnel que se encuentra entre su dispositivo informático e Internet, [2] lo ayuda a permanecer anónimo en línea, evitando la vigilancia gubernamental, el espionaje y la recopilación excesiva de datos de grandes empresas, [3] una herramienta que encripta su conexión y enmascara su verdadera dirección IP con una que pertenece a su proveedor de VPN, [4] un software o aplicación que le permite acceder a recursos privados (como archivos de la empresa en su intranet de trabajo) o sitios que generalmente están bloqueados en su país o región.

Sin embargo, no todas las VPN se crean de la misma manera, y esto es cierto independientemente de la plataforma que utilice. Del creciente número de aplicaciones VPN que ya existen, que actualmente se encuentra en cientos, un número notable de ellas se clasifican como inseguras, especialmente aquellas que son gratuitas.

En esta publicación, veremos más de cerca las VPN gratuitas para dispositivos móviles, una categoría que, según muchos, tiene la mayor cantidad de aplicaciones inseguras.

Pero primero, lo básico.

¿Cómo funcionan las VPN?

Rob Mardisalu de TheBestVPN ilustró un diagrama rápido de cómo funcionan las VPN, y es casi tan simple como parece.

Normalmente, usar una VPN requiere la descarga e instalación de una aplicación o archivo que llamamos un cliente VPN. Instalar y ejecutar el cliente crea un túnel encriptado que conecta el dispositivo informático del usuario a la red.

La mayoría de los proveedores de VPN solicitan a los usuarios que se registren con una dirección de correo electrónico y una contraseña, que serían las credenciales de su cuenta, y ofrecen un método de autenticación, ya sea por SMS, correo electrónico o escaneo de códigos QR, para verificar que el usuario es realmente quien dice que son.

Una vez que esté completamente registrado y configurado, el usuario ahora puede navegar por Internet público de manera normal, pero con mayor seguridad y privacidad.

Digamos que el usuario realiza una búsqueda en su navegador o visita directamente el sitio web oficial de su banco. El cliente VPN encripta la consulta o los datos que ingresa el usuario. A partir de ahí, los datos cifrados van al proveedor de servicios de Internet (ISP) del usuario y luego al servidor VPN. El servidor luego se conecta a Internet público, señalando al usuario los resultados de la consulta o el sitio web bancario.

Independientemente de qué datos se envíen, el sitio web de destino siempre ve el origen de los datos como el servidor VPN y su ubicación, y no la dirección y ubicación IP del usuario. Aseado, ¿eh?

Lo que las VPN no hacen

Por muy reconfortante que sea el uso de VPN, tenga en cuenta que no pueden ser todo lo relacionado con la privacidad y la seguridad para todos los usuarios. Hay ciertas funciones que no pueden o no completarán, y esto no se limita al tipo de VPN que utiliza.

Aquí hay algunas restricciones a tener en cuenta. Las VPN no:

• Ofrecer pleno anonimato. Mantenerlo en el anonimato debería ser inherente a todas las VPN disponibles en el mercado. Sin embargo, lograr el anonimato completo en línea usando VPN es casi imposible. Siempre habrá rastros de datos suyos que las VPN recopilan, incluso aquellos que no guardan registros, y por registros, nos referimos al historial de navegación, las direcciones IP, las marcas de tiempo y el ancho de banda.
• Conectarte a la web oscura. Una VPN en sí misma no lo conectará a la web oscura si desea explorarla. Un navegador de cebolla , como el navegador Tor, puede hacer esto por usted. Y muchos están adoptando el uso de ambas tecnologías, con la VPN enmascarando el tráfico de Tor, por lo que su ISP no sabrá que está usando Tor, cuando navega por la web.
• Ofrezca a los usuarios acceso completo a su servicio de forma gratuita. Siempre. Algunas VPN verdaderamente legítimas ofrecen sus servicios de forma gratuita durante un tiempo limitado. Y una vez que expira la fase de prueba, los usuarios deben decidir si pagarían por esta VPN o si buscarían algo más gratis.
• Protegerte de la aplicación de la ley cuando te citan . Las VPN no se dejarán arrastrar a los tribunales si la policía tiene motivos para creer que está participando en actividades ilegales en línea. Cuando se convoca a los proveedores de VPN para que proporcionen evidencia de sus actividades de usuario, tienen cero razones convincentes para no cumplir.
• Protegerte de ti mismo. Ninguna compañía antimalware que valga la pena recomendaría a los usuarios que visiten el sitio web que deseen, abran cada archivo adjunto de correo electrónico o hagan clic en todos los enlaces bajo el sol porque su producto de seguridad los protege. Tener cuidado en línea y evitar comportamientos riesgosos, incluso cuando se utiliza un producto de seguridad, sigue siendo una forma importante de protección contra la infección de malware o el intento de fraude. Los usuarios deben aplicar la misma vigilancia de seguridad cuando usan VPN.

¿Quién usa VPN y por qué?

Lo que comenzó como un producto exclusivo para las empresas para garantizar la seguridad de los archivos compartidos entre colegas de diferentes ubicaciones se ha convertido en una de las herramientas de acceso mundial para la privacidad personal y el anonimato.

Los usuarios promedio de Internet ahora tienen acceso a más de 300 marcas de VPN en el mercado, y pueden usarse para diversos fines.

Según los últimos hallazgos sobre el uso de VPN de la compañía de investigación de mercado GlobalWebIndex, las tres razones principales por las que los usuarios de Internet de todo el mundo usarían un servicio VPN son:

1. para acceder a contenido de entretenimiento restringido por ubicación
2. usar redes sociales y / o servicios de noticias (que también pueden tener restricciones de ubicación)
3. para mantener el anonimato mientras navega por la web

Eso sí, estos no son nuevos. Estas razones han obtenido puntajes altos en muchos estudios de uso de VPN publicados anteriormente.

Los usuarios de los mercados emergentes son los principales usuarios de VPN en todo el mundo, particularmente Indonesia con un 55 por ciento, India con un 43 por ciento, Emiratos Árabes Unidos con un 38 por ciento, Tailandia con un 38 por ciento, Malasia con un 38 por ciento, Arabia Saudita con un 37 por ciento, Filipinas con un 37 por ciento , Turquía con 36 por ciento, Sudáfrica con 36 por ciento y Singapur con 33 por ciento.

El informe también señaló que entre los 40 países estudiados, los factores de motivación para usar VPN varían. A continuación se muestra una tabla resumen de esta relación:

Las aplicaciones VPN móviles son las más populares

Un par de conclusiones más interesantes del informe: la mayoría de los usuarios más jóvenes navegan por Internet con VPN, especialmente en dispositivos móviles. Los detalles son los siguientes:

• La gran mayoría de los usuarios de Internet de entre 16 y 24 años (74 por ciento) y entre 25 y 34 (67 por ciento) usan VPN.
• Los usuarios acceden a Internet utilizando VPN en dispositivos móviles, que en este caso incluyen teléfonos inteligentes (69 por ciento) y tabletas (33 por ciento).
• El 32 por ciento usa VPN en dispositivos móviles casi a diario en comparación con el 29 por ciento a esta frecuencia en una PC o computadora portátil.

Con tantos usuarios (en su mayoría más jóvenes) que adoptan VPN móviles y de escritorio para ver contenido pago o reforzar la privacidad, no es de extrañar que los usuarios de Android e iOS a menudo opten por aplicaciones VPN móviles gratuitas en lugar de productos pagos que pertenecen a nombres más establecidos.

Pero analizar cientos de marcas no es tarea fácil. Y cuanto más investigas, más difícil es elegir. Para el usuario promedio, esto es demasiado trabajo cuando todo lo que quieren hacer es mirar Black Mirror en Netflix. Y es probable que por eso tantas aplicaciones inseguras lleguen al mercado y se instalen en los dispositivos móviles de los usuarios.

«Gratis» no significa «libre de riesgo»

Cuando se trata de cosas gratis en Internet, la mayoría de nosotros sabemos que realmente no obtenemos algo por nada. La mayoría de las veces, pagamos con nuestros datos e información. Si cree que esto no se aplica a las aplicaciones VPN móviles gratuitas, piénselo de nuevo.

«Hay un problema importante con las aplicaciones VPN gratuitas en Google Play y la App Store de Apple», dice Simon Migliano, jefe de investigación en Top10VPN , en una entrevista por correo electrónico. Explica además: “[V] pocos proveedores de VPN ofrecen transparencia sobre su aptitud para operar un servicio tan sensible. Las políticas de privacidad son en gran medida basura, mientras que el 25 por ciento de las aplicaciones sufren fugas de DNS y exponen su identidad. La mayoría está plagada de rastreadores de anuncios y, en el mejor de los casos, es un adware glorificado, en el peor, un spyware «.

En diciembre de 2018, Migliano publicó un informe de investigación sobre las 20 mejores aplicaciones VPN gratuitas en Android que aparece en las búsquedas de Google Play en el Reino Unido y EE. UU. Según el informe, más de las tres cuartas partes (86 por ciento) de estas aplicaciones VPN, que tienen millones de descargas, tienen políticas de privacidad que se consideran inaceptables: el uso de plantillas de políticas de privacidad genéricas que no tienen cláusulas específicas de VPN; las aplicaciones rastrean la actividad del usuario o comparten datos del usuario con terceros; y pocos detalles sobre las políticas de registro que, en su ausencia, «podrían inducir a las personas a [una] falsa sensación de seguridad», por nombrar algunas. La privacidad es solo una de las muchas preocupaciones que Top10VPN había descubierto.

Las principales aplicaciones VPN gratuitas dirigidas a usuarios de iPhone tienen problemas similares. De hecho, en un informe de investigación de seguimiento , el 80 por ciento de estos se consideraron no conformes con la Pauta 5.4, una nueva adición a las Pautas de revisión de la tienda de aplicaciones de Apple , que se introdujo hace un mes.

Top10VPN también señaló que varias de las 20 mejores aplicaciones VPN en Android e iOS tienen vínculos con China.

Hubo otras investigaciones en el pasado sobre aplicaciones VPN móviles, tanto gratuitas como comerciales. Gracias a ellos, hemos visto mejoras a lo largo de los años, pero algunas de estas preocupaciones persisten. También tenga en cuenta la grave falta de conocimiento de los usuarios, lo que ayudó a que tales aplicaciones VPN gratuitas cuestionables tengan altas calificaciones, fomentando más descargas y posiblemente manteniéndolas en la cima de las filas.

En un informe de investigación exhaustivo de 2016 [PDF] publicado por la Organización de Investigación Científica e Industrial de la Commonwealth (CSIRO) junto con la Universidad de Gales del Sur y UC Berkeley, los investigadores revelaron que algunas aplicaciones VPN móviles, tanto de pago como gratuitas, filtran tráfico de usuarios (84 por ciento para IPv6 y 66 por ciento para DNS), solicitan datos confidenciales de los usuarios (80+ por ciento), emplean encriptación de tráfico cero (18 por ciento) y más de una cuarta parte (38 por ciento) usan malware o publicidad maliciosa .

La fuga de tráfico era un problema no exclusivo de las aplicaciones VPN gratuitas. Investigadores de la Universidad Queen Mary de Londres y la Universidad Sapienza de Roma descubrieron que incluso las aplicaciones VPN comerciales eran culpables del mismo problema. También descubrieron que las configuraciones de DNS de estas aplicaciones de VPN podrían saltarse usando tácticas de secuestro de DNS . Los detalles de su estudio se pueden ver en esta página de Semantic Scholar .

VPN gratis que se comportan mal

Los hallazgos de la investigación son una cosa, pero las organizaciones y las personas que encuentran y comparten sus experiencias sobre los problemas que rodean a las VPN gratuitas hacen que todo lo técnico en papel se vuelva real. Aquí hay ejemplos de eventos en los que las VPN gratuitas estaban (o continúan estando) bajo escrutinio y denunciaron su mal comportamiento.

