Exprimir el Secure Edge: Webinars de Cloudflare en Directo durante Septiembre

El calendario de actividades de divulgación tecnológica es alto en Cloudflare, y una de estas actividades son los Webinars en directo. Cada mes puedes participar en nuevos seminarios que además incluyen las novedades de todo lo que se va publicando en el modelo de Innovación Continua que defiende y practica la compañía.

Figura 1: Exprimir el Secure Edge - Webinars de Cloudflare

en Directo durante Septiembre

Hoy os traigo la lista de los que están planificados para este mes de Septiembre, para que si tienes tiempo, puedas participar en alguno de ellos que si te interesa el mundo de las tecnologías de seguridad en el Edge y los sistemas de Zero Trust en arquitecturas de Secure Access Service Edge (SASE), seguro que lo vas a disfrutar.

Todos los Webinars en Septiembre

09: From Robotics to Remote Access: Implementing Zero Trust in an Era of Evolving Threats

"Retailers are juggling managing vast amounts of customer data, payment information, and supply chain networks across multiple locations and platforms, traditional perimeter-based security models are proving inadequate against sophisticated cyber threats.Join us for our webinar featuring Ocado Group's Technical Architect as he shares their real-world Zero Trust Network Access (ZTNA) deployment journey. 

Figura 2: From Robotics to Remote Access: Implementing

Zero Trust in an Era of Evolving Threats

From securing robotic warehouse systems and customer fulfilment platforms to protecting proprietary technology solutions and sophisticated automation, discover how Ocado Group implemented Zero Trust principles across their entire technology ecosystem."

10: 3 phases, 10 steps: Implementing a SASE architecture

"Cloudflare experts will walk you through a proven 10-step roadmap to successfully implement SASE across your organization. Drawing from real-world customer examples, we’ll explore how leading enterprises are scoping their Zero Trust projects, overcoming common roadblocks, and unlocking measurable improvements in agility and security."

Figura 3:  3 phases, 10 steps: Implementing a SASE architecture

10: Securing and scaling your cloud environment to support AI transformation

"Even the most innovative and well-built AI application won’t succeed if it lacks the right underlying cloud infrastructure. The right foundation enables strong data security, efficient connectivity between AI components, and cost-effective scale. The wrong one turns those same benefits into obstacles. This is doubly true for agentic AI, whose complexity introduces a whole new realm of security and scalability issues.

Figura 4: Securing and scaling your cloud environment to support AI transformation

How should organizations adapt their cloud environments to support AI scale and security — whether they have already made cloud investments, or are turning to the cloud for the first time? Forrester guest speaker Lee Sustar has extensive experience advising enterprises on exactly that question. Join our webinar to learn about: Common trends and challenges in how organizations make AI-focused cloud investments Lee’s advice for organizations tackling these challenges Cloudflare’s perspective on how a commodity cloud vs a connectivity cloud delivers competitive advantage with AI scaling."

17: Modernizing Security: Real World Stories of Zero Trust in Action

"Employees, applications, and infrastructure exist everywhere today – across regions, cloud environments, and hybrid work settings. To manage this sprawling attack surface, many organizations are modernizing security with Zero Trust best practices to reduce risk, simplify their architectures, and enable business agility.

Figura 5: Modernizing Security: Real World Stories of Zero Trust in Action

In this webinar series, Cloudflare spotlights customers making progress on that journey. Register now to join a conversation exploring successful real-world deployments, including:Priority use cases to get started and scale with Zero TrustCommon challenges and best practices to overcome themArchitectural strategies and technical capabilities, including roadmap previews."

18: Temporada alta de fin de año 2025: Maximiza ingresos y minimiza riesgos.

"¿Está tu infraestructura digital lista para afrontar la temporada alta de ventas de fin de año 2025 y el aumento de ciber-amenazas?Únete a nuestros expertos de Cloudflare para conocer cómo fortalecer la resiliencia digital de tu negocio durante la época más exigente del comercio minorista.Compartiremos estrategias prácticas para retailers que se están preparando para los picos de tráfico del Buen Fin, Black Friday, Cyber Monday y la temporada navideña, en un contexto donde las amenazas evolucionan constantemente: desde ransomware que impacta operaciones e inventarios, hasta ataques dirigidos a APIs o páginas de pago.En esta sesión de alto impacto te mostraremos cómo proteger tus ingresos, reducir riesgos y asegurar una experiencia de compra fluida durante tus días más críticos.

