Archivo etiqueta Phishing
Guía básica de seguridad contra el Fraude en Internet
Por Diego Guerrero - Seguridad - 8 junio, 2011
Consejos de Seguridad
Es necesario partir de la siguiente premisa «La Seguridad Total No Existe», a resultas de esta máxima, la única herramienta eficaz de la que disponemos es la información y la prevención, por ello, aqui os dejamos unos consejos básicos fundamentales para desenvolverse en la red de redes.
Lo primero y fundamental es tener nuestro ordenador actualizado, es decir, tener instaladas las últimas versiones del sistema operativo y navegador web, también es muy recomendable hacer uso de un buen programa antivirús junto con un cortafuegos y actualizarlos frecuentemente. Estas medidas solucionan gran parte de las vulnerabilidades de nuestros ordenadores y facilitan una navegación más segura.
Comercio electrónico y compras en línea
Antes de realizar cualquier compra en internet asegurese de que la empresa vendedora dispone en su página web de una pasarela de pagos segura, las direcciones web donde se introduzcan datos personales y de pago deben comenzar por «https://« y debe aparecer un dibujo de un candado en su navegador u otro indicativo donde consultar el certificado del sitio.
No acepte pagar en ningún caso mediante ningún tipo de servicio de envio de dinero (MoneyGram, Western Union), pues este no será nunca el método de pago empleado por una empresa sería y supone un riesgo grave de seguridad.
Compruebe que en la sitio web de la tienda on-line figuran los datos fiscales de la misma, asi como su sede social y formas de contacto.
Truco: Haga una búsqueda en internet con el nombre de la tienda, seguramente obtendra muchos resultados, si la mayoría son negativos, desconfie¡¡¡
Si va a realizar la compra a un particular, con el que ha contactado por medio de un foro o una página de subastas o de compra-venta, tenga en cuenta lo siguiente:
Es importante saber con quien se trata, reúna todos los datos posibles, si va a pagar por transferencia bancaria, solicite a su banco un recibo y no olvide poner el concepto exacto y el destinatario.
Desconfíe de los anuncios de venta donde se ofrecen productos de alto valor a un precio muy por debajo del mercado, sobre todo si se le solicita que ingrese o envie una cantidad de dinero como señal, o pago a cuenta del servicio de transporte, aranceles… no lo haga¡¡¡
Si va a pagar contrareembolso debe saber que algunas agencias de mensajería permiten la apertura del paquete antes del pago, esto es algo en lo que deben estar de acuerdo comprador y vendedor, pues es un servicio extra y como tal hay que solicitarlo.
Procure guardar copias de todo, anuncio de venta, mensajes privados, mensajes de correo, apodos, direcciones de correo electrónico y de la web donde se anunciaba.
Muy Recomendable
Un método muy recomendable y que nos puede ahorrar más de un susto, consiste en disponer de una cuenta bancaria y una tarjeta de débito asociada a esta, que utilizaremos exclusivamente para nuestras transacciones en internet.
De esta manera, en dicha cuenta solo dispondremos del efectivo suficiente para estas operaciones y aunque nuestros datos cayeran en malas manos, no podrian obtener ningún beneficio.
Actualmente la mayoría de las entidades bancarias ofrecen el servicio denominado «tarjeta electrónica o cybertarjeta» consiste en una tarjeta que, a efectos prácticos funciona como una tarjeta de crédito normal, pero no está asociada a ninguna cuenta bancaria, sino que funciona como recargable. Las ventajas son evidentes y es el sistema más recomendable.
Phishing y derivados
Debe tener siempre presente, que ni su banco, ni su ISP o cualquier otro servicio le pedirán nunca por mail o teléfono que por motivos de seguridad, administración o cualquier otro, facilite sus datos personales.
Siempre que desee acceder a cualquier servicio bancario on-line abra una ventana nueva de su navegador y teclee personalmente la dirección del mismo, jamás lo haga mediante enlaces o hipervinculos que reciba por mail o vea en cualquier otra web.
Asegurese de encontrarse en un servidor seguro y que la dirección que vea en la barra de direcciones sea la que corresponde con el sitio oficial de su entidad, las direcciones de servidores seguros deben comenzar por «https://» y tiene que aparecer un icono de un candado en su navegador. (según navegadores)
A Tener en Cuenta:
- No introduzca ningún dato en los formularios de los que desconozca su origen.
- No haga click con su ratón en los enlaces bancarios recibidos por e-mail.
- Asegurese de estar en un servidor seguro antes de realizar cualquier operación.
E-mail, Scam y Hoaxes
Desconfíe de cualquier mensaje que reciba de remitente desconocido, por muy sugerente que le resulte el asunto, lo mejor que puede hacer es borrarlo directamente.
