Bug en la app de cámara de Android permite a otras apps usar la cámara sin los permisos necesarios

Ha sido descubierta una nueva vulnerabilidad en las aplicaciones de cámara de Google y Samsung que permite realizar fotos y grabar vídeo a otras aplicaciones sin que éstas soliciten los permisos necesarios para ello.

Investigadores de la empresa ‘Checkmarx’ han hecho publica una vulnerabilidad descubierta en verano de este año. El fallo afecta a las aplicaciones de cámara de Google y Samsung. Dicha vulnerabilidad ha sido identificada como CVE-2019-2234.

La aplicación de cámara de Google se encuentra instalada por defecto en los dispositivos Pixel de Google, mientras que la aplicación de cámara de Samsung se encuentra instalada en los dispositivos Samsung.

Por seguridad, una aplicación para Android debe solicitar permiso para acceder a la cámara, y por tanto, para tomar fotos y grabar vídeos. Los permisos que debe solicitar son: android.permission.CAMERA y android.permission.RECORD_AUDIO

Además, para el acceso a datos sobre la localización espacial del dispositivo es necesario que la aplicación solicite permisos para ello: android.permission.ACCESS_FINE_LOCATION y android.permission.ACCESS_COARSE_LOCATION

Aprovechando la vulnerabilidad descubierta, una aplicación maliciosa podría tomar fotos y grabar vídeos sin necesidad de solicitar dichos permisos. Además, como las fotografías incluyen metadatos del GPS del dispositivo, la aplicación podría también obtener información sobre la localización del dispositivo sin necesidad de solicitar los permisos para ello.

Como podemos observar en el vídeo publicado por Checkmarx, una aplicación maliciosa que aproveche esta vulnerabilidad puede obtener información confidencial y enviarla al atacante.

La vulnerabilidad reside en los ‘Intents’ que expone las aplicaciones de cámara afectadas. Dichos ‘Intents’ pueden ser ejecutados por otras aplicaciones sin necesidad de permisos especiales.

A través de los ‘intents’, la aplicación maliciosa puede ejecutar la app de cámara y forzarla a grabar vídeos o tomar fotos mientras el dispositivo está bloqueado o incluso mientras el usuario se encuentra en mitad de una llamada, permitiendo grabar el audio de la llamada.

Google corrigió el problema en Julio de 2019, poco después de que se les reportase. Se recomienda a todos los usuarios de la app que actualicen a la última versión para asegurarse de que no les afecta este problema.

5 consejos para mantener seguras tus bases de datos

Cuando damos consejos de privacidad y seguridad solemos hablar de contraseñas fuertes, recomendamos hacer copias de respaldo, contar con soluciones de seguridad, mantener los sistemas actualizados y evitar las configuraciones por defecto. En general, suelen ser los cuidados básicos y esenciales que cualquier administrador de infraestructura debe considerar. Sin embargo, según el sistema que esté queriendo proteger, hay algunas cuestiones adicionales a tener en cuenta.

Teniendo en cuenta la alarmante frecuencia con la que llegan a los titulares los robos y filtraciones de información, presentamos cinco consejos clave para mantener bases de datos seguras, especialmente cuando están alojadas en la nube o en servicios tercerizados.

#1 Limita el acceso a la base de datos

Resulta que este viejo refrán es ideal para aplicar a la seguridad de la información: cuando muchas personas tienen injerencia en un tema, el resultado no puede ser positivo.“Muchas manos en un plato hacen mucho garabato”, repetía mi abuela cada vez que todos los nietos queríamos ayudarla a cocinar.

Algo similar ocurre con los accesos a las bases de datos: cuanto más acotados los permisos y privilegios, mejor.

Un riguroso control de acceso es el primer paso para mantener a los atacantes lejos de tu información. Además de los permisos básicos como en cualquier sistema, en este caso también se debe considerar:

• Limitar el acceso a los datos sensibles tanto por parte de los usuarios como de los procedimientos, es decir, que solo determinados usuarios y procedimientos estén autorizados a realizar consultas en información sensible.
• Limitar el uso de los procedimientos importantes solo a usuarios específicos.
• Siempre que sea posible, evitar las concurrencias y acceso fuera del horario laboral o habitual.