Figura 6: Temporada alta de fin de año 2025: Maximiza ingresos y minimiza riesgos

Aprenderás cómo:Escalar sin fricción durante aumentos repentinos de visitas, donde cada segundo cuenta para convertirDefenderte de bots avanzados, ransomware y ataques DDoS que apuntan a los días de mayores ventasEvitar fraude digital, robo de datos de pago y abuso de APIs en plataformas de checkout, inventario y logísticaImplementar estrategias tecnológicas que prioricen al comprador real y aseguren la información del cliente."

30: How Cloudflare can coexist alongside Zscaler to fast-track your remote access project

"Are you worried about doubling down with the wrong security vendor? Maybe you are using one vendor (like Zscaler) for web inspections, but the thought of a full-scale SASE rollout seems overwhelming, complex, and disruptive. The good news is you can start modernizing remote access immediately, without those concerns.Join this webinar to discover how Cloudflare can strengthen and simplify security, while coexisting seamlessly alongside your web proxy from vendors like Zscaler.

Figura 7:  How Cloudflare can coexist alongside Zscaler

to fast-track your remote access project

In particular, our experts will show how to take advantage of clientless deployments of ZTNA, DNS filtering, and email security to improve your posture — all without installing additional software on devices.With demos, architectural walkthroughs, and real-world customer examples, you will learn:Use cases that deliver quick time-to-value with minimal disruptionStep-by-step technical guidance to run Cloudflare in parallel with Zscaler Recommendations on when a best-of-breed approach makes sense."

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo montar tu (Open) VPN con PFSense de forma sencilla #PyMES #Teletrabajo

La irrupción de la pandemia en nuestras cambió muchas cosas. Una de esas situaciones fue el fortalecimiento del teletrabajo y la necesidad de las empresas a amoldarse a un trabajo remoto debido a las necesidades que todos conocemos y la imposibilidad de poder tener contacto entre nosotros. Todo esto produjo una situación en la que muchas empresas tuvieron que amoldarse y empezar a emplear recursos para poder llevar a cabo el teletrabajo.

Figura 1: Cómo montar tu (Open) VPN con PFSense de forma sencilla

En muchas ocasiones, se cometieron errores, ya que se empezaron a exponer servidores a Internet con todo el riesgo que eso podía conllevar. Las soluciones más factibles, incluso cómodas, sería la instalación de una VPN para una empresa, independientemente del tamaño de ésta. Una forma segura (si todo está bien configurado) de acceder a los recursos internos de la organización y de disponer de una trazabilidad sencilla de quién se conecta y cuando a la organización.

Figura 2: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

En el artículo de hoy vamos a mostrar como se puede montar una OpenVPN, la cual es una de las posibilidades que trae PFSense, para implementar una VPN. Si eres una persona que viaja mucho y necesitas conexiones seguras en diferentes ubicaciones puede interesarte este tipo de soluciones. Montar una VPN en tu casa no es algo complejo a día de hoy con algo de conocimiento básico. PFSense simplifica el proceso de creación de la CA, del certificado del servidor, de los usuarios, etcétera.

 
Entorno: Comenzando

El entorno que vamos a suponer en este ejemplo es el siguiente:

• Disponemos de una solución PFSense.
• Tenemos una red LAN donde tenemos una serie de máquinas y recursos.
• Tenemos una red WAN, la cual es Internet.

Lo que vamos a hacer es configurar en PFSense, el cual es el que se encuentra entre esa LAN y esa WAN filtrando el tráfico, es decir, actuando de firewall, para poder implementar la VPN en dicho punto. La herramienta de Package Manager que dispone PFSense permite instalar paquetes y demás funcionalidades que hacen de esta suite all-in-one una buena solución para muchos entornos. Para poder exportar los perfiles de OVPN vamos a hacer uso de la instalación del paquete openvpn-client-export.

Figura 3: Instalación del paquete openvpn-client-export

Ahora vamos a llevar a cabo la instalación del servicio de OpenVPN en PFSense. Nos dirigimos al apartado VPN y seleccionamos OpenVPN. Seleccionamos ahora “Wizards”, el asistente que simplificará el proceso de creación de todo lo necesario.

