En este episodio número 35 describimos y comentamos ejemplos de qué son y cómo afectan los ataques de cadena de suministro o supply-chain attack.

Ataques de cadena de suministro copia

La persona que nos presta su voz para presentar el episodio es Borjo, podcaster en Archivos de mundomente, disponible en ivoox, y también en El Club del Comic.

En el episodio hemos descrito en qué consisten los ataques de cadena de suministro y hemos hecho un repaso por algunos casos reales:

• NotPetya: https://blog.talosintelligence.com/2017/07/the-medoc-connection.html
• Extensiones maliciosas de Google Chrome: https://www.proofpoint.com/us/threat-insight/post/threat-actor-goes-chrome-extension-hijacking-spree
• ShadowPad backdoor: https://arstechnica.com/information-technology/2017/08/powerful-backdoor-found-in-software-used-by-100-banks-and-energy-cos/
• Ataque a usuarios de ASUS: https://www.silicon.es/un-ataque-a-la-cadena-de-suministro-podria-haber-afectado-a-mas-de-1-millon-de-usuarios-de-asus-2393205
• Ataque a usuarios de CCleaner: https://www.kaspersky.com/blog/ccleaner-supply-chain/21785/

Durante el audio mencionamos un episodio sobre DNS de Eduardo Collado que podéis localizar con el título Seguridad en DNS.

La foto de la portada es de Nelson Minar.

La entrada «Ataques de cadena de suministro» se publicó originalmente en AVpodcast.

Debido a la urgencia de la situación social actual y a la imposibilidad de dedicar el tiempo necesario por parte de Raúl y Sergio a la grabación de un tema tan importante como la importancia de la cultura digital en la sociedad actual, el episodio se ha visto reducido a un ejemplo ilustrativo. Esperamos sea de vuestro agrado.

Cultura Tecnológica

La voz que presenta este episodio es la de Margot Martín (@El_Recuento), presentadora de El Recuento en Onda Madrid y del podcast El Recuento.

La entrada «Cultura tecnológica ¿Por qué la necesitamos?» se publicó originalmente en AVpodcast.

Como no está demás hablar de las cosas importantes de la vida y nosotros hablamos de seguridad de la información: ¿Qué mejor que hablar con alguien que ha tenido cargos políticos para hablar de concienciación y ciberseguridad tras las filtrasciones de datos de políticos en Alemania?. Para hablar del tema hemos invitado a Pedro Sánchez, el podcaster, no el presidente del Gobierno de España.

Bundes-Hack

La voz que presenta este episodio es la de Iván Patxi (@ivanpatxi), presentador de los podcasts El Callejero.

Índice

• 00:00:00 – Introducción
• 00:01:27 – Noticias.log
  • 00:03:07 – Vulnerabilidad en FaceTime
  • 00:07:54 – Apple revoca certificados de Facebook
  • 00:11:55 – 773 millones de direcciones de email
  • 00:15:13 – Filtración de 100 millones de apuestas online
• 00:21:11 – Error 503: Bundes-Hack
• 01:19:47 – Despedida

Noticias.log

Vulnerabilidad en FaceTime – 00:03:07

Descubierta vulnerabilidad en el servicio de video-llamadas grupales de Apple que permitía escuchar a interlocutores que no hubiesen aceptado la llamada. Puedes ampliar la información comentada en el programa con la noticia comentada en Mixx.io.

Apple revoca certificados de Facebook – 00:07:54

El incumplimiento de los términos y condiciones para el Enterprise Developers Program por parte de Facebook causa que Apple revoque el certificado con que se firman sus aplicaciones corporativas.

Podéis ver más información al respecto en esta conversación de Twitter @alexeheath.

773 millones de direcciones de email – 00:11:55

Se descubre un repositorio con 773 millones de direcciones de emails y más de 20 millones de contraseñas únicas. Todo ha sido volcado a haveIbeenpwned.com.

Más información disponible en el blog de Tory Hunt.

Filtración de 100 millones de apuestas online – 00:15:13

El caos se desata con la caída de Telegram, o no tanto porque la mayor parte de la gente usa WhatsApp. Bromas a parte, Telegram ha sufrido problemas a la hora de dar sus servicios el día 29 de Abril de 2018. Parece ser que por cortes de suministro eléctrico.

Puedes leer la noticia completa en el blog de SOPHOS.

