WiFi experiment_4 (1000x440)

¿Cuánto arriesgarías por tener Wi-Fi Gratis?

wifi_cafe (1)¿Rechazarías a un hijo o a tu mascota por tener WiFi gratis? Claro que no. Pude sonar ilógico, pero una investigación independiente realizada en nombre de F-Secure reveló que muchas personas sí lo harían.

Para el experimento, se le pidió a Finn Steglish, de la compañía de penetración alemana, SySS, que colocara un punto de acceso inalámbrico o hotspot en las calles de Londres y ver qué era lo que ocurría. ¿Por qué razón? Para tener certezas de que las personas se conectan a redes públicas sin saber a qué se están exponiendo y aceptando.

El objetivo de esta investigación fue demostrar que los puntos de acceso público son inseguros. Este tipo redes no son construidas con los niveles de seguridad que se necesitan en la actualidad, donde la fuga de información puede estar en cualquier página o aplicación. Esto lo sabemos, pero queríamos tener una mirada en general cuáles son las precauciones que toman las personas y cuál sería el tipo de información que se filtraría.

[RELACIONADO: ¿Por qué George Orwell era un optimista?]

Este proyecto contó con la ayuda del periodista independiente Peter Warren, del instituto de ciberseguridad del Reino Unido (UK’s Cyber Security Research Institute), quien documentó todos los hechos. Además, lo acompañó Sean Sullivan, Security Advisor de F-Secure.

Fuga de información personal

Lo que se descurbrió fue que las personas se conectaban felizmente sin darse cuenta que su actividad en la red estaba siendo espiada. En sólo un período de media hora, 250 dispositivos se conectaron al punto de acceso. La mayoría de estos fueron posiblemente conexiones automáticas, sin que el usuario se diera cuenta. Se analizaron la conducta en Internet de 33 personas, donde el equipo recolectó 32MB del tráfico (información que fue destruida de forma rápida para no invadir su privacidad).

[RELACIONADO: 10 consejos para un WiFi público seguro]

Los investigadores se sorprendieron cuando pudieron confirmar que podían leer los corros de las personas a través de una red POP3, junto con las direcciones del remitente y destinatario, e incluyo la contraseña de la personas. ¿Alguien encriptó? Nadie, por esto, si aún no tienes este tipo de herramienta sería recomendable que adquirieses una.

De esta forma, los expertos en seguridad informática desarrollaron los términos y condiciones (TyC) que debían aceptar las personas para poder usar el acceso WiFi público. Uno de los términos era que el usuario debería renunciar a su primer hijo o a su mascota a cambio de tener acceso gratuito. En poco tiempo la página de TyC estuvo activa, seis personas estuvieron de acuerdo con esa cláusula.

Por su puesto, esto simplemente pone en exposición el eslabón más débil de la cadena de seguridad, las personas. Los TyC son generalmente WiFi experiment_4 (1000x440)son largos y difíciles de entender, y sobre todas las cosas, necesitan mucho tiempo para leerlos. Nosotros, por supuesto, no haremos cumplir esa cláusula, pero este es un punto a tomar en cuenta de lo que puede ocurrir si no se leen den forma adecuada los TyC y tener conciencia de qué es lo que se instala en el dispositivo móvil. Por esto, es necesario tener presente esta pregunta ¿qué estamos aceptando cada vez que decimos que sí sin leerlos? Esto refleja que hay una necesidad de una mayor claridad y transparencia en la información que es realmente recopilada o qué se le pide al usuario.

¿Cuál es el problema?

El punto central aquí es ¿qué ocurre con todos estos dados que son recopilados? Existen muchos cibercriminales a los que les gusta observar y controlar el tráfico que hay en una red pública para recolectar nombre de usuarios, contraseñas entre otra información sensible. Es muy fácil y barato poner un punto de acceso malicioso creíble, toda la configuración del hotspot de SySS constó 200 euros.

Por esto, es necesario tener cuidado cada vez que nos conectemos a una red de WiFi pública. Por lo que es necesario contar con, como por ejemplo, con una aplicación de VPN (red privada virtual) que ofrezca la encriptación de la información y el tráfico web evitando el seguimiento y rastreo de información.

