jueves, marzo 31, 2022

1 de Abril: XII Congreso RITSI en Sevilla -> Cloud, Ciberseguridad, IA & BigData

El próximo día 1 de Abril, conmemorando el 30 aniversario de RITSI (Reunión de Estudiantes de Ingenierías Técnicas y Superiores de Informática), tendrá lugar el XII Congreso en Sevilla, con una agenda centrada en Cloud, Ciberseguridad, Inteligencia Artificial, Drones, BigData y todo lo que tiene que ver con nuevas tecnologías. 
La agenda tiene cuatro tracks en paralelo, con ponencias y actividades, donde muchas empresas tecnológicas se han acercado a estar allí. Entre las empresas colaboradoras están 0xWord, Singularity Hackers y MyPublicInbox. El programa de charlas que merece la pena que le eches un ojo, que lo tienes en la web. 
Entre las charlas de la mañana tienes una muy interesante de Jorge Coronado, de la empresa QuantiKa14, que hablará de pentesting, auditoría y de cómo hacerlo a gran escala con ejemplos, según pone en la descripción de ayuntamientos de la región:

Auditorías de seguridad de sevillanas formas 

"Explicaremos cómo realizar un proceso de auditoría masivo en todos las páginas webs de los ayuntamientos de Sevilla. También extraeremos de forma automática datos expuestos públicamente de los políticos. Por último, realizaremos una tarea de análisis de datos usando JupyterLab. Con esta charla pretendemos enseñar cómo realizar técnicas de pentesting y OSINT de forma automática y crear un dashboard aplicando análisis de datos."


Y para conocer un poco más del congreso, le he hecho unas preguntas a Carlos Cruz Martínez, Presidente de RITSI y miembro del Comité Organizador, Teresa Peláez Rodríguez, Coordinador de la Comisión de Gestión y Organización de Eventos Externos, Francisco José Anillo Carrasco, Coordinación de la Comisión de Calidad y Apoyo y Miembro del Comité Organizador y Manuel Cañizares Juan, Presidente del Comité Organizador.

1. ¿Cómo nace RITSI? ¿Cuál es el objetivo de este evento?

RITSI nació hace justo 30 años en Albacete y su interés principal siempre ha sido la defensa de los estudiantes de informática, de ahí su nombre Reunión de Estudiantes en Ingenierías Técnicas y Superiores en Informática. Este evento tiene como objetivo la difusión de manera lúdica de los estudios de informática, así como de las aplicaciones de estos en nuestra vida cotidiana y no tan cotidiana, queremos hacer llegar esa parte transversal y actualizada del sector que no siempre se ve en las aulas, completando la formación de esos estudiantes, para crear un mañana mejor.

2. ¿Qué tenéis preparado para esta edición que ya parece podemos volver a juntarnos?

La vuelta a la presencialidad hace que este evento sea muy especial para todos, desde la organización, la Junta Directiva y la comisión encargada del evento. Este año está especialmente marcado por la nube y todo nos ofrece de cara al futuro. También contamos con temáticas de Nuevas Tecnologías, Auditoría y Ética, Data Science y Ciberseguridad, por lo que los asistentes al evento se irán sabiendo un poquito más de todas estas ramas de la informática.

3. No os olvidéis de Seguridad Informática, que seguimos necesitando muchos profesionales, ¿qué tenéis para este año en esta materia?

Tenemos una charla muy especial del CEO de QuantiKa14, Jorge Coronado, que nos explicará como es el proceso de auditoría, auditando las webs de los Ayuntamientos de Sevilla obteniendo datos de sus políticos, de esta manera veremos ya no solo cuan de seguras son estas infraestructuras, sino si los datos que contienen son correctamente manejados, o por si el contrario hay información que no debería estar pública, accesible a todo el mundo.

2. ¿Qué van a llevarse los asistentes al evento como aprendizaje?