Error 503: Bundes-Hack

A partir del 00:21:11

El pasado 3 de enero de 2019 se hizo público que la cuenta de Twitter @_0rbit, actualmente suspendida, y con el nada grandilocuente nombre de usuario “G0d”, había estado publicando información personal sobre miembros de la clase política alemana al más alto nivel, incluyendo a la propia Angela Merkel.

Parece que la información empezó a filtrarse en Diciembre de 2018 aunque el descubrimiento público y la alerta oficial llegó la tarde del Jueves del 3 de enero de 2019.

El BKA o Bundeskriminalamt ha arrestado, a penas 48 horas tras la filtración, al supuesto autor de la filtración. Un joven de 20 años de Hesse, un estado del oeste de Alemania. El sujeto confesó y colaboró con la justicia. Aseguró, y parece que los investigadores le creen, que actuó en solitario y que su motivación fue el desencanto con la clase pública compuesta por políticos, periodistas y algunas personas públicas.

Parece ser que el único partido representado sin miembros afectados por la filtración es Alternativa por Alemania, un partido de extrema derecha, pero no hay evidencias de que sea la filiación política del acusado.

Lo interesante de la noticia es la relevancia de las personas afectadas en una potencia mundial como es Alemania, no tanto porque los datos fuesen especialmente críticos. El sospechoso parece que no es es un gran especialista en tecnologías de la información, aunque en muchos medios se refieren a él como hacker.

Por lo que parece, el ataque se desarrollo en base a investigación de fuentes abiertas, la obtención de contraseñas de cuentas privadas en algunas redes sociales y, a partir de ahí, investigación.

Aquí me gustaría recalcar que cuando se dice eso de “Me han hackeado la cuenta de Facebook” o de lo que sea, lo que se quiere decir es que han descubierto, por el medio que sea, la contraseña del usuario puesto que hackear la cuenta implicaría, siguiendo con el ejemplo, hackear a Facebook para acceder a esa cuenta. Algo que dista mucho de la realidad en la inmensa mayoría de los casos. Y este de Alemania no es distinto.

De las cerca de 1000 personas afectadas, parece que casi 400 son políticos. Entre los datos filtrados hay números de teléfono, fax, direcciones de correo, historiales de pago, números de tarjetas de crédito, carnets de identidad, etcétera.

Amplía la información en los siguientes enlaces:

• https://www.dw.com/en/angela-merkel-and-hundreds-of-german-politicians-hacked/a-46955419
• https://www.dw.com/en/german-hacker-behind-massive-political-data-leak-identified/a-46991625
• https://www.infobae.com/america/tecno/2019/01/04/hackears-filtraron-datos-personales-de-angela-merkel-y-cientos-de-politicos-alemanes/
• https://www.hacking.land/2019/01/filtran-datos-de-m-de-400-pol-alemanes.html

La entrada «Bundes-Hack» se publicó originalmente en AVpodcast.

Como cada año nuevo, el episodio de enero lo dedicamos a algunas noticias de hacks, leaks y problemas de ciberseguridad de distinto tipo que han tenido lugar durante el año previo. No están todas las noticias del año, sólo algunas de las que hemos considerado más representativas. Al fin y al cabo, se trata de hablar sobre seguridad de la información y ciberseguridad.

Hacks 2018

Este episodio número 32 viene presentado por Chema Hoyos (@Chema_Hoyos), del podcast EnSerie. Se trata de un programa en el que se analizan las novedades seriéfilas de las plataformas de streaming más populares. Anímate y deja que Chema, Pedro, Federico, entre otros seriéfilos, te cuenten qué hay de nuevo.

Hacks 2018

Meltdown y Spectre

Las vulnerabilidades de los procesadores modernos

• Incibe-Cert – Meltdown y Spectre: Las vulnerabilidades de los procesadores modernos.
• Episodio sobre Melddown y Spectre en Bitácora de Ciberseguridad.

Datos de Fedex filtrados

Datos de clientes de Bongo International LLC, adquirida por FedEx en 2014, alojados en Amazon S3 quedan al descubierto años después.

• https://kromtech.com/blog/security-center/fedex-customer-records-exposed

Filtrada la base de datos del DNI de la India

Incluye datos de identificación, biométricos, bancarios… El gobierno lo niega pero las pruebas son evidentes.

• https://www.zdnet.com/article/another-data-leak-hits-india-aadhaar-biometric-database/

Antivirus falsos para Android

Una investigación de ESET y una ampliación llevada a cabo por Lukas Stefanko muestran decenas de supuestos antivirus que, por lo general, son fraudes.

