Mantener la Confidencialidad de tu Información Importante

confidencialHola a todos, hace tiempo escribí unos artículos relacionados con el cifrado de la información, con el fin de que todos aquellos que quisieran, y de una manera sencilla, pudieran proteger la confidencialidad de la información haciendo uso de herramientas que el propio sistema operativo incluía.

Concretamente hubo un par de artículos, por un lado, uno de ellos intentaba explicar que era eso de la criptografía http://www.complumatica.es/fnadador/?p=430 , el segundo nos intentaba enseñar como configurar una herramienta incluida en algunas versiones de Windows y que sirve para cifrar particiones, unidades externas, etc., su nombre es bitlocker http://www.complumatica.es/fnadador/?p=450 .

Bien, aunque ya ha pasado tiempo, me gustaría continuar por aquí enseñando a utilizar otras herramientas, de las denominadas Software Libre, que podéis descargar y utilizar para fines parecidos, son sencillas y también nos permiten mantener cierta confidencialidad, poniendo las cosas un poco más difíciles a quienes, de una forma u otra, intenten acceder a nuestra información sin nuestro permiso.

La herramienta se llama GPG, se trata de una herramienta de distribución libre, la podéis descargar desde aquí https://www.gpg4win.org/download.html , y su instalación es sencilla.

kleopatra

Con esta herramienta, que también existe para el sistema operativo Linux, se pueden crear certificados digitales X.509, se puede también hacer uso de ellos y se pueden cifrar y firmar documentos, lo que añade un plus de seguridad a nuestra información sensible.

 

 

Antes de meternos con la herramienta, creo conveniente explicar que es un certificado digital de usuario. Bueno, de manera sencilla no es más que un documento firmado de manera electrónica por un prestador de servicios que permite la identificación de un usuario de manera digital y le permite a este, su propietario, firmar y cifrar documentos, lo que, dicho de otra forma puede garantizar la confidencialidad, autenticidad y No repudio de los documentos firmados y cifrados.

certificado-digital

 

 

 

 

 

 

 

 

Lógicamente el prestador que emite el certificado debe de ser una Autoridad Certificadora de confianza de aquellos que hagan uso del certificado. Por ejemplo, si queremos realizar gestiones con la administración pública en España haciendo uso de las distintas oficinas virtuales que muchos organismos ponen a disposición de los usuarios de internet, debemos de tener un certificado emitido por la Fábrica Nacional de Moneda y Timbre o hacer uso del DNI electrónico para verificar nuestra identidad y acceder a los servicios digitales.

Hay más prestadores de servicios digitales que emiten certificados digitales para hacer uso de determinados servicios on line de manera “segura” y alguna compañías emiten certificados para que, personas que utilicen sus servicios on line puedan hacerlo, luego estamos hablando de herramientas que protegen la información y sirven para validar la identidad.

Volviendo a lo que nos ocupa, que es el uso de la herramienta GPG, una vez instalada.

Tenemos dos utilidades, por un lado Key Manager, que permite crear claves:

KeyManager

 

 

 

 

Por otro Kleopatra, que nos permite asociar esas claves a un certificado digital, o crear un certificado digital con sus claves y cifrar y firmar documentos:

Kleopatra

 

 

 

Me voy a centrar en este último, en Kleopatra.

En primer lugar me crearé un Certificado digital para cifrar y firmar documentos, para ello debo de ir a File -> New Certificate:

NewCert

 

 

 

 

 

Se pueden crear un par de claves, simplemente para intercambiar información con personas cercanas, amigos o simplemente para dar un uso personal a la herramienta y tener cierta información que nos pueda interesar cifrada en nuestros dispositivos, o bien, se puede crear un certificado basado en PKI a modo de tercero de confianza, en cada caso, lógicamente los campos a rellenar en la creación del certificado digital van a variar.

Bueno en el ejemplo, utilizaré la primera opción:

NewCertDetalle1

 

 

 

NewCertDetalle2

 

 

 

 

 

Creando las claves:

CreandoClaves

 

 

 

 

 

ClavesCreadas

 

 

 

 

 

 

Con esto he creado un certificado que se llama prueba con un par de claves para el intercambio de información cifrada con otras personas.

Ojo también se pueden firmar digitalmente documentos con este par de claves.

