Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Los derechos humanos, la privacidad y la libertad han fallecido en Internet y en el telefóno. Rogad a Dios en caridad por la privacidad de los usuarios de Internet, los usuarios del teléfono fijo y los usuarios del teléfono móvil que han desaparecido el pasado día 14 de diciembre de 2005 en el Parlamento Europeo.

Esto no es una broma, es la triste realidad a la que han llegado los representantes de los 450 millones de europeos que a partir de ahora sus comunicaciones telefónicas y por Internet serán almacenadas por un plazo entre 6 meses y 4 años, con el supuesto objetivo de ser utilizadas en casos de lucha contra el terrorismo.

Entre otras cuestiones se almacenará al destinatario de nuestras llamadas, las direcciones de páginas visitadas, los contenidos descargados e incluso el lugar desde donde se realiza una llamada de teléfono móvil.

La Comunidad Europea ha aprobado un texto que obliga a las compañías de telefonía a almacenar todos estos datos de tráfico de sus clientes, para que posteriormente los gobiernos y agencias de policía puedan utilizar estos datos para investigar seas o no sospechoso de algún delito.

Y en todo este “negocio” están algunos sectores que ya reivindican derechos sobre esos datos privados, como es el caso de las compañías discográficas que los reclaman para luchar contra la  libre divulgación universal de la cultura.

La propuesta que ha sido promovida por el gobierno británico ha sido aprobada con el consenso de socialistas y populares por 378 votos a favor y 197 votos en contra.

Y digo yo … ¿Por qué se ponen de acuerdo socialistas y populares precisamente en este tema y no en otros que sí son necesarios? ¿No vulnera la Constitución esta Ley?

En esta ocasión se trata de una web muy peligrosa debido a que se anuncia en Google como enlace patrocinador. La web falsa es:

http://www.recarga-facil.net (advertencia: web fraudulenta)
http://207.210.221.212 (advertencia: web fraudulenta)

Esta página esta perfectamente diseñada, con logotipos de los bancos y tarjetas, y sirve de trampa para los usuarios que pretenden recargar sus móviles. Una vez tecleados los datos bancarios aparece una pantalla de  verificación, no llegandose a realizar la citada recarga de saldo en el teléfono móvil, mientras que los creadores de la página recaban esos datos bancarios. Si no se incluye ningún tipo de dato también aparece la citada pantalla de verificación. Por último el sitio no ofrece una conexión segura.

La Brigada de Asuntos Internos de la Policía de Madrid, está realizando una operación contra la Unidad de Documentación (DNI) alertada por una denuncia anónima de una persona que manifestó que se estaba facilitando datos personales de 25.000 personas. Los datos han sido facilitados presuntamente a grandes empresas para uso comercial. Como consecuencia de la operación ha sido destituido de su cargo el responsable de la Unidad de Documentación. Según las averiguaciones es el principal sospechoso debido a que había llevado a cabo reuniones con las grandes empresas para informarse y obtener ayuda acerca de como gestionaban los datos digitales de sus clientes e incorporar esta información al plan sobre el nuevo DNI digital.

La denuncia se produjo hace varios meses y ha sido esta semana cuando los agentes de Asuntos Internos interrumpieron en las oficinas del centro e intervinieron más de 500 hojas con los datos de los titulares de DNI y otros datos privados de 25.000 personas.

El delito presuntamente cometido por los responsables de este acto delictivo es el de malversación, cohecho y prevaricación. Y el principal sospechoso es el responsable de la unidad el comisario S. S. A. dependiente de la Unidad de Extranjería y Documentación.

Este acto delictivo vulnera la Ley de Protección de Datos  que contempla que los datos personales solo pueden ser transferidos a terceros con el consentimiento previo del interesado y con previa información al interesado de la finalidad del fichero, naturaleza de los datos y el nombre y dirección del cesionario.

