"Put your ETA where your mouth is"

Hay una frase muy típica en el mundo de los programadores que utilizamos siempre en nuestros hackathones que es "Pon tu código donde pones tu boca" (Put your code where your mouth is") o lo que es lo mismo, enséñame tu código y no me digas lo bueno que eres. Así, en las presentaciones de los proyectos no se permitían presentaciones en PPT, y solo demos con código. Una buena forma de incentivar el delivery.

Figura 1: "Put your ETA where your mouth is"

Y basándome en esa idea estaba hablado con un compañero sobre conducir, que es algo que yo no suelo disfrutar demasiado, y el mundo de las rutas. La pregunta era si las ETA (Estimated Time of Arrival) en los GPS tipo Google Maps o Waze, que lo hacen siempre basado en tu forma de conducir, lo hacen a sabiendas de que te están dando un ETA por encima de los límites de velocidad en las carreteras que tienes que cubrir.

Figura 2: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

Es decir, si tu ETA dice que vas a llegar a una determinada hora, pero saltándose todos los límites de velocidad en las carreteras por las que tienes que pasar. Sí, esas son nuestras conversaciones habitualmente. Por supuesto que se hace uso de Machine Learning con tu historial de datos además de datos de tráfico en tiempo real, pero que pasa  si el que conduce es el Señor Lobo de Pulp Fiction, que acuñó esta famosa frase:

- "It´s 30 mins away. I'll be there in 10. I drive real fast".

La pregunta, ¿le mostrará el Waze al Señor Lobo 30 minutos de ETA o le enseñará 10 minutos de ETA?. Mi argumento es que puede que 10 sea lo más "accurate" en la realidad de ese usuario, pero mostrarle 10 minutos en el ETA es casi como gamificar la ruta y hacer como en los simuladores una carrera contra tu "ghost", lo que incentivaría una competición por batir el ETA (algo muy común en los conductores gamers), cometiendo infracciones de tráfico y poniendo en peligro a los demás.

La competición con el Señor Lobo

No tengo toda la información, pero hicimos una prueba muy sencilla mi querido contertulio de la charla. Sentados juntos tomando un escocés sacamos nuestro Waze y los dos pusimos la misma ruta. Y está claro que su afirmación de que él conduce muy rápido y que yo conduzco como una tortuga tiene su representación directa en los ETA.

Figura 3: El ETA de la ruta para mí: 1h y 59mina

En el de arriba se puede ver que a mi compañero le ha mostrado un ETA que es 9 minutos inferior al mío. Para que quedara clara la dirección pusimos una ruta larga, para que la diferencia de velocidad se notara claramente. 

Figura 4: Ruta del Señor Lobo. Misma distancia.

Mismos peligros. Misma ruta. Misma hora. 

9 minutos menos que la mía.

Por supuesto, como prueba curiosa podéis hacerla con amigos, pareja, compañeros de piso, compañeros de conducción, etcétera. Que te enseñen su ETA antes de subirte a un coche con un mal conductor, o que cuando alguien diga que conduce rápido, que ponga su ETA donde pone su boca. Y luego, por supuesto, queda la duda y el debate de si es bueno que pongan ETAs superiores a los límites de velocidad o si deberían limitarlos para incentivar una conducción correcta. ¿Opiniones?

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Beloo: La app de seguridad para ciclistas que informa dónde están cuando usas un navegador

El mundo del ciclismo está en constante evolución, y la tecnología juega un papel cada vez más crucial en cómo vivimos nuestras aventuras sobre dos ruedas. Hoy te presentamos Beloo, una solución innovadora que conecta a los ciclistas con el entorno vial de forma segura y eficiente.

Figura 1: Beloo: La app de seguridad para ciclistas que informa

dónde están cuando usas un navegador

Ciclistas visibles para conductores: Beloo permite que los datos de ubicación sean accesibles en aplicaciones de navegación, notificando a los conductores sobre la presencia de ciclistas cercanos.

¿Qué es Beloo?