Vamos a utilizarlo:

Uso1

T

 

 

Tenemos un fichero que deseamos bien enviar cifrado por correo, guardar cifrado en alguno de nuestros dispositivos, etc., supuestamente en él hay información confidencial que no deseamos que sea vista por nadie no autorizado.

Para ello, lo primero que debemos de hacer es cifrar el fichero.

Para realizar la prueba de concepto, yo me creo un fichero de texto, lógicamente se puede hacer con cualquier fichero.

File1

 

 

 

Bueno, ahí tenemos un fichero llamado Confidencial.txt que tiene el texto que debajo se puede leer.

Me dispongo a cifrar la información de dicho fichero con la herramienta kleopatra.

Para ello hago click con el ratón sobre el fichero y le arrastro dentro de la ventana de Kleopatra y aparece una pequeña ventana donde nos aparecen un par de opciones, firmar o cifrar, selecciono cifrar y nos aparece una ventana mayor:

Cifrar

 

 

 

 

 

 

 

 

En esta ventana puede elegir entre sólo firmar, sólo cifrar o ambas, yo selecciono ambas y debajo marco la opción de eliminar el fichero original y quedarme sólo con el cifrado:

A continuación debo se seccionar con que certificado quiero cifrar y firmar dicho documento:

Cifrar2

Nos pide la clave secreta o privada, es para la firma del documento, y tiene que ver con lo explicado en artículos anteriores, mencionados en la cabecera del presente artículo al comienzo del mismo:

Cifrar3

Se introduce y ya tenemos el documento firmado y cifrado:

Cifrar4

Podemos observar que nos ha cambiado la extensión deldocumento:

Cifrado1

Y si lo intentamos abrir, este es el contenido que se aprecia en el mismo:

Cifrado2

Luego mantenemos la confidencialidad de la información ante accesos no autorizados.

Para devolver el fichero a su estado original, y, por lo tanto, poder acceder de nuevo a la información que en él originalmente había, debemos de realizar el mismo proceso, sólo que esta vez seleccionando descifrar, para lo que nos vuelve a pedir la clave secreta:

Descifrado1

Descifrado2

Y volvemos a tener el fichero original:

Comprobacion

Una forma muy sencilla de poder almacenar datos confidenciales en nuestro equipo, no es infalible, pero si disuasoria.

Saludos amigos

 

La guerra de los ad-blockers evoluciona mucho más rápido de lo que parecía – Enrique Dans

Una sucesión rápida de anuncios prueba que la anunciada “guerra de los ad-blockers” está evolucionando de una manera mucho más rápida de lo que originalmente muchos podían esperar, y que puede encontrarse a muchas publicaciones que siguen creyendo que pueden deshojar la margarita de sus procesos de toma de decisiones con la guardia completamente baja.

AdBlock

La imagen que ilustra la entrada es el anuncio de AdBlock, uno de los actores más antiguos en este tema, financiado únicamente mediante donaciones y con una política de bloqueo total salvo excepciones marcadas por el usuario, de su decisión de unirse al Programa de Anuncios Aceptables iniciado originalmente por AdBlock Plus, propiedad de la alemana Eyeo GmbH. En realidad, el comunicado revela la decisión tomada por Michael Gundlach, creador de AdBlock que mantenía la compañía junto con su mujer, de venderla a un comprador no identificado aprovechando el momento dulce de una industria que ha pasado a convertirse en muy interesante con el anuncio de Apple de permitir bloqueadores de contenidos en sus sistemas operativos iOS y OS X. Algunos especulaban con que Gundlach, que dejó su trabajo, hace algunos años junto con su mujer, Katie, para dedicarse únicamente a AdBlock, podía haber obtenido entre los seis y los veintiocho millones de dólares en donaciones de sus aproximadamente quince millones de usuarios.

Por su parte, AdBlock Plus, la compañía propiedad de Eyeo, ha tomado la decisión de ceder el control de los criterios de su Programa de Anuncios Aceptables a una comisión independiente de la compañía, con el fin de alcanzar un consenso aún más amplio sobre ellos. La idea que subyace tras este programa es la de que únicamente se considera como aceptable la publicidad que no es molesta, que no interrumpe ni distorsiona las páginas que la contienen, que es transparente y no engañosa, que no es agresiva, y que se adecua al sitio que la contiene. La compañía mantiene un foro en el que se listan todos los anuncios desbloqueados (los usuarios pueden volver a bloquearlos si lo desean), y gestiona una lista blanca de más de setecientas compañías, de las que en torno a un 10% pagan a Eyeo en concepto de administración.