Una sentencia judicial, en concreto la sentencia en el caso “COAPI”, dicta que es delito espiar los correos electrónicos de un trabajador por la empresa que lo tiene contratado. Esto es así sean cuales sean los fines que pretende la empresa en relación con dichos emails del trabajador, ya que vulnera el derecho a la intimidad de dicho trabajador. Sin duda, este sentencia crea un antecedente y marca el rumbo que deben tener las políticas de las empresas respecto a la intimidad del correo electrónico de sus empleados.

El espionaje de los correos electrónicos es considerado como delito de descubrimiento y revelación de secretos, una vulneración de la intimidad personal en la variante del derecho al secreto de las comunicaciones. Este delito es el mismo que leer la correspondencia por carta de cualquier ciudadano. Se da un paso hacia adelante en la lucha por la privacidad virtual, aunque las empresas lo tendrán más complicado para poder conocer si sus empleados evaden su trabajo.

Desde hacía tiempo, era conocido que algunos (¿bastantes?) fabricantes de impresoras, como Canon y Xerox) incorporaban una especie de código oculto en los documentos que eran impresos mediante éstas impresoras. Una especie de huella que identifica de forma clara y concreta qué impresora ha sido la que ha lanzado ese documento. Ahora en Barrapunto, nos comentan que este código ha sido descifrado por la EFF (Electronic Frontier Fondation), e incluso muestran un formulario que es válido para “decodificar” parte de esta información.

Llegados a este punto, una simple impresora podría comprometer seriamente la privacidad de los usuarios, de empresas e incluso de países. ¿Es realmente ético y lícito esto? Porque evidentemente, de este hecho en el manual o en el contraro de compra, ni mu.

Parece que Francia no ve con buenos ojos que en sus centros de investigación se utilice el software propietario Skype, especialmente por tratarse de un software perteneciente a una empresa estadounidense y de código cerrado, según comentan en el diario Cinco Días:

“Las perspectivas de reducción de costes que este sistema presenta para empresas y Administración no son nada desdeñables. Y, sin embargo, Francia lo ha prohibido en sus universidades y laboratorios de investigación públicos, escasos de fondos, sin muchos miramientos, al igual que todos los programas P2P. En una circular remitida a los servicios informáticos del sector de investigación la pasada semana y revelada por la revista online Ratiatum, el Ministerio de Educación e Investigación insta a eliminar Skype ‘para proteger el patrimonio científico de Francia’, según explicó a la prensa gala Bernard Vors, alto funcionario del Ministerio de Defensa y autor de la misiva.

Los temores de la Administración del país se apoyan en la opacidad de los protocolos de comunicación de Skype, originales y diferentes de aquellos de sus competidores. Es decir, pueden existir comunicaciones (el sistema también permite enviar archivos) que transiten por este sistema sin que el Estado francés tenga acceso a ellas. En otras palabras, sin que pueda interceptarlas.“

Parece claro que Francia no quiere exponer sus datos más sensibles en cuanto a investigación y desarrollo se refiere, debido a que no pueden controlar el protocolo de este software por ser propietario de Ebay, y no usar un protocolo público. ¿Debería Skype ceder su código fuente para uso al menos por las instituciones públicas mundiales, como ya ha ocurrido con otros software propietaros? Otra opción, siempre puede ser usar software libre.

Los cyberladrones lo van a tener más difícil en el estado de California, pionero en evitar el fraude por phishing, al decretar una ley que trata específicamente este tipo de ataque.