Beloo es una plataforma diseñada para mejorar la seguridad de los ciclistas y su integración con el tráfico diario. Gracias a nuestro sistema de posicionamiento en tiempo real, los usuarios pueden compartir su ubicación de forma continua, lo que ayuda a crear un entorno vial más seguro, tanto para los ciclistas como para los conductores.

Figura 2: Conductores informados de dónde están los ciclistas que usan Beloo

Con actualizaciones constantes, Beloo está transformando el ciclismo, haciendo que sea más seguro y conectado, no solo para los aficionados, sino también para quienes usan la bicicleta como su medio de transporte principal.

Notificación de ciclistas en Navegadores

Recientemente, hemos dado un paso gigante al comenzar a integrarnos en todos los navegadores. 

Figura 3: Visualización de ciclistas Beloo

Ahora, los datos en tiempo real de los ciclistas que usan Beloo estarán disponibles en la plataformas de navegación. Esto significa:

• Más seguridad para los ciclistas: Los conductores podrán ver la ubicación de ciclistas cercanos en tiempo real mientras navegan, ayudando a prevenir accidentes y fomentando la convivencia vial.

• Visibilidad mejorada: Al aparecer en los navegadores, los ciclistas pasan de ser invisibles en el tráfico a estar claramente identificados, aumentando el respeto mutuo en la carretera.

• Construyendo ciudades más seguras: Esta integración no solo beneficia a los ciclistas, sino también a las ciudades, que buscan soluciones para la movilidad sostenible y la seguridad en el tráfico.

¿Por qué es tan importante?

En un mundo donde los accidentes de tráfico afectan tanto a ciclistas como a conductores, la integración de Beloo con los navegadores representa un gran avance para la seguridad víal. Esta forma de compartir datos no sólo mejora la seguridad en tiempo real, sino que también refuerza el rol de la tecnología en la movilidad moderna.


Figura 4: Funcionamiento de Beloo
El futuro está en conectar nuestras vidas con la tecnología, y este es un ejemplo perfecto de cómo podemos usar datos en tiempo real para mejorar la convivencia en nuestras calles y carreteras. La unión de Beloo con los navegdores no sólo conecta aplicaciones, sino que también conecta personas: ciclistas, conductores y una comunidad comprometida con un objetivo común, la seguridad vial.

El futuro de Beloo

Este hito es solo el comienzo. Beloo está explorando nuevas integraciones con otras plataformas de navegación y expandiendo su alcance a nivel global. Además, seguimos desarrollando funciones premium para nuestros usuarios, como notificaciones avanzadas y análisis de rutas en tiempo real.

Figura 5: Servicios para ciclistas que usan Beloo

Si eres ciclista o simplemente te interesa cómo la tecnología puede cambiar el mundo, este es un proyecto que vale la pena seguir de cerca. Beloo no sólo pone a los ciclistas en el mapa, sino que los hace parte de un ecosistema conectado y seguro.

Descárgala gratis aquí.

Un saludo,

Autor: Adrián Rincón López, CEO y Fundador de Beloo.

Contactar con Adrián Rincón López

IPv6 Council Madrid 2024: Una charla sobre despliegue, seguridad y hacking en redes IPv6

Durante la pasada OpenExpo Europe 2024, donde cómo podéis ver sucedieron muchas cosas, como la presentación del libro de Hacking Web3: [New] Challenge Acepted! o la mesa de debate con INCIBE sobre el programa de capacitación en ciberseguridad para empresas, también participé en el IPv6 Council MeetUp que este año se realizó dentro de OpenExpo Europe 2024, y donde estuve con Carlos Ralli, Fran Gómez, o Rafa Sánchez, entre otros ponentes.

Figura 1: IPv6 Council Madrid 2024 - Una charla sobre

despliegue, seguridad y hacking en redes IPv6

La verdad es que estuvo todo superbien organizado y he de felicitar a estos tres compañeros de muchas batallas por su trabajo en empujar IPv6 en el mundo de la empresa, donde además ellos en primera persona llevan muchos años trabajando.