[CONOCE LAS ÚLTIMAS NOVEDADES EN NUESTRO TWITTER: @FSecure_Lat]

Por lo tanto, ten cuidado la próxima vez que te conectes a una red pública, puede ser segura, como no. Sin embargo, cabe destacar que no estamos diciendo que no se use este tipo de redes, sino que se tomen las precauciones necesarias para proteger la información personal.

¿La solución?

F-Secure Freedome es nuestra aplicación sencilla y robusta que garantiza la navegación por una red de WiFi pública de forma anónima y segura. Esto es gracias a que crea una conexión encriptada y segura del dispositivo, ya sea con Android o iOS, protegiendo al usuario de empresa que recopilan información (como los anunciantes) o cibercriminales. Ya que además incluye un bloqueo de seguimiento, asegurando que la información y a las páginas que se accedan solamente las conocerá el usuario y bloquea páginas con códigos maliciosos. Por otro lado, gracias a que permite conectarse desde 11 ubicaciones virtuales, el usuario puede saltar los bloqueos a determinados contenidos por el número de IP.

Por eso, recomendamos que la próxima vez echen un vistazo a los TyC que aceptan para acceder a un sitio web o una red pública. Vea el reporte completo (en inglés).

Escuche el podcast que incluye entrevistas con Victor Hayes, el “padre del WiFI”, Sean Sullivan  entre otros.

Descargo de responsabilidad: Durante el transcurso de este experimento, ningún usuario se vio comprometido en ningún momento, ni sus datos expuestos de forma tal que podría haber sido objeto de mal uso. No hemos registrado ninguna información del usuario, y durante el experimento un abogado supervisó todas nuestras actividades para evitar violar cualquier ley.

 

 

Más publicaciones de este tema

IoT

¿IoT o Internet de las Amenazas?

Internet de las Cosas se ha transformado en el mayor desafío computacional dentro de la computación ubicua, plasmando un mundo en donde constantemente se estarán dejando huellas digitales de todas las acciones y revelando cuáles son sus centros de interés, a menudo sin ni siquiera ser consciente de que estos son los marcadores de identidad. Los usuarios están comenzando a tomar conciencia de los riesgos que corre su privacidad, y en los últimos tiempos ha habido proyectos digitales o servicios que han sido criticados muy duramente tras las protestas públicas (por ejemplo Facebook de política de confidencialidad, la puesta en marcha de Google Street View, retención de datos en Alemania, etc). Si no se brindan las respuestas anheladas a estos problemas, un clima de desconfianza, o incluso suspicacia, se apodera de la opinión pública y de los principales formadores de opinión. En el ámbito de la innovación TIC, pueden surgir grandes daños colaterales, tanto desde una perspectiva económica, como de aceptación social inclusive. Algunos ejemplos de los campos que podrían ser afectados si se cuestiona el concepto de privacidad de la información personal y no se resuelve mediante el uso de herramientas que permitan una administración eficiente de certificados digitales que garanticen la identidad de los usuarios son: 1.- Aplicaciones para ayudar a las personas mayores (automatización del hogar). 2.- Aplicaciones para economizar energía (medidores smart). 3.- Aplicaciones de Monitoreo Médico (registros personales de salud). 4.- Aplicaciones de publicidad en línea y personalización de servicios (controlador de Internet). 5.- Aplicaciones de Geolocalización (la puerta de entrada a miles de nuevas aplicaciones que se crearán en el futuro). 6.- Aplicaciones para administrar redes sociales. PIT (Protección de la Intimidad Tecnológica). Las compañías de tecnología que se encargan de crear nuevas propuestas en el mundo de IoT deben pensar en proporcionar soluciones diseñadas de acuerdo a dos principios básicos a la hora de requerir datos: minimización y soberanía. El ejercicio de diseñar nuevas soluciones enfocadas a la protección de la privacidad debe asegurar conocimientos especializados en diversos campos, en particular: en seguridad, redes, grandes datos, criptografía, programación e idiomas, etc. Paralelamente deberá tomarse en cuenta la estrecha relación entre las tecnologías, la ley vigente en cada país y las ciencias sociales. Bajo esta óptica, vemos en las técnicas de desarrollo del futuro cercano, la necesidad de incluir un analista de seguridad, trabajando junto al arquitecto y a los analistas funcionales, para poder establecer métodos de borrado gradual o total de huellas que el usuario haya dejado grabadas, (derecho al olvido), protección de datos médicos y accesos seguros de los médicos a dichos datos. Internet de las Cosas es aún un concepto que deja ver algunas imágenes del futuro, pero debemos ser conscientes de la seguridad y la privacidad de los usuarios, para evitar que se transforme en Internet de las Amenazas. Hasta no alcanzar un grado de madurez generalizado en este sentido que brinde seguridad y privacidad, no veremos una explosión de IoT, tal como algunos analistas promueven de manera irresponsable si no se soluciona la seguridad y la privacidad de los usuarios. Por Marcelo Lozano, experto en seguridad digital. @rmarcelozano  