Por otro lado, resulta una buena práctica deshabilitar todos los servicios y procedimientos que no se utilicen, para evitar que sean atacados. Además, siempre que sea posible, la base de datos debe estar en un servidor que no tenga acceso directamente desde internet, para evitar que la información quede expuesta a atacantes remotos.

#2 Identifica los datos sensibles y los datos críticos

El primer paso, antes de pensar en las técnicas y herramientas de protección, es analizar e identificar cuál es la información importante que se debe proteger. Para esto, es importante entender la lógica y arquitectura de la base de datos, para poder determinar con facilidad dónde y cómo se almacenan los datos sensibles.

No todos los datos que almacenamos son críticos o deben ser protegidos, por lo que no tiene sentido gastar tiempo y recursos en esta información.

También es recomendable llevar un inventario de las bases de datos de la compañía, teniendo en cuenta todas las áreas. La única forma de tener una administración prolija y no perder información es tener conocimiento y registro de todas las instancias y bases de datos de la compañía.

Además, el inventario resulta especialmente útil al momento de hacer un respaldo de la información, para evitar que datos críticos queden fuera del esquema.

#3 Cifra la información

Una vez identificados los datos sensibles y la información confidencial, una buena práctica es utilizar algoritmos robustos para cifrar estos datos.

Cuando un atacante explota una vulnerabilidad y logra tener acceso a un servidor o un sistema, lo primero que intentará robar son las bases de datos. Son un tesoro codiciado, ya que normalmente incluyen muchos gigas de valiosa información; la mejor manera de preservarla es volverla ilegible para cualquier persona que llegue a ella sin autorización.

#4 Anonimiza las bases de datos de que no son productivas

Muchas empresas invierten tiempo y recursos en proteger sus bases de datos productivas, pero al momento de hacer un desarrollo o crear un entorno de pruebas, simplemente hacen una copia de la base original y comienzan a utilizarla en ambientes mucho menos controlados, exponiendo de esta manera toda la información sensible.

El enmascaramiento o anonimización es un proceso mediante el cual se crea una versión similar, manteniendo la misma estructura que la original, pero alterando los datos sensibles para que permanezcan protegidos. A partir de esta técnica se cambian los valores respetando el formato.

Los datos se pueden cambiar de diferentes maneras: mezclándolos entre sí, cifrándolos, mezclando los caracteres o sustituyendo palabras. El método elegido dependerá del administrador, las reglas y formatos que se deban mantener, pero sea cual sea, debe garantizar que el proceso sea irreversible; es decir, que no se pueda hacer ingeniería reversa para volver a obtener los datos originales.

Esta técnica es especialmente utilizada (y recomendada) para las bases de datos que forman parte de entornos de pruebas y desarrollo, ya que permite mantener la estructura lógica de los datos mientras garantiza que la información sensible del cliente no está disponible fuera del entorno de producción.

#5 Monitorea la actividad de tu base de datos

Estar atento, auditar y registrar las acciones y movimientos sobre los datos permite saber quién, qué, cuándo y cómo ha manipulado la información. Tener un historial completo de las transacciones permite comprender patrones en el acceso y modificación de los datos y así evitar fugas de información, controlar cambios fraudulentos y detectar acciones sospechosas en tiempo real.

Recuerda seguir estos consejos y ser muy precavido a la hora de administrar y proteger tus bases de datos. La información que estas alojan es muy valiosa para la empresa y un botín codiciado para los atacantes, por lo que sin dudas merece toda tu atención.

La mala gestión de los datos por parte de las empresas y sus consecuencias

La noticia sobre la exposición de datos privados de más de 20 millones de personas en Ecuador a raíz de una base de datos mal configurada generó revuelo en el país, pero debería servir a muchas empresas y organizaciones para reflexionar acerca de qué posibilidades existen de que algo semejante pueda ocurrirles y qué aspectos de seguridad deberían mejorar para evitar un escenario similar.

En el caso de Novaestrat –empresa propietaria del servidor que expuso la información-, tengamos presente que el incidente de seguridad que afectó aparentemente a casi la totalidad de la población de Ecuador, se produjo como consecuencia de la mala configuración de una base de datos. Es decir, un error humano.  Es importante que las empresa y organización no solo dediquen tiempo y recursos a los aspectos tecnológicos de la seguridad, como pueden ser las soluciones de cifrado o las soluciones de prevención de fugas de información, sino también a la elaboración de procesos y políticas de seguridad que incluyan los debidos controles y contribuyan a que la gestión de la seguridad sea la adecuada.

