UTOPÍA: Servicios de Utopía: Criptomonedas.

Crypton

Según Wikipedia, “Una criptomoneda, criptodivisa o criptoactivo es un medio digital de intercambio que utiliza criptografía fuerte para asegurar las transacciones, controlar la creación de unidades adicionales y verificar la transferencia de activos usando tecnologías de registro distribuido. Las criptomonedas son un tipo de divisa alternativa o moneda digital.”

Crypton

Una de las características que suelen resultar más atractivas de las criptomonedas, es que no están bajo la tutela de ninguna organización financiera es decir, ningún gobierno, ningún banco ni ningún otro tipo de entidad similar las controla.

A estas alturas de nuestra vida, doy por hecho que nadie necesita una descripción detallada sobre cómo funcionan o qué son las criptomonedas, qué es Blockchain, qué son las carteras de criptodivisas o cómo se realiza el minado de estas criptodivisas. En este mismo blog tenéis un artículo haciendo referencia al tema, y en internet hay innumerables recursos al respecto.

Dentro de nuestro Ecosistema Seguro tiene que existir una moneda segura que se utilizará para las transacciones internas, y en este artículo quiero hacer una breve incursión en la criptomoneda que se utiliza dentro de Utopía: CRYPTON.

De CRYPTON os puedo ir adelantando que no presume de ninguna característica especial que la diferencie de otras criptomonedas, es la moneda que se usa en Utopía y, por abreviar, vamos a considerar que comparte todas las características que pueda tener cualquier otra criptodivisa.

Hay dos formas de conseguir Cryptones:

  • Sin hacer nada: Por el simple hecho de tener nuestro cliente de Utopía OnLine, ya estamos generando Cryptones, que recibiremos cada 15 minutos.

  • Ejecutando un Bot de minería: Un bot es un programa especial que realiza automáticamente una determinada tarea. Los robots mineros de utopía funcionan exactamente de la misma manera que el cliente de utopía, simplemente sin componentes GUI.

minado
minado
wallet

La Cartera de Criptomonedas

La cartera de cryptones es lugar desde donde vamos a gestionar todo nuestro entorno financiero. Recibe el nombre de uWallet, y podemos acceder a ella desde el icono de cryptón que tenemos en la parte superior izquierda.

Si ya estáis familiarizados con algún otro tipo de wallet, no tendréis ninguna dificultad, ya que se trata de un entorno muy sencillo e intuitivo, incluso para gente que nunca haya trabajado con criptomonedas.

Disponemos de las opciones habituales para enviar y solicitar dinero a otros usuarios, histórico de transacciones, CryptoTarjetas y Vouchers, (gracias a los cuales podremos operar sin necesidad de revelar nuestra clave pública), y finalmente, el apartado de minería.

La página de minería contiene toda la información sobre tu actividad minera. En la pestaña Estadísticas, puedes ver las últimas estadísticas de bloques. La información también está disponible en forma de gráfico. Elije el tipo de gráfico que desees ver en la lista desplegable en la parte superior de la ventana.

Minería de Cryptones.

La minería de cryptones, al igual que en otras criptodivisas, consiste en “fabricar” Cryptones.

Tal como he comentado antes, la forma más sencilla de minería es tener abierto el cliente de utopía. Sin embargo, si nos queremos hacer un hueco en el mundo del Cryptón y generar nuestra pequeña fortuna, será mejor que nos pongamos a trabajar con un BOT (un robot). Un BOT es un programa que realiza una determinada tarea, en este caso, el minado de monedas.

minado

Antes de meternos en harina, vamos a dejar claros algunos conceptos que son fundamentales y que quizá desanimen a algunos a seguir adelante:

  • Un BOT no puede ejecutarse en el mismo equipo donde estás ejecutando el cliente de UTOPIA.

  • Se recomienda tener unos 4 Gb. de memoria RAM en el ordenador por cada BOT que se ejecute.

  • Se puede tener en ejecución cuantos BOT’s de minado deseemos, pero UN ÚNICO BOT POR MÁQUINA.

Estos requerimientos previos, un tanto exigentes en mi opinión, nos van a obligar a tener al menos, una máquina virtual dedicada a la labor de minería en Utopía.

¿Quién dijo miedo? Vamos a por ello.

En primer lugar, vamos a descargarnos el BOT. Está disponible desde la propia interfaz de uWallet, dentro del apartado MINAR > ESTADÍSTICAS > GESTIÓN DE BOTS.

Existen versiones para sistemas operativos basados en RedHat, en formato .rpm y para sistemas basados en Debian, en formato .deb.

minado

Una vez descargada la versión que más se adecúe a nuestras necesidades, pasamos a su instalación.

  • dnf install uam-latestxxxx.rpm (para distros basadas en RedHat)

  • apt install uam-latestxxxx.deb (para distros basadas en Debian)

     

En esta ocasión los usuarios de Arch Linux nos quedamos fuera, no hay paquete para nuestra distribución. Lo solucionamos de manera rápida. Por suerte existe ARCHALIEN, una aplicación que va a convertir el paquete .deb a nuestro formato de Arch.

instalando

La aplicación uam (Utopía Alternative Miner) se habrá instalado en el directorio /opt/uam/

Para ejecutar el minero, vamos a necesitar nuestra Clave Pública, ya que de esta forma, todo el trabajo que se realice se asociará a esta clave, y por lo tanto, a nuestro perfil.

La forma de obtener dicha clave pública la tenéis explicada en otro artículo anterior, como recordaréis.

La aplicación se habrá instalado en /opt/uam/, así que debemos movernos hasta dicho directorio para ejecutar el minero. Una vez en el directorio donde se ha instalado UAM, ejecutaremos la siguiente instrucción:

./uam –pk 0BCB9E394833ACF5047F19D1CD01DACD7CD2BE5290B6E54276B5212D583F0C3F

Lógicamente, debéis poner VUESTRA clave pública, si colocáis MI clave pública (esa que he puesto como ejemplo) todo el trabajo que realicen vuestros mineros irá a parar a MI cuenta. 😉

minando

Y con esto ya tenemos nuestro UAM trabajando a toda máquina.

