Como evitar que te roben tus cuentas ¡ahora con 100% más Heartbleed!

El lunes pasado se dio a conocer una vulnerabilidad que afecta a un buen número de servidores en internet, originalmente se dijo que eran dos tercios, pero en realidad es más bien alrededor del 15% de todos los servidores en internet, lo cual sigue siendo alto pero no taaaan catastrófico.

Foto de https://www.flickr.com/photos/allstar/415273045

Así, pero más sanguinoliento. Foto de Allstar

Hay también mucha información alarmista sobre Heartbleed, pero si bien el riesgo no es tan alto como se escucha por todos lados sí existe y sí es necesario protegerse.

Muchos servicios populares están afectados, como Yahoo! y Flickr, Wunderlist, algunos servicios de Google, etc. Sin embargo, en vez de andar corriendo gritando que el mundo se va a acabar es mejor aprovechar este momento para adoptar buenas prácticas de seguridad.

¿Qué significa esto para ti como usuario? Bueno, el mayor peligro que puede haber es que alguien robe los certificados de autenticidad de un servidor y se pueda hacer pasar por, por ejemplo, tu banco, y te engañe para obtener tus datos y contraseñas. Normalmente uno se fijaría en el candadito que aparece junto a la dirección en el navegador y por lo general se emite una alerta que diría que el servidor podría no ser verdadero. Pero si se roban los certificados no habrá alerta y el candadito aparecerá indicando que todo es seguro.

Otro riesgo que te afectaría más directamente es que se puedan robar tu contraseña si está activa en la memoria del servidor. Esto hace que sea muy importante cambiar tus contraseñas en cuanto los servicios que usas tapen la vulnerabilidad, hacerlo antes no tendría caso.

Estos son pasos que debes seguir si quieres minimizar tu riesgo:

1. Utiliza un administrador de contraseñas. Lo mejor es tener una contraseña larga y difícil de adivinar para cada cosa. Y lo mejor para esto es contar con un programa que invente y administre estas contraseñas. Los mejores son LastPass, KeePass y 1Password. Con esto podrás crear contraseñas complicadas y no tendrás necesidad de recordarlas porque el programa lo hará por ti.

2. Utiliza la autentificación de dos pasos. Si el servicio cuenta con esta opción actívala. Cuando quieras entrar a tu cuenta desde una computadora desconocida te mandarán una clave a tu celular y tiene que coincidir tanto la contraseña como la clave. Si alguien logra robar o adivinar tu contraseña, aún así les hará falta el celular para recibir la clave.

3. No hagas click en ligas que lleguen por correo o cualquier otro medio. Ni siquiera cosas que tus amigos te manden por Whatsapp sin verificar con ellos que efectivamente es algo que te quieren mandar. Esta regla ya se la debería saber todo mundo, pero me encuentro con cada cosa.

4. No le piques a todo en Facebook. Aparece en tu muro un video que promete ser muy divertido, o impactante, o con una vieja en cueros y tú le aprietas para verlo, luego te aparecen unas cosas que debes aceptar para poder ver el video y lo aceptas. Ahora tienes una aplicación en Facebook que tiene permiso para ver una buena parte de tu información personal y otras actividades tuyas. Aunque Facebook es cuidadoso en no revelar demasiado esta información puede ser usada después para sonsacarte más cosas por otros medios.

El problema es grave pero se está arreglando. El parche salió el mismo día que se hizo el anuncio, de hecho conocían la vulnerabilidad desde antes pero no la anunciaron hasta tener el parche. Ahora es cuestión que cada servidor lo aplique. Mantente atento a los correos de los servicios que usas y cuando te avisen que ya aplicaron el parche mete su dirección directo en tu navegador (no hagas click en ligas), entra a tu cuenta y cambia tu contraseña.

Consejos y aplicaciones para tu nueva tableta o listófono

Si eres de los afortunados que recibieron una nueva tableta Android o un nuevo iPhone o Samsung y quieres hacer con ella algo más que revisar el Facebook o jugar Candy Crush, te tengo algunas ideas y aplicaciones para sacarles la mayor utilidad.