March 22, 2015
seguridad digital

¿Qué se puede hacer para tener privacidad y seguridad digital en las llamadas de voz?

La semana pasada Edward Snowden reveló otro plan de la Casa Blanca para invadir la privacidad y la seguridad digital de las personas, aunque esto no sorprendió a los expertos en seguridad. El periódico The Intercept presentó la nota “The Great SIM Heist” en la cual las agencias de espionaje estadounidense (NSA) y británica (GCHQ) hackearon para tener acceso a las contraseñas que se “utilizan para proteger la privacidad de las comunicaciones de dispositivos móviles en todo el mundo” de Gemalto, el mayor fabricante de tarjetas SIM a nivel global. Si bien la compañía admitió en un comunicado de prensa la operación durante 2010 y 2011, afirmó que ninguno de sus productos fue afectado. En principio se sospechó que con el acceso a las claves, las agencias de inteligencia tuvieron acceso a todas las comunicaciones de voz realizadas por los usuarios, ya sea particulares, empresarios y políticos a través de los servicios de telefonía de telefonía móvil. Ya sea si el robo de las contraseñas existió o no, esto reavivó las preocupaciones e incertidumbres sobre la seguridad y privacidad de las llamadas telefónicas mediante dispositivos móviles, explica Jarno Niemela, Senior Researcher de F-Secure Labs y dueño de 20 patentes relacionadas con seguridad. TE VA A INTERESAR: Estas son tres formas en las que invaden tu privacidad digital “Nadie en su sano juicio podría asumir en primer que la red GSM (Global System for Mobile Communications, utilizada por los teléfonos celulares para realizar las llamadas) es. Las redes de teléfono nunca han sido diseñadas para ser privadas”, admite el experto en seguridad digital. Mientras no se sabe del alcance de la operación, Jarno señala que no estamos seguros de cuántas miles de millones de tarjetas fabricados por Gemalto se pueden haber visto afectadas. Las claves enviadas desde y hacia los operadores a través correo electrónico sin encriptar o través de servidores FTP que no fueron aseguradas de forma adecuada se pueden ver comprometidas. Pero de acuerdo a The Intercept, el Cuartel General de Comunicaciones del Gobierno (GCHQ) también penetró la “autentificación de los servidores”, los cuales permiten “desencriptar la información de las comunicaciones de voz y datos entre la persona-objetivo o la red de su proveedor de servicios móviles”, los cuales se realizan a través de las tarjetas SIM. RELACIONADO: Test para ver si necesitas utilizar una VPN Es decir, con las contraseñas violadas es probable que las llamadas de los usuarios se vean vulneradas, pero sólo de una manera limitada. “Estas claves desnudan la encriptación entre el dispositivo móvil y la antena de comunicación. Esto significa que la NSA (o quien sea) tendría que estar localizada dentro del área de cobertura del teléfono”, explicó David Perry, Security Advisor de F-Secure. Entonces, ¿podría la NSA, la GCHQ o un tercero escuchar tus llamadas telefónicas sin aviso? Posiblemente. Pero aquí una solución sobre qué hacer al respecto: agrega una capa de encriptación y seguridad digital al dispositivo que utilizas para comunicarte, como por ejemplo una VPN como Freedome. Esta aplicación protegerá el tráfico de datos que realices, aunque no lo hará con tus llamadas de voz. “Puede ser que haya llegado el momento de dejar de hacer llamadas de la forma tradicional. Por ejemplo, se puede instalar Freedome y empezar a hacer las llamadas mediante las aplicaciones como Line, SIgnal, Viber u otra.”, aconseja Timo Hirvonen, Senior Researcher de F-Secure Lab. Imagen de Julian Carvajan vía Flickr.

