El 2018 ha sido un año alocado para las criptomonedas. El Bitcoin se ha movido por diversos valores, desde los 20.000 hasta los 4.000 dólares, con los que ha cerrado el año. Los analistas y ejecutivos de la industria han decidido apuntar hacia el desarrollo y apostar convertir la seguridad en acciones y asociarlas al blockchain. Los security tokens se están convirtiendo en un elemento cada vez más utilizado en el mundo de la criptografía. El término para esto en la industria es conocido como “tokenización”. En el caso de los security tokens tanto el activo comerciable como la equidad y el ingreso fijo son transformados en activo digital, el cual usa la tecnología del blockchain.
Hace unos días la firma Estonia de criptografía DX.Exchange lanzó una nueva plataforma de tradeo que permite a los inversores adquirir participaciones de las compañías listadas en la Nasdaq (entre las que se encuentran Apple, Tesla, Netflix y Facebook) a través de tokens de seguridad. Cada token es apoyado con la participación de algún miembro de la empresa que quiere realizar una inversión y los autoriza a acceder a esos mismos dividendos en efectivo.
“Por medio de la tokenización de acciones de algunas de las mayores empresas en bolsa como Google, Amazon, Facebook y más, estamos abriendo un mercado sin explotar a millones de comerciantes a lo largo del globo sin que necesiten actuar a través de intermediarios, además podrán hacerlo independientemente de la hora, incluso cuando el mercado haya cerrado” Ha dicho Amedeo Moscato, Chief Operating Officer de DX.Exchange.
Figura 1: Apple, Facebook y Tesla formarán parte del blockchain
Los expertos apuntan a que este nuevo modelo de mercado podría ofrecer una forma sólida de realizar inversiones, al contrario de lo que sucede con las criptomonedas como el Bitcoin, las cuales pueden ser muy volátiles y sus valores fluctúan constantemente. Estos nuevos tokens pueden ser adquiridos por los inversores de una forma muy sencilla, sin embargo eso también abre la posibilidad a nuevas estafas como la que tuvo lugar el año pasado con una criptomoneda llamada Giza, con la que se estafaron más de 2 millones de dólares. Por el momento no se puede garantizar el éxito de este nuevo modelo de mercado, pero las expectativas son prometedoras.
El robo de iPhone está a la orden del día y es que últimamente el robo de estos dispositivos ha aumentado exponencialmente, desde robos con fuerza en las Apple Stores hasta hurtos o robos en grandes almacenes. La semana pasada tuvo lugar el juicio entre Apple y CNA Financial Corp por el robo de un almacén en Florida en 2015 donde Apple almacenaba sus dispositivos antes de distribuirlos a las tiendas. El juicio concluyó a favor de la compañía aseguradora de la empresa que alquiló el almacén a Apple ya que en su cláusula de seguro no se contemplaba un robo con semejantes características. Por suerte o por desgracia no todos los robos son llevados a cabo por profesionales y a continuación os presentaremos algunos casos que son la prueba de ello.
Cuidado con los repartidores: El robo de iPhone es algo tan frecuente que incluso los trabajadores de empresas de paquetería se ven tentados a robarlos, como en el caso de un repartidor de Amazon Prime en Florida, que fue grabado robando un iPhone X olvidado en el porche de una casa en la que realizó una entrega. Tras recibir el video del robo el propietario denuncio al repartidor y recuperó su dispositivo.
Nueva sesión de fotos: Tras sufrir el robo de su coche con su iPhone dentro un hombre de Virginia se dio cuenta de que se habían añadido nuevas fotos (además muy buenas) a su cuenta de iCloud. La víctima avisó a las autoridades y esas fotos serán utilizadas para identificar al sospechoso.
Figura 1: Fotos aparecidas en la cuenta de iCloud de la víctima.
Un robo silencioso: Una mujer muda de Indiana ha sido acusada de robar hasta 1000 iPads del departamento de IT de su ciudad. Durante el juicio un experto verificó que la mujer estaba fingiendo tener una enfermedad que no le permitía hablar. También se descubrió que la acusada estaba cobrando la pensión de un antiguo compañero de habitación difunto.