Figura 2: Contactar con Carlos Ralli Ucendo

Si quieres colaborar con ellos, puedes contactar con Carlos Ralli, Fran Gómez, o Rafa Sánchez, que todos ellos tiene su buzón en MyPublicinbox, y así ser parte de este movimiento que intenta empujar el uso de IPv6 para mejorar la seguridad de las redes que tenemos hoy en día.

Figura 3: [2024] Chema Alonso en el IPV6 Council

La sesión de preguntas y respuestas no está grabada entera, pero uno de los asistentes la grabó, y la he subido a mi canal youtube en dos formatos. El que tienes arriba por si la quieres ver la televisión en un monitor "horizontal", y el que te dejo al final del artículo por si la quieres ver en "vertical".

Figura 4: Contactar con Fran Gómez

Como os podéis imaginar, hablamos de este libro que escribimos para los que se adentran en este mundo del hacking y auditoría de redes IPv4 e IPv6 - que a veces se hace menos común para muchos jóvenes pentesters - y que va ya por la 4ª Edición.

Figura 5: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

El libro lo lanzamos inicialmente en Informática 64, y lo hemos ido actualizando periódicamente en 0xWord. Tiene mucho de ataques en redes IPv4, pero explica también lardo y detallado el funcionamiento de IPv6, que sigue siendo uno de los talones de Aquiles de muchos jóvenes que vienen a entrevistas de trabajo. Cuando les pido que me expliquen cómo se hace un ataque de man in the middle en IPv6 no todos están sueltos para explicarme las diferentes alternativas.

Figura 6: Índice del libro "Ataques en redes de datos IPv4&IPv6 (4ª Edición)" 

Aquí tienes el índice del libro de Ataques en redes de datos IPv4&IPv6 (4ª Edición), que además tiene 100 Tempos gratuitos en todas las compras que puedes utilizar para consultar dudas a través de MyPublicInbox, donde estamos Pablo González y yo. En esta edición he hecho un pequeño prólogo, y lo mejor es que los ataques de man in the middle siguen estando tan de actualidad como siempre, que aún seguimos jugando con el Network Packet Manipulation en muchos entornos...

Figura 7: Contactar con Rafa Sánchez

Por último, os dejo la grabación original en vertical, por si quieres ver la en un terminal móvil, aunque esto no es muy Generación X, pero si eres de la siguiente, todo tuyo.

Figura 8: [2024] Chema Alonso en el IPV6 Council [vertical]

Y eso es todo por hoy domingo que, recordad, hay un partido esta noche entre España e Inglaterra que sólo puede acabar de una manera posible...(esperamos).

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

iPhone: El "bypass" del acceso guiado que lleva a tus fotos íntimas ocultas y cómo protegerlo

Hoy os quiero hablar de un conjunto de características de privacidad en iPhone que tenemos disponibles en la última versión de iOS que si no configuramos correctamente nos pueden dar una falsa sensación de seguridad y llevar a que tus fotos más íntimas queden en manos de quién no quieres, así que dejadme que os cuente la historia completa, el problema y cómo debes configurar tu sistema operativo iOS, tus fotos y tu privacidad. Vamos a ello.

Figura 1: iPhone: El "bypass" del acceso guiado que lleva

a tus fotos íntimas ocultas y cómo protegerlo

Para ponernos en situación, lo que vamos a meter en esta coctelera son los siguientes elementos de privacidad en iPhone que debes conocer antes para luego ver el problema en su conjunto, hasta que lleguemos a la solución.

1- Album de Fotos Ocultas 

 

2.- Acceso Guiado 

 

3.- Permisos de acceso a fotografías en Apps

Estas tres opciones están incluidas en el sistema operativo iOS para que se cumpla eso que decía el anuncio de iPhone de: "Lo que pasa en tu iPhone se queda en tu iPhone", al menos hasta que haya un 0day que diga lo contrario. Vamos a verlas en detalle.

