Imageshack es uno de los más grandes websites para alojar imágenes en la red. Afortunadamente, los atacantes sólo querían dar a conocerce, y lo único que resultó del ataque fue una imagen que reemplazó temporalmente (mientras que los websmaster de imageshack retomaban el control) a las imagenes de los usuarios registrados en la web.

Ésta es la imagen con la que sustituyeron las demás:

Textualmente, la nota dice así:

“Anti-sec. Somos un movimiento dedicado únicamente a la divulgación.
Queríamos darle a todos una imagen de lo que somos.

La divulgación total no es más que la divulgación de exploits públicos – en cualquier lugar. La industria de seguridad usa la total divulgación para beneficiarse y desarrolar tácticas de miedo para convencer al público en comprar sus firewalls, anti-virus y servicios con licencias.

Mientras tanto, scripters copian y pegan éstos exploits y los compilan, listos para atacar cualquier servidor vulnerable que puedan encontrar. Si los “whithehats” fueran realmente sobre seguridad, ésto no sería publicado, ni siquiera exploits con ediciones simples para hacerlos ligeramente inutilizable.

Como un bonus, si la publicación  no fuera suficiente, éstos exploits están copiados y distribuidos ampliamente por el internet con un pequeño pero buen anuncio incrustrado en ellos, para el equipo o website que primero expuso la vulnerabilidad al público.

Se trata de dinero. Mientras que el mundo es difícil de cambiar, y el dinero continuará ciertamente siendo muy importante en los ojos de muchos, nuestra batalla es la de la eliminación de la divulgación total para el propósito de hacerlo más difícil para la industria de seguridad, para explotar sus consecuencias.

Esa es nuestra meta, a través del caos y la destrucción de las comunidades perjudiciales, compañias e individuos, la total divulgación será abandonada y la industria de seguridad será forzada a reformarse.

¿Cómo planeamos alcanzar ésto? A través de la completa e implacable depiadada eliminación de todos lo que apoyan a la total divulgación y la industria de seguridad en su forma actual. Si posees un blog de seguridad, un website de publicación de exploits o distribuyes cualquier exploit. “Eres un blanco y serás atacado. es cuestión de tiempo”.

Ésto no es como antes. Ésta vez todos y todo está siendo atacado.

Firma: El movimiento Anti-Sec

Ninguna imagen fue dañada al hacer ésta… imagen”.

Traducción hecha por mí.

La realidad es mucho más cotidiana. Un hacker puede verse reflejado en cualquiera, desde niños con mediano conocimiento de internet hasta verdaderos genios de la programación, la electrónica y el engaño. Sin embargo, el hacker por oficio, además de contar con grandes habilidades técnicas, suele ser curioso, paciente, metódico, inteligente, creativo y muy efectivo.

Cuando un hacker está decidido a hacer daño a una compañía no habrá poder humano o tecnológico que lo detenga.  Lo que sí podemos hacer es minimizar el impacto de estos ataques y dificultarle el trabajo esperando que desista.

Hace medio año buscábamos una forma de medir qué tan preparados estamos como colaboradores ante un ataque cibernético común y decidimos llevar a cabo un ejercicio real de “hackeo” en la empresa.  Enviamos un correo electrónico que incitaba a registrarse en un portal de entretenimiento con la posibilidad de ganar premios: simulamos un ataque de “Phishing”.

Para ser sincero, el ataque simulado no salió como lo planeé. Entre otras cosas, nunca pensé que Outlook alertara al usuario ante la posibilidad de que un correo sea malicioso.
Pensé que mi esfuerzo por identificar qué tan vulnerables somos a estos ataques y, de paso, las ganas de llevar a la práctica mis conocimientos de “hackeo” se iban por la alcantarilla. Sin embargo, al cabo de dos semanas más de cien colaboradores se conectaron al sitio divulgando información sensible.

Con esta información ingresé a seis cuentas de hotmail y tomé el control total de tres máquinas de la empresa con las que podría hacer de todo, desde enviar correos con sus cuentas, borrar carpetas y copiar archivos, hasta infectar a toda la red.
Habrá que darle gracias a Dios que estamos en el mismo corral, porque un verdadero hacker no pararía ahí sino que iniciaría una serie de ataques derivados que hubieran sido devastadores para la empresa

El hecho de que somos propensos a estos ataques no es todo lo que me preocupa, ya que más de la mitad de los colaboradores conectados al sitio usan contraseñas débiles que pueden ser descifradas en minutos. Y como si esto no fuera suficiente, el dar clic a ligas contenidas en correos electrónicos puede llevarnos a sitios que aprovechan las vulnerabilidades de los navegadores para infectar equipos e instalar troyanos.

