6 jul. 2020

Tus contraseñas (aún más) seguras

Por el 6 jul. 2020 con 0 comentarios


¡Muy buenas! En este post comentaremos acerca de una característica interesante que poseen algunos gestores de contraseñas, muchos de ellos mencionados en varias oportunidades en nuestro blog. Para utilizar como ejemplo, nos centraremos en KeePassXC y en particular nos referimos a la posibilidad de doble factor que nos brinda la herramienta para acceder y descifrar la base de datos de secretos no sólo a través de una contraseña maestra, sino también agregando un archivo de descifrado llamado Key File. Es decir, que para poder acceder a nuestros datos protegidos será necesario presentar ambos recursos. Incluso se podría realizar dicho proceso únicamente con Key File, aunque esta es una práctica no recomendada.

En cuanto al procedimiento para activar el desbloqueo utilizando contraseña + Key File, es posible llevarlo a cabo tanto para una base de datos ya creada, como para una nueva.

En el caso de que ya contemos con una base de datos creada, basta con acceder a las opciones de la misma y, bajo la opción Key File, podremos generar un nuevo archivo con datos aleatorios o elegir uno existente. Podemos elegir, por ejemplo, una imagen o un archivo de texto.


Generamos un Key File o elegimos uno existente

Este método de doble factor, basado en algo que sabemos (la contraseña maestra) y algo que tenemos (el Key File), nos aporta una capa de seguridad extra y es muy útil en el caso de que guardemos copias de respaldo de nuestra base de datos de contraseñas (archivo con extensión .kdbx) en la nube, y el Key File en otro servicio cloud o en algún dispositivo externo, por ejemplo.


Accediendo con Key File

Finalmente, cabe aclarar que el archivo elegido como Key File debe mantenerse intacto sin modificaciones para no comprometer el acceso a nuestros datos. También es posible cambiar de archivo si así lo deseamos, para ello tenemos que repetir el proceso anteriormente explicado. Además, es muy recomendable crear copias de seguridad del Key File elegido, ya que en caso de perderlo, no podremos acceder a nuestras contraseñas guardadas, al igual que pasaría si perdemos nuestra contraseña maestra.

¿Qué les parece esta característica que nos ofrecen los gestores de contraseñas? 

Saludos!
Leer más
      editar

3 jul. 2020

Introducción al Cloud Computing con Azure. Parte 2: Levantando máquinas virtuales

Por Juan Antonio Calles el 3 jul. 2020 con 0 comentarios
Buenas a todos, en el post de hoy vamos a continuar con la cadena de Azure, aprendiendo a levantar nuestra primera máquina virtual en la nube.

Lo primero que haremos será acceder al menú de máquinas virtuales, el cual encontraremos en el menú inicial de la plataforma:


Una vez dentro, pulsaremos sobre el botón agregar, o sobre "crear maquina virtual":


A continuación comenzaremos la configuración de la máquina. Lo primero que haremos será seleccionar la región donde queremos levantar nuestra VM y el sistema operativo:



A continuación seleccionaremos las CPUs y memoria del entorno:


Posteriormente indicaremos el medio de autenticación:


Y seleccionaremos el tipo de disco. Dispondremos de HDD estándar y de SSD estándar y premium (con mejor rendimiento y recomendado para entornos con muchas operaciones de entrada/salida de datos):



El siguiente paso será seleccionar los puertos que abriremos en el firewall. Por defecto SSH para administración:


Y si todo ha ido bien, comenzará la generación de la máquina y nos indicará los costes correspondientes:




Tras crearse la máquina, podremos acceder desde el panel principal:


La máquina podremos arrancarla y pararla a nuestro criterio, e incluso podremos "salvar" la dirección IP asignada, aún teniéndola parada:



Así mismo, podremos gestionar la seguridad de la red, y agregar o eliminar reglas a nuestro criterio. En el caso de entornos críticos, sería recomendable limitar el acceso a la máquina únicamente desde vuestra dirección IP, y a los puertos mínimos necesarios:


En el menú "Conectar" podremos encontrar las diferentes posibilidades con las que acceder a la máquina. 