Las compañías financieras hasta el momento han evitado tomar cartas en el asunto debido a que les salía más barato pagar los fraudes que poner medios contra este tipo de fraude muy sofisticado, sin embargo, y  según publica el Wired News “los consumidores que caen presa a estos scams pagan un precio que va más allá de pérdidas financieras: inconveniencia, tensión y, en algunos casos, daños en sus informes de crédito que son difíciles de suprimir. Consecuentemente, los legisladores necesitan hacer más que los nuevos castigos para los phishers: necesitan crear los nuevos incentivos resistentes que forzarán con eficacia a compañías financieras, cambiar el status quo y mejorar la manera en que protegen los activos de sus clientes. Desafortunadamente, la ley de California no hace nada de esto“

La nueva legislación fue decretada haciendo que el phising se considere legalmente como un acto delictivo. Pero la ley no ayudará, porque el phishing es justo una táctica.
Esto lo distingue de los gusanos y de los virus, que explotan vulnerabilidades de código en el equipo informático, mientras que phishing explota el significado humano más bien que la lógica del equipo. Las víctimas son la gente que aporta los emails y visita webs que hacen creer a sus visitantes que son legítimos.

A pesar de ello, esta ley sin duda es un paso adelante para acotar a estos ciberdelincuentes.

En esta ocasión el ataque está siendo dirigido hacia la web del Banco Popular y los ciberladrones están sofisticando los correos conteniendo un “aviso de alerta de correos falsos” para hacer creer al cliente que es un correo verdadero del Banco Popular y en realidad es un correo malicioso para descubrir las claves y datos bancarios de sus victimas. El ataque de phishing también apunta a una web falsa, la cual al menos es bastante fácil de ver como falsa: www2.bancopopular.es.isapi.tk

El correo electrónico recibido tiene el siguiente formato (Recuerde que es FALSO):

************CORREO***************

From: Oficina Internet
To: xxxxx@xxxxx
Sent: Saturday, October 01, 2005 7:49 PM
Subject: ¡ALERTA CORREOS FALSOS!

¡Querido y apreciado usuario de Grupo Banco Popular!

La empresa Grupo Banco Popular mantiene un alto grado de seguridad para sus clients. Nos llego información de que algunos de nuestros clientes reciben cartas por correo electrónico, mandadas por Grupo Banco, de lo que sacamos la conclusión de que tercera persona ha tenido acceso inautorizado a sus cuentas. En éstas le aconsejan ir a una dirección web que parece a la de Grupo Banco Popular, de modo que para poder obtener acceso ellos tienen que introducer de nuevo sus datos personales de Grupo Banco.

Grupo Banco Popular no tiene nada que ver con estas cartas y ésta no es nuestra dirección web. En caso de recibir una carta semejante, le pedimos que se ponga en contacto con Grupo Banco Popular directamente en el número 912 125 001.

Grupo Banco presenta con orgullo su renovado sistema de seguridad. Hemos renovado nuestros servidores SSL, que están protegidos contra fraudes y ponen a la disposición de nuestros clientes un mayor grado de protección en la red, de modo que la información de sus cuentas y sus datos personales son codificados durante todo el tiempo.

Por causa de la renovación reciente del sistema Usted tiene que renovar y confirmar sus datos personales en la siguiente direccion portal de Banca por Internet:

https://www2.bancopopular.es/AppBPE/servlet/servin?p_pm=bo&p_pf=c&p_id=esp

Grupo Banco Popular S.A.

**********FIN DEL CORREO************

Como se puede comprobar el correo contiene un asunto que a muchos clientes pueden hacer dudar y esta confusión puede llevar a muchos a usuarios verificar sus datos, cuando realmente están dando sus claves. El asunto engaño es: Subject: ¡ALERTA CORREOS FALSOS!

El correo indica que visite una web, pero el link de esta web es falsa y es similar a la entidad bancaria, pero además los cibercacos han creado unos nuevos formularios para modificar su firma (de forma ficticia) pero antes por supuesto debe teclear la antigua, esta técnica se conocen como ingeniería social (manipulación de las personas para que voluntariamente realicen actos que normalmente no harían).

La web falsa es:
http://www2.bancopopular.es.isapi.tk/AppBPE/servlet/servin.php?p_pm=bo&p_pf=c&p_id=esp

Una vez tecleado los primeros datos nos redirige a:
http://www2.bancopopular.es.isapi.tk/Bpemotor

Una vez realizado los teóricos cambios nos notifican que la operación no fue realizada por un fallo en el servidor SSL, cuando en realidad nunca estuvimos bajo una conexión segura.