Figura 4: Libro de Hardening de Servidores GNU/Linux 4ª Edición

(Revisada y Ampliada) de Carlos Álvarez y Pablo González en 0xWord

Al acceder a “Wizards” empezamos en el paso 6 del proceso y nos solicita el tipo de autenticación con el que se van a autenticar los usuarios de la VPN. Puede ser una base de datos local de usuarios que mantenga PFSense o podríamos incluso integrarlo con un servidor RADIUS o LDAP. En este ejemplo, usamos la base de datos de usuarios locales.

Figura 5: Configuración de RAS

Al pulsar sobre siguiente llegamos al apartado de generación de CA. Es un apartado importante, ya que posteriormente podremos gestionar revocaciones de certificados de usuarios, entre otras cosas. Generamos la CA para el servidor de VPN, simplemente seleccionamos el tamaño de clave y el nombre que le daremos a la CA. Además, hay que indicar los típicos parámetros de país, ciudad, tiempo de validez, etcétera.

Figura 6: Configuración de la Certification Authority

Damos a siguiente y nos encontramos con la generación del certificado del servidor. Seleccionamos el tamaño de clave y rellenamos los parámetros anteriores (tiempo de vida, país, ciudad, etcétera). Si alguna vez has implementado una OpenVPN a mano con el uso de OpenSSL para generar CA y certificados o con easy-RSA, verás la diferencia al instante, ya que la GUI enmascara muchos pasos manuales que, aunque necesarios, podían ser tediosos.

Figura 7: Configuración del Certificado del Servidor

Ahora nos aparece un gran número de opciones dentro de la configuración del servicio de VPN. Hay que ir analizando cada opción. Opciones como:

• Puerto: Es recomendable utilizar un puerto alto para montar el servicio, en vez de utilizar el puerto por defecto (1194).

• Descripción de la VPN: Nombre descriptivo.

• Tipo de protocolo: Sobre el que la VPN funcionará (UDP o TCP) y sobre que protocolo de red IPv4 o IPv6.

• Opciones criptográficas: TLS Auth, TLS Key, el tamaño de DH, algoritmos criptográficos que se pueden utilizar, el algoritmo de digest, etcétera.

• Configuración de red: De esto hablaremos un poco más adelante.

Figura 8: Configuración General de la VPN

Llegados a este punto, nos fijamos en la configuración del túnel, es decir, la configuración de red. El direccionamiento que se otorgará a los clientes, por defecto 10.0.8.0/24, aunque esto se puede personalizar como se puede ver en la imagen. Este direccionamiento podrá tener acceso a la red LAN, si así lo decidimos. Como se puede ver un poco más abajo, tenemos que indicar la red de área local, en este caso la 10.0.0.0/24 y es con la que tendremos visibilidad.

Figura 9: Opciones de Tunneling

Además, podemos configurar los diferentes parámetros de red que los clientes de la VPN recibirán por parte del servidor como, por ejemplo:

• Direcciones de los servidores DNS (pudiendo ser el propio PFSense el servidor DNS).
• Dirección del Gateway.
• Dirección del servidor NTP.
• Wins Server.
• Opciones NetBIOS.

Después, nos encontraremos con la posibilidad de crear automáticamente la regla en el firewall para permitir las conexiones a la OpenVPN desde clientes que se encuentren en la interfaz WAN. Además, existe otra opción para crear una regla que permite todo el tráfico desde los clientes a través del túnel.

Figura10: Firewall y OpenVPN

Cuando acabamos el proceso, se nos crea una nueva interfaz en el firewall. Esta interfaz es la de OpenVPN (tendremos LAN, WAN, DMZ si la tuviéramos). En la interfaz de WAN deberíamos ver la regla creada que da acceso a la OpenVPN y el puerto que hemos seleccionado. Mientras que en la interfaz OpenVPN deberíamos ver también una regla que nos permite sacar el tráfico a través del túnel.

Figura 11: Regla del tunel

Una vez finalizado el proceso, vamos con la parte de usuarios. Lo primero que hay que hacer es ir a crear un usuario o los usuarios necesarios. Vamos al apartado System -> User Manager y aquí gestionaremos el alta y baja de los diferentes usuarios. No se ha comentado, pero en el proceso de configuración también se elige cómo se autenticarán los usuarios (contraseña, certificado, contraseña más certificado…). Hemos elegido, contraseña y certificado. 

