miércoles, 30 de marzo de 2016

Los cajeros automáticos, en el punto de mira de los ciberdelincuentes por sus «bugs»

Expertos en seguridad informática aseguran que estas máquinas contienen importantes vulnerabilidades como consecuencia de sistemas operativos anticuados                            


Se pueden «hackear» instalando «malware» en el sistema, atacando los terminales mediante un hardware conectado al cajero con un puerto USB o a través de internet
 
Los cajeros automáticos, en el punto de mira de los ciberdelincuentes por sus «bugs» 
Son utilizados por millones de personas y, a día de hoy, es una pieza angular de la economía. Los cajeros automáticos de las entidades bancarias, en su gran mayoría, están informatizados. Sin embargo, y pese a ofrecer sistemas de seguridad avanzados, contienen importantes vulnerabilidades que, explotadas de manera acertada, son los blancos de los ciberdelincuentes.


Según la firma de seguridad informática Kaspersky Lab, la mayoría de los cajeros automáticos «son muy vulnerables» y que los ataques «jackpotting», que consigue los cajeros dispensen billetes sin control, están a la orden del día. Los sistemas de los cajeros cuentan con un software poco seguro, desde reproductores de flash desactualizados con más de 9.000 «bugs» conocidos a herramientas de administración remota.


«Si antes eran necesarias herramientas pesadas para poder hacerse con el botín, ahora, con la era digital, los delincuentes pueden hacerse con el botín con unos simples pasos», explica Olga Kotechova, especialista en pruebas de penetración de Kaspersky Lab, que durante el congreso Security Analyst Summit 2016 demostró que los cajeros automáticos son muy vulnerables.
 
 
Los expertos creen que es muy sencillo «hackear» cajeros automáticos, lo que podría poner en riesgo millones de cuentas bancarias. Uno de los problemas -dicen- es que estas máquinas, rodadas con sistemas operativos muy comunes, están compuestas por subsistemas electrónicos con controladores indudustriales que, detrás de ellos, hay ordenadores convencionales. «En la mayoría de los casos, con un sistema operativo anticuado», lamentan.
 

En ese sentido, desde Kaspersky apuntan que en caso de que el cajero cuente con la versión Windows XP, este ya no recibirá soporte técnico ni actualizaciones de la compañía desarrolladora, en este caso, Microsoft. Por esta razón, «cualquier vulnerabilidad que sufra se quedará sin parchear, quedando desprotegido frente a ataques». Este sistema operativo, hasta el momento de su jubilación en 2014, era el utilizado por el 95% de los cajeros del mundo.
 

Otra de las razones que demuestran lo sencillo que es «hackear» cajeros automáticos es que, según los expertos, los fabricantes de estos terminales suelen creer que estos siempre operan en condiciones normales y que nunca tienen errores de funcionamiento. «Por ello, en muchos casos, los cajeros no cuentan con soluciones de antivirus, ni con autenticación de la aplicación que envía comandos al dispensador de efectivo», insisten fuentes de la compañía.
 

Además, los módulos de los cajeros automáticos suelen estar conectados con interfaces estándar, normalmente a través de puertos USB y COM (puerto serie), capaces de acceder a la interfaz a distancia, una técnica que en manos de los ciberdelincuentes podrían robar cuentas de miles de personas. Otra de las formas utilizadas por estos según los expertos es el acceso a internet. Dado que es la forma de comunicación más económica en la actualidad, las entidades financieras utilizan la red para conectar sus cajeros automáticos a sus centros de procesamiento.
 

«Lo que muchos bancos no saben es que sus terminales aparecen en el motor de búsqueda Shodan. Esta web permite al usuario encontrar una gran variedad de sistemas conectados a internet con la palabra “admin” como nombre de usuario y “1234” como contraseña, demostrando la poca seguridad de los dispositivos», aseguran. De esta forma, los criminales tendrían muchísimas oportunidades para atacar los cajeros automáticos. Entre ellas, crear un «malware» e instalarlo en el sistema para sacar dinero. Un ejemplo de amenaza es Tyupkin, un «troyano» que sólo acepta comandos en franjas concretas de la noche del domingo al lunes y que permite a los criminales robar efectivo de las máquinas infectadas.
 


