Alt1040. Noticias acerca de Internet, diseño, música, cine, opiniones, weblogs y medios

Es uno de los weblogs de tecnología más seguidos de la blogosfera hispana.

Bitelia. Blog de software, internet y servicios web

Software y aplicaciones para mejorar tu vida, guías de uso, trucos, listas, noticias y todo sobre tecnología.

Xataka. Publicación de noticias sobre gadgets y tecnología.

Últimas tecnologías en electrónica de consumo y novedades tecnológicas en móviles, tablets, informática, etc.

Wwwhatsnew. Aplicaciones, marketing y noticias en la web.

Servicios que os pueden ser útiles para dibujar, gestionar tareas, hacer amigos, encontrar restaurantes...

Fayerwayer. Discusiones y opiniones de lo ultimo en tecnología y gadgets

Con secciones dedicadas a Internet, Software o Redes Sociales es un referente a nivel de tecnología en español.

Mostrando entradas con la etiqueta ciberseguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta ciberseguridad. Mostrar todas las entradas

1 de marzo de 2019

Cómo SafeBrowsing de Google ayuda a mantener la web más segura

Google Safe Browsing
La navegación segura de Google ayuda a proteger más de tres mil millones de dispositivos cada día al mostrar advertencias a los usuarios cuando intentan navegar a sitios web comprometidos o descargar archivos peligrosos. La protección de navegación segura funciona en todos los productos de Google y ofrece experiencias de navegación más seguras en Internet.


Este servicio fué creado en el año 2005 por el equipo de seguridad de Google con el propósito de identificar sitios web no seguros y advertir a usuarios y webmasters de daños potenciales.
Para ello, examina a diario miles de millones de URL, software y contenido de páginas.

Cada vez que se añade un sitio web no seguro a la lista, se envía una notificación al webmaster mediante Search Console y se facilita la especificación para eliminar una infección y ejemplos del código concreto que se ha añadido a su sitio web.





Tipos de amenazas web sobre las que Safe Browsing notificará a los usuarios y webmasters:

Malware


Desde 2006, Safe Browsing advierte a los usuarios cuando intentan navegar a sitios que pueden ser maliciosos.

Malware es cualquier software o aplicación móvil diseñada específicamente para dañar una computadora, un dispositivo móvil, el software que se está ejecutando o sus usuarios.

El malware muestra un comportamiento malicioso que puede incluir la instalación de software sin el consentimiento del usuario y la instalación de software dañino como virus.

Google pone a nuestra disposición una página para comprobar el estado de un sitio web: https://transparencyreport.google.com/safe-browsing/search


Safe Browsing Search

Software no deseado


En 2014, añadieron protección contra una amplia categoría de tecnología dañina que han denominado "Software no deseado".

El software no deseado es un archivo ejecutable o una aplicación móvil que se comporta de manera engañosa, inesperada o que afecta negativamente la navegación o la experiencia del usuario.

Los ejemplos incluyen software que cambia su página de inicio u otras configuraciones del navegador o aplicaciones que filtran información privada y personal sin autorización.


En el informe de problemas de seguridad, "Malware" se refiere a un malware basado en la web que opera sin una acción explícita del usuario. "Descargas dañinas" se refiere a un malware o descargas de software no deseadas que el usuario debe descargar explícitamente.

Ingeniería social


Desde 2005, Safe Browsing ha protegido a los usuarios de ataques de ingeniería social en la web.

Un ataque de Ingeniería Social engaña a los usuarios para que realicen una acción que normalmente no harían si supieran la verdadera identidad del atacante.

Un ejemplo común es el Phishing, donde una página intenta robar la contraseña de un usuario u otros datos personales.

Si Google detecta que un sitio web contiene contenido de ingeniería social, el navegador Chrome puede mostrar una advertencia de "Sitio engañoso" cuando los visitantes vean su sitio.