Damos de alta un nuevo usuario, tendremos que darle un nombre, podemos meterlo en un grupo con privilegios en el firewall o no, y podremos configurarle una contraseña y, además, indicar que debe disponer de un certificado para la conexión con la VPN.

Figura 12: Certificado para la conexión

Bien, ahora que ya tenemos todo listo, nos vamos al apartado de VPN y OpenVPN y vamos a la aplicación que instalamos al principio para exportar perfiles. Veremos una opción que nos permite exportar el perfil en formato OVPN. Este perfil es el que utilizará el usuario concreto para conectarse a la VPN. 

Figura 13: Conexión VPN funcionando

En cualquier instante se puede revocar el certificado o eliminar el usuario de la base de datos, por lo que el acceso quedará inhabilitado. A continuación, importamos el perfil a un cliente OpenVPN, por ejemplo, en Windows, y vemos como se realiza la conexión por la interfaz WAN. A partir de entonces, tendremos acceso a los recursos de la LAN (que es la red 10.0.0.0/24).

Figura 14: Hacking Windows: "Ataques a sistemas y redes Microsoft"
de Pablo González, Carlos García y Valentín Martín.

Sin duda, PFSense es un All-in-one que proporciona muchas posibilidades y en temas de seguridad no solo se queda con la VPN. Hay que recordar que se puede instalar un IDS, proxy, AV, ciertos elementos que fortifican la infraestructura y desde un punto de vista accesible a muchos. Es importante asegurarse que las configuraciones son realmente seguras.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

PFSense: Un all-in-one con Fiewall, IPS, IDS, VPN y Proxy para fortificar tu red

La seguridad para evitar los Ataques en redes de datos IPv4 e IPv6, es uno de los campos más importantes  dentro de la fortificación de sistemas, ya que necesita de diferentes elementos para mejorar la protección. Elementos como un Firewall, un Sistema de Detección de Intrusiones (IDS), un Sistema de Prevención de Intrusiones (IPS), un Servidor de Redes Privadas Virtuales (VPN), un Proxy, etcétera. Estos elementos copan las redes de las organizaciones y son fundamentales para mantener la seguridad de la red.

Figura 1: PFSense - Un all-in-one con Fiewall, IPS, IDS,

VPN y Proxy para fortificar tu red

Las PYMEs también requieren de seguridad en red y es por esto que las soluciones all-in-one que se pueden encontrar pueden ayudarlas, y mucho, en fortificar su red y evitar que las amenazas del mundo digital se aprovechen de ellas. Ya sabemos que las PYMES son eslabones un poco más débiles, sobre todo cuando no hay conocimiento o concienciación sobre las amenazas del entorno. Para ellas la inversión en seguridad puede suponer un quebradero de cabeza y por esta razón soluciones como las denominadas all-in-one y similares pueden ser importantes.

Figura 2: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

En el artículo de hoy, hablaremos de PFSense y de un uso básico en la que a su firewall permite. Una forma sencilla, a través de una GUI de gestionar un firewall. No hace falta aprender el listado de opciones de iptables, que siempre es recomendable de aprender y conocer cómo funciona este mundo por debajo. Además, puedes aprender sobre iptables en el libro de Hardening de servidores GNU/Linux de 0xWord.

¿Qué es PFSense?

Lo primero que hay que indicar es que es una distribución que permite configurar una máquina como router y firewall, en primer lugar. Hay que indicar que aporta un gran número de servicios, la mayoría relacionados con la securización de la red. Desde disponer de servicios básicos de red para la organización como la implementación de un DHCP o un DNS hasta la posibilidad de montar un servidor VPN o una IPSec en el propio endpoint de PFSense.

Figura 3: Libro de Hardening de Servidores GNU/Linux 4ª Edición

(Revisada y Ampliada) de Carlos Álvarez y Pablo González en 0xWord

Funcionalidades como el despliegue de un Proxy, de un IDS o incluso de utilizar un AV para evaluar cierto tráfico es posible también con este all-in-one. En el artículo de hoy vamos a tratar la configuración básica de un entorno con PFSense y vamos a utilizar la parte básica del firewall.

Entorno de prueba de PFSense

Para conocer más sobre las posibilidades de este entorno vamos a proponer un escenario. A continuación, los elementos con los que vamos a jugar en esta pequeña prueba:

• PFSense: Máquina con la distro de PFSense. Tendrá tantas interfaces de red como redes queramos segmentar y definir. En este caso tendremos una red interna y una red externa (la externa simula Internet). Si quisiéramos simular un entorno: Internet, DMZ y red interna meteríamos tres interfaces de red sobre PFSense.

