MuySeguridad https://www.muyseguridad.net Mon, 18 Mar 2019 09:03:05 +0000 es hourly 1 Las 10 ciberamenazas más peligrosas de la historia https://www.muyseguridad.net/2019/03/18/las-10-ciberamenazas-mas-peligrosas-de-la-historia/ https://www.muyseguridad.net/2019/03/18/las-10-ciberamenazas-mas-peligrosas-de-la-historia/#respond Mon, 18 Mar 2019 09:03:05 +0000 https://www.muyseguridad.net/?p=35966 hacking etico

A lo largo de la historia han sido múltiples las ciberamenazas que han provocado todo tipo de daños y perjucios tanto a empresas como a gobiernos, instituciones y oficiales. Además, claro está, de a los usuarios particulares. Desde los orígenes de la informática han ido evolucionando y creciendo, tanto en número como en tipo y variedad.

Y es que tal y cómo nos cuentan nuestros compañeros de MCPRO, a lo largo de la historia ha habido ciberamenazas muy famosas, y otras que han hecho mucho daño en los equipos, sistemas y empresas que han resultado atacados. Pero de todos ellos hay 10 que han resultado especialmente peligrosos.

  1. Fuga masiva de datos en Yahoo.
  2. Meltdown y Spectre.
  3. Mirai.
  4. Wannacry.
  5. Petya/NotPetya.
  6. Brecha en los hoteles Marriott.
  7. Ataque a GitHub.
  8. I Love You.
  9. Stuxnet
  10. Cierre de Google +.

¿Quieres conocerlos en profundidad? ¡No te pierdas el artículo especial de MCPro!

]]>
https://www.muyseguridad.net/2019/03/18/las-10-ciberamenazas-mas-peligrosas-de-la-historia/feed/ 0
Microsoft publica la extensión Windows Defender para Chrome y Firefox https://www.muyseguridad.net/2019/03/18/extension-windows-defender/ https://www.muyseguridad.net/2019/03/18/extension-windows-defender/#respond Sun, 17 Mar 2019 23:02:12 +0000 https://www.muyseguridad.net/?p=35956 sandbox para Windows Defender

Microsoft ha publicado la extensión Windows Defender Application Guard para los navegadores Chrome y Firefox. El objetivo es proteger equipos empresariales con Windows, explorando sitios que no sean de confianza en un ambiente aislado.

Esta extensión de Windows Defender era exclusiva de Edge y ahora Microsoft lo extiende a los dos principales navegadores según cuota de mercado. La extensión protege el dispositivo frente a ataques avanzados al abrir sitios web que no sean de confianza utilizando una ventana de exploración aislada de Microsoft Edge.

Usa un método de aislamiento único basado en hardware, en concreto un contenedor ligero que está separado del sistema operativo mediante tecnología de virtualización Hyper-V) con el objetivo de mantener dispositivo y datos protegidos.

Su funcionamiento es sencillo. Cuando los usuarios intentan acceder a un sitios web, la extensión Windows Defender para Chrome y Firefox compara la URL con una lista de sitios de confianza definidos por administradores de empresas. Si se determina que el sitio no es confiable, se redirige al usuario a una sesión aislada de Microsoft Edge

En la sesión aislada de Microsoft Edge, el usuario puede navegar libremente a cualquier sitio que la organización no haya definido explícitamente como de confianza, sin ningún riesgo para el resto del sistema. Con la capacidad de conmutación dinámica, si el usuario intenta ir a un sitio de confianza mientras se encuentra en una sesión aislada de Microsoft Edge, el usuario volverá al navegador predeterminado, Chrome o Firefox en este caso. 

extensión Windows Defender

En otras palabras, si te topas con un sitio maliciosos mientras utilizas tu navegador preferido, se abrirá Edge y podrás explorar el sitio de forma segura. Chrome y Firefox ya tienen funciones de seguridad similares propias, por lo que algunos usuarios verán esta extensión como una manera de impulsar la pobre cuota de mercado de Edge. Sí conviene matizar que su funcionamiento es distinto, es un método interesante y está diseñado para su uso en empresas.