Fuente: ABC TECNOLOGÍA - abc_tecnologiaMadrid - 29/03/2016 a las 22:19:52h. - Act. a las 14:48:28h.
 


 

Leer más...

jueves, 24 de marzo de 2016

Las webs españolas inseguras que pronto serán señaladas por Google

La compañía va a indicar con un aspa roja aquellas webs en las que detecte que existe algún tipo de problema con el certificado de seguridad, y las que considere que no cumplan con los requisitos mínimos



El 'https' indica que una web es segura."


Google muestra actualmente con un icono de un candado en color verde seguido de HTTPS aquellas URLs seguras que utilizan certificados TLS (seguridad de la capa de transporte) o SSL (capa de conexión segura). Las que no lo hacen, sencillamente, aparecen con un folio en blanco, que viene a decir que la conexión entre el usuario y el servidor no es privada.
 
 
Ahora, en un afán por promover los sitios cifrados, el gigante de internet pretende señalar con un aspa roja no sólo aquellas webs en las que detecte que existe algún tipo de problema con el certificado de seguridad, sino con el resto que considere que no cumplan con los requisitos mínimos.
 
 
La californiana no está sola. La campaña Encrypt All The Things busca erradicar de una vez por todas el tradicional protocolo HTTP y lleva tiempo presionando a empresas y organizaciones para que cifren sus datos. Mozilla y Apple también han dado pasos en este sentido, e incluso el gobierno de Estados Unidos, el cual ha manifestado su intención de que antes de que acabe este año todos los sitios web .gov incluyan por defecto el protocolo seguro.
 
 
La lista de páginas webs en España que no cumplen con el mínimo exigido en cuanto al cifrado de datos se refiere es sorprendentemente extensa.
 
 

El objetivo es mostrar con mayor claridad a los internautas que HTTP no es suficiente para proteger sus datos y que, en consecuencia, todo el mundo viaje por la web a través de un canal seguro.
A día de hoy, España está en las antípodas de cumplir esta objetivo.
 

España suspende en protección de datos

 
Desde la Administración Pública hasta los principales partidos políticos, pasando por empresas, pequeños comercios e incluso los más prestigiosos despachos de abogados. La lista de páginas webs dentro de nuestras fronteras que no cumplen con el mínimo exigido en cuanto al cifrado de datos se refiere es sorprendentemente extensa. Un ejemplo lo tenemos en la web del Ministerio de Justicia, cuya home principal y la correspondiente a Atención al Ciudadano directamente prescinden del HTTPS, pudiendo incluir el usuario su nombre, apellidos e incluso email mediante un protocolo inseguro. Ocurre lo mismo en la página de Cita Previa del Portal de Salud o el de Atención al Ciudadano, ambas de la Comunidad de Madrid, por poner algunos ejemplos.
 
 
Los partidos políticos tampoco se salvan. PP, PSOE y Podemos no utilizan protocolos seguros; la web de Ciudadanos es la única de los cuatro partidos más votados en las últimas elecciones que utiliza un sistema de cifrado considerado seguro para comunicarse con los ciudadanos y afiliados.
Según ha explicado a EL PAÍS el abogado y socio del despacho Abanlex Pablo Fernández Burgueño "los datos que el usuario transmite a través de las páginas que empiezan por HTTP se envían por un conducto no cifrado. Eso significa que un ciberdelincuente podría sustraerlos o modificarlos. Las páginas que empiezan por HTTPS sin embargo, son más seguras. Pero esto no quiere decir que lo sean del todo".
 
 
La S del HTTPS, explica el experto, indica que existe activo un sistema de cifrado que hace que los datos que se envían vayan cifrados desde el ordenador hasta el servidor de la empresa. Pero dentro de esta hay varios tipos en función del sistema de cifrado que se utilice. "Actualmente, el único considerado seguro es el SSL TLS 1.2. Todas las versiones anteriores están obsoletas y, por lo tanto, son inseguras", añade.
 