• Una máquina en la red Internet (con dirección IP 11.0.0.7).
• Una máquina en la red interna (con dirección IP 10.0.0.2).
• Las interfaces de red de PFSense serán 10.0.0.1 y 11.0.0.1.

Figura 4: Configuración de los interfaces de PFSense

En la imagen anterior se pueden ver las configuraciones de las dos interfaces de PFSense. Hay que tener en cuenta que, tras la instalación de PFSense, hay que definir las interfaces de red e indicar cuál es LAN y cual es WAN. WAN será la interfaz conectada con Internet directamente. LAN será la interfaz que refleja la parte conectada con la red interna. También podemos jugar con DMZ. Una vez instalado el entorno, observamos una pantalla dónde disponemos de diferentes opciones, entre otras:

• Asignación de interfaces.
• Configuración de una nueva interfaz.
• Diferentes formas de resetear el sistema.
• Visualización y filtrado de logs.
• Reinicio y apagado del sistema.

Figura 5: Opciones de configuración de PFSense

Si conectamos a través de un navegador web por la interfaz de red de la red interna podemos acceder al panel control web de PFSense. Desde ahí vamos a poder gestionar de manera más sencilla todo lo que se puede hacer desde la herramienta. Si vemos el menú superior podemos encontrar diferentes posibilidades:

• Ver información del sistema, versión, actualizaciones, etcétera.
• Configuración de interfaces.
• Configuración del firewall. Como se puede ver en la imagen todas las opciones que proporciona PFSense: VLANes, NAT, reglas, programación, etcétera.
• Servicios de red: DNS, DHCP, Wake-on-LAN, portal cautivo, etcétera.
• Configuración de la VPN: IPSec, L2TP y OpenVPN.
• Monitorización de los servicios.

Figura 6: Opciones de configuración del Firewall

Las posibilidades sobre PFSense son muchas. Además, existe un market dónde se pueden ampliar funcionalidades, como se comentó anteriormente.

 
Ejemplo 1: Haciendo PING desde red interna a Internet

Como primer ejemplo y entendiendo que en principio PFSense va a bloquear cualquier tráfico que circula entre la máquina situada en una red y en otra, vamos a ver cómo crear reglas en la máquina.

El punto de partida es que la máquina 10.0.0.2 (la que se encuentra en red interna) no puede hacer PING (ICMP) con la máquina de Internet. La política por defecto del Firewall es DROP, ya sea en NAT, ya sea en Filtering. Es decir, se deniega el paso de los paquetes a través del Firewall, salvo que haya alguna regla que indique lo contrario. Ahora nos tocará crear esas reglas.

Figura 7: Ping capturado por una regla DROP

Necesitamos crear una regla para permitir que la petición de PING (ICMP) salga de la red interna a la externa. Si nos fijamos en la siguiente imagen se va a ver que es sencillo indicar la acción (dejar pasar), la interfaz por la que llega el paquete (LAN), la interfaz por la que saldrá el paquete (WAN), el protocolo (ICMP) y el subtipo de mensaje (en este caso un ICMP echo request).

Figura 8:  Configuración de la regla para dejar pasar el Echo Request

En otras palabras, solo permitiremos que salgan los echo request de ICMP. La idea es que desde fuera (Internet) no puedan pasar el Firewall y hacer un PING (ICMP) a una máquina de la red interna, por lo que un echo reply no debe pasar de la LAN a la WAN. Ahora hay que configurar la regla contraria: desde la WAN debemos dejar pasar los ICMP con el tipo de mensaje echo reply.

Figura 9: Y ahora lo mismo desde el interfaz WAN

Todo lo trabajamos en la interfaz WAN, ya que LAN tiene una regla por defecto que es dejar pasar cualquier protocolo de arquitectura TCP/IP, por lo que las reglas se aplicarán en la interfaz WAN.

