¿Ordenador público? Usa la opción del navegador «navegación privada»

Nuestro navegador habitual nos ayuda a recordar las páginas web que visitamos o las contraseñas que usamos. Pero, si compartimos ordenador con alguien, ¿cómo navegar sin dejar información en el navegador? Usando la navegación privada.

Si activamos el modo de navegación privada en nuestro navegador, podemos navegar por Internet evitando que nuestro navegador guarde información sobre las páginas web que vistamos, las búsquedas que hacemos o las contraseñas que introducimos para entrar en nuestros perfiles de redes sociales. Una opción muy útil cuando estamos utilizando un ordenador compartido o público, ya que impide que las otras personas que tienen acceso al navegador puedan averiguar por dónde hemos estado navegando y a qué páginas hemos entrado.

Sin embargo, debemos tener claro que la opción de navegación privada del navegador no significa que estemos navegando de forma anónima por Internet. Aunque el navegador no guarde información sobre nuestras acciones, existen otros sitios donde sí quedan registradas. Por ejemplo, las propias páginas que visitamos saben que las visitamos y lo que buscamos en ellas. Por tanto, esta característica es útil para preservar tu privacidad, especialmente cuando se comparte un dispositivo, pero no te hace invisible en Internet.

Fuente: https://www.osi.es/es/actualidad/blog/2014/09/01/ordenador-publico-usa-la-opcion-del-navegador-navegacion-privada

Siete reglas de oro para proteger tu privacidad en Internet

El 1 de septiembre será recordado por el día en que más de cien famosas vieron sus “vergüenzas“ al descubierto en la Red.  Jennifer Lawrence, Ariana Grande, Rihanna, Kate Upton o Kim Kardashian, entre muchas otras, no sólo han visto comprometida su privacidad al descubrir en la Red las fotos íntimas que guardaban en servicios de almacenaje online, como iCloud, sino que muchas de ellas podrían estar siendo víctimas de un chantaje por parte de quien ha cometido el robo de este material para no hacer público contenido erótico más subido de tono. 

Es sólo otro incidente más en la larga lista de celebridades que se han visto comprometidas por no llevar a cabo unas normas básicas de seguridad y privacidad. ESET España ofrece a todos los internautas, sean o no famosos, siete reglas de oro para la protección de la privacidad en la Red. 

Regla número 1: no subas a la Red lo que no quieras que se comparta

En ESET España siempre decimos que lo que se publica en Internet, se queda en Internet. De una manera u otra: bien sea por la privacidad del servicio que estés utilizando, porque haya alguien que captura el contenido antes de que puedas borrarlo y lo comparte, o porque utilizas un servicio que puede ser vulnerable a ataques. 

Esta norma de oro es mucho más importante si además el usuario es un personaje famoso o popular, ya que seguro que está en el punto de mira de muchos ciberdelincuentes ávidos de conseguir dinero y visibilidad a cambio de hacer públicos los secretos más íntimos. 

Regla número 2: no te fíes de ningún servicio online

Es lamentable, pero es así. Ni iCloud ni ningún otro servicio de Internet son totalmente seguros. Las razones son muchas, pero básicamente hay dos grandes riesgos: que el servicio pueda ser atacado, ya que no existe sistema informático 100% seguro, o que roben la contraseña al usuario de cualquier manera y, de esta forma, puedan acceder a su cuenta y a su información.

Por lo tanto, y aunque los sistemas de almacenamiento online son sumamente útiles, sobre todo si permite el acceso a la información desde varios dispositivos, desde ESET recomendamos no guardar en estos ningún documento sensible, sea del formato que sea.

Regla número 3: asegura tus contraseñas

Con noticias como la de ayer vemos que el uso de usuarios y contraseñas es algo que puede terminar en un desastre para nuestra privacidad si no utilizamos contraseñas robustas. Por eso, muchas empresas están incorporando el uso del doble factor de autenticación, entre ellas Apple. 

Por este motivo, recomendamos a todos los usuarios que averigüen si su servicio online está utilizando esta tecnología. Y si es así, que la activen, ya que aunque tampoco garantiza la seguridad al 100%, al menos pone más barreras a los ciberatacantes. 

Regla número 4: nunca accedas a tus servicios online a través de aplicaciones

Cada vez más usuarios comparten su vida digital desde dispositivos móviles, aunque muchas veces sin la conciencia de seguridad que tendrían si lo hicieran desde un ordenador. No obstante, los móviles también son víctimas de robos de datos y debemos de ir con cuidado vigilando a que redes nos conectamos y que información consultamos o compartimos para evitar que alguién pueda espiar nuestras información privada.