• https://twitter.com/LukasStefanko/status/1067828960623558656
• https://www.welivesecurity.com/2018/04/05/google-play-ad-slingers/

Contraseñas de usuarios en el log de Twitter

Un fallo de diseño de Twitter habría dejado expuestas las contraseñas de sus usuarios en texto plano en archivos de registro.

• https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html

Datos de clientes de T-Mobile

Un bug en los sistemas del operador telefónico T-Mobile permite que cualquiera pudiese ver los datos de sus clientes

• https://www.zdnet.com/article/tmobile-bug-let-anyone-see-any-customers-account-details/

Bases de datos de Firebase mal configuradas

Miles de aplicaciones tanto de Android como de iOS han filtrado datos de usuarios al usar con una configuración in incorrecta las bases de datos Firebase de Google, que es extremadamente popular como backend de programadores para Android.

• https://www.bleepingcomputer.com/news/security/thousands-of-apps-leak-sensitive-data-via-misconfigured-firebase-backends/

Polar muestra bases militares secretas

Filtrado de localizaciones de bases militares debido a la publicación de localizaciones de usuarios de la pulsera de fitness de la empresa Polar:

• https://www.theverge.com/2018/7/8/17546224/polar-flow-smart-fitness-company-privacy-tracking-security
• https://www.zdnet.com/article/fitness-app-polar-exposed-locations-of-spies-and-military-personnel/

TSMC atacada por ransomware

Un ransomware cierra varias fábricas de TSMC, uno de los fabricantes de iPhone, al integrar en sus sistemas un equipo infectado. La infección pudo extenderse a miles de equipos causando una parada de emergencia en las factorías de la compañía.

• https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad/virus-cierra-varias-fabricas-tsmc-uno-los-fabricantes-iphone

Robados datos de 380.000 clientes de British Airways

Un grupo cibercriminal modifica una librería de javascript de la web de reservas de la aerolínea y captura los datos de pago y personales de los clientes

• https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad/robados-datos-380000-clientes-british-airways

Se adelanta el cierre de Google+ por otro fallo

Google+ anuncia su cierre e informa de la exposición de 500.000 cuentas de usuarios.

• https://www.incibe-cert.es/alerta-temprana/bitacora-ciberseguridad/google-anuncia-su-cierre-e-informa-exposicion-500000-cuentas

Filtración de clientes de la cadena hotelera Marriot

Posiblemente se trate de un ciberataque APT desarrollado por un actor con propósitos de inteligencia militar. Los datos no se han filtrado públicamente en la dark web, lo que favorece la hipótesis anterior.

• https://www.nytimes.com/2018/11/30/business/marriott-data-breach.html

1ª Sanción basada en el RGPD

Una noticia que conocemos gracias a Javier Pérez, en el grupo de Telegram de Securizando: primera sanción fundamentada en el reglamento general de protección de datos.

• https://www.infosecurity-magazine.com/news/german-regulator-fines-firm-for/

Amazon envía 1.700 grabaciones de audio de un cliente de Amazon Echo a otro cliente

Tal y como suena. Un cliente recibe grabaciones de Echo aunque no es usuario del servicio y la compañía le ignora hasta que una revista investiga las grabaciones e identifica al propietario de las mismas.

• https://unaaldia.hispasec.com/2018/12/amazon-envia-por-error-1-700-grabaciones-de-alexa-de-otro-cliente.html

WordPress infectados atacando otros WordPress

Un fallo de seguridad de XML-RPC de WordPress permitía la propagación de un ataque de forma automatizada de una instancia a otra del CMS.

• https://www.elladodelmal.com/2018/12/battle-royale-wordpress-infectados.html

Routers Livebox Orange filtran credenciales de acceso a la red WiFi

Los datos se encuentran disponibles en archivos accesibles por HTTP desde la interfaz WAN.

• https://www.adslzone.net/2018/12/24/routers-livebox-vulnerabilidad-wifi/
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/fuga-credenciales-wi-fi-routers-livebox-orange

Las 100 peores contraseñas del año

Como es costumbre, cada año se publican las peores contraseñas. Bien es cierto que se trata de las contraseñas más frecuentemente filtradas. Por algo será.

• https://www.teamsid.com/splashdatas-top-100-worst-passwords-of-2018/

El consejo del día

En Information is beautiful podemos encontrar un gráfico de los leaks más famosos considerando distintos factores como relevancia mediática y cantidad de datos filtrados. Se puede filtrar por periodo, sector, etcétera. Un recurso muy interesante para darnos cuenta de que no existe la seguridad 100%. El diagrama sólo muestra filtraciones que tengan más de 30.000 datos. imaginemos cuántas más hay. El título es: World’s Biggest Data Breaches & Hacks, o lo que es lo mismo, Las mayores brechas de datos y hacks del mundo.