Album de fotos ocultas

En el carrete de fotos de iOS se pueden marcar fotografías como "hidden" u "ocultas" para que no salgan mezcladas entre las demás fotografías del álbum de fotos. Si has hecho algún análisis forense de un smartphone - tal y como se explica en el libro de Hacking iOS (iPhone & iPad) 2ª Edición - sabrás que en esa carpeta suelen estar las fotos más sugerentes y personales.

Figura 2: Libro de Hacking iOS (iPhone & iPad) 2ª Edición

Para ocultar una fotografía solo hay que seleccionarla y darle al icono de opciones, y seleccionar la de "Ocutar" o "Hide" en inglés. Automáticamente esta fotografía dejará de estar disponible en el carrete y solo podrá estar en la carpeta de "Ocultas" o "Hidden".

Figura 3: Ocuttar fotos en iOS de iPhone

Por supuesto, los usuarios acostumbrados a iPhone lo primero que hacen es mirar cuántas fotos ocultas hay en esa carpeta cuando tienen la ocasión de ver el carrete de alguien al que quieren controlar o espiar, ya que dice si hay alguna o no en él.

Figura 4: 3 Fotos en el album Hidden

Como eso era un problema de privacidad para la gente, Apple decidió añadir una opción de privacidad en las Settings del sistema que permite ocultar la carpeta "Oculta" o "Hidden" en el carrete de fotos, de tal manera que si está activada y alguien va al carrete verá que no existe esa carpeta. Hay que irse a las Settings para volver a visualizarla.

Figura 5: Ocultar la carpeta Hidden en la lista de álbumes

Por supuesto, si vas al carrete y no ves la carpeta de fotos ocultas en la lista, ya sabes que se ha ocultado, así que podrías ir a las Settings y volver a activarla y ver lo que hay.

Figura 6: A la izquierda carpeta Hidden sin ocultar a la derecha oculta

Es decir, con estas opciones de privacidad se nos queda corto. Y por eso de metió la siguiente opción de privacidad.

Acceso Guiado

Con esta opción se puede activar un modo "mono-app" para iPhone que no permite cambiar de app mientras esté activo. La idea es tan sencilla como que tú quieres enseñarle una fotografía, o una cosa de una app a alguien y le vas a dejar el iPhone (sudores fríos). 

Figura 7: Activación del Acceso Guiado en iPhone

Entonces lo que haces es activar el Acceso Guiado. Para ello, primero debes tenerlo habilitado en las opciones de Accesibilidad. Luego, cuando activas el acceso guiado en cualquier app abierta (pulsando tres -3- veces en el botón de encendido), se bloquea esa app en pantalla, y ya no se puede salir de ella. 

Figura 8: Bloqueo de WhatsApp con Acceso Guiado

Pero las apps son muy peligrosas y tienen acceso a muchas cosas, entre otras cosas a fotografías. Así que si bloqueas con Acceso Guiado WhatsApp y la persona pulsa en el teclado, selecciona fotografía, podrá entrar en el carrete al que tenga acceso.

Figura 9: Desde WhatsApp se puede acceder a todos los álbumes

(incluido Hidden incluso si la carpeta está oculta en las Settings)

Y lo curioso de todo esto es que, si le da arriba a la izquierda a Álbumes dentro de la propia App de WhatsApp, podrá ver todos los álbumes. Y cuando digo todos, son todos, incluyendo el de fotos ocultas. Es decir, podrá hacer un "bypass" de tu Acceso Guiado para ir al carrete de fotos, y no solo a las fotografías, sino también a las Fotografías Ocultas aunque hubieras ocultado esa carpeta. Y cuando digo el de Fotos Ocultas quiero decir incluyendo el de Fotos Ocultas aunque hayas Ocultado el álbum de Fotos Ocultas en la Configuración del sistema operativo.

Figura 10: WhatsApp con acceso restringido a fotos

Así que todas tus Apps que tengan acceso a las fotos, y todos los usuarios que tengan acceso a una app que tenga acceso a tus fotos, podrán entrar a ver las Fotos Ocultas de esta forma.Y por eso es fundamental aplicar bien la siguiente y última opción de seguridad y privacidad, de la que ya hemos hablado hace no demasiado. 

