26 nov 2021

OSINT shopping! O cómo hacer tus compras online más seguras (y quizás, más baratas)



Buenas!

A raíz de escuchar bastantes casos de gente cercana que han sido estafados a través de sitios web en sus compras online, he decidido hacer una publicación explicando algunas de las medidas que tomo yo personalmente antes de hacer mis compras en cualquier sitio web.

Lo primerísimo, no solo vamos a hablar de evitar estafas, sino de reconocer mejor las webs que indican unos plazos de entrega que no van a poder cumplir o que sea muy probable que su servicio postventa sea catastrófico.

Puntos obligatorios a verificar:

  • Revisar que el sitio web cuente con un certificado SSL válido.
  • Si el sitio web contiene productos con precios escandalosamente bajos, es muy probable que sea un estafa.
  • Haz una búsqueda similar a la siguiente "opiniones nombretienda", "estafa nombretienda" en Google.
  • Revisar que tenga páginas legales para saber quién o qué está detrás del sitio web, donde, normalmente no solo aparecerá la denominación social, sino también el CIF de la empresa. Si no aparecen, mal rollito.
  • Realizar una búsqueda en Google con dicho CIF o denominación social en busca de otros portales webs similares, opiniones, denuncias, etc.
  • Revisar la página de envíos y leerla a conciencia, para tener claro el plazo en el que llegará el producto solicitado.
  • Si es una web conocida, verifica que la URL de la web sea la real. Ejemplo: Mediamarkt - Mediamarrkt.
  • Evitar realizar compras y el acceso a webs a través de enlaces que no sean de una búsqueda propia. Ejemplo: Recibimos una notificación a través de una web de que podemos conseguir un IphoneLynx 13 por 200€.
  • Utilizar tarjetas de prepago o Paypal para las compras online.
  • Comprar en sitios web de confianza, todos conocemos cuales son las principales tiendas online donde no tendremos casi ningún problema.
  • Revisar las fotos, la marca de agua y la calidad de las mismas. En caso de tener marca de agua de otra empresa, es un indicador claro de que está utilizando imágenes de terceros.

Por último, si a pesar de cumplir todos estos puntos, quieres saber si los productos pueden provenir de un tercero, puedes realizar una búsqueda en Google Imágenes con la imagen utilizada en uno o varios productos, para encontrar la procedencia de dicha foto (de esta forma a veces se consiguen precios aún más bajos 😄)


Cualquier sitio web está obligado a proporcionar o a mostrar en una tienda online a cualquier usuario, lo siguiente:

  • Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
  • La identidad del empresario, incluidos los datos correspondientes a la razón social, el nombre comercial, su dirección completa y su número de teléfono y, en su caso, del empresario por cuya cuenta actúe.
  • El precio total, incluidos todos los impuestos y tasas. Si por la naturaleza de los bienes o servicios, el precio no puede calcularse razonablemente de antemano o está sujeto a la elaboración de un presupuesto, la forma en que se determina el precio así como todos los gastos adicionales de transporte, entrega o postales o, si dichos gastos no pueden ser calculados razonablemente de antemano, el hecho de que puede ser necesario abonar dichos gastos adicionales.
  • Los procedimientos de pago, entrega y ejecución, la fecha en que el empresario se compromete a entregar los bienes o a ejecutar la prestación del servicio.
  • El procedimiento para atender las reclamaciones de los consumidores y usuarios, así como, en su caso, la información sobre el sistema extrajudicial de resolución de conflictos prevista en el artículo 21.4.
  • Los empresarios no podrán facturar a los consumidores y usuarios, por el uso de determinados medios de pago, cargos que superen el coste soportado por el empresario por el uso de tales medios
  • El consumidor y usuario dispondrá de un plazo mínimo de catorce días naturales para ejercer el derecho de desistimiento.

Podéis revisar toda esta información y mucha más en el Boletín Oficial del Estado (Disposición 3329 del BOE núm. 76 de 2014)

Por último, si ya has sido estafado y, contactando con la empresa no has podido resolver el problema, debes de comunicarte con las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia.

