phishing

Phishing: cómo identificarlo

De acuerdo al Código Penal español, un fraude (o estafa) es aquel en el que se usa el engaño para producir un error en otro y conseguir lucrarse con ello. Pero lo que es realmente nuevo y nos interesa si somos de los que usamos el ordenador para cualquier cosa, es el delito considerado como “fraude informático”, especificado en el artículo 248.2 del Código Penal.

En él, se explican las estafas de índole informática:

  1. Los que se valgan de alguna manipulación informática o artificio semejante, consiguiendo transferencias no consentidas de cualquier activo patrimonial.
  2. Los que posean programas informáticos destinados específicamente a la estafa.
  3. Aquellos que usen tarjetas o cheques de viaje o cualquier dato de cualquiera de ellos, realizando operaciones que produzcan un perjuicio en sus dueños.

De esta forma vemos cómo la estafa se ha modernizado y ha avanzado tanto que puede llegar a ser imperceptible para las personas que la sufren. Algunas, de hecho, podrían tardar en darse cuenta de que han sido víctimas de un fraude.

En este artículo hablaremos del phishing

Según Wikipedia, Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de algún tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas

El caso más normal ocurre cuando un usuario recibe un email de su banco instándole a dirigirse a una web externa. Dicha web es maliciosa y sirve para recabar los datos del cliente y obtener su contraseña de acceso.

¿Cómo puedo saber que se trata de phising?

Éste tipo de estafas no abarcan sólo el fraude bancario. Pueden vestirse de muchas formas: emails de redes sociales (Facebook, Twitter…), tiendas de productos (cosméticos, ropa, gafas de sol…), encuestas para páginas webs externas. En definitiva,  éstos son los rasgos que suelen tener en común las estafas de pishing informático:

  • Faltas de ortografía o de formato: a menudo estas estafas vienen traducidas de otros idiomas o se han hecho sin considerar el aspecto gramatical. Si ves que aparecen palabras mal escritas y la redacción es pobre y con tiempos verbales extraños, ándate con ojo.
  • Enlaces externos: tal vez la parte más importante de toda estafa de pishing informático. Te intentarán dirigir a otras páginas webs que, aunque tengan la apariencia de ser originales y auténticas, no lo serán.
  • Datos personales: algunas podrán ser peligrosas sólo con el hecho de que entres en ellas, pero la mayoría pretenderán acceder a tus datos bancarios o cuentas personales. En algún momento, te pedirán que introduzcas tus datos de acceso para alguna de tus páginas webs de uso frecuente.
  • Estafador lejano: ocurre cuando el delincuente se hace pasar por alguien que generalmente vive lejos, en algún país diferente al tuyo. Podrás detectarle fácilmente si ya desde el principio el remitente es desconocido.

¿Cómo detecto, interrumpo o denuncio el fraude?

En la entrada en la que hablábamos de delitos informáticos te dimos diferentes opciones para denunciar este tipo de ataques, no dudes en echarle un vistazo si te encuentras en esa situación. Siempre podrás presentarte en cualquier comisaría y te indicarán qué acciones debes tomar, pero mi consejos es:

  • Corta toda comunicación: sea cual sea el tipo de fraude, lo primero que tienes que hacer es cortarlo de raíz.
  • Avisa a tu banco: si es una estafa de tipo bancario y están usando información de una entidad real, lo mejor que puedes hacer es avisarles. A ellos les ayudará en caso de que ocurran más problemas con fraude informático, y a ti te permitirá proteger tu información por si alguien intenta hacerse con ella.
  • Cambia tus datos de acceso: si te has dado cuenta tarde o simplemente quieres estar más seguro, intenta cambiar los datos de acceso que creas que estén en peligro.
  • Algunos servidores de correo electrónico te permiten marcar el correo como posible fraude. Al menos así se evitará que la estafa se extienda.
  • Hazte con una buena aplicación anti-virus y anti-malware que trate de advertirte en caso de que a ti se te pase algún detalle sospechoso.

