A día de hoy, todavía son muchas las personas que son pescadas mediante técnicas de phishing por correo electrónico. Sin duda es un grave problema que coge desprevenidas a aquellos usuarios que no han oído hablar sobre esto. Las medidas de seguridad hasta ahora eran, a todas luces, insuficientes. Pero si algunas de las compañías más importantes en internet aúnan esfuerzos, seguro que algo bueno nacerá de la unión.

Y son 15 empresas las que planean trabajar conjuntamente en un nuevo sistema de lista blanca de dominios de correo electrónico. Entre ellas están Microsoft, Google, Facebook, Yahoo, PayPal, AOL o LinkedIn. Pero también se encuentran otras como Agari, Cloudmark, eCert, Return Path y Trusted Domain Project, que ofrecen servicios para incrementar la seguridad del correo electrónico.

La idea es buscar unas especificaciones estandarizadas mediante las cuales los receptores de un mensaje podrán validad la identidad del remitente del correo electrónico. Parece que dentro de poco ya no seremos empleados de la Casa Blanca por poner su logo en nuestra firma, sino que tendremos que pasar algún filtro más.

Todos estos pasos hacia un correo electrónico son muy importantes, y el hecho de ver trabajar juntas a empresas, en principio, enfrentadas, es una gran noticia. Pero sigue habiendo un factor contra el que es muy difícil luchar: el error del usuario. Es difícil mantener a tus contactos a salvo de posibles correos fraudulentos si la contraseña de cuenta de correo electrónico es el nombre de tu hijo, o tal vez la archiconocida 1234.

Vía | TechCrunch

Gracias a las medidas que ya se aplican, es posible detectar y cerrar rápidamente las cuentas creadas para enviar spam, por eso, según Microsoft, ahora los spammers recurren a secuestrar cuentas legítimas de usuarios y así poder enviar correo no deseado. Este secuestro de cuentas suele hacerse mediante phishing, keyloggers en ciber-cafés, y técnicas similares.

Para paliar este problema, Hotmail permitirá recuperar nuestra cuenta mediante un código secreto enviado por SMS al móvil, en caso de que seamos víctimas de este ataque.

Además, se dará la opción de añadir nuestro PC como un “Trusted PC”. Si hacemos esto, la cuenta de Windows Live se vinculará a ese ordenador, y en caso de que suframos un secuestro, bastará con que restauremos la contraseña desde ese PC para que Microsoft sepa que somos los auténticos propietarios de la cuenta, y podamos bloquear los accesos desde ubicaciones sospechosas.

Además, habrá más restricciones para cambiar las pruebas de seguridad que verifican nuestra identidad (ejemplo, pregunta secreta). Mientras antes bastaba con ingresar la contraseña, ahora además habrá que validar la prueba de seguridad que queremos cambiar.

Por último, a las cuentas secuestradas que hayan podido restaurarse se les desactivará por un tiempo los mensajes de auto-respuesta en vacaciones, y la posibilidad de vincular otras cuentas de Windows Live. De esta forma se evita que la cuenta vuelva a ser controlada por los spammers.

Más información | Inside Windows Live

Para intentar solucionar esto, Microsoft ha agregado la tecnología anti-phishing SmartScreen a Messenger, que analiza los links que visitamos y nos advierte en caso de que correspondan a sitios de seguridad dudosa (algo similar a lo que ya hace Facebook con los enlaces publicados allí). SmartScreen revisa cada enlace compartido a través de Windows Live (Messenger, Hotmail, SkyDrive, etc), y revisa su reputación en función de una base de datos que informa sobre su confiabilidad y cantidad de tráfico.

Si el sitio registra historial de fraudes vía phishing, se mostrará una pantalla de bloqueo en rojo que nos impedirá continuar, a menos que copiemos la URL y la peguemos en la barra de direcciones. Esto es algo que también hacen algunos navegadores (Chrome, Firefox, Internet Explorer), pero en este caso la protección es independiente del navegador: aunque usemos IE6, igual veremos la advertencia, ya que esta se genera por el hecho de hacer clic en el link desde algún sitio de Windows Live.

En caso de que el sitio sea confiable, se redirigirá automáticamente hacia el enlace original, y si no existe información sobre él (por ejemplo, es un blog con 10 visitas al mes) se mostrará una página intermedia, recordando al usuario “cuidar su contraseña” antes de continuar.