Play

Por supuesto, no es todo lo que puedes hacer. Si tienes otras ideas, preguntas o sugerencias, házmelas llegar.

Consejos para hacer mejor el uso de tu tableta o listófono

1. Protege tu teléfono con una contraseña.
El teléfono lo llevamos a todos lados y nos lo pueden robar o se puede perder. Piensa en toda la información que lleva adentro, desde fotos, hasta números de teléfono, direcciones de correo, etc.

Además que puede servir para acceder a tus cuentas personales y robártelas o hacerse pasar por ti. Todos los sistemas cuentan con una manera de crear una contraseña que sea larga y que puedas recordar solo tú. Usala.

Contraseña larga en iOS

Si desactivas la opción de contraseña simple en el iPhone puedes ponerle una contraseña larga.

2. Usa un administrador de contactos en línea.
Muchas veces me ha tocado ver el mensaje de “se me perdió el teléfono con todos mis contactos, mándenme su número por inbox”. Para que no te pase eso usa los servicios en línea que tanto Google como Apple tienen para que tus contactos siempre estén a la mano.

Así en caso de que se te pierda el teléfono o te lo roben o se lo coma un cocodrilo, cuando tengas un nuevo teléfono simplemente descargas tu lista de contactos desde la red y ya está. Nada perdido.

3. También respalda tus fotos.
De las cosas más tristes que pueden pasar es cuando alguien pierde la única copia de las fotos de sus hijos que tenían en el teléfono. La verdad no sé por que la gente dice que algo es importante y luego no se preocupan por hacer copias de seguridad, pero en fin.

Tanto Android como iOS te permiten hacer una copia en línea de tus fotos automáticamente. Activas el servicio y cada que tomes una foto o video se sube a la nube, donde quedarán almacenadas de forma privada y puedes bajarlas desde ahí o compartir las que quieras.

Apple va un paso más allá y si tu computadora está conectada con iCloud y tiene activado Photostream inmediatamente descargará las fotos. Pero solo hace eso con las últimas mil, así que de todos modos tienes que asegurarte de copiarlas a otro álbum o algún lugar del disco duro en algún momento.

Además de los sistemas nativos de iOS y Android, otros servicios como Flickr, Dropbox y Skydrive te dan la opción de hacer este respaldo automático de fotografías. Así que no hay pretexto para andar lloriqueando cuando te roben las únicas fotos de tus hijos que supuestamente son muy importantes.

Dropbox respalda tus fotos

Puedes respaldar tus fotos automáticamente usando Dropbox, Flickr, Skydrive o tu cuenta de Google o Apple.

4. Sincroniza tus calendarios y cuentas de correo.
Con un listófono o tableta tienes mucho más que un aparato para hacer llamadas, sino todo un organizador personal a tu disposición. De las primeras cosas que hago es meter todas mis cuentas de correo y calendarios que uso en mis computadoras. De ese modo puede estar donde sea y crear una lista de ideas, apuntar una cita, crear una nota o trabajar en algún documento o proyecto sin importar donde esté.

Claro, algunas cosas son bien latosas de hacer en un teléfono, pero por lo menos algo se puede hacer.

5. Fotografía y archiva tus documentos importantes.
La cámara fotográfica de tu cámara puede servir mucho más que para tomar fotos del perro. Puedes tomar fotos de documentos y cosas importantes, por ejemplo tu pasaporte, tarjetas de identificación, actas y contratos.

Hay aplicaciones, como MDScan o My Scans, con las que puedes escanear los documentos, agruparlos y convertirlos a PDF u otro sistema. Luego los subes a un sistema de almacenamiento en línea como Dropbox, Skydrive o Evernote, o usar la bóveda virtual de 1Password para guardarlos de forma segura.

En caso de un incendio, terremoto, inundación, meteorito o ataque de zombis tendrás copias de tus documentos más importantes fácilmente accesibles.

Estas son solo algunas recomendaciones y cosas a considerar para hacer a tu tableta o listófono más seguros y útiles en su uso diario.

Wikileaks y los peligros para México

Hace unos momentos se revelaron algunos de los primeros documentos concernientes a México del superpaquete que Wikileaks está soltando poco a poco.

