Uno de los últimos ataques de tipo *phishing* detectados riza el rizo de la suplantación haciéndose pasar por dos compañías a la vez: primero simula ser WeTransfer y luego Microsoft. Así lo han detectado los especialistas de Armorblox, una compañía dedicada a brindar seguridad a cuentas de correo electrónico corporativas en la nube.

El objetivo de este elaborado ataque no es otro que el de robar las credenciales de acceso a Office 365 de las potenciales víctimas, explican los responsables del hallazgo. Un robo que, en caso de producirse, daría acceso a los atacantes a correos electrónicos, documentos, hojas de cálculo, presentaciones, notas, conversaciones y un largo etcétera, dependiendo de las herramientas usadas por la empresa afectada.

Todo empieza con un correo que suplanta a WeTransfer

Correo que simula ser de WeTransfer. / Armorblox

El ataque detectado comienza con un correo electrónico que suplanta a WeTransfer y nos avisa de la supuesta recepción de unos ficheros. Como sabemos, este servicio es uno de tantos especializados en el envío de archivos grandes y se usa habitualmente en todo tipo de ámbitos, incluido el empresarial.

El mensaje recibido se asemeja a los enviados por esta plataforma y si no se presta demasiado atención a detalles como el correo electrónico remitente, que contiene un dominio que nada tiene que ver con WeTransfer, podría darse por bueno y pensarse que haciendo clic en Ver archivos veremos efectivamente los supuestos dos ficheros que han compartido con nosotros.

Correo que simula ser de WeTransfer. / Armorblox

En Genbeta

Es 2021, pero evitar muchas estafas de phishing sigue siendo tan simple como leer con atención

Si se hace clic en el enlace, las víctimas son conducidas a una página que simula ser de Microsoft. En este segundo phishing, más elaborado, vemos una hoja de cálculo de fondo difuminada y un formulario en primer plano, que simula ser de Microsoft Excel, en el que se solicita al usuario su dirección de correo electrónico y una contraseña para acceder al contenido.

Para revestir de mayor legitimidad al formulario, en un intento de generar confianza en la víctima, el campo del correo ya se encuentra rellenado con su dirección de correo electrónico. Si se rellena, pensándose que se trata de una web de Microsoft legítima, los atacantes habrán obtenido las credenciales de acceso a la plataforma de herramientas de los de Redmond.

Esta es una muestra más de la sofisticación e imaginación que emplean los atacantes para lograr sus objetivos con este tipo de ataques.

Los investigadores del Center for Information Technology Policy de la Universidad de Princeton que hace poco más de un mes revelaron que algunas de las webs más importantes del mundo graban lo que se hace en ellas, han publicado una segunda entrega de su serie sobre extracciones de información personal. Esta vez ponen el acento sobre el preocupante aprovechamiento de una vulnerabilidad conocida de los administradores de contraseñas integrados en navegadores.

Esta es, según sus afirmaciones, la primera investigación en demostrar que los gestores de inicio de sesión están siendo explotados por rastreadores web de terceros con el propósito de mejorar sus seguimientos recuperando y filtrando identificadores de usuarios sin que ellos se den cuenta.

Las averiguaciones de estos expertos deben advertirnos sobre la posibilidad de que compañías de publicidad y análisis pueden estar extrayendo secretamente los nombres de usuario de los navegadores empleando para ellos campos de inicio de sesión ocultos, relacionando a los usuarios no autentificados que visitan un portal con sus cuentas en ese lugar.

Una vulnerabilidad conocida y reaprovechada

La vulnerabilidad de estos administradores de credenciales tiene al menos un lustro, existiendo artículos y comentarios en foros hablando sobre ella desde 2012, cuando esencialmente preocupaba la posibilidad de una extracción de contraseñas en ataques XSS, pasando por alto el problema de privacidad subyacente.

Porque de los 50.000 sitios analizados por los investigadores de Princeton, ninguno robaba contraseñas mediante este método, pero sí extraen direcciones de correo electrónico para construir identificaciones de seguimiento con las que rastrear a sus usuarios.

El método que siguen resulta sencillo. Partiendo de la base de que un usuario ha rellenado un formulario de inicio de sesión de una web y ha pedido al navegador que guarde los datos, en otras páginas de esa misma web un script de seguimiento de terceros incrusta un formulario de inicio de sesión invisible que se completa automáticamente por el gestor del navegador. Con el dato del usuario, un apodo o una dirección de corre electrónico, se crea un hash que se puede vincular con él.