Windows Defender Application Guard está disponible para Windows Insiders, pero se implementará pronto en las próximas versiones estables. Si quieres probarlo puedes descargar la extensión para Chrome y Firefox en los enlaces. También necesitarás instalar la aplicación para todo funcione. 

]]>
https://www.muyseguridad.net/2019/03/18/extension-windows-defender/feed/ 0
Fuga masiva de datos en Gearbest: cambia ya tu contraseña https://www.muyseguridad.net/2019/03/15/fuga-masiva-de-datos-en-gearbest-cambia-ya-tu-contrasena/ https://www.muyseguridad.net/2019/03/15/fuga-masiva-de-datos-en-gearbest-cambia-ya-tu-contrasena/#respond Fri, 15 Mar 2019 08:44:14 +0000 https://www.muyseguridad.net/?p=35953

Una nueva brecha de seguridad ha desatado el “pánico en los mercados”. La compañía afectada en este caso ha sido Gearbest, una de las plataformas chinas de comercio electrónico más populares en países como España.

Como indican en TechCrunch, un servidor mal configurado en la CPD de la empresa asiática ha provocado que millones de datos de usuarios y clientes se hayan estado filtrando en Internet desde hace semanas. Tan mal configurado estaba, que ni siquiera estaba protegido con contraseña.

Entre los datos que ya circulan por la Red, se encuentran perfiles de usuario, órdenes de compra, correos electrónicos contraseñas y sí, también información sobre los distintos métodos de pago empleados.

Como han explicado fuentes conocedoras del caso, los datos filtrados tampoco estaban encriptados, lo que no habla precisamente bien de la política de seguridad de la compañía asiática.

El incidente ha sido reportado por el hacker “Noam Rotem”, quien en el portal especializado vpnMentor ha explicado que “no sólo la base de datos de Gearbest no está securizada, sino que “está suministrado información constantemente actualizada a potenciales agentes maliciosos.”

Lo más preocupante sin embargo es que como indica este hacker “los datos que han filtrado ponen en riesgo la privacidad y la seguridad de muchas personas que viven en países en los que los derechos humanos, no están ni mucho menos garantizados, al revelar compras que pueden indicar, por ejemplo, su orientación sexual”.

En estos momentos Gearbest se encuentra entre las 250 mayores webs del mundo y cuenta con clientes como Asus, Huawei, Intel o Lenovo. Además, la compañía dispone centros logísticos en varios países de Europa, entre ellos España. Es de suponer por lo tanto, que la compañía haya violado la regulación europea de protección de datos (GDPR) y a corto plazo, podría enfrentarse a sanciones severas.

]]>
https://www.muyseguridad.net/2019/03/15/fuga-masiva-de-datos-en-gearbest-cambia-ya-tu-contrasena/feed/ 0
Kaspersky Lab descubre vulnerabilidad 0-Day en Windows 10 explotada activamente https://www.muyseguridad.net/2019/03/15/vulnerabilidad-0-day-en-windows-10/ https://www.muyseguridad.net/2019/03/15/vulnerabilidad-0-day-en-windows-10/#respond Thu, 14 Mar 2019 23:04:26 +0000 https://www.muyseguridad.net/?p=35944 vulnerabilidad 0-Day en Windows 10

Una vulnerabilidad 0-Day asignada como CVE-2019-0797, ha sido explotada activamente para controlar PCs con Windows 10 y Windows 8, según informa Kaspersky Lab que fue quien la detectó e informó a Microsoft. El gigante del software parcheó la vulnerabilidad el pasado martes en su entrega mensual de seguridad y se recomienda la actualización de sistemas.

Dice Kaspersky que es la cuarta vulnerabilidad de escalada de privilegios locales explotada activamente que ha descubierto en los últimos meses en Windows utilizando su tecnología de detección Automatic Exploit Prevention. En este caso, una 0-Day para las que no existía solución conocida, presente en el subsistema gráfico de Windows.

Las investigaciones de Kaspersky indican que el fallo ha sido explotado por grupos conocidos como FruityArmor y SandCat, bien conocidos por la utilización de este tipo de vulnerabilidades con anterioridad.