En realidad no se da a conocer nada que no fuera un secreto a voces: que la guerra contra el narco se está perdiendo, que se necesita ayuda del exterior para ganarla, que es una derrota política para Calderon y el PAN, y que los Estados Unidos están muy preocupados por la guerra contra el narco pero todavía más por la inutilidad y corrupción de las autoridades mexicanas.

Sin embargo es reconfortante saber que la oficialidad mexicana reconoce esta situación. Tras bambalinas claro, oficialmente nunca dirán otra cosa más que todo está bien. Pero sigue siendo algo reconfortante que no son tan cínicos ni tan alejados de la realidad como para no verlo, es decir, no se han dejado engañar por sus propias mentiras. Todavía.

El peligro para México ahora será como reaccionan las autoridades de México: ¿seguirán empeñados en su curso, tapar lo que es una verdad evidente y, ahora sí, dejarse engañar por sus mentiras? ¿O serán los suficientemente inteligentes e íntegros para admitir que la han estado regando, qué se necesita un cambio de rumbo urgente, que no podemos solos con el paquete?

Claro, faltará ver también que opina la sociedad mexicana que al más mínimo asomo de interés de parte de algún extranjero se empiezan a arrancar las vestiduras y a invocar a la “soberanía”. Todo para poder seguir haciendo las mismas pendejadas.

El secreto para conservar tu privacidad en Facebook (y otros sitios)

Mucho se ha hablado últimamente sobre la privacidad, o falta de esta, en Facebook y como no nos han protegido a la hora de compartir nuestros datos, fotos, pensamientos y otras actividades que preferiríamos se quedaran en un círculo pequeño de amistades en vez de a la vista de todos o en la base de datos de mercadotecnia de una mega corporación.

El problema es que internet se hizo para compartir. Irónicamente, aunque nació de un proyecto ultrasecreto de la guerra fría, cuando pasó a manos civiles el principal objetivo era que científicos y académicos compartieran información libremente. En ese entonces eran pocos, se conocían entre todos y todo circulaba abiertamente. Nunca se pensó en meter cosas como encriptación, niveles de seguridad, diversos círculos de privacidad, etc.

Todo quedaba a la vista: desde las últimas teorías sobre la gran inflación al inicio del universo, hasta las peleas sobre la mejor manera de hacer un sandwich, hasta las flame-wars más vergonzosas. El espíritu siempre fue de apertura y divulgación.

Ese espíritu continúa en las redes sociales, cuando abres una cuenta en Facebook, Twitter, MySpace, Hi5, o cualquier otra, debes suponer que están creadas para facilitar compartir la información que pongas ahí, no para dificultar su acceso.

Toda red social es una conversación, pero no una conversación que ocurre de manera aislada en un cuarto tras puertas cerradas con triple candado y un legión de rinocerontes artillados cuidando la entrada. Son conversaciones que ocurren en medio de una fiesta concurrida en la que todo mundo puede escuchar, caminar de grupo en grupo, intervenir, participar.

Siempre que pongas algo en una red social hazlo con la idea de que va a llegar a oídos de alguien más. En la vida real ocurre, a veces alguien le cuenta algo, tal vez por accidente o porque eran grandes amistades hasta que se pelearon, el chiste es que a todos nos ha pasado que de pronto alguien se entera de algo que no queremos que se enteren. En las redes sociales pasa igual, por muchos niveles de seguridad que haya siempre existe la posibilidad de que algo se escape.

Por supuesto protege tu información más sensible, como tu edad, dirección real, las fotos de aquella vez en el carnaval, pero recuerda lo que decía Ben Franklin: “Tres personas pueden guardar un secreto, si dos están muertas”. Una vez que lo pones a la vista de alguien más corres el riesgo que empiecen a correr, no importa que tantos candados de privacidad hayas puesto.

Las empesas de redes sociales son eso: empresas. Aunque digan que van a cuidar de tus datos a fin de cuenta existen para hacer negocios, no para cuidarte. El mejor cuidador de tus datos eres tú, y si te da mala espina compartir algo, no lo compartas.