Con estas últimas indicaciones doy por terminado el artículo sobre minería de cryptones en Utopia.

 

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

Idyll navegador

Al igual que el resto de servicios de UTOPIA, la navegación web puede resultar un poco confusa en un primer momento. Esto puede deberse a que no disponemos de Google, Bing, Duckduckgo, ni ningún otro buscador al que estemos acostumbrados.

Idyll navegador

Tampoco tenemos un gran número de navegadores. En realidad, solamente existe un único navegador: Idyll. Idyll es una versión recortada (pero que MUY recortada) de Mozilla Firefox. Ya de por si este navegador está enfocado en la privacidad, así que ahora, de la mano de UTOPIA tenemos un navegador todavía más privado. Tan privado que no podremos navegar por páginas fuera de UTOPIA.

Idyll no solo es el navegador, también recibe este mismo nombre el BUSCADOR que Utopía pone a nuestra disposición. Para llegar a él simplemente debemos teclear IDYLL en la barra de dirección del navegador.

Buscador

Idyll, como buscador, (siguiendo el “look and feel” del navegador), se muestra muy austero, incluso más austero todavía que Google, que ya es decir. No obstante, cumple correctamente con su función: buscar contenidos.

 

Echando un vistazo a Idyll buscador, en la pantalla principal tenemos el esperado formulario donde introducir nuestra búsqueda, un enlace para poder dar de alta nuestras propias webs (que deben estar alojadas en UTOPIA), y un listado de sugerencias de sitios que pudieran resutar de nuestro interés.

 

Insisto nuevamente, como ya he hecho en anteriores artículos: únicamente vamos a navegar dentro de UTOPIA, el resto de páginas y buscadores que no están dentro de este ecosistema, no van a estar a nuestro alcance con este navegador. Dicho de otro modo, os podéis ir olvidando de Google, Bing, Face, Instagram, etc. etc.

Aunque en realidad, para eso hemos venido a UTOPIA, para no ser objetivo de dichas empresas 🙂

 

…. Y respecto a la navegación, poco más puedo añadir que no sepáis ya. Se trata de buscar webs que resulten acordes a nuestros intereses y para los más emprendedores, iniciar una web.

 

Los contenidos web todavía no son “abrumadores” por su elevado número. En realidad, son más bien escasos, ya que nos encontramos ante un ecosistema relativamente nuevo. Doy por hecho que irá aumentando considerablemente conforme la aceptación y uso de la plataforma vaya en aumento. Mientras tanto, os dejo alguna sugerencia para que vayáis familiarizándoos con el sistema:

 

Ahora ya es cuestión de dedicarle tiempo y ver cómo van creciendo los contenidos.

 

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

uMail

Tal como ya he explicado en el artículo de introducción, UTOPÍA es un “Ecosistema P2P” construido sobre una verdadera Red Puerto a Puerto”, utilizando los mecanismos de cifrado y criptografía más sofisticados y avanzados.

Esto permite comunicarse de forma completamente segura y anónima a través del correo electrónico y el chat, participar en debates dentro de canales privados y públicos, compartir contenido con sus pares, y todo ello dentro de una red puerto a puerto altamente cifrada y descentralizada.

 

Buzon de Entrada

 Y de entre todos los sistemas de comunicación que existen a través de internet, vamos a empezar por uno de los más veteranos: El Correo electrónico.

El correo electrónico (más conocido como e-mail) tiene su versión cifrada dentro de Utopía, y recibe el nombre de uMail.

 

La realidad es que la utilización de uMail no tiene ningún misterio, funciona del mismo modo que cualquier otra plataforma de correo que podamos conocer, con un cliente de correo bastante sobrio pero que cumple perfectamente con todas sus funciones.

Llegados a este punto, doy por hecho que hemos leído en el post anterior la forma de añadir usuarios a nuestra agenda, y que ya tenemos algún amigo dentro de la plataforma, así que no voy a insistir en el proceso de añadir contactos.

 

Como se puede ver, al crear un nuevo correo de la forma tradicional de hacerlo, obtengo la clásica pantalla en blanco de cualquier cliente de correo, donde debo ir rellenando el asunto, el cuerpo del correo, y la dirección de la persona a la que quiero enviar dicho correo.

 

NuevoMail

Al pinchar en el botón PARA obtendré una ventana con la AGENDA o LIBRETA DE DIRECCIONES, donde se mostrarán todos los contactos de la agenda.

El proceso de envío y respuesta no tiene ningún misterio.

Buzon de Entrada

Vale la pena mencionar que dentro de HERRAMIENTAS > CONFIGURACIÓN, tenemos unas opciones básicas de modificación del comportamiento de nuestro cliente de correo.

Vuelvo a insistir que todo el correo que enviemos dentro de UTOPIA sólo se recibirá dentro de UTOPIA, es decir, no se puede enviar un correo a pepxxx@hotmail.com

 

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

Contactos

Siguiendo con la serie de artículos en la que estoy repasando UTOPÍA, el Ecosistema P2P, ha llegado el momento de probar algunos de los servicios de los que podemos disfrutar dentro de esta plataforma, tales como el correo electrónico, mensajería instantánea, etc.

Sin embargo, me he encontrado con algo inesperado, algo que por ser tan obvio, ni siquiera había pensado en ello. MIS CONTACTOS.

Ya sé que puede parecer algo superficial, pero dentro de un “Ecosistema Seguro” lo menos indicado es trabajar con direcciones del tipo pepxxx@hotxxx.be o con números de teléfono personales como si se tratase de un wasap cualquiera.

Gestión de la Información Personal

Dentro de UTOPÍA, los usuarios vamos a tener dos formas principales de poder identificarnos entre nosotros: Con nuestra Clave Pública y con nuestro uCode (similar a un código QR).