La queja de Hotspot Shield. El desarrollador de la aplicación VPN móvil AnchorFree, Inc. estuvo en el centro de atención hace un par de años, y no por una buena razón. El Centro para la Democracia y la Tecnología (CDT), un grupo de defensa de los derechos digitales, presentó una queja [PDF] ante la FTC por “intercambio de datos no revelado y poco claro y redirección de tráfico que ocurre en Hotspot Shield Free VPN que debe considerarse comercio injusto y engañoso prácticas bajo la Sección 5 de la Ley FTC «.

La queja decía que se descubrió que Hotspot Shield inyectaba código JavaScript en los navegadores de los usuarios para publicidad y seguimiento, por lo tanto, también los exponía al monitoreo de las fuerzas del orden y otras entidades. La queja de CDT condujo a una denegación de las reclamaciones por parte del desarrollador de la aplicación y la consiguiente formación de su informe anual de transparencia .

HolaVPN atrapado con las manos en la masa. HolaVPN es una de las muchas aplicaciones VPN móviles reconocibles y gratuitas. En 2015, un spammer con el seudónimo de Bui comenzó un ataque de spam contra 8chan, que luego reveló que pudo hacerlo con la ayuda de Luminati, una conocida red de representantes y una compañía hermana de HolaVPN. Lorenzo Franceschi-Bicchierai señaló en su pieza de la placa base que el sitio web de Luminati se jactaba de tener «millones» de nodos de salida. Por supuesto, estos nodos eran todos usuarios gratuitos de HolaVPN.

En diciembre de 2018, la compañía AV, Trend Micro, reveló que encontraron evidencia de la antigua pandilla de delitos cibernéticos KlipVip (que se sabía que difundían software AV falso o rogueware ) usando Luminati para llevar a cabo lo que los investigadores creen que es una campaña de fraude publicitario a gran escala.

Innet VPN y Secnet VPN malvertising. En abril pasado, Lawrence Abrams de BleepingComputer alertó a los usuarios de iPhone de algunas VPN móviles que sacaban una página del libro falso de AV en promoción publicitaria: tácticas de miedo. Los usuarios que hicieron clic en un anuncio falso en sitios populares se encontraron con mensajes emergentes que alegaban que su dispositivo móvil estaba infectado o que estaban siendo rastreados.

Desafortunadamente, esa no fue la primera vez que sucedió esto, y puede que no sea la última. Nuestro propio Jérôme Segura vio de primera mano una campaña similar exactamente un año antes del informe de Bleeping Computer, pero estaba presionando a los usuarios a descargar una VPN llamada MyMobileSecure.

Las VPN no son intrínsecamente malas

A pesar de la evidencia indiscutible del lado sombrío de las aplicaciones VPN móviles gratuitas, el hecho es que no todas son malas. Esta es la razón por la cual es crucial para los usuarios móviles que actualmente usan o buscan usar un servicio VPN gratuito para realizar una investigación sobre qué marcas pueden confiar con sus datos y privacidad. Nadie quiere una aplicación que prometa una cosa, pero hace todo lo contrario.

Cuando los usuarios insisten en usar un servicio VPN gratuito, Migliano sugiere que deberían suscribirse a un servicio basado en el modelo freemium, ya que estas plataformas no tienen publicidad, por lo que mantiene la privacidad intacta. También ofreció preguntas útiles que los usuarios deben hacerse al elegir la mejor VPN que se ajuste a sus necesidades.

“Busque información sobre la empresa. ¿Son [sic] una compañía real con personas reales, con una dirección, número de teléfono y todas las cosas que las compañías normales tienden a tener? ¿Tienen una política de privacidad específica de VPN que explique sus políticas de registro y retención de datos? ¿Han tomado medidas para minimizar el riesgo de uso indebido de datos, como eliminar todos los registros del servidor en tiempo real, por ejemplo? ¿Tienen el soporte al cliente adecuado?

También ten cuidado con las revisiones de VPN. Pueden ser anuncios disfrazados.

Finalmente, los usuarios tienen la opción de optar por un servicio pago, que es un modelo de negocio que siguen la mayoría de los servicios de VPN móviles bien establecidos y legítimos. O pueden crear los suyos . Como no todos son lo suficientemente inteligentes como para hacer lo último, lo primero es la siguiente opción lógica. Migliano está de acuerdo.

«Lo mejor que puedes hacer es pagar por una VPN», dijo. “Cuesta dinero operar una red VPN y, por lo tanto, si no paga directamente, sus datos de navegación se monetizan. Esto es claramente una cruel ironía dado que una VPN está destinada a proteger la privacidad de un usuario «.

La semana pasada, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) anunció que había requerido que Google y YouTube pagaran una tarifa de liquidación por un total de $ 170 millones después de que se descubriera que su plataforma para compartir videos violaba la Ley de Protección de Privacidad en Línea para Niños (COPPA) . La denuncia fue presentada por la FTC y el Fiscal General de Nueva York, y el primero recibió la multa de $ 136 millones y el último $ 34 millones.

Según el comunicado de prensa de la FTC , esta sanción «es, con mucho, la mayor cantidad que la FTC haya obtenido en un caso de COPPA desde que el Congreso promulgó la ley en 1998».

Tenga en cuenta que la queja no involucra la aplicación YouTube Kids, un servicio de YouTube dedicado a mostrar solo contenido dirigido a niños. Aunque la aplicación todavía muestra anuncios , aunque en un grado limitado, no rastrea los datos secundarios para este propósito.

Este triunfo sobre Google y YouTube sigue los pasos de varias quejas presentadas por la FTC en 2019 con el objetivo de proteger la privacidad de los niños en línea. En mayo, se eliminaron tres aplicaciones de citas de los mercados de Apple y Google después de que la FTC alegara que las aplicaciones permitían el acceso a niños de 12 años.

i-Dressup.com, un sitio web de juegos de disfraces, acordó resolver los cargos en abril después de que la FTC presentó una queja, alegando que los operadores del sitio web no solicitaron el consentimiento de los padres al recopilar datos de niños menores de 13 años.

En un caso similar en febrero, la FTC llegó a un acuerdo con Musical.ly , ahora conocido popularmente como TikTok, luego de que se descubriera que sus operadores recopilaban datos de niños pequeños, que incluyen sus nombres completos, direcciones de correo electrónico y otra información de identificación personal ( PII) sin el consentimiento de sus padres.

Un resumen de la violación de YouTube

Desde su inicio, YouTube se ha promocionado como una plataforma para compartir videos para contenido de audiencia general. Fue creado para adultos y no está destinado a niños menores de 13 años.

A través de los años, sin embargo, YouTube se ha convertido en un compañero constante de niños pequeños. De hecho, según la compañía de investigación de mercado, Smarty Pants, YouTube es reconocida como la marca más querida entre los niños estadounidenses de 6 a 12 años durante cuatro años consecutivos desde 2016. [ 1 ] [ 2 ] [ 3 ] [ 4 ]

También es extremadamente difícil defender el argumento de que «YouTube no es para niños» cuando una cantidad considerable de contenido dirigido a niños ya está presente, y continúa creciendo y acumulando miles de millones de visitas, en la plataforma.

El modelo de negocio de YouTube depende de la recopilación de información personal e identificadores persistentes (es decir, cookies ) de los usuarios para publicidad conductual o personalizada. Los propietarios de canales dirigidos por niños que optaron por monetizar su contenido permitieron a YouTube recopilar datos de su público objetivo: niños menores de 13 años, el grupo de edad de YouTube dijo que no estaba hecho para ellos.

Es fácil suponer que YouTube puede no tener los medios para saber qué datos pertenecen a qué grupo de edad, de lo contrario habrían actuado sobre ellos. Sin embargo, según la queja [PDF], YouTube sabía que estaban recopilando datos de niños.

Más sorprendente, incluso, es el hecho de que Google utilizó la popularidad de la marca de YouTube entre los niños pequeños como parte de su táctica de marketing, vendiéndose a fabricantes y marcas de productos y servicios centrados en los niños como «los nuevos dibujos animados de Saturday Morning Cartoons», entre otros.

A pesar de este conocimiento, YouTube nunca intentó notificar a los padres sobre su proceso de recopilación de datos, ni les pidió a los padres su consentimiento en la recopilación de datos. A los ojos de COPPA, estas son enormes banderas rojas.

Buenas noticias: el cambio positivo está a la mano

El acuerdo acordado entre la FTC y Google / YouTube incluye una compensación monetaria, el pago de $ 170 millones en este caso, y tres medidas cautelares, que se definen como un acto o prohibición que las empresas deben completar según lo ordenado por el tribunal. Según el comunicado de prensa, los mandamientos judiciales son los siguientes:

• Google y YouTube deben «desarrollar, implementar y mantener un sistema que permita a los propietarios de canales identificar su contenido dirigido a niños en la plataforma de YouTube para que YouTube pueda garantizar que cumple con COPPA».
• Google y YouTube deben «notificar a los propietarios de canales que su contenido dirigido a niños puede estar sujeto a las obligaciones de la Regla COPPA y proporcionar capacitación anual sobre el cumplimiento de COPPA para los empleados que tratan con propietarios de canales de YouTube».
• Se prohíbe a Google y YouTube violar la Regla COPPA, y la orden judicial «requiere que notifiquen sobre sus prácticas de recopilación de datos y obtengan el consentimiento de los padres verificables antes de recopilar información personal de los niños».

Como los creadores de contenido también son culpables al informar a la plataforma sobre el tipo de contenido que están produciendo y publicando, la FTC ha notado que si no informa a YouTube que su contenido está dirigido a niños podría estar sujeto a su eliminación de YouTube y otras sanciones civiles .

Susan Wojcicki, CEO de YouTube, visitó su blog oficial para actualizar personalmente a los lectores al ampliar estos cambios y recordar a los usuarios que la compañía ha estado haciendo cambios activamente dentro de la plataforma de video desde el cuarto trimestre de 2017.

«Hemos estado invirtiendo significativamente en las  políticas ,  productos  y  prácticas para ayudarnos a hacer esto», escribió Wojcicki. “Desde sus primeros días, YouTube ha sido un sitio para personas mayores de 13 años, pero con un auge en el contenido familiar y el aumento de dispositivos compartidos, la probabilidad de que los niños vean sin supervisión ha aumentado. Hemos estado analizando detenidamente las áreas donde podemos hacer más para abordar esto … «

Aquí hay una lista de cambios ampliados que YouTube sufrirá en los próximos meses:

• En cuatro meses, los datos de cualquier persona que vea contenido dirigido a niños serán tratados como provenientes de un niño, independientemente de la edad real del espectador.
• Los anuncios personalizados ya no se publicarán en contenido dirigido a niños. (Tenga en cuenta que esto no significa que no se mostrarán anuncios).
• Algunas funciones de YouTube, como comentarios y notificaciones, no estarán disponibles en dicho contenido.
• YouTube utilizará el aprendizaje automático para encontrar contenido dirigido a niños.
• YouTube promocionará aún más su aplicación YouTube Kids a los padres mediante la realización de una campaña en YouTube y creando una versión de escritorio de la aplicación.
• YouTube brindará apoyo a los creadores de contenido para familias y niños durante la fase de transición.
• YouTube está lanzando un fondo de $ 100 millones para que los creadores creen contenido original y reflexivo. Este fondo se dispersa en los próximos tres años.

Insatisfacción general con los resultados.

Mientras que algunos pueden ver esto como una victoria histórica para la FTC y el Fiscal General de Nueva York, otros lo ven como otro ejercicio para evitar el castigo debido a otra gran empresa que infringe la ley.

Caso en cuestión: el Comisionado Rohit Chopra, uno de los dos comisionados que votaron en contra del acuerdo, señaló en su declaración [PDF] los mismos errores que cometió la Comisión en un caso similar de Facebook: “[No hay] responsabilidad individual, remedios insuficientes para abordar los incentivos financieros de la compañía, y una multa que aún le permite a la compañía beneficiarse de su infracción de la ley «.