Si crees que Safe Browsing ha clasificado una página web por error, informa de ello en esta página https://safebrowsing.google.com/safebrowsing/report_error/?hl=es

Soluciones a problemas comunes de "no vulnerabilidad"








26 de enero de 2019

Usa Firefox Monitor para saber si han hackeado tus cuentas

Secure Internet

Firefox Monitor es una página web que detecta amenazas en línea a tus cuentas. Muestra si la información de tus cuentas ha sido filtrada o robada y ofrece la posibilidad de avisarte si aparecen nuevas filtraciones de sitios web.


Los informes que realiza presentan el siguiente aspecto:


 

Firefox Monitor

Informe de Firefox Monitor

Fecha del informe: 24 de enero de 2019

Dirección de correo electrónico: ********@yahoo.com

Tus cuentas aparecieron en 4 filtraciones.

Aquí está tu informe completo de Firefox Monitor, que incluye todas las filtraciones de datos conocidas que contienen tu dirección de correo electrónico.

Bitly

Fecha de la filtración de datos:8 de mayo de 2014

Cuentas comprometidas:9.313.136

Datos comprometidos:Direcciones de correo, Contraseñas, Nombres de usuario

Disqus

Fecha de la filtración de datos:1 de julio de 2012

Cuentas comprometidas:17.551.044

Datos comprometidos:Direcciones de correo, Contraseñas, Nombres de usuario

LinkedIn

Fecha de la filtración de datos:5 de mayo de 2012

Cuentas comprometidas:164.611.595

Datos comprometidos:Direcciones de correo, Contraseñas

tumblr

Fecha de la filtración de datos:28 de febrero de 2013

Cuentas comprometidas:65.469.298

Datos comprometidos:Direcciones de correo, Contraseñas

Filtración de datos proporcionada por Have I Been Pwned

Qué hacer a continuación

1

Cambia tus contraseñas, aunque se trate de cuentas antiguas

Si no puedes iniciar sesión contacta con el sitio web para preguntar cómo puedes recuperar o cerrar la cuenta. ¿Ves una cuenta que no reconoces? Es posible que el sitio haya cambiado de nombre o que alguien haya creado una cuenta en tu nombre.

2

Si reutilizas una contraseña que ha sido expuesta, cámbiala

Los criminales informáticos pueden intentar hacer uso de tu contraseña para acceder a otras cuentas. Crea una contraseña diferente para cada sitio web, especialmente para tu cuenta bancaria, correo electrónico y otros sitios web en los que guardes tu información personal.

3

Toma medidas adicionales para asegurar tus cuentas bancarias

La mayoría de las filtraciones de datos solo exponen correos electrónicos y contraseñas, pero algunas incluyen información financiera confidencial. Si los números de tu cuenta bancaria o de tu tarjeta de crédito fueron incluidos en un caso de filtración de datos, alerta a tu banco sobre un posible fraude y revisa los movimientos de tu cuenta en busca de cargos que no reconoces.

4

Obtén ayuda para crear buenas contraseñas y mantenerlas seguras.

Los administradores de contraseñas como 1Password, LastPass, Dashlane y Bitwarden generan contraseñas robustas, las almacenan de forma segura y las introducen por ti en los sitios web.

Escanear otro correo electrónico en Firefox Monitor


Un 80% de las infracciones se deben a contraseñas robadas y/o contraseñas débiles.

Compañías fiables como LinkedIn, Yahoo o Facebook han perdido millones de contraseñas en los últimos años, lo que abre la puerta a ataques cibernéticos de gran alcance.

Los gestores de contraseñas como LastPass, 1Password, Dashlane y Bitwarden te ayudan a generar y mantener un registro de contraseñas únicas y fuertes.

Solo tendrás que recordar una contraseña que te dará acceso al resto de tus contraseñas.

La seguridad de tu empresa y de tus datos, es prioridad absoluta. Seguramente uses muchas contraseñas para diferentes aplicaciones de tu trabajo (correo, sistema de RRHH, sistemas de compra...), estas plataformas recuerdan y completan los formularios web con sus contraseñas, información de tarjetas de crédito y direcciones, con un solo clic.