Nada más darnos de alta en la plataforma, en las pantallas de presentación se nos muestra un mensaje donde nos indica nuestra Clave Pública. Es importante tenerla guardada a buen recaudo.

 

 

ClavePublica

Esta clave, además de identificarnos, se utiliza como dirección de nuestra cartera de criptomonedas. No es un tema para abordar en este momento, espero llegar a este asunto en un futuro artículo.

Lo más habitual es que la gente estemos “un poco mal” de memoria y se nos olvide dónde guardamos la clave. O directamente, ni siquiera nos preocupamos de guardarla en su momento, ya lo haré más tarde.

Así que si sois de los míos, no os preocupéis, tenemos otra forma de acceder tanto a la Clave Pública como a uCode.

 

 

Dentro de ARCHIVO > MI PERFIL, nos encontramos con esta pantalla de información personal, donde volvemos a obtener nuestra Clave Pública y nuestro uCode. Del mismo modo, tenemos información de nuestro propio AVATAR, que está generado a partir de nuestra Clave Pública (y eso lo convierte en único) y además podremos rellenar otros datos personales como son nuestro seudónimo (en caso de necesitarlo) y nuestro nombre y apellido reales.

Como veis, me he permitido remarcar la opción REGISTRE SU PROPIO NOMBRE uNS. El servicio uNS es el DNS interno propio de UTOPÍA. En lugar de movernos dentro de la plataforma con el Código QR (os recuerdo que dentro de UTOPÍA se llama uCode), lo cual puede resultar algo incómodo, o utilizar la Clave Pública, que será todavía más incómodo, tenemos la opción de registrar nuestro propio nombre, e identificarnos como “Marta”, “Googleee”, o cualquier nombre que nos guste. Pero vamos con cuidado, no todo es tan alegre: este registro NO ES GRATUITO. VALE DINERO.

Volviendo al proceso de rellenar nuestra agenda, el siguiente paso va a ser hacer llegar nuestra Clave Pública o nuestro uCode a la persona con la que queremos contactar. Esta persona tendrá que seguir el mismo proceso para facilitarnos su Clave Pública / uCode a nosotros y una vez en nuestro poder, añadirlos a nuestra Agenda.

Para guardar nuestra Clave Pública es suficiente con un copiar/pegar el texto. Para guardar el uCode, hacemos clic derecho sobre la imagen y seleccionamos la opción GUARDAR IMAGEN.

La forma en la que nos hagan llegar esta información ya es a libre elección de cada quien y de cada cual. Puedes iniciar un chat dentro de la plataforma y enviar los datos por un privado, puedes utilizar el e-mail ordinario (tu gmail, hotmail, etc.) pues introducir esa información en una llave USB, quedar con la persona en cuestión en un bar y disfrutar de una buena cerveza y una buena conversación mientras se efectúa la transacción de información ……. la imaginación es libre. 🙂

… Y ya por último, con la Clave Pública o el uCode de nuestro contacto en nuestro poder, pasamos a añadirlo a la Libreta de Direcciones.

LibretaDirecciones

 

Dentro del menú CONTACTOS tenemos la entrada LIBRETA DE DIRECCIONES. También tenemos la opción de AÑADIR CONTACTO directamente, pero prefiero pasar primero a ver en qué estado se encuentra nuestra Libreta de Contactos.

Nuestra Libreta de Direcciones en un principio aparecerá vacía. En la esquina superior izquierda se nos muestra el icono para añadir contactos, el cual debemos pulsar.

Una nueva ventana con el título AGREGAR USUARIO se nos muestra encima de la anterior.
Siguiendo las indicaciones de esta ventana, tenemos dos posibilidades para agregar nuevos contactos:

  • Introducir la
    CLAVE PUBLICA en la caja.

  • Introducir el
    uCode, bien sea pinchando y arrastrando (como indica) o
    seleccionándolo desde su ubicación en el disco duro.

Antes de que se haga efectivo el añadido de nuestro nuevo contacto, UTOPIA enviara un mensaje al contacto que queremos añadir, informándole de que alguien está intentando añadirle a su libreta de direcciones y le pedirá confirmación.

Autorizacion

 

 

Una vez que nuestro contacto confirme la solicitud para ser añadido, podemos dar por finalizado el proceso.

Contactos
Contactos

Con esto ya queda completado el proceso de añadir contactos a nuestra libreta. A partir de este momento ya seremos capaces de comunicarnos con el resto de usuarios de UTOPIA utilizando correos, chat y cualquiera del resto de servicios que nos brinda esta plataforma orientada a la seguridad.

 

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

Siguiendo con el post anterior en el cual os hacía una presentación de esta plataforma orientada a la Privacidad y Anonimato, voy a continuar con el recorrido y creo que ahora lo más oportuno es instalar el Ecosistema en nuestra máquina.

Instalación:

La aplicación se puede descargar desde la página principal de proyecto. https://u.is/es/download.html

Existen versiones del cliente para Windows, Linux y Mac. La versión para Android, en el momento de redactar este artículo, se encuentra en desarrollo.

Yo utilizo ArchLinux, y en mi caso tengo la aplicación disponible desde los repositorios de mi distro. Para mí va a resultar tan sencillo como seleccionar el paquete y pulsar el botón “Aplicar”. Para los amigos de la consola, también está disponible la opción yay utopia.

A partir de aquí, el proceso de darse de alta en la plataforma es bastante sencillo.

En primer lugar tenemos la pantalla de Ingreso/Alta en la plataforma. La primera vez debemos seleccionar CREAR CUENTA NUEVA. Tras esto se nos presenta una pantalla donde se nos muestra una introducción a los servicios que nos ofrece Utopía.

Ahora, necesitamos introducir un nombre de usuario con el cual acceder al Ecosistema. El nombre real no es necesario para el proceso de darse de alta. El siguiente paso será elegir una ubicación en nuestro disco donde se vayan a almacenar (almacenamiento CIFRADO) todos los ficheros de UTOPÍA y crear una BUENA CONTRASEÑA.