Ahora, vamos con unos TIPS para conseguir productos más baratos y saber si realmente es un chollo:

  • Búsqueda de producto por imagen en Google Imágenes para evitar intermediarios.
  • Uso de plataformas como Chollometro para encontrar ofertas.
  • Comprar el producto en China. Será más barato, pero tardará más y tendrá un servicio post-venta más complicado.
  • Uso de la web camelcamelcamel o la extension keepa para ver el histórico de precios de un producto de Amazon.
  • Realizar búsquedas en internet con la referencia del producto y revisar tanto la sección de shopping, como la búsqueda global. Ejemplo: UE55AU7175UXXC (Revisar todos los puntos  de seguridad expuestos anteriormente)
  • Acceder a Amazon reacondicionados y probar suerte! (Revisar siempre el estado del producto)
    Además, en blackfriday hay un 20% de descuento extra en productos reacondicionados.

  • Revisar las opiniones de los usuarios que han comprado el producto, puede que provenga de un vendedor externo y no ofrezca la seguridad que debería.
  • Revisar el precio del producto en Amazon Alemania y Amazon Italia, suelen realizar envíos a España y pueden tener un precio inferior.
  • Tener cuidado con los productos cuyas valoraciones son una C, dado que, muy probablemente, dichas valoraciones hayan sido "compradas" por el vendedor.


Un saludo y felices compras en este Black Friday! :D

en No hay comentarios:
Etiquetas: , , , ,

25 nov 2021

RootedCON Llega a Málaga cargada de historias, de nostalgia y de conocimiento

Saltó la sorpresa hace unos meses. RootedCON desembarcaba en Málaga. Después de todos estos meses de pandemia y de eventos virtuales, todos tenemos ganas de volver a los eventos físicos, la posibilidad de volver a vernos y de sentir emociones que, en muchas ocasiones, es difícil sentir detrás de la pantalla. La vida es más, simplemente con poder darnos la mano. 

En esta primera aventura de RootedCON en Málaga, la gente de Rooted plantea ponentes con charlas potentes, una gran organización y los famosos Rooted Labs. Quiero aprovechar este post para agradecer a la gente de RootedCON la oportunidad de poder asistir a una nueva Rooted, la primera en Málaga. Después de hacer charlas y labs en las Rooted de Madrid y Valencia, podré disfrutar del clima, la cultura y la gente de Málaga. 

La agenda está siendo publicada poco a poco y viendo cada ponente, las charlas serán de mucho interés. Buenos amigos dando charlas en la primera Rooted en Málaga y seguro que seguirán llegando las sorpresas. 

He tenido la suerte de dar alguna que otra charla en Rooted Madrid y Valencia, así como 8 años de lab en Madrid y 6 años en Valencia. Este año, si todo va bien, toca llevar un taller sobre Ethical Hacking (muy práctico y con alguna sorpresa) a Málaga. Aquí llega el momento publicidad ^^. El taller tiene una duración de 8 horas (intensas y prácticas).  Pasaremos el rato aprendiendo sobre enumeración, explotación de vulnerabilidades, técnicas de movimiento lateral, pivoting, escalada de privilegios, etcétera. Todo para que te formes en el hacking ético, pentesting y técnicas utilizadas en momento del Red Team. La fecha de impartición es el viernes 10 de diciembre. Os dejo los lab de este año


Por encima de todo, hay ganas de Rooted, hay ganas de volver a disfrutar del trato persona a persona. De disfrutar impartiendo un Lab. La vida nos ha cambiado mucho en el último año y medio - dos años. Es el momento de volver a disfrutar, de aprender, de hacer networking y de hacer que esta pasión que tenemos dentro por la ciberseguridad vea la luz, de nuevo. 

Es el momento de ver a amigos, de contar batallitas, de ver cómo le ha ido a la gente, será un evento especial, no cabe duda. Será un evento dónde lo importante serán y son las personas. Por todas estas cosas, y más, hay ganas de Rooted, hay ganas de sentir el cosquilleo antes de empezar, de volver a sentir que tienes que dar más de ti, que te falta tiempo para preparar la última demo, la última explicación, que saldrás con la PPT casi terminada... Sin duda, todas estas cosas se han echado de menos. Volveremos. Volvimos. 

Sin duda, espero poder disfrutar de todo esto, una vez más. Siempre pienso en que estos eventos, siempre pueden ser el último, y volver a tener la oportunidad de compartir con la gente esto me llena de orgullo. Por una vez más. Otra vez más. Otra RootedCON. La primera de muchas en Málaga. 
en No hay comentarios:
Etiquetas: , ,

15 nov 2021

¿Cuánto le cuesta un leak o una brecha de datos a la empresa?

Buenas! 

