cisco40 40x40f oracle40 oracle40 lgo4

10 formas en que se vulnera tu privacidad sin que lo sepas

vulen

En este artículo vamos a repasar unas cuantas formas ingeniosas de recolección de datos que se pasan por el arco del triunfo el consentimiento del usuario. Que luego nadie diga que no hemos avisado.

Las copias de seguridad de Android

Cuando un dispositivo Android se conecta a una red WiFi Google guarda la contraseña en texto sin cifrar en sus servidores, que utiliza para subir copias de seguridad desde nuestro dispositivo según un informe publicado por la EFF en 2013.

La peor parte es que cualquier organización gubernamental podría acceder a los servidores de Google (que por cierto forma parte del programa PRISM). Con acceder a sus servidores pueden conocer la clave de cualquier red inalámbrica doméstica y recolectar y modificar cualquier tráfico sin cifrar que pase por ella.

Se podría pensar que con el cifrado WPA2 ya no habría problema, pero la cuestión que vale la pena tener en mente es que sólo afecta a la contraseña y esta se guarda en texto plano. Mientras no permitas que Android guarde copias de seguridad de tu dispositivo en la nube no hay problema.

Esteganografía en los documentos impresos

Seguimos con informes firmados por la Electronic Frontier Foundation. En 2015 la EFF hizo público uno según el cual las impresoras láser a color incluyen "puntos de rastreo" en forma de pequeños puntos amarillos que actúan como una especie de cifrado.

Estos puntos se pueden descifrar para conocer datos como la fecha de la impresión o el número de serie de la impresora, así como cualquier otra información útil que pueda identificar el origen del documento. De esta forma se facilita el localizar su origen a las autoridades mediante informática forense.

Esta técnica recibe el nombre de esteganografía, usada para ocultar datos o mensajes en archivos, documentos o imágenes. Estos puntos de rastreo no son visibles a simple vista, sino que es necesario usar un cuarto oscuro y una luz ultravioleta para verlos.

Stingrays 

Un stingray es una herramienta de espionaje dirigida a teléfonos móviles que permite a cualquier atacante rastrear y guardar localizaciones, interceptar tráfico de Internet y llamadas telefónicas, instalar malware en dichos teléfonos, enviar mensajes falsos y ejecutar ataques man-in-the-middle.

Funcionan haciéndose pasar por el dueño legítimo de un repetidor móvil, para después "engañar" a todos los móviles cercanos para conectarse a su repetidor señuelo. Con estos dispositivos se pueden realizar escuchas telefónicas a millones de personas.

Aparte de usar apicaciones de mensajería con cifrado entre puntos (grupo al que recientemente se sumó WhatsApp) no hay mucho más que se pueda hacer para contrarrestar estas amenazas.

Chips RFID en carnets de conducir y pasaportes

En Estados Unidos se incorporan estos chips a los documentos citados para verificar fácilmente las credenciales de una persona. La idea es acercarlo a una máquina que leerá la información y la cotejará con una base de datos gubernamental que verificará que la persona es quien dice ser.

En 2009 el investigador de seguridad Chris Paget demostró que la tecnología RFID puede ser una amenaza según se publicó en Hackaday. Con un dispositivo que costó 250 dólares en materiales, consiguió clonar dos pasaportes sin que sus dueños lo supieran en tan sólo 20 minutos.

Los agentes de aduanas de EE.UU. quieren leer tu Facebook

Estados Unidos propuso hace unos meses que las personas que llegasen al país desde el extranjero garantizasen el acceso a sus redes sociales a los agentes de inmigración. El texto recogía lo siguiente:

Recolectar datos de redes sociales mejorará el proceso investigativo actual y dará al Departamento de Seguridad Nacional claridad y visibilidad para detectar posible actividad criminal ofreciendo un set de herramientas que los analistas e investigadores podrán usar para tener una mejor comprensión del caso.