La popularización de los bloqueadores de publicidad está siendo especialmente rápida en este momento, a medida que aparece una oferta cada vez mayor y que proliferan comparativas que demuestran su eficiencia tanto en la optimización de tiempos de carga como a la hora de optimizar las tarifas de datos. El crecimiento está siendo especialmente rápido en el móvil, lo que viene a demostrar como la mayoría de los anunciantes, en realidad, no son capaces de entender las plataformas móviles y carecen de la empatía adecuada para ponerse en el lugar de los usuarios y entender hasta qué punto el uso que hacen de los formatos resulta absurdo e irresponsable. Un uso que determina que cada vez más clientes se instales bloqueadores, y que se retiren del mercado de manera radical, haciendo pagar a justos por pecadores, dificultando las posibilidades de financiarse de muchas compañías, y poniendo en peligro a los gigantes que, como Google, viven de la publicidad.

Para Doc Searls, uno de los autores del prestigioso “Cluetrain manifesto“, en el momento en que la instalación de bloqueadores de publicidad alcanza ya a los doscientos millones de personas, estamos hablando del mayor boicot ejercido por los consumidores en toda la historia. Un boicot que, además, ha sido provocado únicamente por los excesos de la industria, por el abuso de formatos intrusivos, de tácticas agresivas como el retargeting, o el nulo respeto a las cláusulas de do-not-track. Pero esas tácticas seguidas por algunos, han terminado por dañar a toda una industria, incluyendo a los que nos las empleaban. Ahora, la guerra está en plena escalada, amenaza con provocar abundantes daños colaterales, y además, avanza a bastante más velocidad de la esperada.

Fuente: http://www.enriquedans.com/2015/10/la-guerra-de-los-ad-blockers-evoluciona-mucho-mas-rapido-de-lo-que-parecia.html

 

Una vulnerabilidad de WhatsApp Web pone en riesgo los ordenadores

La aplicación para navegadores de WhatsApp, llamada WhatsApp Web, puede entrañar un problema de seguridad debido a una vulnerabilidad que puede comprometer los ordenadores.

La vulnerabilidad descwapp2ubierta por CheckPoint puede facilitar la distribución de ‘malware’, permitiendo la instalación de herramientas de acceso remoto, ‘ransomware’ -que bloquea el acceso y pide un rescate a cambio- y ‘bots’, entre otros.

La vulnerabilidad está presente en el filtro de las tarjetas de contactos y se envía mediante el formato vCard, según ha explicado la compañía. El problema es que parece legítimo, por lo que no levanta las sospechas de los usuarios. sin embargo, al pinchar sobre la tarjeta de contacto se descarga un código malicioso.

WhatsApp conoce el problema y ha lanzado un parche con el que corregir esta vulneración, por lo que se recomienda a los usuarios a actualiza a la versión 0.1.4481 de WhatsApp Web en todas sus versiones.

Al mismo tiempo, desde CheckPoint han recomendado a los usuarios eliminar la caché de su navegador para asegurarse de que el parche corrige el fallo.

Los programas dañinos para teléfonos móviles se triplican en un trimestre

El sistema Android, mayoritario en España, es el preferido de los delincuentes para robar dinero . Utilizan la conexión de datos para pulsar sobre anuncios falsos o para enviar SMS de pago

Si los usuarios cada vez usan más el teléfono móvil que el ordenador de sobremesa para acceder a internet, los delincuentes van detrás. Y es que en el primer trimestre del 2015 el malware (software potencialmente dañino, sea virus, troyanos o de otro tipo) detectado para dispositivos móviles ha triplicado el que se encontró en el cuarto trimestre del 2014, según un informe de la empresa de antivirus Kaspersky Lab.

Como sistema operativo, el de Google, Android, se vuelve a llevar la palma en número de infecciones (98% frente al iOS de Apple y el Windows Phone de Microsoft), tanto por el poco control de los responsables de la tienda de aplicaciones, Google Play, sobre lo que los desarrolladores ofrecen, como por la facilidad de sortear las restricciones de seguridad. Además, es un objetivo apetecible por el número de usuarios. Android tiene en España, según la consultora IDC, el 84% del mercado de móviles. Y alrededor del 1% tiene instalado algún tipo de malware , una cantidad que el propio Google reduce al 0,5% de los usuarios mundiales, según su informe de seguridad de Android del 2014.