Chopra también notó inconsistencias con la forma en que la FTC maneja los casos de pequeñas empresas versus grandes empresas. Ergo, el primero es penalizado en exceso, mientras que el segundo es fácil. Con este punto, James P. Steyer, fundador y CEO de Common Sense Media, está de acuerdo.

«El acuerdo no es más que una palmada en la muñeca para una empresa tan grande como Google, y no impone cambios significativos para proteger verdaderamente los datos y la privacidad de los niños», dijo Steyer en un comunicado oficial.

Sin embargo, también reconoció que las reformas declaradas de YouTube están haciendo avanzar el diálogo. “El compromiso de YouTube para promulgar reformas específicas en la plataforma también es un paso en la dirección correcta, pero ahora deben poner recursos detrás de su declaración. Los niños y las familias deben ser una prioridad en Washington, DC y en Silicon Valley ”.

La comisionada Rebecca Slaughter, la otra parte disidente, planteó en su propia declaración [PDF] que las medidas cautelares son incompletas, ya que carecen de las órdenes y / o mecanismos (un «respaldo tecnológico») que garantice que los creadores de contenido estén diciendo la verdad al designar adecuadamente canales de contenido dirigido a niños.

Slaughter no es el único que menciona lo que falta en el asentamiento. Hablando con Angelique Carson, editora de la Asociación Internacional de Privacidad (IAPP) en The Privacy Advisory Podcast , Linnette Attai, presidenta de la firma de cumplimiento global PlayWell y experta de COPPA, expresó sus preocupaciones.

“No estamos viendo la rigurosa auditoría de terceros que hemos visto, tradicionalmente, en los acuerdos de COPPA. No estamos viendo los requisitos para eliminar datos, que es algo que verá en los primeros asentamientos de COPPA, pero parece haberse reducido como una opción para la FTC en los últimos años ”, dijo. “Una cosa es decir: ‘No puedes usar esta información’. Otra muy distinta es decir, ‘Tienes que eliminarlo’, lo que garantiza que no puedas usarlo accidentalmente ”.

V para vigilancia

Todas las personas tienen datos , y en este día y edad, se transmiten regularmente, a menudo con indiferencia, a aquellos que pueden o no apreciar su valor. Si los usuarios no se preocupan por las grandes y pequeñas empresas que cruzan líneas para monetizar datos personales, tal vez un claro recordatorio de que los cibercriminales también persiguen su PII también lo hará considerar seriamente cómo aborda su privacidad de datos.

Los datos de los niños también están siendo atacados por actores de amenazas. De hecho, cuando se trata de fraude, los ciberdelincuentes prefieren los datos que pertenecen a niños que a adultos. Esta es la razón por la cual los padres y los cuidadores deben estar más atentos para mantener seguros sus datos, y los de sus pequeños. Hablar con sus hijos sobre cómo es en línea [PDF], conocer las formas en que puede proteger la privacidad de su hijo e informar a las empresas ante la FTC por posibles violaciones de los derechos de COPPA son tres grandes pasos que puede tomar para no solo mejorar la postura de privacidad de su hijo, sino también su postura de seguridad también

Los iPhones tienen fama de ser notoriamente seguros. Después de todo, causaron una gran confusión entre Apple y el FBI porque, desde el punto de vista del FBI, son demasiado seguros. Sin embargo, no dejes que eso te adormezca con una falsa sensación de seguridad. El uso de un iPhone no es una garantía automática de invulnerabilidad, incluso mientras Apple continúa iterando en su producto más popular y rentable.

Aunque el hardware de Apple se está volviendo más seguro todo el tiempo, esa seguridad se vuelve inútil si permite compromisos a través de malos hábitos de ciberseguridad . Los siguientes siete consejos lo ayudarán a asegurarse de que su iPhone sea la fortaleza digital que debería ser.

1. Use una frase de contraseña larga

La mayoría de las personas establece un código PIN de cuatro dígitos, o tal vez el PIN de seis dígitos un poco más seguro, para proteger sus teléfonos. Y claro, esto parece una protección perfectamente aceptable, dado que el teléfono se bloqueará por períodos de tiempo cada vez mayores si un ladrón intenta desbloquearlo con el código incorrecto demasiadas veces. Dependiendo de su configuración, puede borrarse después de 10 intentos incorrectos.

¿Qué puede salir mal? De un posible 10,000 combinaciones, el atacante tiene que adivinar correctamente en los primeros 10 intentos. Las posibilidades de hacerlo son bastante bajas, una en 1,000, para ser precisos. El uso de seis dígitos aumenta aún más sus probabilidades.

Sin embargo, no todos los ataques implican introducir números en la pantalla repetidamente. A lo largo de los años, ha habido muchos dispositivos capaces de volver a intentar números PIN sin fin, sin penalizaciones, aprovechando las vulnerabilidades en el hardware o el software del iPhone. El último de ellos, el dispositivo GrayKey , puede descifrar un PIN de cuatro dígitos en una o dos horas, y un PIN de seis dígitos en tres días o menos.

Si hay una verdad universal sobre estos códigos de acceso, es que más tiempo es mejor. Lo mejor que puede hacer es comenzar a usar una contraseña alfanumérica más larga en lugar de un código PIN. Cada carácter adicional de longitud aumenta el tiempo necesario exponencialmente, y ese tiempo se vuelve aún más largo al agregar letras y símbolos a la mezcla.

Para cambiar a una contraseña más larga, abra la aplicación Configuración, luego toque Touch ID & Passcode. Ingrese su PIN actual, luego toque Cambiar contraseña en la siguiente pantalla. Ingrese su contraseña nuevamente, pero luego, en lugar de ingresar una nueva contraseña, toque Opciones de contraseña. Esto le dará la opción de elegir, entre otras cosas, un código alfanumérico personalizado.

Sé lo que estás pensando. ¿Quién quiere ingresar una contraseña larga cada vez que desbloquean su teléfono? Afortunadamente, los iPhones modernos tienen opciones biométricas convenientes para acceder al dispositivo sin ingresar la contraseña cada vez. Touch ID o Face ID te permiten acceder rápidamente a tu teléfono, sin necesidad de ingresar la contraseña.

Por supuesto, Touch ID y Face ID son características convenientes, no características de seguridad. Existen preocupaciones válidas sobre la seguridad del uso de un patrón biométrico que no se puede cambiar como reemplazo de una contraseña.

Aún así, si le permiten usar una contraseña más larga convenientemente , vale mucho más que evitarlas, sino usar un código PIN corto. Siempre puede bloquear temporalmente el dispositivo para que Touch ID y Face ID no funcionen. Para obtener más información, consulte la información de Apple sobre la seguridad de Touch ID y Face ID .

2. Bloquee su ID de Apple con 2FA

¿Con qué ahora? Esa abreviatura divertida (2FA) significa autenticación de dos factores , un medio de autenticación que requiere no solo algo que sabes , como una contraseña, sino también algo que tienes , como un código temporal de una sola vez. Sin ambos, un atacante no puede acceder a su cuenta.

Su ID de Apple proporciona las claves del reino. Está vinculado a todos los dispositivos que posee. Probablemente tenga una tarjeta de crédito asociada. Su ID de Apple también es su cuenta de iCloud y, como tal, puede contener todo tipo de golosinas tentadoras, incluidas las contraseñas.

Afortunadamente, Apple ofrece 2FA en su ID de Apple , y se recomienda encarecidamente que aproveche esto. Hacerlo significa que siempre tendrá que ingresar su contraseña y un código de seis dígitos enviado a un dispositivo confiable antes de iniciar sesión en su cuenta desde una nueva máquina. Esto hace que sea muy difícil para un hacker acceder a su ID de Apple y a la gran cantidad de datos a los que puede dar acceso.

3. Mantenga su iPhone actualizado

Mantener su sistema y todas sus aplicaciones actualizadas es una parte importante para mantenerse seguro. iOS (el sistema que se ejecuta en iPhones) se actualiza con frecuencia para corregir vulnerabilidades que podrían usarse en varios escenarios para atacar su dispositivo. Algunos de estos son menores, otros son problemas importantes.

Las noticias recientes sobre China infectando los iPhones de personas uigures a través de una serie de vulnerabilidades de iOS es el ejemplo perfecto de por qué es importante la actualización. De las 14 vulnerabilidades utilizadas en estos ataques, como lo documenta Google Project Zero, ¡12 de ellas ya habían sido reparadas por Apple! Sin embargo, todavía estaban en uso, porque muchas de las víctimas no habían actualizado sus teléfonos, por lo que las vulnerabilidades continuaron siendo efectivas.

Peor aún, una vez que se repara una vulnerabilidad y Apple publica sus notas de lanzamiento, eso proporciona a los piratas informáticos un poco de información adicional que puede ayudarlos a encontrar la vulnerabilidad, lo que significa que los sistemas más antiguos están potencialmente en mayor peligro después de ese punto.

4. Use una VPN con Wi-Fi gratis

El wifi público puede ser extremadamente peligroso. Cualquier otra persona en la misma red puede ver las transmisiones de red sin cifrar que realice, y una red no confiable puede realizar todo tipo de ataques de intermediario para phishing u otros fines maliciosos. Por ejemplo, si intenta iniciar sesión en el sitio de su banco con Wi-Fi público, es posible que no esté iniciando sesión en el sitio de su banco. Podría ser un sitio malicioso similar al que los malos actores dentro de la red Wi-Fi te envían.

Siempre puede usar datos celulares cuando está en público, apagando el Wi-Fi en la configuración, pero eso no siempre es práctico, especialmente con los límites de datos en la mayoría de los planes de datos celulares. Afortunadamente, hay una buena solución: una VPN o red privada virtual. Usar una buena VPN significa que todo el tráfico de su red se canaliza a través de una conexión cifrada a un servidor ubicado en otro lugar.

Desafortunadamente, hay muchas VPN inseguras o poco confiables . No ayuda mucho a su seguridad si la VPN es descuidada con sus datos, o si no actúa en su mejor interés. Existen muchas VPN gratuitas, pero recuerda la primera regla de los servicios gratuitos en Internet: si no estás pagando por ello, eres el producto.

Encontrar una VPN segura y confiable puede llevar un poco de trabajo. Afortunadamente, un excelente artículo de Brian Krebs proporciona detalles sobre las VPN y cómo seleccionar una buena. Asegúrese de que la VPN que elija tenga un buen soporte para iOS; todo lo que requiera que descargue una aplicación, pero no ofrezca una aplicación iOS, está fuera de la mesa desde el principio.

5. Use encriptación adicional

El cifrado en el iPhone es una de sus mejores características, pero no es perfecto. Mientras haya alguna posibilidad de descifrar el código de acceso de su iPhone o de obtener acceso a copias de seguridad sin cifrar, sus datos no estarán seguros. Para sus datos particularmente sensibles, como contraseñas, números de seguridad social, números de tarjetas de crédito y similares, necesita un cifrado adicional.

Usar un administrador de contraseñas con su propio cifrado seguro y una contraseña segura diferente de cualquier otra contraseña que use puede ser extremadamente útil. Una utilidad como 1Password puede almacenar una bóveda en iCloud que está encriptada de forma independiente, lo que significa que un atacante que busque sus contraseñas necesitaría primero descifrar su teléfono o cuenta de iCloud para acceder a la bóveda, luego descifrar la bóveda en sí.

Del mismo modo, la propia aplicación de notas de Apple ahora permite la creación de notas cifradas, que se pueden proteger con una contraseña de su elección. El uso de una contraseña segura y única significa que los datos que contiene dicha nota también son bastante seguros.

Cuando se trata de las copias de seguridad de su iPhone, considere hacer una copia de seguridad en su computadora usando iTunes, y configure iTunes para encriptar esas copias de seguridad . Dicha encriptación usará una contraseña separada que establezca, así que asegúrese de usar una contraseña segura y única para eso.