Permisos Granulares en fotografías

Cuando Apple actualizó el sistema operativo iOS con esta opción yo me quejaba de lo incómodo que era dar permisos sobre fotografías a una determinada app. Las opciones para dar permisos a las fotos son tres: 1) Acceso a todas las fotografías. 2) Acceso a ninguna fotografía. 3) Acceso a algunas fotos seleccionadas. 4) Add Photos Only - para algunas apps como permiso más granular-.

Figura 11: Permisos de acceso al carrete para apps

Esto lo puedes configurar desde las opciones de configuración del sistema operativo iOS, pero ir a configurar cada vez que quieres añadir una nueva foto a una app los permisos es un dolor. Así que ahora lo han arreglado y está mejor.

aa

Figura 12: Instagram sin acceso a fotos.

(Aparece la opción de Manage)

Por ejemplo, en el caso de Instagram yo seleccionada la opción de "Selected Photos", pero realmente no tengo ninguna seleccionada. Cuando quiero publicar algo, puedo utilizar la opción que Facebook ha incluido en la app de Instagram para llamar a la herramienta de iOS para configurar los permisos de esa app, lo que me permite añadir la foto que quiero en ese momento y usarla en la app.

Figura 13: Desde la App se puede acceder a la gestión

de permisos sobre las fotos de forma granular.

Después, cuando quiera publicar otra foto, puedo darle de nuevo a la opción de "Manage" y quitar el permisos sobre la anterior y darle permiso sobre la nueva. Así, de forma sencilla das acceso a cada app a una solo fotografía cuando la vayas a utilizar.

Figura 14: Desde la app se pueden seleccionar las fotos

Visto todo esto, y pensando no solo en que sea un usuario malicioso el que vulnere tu privacidad - que ya podrá buscar otros muchos medios y momentos - sino que una app se convierta en una Gremlin App, mi recomendación es que dejes todas las apps con permiso solo a "Selected Photos" y le des acceso una a una cuando vayas a utilizar esa fotografía. Y el resto, protegidas lejos de las apps.

Figura 15: Reduce los permisos de acceso a fotos a todas las apps

Si las apps no tienen acceso a las fotografías más que a las seleccionadas, y le dejas una app con Acceso Guiado, no podrá gestionar el acceso a nuevas fotografías, ni irse al carrete de fotografías por fuera, ni a la configuración del sistema, así que, los accesos de las Apps a tus fotografías no serán un agujero de privacidad para llegar a tus Fotos Ocultas.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso) - Consigue 100 Tempos en MyPublicInbox

Qué no te debes perder la próxima semana: Big Data, Ciberseguridad, Hacking & AI

La próxima semana en mi calendario está que echa fuego. El número de actividades que tengo es alto, y voy a participar en tres eventos. Dos de ellos son por invitación privada, como es el ElevenPaths Global Security Summit, que tendrá lugar durante toda la semana en Madrid y al que vienen muchos partners y clientes. Y el evento de partners de Amazon, que tendrá lugar el día 15 en Madrid - también por invitación -. El tercero y último será el LUCA Innovation Day, al que aún te puedes sumar, pero solo por streaming.

Figura 1: Qué no te debes perder la próxima semana.
"Big Data, Ciberseguridad, Hacking & AI"

Estos son las citas que tengo marcadas en mi calendario para que no te pierdas nada de lo que yo pueda recordarte y te encaje. Toma nota:

14 de Octubre: Cyber Pyme Day [Madrid] [G]

El primero es este evento que reúne a expertos de diferentes sectores para dar su visión sobre soluciones aplicadas a PYMES en el mundo tecnológico y de seguridad. Claudio Chifa participa como nuestro Chief Security Envoy de ElevenPaths. Tendrá lugar en la calle Cifuentes de Madrid. Puedes apuntarte aún en su web.

