Entradas Etiquetadas :

internet

8 vulnerabilidades que hacen tu app insegura
1024 690 Prestigia

A menudo se habla sobre los riesgos de seguridad en redes sociales, Internet en general, correos electrónicos, etc. Sin embargo, también hay que vigilar que una app sea segura, especialmente teniendo en cuenta que según el estudio anual Mobile Marketing 2017 de IAB Spain, el uso de aplicaciones es mucho más intensivo de lo que los usuarios se imaginan.

Vulnerabilidades y riesgos más frecuentes en apps móviles

Según datos de Nowsecure, el 25% de las aplicaciones móviles contiene al menos una vulnerabilidad de seguridad de alto riesgo. El uso de dispositivos móviles es más intenso que nunca por lo tanto las vulnerabilidades también son más frecuentes y tanto empresas como particulares están más expuestos a ellas. A continuación, comentamos algunas de las vulnerabilidades más comunes:

  • Intentos de copiar el código fuente. Las aplicaciones suelen recopilar data sobre los usuarios, por lo tanto son muy golosas para los hackers. En este sentido, para evitar que se copie el código fuente, se lleva a cabo una ofuscación del mismo. Aunque no es definitivo frena muchos intentos de copiarlo.
  • Controles frágiles en el servidor. Las llamadas que realiza la app al servidor y viceversa es un foco peligroso. Por ello, se trabaja la securización de las llamadas de Webservice para evitar peligros. Se trata de un foco peligroso en el ámbito de las aplicaciones móviles.
  • Fuga de datos personales involuntaria. En el código fuente de una aplicación hay funciones más sensibles y otras menos. Por ejemplo, datos como los pagos, área de usuario, contraseñas o información personal son más sensibles que los datos generados en la aplicación. En este sentido, se recomienda llevar a cabo un cambio de nombre en comandos clave para que estos datos sean difíciles de reconocer e interpretar, y con una búsqueda simple de texto no sea posible encontrarlos.
  • Carencia de SSL. Al igual que sucede en las páginas webs con el certificado SSL, si una aplicación no dispone del mismo, no es segura. Por eso es importante que cuando una empresa desarrolla una aplicación móvil, está disponga del certificado SSL. Si al usuario le llega una alerta de que está ante una aplicación no segura, lo más posible es que no la descargue o incluso la desinstale.
  • Encriptación rota o débil: Estamos ante este caso cuando la comunicación a través de la red sin ningún tipo cifrado o uno muy débil que no garantizan la privacidad y seguridad de las conversaciones. Se trata de un aspecto muy importante a tener en cuenta durante el desarrollo de la aplicación móvil ya que si el algoritmo de encriptación no es lo suficientemente fuerte será un blanco fácil para los hackers.
  • Código abierto: El desarollo de una aplicación con código abierto implica que el desarrollador da acceso a su código fuente. Por un lado, facilita más ojos que puedan detectar los fallos pero…también mayor exposición y riesgo a que manos ajenas con fines delictivos o malignos también tengan a su alcance el código de tu aplicación. De hecho, dos de cada tres aplicaciones que usan código abierto son vulnerables.

Y como sucede en cualquier ámbito digital, las aplicaciones no están exentas de sufrir ataques por parte de hackers y malwares maliciosos. Estos son algunos de los más conocidos:

  • El DDoS es un ataque por derribo muy común. Consiste en lanzar miles de consultas a un servidor hasta que este cae. Para evitarlos, se implementan métodos anti DDoS que frenen, penalicen o cancelen ataques de esta clase.
  • Ataque XSS: Con este tipo de ataque el hacker consigue es capaz de inyectar un script, normalmente Javascript, en la app. De esta forma, el ataque se produce debido a una incorrecta validación de los datos de usuario. Con el XSS el delincuente informático puede robar cookies, sesiones de usuarios, modificar la app, instalar malware o incluso dirigir al usuario a sitios malignos.

Aunque a priori las vulnerabilidades más habituales en apps sean desconocidas o invisibles para el usuario, la realidad es que pueden causar importantes estragos. Especialmente en relación al robo de datos personales. El mismo riesgo corren las empresas que, además, si son víctimas de una vulnerabilidad pueden ver cómo se pierde la confianza de los usuarios en ellas, afectando al reconocimiento y uso de la aplicación por parte de los usuarios.

Si quieres desarrollar una aplicación móvil totalmente segura para ti y para los usuarios, ¡contáctanos y descubre cómo podemos ayudarte!

Mi primera sextorsión
1024 690 Prestigia

El lado oscuro de la fuerza es cada vez más oscuro.

La semana pasada recibí un email haciéndome sextorsión. Una combinación de extorsión y phishing (extortion phishing) Lo comparto confiando ayude a algún internauta que haya recibido un texto similar. La delincuencia digital no deja de crecer y es, cada vez, más sofisticada. Del clásico email lleno de faltas ortográficas comunicándonos que hemos recibido una herencia en un banco nigeriano, pasamos a un email en perfecto inglés, mucho más sugestivo y que incorpora una de nuestras contraseñas en el texto como prueba de que va en serio.

A continuación, el mensaje:

XXXXXX is one of your secret password and now I will directly come to the point. You do not know anything about me whereas I know you very well and you are probably wondering why you are getting this e mail, correct?

I setup malware on adult video clips (porn material) & guess what, you accessed this adult website to have fun (if you know what I mean). And when you got busy enjoying those videos, your web browser initiated functioning as a RDP (Remote Computer) having a backdoor which provided me with accessibility to your system and your web cam recordings. After that, my malware gathered your entire contacts from fb, as well as email.

