facebook
Redes Sociales Seguridad

Phishing en Facebook

Los usuarios por norma general tenemos la lección aprendida y ya sabemos que nuestro  banco, compañía de seguros, Apple o incluso PayPal jamás nos solicitará nuestras claves de acceso, y que existen cibercriminales que se dedican a recabar este tipo de información con fines del todo oscuros.

Esa parte de lección se ha automatizado para medios como el correo electrónico, pero no tanto en otros sitios en los que confiamos plenamente como puede ser la red social Facebook.

//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

(adsbygoogle = window.adsbygoogle || []).push({});

Hay diferentes tipos de engaño o artes dudosas, porque a veces la finalidad no es la de robarnos que podemos encontrar y por ello es necesario que vayamos con muchísima precaución porque el phishing en Facebook y en las redes sociales existe.
Usurpación de marca
Las más habituales tienen que ver con la usurpación de identidades y sobre todo de marcas, perfiles falsos que en ocasiones solamente quieren tener “likes” a toda costa, para en un futuro cambiar las credenciales, esta sería la forma de actuar menos perjudicial para el usuario, pero hay otras que no lo son tanto.
Objetivo: Recoger tu usuario y contraseña
Periódicamente se publican ofertas espectaculares de algún portal de moda low cost, el gancho suele ser un modelo determinado de zapatilla por 15€ (cuando su precio habitual es de 150€), hacemos click a la que supone que es la página de ese portal para poder tener acceso a la oferta, el aspecto es exactamente igual, introducimos nuestro usuario y contraseña pero no conseguimos entrar…

Por tanto ya hemos cometido el primer error, el de introducir nuestros datos, con lo que estamos comprometiendo toda la información que dimos cuando decidimos darnos de alta.

Seguramente si hubiéramos recibido un email informando de la oferta hubiéramos desconfiado…
Sorteo espectacular
Hay dos variantes, la primera la de aquellos perfiles que se hacen pasar por una empresa y marca y que dicen organizar un sorteo con unas condiciones espléndidas, la mayoría de veces la intención es recopilar datos, sobre todo el NÚMERO DE TELÉFONO, con motivo de hacernos llegar mensajes premium que pagaremos cada vez que recibamos.

Algunos ejemplos: Sorteo de cruceros, sorteo de excedentes de productos tecnológicos de marcas como Apple o Samsung… son de por sí bastante sospechosos.

La otra variante es la de concursos en los que finalmente no se regala nada y que tiene como intención recibir “likes”, en este caso como digo el premio es inexistente porque lo importante para el perfil es conseguir fans.

En este caso es necesario confirmar la política de privacidad, las condiciones y términos, para ver si realmente se ajustan o no a lo prometido, pero este tipo de textos no suelen leerse con frecuencia.
El sentido común sigue siendo una buena opción
Nadie está exento de salir inmune de un tipo de fraude como el que encontraremos en las redes sociales, es difícilmente detectable si entramos a ella con un smartphone o tablet en la que no tenemos forma de conocer la dirección real de la página web en  la que nos encontramos.

Pensemos que es muy complicado que nos quieran regalar algo sin pedir nada a cambio, complicado no, imposible, siempre hay alguna finalidad, aunque sea la de tener nuestro email y bombardearnos con publicidad, asegurarnos antes de que realmente estamos ante un sorteo real es una buena opción.

Y si detectamos fraude avisar a conocidos y amigos para que no caigan en la trampa.

iphone
Seguridad Tecnología

Porque un iPhone es más seguro que un Android

A veces es complicado discutir sobre telefonía con alguien que tiene las ideas muy cerradas sobre un determinado sistema operativo o prejuicios sobre las diferentes marcas, como puede ocurrir con Apple, hay quien piensa que sólo se paga una imagen, lo que no es incierto del todo, pero también hay una calidad detrás que es totalmente indiscutible.

Por cierto, los que en su día tuvimos que pagar una vez por instalarnos Whatsapp en el iPhone, ahora lo tenemos gratis de por vida, y con las actualizaciones de software igual, por mucho que haya quien diga que las apps de un iPhone o de un iPad son de pago, como si en el Play Store de Google todo fuera gratis, pero eso es otro debate en el que ya entraré o no.

Ahora os quiero hablar de la seguridad, de esa asignatura pendiente en cualquier terminal que lleva Android, y que poco a poco van mejorando, mientras que en Apple siempre se ha mantenido un cierto nivel, gracias en parte a la reestricción de las aplicaciones que se publican en su App Store, pero también de la arquitectura que a nivel de seguridad presenta cualquiera de los dispositivos.