Tenga cuidado con las ofertas de trabajo que reciba por email, principalmente de aquellas que ofrecen condiciones muy ventajosas, habitualmente se le ofrecerá que gestione a través de sus cuentas ciertas cantidades de dinero, por las que usted se quedará un porcentaje, esta es una versión moderna del timo de «Las Cartas Nigerianas» y con ello, usted esta blanqueando dinero procedente de actividades ilícitas y por lo tanto, cometiendo un delito.
Procure no caer en la tentación de reenviar los mensajes en cadena, conocidos como HOAX, pues solo conseguirá perjudicar y congestionar los servidores de correo, asi como facilitar una gran base de datos de cuentas de correo al autor que habitualmente son vendidas y usadas para el envio de mensajes de publicidad no deseados, conocidos como SPAM e intentos de fraude PHISHING.
Medios de pago seguros y recomendaciones de seguridad
Internet además de una fuente inagotable de información, supone el acceso a un mercado global de incalculables proporciones, esto da la posibilidad de comprar un mismo producto al mejor precio, ya sea por adquirirlo con un cambio de divisa muy favorable o simplemente por que la gran cantidad de oferta disponible facilita una mayor competitividad en los precios.
Como ve, son todo ventajas, sin embargo, ahora que tiene una idea sobre los riesgos que puede suponer operar por internet, tal vez sienta cierto recelo, nada más lejos de la realidad, la información, junto con la observación de unas mínimas precauciones son su mejor baza para realizar todo tipo de operaciones en la red con seguridad.
Veamos ahora algunos medios de pago, surgidos de la necesidad de ofrecer un medio seguro y accesible globalmente, que reuniera, por un lado, la protección de los datos de las partes y a su vez ofreciera cierta seguridad a la hora de proteger los intereses de sus usuarios.
PAYPAL
Sin duda es la forma de pago basada en internet más extendida a nivel mundial y en este momento la preferida por compradores y vendedores. Su funcionamiento es realmente sencillo y clave en su éxito.
Paypal opera relacionando una dirección de correo electrónico con uno o varios medios de pago tradicionales, de tal manera que a la hora de realizar una transacción no se comparten sus datos bancarios, sino solamente direcciones de correo. Evitando así cargos no autorizados indeseados.
La única condición es que ambas partes deben contar con una cuenta en Paypal, lo que no supone problema alguno, puesto que la mayoría de las tiendas en internet permiten pagar por este medio.
Características:
- Privacidad de su información personal y datos bancarios
- Protección del comprador en caso de no recibir el producto, productos dañados, falsificaciones y otras incidencias (hasta el 100% según casos)
- Pago y cobro inmediato
- Plataforma compatible con cualquier medio de pago tradicional a nivel mundial
GOOGLE CHECKOUT
Se trata de otro servicio de pagos en línea, proporcionado por el gigante Google, su funcionamiento es muy semejante a Paypal, en este caso Google Checkout hace de intermediario entre compradores y vendedores, manteniendo igualmente la privacidad de los datos personales y bancarios entre ambos.
La diferencia más característica es que este es un sistema de pago inmediato en el sentido en que no proporciona una «cuenta virtual» donde poder tener fondos, como sí permite Paypal, sino que hace de puente entre comprador y vendedor, realizándose el cargo contra la tarjeta de crédito en el momento de realizar la compra, como si, efectivamente hubiera pagado con ella.
Pago mediante móvil, NFC
El uso de terminales de telefonía móvil para realizar pagos, no es algo nuevo, ya hace algunos años, en España funcionaba el sistema MOBIPAY, que permitía hacer micropagos de forma rápida y segura.
Básicamente consistía en asociar una tarjeta de crédito al número de teléfono, de tal manera que cuando se quería realizar un cargo, solo había que proporcionar el número de teléfono. En ese momento el sistema remitía un SMS con detalles de la operación y un código que permitía autorizarla en el terminal del establecimiento. Desgraciadamente no tuvo la acogida esperada y cayo en desuso, sin embargo en otros países como Japón se encuentra muy extendido como medio de pago para pequeñas operaciones.
De nuevo Google, lleva tiempo preparando el lanzamiento de un servicio de «monedero virtual» que recoja el testigo y pueda expandirse como un standard mundial. En este caso han apostado por la tecnología NFC (near field communications) está, proporciona la posibilidad de comunicarse a sistemas compatibles dentro del radio de acción, para que funcione, ambos equipos, terminal de pago y dispositivo móvil deben estar equipados con NFC, de momento solamente unos pocos teléfonos móviles llevan incorporada esta tecnología, el Nexus S Android es uno de ellos, aunque su número irá aumentando progresivamente.
El concepto, inspirado en los sistemas anteriores, pasaría por integrar en la tarjeta SIM del terminal móvil un chip NFC asociado a una tarjeta de crédito o a la propia cuenta de la operadora prestataria del servicio. Para efectuar un pago, solo habría que acercar el móvil a unos centímetros del terminal de pago y confirmar la operación.