Figura 2: Cyber Pyme Day

16 de Octubre: LUCA Innovation Day [Madrid] [Streaming] [G]

El registro para asistir al LUCA Innovation Day de forma presencial en Madrid ya está cerrado. Y los grupos para las visitas y demos que vamos a hacer en torno a las Living Apps también están completos, pero aún puedes asistir en directo vía Streaming. Puedes apuntarte a este evento, donde yo daré la primera sesión, en la web de registro para ver online el evento.

Figura 3: LUCA Innovation Day 2019 por streaming

17 de Octubre: 5ª Edición de Big Data & AI Congress [Barcelona]

El congreso de referencia sobre Big Data & AI, organizado por Big Data CoE Barcelona, celebra su 5ª edición como punto de encuentro entre profesionales, proveedores y empresas que quieren o están realizando proyectos en el ámbito Big Data. Un espacio para explicar qué se está haciendo en Barcelona y el resto del mundo en el ámbito de Big Data & AI, combinando experiencias del centro y de sus colaboradores.

Figura 4: 5ª Edición Big Data & AI Congress en Barcelona

17 de Octubre: Ciberdefensa Militar [Online][G]

La dinámica pretendida contempla el tratamiento de la ciberdefensa en los tres niveles de la conducción, abordada ésta tanto con una visión militar como privada, siendo cada sesión iniciada con una introducción al tema, seguida de una exposición referente a la ciberdefensa en el nivel considerado, primeramente, en el ámbito militar y posteriormente, en el ámbito privado, finalizando con un debate abierto, moderado y coordinado bajo la plataforma Webinar. 

Figura 5: Sesión 3 del Webinar de Ciberdefensa Militar

18 y 19 de Octubre: Tizona Congreso de Seguridad [Burgos] [G]

Este congreso cuenta con la participación de varios de varios Chief Security Envoys de ElevenPaths, y autores de libros de 0xWord.  En orden de aparición participan: Juan Francisco Bolívar,  autor del libro de Infraestructuras Críticas y Sistemas Industriales: Auditorias de Seguridad y Fortificación, Andrés Naranjo y Amador Aparicio que escribió conmigo el libro de Hacking Web Technologies y con el que puedes contactar a través de su Public Inbox (Amador Aparicio).

Figura 6: Tizona, Congreso de Ciberseguridad en Burgos

20 de Octubre: Curso de Seguridad en Redes [Online]

Este curso online de 200 horas de formación, te proporciona los conocimientos necesarios a nivel conceptual y práctico para que puedas implementar en empresas y negocios, un sistema Integral de seguridad informática integral y perimetral. Desarrollarás y adquirirás habilidades prácticas para la realización de Instalaciones y supervisión de redes de datos, mejorando y manteniendo la seguridad de las mismas. Conocerás los diferentes tipos de sistemas de Seguridad, aprenderás a implantar un sistema de red seguro basado en configuraciones correctas y adaptando la Red corporativa a un nivel seguro. Con este curso, podrás realizar sin problemas auditorías de Seguridad con su correspondiente informe de Red, además de conocer los métodos para realizar una auditoría de Red basada en un Sistema de Gestión de la Seguridad (SGSI).

Figura 7: Curso Online de Seguridad en Redes

Este curso se ha definido en un 75% de práctica y 25 % de teoría, lo que te facilitará mucho el aprendizaje y el aprovechamiento máximo de conocimientos. Crear correctamente con toda la documentación necesaria una Red de datos corporativa. Aprender a Configurar correctamente dispositivos perimetrales, de forma segura y con un funcionamiento correcto dentro de una Red de datos Corporativa. Formar técnicos de Seguridad en Redes en el tema de seguridad de la información. 

Figura 8: Libro "Infraestructuras Críticas y Sistemas Industriales.
Auditorías de Seguridad y Fortificación" de 0xWord.

Además, todos los asistentes recibirán como complemento de esta formación el libro de 0xWord de "Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación" que complementa todos los conocimientos aprendidos. Tienes más información en la web del Curso de Seguridad en Redes. 

Nota de Chema Alonso: Si quieres completar esta formación, merece mucho la pena que te leas el libro de "Ataques en redes de datos IPv4 & iPv6 2ª Edición".