Además, debemos revisar si las aplicaciones móviles disponen de las mismas características de seguridad que sus homónimas para ordenadores. En demasiadas ocasiones, una aplicación para móviles no cifra los datos o utiliza un protocolo seguro como HTTPS, por lo que estamos utilizando un canal inseguro para actualizar nuestro estado en redes sociales o compartir documentos confidenciales. 

Regla número 5: cierra bien las sesiones antes de abandonar el servicio que estés utilizando

Algo que casi nunca nadie hace. Utilizamos una red social o un servicio y simplemente cerramos el navegador, pensando que, de esta manera, hemos cerrado la sesión. Pero realmente no es así. Si queremos dejar nuestra cuenta cerrada de cualquier tipo de servicio, tenemos que buscar la opción “Salir“ o “Logout“. Entonces sí estaremos dejándola cerrada.

Si utilizamos algún dispositivo que no es nuestro, o un ordenador de uso común, al cerrar simplemente con el navegador estaremos dejando la sesión abierta para cualquiera que utilice el dispositivo posteriormente, abriéndole la puerta, de esta manera, a nuestra privacidad.

Regla número 6: asegura bien tus dispositivos móviles

Aunque en este caso el problema no ha sido derivado del uso de dispositivos móviles, lo cierto es que cada vez se producen más robos y pérdidas tanto de smartphones como de tablets. Si no tenemos contraseñas de acceso, cualquiera que llegue a ellos puede tener acceso a absolutamente toda nuestra información y nuestros perfiles o servicios que utilicemos. 

Además, si contamos con un sistema antirrobo eficaz, podremos no sólo tratar de localizar nuestro dispositivo perdido o robado sino que también podremos eliminar remotamente toda la información privada almacenada en el dispositivo, evitando así que se use en nuestra contra.

Regla número 7: no te hagas fotos íntimas con el móvil ni las compartas en Internet, ni siquiera en un servicio privado

Aunque no entramos a valorar el porqué de la moda de hacerse fotos en ropa interior, sin ropa interior o en situaciones eróticas o subidas de tono, recomendamos a los que gusten de esta tendencia que utilicen cámaras digitales en vez de smartphones y que las guarden cifradas en sus tarjetas de memoria o discos duros locales, en vez de en sus teléfonos y/o servicios en la Red.

Sobre todo en el caso de personajes famosos y conocidos. Sea porque puedan acceder a su dispositivo móvil, o porque les roben las contraseñas, o porque accedan a iCloud o servicios similares, siempre estaremos en el punto de mira de ciberdelincuentes que buscan sacar un beneficio económico de este material. 

Este consejo también es extensible, por supuesto, a todos los usuarios de smartphones y tablets, pero también, y sobre todo, a adolescentes, ya que se ha convertido en una moda peligrosa que ya ha supuesto más de un problema. 

Fuente: http://www.globbtv.com/4260/noticias/las-siete-reglas-de-oro-para-proteger-tu-privacidad-en-internet

Aprende a identificar correos electrónicos maliciosos

Fuente: https://www.osi.es/es/actualidad/blog/2014/08/18/aprende-identificar-correos-electronicos-maliciosos

Cómo acabar con el ciberacoso: 8 consejos útiles para los padres

El bulling no es nuevo, por supuesto. Pero la tecnología ha hecho que sea más fácil que nunca para los acosadores atacar a las personas vulnerables. Y la cultura de la divulgación de información personal, generalizada en las redes sociales, y que se ha convertido en la norma en la sociedad actual, ha añadido involuntariamente más leña al fuego.

El bulling no es nuevo, por supuesto. Pero la tecnología ha hecho que sea más fácil que nunca para los acosadores atacar a las personas vulnerables. Si eres padre de un niño que sufre acoso, recuérdale que no está solo.

Es importante que hablemos con nuestros hijos acerca del ciberacoso. Si eres padre de un niño que está sufriendo acoso, recuérdale que no está solo. Es un problema que afecta a muchos otros niños; y es algo que muchos de sus ídolos también han sufrido – Miley Cyrus, Cheryl Cole, Demi Lovato, Kim Kardashian y otros muchos han hablado acerca de sus experiencias.

Si eres padre, nuestra lista de consejos útiles para mantener seguros a los hijos podría serte útil.