Recta final: Solamente queda pulsar el botón TERMINAR.

Ahora sí, tenemos la pantalla de confirmación del alta de nuestra cuenta en UTOPÍA, y un minitutorial. 

Así luce UTOPÍA con su tema oscuro.

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

 

 

 
 .
 
 
Utopia

¿Qué es una Utopía?

Quimera es, según la mitología griega, un animal monstruoso, mezcla de león, cabra y dragón. Dejando a un lado toda la vertiente mitológica, con el término Quimera nos referimos a “Aquello que se propone a la imaginación como posible o verdadero, no siéndolo”. Se entiende como sinónimo de desvarío o delirio.

Utopia

 

Utopía, por el contrario, se refiere a algo que es difícil de alcanzar pero no imposible; tiene esa faceta de ilusionante y de positividad.

Fue Tomás Moro en el siglo XVI el que dio el nombre de Utopía a ese sueño de sociedad perfecta que siempre había existido en la humanidad. Una sociedad tan perfecta e idealizada que es prácticamente imposible llegar a ella.

Quizá por eso se eligió este nombre, Utopía, que deriva del griego οὐ (“no”) y τόπος (“lugar”) y significaría literalmente “no-lugar” o “ningún sitio”.

 

 

 

 

Pero en cuanto al mundo de la informática, que es lo que nos ocupa, Utopia, es un ecosistema P2P descentralizado y con la privacidad como objetivo. Ha sido creada por el Grupo 1984 y es una especie de “todo en uno”, ya que dispone de los siguientes servicios y características:

  • Red P2P descentralizada. Sin servidores centrales que puedan controlarse, cada usuario forma parte de la red.

  • Comunicación segura y resistente al control.

  • Diseñado para respetar el anonimato. Dirección IP e identidad bajo anonimato.

  • Umail, un sistema de correo interno de la propia plataforma.

  • Idyll, un navegador seguro. Al igual que Tor, está basado en Firefox.

  • Crypton, la cryptomoneda propia de la plataforma. Permite efectuar pagos y cobros, y almacenar el dinero en carteras. Esta moneda puede ganarse, aparte de con cobros, con un proceso de minería automático.

  • uNS. Sistema alternativo de DNS. Sin censura.

  • Todo el tráfico de datos y el almacenamiento de activos dentro de la plataforma está con cifrado 256-bit AES y curve25519.

En resumidas cuentas, UTOPÍA es un kit “Todo en uno” donde podemos encontrar servicios de Mensajería instantánea, Correo electrónico, Navegación web y un sistema de pagos / cobros con una criptomoneda propia: Crypton.

 

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

 

 

 
 .
 
 
Permisos Peligrosos

Permisos Peligrosos

¿Cuántas veces, al instalar una aplicación en nuestra tablet o smartphone hemos visto un aviso sobre los permisos que requiere dicha aplicación?. ¿Cuántas veces nos hemos preocupado por comprobar si realmente esta aplicación necesita dichos permisos?.

Es ya clásico el ejemplo de una aplicación de Linterna la cual pide permiso para acceder a nuestra ubicación y nuestros contactos. ¿Debo dar acceso a determinadas aplicaciones a mis contactos, a mis SMS o al micrófono?. ¿Somos conscientes de las consecuencias que puede tener para nuestra privacidad y nuestra seguridad otorgar estos permisos?.

Debemos tener en cuenta que con cada permiso que concedemos a cada aplicación estamos proporcionando información personal sobre nosotros mismos, y debemos saber los riesgos que tales permisos implican.

Estos días INCIBE (Instituto Nacional de Ciberseguridad) ha publicado una infografía muy interesante acerca de los permisos y los riesgos que implica cada uno de ellos. Basándome en esta valiosa información, quiero presentaros un resumen de los permisos que considero más sensibles y sus posibles repercusiones más graves.

 

Suplantación de Personalidad.

Este tipo de ataque puede lograrse si la aplicación maliciosa recoge datos de nuestro Calendario, Contactos, Cámara, Micrófono, Tarjeta de Memoria o mensajes SMS.

A través de cualquiera de estos permisos un delincuente podría acceder a información que le permitiese suplantarnos.

 

Ataques de Ingeniería Social y Phishing.

En varias ocasiones hemos comentado en este blog acerca de los ataques de Phishing (literalmente “pescando”). Se trata de “lanzar la caña” (una llamada telefónica falsa, un correo falso) y luego, esperar a ver si pican o no pican el anzuelo.

Calendario, Contactos, Acceso a la tarjeta, SMS, historial de llamadas y Ubicación. Con información recogida desde cualquiera de estas fuentes, un atacante estaría en disposición de hacernos llegar información que nos resulte familiar (recogida de nuestro propio móvil), lanzar el anzuelo, (solicitando información complementaria)…. Y si no estamos atentos, podríamos “picar” en este anzuelo.

Extorsión y Sextorsión.

Prácticas tristemente conocidas, especialmente entre adolescentes y Redes Sociales. Unas conversaciones “subidas de tono” junto con unas fotos/vídeos “inapropiadas” y podríamos ser víctimas de dichas prácticas.

Los permisos más peligrosos para estas prácticas serían Micrófono / Cámara y Acceso a la Memoria.

Suscripción a Servicios Premium no deseados.

De repente, en nuestra factura mensual, aparecen cargos de “Servicio de Chat PREMIUM” u otros similares, que no hemos solicitado.

Pueden llegar a suscribirnos a dichos servicios (sin nuestro conocimiento) a través de los permisos SMS y Llamadas de Teléfono.

Robo de Datos Personales y/o empresariales.

Puede realizarse este tipo de fraude a través de permisos innecesarios a Calendario, Memoria, SMS y Llamadas de teléfono.

Aunque estos no son todos los ataques que podemos sufrir por culpa de unos permisos mal configurados, si que pueden ser los más habituales. Podría haber incluido información del estado de la salud a través de sensores del cuerpo (smartwatch, los cuales leen nuestras pulsaciones cardíacas), Spam y Publicidad no deseada, envío de Malware… etc.