Advertimos que la nueva técnica usada en este ataque de phishing es bastante peligrosa y puede llevar a confusión a muchos clientes de la banca online y “caer” en la trampa.

Más información en la web de la Asociación de Internautas

Ya adelantaba este miércoles que los delincuentes que realizaban ataques en la red, utilizaban intermediarios inocentes para blanquear su dinero y para realizar sus ataques. La confirmación ha venido de la mano de la revista Focus, quien ha declarado esta semana que los delincuentes captan intermediarios inocentes que realizan la misión de recibir el dinero estafado y posteriormente enviarlo a una cuenta bancaria propiedad de los estafadores.

Para captar estos intermediarios los delincuentes se sirven de diversos métodos. Un ejemplo lo constituyen las ofertas de trabajo con elevados sueldos y trabajos por Internet desde casa.

El phishing está dando muchos quebraderos de cabeza a las entidades financieras y a particulares, ya que tras los ataques de phishing los delincuentes suelen descuidar la información robada y está es aprovechada por otros estafadores.

Los delincuentes después de haber desvalijado las cuentas bancarias de sus victimas, dejan desprotegida la información sobre claves de acceso, números bancarios, números de tarjetas y otra información sensible. Cualquier otro delincuente puede acceder a estos datos  y continuar la labor de sus predecesores.

La empresa de seguridad CSIS ha realizado una prueba en un servidor que había sido utilizado para realizar un ataque malicioso contra el servicio de Paypal y el resultado del estudio ha sido que el servidor estaba en un “estado deplorable de seguridad de y era posible acceder a sus contenidos”.

Añade la citada empresa que las prácticas están cambiando y últimamente los delincuentes están usando páginas con cifrado SSL, con el fin de que los sitios falsos parezcan reales “aunque aparezca un candado en la barra del navegador, no es seguro que se trate del sitio real”. En estos casos es aconsejable hacer doble clic en el candado para comprobar el certificado de seguridad.

Según otro estudio de Symantec, el 0.8 % de los e-mails enviados en todo el mundo son intentos de phishing. 5´7 millones de ataques de phishing  al día durante los seis primeros meses del año, lo que supone un aumento del 100% con respecto al semestre anterior y se sitúa en 40 millones de ataques a la semana. (ayer ya os comentabamos el incremento de software malicioso en búsqueda de beneficios económicos)

El estudio de Symantec también revela otros datos de interés al manifestar que ha aumentado un 54 por ciento con respecto al semestre anterior el número de ataques para capturar información confidencial, y que los ataques se centran cada vez más hacia equipos de particulares.

Por países España se sitúa en tercer lugar, por detrás de Gran Bretaña y EEUU. Los códigos maliciosos son cada vez más sofisticados y es muy probable que a medida que aumenten los beneficios económicos aumenten los códigos maliciosos indetectables para utilizarlos en redes bot, con capacidad para desactivar antivirus, cortafuegos y otras medidas preventivas.

El que los ataques se dirijan cada vez más hacia el beneficio económico, lo corrobora el comité llamado Grupo de Trabajo contra el Phishing, quien ha afirmado que el sector financiero es el destinatario del 86 % de los ataques de phishing, y han aumentado las infecciones de virus que permiten la sustracción de claves y datos personales.

Esta organización ha dado un dato de interés:

“Entre los meses de junio y julio han descendido el número de fraudes llamados convencionales, pero han aumentado los ataques con código malicioso diseñado para robar información sensible o personal.

Asimismo los cyberdelincuentes han pasado a atacar a instituciones bancarias de menor tamaño, sabedores que las grandes instituciones financieras han adquirido experiencia a la hora de detectar y controlar los ataques