1. Habla con tus hijos sobre las consecuencias del ciberacoso.
2. Anímales a hablar contigo acerca de sus experiencias en Internet, en particular, sobre cualquier cosa que les haga sentir incómodos o amenazados. Proteger a los niños de los ciberacosadores es especialmente difícil con los smartphones, ya que pueden ser amenazados de muchas maneras, especialmente fuera de la vista de los padres. Enfréntate al ciberacoso igual que harías con el acoso en la vida real: anima a los niños a ser abiertos y a hablar con un adulto de confianza si reciben cualquier mensaje amenazante o inapropiado. Los números de teléfono y contactos de las aplicaciones pueden ser bloqueados si hacen que los niños se sientan incómodos o tristes.
3. Establece normas muy claras sobre lo que pueden y no pueden hacer en Internet y explícales por qué lo haces. Debes recordarle estas normas a tu hijo a medida que vaya creciendo.
4. Utiliza el control parental para establecer un marco de actuación adecuado – la cantidad de tiempo (y cuándo) que pueden pasar navegando por Internet, el contenido que debe estar bloqueado (chats, foros, etc.). Los filtros de control parental se pueden configurar para diferentes perfiles de ordenador, lo que permite personalizar los filtros para cada niño.
5. No te olvides de hacer uso de la configuración proporcionada por el ISP (Proveedor de Servicios de Internet), el fabricante del dispositivo y el proveedor de red de telefonía móvil. Por ejemplo, la mayoría de los teléfonos te permiten bloquear las compras integradas en aplicaciones o in-apps, para evitar que los niños al jugar con tu teléfono aumenten la factura de móvil.
6. Protege el ordenador usando un Software de Seguridad para Internet
7. No te olvides de los smartphones de tus hijos – son como ordenadores sofisticados, no sólo teléfonos. La mayoría de los smartphones vienen con control parental integrado y existen proveedores de software de seguridad que ofrecen aplicaciones para filtrar contenidos inapropiados, mensajes SMS molestos, etc.
8. Haz uso de la gran cantidad de consejos útiles que hay disponibles en Internet – incluyendo los de la web thinkuknow, de CEOP (http://www.thinkuknow.co.uk/)

Fuente: http://blog.kaspersky.es/como-acabar-con-el-ciberacoso-8-consejos-utiles-para-los-padres/

Decálogo de la concienciación en ciberseguridad en la empresa

La utilización de las nuevas tecnologías en el desempeño de nuestra actividad profesional con smartphones, tablets, ordenadores portátiles, etc. unido a la facilidad de acceso a Internet, ha convertido nuestro puesto de trabajo y el de cualquier empleado en un puesto móvil. De esta formapodemos trabajar desde cualquier parte y en cualquier momento.

Este nuevo escenario de trabajo ha hecho que, desde el punto de vista de la seguridad de la información, el perímetro de seguridad de la organización se desvanezca. Ha convertido a cada empleado en el nuevo perímetro de seguridad a proteger, en el punto más importante.

Por ello, es si cabe aún más importante la implicación del empleado en la protección de la información que maneja. No desde el punto de vista técnico, sino adoptando unas pautas de comportamiento seguro en el uso de las tecnologías. Ante esta situación, la formación y la concienciación en ciberseguridad se convierten en iniciativas básicas y fundamentales.

Los tres pilares en la ciberseguridad son: las personas, de los procesos y de la tecnología. La formación y concienciación de los empleados se centra en la dimensión de las personas. El objetivo de la concienciación no es convertir a los empleados en expertos en seguridad de la información. El objetivo es trasladar las mejores prácticas en materia de seguridad para que adopten pautas de comportamiento seguro en los distintos entornos en los que desempeñan su actividad profesional. De esta forma mejora la cultura de seguridad de la organización. Incluso el empleado puede extender estas pautas en su ámbito personal.

A continuación veremos los puntos más importantes sobre los que debemos concienciar al empleado de cualquier organización.

Check Usernames: ¿Qué identidad te puedo robar?

Repetir contraseña, repetir información personal, repetir la dirección de correo electrónico, pero sobre todo repetir el nombre del usuario (o login) es una de las cosas más comunes en la gestión de identidades personales que la gente hace enInternet. Esto es bueno para establecer una marca personal en la red, pero también para que se puedan localizar fácilmente las identidades de una persona a lo largo de múltiples sitios de Internet.

Esto es especialmente importante cuando alguien está pensando en realizar un ataque dirigido contra una organización de la que se ha sido capaz de sacar una lista de los empleados objetivos. ¿Por qué no atacarle por alguna de sus cuentas o identidades online?

Ahí se podrían utilizar, por ejemplo, las contraseñas que salen filtradas en los grandes dumpeos de identidades de Internet, que tiene en su base de datos Have I Beem Pwned? Es más, no solo es más que probable que haya alguna identidad con la misma contraseña, sino que además es más que probable que ni se acuerde de esas cuentas que se creo, así que se puede encontrar cualquier pedazo de información más que útil en ellas.

Figura 1: Dumpeos de bases de datos de identidades en Have I been Pwnd?