8 de enero de 2018

Qué hacer si tu sitio web ha sido marcado como peligroso por Google

phising
Recientemente decidí comprar un dominio personalizado para el blog (www.tecnoblog.guru) a efectos de contar con identidad propia aunque éste sigue alojado en Blogger. Aparentemente todo fué bien, hasta que para mi sorpresa observé que no era posible visualizar determinadas páginas publicadas hace unos años porque Google las marcaba como sitio engañoso.


Al tratar de acceder al directorio https://www.tecnoblog.guru/2014/ el navegador web devolvía una página con el siguiente mensaje:

blockchain

Comprobar el estado de un sitio web


Google proporciona una herramienta web, Informe de Transparencia, para saber si un sitio web determinado incluye contenido dañino (software malicioso y phising).

"La tecnología de Navegación Segura de Google examina miles de millones de URL todos los días en busca de sitios web no seguros. A diario, descubrimos miles de sitios no seguros nuevos, muchos de los cuales son sitios web legítimos que han sido pirateados. Cuando detectamos sitios web no seguros mostramos advertencias en la Búsqueda de Google y en los navegadores web. Puedes realizar una búsqueda para ver si es peligroso visitar un sitio web."

La página web es https://transparencyreport.google.com/safe-browsing/search?url=

Al introducir la url https://www.tecnoblog.guru/2014/ en la caja de texto, el resultado fué:

Este sitio web no es seguro

El sitio web https://www.tecnoblog.guru/2014/ incluye contenido dañino, como páginas que pueden:

  • Intentar engañar a los visitantes para que compartan información personal o descarguen software

Indagando más sobre este contratiempo pude observar lo siguiente,
al analizar la url https://www.tecnoblog.guru/2014/ el estado del sitio web era:

No se ha detectado contenido no seguro


Curiosamente, las dos url son la misma ya que https://www.tecnoblog.guru/2014/ redirige hacia el nuevo dominio https://www.tecnoblog.guru/2014/.
Por lo tanto, era evidente que el rastreador de contenido malicioso de Google había cometido algún tipo de error y había que subsanarlo lo antes posible.

Solicitar una revisión


Para que tu página o sitio web dejen de estar marcados como peligrosos o como posiblemente engañosos para los usuarios, debes solicitar una revisión a Google.

Antes de solicitar una revisión, asegúrate de que hayas hecho lo siguiente:

  • Has demostrado que eres el propietario de tu sitio web en Search Console.
  • Has eliminado del sitio el contenido malicioso de los hackers.
  • Has corregido la vulnerabilidad.
  • Has vuelto a conectar el sitio web.

Para verificar que las páginas estén limpias, Googlebot debe poder rastrearlas. Comprueba que no estén excluidas en el archivo robots.txt y que no se haya bloqueado su indexación por haberse añadido "noindex" a las metaetiquetas o directivas de los robots. A continuación, solicita una revisión:

Phising

Completa la revisión que encontrarás en google.com/safebrowsing/report_error/. Con esta revisión se retiran las advertencias de phishing de páginas que han contenido esta amenaza pero que ya están limpias. También sirve como herramienta de información para los propietarios de sitios web que creen que su página se ha marcado incorrectamente como un lugar de phishing.

Software malicioso o spam

  • En Search Console, abre el informe Problemas de seguridad. Es probable que se sigan mostrando las advertencias y URL infectadas de ejemplo que aparecían antes.
  • Si crees que las URL de ejemplo que se muestran están limpias, selecciona Solicitar una revisión. Para presentar una revisión, debes proporcionarnos información que demuestre que los daños del hacker se han limpiado del sitio. Por ejemplo, para cada categoría de Problemas de seguridad, se puede escribir una frase que explique cómo se limpió el sitio web (por ejemplo, "En cuanto a las URL pirateadas con inyección de contenido, he retirado el contenido fraudulento y he corregido la vulnerabilidad actualizando un complemento desactualizado").