En España, los principales operadores han suscrito un acuerdo para favorecer la implantación de NFC, se calcula que a mediados de 2013, al menos un 30% de los teléfonos móviles estarían dotados de esta característica.
Consejo: Actualmente todas las entidades bancarias, disponen de un servicio de aviso de nuevos cargos mediante SMS, solicitarlo es una medida de seguridad más que recomendable, imprescindible.
Al hacerlo, cada vez que se efectué un cargo en cualquier de sus tarjetas o cuentas bancarias, recibirá un mensaje en su móvil con los detalles del mismo, de este modo en caso de no reconocer el pago, podrá de forma inmediata ponerlo en conocimiento de su entidad bancaria y evitar el robo de su dinero.
Consideraciones Finales
Esta es una pequeña guia orientativa para poder protegerse de forma más efectiva en la red, no obstante la mejor herramienta es el propio sentido común y la experiencia. Úselos¡
Si desea más información le recomiendo el libro Fraude en la Red, editorial Ra-Ma, escrito por el autor de este blog, Diego Guerrero.
La curiosa guía sobre navegadores e Internet
Por Diego Guerrero - Seguridad - 3 junio, 2011
A finales del año pasado Google publicó un pequeña guía, en formato libro web ilustrado titulada «20 cosas que aprendí sobre navegadores e internet«, debido a su éxito, los chicos de Google, acaban de presentar una nueva versión, ahora disponible en 15 idiomas, entre ellos el Castellano y como guinda, han liberado el código. Una combinación de HTML5, CSS y JavaScript, para que cualquiera pueda experimentar con este nuevo formato propuesto de libro digital, que por sus características, se asemeja enormemente a uno tradicional, pero convenientemente adaptado al momento actual.
Quienes estén interesados pueden jugar con el código fuente y crear sus propios libros, esta posibilidad, seguramente atraerá a muchos, realmente tanto el formato como las distintas funciones que incorpora; Lectura offline, efecto luces apagadas, compartir en redes sociales, memoria de página… Hacen de él una herramienta práctica, de sencillo manejo y extremadamente útil.
En cuanto al contenido, estamos ante una guía básica, ilustrada por Christoph Niemann sobre algunas de las características más importantes referidas a los navegadores y a Internet, en ella, a través de sencillos conceptos y explicaciones aptas para cualquier perfil de usuario, el lector podrá comprender en pocos minutos algunas de las capacidades más habituales de cualquier web browser; HTML5, DNS, Cookies, extensiones, privacidad, computación en la nube…. hasta un total de 20.
La integridad de los navegadores web es actualmente uno de los dolores de cabeza de los desarrolladores, constantemente se descubren nuevos agujeros de seguridad, mediante los que un usuario malintencionado puede obtener datos personales e incluso usurpar la identidad de los afectados, con el riesgo que esto supone.
A lo largo de tres de sus capítulos; Software malintencionado, phishing y riesgos de seguridad, Como te protegen los navegadores actuales del phishing y del software malintencionado y Aprende a leer las URL para proteger tu seguridad. El lector adquirirá las destrezas y nociones básicas para evitar cualquier percance.
Por último mencionar que la versión original, obtuvo la Nominación de Honor Especial en la en la 15ava Edición de los Premios Anuales Webby en las categorías de Educación, Mejor Diseño Visual y Mejores Prácticas. Para aprender más acerca de los detalles técnicos tras las mejores funcionalidades del libro, podéis leer este post en el Google Code Blog.
Fraude en la Red
Por Diego Guerrero - Libros publicados - 30 mayo, 2011
Acaba de salir a la venta la obra -Fraude en la Red-, publicada por editorial RA-MA y escrita por el autor de este sitio blog, Diego Guerrero.
Se trata del primer libro publicado, completamente en castellano, dedicado íntegramente a las estafas y al fraude realizado mediante el uso de nuevas tecnologías.
Robos de datos bancarios, estafas en ventas a través de internet, ofertas falsas de trabajo, protección de datos personales, consejos de seguridad y recomendaciones, son algunos de los temas que aborda el libro, siempre de forma amena, con ejemplos reales y comprensible para cualquier usuario.
Si desea más información o adquirir un ejemplar, acuda a su librería habitual, o bien haga clic aquí
Secuestro de sesiones en redes WIFI Públicas
Por Diego Guerrero - Seguridad - 30 mayo, 2011
Actualmente, más aún con la proliferación de smartphones y dispositivos móviles, preparados para acceder a Internet a través de redes inalámbricas, están proliferando las zonas con WIFI gratuito, libre, o con facilidades de acceso para múltipes usuarios, hablamos de aeropuertos, universidades, cafeterías, hospitales, hoteles, centros públicos… en definitiva, cualquier lugar donde el acceso tenga medidas de seguridad limitadas o inexistentes y desde el que se conecte una colectividad de usuarios.