Si por alguna razón te niegas a facilitar esos datos se te puede deportar o negar la entrada al país. Por otra parte, facilitar el acceso a tus redes sociales significa que se podrán leer tus conversaciones privadas. Nadie te garantiza que la monitorización de tu actividad no continúe después.

Rastreo de localización mediante la MAC de tu móvil

Esto también tiene que ver con los aeropuertos. Si tener que garantizar el acceso a tus redes sociales a los agentes de inmigración ya era bastante malo, con esta técnica se puede vigilar a cualquier viajero capturando la MAC de su teléfono móvil.

Para ello es necesario que el usuario se conecte a la red WiFi del aeropuerto, tal y como filtró Edward Snowden cuando saltó el escándalo de PRISM. Una vez se obtenga la MAC, se puede saber en todo momento donde está un usuario cruzando sus conexiones en distintos lugares públicos.

Tu coche también puede filtrar tus datos sensibles

Actualmente el mundo del automovilismo para la calle se mueve hacia un modelo de coches "inteligentes", con Bluetooth, WiFi 4G y prácticamente cualquier invento disponible para conectar el teléfono móvil del conductor al vehículo.

Si tienes uno de estos coches actuales y has utilizado sus tecnologías entonces es probable que tus contactos telefónicos, la dirección de tu casa y la de los últimos sitios a los que hayas ido esté almacenada en él. Si por un casual alguien roba tu coche puede acceder a la lista de tus contactos y tus direcciones.

La Smart TV de tu casa te escucha

En febrero de 2015 se supo que las Smart TV de Samsung escuchaban a los usuarios a través de su app de reconocimiento vocal, desarrollada por terceros. Los datos que se recogían mediante este sistema se guardaban en los servidores del fabricante coreano y que después se enviaban a otras partes interesadas, entre ellas diversas agencias de publicidad.

Conviene aclarar que no se trata de un rumor. Samsung lo dice claramente en su política de privacidad:

Por favor tenga en cuenta que si sus palabras incluyen información personal o sensible, dicha información se encontrará entre los datos capturados y transmitidos a una tercera parte.

¿Esos debates en torno al televisor viendo cualquier cosa? Si es una Samsung Smart TV mejor ni pensarlo. Nunca sabes quién puede estar escuchando, y mejor no arriesgarse...

Windows 10

Después de que la EFF acusase a Microsoft de violar la privacidad de los usuarios y de la cantidad de preguntas que la empresa de Redmond ha tenido que responder por ello, lo cierto es que Windows 10 ha seguido creciendo. A nadie ha parecido importarle mucho.

Para empezar, si cuando instalas el sistema operativo lo configuras con una cuenta de Outlook todos tus archivos personales y documentos generados se guardan en OneDrive por defecto a no ser que especifiques lo contrario. Según la EFF no respetó la privacidad ni la libertad de elección del usuario en este sentido, ni al hacer que los dispositivos que ejecuten la versión Home se actualicen por sí solos sin preguntarle al usuario si quiere hacerlo o si no.

Por otra parte, Windows 10 almacena todo tipo de información sobre ti desde que lo instalas y mantiene al asistente Cortana en modo always on. Lo mejor que puedes hacer es pdesactivar todas las características que implican la recolección de datos.

Google Allo

Usar Google Allo es el equivalente a salir a dar un paseo sin ropa. Dicho de otra manera, todo el mundo puede verlo todo. Google prometió grandes avances en materia de privacidad con su alternativa personal a WhatsApp, pero finalmente no cumplió con sus usuarios y dijo que sólo se cifrarían los mensajes en modo incógnito.

Para colmo de males las conversaciones se almacenan en los servidores de Google hasta que el usuario las borre. En sus servidores. En texto plano. ¿Nadie más ve el fallo? A esto le sumamos que la Gran G forma parte del programa PRISM y es muy fácil comprender por qué Edward Snowden desaconsejaba de forma tan vehemente el uso de esta app.