Una buena solución.

Es cierto que no todas las aplicaciones son “malvadas” y que aun así, algunas de ellas piden “excesivos” permisos. Ante la dura elección de “Instalar o no Instalar”, cabe una opción intermedia: Instalar desactivando “algunos permisos”.

Aunque existen aplicaciones que pueden ayudarnos a realizar esta tarea (principalmente antivirus y similares), yo prefiero la forma “tradicional” de realizar esta tarea: a mano.

Desde el Panel de Ajustes, vamos a Aplicaciones y en la lista de aplicaciones, seleccionamos la que queremos “ajustar” sus permisos.

Ajustes

Aplicacion

Una vez en la pantalla de la aplicación, se puede ver como existe una sección de Permisos. Seleccionando esta opción llegamos a una nueva pantalla donde nos presenta una lista con todos los permisos que tiene la aplicación y cuales se encuentran activos.

Permisos

Permisos

Como veis, en esta aplicación he restringido los permisos que vienen activos por defecto, permitiendo su acceso únicamente al almacenamiento.

Es una forma sencilla de eliminar permisos de aplicaciones que, por el motivo que sea, nos interesa tener en nuestros dispositivos.

 

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

 

 

 
 .
 
 

Un GESTOR DE CONTENIDOS (o Content Management System) es la evolución natural de las clásicas páginas web, las cuales eran costosas de realizar y difíciles de mantener.

Esta evolución ha sido positiva, las nuevas versiones de las tradicionales “páginas webs” son muy cómodas de crear, puede trabajarse con ellas prácticamente sin conocimientos de programación y sobre todo tenemos infinitas posibilidades de ampliación a través de plugins.

Y aunque es cierto que poco tienen que ver ya con aquellas primeras webs, han sabido mantener su filosofía y siguen siendo el estándar de lo que hoy llamamos “Páginas Web”.

Entrando en materia.

Cualquier auditoría (incluyendo auditorías web), debe realizarse “a mano”, como hemos reseñado en varias ocasiones. Sin embargo, en una primera etapa son de gran ayuda determinadas herramientas que nos automatizan la labor un primer estadio de nuestro trabajo. Aplicaciones como Acunetix, Netsparket, Burp Suite o Zaproxy entre otras, son conocidas en el ámbito de estas tareas.

Hoy quiero presentaros otras aplicaciones no tan conocidas y que sin embargo son muy eficaces en los primeros pasos de una auditoría a un CMS. Aunque alguna de ellas ya nos pueda resultar familiar, hay otras que no lo son tanto y que vale la pena tenerlas en nuestro listado de herramientas.

WPScan

La primera herramienta es bastante conocida. Se trata de WordPress Security Scanner. Siendo WordPress el CMS más extendido en internet, no es de extrañar que sea ampliamente conocida y utilizada. Se trata de una aplicación específica para auditorías de WordPress.

Si visualizamos la ayuda que trae incluida, accedemos a un nutrido grupo de opciones de lo más interesantes. Para esta prueba he utilizado los parámetros que os especifico a continuación:

  • –url Especifica la dirección que queremos auditar.

  • -o Fichero donde va a guardar los resultados.

  • –detection-mode mixed, passive, agressive Suelo utilizar la opción por defecto: mixed

  • -e Opciones de enumeración: podemos escanear los plugins / temas vulnerables, los que están considerados como los “más populares” y otras opciones interesantes. Por defecto escanea todos.

  • -U Para Fuerza Bruta. Lista de nombres de usuarios que queremos auditar.

  • -P Para Fuerza Bruta. Lista de contraseñas que queremos auditar.

Entre los resultados hallados encontramos una versión “insegura” de WordPress.

También se consigue información interesante sobre usuarios.

 

CMSEEK

La segunda herramienta que os aconsejo revisar es CMSEEK. Al contrario que WpScan, es capaz de identificar y auditar varios tipos de CMS, aunque, por mantener la comparativa, voy a seguir auditando el mismo WordPress que en el ejemplo anterior.

Simplemente selecciono la Opción 1, introduzco la web a auditar, y el resto lo hace todo él solo:

 

Como se puede apreciar en estas capturas, la presentación en pantalla es de lo más correcta, es bastante rápido realizando el análisis, muestra una lista detallada con enlaces y referencias a las vulnerabilidades halladas y por último nos guarda un informe en formato .json

Una gozada.

VulnX

La última herramienta de hoy es VulnX.

Al igual que CMSeek, se trata de una aplicación de carácter general, capaz de descubrir y auditar todo tipo de CMS’s.

Como en anteriores ocasiones, podemos ejecutar la herramienta con el parámetro -h y nos mostrará una ayuda, desde donde podremos elegir las opciones que más nos interesen.

  • -u URL de la web a auditar.

  • -o fichero de salida de datos.

  • -l tipo de CMS a auditar.

  • -e busca vulnerabilidades y ejecuta los exploits correspondientes.

  • -w recolecta información de la web.

  • -d localiza subdominios.

 

 

Espero que este pequeño repaso a estas herramientas os puedan ayudar en la auditoría a vuestras webs. 

 

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

 

 

 
 .
 
 

Sin darnos cuenta, sin saber cómo ha sido, los ordenadores de sobremesa se han convertido en ordenadores portátiles, los cuales llevamos del trabajo a casa. Los teléfonos móviles han dado paso a SmatPhones, Tablets y SmartWatch. Cada día son más los dispositivos móviles que forman parte de nuestra vida cotidiana. A muchos de nosotros nos resultaría imposible pasar un día sin ellos.

Intercambiamos información, accedemos a nuestro correo electrónico, leemos comentarios de las redes sociales, compartimos y publicamos en nuestro perfil, agendamos contactos, y todo a través de estos dispositivos.

La información es Oro.