Cabe destacar que esto solamente sucede dentro de un dominio concreto con las credenciales guardadas para ese dominio concreto, por lo que no es posible acceder a las credenciales guardadas de otros sitios web.

"La eliminación de cookies, el uso del modo de navegación privada o el cambio de dispositivos no impedirá el seguimiento" y, además, "se puede utilizar para conectar las piezas de un perfil en línea dispersas por diferentes navegadores, dispositivos y aplicaciones móviles", aseguran los investigadores.

Cualquiera puede comprobar la vulnerabilidad, introduciendo y haciendo recordar al navegador credenciales falsas, a través de esta página de demostración creada por los especialistas en privacidad del Center for Information Technology Policy de la Universidad de Princeton.

Gracias a la página de pruebas hemos podido comprobar cómo Chrome, Firefox, Edge y Opera parecen ser vulnerables a este tipo de extracción de información mediante formulario oculto. Sin embargo, cabe señalar que los dos navegadores basados en Chromium, Chrome y Opera, únicamente brindan al rastreador web el dato de la contraseña si se realiza algún clic en la página.

De momento, los investigadores solamente han detectado esta práctica en dos servicios encontrados en 1.110 sitios de la lista del millón de sitios webs más importantes según Alexa.

En Genbeta | El correo electrónico cifrado de extremo a extremo de ProtonMail llega a Outlook, Thunderbird y Apple Mail

El problema del ciberacoso es un problema creciente en una sociedad cada vez más conectada a la red, sobre todo cuando afecta a los más jóvenes. Lo recomendable suele ser que los padres mantengan conversaciones con sus hijos sobre lo que hacen en Internet, y en el caso de los pequeños que no duden ni un momento en contárselo a sus padres o a algún adulto de su confianza. La ley está de su lado.

Pero nunca está de más que las páginas que más visitan los jóvenes también tengan mecanismos para denunciar el acoso. Y de hecho, afortunadamente casi todas los tienen. Por eso hoy vamos a repasar cual es el proceso para denunciar el bullying o ciberacoso en las principales redes sociales de Internet.

Los mensajes de Internet pueden ser efímeros, por lo que una recomendación común es que guardemos capturas o las URLs de los mensajes que queramos denunciar para asegurarnos de conservar las pruebas. De hecho veremos que prácticamente todas las grandes redes sociales incluyen un espacio en el que describir la agresión, lugar en el que es recomendable meter todos los datos posibles, direcciones y capturas incluidas.

Cómo denunciar el ciberacoso en Facebook

Facebook tiene varias maneras de permitirnos reportar que nos están acosando. La más completa es ir al perfil del acosador y, como vemos en la imagen, darle a la opción "Denunciar". Una vez allí, tratándose de ciberacoso tendremos que ir escogiendo las opciones Esta persona me está molestando y Publica cosas molestas. Al hacerlo, Facebook nos permitirá bloquearlo, ocultarlo, enviar un mensaje para hablarlo o enviarle la denuncia a la red social para que la revise.

Messenger también tiene una opción en su menú para reportar una conversación como spam o abusiva. Además, en los Accesos directos de privacidad de Facebook, a los que accedemos al hacer click sobre el candado de la barra superior, tenemos la opción ¿Cómo evito que alguien me moleste? con la que podremos elegir el nombre del usuario en cuestión para bloquearlo automáticamente.

Por último, también tenemos una web desde la que enviar nuestras denuncias aunque no estemos registrados en la red social. Eso sí, tendremos que incluir enlaces a los mensajes con los que nos acose, fechas y una descripción de los hechos.

Cómo denunciar el ciberacoso en Twitter

Twitter también tiene una mecánica sumamente sencilla para denunciar los abusos, y la aplica tanto para que podamos reportar un tuit en concreto o toda una cuenta. Lo único que tendremos que hacer es darle al icono de opciones de la cuenta o perfil y elegir la opción "Reportar". A partir de ahí sólo tendremos que concretar nuestro caso eligiendo las opciones que se lo presenten.