Si bien cifras del ESET Security Report 2019 comprueban que el 61% de las empresas en América Latina manifestó que sus tres principales preocupaciones de seguridad son: el acceso indebido, el robo de información y la privacidad de la información; en países como Ecuador y Perú, menos de la mitad de las empresas cuenta con una política de seguridad.

En la edición 2017 de este mismo informe, 1 de cada 10 empresas de Latinoamérica afirmó haber sufrido una brecha o fuga de información, y en ese entonces apenas el 30% de las organizaciones dijo contar con un plan de continuidad del negocio o de respuesta a incidente, algo que permitía ver que era muy factible que este tipo de incidentes siguiera ocurriendo, predijo hace dos años el jefe del laboratorio de ESET Latinoamérica, Camilo Gutiérrez cuando explicó las consecuencias de una fuga de datos.

Si bien para analizar por qué siguen surgiendo nuevos casos de exposición y/o brecha de datos es necesario considerar múltiples factores, sin dudas que el responsable de un alto porcentaje de las brechas que se dan anualmente es el error humano es. En este sentido, la exposición de datos como consecuencia de la mala configuración de una base de datos no es una novedad. En 2018 solamente, publicamos al menos tres casos de exposición de datos privados que involucraron a millones de individuos en distintas partes del mundo como consecuencia de bases de datos mal configuradas, uno de ellos en Brasil y otro en México.

Es importante recordar que una brecha de información puede provocar graves consecuencias para la compañía que sufre el incidente, además de las que afectan a los usuarios. Una de estas consecuencias es de índole económica, ya que muchas empresas están obligadas a resarcir económicamente a los usuarios cuya información se filtró o deberán pagar multas según la legislación local. Asimismo, puede suceder que la información que se filtra afecte a la competitividad de la empresa o que interrumpa el negocio alterando la dinámica productiva, lo cual también generaría consecuencias económicas.

Según datos de la edición 2019 del reporte global “El costo de las brechas de datos” que realiza IBM junto al Instituto Ponemon, el costo promedio de una brecha de datos en países como Brasil es de $1.35 millones de dólares, siendo el países con el costo promedio más bajo en el estudio, mientras que en Estados Unidos esta cifra asciende a $8.19 millones. Además, el costo promedio por cada registro a nivel global es de $150 dólares y el tiempo promedio estimado para identificar y contener una brecha de datos es de 279 días.

El daño a la imagen y a la confianza que se tienen de la marca puede tener consecuencias importantes. Facebook, por ejemplo, tras el caso de Cambridge Analytica en 2018 perdió en proporciones enormes la confianza que tenían los usuarios en la red social y le significó un daño importante a la imagen que se tenía de la compañía.

Está claro que el incidente que acaba de ocurrir esta semana en Ecuador pone en evidencia la necesidad de seguir trabajando en concientización y educación, tanto con las empresas como con los usuarios. 

Función “Eliminar para todos” de WhatsApp no elimina archivos enviados a usuarios de iPhone

La opción que ofrece WhatsApp y que permite eliminar mensajes enviados para que el destinatario no pueda verlos no funciona como muchos esperan. Al parecer, los archivos multimedia (fotos, videos, etc) que son enviados a usuarios de iPhone que tengan la configuración por defecto de la app no son eliminados del dispositivo cuando quien envía el mensaje decide borrarlos para que el destinatario no los vea, lo cual genera una falsa sensación de privacidad.

En este sentido, a pesar de que la persona que envía el mensaje quiera eliminarlo y la aplicación despliegue el mensaje “el mensaje ha sido eliminado”, el mismo aún está disponible en el dispositivo iOS al cual se envió, explica en un artículo TheHackerNews.

Este inconveniente no está presente en dispositivos Android, donde la función de volver para atrás y eliminar un archivo que se envió funciona correctamente y el contenido se eliminará del dispositivo del remitente o de los remitentes; en caso de ser enviado a un grupo.