Para localizar esas otras cuentas uno se puede volver loco. La gente se saca cuentas en sitios insospechados que pueden ir desde un foro de un blog, a un club temático sobre alguna de las aficiones del objetivo. Es una tarea ardua que los especialistas en doxing se dedican a automatizar en lo posible y a cuidar en detalle.

Los trucos para buscar esas cuentas son diversos. Pueden ir desde con el correo del objetivo buscar un leak de información en el sistema de registro de nueva cuenta de un sitio - como contaron en Security By Default con Ashley Madison -, o en el de recuperación de contraseña, o en cualquier otro lugar. Por eso es importante no usar nunca correos electrónicos de la empresa en la creación de cuentas de servicios de Internet.

Figura 2: El servicio de recuperación de contraseñas de menéame te dice si tiene cuenta o no

A veces es tan sencillo como simplemente buscar la URL con el nombre del usuario, algo que utilizan muchos sitios web en la red, así que no sería nada difícil saber donde se han creado esas cuentas. Una web que permite localizar un nombre de usuario en una lista de 300 sitios es Check Usernames, que utiliza estos pequeños leaks de información para localizar los perfiles de un usuario en los distintos lugares de la red.

Figura 3: Check Usernames te lleva a los perfiles de un determinado nombre de usuario

En el mundo del social media, se hace justo para lo contrario, los responsables de marca buscan reservarse los usuarios de la imagen corporativa, y los BlackSEOrobarle las cuentas a la competencia. Por supuesto, también se buscan usuarios de sitios que en el futuro puedan ser de utilidad, como los nombres de usuario que puedan usarse para engaños, como support, help, admin, root, etcétera, o los de nombres muy significativos que puedan valer mucho dinero en el futuro, como sex o los nombres de usuarios en Twitter cortos que tan valiosos se han vuelto.

Figura 4: Sitos con el usuario Viagra creado y sitios con él disponible

Si tienes un nombre de usuario, que haya aparecido en un correo electrónico, en una cuenta de una web, o en el metadato de un fichero ofimático, localizar cuentas con ese nombre de usuario en otros servicios de Internet puede ser una buena idea para ver qué sale.

Fuente: http://www.elladodelmal.com/2014/08/check-username-que-identidad-te-puedo.html

Cryptolocker victims to get files back for free

All 500,000 victims of Cryptolocker can now recover files encrypted by the malware without paying a ransom:

The malicious program encrypted files on Windows computers and demanded a substantial fee before handing over the key to the scrambled files.

Thanks to security experts, an online portal has been created where victims can get the key for free.

The portal was created after security researchers grabbed a copy of Cryptolocker's database of victims.

"This time we basically got lucky," said Michael Sandee, principal analyst at Fox-IT - one of the security firms which helped tackle the cyber-crime group behind Cryptolocker.

Cash call

In late May, law enforcement agencies and security companies seized a worldwide network of hijacked home computers that was being used to spread both Cryptolocker and another strain of malware known as Gameover Zeus.

This concerted action seems to have prompted an attempt by the gang to ensure one copy of their database of victims did not fall into police hands, said Mr Sandee.

What the criminals did not know, he said, was that police forces and security firms were already in control of part of the network and were able to grab the data as it was being sent.

The Gameover Zeus family of malware targets people who bank online, and is thought to have racked up millions of victims.The action also involved the FBI charging a Russian man, Evgeniy Bogachev, aka "lucky12345" and "slavik", who is accused of being the ring leader of the gang behind Gameover Zeus and Cryptolocker.

Cryptolocker was created by a sub-group inside the larger gang, said Mr Sandee, and first appeared in September 2013, since when it has amassed about 500,000 victims.

Those infected were initially presented with a demand for $400 (£237), 400 euros ($535; £317) or an equivalent amount in the virtual Bitcoin currency. Victims had 72 hours to pay up or face the keys that would unlock their files being destroyed.

Analysis of the back-up database indicates that only 1.3% of all the people hit by the malware paid the ransom.

Despite the low response rate, the gang is believed to have netted about $3m from Cryptolocker. Many of those caught out did not pay because they were able to restore files from back-ups.

However, others are believed to have lost huge amounts of important files and business documents to the cyber-thieves.

"There's a bit of guesswork in that figure because some of it was paid in bitcoins and that does not have a fixed exchange rate," said Mr Sandee.

Now, security firms Fox-IT and FireEye - which aided the effort to shut down the Gameover Zeus group - have created a portal, called Decrypt Cryptolocker, via which any of the 500,000 victims can find out the key to unlock their files.

"All they have to do is submit a file that's been encrypted from that we can figure out which encryption key was used," said Greg Day, chief technology officer at FireEye.

Mr Day said people wishing to use the portal should submit a file that did not contain sensitive information to help it verify which key they needed.