En el caso de un perfil completo,, tras darle la opción de Reportar tendremos que elegir las opciones Está siendo abusivo o perjudicial y Participa en acoso o violencia. Entonces tendremos la opción de decir si nos acosan a nosotros o a otra persona. Después especificaremos si son mensajes son Irrespetuosos u ofensivos, si simplemente Nos están acosando o Amenazando con violencia o daño físico. Por último tendremoss la opción de escribir un texto explicando qué está pasando.

Por último, Twitter también cuenta con un formulario en su web en el que podemos elegir las opciones que más se acerquen al tipo de acoso que estemos sufriendo, meter nuestros datos y los de el acosador, y explicar el problema en un cuadro de texto. Cuando enviemos la denuncia recibiremos una copia que le podremos proporcionar a las autoridades.

Cómo denunciar el ciberacoso en Instagram

Instagram también tiene varias maneras de permitirnos denunciar anónimamente el acoso. En la web tendremos que ir a la publicación que nos ofenda, y hacer click a los puntos suspensivos para lanzar el menú con la opción Denunciar contenido inapropiado. A continuación sólo tendremos que elegir la opción Esta foto supone un riesgo para las personas y después elegir Acoso o intimidación.

En la versión móvil también tendremos unos pasos parecidos cuando le demos a la opción Denunciar. Además, si no estamos registrados o simplemente lo preferimos así, también tenemos el clásico formulario desde el que hacer la denuncia. Eso sí, si no somos usuarios tendremos que introducir nuestros datos completos, una descripción del problema y los enlaces al contenido ofensivo.

Cómo denunciar el ciberacoso en Snapchat

Snapchat no está a la altura de sus competidores en la batalla contra el ciberacoso, y eso se nota en que sólo ofrece un único medio para denunciarlo. No, no es mediante la aplicación sino con un formulario en el que tenemos que poner nuestros datos o los de la víctima y añadirle el nombre de usuario del agresor, la fecha en la que fue enviado el mensaje hiriente y una descripción de cómo han sucedido los hechos.

Cómo denunciar el ciberacoso en Reddit

Reddit es una de las comunidades online más grandes del mundo, y aunque cada subreddit o subforo que alberga tiene sus propias normas, tiene unas básicas de convivencia para evitar el acoso. Y también una sencilla mecánica de denuncia en lo que lo único que tenemos que hacer es buscar el mensaje en el que se nos ataca y darle a la opción Reportar que veremos debajo de él.

En el desplegable que se nos abre sólo tendremos que seleccionar el la opción Reddit rule: Spam. En ella aparecerán otras opciones, siendo la de de Threatening, harassing or inciting violence la adecuada para denunciar amenazas, persecución o incitación a la violencia. La denuncia se realizará de forma anónima y será revisada por la administración de Reddit.

Cómo denunciar el ciberacoso en Tumblr

Estando a caballo entre una red social y una comunidad, Tumblr también nos da la posibilidad de denunciar el ciberacoso, aunque se limita a hacerlo con un simple formulario. En él tendremos que elegir las opciones Alguien corre peligro y Acoso, y después elegir si somos los afectados o si es alguien a quien conocemos.

En cualquiera de los dos casos, tendremos que acabar introduciendo la URL de la publicación, nuestro nombre y correo electrónico. Si somos los afectados tendremos una opción para denunciar mensajes privados, en cuyo caso accederemos automáticamente a la bandeja de entrada para reportarlos desde ahí.

Cómo denunciar el ciberacoso en YouTube

Google también ha metido en YouTube algunas herramientas para poder reportar tanto los vídeos con los que puedan estar acosándonos como las posibles respuestas abusivas en alguno de los nuestros. Para denunciar el vídeo en sí sólo tenemos que darle al icono Más debajo del vídeo mostrado con puntos suspensivos, elegir el tipo de abuso que recibimos como vemos en la imagen, marcar el tiempo exacto en el que comienza el contenido a denunciar y proporcionar información.

En cuanto a los comentarios, a la derecha de cada uno hay un icono con tres puntos que nos permite desplegar el menú con la opción de denunciarlo. En la ventana que nos emergerá tendremos que elegir la opción Acoso o intimidación, y decir si nos acosa a nosotros u a otra persona. Luego sólo debemos darle a Informar sobre para aceptar el proceso y denunciar al usuario de forma anónima.