Figura 9: Ataques en redes de datos IPv4 & IPv6 2ª Edición

Y esto es todo lo que tenemos para esta semana que tenga que ver con nuestras cosas. Espero que alguna de estas la complementes con música, cine, deporte y tiempo en familia. En Netflix tienes el documental de Bill Gates que es muy interesante. En el cine, Joker - que a mí me ha encantado -, y en cuanto a música, siempre hay alguna banda cerca que se toque unos acordes. Así que, a buscarla.

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

WhatsApp mejora la privacidad y evita el desbloqueo de contactos bloqueados (y el trolling)

En estos días WhatsApp habrá mejorado bastante bien la privacidad de los usuarios de la herramienta añadiendo un par de opciones bastante interesantes. Yo mantengo un artículo que actualizaré con estas opciones añadidas recientemente de "Cómo Proteger WhatsApp a prueba de Balas". No es que sean nuevas en el mercado de apps de mensajería, y la verdad es que éramos muchos los que las pedíamos desde hace bastante tiempo, pero al menos es bueno tenerlas ahora disponibles.

Figura 1: WhatsApp mejora la privacidad y evita el desbloqueo de contactos bloqueados (y el trolling)

Alguna de ellas, en concreto la utilizamos nosotros para crear un servicio llamado desbloquéame que hicimos como PoC (nunca publicado), pero que explicaba porque eran tan importantes. Os las cuento en detalle.

Protección de apertura de WhatsApp con Biometría

Una de las opciones que pedían muchas personas era que se pudiera bloquear la apertura en primer plano de la app con opciones biométricas. Ya tiempo atrás WhatsApp añadió la opción de Two-Steps-Verification pero como expliqué no era la mejor opción, ya que se había convertido en una One-Step-Verification si resultaba que la dirección de e-mail que protegía el PIN de WhatsApp como forma de recuperarlo tenía asociado el número de teléfono en el que está WhatsApp.

¿Por qué?

La idea es que el Two-Step-Verification de WhatsApp pide un PIN y si la persona tiene acceso al teléfono, podría pedir la recuperación de la contraseña del e-mail con un SMS que le diera acceso al e-mail para pedir una recuperación del PIN como Two-Step-Verification de WhatsApp para que llegue al correo de e-mail. Es decir, que si un atacante se encuentra con la posibilidad de manipular el terminal podría acceder a WhatsApp incluso con un Two-Step-Verification.

Figura 2: FaceID protection en WhatsApp

Con biometría, esto cambia. En el caso de iPhone se ha añadido TouchID y FaceID para los nuevos modelos y se puede configurar para que cada vez que se abra la app de WhatsApp se pida la verificación biométrica de la persona que quiere leer los mensajes. Y funciona de maravilla.  Si FaceID o TouchID falla, entonces te pide el passcode del smartphone, lo que es igual de bueno.

Opciones de Protección contra inclusión en Grupos

Probablemente todos los usuarios de WhatsApp han sido integrados alguna vez en un grupo de WhatsApp sin desearlo. Alguna vez ha sido una molestia puntual, otra ha sido un trolleo de gente que utiliza esto para molestar a las personas, y otras veces para conseguir que una persona bloqueada pueda enviarle mensajes al bloqueante, tal y como explicamos en la PoC de Desbloquéame.

Figura 3: PoC de Desbloquéame

La idea es bastante sencilla. Una persona A bloquea a una persona B. Esta persona A le pide a un servicio en Internet que usa un número C que le desbloquee. Este servicio, utilizando un número virtual como los que se consiguen en la red crea un grupo en el que mete a la persona A y la persona B. Le da acceso a la persona B y entonces B puede enviar mensajes a la persona A otra vez, a través del grupo.

Figura 4: Opciones de Telegram para protegerse contra grupos indeseados

Esto es así, porque dos personas, aún estando bloqueadas, pueden comunicarse a través de grupos. En Telegram la persona A podía controlar esto con las opciones de grupo, y esto es lo que ha añadido también WhatsApp.

