Hace unos días me toco investigar un asunto un poco "crappy". Las luces de casa de una persona se encendían y apagaban. Algo no iba bien, y claro, la presencia de alguien no deseado en la red podría ser una realidad. Os cuento el escenario, completo.
Figura 1: El ordenador plataformado del teletrabajo a la WiFi
de Invitados, con la webcam tapada y sin micrófono.
Un router de fibra con UPNP y un red WiFi a la que se conectan todos los equipos, unas bombillas Smart-Bulb con WiFi que se conectan a la WiFi, y un Alexa con las que se controlan dichas bombillas. Recordando mis años de consultoría, la idea es hacer una lista de todas la posibilidades y luego ir descartándolas una a una hasta que quede la más posible. Esta es la lista que hizo mi cabeza:
Crack de WiFi: Parece lo más sencillo, así que había que revisar el protocolo de seguridad de la red, y ver la robustez que tenía. En este caso era un WPA2/PSK, así que la robustez depende de la contraseña. De todo esto, hemos publicado un libro fantástico que lo explica en detalle.
Exploit para Router: Esta posibilidad podría darse si hay un 0day de explotación remota para el router, pero eso significaría que tenía abierto el panel de administración a Intenet.
Default User: Otra posibilidad muy típica. Dejar el router con el usuario por defecto y que alguien desde Internet lo usara para conectarse al panel, ver la clave, y conectarse a la red. De esto sabe mucho Gerard Fuguet que se lo encuentra a su alrededor en los dispositivos del hogar muy amenudo.
Hack de Alexa: Otra de las posibilidades que pasó por mi cabeza fue que alguien estuviera jugando con los utlrasonidos y Alexa, pero para ello Alexa debía reaccionar, y no estaba reaccionando, así que esta posiblidad se quedó fuera.
Hack de las bombillas: Las SmartBulbs tienen un back-end en Singapur, otro en USA y otro en China, así que podría ser que alguien hubiera vulnerado el panel y la cuenta del panel de las bombillas. Ya que estas bombillas se controlan también vía Internet con una app. Podrían haber hecho un password spraying o algo así. Había que revisar esa cuenta.
Insider en un equipo de la red: Esta era la última posibilidad, y consistía en un posible equipo infectado controlado por un atacante..
Así que había que revisar todo. Paso a paso. Descartado el posible hack de Alexa - aún así se desconecto para probar -, tocó cambiar la contraseña de la WiFi a una más robusta aún (just in case), revisar a ver si el panel estaba en Internet - nop - se desactivó el UPNP por si algún software se abría un puerto raro y tiraba alguna conexión no deseada, se revisó a ver si había exploits del Router WiFi, y nada. Todo eso estaba ok. Eso sí, contraseñas por defecto en el router, pero no accesible a Internet, solo en local.
Todo eso apuntaba a que el atacante podría estar dentro. Y en ese momento hablamos de los equipos, uno de ellos, de teletrabajo administrado remotamente por el equipo IT de la empresa que, además, se puede conectar sin pedir permiso al usuario, porque el software que tienen les permite hacer eso. Y saltaron todas las alarmas.
Por supuesto, no se tenía historial de conexiones, ni se sabía quién se había conectado, así que hubo que tomar las medidas pertinentes. Eliminar cualquier rastro de identidades personales, tales como cuentas de Gmail, WhatsApp, Telegram, Instagram en el navegador local - muy común si usas Google Chrome y sincronizas el Password Manager de Google -, y lo más importante, aislar ese equipo a la red de invitados.
Lógicamente como es un equipo Windows, tapar la Webcam y el micrófono del PC, para solo usar el micrófono de unos auriculares inalámbricos que tengan bloqueo físico, porque si no, alguien con acceso a ese PC podría arrancar software de grabación de Webcam o de Audio, y adiós a tu intimidad.
No hay certeza - aún -, de que alguien se haya conectado al equipo remoto y haya hecho esa acción maliciosa, y podría ser también un error puntual de la bombilla, o un bug en el panel remoto de estas Smart-Bulbs, pero como protección por si el problema está en ese equipo, se ha "aislado" del audio, el vídeo y la red de la casa donde está situado. Y también cambiadas las credenciales por defecto del router y configurar actualizaciones automáticas de firmware, que desde dentro de la red se tiene acceso al panel de administración del router - que no tiene un 2FA en este caso -.