Del mismo modo que hemos incorporado estos dispositivos en el ámbito personal, también lo hemos hecho en el profesional, y así ha cambiado no solamente nuestra manera de trabajar, también ha cambiado nuestra forma de interactuar con la sociedad.

En nuestros dispositivos almacenamos una increíble cantidad de información extremadamente valiosa. Y esta información no es sólo nuestra. En chats o correos guardamos información de nuestros familiares, pareja, de compañeros de trabajo, etc. Si nos detenemos a pensar, el valor de nuestros dispositivos va mucho más allá del precio que hemos pagado por él. La Información es Oro, y nos toca a nosotros la responsabilidad de protegerla y salvaguardarla. Es obligación nuestra que no caiga en manos ajenas malintencionadas.

Los dispositivos móviles

Al hacer referencia a los dispositivos móviles, lo primero que imaginamos es un smartphone; sin embargo, existen otros varios: Tablets, notebooks, relojes inteligentes o gafas de realidad virtual entran dentro de esta categoría.

Todos ellos comparten una serie de características comunes: Movilidad, tamaño reducido y comunicación inalámbrica.

Casos frecuentes de Perdida de información:

Vamos a repasar unos supuestos de pérdida de información que por desgracia, son más habituales de lo que nos pensamos.

Dispositivo sin bloqueo.

Las prisas son malas consejeras, pero en más de una ocasión, no nos queda más remedio que vivir con las prisas. Y fue por culpa de las prisas por lo que no me dí cuenta de que mi smartphone se cayó en el asiendo del taxi. Si el taxista se hubiese percatado, no tengo ninguna duda de que se hubiese puesto en contacto conmigo, pero no fue así. Supongo que la siguiente persona que utilizó los servicios de aquel mismo taxi y que se encontró mi tfno móvil, no era tan honrada como cabía esperar.

A los pocos días empecé a recibir correos y llamadas anónimas. Quizá lo deba asumir como pago por la torpeza de perder mi móvil y de no tenerlo con la debida protección. Pero mis contactos también sufrieron mi torpeza, y eso me dolió más. Amigos, familiares, compañeros de trabajo con los cuales había mantenido chats grupales y con los que había intercambiado vídeos, audios y fotografías, empezaron a recibir todo tipo de mensajes.

Este delincuente que nos estuvo llamando decía tener acceso a nuestras Redes Sociales (a la mía si que tuvo acceso) y amenazaba con publicar todo tipo de información, incluyendo los vídeos y fotos que había encontrado en el móvil, a no ser que le pagásemos un rescate.

Una de las protecciones más básicas para evitar accesos no autorizados a nuestro teléfono es configurar una pantalla de bloqueo Es la primera barrera para acceder a nuestros datos. En el momento en que alguien intente acceder al dispositivo, un patrón, un código alfanumérico (PIN) o una huella digital impedirán su acceso.

Mi móvil, por una cuestión de comodidad, no tenía activada esta opción, y la persona que se lo encontró en el taxi, pudo acceder sin complicaciones.

Tampoco tengo costumbre de cerrar las sesiones de mis redes sociales, por lo tanto tuvo también “la suerte” de encontrarse todo el acceso libre y a su disposición.

 

El hecho de tener una contraseña o un patrón en la pantalla de desbloqueo Dificulta, pero NO IMPIDE el acceso. Si nuestro PIN es del tipo 1234 o utilizamos una contraseña sencilla, es muy probable que los delincuentes profesionales puedan adivinarla.

Otra forma sencilla de saltarse la protección de la pantalla y acceder a nuestros datos sería conectar nuestro móvil robado a través de un cable USB a un ordenador. Incluso podrían apagar el móvil, extraer la tarjeta SD y conectarla al mismo ordenador. No sería necesaria ninguna contraseña. Es por eso que nuestro dispositivo debe estar cifrado.

Aún así, sería posible acceder a parte de nuestra información. Suele ser una práctica habitual tener activas las notificaciones en la pantalla de bloqueo. Si llega algún SMS u otro tipo de mensaje de texto, podría accederse a él incluso con la pantalla bloqueada.

Para dar un paso más en la seguridad de nuestro dispositivo, sería muy conveniente desactivarlas.

 

Me han robado el teléfono.

 

No sé qué ha pasado. Creo que no he sacado el teléfono del bolso en toda la tarde, lo recogí después de estar en la cafetería, pero no lo encuentro. Ninguna de mis amigas lo ha recogido ni sabe nada. ¿Pudo ser cuando estuve buscando el monedero dentro del bolso? ¿Lo dejé encima del mostrador durante un momento? ¿Alguien se aprovechó y me lo robó?

Nunca nos imaginamos que podamos sufrir un robo, y habitualmente, muy pocas personas saben cómo reaccionar ante esta situación.

Yo soy de esta nueva generación de personas que “necesita el móvil para trabajar”, y en el móvil que me han robado no sólo había información personal, también había datos importantes de mi empresa. Ojalá hubiera previsto esta situación. ¿Que puedo hacer ahora?

Existen bastantes aplicaciones en el mercado que nos permiten geolocalizar nuestro dispositivo, bloquearlo, sacar fotografías con la cámara frontal o la trasera y enviarlas de forma automatizada a una dirección de e-mail, e incluso formatear el dispositivo y borrar todos sus datos a través de la nube, sin necesidad de tener acceso físico a él.

Es muy recomendable tener instalada alguna aplicación de este tipo. La más cómoda y sencilla puede ser la opción que ya viene incluida por defecto dentro del móvil, la cual se integra al 100% con Google.

Los fabricantes también ofrecen opciones propias, siendo de las más potentes KNOX, de la mano de Samsung e incluida en todos los terminales de esta marca.

Otra opción muy válida puede ser instalar un antivirus, que por lo general incluyen este tipo de opciones de Geolocalización y borrado remoto. Es interesante porque no solo nos dan una opción frente al robo, si no que además tenemos la protección antivirus.

