Seguridad ‘a pesar de’ o el cifrado que no es cifrado

A partir de esta semana y durante varios meses hablaremos mucho sobre la Digital Services Act, la gran normativa para la actividad de internet en Europa. Pero que no se nos pase que el Consejo de la UE acaba de fijar su postura en torno al cifrado extremo a extremo (E2EE).

Lo hace con un nuevo concepto que levanta alarmas en muchos: Seguridad a pesar del cifrado. Expertos en Derecho, tecnología y políticas públicas han alertado sobre el riesgo de debilitar el cifrado pidiendo puertas traseras. Después de aquel fiasco con Google en China, el caso FBI/Apple ha sentado precedente y el cifrado se ha reconocido como garantía de los derechos de la persona, incluso por instituciones europeas.

Pero desde hace unos meses, algunos borradores empezaron a mencionar este nuevo concepto como algo necesario contra atentados terroristas y la lucha contra el abuso infantil. El problema con un cifrado con puertas traseras es que no tenemos garantías de que se pueda usar sólo contra los malos. No podemos hacer tecnología selectiva.

De todo esto hablo en este reportaje que escribí para Newtral: Seguridad a pesar del cifrado: el riesgo de las puertas traseras en la UE

7 apps de seguridad para tu smartphone

Pensando en que hoy se celebra internacionalmente el Día de la Seguridad de la Información, no es mal momento para revisar el modo en que protegemos tanto nuestros dispositivos como los datos, ficheros, documentos, email, claves y contraseñas, que cada vez son más, sobre todo en la nube. De a poco hemos ido logrando manejar más servicios en dispositivos móviles y sobre todo a través de nuestros smartphones, que nos acompañan prácticamente las 24h, y por eso recomendamos hoy algunas aplicaciones relacionadas con la seguridad que pueden utilizarse en smartphones.

Consejos-Seguridad

Find my iPhone (iOS)

Si usas varios dispositivos de Apple, conocerás la aplicación que tienen para tener localizado no sólo tu móvil sino también tus ordenadores o iPad: Find my iPhone y varias de sus historias de éxito. Esta app sólo se deja instalada con tu login de Apple ID. En cualquier momento podrás rastrear desde uno de tus dispositivos el resto, y luego hacer que ejecuten un sonido, muestren un mensaje, o bloquearlos o borrar todos sus datos remotamente. Si el dispositivo tiene instalado iOS 6, Find my iPhone incluye el Lost Mode que significa que puedes mostrar tu número de teléfono de contacto en la pantalla de desbloqueo. Para que funcione, Find My iPhone debe estar habilitado en la configuración de iCloud.

Prey (iOS, Android)

Para el resto de sistemas operativos existe un programa similar a Find My iPhone del que ya hemos hablado en Bitelia y este es Prey. Además es de código abierto y gratuito. Tiene más opciones, entre las que se incluyen el tomar fotos con la webcam de tu laptop en remoto para saber quién la está usando y tomar capturas de tu escritorio para ver qué está haciendo quien la usa, autoconexión wifi con la que Prey intentará conectarse a la primera red abierta que encuentre.

Lookout (Android)

Una de las apps de seguridad más descargadas para teléfonos y tabletas con Android es Lookout. Es unasuite de seguridad completa que te protege contra virus, pérdidas o robos. La aplicación es gratuita pero para una protección completa hay que pagar una suscripción de $ 2,99 al mes.

Detecta y elimina virus y spyware que se escondan en apps, archivos adjuntos de los emails u otros archivos del móvil, y bloquea URLs que puedan ser peligrosas. En caso de pérdida o robo, localiza tu móvil en un mapa de Google con sólo abrir la aplicación. Desde allí te permite emitir una alarma para encontrarlo, bloquearlo o borrar tus datos en remoto. A su vez cuenta con una opción para hacer backup de tus contactos, fotos e historial de llamadas.

Google Authenticator (iOS, Android, BlackBerry)

Muchos de los hackeos a cuentas varias provienen de que alguien logra entrar a nuestro email y a partir de ahí se hace con todas las contraseñas pidiéndolas a diferentes servicios que usemos, por eso es recomendable tener habilitada la doble verificación, una doble barrera de seguridad en la cuenta de email que más usemos. En este aspecto, Google ha sido uno de los primeros en incorporar opcionalmente a Gmail un servicio que además de tu contraseña te pide un token generado por tu móvil, Google Authenticator. Disponible para iOS, Android y BlackBerry.

Silent Bodyguard (iOS, BlackBerry)

Silent Bodyguard es un verdadero botón de pánico en tu móvil, para ayudarte cuando te sientas en peligro. Por medio de esta aplicación podrás enviar mails preconfigurados a ciertos contactos pidiendo ayuda, mensajes de texto o en Twitter y Facebook con tu localización vía GPS cada 60 segundos sin que tu atacante o quienes estén cerca tuyo se den cuenta. Con sólo abrir la app y pulsando un botón, se activa la alerta SOS.