Figura 7: Activación de WiFi de Invitados en la Living App de SmartWifi
Si estas teletrabajando, recuerda que ese equipo está administrado remotamente, así que aíslalo de la red. Exige que haya un seguimiento de quién se conecta a ese equipo - que está en tu casa - y que la empresa guarde un registro de los comandos que ejecuta con software de gestión de cuentas privilegiadas, porque podría grabar audio o vídeo remotamente, o hacer cosas en la red de tu hogar sin que tú lo sepas, así que cuanto más aislado de tu entorno lo tengas, mejor que mejor.
Este artículo llega con un retraso de aproximadamente cinco años. Ha residido en estado latente mientras escribía el libro de 0xWord titulado "Hacking Home Devices I: PoCs & Hacks Just for Fun!". La razón de esta “dilatación” es que este artículo fue el detonante que inspiró mi nuevo libro, gracias a Chema Alonso, quien me sugirió convertirlo en un libro completo. Hoy os traigo un resumen de lo que explico en el libro.
Así nació este proyecto que lo bauticé como “Book & Roll”, el libro que me mantuvo ocupado durante aproximadamente cuatro años mientras desarrollaba otras ideas que tenía en mente.
Señoras y señores, hackers, a continuación se expone el artículo en versión resumida pero ofreciendo más nivel de detalles sí lo requerís oportuno, pues incluye el combo de White Paper + vídeo del proceso (como de costumbre).
Comodidad VS Seguridad
La comodidad ha llevado a la despreocupación por ciertas cosas elementales, como la seguridad digital al estar conectados a Internet. Recuerdo mi primer módem, un U.S. Robotics 56K faxmodem, donde se apreciaba un surfista saliendo de una pantalla CRC en la caja.
Figura 3: Caja del U.S. Robotics 56K faxmodem versión alemana
Y cómo la tecnología ha evolucionado desde esos días hasta los routers sofisticados que tenemos hoy en día.
Cambié en aquel entonces de Movistar a Adamo, (motivado por razones personales) y me encontré explorando la seguridad de los routers proporcionados por Adamo, específicamente el Inteno EG200 basado en OpenWRT.
Configuración de VoIP
Decidí investigar para sacar la configuración de la VoIP de mi nuevo router para así configurarlo como cliente SIP en otro equipo (tal y como lo tuve anteriormente con el router SmartWiFi de Movistar - la versión antigua -). Comencé antes con pruebas de velocidad y algunas llamadas telefónicas para cerciorarme de que el servicio funcionaba correctamente. Con VoiP se pueden hacer muchas cosas... ya sabéis.
Después investigué la configuración SIP en foros de Internet, encontrando información útil pero incompleta en bandaancha.eu. Aunque enfrenté algunos desafíos, persistí en mi búsqueda para dar con una solución.
Con herramientas como Wireshark, capturé la autenticación SIP mediante el protocolo Digest.
Figura 6: Capturando autenticación Digest
Aunque no logré descifrar la información, esta técnica me permitió acercarme un poco más a mi objetivo. Intenté obtener la contraseña SIP a través de ingeniería social, pero tampoco funcionó. A través de un SMS que llegaba a tu móvil al darte de alta, pude deducir que el usuario se componía de 6 números y el password de 8 caracteres alfanuméricos (a-z, A-Z y 0-9).
Figura 7: SMS de alta enviado por Adamo
El servicio técnico me confirmó que sí se componía la clave de 8 dígitos, y eso era todo hasta el momento...
Jugando con Exploits y WebSockets
Probé alternativa con varios exploits conocidos para routers Inteno, todos ya parcheados por Neonsea. Entonces, decidí investigar la comunicación a través de WebSockets. Utilizando herramientas como curl y Firefox, interactué con el router mediante comandos ubus para obtener información.
Convertimos a nuestro Firefox en un auténtico cliente WebSocket, sacamos jugo de su buena referencia y así lo plasmamos:
1. Creando el socket con su correspondiente protocolo.
var superSocket = new WebSocket("ws://192.168.1.1/", "ubus-json")
2. Log, muestra las respuestas por cada mensaje enviado.
superSocket.onmessage = function (event) {console.log(event.data)}
3. Solicitando un id de sesión haciendo un login con el usuario del router (user) y su contraseña del WiFi que viene por defecto.