Como se puede comprobar mantener la privacidad hoy es un sueño casi imposible. El anonimato en la web hace mucho tiempo que pasó a mejor vida, y a pesar de los denodados esfuerzos de activistas y cypherpunks para intentar mantenerlo quizá ya vaya siendo hora de darnos por vencidos y asumirlo.

Vía: DeepDotWeb

En 2020 la nube significará 92% del tráfico en los centros de datos

Clody

Un informe de Cisco que analiza las cargas de trabajo actual de las apps, destaca el número de centros mundiales de datos de hiperescala y compara la capacidad de almacenamiento del centro de datos versus los datos almacenados.

De acuerdo al sexto índice anual Cisco Global Cloud (2015-2020), se espera que el tráfico en la nube aumente 3,7 veces, de 3,9 zettabytes (ZB) por año en 2015 a 14,1 ZB por año en 2020. Este rápido crecimiento del tráfico se atribuye a una mayor migración a los programas en la nube, debido a la capacidad para servir rápida y eficientemente más cargas de trabajo que los centros de datos tradicionales.

Para Federico Epis, Cloud Business Leader de Cisco para Chile, Argentina y Colombia, “El concepto de nube hibrida es el que mejor representa esta realidad. Por un lado las corporaciones o empresas de mayor tamaño optan por un modelo de nube privada, mientras que los segmentos de mediana y pequeña empresa optan por nubles públicas. Cisco cubre estas necesidades basado en tres formas de adoptar nube las que podemos definir como Build, Consume y Manage”.

Este estudio también muestra una mayor aceleración en la inversión de nuble pública que en la privada, es probable que en el tiempo este aumento sea cada vez mayor, sin embargo aún son muchas las aplicaciones “Legacy” que requieren ser consumidas localmente como bases de datos o sistemas ERP como también aquella información sensible o que necesita de tener residencia y/o soberanía como la información de los clientes de un banco o contribuyentes del estado, etc.

Hallazgos del estudio:

Para el año 2020:

  • Video y redes sociales liderarán el aumento de los consumer workloads, pues cada uno incrementará su porcentaje significativamente.
  • Las cargas de trabajo del streaming de video representará el 34% de las cargas totales de trabajo de los consumidores, en comparación con el 29% en 2015.
  • Las cargas de trabajo de redes sociales representarán el 24% por ciento de la carga total de trabajo de los consumidores, en comparación con el 20% en 2015.
  • El tráfico de centro de datos de la nube alcanzará 14.1 ZB por año, encima de 3.9 ZB por año en 2015. Un zettabyte es un trillón gigabytes.
  • El tráfico tradicional del centro de datos llegará a 1,3 ZB por año, frente a los 827 exabytes (EB) por año en 2015.
  • La nube pública está creciendo más rápido que la privada”.
  • El 68% (298 millones) de las cargas de trabajo será de centros de datos de nube pública, frente al 49 por ciento (66,3 millones) en 2015 (35 por ciento CAGR 2015-2020).
  • El 32% (142 millones) de las cargas de trabajo será en centros de datos de nube privada, frente al 51 por ciento (69,7 millones) en 2015 (15 por ciento CAGR 20152020).
  • “La nube cada vez más masiva”
  • El 59% (2,3 mil millones de usuarios) de los usuarios de Internet usará el almacenamiento personal en nube, frente a un 47 por ciento (1.300 millones de usuarios) en 2015.
  • El tráfico de almacenamiento en la nube de usuarios será de 1,7 GB por mes, en comparación con 513 MB al mes en 2015.
  • IoT será un generador de datos masivo
  • A nivel mundial, los datos generados (pero no necesariamente almacenados) por IoT llegarán a 600 ZB al año para 2020, 275 veces más que el tráfico proyectado desde los centros de datos a los usuarios / dispositivos finales (2.2 ZB); 39 veces más que el tráfico total del centro de datos proyectado (15.3 ZB).
  • Dado que cada mez más tipos de dispositivos se conectan a la red, la cantidad de datos almacenados en los dispositivos (5.3 ZB) será 5 veces superior a los datos almacenados en los centros de datos en 2020.