Entradas para el parido: Un fan del equipo de baloncesto de la universidad de Memphis sufrió el robo de su iPad en el que guardaba su entrada valorada en 3.500 dólares, por suerte para la víctima la policía arrestó a los ladrones en un coche robado y pudo recuperar sus entradas y asistir al partido.
Figura 2: Hombre en silla de ruedas roba un iPhone en Kroger
Robo con movilidad reducida: En Illinois, un hombre que utilizaba una silla de ruedas motorizada fue cazado por las cámaras de seguridad robando el iPhone olvidado por un cliente en una tienda de la cadena Kroger y marchándose por las cajas de autoservicio sin llamar la atención. Tras revisar los videos de seguridad se ha emitido una orden de búsqueda para este sujeto.
Días después de la entrada en vigor de la nueva ley de protección de datos algunos activistas y organizaciones parecen haber estado esperando el momento para comenzar sus ataques contra algunas de las grandes empresas del sector tecnológico. Apenas transcurridos unos minutos de la entrada en vigor de la nueva ley, algunas compañías como compañías como Facebook o Google fueron denunciadas. Entre las víctimas se encuentran Apple y Amazon, las cuales han sido denunciadas por el grupo francés La Quadrature du Net, el cual también decidió denunciar a Facebook, Google y LinkedIn.
Hace dos semanas se archivaron 7 denuncias con la regulación de privacidad francesa, tres de las cuales fueron en contra de Google por Gmail, YouTube y su navegador. La Quadrature ha estado invitando a la gente a unirse a sus quejas colectivas a través de la recogida de firmas, durante seis semanas recogieron alrededor de 12.000 firmas. Una de las principales novedades de la GDPR es que permite a las organizaciones sin ánimo de lucro quejarse y notificar las violaciones de la ley que puedan afectarles, dándoles así un mayor peso a las quejas. La GDPR exige a las compañías que solo manejen los datos de sus clientes en una serie de ámbitos legales muy específicos, algo que la mayoría de compañías han aceptado, sin embargo existen algunos servicios que al no ser que les des el consentimiento para tratar tus datos de formas que no son estrictamente necesarias no te permitirán disfrutar de sus servicios.
Figura 1: Jérémie Zimmermann, portavoz de La Quadrature du Net.
Este “método de todo o nada” mina el concepto de consentimiento según la nueva ley de protección de datos. La Quadrature du Net ha aprovechado este cambio para denunciar a estas 7 compañías, si la denuncia sale adelante podría costarles unas multas superiores a 20 millones de dólares o del 4% de sus beneficios anuales (que sería una cifra superior). Además La Quadrature ha avisado de que en un principio iba a realizar denuncias contra al menos 12 compañías, sin embargo decidió comenzar con estas 7 para que el proceso legal fuese más rápido. El grupos ya ha avisado de que continuará atacando a otras compañías durante los próximos días, compañías entre las que se encuentran WhatsApp, Instagram o Skype.
El próximo 23 de mayose impartirá el tercer CodeTalk de la segunda temporada. En esta ocasión, el webinar lo impartirá dos invitados, Guillermo Román y Javier Gutiérrez. El talk estará presentado y moderado por nuestro compañero Fran Ramírez, investigador de seguridad en el departamento de Ideas Locas en el área CDO. Los invitados fueron estudiantes en el Máster de Seguridad de las TIC de la UEM, dónde tuvieron de tutor a nuestro compañero Pablo González. Air Profiling permite, a través del tráfico recogido mediante sondas que monitorizan el tráfico wifi, procesar dicha información y realizar un perfil de los distintos usuarios, enfocado a usuarios de dispositivos móviles, del uso de los dispositivos según la información obtenida al analizar su tráfico web.
Para este proyecto, se han usado tecnologías de análisis de datos de Amazon Web Services, tcpdump, Python. Se ha utilizado una base de datos en ElasticSearch que permite de forma sencilla la recopilación y cruce de los distintos datos, y pintar, gracias a Kibana, gráficos con los resultados de los mismos.
El resultado final es una aplicación web, ubicada en un servidor Django, que permite mostrar los resultados del análisis de datos, mostrando información sobre la navegación web, qué páginas visita dicho usuario, un estudio de los tipos de páginas frecuentadas, la ubicación de los servidores accedidos, y un timeline que muestra cuando ha realizado peticiones el dispositivo analizado.
