Google Maps para pirateo ¿y para el cibercrimen?

El pasado Sábado Omicrono lanzó un artículo que me llamó la atención, se titulaba: Google Maps para encontrar direcciones… y música gratis: el ingenio de los piratas.

En el artículo contaban como los piratas estaban colgando links a música a través de Google Maps, es una técnica muy imaginativa aunque no se cuan popular, personalmente no se me habría ocurrido nunca buscar en Google Maps un álbum de música, pero en la imagen se puede ver un buen ejemplo e incluso las visitas que tuvieron, así que no debe ser algo desconocido.

Ejemplo del artículo de Omicrono

A partir de aquí se me ocurrió valorar ¿qué dificultad tiene crear o modificar una ubicación?

Esta duda me surgió porque existen muchas empresas que contienen Google Maps en sus aplicaciones, confiando en el contenido que éste brinda. Aplicaciones corporativas que confían sus puntos de interés en conectar de forma directa con la API de Google Maps.

Por lo que  surge la pregunta ¿Y si meto un supuesto banco o cajero falso? La llegada al formulario y completar el mismo es totalmente accesible y muy sencilla así que decidí hacer la prueba mandando un formulario como este:

Después probé con otras categorías como Cajero automático e incluso tuve la tentación de solicitar cambios sobre los existentes pero, creo que están reclamados por las empresas y podría ser más complicado.

¿Qué pasaría si el ejemplo de arriba fuera aceptado? Pues que en esa dirección se crearía un Cajero con una url que apuntara a malware.

La confianza de los consumidores en las herramientas de Google y, sobretodo, en Google Maps (¿quien no viaja de la mano de Google Maps?) es muy alta, por lo que el alcance de dicha URL podría ser igual de alta.

Si Google acepta incluir esos puntos falsos podríamos lanzar campañas de phishing por sectores físicos, agregando cajeros de todo tipo de sucursales con URLs con contenido infectado (malware o web falsa, por ejemplo).

Sigo esperando saber si Google acepta o rechaza mis inclusiones de sitios ¿Que creeis que pasara? Se aceptan apuestas :)

6 meses para la llegada de la LOPD Europea (RGPD) ¿Esta lista su empresa?

25 de Mayo de 2016 fue la fecha en que entró en vigor la RGPD (Reglamento General de Protección de Datos) o, comúnmente conocida, LOPD Europea. Entendiendo el impacto que podría suponer sobre las empresas que han de cumplirla se otorgó 2 años para poder aplicarla y, qué rápido pasa el tiempo, estamos ya en la recta final. Solo 6 meses nos separan de su puesta en vigor a todos los efectos.

Hagamos un pequeño repaso de cómo puede afectar esta norma a nivel informático.

¿A quién afecta esta norma?

A toda empresa que trabaje con datos de carácter personal, independientemente del lugar donde se efectúe dicha actividad. Mientras procese datos de carácter personal de población Europea está obligado a cumplirla.

¿Qué entendemos por datos de carácter personal?

Los datos de carácter personal se pueden agrupar:

• Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial o étnico, salud y vida sexual.
• Datos identificativos:  Nif/dni, dirección, imagen, voz, Nº Seguridad Social/mutualidad, teléfono, marcas físicas, nombre y apellidos, firma/huella, firma electrónica, tarjeta sanitaria.
• Datos personales:  Estado civil, datos de familia, fecha de nacimiento, lugar de nacimiento, edad, sexo, nacionalidad, lengua materna, características físicas o antropométricas.
• Datos relativos a las circunstancias sociales: Características de alojamiento, vivienda, situación familiar, propiedades, posesiones, aficiones y estilos de vida, pertenencia a clubes y asociaciones, licencias, permisos y autorizaciones.
• Datos Académicos y profesionales
• Detalles de empleo:  Profesión, puestos de trabajo, datos no económicos de nómina, historial del trabajador.
• Datos de información comercial:  Actividades y negocios, licencias comerciales, subscripciones a publicaciones o medios de comunicación, creaciones artísticas, literarias, científicas o técnicas.
• Datos económicos, financieros y de seguros:  Ingresos, rentas, inversiones, bienes patrimoniales, créditos, préstamos, avales, datos bancarios, planes de pensiones, jubilación, datos económicos de nómina, datos deducciones impositivas/impuestos, seguros, hipotecas, subsidios, beneficios, historial de créditos, tarjetas de crédito.
• Datos relativos a transacciones de bienes y servicios:  Bienes y servicios suministrados por el afectado, bienes y servicios recibidos por el afectado, transacciones financieras, compensaciones/indemnizaciones.