6. Audite la configuración de privacidad periódicamente

Hay muchos permisos que se pueden otorgar a las aplicaciones, como el acceso a la cámara, el micrófono, sus contactos y su ubicación. Es una buena idea realizar un seguimiento de los permisos que ha otorgado a las aplicaciones y revocar los permisos que no sean estrictamente necesarios. Por ejemplo, si publicó una foto en Twitter una vez, pero no es probable que lo vuelva a hacer, sería una buena idea eliminar el derecho de mirar sus fotos desde la aplicación de Twitter.

En Configuración, toque Privacidad. Aquí reside la lista maestra de todos los permisos y a qué aplicaciones les ha otorgado. Revíselos periódicamente y revoque cualquier permiso que no crea que una aplicación en particular necesita.

7. Cuidado con las estafas

El uso de un iPhone no hace nada para protegerte contra llamadas telefónicas o mensajes de texto fraudulentos . Siempre tenga cuidado con las llamadas o mensajes de remitentes desconocidos. Trate cualquier enlace recibido en mensajes de texto con extrema sospecha, incluso si es de alguien que usted conoce, ya que el remitente podría haber sido falsificado o su teléfono podría haber sido robado.

Si toca un enlace en un mensaje y el sitio desea que inicie sesión o proporcione otra información personal, verifique con el remitente que sea legítimo. Si parece ser un sitio con el que está familiarizado, considere visitar el sitio a través de un marcador en lugar del enlace.

También puede considerar el uso de un software de seguridad que puede detectar y bloquear llamadas y textos fraudulentos, como Malwarebytes para iOS .

El teléfono más seguro

Está bien sentirse seguro como propietario de un iPhone. Actualmente, los iPhones son los teléfonos inteligentes más seguros del planeta. Sin embargo, como se demostró aquí, todavía hay muchas maneras en que puede convertirse en una víctima. Así que no asuma que está a salvo automáticamente en virtud de ser dueño de un iPhone.

Hacer las cosas correctas para mantenerse seguro a menudo puede ser más importante que tener el teléfono más seguro.

Muchas organizaciones gastarán importantes sumas de dinero en capacitación de phishing para empleados. Tomando la forma de capacitación periódica de sensibilización, o incluso phishing simulados para evaluar la conciencia de los empleados, esta es una práctica común en empresas más grandes.

Sin embargo, incluso después de la capacitación, una línea base constante de empleados seguirá haciendo clic en un enlace malicioso de un remitente desconocido. Hoy, veremos una razón potencial por la cual podría ser: las comunicaciones corporativas a menudo se ven como phishing en sí mismas, causando confusión entre los remitentes legítimos e ilegítimos.

Plantillas de comunicaciones corporativas

A continuación se muestra una plantilla de correo electrónico que se encuentra en un blog de Microsoft Technet , utilizada como un ejemplo de cómo un administrador de sistemas puede comunicarse con los usuarios.

Si bien tiene buenas intenciones y proporciona a los usuarios instrucciones bastante buenas, esta plantilla cae en conflicto con el diseño de phishing de varias maneras.

• La gran «Acción requerida» en rojo con un signo de exclamación crea una falsa sensación de urgencia desproporcionada a la información presentada.
• No se proporciona ninguna forma de autenticar el mensaje como comunicaciones corporativas legítimas.
• El correo electrónico presenta toda la información a la vez en la misma página, independientemente de la relevancia para un usuario individual.
• El enlace de asistencia se encuentra en la parte inferior y sugiere un buzón genérico en lugar de hacer referencia a una persona para contactar.

Entonces, ¿cuál es el daño aquí? ¿Seguramente un usuario puede ignorar algunos diseños exagerados y tomar el mensaje deseado? Un problema es que según Harvard Business Review , el empleado de oficina promedio recibe en promedio 120 correos electrónicos por día. Al operar bajo una sobrecarga de información constante, ese trabajador tomará atajos cognitivos para reducir las interacciones con mensajes que no son relevantes para ellos.

Por lo tanto, capacitar al empleado para que responda reflexivamente a “Acción requerida” puede indicarle que haga lo mismo con correos electrónicos maliciosos . La inclusión de paredes de textos en el cuerpo del correo electrónico refuerza el escaneo en busca de una llamada a la acción (especialmente los enlaces para hacer clic), y la falta de autenticación de mensajes o asistencia humana garantiza que si hay alguna confusión sobre la seguridad, el empleado se equivocará. sin pedir ayuda

Esencialmente, las comunicaciones bien intencionadas con estos defectos de diseño capacitan a un empleado sobrecargado para exhibir malos comportamientos, a pesar de la capacitación contra el phishing, y desalientan la búsqueda de ayuda. No es de extrañar que, según el FBI , las pérdidas por el compromiso del correo electrónico comercial (BEC) hayan aumentado en un 1.300 por ciento desde enero de 2015, y ahora suman más de $ 3 mil millones en todo el mundo.

Con estos antecedentes en mente, ¿qué sucede cuando el empleado recibe un mensaje como este?

Es de destacar que ambos phishing son más accesibles para un lector de lectura que la notificación corporativa de Microsoft, y las llamadas a la acción son menos dramáticas. El phishing de PayPal en particular tiene un logotipo pasable e imita razonablemente el idioma de una alerta de cuenta real.

Un lector más cercano detectaría incongruencias de inmediato: el primer phishing se detectaría al instante. Para el segundo, el dominio del remitente no pertenece a PayPal. Si copia el enlace y lo pega en un editor de texto, el enlace va a un sitio infectado de WordPress en lugar de PayPal, y los números en recuadro con instrucciones parecen extraños. Pero un empleado que recibe 120 correos electrónicos al día no es un lector cercano. Los phishing son «suficientemente buenos».

Una alternativa mas segura

Entonces, ¿cómo lo hacemos mejor? Veamos un correo electrónico de notificación de AirBnB.

En primer lugar, la notificación es breve. Todo el contenido relevante para el usuario se comunica en una sola oración, se hace grande y en negrita para facilitar la lectura por adelantado. Lo que sigue son detalles para que el usuario final autentique la transacción, enumerados en un orden de probable interés descendente para el usuario.

El siguiente es un camino claro para obtener asistencia, expresado en un lenguaje sugerente de una persona en el otro extremo. La última es una breve explicación de por qué el usuario debe considerar la comunicación legítima, con múltiples casos de uso proporcionados para establecer expectativas.

El mito del usuario estúpido.

La discusión de la industria sobre la suplantación de identidad (phishing) y las tasas de clics se centran principalmente en lo horribles e ignorantes que son los usuarios. Las soluciones ofrecidas generalmente se preocupan por restringir la funcionalidad del correo electrónico, los castigos «efectivos» de vergüenza y culpa por hacer clic en el enlace malicioso y la capacitación repetitiva de phishing que no se alinea con la forma en que los usuarios interactúan con el correo electrónico, ni proporciona herramientas adecuadas para responder a correos electrónicos ambiguos, como la plantilla de notificación anterior.

Todo esto es una pérdida de tiempo y presupuesto.

Si una organización tiene un problema de «usuario estúpido», un comienzo más efectivo para abordarlo sería buscar señales de diseño en el entorno de ese usuario. ¿Cuántos correos electrónicos reciben al día, y de ellos, cuántos parecen funcionalmente idénticos? ¿Cuántos no son realmente relevantes o útiles para su trabajo?

Cuando los defensores de la red envían comunicaciones a la empresa, ¿se ven o se sienten como phishing? Si el usuario recibe un correo electrónico incompleto, ¿quién está disponible para ayudarlo? ¿Saben quién es esa persona, si alguien? Al estructurar las cargas de correo electrónico de los empleados de manera que sigan los pasos a continuación, ambos «mejorarán» a un empleado rápidamente y no costarán nada. Los empleados deben por lo tanto:

• Tener una carga lo suficientemente ligera como para participar de manera crítica en los mensajes.
• Obtenga comunicaciones corporativas adaptadas a sus requisitos laborales
• Tenga una manera fácil de autenticar que los remitentes de confianza son quienes dicen ser
• Ser capaz de obtener ayuda con cero fricción.

Entonces, antes de que las organizaciones participen en más lamentos y crujir de dientes sobre el «usuario estúpido» y el costo de la capacitación y la prevención, piense por un largo tiempo en cómo se produce la comunicación en su empresa, dónde están los puntos débiles y cómo puede optimizar ese flujo de trabajo.

Los investigadores de Dell Secureworks vieron una nueva característica en TrickBot que le permite alterar las sesiones web de los usuarios que tienen ciertos operadores de telefonía móvil. Según una publicación de blog que publicaron a principios de la semana pasada, TrickBot puede hacer esto «interceptando el tráfico de la red antes de que sea procesado por el navegador de la víctima».

Si recuerdas, TrickBot, un conocido troyano bancario que detectamos como Trojan.TrickBot , nació de los mismos actores de amenaza detrás de Dyreza , el malware que roba credenciales que nuestro propio investigador Hasherazade diseccionó en 2015 . Secureworks nombró a los desarrolladores detrás de TrickBot como Gold Blackburn.

TrickBot saltó a la fama cuando rivalizó con Emotet y se convirtió en la principal amenaza para las empresas en el último trimestre de 2018.

Antes de dar un paso más en su escala evolutiva, TrickBot ya tiene un impresionante repertorio de características, como una inyección web dinámica que usa contra sitios web de instituciones financieras; un módulo de gusanos ; una técnica de persistencia usando la Tarea Programada de Windows; la capacidad de robar datos de Microsoft Outlook , cookies e historial de navegación; los medios para apuntar a los sistemas de punto de venta (PoS) ; y la capacidad de propagarse a través de mensajes de spam y moverse lateralmente dentro de una red afectada a través del explorador EternalBlue, Eternal Romance o EternalChampion.

Ahora, más recientemente, la misma función de inyección web se usa contra los tres principales operadores de telefonía móvil con sede en los Estados Unidos: Verizon Wireless, T-Mobile y Sprint. El aumento para dar cabida a los ataques contra los usuarios de estas compañías se agregó a TrickBot el 5 de agosto, el 12 de agosto y el 19 de agosto, según Dell Secureworks.

¿Cómo funciona el ataque?

Cuando los usuarios de los sistemas afectados deciden visitar sitios web legítimos de Verizon Wireless, T-Mobile o Sprint, TrickBot intercepta la respuesta de los servidores oficiales y la pasa al servidor de comando y control (C&C) de los actores de la amenaza , iniciando su característica de inyección web dinámica. El servidor de C&C luego inyecta scripts, específicamente, scripts HTML y JavaScript (JS), dentro del navegador web del usuario afectado, alterando en consecuencia lo que el usuario ve y no ve antes de que se muestre la página web. Por ejemplo, ciertos textos, indicadores de advertencia y campos de formulario pueden eliminarse o agregarse, dependiendo de lo que los actores de la amenaza estén tratando de lograr.

Los investigadores de Dell Secureworks pudieron capturar pruebas de ciertos cambios que TrickBot realiza en la página original de los sitios de operadores móviles.

Arriba hay una comparación lado a lado de la página de inicio de sesión de Verizon Wireless antes (imagen de la derecha) y después (imagen de la izquierda) TrickBot manipulado. Además de algunos textos que faltan, observe también nuevos campos agregados, específicamente aquellos que solicitan números PIN.

En el caso de Sprint, el cambio es más sutil y bastante transparente: se muestra un formulario PIN adicional una vez que los usuarios pueden iniciar sesión con éxito con su nombre de usuario y contraseña.

La focalización repentina de los PIN de teléfonos móviles sugiere que los agentes de amenaza utilizando TrickBot están mostrando interés en involucrarse con ciertas tácticas de fraude como el fraude puerto de salida y de intercambio de SIM , según los investigadores.