En nuestro caso, nos conectaremos por SSH a través de PuTTY:


Y si todo ha ido bien, nos conectaremos a nuestra nueva máquina virtual:


Como veis, en menos de 5 minutos tendremos una máquina levantada en Internet y lista para publicar los servicios que precisemos :)

¡Nos vemos en el próximo post sobre Azure!


Autor: Juan Antonio Calles (@jantonioCalles), CEO de Grupo @ZerolynxOficial. CSO de @OsaneConsulting. Doctor en Informática. Cofundador de @fluproject y @X1RedMasSegura. Impulsor del proyecto Open Mobility Security Project (OMSP). Microsoft MVP.

Para consultas a Juan Antonio puedes utilizar su Buzón Público



Leer más
      editar

2 jul. 2020

Tiempos de Covid-19: nuevas estafas vinculadas a Bitcoin (Parte 5)

Por el 2 jul. 2020 con 0 comentarios
¡Hola a todos!

!שלום לכולם

Hoy despido esta serie de artículos, que tratan sobre una nueva estafa vinculada a Bitcoin, con esta última parte.


Si te perdiste alguna de las partes anteriores, antes de continuar con la tercera entrega, puedes echarles un vistazo aquí 👇:
Tal como te comenté en el anterior artículo, esta estafa ha ido mutando a lo largo del tiempo, adoptando así diferentes nombres y formas: Bitcoin EraBitcoin EvolutionBitcoin RevolutionBitcoin ProfitBitcoin FutureBitcoin TraderBitcoin SystemCryptoBoomCryptoSoftThe Ethereum Code y Bitcoin Code.

No obstante, como complemento a las plataformas fraudulentas, también se emplean gran cantidad de dominios y portales genéricos que buscan dar credibilidad a la estafa. 

Portales empleados, para promocionar las distintas plataformas fraudulentas

Incluso, al buscar en Google cada uno de los términos referidos a las plataformas implicadas, se puede apreciar que dichas búsquedas están inundadas de anuncios que aparecen en las primeras posiciones, con el fin de generar así confianza respecto a la estafa. 

Anuncios promocionados en Google, al buscar cada uno de los términos

¿Quién va a dudar entonces sobre Steve Mckay? El joven y talentoso desarrollador que ha creado tal software. 

Steve Mckay, supuesto desarrollador de las milagrosas plataformas

Tal estafa no deja hueco a la imaginación y, en su ejecución, se puede ver como ha estudiado previamente hasta el último detalle. 

Sin embargo, paradójicamente, gracias a la imagen aportada sobre el supuesto Steve Mckay, ha sido posible identificar un interesante artículo alojado en la caché de Google. 

En abril de 2016, un artículo noruego hablaba ya de la aparición de lo que parece que fue un antecedente de este tipo de estafas: Binære opsjoner (opciones binarias) o método noruego

Artículo del noruego Av Maja *** *** ****

Según comenta el autor del artículo, en un primer momento, esta estafa presentaba el nombre de Binære opsjoner (opciones binarias). La estafa consistía en una especie de juego de azar que estaba vinculado a un software/plataforma; sin embargo, para poder participar en dicho juego de azar era necesario ingresar previamente 250€ en una cuenta creada. Al ingresar el dinero, la víctima lo perdía directamente.

En relación a las opciones binarias, hay dos artículos del diario digital The Times of Israel que profundizan en la cuestión y permiten entender bien todo el entramado que hubo detrás de ello: artículo 1 | artículo 2.

En línea con esto, hay que señalar que en julio de 2018 la Autoridad Europea de Valores y Mercados prohibió la comercialización, distribución y venta de opciones binarias en la UE. 

A fecha de septiembre de 2017, Av Maja *** *** **** actualizó su artículo y habló de la aparición de una misma estafa, esta vez bajo los nombres de Bitcoin Code, CopyTrader o Ethereum Code

En este punto, el autor del artículo también adjuntó el nombre del supuesto creador de tales plataformas; con ello, se comprueba que a lo largo del tiempo este ha ido cambiando. 

