En el ámbito de la seguridad informática, la Ingeniería Social se considera la práctica de obtener información privilegiada (contraseñas, cuentas bancarias, datos confidenciales…) de ciertas personas mediante engaños telefónicos o a través de Internet haciéndose pasar por personas o empresas que no son. Un ejemplo es que te llega un email de una dirección electrónica de Hotmail diciéndote que son la Dirección de Hotmail y que si no activas tu cuenta en el siguiente formulario te la borrarán porque Hotmail tiene muchísimas cuentas inactivas (todo ésto más detallado claro). Introduces tu email y contraseña en un bonito formulario y cuando le das a enviar tus datos llegan a un usuario que se ha aprovechado de la llamada ingeniería social, es decir, de tu confianza. Una de las prácticas más extendidas es el Phishing.

Según Kevin Mitnick, uno de los hackers y phreakers más conocidos de EEUU (en su historia está basada la película Hackers 2), existen 4 principios básicos en la Ingeniería Social que son comunes a todas las personas (o en su gran mayoría).

1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.

Mitnick considera que el factor determinante de la seguridad de las redes no son las técnicas de hardware y software que se pueden implementar en ellas sino la capacidad de los usuarios de interpretar correctamente las políticas de seguridad y hacerlas cumplir.

Es algo en lo que estoy totalmente de acuerdo y que, en el caso de obtener información ilegalmente de ordenadores, he descubierto por mí mismo a lo largo de 5 o 6 años en Internet. Da igual que le instales a alguien un antivirus, un cortafuegos, un antispyware, un antinosequé, etc, etc… el caso es que el usuario facilitará la información que buscan rellenando un simple formulario adornado al estilo de alguna compañía o reenviando un email con información confidencial; sin necesidad de software maligno destinado a obtener información confidencial ilegalmente.

En resumen, intenta no cumplir los 4 principios básicos de la Ingeniería Social para que no te timen por Internet ni por teléfono

Compártelo!

Es una nueva medida de seguridad que Google ha implementado en su servicio de correo electrónico, Gmail, para prevenir el robo de cookies de inicio de sesión, de modo que alguien pueda hacerse con tu cuenta de Gmail.

La demostración de cómo alguien puede robarte tu cuenta de Gmail la podemos ver en el siguiente vídeo:

Para estar seguro ante ataques como el del vídeo, debemos activar la opción “Usar siempre https” de Gmail. Para ello hacemos lo siguiente:

1. Entras en tu cuenta de Gmail.
2. Pinchas en Configuración (arriba a la derecha).
3. Vas hasta el final de la página y encontrarás una opción llamada “Conexión del navegador:”, ahí marcas la casilla “Usar siempre https”.
4. Guardas los cambios y recargas Gmail.

Ahora cuando entres en Gmail no será seguido de http:// sino de https://.

Kriptópolis tiene una más que probable teoría sobre porqué Google, acostumbrado a poner opciones por defecto en virtud de los usuarios, no ha configurado por defecto dicha opción. Lo que puede deberse a que hacer más seguras las conexiones de Gmail pueda generar una carga mayor de los servidores de Gmail y que, por tanto, Google prefiera tener varias cuentas inseguras antes que sobrecargar demasiado sus servidores.

Vídeo: Surf Jack - HTTPS will not save you | Vía: SpamLoco | Más info: Kriptópolis

Compártelo!

Cuando salió la nueva versión de WordPress, la 2.5, se detectaron los primeros problemas con los feeds y con la modificación de la hora de los posts. Más tarde también se detectó un problema a la hora de centrar imágenes con el rol de autor (no con el de administrador ni el resto). También supimos que se ha incrementado el numero de inyección de enlaces spam en los blogs con versiones inferiores a la 2.5 y consecuentemente Technorati no indexa a blogs con versiones inferiores a la 2.5; además Google penaliza esos blogs con una bajada a cero del PageRank.

El fallo de seguridad que ahora hace más inseguro los blogs con la nueva versión consiste en dejar por defecto el valor de la clave secreta (variable SECRET_KEY del archivo wp-config.php) tras una instalación.

Busca esa variable y pon caracteres aleatorios para evitar así que alguien tenga acceso como administrador del blog a través de una cookie falsa. Si no tienes la variable SECRET_KEY tendrás que crearla y ya podrás ponerle los caracteres aleatorios.

Vía: Agamum | Fuente: Xiam

Compártelo!

Firefox ha sido actualizado a la versión 2.0.0.12, la cual corrige 10 vulnerabilidades (3 de ellas críticas).

Así que si aún no te ha aparecido el mensaje de actualización puedes hacerlo manualmente. Descargar Firefox 2.0.0.12 para Windows | Linux | Mac

Aprovecho para deciros que Safari se ha actualizado a la versión 3.1 y ahora está a la última respecto a estándares web.

Vía - Kriptópolis

Compártelo!

El popular blog de software Genbeta, perteneciente a Weblogs S.L. (red de blogs líder en España) ha sido atacado por los responsables de sitios fraudulentos al estilo de quienteadmite.com y similares.

Actualmente Genbeta está caído y ha sufrido estos días interrupciones y lentitud a causa del continuo ataque DDOS (ataque distribuido de denegación de servicio) y ¿el por qué del ataque? Publicaron una entrada donde se aconsejaba no introducir el email y contraseña en sitios que aseguraban mostrarte quién no te tenía admitido (al igual que yo he hecho varias ocasiones aquí). Esa entrada se posicionó muy bien en Google y los responsable de algunos de los sitios citados en el post de Genbeta les amenazaron con atacarles sino eliminaban el post… al estilo SGAE… cuatro mataos con el cutre-negocio del siglo amenazando… total que al final lo han logrado caer. Weblogs SL está restaurando todo y cuando lo haga pensarán en acciones legales.

• Explicación en la entrada oficial.
• Enlace a la entrada que provocó el ataque (Caché de Google).
• Vía - Nativos2020

Compártelo!