Un fraude de transferencia ocurre cuando los actores de amenazas llaman al operador de telefonía móvil de su objetivo para solicitar que el número del objetivo sea cambiado o transferido a un nuevo proveedor de red. El intercambio de SIM o el secuestro de SIM funciona de manera similar, pero en lugar de cambiar a un nuevo proveedor, el actor de amenaza solicita una nueva tarjeta SIM al proveedor que puede poner en su propio dispositivo.

Esto provocará que todas las llamadas, MMS y SMS supuestamente se envíen al actor de la amenaza. Y si su objetivo es utilizar la autenticación de dos factores basada en texto (2FA) en sus cuentas en línea, el actor de la amenaza puede interceptar fácilmente los mensajes generados por la compañía para obtener acceso a esas cuentas. Esto da como resultado un fraude de adquisición de cuenta (ATO).

Tal estafa generalmente se realiza cuando los actores de amenazas ya se han apoderado de las credenciales de su objetivo y desean evadir 2FA.

¿Cómo protegerse de TrickBot?

Para no reinventar la rueda, le rogamos, querido lector, que regrese y revise nuestra publicación titulada TrickBot que se hace cargo como la principal amenaza comercial en la que describimos los pasos de remediación que las empresas (y los consumidores por igual) pueden seguir. Esta publicación también tiene una sección sobre medidas preventivas, formas en que uno puede disminuir la probabilidad de infección por TrickBot en los puntos finales, comenzando con campañas regulares de educación y sensibilización de los empleados sobre las últimas tácticas y tendencias sobre el panorama de amenazas.

Tenga en cuenta que Malwarebytes detecta y elimina automáticamente TrickBot sin intervención del usuario.

Creo que puedo haber sido víctima de esto. ¿Ahora que?

La mejor acción es llamar a su operador de telefonía móvil para informar el fraude, bloquear su número y considerar solicitar un nuevo número. También puede informar a los estafadores o estafadores a la FTC .

Continúe y cambie las contraseñas de todas sus cuentas en línea que haya vinculado con su número de teléfono.

También puede considerar el uso de métodos de autenticación más fuertes, como el uso de contraseñas de un solo uso (OTP) 2FA (Authy y Google Authenticator) para cuentas que contienen información extremadamente confidencial sobre usted, sus seres queridos y amigos. y su negocio o empleados.

Habilite un PIN en cuentas móviles.

Por último, familiarícese con las formas en que puede limitar la posibilidad de que un puerto salga o que el ataque de intercambio SIM vuelva a ocurrir. WIRED produjo una historia brillante sobre cómo protegerse contra un ataque de intercambio de SIM, mientras que Brian Krebs en KrebsOnSecurity tiene una pieza sobre cómo luchar contra las estafas de puertos 

Como el trabajo remoto se ha convertido en una práctica estándar, los empleados trabajan desde cualquier lugar y utilizan cualquier dispositivo que puedan para hacer el trabajo. Eso significa conexiones repetidas a redes Wi-Fi públicas no seguras, en una cafetería o bar de jugos, por ejemplo, y mayores riesgos de fugas de datos de dispositivos perdidos, extraviados o robados.

Piénsalo.

Supongamos que su empleado remoto usa su teléfono inteligente personal para acceder a los servicios en la nube de la compañía, donde puede ver, compartir y realizar cambios en documentos confidenciales como hojas de cálculo financieras, presentaciones y materiales de marketing. Digamos que también inicia sesión en el correo electrónico de la empresa en su dispositivo y descarga algunas copias de archivos importantes directamente en su teléfono.

Ahora, imagine lo que sucede si, por accidente, pierde su dispositivo. Peor aún, imagínese si no usa un código de acceso para desbloquear su teléfono, convirtiendo su dispositivo en un tesoro de datos de la compañía sin forma de protegerlo.

Datos recientes muestran que estos escenarios no son solo hipotéticos: son riesgos reales. Según un estudio del Instituto Ponemon , desde 2016 hasta 2018, el número promedio de incidentes cibernéticos que involucran negligencia de empleados o contratistas ha aumentado en un 26 por ciento.

Para comprender mejor los desafíos y las mejores prácticas para las empresas con fuerzas de trabajo remotas, Malwarebytes se asoció con IDG Connect para producir el documento técnico, » Lattes, lunch y VPN: asegurar a los trabajadores remotos de la manera correcta «. En el documento, mostramos cuán moderno las empresas requieren ciberseguridad moderna y cómo la ciberseguridad moderna significa más que solo implementar la última tecnología. También significa implementar la buena gobernanza.

A continuación se presentan algunos consejos prácticos de nuestro informe, que detallan cómo las empresas deben proteger tanto los dispositivos personales como los proporcionados por el empleador, junto con la seguridad del acceso a las redes de la empresa y los servidores en la nube.  

Si desea profundizar y aprender sobre redes segmentadas, VPN, entrenamientos de seguridad y cómo elegir la solución antivirus adecuada, puede leer el informe completo aquí .

1. Proporcione lo que es necesario para que un empleado tenga éxito, tanto en dispositivos como en acceso a datos.

Más dispositivos significan más puntos de acceso, y más puntos de acceso significan más vulnerabilidad. Si bien puede ser tentador ofrecer a cada nuevo empleado las ventajas del último teléfono inteligente, incluso si funcionan de forma remota, debe recordar que no todos los empleados necesitan el último dispositivo para tener éxito en su trabajo.

Por ejemplo, si su equipo de atención al cliente asiste habitualmente a clientes fuera del país, es probable que necesiten dispositivos con planes de llamadas internacionales. Si sus representantes de ventas se reúnen con clientes en el campo, es probable que necesiten dispositivos inteligentes con servicios de GPS y aplicaciones de mapeo. El personal de recepción, por otro lado, podría no necesitar dispositivos inteligentes.

Para garantizar que los datos confidenciales de su empresa no sean accedidos accidentalmente por más dispositivos de los necesarios, proporcione a sus empleados solo los dispositivos que necesitan.

Además, de la misma manera que no todos los empleados necesitan el último dispositivo, tampoco todos los empleados necesitan acceso total a los datos de su empresa y a las cuentas en la nube.

Es probable que su equipo de marketing no necesite acceso general a sus finanzas, y la mayoría de sus empleados no necesitan revisar los informes legales de su empresa, suponiendo que no se encuentre en ningún tipo de situación legal.

En cambio, evalúe qué empleados necesitan acceder a qué datos a través de un modelo de «control de acceso basado en roles» (RBAC) . Los datos más confidenciales solo deben ser accesibles según sea necesario. Si un empleado no utiliza esos datos o la plataforma en la que se comparte, no necesita las credenciales de inicio de sesión para acceder a ellos.

Recuerde, cuantos más dispositivos ofrezca y más acceso tengan los empleados, más fácil será que un tercero o un empleado deshonesto adquiera datos de manera inapropiada. Reduzca el riesgo de datos extraviados y robados al brindar a sus empleados solo las herramientas y el acceso que necesitan.

2. Requerir códigos de acceso y contraseñas en todos los dispositivos provistos por la compañía.

Al igual que usa códigos de acceso y contraseñas para proteger sus dispositivos personales (su computadora portátil, su teléfono inteligente, su tableta), querrá exigir que cualquier empleado que use un dispositivo proporcionado por el empleador haga lo mismo.

Descuidar este simple paso de seguridad produce una vulnerabilidad descomunal. Si un dispositivo no seguro se pierde o es robado, cada persona ajena a la empresa puede acceder a toda la información confidencial almacenada en ese dispositivo, incluida la información de recursos humanos, detalles del cliente, presentaciones e investigaciones.

Si sus empleados también usan plataformas en línea que los mantienen conectados automáticamente, entonces toda esa información también se vuelve vulnerable. Los correos electrónicos de la empresa, los chats de Slack en el horario de trabajo, los documentos creados y compartidos en Dropbox, incluso la información de beneficios de los empleados, podían ser accedidos por error.

Para mantenerse al día con la multitud de aplicaciones de trabajo, software y utilidades basadas en navegador, recomendamos que las organizaciones usen administradores de contraseñas con autenticación de dos factores (2FA). Esto no solo evita que los empleados tengan que recordar docenas de contraseñas, sino que también proporciona un acceso más seguro a los datos de la empresa.

3. Utilice el inicio de sesión único (SSO) y 2FA para los servicios de la empresa.

Como dijimos anteriormente, la pérdida de un dispositivo de la compañía a veces resulta en más que la pérdida de datos almacenados localmente, sino también datos de red y / o basados ​​en la nube a los que puede acceder el dispositivo.

Para limitar esta vulnerabilidad, implemente una solución SSO cuando los empleados quieran acceder a la variedad de sus plataformas disponibles.

El inicio de sesión único ofrece dos beneficios inmediatos. Primero, sus empleados no necesitan recordar una serie de contraseñas para cada aplicación, desde el servicio de solicitud de viajes de la compañía hasta su página de inicio en la intranet. Dos, puede configurar un servicio SSO para requerir una forma secundaria de autenticación, a menudo un mensaje de texto enviado a un dispositivo móvil separado con un código único, cuando los empleados inician sesión.

Al utilizar estas dos funciones, incluso si a su empleado le roban el dispositivo de su compañía, el ladrón no podrá iniciar sesión en ninguna cuenta importante en línea que almacene otros datos confidenciales de la compañía.

Dos de los proveedores de inicio de sesión único más populares para pequeñas y medianas empresas son Okta y OneLogin .

4. Instale capacidades de limpieza remota en dispositivos provistos por la compañía.

Por lo tanto, sus dispositivos requieren contraseñas y los recursos en línea de su empresa también tienen habilitada la autenticación de dos factores. Bueno.

Pero, ¿qué sucede si un empleado se vuelve loco? Las medidas de seguridad anteriores ayudan cuando se roba o se pierde un dispositivo, pero ¿qué sucede cuando la amenaza proviene del interior y ya tienen todas las credenciales necesarias para saquear los archivos de la empresa?

Puede sonar como un caso extremo, pero no tiene que desplazarse hacia abajo en los resultados de búsqueda de Google de «empleado roba datos de la empresa» para saber con qué frecuencia sucede esto.

Para limitar esta amenaza, debe instalar capacidades de borrado remoto en los dispositivos proporcionados por su empresa. Este tipo de software a menudo permite a las empresas no solo borrar un dispositivo que está fuera del alcance físico, sino también localizarlo y bloquear al usuario actual.

Las opciones proporcionadas por el fabricante del teléfono, como Buscar mi iPhone en dispositivos Apple y Buscar mi móvil en dispositivos Samsung, permiten a los propietarios de dispositivos ubicar un dispositivo, bloquear su pantalla y borrar todos los datos almacenados localmente.

5. Implemente las mejores prácticas para una política de Traiga su propio dispositivo (BYOD).

Cuando se trata de trabajadores remotos, la implementación de una política Traiga su propio dispositivotiene sentido. Los empleados a menudo prefieren usar dispositivos móviles y computadoras portátiles que ya saben cómo usar, en lugar de tener que aprender un nuevo dispositivo y quizás un nuevo sistema operativo. Además, los costos de hardware para su negocio son claramente más bajos.

Pero debe conocer los riesgos de que sus empleados solo realicen su trabajo en sus dispositivos personales.

Como dijimos anteriormente, si su empleado pierde un dispositivo personal que usa para almacenar y acceder a datos confidenciales de la compañía, entonces esos datos están en riesgo de robo y uso indebido. Además, cuando los empleados confían en sus máquinas personales para conectarse a redes Wi-Fi públicas y no seguras, pueden ser vulnerables a los ataques de intermediarios , en los que los actores de amenazas invisibles pueden mirar el tráfico que se envía y recibe por su máquina

Además, si bien los costos de hardware para usar BYOD son más bajos, a veces una empresa dedica más tiempo a garantizar que los dispositivos personales de los empleados puedan ejecutar el software requerido, lo que podría disminuir la productividad de su equipo de soporte de TI.