Según publicó el medio, el hallazgo de este problema de privacidad es obra del consultor en seguridad Shitesh Sachan, quien explicó que la funcionalidad de WhatsApp para iOS no ha sido diseñada para eliminar mensajes multimedia recibidos que fueron guardados en Camera Roll de los dispositivos iPhone, mientras que en dispositivos Android los archivos enviados sí se eliminarán desde la galería en la cual son guardados por defecto.

En su configuración por defecto, la app de mensajería automáticamente guarda todas las imágenes y videos que se reciben a través de WhatsApp en Camera Roll de los dispositivos iPhone y la galería de imágenes de Android; una opción que puede desactivarse desde la configuración de WhatsApp.

Una vez que la compañía recibió el reporte por parte de Sachan acerca de este inconveniente, la misma aseguró que no realizará cambios para intentar resolverlo, alegando que la función “Eliminar para todos” fue pensada para eliminar mensajes dentro de WhatsApp y que no ofrece garantías de que un archivo será eliminado de manera permanente, aunque dijo que en el futuro podría hacer cambios en esta funcionalidad y en cómo está implementada, publicó el medio.

Nuevo Phishing de Netflix busca robar credenciales de acceso y datos de la tarjeta

Con más de 140 millones de usuarios en todo el mundo, la imagen de Netflix sigue siendo utilizada por los cibercriminales para realizar campañas de ingeniería social en las que suplantan la identidad de la popular plataforma de streaming con el objetivo de robar información personal de usuarios desprevenidos.

En el día de ayer llegó al laboratorio de ESET Latinoamérica un correo en el que se suplantaba la identidad de Netflix con un mensaje indicando al destinatario que era necesario verificar su información de inicio de sesión debido a que se había registrado una actividad sospechosa en su cuenta.

Falso correo que suplanta identidad de Netflix solicita al destinatario verificar la cuenta debido a que se detectó actividad inusual.

A simple vista, un usuario desprevenido podría suponer que se trata de un correo legítimo por parte del proveedor de servicios de series y películas y decidir hacer clic en el botón “ACTUALIZAR” para evitar perder el acceso a su cuenta.

Por supuesto, no estaría verificando que la URL a la que hace referencia el botón presenta las siguientes características:

https://u10100579.ct.sendgrid.net/wf/click?upn=XXXXXXXXXXXXX

Como se puede apreciar, el enlace no corresponde a ninguna dirección oficial del servicio Netflix; de hecho, ni siquiera aparece el nombre del servicio en alguna parte de la composición de la URL.

Luego de una redirección, seguramente a efectos de evitar protecciones antiphishing o bien llevar algún conteo de potenciales víctimas, el usuario atacado llegará al siguiente sitio con la siguiente dirección.

http://equipodenetflix4.aba.ae/f46d63f37e337b21cdcxxxxxxxxxxxxxxxxx/

En esta URL al menos sí se puede observar dentro de la composición del dominio que se hace referencia a un supuesto equipo de Netflix y se puede apreciar también que el servidor corresponde a un servicio de hosting gratuito de Emiratos Árabes.

La interfaz del sitio con la que el usuario se encontrara es la siguiente:

Falso sitio de Netflix con una apariencia similar al original solicita que verifiquemos nuestro usuario y contraseña.

Con un diseño igual al del sitio original, la particularidad de esta página es que independientemente del usuario y clave que se ingresen no se producirá ningún tipo de verificación de credenciales y se intentará llevar al usuario a una instancia en la que se le solicitará el ingreso de los datos de la tarjeta de crédito asociada a la cuenta.

Cibercriminales esperan que la víctima coloque los datos de su tarjeta para robarlos.

En esta instancia, nuevamente los datos ingresados no serán cuestionados y solo bastará con cumplir con el requisito de longitud en algunos campos. Es decir que, ante la inclusión de cualquier información y el pedido de confirmar los datos, el sitio finalmente redireccionará al usuario al portal original de Netflix, habiendo logrado el cometido del robo de credenciales de acceso y los datos de pago de la cuenta.

En un análisis un poco más exhaustivo, no se pudo verificar que se realizaran segundas acciones, como la descarga de algún tipo de malware o la ejecución de algún código adicional que afectara los recursos de la máquina. Por lo tanto, se puede interpretar que se trata de una campaña que busca únicamente el robo de información personal, presumiblemente para vender en el mercado negro (la venta de los datos de una tarjeta de crédito activa ronda los 45 U$D en la Dark Web) o bien para utilizar en otros ataques dirigidos.