What have I done?

It’s just your hard luck that I am aware of your bad deeds. After that I gave in more days than I should have exploring into your data and created a double-screen videotape. 1st half displays the video you were watching and 2nd part shows the view of your cam (it is you doing nasty things). Actually, I am ready to forget details about you and let you get on with your life. And I will provide you two options that will accomplish your freedom. These two choices are either to ignore this e mail (bad for you and your family), or pay me $ 7000 to finish this chapter forever.

Exactly what can you do?

Let’s examine those two options in more depth. Alternative one is to turn a deaf ear this email message. Let us see what will happen if you take this option. I definitely will send your sextape to your entire contacts including friends and family, coworkers, and so on. It does not help you avoid the humiliation you and your family will need to feel when relatives and buddies uncover your dirty sextape. Option 2 is to make the payment of $ 7000. We will call this my “keep the secret tip”. Now Lets see what happens if you go with this way out. Your dirty secret Will remain private. I will keep my mouth closed. Once you you pay me my fees, I will let you continue on with your daily life and family that nothing ever occurred. You’ll make the transfer via Bitcoin (if you don’t know how just search «how to purchase bitcoin» in google)

Amount to be paid: $ 7000
BTC ADDRESS IS: XXXXXXXXXXXXXXXXXXXX
(It is cASe SENSITIVE, copy and paste it)

Important: You now have one day in order to make the payment. (I’ve a special pixel in this e-mail, and at this moment I know that you have read through this e-mail). DO NOT TELL anybody what you would be utilising the Bitcoins for or they may not sell it to you. The method to obtain bitcoins may take a short time so do not procrastinate. If I do not receive the Bitcoins, I will definately send out your video recording to all of your contacts including relatives, colleagues, etc. having said that, if I do get paid, I will erase the sextape immediately. If you want to have evidence, reply with «yes!» and I will send your videotape to your 13 friends. It is a non-negotiable one time offer, so kindly don’t ruin my time and yours by responding to this email.

Efectivamente, la contraseña que el remitente me indica es una vieja contraseña que usé durante años. Asegura que la ha obtenido de una página de pornografía en la que yo me registré, que me instaló un malware en mi ordenador a través de los videos que vi y me grabó con la webcam de mi ordenador. Por tanto, me decía, tiene videos míos con todo lo que vi y todas las marranadas que hice delante del ordenador. Me forzaba a ingresar 7000 dólares en un plazo de 24 horas, etc.etc. Un indeseable sin escrúpulos, vamos.

El texto del email está trabajado y es verosímil. Es decir, sabemos que un hacker puede introducir malware en tu ordenador para robarte datos, meterse en tu webcam, etc. Tal como me imaginaba, este mismo texto se ha enviado a destinatarios de todo el mundo. El quid del asunto -lo que le da credibilidad- es tu contraseña, que obtienen de una brecha de seguridad en una web en la que te has registrado previamente. Luego te dicen lo del porno y prueban suerte [Una brecha de seguridad de una web significa que el hacker ha logrado introducirse en la página y seguramente robar datos. En principio las empresas están obligadas a notificar las brechas de seguridad que sufran]

En mi caso su intento de extorsión no ha tenido éxito, pues no me registré en ninguna página pornográfica ni uso esa contraseña hace tiempo. Con todo, estos delincuentes hacen estos envíos de “sextorsión” por miles. ¿Cuántos habrán caído?

Por otra parte, hace tiempo que utilizo contraseñas distintas para todas las páginas en las que estoy registrado, de forma que una brecha de seguridad en una de ellas no pone en peligro mis datos en todas las demás. Éste es uno de los consejos para aumentar nuestra seguridad en internet que ya hemos dado en este blog.

En la red hay muchos recursos que nos ayudan a gestionar bien un intento de sextorsión. Destacaría la página que lleva este mismo nombre, Sextorsión, que recoge posibilidades de sextorsión más reales, donde el delincuente sí ha conseguido un video comprometedor de su destinatario.

En el caso que nos ocupa, recomendamos:

– Mantén la calma e ignora al remitente

– Cambia tus contraseñas en todas tus redes y dispositivos, incluyendo en todos los casos contraseñas distintas y robustas. Hay páginas muy útiles, como Password.es, que te ayudan a crearlas.

Denúncialo a la Policía

– Utiliza un buen antivirus y escanea todos tus dispositivos (ordenadores y móviles) en busca de malware y otros códigos maliciosos. Lo más recomendable, si quieres tener todas las garantías, es que sea un buen antivirus de pago. Si no estás dispuesto a pagar por tu seguridad, cuando menos implementa alguna de las opciones de antivirus gratuitos disponibles en la red.

– Evita que te graben y te vigilen con una cubierta para tu webcamDesabilita tu micrófono si no lo estás utilizando, utilizando estas guías:

Windows 10

Apple Mac

– Si aún te quedan dudas, contacta con especialistas como los de Sextorsión.

Este episodio nos sirve para traer aquí un hecho incontestable. Algunas de las principales páginas web y redes que usamos han sido hackeadas y nuestros datos personales comprometidos. Puedes comprobar si tu correo se ha visto comprometido en alguna brecha de seguridad con esta utilísima Web:

https://haveibeenpwned.com

Si quieres que un profesional de la ciberseguridad verifique la seguridad de todos tus dispositivos –personales y profesionales-, contáctanos y estaremos encantados de ayudarte.

Éste es un post de Jorge Mira, CEO de Prestigia

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.