Google Chrome marcará todos los sitios HTTP como “no seguros”

Si aún sigues manejando un sitio que utiliza HTTP inseguro, entonces ya es hora de despertar y tomar el primer café del día. Porque salvo que tomes acciones pronto, hallarás que muchos de tus visitantes desconfiarán de tu sitio.

¿La razón? Google está avanzando con su plan para que el buscador de Chrome comience a catalogar todos los sitios que utilizan HTTP no cifrado como “no seguros”, a partir de julio de 2018.

Como una gran mejora sobre el HTTP, el protocolo HTTPS provee cifrado punto a punto entre el servidor de un sitio y tu computadora, previniendo que los curiosos puedan ver los mensajes que envías a un sitio o la información que puedes estar descargando.

En el último año, cada vez más sitios han hecho la transición a HTTPS, lo que representa una gran noticia para todos aquellos que se preocupan por la seguridad y la privacidad.

De acuerdo con una publicación en el blog de Google, más del 68% del tráfico de Chrome en Android y Windows ahora está protegido con HTTPS. El número es aún más alto en Chrome OS y Mac, donde el tráfico de Chrome está protegido más del 78% de las veces. Y, también importante, el 81% de los 100 sitios más populares utiliza HTTPS por defecto.

Esto representa un gran progreso, pero Google quiere llevar la adopción de HTTPS más allá.

El buscador de Google Chrome ya ha estado marcando sitios HTTP que recolectan información de contraseñas o tarjetas de crédito como inseguros desde comienzos de 2017. Luego comenzó a mostrar la advertencia “sitio no seguro” en otras dos situaciones: cuando un sitio HTTP es visitado en modo incógnito (búsqueda privada), y cuando los usuarios ingresan datos en sitios HTTP.

Pero este último paso marcará todos los sitios HTTP con la estampa de “no seguro”, y los dueños de sitios que no tengan HTTPS deberán tomar en consideración la reacción de quienes visitan su sitio ante esta amenaza. Mi hipótesis es que son varios los que no se sentirán cómodos.

Muchos usuarios de Internet pueden no entender la diferencia entre una conexión HTTPS cifrada de manera segura y si un sitio por sí solo puede ser considerado como correctamente asegurado o no.

Recuerda, el hecho de que un sitio web utilice HTTPS no significa que sea 100% confiable – y de manera similar, un sitio que aún utiliza HTTP podría estar haciendo un trabajo decente al manejar el resto de su seguridad o tu información personal (aunque la falta de HTTPS en tal situación sería sorpresiva).

Sin embargo, Google está entre la espada y la pared. Parece imposible hallar la marca para determinar si un sitio está cifrando correctamente la información enviada entre su servidor y las computadoras que lo visitan que encuentre el correcto balance entre ser fácil de entender, claramente visible, y el no inferir que todo es seguro (o inseguro) en el sitio que estás visitando.

La advertencia de Google Chrome puede no ser perfecta, pero es la mejor que tenemos. Y las cosas se pondrán más obvias en el futuro cuando Google cambie su advertencia de “no seguro” en color gris en la barra de la URL del sitio web por una más vívida de color rojo acompañada del triángulo de advertencia.

De más está decir entonces que, si aún no has modificado tu sitio a HTTPS, realmente deberías hacerlo.

Anuncios

El gasto en seguridad por parte las empresas continúa en aumento

El gasto global por parte de las empresas en seguridad informática espera continuar su trayectoria en ascenso durante el año entrante, dado que se predice que crezca por encima del 8% a lo largo del año, hasta alcanzar un total de 96.3 billones de dólares estadounidenses.

Esto es de acuerdo a la última predicción hecha por Gartner, que adjudica el aumento proyectado a una confluencia de factores en juego, entre ellos “regulaciones, un cambio de mentalidad del comprador, la toma de conciencia sobre amenazas emergentes y la evolución hacia una estrategia de negocios digital”.

En general, gran parte del gasto en seguridad está impulsado por “la reacción de una organización hacia las brechas de seguridad a medida que más organizaciones a nivel mundial se ven afectadas por ciberataques de más alto perfil y brechas de datos”, según expuso el director de investigación de Gartner, Ruggero Contu.