Recuerda que no sólo es importante el saber cómo actuar tras una estafa, sino también el saber identificarla antes de que ocurra. ¡Toda precaución es poca!

security-api

Security API – Dale a tus empleados lo que necesitan (de forma segura)

Hace poco vimos en SecurityInside consejos a tener en cuenta para revisar la seguridad de tu API. Como comentamos, ofrecer servicios de información en el mundo de hoy si no tienes API, te da una desventaja considerable que podría terminar por arruinar tu negocio.

Es por eso que tu departamento de desarrollo debe tener en mente trabajar en una buena api (sencilla y segura) que de servicio tanto a clientes como a las plataformas y herramientas internas.

Hay muchas formas de desarrollar APIs, pero en mi caso me he decantado últimamente por Flask para Python sobre Elastic Beanstalk de Amazon Web Services.

Security API, ¿por qué?

Cada vez que arranco un proyecto de seguridad con una nueva empresa, me presento desde el punto de vista de vida laboral. Cuento mis años como becario, desarrollador, jefe de proyecto, consultor y luego el paso al mundo de la seguridad. Me miran como diciendo “¿para qué todo este rollo?”. Sencillo, es la forma de introducir que soy un apasionado de la seguridad y que mi objetivo principal es asegurar los activos de la empresa, pero siempre tratando de hacer la vida sencilla a los compañeros que tienen que lidiar con todas las medidas y controles de seguridad que se implanten.

Conozco profesionales de la seguridad que nunca se han manchado las manos picando código y que aplican medidas maravillosas que fortifican los activos mientras complican el trabajo diario. Lo importante es la seguridad, pero mi perfil de desarrollador me hace pensar siempre en hacerlo de forma que ellos tengan todas las facilidades para trabajar. Seguros, pero trabajando.

Por todo esto, hace no mucho empecé a dar vueltas a la idea de crear una “security api” que diera servicio a determinadas necesidades de los compañeros de los diferentes departamentos. De esta forma, aplico medidas de seguridad generales y les doy la posibilidad de solicitar ciertos permisos, accesos, … de forma automática en base a roles.

¿Cómo funciona?

Básicamente todo funciona en base a usuarios que se autentican con login, password y 2fa (Google Authenticator, Android, iOS). Cada usuario tiene un rol y subrol con el que se indica qué cosas tienen permitidas y todo se gestiona mediante JSON Web Tokens.

Flask api template

Os he dejado en Github un nuevo repositorio que contiene el esqueleto de una api desarrollado en Python utilizando la biblioteca Flask.

Podéis lanzarlo en local para desarrollo y hacer pruebas de forma sencilla utilizando Postman, ya que os he dejado también un fichero con ejemplos de uso. Tendréis queja… 😀

Vamos viéndo cosillas

En el fichero principal (flask_api.py) veréis unas cuantas cosas que os voy a ir explicando.

Al principio, tenéis una función que se lanza tras arrancar el server, ahí se pueden configurar diferentes cosas (dar de alta la ip del server en determinados grupos de seguridad, enviar notificaciones, …):

Después se incluyen dos apartados para la gestión de códigos 404 y 405:

Una siempre interesante función ping para comprobar rápidamente si el server está vivo:

La parte más interesante del ejemplo, la gestión del login y creación del token:

Y la implementación concreta dentro del fichero flask_api_functions.py:

Para entender ciertas cosas como la forma de enviar el header “Authentication”, pásate por el README.md del repositorio y ejecuta las pruebas con postman, verás que es la mar de sencillo.

El ejemplo es sólo parte del script completo. Si quieres utilizarlo o modificarlo, puedes descargarlo desde nuestro repositorio en GitHub.

 

Importante antes de terminar

Flask no está preparado para funcionar directamente en un entorno de producción, para hacerlo tienes que tener en cuenta un par de cosas (está todo en la documentación del repositorio).

En mi caso particular, ya os he dicho que lo tengo montado en Elastic Beanstalk de Amazon Web Services, si queréis os puedo contar cómo lo he hecho en otra entrada.

Por supuesto, si tenéis alguna duda sobre esta entrada, preguntad que estaré encantado de echar una mano.

Saludos!

delito-informatico

Delito informático: denúncialo!

Hasta hace apenas unos años la figura conocida como “delito informático” ni si quiera formaba parte de algo tan importante como el Código Penal. Como tal, sólo podían denunciarse aquellos delitos que ya tenían una forma física o que existían previamente.