Esto no quiere decir que no sean infalibles, pero sí que presentan algunos mecanismos que harán que sean más difíciles de poner en jaque.

A la hora de encender el mismo dispositvo se realiza una comprobación del certificado raíz del chip y los datos se cambian de ubicación de forma aleatoria.
//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

(adsbygoogle = window.adsbygoogle || []).push({});

Sobre las apps instaladas, no solamente es que se hayan revisado previamente, también presenta un sistema gracias al cual evita que el código se automodifique, además de otro que hace de sandboxing, o lo que es lo mismo, aisla cada una de las aplicaciones para que no puedan comunicarse con las otras, es decir que no pudiera acceder a archivos y copiar datos de otras apps, lo que podría ser realmente comprometido.

Otras funcionalidades que vienen de serie son la posibilidad de borrado remoto del dispositivo en caso de robo, localización geográfica o la posibilidad de hacer una foto, funciones que en otros sistemas operativos no existen o en los que es necesario pagar para disponer de ellos, generalmente gracias a terceros como desarrolladores de antivirus o de otras aplicaciones.

No he hablado de otros temas como criptografía o cifrado de datos, en los que en este caso, igual que el resto de aspectos, iOs no tiene rival.
La seguridad en un iPhone no es perfecta
A pesar de que iOs sea uno de los sistemas operativos para móvil más seguros que podemos encontrar en la actualidad, está claro que no es perfecto, y que podemos encontrar algunas vulnerabilidades, debidas a nuevos sistemas que utilizan la nube, o lo que es lo mismo, internet, para ofrecer nuevos servicios, como es el caso de iCloud, todos recordamos el robo de imágenes de celebrities y la opacidad con respecto a esta noticia.

Otra cosa distinta es si el mismo usuario se encarga de destrozar esa seguridad en su iPhone, esto es si hacemos jailbreak pensando que estamos convirtiendo nuestro smartphone en una máquina más completa, pero en realidad al piratear un dispositivo de Apple lo que estamos haciendo es cargándonos el entramado de seguridad, lo menos malo que nos puede pasar es instalar aplicaciones sin certificar, lo peor es que damos acceso a malware a un producto que de fábrica lo impedía, o que al menos estaba preparado para impedirlo.

En definitiva cualquier dispositivo con Android sigue siendo mil veces más vulnerable que cualquier iPhone, como desarrollador es muy fácil publicar en el Play Store malware, antes de que se den cuenta de que realmente es código malicioso, y esto es algo muy triste, para un sistema tan utilizado, sobre todo porque los chicos de Google suelen hacer las cosas muy bien, pero en esto quizás les ha faltado pensar un poco más, desde el principio.

//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

(adsbygoogle = window.adsbygoogle || []).push({});

phishing
Seguridad

Los problemas del phishing

Ayer fue el día de los inocentes y otro año más internet se llenó de bromas y noticias falsas, esas inocentadas que en esa fecha pueden resultar graciosas y sin maldad.

Sin embargo otra cosa bien distinta es lo que llamamos phishing, que no dejan de ser estafas y engaños que invaden la red y también otros medios como el teléfono y que únicamente buscan robarnos, la identidad, y el dinero, hay tantos casos que vale la pena escribir un post hablando de algunos de ellos.
Confirmar los datos de PayPal
Recibir un email en el que se nos obliga a acceder a nuestra cuenta de PayPal o perderemos el límite que tenemos de crédito.
//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

(adsbygoogle = window.adsbygoogle || []).push({});

Totalmente falso, jamás PayPal nos solicitará nuestros datos de acceso y en todo caso siempre sabemos donde tenemos que ir a la hora de hacerlo que es la dirección oficial paypal.com, accediendo siempre desde el navegador y nunca desde el mail.

Sobre todo porque la web a la que redirije el mail no es la de Pay Pal, aunque seguramente tendrá todo el aspecto, es una falsificación.
Las falsas Páginas Amarillas
Páginas Amarillas es una guía de prestigio que tiene una muy buena posición en internet y una recomendación es la de aparecer si se es una empresa o un profesional.

Una vez contratado, apareciendo en los resultados de internet, recibimos una llamada de una empresa que juega con la confusión, por lo general suelen decir algo así como “llamamos del departamento comercial de —- Amarillas para confirmar los datos”, en lugar de páginas, el nombre es distinto y no tienen absolutamente nada que ver con ellos, pero juegan con la confusión.

En esa llamada pedirán datos de todo tipo, y si damos la cuenta bancaria entonces nos cobrarán lo que quieran.