En Xataka | El problema del ciberacoso entre niños: éstas son sus cifras, ¿qué se puede hacer al respecto?

Si ya usáis una herramienta para automatizar el relleno de formularios, posiblemente la tengáis configurada para rellenar los datos a la hora de hacer un comentario en un post. Ahora bien, si no usáis ese tipo de herramientas pero soléis comentar mucho en diferentes blogs, podéis usar easyComment, una extensión de Firefox muy fácil de usar.

Aquí, en Genbeta, tenemos nuestro propio sistema (que necesita de registro). Sin embargo, muchos otros blogs cuentan con el sistema habitual de casillas con nombre, correo y sitio web. Y ahí es donde entra easyComment. Tras configurarla con los datos que usaremos, al estar en un post, con pinchar en el botón que nos aparece en la barra de estado, nuestros datos se insertarán de manera automática.

Podemos crear varios perfiles y cambiar entre ellos con un par de clics según comentemos en un sitio u otro. También es posible usar un atajo de teclado que podemos configurar en las opciones de la extensión. Según el autor, funciona en IntenseDebate, Wordpress, Movable Type, Disqus (aunque dice que se debe mejorar la integración con éste), etc.

Una extensión que simplifica mucho el proceso repetitivo de rellenar los datos para dejar un comentario de manera simple y rápida. Tras probarla un poco, creo que pasará a mi arsenal de extensiones si dudar ni un segundo.

Vía | Ghacks
Enlace | easyComment

Hace unos años en Genbeta les hablamos sobre "Formspring":https://www.genbeta.com/web/formspring-otro-generador-de-formularios-para-tu-web, una herramienta para crear formularios web avanzados, y que incluso contaba con una versión de pago. Bien, ahora los creadores de ese servicio regresan desde el más allá para traernos Formspring.me, que es como un "Formspring for Dummies", una versión muy (pero muy) simplificada del servicio enfocada en usuarios de redes sociales que deseen recibir y responder preguntas de caracter más personal.

La idea es bastante simple, se trata de una página personal, del tipo _formspring.me/nombredeusuario_, en la que existe una caja donde cualquier persona puede dejarnos preguntas, que nosotros recibiremos en la "Inbox". Una vez ahí tenemos la opción de responder la pregunta y publicarla, borrar la pregunta, o incluso bloquear la IP del usuario que la hizo si notamos que se trata de _troll_.

La popularidad de Formspring ha sido tal que se ha convertido en Trending Topic en Twitter durante las últimas horas, ya que cada cada vez que respondemos una pregunta se nos da la opción de compartirla en Twitter, acompañada del hashtag #formspringme. Para que se hagan una idea de la cantidad de gente que usa este servicio, al momento de escribir este post la búsqueda por ese hashtag arrojaba más de 5 nuevos tweets por segundo.

El problema de esto es que si Twitter y Facebook son intromisiones en la privacidad, Formspring.me constituye prácticamente una violación, aunque eso también es subjetivo, porque se nos da la opción de no permitir las preguntas anónimas. En fin, aquí simplemente cumplimos con informar y advertir de los pros y los contras del servicio, y está en cada uno de vosotros decidir si os sentís cómodos con este nivel de intromisión.

Enlace | "Formspring.me":http://www.formspring.me

Pareciera que Google Docs, poco a poco, va avanzando hasta convertirse en algo más que una herramienta ofimática web-bassed, sino más bien en un sistema de almacenamiento online que nos permita guardar en un solo lugar todo tipo de archivos y documentos. Decimos esto porque, si hace un tiempo Google Docs había agregado la posibilidad de almacenar y visualizar archivos PDF, hoy hace lo mismo pero con los álbumes de fotos, y además añade un interesante gestor de formularios.

Los álbumes de fotos de Google Docs todavía no están totalmente implementados, ya que no se nos permite subir imágenes a Google Docs, y ni siquiera ver nuestras fotos de Picasa. ¿Y entonces qué podemos hacer? De momento solo podemos acceder a docs.google.com/#photos y ahí usar la búsqueda instantánea de GDocs para buscar en nuestros álbumes públicos de Picasa. En todo caso, puede que ocurra lo mismo que pasó con el visualizador de documentos PDFs y que en las próximas horas tengamos totalmente operativa esta feature.