Steve Mckay fue previamente Steffen Madsen

Conclusiones

En síntesis, hay que dejar claro que tal estafa vinculada a la inversión en Bitcoin, responde a una red internacional bien articulada que cuenta con recursos y capacidad operativa suficiente, como para adaptarse a nuevos retos y a los requisitos necesarios para abordar campañas orientadas a distintos países.

A su vez, no hay duda de que la cuantía económica empleada en las campañas de publicidad, a través de las distintas redes sociales, así como por medio de las plataformas de anunciantes, redes de afiliados y buscadores, ha alcanzado cifras altamente elevadas, que puede que incluso lleguen a ser superiores a las 7 cifras.

Por otro lado, a día de hoy, Twitter únicamente ha suspendido un par de cuentas (@greatbusiness7 y @SydneyGreaves) de las 14 identificadas, por lo que parece evidente que la red social tiene problemas para detectar correctamente a aquellas cuentas que presentan una actividad anómala y/o sospechosa. 

Por último, hay que señalar que este tipo de estafas seguirá dándose, hasta que no haya un esfuerzo claro y decidido por parte de todas aquellas redes sociales y redes de anunciantes implicadas, en las que hasta a día de hoy, los anuncios relativos a la estafa operan libremente sin control alguno.  

Hasta entonces solo nos queda una única opción: compartir y dar a conocer al máximo este tipo de estafas. 

Si te ha gustado y/o quieres que haga más colaboraciones con FluProject, házmelo saber por MD en @IntelAri.

Hasta pronto 😉.

Leer más
      editar

1 jul. 2020

Desactivación de eventos de portapapeles en Firefox

Por el 1 jul. 2020 con 0 comentarios
Buenos días,

Hoy venimos con algo sencillito, pero que algunos usuarios de Firefox agradecerán.

Llegas a una web, te interesa, entras al registro, añades tu usuario y cuando toca rellenar la contraseña, como eres persona de bien, abres tu gestor de contraseñas y eliges una configuración segura, que a esto no te gana nadie. Copias y pegas en el primer campo de contraseña, copias y... ¡vaya! El campo de confirmación no te permite copiar la contraseña. 


El desarrollador, y seguramente con toda la buena intención del mundo, ha impedido que uses copiar y pegar, evitando así que que quien escriba a mano la contraseña replique un error introducido en la primera casilla al copiarlo a la segunda, y por tanto, evitando que el control pierda el sentido.

Pero es que como decíamos... nosotros nos curramos las contraseñas, y ahora nos tenemos que poner a escribir una contraseñ...

Copia amigo, copia...


En este momento pueden pasar dos cosas, que decidas usar una contraseña más amigable (y probablemente insegura), o que hagas lo siguiente:

1. Entras al peligroso mundo del about:config
2. Buscas el evento dom.event.clipboardevents.enabled
3. Haces switch de true a false.


Como comenta el autor original de esta idea, amigos desarrolladores... mejor impedid que se pueda copiar del primer campo, que también cumple con esta función y protegerá a los usuarios, sin necesidad de bloquear el pegar en el segundo campo complicándole la vida a los amantes de Keepass y similares.

¡Nos vemos!

Leer más
      editar

30 jun. 2020

Introducción al Cloud Computing con Azure. Parte 1: IaaS vs PaaS vs SaaS

Por Juan Antonio Calles el 30 jun. 2020 con 2 comentarios
Buenas a todos, en el post de hoy vamos a arrancar una nueva cadena en la que os hablaremos largo y tendido de la nube de Microsoft, Azure, con especial foco (a medida que vaya avanzando la cadena) en las medidas de seguridad integradas dentro de la popular plataforma de servicios.

Lo primero que deberemos entender bien antes de iniciarnos en el mundo Azure (o en el de cualquier otro proveedor de nube), son las diferencias entre SaaS, IaaS y PaaS.



Infraestructura como servicio (IaaS)

IaaS es la categoría más simple de los servicios de nube y se basa en que un proveedor de servicios facilite al usuario una infraestructura TI con determinadas automatizaciones, como la disposición de redes, el almacenamiento o la computación, lo que permite una gran flexibilidad para poder alquilar los recursos mínimos necesarios, sin tener que hacer una inversión elevada en máquinas, licencias y mantenimientos de un entorno On premise.