Figura 8: Listando los comandos que brinda y ejemplo de ejecución
Esto generó más juego con los comandos ofrecidos así que, la diversión prosiguió... Luego descubrí un archivo .enc que parecía contener datos valiosos.
Figura 9: Petición GET, HTTP del fichero .enc
Pero el fichero estaba cifrado... nuevo reto.
Descifrando el Archivo .enc
Descubrí el algoritmo 3DES utilizado para cifrar el archivo .enc en un manual de Inteno.
Figura 11: Mostrando el contenido de Provisioning.conf
Revelando un archivo .tar.gz que contenía la configuración de aprovisionamiento, incluida la contraseña SIP.
Reporte de la Vulnerabilidad y CVE
Compartí mi hallazgo con Inteno y Adamo. Cooperé con ellos para solucionar la vulnerabilidad y finalmente, se implementó un parche.
Figura 12: Comunicación para solucionar el problema
Recibí el CVE ID (CVE-2019-13140) por esta vulnerabilidad. El proceso no fue sencillo, pero la cooperación y la persistencia dieron sus frutos.
Reflexiones Finales
Creía que Movistar era de lo más restrictivo con los dispositivos que brinda a los clientes… y resulta que no, todo lo contrario, y se pueden hacer muchísimas cosas con SmartWiFi - que lo tienes hasta en la Televisión -. He podido hacer más cosas a mi “aire” con ellos que con cualquier otro operador… Supongo que el temor encoge/restringe protegiendo a los suyos ante cualquier exposición peligrosa.
¿Pero cómo proteger? ¿Estaríamos más seguros si nos quedásemos en casa todo el día sin salir al exterior? Sí uno decide hacerlo, es totalmente libre de acogerse a lo que quiera, pero que tenga al menos la opción de abrir la puerta. El router de Inteno que Adamo brindaba no daba la opción de cambiar la contraseña, si alguien la adivina, si alguien sabía su “secreto”, hasta que no se cambiase de dispositivo, no había nada que hacer… Y es una pena, porque son equipos que no están nada mal. Se desaprovechan muchas características por la decisión de acotamiento de funciones.
El password de la WiFi cumple con los criterios de robustez, solo que el hecho de “momificarse” le puede convertir en “carne de cañón”.
Sólo quería aquello que me pertenecía, y sólo faltaba una parte vital para que funcionase, una contraseña para deshacer la esclavitud por la que estaba pasando la VoIP ¿Porque negártelo? Apunto estuve en adentrarme por la vía física, por consola RS232 (USB-TTL) pinchando en la placa del router, pensé que esa era mi única salida (o terminar con un trágico final, en un callejón sin salida).
Quise probar otros caminos y ver si era factible realizar la fuerza bruta usando HashCat una vez capturado el hash MD5 con el TAP. No emplee ningún diccionario, utilice que se oscilara en un rango de dígitos. Tal que:
hashcat64.exe -m 11400 -a 3 adamo.hash -1 ?l?u?d ?1?1?1?1?1?1?1?1
Figura 14: Password crackeado bajo HashCat
Finalmente, agradezco a la comunidad de BandaAncha.eu por todo su apoyo. La pregunta que formulé fue: ¿Facilitará Adamo la contraseña SIP a quienes lo soliciten?
Conclusión
Este viaje en la seguridad de dispositivos del hogar ha demostrado la importancia de la seguridad digital y la cooperación entre usuarios y proveedores. Con determinación y recursos adecuados, es posible mejorar la seguridad y obtener las configuraciones críticas para el correcto funcionamiento de los dispositivos.
El histórico, o llamado Timeline, fue:
2019-06-29 - White Paper done
2019-07-01 - CVE assigned
2019-07-09 - Notified to Inteno
2019-07-11 - Adamo aware and ask for detailed info
2019-07-12 - Info facilitated
2019-07-25 - Early patch available and applied (Cooperation starts)
2019-07-26 - Tested and failed (VoIP not working)
2019-08-27 - New firmware available
2019-08-30 - Firmware EG200-WU7P1U_ADAMO3.16.8-190820_0937 applied on router
Y un vídeo sobre lo visto, esta vez en castellano con subs y textos en inglés (international mode ON). No hubiera tenido tal buen aspecto sin la ayuda de Esther Martínez (la chica que señala con el dedo en el vídeo), que se lo curra para dejar unos acabados más pulidos (que esto de los vídeos creerme ¡Que tiene su miga!).