La entrada «Hacks 2018» se publicó originalmente en AVpodcast.

Despedimos el año 2018 con el trigesimoprimer episodio del podcast, una charla amena y distendida con los componentes del podcast República Web, dos profesionales del desarrollo web, incluyendo programación y diseño. Con ellos hablamos de su trabajo, de las redes sociales, de la tecnología como tópico, etcétera.

Diseñadores Web

República Web es un podcast de Javier Archeni (@javierarcheni) y Andros Fenollosa (@androsfenollosa). Ambos trabajan, entre otras cosas, en el desarrollo de páginas web y tanto Raúl (@raula49) como Sergio (@s_rsolis) estamos encantados de charlar con ellos.

Como hemos tratado varios temas, os vamos a dejar a continuación algunos enlaces de interés:

• Sobre el plugin para WordPress de cumplimiento con RGPD que tanto revuelo ha causado:
  • Wordfence: Trends Emerging Following Vulnerability In WP GDPR Compliance Plugin
  • Potencia Pro: Cómo detectar el fallo de seguridad de GDPR en tu web
• Base de datos de vulnerabilidades de WordPress y plugins de esta plataforma: wpvulndb.com
• Script para analizar página con WordPess: wpscan.org
• What every browser knows about you: webkay.robinlinus.com

Esperamos que disfrutéis escuchando el episodio tanto como nosotros hemos disfrutado grabándolo.

Si queréis contactar con Javier Archeni, podéis encontrar todos los medios en javierarcheni.com. Y a Andros Fenollosa podéis localizarle programadorwebvalencia.com y en el centro de formación Idecrea.

La entrada «Desarrollo Web» se publicó originalmente en AVpodcast.

Este es el trigésimo episodio del podcast y estas tres decenas las celebramos colaborando con La Buhardilla Geek, un podcast de tecnología hecho desde la parte más alta de nuestras casas.

Ciberseguridad en la Buhardilla Geek

Este episodio es una colaboración entre La Buhardilla Geek, un podcast de ClubTech, y Bitácora de Ciberseguridad. Aunque las circunstancias no fueron propicias para la participación de Raúl Fernández (@raula49), estuvieron Juan Ángel (@siarcrpg), Luismi (@LuismiPsicologo) y Sergio (@s_rsolis).

El episodio comienza con una encuesta a traición a Sergio por parte de Juan Ángel y Luismi. Luego a lo largo de las 2 horas de programa, se ha hablado del router de nuestra casa, de la seguridad WiFi y de herramientas para monitorizar nuestra red como Fing o Domotz, por ejemplo. Se han tratado temas como el uso de firewalls y de antivirus, incluso de máquinas virtuales para maximizar el aislamiento de nuestros equipos. También hemos mencionado los muy necesarios VPN y de muchas otras cosas. Todo ello aderezado con anécdotas y casos reales.

Esperamos que disfrutéis escuchando el episodio tanto como nosotros hemos disfrutado grabándolo.

Si queréis contactar con La Buhardilla Geek, aquí tenéis sus coordenadas:

• Twitter: @BuhardillaGeek
• Correo: labuhardillageek [@] gmail [.] com
• Web: clubtech.es
• Telegram: t.me/ClubTechOnline

La entrada «Ciberseguridad en la Buhardilla Geek» se publicó originalmente en AVpodcast.

Este nuevo episodio vuelve a traer a los micrófonos a un invitado, en esta ocasión el perito informático forense Lorenzo Martínez. Íbamos a decir que le entrevistábamos, pero el tío es la mar de majo y casi con abrirle el micrófono es suficiente para que nos regale información con su estilo desenfadado y de buen humor.

Informática Forense con Lorenzo Martínez

Lorenzo Martínez, @lawwait en Twitter, es ingeniero informático y se ha especializado en seguridad informática al punto de dedicarse a la informática forense, las auditorías de seguridad, la respuesta a incidentes y a la formación. Diríamos mucho sobre el, pero está todo en el audio, así que vamos a dejaros enlaces donde podéis obtener información sobre su empresa, Securízame, sus servicios y cursos y vídeos de Youtube en los que podéis verle en acción.