Plataforma como servicio (PaaS)

PaaS es un modelo avanzado de IaaS, en el que el proveedor de nube facilita además al usuario las herramientas y capacidades necesarias para poder implementar cualquier tipo de aplicación sin requerir una infraestructura. Facilita sistemas operativos, bases de datos, etc. que podrá levantar, modificar y apagar con unos pocos clics.

Software como servicio (SaaS)

SaaS es un modelo más conocido tradicionalmente, y se basa en que el proveedor facilite al usuario la plataforma montada, lista para ser consumida. Probablemente sin saberlo, uséis SaaS a diario, desde cuando accedéis a un hosting compartido, a cuando utilizáis vuestro correo de Outlook o vuestras hojas en Google Docs.

Bien, teniendo estos conceptos claros, comencemos a hablar de Azure. De acuerdo a la introducción que hace Microsoft, Azure es un conjunto de servicios en la nube para ayudar a satisfacer sus necesidades comerciales otorgando la libertad de crear, administrar e implementar aplicaciones en una red mundial enorme con sus herramientas y marcos favoritos.

¿Y esto qué quiere decir? ¿Azure es IaaS, Saas o Paas? Pues realmente a día de hoy, Azure es todo. Es un ecosistema que crece cada día, y con el que los usuarios pueden levantar prácticamente cualquier servicio o aplicación a un coste relativamente comedido y con unos pocos clics. Si que es verdad que Azure, así como otros proveedores de nube, pecan de brindar tantas opciones al usuario, que a veces se siente uno abrumado con tantas alternativas, por lo que a veces cuesta decidir cual es la mejor opción y la más óptima para que nuestros productos sean lo más ágiles posible, y a final de mes nos llegue la factura más baja posible. Esto ha conllevado a que los arquitectos de cloud sean unicornios hoy en día, hipercotizados y cuyas tarifas crecen tanto como las opciones de estos ecosistemas. Pero para eso precisamente he pensado en hacer esta cadena, para poco a poco tratar de aterrizar las diferentes opciones que nos plantea un cloud como Azure, y cómo podemos sacarle el mejor partido posible.

Hoy, en el post introductorio, veremos cómo crear nuestra primera aplicación web, haciendo uso de Azure APP Services, uno de todos los servicios que encontraremos en Azure:



Lo primero, lógicamente, será registrarnos en azure:


Una vez registrados, lo primero que nos encontraremos es el centro de inicio rápido:


En la pestaña de arriba tenemos un acceso a una serie de cursos de introducción que os recomiendo realizar, para tener una base sólida de qué es la cloud, y de los componentes principales de Azure:

Si desplegamos el menú de la izquierda, veremos los enlaces para acceder a los diferentes menús de Azure:


Y en la botonera superior encontraremos el acceso directo a la consola (bash o powershell, a vuestra elección):


Nosotros vamos crear una simple aplicación web en PHP, que correrá sobre un entorno linux, por lo que seleccionaremos la primera de las opciones:

A continuación, seleccionaremos los detalles del entorno (PHP y Linux):


Y en unos pocos segundos ya tendremos el entorno levantado y en funcionamiento:


Haciendo clic en el nuevo servicio, podremos controlar el consumo realizado:


Así mismo, podremos administrar el servidor por SSH, haciendo clic en la opción correspondiente:


Para comprobar que todo está OK, crearé un archivo PHP en la carpeta wwwroot del servidor web, con el texto "helloworld":


Si navegamos ahora a la URL generada, veremos nuestra aplicación web levantada:


Sencillo, ¿verdad?


Esto es todo por hoy, en el próximo post seguiremos viendo otras opciones para levantar nuestras aplicaciones y servicios en Azure bajo otras modalidades.

Saludos!


Autor: Juan Antonio Calles (@jantonioCalles), CEO de Grupo @ZerolynxOficial. CSO de @OsaneConsulting. Doctor en Informática. Cofundador de @fluproject y @X1RedMasSegura. Impulsor del proyecto Open Mobility Security Project (OMSP). Microsoft MVP.