Hoy os traigo una breve explicación sobre lo que podemos perder cuando nuestra organización tiene una brecha de datos.

Imagen del leak de Twitch
Captura de pantalla del leak de datos de Twitch en 4Chan


Muchas empresas se preguntan, bueno, sí, me pueden "hackear", pueden conseguir todos los datos, pero... ¿yo qué pierdo? 😕

Lo primero que hay que explicar es que, una brecha de datos, deja al descubierto que la seguridad de tu empresa (completa) está en peligro. Estos "leaks" son pruebas, básicamente, de que la seguridad que estás empleando en tu infraestructura, software, etc, no es la adecuada.

¿Vas a criticar tú a Twitch? Pues sí, hay que hacerlo, puesto que, por cosas como esta, quedan al descubierto millones de datos de usuarios finales.

Bueno, a lo que veníamos... ¿Qué pierdes?
  • Pérdida de confianza y reputación
    • Cada día produce más miedo el saber que un grupo u organización criminal posee tus datos, ya que, con ellos, puede comprometer tu economía y bienestar. (Recordemos que estos datos son vendidos o cedidos a otras entidades para ser explotadas, en forma de SPAM, campañas de phising, robos, etc)
    • Dejas al descubierto que tu organización no tiene una buena seguridad.
    • Pueden volver a hacerlo siempre que quieran, recuerda que, ¡no sabes cómo lo han hecho y van a intentar dejar las menores pistas posibles!
    • Los datos extraídos de los leaks son utilizados para atacar a los usuarios en otras plataformas.
  • Pérdidas económicas directas
    • Caídas en el servicio que ofreces.
    • Coste de reestablecer el servicio.
    • Posibles indemnizaciones por denuncias de usuarios.
    • Pérdidas económicas derivadas de que los usuarios ya no realizan trámites a través de tu plataforma. (Publicidad, suscripciones 😅..)
  • Pérdidas económicas indirectas.
    • Búsqueda e investigación para determinar el o los fallos que han propiciado el leak.
    • Tiempo invertido para reestablecer los servicios + el tiempo invertido para buscar y subsanar la brecha de seguridad (en caso de que la encuentres).
Estas pérdidas económicas, según el Informe del Coste de una Vulneración de datos de 2021 de IBM Security son, de media, de 3.56M de euros. Además, este importe está aumentado al ritmo de +10% anual, por lo que se estima que en 2022 sea de 3.92M de euros de media.

Datitos interesantes:
  • En las brechas de seguridad en empresas donde se realizaba teletrabajo o trabajo remoto se ha perdido 923.000€ más de media.
  • El sector con mayor coste en materia de brecha de datos es el de Servicios Sanitarios.
  • El 20% de brechas de datos ha sido propiciada por credenciales comprometidas.
  • El número de días de media que ha costado encontrar la vulnerabilidad ha sido 287 días.
En conclusión, las empresas que han ofrecido trabajo en remoto deben tenerlo en cuenta en su plan de ciberseguridad. Las que no, deben tener en cuenta que el presupuesto invertido en ciberseguridad sea el adecuado y se estén llevando las medidas pertinentes para evitar este tipo de brechas de seguridad, en especial, en materia de credenciales.

Recordad, la ciberseguridad no es algo que sea bueno tener, es una necesidad en cualquier compañía. 

Os dejo el enlace al informe, por si queréis examinarlo vosotros mismos!

¡Un saludo!


en No hay comentarios:
Etiquetas: , , , ,

10 nov 2021

CISSP: Cheatsheets y otros recursos (vol 4)

¡Buenas!

Siguiendo la línea de los anteriores artículos de esta serie (vol 1, vol 2 y vol3), hoy queremos enseñaros algunos recursos para preparar el CISSP que hemos encontrado recientemente.

En primer lugar queremos hablar de Sunflower-CISSP, un sitio web con material para preparar el CISSP. Concretamente cuenta con un resumen por cada uno de los dominios de CISSP en formato PDF, un glosario de términos y una herramienta (randomizator) que muestra los términos del glosario de manera aleatoria.

Por otra parte, muchas de las experiencias que se comparten a través de grupos de Telegram o en Reddit hablan de la complejidad del examen de certificación y de la gran cantidad de tiempo invertido en prepararla. Por ello, el siguiente vídeo de la instructora Kelly Handerhan tiene una componente motivacional para afrontar la certificación y proporciona una serie de recomendaciones por cada uno de los dominios que componen la certificación:


Igualmente, Kelly Handerhan cuenta con un curso de preparación de CISSP que contiene un módulo con vídeos explicativos por cada uno de los dominios de la certificación.

