Los 10 países que alojan más phishing son…

los-diez-paises-que-alojan-mas-phising

Con infraestructuras en la nube fácilmente escalables y botnets que pueden alquilarse de forma barata, el costo de realizar campañas masivas de phishing sigue disminuyendo para los cibercriminales. Incluso si la tasa de retorno es pequeña o la campaña está mal ejecutada, el phishing puede resultar en grandes ganancias para los delincuentes. Esta técnica de ataque nunca desaparecerá y seguirá siendo una de las causas de dolor de cabeza en los profesionales de seguridad.

Los diez países que hospedan más phishing

Para dar luz a las empresas sobre cómo los criminales cibernéticos realizan sus ataques y para concientizar a los usuarios sobre su evolución, los investigadores de WEBSENSE  analizaron las tendencias actuales del phishing. Se encontró que el porcentaje de intentos de phishing en todo el tráfico de correo electrónico se redujo a 0.5 por ciento en 2013 (frente al 1.12 por ciento en 2012). Esto puede sonar como una buena noticia, pero desde luego no significa que la cosa esté clara para las empresas.

Las campañas de phishing actuales son inferiores en volumen, pero mucho más específicas. Los delincuentes cibernéticos ya no lanzan millones de correos electrónicos a la deriva; en cambio, orientan   sus ataques con técnicas dirigidas e integran tácticas de ingeniería social. Los estafadores utilizan las redes sociales para investigar a sus víctimas y crearles un perfil. Una vez se cosecha la inteligencia utilizan esa información para construir cuidadosamente señuelos por email, dando el máximo resultado posible.

Además de las técnicas de ingeniería social, la ubicación geográfica también juega un papel complejo en el phishing.  A continuación una lista por rango de los diez principales países que hospedan las direcciones URL de phishing (Basada en una investigación realizada entre el 01/01/2013 y el 30/09/2013):

  1. China
  2. Estados Unidos
  3. Alemania
  4. Reino Unido
  5. Canadá
  6. Rusia
  7. Francia
  8. Hong Kong
  9. Holanda
  10. Brasil

Algunos puntos interesantes de esta lista:

  • China y Hong Kong hicieron su debut este año
  • El Reino Unido subió del puesto número seis
  • Los EE.UU. abandonaron el puesto número uno por primera vez en mucho, mucho tiempo
  • Rusia subió del puesto número diez
  • Luego de recientes apariciones, Egipto y Bahamas desaparecieron de la lista

“Hemos sido testigos de la evolución del phishing desde que se inició el ‘phishing bancario’ que robó pequeños montos de dinero a un montón de personas, pasando por el ‘spear phishing’ que apunta hacia datos muy valiosos, hasta el ‘phishing social’, que se enfoca en las personas. Utilizando técnicas como la imitación de perfiles en redes sociales, los delincuentes cibernéticos pueden obtener un punto de apoyo para obtener datos y dinero.

Mientras que el phishing puede parecer un problema de seguridad de bajo riesgo, no se deje engañar. Con bajas barreras de entrada el phishing a menudo forma parte inicial de un ataque bien construido y orientado que puede robar datos valiosos”, dijo Carl Leonard, gerente senior de investigación de seguridad de Websense.

Las cinco líneas de asunto más peligrosas

phishing-smlComo puede verse, la zona donde uno esté influye en el riesgo de una organización. Sin embargo, la ubicación geográfica es sólo una pieza del rompecabezas para detectar y detener los correos electrónicos no deseados. Cómo se titulan los correos electrónicos también juega un papel importante en el éxito de una campaña de phishing.

Nuestros investigadores de seguridad determinaron que las cinco principales líneas de asunto en los correos electrónicos de phishing en todo el mundo son las siguientes (con base en investigaciones realizadas del 01/01/2013 al 30/09/2013):

  1. Invitación a conectarse en LinkedIn
  2. La entrega del mensaje ha fallado: devolver el mensaje al remitente
  3. Querido cliente del banco <insertar nombre>
  4. Comunicación importante
  5. Mensaje no entregado devuelto al remitente

La anterior lista retrata cómo los delincuentes cibernéticos están tratando de engañar a los destinatarios para que hagan clic en un enlace malicioso o descarguen un archivo infectado utilizando líneas de asunto enfocadas en el negocio que parecen legítimas. Los estafadores utilizan todos los medios necesarios para aumentar la probabilidad de que una campaña de phishing inspire confianza para que las personas hagan clic.