Los asistentes se llevarán muchos conocimientos en diferentes ámbitos de la informática, desde aquello más local hasta aquello tan etéreo como la nube. Podrán hablar con las empresas líderes en el sector, conociendo así los proyectos en los que trabajan, hablando de tú a tú con trabajadores de la misma, aportándoles así una nueva visión en su entrada al mundo laboral o de prácticas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


miércoles, marzo 30, 2022

Una academia de Trading & Criptomonedas para una Estafa Piramidal

Las estafas piramidales son bien conocidas. Un esquema en el que el de arriba gana un poco de todo lo que ponen los de abajo. Cuanto más estás arriba en la pirámide, más ganas de todos, cuando estás abajo y tienes que pagar, buscas como encontrar otros que poner debajo que para poder subir, y al mismo tiempo haces que el de arriba esté más alto y gane más. Es un esquema de fraude conocido y perseguido.
Uno de este caso, la Policía Nacional ha publicado una nota de prensa informando de la detención de una banda que se encargaba de crear este esquema piramidal entre jóvenes, buscando víctimas en el parque, en el colegio y en las redes sociales, con la excusa de formarse en una academia como Trader e Inversor en Criptomonedas.
Pero el esquema piramidal se basaba en pagar la cuota mensual de la academia - después de haber firmado un contrato con obligación de pagar muchas cuotas -, o dejar de pagar si se captaba a dos nuevos estudiantes que firmaran otro contrato de cuotas de la formación en trading & criptomonedas.

Las cantidades económicas exigidas por la organización para la inscripción en la formación financiera consistían en un primer ingreso de 200 euros y una cuota mensual de 150 euros. Después de que las víctimas captaran a otras dos personas dejaban de pagar la cuota mensual y a partir de su tercera captación, comenzarían a cobrar mensualmente de la “pirámide”. Para que la captación fuera eficiente, se les proporcionada instrucción y guiones para abordar y persuadir a nuevos miembros potenciales.

Según la nota publicada sobre este caso, 2.500 personas podrían haberse captado en esta formación, donde se presionaba a la gente para que dejara sus estudios, utilizando técnicas de presión típicas de las sectas. Y captando a mucha gente joven en este esquema piramidal.
Al final, no se trata de un fraude de Falsos Brokers, ni es una estafa pura y dura de criptomonedas, sino que se ha utilizado el ruido que generan los traders y los cuentos de de habichuelas mágicas de las criptomonedas los que han puesto el cebo para una estafa tradicional de negocio piramidal, donde el objeto ha sido una formación, pero podría haber sido cualquier otro producto.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


martes, marzo 29, 2022

Las caras sintetizadas con Inteligencia Artificial son indistinguibles de las caras reales y dan más confianza a las personas

El mes pasado salió publicado un artículo titulado "AI-synthesized faces are indistinguishable from real faces and more trustworthy" (Caras sintetizadas con Inteligencia Artificial son indistinguibles de las caras reales y dan más confianza a las personas), donde se realiza un curioso estudio con tres experimentos, para saber si los seres humanos son capaces de reconocer qué caras son reales y cuáles creadas con IA. Y los resultados son bastante curiosos.


Los tres experimentos realizados sobre una base de datos de 800 fotografías de caras de personas reales y caras de personas creadas por Inteligencia Artificial están detallados y explicados en el artículo que podéis descargar y leer en la siguiente dirección de Internet.
El primer experimento es bastante sencillo. De las 800 caras de la base de datos, se les enseñaron 128 caras (creadas por IA y reales) a 315 personas. Y los resultados dieron que el resultado medio de acierto de cada cara, es decir, acertar si era real o sintética, fue de 48,2 %. Lo que deja claro que en cada cara, de media, se fallaba más que se acertaba a reconocerla.

Figura 3: Entre paréntesis (R) o (S) para saber si son Reales o Sintéticas.
El porcentaje es el grado de acierto por los humanos en media.
Las de arriba son las caras con más aciertos (Rs & Ss)
y las de abajo las caras con menos aciertos.

Hay que tener en cuenta que, en un experimento puramente aleatorio, es decir, eligiendo siempre real, o siempre sintetizada, o eligiendo aleatoriamente sin intentar acertar, debería haber salido un 50%, lo que deja claro que esa desviación hace que los humanos sean engañados claramente.