Siempre han existido procedimientos, para que un usuario avanzado y malintencionado pudiera espiar los datos que se envían mediante estos métodos de acceso vulnerables, sin embargo, es ahora cuando el riesgo es más elevado, con la aparición de Firesheep.
Firesheep es un extensión del navegador Firefox, funcional tanto en Windows como en Mac OS X, que permite a su usuario monitorizar el tráfico de la red wifi a la que se encuentra conectado, concretamente a la busca y captura de inicios de sesión, almacenando y mostrando al usuario de Firesheep, el nombre y contraseña obtenidos.
Afecta únicamente a aquellos inicios de sesión, realizados mediante paginas web no seguras, es decir, aquellas cuya dirección empieza por Http:// , esto significa, que cualquier acceso a las distintas redes sociales, servicios de correo gratuitos, windows live, foros, o cualesquiera otro tipo de servicios, que no accedan mediante protocolos de red segura, del tipo Https:// o SSL, son vulnerables a esta herramienta.
Firesheep, como se puede ver en la imagen, se presenta como una barra lateral en vuestro navegador, una vez iniciada la captura de datos, irá mostrando cualquier información de acceso obtenida, información que, en pocos minutos, de forma inmediata, el usuario de Firesheep podrá emplear a su vez, suplantándo su identidad.
Su funcionamiento es muy simple, básicamente aprovecha una vulnerabilidad, presente en la mayoría se sitios web, es muy sencillo, muchos sites utilizan cierto grado de encriptación para el envío de sus nombres de usuario y contraseñas, sin embargo, igualmente, pocos encriptan los datos contenidos en las llamadas cookies, que, en este caso, se almacenan en su ordenador, para mantenerle conectado a su sesión, durante el tiempo en que se encuentre en el servidor.
En la práctica, Firesheep, captura las cookies de los usuarios de la red wifi, relativas a los inicios de sesión en sitios web predefinidos como; Gmail, Facebook, Twitter, Msn…etc, el procedimiento es conocido como «sidejacking«, posteriormente, muestra la cookies obtenidas al usuario malintencionado, permitiéndole suplantar la identidad del afectado, facilitándole de esta manera el acceso e inicio de sesión, en cualquier sitio web al que se haya conectado la víctima, mediante nombre y contraseña, que no este protegido por SSL o conexión segura HTTPS://
Como protegerse
- Evite acceder a sus perfiles de usuario cuando navegue a través de redes públicas
- Si usa Firefox, instale el complemento HTTPS Everywhere
- Si usa Google Chrome, instale KB SSL Enforcer
Ojo! Estos complementos, únicamente, a la hora de conectarse a su cuenta de, por ejemplo Gmail, si el proveedor del servicio permite el acceso mediante conexión segura, forzarán que así sea, evitando que programas como Firesheep se hagan con sus datos.
Sin embargo, existen muchos sitios web, la mayoría de las redes sociales, sin ir más lejos, que no permiten el acceso mediante conexión segura, por lo que, aunque los instale, seguirá siendo vulnerable.
Es imprescindible que los responsables de los sitios web afectados por esta vulnerabilidad, se conciencen cuanto antes del riesgo existente, modificando sus sistemas de acceso, haciéndolos más seguros, protegiendo de este modo la información personal de sus usuarios.
De que le sirve, una configuración de privacidad apropiada y múltiples opciones de personalización para proteger su intimidad, si, con una herramienta como Firesheep, cualquier usuario sin grandes conocimientos, puede lograr los datos. para acceder y tomar el control de su cuenta.
Página web del autor de Firesheep, pulsa aquí para verla.
Alerta Phishing
Por Diego Guerrero - Seguridad - 30 mayo, 2011
Ultimamente, uno de los fraudes más comunes que podemos ver, consiste en la recepción de mensajes de correo falsos de diversas entidades bancarias, de las que, usted puede o no ser cliente, donde se le solicita por distintos motivos que facilite sus datos, asi como que introduzca su código PIN.
Características:
- Copia exacta de páginas bancarias oficiales
- Solicitud de introducir datos personales
- Petición de código PIN
Resultan especialmente peligrosas, pues para esto utilizan reproducciones casí perfectas de las páginas bancarias originales así como de los e-mail, para conseguir sus objetivos.
Recuerde:
Su entidad bancaria en ningún caso le solicitará claves de acceso por correo electrónico ni por ningún otro medio, lo mismo ocurre en relación a empresas de envío de dinero, tipo Paypal, Google Checkout o cualquier otra en la que sean necesarios datos personales y bancarios para operar.