“El descubrimiento de una nueva vulnerabilidad Zero-day de Windows, explotada muy activamente, muestra que esas herramientas siguen siendo de gran interés para los actores de amenazas y las organizaciones necesitan soluciones de seguridad que protejan contra ese tipo de amenazas desconocidas. También reafirma la importancia de la colaboración entre la industria de la seguridad y los desarrolladores de software: la búsqueda de errores, la divulgación responsable y la aplicación rápida de parches, son las mejores maneras de mantener a los usuarios a salvo de amenazas nuevas y emergentes”, explican desde Kaspersky Lab.

Medidas de seguridad en empresas

Aunque es imposible estar seguros al 100% de este tipo de vulnerabilidades de día 0 desconocidas, Kaspersky Lab ha emitido una serie de recomendaciones de protección, comenzando por instalar el parche lanzado por Microsoft para superarla y el resto de parches mensuales, porque también se incluye solución para un segundo 0-Day (CVE-2019-0808) reportada por el Grupo de análisis de amenazas y que utilizó un fallo en el navegador Chrome del que ya te informamos. Las prácticas son las recomendaciones habituales para proteger cualquier sistema, en empresas y consumo:

  • Actualizar, de forma regular, todo el software utilizado en su organización, sobre todo cada vez que se lance un nuevo parche de seguridad. Los productos de seguridad con capacidades de análisis de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.
  • Instalar una solución de seguridad probada, que esté dotada con capacidades de detección basadas en el comportamiento para una protección efectiva contra amenazas conocidas y desconocidas, incluidas las vulnerabilidades.
  • Utilizar herramientas de seguridad avanzadas como Kaspersky Anti Targeted Attack Platform (KATA) si su empresa requiere de una protección altamente sofisticada.
  • Garantizar el acceso del equipo de seguridad de la organización a la información de ciberamenazas más reciente.
  • Asegurarse de que el personal de la organización está formado en los aspectos básicos de la higiene de la ciberseguridad.
]]>
https://www.muyseguridad.net/2019/03/15/vulnerabilidad-0-day-en-windows-10/feed/ 0
Simbad: el phishing se cuela en los simuladores de Google Play https://www.muyseguridad.net/2019/03/14/simbad-el-phishing-se-cuela-en-los-simuladores-de-google-play/ https://www.muyseguridad.net/2019/03/14/simbad-el-phishing-se-cuela-en-los-simuladores-de-google-play/#respond Thu, 14 Mar 2019 16:02:43 +0000 https://www.muyseguridad.net/?p=35947

206 aplicaciones y más de 150 millones de descargas. Este es el alcance de Simbad, una nueva vulnerabilidad que según Check Point está haciendo estragos en la Google Play Store.

Como ha explicado la compañía de seguridad, la mayoría de las aplicaciones afectadas son simuladores de juego (de ahí Simbad) y en su cofiguración más “sencilla” muestra en el terminal del usuario infectado innumerables anuncios (adware) fuera de la aplicación, que ralentizan y llegan a volver inutilizable cualquier teléfono móvil. No es este el único problema. Una vez instaladas, puede resultar complicado eliminar las aplicaciones afectadas del terminal.

Las actividades que SimBad puede desarrollar se dividen en 3 grupos: mostrar anuncios, phishing y exposición de datos a otras aplicaciones. Gracias a su habilidad para abrir una URL en un navegador, el criminal detrás de este ataque puede generar páginas de phishing para diversas plataformas y abrirlas en un navegador.

Todas las aplicaciones afectadas por esta vulnerabilidad han sido desarrolladas utilizando un SDK común. Esto proporciona a los cibercriminales una ventaja fundamental: posicionar decenas de aplicaciones similares en la Play Store con un mínimo esfuerzo.

¿De qué forma podemos reconocer una aplicación infectada por Simbad? La mayoría, presenta las siguientes características.

  • Muestran anuncios fuera de las aplicaciones (por ejemplo, al desbloquear el teléfono)
  • Abren constantemente Google Play Store e “invitan” al usuario a instalar otra aplicación para así, maximizar sus beneficios.
  • Evitan ser desinstaladas “escondiendo” el icono de su App en el launcher.
  • Son capaces de descargar archivos APK e invitan al usuario a que los instale.
  • Buscan automáticamente nuevas apps en Google Play Store.