Figura 4: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Para comprobar si se podía enseñar bien a los seres humanos a reconocer las caras reales de las falsas, se aplicó un sistema de entrenamiento en el segundo experimento, haciendo un proceso de decirle a cada persona, después de seleccionar si la cara era real o sintetizada, si había acertado o no, lo que provocaría un proceso de aprendizaje por entrenamiento. 

Figura 5: Distribución de porcentajes de acierto en los experimentos 1 y 2 

Los resultados mejoraron, llegando a un 59 % de acierto, pero aún muy lejos de tener una selección fiable de un 95% o similar. Para ello, se probó con 128 caras por cada persona de prueba, y un total de 215 personas. Así que, un proceso de entrenamiento como este dejó que más del 41 % de las veces, de media, se fallará al saber si era real o creada por AI.

Los humanos confían más en las caras sintéticas creadas con Inteligencia Artificial

El último experimento se trataba de saber el grado de confianza que daba cada cara - real o sintetizada con IA - a cada persona, para ver si las caras reales o sintetizadas mostraban alguna desviación en la tasa de confianza de las personas. En este estudio, 213 personas marcaba el grado de confianza de 1 (muy poco) a (mucho) sobre 128 caras.

Figura 6: Las caras sintéticas consiguen más con confianza

El resultado, que podéis ver en la gráfica anterior, muestra que, sorprendentemente, las caras creadas por IA dan más confianza a las personas que las caras reales de otros humanos. Sorprendente, cuanto menos, porque abre un universo de preguntas y usos de las personas sintetizadas por humanos.


Figura 7: BladeRunners & Virtual Replicants con DeepFakes

Es decir, el trabajo de los Blade Runners para reconocer a los Virtual Replicants, cada vez va a ser más necesario, y vamos a tener que desarrollar procedimientos, controles, nuevas herramientas, y nuevos test de detección. Interesante mundo que se abre.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


lunes, marzo 28, 2022

2 Másters Universitarios en Ciberseguridad & Hacking que comienzan mañana y 1 en Abril.

Hoy os traigo un rápido recordatorio sobre tres másters en Ciberseguridad y en Hacking que comienzan ya mismo en el Campus Internacional de Ciberseguridad donde ya sabéis que yo soy mentor de los programas. Los tres Másters Universitarios y sus respectivas fechas de inicio son las siguientes que os paso a detallar.
Como tenéis mucha más información de cada uno de ellos en sus respectivas webs, os dejo solo una breve reseña y el enlace a la web para que accedas al programa, calendario detallado, profesorado y datos importantes de cada uno de los másters.

- Máster Universitario en Seguridad Ofensiva: Dirigido especialmente para formar a profesionales en el mundo del pentesting, que luego podrán desempeñar tareas en proyectos de Hacking Ético, en equipos de Blue & Red Team, trabajar en grupos de QA de Seguridad o en equipos multidisciplinares en CERT o CSIRT. La fecha de comienzo del máster es mañana 29 de Marzo, así que si tienes interés en subirte al grupo, ponte en contacto a través de la web del mismo.

- Máster Universitario en Reversing, Análisis de Malware y Bug Hunting: Dirigido a los que quieran profundizar en el bajo nivel de la ingeniería inversa, para poder decompilar programas, entender cómo funciona el mundo del malware y la cambiante profesión de analista y cómo funcionan los programas de Bug Hunting para poder ganarse la vida como cazarecompensas de bugs. Este Máster Universitario comienza también mañana, así que si te interesa trabajar de esto, ponte en contacto con el Campus cuanto antes.