Como ejemplo concreto, apuntó a ciberataques como WannaCryptor (más conocido como WannaCry), y Diskcoder.C (también llamado NotPetya) y a brechas en seguridad como aquellas que involucran a Equifax, que “tiene un efecto directo sobre el gasto en seguridad”.

Aumentos registrados a lo largo de la tabla

Un desglose del gráfico de gastos muestra que es el segmento de ‘servicios de seguridad’ el que se espera que abarque casi el 60% del presupuesto asignado a la seguridad informática, seguido por el segmento “protección de la infraestructura”, apenas por encima del 18%.

El cumplimiento regulatorio y la privacidad de la información, particularmente en Estados Unidos, China y Europa, han generado mayores gastos en seguridad informática a lo largo de los últimos tres años, de acuerdo con Gartner. Esto representa una tendencia que ha venido para quedarse, como demuestra, particularmente, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que entrará en vigencia en menos de seis meses.

La seguridad de los datos, en general, adquirirá un mayor peso, como predicen los analistas de Gartner, que esperan que para 2020 un 60% de las organizaciones utilicen múltiples funcionalidades para asegurar su información, tales como aquellas para la prevención de pérdida de datos, de cifrado, y otras de auditoría y protección de base de datos. Esto representa un aumento de poco más de un tercio respecto a la situación actual.

Dada la falta de herramientas, la complejidad técnica, y el panorama de amenazas en general, la automatización y tercerización de los servicios también son vistos como áreas en crecimiento para los gastos en seguridad.

“Las habilidades son escasas, y por tanto recae en las organizaciones líderes la búsqueda de ayuda externa de consultores de seguridad, proveedores de servicios de seguridad y proveedores externos”, dijo Contu.

Se espera que las organizaciones gasten 18.5 billones de dólares en servicios de tercerización de seguridad el próximo año, un 11% más respecto del año en curso.

Los hackers ya no solo son piratas informáticos: la RAE incluye una acepción positiva de la palabra

Durante muchos años la palabra “hacker” ha sido relacionada a criminales y piratas informáticos, aunque técnicamente no sea correcto.

Un hacker también es un experto en sistemas de seguridad y computación, y la Real Academia Española por fin lo ha reconocido.

En la última actualización del Diccionario de la lengua española de la RAE han actualizado el significado de hacker con una acepción positiva. La palabra, además de significar “pirata informático”, a partir de ahora también sirve para describir a los expertos en ordenadores y seguridad informática.

After Getting Hacked, Uber Paid Hackers $100,000 to Keep Data Breach Secret

Uber is in headlines once again—this time for concealing last year’s data breach that exposed personal data of 57 million customers and drivers.

On Tuesday, Uber announced that the company suffered a massive data breach in October 2016 that exposed names, e-mail addresses and phone numbers of 57 million Uber riders and drivers along with driver license numbers of around 600,000 drivers.

However, instead of disclosing the breach, the company paid $100,000 in ransom to the two hackers who had access to the data in exchange for keeping the incident secret and deleting the information, according to a report published by Bloomberg.

Uber said none of its own systems were breached, rather two individuals outside the company inappropriately accessed and downloaded 57 million Uber riders’ and drivers’ data that was stored on a third-party cloud-based service.

The cyberattack exposed the names and driver license numbers of some 600,000 drivers in the United States, and the names, emails, and mobile phone numbers of around 57 million Uber users worldwide, which included drivers as well.

However, the company said other personal details, such as trip location history, credit card numbers, bank account numbers, Social Security numbers or dates of birth, were not accessed in the attack.

World’s Biggest Botnet Just Sent 12.5 Million Emails With Scarab Ransomware

A massive malicious email campaign that stems from the world’s largest spam botnet Necurs is spreading a new strain of ransomware at the rate of over 2 million emails per hour and hitting computers across the globe.

The popular malspam botnet Necrus which has previously found distributing Dridex banking trojan, Trickbot banking trojan, Locky ransomware, and Jaff ransomware, has now started spreading a new version of Scarab ransomware.