Con la nueva reforma del Código Penal se hicieron, además de algunos estropicios, algunos cambios más que interesantes.

 

Tipos de delitos informáticos reconocidos por el código penal Español

  • Robo, suplantación, usurpación, estafa, fraude, y básicamente todos aquellos relacionados con el bolsillo. Dado que hoy en día forma parte de la normalidad contar con cuentas bancarias, tarjetas de crédito, o sencillamente con dinero on-line en cualquiera de sus versiones, ya venía siendo necesario que se recogiera algún tipo de garantía legal capaz de defendernos.
  • Aquellos que vulneren nuestra intimidad en cualquiera de sus formas. Ya sea accediendo a documentos secretos, interceptando nuestras comunicaciones, realizando transcripciones o copias de las mismas, etc.
  • Calumnias e injurias. Conocidas ya fuera del aspecto cibernético, se ven aumentadas exponencialmente debido a las nuevas tecnologías, que facilitan que la información se divulgue en cuestión de segundos, sea contrastada o no.
  • Amenazas o acoso. Éste sí que es un nuevo paso en nuestro Código Penal. Aunque las amenazas sólo son creíbles si existe un peligro real tras ellas y el acoso debe ser contrastado antes de poder denunciarlo, al menos tenemos la protección que nos hacía falta en casos donde antes no podíamos hacer nada. ¿Tienes un blog y recibes amenazas por lo que publicas? ¿Un chico pesado que te conoció en un foro te ha investigado hasta saber dónde vives? Da igual que las fronteras de internet lleven el rastro hasta el extranjero; la policía lo investigará, tomando las medidas pertinentes.
  • Daños o ataques a la propiedad intelectual. A menudo la información que tenemos en nuestros ordenadores puede valer más que el oro; ya sea con el desarrollo de aplicaciones, por usar un soporte determinado, o porque eres el autor de un nuevo tipo de invento revolucionario y quieres patentarlo. Los delitos contra la propiedad intelectual, industrial, revelación de secretos o simplemente contra el daño hacia la información o contenido de datos que querías proteger, ahora forman parte de algunos de los delitos más comunes, y la policía se ha puesto las pilas para poder hacerles frente.
  • Delitos de tenencia. Muchos más fáciles de denunciar, debido probablemente a su naturaleza. Aquí encajan delitos como la pornografía infantil o el chantaje.
  • Acoso escolar o Bullying. Éste es un reciente tipo de delito que no es considerado en muchas ocasiones como denunciable. Los menores, como tales, no son penalmente responsables y por tanto es fácil pensar que los autores menores de delitos informáticos (el más común el acoso escolar) no serán perseguidos por la justicia. NADA más lejos de la verdad. Existe una cosita maravillosa llamada Ley de Responsabilidad Penal del Menor (LRPM) según la cual existen los mismos delitos que podría cometer un adulto pero con diferentes consecuencias. Papá, mamá, no tengáis miedo de que los niños malos queden impunes: la policía también sabe cómo actuar en estos casos.

 

¿Cómo denuncio un delito informático?

Pues bien, dado que ya forman parte del Código Penal, se pueden denunciar de cualquier forma. Las Fuerzas y Cuerpos de Seguridad del Estado permiten denuncias por teléfono, página web, en comisarías, o incluso en hospitales mediante atestado.

Para tener algo más concreto, podéis dirigiros a éstas páginas webs ofrecidas por la Policía Nacional y la Guardia Civil.

Policía Nacional:

 

Guardia Civil:

 

Consejo final

Ante la duda… no dudéis y denunciad. El anonimato que a veces ofrece internet ha conseguido que muchos delincuentes se crean inpunes y piensen que no dejan huella a su paso. La verdad es bien distinta, los peritos informáticos forenses pueden obrar maravillas (que se lo pregunten al amigo Lorenzo Martínez) y descubrir que, el que se cree a salvo porque usa el Ciber-Café del pueblo para acosar a la chica que le gusta del instituto, en realidad…no lo está.