- Máster en Fundamentos de Ciberseguridad: Este programa, orientado a comenzar en el mundo de la ciberseguridad desde cero, comienza un poco más tarde, el próximo 12 de Abril. No hay ningún requisito de entrada, ya que se trata de una formación para hacer un cambio de capacidades completo de tu perfil. No importa tu currículo o tus estudios anteriores, se trata de formar a gente que pueda entrar en el mundo de la ciberseguridad comenzando desde cero. Tienes toda la información en la web del máster.
Además, en todos los másters hay libros de 0xWord, Tempos de MyPublicInbox y sesiones extras de trabajo para estar listos para los Trabajos de Fin de Máster que propondremos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


domingo, marzo 27, 2022

Cuando te pidan el DNI en cualquier servicio online, lucha por protegerlo.

El Documento Nacional de Identidad (DNI o DNIe) es un identificativo único y propio - similar a una dirección MAC en una interfaz de red de un dispositivo - para demostrar ser quien se dice ser. Su presencia se hace notar a la hora de realizar ciertos tramites para que los datos aportados tomen veracidad, pero… ¿puede la persona que lo pide ausentarse en el momento de prestarlo? ¿quién realmente puede pedirnos el DNIe? ¿debemos aportar una copia en el caso que se requiera? Iremos desvelando algunas respuestas a esas preguntas tras contaros un caso real para mi alta en un nuevo sistema de tarjetas de transporte público en Barcelona que os narro a continuación.

Figura 1: Cuando te pidan el DNI en cualquier servicio online, lucha por protegerlo.

Si alguna vez habéis estado en Barcelona y habéis utilizado el transporte público, el trayecto/viaje se puede validar de dos maneras o tipos de mecanismo: Adquiriendo un billete sencillo con la ventaja de ser pagado en múltiples formatos (como el contactless, QRCode y hasta en metálico) o tirar de un abono con un ahorro significante en viajes. El billete sencillo es la última opción a escoger si hacéis uso del transporte público de manera frecuente. Aunque la forma de obtenerlo es rápida y directa, acaba siendo más costosa y desventajosa si el trayecto es largo y requiere de al menos un transbordo.  

El abono usa una tarjeta de cartón con banda magnética para el control de los viajes almacenados. Os preguntaréis, ¿por qué no usar una tarjeta estilo billete sencillo para consumirlo de una manera más digital? El nuevo sistema de validación pretende eso y más, y está "bautizado" con el nombre de T-mobilitat.

Migrando a la nueva versión de movilidad

En tecnología, cambio y novedad suelen ir de la mano. El cambio se encarga de la diferencia en respecto a como se usaba y, la novedad, al impacto que te genera en recibir la “sorpresa”. Si estamos de acuerdo con ambas, tomaremos la iniciativa de probarlo, yo me animé y me puse a ello dando un paseo por su web en busca del alta hasta que, me topé con un pequeño obstáculo que me hizo recapacitar.

Figura 3: Formulario de alta para la T-mobilitat

Nada más empezar, se te pide el DNIe como dato básico, aunque puede aportarse el pasaporte y NIE como alternativa. Fijaos que el DNIe lo piden para corroborar los datos del formulario tales como: Nombre, apellido y fecha de nacimiento. 

¿Debemos entregar una copia pura del DNI mostrando otros datos que no son de su interés? 

Quería saber lo que opinaba Internet, y me topé con un interesante artículo de Xataka de Javier Pastor donde no aconsejan enviar tal cual tu DNIe por el peligro de que éste acabe en manos de ciberdelincuentes y pidan cosas/hagan gestiones en tu nombre, etcétera. Me gustó, y me alegró ver que la preocupación por estos temas de ciberseguridad son cada vez más notorios, así que decidí que había que ponerse manos a la obra.

Tuneando el DNI

Aposté por probar lo que comentan en Xataka sobre la modificación del DNIe antes de enviarlo sí, es requisito mandatario para finalizar el trámite. Yo uso bastante Paint.NET en lugar de Photoshop por las razones de ser software gratuito del estilo “free-of-charge” y por ser más potente que el propio Paint de Windows. Es menos potente que un Photoshop o GIMP pero ofrece una usabilidad amigable y te permite trabajar con capas, entre otras muchas funcionalidades.

Las tareas para ocultar aquellos datos que no deseéis revelar son: Pasar a blanco y negro, píxelar la foto + firma y por último, “planchar” una marca de agua (la foto del DNI empleada es de pruebas, por eso no oculto el resto de su información ;-) ).