Esperar a que finalice la revisión


El tiempo de procesamiento de la revisión por software malicioso es de unos cuantos días.

El tiempo de procesamiento de la revisión de un sitio web pirateado con spam es de unas cuantas semanas debido a que las revisiones de spam pueden implicar una investigación manual o tener que volver a procesar completamente las páginas pirateadas.

El tiempo de procesamiento de la revisión por phishing es de un día aproximadamente.

Si Google decide que tu sitio web está limpio, se retirarán las advertencias de los navegadores y de los resultados de búsqueda en un plazo de 72 horas.
En caso contrario, vuelve a revisar el sitio web para detectar software malicioso o spam, o para comprobar si el hacker ha modificado o creado archivos. También puedes solicitar ayuda a los especialistas del equipo de asistencia.


A continuación, muestro un vídeo que explica en detalle los pasos descritos:



Toda la información en https://developers.google.com/web/fundamentals/security/hacked/request_review?hl=es


18 de diciembre de 2017

Diccionario básico para no perderte con los términos de ciberseguridad

Ciberseguridad
▸ conjunto de servicios, mecanismos y políticas que aseguran que el modo de operación de un sistema informático sea seguro, tanto el que se especificó en su fase de diseño, como el que se configuró en tiempo de administración o de uso.


Se utilizan sistemas de información y comuniaciones en toda la administración pública, en las instituciones educativas y sanitarias y en las agencias tributarias.
También dependen de este tipo de insfraestructuras tecnológicas las instituciones financieras, las empresas, tanto las grandes corporaciones como las pequeñas y las fábricas.
Por lo tanto, la ciberseguridad afecta a cualquier actividad económica.

En una sociedad tecnológica y en red como la actual, la ciberseguridad afecta prácticamente a todas las facetas de la vida cotidiana de personas, organizaciones y gobiernos. La ciberseguridad nos protege, no sólo de ataques intencionados, sino de accidentes provocados por catástrofes naturales, descuidos de empleados sin mala intención, etc.

A continuación, vamos a definir algunos de los términos relacionados con la seguridad informática o seguridad de tecnologías de la información, acompañados con vídeos explicativos.

Amenaza

Acción que podría tener un potencial efecto negativo sobre un activo. Es decir, una amenaza es cualquier cosa que pueda salir mal.
Hay que tener en cuenta que una amenaza por sí misma no provoca un daño, pero podría provocarlo.
Las amenazas se comprenden mejor si se clasifican atendiendo a cómo pueden dañar a un activo: esencialmente, pueden afectar a su disponibilidad, a su confidencialidad o su integridad (también pueden saltarse el control de acceso).

Estos serían algunos ejemplos de amanezas:
√ Virus informáticos y malware en general.
√ Daños físicos en los equipos y centros de datos (intencionados o por desastres naturales).
√ Pérdida o robo de portátiles y dispositivos móviles.
√ Brechas de datos.
√ Denegaciones de servicio.
√ Robo de identidad/credenciales.

Botnets

Redes de equipos infectados con algún tipo de malware que permite a los atacantes controlarlos de manera remota.

Computer Security Incident Response Team (CSIRT)

El Equipo de Respuesta ante Emergencias Informáticas es un centro de respuesta a incidentes de seguridad en tecnologías de la información.

Cuando se produce un incidente de seguridad, este equipo debe:
√ Realizar una evaluación inicial.
√ Contener los daños con una respuesta inicial y minimizar el riesgo.
√ Reunir y proteger pruebas forenses (que incluyan el factor humano, ya que se está respondiendo al incidente completo, es decir, importa quién ha realizado el ataque y por qué).
√ Implementar una solución temporal.
√ Comunicar el incidente dentro y fuera de la organización.
√ Consultar/notificar a las autoridades pertinentes.
√ Obtener lecciones aprendidas y documentar el incidente.
√ Implementar soluciones permanentes y determinar la repercusión financiera o para la reputación del negocio que ha tenido el incidente.