Este es un ejemplo con PFSense de lo que uno se puede montar en casa o en entornos laborales pequeños o medianos. Poco a poco iremos viendo algunos ejemplos más, donde se añadirá, por ejemplo, una red DMZ con servicios e iremos acercándonos a un entorno más real. Si quieres aprender sobre seguridad en redes, monta tu laboratorio con máquinas virtual.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

WhatsApp: Cómo pueden saber dónde vives por pulsar un enlace de un "Status" #WhatsAppStatus #WhatsApp #Privacidad

Es conocido que si te conectas a un sitio web, tu dirección IP puede ser registrada y analizada. Y esta dirección puede dar información de tu ubicación - más o menos certera -. Esto sucede en todos los servicios que permiten compartir URLs y esta dirección IP que los sitios web pueden capturar y analizar, apunta, más a o menos, al lugar donde te encuentras, salvo que hagas uso de la red TOR, utilices una VPN o un Proxy que haga anónima tu conexión.

Figura 1: Cómo pueden saber dónde vives por pulsar un enlace de un WhatsApps "Status"

Algunas aplicaciones te avisan del peligro de esta redirección, pero otras muchas aplicaciones como Twitter, Telegram, Instagram o WhatsApp, no lo hacen. En este artículo explicamos cómo poder explotar la información que muestra el histórico de visitas de nuestro ESTADO de WhatsApp (WhatsApp Status), qué contactos de WhatsApp y cuándo lo han visualizado, lo que puede ser un problema para la privacidad del uso que haces de WhatsApp, así que toma nota. 

Ya hace años, los chicos de SecurityByDefault publicaron un ejemplo de cómo utilizar la carga automática de imágenes en la previsualización de los mensajes de WhatsApp  en los chats para capturar la dirección IP de un contacto. WhatsApp  y Telegram corrigieron esto para que no sea el destinatario del mensaje sino el emisor, el que cargue la imagen de previsualización, precisamente por privacidad.

Figura 2:  Previews generados de forma segura

para evitar captura de dirección IP

Como vamos a ver, a partir de recoger las conexiones que hagan los contactos de WhatsApp a nuestro ESTADO podremos correlacionar este historial con fecha y hora, con un log ad-hoc en la web donde fueron redirigidos los contactos que hicieron clic. Mediante una serie de pasos fáciles de realizar, una tabla en una BBDD y un fichero en PHP. 

Figura 3: Libro de "Cómo protegerse de los peligros en Internet"
de José Carlos Gallego en  0xWord

La mitigación podría ser tan sencilla como un aviso por parte de WhatsApp del peligro que conlleva esta redirección o bien una concienciación a los usuarios de los riesgos contra su privacidad a los que incurren, esto último es el propósito final de esta explicación, para que puedan protegerse de los peligros en Internet correctamente.

La funcionalidad del estado de WhatsApp

El ESTADO de WhatsApp es una funcionalidad que según su ayuda se describe de la siguiente forma en la plataforma: 

“Con los estados, puedes compartir actualizaciones de texto, fotos, videos y GIF que desaparecen después de 24 horas y están cifradas de extremo a extremo. Para recibir actualizaciones de estado de tus contactos y que ellos reciban las tuyas, tú y tus contactos deben tener sus respectivos números de teléfono guardados en la libreta de contactos de sus teléfonos”.

Curiosamente, la funcionalidad de añadir texto nos permite que este texto sea una URL, y al hacer doble clic sobre él, este híperenlace nos redirige a una web, como muestra la figura siguiente. En este ejemplo concreto lo hará a la URL de la web Xxx.com

Figura 4: Creación de un Estado en WhatsApp con una URL

que registrará direcciones IP.

Esto no es nada nuevo, y los Stories de Instagram funcionan exactamente. Es una funcionalidad que utilizan muchos en la plataforma para difundir sus contenidos. La única diferencia fundamental, como vamos a ver, es que en Instagram el usuario que publica una Story no tiene un log detallado de horas de conexión y cuentas de sus contactos de Instagram que han visto la Story. En WhatsApp sí.

Figura 5: Si activas las "confirmaciones de lectura de mensajes"

WhatsApp te deja ver un log detallado de a qué hora quién

visitó tu ESTADO, lo que da una información valiosa.

Ahora ya podemos organizar esto. Por un lado un registro de visitas a la web que capture la hora exacta y la dirección IP del visitante. Por otro un registro detallado de contactos de WhatsApp que han visitado el estado. Si hay "match", ya sabes la dirección IP y dónde está el contacto de WhatsApp concreto. 