1.- Blanco & Negro:

Seleccionar Ajustes – Blanco y Negro o bien el atajo de teclas (shortcut keys) Ctrl+Shift+G

Figura 4: Editando con Paint.NET - Pasar de color a blanco y negro

Nota a tener en cuentea. Conviene que la fotografía del DNI tomada ya esté acotada/cortada en sus laterales, sino podéis emplear también un recorte del mismo con este software.

2.- Pixelar Foto & Firma:

Hacemos uso de la herramienta de selección de rectángulo o bien con la tecla abreviada pulsando “S”. Tapamos la foto manteniendo un clic de ratón desde una esquina y soltamos el clic hasta llegar a la diagonal de la otra esquina de la foto. Si ahora mantenemos pulsada la tecla Ctrl podremos seguir seleccionando otra zona de la foto, en este caso será la firma (repetir mismo procedimiento). 

Figura 5: Editando con Paint.NET – Pixelado de Foto y Firma

Vamos a Efectos – Distorsión – Pixelado… y aparecerá una nueva ventana donde debéis escoger el expansionado del píxelado, yo le he puesto a 10 que ya parece resultar adecuado.

3.- Marca de Agua:

Picamos la tecla ESC para soltar la selección empleada del píxelado. En la ventana Capas agregar una de nueva pulsando el botón de la esquina izquierda-abajo o empleando el atajo Ctrl+Shift+N. Pulsamos sobre el botón Texto o con un toque en la tecla “T”. Un color que destaque sobre negro puede ser el rojo, lo escogemos en la paleta de Colores. La marca de agua la distribuiremos cerca de la cabecera y pie de DNIe. Tildamos en el botón Negrita (N) y escogemos un grosor suficiente para que desmarque sobre el texto original. (Un texto idóneo puede ser el mismo que el escogido por Xataka, cambiando el motivo en la parte de la cabecera, en este caso, T-MOBILITAT). 

Figura 6: Editando con Paint.NET – Plasmando Marca de Agua

Ya solo queda guardar vuestro DNIe “protegido” y adjuntarlo al formulario. ¿Que no queréis repetir de nuevo todo el proceso para futuros trámites? Tranquilos no hay problema, podéis guardar vuestro trabajo a modo de plantilla con el formato .pdn del propio Paint.net. Un truco para no regenerar todo de nuevo es eliminar la capa creada y generar otra limpia, así solo se cambiaría el texto, ni el blanco y negro ni el píxelado deben volver a hacerse, pues seguirán estando “bien pegados” a vuestra copia segura de DNIe. 

Nota: Aplicamos mismo concepto para el caso del reverso del DNIe, ya que también nos lo exigen, enmascarando los campos: DOMICILIO, LUGAR DE NACIMIENTO y HIJO/A DE.

Retomando el trámite

Se envía sin más dilación y nos quedamos a la espera de su respuesta y… ¡DENEGADA! Te frustra porque igual gustaría expresarlo de otro modo para que entiendan nuestra postura. Utilicé las herramientas al alcance del ciudadano, envié mi NO conforme por la vía de contacto correspondiente. Una manera rápida para que vean la magnitud del problema era enviar el enlace de donde había visto esta técnica de enmascarar el DNIe, a lo que se me respondió;

Figura 7: Respuesta del servicio T-mobilitat a mi queja

El texto se encuentra en catalán pero básicamente, nos vienen a decir que se hará una excepción en mi caso por tratarse de una inseguridad con la privacidad. Que se toman en serio el trato con los datos de las personas y de que vuelva a subir el DNIe en una nueva solicitud, que quedará verificada. Y sí, es cierto, no me mintieron, quedó verificada y ya empecé a formar parte de T-mobilitat :) haciendo entrega de los datos expresamente necesarios para completar la gestión.