Figura 1: Tercer Code Talk for Devs
Tienes una cita con nosotros en la comunidad de ElevenPaths. Podrás visualizar el webinar
y a su vez dejar todos los comentarios o dudas que te vayan surgiendo
para que los expertos de ElevenPaths e incluso otros usuarios de la
comunidad te respondan. Si no puedes acceder a esta hora, ¡no te
preocupes! todos los webinar están disponibles en la web de ElevenPaths
pasados un par de días del estreno.
En un movimiento que realza el crecimiento del espionaje chino, el departamento de defensa australiano ha prohibido a su personal descargar y utilizar la aplicación WeChat en sus dispositivos de trabajo. A pesar de esta prohibición otros servicios como Facebook u otras redes sociales podrán seguir siendo utilizadas por el ejercito desde sus terminales de trabajo. Esta decisión se ha tomado en base a los comentarios realizados por el ministro de defensa Dennis Richardson durante el pasado año, en los cuales aseguraba que los espías chinos estaban bastante activos últimamente y que la agencia de espionaje australiana estaba abrumada por la situación.
Un experto en ciberseguridad ha dicho que parte de la preocupación derivada de WeChat se debe a su gran capacidad de agregar y monitorizar datos. De hecho esto llevo a las fuerzas de seguridad de la India a vanear WeChat y otras 40 aplicaciones chinas el pasado diciembre por la posibilidad de que contuviesen spyware malicioso. Durante los últimos años WeChat ha amasado una base de usuarios de más de 900 millones de clientes, de los cuales la mayor parte son ciudadanos chinos, aun así ha tenido un gran crecimiento en los últimos cinco años y ha logrado introducirse en varios mercados extranjeros.
Figura 1: Crecimiento de las principales redes sociales (año 2014).
Las fuerzas militares australianas también han evitado el uso de centralitas y terminales Huawei y ZTE fabricados en china tras las declaraciones hechas por Mike Pompeo, jefe de espionaje de los estados unidos, en las que advertía de los problemas de seguridad que podría suponer el uso de dispositivos de estas compañías.
Yu Lei , un profesor de estudios internacionales de la universidad de Yat-Sen en Guangzhou, ha dicho que debería haber espacio para las negociaciones con Tencent, el gigante tecnológico propietario de WeChat, así como con otros proveedores de servicios chinos.
“Desde que Apple y Amazon han trasladado sus servidores de datos a china, debido a la reciente actualización de las leyes niponas que conciernen a la pivacidad y a la protección de derechos, los reguladores extranjeros también podrían introducir una legislación reciproca que obligase a las firmas Chinas a almacenar localmente los datos recopilados por aplicaciones como WeChat en sus respectivos países”.
Ayer fue día de WWDC y se nota. Apple ha publicado nuevas versiones de equipos y un nuevo dispositivo llamado HomePod. Este nuevo elemento de la familia y universo Applees un altavoz inteligente capaz de interactuar con él a través del asistente Siri. Algo que puede preocupar es la seguridad en este aspecto y Apple ha comentado que todos los comandos de voz serán anónimos y estarán cifrados, incluso para que Apple no sepa que estás diciendo. Siri podrá oirte fuerte y claro en el nuevo altavoz inteligente, pero Apple no lo hará.
Es un debate lógico después de todo el tema con el FBI por el caso de San Bernardino del año pasado. Además, Appleha apostado por la transparencia y muestra al mundo el número de solicitudes que los gobiernos le piden semestralmente. Volviendo al tema del HomePod no siempre estará a la escucha de los usuarios, aunque es cierto que el 'Hey Siri' está activo y disponible en este altavoz. Esta frase es la que 'despierta' al altavoz y hace que los comandos de voz sean procesados, pero el altavoz tiene que estar a la escucha en todo momento para identificar el 'Hey Siri', ¿No? Lo que Apple si deja claro es que cuando los datos son enviados no estarán atados o relacionados con un Apple ID y estarán cifrados, por lo que no podrán verlos.
