Se conoce como autenticación multifactor al proceso de inicio de sesión (puede ser en un sitio web, una app, una laptop, etc.) en el que el usuario debe ingresar dos o más mecanismos de autenticación: Algo que sabe: Su contraseña.…
Etiqueta: Phishing
Atacantes lograron eludir la autenticación multifactor
Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos). Pero los atacantes siempre se las…
Cómo implementar DMARC
DMARC (o Autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés), es un mecanismo de autenticación de correos electrónicos relativamente joven que permite a los remitentes garantizar a sus destinatarios que los mensajes que han…
Office 365 agrega soporte para DKIM y DMARC
Así lo anunciaron Terry Zink y Shobhit Sahay del equipo de producto de Office 365 en este artículo, en el cual aseguran que ambas funcionalidades obedecen a la necesidad que tienen las compañías que decidieron confiar sus correos electrónicos a Microsoft de mantener a sus…
It’s time to replace SHA-1 certificates
It has been 20 years since SHA-1, the world’s most used encryption method, was released.
SHA-1 is an encryption method developed by the National Security Agency of the United States and is considered a federal information processing standard for the Government of that country. The method of output of SHA-1 produces a 160 bits (20 bytes) secure hash value, equivalent to an hexadecimal number of 40 digits long.
In 2005 were published two investigations in which big vulnerabilities in this mechanism were demonstrated. It happens that the hashes have a natural enemy called “collisions”. Collisions are the possibility of encountering an identifier that is notunique, i.e. that a same SHA-1 represent two different incoming data flows through brute force attacks.
By definition, we could say that there is 1 chance in 1208925819614629174706176 (280) of generating collisions in SHA-1. However, at the beginning of 2005, a group of Chinese researchers reduced the number of attempts to 269. Finally, researches of the Macquarie University of Australia were able to reduce it to 252 (about 2000 times faster than expected).
As a result, the CA/Browser Forum recommended in 2011 start to leave SHA-1 as soon as possible. In fact, the Government of the United States stopped using this mechanism in 2010.
About SHA-2
Redes Wi-Fi: Lo que nadie te contó sobre tu privacidad
Hace algunos días Apple emitió una alerta de seguridad tras descubrir que Safari, su explorador de internet, se encontraba en riesgo.
Gracias a un error en el método de cifrado, los datos enviados a través de Safari y que debían estar protegidos bajo el protocolo SSL, simplemente eran enviados sin codificar.
Para llevarlo a un punto entendible, el protocolo SSL (Secure Socket Layer, por sus siglas en inglés) se encarga de cifrar los datos intercambiados entre dos equipos (normalmente cliente/sevidor), asegurando que la información no pueda ser leída por nadie durante el tiempo que dure la comunicación.
Vamos a poner el ejemplo del banco, al que accedemos via web para consultar el estado de nuestras cuentas. Luego de escribir nombre de usuario y contraseña, nuestro navegador se presenta al servidor remoto (en este caso el banco) con quien negocia el algoritmo a utilizar. Tras validar la autenticidad del certificado del servidor, utiliza su clave pública para generar una clave maestra que será enviada al servidor remoto. Éste utilizará su clave privada para decodificarla y, a partir de ahora, intercambiará mensajes cifrados con la clave maestra.
Cada paquete enviado o recibido debe estar cifrado con ella para evitar que quien intercepte la comunición pueda acceder a los datos. La siguiente imagen explica el proceso completo, en inglés:
Alerta de phishing en Twitter
Queridos lectores,
Hace algunos instantes, he recibido una notificación del equipo de Seguridad @safety y del de Soporte @support de Twitter, donde indicaban que ha comenzado a circular entre los usuarios de la comunidad, un evento del tipo Phishing.
Se trata de un DM (Direct Message), con el mensaje “LOL is this you” seguido de un enlace, que redirecciona a un sitio malintencionado.
Solicitamos a toda la comunidad de Twitter tener precaución con los DMs y reportar de forma inmediata a los perfiles que estén enviando estos mensajes.
Los mantendré actualizados al respecto.
¡Hasta la próxima!
Ver actualizaciones
Continúa el ataque masivo a cuentas de Hotmail
Queridos lectores,
Hace ya algunos días, Microsoft había dado a conocer un alerta sobre la cantidad de casos de robo de contraseñas que estan sufriendo los clientes del servicio gratuito de correo Windows Live Hotmail o Hotmail.
Al respecto, y desde el comienzo del inconveniente, se ha destacado que no se trata de una vulnerabilidad en el servicio ni una revelación de información, sino de un ataque del tipo Phishing a los usuarios afectados.
Recordemos que el Phishing es aquella maniobra malintencionada que utilizan los atacantes para lograr que sus víctimas revelen sus contraseñas y claves, de forma tal que ellos sean los responsables de haber facilitado la información.
Comunicado oficial
Felices 30 al SPAM!
En 1978 fue mandado el primer correo masivo no solicitado en la naciente Internet, entonces red gubernamental ARPAnet. Desde entonces hasta ahora el spam ha crecido de manera exponencial, y todo ello comenzó con una única persona: Gary Thurek.
Inmediatamente después de que el mensaje fue sido enviado, las denuncias comenzaron a surgir y el remitente fue atacado por ARPAnet, aunque no fue acusado de un delito. Gary Thurek era un empleado de marketing de Digital Entertainment Corporation, que acabó siendo adquirida por Compaq en 1998.
El origen de la palabra “spam” en el sentido de mensajes no solicitados es un poco confuso. Sin embargo, según el influyente blogger Brad Templeton, por lo general se cree esté relacionado con sketch de los Monty Python en el que los personajes se cantan en repetidas ocasiones la palabra “spam” para molestar a todos los demás durante la representación.
El 30º aniversario del spam tiene poco que celebrar, excepto por las empresas que han emergido para detectarlo y eliminarlo, y que se han ganado generosamente la vida, intentando frenar el costo que estos envíos han tenido para usuarios y corporaciones alrededor del mundo.
Qué es un Hoax?
He aquí la definición propuesta por Wikipedia (http://es.wikipedia.org) de Hoax.
Un hoax (en inglés: engaño, bulo, mofa) es un intento de hacer creer a un grupo de personas que algo falso es real. En el idioma español el término se popularizó principalmente al referirse a engaños masivos por medios electrónicos, especialmente Internet.
A diferencia del fraude, el cual tiene normalmente una o varias víctimas y es cometido con propósitos delictivos y de lucro ilícito, el hoax tiene como objetivo el ser divulgado de manera masiva haciendo uso de los medios de comunicación, siendo el más popular de ellos en la actualidad internet y no suelen tener fines lucrativos o no son su fin primario.