Nota: Hasta el segundo 37, Se hace mención especial a la gente del foro de Banda Ancha. Prometí compartirlo con tod@s ell@s si tenía éxito extrayendo el password de la SIP.
El deber de prácticamente todo fabricante es acabar sellando sus creaciones con un injerto que estipula/marca el último día de uso o funcionamiento. Al igual que se le exige y obliga a un producto comprado en un supermercado establecer una fecha de caducidad, los dispositivos electrónicos tienen también su cuenta regresiva final -“final countdown”-.
Puede que acabe llegando algún día la hora de la temida obsolescencia programada, que determina cuando es el mejor momento para emprender ruta hacia el último destino -la basura- antes de despedirse de su dueño/a, dejando pocas opciones cara al cliente;
Adquirir uno de igual o similares características.
Vivir prescindiendo del mismo (vamos, como el hecho de dejar de fumar, evitando así la compra de más cigarrillos y oye ¡ahorrando dinero!).
Pero... ¿y sí todavía no llega el día de despedirse? Se dice que la vida son dos días, pues ¿a que esperas a vivirla intensamente? Siempre y cuando se disfrute con cabeza, por supuesto ;).
Gozando de un momento de paz en el sofá de casa frente a mi Smart TV consumiendo/viendo contenido bajo demanda, de pronto la televisión se apagó y… se encendió. Sí, se reinició, como cuando se actualiza un equipo o éste tiene un fallo y decide reiniciarse a modo aleatorio. Me pareció un comportamiento un tanto raruno en una TV “inteligente”. Pensé que tal vez estaba llegando su hora, bien por una programación obsoleta o por un fallo real en hardware. La TV estaba al día de firmware pero ya hacía tiempo que no se disponía de actualizaciones por caer en el olvido/abandono.
Lo primero que se me ocurrió es mirar el perímetro de su software y ver si existían algunos fallos y/o vulnerabilidades reportadas por los usuarios, y de eso va a ir este artículo, donde vamos a ver un ataque de DoS a través de un servicio de conexión WiFi en la SmartTV llamado SWL [Samsung Wireless Link]. Es decir, vamos a tener un poco de Hacking WiFi en SmartTV.
SWL [Samsung Wireless Link] - El HotSpot de la TV
Esta tele en concreto, con el servicio SWL, permite generar un punto de acceso WiFi como tal. Por defecto sale desactivado (al menos, en la última versión disponible de firmware). Monta una subred distinta a la de tu red local -10.123.12.0/24- pero da conexión a Internet a los dispositivos que allí conectes.
Figura 3: Arquitectura de Smart TV actuando de router
Según la figura anterior, el dispositivo P1 puede comunicarse con los que se encuentran en la red local del hogar -192.168.1.0/24- conducido por el NAT generado por TV, por lo que P2 verá la IP asignada a la interfaz Ethernet de la tele. Sí P2 quiere hablar con P1, debe existir una ruta en el router (para que no sea necesario configurarse en el host) o bien crear la ruta manualmente en el propio P2 (más engorroso para el usuario).
El proceso de activación de SWL se muestra en el siguiente vídeo. También se aprecia en el vídeo cómo lograr que un dispositivo Android posterior a la versión 9 (sin soporte para WPS - WiFi Protected Setup), se conecte a la red WiFi que es accesible solamente por mecanismo WPS (ya que no se conoce la contraseña WPA2, no aparece en ningún manual, ni detrás de la SmartTV, ni nada...).
Figura 4: Extract/Obtain/Get WPA/2 Password from a WPS WiFi for Android -
Por desgracia/suerte, todavía existen sistemas que apuestan por WPS, como las ediciones actuales de Windows. Es tan simple como conectarse y extraer el password con el siguiente mandato:
netsh wlan show profile SEC_LinkShare_* key=clear
Donde SEC_LinkShare_* es el nombre de la red WiFi creada por la SmartTV, el asterisco funciona para el resto del texto, que en este caso, contiene parte de la MAC Ethernet de la tele.