¿Cómo prevenirse de ataques basados en Ingeniería Social?

ins

Cuando pensamos en la gente que suele realizar ataques informáticos, lo primero que nos viene a la mente suele ser un experto informático capaz de descifrar la mejor de las contraseñas o aprovecharse de vulnerabilidades desconocidas para el común de los mortales. Pero por lo general, para robarte la cuenta de Facebook o Gmail ni siquiera hay que tener grandes conocimientos informáticos, vale con esperar a que tú se la des amablemente.

Es lo que se conoce como la ingeniería social, una técnica de ataque muy utilizada debido a su alto nivel de eficacia. Parte de la base de que las personas somos el eslabón más débil de un sistema de seguridad, y ya sea mediante labia o automatismos intenta engañarnos para que acabemos relevando datos clave para comprometer nuestros sistemas.

Muchos atacantes deciden estudiar informática para acceder a los sistemas aprovechándose de los bugs de un software, pero hay quienes prefieren especializarse en engañar y manipulara los propios usuarios. Para ello no hacen falta ni vulnerabilidades ni hackeos increíbles, sino conocer muy bien la mente humana y la forma de pensar de tu víctima, y aprovecharlo para que te de los datos necesarios para acceder a su ordenador, a los servidores de su empresa o por qué no, a sus correos electrónicos o cuentas de redes sociales.

Para profundizar un poco más en el mundo de la ingeniería social hablamos con un experto con más de 11 años de experiencia en el mundo de la seguridad informática. Se trata de Josep Albors, director de comunicación y responsable del laboratorio de ESET España, y que también colabora con la Guardia Civil y el Ejercito de Tierra en la formación de nuevos agentes en materia de seguridad informática.

Josep  cuenta que la ingeniería social es un riesgo que deberíamos tomarnos en serio, porque apunta al eslabón más débil en la mayoría de situaciones: el ser humano. "El atacante puede jugar con las emociones de la víctima", nos cuenta, "o incluso averiguar información personal de la misma a partir de publicaciones en redes sociales para intentar convencerla de que le proporcione información o le permita saltarse sistemas de seguridad establecidos"

Si eres el dueño de una empresa alguien podría estar cotilleando tus redes sociales o espiándote en persona. Con algunos de los datos que consiga obtener sobre tu persona se intentará hacer pasar por ti para darle a tus proveedores una dirección bancaria fraudulenta. Con ella, en vez de pagarte a ti le estarían pagando directamente al suplantador.

Lo que nos quiere decir es que seamos cautos cuando estemos conociendo a personas nuevas, un clásico de los tiempos de la vida offline. Tenemos que ser conscientes de qué tipo de información compartimos y cual puede ser utilizada en nuestra contra. No deberíamos herir sentimientos previniendo, porque lo lógico es que cualquier persona entienda que no le contemos nuestra vida las primeras veces que hablamos.

Otro de los métodos clásicos utilizados por los atacantes es el phishing mediante ingeniería social. Nos pueden enviar SMS, correos electrónicos o una URL a una web aparentemente real, pero que es sólo una copia de la original diseñada específicamente para engañarnos y obtener nuestros datos. ¿Cómo podemos diferenciarlas?

Albors  cuenta que lo primero que nos debería hacer sospechar es que sea un mensaje que no esperamos. Si alguna vez te encuentras pensando que es raro que tu banco o una web se ponga en contacto contigo por este medio para un tema que nunca habíais tratado así, mejor desconfiar. Y cuidado con abrirlos por pura curiosidad, porque puede jugarnos malas pasadas.