Reflexiones Finales

Muchos de los trámites online que se hacen con las administraciones del estado, el DNIe se valida de manera electrónica (DNI-e). Es uno de los métodos más seguros y fiables por evitar copias innecesarias ya que, la verificación está en la clave privada del mismo. Las administraciones públicas no pueden solicitarte copia del DNIe, lo que no significa que no deba mostrarse momentáneamente (y sin perderlo de vista) como cuando se pide un justificante de asistencia en un centro médico.

¿Y quién puede realmente pedir el DNI? Se supone que, y usando una lógica reflexionada, altas autoridades son quienes pueden requerirlo. La Policía, un guardia,.... No hay una ley exacta ni ninguna lista que dictamine quienes pueden hacerlo y quienes no. Hay que estar atentos y preguntar porque se necesita, leerse la letra pequeña. Quizá el operario/a no este siguiendo un correcto protocolo en la empresa/entidad dónde trabaja (puede que se haga por comodidad, para agilizar el trámite u por otras razones). 

Cuidad de vuestro DNIe  y del resto de datos personales en general. Aunque una entidad tenga cierto peso y renombre, no os deis por vencidos, vuestra opinión siempre cuenta y más sí se argumenta y demuestra de una forma pacífica y respetuosa (claro que existirán casos donde la “lucha” se haga más larga y tediosa, otros casos donde simplemente se acaba “perdiendo” pero, si uno se conforma con su primera y última opción, no se deja cabida a una posible disputa).

Remember… Be Good, Be Hackers!

Autor: Gerard Fuguet (Contactar con Gerard Fuguet)


sábado, marzo 26, 2022

La alerta de Facebook Protect por e-mail, ¿es un spear phishing o no?

Esta semana he recibido un correo de Facebook para avisarme de que tenía hasta el 9 de Abril para activar Facebook Protect o me podían bloquear la cuenta. Y como os podéis imaginar, me saltaron todas las alertas, ya que cumple las dos premisas de todo buen Spear Phishing, como el que usamos para robar tokens OAuth en Sappo.

Figura 1: La alerta de Facebook Protect por e-mail,
¿es un spear phishing o no?

La primera premisa, y más evidente, lógicamente, es que viene un correo electrónico desde FacebookMail dirigido hacia a mí, y el segundo, el motivo de urgencia que busca una acción de un usuario. Así que, orejas de punta y a ver si era de verdad o alguien me estaba intentando jugar una mala pasada.

Figura 2: El correo de Facebook Protect

Por supuesto, regla número uno, no hacer clic en el botón gordo de "Turn ON Facebook Protect", y revisar el código fuente de todo el correo electrónico, pero sin tocar absolutamente nada de ello. Al final, si es legítimo, tengo que activar algo de seguridad, así que más vale estar seguro de que sea legítimo y para qué. Y mirando el código fuente, todo parecía normal, pero... ni de broma hago yo clic en un enlace que me llegue así por e-mail.

Figura 3: Asistente de Facebook Protect

Lo siguiente, buscar información de Facebook Protect en la web de Facebook - que se configura en la parte de Configuración, Security & Login  para ver qué es y si tengo que configurar o instalar algo o no, que es raro porque yo tengo mis identidades en redes sociales bien revisadas, para estar protegido de los peligros en Internet.

Figura 4: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

Lo curioso es que al final busca, principalmente, que se configure el Segundo Factor de Autenticación, algo que yo tengo desde hace mucho tiempo, que tengas una contraseña compleja, que tengas la cuenta de correo asociada controlada (y con un 2FA con Latch Cloud TOTP también en mi caso), y que tengas activadas las alertas.

Figura 5: Revisión de Facebook Protect de mi cuenta

Yo tenía todo activado y configurado, pero leyendo por Internet, parece que es una campaña de Facebook para proteger las cuentas con muchos seguidores para evitar que sea usadas para amplificar posibles ataques si estás son comprometidas. Lo curioso es que al mirar en las opciones de configuración, aparecía Facebook Protect como desactivado. Así que, como era una opción de seguridad dentro de mi cuenta de Facebook, comencé el proceso de activación como habéis visto en las figuras anteriores.

Figura 6: Pues parece que todo hecho, ya.