 
Esto es lo que ocurre por ejemplo con webs como la de Cita Previa de la Comunidad de Madrid, que utiliza una versión obsoleta de HTTPS, algunos hospitales como el de San Rafael, comercios, grandes despachos de abogados e incluso, paradójicamente, la Agencia Española de Protección de Datos (AEPD).
 
 
Ocurre por ejemplo con webs como la de Cita Previa de la Comunidad de Madrid, algunos hospitales como el de San Rafael, comercios, grandes despachos de abogados e incluso, paradójicamente, la Agencia Española de Protección de Datos (AEPD)
 
 

La web de la AEPD utiliza un certificado SSL obsoleto. En concreto, la versión TLS 1.0. El sitio SSLLabs sin ir más lejos, página web dedicada en cuerpo y alma a clasificar las páginas en función de su seguridad, le ha otorgado la peor nota (F). Siendo la A+ la más alta.
 
 
En España también existen multitud de páginas que sí cumplen con unos mínimos de seguridad. Este es el caso de webs como la de la Agencia Tributaria, cuya sede electrónica utiliza el protocolo seguro, el Cuerpo Nacional de Policía y, en general, los bancos y grandes superficies.
 

¿Qué riesgos conlleva navegar por estas webs?

 
El protocolo HTTPS se encarga de encriptar los datos intercambiados entre el usuario y el servidor web para que, pongamos por caso, un ciberdelincuente que se encuentre compartiendo la misma red pública en una cafetería o un gobierno represivo no puedan sustraer información sensible.
Este protocolo también garantiza que el usuario se encuentra en la página web que cree estar, y no en otra ficticia cuyo propósito sea el de suplantar su identidad. Una utilidad bastante práctica ya que existen muchos ejemplos de ataques de phishing utilizando páginas web falsas como por ejemplo la de Correos, Starbucks o el mismísimo WhatsApp.
 
 
¿Qué implica no tenerlo? Según Josep Albors, director de Comunicación y Laboratorio de Eset, "que la información circule descubierta y pueda ser sustraída por cualquier ciberdelincuente. Los usuarios tienen que mentalizarse de que el protocolo HTTP es inseguro y un peligro real para la web en general".
 
 
La razón por la que muchas webs no hayan incorporado este protocolo no es económica, porque además de no ser caro existen iniciativas como Let's Encrypt que lo ofrecen de forma gratuita.
Google no ha aclarado cuándo incorporará el aspa roja para denunciar a aquellas webs que no utilizan HTTPS por defecto, pero según el medio Motherboard lo hará "pronto". Exactamente igual a como ya hizo con su servicio de correo electrónico.
 
 
 

Leer más...

miércoles, 16 de marzo de 2016

Nimble Payments, una revolucionaria pasarela de pago


El nuevo servicio creado por el BBVA está pensado para los pequeños comercios y emprendedores para potenciar el comercio electrónico






Rápido, seguro y cómodo. El BBVA ha creado su nueva plataforma de pagos para comercios electrónicos, Nimble Payments, que permite la gestión de cobros y la aceptación inmediata de pagos. Se trata de una revolucionaria pasarela de pago -autorización de pagos a negocios electrónicos- sin costes en alta el y sin compromisos de permanencia para los interesados.
 
«Nimble Payments permite que pequeños y medianos comercios virtuales puedan disfrutar de servicios bancarios expresamente diseñados para ellos y que contribuyen a facilitar la gestión de su negocio»

Este nuevo servicio financiero, dirigido a pequeños comercios y emprenedores de cara a potenciar el comercio electrónico, ofrece varias posibilidades para la integración del servicio de pagos, bien a través de plataformas de ecommerce como PrestaShop o WooCommerce; o mediante su API y SDKs, para desarrolladores. De esta forma, los usuarios que deseen poner en marcha su propia tienda «online» pueden hacerlo rápidamente. La herramienta permite hacer un seguimiento de las ventas y gestionar todas las operaciones. El comercio tendrá a disposición una contabilidad clara de todas las transacciones realizadas.