Como podéis ver el ámbito es muy amplio y bajo este paraguas caerían el grueso de las empresas. Es difícil encontrar una empresa que no contenga ninguno de estos datos en forma digital.

Referencia

¿Que cambia en materia de derechos de los usuarios?

La LOPD ya reconocía varios derechos a los usuarios:

• Derecho de acceso, 
• Derecho de rectificación,
• Derecho de oposición,
• Derecho de cancelación.

A estos la RPDG agrega cuatro nuevos derechos que hay que adaptarse para cumplir:

• Derecho a la transparencia de la información,
• Derecho de supresión (derecho al olvido),
• Derecho de limitación,
• Derecho de portabilidad.

La forma de lograr el consentimiento también cambia ahora ha de de ser inequívoco y si es menor de 16 años han de ser sus padres o tutores legales quienes lo otorgan lo cual cambia la forma de notificar la cesión de estos derechos de forma telemática (¿O no?).

¿Que es el DPO?

Es una de las principales novedades que trae la normativa, la figura del DPO ó Delegado de Protección de Datos. Esta figura tendrá como funciones:

• Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia en papel de las comunicaciones con el responsable del tratamiento y sus respuestas.
• Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales. Dentro de este apartado se incluyen: asignación de responsabilidades, formación del personal y auditorías correspondientes.
• Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
• Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.
• Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.

Por lo que ahora existirán dos figuras en las empresas en materia de seguridad y protección de datos:

• DPO o Delegado de Protección de Datos. Derivado de la RGPD
• Responsable de Seguridad. Derivado de la RLOPD.

Referencia

Otras diferencias reseñables

1. Ahora habrá que notificar si tu empresa ha sufrido una brecha de seguridad. Es decir, todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.  El responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Esto puede suponer un impacto reputacional alto ya que obliga a las empresas a contar “sus vergüenzas”, por lo que la inversión en ciberseguridad seguro se incrementará los próximos años cuando las empresas que no han trabajado en este plan con tiempo vean las consecuencias.
2. La empresa tendrá más libertad para la implantación de las nuevas medidas de seguridad decidiendo que modelos, medidas técnicas y de organización aplicarán para tener un alto nivel de seguridad. Pero si indica que hay que trabajar en la privacidad desde el diseño. Es decir, la seguridad ha de estar implementada en todo momento.
3. Las penas por incumplimento se incrementan hasta 20.000.000 de euros o un 4% de los beneficios anuales. Una cifra que ya hará que más de uno se tome en serio este regalmento.
4. Existirá una ventanilla unica para reclamación. Por lo que los usuarios podrán hacer sus reclamaciones o denuncias en caso de incumplimiento.

La RGPD no es ninguna broma, el poder cumplirla llevará a unas empresas mucho más esfuerzo a que a otras pero seguro que en cuanto entre en vigor se notará pronto su llegada. Bastará para ver los primeros casos en los medios de empresas que han tenido denuncias o brechas y sus consecuentes multas si existe incumplimento, para que aquellas empresas más rezagadas luego tengan prisa por poder ponerse al día con esta normativa.

Tal y como se ha denunciado en muchas ocasiones faltan profesionales en seguridad para toda la demanda existente y que vendrá, por lo que recomiendo que cuanto antes, ponga su empresa con el proceso de adaptación a esta normativa.