Deep Web
(Internet Profunda)

El anonimato, que permite al atacante ocultar su identidad y borrar sus huellas, puede conseguirse físicamente, mediante el uso de bouncer o proxy o utilizando la deep web.
Se basa en proyectos como TOR (The Onion Router), I2P o Freenet.
El más conocido y utilizado es todavía TOR, aunque las últimas noticias (desde las revelaciones de Snowden) han hecho sospechar a la comunidad hacker que esta red ya no es tan anónima como cabía pensar.

El objetivo principal de este proyecto y de otros similares fue el desarrollo de una red de comunicaciones distribuida superpuesta sobre Internet en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad (su dirección IP) garantizando además la integridad y confidencialidad de estos mensajes.

Encriptación

Desde el punto de vista de la protección del malware para evitar ser detectado y analizado, se trata de una técnica que hace uso de la criptografía para cifrar el código del malware y que no pueda ser leído ni manipulado.
Para realizar sus actividades, el malware tiene que descomprimirse o descifrarse a sí mismo y cuando ha finalizado, volverse a comprimir o a cifrar.
Se utiliza junto a técnicas como la compresión (packing) cuyo objetivo es reducir el tamaño del código ejecutable.

Footprinting
(Open Source Intelligence)

Fase de recogida de información realizada en medios o fuentes de acceso público: web, redes sociales, foros, prensa, BOE, archivos históricos de la web (como archive.org), etc.
Para esta fase los buscadores son tremendamente potentes, en concreto se utilizan mucho Google (como buscador genérico), Shodan (como buscador de todo tipo de dispositivos conectados a Internet) y NameCHK (como buscador de dominios y nombres de usuario en diferentes servicios).

Gusano

Es un software con entidad propia.
Tiene capacidad de replicación y de propagación a través de la red sin necesidad de intervención humada, por lo que el vector de infección siempre está relacionado con la conexión a la red.
Casi siempre aprovechan vulnerabilidades de las aplicaciones y/o del sistema operativo.

Honeynet

Mecanismo de defensa de nuestra red que permite realizar una traza de los diferentes puntos de origen de los ataques y recolectar información sobre las tácticas y herramientas utilizadas por los atacantes. Estas herramientas son muy útiles para aprender acerca de los ataques zero-day e incluso para detectarlos a tiempo.

Ingeniería Social
(Social Engineering)

Es una combinación de ciencia, psicología y arte, por la que se intenta influir o manipular a una persona para que lleve a cabo acciones o facilite información confidencial, normalmente en contra de sus intereses.

Se trata habitualmente de técnicas psicológicas que combinadas con ciertas habilidades sociales se aprovechan de la buena (o mala) fe de las personas de dentro de una organización, para que realicen determinadas acciones (como por ejemplo instalar software malicioso) u obtener de ellas información o acceso a zonas restringidas, y poder así llevar a cabo un ataque con éxito.
También se conoce como “hackear a la persona” (human hacking).

Janus
(Man in the Middle)

Patrón de ataque típico que se construye sobre un envenenamiento y suplantación ARP (Address Resolution Protocol) permitiendo interceptar/modificar todas las comunicaciones entre dos equipos que se encuentren en el mismo segmento de red que el atacante (o entre un equipo y su puerta de enlace).

Kali Linux

Distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general.
Fue fundada y es mantenida por Offensive Security Ltd. Mati Aharoni y Devon Kearns, ambos pertenecientes al equipo de Offensive Security.

Laziok

Es una de las APTs (Amenazas Persistentes y Avanzadas) ocurrida en el año 2015 cuyo objetivo fué robar información de entornos industriales e infraestructuras críticas en el sector petrolífero y gas de países de Europa del Este.

El término APT se utiliza para para describir una amenaza dirigida a una determinada persona, organización, gobierno o incluso país, que se caracteriza por ser avanzada, persistente en el tiempo, sofisticada, y normalmente organizada y financiada.