En lo personal creo que este filtro es una medida correcta, que será relativamente efectiva en cuanto a proteger a usuarios novatos (aquellas mismas personas a las que se le “instalan solas” decenas de barras de herramientas en el navegador). Sin embargo, para los usuarios medio-avanzados puede resultar un poco molesto. Es ahí donde sale a la luz el problema N°1 del filtro SmartScreen: no se puede desactivar.

Además, no estoy seguro de cuan útil sea la página de “Recuerda cuidar tu contraseña”, ya que es algo de perogrullo para la gran mayoría de las personas (no niego que a los más inexpertos les pueda servir). Si el filtro SmartScreen no ha encontrado riesgo en el enlace, ¿para qué hacer perder tiempo al usuario con una advertencia obvia?. En lo personal he encontrado muy molesto este sistema de seguridad, casi tanto o más que el tristemente famoso UAC de Windows Vista.

Esperemos que subsanen eso de aquí a la versión final de Messenger 2010. Basta con que agreguen una opción permitiendo desactivar SmartScreen a quien lo desee.

Más información | Inside Windows Live

En Internet, todo se mueve muy deprisa. También el malware, y las nuevas formas de phishing. Por suerte, ese nuevo método no ha sido descubierto por un hacker malicioso, sino por un desarrollador en Mozilla, Aza Raskin. La idea es simple: cuando el usuario no esté mirando la pestaña, cambiamos su aspecto para que parezca otra.

Este ataque puede ser realmente efectivo. No somos pocos los que acostumbramos a trabajar con varias pestañas, y lo que nos guía es su icono y su título. Tal y como pone como ejemplo Aza Raskin, el desarrollador de Mozilla que lo ha publicado, si hacemos clic en la pestaña con el icono de Gmail y vemos que nos pide hacer login otra vez porque no ha habido actividad, lo haríamos prácticamente sin dudar. Sin embargo, lo que podríamos estar haciendo es proporcionar nuestra información a terceras partes.

El alcance de un ataque de este tipo en una página muy visitada podría ser desastroso, combinando con otras vulnerabilidades y conociendo si el usuario ya ha hecho login o no. Simplemente como ejemplo: accedes a un artículo en Genbeta, a la que previamente han descubierto una vulnerabilidad XSS, mediante un enlace acortado para ocultar la URL. Cuando llegas, lees el artículo, y dejas la pestaña abierta. Con la vulnerabilidad XSS, se ejecuta el código malicioso y la página cambia a la pantalla de login de GMail. Entras en esa pestaña creyendo que es el Gmail real, introduces tus datos, y automáticamente ya han sido mandados a un tercero. Es sorprendentemente fácil caer, ¿verdad?

Podéis hacer la prueba en el artículo de Aza Raskin, que cambia a la pestaña de Gmail si pierde el foco durante un tiempo. Funciona sólo en Chrome y Firefox. Según Raskin, la mejor manera de evitar estos ataques sería cambiar a la autenticación basada en el navegador, que evitaría estas confusiones con URL falsas.

Vía | DownloadSquad
Más información | Aza Raskin
Vídeo | Vimeo

La verdad es que esta semana nos ha dejado muchas imágenes reseñables en el panorama del software e internet que merecerían ocupar esta sección, como por ejemplo la aprobación de la polémica “Ley Sinde”. Sin embargo he considerado más importante destacar este comunicado de Facebook, donde informan de un “problema” que al parecer afecta a un número alarmantemente alto de usuarios.

En él advierten que no es posible saber quienes visitaron nuestros perfiles, para intentar detener la proliferación de las aplicaciones malintencionadas que bajo nombres como “Quién visitó tu perfil?” aprovechan la curiosidad de los usuarios para acceder a sus cuentas. La traducción del texto de la imagen sería algo así:

No crea en ninguna aplicación que afirme que puede mostrar quién está viendo su perfil o fotografía: 1) No pueden, 2) Estamos desactivando agresivamente aquellas que afirman que pueden, y 3) Usted puede ayudar a pararlos aprendiendo a informar de estas aplicaciones en: http://www.fb.me/help/?faq=13237

Y es que parece ser que Facebook está teniendo verdaderos problemas con este tipo de ataques de phishing, hasta el punto de haber de desmentir que estas prácticas puedan llevarse a cabo, ya que atentarían contra la privacidad de los usuarios.

Así que aunque suene a tópico, debemos recordar ser siempre muy cautos, no sólo a la hora de facilitar nuestra contraseña, o agregar a amigos, sino tamibén a la hora de dar permisos a aplicaciones de terceros que quieran acceder a nuestras cuentas, porque sino algún día podríamos llevarnos un susto.