Finalmente, si varias personas utilizan un dispositivo personal, lo que no es raro entre las parejas románticas y los miembros de la familia, un tercero no malintencionado podría acceder, distribuir y eliminar accidentalmente los datos de la empresa.

Para abordar estos riesgos, podría considerar implementar algunas de las siguientes mejores prácticas para los dispositivos personales que usan sus empleados para hacer su trabajo:

• Requerir el cifrado de todos los datos locales en dispositivos personales.
• Requerir una contraseña en todos los dispositivos personales.
• Habilite «Buscar mi iPhone», «Buscar mi móvil» o funciones similares en dispositivos personales.
• No permitir el jailbreak de dispositivos personales.
• Cree una lista de dispositivos aprobados para los empleados.

Depende de usted qué prácticas desea implementar. Debe encontrar un equilibrio entre asegurar a sus empleados y preservar la confianza que viene con una política BYOD.

Una publicación de Ian Beer de Google Project Zero publicada ayer por la noche envió a la comunidad de seguridad tambaleándose. Según Beer, un pequeño conjunto de sitios web había sido pirateado en febrero y se estaban utilizando para atacar iPhones e infectarlos con malware. Estos sitios, que reciben miles de visitantes por semana, se usaron para distribuir malware iOS durante un período de dos años.

Historial de infecciones de iOS

Históricamente, iOS nunca ha estado completamente libre de malware, pero en su mayoría se ha limitado a uno de dos escenarios: ya sea que rompas tu dispositivo, lo hackees para eliminar las restricciones de seguridad e instales algo malicioso como resultado, o fuiste el objetivo de un adversario de estado nación. Un ejemplo clásico de esto último fue el caso de Ahmed Mansoor , en el que fue atacado con un mensaje de texto en un intento de infectar su teléfono con el malware de la NSO, ahora conocido como Trident .

La dificultad de infectar un iPhone es que requiere algún tipo de vulnerabilidad de día cero (es decir, desconocida para la comunidad de seguridad en el momento de su lanzamiento), y estas vulnerabilidades pueden valer $ 1 millón o más en el mercado abierto. Las compañías como Zerodium los comprarán, pero el uso generalizado de tales vulnerabilidades los «quema», lo que hace más probable que Apple se entere de su existencia y aplique soluciones.

Esto es exactamente lo que sucedió en el caso de Trident: un mensaje de texto torpe a un periodista que ya era cauteloso resultó en tres vulnerabilidades separadas de un millón de dólares que se descubrieron y repararon.

Por lo tanto, las infecciones de malware de iPhone siempre se vieron como problemas que no afectaron a la gente promedio. Después de todo, ¿quién gastaría $ 1 millón o más para infectar a las personas, a menos que la ganancia fuera mayor que el costo potencial? Nunca hubo ninguna garantía, por supuesto, y los hallazgos de Beer han alterado esa sabiduría convencional.

Mecanismo de infección

Según Beer, los sitios web en cuestión «se estaban utilizando en ataques indiscriminados de pozos de agua contra sus visitantes», utilizando 14 vulnerabilidades diferentes en iOS que se combinaron en cinco cadenas de ataque diferentes.

Una cadena de ataque es una serie de dos o más vulnerabilidades que se pueden usar juntas para lograr un objetivo en particular, generalmente la infección del sistema de destino. En tales casos, una de las vulnerabilidades por sí sola no es suficiente para lograr el objetivo, pero la combinación de dos o más lo hace posible.

Entre las vulnerabilidades utilizadas, solo se mencionó que dos todavía eran de día cero en el momento del descubrimiento (CVE-2019-7286 y CVE-2019-7287). Apple corrigió esto en el lanzamiento de iOS 12.1.4 el 7 de febrero. Los 12 restantes no eran días cero en ese momento, lo que significa que ya eran conocidos y Apple ya los había parchado. Las diversas cadenas de ataque fueron capaces de infectar dispositivos que ejecutan iOS 10 hasta iOS 12.1.3.

Para los de mentalidad técnica, Beer ha incluido descripciones excelentes y muy detalladas de cada cadena de ataque. Sin embargo, lo importante es que cada una de estas cadenas de ataque fue diseñada para colocar el mismo implante en el dispositivo, y es ese implante (el malware del iPhone) en el que nos centraremos aquí.

iPhone malware / comportamiento del implante

El implante de malware de iPhone, al que no se le ha dado un nombre, puede escapar del entorno limitado de iOS y ejecutarse como root, lo que básicamente significa que ha pasado por alto los mecanismos de seguridad de iOS y tiene el más alto nivel de privilegios.

El implante se comunica con un servidor de comando y control (C&C) en una dirección IP codificada sobre HTTP sin cifrar. Además de cargar datos en el servidor, también puede recibir varios comandos del servidor.

systemmail  : upload email from the default Mail.app
device      : upload device identifiers
               (IMEI, phone number, serial number etc)
locate      : upload location from CoreLocation
contact     : upload contacts database
callhistory : upload phone call history 
message     : upload iMessage/SMSes
notes       : upload notes made in Notes.app
applist     : upload a list of installed non-Apple apps
keychain    : upload passwords and certificates stored in the keychain
recordings  : upload voice memos made using the built-in voice memos app
msgattach   : upload SMS and iMessage attachments
priorapps   : upload app-container directories from hardcoded list of
                third-party apps if installed (appPriorLists)
photo       : upload photos from the camera roll
allapp      : upload container directories of all apps
app         : upload container directories of particular apps by bundle ID
dl          : unimplemented
shot        : unimplemented
live        : unimplemented

Esta lista de comandos revela una lista aterradora de capacidades. Entre otras cosas, el malware de iPhone es capaz de robar todos los llaveros, fotos, mensajes SMS, mensajes de correo electrónico, contactos, notas y grabaciones. También puede recuperar el historial completo de llamadas, y es capaz de hacer un monitoreo en tiempo real de la ubicación del dispositivo.

También incluye la capacidad de obtener las transcripciones de chat no cifradas de varios de los principales clientes de mensajería cifrada de extremo a extremo , incluidos Mensajes, Whatsapp y Telegram. Deja que eso se hunda por un minuto. Si está infectado, todos los mensajes cifrados no solo son recopilados por el atacante, sino que se transfieren en texto claro a través de Internet.

¿Qué hago ahora? 😱

La mala noticia es que aún no sabemos qué sitios web se vieron afectados, por lo que es imposible saber quién pudo haber sido infectado con este misterioso malware de iPhone. Eso está causando una gran cantidad de miedo entre los conscientes del problema.

Afortunadamente, no hay necesidad de entrar en pánico en este momento. Estas vulnerabilidades han sido parcheadas desde hace bastante tiempo. Además, el implante es realmente incapaz de permanecer persistente después de un reinicio. Esto significa que cada vez que se reinicia un iPhone infectado, como cuando se instala una actualización de iOS, por ejemplo, se retira el implante. (Por supuesto, un dispositivo vulnerable siempre se puede volver a infectar visitando un sitio afectado).

Debido a esto, cualquier dispositivo que ejecute iOS 12.1.4 no solo es inmune a estos ataques particulares, sino que tampoco puede infectarse más, debido al reinicio al instalar 12.1.4 (o posterior). Es poco probable que alguien siga infectado en este momento, a menos que nunca actualice o reinicie su teléfono. Si le preocupa que pueda estar infectado, simplemente instale la última actualización de iOS, que también reiniciará el teléfono y eliminará el malware, si está presente.

Si tiene un teléfono que sospecha que podría estar infectado, parece que hay una prueba fácil para ver si es así, pero tendría que hacerlo antes de reiniciar, ya que el malware debe estar activo. (Descargo de responsabilidad: sin tener una copia del implante, no he podido verificar esto personalmente ni encontrar a nadie más que haya podido hacerlo).

Primero, conecte el dispositivo afectado a una Mac a través de un cable Lightning (o, en el caso de un iPad Pro, USB-C).

A continuación, abra la aplicación Consola en la Mac, que se encuentra en la carpeta Utilidades en la carpeta Aplicaciones.

En la consola, ubique el teléfono en la lista Dispositivos y selecciónelo.

En este punto, verá que los mensajes de registro del dispositivo iOS comienzan a desplazarse en el panel de la derecha. Aunque la consola no le mostrará mensajes pasados, si monitorea, dentro de los 60 segundos o menos, un dispositivo iOS infectado debe generar mensajes que contengan ciertas frases, como «uploadDevice», «postFile success» y «timer trig.» se puede encontrar una lista de posibles cadenas para buscar en el desmontaje del implante de Beer ; en cualquier lugar, el código muestra un comando NSLog, que representa un mensaje que se repetirá en el registro.

¿Quién fue afectado?

En este punto, es imposible saber quién es responsable o quién fue infectado, sin más información, como los nombres de los sitios comprometidos.

El artículo de Beer comienza diciendo que el malware no se dirigió a personas específicas:

Los sitios pirateados se estaban utilizando en ataques indiscriminados de pozos de agua contra sus visitantes, usando iPhone 0-day.  

No hubo discriminación objetivo; simplemente visitar el sitio pirateado fue suficiente para que el servidor exploit ataque su dispositivo, y si tuvo éxito, instale un implante de monitoreo.

Ian Beer, https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

Esto deja las cosas un poco abiertas a la interpretación. Ciertamente parece que el malware no estaba dirigido a individuos. Sin embargo, eso no significa necesariamente que no fue dirigido.

Como ejemplo, en los ataques a los pozos de agua utilizados en los recientes ataques contra Coinbase y otras compañías de criptomonedas, usando un día cero de Firefox, muchas personas visitaron la página que contiene el exploit. Sin embargo, solo un puñado fue seleccionado por los scripts maliciosos para ser infectados.

Claramente, ese tipo de focalización no ocurrió en este caso. Sin embargo, eso no significa necesariamente que el ataque no haya sido dirigido a un grupo particular de personas que probablemente visiten los sitios pirateados. De hecho, ese es el modus operandi típico para un ataque a un pozo de agua: un sitio que probablemente sea visitado por el grupo objetivo se ve comprometido y se utiliza para propagar malware. Tal cosa sucedió en 2013, cuando los atacantes comprometieron un sitio web de desarrolladores con un exploit basado en Java, infectando a los desarrolladores de muchas compañías importantes, incluida Apple, con el malware OSX .

Cerca del final del artículo, dice:

La realidad sigue siendo que las protecciones de seguridad nunca eliminarán el riesgo de ataque si estás siendo atacado. Ser objetivo podría significar simplemente haber nacido en una determinada región geográfica o ser parte de un determinado grupo étnico. 

Ian Beer, https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html

Algunos han interpretado esto como una pista de que las personas dentro de una determinada región o grupo étnico fueron blanco de este ataque, pero mi lectura es que esto es simplemente un consejo general sobre lo que significa que alguien sea «objetivo», en el contexto más amplio de discusión sobre el malware dirigido contra el no dirigido.

Mi opinión personal, que bien podría estar equivocada, es que es probable que se trate de un ataque dirigido contra un grupo particular de personas, y que probablemente fue el trabajo de un estado-nación. China ha utilizado con frecuencia técnicas como ataques de pozos de agua, cargas selectivas en documentos de Microsoft Word y campañas de correo electrónico dirigidas con archivos adjuntos maliciosos contra el pueblo uigur.

No pretendo dar a entender que China sea el culpable, ya que eso no puede conocerse con la información actualmente disponible. Este es simplemente un ejemplo para señalar que este podría ser un incidente similar, perpetrado por un país que está utilizando técnicas similares. Por otra parte, también puede no ser. El tiempo con suerte lo dirá.

Trascendencia

Aunque la amenaza de este incidente en particular ha pasado, esta fue una revelación reveladora. Finalmente, nada ha cambiado realmente. Este tipo de ataque siempre fue una posibilidad; simplemente no había sucedido todavía. Ahora que lo ha hecho, la gente no verá el iPhone de la misma manera.