Posiblemente, al sufrir un robo, inmediatamente vas a ir a la Policía a denunciar el hecho. Será de gran ayuda que puedas aportar el Código IMEI (International Mobile Equipment Identity) del dispositivo. Este código es un identificador único de cada móvil y está formado por 15 dígitos. Las empresas de telefonía lo solicitan cuando hacemos una denuncia por robo o extravío. Para obtenerlo teclea en tu terminal *#06#

Tras denunciar el robo no termina nuestra labor. Todavía debemos informar a todos nuestros contactos para que estén prevenidos, y en caso de ser un terminal del trabajo, por supuesto a tu empresa. El delincuente, posiblemente tratará de suplantar nuestra identidad.

 

Se ha dado un golpe y se ha roto.

Día de campo. Hace buen tiempo y he quedado con los amigos en la zona de recreo, junto al rio. Unos se encargan de las barbacoas, otros de llevar los postres, otros de los platos y vasos …… vamos, lo que es un día de campo.

Nos hemos ido a chapotear un rato al agua, y entre bromas y empujones mi teléfono se ha caído de mi bolsillo, ha rebotado en dos piedras del rio y ha desaparecido, arrastrado por la corriente, delante de mis propios ojos. Después de mucho tiempo de buscarlo, levantando piedras, apartando ramas y buscando en huecos en el cauce del rio, por fin lo hemos encontrado…. hecho un desastre. Lo he perdido TODO.

Copias de Seguridad.

Una forma rápida de realizar estas copias es con una cuenta de Google. Así tendremos la información siempre disponible desde la web en todos los dispositivos que tengamos configurados con esa cuenta. Tras haber perdido nuestro teléfono, podemos configurar la misma cuenta en un nuevo dispositivo y asi recuperar nuestra información.

Otra posibilidad es realizar un volcado de nuestra información a un ordenador de sobremesa, desde donde la podamos almacenar en un disco USB externo junto con las copias de seguridad de ese ordenador.

Si el teléfono que utilizamos habitualmente pertenece a nuestra empresa, seguramente ya nos habrán configurado algún tipo de copia de seguridad en la nube empresarial o similar. No debemos preocuparnos, ya que será el departamento informático de la empresa quien se encargue de realizar los backups.

En cuanto a qué es importante respaldar, la respuesta es sencilla : TODO.

Partimos de la base de que nadie guarda cosas inútiles en su teléfono, por lo tanto, la información existente en su interior es importante. Aunque para determinadas personas algunas fotografías (por ejemplo de gatitos) o determinados audios no sean considerados como “importantes”, lo más normal es que el propietario de esa información SI la considere importante.

Existen despachos profesionales donde las copias de seguridad de los dispositivos de sus empleados es diaria, y dichos empleados tienen prohibido borrar ninguna información de dichos dispositivos. Y cuando se dice nada, se refiere a NADA DE NADA. Fotografías, wasaps, sms … bajo pena de despido.

Dentro de esta categoría de TODO, por realizar un pequeño de detalle de los elementos mas delicados, podríamos incluir Archivos, Documentos ofimáticos, fotografías, conversaciones de chats, contactos, mensajes o notas personales.

La Seguridad Física.

Tampoco estaría de más ser un poco “paranoicos” y dotar a nuestros dispositivos de una capa extra de “seguridad física”. Existen en el mercado varios tipos de terminales “rugerizados”. Rugerizado es la españolización del término anglosajón ‘ruggedize’, que hace referencia a los objetos hechos para que tengan una alta durabilidad. En general, se entiende que un teléfono rugerizado es aquel que dispone de una protección especial contra golpes y agresiones de sólidos (arena, polvo) y/o líquidos.

Si eres una persona que trabaja en altura (habitualmente subido a escaleras), si eres habitual de los bosques (cazador, montañero, deportista “extremo”), o eres “un poco despistado”, puede valer la pena que eches un vistazo a este tipo de dispositivos.

Para un uso cotidiano, no suele ser necesario un terminal rugerizado (aunque yo lo he utilizado con toda normalidad). Por otro lado, debemos saber que nuestros dispositivos pueden dañarse si se llevan un golpe fuerte, si pasan demasiado tiempo expuestos al sol, si se mojan o si se llenan de polvillo o arena. Una buena funda integral con buena protección para golpes puede ser en muchos casos suficiente.

Si nos vamos al río con el teléfono en el bolsillo, estamos junto a la barbacoa, o si lo dejamos junto al borde de una mesa, no debería extrañarnos que “le pase algo”. A todas las precauciones anteriores debemos añadirle un poco de sentido común, y de esta forma podremos estar protegidos de “pequeños y habituales accidentes”, que son los más frecuentes en el día a día.

 

Resumiendo.

Debemos de concienciarnos acerca de la importancia de proteger nuestros dispositivos, no sólo por el dispositivo en si mismo y el precio que nos haya podido costar, además, por la información que tenemos almacenada en su interior.

La Seguridad 100% no existe, ya lo sabemos, pero con muy poco esfuerzo podemos elevarla a un 80% a un 90%, y eso es responsabilidad nuestra.

 

Un saludo.

Raúl Ibilcieta.
Consultor de CiberSeguridad.

 

 

 
 .
VideoConferencias

Videoconferencia o videollamada es la comunicación simultánea bidireccional de audio y vídeo, que permite mantener reuniones con grupos de personas situadas en lugares alejados entre sí. Adicionalmente, pueden ofrecerse facilidades telemáticas o de otro tipo como el intercambio de gráficos, imágenes fijas, transmisión de ficheros desde el ordenador, etc.

Wikipedia.

VideoConferencias

El uso de video conferencia como forma de reemplazar las reuniones presenciales ya estaba en creciente auge antes de que la pandemia las convirtiera en la única opción viable. Pero lo cierto es que esta pandemia ha hecho explotar esta escalada de crecimiento de las videoconferencias y ahora nos encontramos en un panorama ante el cual no sabemos, en varias ocasiones, cual puede ser la opción más adecuada a nuestras necesidades.