Figura 1: HomePod y la privacidad
En comparación con Amazon o Google, los datos almacenados por éstos no son anónimos, incluso, en el caso de Google es capaz de acceder a la búsqueda y localización. El FBI se negó a revelar cuántas veces se solicita datos de voz desde Echode Amazon, pero el gigante ha demostrado que lo hicieron. Seguro que este nuevo altavoz inteligente trae muchas noticias relacionadas con la privacidad y con la forma en la que los datos podrán ser tratados o no por fuerzas y cuerpos de seguridad del estado americano, en este caso. En definitiva, interesante nuevo elemento que viene cargado de polémica con el tema de la privacidad.
En primer lugar, iniciamos sesión con nuestra cuenta de Amazon y accedemos al enlace Ajustes de Seguridad Avanzados. En la parte de Seguridad podemos dar con la opción 'Verificación en dos pasos'. A través de dicha opción se podrá comenzar la configuración de cualquier de las múltiples opciones que Amazon ofrece. En este caso nos centraremos en la de TOTP.
Antes de comenzar con la configuración nos solicitarán de nuevo que hagamos uso de la contraseña de nuestra cuenta de Amazon para verificar que somos nosotros. Una vez introducida accederemos a los ajustes avanzados de seguridad, donde veremos la opción de comenzar.
Figura 1: Ajuste de seguridad avanzada
Tras pulsar sobre comenzar nos dará las dos opciones disponibles en Amazon para la obtención de los códigos de seguridad, en nuestro caso seleccionaremos Authenticator App, a continuación podremos observar un código QR, el cual escanearemos con nuestro Latch para añadir el servicio. Arrancamos nuestra app de Latch con la última versión, donde disponemos de la funcionalidad Cloud TOTP. Nos vamos a añadir un nuevo servicio con Latch y veremos dos opciones como son 'Parear con Latch', que es nuestra funcionalidad clásica, y 'Proteger con Cloud TOTP'. Debemos pulsar esta última.
Figura 2: Proteger con Cloud TOTP
Al pulsar sobre 'Proteger con Cloud TOTP', Latch mostrará la cámara del dispositivo para que escaneemos el código QR que Amazon nos presentó anteriormente. En el momento que escaneemos o introduzcamos los datos del seed manualmente, Latch nos indicará que hay un nuevo servicio, tal y como se puede ver en la imagen inferior. Una vez que nos muestran este mensaje, tenemos disponible y protegida nuestra cuenta de Amazon con Latch.
Figura 3: Amazon preparado
En el caso de no tener asociado tu número de teléfono a tu cuenta Amazon tendrás que dar un paso intermedio más, este consiste en añadir un numero de contacto con el que verificar que la cuenta esta bajo tu control, podrás hacerlo mediante un código de confirmación que obtendrás vía SMS o llamada telefónica. Una vez introduzcas el código ya estarás listo para utilizar Latch. Ahora, nos dirigimos al login de Amazon e introducimos nuestro usuario y contraseña. Una vez validado esto se nos solicitará información sobre el TOTP, tal y como se puede ver en la imagen. El segundo factor de autenticación está correctamente configurado en la cuenta de Amazon y podremos utilizar nuestro Latch.
Figura 4: Indicar TOTP
En nuestra aplicación de Latch debemos disponer de una nueva app que tenga el mismo nombre del servicio y generando tokens para la cuenta de Amazon que hayamos integrado. Hay un botón, en dicha fila, con la palabra 'Pin', la cual debemos pulsar para que nos genere un TOTP, que será válido durante un breve período de tiempo, tal y como nos indica el pequeño reloj que aparece junto al token.
Figura 5: Configuración de Latch Cloud TOTP en tu cuenta Amazon
No dudéis en configurar los segundos factores de autenticación en todas las cuentas de los servicios que utilicéis, siempre que lo soporten. Hoy en día es un factor vital para fortalecer el uso de las identidades digitales de forma segura, sobre todo si estas están asociadas a nuestras tarjetas de crédito o cuentas bancarias. Las posibilidades que ofrece Latch Cloud TOTP son muy grandes, protege tus servicios y tus cuentas.