Como evitar ser víctima en estos ataques:

• Siempre evitar acceder a enlaces que llegan inesperadamente por correo electrónico u otros medios.
• Verificar la dirección del remitente y que coincida que con el servicio al que hace referencia.
• Contar con protecciones de seguridad en el dispositivo que puedan hacer de barrera ante estos casos. En el caso de sospechar que pueda ser cierto el mensaje, ya sea porque es un usuario muy activo en esta u otra plataforma, se recomienda acceder a la misma de manera tradicional y verificar ahí si todo está correcto o eventualmente realizar un cambio de credenciales.

¿Qué son los trolls o haters?

Los trolls o haters son un fenómeno de Internet que cada vez es más visible. Para entender este concepto, se debe indagar en el área de la psicología. Un troll o hater en Internet hace referencia a personas que se dedican a insultar, amenazar o utilizar humor con fines que en ocasiones dañan a la persona a la que se dirigen.

Es un símil a lo que se conoce en la vida real como “bullying” y las personas que lo promulgan. Un concepto muy conocido en todo el mundo. En los colegios muchos niños sufren cada día de este problema. El “bullying” de calle está realizado por personas que insultan, amenazan y boicotean a otras personas.

No obstante, y con la ayuda de las redes sociales, es posible hacerlo de forma totalmente anónima. Así, un troll o hater es una persona que, desde el anonimato, actúa de la misma forma que se hace en la calle en estas situaciones.

Por tanto, se dedica a generar mensajes que causan dolor y odio. Y aprovechan que no se les conoce. Cualquier usuario puede crear un perfil falso en alguna de las diferentes redes sociales que le convierte en alguien completamente anónimo.

Cómo aparecen los trolls en redes sociales

Seguramente, alguna vez que has accedido a algún canal de Youtube, blogs o redes sociales los has presenciado. Se trata de individuos que se dedican fervientemente a hacerle la vida imposible a los demás, simplemente por “amor al arte”, expresar sus frustraciones, ignorancia o inmadurez. ¿Te suena verdad?

Lo peor es que se valen de la libertad para expresarse que ofrecen las redes sociales a cualquier ser humano. Se habla ya de una plaga de haters en la red. Pero, ¿por qué existen personas así? Es complicado de responder a esta pregunta.

Lo cierto es que hay que entenderlo desde un punto de vista psicológico. El psicólogo John Sulerllama a esta tendencia desinhibición online. En Internet existe una menos restricción o, mejor dicho, no existe. Si alguien difama a otra persona o le insulta, en teoría, no pasa nada. Y ahí radica el problema.

Estas personas tienen conductas que en psicología se denomina Triada Oscura de la Personalidad. Y en las actuales plataformas de redes sociales encuentran el escaparate perfecto para mostrar sus frustraciones. Y para desahogarse, siempre en detrimento de otros usuarios.

El comportamiento psicológico de un trolla y haters

Como se observa en la imagen superior, existen decenas de categorías de trolls digitales. Siempre dependiendo de su actividad y el comportamiento que tienen en cada uno de los espacios digitales por los que campan a sus anchas.

Pero todos ellos tienen elementos en común. Tal y como demuestra un estudio canadiense de las Universidades de Manitoba, Winnipeg, British Columbia. Los trolls tienen comportamientos que en psicología dan lugar a la Triada Oscura de la Personalidad.

Dentro de este tipo de comportamientos se encuentran el narcisismo, la psicopatía y el maquiavelismo. Además, el estudio hace una mención importante al sadismo. Así, se relaciona totalmente el comportamiento de un troll con una persona que le gusta el sadismo.

Este tipo de personas no son capaces de debatir o comentar un tema sin poder llamar la atención. Estos comportamientos en la vida real de una persona pueden ser peligrosos. Lo mismo ocurre en el entorno digital. Por lo que comienzan a verse casos de haters que han tenido que pasar delante de jueces para que su comportamiento no quede impune.