Por lo general, preferimos utilizar plataformas externas, bien sean opciones comerciales (gratuitas o no) u opciones de Software Libre. Esto nos libera, especialmente a las organizaciones, de la desagradable necesidad de disponer y mantener una infraestructura propia controlada por la propia empresa.

Sin embargo, parece que últimamente el concepto de “oficina” está yendo más allá de las paredes físicas del edificio de la empresa, así que si planeamos que esta situación de videoconferencia y teletrabajo se vaya extendiendo en el tiempo y de forma indefinida, probablemente el tener una plataforma propia bajo nuestro control pueda ser la opción más recomendable.

Vamos a dar un repaso.

 

Whatsapps.

Whatsapps es el líder indiscutible en cuanto a mensajería instantánea se refiere. Esto lo convierte en una interesante opción para realizar videollamadas, ya que prácticamente no existe persona en este mundo que sea propietaria de un Smartphone y no tenga instalada esta aplicación.

Fue allá por 2018 cuando WhatsApp dio a conocer sus videollamadas grupales, y desde entonces las ha venido mejorando.

Sin embargo no es la mejor opción ya que WhatsApp solo permite que estén hasta cuatro personas al mismo tiempo, lo que de alguna forma limita -y mucho- las posibilidades de mantener conversaciones con grupos de amigos más amplios.

Otra particularidad es que desde el año 2015 podemos utilizar todas las funciones que nos ofrece no solo en el móvil, sino también a través del ordenador, accediendo a su versión web. Aunque es algo demandado por muchos usuarios, a día de hoy, WhatsApp no ofrece la posibilidad de realizar videoconferencias a través de Web.

 

 

Skype.

Skype vio la luz en Agosto de 2003, lo cual lo convierte en una de las soluciones más veterana de cuantas presentamos en este artículo. En 2005 fue adquirida por Ebay, y posteriormente, en 2011 pasó a ser propiedad del gigante de la informática Microsoft. En la actualidad forma parte de los servicios integrados en la nube de esta empresa.

Hoy día Skype es una plataforma que dota de servicios de videoconferencia tanto a particulares como a empresas. Está disponible para dispositivos móviles, tablets, etc. permite también llamadas grupales y chat. Descargarlo y utilizarlo es gratuito desde cualquier dispositivo.

Skype dispone de una versión profesional que es de pago. En su versión gratuita se pueden realizar videollamadas grupales de un máximo de 50 personas.

Y la parte “menos buena” es que la agencia de inteligencia estadounidense (NSA) monitoriza las conversaciones de Skype mediante el sistema de vigilancia electrónica PRISM.

 

Google Duo y Google Hangouts

Google nos presenta dos opciones de videoconferencia. ¿Y porqué dos opciones? Porque cada una tiene su espacio:

Google Duo es una aplicación más reciente que Hangouts y está enfocada a las videollamadas ENTRE MÓVILES y solamente DOS ASISTENTES. La calidad de la llamada, tanto en vídeo como en audio, es superior a la de Hangouts.

Por su parte, Hangouts ofrece la posibilidad de realizar videollamadas desde cualquier dispositivo y con un número máximo de 10 asistentes.

 

Jitsi.

Jitsi es un proyecto de Software Libre que ha sido desarrollado para contener multitudes de forma simultánea. Es capaz de mantener videoconferencias de 200 personas simultáneamente.

En realidad se trata de otro proyecto veterano, tanto o más que el propio Skype, ya que nació en 2003 bajo el nombre de SIP.

No requiere cuenta de usuario, es lo más parecido a un clásico salón de Chat, es multiplataforma y gratuito y ya para tenerlo todo, dispone de una versión Web.

Jitsi lleva tiempo siendo la referencia en cuanto a seguridad en apps de videollamadas se refiere, ya que está cifrado de extremo a extremo. Además, Jitsi es la aplicación preferida de Edward Snowden, el famoso informante que reveló los proyectos secretos de la NSA estadounidense.

Si vamos a abrir una ventana a nuestra casa, que sea una de la que nos podemos fiar.

 

Zoom

Zoom ha sido una gran desconocida hasta que se ha popularizado en estas fechas de enclaustramiento. Ofrece 100 participantes por conferencia, tiene buena calidad tanto de vídeo como de audio y es gratis durante los primeros 40 minutos.

Pero todos aquellos que nos hemos dejado seducir por sus “cantos de sirena”, tan pronto como hemos empezado a utilizar esta app, nos hemos dado cuenta de sus “particularidadesy de sus problemas. Problemas que abarcan desde vulnerabilidades que permiten tomar el control de nuestro ordenador, hasta el envío de datos a Facebook. Y cada día nos sorprende con uno nuevo.

Pero sin lugar a dudas, el baño de realidad más importante que nos dimos fue en aquella ocasión en que se descubrió que las “videollamadas encriptadas”, en realidad no lo estaban, y que nuestras comunicaciones eran vulnerables.

Sin embargo, Zoom va solucionando los problemas que van apareciendo, y es otra opción que tenemos a nuestro alcance.

 

Resumiendo.

A estas alturas de nuestro confinamiento, seguramente ya hemos elegido nuestra opción, o si se trata de teletrabajo, ya la habrán elegido por nosotros. Mi recomendación, como de costumbre, es que las pruebes todas hasta que encuentres la que mejor se ajuste a tus necesidades, y recuerda que no hay ningún problema por utilizar más de una aplicación.

Un saludo.

 

Raúl Ibilcieta.
Consultor de CiberSeguridad.

 

 

 
 .

Scroll to Top

Utilizamos cookies para poder ofrecerte una mejor experiencia de navegación en nuestra Web. Si continúas la navegación, asumimos que estas de acuerdo. Más Información

Los ajustes de cookies en esta web están configurados para «permitir las cookies» y ofrecerte la mejor experiencia de navegación posible. Si sigues usando esta web sin cambiar tus ajustes de cookies o haces clic en «Aceptar», estarás dando tu consentimiento a esto.

Cerrar