Figura 5: Opciones de seguridad en Groups

En las opciones de Privacidad -> Grupos se podrá restringir (Aún está en fase de despliegue en todo el mundo) quién te añade a un grupo, con lo que un servicio como nuestro Desbloquéame se podría anular fácilmente eligiendo que solo te puedan añadir a grupos las personas que son contactos tuyos, o directamente nadie.

Portabilidad de Datos

Una opción de las que quería hablar hace tiempo es la opción de exportar los datos que WhatsApp tiene de ti. Es una opción que podéis solicitar y se recibirá un fichero HTML y otro JSON con los datos generales de la cuenta. No demasiada información, y por supuesto no insights. Pero al menos te permite ver parte de tus datos y llevártelos, como la lista de contactos.

Figura 6: Opciones de pedir un reporte de datos a WhatsApp

Y es verdad que si te quieres llevar las conversaciones, siempre puedes exportar un chat como un fichero en texto plano que te puedes llevar enviándote un correo electrónico.

El peligro de la exportación de Chats

Esta opción es justo una de las más peligrosas para la privacidad personal, ya que un descuido de 30 segundos, alguien entra en el chat y se envía toda la conversación a su correo electrónico, teniendo todos los mensajes para la lectura tranquila.

Figura 7: Opciones para exportar en 30 segundos un chat (con vídeos y fotos)

Es por eso, que la opción de añadir una protección de Two-Steps-Verification más la de protección con Biometría (FaceID o ToucID) es fundamental para evitar que te espíen el WhatsApp, así que más vale que las añadas.

Mensajes desde números virtuales y mensajes desde NO contactos

Por desgracia es bastante sencillo abrirse un número de teléfono virtual gratuito en Internet y usarlo para abrir una cuenta de WhatsApp. Esto permite a gente que disponga de anonimato para acosar y molestar a personas. Yo creo que Facebook debería bloquear estos números virtuales para que no pudieran abrir cuentas de WhatsApp, pero si lo quieren permitir, deberían añadir la opción de prohibir que te envíen mensajes personas que no estén en tus contactos. Así evitaríamos el problema de los mensajes que te envía gente que no está en tu lista de contactos.

Figura 8: Webs que ofrecen virtual numbers en Internet (For Free)

Por defecto WhatsApp no deja enviar mensajes a personas que no tienes en tu lista de contactos, pero sí que deja recibir mensajes desde personas que no están en tu lista de contactos. Eso sí, en Xataka explicaron un truco para enviar mensajes a personas que no tienes como contacto en WhatsApp, así que ya que nos podemos deberían arreglar los dos sentidos de la comunicación (más proteger el mal-uso de cuentas de WhatsApp generadas por números virtuales anónimos).

Saludos Malignos!

Docker: SecDevOps. El nuevo libro de @0xWord

Hoy sábado tenemos una nueva sorpresa en la colección de libros de 0xWord, en este caso un libro de Fran Ramírez, Rafael Troncoso y Elias Grande, todos viejos conocidos si eres un lector asiduo de este blog. El tema elegido es uno de los que probablemente marca la diferencia hoy en día entre los Administradores de Sistemas "clásicos" y los Profesionales de TI hoy en día. El mundo de las DevOps y los SecDevOps.

Figura 1: Docker: SecDevOps. El nuevo libro de @0xWord

El tema central es una de las tecnologías más utilizadas en los equipos de desarrollo de tecnologías modernas, como es Docker, y en este caso centrado en como aplicar técnicas de DevOps y de SecDevOps a ellas. Lo tenéis disponible a la venta en la web de 0xWord: Docker: SecDevOps

Figura 2: Libro de Docker:SecDevOps

Para que podáis ver el contenido completo de este libro de más de 200 páginas, os he subido el índice a mi canal SlideShare y lo tenéis embebido directamente aquí.

Figura 4: Índice del libro "Docker: SecDevOps" de 0xWord

Por supuesto, el libro está lleno de ejemplos y prácticas realizadas para hacer mucho más sencillo el inicio en este mundo de los nuevos profesionales.

Saludos Malignos!