Referencias:

https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679

Defensa común en Europa y ¿defensa propia?

En el anterior post hablé de porqué es importante parar o asegurarnos (lo máximo posible) ante los ciberataques y las consecuencias que pueden derivar de los mismos para la gente, en general.

Hoy nos hemos levantado con los medios haciendo eco del “titular del día” que no es otro que el logro de colaboración y financiación, de un nutrido grupo de países europeos, para poder luchar contra los ciberataques o, como se ha denominado con gran acierto, la ciberguerra.

http://www.abc.es/internacional/abci-veintitres-paises-entre-ellos-espana-paso-historico-hacia-defensa-comun-201711131949_noticia.html

https://politica.elpais.com/politica/2017/11/13/actualidad/1510606684_834765.html

Me encantan estas propuestas, estas declaraciones de intenciones y esas fotos en familia sonrientes pero, hay que llevarlas a cabo, invirtiendo el dinero correctamente y, sobre todo, concienciando para cambiar la mentalidad de muchos, sobretodo aquellos que trabajan con el dinero e información de todos.

Por ello hoy quiero traeros unos cuantos ejemplos (de este mismo año) sobre cómo se puede empezar a barrer desde casa y trabajar desde hoy mismo para evitar la fuga de información y el impacto que suponen estos ataques. Comencemos con nuestro Top:

Top 4: BiciMad

Esta no es nueva, BiciMad es un servicio que se lanzó en 2014 y tuvo gran impacto mediático, aparte de por sus bondades porque en pocas horas lograron hackear su aplicación móvil a la par (lo que más salió en los medios) de poner en las terminales de la ciudad la foto de un miembro que no pasaba para nadie inadvertido. No habían pasado ninguna auditoria de seguridad y todos sus elementos (tanto estaciones como web) dejaron a la vista vulnerabilidades. Si queréis más detalle de esa historia aquí lo recopilan muy bien.

Ahora nos vamos al año 2017, donde esta aplicación de nuevo salta a los medios gracias a una nueva actualización en su app que acaba siendo vulnerada en solo dos horas, parece ser que incluir SSL de forma correcta es algo que no entra en sus planes.

Top 3: DNI electrónico

Este caso parece que se ha gestionado con más cuidado. El gobierno de Estonia ponía en aviso, el cifrado RSA-2048 había sido vulnerado y con procesamiento de tarjetas gráficas se podría llegar a extraer las claves privadas de los usuarios desembocando en un posible problema de suplantación de identidad.

Automáticamente se pusieron sobre la pista y anularon que se pudiera operar con los DNI emitidos desde 2015 y detectados como vulnerables.

¿Os imagináis que habría pasado si se votara mediante el DNI electrónico? Habría podido suceder que si fueras a votar te encontrarás que alguien ya lo había hecho y, además, a otro partido que no gozara de tu simpatía.

La solución pasa por el cambio de hardware, es decir, hacer de nuevo el DNI a todos esos ciudadanos. Ya veremos en qué acaba esto, tienen nuestro voto de confianza gracias al rápido aviso y cancelación del uso de los documentos identificados como vulnerables.
Referencia 1, Referencia 2

Top 2: Buscador del CNI

A través del buscador de la web del CNI y gracias a una vulnerabilidad de inyección el grupo de hacking Gaben Security dice que extrajo información de valor e incluso llegó a acceder a máquinas del CNI.

Es bien cierto que luego se comentó que el ataque tuvo un impacto muy por debajo de lo que se anunció en un principio ya que la web está aislada de máquinas del CNI, por lo que el contenido al que podían acceder era meramente informativo pero el buscador desapareció de la web y el grupo si expuso un error demasiado básico como para existir en una web perteneciente a un organismo con tareas de inteligencia y seguridad.

Top 1: LexNet

El premio se lo lleva LexNet.