Sightmaps: los lugares más fotografiados del mundo

sightmaps-los-lugares-mas-fotografiados-del-mundo

LA WEB

  • Esta web es una plataforma que se basa principalmente en Panoramio (Panoramio es el servicio que gestiona la publicación de fotografías en Google Maps). A partir de esos datos, en Sightmaps han creado un mapa que muestra los lugares en donde se tomaron más fotografías aceptadas en Panoramio, e identifican aquellas ciudades y regiones más populares.
  • Además de estos recursos de Google se emplean otros recursos “públicos” (gratuitos la mayor parte) varios de Google como Google Streetview, Google +
  • Otros como Wikipedia o Tripadvisor

OBSERVACIONES

De entrada la página es relativamente nueva (2012 – 2013), pero más que “nueva” es desconocida a nivel general.

SightsMap

He llevado a cabo una consulta entre personas de diversos países como Venezuela, Argentina, México, Panamá, Londres y Bruselas, para comprobar la popularidad de esta web en otros lugares, ya que aquí de entrada no resulta muy conocida.

A través de dicha consulta hemos comprobado que dicha página, a la fecha de este post, no es muy conocida.

En principio llama la atención, resulta muy curiosa por su mapa del mundo con “puntos calientes”, coloreados.

La primera toma de contacto:

  • Tarda en cargar

  • No resulta tan intuitiva (mi sensación). Esto implica que para mucha gente no resulte agradable o atractiva y no la use

  • Al realizar búsquedas da errores. (lo explicamos con algún ejemplo más adelante)

Más en profundidad

Cosas positivas y otras no tanto

¿Positivo? Me gusta que en una sola plataforma se aglutinen diversos servicios y me parece atractivo y útil si se puede buscar una ciudad y ubicarla en el mapa, y además ver fotografías y buscar información relacionada en diferentes lugares como Tripadvisor o Wikipedia pero…

¿Menos positivo?

Quedas en manos de las personas que suben las fotos, pero no es ese el problema, el problema es que en este caso concreto la gente que sube las fotos, lo hace sin saber probablemente que luego estas van a ser utilizadas por Sightmaps.

Por ello:

  1. Por un lado SI sirve para conocer los que atrae, interesa o gusta a la gente
  2. Pero por otro lado, hay que tener en cuenta que no es lo que interesa a TODA la gente en gral. sino simplemente a los usuarios de Panoramio y Google Maps, allí donde estos recursos se emplean, con lo cual la información no es tan completa, -por ejemplo ASIA queda un poco al margen-
  3. En ocasiones la información que la gente sube no es exacta y tiene errores

A día de hoy, ya existen otras páginas en las que puedes encontrar mucha información, aportar tú también experiencias y compartir dicha información, si lo deseas, pero de manera consciente y sabiendo lo que vas a poner y por qué.

Son páginas que específicamente van dirigidas a ello, con lo cual suelen ser más exactas en la información que presentan y se ciñen y ajustan mejor a la información que solicitan o buscan los interesados. En el caso de Sightsmap, esta página (plataforma) se nutre de las fotografías que los usuarios han subido a Google Map a través de Panoramio, las recoge y vincula de forma automática con otras páginas y recursos on line, lo que por otro lado da lugar a veces a errores, ya que vincula las búsquedas de información que realiza en otros medios (por ejemplo Wikipedia o Tripadvisor), con los datos que se introducen al subir las imágenes, y si estos datos que se suben son erróneos, toda la información que se va a ofrecer es errónea.

Ver ejemplo siguiente:

En este caso por ejemplo, vemos “el Portalón”, pero la persona que ha introducido el título como "Jundiz recycling plant" lo ha hecho mal.

Error generado al subir datos de la fotografia

Y como el resto de los recursos se vinculan… más que aclarar, la lía.

Vale, ¿veis el título de la imagen?, pues si pinchais por ejemplo en Tripadvisor verás esto:

información errónea a causa de la vinculación en la búsqueda

Y claro, esto ¿ quién lo controla alguien? Al estar todo “automatizado” tiene estos fallos.

Lo cierto es que da bastantes errores de este tipo. En muchas ocasiones la fotografías no están bien, o la ubicación no es la correcta o la información que se ofrece es inexacta, en última instancia la información se obtiene de la que sube y proporciona la gente cuando sube sus fotos, y marca las coordinadas, etc.

OPINIÓN PERSONAL

LO BUENO

Me parece una página muy interesante y curiosa, y la verdad es que es digna de ser visitada.