Los sensores de Kaspersky Lab han detectado unos 103.072 nuevos programas dañinos para el móvil en el último trimestre, 3,3 veces más que en el trimestre anterior. Y la nueva tendencia, dicen, es captar dinero y datos bancarios (lo hace un 23%), incluso grabando conversaciones de la víctima, como hace una nueva versión del troyano Binka.d.

EL MOVIL, EN MARCHA Muchos de estos virus móviles se instalan a partir de aplicaciones falsas o enlaces a webs pero, a diferencia de sus homólogos de ordenador, que solían tener como efecto secundario dejar la máquina dañada o casi inservible, ya fuera por la conexión permanente para reproducirse o por los daños a los programas, los de móvil la quieren en buena forma para obtener dinero.

La nueva tendencia es utilizar el teléfono de su víctima, cuando esta no lo usa (generalmente de noche) para enviar SMS a números de tarificación adicional, mostrar publicidad invasiva o usar la conexión de datos para ir pulsando sobre anuncios en webs que van pagando a sus autores por el tráfico recibido.

Los autores de virus para móviles han logrado sofisticar hasta tal punto sus técnicas que consiguen incluso bloquear y silenciar el teléfono para que el dueño del terminal no perciba que envía los mensajes. “Apuran el límite que ponen las operadoras para llegar a advertir al usuario de que está usando números de tarificación adicional. Y sortean los filtros. Ya no llaman un montón de veces seguidas, sino que espacian las llamadas, las hacen de menos minutos que los 30 que están permitidos. Cuando llegan a los 35 euros paran y como por esa cantidad nadie se molesta en ir a un abogado para poner una denuncia, pues no se actúa contra ellos”, explica Sergio de los Santos, jefe de laboratorio de Eleven Paths, compañía vinculada a Telefónica, y uno de los principales expertos en malware móvil en España.

VIRUS DESDE LA FABRICA Algunas veces los autores de virus han logrado instalar sus creaciones en el mismo software original del teléfono. Fue el caso de un troyano llamado Death Ring (la llamada de la muerte), que se descubrió las pasadas Navidades en Africa y Asia. El virus no se activaba hasta que el usuario había apagado y encendido al menos cinco veces el teléfono, según la compañía Lookout.

El riesgo, además, se extiende no solo a los teléfonos móviles individuales sino a las redes corporativas de las empresas, porque, alerta Lookout, son muchos los trabajadores que acceden a las redes corporativas a través de sus terminales personales, que no suelen pasar por los informáticos corporativos. Contra esta práctica advierte el Centro Criptológico Nacional (CCN-CERT) en su informe de tendencias en ciberamenazas para el 2015.

“Es un riesgo añadido para la empresa porque a un usuario que usa su móvil para acceder a archivos internos no le puedes controlar lo que instala en su propio terminal”, advierte también Manel Medina, coautor del libro Cibercrimen y vicepresidente del Antiphishing Working Group, que reunirá esta semana en Barcelona a los principales expertos internacionales sobre seguridad.

Esta noticia pertenece a la edición en papel de Diario Córdoba.

USO DE LOS DATOS DE USUARIOS EN REDES SOCIALES

face1Después de tantas semanas escribiendo artículos de corte técnico para hacer esto o lo otro, ahora toca un poco de actualidad, y en estas semanas ha habido un tema de actualidad relacionado con las redes sociales.

Hace pocas fechas la práctica totalidad de los medios de comunicación del mundo se han hecho eco de una noticia sobre el uso que Facebook ha realizado de los datos de los usuarios, concretamente de cerca de 700.000 usuarios de la famosa red social, primera en número de usuarios del mundo.

Según los medios, el objetivo era utilizar a los usuarios de Facebook con el fin de comprobar cómo influyen los contenidos de la red social sobre las emociones. El estudio se llevó a cabo a primeros de 2012 y lo realizaron un grupo de investigadores, con el consentimiento y ayuda de Facebook.

face2

A través de un algoritmo, los científicos utilizaban palabras con connotaciones positivas o negativas y así poder estudiar el impacto en sus emociones. Posteriormente dicho estudio se ha publicado en una famosa revista de Ciencias de EEUU, en el pasado Junio y esto ha provocado un mar de opiniones, algunas de ellas sorprendentes en los usuarios.

disgusto

Facebook ha reconocido el estudio y su implicación y lo ha justificado diciendo “La razón por la que llevamos a cabo esta investigación es porque nos importan el impacto emocional de Facebook y la gente que utiliza nuestro producto”.