According to F-Secure, Necurs botnet is the most prominent deliverer of spam emails with five to six million infected hosts online monthly and is responsible for the biggest single malware spam campaigns.

Scarab ransomware is a relatively new ransomware family that was initially spotted by ID Ransomware creator Michael Gillespie in June this year, with its source code being based on an open source proof-of-concept ransomware called “HiddenTear.”

According to a blog post published by security firm Forcepoint, the massive email campaign spreading Scarab ransomware virus started at approximately 07:30 UTC on 23 November (Thursday) and sent about 12.5 million emails in just six hours.

The Forcepoint researchers said “the majority of the traffic is being sent to the .com top-level domain (TLD). However, this was followed by region-specific TLDs for the United Kingdom, Australia, France, and Germany.”

Routers wifi vulnerables: han conseguido romper el protocolo de seguridad WPA2

Investigadores de http://www.krackattacks.com han hecho público una serie de fallos de seguridad en el protocolo wifi WPA2 (Wifi Protected Access 2), que es el que se consideraba más seguro hasta la fecha. Según detallan en su web, mediante un conjunto de técnicas bautizadas como KRACK, dicho protocolo ha sido comprometido permitiendo a un atacante, por ejemplo, obtener información sensible como: números de tarjetas de crédito, contraseñas, mensajes de chat, emails, fotos, etc.

Recursos afectados
Las primeras investigaciones señalan que están afectados sistemas Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, entre otros. Para más Información sobre productos específicos, se recomienda consultar directamente con los fabricantes de los dispositivos para que éstos indiquen si están afectados o no por el problema. Para ampliar información sobre la lista de proveedores y sus soluciones afectadas puedes consultar el siguiente enlace: https://github.com/kristate/krackinfo

Solución
Según las últimas informaciones publicadas, para solucionar el problema únicamente es necesario actualizar una de las partes implicadas en el proceso de conexión, bien sean el sistema operativo de los clientes (dispositivos móviles, portátiles, equipos de sobremesa, IoT, etc.) o bien los routers wifi.

No obstante, hasta que los fabricantes y desarrolladores publiquen una actualización de seguridad que corrija los fallos de seguridad que afecta al protocolo WPA2, se recomienda a los usuarios:

1. Evitar conectarse a redes wifi si no se considera estrictamente necesario, especialmente si se va hacer uso de ella para transacciones que requieran de intercambio de información personal y bancaria.
2. Se aconseja utilizar datos móviles (3G/4G) a todos aquellos usuarios que dispongan de ellos, especialmente para la realización de operaciones importantes a través de Internet: compras online, transferencias bancarias, gestionar cuestiones laborales, etc.
3. Permanecer atentos a las actualizaciones de seguridad que se publiquen para los sistemas operativos de los dispositivos. Debido a la gravedad del problema, es posible que en un periodo corto de tiempo los fabricantes publiquen una solución que será necesario aplicar.
4. No deshabilitar por el momento la opción WPA2 del router, de momento, sigue siendo la mejor opción disponible a utilizar.
5. En cualquier caso, es importante navegar por páginas bajo el protocolo HTTPS para asegurarse que la información intercambiada viaja cifrada por la red.

Detalles
Como se ha comentado inicialmente, el ataque del que estamos hablando permite acceder a toda la información, incluida la información sensible que se transmite a través de la conexión wifi: números de tarjetas de crédito, contraseñas, mensajes de chat, emails, fotos, etc. y la única solución al problema es que los fabricantes routers y puntos de acceso ofrezcan una actualización del firmware que utilizan y los fabricantes y desarrolladores hagan lo mismo para actualizar el software de los dispositivos (smartphones, tables, portátiles, etc.).

Hasta que se conozcan más detalles sobre las vulnerabilidades que afectan al protocolo WPA2 para ver el alcance real del problema, cabe destacar algunos aspectos:

Es necesario tener ciertos conocimientos técnicos para la explotación de los fallos de seguridad detectados.
En cualquier caso, el atacante debe estar dentro del alcance de la red wifi de tal forma que no se trata de un ataque que se pueda llevar a cabo de manera remota.
Se recomienda a los usuarios mantenerse informados sobre esta problemática para ver su evolución y saber cómo actuar en caso de que aparezcan novedades al respecto.