Vía | Webadictos, Incubaweb
Más Información | Facebook group

Parece ser que los usuarios de Twitter están sufriendo nuevos ataques de phishing, a través de una serie de mensajes directos, que se están propagando a gran velocidad por la red social.

Las víctimas reciben un DM con el texto “lol, is this you” y un enlace que las dirige a una web llamada “bzpharma”. Al acceder a ella, la cuenta resulta infectada facilitando a los spammers sus datos y enviando a todos sus contactos el mismo mensaje con el fin de infectar sus cuentas también.

Si recibís este mensaje no pasa nada, simplemente borradlo, ya que no perderemos el control de nuestra cuenta hasta que entremos en el enlace adjunto. Aunque si ya habéis entrado, aseguraros de cambiar vuestra contraseña lo antes posible para evitar problemas.

Vía | Mashable
Imagen | alex_lee2001

Debido a la posibilidad de que su cuenta haya sido comprometida en un ataque de phishing que tuvo lugar fuera-de-Twitter, su contraseña ha sido reiniciada

Esto obliga a cambiar la contraseña antes de poder acceder de nuevo al servicio. Algunos usuarios están recibiendo correos electrónicos con la misma información e instrucciones. Este es el procedimiento habitual para casos así, pero lo que no es habitual es que tantos usuarios hayan recibido el bloqueo a la vez, lo que indica que la posible amenaza parece estar bien extendida.

En los correos, hay una pista sobre el tipo de ataque phishing que puede haber desencadenado este movimiento por parte de Twitter. Se encuentra en una recomendación/recordatorio que se incluye al final del mensaje: “Debe ser extremadamente desconfiado sobre cualquier tercera parte que ofrezca la posibilidad de inflar artificialmente su número de seguidores. No aprobamos ninguno de estos sitios”.

Mira que lo decimos, este tipo de “servicios” por lo general no aportan nada real, y con mucha frecuencia ocultan otros propósitos, y más oscuros.

Vía | TechCrunch

Bit.ly, el acortador de direcciones web tremendamente presente en servicios como Twitter, empezará a comprobar las direcciones que acorta con el objetivo de mejorar la seguridad de los usuarios del servicio.

La razón por la cual han tomado esta medida es por el 20% de las direcciones acortadas por bit.ly que resultan ser malware o enlaces a webs que practican phishing. Así, si se detecta una amenaza, Bit.ly avisará al usuario antes de que éste entre en la página peligrosa.

Otros sericios como mu.ly previenen este tipo de engaños previsualizando las páginas, aunque una comprobación puede evitar que caigamos en trampas con páginas “calcadas” de servicios de banca en línea, por ejemplo.

Vía | Visual Beta
En Genbeta | Bit.ly, acortador de direcciones web prometedor

Ícaro Moyano, director de comunicación de Tuenti e histórico blogger desde su blog personal La Tejedora, nos acaba de comentar amablemente la versión oficial del Tuentigate vivido hace unas horas, con algunos detalles sobre cómo han tratado con ella. Lo primero e importante: ya han protegido todas las cuentas afectadas, reseteando las contraseñas como medida inicial.

Tal y como parecía desde un principio, nos confirman que ha sido un ataque de phishing desde un sitio externo y por tanto no por un agujero de seguridad dentro de Tuenti. Este tipo de acciones de ingeniería social son muy difíciles de evitar si los usuarios no están lo suficientemente concienciados, como creo que es el caso. A esta hora tanto el sitio que distribuía las contraseñas como el que las recopilaba fraudulentamente han sido cerrados gracias a su departamento jurídico. No está claro si tomarán medidas adicionales y, personalmente, no creo que se consiga demasiado porque es muy difícil dar con los responsables.

Sobre las cuentas deshabilitadas, en breve empezarán a contactar con los afectados vía email para que sean informados de la situación y puedan resetear sus contraseñas. Ante la pregunta de qué es lo sucederá con los usuarios que tienen la misma contraseña en su servidor de correo, Ícaro no ha querido hacer comentarios más allá de enlazarnos a la página sobre privacidad de Tuenti. Personalmente, si tuviera la misma contraseña en los dos servicios me estaría faltando tiempo para cambiarla.

Según Ícaro este tipo de ataques no suelen darse a menudo, a pesar de ello tienen al equipo de seguridad pendiente de todos estos temas. Destaca la relativa rapidez del mismo, que ha conseguido en menos de hora y media proteger las cuentas y dar de baja a las webs fraudulentas. ¿Apostamos cuánto tiempo tardarían otros servicios web en cubrir estos agujeros?