Por otro lado los investigadores participantes en el estudio han manifestado, “Los estados emocionales son comunicativos y pueden propagarse por contagio, lo que lleva a otros a sentir las mismas emociones sin ser conscientes”, escriben los autores de esta investigación. Según ellos, “Estos resultados muestran la realidad del contagio emocional de masas a través de redes sociales”

Como decía, hay un mar de opiniones, la mayoría de ellas criticando a la empresa por utilizar los datos de los usuarios como conejillos de indias.

chica disgusto

Han aparecido incluso otros investigadores hablando de la idoneidad de haber realizado manipulación de los datos para realizar la prueba.

Bueno hasta aquí la información, ahora toca opinar sobre ello.

Nada extraño señores, nada extraño, ¿de qué nos creemos que viven empresas como facebook, google, twitter, etc.,?, pues viven casi exclusivamente de la publicidad basada en los datos, de ahí que guarden cantidades inmundas de información de los usuarios. Ya he tratado eso antes, en  los famosos contratos de uso que aceptamos, estamos implícitamente dando permiso a estas empresas a que hagan cosas como estas, y por cierto, en la misma información que de la noticia se dio  se han encargado de recordar este extremo a quien les ha amenazado o criticado con energía y, señores, llevan razón, tienen permiso para hacer esto y más, entonces, ¿Quién tiene la culpa de que se hagan este tipo de uso de nuestros datos?, pues en mi opinión, nosotros, nosotros somos los únicos culpables, algunas personas utilizan las redes sociales para publicar su vida, lo que hacen, cuando lo hacen, con quien lo hacen, por supuesto nos informan de cuando están tristes, cuando están contentas o contentos, en resumen, su estado de ánimo y eso en mi opinión es un error.

sociales

Puedo estar equivocado, por supuesto que sí, pero como creo que un blog también sirve para mostrar cómo es cada uno,  y creo que dentro de lo que entendemos por seguridad informática debemos de incluir nuestros hábitos en el uso de las redes sociales.

Se deben de tener buenas políticas de privacidad y no compartir información con amigos de amigos, es más, la mayoría sólo queremos que nuestros abanico de contactos crezca y crezca y no tenemos en cuenta el peligro que esto supone ante determinados comportamientos.

buenas

 Algunas de las cosas que nunca deberíamos publicar en una red social son:

subirNo subir fotografías ó subir las menos posibles, sobre todo si son comprometedoras o si alguno de los que aparecen en ellas no les gusta la idea de estar en una red social y aún mucho menos si son niños los que aparecen en ellas.

Fechas de Nacimiento, ya que si quererlo estás haciendo público un datos fundamental para los ladrones de identidades.

Estado Civil: A un acosador le encantaría saber si la persona que le interesa tiene un estado social u otro.

Indicar su situación de vivienda actual: Cosas como vivo sólo en casa, o me marcho de tal  a cual fecha, o salgo a esta hora y regreso a esta otra puede poner en alerta a los ladrones.

Tener activada la situación Actual: Por la misma razón del punto anterior, pone alerta a los ladrones.

situacion

Por otro lado debemos de tener en cuenta que todo lo que subimos, aficiones, fotografías, texto, etc., tiene un dueño compartido, que es la empresa y esta puede perfectamente hacer cosas como lo que ha hecho el mes pasado.

En resumen, debes de pensar que las redes sociales son un reflejo de la vida diaria, muchos las utilizan para publicar los hechos más relevantes de sus vidas. Aunque puedas pensar que con esa información sólo darás envidia sana a tus amigos y conocidos, hay gente que la usa para sacarle partido en beneficio propio.

raton

En fin amigos que lo publicado en el estudio es absolutamente lógico, que la empresa lo puede hacer, ya que tiene el permiso nuestro para poder hacerlo y que somos entonces nosotros los que debemos de tener cuidado con la información que difundimos en las redes sociales. Hasta la próxima. Paco Nadador.