¿Y qué ocurre si ya hemos sido infectados? Como indican desde Check Point, como no vamos a poder eliminar la App sospechosa de forma “tradicional”, deberemos acceder al menú de “Ajustes” y una vez ahí, pulsar sobre el submenú de aplicaciones. A continuación, deberemos identificar la aplicación “sospechosa” y desinstalarla.

]]>
https://www.muyseguridad.net/2019/03/14/simbad-el-phishing-se-cuela-en-los-simuladores-de-google-play/feed/ 0
El Ministerio de Defensa español detecta una intrusión en su red activa desde diciembre https://www.muyseguridad.net/2019/03/13/ministerio-de-defensa-espanol/ https://www.muyseguridad.net/2019/03/13/ministerio-de-defensa-espanol/#comments Wed, 13 Mar 2019 10:33:37 +0000 https://www.muyseguridad.net/?p=35938 Ministerio de Defensa español

El Ministerio de Defensa español ha puesto en manos de la fiscalía una intrusión en su red general de operaciones detectada tras descubrir una pieza de malware insertada en la misma.

El incidente está en fase inicial de investigación. En él están trabajando el Mando de Ciberdefensa, el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC) y el Centro Criptológico Nacional (CCN). Ya se han tomado las medidas preventivas concurrentes, chequeos y cambio de claves de acceso.

Aunque la red atacada (WAN PG) es la usada para propósito general, no está clasificada y sobre ella no circula información secreta, el asunto es de la suficiente relevancia porque la red “es la que se utiliza en el día a día”sí maneja otra información sensible, conectando más de 50.000 usuarios del Ministerio, Estado Mayor y los tres ejércitos, sirviendo servicios de telefonía, correo o accesos Internet.

La gravedad del hecho radica que el virus estaría presente en la red desde finales de diciembre, según informa ElPaís, insertado por un ciberataque que se sospecha de origen extranjero, aunque no se descarta “ayuda” interna. El ciberataque habría sido detectado por una operadora militar.

El momento es delicado ante la inminente ronda de elecciones generales, municipales y europeas. El pasado febrero, el gobierno aprobó la creación de un Centro de Operaciones de Ciberseguridad para detectar y gestionar amenazas en los sistemas de la Administración General del Estado (AGE).

También se ha anunciado la creación de una unidad gestionada por expertos del Departamento de Seguridad Nacional y varios Ministerios para luchar contra las amenazas híbridas y blindarse de cara a los procesos electorales.

Los ciberataques a redes gubernamentales son diarios. En la última presencia del director del Centro Nacional de Inteligencia en el Congreso, habló de 38.000 incidencias registradas. 1.000 tendrían origen en España, con tres ciberataques diarios de peligrosidad crítica o muy alta contra el sector público y empresas estratégicas, algunos de origen extranjero para “debilitar y comprometer la capacidad económica, tecnológica y política de España”, señaló el general Félix Sanz Roldán.

La novedad del ataque que nos ocupa es que la presencia de malware no se haya detectado hasta dos meses de producirse.

]]>
https://www.muyseguridad.net/2019/03/13/ministerio-de-defensa-espanol/feed/ 1
Una empresa de marketing expone al público 809 millones de registros https://www.muyseguridad.net/2019/03/11/fuga-de-datos-2/ https://www.muyseguridad.net/2019/03/11/fuga-de-datos-2/#respond Sun, 10 Mar 2019 23:03:19 +0000 https://www.muyseguridad.net/?p=35932 fuga de datos

Dos investigadores de seguridad han descubierto una base de datos MongoDB no protegida y de acceso público que contenía 150 Gbytes de datos en texto simple con 809 millones de registros, incluidas 763 millones de direcciones de correo electrónico únicas.

Las violaciones de seguridad y la exposición de datos on-line es el cuento de nunca acabar. La que nos ocupa es una de las peores de la historia, no solo por el número de registros sino también por su contenido inusual ya que además de datos sobre consumidores individuales, así como lo que parecen ser “datos de inteligencia de negocios” como cifras de empleados e ingresos de varias compañías. 