Sigo pensando que el iPhone es el teléfono más seguro del planeta (sin contar los dispositivos oscuros o clasificados que solo son seguros porque pocas personas los tienen). Sin embargo, siempre hay vulnerabilidades, y es muy posible que este tipo de ataque pueda estar ocurriendo en este momento, en otro lugar, contra la versión actual de iOS.

También vale la pena señalar que la mayoría de estas vulnerabilidades no eran realmente días cero en el momento de su descubrimiento. Muchas personas nunca actualizan sus dispositivos y, como resultado, los días cero no siempre son necesarios. Siempre se recomienda actualizar a la última versión de iOS, y habría protegido contra todas las cadenas de ataque menos una hasta el 7 de febrero, y todas ellas después.

La naturaleza extremadamente cerrada de iOS significa que cuando aparece un malware como este, no hay forma de que las personas sepan si sus dispositivos están infectados o no. Si este malware fuera capaz de permanecer persistente, y si no filtrara cadenas en los registros, sería más difícil identificar si un iPhone estaba infectado, y esto conduciría a situaciones peligrosas.

Aunque Apple no permite el software antivirus en iOS, es necesario que haya algún medio para que los usuarios verifiquen sus dispositivos en busca de amenazas conocidas. ¿Quizás algo relacionado con dispositivos desbloqueados conectados por cable a máquinas confiables? Si tal cosa fuera posible, este ataque probablemente no hubiera pasado desapercibido durante dos años.

Clickjacking ha existido durante mucho tiempo, trabajando de la mano con la persona involuntaria que hace el clic para enviarlos a partes desconocidas, a menudo a expensas de los propietarios del sitio. Los estafadores logran esto al ocultar el objeto de página que la víctima cree que está haciendo clic debajo de una capa (o capas) de ofuscación. Elementos invisibles de la página, como botones, cuadros translúcidos, marcos invisibles y más, son algunas de las formas en que puede producirse este ataque.

A pesar de ser una herramienta antigua, el clickjacking se está convirtiendo en un problema que empeora en la web. Exploremos cómo funciona el clickjacking, la investigación reciente sobre el clickjacking, incluidos los resultados de un estudio que examinó los 250,000 sitios web principales clasificados en Alexa, y otras formas en que los investigadores y los propietarios de sitios están tratando de proteger mejor a los usuarios de este tipo de ataque.

Sentar las bases

Hay muchos objetivos de clickjacking. 

Cursores, cookies, archivos, incluso sus redes sociales. Tradicionalmente, una gran cantidad de clickjacking se relaciona con anuncios y ganancias fraudulentas. En los primeros días de los programas de publicidad en línea, ciertas palabras clave que generaron grandes ganancias por clics se convirtieron en objetivos populares para los estafadores. Cuando no pudieran hacer que las personas hicieran clic involuntariamente en un anuncio, intentarían automatizar el proceso.

Aquí hay un ejemplo de 2016, que se reproduce en los mensajes de la ley europea de cookies aparentemente interminables en todos los sitios web. Haga estallar un anuncio legítimo, hágalo invisible y superpongalo en una ventana emergente Cookie. En ese momento, es tiempo de publicidad no intencional.

Esto no quiere decir que las técnicas de clickjacking estén estancadas; Aquí hay un buen ejemplo de cómo estos ataques son difíciles de manejar.

Clickjacking: de vuelta en la moda

Hay mucha actividad relacionada con el clickjack en este momento, por lo que los investigadores publican sus trabajos y ayudan a otros a tomar medidas para asegurar los navegadores.

Una de esas piezas de investigación se llama Todos sus clics me pertenecen: investigar la intercepción de clics en la web , centrándose en el acceso a URL centrado en JavaScript. Esperaba que la grabación de la charla del Simposio de seguridad de USENIX estuviera disponible para enlazar en este blog, pero aún no está en línea todavía; cuando lo esté, la agregaré. La charla se trata de construir una forma de observar la posible actividad de clickjack en algunos de los sitios web más populares del mundo y de informar sobre los hallazgos.

Los investigadores de una amplia variedad de ubicaciones y organizaciones agruparon recursos y crearon algo llamado «Observer», una versión personalizada de Chromium, el navegador de código abierto. Con él, esencialmente pueden ver bajo el capó de la actividad web y decir de un vistazo el punto de origen de las URL de cada enlace.

Según el trabajo de investigación, Observer se centra en tres acciones que el código JavaScript puede realizar para interceptar un clic:

• Modificar enlaces existentes en una página
• Crear nuevos enlaces en una página
• Registrar controladores de eventos en elementos HTML para «enganchar» un clic

Todos estos eventos se identifican y etiquetan con una identificación única para cualquier secuencia de comandos que dio vida al proceso, junto con la navegación de la página de registro para registrar con precisión dónde un clic interceptado intenta dirigir a la víctima.

Observer registra dos estados de cada página web probada: la página se procesó completamente hasta un límite de tiempo de 45 segundos, y luego los datos de interacción, donde esencialmente ven lo que hace un sitio cuando se usa. También comprueba si los clics del usuario actualizan los elementos originales de alguna manera.

Algunas de las técnicas específicas que observa Observer:

• Trucos de engaño visual de terceros, ya sean considerados maliciosos o accidentales. Esto se desglosa en elementos de la página que parecen ser del sitio, pero que simplemente imitan el contenido. Una barra de navegación falsa en una página de inicio es un buen ejemplo de esto. También profundizan en la técnica increíblemente común de las superposiciones transparentes, una de las favoritas de los clickjackers en todo el mundo.
• Intercepción de hipervínculos. Los scripts de terceros pueden sobrescribir el atributo href de un enlace original al sitio web y realizar un clickjack. Detectan esto, además de estar atentos a los dudosos scripts de terceros que realizan esta acción en scripts legítimos de terceros ubicados en el sitio web. Observer también busca otro truco común: elementos grandes en los que se puede hacer clic en una página, donde cualquier interacción con el elemento encerrado está completamente bajo su control.
• Interceptor de controlador de eventos. Todo lo que haces en un dispositivo es un evento. Los controladores de eventos son rutinas que existen para lidiar con esos eventos. Como puede imaginar, este es un gran camino para que los estafadores realicen algunas travesuras de clickjacking. Observer busca llamadas API específicas y algunas otras cosas para determinar si se está haciendo clic. Al igual que con el truco del elemento grande en el que se puede hacer clic arriba, busca elementos grandes de terceros.

Resultados del estudio

Observer rastreó los principales 250,000 sitios web de Alexa desde mayo de 2018, terminando con datos válidos del 91.45 por ciento de los sitios que verificaron contabilizando tiempos de espera y errores similares. De 228,614 sitios web, terminaron con 2,065,977 URL de navegación de terceros únicos correspondientes a 427,659 dominios únicos, con un promedio de 9.04 URL de navegación de terceros que apuntan a 1.87 dominios.

Al verificar los tres tipos principales de ataques enumerados anteriormente, encontraron no menos de 437 scripts de terceros que interceptan los clics de los usuarios en 613 sitios web. Colectivamente, esos sitios reciben alrededor de 43 millones de visitantes diariamente. Además, una buena parte de los sitios estaban trabajando deliberadamente con guiones dudosos con el fin de monetizar los clics robados, con el 36 por ciento de las URL de intercepción relacionadas con la publicidad en línea.

El documento completo es una lectura fascinante, y vale la pena buscarlo en [ PDF ].

Planes para el futuro

Los investigadores señalan que hay margen de mejora con su análisis, esto es más un asunto de «conocerte» que una inmersión profunda total. Por ejemplo, con tantos sitios para mirar, solo miran la página principal para su análisis. Si hubiera desagradables al acecho en las subpáginas, no lo habrían visto.

También señalan que su interacción con el sitio web con guión probablemente no es cómo la gente real de carne y hueso usaría los sitios web. De todos modos, este es un trabajo fenomenal y un gran componente para futuros estudios.

¿Qué más está pasando en clickjacking?

Fuera de las conferencias y documentos de investigación, también se dice que una sugerencia de tres años para combatir el clickjacking iFrame ha sido revivida y ampliada para Chrome . En otros lugares, Facebook está demandando a los desarrolladores de aplicaciones por fraude de inyección de clics.

Como puede ver en una revisión informal de las noticias de Google / Yahoo, el clickjacking no es un tema que quizás se cubra con la frecuencia que debería. Sin embargo, sigue siendo un gran problema, genera ganancias masivas para las personas que no son buenas y merece acaparar parte de la atención de vez en cuando.

¿Cómo puedo evitar el clickjacking?

Esto es muy interesante para reflexionar, ya que esto no es sólo una cosa de los usuarios finales. Los propietarios de sitios web también deben hacer su parte para garantizar que los visitantes estén sanos y salvos en sus viajes [ 1 ], [ 2 ], [ 3 ]. En cuanto a las personas que se sientan detrás de sus teclados, el consejo es muy similar a otras medidas de seguridad.

Dada la  cantidad de clics que se basa en el efectivo publicitario falso, considere con qué nivel de exposición a los anuncios se siente cómodo. Implementar una combinación de bloqueadores de anuncios y extensiones de control de script , especialmente en lo que respecta a JavaScript, funcionará de maravilla.

Sin embargo, esos complementos podrían romper fácilmente la funcionalidad de ciertos sitios web, y eso es antes de que dejemos de considerar que muchos sitios ni siquiera le darán acceso si los anuncios están bloqueados por completo. Todo se reduce, como suele suceder, a las redes publicitarias que libran una guerra en su escritorio . Lo bien que le vaya frente a los riesgos potenciales del clickjacking podría depender exactamente de dónde coloca su bandera con respecto al acceso del anunciante a su sistema.

Elija lo que elija, le deseamos una navegación segura y una clara falta de clickjacking. Con suerte, veremos más investigaciones y soluciones propuestas para combatir este problema en el futuro cercano.

Después de un período tranquilo después de un aumento a finales de 2018 hasta principios de 2019 , el esquema de chantaje en línea conocido como estafas de sextortion está de vuelta en el radar y en aumento .

Según un informe de Digital Shadows , una empresa líder en ciberseguridad con sede en el Reino Unido que monitorea amenazas potenciales contra las empresas, hay varios recursos disponibles para alentar a los delincuentes novatos a una vida de extorsión. Estos recursos incluyen: acceso a credenciales filtradas de infracciones pasadas, herramientas y tecnologías que ayudan a crear campañas, capacitación de extorsionistas en línea y un tesoro de guías de extorsión de bricolaje que existen en la web oscura.

El informe también encuentra que estos extorsionistas y cómplices incipientes son incentivados con altos salarios si pueden enganchar objetivos de altos ingresos, como médicos, abogados o ejecutivos de empresas, información que se puede obtener al buscar en los perfiles de LinkedIn u otras cuentas de redes sociales. .

Con una serie de formas creativas para extraer dinero de los usuarios de Internet, el alto potencial de un pago considerable y muchas manos de delincuentes profesionales, no deberíamos esperar que las estafas de sextortion en línea se detengan (permanentemente) en el corto plazo. Simplemente pregúntele al Príncipe nigeriano qué tan bien va su retiro.

Para ver qué motiva a los actores de amenazas a adoptar estafas de sextortion como parte de su repertorio criminal, hicimos lo que hacen todos los buenos detectives cuando intentan abrir un caso: seguimos el dinero. Descubra lo que descubrimos en el camino iniciado por una sola campaña de sextortion.

El spam

Pudimos determinar varios esquemas de sextortion de Bitcoin que se implementan en la naturaleza, pero para esta publicación, analizamos su forma de distribución más común: correo no deseado.