Componentes de la Triada Oscura de la Personalidad

1. El narcisismo

Se dice de la persona que se quiere tanto a sí misma que no es capaz de aceptar ni una crítica. Siempre buscan llamar la atención y provocar la admiración en el resto de usuarios sin dar nada a cambio. Existe una falta de empatía brutal y tienden a la grandiosidad y al exhibicionismo.

2. La psicopatía

Se trata de personas egocéntricas y manipuladoras. Nunca reconocen la culpa y no pueden tener remordimientos de conciencia. No suelen tener sentimientos de ningún tipo, son muy superficiales. En psicología se les trata como personas con conductas socialmente desviadas. Llegan a transgredir las normas en busca de sensaciones.

3. El maquiavelismo

Son personas que utilizan todas las herramientas posibles de persuasión con el único fin de conseguir satisfacerse a sí mismos y conseguir los fines que se proponen. A estas personas se les relaciona con un comportamiento de manipulación ante otras personas en contextos sociales normales.

Estos comportamientos existen. En la realidad están totalmente perseguidos y en el momento en que se capta a una persona así se le lleva a un centro de ayuda. No obstante, en las redes y en el mundo online muchos pasan totalmente desapercibidos.

No obstante, aunque existan personas cuyo fin único sea insultar, difamar y hacer daño, también los hay que utilizan mecanismos similares pero con un tono de humor. En muchos casos difunden mensajes irrespetuosos pero la diferencia es que no buscan hacer daño a otras personas. Es por ello importante hacer una diferenciación entre troll y hater.

La diferencia entre trolls y haters

Ambos tienen en común que buscan llamar la atención con sus comentarios o acciones diversas que realizan. Ambos insultan, difaman, boicotean y fastidian a otros.

La diferencia radica en que un troll lo hace por llamar la atención y así conseguir que las personas le sigan o se rían con sus comentarios.

Por su parte, el hater mantiene comportamientos específicos tales como los mencionados anteriormente dentro de la rama de la psicología. Son personas cuyo fin es hacer daño de verdad, de forma consciente. Utilizan todas las herramientas que tienen estas redes para burlarse, reírse, hacer sentir mal y cambiarte la autoestima.

El troll cree genuinamente en lo dice y hace lo imposible por demostrar su punto de vista, aunque esté equivocado. El hater, sin embargo, todo lo que dice lo hace para herir a otras personas porque no le importan nada. Frases como “eres idiota”, “eres feo” y, evidentemente, mucho peores son mencionadas por parte de los haters.

Se puede observar, por tanto, que existen dos grandes diferencias entre estos dos tipos de usuarios. Aunque sí es cierto que ambos abogan por enviar mensajes negativos, el troll lo hace por llamar la atención. Cuantas más personas le hagan caso mucho mejor para él.

Si te encuentras con casos como éstos al acceder a tus redes sociales o blogs, es importante que actúes racionalmente para evitarlos cuanto antes. Aunque no pueden desaparecer sin esfuerzo, ya que esos comentarios seguirán presentes, mostrándose a todo el mundo. Existen ciertos trucos que harán que, al menos, a ti no te afecte y puedas vivir una vida tranquila.

Cómo ganar a los trolls o haters

Para superar un ataque de trolls o haters es interesante tener en cuenta estos consejos:

1.- Do not feed the trolls. Ignora a los trolls

La mejor forma de evitar a los trolls es ignorándolos. Lo que están buscando es que las personas les respondan y provocar esa acción-reacción. Si no les respondes, ellos verán que no consiguen ese protagonismo y se aburrirán. De modo que serás tú quien pueda ganar esta batalla.

2.- Jamás les lleves la contraria

Si hay algo que no puede soportar un troll es que se le lleve la contraria. Por ejemplo, cuando comenta un tema y tú no estás de acuerdo. Nunca debes rebatirle ni comentar algo contrario a cómo piensa. Una vez más, eso es precisamente lo que buscan en los otros usuarios. Además, por su comportamiento se encienden tanto que puedes meterte en problemas.Y, recuerda, en una pelea digital no gana nadie.

3.- Aplica técnicas de Asertividad

Es importante que sepas enfrentarte a situaciones de este tipo en el entorno digital. Para lograrlo, hacer uso de la inteligencia emocional puede ser una de las mejores soluciones. Mediante el uso de algunas de las técnicas que se identifican en el vídeo de arriba podrás enfrentarte de forma mucho más inteligente al ataque de un troll.