Jamás Páginas Amarillas solicitará datos de ninguna clase, ni a través de internet, ni tampoco por mail, y en caso de tener alguna duda, siempre podemos llamar a la persona con la que lo contratamos para ver como proceder o poniéndonos en contacto con ellos a través de los canales de atención al cliente que aparecen en su portal.
El virus de la policia
Es uno de esos casos más clamorosos en cuanto al tema del phishing, en un momento aparece en nuestro ordenador una web, que captura nuestra imagen en vídeo, con un mensaje que aparentemente es de la policia y en el que se nos multa.

La historia es que piden que el usuario pague a través de una tarjeta Ukash o PaySafeCard y la amenaza es que en caso contrario no podremos acceder a la red.

Se trata de un virus que secuestra nuestro sistema operativo y por supuesto, la policia no tiene nada que ver con ello y es necesario denunciarlo siempre.
Llame urgentemente al 807…
El phishing también existe a través de los teléfonos móviles, un día despertamos y sobresaltados descubrimos un mensaje (sea de texto o de voz), en el que se nos insta a llamar al número 80 7… y hacerlo de forma urgente, la llamada puede incluir cosas como “impagados” o “deudas”, algún tipo de cosa que nos haga dudar o preocuparnos y llamar para comprobar lo que sea.

En otros casos el mensaje es aparentemente de alguien que quiere conocernos y una referencia para que contestemos vía SMS o para llamar.

Lógicamente todo FALSO, no debemos contestar absolutamente nunca a este tipo de mensajes ni mucho menos llamar ya que son números de pago, de hecho lo que deberíamos hacer es denunciarlo a través de los foros de internet, esperemos que la legislación sea más dura con este tipo de estafas.
Acceda a su cuenta bancaria urgentemente
Una pista de que algo no va bien es que nos den prisas a la hora de hacer algo, palabras como urgentemente o de ese estilo intentan aturdir para que caigamos en la trampa.
//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

(adsbygoogle = window.adsbygoogle || []).push({});

El correo electrónico de entidades bancarias suplantadas todavía va dando vueltas por ahí y de vez en cuando hay alguien que desgraciadamente pica.

Por mucho que parezca un correo de nuestro banco, nunca nos pedirán que accedamos.
La herencia de Zimbaue
La viuda de un hombre muy poderoso de Zimbaue (o cualquier país africano) nos envía un email explicándonos una milonga.

Normalmente la historia es la siguiente “Para poder cobrar la gran fortuna que ha dejado ese señor, necesitan una cuenta bancaria y los datos de quien lo recibe”, vaya, que en este caso encima te están pidiendo que colabores tú en una estafa, y en realidad a quién quieren estafarte es a tí…

Ni se os ocurra ni contestar a este tipo de correos.
Falsas ofertas de trabajo
Hay variantes curiosas de este tipo de phishing, por lo general la falsa oferta de empleo lo que pretende es que abones una cantidad de dinero a cambio de un curso previo, o de unos papeles, por ejemplo si la oferta es en el extranjero.

Otra variante de este engaño es una oferta en la que se nos insta a dar una cuenta bancaria para recibir una cantidad, parece que el negocio sea muy rentable, porque no se nos pide nada a cambio o devolver una cantidad inferior cuando haya pasado un tiempo, a modo de comisión.

Este tipo de ciberdelincuentes “trabajan” con cuentas de todo tipo para sus artimañas, más vale que desconfiemos siempre ante negocios demasiado fáciles.
Este Amazon me lo han cambiado
Hay un malware que hace lo siguiente, te lleva a otra página web distinta de Amazon cuando intentas acceder a su tienda online, si tenemos suerte el aspecto es decaradamente distinto a la de este comercio en internet.

Si por lo contrario es “bastante parecida”, nuestro antivirus, si de verdad es un antivirus fiable, nos saltará con un mensaje de intento de phishing.

Este caso me lo encontré este mismo año y gracias a Panda, que es el que uso desde hace muchos años pude ahorrarme dinero y disgustos.
Prevenir es mejor que curar
Sigue la lógica y ante la mínima duda ponte en contacto con alguien de confianza que trabaje en el banco, también es recomendable seguir los perfiles de la policia en internet, como puede ser Twitter, de esta forma podremos consultar o denunciar.

Otra recomendación es la de invertir algunos euros cada año en un buen antivirus, nunca me cansaré de repetirlo, pero es la forma en la que detectaremos rápidamente cualquier tipo de intrusión, amenaza o intento de suplantación, además este tipo de software suele venir dotado con sistemas de protección y seguridad como teclados virtuales o cortafuegos.

Aún así no hay nada infalible, pero si por lo menos lo ponemos algo más difícil a los que nos quieren estafar tendremos más posibilidades de salvarnos.