February 26, 2015
GCHQ

GCHQ espió de forma ilegal, ¿has sido una víctima?

La agencia británica Government Communications Headquarters (GCHQ por sus siglas en inglés) declaró que ha estado espiando de forma ilegal a un gran número de usuarios de Internet. Sin embargo, esto no sorprende a nadie luego de las declaraciones del ex contratista de la Agencia de Seguridad Digital (NSA por sus siglas en inglés), Edward Snowden. Lo que ha puesto en jaque a toda la seguridad digital y puso sobre la mesa las cuestiones sobre los derechos de la privacidad. Desde 2013 hemos estado viendo diferentes revelaciones de espionaje por parte de las diferentes agencias de gobierno a individuos, políticos, empresarios, entre otros objetivos con la excusa de la “seguridad nacional”, con lo vacío y confuso que suena dicho concepto. ¿Seguridad nacional para quién?, ¿seguridad nacional en base a qué?, ¿seguridad nacional para cuidarse de quién?, entre otras tantas preguntas que puedan surgir. Frente a esta situación, el equipo de Privacy International lanzó una campaña para que los usuarios puedan confirmar si fueron espiados o no por la agencia británica. Para esto, invitan a los usuarios a compartir sus datos para analizar si fueron o no un objetivo. Aunque seamos sinceros, si la GCHQ tuvo interés en alguien, es posible que ya lo estén espiado. TE VA INTERESAR: ¿Cómo recuperar el control sobre tu privacidad digital? Si bien este es un camino para unir esfuerzos en contra del espionaje por parte de los gobiernos, se desprende otra cuestión, ¿con cuánto recelo los usuarios comparten sus datos personales? Para averiguar si el usuario ha sido víctima del espionaje por parte de la GCHQ, se solicitan los siguientes datos personales: nombre, apellido y correo como datos obligatorios y número de teléfono como opcional. Y al momento de enviar los datos, los términos y condiciones dicen de forma explícita, “autorizo a Privacy International y su equipo legal para compartir mi información con GCHQ…”. Lo que es necesario para saber si contaban con los datos del usuario, ¿pero si no los tenían? Ahora sí. El envío de información privada a una agencia que acaba de ser expuesta con el procesamiento ilegal de datos podría sonar como una idea bastante mala. Y no es sólo el nombre, correo electrónico y número de teléfono, sino que significa que se está compartiendo esa información junta. Es decir, por ejemplo, si antes tenían sólo tu correo, ahora tienen tu nombre y apellido y hasta número de teléfono si lo has ingresado. RELACIONADO: ¿Cómo Charlie Hebdo puede afectar a la neutralidad de Internet y tus derechos? En este sentido, Mikael Albrecht, Security Advisor de F-Secure Labs opina: “creo que la campaña de Privacy International es una buena oportunidad para obtener una visión sobre el mundo de la inteligencia secreta. No hay que preocuparse demasiado de revelar información a través de este formulario. Pero lo que debemos tener presente que es probable que la información que se envíe ya la tengan en caso que estén interesados en una persona. Pero lo anterior es un gran recordatorio que se debe pensar dos veces antes de enviar información privada. Y siempre evaluar, ¿para qué se envía la información? Y ¿a quién?”.

February 22, 2015