Probando a explotar la vulnerabilidad VDB-12842
La vulnerabilidad recae en la explotación del código PIN de 8 dígitos por tener expuesto WPS. La clave era 8 ceros, y fue descubierto por un tal John, quien dejó plasmada su hazaña en el comentario nº 229 de la web de Stefan Viehböck (uno de los principales descubridores de la deficiencia en WPS). No existe CVE asignado pero sí fue recogido por VulDB (Vulnerability Database) con código VDB-12842.
Decidí probar si a mí me sucedía lo mismo con la herramienta Reaver -primera hack tool pública para explotar WPS y… mi sorpresa fue “reavelar” un incidente distinto, y provocar un ataque DoS hacia mi SmartTV... Ésta se reinició a los 20 segundos aproximadamente. Y lo mejor de todo es que si dejas la herramienta corriendo, el DoS sigue y sigue produciéndose hasta que SWL es deshabilitado en SmartTV.
La herramienta Bully también daba el mismo resultado, pero tardaba algo menos en hacerla caer del “ring”. Así que “una de cal y otra de arena”, Samsung arregló la fuga de la password WPS pero en su contra, creó un grande problema.
Reaver vs Bully: Analizando el Comportamiento
Me asombró tanto lo que sucedía que quise ver lo que se estaba lanzando “al aire”, por lo que me hice con un par de .cap’s bajo las herramientas Reaver y Bully.
La herramienta Bully es muy similar en manejo a Reaver. Coloqué las peticiones por orden de aparición, creando así un diagrama de interacción.
Figura 5: Diagrama de interacción entre portátil y TV bajo ataque con Bully
Las peticiones fueron grabadas con airodump-ng. El ataque DoS empieza cuando se emplazan los primeros paquetes EAPOL. Se muestran en color rojo y exceptuando el primero después de -D o S START-, se emplea una serie de 6 paquetes (Deauthentication, Authentication x 2, Association Request-Respond y EAPOL - Start) que se repiten en bucle 3 veces más hasta que se reinicia la SmartTV. Esto seria como introducir papel de aluminio en una botella de salfuman y esperar a que eclosione.
La información WSC_NACK del primer paquete rojo, parece un paquete trampa para obtener la configuración del AP, según lo interpretado en Wireshark y contrastándolo con la especificación WPS. Al disponer del archivo de captura, Wireshark proporciona una funcionalidad para hacer gráficas de paquetes según el paso del tiempo. Es algo útil para ver si existen patrones similares, distancias entre ciertos protocolos, cúmulo de paquetes máximo-mínimo, etcétera.
Figura 6: Wireshark: Gráfica de I/O de ataque con Bully hasta el primer reinicio de la TV
A simple vista ya se puede ver un claro patrón. Expliquemos un poco la dinámica de este tipo de gráficas; El eje Y muestra el conteo de paquetes comprendidos en una mitad de segundo (o 500 milisegundos). El eje X es el tiempo expresado en segundos. Acerca de los colores, las líneas y los puntos:
Línea negra: Son todos los paquetes aparecidos en el ataque.
Línea verde: Los beacon frames que provienen de TV.
Puntos azules: Es un pack, un conjunto de paquetes de deauthentication, authentication y association (request & response).
Puntos granates: Paquetes EAPOL (incluyendo los de EAP).
Dicho esto, se observa que en el arranque, paquetes granates y azules cogen bastante energía, pero sobretodo granates porque luego podemos ver como se estabilizan a nivel de cantidad de paquetes por cada 1/2 fracción de segundo. Hay una tregua hasta el segundo 10. Este paquete granate es visto en la figura del diagrama de interacción, EAP - Response, Expanded Type, WPS, WSC_NACK. Luego puede verse cómo los granates van de la mano de los azules. Start + deauthentication,… En las dos primeras series, la distancia es mas corta que la segunda contrastada con la tercera serie (1 segundo de más aprox.). A los 15 segundos se produce el reinicio.
En la segunda parte del vídeo, el ataque es reflejado para la herramienta Bully. El atacante se aprovecha de que se dejara en activo el debilitado SWL -HotSpot de la SmartTV, y lo tumba en más de una ocasión…
Me suele ir muy bien insertar un cronómetro para tomar mis mediciones y sincronizar todos los clips de vídeo implicados en el ataque. Sin un editor de vídeo me es imposible poder ver el comportamiento de cada objeto en cada instante. No tiene mayor misterio, utilizo trucos como el de dar “una palmada al aire” para sincronizarlos por sonido o bien, grabando sobre la pantalla de otro elemento para casar la inserción de una letra (p. ej.).