Sightsmap se elabora cruzando datos (crowdsourcing) también con checking en FourSquare, WikiTravel o GeoNames, y volcándolos superpuestos en GoogleMaps. Todo ello es novedoso y “mola” 😉

Así, el usuario, jugando con el zoom, puede encontrar y explorar lugares de interés. Los sitios más populares además incluyen como extras multitud de enlaces, fuentes e info adicional. Esta web, ofrece también posibilidades para la planificar viajes, agregar marcadores y notas propias a los lugares, personalizando tu propio mapa preferido.

LO “MENOS BUENO”

No es conocida, tiene muchos fallos y existiendo ya páginas concretas destinadas a ese tipo de cosas, a pesar de ser curiosa, no sé si resultará de interés general y no sé si llegará a ser muy utilizada por la gente. Vamos, que hoy por hoy creo que le queda mucho camino por andar. ¿Qué puede ser interesante seguir esta web para saber qué es lo que a los turistas les gusta?. Sí, personalmente creo que debiera de estar mucho más depurada.

También debiéramos de tener en cuenta el perfil de las personas que acostumbran sacar fotos y subirlas a Google Map a través de Panoramio. edades de os usuarios,… habrá una franja de edad que no esté representada ahí.

PERSONALMENTE ME PARECE BIEN CONOCERLA Y TENERLA EN CUENTA COMO UNA HERRAMIENTA MÁS QUE NOS SIRVA DE ORIENTACIÓN, PERO A LA HORA DE APOSTAR YO APOSTARÍA POR PÁGINAS MÁS ESPECÍFICAS.

OTROS DATOS DE INTERES O CURIOSOS

Panoramio surgió de la propia España, y Google la adquirió y la enlazó con sus mapas.

Aunque no todas las personas suban sus fotos a la red, los datos que ofrece Sightsmap son bastante similares con la realidad turística de las ciudades.

Llama la atención que el continente favorito por los fotógrafos es Europa, sin embargo, las principales ciudades del Asia no están destacadas en los primeros puestos de este ranking mundial, esto se debe a que en aquel lugar mayoritariamente utilizan otros sistemas para compartir sus imágenes.

[gravatar email=”esther@ayser.com” size=”50″ align=”left” style=”margin:5px 5px 5px 0;”]Fuente: AYSER.COM (Esther Ayesa)

Ideas y trucos para mejorar la seguridad de tu contraseña

ideas-y-trucos-para-mejorar-la-seguridad-de-tu-contrasena

Cuando la contraseña más usada alrededor del mundo es “123456”, tenemos un problema. Te mostramos una guía con trucos para mejorar la seguridad y fortaleza de tus contraseñas, servicios para poder generar claves en la red, y los errores más comunes a la hora de idear una contraseña para cualquier servicio.

Si bien la seguridad parece ser una de las preocupaciones más importantes de los usuarios –más después del escándalo de PRISM y la NSA en los Estados Unidos- parece que puertas adentro las personas no se esfuerzan demasiado en dotar a sus servicios y cuentas online de contraseñas que valen la pena. Todos los años, se publica una lista de las contraseñas más usadas en el mundo, y como siempre la fortaleza de las mismas sorprende. Este año hubo un cambio radical: después de 2 años en la cima del podio, “password” dejó de ser la contraseña más usada… para dejar lugar a “123456”.

Las estadísticas fueron recopiladas por por SplashData, una compañía de software de administración de contraseñas. Los datos, por su parte, fueron relevados gracias a la enorme cantidad de contraseñas “robadas” en el último año por diferentes partes, por ejemplo: las millones de contraseñas hackeadas de Adobe, en donde también “123546” resultó ganadora como contraseña más habitual. ¿Esto es normal o es una exageración por parte de las estadísticas? Los números no tienen la capacidad de exagerar, y los problemas de seguridad son moneda corriente.

La mejor forma de evitar cualquier tipo de problema que puede surgir gracias a una contraseña comprometida es contar con una contraseña fuerte. Por eso, ante las estadísticas de SplashData se nos ocurrió responder con una serie de consejos para mejorar la seguridad de nuestras cuentas a través de contraseñas, así como también una lista de generadores online de contraseñas que nos pueden servir cuando nos falta creatividad para idear una por nuestros propios medios. La seguridad es un asunto del que tenemos que preocuparnos, aunque consideremos que no somos un blanco fácil para un ataque de este estilo.