El texto completo de este correo electrónico dice:

Hola, esta cuenta ahora está pirateada! ¡Cambia tu contraseña ahora mismo! 
No has oído hablar de mí y es probable que no te sorprenda por qué razón estás leyendo esta carta, ¿verdad? 
Soy un hacker que descifró su casilla de correo electrónico y dispositivos no hace mucho tiempo. 
No debe intentar ponerse en contacto conmigo o tratar de encontrarme, es inútil, ya que le envié este mensaje usando SU cuenta que he pirateado. 
Configuré un programa especial en el sitio de videos para adultos (porno) y supongo que disfrutaste este sitio para pasar un buen rato (entiendes lo que quiero decir). 
Cuando ha estado viendo videos, su navegador de Internet comenzó a actuar como un RDP (Control Remoto) que tiene un keylogger que me otorgó la capacidad de acceder a su escritorio y cámara web.
En consecuencia, mi información de softwareobtainedall. 
Has escrito contraseñas en los recursos en línea que visitaste, ya las capté. 
Por supuesto, podría cambiarlos, o tal vez ya los haya cambiado. 
Pero no importa, mis actualizaciones de malware siempre necesitan datos. 
¿Qué he hecho realmente? 
Genere una copia de seguridad de todos sus sistemas. De todos los archivos y contactos personales. 
Formé una grabación de video de doble pantalla. La primera pantalla muestra la película que estabas viendo (tienes muy buen gusto, jaja …), y la segunda pantalla muestra la película desde tu cámara web. 
Que deberias hacer
Genial, en mi opinión, 1000 USD será un precio razonable por tu pequeño secreto. Hará su depósito por bitcoins (si no reconoce esto, busque «cómo comprar bitcoin» en Google). 
Mi dirección de billetera bitcoin: 
163qcNngcPxk7njkBGU3GGtxdhi74ycqzk 
(es sensible a cAsE, así que solo cópielo y péguelo). 
Advertencia: 
tiene 2 días para realizar el pago. (Tengo un píxel exclusivo para este correo electrónico, y en este momento entiendo que has leído este correo electrónico). 
Para controlar la lectura de un membrete las acciones en él, instalé un píxel de Facebook. Gracias a ellos. (Cualquier cosa que se use para las autoridades puede ayudarnos). En el caso de que no obtenga bitcoins, sin duda ofreceré sus archivos de video a cada uno de sus contactos, incluidos familiares, colegas, etc.
 

Hay muchas variaciones de este contenido de spam, pero todas siguen una plantilla similar: hemos pirateado su cuenta, tenemos pruebas en video de que visita sitios pornográficos y ve contenido sexual, y ahora exigimos el pago o publicaremos el video de ti al público. De hecho, Talos Security Intelligence & Research Group de Cisco pudo recuperar una plantilla de correo electrónico no deseado , que según dijeron los extorsionistas enviaron por error a sus objetivos.

La Electronic Frontier Foundation (EFF) también mantiene un registro actualizado de variantes de mensajes de sextortion de Bitcoin que puede consultar en esta publicación de blog .

A medida que seguimos el dinero en esta investigación, la única información relevante que necesitábamos del correo electrónico de sextortion era la dirección de Bitcoin, que en este caso es 163qcNngcPxk7njkBGU3GGtxdhi74ycqzk . Este es nuestro punto de partida.

La investigación

Para comprender mejor los próximos pasos en nuestra investigación, los lectores primero deben comprender los conceptos básicos de cómo funcionan la criptomoneda y la cadena de bloques.

El papel moneda y las monedas son para el mundo real y material, como lo es la moneda digital para el mundo electrónico en línea.

Bitcoin es una de las miles de monedas digitales disponibles en línea hasta la fecha. Específicamente, es una moneda virtual, porque es controlada por sus creadores y utilizada y adoptada por una comunidad virtual, y al mismo tiempo una criptomoneda, porque utiliza algoritmos de cifrado y esquemas criptográficos fuertes para garantizar su resistencia a la falsificación y al criptoanálisis.

La cadena de bloques, como su nombre lo indica, es una colección de bloques de datos que están unidos para formar una cadena. Este sistema, comúnmente comparado con un libro mayor, es utilizado por varias criptomonedas: Bitcoin es una de ellas. Cada bloque en una cadena contiene información sobre múltiples transacciones. Y cada transacción tiene un ID de transacción, o TXID. Debido a la forma en que las billeteras y los sitios de criptomonedas registran las entradas de Bitcoin en las direcciones, un solo TXID puede contener múltiples entradas en su registro.

Si bien los libros de contabilidad del mundo real son privados y exclusivos solo para organizaciones e individuos que mantienen registros financieros, la cadena de bloques en la que opera Bitcoin no lo es. Esto facilita que cualquiera, incluidos los investigadores de seguridad, busque transacciones de criptomonedas en línea utilizando herramientas disponibles públicamente, como un explorador de bloques.

En un bloque de Bitcoin, la información de la transacción incluye al remitente y al receptor, todos identificados por las direcciones de Bitcoin, y el monto pagado en Bitcoin.

Tenga en cuenta estos conceptos a medida que volvemos a la campaña de sextortion y navegamos por las trincheras de las transacciones de Bitcoin.

Ir con el flujo (Bitcoin a través de blockchain)

La dirección de Bitcoin en nuestro correo electrónico de sextortion , 163qcNngcPxk7njkBGU3GGtxdhi74ycqzk , en realidad tiene un pequeño historial de transacciones.

Sin embargo, pudimos observar más de cerca estas transacciones y descubrir direcciones adicionales, lo que nos permitió conocer mejor esta campaña en particular.

De acuerdo con de TXID 94c86a55bb3081312d6020e67202e8c93a43d897f4a289cc655c0e9e6d9e31b4 , el saldo de 0.25924622 BTC fue enviado a otra dirección Bitcoin, 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ el 13 de marzo de 2019. Durante ese tiempo, este valor BTC era un valor aproximado de $ 1.000, que es la cantidad demandada en el correo electrónico rescate.

Este TXID también contiene 23 entradas adicionales de otras direcciones de Bitcoin, que probablemente también estén bajo el control de los mismos actores detrás de la campaña de distorsión sexual, a 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ . Naturalmente, todos los valores de BTC de estas entradas se combinaron, totalizando 4.16039634 BTC (aproximadamente US $ 16,100 al momento de la investigación).

Mirando de cerca a 3HXdb3HAw1wVzU9b7ZSigvGaStd8KoZ3zJ , descubrimos que tiene otras 11 transacciones que siguen un patrón similar al de la transacción que acabamos de revisar .

Podemos confirmar que cada una de estas transacciones contiene fondos extorsionados. Tomemos, por ejemplo, TXID b8ae16d604947f67d2b27774e6cfa7afcdb7ede651bdd539b5a5dc555be302aa :

Se ha informado que todas las direcciones de Bitcoin en este TXID están asociadas con actividades delictivas en Bitcoin-Spam , una base de datos pública de direcciones de cifrado utilizadas por piratas informáticos y delincuentes. Aquí hay enlaces a sus respectivos informes de estafa y la cantidad de dinero que recibieron según el precio de Bitcoin al momento de escribir esto:

• 12We6HFUr6GmxrHu2GFKfPSLD16ki31Msf (hizo tres entradas): recibió un total de US $ 5,297.32
• 1KiY2X9tww3zDgZmuoFRvZ7ssWx1b4moC9 (hizo dos entradas): recibió un total de US $ 993.54
• 1CjZhStjKz95xqDEQ1PESygR2gKve8Yf7U (hizo dos entradas): recibió un total de 7.748,92 USD
• 17QU3bzgqQZCs8wRCAmLqiRL4yytRKqVs3 : recibió un total de US $ 4,672.65
• 12bYqKzCRJPhu75dP3NPtf6C2NX3dHAXiU : recibió un total de US $ 2,516.05
• 1FcCacS5pebEKMR6wtz7k98JEqbhfhCkDw : recibió un total de US $ 3,752.34
• 12i8q8K7apATJworX48SqQzNgiVmPpWGpz : recibió un total de US $ 2,490.25
• 1BDaStcRvbM3QJei5ZT1FxLRy7M7Jk3j1c : recibió un total de US $ 2,531.09
• 136NawuGLkuJwAWYwkCkCnBdE9U1e1fJhx : recibió un total de US $ 2,343.33

El análisis posterior a la dirección de consolidación se vuelve difícil a medida que los ladrones comienzan un proceso de lavado para ocultar sus ganancias ilícitas al dividir y mezclar los fondos robados.

Esta campaña de estafa en particular parece haber sido más activa entre el 1 de febrero de 2019 y el 13 de marzo de 2019, recaudando un total de 21.6847451 BTC, que es un poco más de US $ 220,000 a los tipos de cambio actuales.

Dinero dinero dinero

Cuando se trata de estafas de sextortion por correo electrónico, es suficiente decir que, desafortunadamente, los negocios son increíblemente buenos . Si bien la simplicidad y la rentabilidad de la estafa pueden servir como una invitación para los posibles delincuentes, cuanto más usuarios se den cuenta del esquema, menos estaremos cubriendo los bolsillos de los malos con nuestra criptomoneda.

Pero lo más importante, esta debería ser una llamada de atención para los usuarios. Mucha gente, incluso aquellos que se consideran conocedores de Internet, están cayendo o son sacudidos por los mensajes de extorsión, especialmente aquellos correos electrónicos que usan contraseñas antiguas para asustar a las personas inocentes para que se separen de su dinero.

Si usted o alguien que conoce puede haber recibido correos electrónicos de distorsión sexual, sepa que es muy probable que no lo estén mirando . Lo que los actores de amenazas describen en sus correos electrónicos no está ocurriendo realmente.

Además, no se asuste. Haga su debida diligencia y cuentas seguras que se hayan visto afectadas por incumplimientos masivos en el pasado (si aún no lo ha hecho). Y, por último, si desea hacer el menor salto posible, simplemente elimine el correo electrónico y archívelo en su mente como spam inofensivo

La semana pasada en Malwarebytes Labs, analizamos las posibles dificultades de la tecnología de reconocimiento facial , analizamos las formas en que los sobrevivientes de abuso doméstico pueden asegurar sus datos y exploramos el panorama de amenazas educativas . También iniciamos una serie que analizaba la cadena de infección Hidden Bee , y pusimos las instalaciones de QxSearch bajo el foco de atención .

Otras noticias de ciberseguridad

• El malware de Android juega a las escondidas: se emite una advertencia cuando la infección dice ser Adobe Flash Player . (Fuente: Forbes)
• Vigilarlo: la infección enviada por correo electrónico compromete a las PC y registra la actividad del escritorio. (Fuente: The Next Web)
• Esconder y buscar: el minero intenta ir encubierto cuando la víctima mira al Administrador de tareas. (Fuente: Coindesk)
• Las páginas 404 personalizadas conducen a ataques de phishing: Microsoft informa de un ataque de estafadores haciendo uso completo de páginas de error perfectamente diseñadas . (Fuente: Bleeping Computer)
• El condado de Cabarrus en Carolina del Norte sufrió un ataque costoso: los representantes de la ciudad engañados por un ingeniero social se separaron con unos $ 2.5 millones de dólares . (Fuente: Tecnología del Gobierno) 
• Revelaciones de práctica de contraseñas deficientes: una extensión de Google Chrome destaca que podríamos hacer mucho mejor cuando se nos informa sobre contraseñas expuestas. (Fuente: The Register)
• Facebook, conozca la demanda colectiva: los usuarios de Facebook pronto entrarán en guerra con el gigante de las redes sociales por el uso de la tecnología de reconocimiento facial . (Fuente: Naked Security)
• El peligro de golpeteo vuelve a surgir: el campeón de la Copa Mundial de Fortnite recientemente sufrió un peligroso ataque de Swat en su casa . (Fuente: Kotaku)
• De guerra y bases de datos: ¿Quieres ver qué sucede cuando los usuarios de sitios de piratería deciden apuntar a otro? Por supuesto que si . (Fuente: Ars Technica)
• Google hace que la cámara Nest sea más fácil de detectar: ​​el gigante tecnológico anuncia cambios importantes en la función de luces de estado en las cámaras Nest. (Fuente: blog de Matt Crampton)