Mira tu perfil como otros lo ven

Ahora que ha estado muy mencionado lo de la privacidad de los datos en Facebook y mucha gente se preocupa de que les estén vienddo los chones que pusieron en el tendedero, tal vez tengas la curiosidad de saber que tanto estás compartiendo y que tanto es tantito.

El sitio ProfileWatch pretende ayudarte a encontrar las respuestas. Después que le das el URL de tu perfil (viene una útil ilustración para encontrarlo) la aplicación va y lee todo lo que has hecho público y te lo muestra. También te da una calificación de privacidad que mide cuan “expuesto” o “seguro” estás.

Aquí es donde tengo mis problemas con este sitio. Lo mucho o poco que reveles de tu perfil en Facebook no te hace más o menos seguro, sino el tipo de cosas que pongas en tu perfil.

Por ejemplo, para mi perfil en Facebook ProfileWatch me da una calificación de 6.1, o sea que estoy compartiendo mucho más de lo que sería el perfil ideal. Sin embargo ninguno de los datos, asociaciones, fotos o posts que están a la vista del público son cosas privadas, potencialmente peligrosas o que no quiera tener a la vista de todos. Al contrario, a algunas me gustaría darles más visibilidad.

Por otra parte, una persona que obtenga una calificación alta puede creerse “segura” y al mismo tiempo revelar un dato confidencial, como su número de celular, en su bio o en algún foro abierto.

La manera en que se crea esta calificación también me deja con dudas. Cuando visité el sitio por primera vez obtuve un resultado de 5.3. Aprovechando que estaba en eso escribí un par de párrafos para la biografía, que antes tenía vacía, y la dejé abierta para que todo mundo la pueda leer.

Así que, supuestamente, ahora estoy compartiendo más información. Sin embargo mi índice de “privacidad” subió a 6.1 Así que ya no entendí.

ProfileWatch es un sitio útil que te puede ayudar a ajustar tu perfil para que revele lo que tú quieres, pero no te vayas con la finta de la calificación, en realidad no significa nada.

Twitter hackeado

Pues que los iranís (supuestamente) agarran y hackean Twitter.

La red social que no le cae muy bien a los altos mandos de Irán por haber servido para comunicar las protestas después de las elecciones de este año, fue hackeada por el “Ciber Ejército Iraní”.

Mensaje de los atacantes

Se especula que más que un ataque directo al servidor de Twitter lo que se hizo fue “secuestrar” el DNS para redirigir el nombre de dominio a otro servidor. Si es así hay menos probabilidad que datos como las contraseñas hayan caído en manos de los atacantes, pero de todos modos harás bien en cambiar tu contraseña. No está de más.

La situación todavía se está desarrollando así que a ver que más se da a conocer durante las próximas horas.

Actualización: @isopixel confiesa que él jakió a Twitter (aunque luego seguro va a decir que noscierto)

Actualización 2: Twitter ha confirmado que sí se trató de un secuestro de DNS pero todavía no sabien como pasó o donde está la falla, sólo que ya está arreglado y andan investigando.

Como proteger tus sesiones contra ataques

Through the use of sessions your identity is maintained as you use a website, and just as in real life identity theft is a concern. By taking over your session an attacker would essentially become you on a website, with access to all of the actions, information and privileges that entails.Carsonified » How to Create Bulletproof Sessions

Generalmente usamos sesiones en php para mantener información privada y otorgar cierta protección. Sin embargo la información de las sesiones se puede robar, lo cual dejaría al sitio, a los usuarios y a ti muy vulnerables. Este artículo de ThinkVitamin te dice como hacer más seguro el manejo de sesiones.

Internet podría contar con su propio sistema inmunológico

…once a genuine threat has been identified, all autonomous systems can isolate the infected computer or computers, neutralising their ability to spread the worm. Eventually, the infected computers can be cleaned up. Internet ‘immune system’ could block viruses – tech – 18 August 2009 – New Scientist

No exactamente un sistema de anticuerpos, pero mediante la cooperación entre proveedores de servicio y ciertos componentes clave de la estructura de internet podrían detectarse computadoras infectadas y aislar la red para evitar el flujo de tráfico y detener la infección.