Por supuesto, no falta una carpeta de registros de correo electrónico que incluye los datos personales habituales como nombre y apellido, la fecha de nacimiento, el correo electrónico, el número de teléfono, el código postal, la dirección, el sexo y la dirección IP para cada entrada por separado. También otras como el monto de la hipoteca personal, la tasa de interés, las cuentas de Facebook, LinkedIn e Instagram asociadas con las direcciones de correo electrónico y las puntuaciones de crédito. 

Los investigadores realizaron una comprobación cruzada de una selección de registros aleatorios de la base de datos con la base de datos Have I Been Pwned mantenida por Troy Hunt y llegaron a la conclusión de que no formaban parte de ninguna violación anterior, lo que llevó a la conclusión de que se trataba de un conjunto nuevo y único de datos.

La base de datos corresponde a la firma de validación de correo electrónico Verifications.io. Si bien es probable que nunca hayas oído hablar de ellos, los validadores desempeñan un papel crucial en la industria del marketing por correo electrónico. No envían correos electrónicos por cuenta propia ni facilitan campañas masivas de correo electrónico. En su lugar, examinan la lista de correo de un cliente para asegurarse de que las direcciones de correo electrónico que contiene son válidas. 

Las empresas de marketing por correo electrónico convencionales a menudo subcontratan este trabajo en lugar de correr el riesgo de que posicionen su infraestructura en listas negras con filtros de correo no deseado o reducir sus puntuaciones de reputación en línea. El trabajo sucio lo hacen otros. La verificación completa de que una dirección de correo electrónico funciona implica enviar un mensaje a la dirección y confirmar que se entregó, esencialmente enviando correos electrónicos no deseados. Ello significa evadir las protecciones de los proveedores de servicios de Internet y plataformas como Gmail.

Hay que parar todo este disparate

El CEO de Apple, Tim Cook, ha pedido recientemente una regulación para abordar la “economía en la sombra” de las empresas de datos, nuevas normas que promuevan un cambio radical en la industria de la tecnología y cómo las empresas manejan los datos en línea.

Cook pide proteger cuatro derechos esenciales que considera deberían convertirse en legislación: el derecho a que se minimicen los datos personales; el derecho de los usuarios a saber qué datos se recopilan en ellos; el derecho de acceder a esos datos; y el derecho a que esos datos se mantengan de forma segura.

Los datos son oro en la era de Internet y no son pocos los que critican las mafias en torno a su manejo, una economía sumergida que en gran medida no está controlada, fuera de la vista de los consumidores, reguladores y legisladores.

A nadie puede extrañar que los usuarios de Internet estén perdiendo la confianza en las empresas que tienen los datos como punto central de su modelo de negocio por las cuestiones de privacidad, la falta de transparencia y la incapacidad de mantener seguros sus datos. Más información | Security Discovery

]]>
https://www.muyseguridad.net/2019/03/11/fuga-de-datos-2/feed/ 0
Man in the Room: cuando los cibercriminales se “pasan” a la realidad virtual https://www.muyseguridad.net/2019/03/08/man-in-the-room-cuando-los-cibercriminales-se-pasan-a-la-realidad-virtual/ https://www.muyseguridad.net/2019/03/08/man-in-the-room-cuando-los-cibercriminales-se-pasan-a-la-realidad-virtual/#respond Fri, 08 Mar 2019 08:57:04 +0000 https://www.muyseguridad.net/?p=35929

Nuevas tecnologías, nuevas amenazas. Si hace unos días os hablábamos de ese Formjacking que amenaza a miles de tiendas on-line de todo el planeta, hoy llega el turno de lo ya se ha bautizado como “man in the room”, o lo que es lo mismo: ataques para escenarios de realidad virtual.

La nueva amenaza ha puesto durante los últimos meses su diana en los usuarios de Bigscreen, una popular aplicación de VR disponible en Steam (versiones para HTC Vive, Oculus Rift, Windows Mixed Reality) y que cuenta con una base de más de 500.000 usuarios.

Como un “Google Hangouts” vitaminado, Big Screen ofrece a sus usuarios salas de chat virtuales en las que pueden charlar, colaborar en proyectos o incluso si les apetece, asistir juntos a una de las distintas proyecciones que anuncian en su cine virtual.

