Posted by gvalverd on Dic 1, 2011 in
Redes Sociales,
Seguridad,
Sociedad AFP-30 noviembe 2011
Un albañil español encontró un fallo en Facebook que permite usurpar fácilmente la identidad de un internauta y enviar mensajes en su nombre, informaron este miércoles el autor del hallazgo y el organismo español encargado de la seguridad en internet.
«Me suscribí a una página web para saber cuando hubiera una novedad y utilicé mi dirección de correo electrónico de Facebook. Me llegaron las actualizaciones de esa página pero el nombre del remitente era el de una chica», explicó Alfredo Arias, internauta de 37 años de la ciudad de León (centro-norte).
Sorprendido ante esta irregularidad, Arias probó a crear una cuenta de correo electrónico en Facebook con el nombre de otra persona y lo logró sin dificultad. «Es muy sencillo, sólo tienes que saber crear una página web para hacerlo», agrega.
Tras confirmar el fallo, alertó al Instituto Nacional de Tecnologías de la Comunicación (Inteco), dependiente del ministerio de Industria español.
«Lanzamos la comunicación cuando hubo el conocimiento de este caso concreto», explicó una portavoz de Inteco. El organismo aseguró haber alertado a los responsables de Facebook.
Inteco también advirtió a los internautas, mediante un comunicado publicado por la Oficina de Seguridad del Internauta (OSI) titulado «posibilidad de suplantación de identidad en el servicio de correo de Facebook».
«Aunque el problema es común a todos los servicios de correo, en Facebook adquiere mayor dimensión al integrarse con el ecosistema de la propia red social», alertó el organismo.
«Esta deficiencia en el servicio podría utilizarse por usuarios malintencionados para, por ejemplo, hacerse pasar por un amigo de la víctima e invitarla mediante un enlace a visitar páginas maliciosas o descargar aplicaciones no confiables», explicó la OSI.
El OSI muestra como ejemplo en su página web un mensaje ficticio enviado con la identidad de la cantante estadounidense Lady Gaga acompañado de una fotografía de ésta.
Facebook acaba de firmar un acuerdo con las autoridades norteamericanas con el que espera poner fin a una viva polémica sobre la confidencialidad de los datos de sus utilizadores.
El informe “Riesgo de la ingeniería social en la seguridad informática” de Check Point señala el phishing y las redes sociales como las principales fuentes de amenazas en ingeniería social y anima a las empresas a combinar estrategias tecnológicas y de concienciación para minimizar la frecuencia y el coste de los ataques.
Tradicionalmente, estos ataques tenían como objetivo a personas con información delicada o que tienen acceso a la misma. En la actualidad, los hackers recurren a una amplia gama de técnicas y aplicaciones de ingeniería social para obtener información personal y profesional y detectar el eslabón más débil en una organización.
Las fuentes más comunes de ataques de ingeniería social son los correos electrónicos de phishing (47%), seguidos de las redes sociales, donde se expone información personal y profesional (39%) y dispositivos móviles inseguros (12%). El ánimo de lucro es la principal motivación de estos ataques (51%), por delante del acceso a información propietaria (46%), la obtención de ventajas competitivas (40%) y la venganza (14%).
“Los resultados de la encuesta muestran que casi la mitad de las empresas son conscientes de que han sufrido ataques de ingeniería social. Sabiendo que muchos de estos ataques pasan desapercibidos, debemos tener en cuenta que este es un vector de ataque muy amplio y peligroso que no debe ser ignorado”, señala Oded Gonda, vicepresidente de productos de seguridad de red de Check Point Software Technologies.
Si bien las técnicas de ingeniería social confían en aprovecharse de las vulnerabilidades de una persona, la omnipresencia de la Web 2.0 y las tecnologías móviles también han incrementado las alternativas de cara a acceder a información personal, creando nuevas vías de penetración para la ejecución de estos ataques concretos. Los nuevos empleados (60%) y contratistas (44%), menos familiarizados con las políticas de seguridad corporativas, fueron señalados como los colectivos más susceptibles de convertirse en víctimas de estas amenazas, seguidos por personal de contratas, administrativos, recursos humanos y el departamento de informática.
“A fin de cuentas, las personas son un componte crítico del proceso de seguridad, en tanto y en cuanto son susceptibles ser víctimas de los engaños de los criminales y cometer errores que pueden llevar a infecciones por malware o pérdidas de datos no intencionadas. Muchas organizaciones no ponen suficiente empeño en involucrar a sus usuarios, cuando, de hecho, los empleados deberían ser la primera línea de defensa”, añade Gonda. “Una buena manera de hacer que los usuarios sean más conscientes de su importancia es involucrarlos en el proceso de seguridad, otorgándoles capacidades para evitar y remediar incidentes de seguridad en tiempo real.”
Shane O’Neill, CIO America Latina
Las agencias policiales de todo el mundo están vigilando de cerca a un grupo poco organizado de activistas Wikileaks.
El jueves la policía británica detuvo a cinco personas, y las autoridades de EE.UU. dijeron que habían despachado más de 40 órdenes de registro en los EE.UU. en relación con ataques Web – durante el mes pasado- contra las empresas que habían roto sus vínculos con Wikileaks.
Las investigaciones también están en curso en los Países Bajos, Alemania y Francia, los EE.UU. Dijo el jueves la Oficina Federal de Investigaciones.Gracias a la información de las autoridades alemanas, el FBI allanó en Dallas las instalaciones de un ISP del tipo “Tailor Made”, en busca de pruebas relacionadas con uno de los servidores de chat utilizado por Anonymous. Otro servidor se localizó en Fremont, California.
Las acciones que vienen después de Anonymous atacó los sitios web de MasterCard, Visa y otras, mediante el reclutamiento de voluntarios utilizando una herramienta de red para hacer pruebas de tensión, llamada LOIC. LOIC inunda los sitios con los datos, haciéndolos incapaces de servir a los visitantes legítimos. Este tipo de ataque se llama un ataque distribuido de denegación de servicio (DDoS).
Anonymous también ha dirigido sus ataques a PayPal, Amazon y a los sitios web de Sarah Palin y la Oficina del Fiscal de Suecia. “FACILITAR o llevar a cabo un ataque DDoS es ilegal, punible con hasta 10 años de prisión, así como exponer a los participantes a la responsabilidad civil importante,” dijo el FBI en un comunicado de prensa.
Los miembros de Anonymous dicen que quieren enviar un mensaje a las empresas que abandonaron a Wikileaks por su decisión de publicar los documentos clasificados, lo cual consideran que es un ataque a la libertad de expresión. Estos tipos de ataques DDoS a políticos se han vuelto comunes, los usuarios de Pro-Rusia equipo utilizado para cerrar la mayor parte de la infraestructura de Internet de Estonia en 2007, y dos años más tarde, los partidarios de [Irán movimiento pro-democracia atacaron un número de sitios Web patrocinados por el estado.
Anonymous ha lanzado ataques DDoS similares en el pasado, también, afectando a los sitios web de la Asociación de la Industria Discográfica de Estados Unidos en los últimos años. La policía Metropolitana del Reino Unido arrestó a cinco hombres de entre 15 y 26 el jueves.
No hubo arrestos en los allanamientos que se han anunciado en el mes pasado EE.UU., las autoridades holandesas detuvieron a dos adolescentes en relación con estos ataques