Es un sistema que podría dar resultados aún si únicamente el 30 al 35% de los sistemas de la red cooperan. Más o menos como cuando hay una vacuna para una infección, no es necesario que todo mundo se vacune para evitar la aparición de una epidemia.

La propuesta es interesante pero por el momento no hay planes firmes para ponerla en acción.

Actualización

Aparentemente en Australia piensan poner en marcha un plan muy parecido a esto, según información de Alt1040.

El curioso incidente del dominio en la noche: Maestros del Web hackeado

Sucede que una noche de febrero a Christian Van Der Henst le robaron una cosa muy apreciada: su clave de identificación ante su registrador de dominio.

La manera en que se lo robaron aún no está muy clara. Hay quien dice que fue ingeniería social (o sea, lo agarraron en la pendeja, le aplicaron la juvenil), otros que fue abuso de confianza, pero hasta el momento nadie sabe como fue y hasta que Christian lo explique pues no se va a saber bien.

El caso es que una vez hechos con esta información los ladrones cambiaron los DNS del dominio y lo apuntaron a otro lado. Me sorprende el hecho de que la página a la que lo redirigieron no contuviera ni anuncios, ni virus ocultos ni hacks. Esto a lo mejor porque los ladrones no tenían intención de hacer más mal o a lo mejor porque ni ellos se la creyeron que les fuera a salir tan bien el plan. Más tarde aprovecharon el hecho que su cuenta de correo de seguridad estaba en ese dominio para robarse su cuena de gmail y de facebook. Trataron de robarse su cuenta de alojamiento (lo cual hubiera convertido esto de tragedia a catástrofe) pero el servidor de dominio sospechó y negó la transferencia.

El asunto no hubiera pasado a mayores, se hubiera perdido entre los cientos o miles de casos de dominios robados, de no haber sido porque dos de esos dominios son maestrosdelweb.com y forosdelweb.com, dos de los sitios más populares entre la comunidad webícola de habla hispana con miles de visitantes. El mismo Christian tiene miles de seguidores en su cuenta de twitter que fue donde dio a conocer este hecho. Inmediatamente las huestes twitteras se unieron y al grito de “teclados unidos jamás serán vencidos” se lanzaron a una campaña pidiendo a GoDaddy que regresaran el control de esos dominios Christian.

GoDaddy finalmente accedió y en vez de tardar meses, como generalmente sucede en este tipo de casos, resolvió en aproximadamente un día y devolvió estos dominios a su legítimo dueño.

Todo muy bien, final feliz, ya nos podemos ir a nuestras casas porque el mundo está finalmente en paz. ¡Bye! Nos vemos a la siguiente.

NOOOOO. ¿Qué les pasa? ¿Están idiotas, borrachos, drogados o qué? ¿No se dan cuenta que si bien el caso de Christian terminó bien si hubieran sido ustedes o un servidor los afectados, las cosas no hubieran terminado igual? ¿Acaso créen que sería la misma avalancha de twits solidarios a su favor?

No. El caso de Maestros del Web es muy especial, por su importancia y por el número de personas que dependen de él. A la mayoría de nosotros nos pueden robar el dominio, la cartera y hasta la cara y a los demás les valdría un pedo aguado lo que nos pasara. La lección que debemos tomar es que no hay nadie invulnerable, a todos nos puede pasar y probablemente algún día nos pase.

¿Ya se preguntaron ustedes qué harían en ese caso? ¿Cómo protegerían el resto de sus cuentas? ¿Pueden cambiar contraseñas de inmediato? ¿Su cuenta de correo de seguridad está bien resguardada? A muchos se les ha criticado de querer llevar agua a su molino a raíz de este caso, y si bien tal vez pueda parecer de mal gusto, razón no les falta. En internet nada es seguro y necesitamos tener un buen plan de contingencia en contra de robo de identidad o de hackeo de cuentas.

Mientras más cosas guardamos en línea, mientras más visibles somos, mayor peligro corremos. Abuzados.