Errores comunes

Deberíamos iniciar esto definiendo de una forma sencilla qué es una contraseña. Se trata de una combinación de caracteres que funciona como “llave” para acceder a un servicio y verificar nuestra identidad. Con este último punto, partimos de la base más importante de nuestras contraseñas: nunca compartirlas con un tercero. Sin importar el nivel de confianza que tengamos con esta otra persona, las contraseñas son personales e intransferibles, y deberían ser usadas por una única persona, no compartidas.

Además de compartir, otro de los errores favoritos de los usuarios es anotar la contraseña en un formato como el papel o el correo electrónico. Algunos llegan al extremo de anotar en un papel la contraseña de la computadora laboral… y pegarlo sobre la misma computadora. De más está decir que esto es completamente inseguro. Si no podemos acordarnos de todas nuestras contraseñas (un punto que tocaremos dentro de algunas líneas) podemos recurrir a un gestor de contraseñas para poder administrarlas de forma segura y cifrada, sin correr el riesgo de comprometerlas de alguna forma.

security-tips

Otro de los errores más comunes de los usuarios y sus contraseñas reside en la frecuencia con la que usan una contraseña. Tanto en la vida laboral como en la vida personal, son muchos los usuarios que usan repetidas veces la misma contraseña en Facebook, Twitter, Google+, Gmail, correo electrónico laboral y cualquier otro tipo de servicio. Nuestra contraseña puede resultar comprometida en una variedad de escenarios, ya sea desde un hackeo masivo a un servicio al que estamos anotados hasta la ingeniería social, un riesgo que todos corremos. Por eso, lo fundamental es usar una contraseña diferente para cada uno de los servicios. Si no confiamos en nuestra memoria, de nuevo podemos usar un gestor de contraseñas.

Finalmente, tenemos el grandísimo problema de las contraseñas más sencillas, también conocidas como contraseñas débiles. El problema con estas contraseñas es que, si bien son fáciles de recordar (es el clarísimo caso de “password” o de “123456”), son extremadamente vulnerables y cualquiera puede ser capaz de averiguarla sin hacer un esfuerzo grande. Dentro de estas contraseñas, podemos encontrar por ejemplo las contraseñas generadas por default por los sistemas, los benditos cumpleaños, el nombre del perro, y mucho más. Del otro lado del espectro nos encontramos con las contraseñas fuertes, que sí son más complicadas de recordar, pero mucho más seguras.

Cómo mejorar una contraseña

  • Usa contraseñas fuertes: una contraseña fuerte es una cadena de caracteres, generalmente larga, que difícilmente puede ser adivinada por otra persona dado que hace una combinación complicada de diferentes tipos de caracteres y no puede ser averiguada gracias a la ingeniería social –dado que, muchas veces, está generada completamente al azar y no tiene bases en la realidad-. Por otro lado, si queremos que sí tenga una base en la realidad, podemos usar una palabra que recordemos fácilmente, pero con caracteres especiales. Por eso, en lugar de “casa” podemos usar “c4$a”, por ejemplo.

  • Usa combinaciones diferentes de caracteres: la clave para poder generar una contraseña fuerte es usar combinaciones diferentes de caracteres. Diferentes servicios usan diferentes criterios para poder setear una contraseña, y no todos nos pedirán que usemos mayúsculas y minúsculas o caracteres numéricos. Por eso, la responsabilidad de la fortaleza de nuestra contraseña depende enteramente de nosotros. Podemos combinar letras –tanto mayúsculas como minúsculas-, números, símbolos y caracteres especiales, y signos de puntuación.

  • No compartas tu contraseña con nadie: es importante hacer énfasis en este punto, aunque lo hayamos mencionado en el pasado. La seguridad de nuestra contraseña es fundamental y tenemos que mantenerla lo más personal posible. Por eso, evitemos compartir nuestras contraseñas con terceros o peor, anotarlas en un lugar donde sabemos que otras personas tienen acceso. Por ejemplo, dejar un archivo anotado en una carpeta compartida, en un archivo compartido, o peor, en un papel en nuestro escritorio. Esto es básicamente pedir tener problemas de seguridad con nuestra contraseña.

  • No repitas tus contraseñas: existe una costumbre generalizada de usar la misma contraseña para repetir en diferentes servicios. Es mejor para nuestra memoria, dado que solamente nos tendremos que acordar de una sola contraseña, pero si esa contraseña se encuentra en peligro, todos los otros servicios con esa misma contraseña también lo están. Es mejor usar una contraseña diferente para cada uno de ellos, aunque sea más complicado de recordar. Y esto se relaciona con el punto que veremos a continuación.