SecurityInside Live: Check Point Cyber Day 2017

La omnipresente transformación digital y el Internet de las Cosas piden cambios fundamentales en el presente y futuro de la ciberseguridad. Los últimos ataques ocurridos a nivel mundial demuestran la necesidad de implementar estrategias innovadoras para securizar las empresas.

Hoy asistimos al Check Point Cyber Day 2017, una jornada dedicada a los CIOs, CISOs, IT Security Managers y todos los interesados en conocer el futuro de la ciberseguridad de la mano de expertos nacionales e internacionales en esta materia.

Leer más

Robar la identidad: más sencillo de lo que crees

Con la llegada del Siglo XXI y la generalización de la globalización, la nueva tendencia a la criminalidad informática parece expandirse tan rápido como antaño lo hacía la pólvora. Nuestros empeños por mejorar nuestras condiciones de vida y agilizar procesos burocráticos o administrativos nos han llevado a la nueva e inevitable era de la tecnología. Los criminales, por su parte, no pueden permitirse quedarse atrás, formando parte del conocido Efecto Escalada:

La conclusión más obvia es que, por cada innovación que apliquemos en nuestras vidas (ya sea una aplicación móvil para pagar la gasolina del coche, comprar un billete de avión por internet, o sencillamente descargarnos la aplicación equivocada) un ciber delincuente ya se ha preparado para burlar lo que creíamos que era seguro.

Y no nos llevemos a error, porque no estamos seguros. En los días que corren, es más fácil robar la identidad a través del móvil que quitarle un caramelo a un niño.

A éste en concreto no, claro.

A éste en concreto no, claro.

¿Cómo me pueden robar la identidad?

Muy sencillo, siguiendo éstos simples pasos:

  • Estafas por internet: La principal forma de evitarlas es no pecar de ingenuos. Si no conoces el sitio o algo te hace desconfiar, no des tus datos. Investiga primero; tal vez haya denuncias previas.
  • Redes Sociales: Sí, lo que lees. Os sorprendería lo fácil que es reunir cierta información sobre una persona sólo visitando sus perfiles públicos. Dirección postal, número de teléfono, hasta contraseñas o información del entorno familiar. Lo mejor es que reduzcas los datos que ofreces a lo más mínimo e imprescindible.
  • Aplicaciones no seguras: La última moda en los robos de identidad ni siquiera necesitan que demos ningún dato. Los ciber delincuentes usarán aplicaciones que ya hayas descargado previamente y que escondan algún tipo de malware con el que después, sin ningún problema, podrán entrar en tu móvil y sacar toda la información que deseen. ¿Tu móvil recuerda automáticamente los datos de tu tarjeta? ¿Tu cuenta bancaria? ¿Tu dirección postal?

No te preocupes, basta con que sepas bien qué descargarte y que te andes con ojo a la hora de valorar la seguridad de tus aplicaciones.

Pero aunque sí que es cierto que lo peor que puede ocurrir es la propia usurpación de identidad, casi tan malo como éso es el tiempo que uno tarda en darse cuenta de que ocurre.

Que se lo digan a Charlie, al que arrestaron dos veces sin que la policía creyera una palabra suya al declarar que él no había realizado esos delitos, ni esas compras. La factura de teléfono que le llegó ascendía a los 6000€, y cualquiera le dice a la compañía de teléfono “mire, es que se hacen pasar por mí”.

Un delincuente tal vez menos ansioso habría repartido la dosis de facturas más sutilmente, manteniendo el nivel de delincuencia por debajo del radar. Charlie podría haber tardado años en darse cuenta, y tal y como él, cualquiera de nosotros.

¿Qué hacer para evitarlo?

Primero, intenta no tener datos importantes de forma pública. Pero si no puedes hacer eso, bien porque tu trabajo te lo exige o porque los usas con frecuencia, entonces échale un ojo a las mejores aplicaciones de seguridad del mercado, usa el cifrado de comunicaciones siempre que puedas, evita conexiones públicas, borra todos los datos de un móvil, tablet u ordenador antes de tirarlo, … Pero sobre todo, ten sentido común, no vayas instalando todo lo que pilles, evita los black market y no confíes a ciegas en todo lo que te llega.

Si tan empeñados están en hacerlo, por lo menos pongámoselo difícil.