Appleha ampliado la privacidad del usuario evitando que otras appsinstaladas en el dispositivo puedan ver u obtener un listado de las que hay instaladas. Esto forma parte de un enfoque continuo que la empresa de Cupertino está teniendo en la protección de la privacidad del usuario. Applepodría estar planeando cambiar una política en materia de aplicaciones de terceros y con ello evitar que éstas puedan conocer qué hay instalado en el iPhoneo iPad.
Una vez que los cambios estén aplicados, los desarrolladores no serán capaces de acceder a los datos de aplicaciones instaladas con el fin de utilizarlos para temas publicitarios. Actualmente, las aplicaciones como Facebooko Twitteracceden a esta información y pueden utilizarla para mejorar los anuncios que muestran hacia sus usuarios.
Figura 1: Detalle como gestionar tu privacidad
El cambio llegará junto a la nuevo versión del sistema operativo iOS, es decir en iOS 9, la cual saldrá en Otoño. El cambio ha sido documentado por Appledurante una sesión de sobre privacidad aplicada celebrada en la Conferencia Mundial de Desarrolladores, WDC, a principios de este mes. En los últimos años, Appleha hecho un esfuerzo por transmitir a los consumidores que su privacidad es de sumpa importancia para la empresa.
En una carta publicada el pasado Otoño, el presidente ejecutivo Tim Cook, dejó claro que su compañía está en el negocio de venta de productos, no en cosechar datos de los consumidores. Además, añadió que la seguridad y la privacidad son fundamentales para el diseño de todos los productos de la empresa, incluyendo iCloudy los nuevos servicios de pago de Apple.
La declaración es impactante, sobretodo por la persona y por lo que representa. Richard Stallman ha indicado que Windows y OS X son malware, que Amazones Orwellianoy que nadie debería confiar en Internet. Richard M. Stallmanpredica a las masas, sobretodo no técnicos, sobre los males del softwarepropietario y de los proveedores de la tecnología, siempre con la teoría conspiratoria en mente. Cuando a Stallman se le preguntó por el tipo de programas que constituyen el malware, éste indicó que los sistemas operativos en primer lugar.
"Sistemas como los de Apple son malware, son fisgones y tienen grilletes para la sociedad. Además, incluyen puertas traseras con las que pueden controlar los hábitos de las personas".
Esta sentencia es impactante, aunque es algo común verle en sus conferencias enunciando cosas similares. Stallmantambién indicó que Androidtambién contiene malware, ya que cualquier componente que no sea libre puede contener una puerta trasera que ayude a la instalación o desinstalación forzosa de aplicaciones.
Figura 1: Richard M. Stallman, creador del Software Libre
Stallmanhace referencia al informe de Bloomberg al hablar de los sabotajes de Microsoft y en su comunicado no se para solo en Windowsy OS X, también dice que las Smart TV, los coches, o incluso las muñecas Barbie, tienen la posibilidad de que los vendedores puedan introducir puertas traseras y escuchar conversaciones de personas. Una de las cosas que hay que destacar de la entrevista de Stallmanes que habla de un parcheo irregular de muchos proveedores, y es que los proveedores en muchas ocasiones no centran su atención en las vulnerabilidades de seguridad. Por supuesto, hay grandes y pequeñas organizaciones que utilizan programas de recompensa, como son los bug bounties, que ayudan a endurecer el código.
Figura 2: Informe Bloomberg
Por supuesto, el código abierto, que defiende Stallman, no es inmune a las vulnerabilidades, pero existe cierta trasparencia inherente. La pregunta es, ¿Se mira el código fuente? Puede que a día de hoy sigan existiendo gran cantidad de funciones no seguras implementadas en gran cantidad de software. A esta conclusión llegó nuestro compañero Pablo González con el estudio de búsqueda de funciones inseguras en los repositorios de sistemas GNU/Linux.
Hace muy poco Oxigen Forensic Suite 2012 fue actualizada a la versión 4.6 añadiendo entre otras cosas, soporte para iPhone 5 y para iOS 6, algo que pudimos probar en Seguridad Apple, haciendo un análisis forense de un iPhone 4S con iOS 6.
En esta versión se han superado los 6.000 dispositivos soportados, encontrándose entre ellos algunos tan populares como los nuevos Amazon Kindle Fire HD, HTC One Plus X, Samsung Galaxy Note II y más de 200 nuevos dispositivos móviles. Vamos a ver un poco más en detalle las características del producto.