El caso de un hater es algo mucho más complejo. Sin embargo, cada vez existen más elementos a disposición de cualquier persona para, utilizando la misma tecnología de la que se aprovechan, dar conocimiento de esta situación.

Los trolls y los haters forman parte de tu rutina diaria. Por eso, es importante conocerlos bien para poderlos identificar cuanto antes. Y una vez que los hayas localizado debes tener todos los recursos para actuar de manera adecuada y ganarles la batalla.

Sin embargo, la mejor manera de hacer frente a trolls y haters por parte de las marcas es construir comunidades de clientes fieles. Usuarios que defienden la marca allí donde ven que está siendo atacada. Y para crear y mantener una comunidad digital es vital que dispongas de contenidos de valor.

Plataformas de content marketing como Coobis, que pone en relación a marcas, editores de medios digitales e influencers de todos los sectores económicos, son esenciales para gestionar y hacer crecer comunidades de usuarios en torno a una empresa.

No lo dudes y crea tu cuenta de manera sencilla. Tan sólo necesitarás de unos minutos para adentrarte en una plataforma de content marketing que aumentará la eficacia de tus campañas de marketing online.

FORTNITE: UN VIDEOJUEGO QUE TAMBIÉN ATRAE A ESTAFADORES Y ACOSADORES

Es importante que los padres estén atentos, sobre todo en el caso de los más pequeños, y que dialoguen sobre los riesgos de compartir información en Internet.

La popularidad de Fortnite, con una audiencia de más de 200 millones de usuarios activos al mes, también acaparó la atención de actores malintencionados, y no solo de aquellos que buscan estafar a los usuarios para obtener un rédito económico, sino también de acosadores que utilizan la plataforma contactar a jóvenes y extorsionarlos.

En el caso de las estafas, como ya hemos hablado anteriormente, incluso en etapas previas a que se desatara la polémica cuando la empresa desarrolladora de Fornite anunció que no estaría disponible en Google Play, con las consecuencias para la seguridad que eso podría tener, las estafas alrededor del juego vienen desde hace ya un tiempo.

Recientemente, investigadores de Sixgill aseguraron que alrededor de este popular juego se ha creado un ecosistema criminal donde los ciberdelincuentes utilizan tarjetas de crédito robadas para comprar accesorios o monedas virtuales dentro del juego (V-bucks, en el caso de Fortnite), para luego descargarlas en cuentas de Fortnite que no despierten sospecha y venderlas en el mercado clandestino. Los investigadores descubrieron casos concretos en la Dark Web donde los criminales ofrecen cuentas por un valor de aproximadamente 150 dólares y aceptan como forma de pago PayPal, Bitcoins y WebMoney. De esta manera obtienen dinero limpio, explica una nota de Foxnews.

Las cuentas que se ofrecen incluyen direcciones de correo y contraseñas, accesos a los correos asociados a las cuentas de Fornite e incluso recibos de las compras realizadas.

Para tener una referencia del dinero que se maneja en compras en el juego, en los últimos 60 días, los principales 50 items de Fortnite en eBay recaudaron USD 250,000, aseguró Sixgill de acuerdo al artículo publicado.

Pero como adelantábamos al comienzo de este post, no solo delincuentes que buscan obtener un beneficio económico conforman el ecosistema de actores maliciosos que se ven atraídos por la popularidad de juegos de este tipo.

Esta semana, en Estados Unidos, un hombre de California fue acusado de utilizar juegos online, como Fornite, para contactar a jóvenes víctimas. Según una nota publicada por abc30, agentes federales afirmaron que el acusado engañaba a sus víctimas ofreciendo créditos en Google Play a cambio de que se tomen fotografías sexuales. Asimismo, los agentes explican que se aprovechan de que estos jóvenes están en una actitud vulnerable mientras juegan en sus casas y sus padres asumen que están seguros. Por otra parte, una vez que las víctimas caen en la trampa y envían las imágenes, pasan a ser extorsionadas por los acosadores, quienes los amenazan con enviar el material al entorno cercano de la víctima.