Como alternativa a PayPal, Nimble Payments ofrece condiciones muy ventajosas para el comercio digital que desee contratarlo, entre las que se incluye una cuenta remunerada y acceso a los datos del negocio, además de incluir financiación a medida, aunque esta opción estará disponible próximamente. No tiene un coste fijo por transacción, ni cuotas mensuales. Este nuevo servicio «todo en uno» cobra una comisión de 1.8% por transacción, sin mínimos de ventas, ni cuota fija. Además, las tarifas disminuyen a medida que aumenta el volumen de ventas y, como otro gran atractivo, ofrece devoluciones sin cargo.

Proceso rápido para darse de alta


Una vez completado un sencillo proceso de alta «online», la plataforma ofrece la documentación necesaria de manera clara, con códigos de ejemplo para los principales lenguajes para programar y módulos y «plug-ins» para las plataformas más importantes de comercio electrónico.


«Nimble Payments permite que pequeños y medianos comercios virtuales puedan disfrutar de servicios bancarios expresamente diseñados para ellos y que contribuyen a facilitar la gestión operativa de su negocio», explica Álvaro Morón, responsable del proyecto. «Es una solución integral adaptada a las necesidades del ecosistema digital».

Fuente: ABC TECNOLOGÍA - abc_tecnologiaMadrid - 10/03/2016 a las 23:05:44h

 

Leer más...

miércoles, 9 de marzo de 2016

WhatsApp deja de dar soporte a estos dispositivos móviles


Si tienes alguno de estos móviles despídete de WhatsApp


La popular aplicación de mensajería instantánea anuncia que dejará de dar soporte a los sistemas operativos BlackBerry, Symbian y versiones antiguas de Android desde este año.
Nada es para siempre en los servicios de internet. Las nuevas tecnologías avanzan rápido y hay que estar al tanto de las novedades. La popular aplicación de mensajería instantánea WhatsApp, que recientemente rompió la barrera de los mil millones de usuarios, ha anunciado que dejará de dar soporte a los sistemas operativos Symbian, BlackBerry y versiones antiguas Windows Phone y Android desde finales de este año.


Según ha anunciado WhatsApp en su blog corporativo, la aplicación filial de Facebook ha decidido que a partir de ahora dejará de actualizar el servicio para los teléfonos móviles inteligentes que, a día de hoy, cuentan con una tasa de participación muy escasa. Estos terminales son los que incluyen los sistemas operativos BlackBerry -incluido la última versión BlackBerry 10-, Nokia S40, Nokia Symbian S60, Android 2.1 y Android 2.2, así como Windows Phone 7.1.

Esta decisión viene como consecuencia de la escasa penetración que cuentan estos «smartphones» en la actualidad, dominado por versiones de Android más recientes e iOS (iPhone). WhatsApp, que esta semana ha cumplido siete años, ha apostado por las plataformas más extendidas. «Ha sido un viaje increíble y en los próximos meses estaremos poniendo un mayor énfasis en las características de seguridad y nuevas formas de mantenerse en contacto con las personas que te importan», relata el equipo de desarrollo de la aplicación en su blog corporativo.


«Aunque estos dispositivos han sido importantes en nuestra historia ahora no ofrecen las capacidades que necesitamos para ampliar las funciones»


«Cuando empezamos WhatsApp en 2009 el uso de dispositivos móviles de la gente es muy diferente del actual. La App Store de Apple tenía pocos meses de edad. Alrededor del 70% de los teléfonos inteligentes vendidos en ese momento tenía sistemas operativos BlackBerry y Nokia», añaden. En comparación con aquella época, actualmente los terminales basados en iOS y Android representan el 99.5% de las ventas.


Por esta razón, WhatsApp ha decidido soltar lastre. «Al mirar hacia adelante a nuestros próximos siete años queremos centrar nuestros esfuerzos en las plataformas móviles que utiliza la gran mayoría de la gente», añade la compañía. «Aunque estos dispositivos móviles han sido una parte importante de nuestra historia ahora no ofrecen las capacidades que necesitamos para ampliar las funciones de nuestra aplicación en el futuro», justifica el equipo técnico. WhatsApp ha asegurado, no obstante, que esta es una «decisión difícil» pero considera que es la forma más adecuada de mejorar el servicio en un futuro.


Fuente: J.M.S. - abc_tecnologiaMadrid - 29/02/2016 a las 09:55:58h. - Act. a las 14:10:50h.

 

Leer más...