  • Usa un administrador de contraseñas: existen varios servicios, para diferentes sistemas operativos, que nos permiten gestionar nuestras contraseñas de una forma segura. Algunos funcionan como llaveros virtuales donde nada más tenemos que ingresar las contraseñas para acceder automáticamente a estos servicios. Otros nos ayudan a generar contraseñas “maestras” para el servicio, y luego se encargan de generar contraseñas fuertes y prácticamente imposibles de adivinar para cada una de nuestras cuentas por separado. Algunos son de pago, otros gratuitos, pero el espectro es amplio para cubrir todas las necesidades.

  • Verifica tu contraseña habitualmente: finalmente, es muy importante que verifiques de forma asidua la seguridad de tus contraseñas. ¿Cómo puedes hacerlo? Muchos servicios, cuando estamos generando una contraseña nueva, nos indican cuál es su fortaleza. Microsoft, por su parte, tiene un servicio online especial para chequear la seguridad de las contraseñas, llamado Password Strenght Checker. Y también hay un servicio independiente, How Secure Is My Password?, que sirve para este mismo propósito.

[gravatar email=”aitor@ayser.es” size=”50″ align=”left” style=”margin:5px 5px 5px 0;”]Fuente: Bitelia (Bárbara Pavan)

La NSA te puede hackear incluso sin estar conectado a internet

la-nsa-te-puede-hackear-incluso-sin-estar-conectado-a-internet

La forma más sencilla de evitar ataques o ser perseguidos en el actual mundo conectado es a menudo… desenchufarnos. Pero, según nuevos datos publicados esta semana, esto ahora ni siquiera es suficiente, cuando se trata de la NSA (Agencia de Seguridad Estadounidense).

El New York Times informó esta semana que gracias a la información de Edward Snowden, existen novedades acerca de la capacidad de la NSA de conectarse remotamente a un equipo sin una conexión a Internet.

La NSA comenzó instalar en 2008 en multitud de ordenadores, un software que establecía “un canal secreto de ondas de radio”, así gracias a la combinación del software con el propio hardware del equipo el sistema era capaz de comunicarse a través de ondas de radio a pequeños equipos de la NSA.

El sistema de comunicación alcanza varios kilómetros de distancia gracias a repetidores que la agencia colocaba estratégicamente para interceptar las comunicaciones de aquellos equipos que no estaban conectados a Internet.

Obviando por un momento el hecho de que el uso de esta tecnología viola a todas luces los derechos individuales de las personas, se trata de un desarrollo impresionante que tiene mucho sentido.

De hecho, una práctica estándar en muchas organizaciones tecnológicas de cara a la prevención de pérdida de datos, es tener una tecnología que monitorea los datos al salir de la red.

Según el informe de The Times, la tecnología de extracción de datos basados en radio no se ha utilizado en actividades de vigilancia doméstica dentro de los Estados Unidos.

Es probable que esta tecnología fuese utilizada en Irán. Durante años, la gente ha especulado acerca de cómo el malware Stuxnet afectó a Irán y ayudó a desbaratar ese ambicioso plan de armas nucleares. La teoría prevaleciente ha sido que los Estados Unidos, probablemente ayudado spor el estado de Israel y su agencia de inteligencia, Mossad, crearan Stuxnet conjuntamente con la intención de preservar la paz internacional.

datacenterAdemás, el diario explica que aunque no hay certificación de que este sistema se haya usado en EEUU el ejército chino ha sido un blanco frecuente de este tipo de despliegue tecnológico, pues “la actividad de la NSA se centra específicamente en objetivos de inteligencia extranjera desplegados contra EEUU”, comenta la agencia en un comunicado, quien además añade que “no utilizamos las capacidades de inteligencia extranjeras para robar los secretos o información comercial de las empresas extranjeras para mejorar la competitividad de las empresas de EEUU”.

Lamentablemente, gracias a las filtraciones Snowden, sabemos que el ancho y la amplitud de las actividades de espionaje de la NSA son inmensos. Está claro también que es necesario algún tipo de reforma ante estas prácticas, y afortunadamente esa reforma parece ser que llegará muy pronto. El 18 de diciembre de 2013, un grupo de tareas presidencial emitió un informe que proporciona 46 recomendaciones para revisar las actividades de vigilancia de Estados Unidos a las que el Presidente Barack Obama deberá comentar y responder.

[gravatar email=”aitor@ayser.es” size=”50″ align=”left” style=”margin:5px 5px 5px 0;”]Fuente: laflecha.net (Sarah-LF)