• Twitter: @lawwait
• LinkedIn: Lorenzo Martínez Rodríguez
• Securizame.com
  • Cursos
  • Certificaciones
• Artículos de Lorenzo en Security By Default

También podéis encontrar algunas de sus conferencias en Youtube:

• Canal de Youtube de Securizame
• En Palabra de Hacker:
  • Un hacker es…
  • Análisis forense digital: qué es y cómo se investigan las evidencias
  • Cibercrimen: la autoría de los ciberdelitos
• Memorias de un perito informático Vol. IV. Actualmente está impartiendo la charla Vol. IV+I, como dice durante la entrevista, pero también encontraréis por ahí las ediciones anteriores.

Al hablar de certificaciones nos comentó que algunas pecan de exceso de confianza hacia los aspirantes además de que las que son puramente teóricas pueden practicarse como si el test del carné de conducir se tratase. Nos ha pasado un ejemplo por si a alguien le interesa verlo.

Consejo del día

Le hemos preguntado a Lorenzo qué aconseja a quien quiera iniciarse en el mundo de la ciberseguridad y no ha podido ser más claro: Hay que empezar por aprender y practicar administración de sistemas.

La entrada «Informática Forense con Lorenzo Martínez» se publicó originalmente en AVpodcast.

Comienza la 3ª temporada de Bitácora de Ciberseguridad y no se nos ocurre mejor forma de hacerlo que con un repaso relajado entre Raúl y Sergio por algunas noticias de ciberseguridad que hemos conocido este verano.

Summer Leak

Como hemos dicho, es un inicio de temporada, así que necesitábamos una presentadora de auténtico lujo, por lo que hemos pedido prestada su voz a Teresa, @HonkyMiss, para la introducción. Teresa es la jeférrima del podcast Invita la Casa que graba con Hugo y Juliáná. También es autora de podcasts como Botón de Muestra, y Efectos Personales, además de fundadora del Club QWERTY de lectura.

Noticias

00:05:47 – Cuentas robadas en la Dark Web.

Visto en GenBeta. Sober la comercialización de listas de credenciales de cuentas de usuario en servicios OTT a través de la Dark Web.

00:11:06 – Ha llegado TLS 1.3

La nueva versión del conocido protocolo de comunicaciones cifradas SSL está disponible tras 10 años de TLS 1.2 mejorando tanto rendimiento como seguridad.

Más información, y con mucho detalle, en el blog de CloudFlare escrito por Nick Sullivan.

00:16:00 – TSMC sufre retrasos por ciberataques

El mayor fabricante de chips del mundo ha sufrido una infección por malware que puede haber afectado a varios miles de equipos de su sistema de producción por lo que empresas de gran importancia como Huawei, Apple y otras sufrirán retrasos en la recepción de microprocesadores y otros chips.

Noticia vista en Xataka. Información adicional en The Hacker News donde indican que el malware que afectó a TSMC pudo ser una variante de WannaCry. En el episodio 12 de este podcast hablamos sobre el ransomware WannaCry.

00:24:32 – Filtrados datos de asistentes a BlackHat

El amigo V, del grupo de Telegram de Securizando, del amigo Andreu, nos pasaba la noticia de que se han filtrado los datos personales de los asistentes a la conferencia de hacking más famosa del mundo, la BlackHat en Las Vegas. Para dejarlo todo claro, nos comenta que el vió la noticia en el canal de telegram de https://t.me/SeguridadInformatica.

El caso es que NinjaStyle, un experto en seguridad, descubrió una vulnerabilidad en una API de una aplicación que permitía descargarse todos los datos de los asistentes. Toda la información en https://www.bleepingcomputer.com/news/security/legacy-system-exposes-contact-info-of-blackhat-2018-attendees/

00:32:09 – Ciberchantaje por incumplir RGPD

Cibercriminales que, además de atacar empresas con ransomware para sacarles el dinero por el rescate de los archivos, roban información y emiten informes de seguridad para amenazar a esas mismas empresas con denunciarlas ante la Agencia Española de Protección de Datos por incumplimiento del Reglamento General de Protección de Datos de la Union Europea, que puede conllevar multas de hasta 20 millones de euros o del 4% de la facturación global anual.

Hemos visto la noticia en publico.es.

Consejo del día

A partir del minuto 00:45:11 del programa.

Hablamos del chuletario de comandos de terminal de Linux desarrollado por MANZ y que descubrimos en Podcast Linux. Tenéis toda la información en https://terminaldelinux.com/.

También mencionamos la cuenta de Twitter @b0rk, donde Julia Evans comparte tarjetas ilustradas sobre comandos de terminal.