No solo porque pusiera al descubierto los datos judiciales de todas las causas entre sus usuarios, o porque se dejara servidores con configuraciones por defecto abiertos al mundo.

Sino porque es la muestra más clara de la inminente necesidad de cambio en la mentalidad de quienes gestionan estas iniciativas.

Un proyecto opaco, con un entramado de empresas desarrollando lo que es imposible de entender y sin responsabilidades claras.

Muchos millones invertidos en el mismo, más millones aún invertidos en la solución y encima amenazas a los jóvenes que denuncian nuevas vulnerabilidades alrededor de su sistema.

Mal desde la oferta, al desarrollo y peor desenlace.

LexNet ha sido el mayor ciber escándalo patrio y estoy segura de que continuará.
Referencia 1, Referencia 2, Referencia 3, Referencia 4, Referencia 5, Referencia 6, Referencia 7, Referencia 8, Referencia 9 y podría seguir con muchas referencias más.

Por todo ello, está muy bien la iniciativa Europea para luchar contra el crimen en la red de forma global, pero también hemos de poner medidas y mentalidad dentro de casa.

Entendiendo el impacto de sufrir un ciberataque para todos los públicos

Hace unos años era impensable ver en un telediario o medio de comunicación una noticia sobre virus, mailware, hacking o escándalos en materia de ciberseguridad, pero con el tiempo hemos pasado de ver alguno cada año a que ésto sea una dinámica que ya no sorprende a nadie.

Campañas electorales discutibles, webs gubernamentales vulneradas, malware tirando redes a nivel mundial, bases de datos de usuarios y clientes publicadas en el lado oscuro de la red,... Ya no sorprende a nadie, pero son pocos los que realmente se preguntan ¿Y esto a mí que me importa?

Quiero abrir una línea de posts donde poder hacer entender a unos y recordar a otros por qué la ciberseguridad es importante, por qué los gobiernos han de tenerla en más consideración y por qué nos queda un largo camino hasta que podamos sentirnos confortables; y es que mucha de la culpa de esos ataques es por la no sensibilización de estas entidades (y sus empleados) en materia de seguridad.

El impacto de un ciberataque se puede diferenciar en dos grupos:

• Técnicos: Las consecuencias o finalidad del ataque sufrido recae sobre los sistemas en los que la entidad sustenta su información o servicios.
• Negocio: Las consecuencias del ataque sufrido hacen daño a la entidad a nivel monetario.

Revisemos dichos impactos con mayor grado de detalle, voy a poner ejemplos que pueden ser exagerados pero es una forma de poder hacerlos entender.

Técnicos

Confidencialidad: Imaginemos una empresa de salud, en sus sistemas alojan toda la información referente a sus revisiones médicas, pruebas, medicamentos recetados... En definitiva, todos los datos referentes a la salud de sus pacientes. Ahora imagine que esa empresa sufre un ataque y todos esos datos le son sustraídos, si la empresa no ha realizado correctamente sus deberes, sus datos médicos pronto estarán en manos no deseadas pudiendo tener consecuencias directa sobre usted tan absurdas como ver anuncios cuando navega de venta de fármacos por vías no legales, como que le empiezan a llegar ofertas de la competencia a su buzón, o incluso se ha dado caso de ofrecimientos de donantes por vías no legales. Su información ya no es solo suya, ya no es usted dueño de su historial clínico y terceros se están enriqueciendo de vender esos datos. https://www.welivesecurity.com/la-es/2015/03/02/robo-de-registros-datos-salud-informacion-medica/

Integridad: Imaginemos que usted tiene un crédito asociado de 50.000 euros en concepto de su vivienda, su banco sufre un ataque que hace que sus datos sufran daños como puede ser que desaparezcan algunos datos y ya no le llegue la nómina de este mes, porque se perdió, o que su hipoteca de repente figure como una deuda de 150.00 euros, porque las bases de datos fueron dañadas. O puede que alguien con ganas de mejorar su sueldo incremente el valor del mismo adulterando esas transferencias. La integridad de los datos con los que trabaja con empresas necesitan estar siempre garantizada. http://www.eldiario.es/canariasahora/sociedad/funcionario-estafar-Ayuntamiento-Santa-Cruz_0_264924701.html