Sobre el tema que criticaba el autor del ataque, los eventos falsos, nos comenta que existe un equipo de 25 personas que trabaja proactivamente cerrando este tipo de eventos. Si se detecta un caso similar el usuario que lo crea es advertido, y si reincide cierran su cuenta. Vosotros, como usuarios de Tuenti, ¿creéis que están actuando rápidamente ante estos eventos/trampa?

Lo hemos repetido mil veces y lo seguiremos repitiendo: nunca deis la contraseña de vuestro correo o red social a sitios de terceros. Recelad de los sitios que piden estas contraseñas y evitaréis dolores de cabeza. Y, por supuesto, dejad de poned la misma contraseña en todos los sitios web, cambiando vuestras contraseñas importante cada pocos meses.

Grave estafa relacionada con Tuenti: casi 4000 cuentas de usuarios activos de Tuenti han sido filtradas, incluyendo contraseñas. Todavía no se sabe cómo se han obtenido, si es por un fallo de seguridad en la propia infrastructura de Tuenti o, como todo apunta, a un ataque de phishing desde un sitio externo.

La persona que nos ha avisado es el mismo que ha filtrado esta lista y se apoda McKiza. Este hacker dice estar enfadado con Tuenti por la cantidad de eventos falsos que están pululando por la red (¡Tuenti se cierra, invita a tus amigos!), pero creo que todos estaréis de acuerdo en que filtrar todas estas cuentas no se puede justificar.

Desde Tuenti ya conocen la situación y están trabajando para congelar rápidamente estas cuentas (la mayoría son reales y las contraseñas funcionan perfectamente). De todas formas, cambiad ahora mismo vuestra contraseña si la habéis metido en algún sitio externo a Tuenti. Y, de paso, dejad de registraros en esos sitios con los mismos datos de Tuenti (y también de vuestros correos), que nunca aprendéis.

Evidentemente no vamos a enlazar a las cuentas (bendita LOE LOPD), así que queda como consejo general. Junto a ese listado tenéis el siguiente manifiesto del hacker que reproduzco sin cambiar ni una coma:

Redacta: McKiza

Aviso a tuenti

¡Indignante! Esa es la palabra que tengo ante la atención que tiene tuenti con sus usuarios, la que califico de penosa.

Estoy hasta las narices de que no haya absolutamente ningun control sobre los eventos BASURA que circulan por el tuenti, eventos del tipo, x desparecio, vendo x cosa, x murio, personaliza tu tuenti, van a cerrar el tuenti, y muchos mas similares que circulan dia a dia por muchos tuentis, ante todo este spam con el que llenan mi perfil que hace tuenti… NADA

Tuenti debería de borrar todos estos eventos, cosa que puede hacer, puede localizarlos y eliminarlo pero que hace? nada..

Tuenti tiene un blog muy bonito si, en el cual podria explicar por ejemplo que esos eventos son mentira, pero… ¿lo hacen? no! solo usan su blog para fardar de sus logros…

Otro aspecto de tuenti es la seguridad… protegen tus perfiles? tus datos? tampoco lo hacen… Como muestra de ello me he centrado en conseguir reventar la seguridad del tuenti para ver la dificultad que tendria un persona con un poco de idea en programación para hacerse con algunas cuentas de tuenti y cual fue el resultado… aqui lo teneis:

Mas abajo veras una base de datos de usuarios de tuenti, con mas de 3800 cuentas (email y contraseña).

Solo espero que tuenti se ponga las botas, deje de buscar la forma de aumentar sus ganancias y visitas, y se preocupen un poco mas en la seguridad de los usuarios… La base de datos puede seguir aumentado, espero que solucionen todos sus problemas de seguridad.

Saludos.

No voy a justificar esta acción pero, ¿estáis de acuerdo con lo que comenta? ¿Creéis que Tuenti está teniendo mucha manga ancha con los eventos falsos?

Actualización: Tuenti ya ha deshabilitado el acceso a esas cuentas, aunque no sabemos qué medidas adicionales van a tomar después de este incidente, o cómo volverá a habilitarlas. Mientras tanto, esta filtración sigue potencialmente haciendo daño, porque en la mayoría de los casos las contraseñas son las mismas que las de las cuentas de correo. Así que si tienes una cuenta en Tuenti y no te permite hacer login, corre a cambiar la contraseña de tu cuenta de correo.

Más información | Hablamos con Tuenti sobre las contraseñas robadas