Y ya que va de linux el conjunto de consejos de este episodio, no podemos dejar de recomendaros que os paséis por maratonlinuxero.org, un gran proyecto de divulgación de software libre.

La entrada «Summer Leak» se publicó originalmente en AVpodcast.

Estamos en julio y para sobrevivir mejor al calor veraniego hemos decidido seguir a unos conejos y meternos en su madriguera. Hablamos de Follow the White Rabbit. Una comunidad de hackers que comparte sus conocimientos e investigaciones en fwhibbit.es.

Madriguera de hackers

Para la presentacion del episodio contamos nada más y nada menos que con el hombre multiplataforma, el Salmorejo de lo geek, el cantante que intenta cantar Cosas de Modernos, el famoso Yoyo Fernández. Salmorejo Geek es su proyecto principal en el que combina blog, canal de Youtube y podcasting, y en Cosas de Modernos comparte micrófono con otros dos personajes, a cada cual más loco para hacernos pasar un rato divertido.

Enlaces

Durante el episodio hemos hablado de distintas páginas y también artículos dentro del propio blog de FWHIBBIT. Aquí los tienes todos:

Seguridad física – Detección de presencia mediante uso de tiranosaurio: https://www.fwhibbit.es/seguridad-fisica-deteccion-de-presencia-mediante-uso-de-tiranosaurio

Artículos de los invitados

Hartek – Proyecto AIRE

• https://www.fwhibbit.es/aire-i-introduccion-y-recogida-de-datos-mediante-sonda
• https://www.fwhibbit.es/aire-ii-instalacion-y-uso-del-sistema-de-analisis

Nebu – The Path of the Samura – Time to stop 4a Beer! https://www.fwhibbit.es/the-path-of-the-samurai-time-to-stop-4a-beer

Artículos que destacan de compañeros de FWHIBBIT:

Belane – El nodo que todo lo ve: https://www.fwhibbit.es/el-nodo-que-todo-lo-ve

Shargon – 24 horas en la vida de un nodo de salida de Tor: https://www.fwhibbit.es/24-horas-en-la-vida-de-un-nodo-de-salida-de-tor

Fran (@0fjrm0) – 24 Horas en la vida de mi router doméstico: https://www.fwhibbit.es/24-horas-en-la-vida-de-mi-router-domestico

Otros enlaces de FWHIBBIT

• FWHIBBIT en RootedCON: https://www.fwhibbit.es/un-paso-mas-rootedcon2018
• CTF the FWHIBBIT: https://www.fwhibbit.es/i-edicion-ctf-fwhibbit-capture-the-rabbit
• Telegram FWHIBBIT: https://t.me/fwhibbit

Otras fuentes para informarse y aprender

• HackXCrack: https://hackxcrack.net/
• Informática64 ahora es ElevenPaths https://www.elevenpaths.com/
• Una al día, en Hispasec: https://unaaldia.hispasec.com
• Grupos de Telegram. Lista publicada por HackPlayers: http://www.hackplayers.com/2018/02/grupos-de-telegram-sobre-hacking-y.html

Películas de hackers

• BlackHat: https://www.imdb.com/title/tt2717822/
• Algorithm: https://www.imdb.com/title/tt3293462/

La entrada «Madriguera de hackers» se publicó originalmente en AVpodcast.

Ya tienes aquí el episodio 26. Este se lo dedicamos a la asociación X1RedMásSegura, que los días 18 y 19 de Mayo celebró la 6ª edición de sus jornadas en la Escuela Técnica Superior de Ingenieros de Telecomunicación (ETSIT) de la Universidad Politécnica de Madrid.

X1RedMásSegura

La introducción de este episodio viene de la mano de Gorka Fernández, creador del podcast El Timbre del Desarrollo Personal. Un podcast de psicología práctica y coaching con bastante toque cinéfilo. Podéis descubrir más sobre Gorka, su trabajo y su profesión en su página web: gorkafernandez.net.

Índice

• 00:00:00 – Introducción
• 00:01:36 – La RGPD ya está aquí
• 00:14:01 – Jornadas X1RedMásSegura y entrevistas
  • 00:13:02 – Aplicaciones de formación y concienciación para fomentar el buen uso de Internet y de la Tecnología
  • 00:23:14 – Israel Córdoba: Máquina Total Social 2018
  • 00:37:57 – Virginia Tovar y Jorge: Mamá, quiero ser Hacker
  • 00:57:32 – Lorenzo Martínez: Consejos para una vida sana (en Internet)
  • 01:03:30 – Pablo Fernández Burqueño: Ciberseguridad para gamers
• 01:12:58 – Despedida

Noticias.log

La RGPD ya está aquí – 00:01:36

El 25 de Mayo de 2018 se acababa el plazo para adecuar los protocolos de tratamiento y protección de datos personales de ciudadanos de la Unión Europea por parte de empresas e instituciones que diesen servicio a estos ciudadanos y Raúl nos cuenta muy brevemente sus sensaciones y experiencia con el tema.