Figura 1: Analizando un iPhone 4S con iOS6 usando Oxygen Forensic Sutite 2012 4.6
Soporte para iPhone 5, iOS 6
La última versión ahora cuenta con la compatibilidad forense con Apple iPhone 5, abriendo así la puerta a los expertos forenses para poder investigar la historia de utilización de los usuarios con smartphones de última generación de Apple.
La versión Oxygen Forensic Suite 2012 v.4.6 añade soporte completo para la última versión de iOS, permitiendo a los usuarios forenses el acceso y el análisis de la información de una amplia gama de dispositivos que utilizan iOS 6, como son iPhone 3GS, iPhone 4, 4S y 5, la 4º y 5º generación de iPod Touch, iPad mini, iPad 2 y el nuevo iPad.
Soporte para archivos WAL para bases de datos SQL
La última versión añade la posibilidad de análisis de escritura anticipada de los logs - archivos WAL - disponibles en los dispositivos móviles. Las bases de datos de WAL mantienen el caché temporal de la información para ser inscrita en grandes bases de datos de los dispositivos móviles. La información disponible para el análisis desde los archivos WAL incluye contactos, mensajes y datos de aplicación. El soporte que fue añadido para analizar archivos WAL abre una oportunidad para que los expertos puedan reunir información completa y completamente actualizada del propietario de los dispositivos móviles que se encuentren en proceso del análisis forense.
Soporte para cifrado y descifrado de Imágenes DMG realizadas por terceros
El soporte añadido para las imágenes DMG permite a los usuarios de Oxygen Software acceder a las imágenes DMG cifradas y descifradas que fueron guardadas por las aplicaciones de terceros fabricantes, como Cellebrite, Elcomsoft, Lantern Lite o similares. Las características de análisis de firmas de la suite de Oxygen, tales como Timeline, Contactos agregados y Estadísticas de Comunicación, están disponibles para todas las imágenes DMG que fueron añadidas, como también a la información que se ha borrado. También permite acceder a los datos de usuario almacenados en muchas aplicaciones populares.
Algunas otras novedades
• Se ha añadido soporte para los siguientes dispositivos Android: Acer Liquid Gallant E350, HTC One X Plus, LG E970 Optimus G, Motorola RAZR M 201M, Samsung GT-N7100 Galaxy Note II, Sony Xperia LT25i Mobile, ZTE Nova V6500, entre otros.
• Aplicaciones. Se ha añadido soporte LinkedIn para iOS y Android. También se ha añadido soporte para el navegador Google Chrome Web para iOSy Android. Además, se ha añadido soporte para el navegador Web Dolphin para dispositivos iOS. Por último, hay que citar que se ha mejorado el soporte para múltiples aplicaciones para dispositivos iOS y Android, incluyendo Google+, Dropbox, Instagram, Facebook, Mobile Spy, Twitter, etcétera.
• Conexión. Se ha añadido la detección de dispositivos con el sistema operativo Android chino. Ahora se les reconoce como MTK chip de los dispositivos basados en Android.
Estas son algunas de las principales novedades que aporta Oxygen Forensic Suite 2012 4.6 y que como podéis observar, ayudan a limar los detalles de cualquier investigación forense en la que tenga que ver un dispositivo móvil Apple, Android, BlackBerry, WindowsPhone, etc... Si estás interesado en probar o comprar esta solución, puedes ponerte en contacto con nosotros.
Como había prometido, Apple ha contestado a Mat Honan tras su hackeo vía Apple ID, algo que ha generado mucho revuelo en Internet. La respuesta de la compañía ha venido, según Cult of Mac, a través de Natalie Kerris que ha dicho lo siguiente:
“Apple takes customer privacy seriously and requires multiple forms of verification before resetting an Apple ID password. In this particular case, the customer’s data was compromised by a person who had acquired personal information about the customer. In addition, we found that our own internal policies were not followed completely. We are reviewing all of our processes for resetting account passwords to ensure our customers’ data is protected.”