¿Que sucede ahora con Reaver? Por las pruebas realizadas, podemos decir que no parece estar tan pulido a nivel de código, hay un desgaste mayor de paquetes y se toma algo mas de tiempo hasta que TV es reiniciada. Sí queréis profundizar al detalle en mi investigación, podéis leer el Whitepaper que subí en Slideshare.
Bonus Track
La vulnerabilidad que descubrí no es reciente, data de finales de marzo del pasado año 2022. A mediados de abril, generé un reporte que envié cifrado a Samsung por la plataforma de programa Bugbounty. Me dieron las gracias -por nada- la televisión era del 2011 y que por lo tanto ya no la barajan. Pero es la forma de trabaja de un "Cazarecompensas"
Entonces me decidí contactar con INCIBE, las conversaciones han durado desde finales de Junio de 2022 hasta mediados de Octubre de este año 2023 (bastante tiempo, pero para estas cosas nunca debéis tener prisa). Me dijeron que la asignación del CVE es posible gracias al uso de un “tag” en el propio CVE que indique que se trata de un producto “legacy”.
También me comentaron que nunca habían asignado un CVE con dicho “tag” pero para todo hay una primera vez. Pasó el tiempo y lancé un “par de pings” (de manera muy respetuosa, como siempre :) ) y finalmente obtuve contestación final. Mejor lo dejo en una imagen, la verdad que son gente maja y se nota que hay mucha empatía detrás. Pero las cosas son así a veces en esta vida, que le vamos a hacer…
Figura 10: Mensaje final de INCIBE, indicando que el CVE con ellos no es posible
Sobre el ranking que mencionan, yo figuro en él por la vulnerabilidad sobre el dispositivo del fabricante Meross que sí fue con su cooperación. Eso no es problema, la competición nunca ha sido de mi agrado, me prima participar y aportar mi granito como cualquier otro/a, y ante todo ser persona honesta, jugar limpio y reconocer mis errores.
P.D.: El CVE se está moviendo con MITRE ¡A ver que se cuece!
Reflexiones finales
Esta mal tocar cosas que no son tuyas (incluso puede ser de mala educación). Activar funciones de una cosa que es tuya sin tener ni idea, está igual de mal porque no sabes la repercusión que puede llegar a tener. Con suerte se borrará la configuración.
Creo que no os lo he contado, pero yo dejé un portátil “frito”, sirviendo sólo de pisapapeles (pasó a un rol muy precario pero al menos, servía para algo :P ). Lo que pasó es que actualicé la BIOS por una no compatible (con un disquete de 3 ½ pulgadas, en mis inicios de la informática) y mira que me avisó de que no era la correspondida… pero quería ser valiente, y me sirvió, y tanto..., para aprender de una muy buena lección de la vida.
Como de costumbre, los vídeos que hago pretenden reflejar situaciones reales. La mamá que aparece en el segundo vídeo del artículo, seguro que tirará la SmartTV “por la ventana”, y ya no querrá saber más nada de Samsung… El pobre bebé, que estaba tan a gusto viendo sus dibujos, se irrita porque... ¡Alguien se los quita!
También se ha observado que el canal del punto de acceso de la tele, a veces usa el 1 y otras el 11. ¿Alguna herramienta válida para no enfangarse con un script? ¡Claro! ¿Para que reinventar la rueda si Bully ya lo hace? Seria tal que así;
bully -b E4:E0:C5:XX:XX:XX -c 1,11 -v 4 wlan0mon
Para acabar, la tele la uso (es de las pocas que tienen la modalidad 3D, aunque no lo use) es decir funciona y de maravilla. Creo que este tipo de dispositivos merecen una segunda vida y, si no prosperará en innovar su software (eso sí tiene más sentido) ¿que menos que subsanar vulnerabilidades de este tipo? Y la solución es simple, para protegerse, basta con desactivar el SWL, pero se ganarían su respeto y reputación como fabricante sí lo corrigen (aunque sea capando la función/botón de activación... aunque a lo mejor hay gente que aún usa esa función y entonces es peor... ¿quién sabe?). ¿Quien en su sano juicio, abandona a sus abuelos? ¿Cuando o a que edad se le considera a una persona como “obsoleta”?