A principios de noviembre, la policía de Saint-Laurent, de la ciudad canadiense de Quebec, Canadá reportó cuatro casos que se habían dado entre octubre y noviembre de este año donde acosadores estaban utilizando Fortnite para dirigirse a sus víctimas. Según dijo a una radio local un vocero de la policía, el modus operandi en los cuatro casos era el mismo: alguien con un falso avatar se infiltra en grupos de jugadores de Fornite y ofrece códigos gratuitos para obtener un nivel más avanzado. Una vez que se gana la confianza de la víctima, el acosador solicita que envíe imágenes íntimas para luego extorsionarla.

Centros educativos locales están difundiendo estas noticias para informar a la comunidad lo que está sucediendo y de esta manera alertarlos.

Lamentablemente, los casos de grooming a través de Fortnite y otros videojuegos no es algo nuevo. En reiteradas oportunidades a lo largo de 2018 se han publicado noticias de casos en distintas partes del mundo que ponen en evidencia este problema. En este sentido, es importante que los padres hablen con sus hijos y les expliquen los riesgos de compartir información en Internet para que puedan seguir disfrutando de la tecnología de una manera segura.

El mayor 'hackeo' de datos de la historia expone más de 770 millones de correos

Un investigador de seguridad digital ha revelado el mayor 'hackeo' de datos de la historia, que eclipsa cualquier otra acción similar cometida hasta ahora. Este robo de datos ha supuesto la exposición de más de 770 millones de correos electrónicos y 21 millones de contraseñas únicas.

La intercepción, apodada 'Collection #1', contiene 2.692.828.238 filas de datos en bruto de potencialmente miles de fuentes diversas, según el experto Troy Hunt.

En total, se trata de 1.160.253.228 combinaciones únicas de correos y contraseñas contenidos en más de 12.000 archivos separados, que constituyen 87GB de datos de texto en bruto.

Have I Been Pwned

✔@haveibeenpwned

New breach: The "Collection #1" credential stuffing list began broadly circulating last week and contains 772,904,991 unique email addresses with plain text passwords (now in Pwned Passwords). 82% of addresses were already in @haveibeenpwned. Read more: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach …

1.101

18:55 - 16 ene. 2019

Información y privacidad de Twitter Ads

The 773 Million Record "Collection #1" Data Breach

Many people will land on this page after learning that their email address has appeared in a data breach I've called "Collection #1". Most of them won't have a tech background or be familiar with the...

troyhunt.com

1.335 personas están hablando de esto

El 'hackeo' es considerado el mayor robo de datos de la historia, y por cantidad de personas afectadas es superado solo por dos incidentes relacionados con Yahoo en 2013 y 2014. "Parece un conjunto de sitios completamente aleatorio para maximizar la cantidad de credenciales al alcance de los 'hackers'", dijo Hunt a Wired. "No hay patrones obvios, solo una exposición al máximo".

"Guerra de información" e "injerencia en política interna": Anonymous destapa una campaña británica

Los datos incluyen contraseñas previamente encriptadas que han sido forzadas y convertidas a texto en bruto, y los archivos más tempranos datan en 2008. La información no fue sacada a la venta, sino que simplemente fue subida a la nube MEGA y luego a un popular foro de 'hackeos'.

Riesgos y recomendaciones

Como resultado de esa filtración existe un alto riesgo de casos del llamado 'relleno de credenciales', un ciberataque consistente en usar un programa maligno para introducir automáticamente numerosas combinaciones correo/contraseña en un intento de entrar en la cuenta personal de una u otra persona.

La buena noticia es que la colección no parece contener datos de tarjetas bancarias o números de seguridad social. 

Hunt recomienda comprobar en el servicio Have I Been Pwned si nuestro correo electrónico ha sido víctima del 'hackeo'.

Si encontramos nuestro correo en la lista, lo cual es muy probable, el experto recomienda usar un gestor de contraseñas o incluso recurrir al rudimentario pero efectivo método de escribir nuestras contraseñas en un papel. "Puede ser contrario al pensamiento tradicional, pero escribir contraseñas únicas en un libro y mantenerlas dentro de una casa físicamente cerrada es mejor que reutilizar la misma contraseña en todo Internet", escribió Hunt en su blog.

Unos pocos afortunados afirman haber evitado ser 'hackeados', pero las probabilidades no están a su favor.

fcg