La funcionalidad de los formularios está algo más desarrollada. Nos permite agregar preguntas de forma fácil y rápida, las cuales pueden responderse por selección múltiple, escribiendo en un cuadro de texto, marcando checkboxes, etc. Además podemos reordenar los campos con un sencillo arrastrar y soltar. Una vez que hemos terminado tenemos la posibilidad de enviar el formulario por correo electrónico o incrustarlo en un sitio web. Las respuestas al formulario se agregarán automáticamente a una hoja de cálculo de Google Docs.

Sin duda se trata de una herramienta muy útil, que nos pondrá fáciles las cosas a la hora de hacer encuestas, sondeos, o cosas parecidas.

Vía | G.O.S., G.O.S.

Interesante incorporación a Google Docs, que nos permitirá la recogida de datos de usuarios de una forma sencilla. Se trata de formularios que podemos diseñar en la aplicación de hoja de cálculo y enviar a los usuarios que queremos que los rellenen.

Estos usuarios no necesitarán estar registrados en Google Docs, ni tampoco tenemos que compartir el documento original con ellos, por lo que no hay peligro de que modifiquen datos que no deberían. Una vez introducidos los datos estos se añadirán a la hoja de cálculo donde, posteriormente, podremos tratarlos nosotros.

Por si fuera poco, han añadido también un widget que podemos colocar en nuestra página de iGoogle que nos muestra los últimos formularios creados y cuando tenemos nuevas respuestas.

Más información | Google Docs Blog. Enlace | Google Docs.

Blogger vuelve a tomar un nuevo impulso a su plataforma añadiendo la opción de subir vídeos directamente desde el propio editor de entradas. Desde la barra de utilidades del propio editor, ya sea el editor en HTML o en wysiwyg, encontramos un botón nuevo que nos da acceso a un formulario que nos permite seleccionar y subir un vídeo, aceptando vídeos en formato AVI, MPEG, QuickTime, Real y Windows Media, siempre que no superen los 100 MB.

Entonces durante la subida podemos seguir redactando nuestra entrada e ir guardándola, pero no publicándola hasta que el procesado del vídeo haya terminado. Una vez hayamos publicado nuestra entrada, veremos el vídeo en cuestión a través de un reproductor propio de Blogger.

Vía | Mashable Enlace | Blogger

Y más herramientas a tener en cuenta para quienes deseen recopilar información a sus usuarios a través de los fomularios, y es que ahora toca hablar de Flovv, una herramienta simple para la creación de formularios online multipáginas. Lo único que hay que hacer es crear formularios y en ellos, en cada una de las páginas, insertar los elementos del formulario adaptando sus propiedades en función de nuestras necesidades así como establecer una serie de condiciones para no validar la información antes de pasar a la siguiente página.

De esta manera, una vez hayamos guardado y activado nuestro formulario, tendremos una url donde nuestros usuarios tendrán que rellenarlo y nosotros obtendremos esos datos desde nuestra cuenta de Flovv.

Se echa de menos disponer de código html así como herramientas de personalización de los formularios, pero para usuarios particulares y organizaciones puede ser una buena forma de recabar información en un momento dado sin necesidad de complicaciones.

Vía | Incubaweb Enlace | Flovv

La vida moderna es lo que tiene, que no disponemos del tiempo suficiente para realizar algunas actividades, como la gestión de nuestros futuros viajes. Pero una vez más la web 2.0 viene a nuestro rescate ahorrándonos tiempo para simplemente indicarles lo que queremos y necesitamos en nuestro futuro viaje y nos elegirá tres agencias de viajes que se pondrán en contacto con nosotros a través del medio que le hayamos indicado.

Hablamos de Tripology, una herramienta online en el que indicaremos nuestras necesidades como puedan ser los vuelos, cruceros, alquileres de coches, hoteles, etc, luego daremos más detalles del tipo de viajes que queremos como pueda ser el destino, el tiempo de permanencia o las actividades que queramos realizar.

Rellenamos el formulario en caso de que no estemos registrados o nos identificamos para que posteriormente se pongan en contacto con nosotros tres agencias seleccionadas que sus ofertas se ajusten a nuestras preferencias de la cual seleccionaremos a una de ellas que nos ayudará a organizarlo todo.

Vía | Diario del viajero Enlace | Sitio oficial de Tripology