Hace ya un tiempo que lanzamos para los clientes de Movistar un servicio en el que habíamos estado trabajando mucho en ElevenPaths, se trata de un servicio que intenta mitigar el número de amenazas a las que te conectas desde tu ordenador personal y dispositivos móviles, ya sea mediante la conexión WiFi que va por tu router a la red de Fibra Óptica, como a través de las redes de datos móviles 3G/4G, se llama el servicio Conexión Segura.
Figura 1: Movistar Conexión Segura "Cómo Activar la protección de tu conexión y revisar las amenazas"
Este servicio, como os dije, está incluido en todos los paquetes de Movistar Fusión y Lineas de Contrato Móvil de forma gratuita, así que solo debes activarlo, algo que puedes hacer desde diferentes puntos. Uno de ellos, desde la web de Movistar Conexión Segura, donde solo debes entra y activarlo, sin ningún coste por hacerlo.
Tienes un paso a paso de cómo activarlo en este vídeo que se hizo para explicar con detalle los clics que tienes que hacer, y disfrutar de este servicio de protección extra para todos los clientes de Movistar Fusión o Líneas de Contrato Móvil sin ningún coste adicional, activándolo desde la web.
Figura 4: Vídeo explicativo sobre cómo activar Conexión Segura
Una vez que lo activas, ya no hay mucho más que hacer, el sistema funciona analizando las conexiones que realizas a sitios de Internet y bloquea aquellas conexiones que están dirigidas contra sitios que están descargando malware, lanzando exploits o ataques de phishing.
Figura 5: Protección de Conexión Segura desde la red
Esto es especialmente útil para cuando hay campañas de malvertising que hacen que, por navegar por una simple web que pone anuncios puedas verte afectado por uno de esos anuncios en un ataque de malware. Y contra esos ataques, la protección manual es imposible, porque si han conseguido que navegues a un servidor con un kit de exploits que te afecta, se va a ejecutar automáticamente.
Figura 6: Cuando navegues a una web peligrosa Conexión Segura la bloquea
Por eso, los equipos de seguridad revisan los ads que se meten, por eso los equipos de seguridad en los Security Operation Center denuncian y marcan como maliciosas las URLs que descubren con este tipo de actividades, por eso tener un servicio que compruebe las URLs contra las que te conectas de manera automática es la mejor opción, y por eso Conexión Segura es algo que te ayuda sí o sí.
Revisar las amenazas paradas por Conexión Segura
Pero otra cosa fantástica que te da Conexión Segura, es que aprendes de qué te has librado, o cuáles son tus malos hábitos, o que tienes algo mal en tus equipos y forma de utilizarlos, cuando revisas las amenazas que han sido bloqueadas. Para ello, debes ir a la web de Conexión Segura y hacer login con tus credenciales de Mi Movistar.
Figura 7: Resumen de amenazas de la línea fija (WiFi + Fibra Óptica)
Una vez allí, puedes elegir la línea de teléfono que desees revisar - que será la fija con la conexión de fibra óptica y tu WiFi - o las líneas móviles de tus terminales de teléfono, y ver las estadísticas de amenazas bloqueadas. Es decir, de las que Conexión Segura se ha encargado sin que tuvieras que preocuparte tú en tu equipo.
Figura 8: En la web de Conexión Segura puedes ver las amenazas que han sido bloqueadas en tus conexiones fija y móvil
Además, puedes ver en concreto los sitios, que como os decía pueden venir de sitios a los que navegas de manera involuntaria por un redirect en un anuncio, o por un enlace pulsado en el momento equivocado. Por último, el servicio, permite que configure tus listas blancas a sitios, por si lo necesitas.
De los datos que tengas en tu lista de amenazas bloqueadas, seguro que consigues una buena información para cambiar tus hábitos, para mejorar tus herramientas de protección personal, y, sobre todo, para que entiendas que esos sitios bloqueados por Conexión Segura habrían llegado a tu terminal, y al de tu familia, si no activas este servicio. Y remarco: Es gratuito si eres de Movistar.
Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso 3DAIS
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