Kryptos (iOS, Android)

Si quieres cifrar completamente tus comunicaciones de voz, Kryptos es una buena opción, tanto para iPhonecomo para teléfonos con Android. Utiliza cifrado de grado militar de 256 bit AES para cifrar las comunicaciones antes de la transmisión usando RSA de 2048 bit para intercambio de claves. La conectividad que permite Kryptos permite el uso de VoIP para llamadas sobre 3G, 4G y wifi. Ambos usuarios deben descargar la aplicación para comunicarse, y crear una ID personal.

SplashID Safe (iPhone, Android)

Esta app es una verdadera caja fuerte digital, donde podemos guardar toda la información personal o sensible que nos interese tener cifrada. Tarjetas de crédito, PINs, inicios de sesión, configuración de correo electrónico, códigos de registros y toda esa información que normalmente tienes en la cabeza o en un documento desprotegido en tu ordenador o en una libreta de papel. Ofrece cifrado Blowfish de 256-bit, respaldo y sincronización automática con tu Mac o PC y un generador automático de contraseñas para hacerlas seguras e impenetrables. Cuesta 8,89 euros para iPhone y 7,71 euros para Android

http://bitelia.com/2012/11/apps-seguridad-para-smartphone

WordPress: 9 plugins de seguridad recomendados

WordPress es uno de los sistemas de gestión de contenido más usados actualmente por varias causas, entre ellas: su facilidad de uso, sus licencia, y probablemente la enorme comunidad de desarrolladores que tiene detrás. La popularidad de WordPress también trajo, desgraciadamente, muchos ataques por parte de quienes pretenden inyectar software malicioso en los sitios con este CMS.

Wordpress

Por suerte la comunidad sigue desarrollando plugins con soluciones para todos estos problemas y al montar un sitio o mantener el que ya tenemos viene bien revisar qué extensiones de seguridad podemos instalar para evitarnos situaciones desagradables imprevistas. El próximo viernes 30 de noviembre se celebra internacionalmente el Día de la Seguridad de la Información, y desde Bitelia adelantándonos trayendo una buena selección de los mejores plugins de seguridad para quienes tengan su sitio en WordPress.

  • Vaultpress: Automattic, la empresa creada por el fundador de WordPress, tiene uno de los mejores plugins de seguridad para esta plataforma. Vaultpress hace backups del contenidos en tiempo real, lo que hace muy simple restaurar el sitio (via FTP, SFTP o SSH) con sólo pulsar un botón. El precio para usuarios básicos es de 15 dólares por mes, y luego hay otras soluciones con más prioridades y opciones de soporte según las necesidades de cada uno.
  • WordPress Backup to Dropbox: Este es un plugin que permite guardar en Dropbox automáticamente una copia de todo el contenido de tu sitio entero, incluyendo todos los archivos y la base de datos. Puedes tener la tranquilidad de que tu sitio estará respaldado de forma periódica en un sitio al que puedes acceder desde cualquier lugar en caso que lo necesites.
  • Limit Login Attempts: Aunque tengamos una contraseña segura, muchos ataques de «fuerza bruta» se producen atendiendo a que WordPress por defecto permite ilimitados intentos de login. Limitándolos con este plugin los hacemos difíciles o casi imposibles. Podemos configurar varias cosas, como la cantidad de intentos permitidos, o si queremos que nos notifique vía email. También se puede poner algunas IPs en una lista blanca usando un filtro.
  • BulletProof Security: Esta extensión te ayuda a revisar las opciones de configuración tanto del blog como del hosting. Comprueba los permisos de las distintas carpetas y archivos de la instalación de WordPress y los compara con las configuraciones de seguridad recomendadas, mientras protege archivos vitales como el wp-config.php de WordPress o el php.ini gracias al .htaccess de Apache. Ofrece cobertura ante ataques XSS, RFI, CRLF, CSRF, Base64, inyecciones de código o de SQL.
  • Better WP Security: Un paquete que combina varias técnicas de seguridad en una sola extensión para WordPress. Esconde información relevante para un atacante, como la que se encuentra en los errores de páginas de login, cambia los prefijos predeterminados de bases de datos, agrega index.html a carpetas de plugins y oculta la versión de WordPress.
  • Wordfence Security:
    Una verdadera suite de seguridad profesional, que además es gratuita, aunque tiene una versión Pro de pago. Incluye un firewall, escaneo en búsqueda de virus, tráfico en tiempo real con geolocalización y muchas funciones más. Puede reparar tu núcleo, la plantilla y los archivos de los plugins, incluso si no tienes configurados backups. Es compatible con los multisitios. Es gratuito, y ofrecen una clave API Premium que te permite bloquear países y agendar escaneos para horas específicas.
  • BackWPup: Este plugin fue creado para hacer backup de todo tu blog de WordPress, y eso es lo que hace, y mucho mejor que otros. Guarda copias tanto de archivos como de la base de datos, y permite separar las tareas del backup, creando diferentes archivos más fáciles de manejar. Puede guardar en diferentes lugares: carpeta, email (si no es muy grande), FTP, Dropbox, SugarSync, Amazon S3, etc.
  • Ultimate Security Checker: Una extensión que te ayuda a identificar problemas de seguridad de la instalación de tu WordPress. Después de escanear tu blog te da una puntuación de seguridad basada en los tests que ha hecho, y te muestra los errores para que puedas arreglarlos o te ayuda a que los resuelvas automáticamente. Diseñado para que lo use tanto un ingeniero como alguien que recién empieza.
  • Akismet: Uno de los cazadores de spam más conocidos, desarrollado por Automattic. Akismet revisa todos los comentarios de tu blog y detecta los que son o parecen spam. Para usarlo, necesitarás una API key de Akismet, la cual es gratuita para blogs personales.