Ha sido sin embargo la Universidad de New Haven la que ha explicado que, tras realizar un análisis forense sobre la aplicación, ha descubierto que durante meses distintas vulnerabilidades han permitido a cualquier usuario con los conocimientos técnicos necesarios, “colarse” en cualquiera de estas habitaciones virtuales para desde ahí, tomar el control del equipo de sus víctimas o infectarlos con todo tipo de malware. Y si fuera poco, resulta que el proceso es completamente “transaparente”. La infección se produce sin que la víctima tenga que instalar nada o pueda evitarlo.

Entre otras cosas, un atacante puede controlar por ejemplo cuándo su objetivo entra en una sala VR, activar remotamente su micrófono para espiar conversaciones privadas o cómo ya hemos señalado, inyectar malware que al autoreplicarse, acabe infectando a otros usuarios. De forma similar, este ataque permite al cibercriminal ver lo que se proyecta en el ordenador de los usuarios en tiempo real, cambiarse de avatar por el una persona infectada y enviar mensajes haciéndose pasar por ese mismo usuario.

En estos momentos la compañía asegura que las vulnerabilidades se han parcheado y que sus usuarios puedes conectarse a Bigscreen de forma segura. Pese a esto, incidentes como este “man in the room” ponen el foco sobre esas nuevas realidades (AR/VR/MR) en las que tal vez por su todavía escasa penetración en el mercado, las medidas de seguridad no están demasiado desarrolladas.

]]>
https://www.muyseguridad.net/2019/03/08/man-in-the-room-cuando-los-cibercriminales-se-pasan-a-la-realidad-virtual/feed/ 0
Google corrige vulnerabilidad crítica en Chrome ¡Actualiza! https://www.muyseguridad.net/2019/03/07/vulnerabilidad-critica-en-chrome/ https://www.muyseguridad.net/2019/03/07/vulnerabilidad-critica-en-chrome/#comments Thu, 07 Mar 2019 10:32:05 +0000 https://www.muyseguridad.net/?p=35922 vulnerabilidad crítica en Chrome

Google ha publicado una nueva versión de su navegador web para corregir una vulnerabilidad crítica en Chrome que está siendo explotada en la Red. Se recomienda actualizar a la mayor brevedad en Windows, macOS y Linux.

Un investigador del Grupo de análisis de amenazas de Google descubrió y reportó una vulnerabilidad de alta gravedad en Chrome a finales de febrero, que podría permitir a atacantes remotos ejecutar código arbitrario y tomar el control total de las computadoras.

La vulnerabilidad, asignada como CVE-2019-5786, afecta a todas las versiones del navegador, incluidos Microsoft Windows, Apple macOS y Linux. Sin revelar detalles técnicos de la vulnerabilidad, el equipo de seguridad de Chrome explica que se trata de vulnerabilidad crítica en el uso del componente FileReader del navegador.

FileReader es una API que permite que las aplicaciones web lean ficheros (o información de datos sin procesar en buffer) almacenados en el cliente de forma asíncrona, usando los objetos File o Blob dependiendo de los datos que se pretenden leer.

Lo peor del caso es que se ha comprobado que esta vulnerabilidad está siendo explotada activamente. Todo lo que un atacante debe hacer es engañar a las víctimas para que abran o redirijan a una página web especialmente diseñada sin necesidad de ninguna interacción adicional, permitiendo una escalada de privilegios e inyección de código malicioso.

El parche para esta ya se ha publicado con la actualización de la versión estable de Chrome (Versión 72.0.3626.121 – Build oficial), para los sistemas operativos Windows, Mac y Linux.

vulnerabilidad crítica en Chrome

Se recomienda a todos los usuarios actualizar de inmediato. En Windows y mac suele actualizarse automáticamente, mientras que en las distros Linux se actualiza mediante el gestorde paquetes. En todos los casos se puede forzar la actualización accediendo al menú “Herramientas > Ayuda > Información de Google Chrome” dentro del navegador o desde la página web oficial para nuevas instalaciones.