"Apple se toma la privacidad de sus clientes seriamente y exige múltiples formas de verificación antes de resetear una contraseña de Apple ID. En este caso concreto, los datos del cliente habían sido comprometidos por una persona que había obtenido información personal del cliente. Además de ello, hemos descubierto que nuestras políticas de seguridad no se siguieron completamente. Ahora estamos revisando todos nuestros procesos de reseteo de contraseñas para asegurarnos de que los datos de nuestros clientes están protegidos".
Figura 1: Mat Honan de Wired
A raíz de esto, el periodista ha reconocido que el problema ha sido culpa suya en gran parte, ya que tenía encadenadas todas las cuentas, y al caer la cuenta de Apple ID cayó la de Gmail, y al caer la de Gmail cayó la de Twitter.
Sin embargo, hay una cosa que no es culpa suya, y es el hecho de que los hackers que consiguieron resetear la contraseña de Apple ID utilizaron los cuatro últimos dígitos de tarjeta de crédito, algo que para Apple es privado, pero para Amazon es público, y se puede consultar de cualquier persona, que es lo que hizo el atacante en este caso.
Para añadir una capa de protección más, según reporta TNW, Apple añadirá un periodo de 24 horas de bloqueo de cuenta para poder resetear la contraseña de Apple ID, lo que en un caso similar levantaría una alerta del propietario real de la cuenta. Por su parte Amazon también ha tomado cartas en el asunto para mejorar la seguridad de las cuentas de sus clientes, limitando el número de acciones que se pueden hacer por teléfono.
Esta disparidad de apreciaciones en la nube, hizo que Mat Honan fuera comprometido completamente de la manera más sencilla. Sobre este tema, en la pasada Ekoparty, el investigador argentino César Cerrudo impartió una conferencia en la que demostraba que las fuentes de información en Internet hoy en día son tantas, que los datos necesarios para rellenar cualquier formulario de comprobación de identidad pueden ser obtenidos de Internet. De hecho, el propio Steve Wozniak hacía unas declaraciones sobre lo horrible que puede llegar a convertirse la nube.
En cualquier caso, visto lo visto, es recomendable tener autenticaciones de doble factor en todas tus cuentas, y tener muy clara cual es la cadena de seguridad en tus cuentas, ya que si cae aquella de la que dependen todas, cae toda tu vida online.
11 miembros de una banda de estafadores que operaban realizando estafas a través de iTunes y Amazon - de los que se estima llegaron a obtener unas 500.000 Libras - han sido detenidos. La estafa realizada consistía en adquirir música que subían ellos mismos y pagarla con tarjetas de crédito robadas.
Esta forma de estafar vía iTunes ya la hemos comentado anteriormente, y se realiza mucho más de lo que la gente piensa. Sin embargo, aunque a los ojos de cualquiera esto constituye un dinero totalmente legal, si toda la adquisición de las canciones se realiza con tarjetas de crédito robadas, puede ser más que sospechoso.
Los profesionales de este negocio de las estafas por iTunes utilizan entramados de muleros que mueven el dinero de un sitio a otro, y acaban comprando aplicaciones, música o contenido generado desde diversas cuentas, haciendo que la persecución de este delito sea mucho más compleja para las empresas.
Los estafadores han sido juzgados y el jefe de la banda ha sido condenado a 4 años y 8 meses de cárcel. Los "músicos" que han participado en la estafa con su material en iTunes y Amazon han recbido una sentencia mixta. El juez les acusó de sacar ventaja de la estafa y además sentirse halagados por ello. El grupo ingresó alrededor de 600.000 Euros con la estafa. Las tiendas de Amazon e iTunes habrían tenido que reembolsar cantidades de 1.200.000 Euros y 900.000 Euros por los robos a los usuarios.
Gracias a la PCeU, que es una unidad nacional creada en el Reino Unido para responder ante los incidentes más graves de los delitos cibernéticos. Esta unidad forma parte de la respuesta del gobierno contra las amenazas cibernéticas, en el marco del Programa Nacional de Seguridad Cibernética.
Hace sólo 1 mes, esta unidad participó en la detención de 14 personas en relación con un ataque de phising, con el que se consiguió robar a una mujer británica los ahorros de su vida, 1 millón de Libras. Este tipo de estafas están muy estudiadas por parte de los crimianles, pero ninguna estafa es perfecta.