"Algunos consejos que podríamos ofrecer es desconfiar de los ficheros adjuntos, especialmente si son ejecutables (la minoría) o vienen comprimidos y utilizan una extensión poco frecuente (js, vbs, hta, etc.)", nos explica, "además de revisar los enlaces que nos proporcionan, puesto que suelen estar acortados o suplantar alguna web original (phising)".

Nuestro hacker de cabecera también explica que existen varias herramientas como el framework Metasploit o el SET (Social-Engineering Toolkit), diseñadas para automatizar estos ataques. También nos advierte de que otro método utilizado es el abandonar USBs con contenidos que puedan ser de interés para la víctima e inciten a abrir el fichero.

"Por ejemplo, dejar un pendrive abandonado en una oficina con una hoja de cálculo Excel con el sugerente título 'Relación despidos 2017'", nos cuenta. "Estoy seguro que muchos deshabilitarían las medidas de seguridad que incorpora MS Office por defecto, y que no permiten la ejecución de Macros maliciosas, con tal de ver su contenido".

Nunca se sabe cuándo podemos estar siendo víctimas de un ataque de ingeniería social, salvo que estemos especialmente entrenados, y esa persona tan simpática que acabamos de conocer en la cola de embarque de un avión puede estar queriendo sacarnos información que no deberíamos compartir.

Una de las herramientas más populares es el Social-Engineering Toolkit o SET. Se trata de una única recopilación de herramientas para realizar ataques avanzados contra el elemento humano. Esto puede ser útil tanto para crackers como para empresarios que quieren testar la seguridad de su empresa y cómo se comportan sus empresarios ante estas amenazas.

Entre otras cosas, esta herramienta permite diseñar y crear ataques de phishing mediante correos electrónicos que se le envían a la víctima. También permite utilizar múltiples ataques basados ​​en la Web para comprometer la seguridad de la posible víctima, como por ejemplo clonar páginas como Facebook alojándolas en nuestro servidor para obtener los datos que rellene quien entre.

A su vez, la aplicación permite simplificar la creación de ficheros .exe maliciosos, o realizar ataques masivos enviando correos electrónicos a múltiples víctimas personalizando los mensajes. Entre sus funciones el SET también ofrece la posibilidad de crear medios infectados con metasploits que utilizan el archivo autorun.inf.

Como conclusión podemos decir que efectivamente nosotros somos el mayor punto débil de nuestra seguridad, y que los atacantes no sólo lo saben, sino que llevan años aprovechándose de ello. Por lo tanto toca tomar conciencia de estos peligros y estar atentos, sobre todo tratando de no revelarle a un desconocido información sensible y estando atento a las posibles estafas mediante correos electrónicos o mensajes de móvil.

  1. Cuatro lecciones del auge y caída de HP, la primera gran "start-up"
  2. David Rose: "Los cuentos son clave para desbloquear objetos inteligentes"
  3. El Botnet Mirai ahora atacó a Routers y dejó sin Internet a 41 millones de usuarios
  4. El lugar donde Alan Turing descifró el código de los nazis será una escuela de seguridad informática
  5. FiberMesh y SmartLighting, dos nuevas soluciones de Furukawa para Ciudades Inteligentes

FUNDACION PROYDESA academia@proydesa.org | [+54] 9 11 5184-5746 (Celular - WhatsApp) | Suipacha 280 | Ciudad Autónoma de Buenos Aires | Argentina

© Copyright 2025
Cursos disponibles
Inscribite hoy mismo!
Cableado Estructurado de Datos
Inicia: 10/11/2025
Online | Intensiva
Inteligencia Artificial y Ciencia de Datos
Inicia: 12/11/2025
Online | Regular
CCNA 1 v7: Introduction to Networks
Inicia: 15/01/2026
Online | Intensiva
CCNA 2 v7: Routing, Switching and Wireless Essentials
Inicia: 15/01/2026
Online | Intensiva
CCNA 3 v7: Enterprise Networking, Security and Automation
Inicia: 15/01/2026
Online | Intensiva
ver todas