]]>
https://www.muyseguridad.net/2019/03/07/vulnerabilidad-critica-en-chrome/feed/ 3
Facebook y 2FA: convertir la seguridad en negocio provoca un daño terrible https://www.muyseguridad.net/2019/03/06/facebook-y-2fa/ https://www.muyseguridad.net/2019/03/06/facebook-y-2fa/#respond Tue, 05 Mar 2019 23:02:26 +0000 https://www.muyseguridad.net/?p=35909 Facebook y 2FA

El caso de Facebook y 2FA es el penúltimo que pone bajo los focos a la red social por la manera en que maneja los datos personales de sus usuarios. Aún peor, por convertir un importante mecanismo de seguridad como la autenticación de dos factores en negocio propio reduciendo la confianza en el mismo.

El caso no es nuevo aunque volvió a salir a la palestra el pasado fin de semana de la mano de un tuit del fundador de Emojipedia, Jeremy Burge, donde aseguraba que cualquiera podría buscarlo en Facebook usando su número de teléfono, proporcionado a la red social para habilitar la autenticación de dos factores. El mensaje de Burge se viralizó, los editoriales han regresado y los usuarios que no se enteraron en su momento ahora lo saben. Pero viene de lejos.

2FA es una función de seguridad que conocerás como “doble identificación” o de “dos factores”. Lo emplean la mayoría de grandes servicios y empresas de Internet para garantizar la autenticación real de un usuario. Al acceso habitual a un servicio con el nombre y contraseña, 2FA suma un código enviado generalmente mediante un mensaje de texto al smartphone del usuario. Su funcionamiento exige que proporciones ese número de teléfono a la empresa en cuestión.

Este número es el que ha estado vendiendo Facebook a los anunciantes sin conocimiento ni consentimiento expreso del usuario.

Hace casi un año que un grupo de usuarios se quejaron de recibir spam en el número de teléfono que utilizaban en Facebook para activar la característica 2FA. La red social lo achacó a un error. “Lo último que queremos es que las personas eviten características de seguridad útiles porque teman recibir notificaciones no relacionadas”, escribió en una publicación en el blog de la compañía el entonces CSO de Facebook, Alex Stamos. A Stamos se le olvidó mencionar que eso era precisamente lo que estaban haciendo: vender el número de teléfono a los anunciantes para aumentar ingresos y no para lo que fue diseñado: mejorar la seguridad.

Motherboard ha consultado con varios analistas y coinciden: es un golpe para la ciberseguridad. Lamentablemente, solo un pequeño porcentaje de personas utiliza esta función, principalmente porque puede ser una carga y rara vez se requiere de forma predeterminada, lo que deja a los usuarios con la responsabilidad de activarla. Ahora, Facebook puede haber dado a los usuarios razones para no utilizarlo.

El ex-CSO de Facebook también ha contestado al caso: “se suponía que había un gran proyecto para segregar los números (los entregados par 2FA y el resto) mientras estaba allí, pero aparentemente no fue a ninguna parte. No es un error ahora, es claramente intencional

Harlo Holmes, un capacitador en seguridad digital de la Freedom of the Press Foundation, explicó que el caso de Facebook y 2FA era “un ejemplo perfecto de un usuario convertido en producto”.

Es urgente parar la violación a la privacidad

Colocar a Facebook y a la privacidad en la misma línea es imposible. En materia de seguridad la red social obtiene un suspenso manifiesto desde su lanzamiento. Y va a peor. La incapacidad de Facebook para proteger los datos de sus clientes es manifiesta. Unas veces por errores y otras (peor) por la manera de manejar los datos pensando más en el negocio que por garantizar la seguridad.

Mark Zuckerberg prometió cambios para superar el año horrible de Facebook, pero los escándalos se siguen produciendo y siempre por los mismos motivos. El regulador europeo ha lazando una “consulta legal” que podría conllevar una multa multillonaria de 1.600 millones de dólares después de recibir múltiples informes de violaciones de datos que afectan a la compañía. Parece poco. Si atiendes a seguridad y privacidad el único consejo posible es #DeleteFacebook.

]]>
https://www.muyseguridad.net/2019/03/06/facebook-y-2fa/feed/ 0