Otro recurso interesante, son las playlists dedicadas al CISSP en el canal de YouTube de Destination Certification, siendo la más interesante de ellas CISSP MindMaps / Domain Review.

Por último, el instructor Mohamed Atef cuenta con un curso básico gratuito de preparación de CISSP que, además, ha sido publicado en en canal de freeCodeCamp.org.

¡Esperamos que estos recursos os resulten de utilidad!

¡¡Saludos y hasta el próximo post!!

en No hay comentarios:
Etiquetas: , ,

3 nov 2021

Hackers en el cine, y en España para cuando... Petición abierta

Buenas a todos/as, hoy vengo a hablar sobre cine y hackers, con una pregunta, ¿para cuándo en nuestro país nuestra serie o película sobre hackers españoles? Desde luego no nos faltan personas y recursos patrios.

No se a vosotros, pero después de terminar de ver Mr. Robot me quedé con ganas de más. Yo creo que es la serie con más referencias a herramientas de hacking, sí que es verdad que al final (tranquilidad, NO alerta spolier) la serie quedaba un poco desdibujada, en mi opinión, sobre lo que hay en la cabeza de Elliot, y sacaba otros temas más profundos que por otro lado a mí personalmente me flipan, más allá de las conspiraciones, ataques, potenciales distopias o sucesos que podrían darse, etc. Bueno vale me contengo que al final lo acabo destripando un poco.

Vale vale Elliot ya paro

Hablemos de producciones cinematográficas sobre hackers/hacking en España, desde luego tendríamos material con las personalidades que tenemos en nuestro país. Potencial no nos falta.

Hace seis años, Yago Jesús (@YJesus) escribió una carta abierta a Nacho Vigalondo (no se si él mismo se lo sigue planteando..), con toda humildad y con su permiso, quiero recoger el guante o rescatarlo.

En este artículo, Yago proponía a Nacho Vigalondo para nuestra gran producción en España sobre hacking (te comprendo, después de los fiascos que hemos visto hasta que llegó Mr. Robot al cine de Hollywood).

En su petición, pedía que fuera un retrato FIEL sobre el mundo de la ciberseguridad. Tampoco soy quién para decir cómo debe hacerse, pero si me gustaría decir, lo que como espectador (e informático) me gustaría ver. En mi opinión, muchos de los personajes que se han visto en el cine o series de hackers (me remito sobre todo a Mr. Robot), son tipos atormentados, antisociales y por otra parte, genios de los ordenadores.

Aparte de Elliot, tenemos a Lisbeth Salander, que llegó primero a la literatura. Un personaje marcado por un pasado violento y lleno de abusos, con el que el autor también quiso reivindicar y condenar a esos hombres que no amaban a las mujeres. Puede sonar tibio, ¿verdad?. Cualquiera diría los hombres que odiaban a las mujeres.


 En fin, quiero decir que por una vez, se podría retratar a los "hackers" de una forma más positiva, vale que pueden estar mucho tiempo estudiando y trabajando, y echando muchísimas horas delante del ordenador, pero todos y todas los/as que conozco, son súper abiertos/as, amigables, sociales y por supuesto unos genios, con unas ganas de enseñar y con una curiosidad, fuera de lo común.

Dedico esta carta abierta y propongo para nuestra producción sobre hackers patrios, a Montxo Armendáriz(@montxoarmendari). Quizás algunos no entiendan esta propuesta, pero es que Montxo se dedicaba a la tecnología antes del cine, aunque no a la informática, pero si a la electrónica, y sé a ciencia cierta que el tema de la seguridad informática le interesa mucho. Es un director con mucha experiencia y siempre ha tratado temas comprometidos. Desde mi punto de vista tiene películas icónicas en el cine español, así que le dedico también este post. A modo de petición, ¿Porqué no hablar del grupo de la9deanon, dónde quieran que estén estas chicas? (En realidad hace poco concedieron una entrevista ) Me parece que unir lo que significan o de donde vienen con ese nombre, y el tema de hacking, es un temazo. Desde luego en este país no te va a faltar un buen asesoramiento ;). Bueno pues, soñar y proponer es gratis, ¿no?

¡Saludos!

en 2 comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)