Metadatos

Información públicamente accesible.

Ejemplos:
√ Información acerca del autor de un documento colgado en una página web (lo que proporciona un nombre de usuario).
√ Información de la aplicación empleada para editarlo (información acerca de SO, versiones, etc.).
√ Información acerca de direcciones IP de estaciones de trabajo, servidores o impresoras.
√ Información de geo-localización, por ejemplo en el caso de fotografías.

Si no se eliminan adecuadamente, prácticamente todos los formatos de ficheros incorporan este tipo de metadatos (MS Office y OpenOffice, pdf, ps y eps) y casi todos los formatos de imágenes, gráficos y fotografías.

Network-Based Intrusion Detection Systems (NIDS)

Son sistemas de detección y prevención de intrusos (IDPS) formados por dispositivos que capturan todo el tráfico de la red y lo analizan para buscar patrones de ataque.
Intentan complementar la labor de los firewall, tratando de detectar aquellos ataques que se les han pasado a estos.

Su principal ventaja es su bajo coste y fácil instalación, y que no interfiere con la red, sin embargo le costará analizar grandes cantidades de datos en tiempo real o si estos van cifrados.
Habría que situar un sensor en cada segmento de red para poder analizar el tráfico completo.

Overflow

Ataque por desbordamiento que aprovecha una vulnerabilidad del software que permite ejecutar cualquier código en el sistema vulnerable, con los mismos permisos que la aplicación que presenta la vulnerabilidad por no comprobar el tamaño de los parámetros que se pasan a una función o procedimiento en tiempo real.

¿Qué tipo de aplicaciones pueden ser vulnerables a este tipo de ataques?
En principio, cualquiera que utilice un buffer en memoria, que no compruebe adecuadamente el tamaño de los parámetros que se escriben en ese buffer y que ponga a disposición del atacante un vector que le permita acceder a estos parámetros para manipularlos según sus objetivos.

Payload

Carga útil o parte de un programa (malware) que realiza acciones maliciosas como eliminar datos, cifrar datos, enviar spam, sobre-escritura de disco, reemplazo de la BIOS, etc.

Query Injection
(Inyección SQL)

Es el tipo de ataque de inyección más conocido (aunque también se pueden realizar ataques por inyección con LDAP o con XPath, por mencionar algún ejemplo más) y permite que un atacante añada a una consulta SQL legítima, sentencias SQL que le permitan conseguir sus objetivos.

SQL (Structured Query Language) es un lenguaje declarativo de acceso a bases de datos relacionales, que permite efectuar consultas, y en general, interactuar con esta bases de datos de manera sencilla.

Riesgo

En el ámbito de la ciberseguridad, podemos definir el riesgo como la probabilidad de que ocurra un incidente de seguridad.
Como el riesgo no es más que una probabilidad, se puede medir y se suele cuantificar con un número entre 0 y 1 o con un porcentaje.

Ejemplos:
√ "estamos corriendo un riesgo alto de sufrir una brecha de datos" (riesgo 90).
√ "el riesgo de sufrir una denegación de servicio es bajo" (riesgo 10).

Sniffing

Técnica que permite capturar todos los datos que circulan por una red de área local (no es necesariamente una técnica maliciosa, se utiliza en muchos casos para administrar la red, mejorar su rendimiento, analizar cuellos de botella, etc.).
Para su realización se utilizan herramientas específicas, los sniffers.

Este tipo de software configura las tarjetas de red para que trabajen en modo promiscuo. Es decir, para que capturen y procesen todo el tráfico aunque no vaya dirigido específicamente a ellas.

Troyano

Software autónomo que se camufla en/como aplicaciones o ficheros “normales”.
En muchos casos se propagan junto con gusanos.