Error 503: Jornadas X1RedMásSegura y entrevistas

A partir del 00:14:01

X1RedMásSegura es una asociación sin ánimo de lucro dedicada a la difusión y concienciación de la cultura de la ciberseguridad en la que participan profesionales de la informática, las telecomunicaciones, el derecho, etc. de forma altruista.

Podéis ver todos los ponentes y ponencias que hubo en el programa de las Jornadas. y podéis ver muchas de las ponencias, creo que todas, en la grabación que hicieron para emisión en directo por Youtube. Teénis un vídeo para las ponencias del viernes por la tarde, otro para el sábado por la mañana y lo mismo para el sábado tarde.

Y como nos pareció interesante que tu, oyente, pudieses conocer a algunos de los participantes del evento, nos llevamos la grabadora y entrevistamos a algunos. Hubo más ponencias y más profesionales, pero no pudimos entrevistarles a todos así que os recomendamos ver los videos de youtube y la web de X1RedMásSegura para obtener toda la información.

Aplicaciones de formación y concienciación para fomentar el buen uso de Internet y de la Tecnología

A partir del 00:13:02

La exposición de este grupo de alumnos y de su tutor se baso que por qué desarrollar un Proyecto Fin de Carrera orientado a la concienciación y al uso seguro de las tecnologías. Explicaron en qué consiste el mismo, las encuestas que han realizado, la aplicación CiberHeroes que están desarrollando, etc.

El proyecto aún no tiene un sitio web propio, pero podéis consultar en la facultad de Telecomunicaciones de la politécnica por el director del proyecto, Gregorio, y conseguir más información. Cuando nosotros tengamos más detalles, actualizaremos estas notas.

Israel Córdoba: Máquina Total Social 2018

A partir del 00:23:14

Esta ponencia, a cargo de Israel Córdoba, versó sobre la recopilación de sus experiencias como divulgador de la ciberseguridad manteniendo un gran enfoque a los más jóvenes. Podéis localizar a Israel en Twitter y en sermicro.com.

Virginia Tovar y Jorge: Mamá, quiero ser Hacker

A partir del 00:37:57

Virginia es trabajadora social y, sobre todo, una cibermadre y Jorge es uno de sus hijos. En esta entrevista hablamos de una historia que protagonizo Jorge sobre acoso en centros escolares y sobre el proyecto BitUp Alicante.

Podéis localizar a virginia en twitter y descubrirlo todo sobre BitUp alicante en su web y, sobre todo, en su grupo de Telegram.

Lorenzo Martínez: Consejos para una vida sana (en Internet)

A partir del 00:57:32

Lorenzo es un perito informático muy profesional, ponente y además educador y entrenador. Podéis localizarle en Twitter como @lawwait. Si os interesan sus servicios profesionales o formación podéis acceder a securizame.com.

Pablo Fernández Burqueño: Ciberseguridad para gamers

A partir del 01:03:30

Pablo es abogado y gamer y de ciberseguridad y juegos nos estuvo hablando, algo que, como es ocio, mucha gente no tiene en cuenta. Hay que prestarle atención a estas cosas, no sólo si somos gamers, también si hay niños y niñas jugones a nuestro cuidado. Podéis acceder a sus servicios profesionales en Abanlex. Podéis localizarle también en twitter y su página personal pablofb.com.

La entrada «X1RedMásSegura» se publicó originalmente en AVpodcast.

Este es el vigesimoquinot episodio y la temática principal serán las contraseñas. Todo porque aunque la gente parece saber cómo deben ser, prefieren ignorarlo por comodidad. Pues esta es la causa de este episodio: explicar las razones por las que las contraseñas deben ser fuertes, únicas y secretas.

Contraseñas

La presentación de este episodio nos la regala Jorge Marín (@eove), fundador y director con batuta de hierro de Porqué Podcast. Porqué Podcast es un programa multitudinario por el número de componentes y de entretenimiento por su temática. Cada mes trae charlas entre amigos sobre los temas más variados que podamos imaginar. Una forma de desengancharnos del mundanal ruido y entregarnos al ocio sencillamente por placer, sin sentar cátedras. Porqué Podcast es un programa integrado en la red Nación Podcast, donde podéis encontrar otros programas de gran interés.