La moraleja es que aún cuando la tecnología en la empresa para prevenir estos ataques es cada día mejor, nuestra gente nos hace muy vulnerables. Necesitamos tomar conciencia, adoptar las mejores prácticas de seguridad y comprometernos de fondo con la empresa cuidando su información y sus sistemas.

Image via Wikipedia

Pues parece que los creadores de software malicioso están empezando también a idear programas para el Mac. Hasta ahora han estado centrados en Windows.

De hecho ya se conoce un virus malicioso que infecta los equipos de Apple. El sistema del Mac es atacado desde páginas de pornografía. Es un software creado específicamente para los usuarios de este sistema informático. En cuanto se conectan a una de las páginas referidas, hay ciertos videos que requieren descargar un “codec” para poder visualizarlos en el Mac. La inocencia del internauta opta por descargar el archivo en cuestión, y cuando clica con el puntero, es directamente conectado a un sitio pirata donde los hackers consiguen controlar de forma remota tu equipo con el fin del robo de todo tipo de datos importantes.

Y no es el único virus que anda circulando por la red para infectar los ordenadores de Apple. Los expertos señalan que por lo menos hay un centenar de ellos.

Eso si, al lado de los millones de viruses que afligen a los esforzados usuarios de Windows, se puede decir que aún es una menudencia.

A veces nos llegan correos de remitentes desconocidos ofreciéndonos suculentas ofertas de trabajo de grandes empresas. En otras ocasiones, de bancos importantes, o de webs conocidas, que trabajan con datos económicos, como Ebay, Paypal, etc. , o incluso de nuestro propio banco, lo cual ya no es tan sorprendente.

Bueno. La cuestión de estos últimos casos suele ser para avisar de fallos en la memoria de datos de los clientes de esas entidades y piden que piquemos en el likns que nos facilitan y volvamos a dejar los datos bancarios para volver a normalizar nuestras cuentas. Esto es el llamado phising (del inglés “pescar”). Como ya se puede suponer, se trata de una estafa para obtener datos de forma fraudulenta e incluso acceder a nuestras cuentas bancarias.

Es sorprendente la cantidad de personas que caen en esta estafa, pero como es fácil imaginar estos delincuentes digitales remiten grandes cantidades de correos al azar(hasta seis millones de correos phisingde una sola vez) ¿Pero cómo obtuvieron tantas direcciones de correos? Se estarán preguntando. Pues una de esas formas se la hemos facilitado los usuarios de internet con esas cadenas de correos que paseamos por toda la red, como comentábamos en la primera parte de este artículo con el título Estafas, tecnología informática, nuevos medios de comunicación y consejos de seguridad 1 . De ahí, lo que decíamos de cómo preservar nuestra intimidad y la del otro. Si no lo han leído les recomiendo que lo hagan.

Entre tantos correos, es fácil encontrar a muchas personas confiadas, que se topen con uno de esos falsos emails de su propia entidad bancaria, con un links que las remite a la página oficial de dicha entidad. Pesca hecha. ¿Se pueden imaginar, con que pique un 1 %, la cantidad de dinero a la que pueden acceder?.

Links con trampa

Claro está que el likns te remite a una web falsa, una casi perfecta imitación de la web oficial, para que introduzcamos nuestras claves y lo que haga falta y… material servido para ser usado al gusto del delincuente. Lo de imitación casi perfecta es porque hay una serie de cuestiones que no pueden ser imitadas y podríamos empezar a decir algunas, pero lo cierto es que probablemente maña dirá: “¿Cómo era eso que leí ayer?”. De modo que lo mejor es darle el siguiente consejo de sentido común que siempre será más fácil de recordar: Nunca facilite ningún dato de ese tipo y si recibe algún correo de su banco de esas características confírmelo por el método habitual de contacto y si es telefónico aún mejor.