Así que, la activación de Facebook Protect quedó hecha con que solo pasara por el asistente, porque como habéis visto, revisa cosas que yo tenía ya bien configuradas. La pregunta es, ¿por qué me obliga a hacer este proceso si ya lo tengo bien hecho? Al menos, ahora, sí que aparece que tengo Facebook Protect activado.

Figura 7: Facebook Protect is ON

Acabado este proceso, queda pasar por la opción recomendada de "Important Security Settings", a ver si hay algo más que tuviera que configurar y no lo tuviera. Así que, nada, ya que estamos, a hacer otro proceso de seguridad.

Figura 8: Tres opciones de seguridad a revisar

Como se aprecia en la Figura 7, hay que mirar tres opciones de seguridad. 1) Que la password sea "robusta" 2) Que esté el activado el 2FA y 3) Que estén activadas las alertas de Login. Pues nada, a continuar.

Figura 9: Fácil de recordar y difícil de adivinar. Buena clave,

Y poco más, que todo lo tengo como debía de tenerlo. Así que a la pantalla final con todo en azul, como manda el asistente.

Figura 10: Todo ok.

Al final, lo que más me llamó la atención del correo electrónico es que me pedía que hiciera una revisión de seguridad que ya tengo hecha, y además con una fecha límite para hacerlo. Aunque en mi caso fuera un correo legítimo (es cierto que aparecía Facebook Protect como desactivado al principio a pesar de tener todo bien), esta alerta puede ser clonada y utilizada para ataques de phishing personalizados por ser un servicio de verdad, y por tener un motivo de alerta y preocupación para el usuario, como lo que contaba tiempo atrás con las alertas de Apple ID.

Conclusión

En mi caso era un correo legítimo, pero si lo recibes, no hagas clic. Ve a la web de Facebook y revisa manualmente las opciones. Hay herramientas como Social Phish para hacer justo este tipo de ataques de phishing clonando estas alertas, que combinado con el uso de otras herramientas del tipo de ShellPhishSocial Box,  son la forma más sencilla de que te roben una cuenta de Facebook sin 2FA.

Figura 11: ShellPhish v1.7

Así que, mucho cuidado siempre, que estos correos legítimos son los que mejor funcionan para el robo de identidades en redes sociales, así que no bajes la guardia nunca.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


viernes, marzo 25, 2022

Una entrevista en Open EDIX en la presentación del programa de másters de FP

Ayer estuve con el equipo de Open Edix en la presentación de los Másters de Formación Profesional en Ciberseguridad y de Big Data & e Inteligencia Artificial. Como ya os conté en Octubre del año pasado, este año soy el padrino de la promoción de estos Másters en la UNIR, y me animé a estar un rato con ellos en la presentación de los programas, junto con los directores de los dos másters que se presentaban.

Figura 1: Una entrevista en Open EDIX en la presentación
del programa de másters de FP

La presentación fue muy televisiva, con demostraciones en real del tipo de cosas que pueden aprender los alumnos en temas de Ciberseguridad, donde se vio un ejemplo de SQL Injection sobre nuestra querida DVWA (Damn Vulnerable Web Application), y el crackeo de hashes, o cómo entrenar un modelo de IA para reconocimiento facial de personas. Para que se entienda el tipo de prácticas que hacen los estudiantes de FP en estos Másters. En este primer vídeo, tenéis el programa completo.

Figura 2: Presentación Másters Open EDIX

Por otro lado, en mi parte recuperamos algunos momentos de conferencias mías, donde hablamos de la FOCA, de los ataques de SAPPO (Spear Phishing para robar Tokens OAuth), o del trabajo de crear tecnologías o dedicarse a la ciberseguridad. Aquí tenéis el vídeo de mi entrevista.