Índice

• 00:00:00 – Introducción
• 00:01:27 – Noticias.log
  • 00:01:38 – Robo en MyEtherWallet
  • 00:07:07 – Rusia bloquea Telegram
  • 00:10:27 – X1RedMásSegura
  • 00:12:19 – Telegram caído
• 00:18:19 – Error 503: Contraseñas
• 01:12:52 – El consejo del día: La contraseña del email
• 01:19:47 – Despedida

Noticias.log

Robo en MyEtherWallet – 00:01:38

Aprovechándose de malas configuraciones y faltas de previsión, unos cibercriminales han logrado transferirse gran cantidad de criptodivisas Ether de cuentas cuyas contraseñas han adquirido suplantando la web de MyEtherWallet. Eduardo Collado, en su podcast, nos cuenta los detalles y por qué una correcta gestión de los servicios de DNS es tan importante para la seguridad.

Rusia bloquea Telegram – 00:07:07

No es ninguna sorpresa. Finalmente la fiscalía Rusa ha ordenado bloquear el servicio de esta aplicación de chat en su territorio. Le exigían acceso a las conversaciones de los usuarios por motivos de seguridad, algo a lo que la empresa se ha negado, lo cual ha derivado en el mencionado bloqueo.

Podéis ver más información al respecto en la noticia de ADSLzone.

X1RedMásSegura – 00:10:27

X1RedMásSegura es una asociación dedicada a la concienciación y la cultura de la seguridad. Como cada año, celebran unas jornadas y este año son el 18 y 19 de Mayo. El viernes por la tarde y el sábado todo el día y el lugar de celebración es la Escuela Técnica Superior de Ingenieros de Telecomunicación de Ciudad Universitaria, en Madrid.

Más información disponible en la web oficial de X1RedMásSegura.

Telegram caído – 00:12:19

El caos se desata con la caída de Telegram, o no tanto porque la mayor parte de la gente usa WhatsApp. Bromas a parte, Telegram ha sufrido problemas a la hora de dar sus servicios el día 29 de Abril de 2018. Parece ser que por cortes de suministro eléctrico.

Puedes leer la noticia completa en ADSLzone.

Error 503: Contraseñas

A partir del 00:18:19

Puesto que el tema principal de este episodio son las contraseñas, vamos a empezar por los consejos básicos:

Las contraseñas deben ser

1. Largas: más de 8 caracteres.
2. Complejas: mayúsculas, minúsculas, números y símbolos.
3. Anónimas: no relacionadas con datos personales nuestros.
4. Únicas: no usar la misma contraseña en varios servicios.

Y por si eso no fuese suficiente, lo principal: las contraseñas deben ser secretas. No debemos compartirlas.

Podéis encontrar muchos listados de contraseñas más usadas para saber cuales NO usar. Aquí os dejamos el que aparece en Wikipedia como ejemplo.

Otros de los recursos y consejos mencionados son:

• Sal y pimienta
• Cambiar periódicamente la contraseña
• Implementar el doble factor de autenticación (2FA)
• Usar tarjetas de contraseñas
• Usar gestores de contraseñas

En twofactorauth.org podéis ver qué servicios disponen de 2FA para mejorar la seguridad de acceso a vuestra cuenta. Como el ejemplo que hemos mencionado es el de Gmail, en soporte de Google podéis ver cómo funciona su sistema de verificación en dos pasos.

Los gestores de contraseñas que hemos mencionado son:

• KeePass
• LastPass
• 1Password

No lo hemos mencionado en el episodio, pero una solución Open Source es Bitwarden.

El consejo del día: La contraseña del email

A partir del 01:12:52

El consejo de este episodio es muy sencillo. Sabemos que pensar en poner una contraseña distinta a cada servicio es complicado. También sabemos que tu correo electrónico es la llave maestra para la gestión de la mayor parte de servicios que utilizas.

Por lo tanto, creemos que es imprescindible que la contraseña de ese correo electrónico sea realmente difícil y distinta a cualquier otra contraseña que puedas estar usando en otros servicios.

Fe de erratas

El amigo @jonyBCN nos envía una corrección por twitter. Y como tiene toda la razón, hay que hacer fe de erratas. Amazon Sí soporta 2FA y aquí explican cómo activarlo. Muchas gracias Jony, y que sepas que ya ha sido debidamente activado .

La entrada «Contraseñas» se publicó originalmente en AVpodcast.