Para consultas a Juan Antonio puedes utilizar su Buzón Público



Leer más
      editar

29 jun. 2020

Tiempos de Covid-19: nuevas estafas vinculadas a Bitcoin (Parte 4)

Por el 29 jun. 2020 con 0 comentarios
¡Hola a todos!

!שלום לכולם

Hoy os traigo la cuarta parte de esta serie de artículos, que tratan sobre una nueva estafa vinculada a Bitcoin.


Si te perdiste alguna de las partes anteriores, antes de continuar con la tercera entrega, puedes echarles un vistazo aquí 👇:
Tal como te comenté en el anterior artículo, entre los perfiles identificados en Twitter se lograron identificar cuentas que estaban suplantando la identidad, a través del uso de imágenes de personas anónimas reales. 

Una campaña internacional

Gracias a los tweets del perfil @AdrianKachalov, se identificaron por primera vez parámetros diferentes incorporados en la URL de destino de los enlaces acortados: ?ad=2&adgroup=25-UP%28bitcoin%29&amp=&amp=&campaign=CL-11.03.20.

A través de estos parámetros, se logró identificar una campaña, previa en fecha a la de España, dirigida esta vez a Chile (CL). 

Con ello se encontraron así otras cuentas, que directamente empleaban la imagen de personajes públicos, en función del país al que se dirigiera la campaña, e incluso, algunas que se reutilizaban para diferentes campañas dirigidas a países distintos, tal como había sido el caso de la cuenta de Twitter @GeekqU. 

A principios de diciembre de 2019, la cuenta @GeekqU empleó la imagen del presentador de televisión chileno Rafael Arenda en sus tweets. 

Tweet de @GeekqU, con la imagen de Rafael Arenda

Estos presentaban enlaces acortados con los siguientes parámetros "?ad=8&adgroup=1&campaign=CL-04.12.19”, que apuntaban a una campaña dirigida a Chile. 

Semanas más tarde, la misma cuenta de Twitter usó la imagen de otro personaje público; esta vez, del italiano Christian De Sica. 

Tweet de @GeekqU, con la imagen de Christian De Sica

En los enlaces acortados de tales tweets, a través de los parámetros empleados: “?ad=V1-11&adgroup=1&campaign=IT-18.12.19”, se apreciaba el rastro de una campaña dirigida a Italia. 

Esto indicó que se estaba ante una estafa internacional de gran magnitud, con recursos suficientes como para ir pivotando de país en país, que generaba así campañas adaptadas y específicas para cada uno de ellos. 

Diferentes nombres, una misma estafa

Tal como se ha mencionado al principio, en los antecedentes, el funcionamiento de la estafa resulta ser el mismo en todos los casos: el objetivo final a perseguir por todas estas campañas promocionadas, es seducir a la víctima para que acabe depositando la cantidad de 200/250€ en una supuesta plataforma de inversión. 

En España, las estafas digitales en las que la cuantía no supera los 400€, tal como refleja la Ley Orgánica 1/2015 del Código penal, son consideradas un delito leve de hurto que lleva ligado una multa económica de 1 a 3 meses; de este modo, la cifra requerida por la estafa no parece ser casual, teniendo en cuenta que si superase los 400€ estaríamos hablando ya de penas de prisión de entre 6 a 18 meses. 

Entre las características más reseñables de esta estafa, hay que destacar así su capacidad de adaptación, cambiando constantemente de forma para que el engaño siga teniendo éxito a lo largo del tiempo. 

Hasta ahora, se tiene constancia de que, al menos, la estafa ha empleado los siguientes nombres y formas: Bitcoin Era, Bitcoin Evolution, Bitcoin Revolution, Bitcoin Profit, Bitcoin Future, Bitcoin Trader, Bitcoin System, CryptoBoom, CryptoSoft, The Ethereum Code y Bitcoin Code. 

Logotipos de todas las plataformas fraudulentas, asociadas a la estafa

Sin embargo, no se descarta que esta haya empleado y siga empleando otros nombres no identificados, con el fin de extender en el tiempo el éxito de este fraude. 

Continuará...

Leer más
      editar
>