Disponibilidad: Un ejemplo que todos sufrimos cada año de falta de disponibilidad es durante la Nochevieja ¿quién no ha tratado de llamar o mandar un mensaje a sus parientes y se ha encontrado con las líneas caídas? Cuando vamos a sitios con una cantidad enorme de gente usando sus dispositivos móviles y no hay señal es un ejemplo de falta de disponibilidad. Póngase en el caso de que en ese momento suceda una emergencia y no pueda llamar a los servicios de socorro. http://www.20minutos.es/noticia/327766/0/llamar/telefono/nochevieja/  

Responsabilidad: Nos han atacado, mi hipoteca ha sido manipulada, no pude llamar a la ambulancia cuando lo necesité y la semana pasada me llegó una oferta para comprar las pastillas contra el estrés que mi médico no me receta pero un amable ciudadano americano me las vende aun precio de oro ¿Y ahora qué? Ha puesto su denuncia pertinente o pedido explicaciones a su entidad, pero nadie será responsable del mismo porque los atacantes lo han realizado de modo que o han borrado sus pistas o no dejan pistas o la entidad no deja las suficientes tratándolas con el cuidado necesario. Te han causado muchas molestias y problemas pero nadie pagará por ello.

Negocio

Reputacional: La reputación es lo más importante de una entidad, la reputación va ligada con la confianza que tienen sus clientes sobre la misma, y es un daño más difícil de solucionar que el económico. Si su compañía de vuelo sufre un ataque y le deja a usted en un país que no había contratado ¿no se plantearía la próxima vez volar con otra compañía? Pongamos el caso de que alguien consigue hackear un avión durante el vuelo y moder modificar el comportamiento de un motor poniendo en peligro las vidas de todos los que están volando. ¿Se sentiría seguro volviendo a volar?

http://cnnespanol.cnn.com/2015/05/18/fbi-hacker-dice-que-logro-controlar-el-motor-de-un-avion-durante-un-vuelo/

Económico: Este es el impacto más evidente, incluso los ejemplos que se ha visto en puntos anteriores se puede deducir que, indirectamente, tienen impacto económico sobre la entidad. Pero también hay casos en que lo que los atacantes buscan es el robo de dinero de forma directa. Los casos más sonados en los últimos tiempos de robo de dinero y que mayores cantidades han conseguido de forma impune (sin evidencias) se pueden ver en las criptomonedas como el Bitcoin. Por poner algún ejemplo más variado que los robos en entidades bancarias.

https://www.adslzone.net/2017/07/18/roban-8-millones-de-dolares-en-ethereum-con-un-simple-hack/

https://hipertextual.com/2017/04/corea-norte-robo-bitcoins

Incumplimiento normativo: Muchas veces estos ataques se producen porque no se cumplen correctamente las normativas sobre seguridad. Existen normativas legales como la LOPD (Ley Organica de Protección de Datos) o normativas bancarias como PCI (El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago ) las cuales ponen las bases que las entidades han que cumplir para el tratamiento de los datos e infraestructuras pero estos ataques dejan muchas veces en evidencias “las vergüenzas”, como se diría coloquialmente, y se puede ver que no se están cumpliendo. Tal vez un órgano que revisara con mayor solidez estas normativas podría ser interesante para el grueso de los usuarios. Como ejemplo el escándalo sufrido recientemente el gobierno y su aplicación que dejaba abierto a consulta de cualquier registrado en su plataforma el perfil de los usuarios y sus causas pasadas/pendientes.

https://www.xataka.com/servicios/que-ha-pasado-en-lexnet-y-que-implicaciones-tiene-su-grave-fallo-de-seguridad