Cada mes se crean 600 cuentas falsas de redes sociales de marcas reconocidas

Desde 2016, unas 600 cuentas de redes sociales falsas que utilizan el nombre de marcas reconocidas son creadas mensualmente a nivel mundial para estafar a los incautos, según cifras compartidas por la firma colombiana especializada en seguridad informática, Easy Solutions.

“Los criminales emplean estas cuentas para suplantar la identidad de organizaciones e interactuar con los clientes, ganando su confianza y convenciéndolos para que revelen información personal”.

La técnica utilizada por los delincuentes mayoritariamente en canales como el email, se ha convertido en el método número uno para diseminar ransomware, troyanos bancarios u otros tipo de ataques.

Se estima que el 97% de las personas no saben cómo reconocer un email de phishing. Como consecuencia de ello, el 30% de los mensajes de phishing son abiertos por sus víctimas.

Además, el 30% de todas las infecciones de malware en compañías provienen de enlaces a sitios web fraudulentos.

A nivel empresarial uno de los métodos más comunes es conocido como spearphishing. Básicamente es un tipo de ataque por medio del cual un criminal se hace pasar por un alto ejecutivo de una organización con el fin de solicitar la transferencia de fondos a su cuenta. Los hackers muy a menudo investigan las comunicaciones internas de la compañía para poder construir mensajes convincentes.

El sector más afectado por el cibercrimen es sin duda el financiero, a nivel mundial.

El Reporte Nilson, un boletín informativo de la industria de pagos, estima que en el año pasado las pérdidas globales por causa de la clonación de tarjetas superaron los US$24.000 millones, un 12% más que el año anterior.

Pero el hecho de que los bancos reciban la mayor cantidad de ataques, no significa que otros sectores estén exentos del peligro. De hecho, en vista de que los bancos se preocupan más por la seguridad, los cibercriminales han optado por dirigir sus miradas a otros negocios como el retail, salud y manufactura. El 52% de los ataques involucró algún tipo de malware o virus, mientras que el 38% se basó en el engaño de los usuarios a través de esquemas de phishing.

¿Cómo actuar después de ser víctima de uno de estos delitos?

Si su dispositivo ha sido infectado, el primer paso que debe tomar es desconectarlo de internet. Frecuentemente, el malware requiere de una conexión para operar exitosamente. Así que si el dispositivo infectado no está conectado, muy seguramente el ataque no podrá prosperar. Si el ataque afecta su dispositivo de trabajo, repórtelo de inmediato al área de IT.

Asimismo, trate de escanear regularmente su dispositivo con software antivirus o anti-malware. También, trate de conservar respaldos de su información más importante. Algunas veces formatear el dispositivo puede eliminar la infección completamente.

Si usted descubre que un cibercriminal ha robado dinero de su cuenta, cierre o congele dicha cuenta inmediatamente y consulte con su institución cuáles son los pasos que debe tomar si su cuenta realmente ha sido comprometida. Esté siempre muy vigilante y revise cuidadosamente sus extractos bancarios. Conserve cualquier evidencia que tenga de un posible ataque. Cambie su contraseña también.

Algunos ‘tips‘ básicos para empresas

• Implemente un sistema que no solo identifique amenazas, sino que también las desactive rápidamente. Esto minimiza significativamente las probabilidades de un ataque contra sus empleados y usuarios.
• No limite el monitoreo de amenazas al canal de email. Expanda la vigilancia a las redes sociales, sitios web, Dark Web y más.
• Monitoree tiendas de aplicaciones de terceros para asegurarse de que los criminales no desarrollen herramientas maliciosas que aprovechen su nombre o imagen.
• Utilice protocolos de machine learning que analicen datos a escala con el fin de eliminar posibles amenazas tan rápido como sea posible.
• Vigile de cerca el registro de nuevos dominios, ya que esto puede indicar la existencia de planes criminales basados en el uso indebido de dominios legítimos.