 
Cómo preparar la web de registro (Stickyweb)

En primer lugar, creamos una tabla en MySQL con el propósito de almacenar la GEO información de las direcciones IP de las visitas de los contactos que han sido redirigidos. La estructura de la tabla Log se muestra en la imagen siguiente.

Figura 6: Estructura de la tabla LOG donde se registrará la

GEO información IP de las visitas a xxxx.com

En segundo lugar, construimos una página web que, por simplicidad, consta de solo un fichero (index.php) y que también por simplicidad está construida en PHP, tal y como se puede ver en la imagen siguiente.

Figura 7: código PHP que obtiene la información de GEOIP

y la registra en la tabla LOG

En la ejecución del código PHP se recuperan las variables de entorno asociado con la navegación del usuario y que junto a un campo “Timestamp” de la tabla Log anterior expuesta, que supone la fecha de creación del registro en el momento que las instrucciones de PHP realizan la inserción de estos datos de navegación en la tabla Log de la base de datos MySQL.

Cronología de los Eventos

Una vez desplegada la web y con la tabla de registro del Log en la base de datos funcionado, punto 1 del cronograma del esquema siguiente. El siguiente paso corresponde al punto 2, en el que publicamos nuestro estado a la espera de que nuestros contactos hagan un clic en la URL asociada a nuestro estado de WhatsApp.

Figura 8: Cronología de creación de la web, creación del estado y clic de los contactos

Cronológicamente los contactos 1, 43 y 22, lo harán en el tiempo en los puntos 3, 4 y 5 respectivamente, como también muestra la imagen anterior.

Análisis de la Información registrada

Una vez que ya está registrada la GEO información IP de navegación de los contactos en la tabla Log de MySQL, procedemos a correlacionar el campo “FechaRegistro” (que recordemos que es de tipo TimeStamp) con la fecha y hora que muestra el Historial de los contactos que han visto el Estado de WhatsApp e hicieron clic en la URL del enlace de Estado, como muestra la imagen siguiente.

Figura 9:  En el log del Estado de WhatsApp podemos ver qué contacto vio

 el Estado y a qué hora, y luego buscamos esa hora en la tabla de Log

para saber qué IP usó en la conexión a la web.

El resto, es mirar la información extendida en la tabla de GEO Información IP que tenemos en la base de datos de MySQL con toda la información extendida que hemos sacado y que va asociada a la dicha dirección IP. Lo dicho, puede ser más o menos exacta.

Figura 10: Información extendida sobre la dirección IP

A partir de esta correlación tenemos accesible la información del número de teléfono (haciendo uso de la agenda) y de la dirección IP de conexión, que determinan la información geográfica asociada, así como el proveedor que nos presta el servicio de interconexión, ya sea móvil o no, exponiendo la privacidad de navegación de los contactos de una manera ni autorizada ni solicitada.

Impacto y mitigación

El impacto de esta práctica es una pérdida efectiva de la "GEO privacidad" de los usuarios que hubieran hecho clic en el estado, pudiendo suponer un seguimiento no autorizado de las personas. Algo que de facto es deducir si se está usando una red móvil o una conexión fija, en qué ciudad, provincia o país se está conectado, con todas las implicaciones para la seguridad de las personas o de sus bienes que ello pudiera implica. 

Tal vez, se debiera advertir al usuario que este será redirigido a una web externa, (como ya hace WhatsApp), pero debería informar de lo que ello implica, lo que  sería una mitigación muy efectiva, ya que las personas se darían cuenta del peligro de pérdida de privacidad que eso implica.

aaa

Figura 11: WhatsApp avisa antes de hacer una redirección fuera de la cuenta,

y ahí podía poner más información del riesgo de privacidad.

Además, se podía hacer que el registro de accesos al Estado de WhatsApp fuera menos "detallado", y hacerlo más similar al de Instagram, donde se puede ver qué usuarios vieron la Story, y luego datos agregados de clics o comparticiones, pero no quién hizo qué ni a qué hora exacta.  

Figura 12: En Instagram, las estadísticas de las Stories no

son tan detalladas como la de los Estados de WhatsApp.

Están agregadas y no dicen quién hizo qué a qué hora.

La curiosidad por saber qué quiere mostrarnos un contacto, unido al desconocimiento general de este funcionamiento y que termina en visitar una URL del Estado de Whatsapp, unido a la funcionalidad del registro temporal del historial de visitas que hace WhatsApp de los Status, conlleva a una importante exposición de la privacidad de navegación, al correlacionar toda esta información. 