Foto: Nikolay Bachiyski

Este artículo fue publicado originalmente por mí en Bitelia.

Wikileaks

Wikileaks

Con Wikileaks y el caso de los documentos filtrados de la guerra de Afganistán estamos viviendo un momento transformador, no sólo en la historia del periodismo moderno, sino también en el debate sobre privacidad y transparencia, seguridad y control, en ámbitos empresariales, políticos y hasta círculos de la Casa Blanca y el Pentágono. Hasta ahora las filtraciones eran algo conocido que de vez en cuando ocasionaba debates internos en las redacciones, pero Julian Assange a bordo de su nave Wikileaks con la transparencia como bandera, ha quitado a los medios de en medio (nunca mejor dicho) y ha exclamado: aquí estamos para mostrar lo que tenga que ser revelado.

Esto es parte de un post mío que sale hoy publicado en ALT1040, lean el resto y si están o no de acuerdo, me encantará escuchar sus puntos de vista, allí o aquí.

Una aventura audaz

«Security is mostly a superstition. It does not exist in nature, nor do the children of men as a whole experience it. Avoiding danger is no safer in the long run than outright exposure. Life is either a daring adventure, or nothing.»

-Hellen Keller -via hellovagina

[La seguridad es mayoritariamente una superstición. No existe en la naturaleza, ni los hijos de los hombres en general la experimentan. Evitar el peligro no es más seguro a la larga que la exposición frontal. La vida es una ventura audaz, o nada]

Robo de identidad digital a Cvander

Christian van der Henst (@Cvander) ha sufrido el robo de sus dominios en GoDaddy y posteriormente el de otras cuentas suyas. Es algo particularmente grave porque están intentando suplantar su identidad en varios sitios sociales. Ayer tras el último intercambio de emails, -luego también accedieron a su cuenta de gmail- logramos saber que los ladrones cambiaron sus DNS y buscaron en sus emails para solicitar contraseñas en muchos servicios, por ejemplo Facebook.

Después de hablar con Paypal, Christian contactó con GoDaddy, donde sus cuentas estaban registradas hace años, pero ninguno lo ayudó. GoDaddy simplemente pasó del tema indicándole que busque un abogado para ir a hablar directamente con la ICANN.

Christian contó entonces en su Twitter (que sigue siendo suyo) lo que estaba pasando, y enseguida comenzó a generarse un movimiento de retweetings dirigidos a GoDaddyGuy para que hagan caso a su pedido.

En algún momento según Twitscoop, llegó a ser trending topic, pero la idea es que lo sea también en Twitter Search y por lo tanto GoDaddy se vea obligado a actuar, porque son quienes podrían solucionar el problema rápidamente. Se está utilizando el hashtag #MdW.

Christian van der Henst fundó hace casi 10 años Maestros del Web y Foros del Web, un foro de desarrollo que tiene muchos usuarios. En esos sitios hay (había?) mucho material de referencia organizado a lo largo de estos años, que en estos momentos se está intentando poner en un dominio temporal.

Podemos ayudar a Christian en estos momentos así:

Tuitear sobre el tema, darlo a conocer, usando el hashtag #MdW
Escribir a @GoDaddyGuy, en inglés si es posible, solicitando que devuelvan el dominio
Meneando aquí
Escribiendo un post en tu blog

Actualización

14.30: Christian manda por fax todos los papeles a GoDaddy
19.22: Christian recupera sus dominios al fin

Don’t click

Psicología inversa o harás lo que te digo que no hagas. Varios cayeron ayer en el clickjacking que se extendió como la pólvora en twitter, una broma molesta que no causa mayor daño, y que por cierto la gente de Twitter solucionó en el mismo día.

Antonio señalaba al ideólogo, @korben, quien ha sido contactado por algunos periodistas. «No soy el autor, el autor es alguien inspirado por mi artículo«, ha dicho.

Buen momento para preguntarnos si clickeamos cualquier enlace que vemos en nuestro timeline. Hasta ahora podíamos decir que era porque confiábamos en la persona que lo enviaba pero en casos de clickjacking no es así, porque al hacer click reenvía un tweet desde tu cuenta con el mismo enlace.

He estado buscando imágenes de alguno de mis followings que hubiera hecho click, pero sólo aparecen en el search, y ya no en el timeline, probablemente twitter (o ellos mismos) ya han borrado esos tweets.