Qué bonitas son algunas de esas cadenas de correos de hermosas frases, bellos paisajes y relajante música. Otras veces tan útiles como esas en la que podemos ayudar a ese niño enfermo, o ese consejo de medicamentos peligrosos, o desarmados que contagian el sida y te dejan notas en los espejos, o te drogan y te roban los riñones, etc., etc.

El lector a esta altura se habrá dado cuenta de la ironía. Bien, en realidad la intención de este documento es la de advertirles que el 85 % o más de estas cadenas son Spam. Sí: correos basura. Muchos de ellos compuestos por rumores y las falsas noticias son los denominados “hoaxes” .   

Sin darnos cuenta, con estas cadenas somos colaboradores en campañas de difamación difundiendo falsamente que tal empresa o tal producto es malo para la salud, o se obtiene de infringir tal o cual ley ética o legal. Alentamos el miedo con falsas alarmas: “ tal grupo terrorista está poniendo bombas en móviles o mecheros, no los cojas si te los encuentras, avisa” o sembramos el miedo y la ignorancia extendiendo leyendas urbanas como realidades. Usamos los medios en beneficio de falsos movimientos solidarios, en detrimento de los verdaderos, como “tal empresa ayudará a ese niño que sufre mucho por tener una enfermedad rara y por cada correo que remitas..” y alimentamos la superstición: “ si cortas la cadena recaerá sobre ti alguna desgracia” o “si la envías a más de 10 personas te pasará algo maravilloso pronto”,  etc., etc.

Seguro que usted, amigo lector, ha recibido algún “hoaxes” de estas características, casi siempre de alguien bien intencionado que intenta que usted se “informe”, “ayude” y demás. Pero cuál es la función de estas cadenas falsas: ¿ Sólo confundir o difamar? Otras no se entiende en qué perjudican o benefician y, las menos, son verídicas.

Modus operante

Veamos, si nos fijamos, aparte del archivo adjunto, recibimos una lista enorme de direcciones de correos y entre menor es la prudencia y la información de los usuarios, mayor es esa lista. Claro que, entre más circule, las dimensiones irán creciendo. Haciendo un balance, digamos que, en gran medida, estas cadenas intentan seguir en movimiento de un correo a otro y lo hacen buscando mover la solidaridad , la opinión pública, el miedo,  la superstición, etc., para finalmente obtener listas de correos activos, en el mejor de los casos, que lleguen a manos de personas que viven de enviar publicidad no solicitada. Poniéndonos en lo peor,  hackers que buscan correos para sacar información personal de usuarios. Esto último lo trataremos en la 2ª parte de este artículo.

Cómo distinguir lo verdadero de lo falso y protección de intimidad

Lo cierto es que si no queremos ser parte de los que expanden falsas informaciones, falsas cadenas de solidaridad y demás, pero si nos gusta informar o denunciar con lo que nos llega por este medio, en pocos segundos podemos averiguar si la información es fiable o no. Si nos dan datos de referencia, hacer la búsqueda en internet y enseguida nos saldrán resultados de su falsedad o veracidad. En una ocasión usaron los de  una persona real y tuvo que crear un Blog para desmentir que su hijo estaba moribundo y pedir que dejaran de enviarle correos. También otras forma es copiando y pegando en el buscador parte del texto.  Lo dicho, en cuestión de segundos sabremos la verdad .

Por último, usar siempre la opción CCO que tenemos en nuestros correos en la barra de dirección que significa copia oculta y pedir a nuestros contactos que hagan lo mismo. De esta manera no extendemos direcciones a diestro y siniestro por la red y preservamos nuestra intimidad y la de los otros.

Para saber más: Estafas, tecnología informática, nuevos medios de comunicación y consejos de seguridad 2

El concurso se realizará en Canadá entre el 16 y el 20 de marzo con los partocinadores Microsoft, Intel, Adobe y otros. Para conseguir el premio los hackers deberán encontrar una vulnerabilidad con la que invadir el correo electrónico, SMS o llamadas de los móviles y podrán hacer todo lo posible para conseguirlo.

Esta no es la primera vez que se celebra el concurso, ya que el año pasado hicieron lo mismo con los portátiles, siendo el MacBook Air el primero en caer, el segundo Windows Vista, y Ubuntu fue el único que quedó en pie sin inmutarse de los ataques.

A ver qué nos trae este concurso… ¿será hackeado alguno de los móviles?