Fue un rato más que agradable, y el programa completo dura solo una hora, así que si tienes tiempo y ganas de verlo, aquí te lo dejo, que para los más jóvenes puede ser más que entretenido si están pensando qué estudiar en esa edad de FP.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  


jueves, marzo 24, 2022

La Unidad: Los drafts de e-mails para comunicación de terroristas

El pasado 18 de Marzo se estrenó la Temporada 2 de La Unidad, una serie que han hecho los compañeros de Movistar+ junto con Buendía Producciones, y donde los protagonistas son una unidad antiterrorista asentada en Madrid, pero con visión internacional. La primera temporada me encantó, así que desde que salió la segunda temporada la tenía apuntada para verla, y hoy quería comentar con vosotros un detalle en un capítulo que me encantó.

Figura 1: La Unidad: Los drafts de e-mails para comunicación de terroristas

Y es que en el capítulo tercero de la segunda temporada de La Unidad, hay un momento en el que un miembro del comando terrorista de dos que están actuando como lobos solitarios, decide comunicarse con la cabeza de la organización que está planeando la operación. En este momento se ve que abre un correo electrónico no convencional, llamado MailSOME.

Figura 2: Correo MAILSOME usado por el terrorista de La Unidad

No usan Gmail, Hotmail o ninguno otro conocido. Y en ese momento volvió a mi cabeza el manual con recomendaciones de seguridad para comandos de ISIS que publicó la revista Wired, donde explicaba qué medidas debían tomar los comandos para evitar ser detectados. 

Figura 3: Servicio ProtonMail recomendado en el manual de ISIS

Lo de utilizar un servicio de correo no convencional - y menos de una empresa tecnológica de USA - parece muy evidente para evitar cualquier espionaje que se produzca en virtud de lo que debería preocupar a un personaje como el que interpreta la actriz en ese momento, ya que cuando vimos las filtraciones de Edward Snowden parece que entre el Patriot Act y el programa PRISM, "podría ser" que accedieran a él

Figura 4: La lista de empresas tecnológicas sujetas a PRISM

Pero no solo importa el servidor, sino el trafico del mismo mediante los protocolos de comunicación entre diferentes servidores de correo electrónico, ya que el uso de SMTP con MTLS el no uso de firma digital, y las filtraciones donde se veía el program Muscular y cómo la NSA planteaba saltarse las protecciones de Google para acceder a los mensajes..

Figura 5: Explicación de Muscular de la NSA para espiar Gmail

Así que, para evitar que los servicios de seguridad - ya sean NSA - o los servicios de ciberinteligencia de otro país, que en el caso de la serie de La Unidad es España, el personaje que hace de terrorista decide utilizar un truco que es un viejo conocido en la época en que los terroristas se conectaban utilizando los famosos cibercafés, que no es nada más que utilizar un Draft.

Figura 6: En la pantalla de la terrorista de La Unidad
se puede ver que es un Draft

El mecanismo es sencillo, dos personas acceden a la misma cuenta de un WebMail utilizando las mismas credenciales, pero desde dos sitios distintos, y como el servidor va guardando en la carpeta de borradores el mensaje antes de ser enviado, se puede ir consultando ese mensaje de forma distribuida y ver lo que cada uno va agregando.

Figura 7: El draft se actualiza con lo que escribe
otro usuario del correo electrónico en remoto.

Esto, lo puedes probar tú de forma muy sencilla con dos ventanas de tu cliente de Gmail, por ejemplo, y escribiendo un correo electrónico nuevo que no envías nunca a nadie, en la otra pestaña, en la parte de Drafts tendrás una copia con las actualizaciones. Y puedes escribir en las dos ventanas, sobre el mismo correo, porque al final se sincroniza en las dos vistas del mismo documento en el servidor. 

Figura 8: Lo puedes probar tú en dos navegadores con Gmail

Supongo que para alguien que está viendo este capítulo en su casa, y ve esta escena, el resultado es simplemente "que se ha conectado con su jefe por Internet", pero mí, que conocía esta historia bien, me ha resultado un detalle de calidad que me ha gustado. Al final, esta serie toca un tema muy delicado, donde la tecnología ha sido y es clave, por lo que los detalles de cómo se usan las herramientas tecnológicas en la trama marca la diferencia de calidad. Por cierto, más que recomendada por mi parte la serie.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)