Saludos,

Autor: Gaspar Cano

Contactar con Gaspar Cano

Go! Go online in flight! (Con tu VPN montada en una Raspeberry Pi)

¿A quién no le gusta viajar? En mi caso, disfruto tres veces de los viajes: al planificarlos, durante el viaje y finalmente, clasificando las fotos y los recuerdos que me he traído. Pero hay una cosa del viaje que todos odiamos: las horas muertas en el avión cuando el sistema de entretenimiento del mismo es horrible. En mi caso, un vuelo desde Madrid a Vancouver con un sistema de entretenimiento malo hizo que me fijase en otras cosas. Por suerte, algunas aerolíneas ofrecen conexión a Internet desde el avión, por un módico "no tan módico" precio.

Figura 1: Go! Go Online in flight! (Con tu VPN montada en una Raspberry Pi)

Muchas de aerolíneas que ofrecen acceso a Internet desde el avión ofrecen el servicio de una compañía llamada Gogo , como son British Airways, Iberia, American Airlines, Japan Airlines, etcétera. La forma de dar el servicio puede ser bien, enviando y recibiendo la señal tierra (ATG, Air-To-Ground) o desde un satélite, o una combinación de ambas. Una vez la señal llega al avión, es convertida al estándar Wi-Fi para poder ser consumido por los pasajeros del avión. 

Figura 2: Señal Wi-Fi dentro del avión

Cuando el avión alcanza la altura adecuada, el servicio se activa y cualquiera que se conecte a la red wifi del avión llega a un portal donde la aerolínea ofrece la posibilidad de contratar varios paquetes, con un ancho de banda determinado. Algunas incluso permiten ver las películas del sistema de entretenimiento en nuestro móvil o tablet. Vino a mi cabeza un post que leí hace algunos meses en algún sitio de cómo funcionaban este tipo de servicios, en los que solamente los puertos 80 y 3128 parecían bloqueados.

Figura 3:Portal de la aerolínea a través de la red Wi-Fi

Por suerte, tenía en casa una Raspberry Pi, configurada con Open VPN con Pi-Hole por encima para bloquear publicidad y trackers, lo típico. Pero lo tenía escuchando a un puerto que no era ni el 80 ni el 3128. En el primer vuelo, al conectarme al Wi-Fi me permitía descargarme una app de App Store para ver las películas del avión desde el móvil, lo cual significaba que tenía salida a Internet. Pero, como era de esperar, la VPN no levantó. No obstante, podría navegar por Internet durante unos minutos gratis, el tiempo que el sistema estimaba oportuno que se tardaba en bajar la app.

Con un poco de tiempo en el hotel, reconfiguré el servidor VPN para que escuchase el puerto 3128. Y deseando estaba de que llegase la hora de subirme de nuevo al avión, a pesar de mi miedo a volar. Una vez el avión llegó a la altitud en la que los pasajeros de desabrochan los cinturones, encendí el Wi-Fi del móvil y probé a levantar la VPN.

Figura 4: OpenVPN en un iPhone, antes de conectarse

¡Funcionó! Como se puede ver en las siguientes capturas, la conexión se había establecido correctamente.

Figura 5: Conexión VPN realizada correctamente

Se ha conectado correctamente a la Raspberry Pi, que a su vez limpia publicidad y trackers con Pi-Hole (DNS primario).

Figura 6: Log de conexión a la VPN

La dirección IP del teléfono ya aparece como si fuera la de mi casa. A partir de ahí pude consultar el correo, refrescar los feed de noticias y decirle a mis padres que el vuelo iba bien.

Figura 7: Dirección IP del terminal iPhone, situada en Madrid

Dados los precios del servicio, me pregunté cuántas personas estarían conectadas al mismo, pero parece que fui el único que estaba enganchado en ese momento.

Figura 8: Todo el ancho de banda para mí

Y finalmente, probé a acceder por SSH a la Raspberry, cosa que funcionó también.

Figura 9: Me sentía como en casa, literalmente

Sirva esta experiencia para demostrar que incluso a diez mil metros de altura, los servicios y herramientas que las soportan necesitan una constante monitorización de seguridad, seguida de las medidas correctivas necesarias.

Autor: Miguel Gallego @_Mich