Intimidad en Internet: los casos de filtración de fotos y videos íntimos

privacidad-en-la-era-digital-1938047w300Anteayer, el mundo de las celebridades se escandalizó -de nuevo y como si fuera la primera vez- con la filtración de fotos y videos íntimos que, supuestamente, habían sido robados del servicio de almacenamiento online de Apple, llamado iCloud. El ataque, se dijo, habría explotado una vulnerabilidad en otro de los servicios de la compañía, Find My iPhone, que sirve para geolocalizar el teléfono, por si se pierde o lo roban.

La compañía emitió ayer una declaración oficial en la que negó su responsabilidad y apuntó a contraseñas débiles y técnicas de ingeniería social que fueron empleadas para hacerse de ese material privado. En el medio quedaron atrapados la Nube, concepto vaporoso al que es fácil culpar de cualquier brecha de seguridad, y los usuarios, que se sienten cada día más expuestos a los ataques informáticos. No se equivocan.

En los hechos es un problema de enorme complejidad que combina las vulnerabilidades propias del software, la velocidad de propagación del dato digital a escala global por Internet y una serie de hábitos riesgosos que los usuarios no han logrado, pese a los repetidos incidentes, erradicar. Leer más de esta entrada

Anuncios

Twitter suma medidas de seguridad para evitar #phishing

twiDespués de los hackeos que se vieron en los últimos días a @BurgerKing y @Jeep, y al que se sumó también hoy Donald Trump (que empezó a tuitear canciones de Lil Wayne), Twitter tomó una medida para intentar reducir los robos de contraseñas a través de phishing.

Así, la compañía está tratando de asegurarse de que cuando recibas un correo de parte de Twitter, efectivamente provenga de la red social y no se alguna persona que cambió su dirección para tratar de hacerse pasar por la organización. Twitter informó que adoptó un nuevo protocolo de seguridad conocido como DMARC, diseñado por un consorcio de empresas para evitar el phishing.

El sistema permite a los proveedores de servicio de correo (como Gmail, Outlook/Hotmail, AOL y Yahoo!Mail) identificar y autentificar los correos que corresponden a la empresa, y descartar los falsos que se están tratando de hacer pasar por alguien.

El protocolo DMARC es relativamente nuevo, pero los servicios de correo mencionados arriba lo están implementando y se espera que más adelante se convierta en un estándar. Según Twitter, en adelante será “extremadamente raro que la mayoría de nuestros usuarios reciba algún ataque de phishing de alguien intentando hacerse pasar por Twitter”. Leer más de esta entrada

Reino Unido: #Sony es multada en base a la ley de protección de datos #datospersonales

Hace casi dos años, en Abril de 2011, el sistema online que Sony emplea en sus plataformas Playstation 3, Playstation Portable y Playstation Vita fue hackeado por George Hotz, un conocido pirata norteamericano que encontró un fallo en los sistemas de seguridad de Playstation Network, lo que mantuvo el servicio suspendido durante un mes.

En este ataque se tuvo ocasión de acceder a datos personales de los usuarios, como sus e-mails de contacto, direcciones físicas y números de tarjeta, algo que desde la unidad de protección de datos inglesa afirman se podría haber evitado si el software hubiera estado funcionado en condiciones óptimas, revelando en su investigación que el sistema de contraseñas tampoco era seguro.

Por esto motivo han decidido multar a la compañía con 250.000 libras, aunque confirman que tras el ataque sufrido en 2011 el sistema de seguridad del sistema se ha rediseñado y es ahora más estable y con mayor protección de los datos personales. Leer más de esta entrada

#Phishing a MercadoPago

Desde Segu Info, blog de seguridad de la información, señalan que han recibido denuncias de correos sospechosos aparentemente de MercadoPago. El texto del correo es el siguiente:

De: MercadoPago  [mailto:info@mercadopago.com.ar] > Dirección  falsificada Enviado el: martes, 08 de enero de 2013 02:31 p.m. Asunto: Necesitamos que realices una verificacion adicional
Restringimos  algunas funcionalidades de tu cuenta. ¿Por qué? Esta es una medida  preventiva para mantener la seguridad en todas las operaciones de la comunidad  de MercadoPago.
¿Qué tengo que hacer? Para evitar el ingreso de  terceros y futuros fraudes,hemos suspendido su cuenta temporalmente.
MercadoPago protege la privacidad de tus datos personales y financieros ya  que trabajamos con los estándares de seguridad más altos de la industria. Para activar tu cuenta nuevamente es necesario, la verificación de la misma. Ingrese a su cuenta normalmente y complete el formulario de activación, y  elija su nueva clave de transacción.
Verificar < enlace falso
MercadoPago MercadoLibre S.R.L – El uso de los servicios implica el  conocimiento y aceptación de los Términos y Condiciones de Uso de MercadoPago. No respondas este e-mail. Ayuda.

Dicho correo a primera vista se  ve como auténtico:

La Agencia Española de Protección de Datos advierte al INTECO

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad anónima estatal participada al 100% por Red.es, sufrió el pasado año un ataque informático que posibilitó el robo de datos confidenciales de su plataforma de formación online. Concretamente, se sustrajeron datos personales de sus alumnos (nombres y apellidos, números de teléfono, DNI y correos electrónicos) que fueron publicados en la red.

Ahora, la Agencia Española de Protección de Datos (AEPD) ha lanzado una advertencia al INTECO por las carencias en su seguridad. Según Protección de Datos, el problema que permitió acceder a los datos es que la Web del Inteco no estaba diseñada para ejercer ningún tipo de control de acceso sobre sus procedimientos y “resulta que se habilitó como público el acceso a una plataforma en internet.

Los hechos suponen la comisión por parte del INTECO de una infracción del artículo 9.1 de la LOPD, por la falta de medidas de seguridad del sistema de información, que posibilitó el acceso al perfil de 20.246 usuarios, llegándose a comprobar por la AEPD que se habían llegado a publicar en otra web posteriormente más de 1.000 datos personales. La AEPD no sanciona al INTECO ya que reaccionó de forma diligente.

El INTECO y la AEPD firmaron en 2008 un acuerdo de colaboración para promover la adecuada protección de los ficheros con datos de carácter personal. El INTECO también fue recientemente noticia por la gestión de la guardería de su sede y por los 530.167 euros que para uno de sus proyectos ha aportado la Comisión Europea por “la reputación del instituto con sede en León en el ámbito de la seguridad en equipos y servicios informáticos”.

El robo de credenciales de acceso online, un problema cada vez mayor

El robo de información relacionada con el acceso a servicios online es un problema cada vez mayor. Solo entre enero y abril se comprometieron un total de 12 millones datos personales online. Las falta de concienciación entre los usuarios a la hora de utilizar distintas credenciales entre servicios hace que sea un problema aún mayor, que compromete la seguridad de más plataformas además de las vulneradas.

Desde principios de año los casos de fugas de datos se han sucedido en distintas empresas. El resultado ha sido la filtración de información de millones de usuarios. Los casos más recientes son los de LinkedIn o Yahoo, que permiten comprobar que ninguna empresa ni sistema se libra de este tipo de ataques.

El robo de información de usuarios se ha triplicado respecto a 2010 y se ha convertido en un problema considerable. La BBC cita datos de la compañía Experian que aseguran que en entre enero y abril el montante total de datos robados con credenciales de acceso ascendió a 12 millones, una cifra realmente elevada que ilustra parte del problema.

Leer más de esta entrada