Su principal objetivo es ocultarse (obviamente todo el malware es oculto ya que intenta no ser detectado, pero en algunos casos es su principal objetivo y por eso se distingue esta categoría) y proporcionar acceso no autorizado al sistema infectado (RAT o Remote Access Trojan).

Update
(key)

Proceso criptográfico automático o manual que modifica de manera irreversible el estado de una clave, equipo, dispositivo o sistema COMSEC (del inglés Communications Security o Seguridad de las Comunicaciones).

Vulnerabilidad

Para que se produzca un daño es necesario que exista una debilidad o fallo en el sistema que permita que se materialice una amenaza.
Estas debilidades, fallos o “agujeros de seguridad” son las vulnerabilidades, que pueden ser de diferente naturaleza, de diseño, de arquitectura y configuración, de estándares de uso y procedimientos, etc.

Ejemplos:
√ Formulario web que no comprueba los parámetros introducidos por el usuario.
√ Mala ubicación de un servidor de base de datos dentro de la red corporativa.
√ Hardware obsoleto y sistemas operativos sin actualizar.
√ Ausencia de copias de seguridad.
√ Cuentas de usuario mal configuradas.

Whaling

Es una versión de phising que tiene como objetivo los directivos de la empresa, de manera que al igual que con el spear-phishing se personalizan mucho más las comunicaciones que se envían en lugar de hacer envíos masivos.
Este tipo de técnica suele tener una alta probabilidad de éxito ya que los directivos no suelen asistir a las sesiones de concienciación o de formación que se organizan para los empleados.

Xss
(Cross Site Scripting)

Ataque por forgery o falsificación que pretende crear, imitar o adaptar un entorno, aplicación o servicio real con el propósito de engañar a la víctima con intenciones maliciosas, casi siempre, que se ejecute algún tipo de script en el contexto de su navegador.

Yottabyte

Unidad de almacenamiento de información que equivale a 1000 zettabytes o 10^24 bytes (1,208,925,819,614,629,174,706,176 bytes).
Su símbolo es YB y es el mayor valor de almacenamiento reconocido.

Zero day
(0-day)

Se conoce como vulnerabilidad de zero day o 0-day (vulnerabilidad de día 0) a la situación que aparece cuando sólo una persona (o muy pocas personas) conocen una vulnerabilidad y están en una situación de ventaja para poder explotarla.
Es decir, la persona que ha encontrado la vulnerabilidad no la ha hecho pública, de modo que ni el fabricante ni los administradores/usuarios son conocedores del problema.

Los atacantes más avanzados suelen dejar de explotar una vulnerabilidad de día cero una vez que esta se hace pública y se remedia, para evitar ser detectados, buscan emplear una vulnerabilidad alternativa.



Información extraída del curso "Ciberseguridad. Entender los ataques para desplegar contramedidas" impartido por la Universidad Rey Juan Carlos a través de la plataforma online MiríadaX

Certificado de superación: https://certificados.miriadax.net/7bgzzfin


2 de octubre de 2017

7 consejos básicos de ciberseguridad para pequeñas empresas

Las pequeñas empresas y los trabajadores por cuenta propia son grandes objetivos para los piratas informáticos, y las consecuencias económicas pueden ser considerables.
Atrás han quedado los días de pensar "nunca nos pasará a nosotros". No sólo han aumentado los hackeos con frecuencia, sino que el impacto en las PYMES es cada vez más importante.


¿Pero por dónde empiezas? Muchas PYMES sienten que ser tan seguras como un gran negocio es imposible.

"Las corporaciones tienen grandes presupuestos, jefes de seguridad y equipos completos dedicados a la ciberseguridad".

Esta percepción deriva de la impresión de que los hackeos son muy complicados, y dependen de una tropa incansable de atacantes altamente cualificados.
La mayoría de hackeos no son así. La mayoría se apoyan en la falta de conocimiento sobre lo que se necesita para comprometer tus sistemas: un simple correo electrónico de phishing o una contraseña filtrada y nada más. Es así de simple.





Educarte en esta materia y compartir el conocimiento con el personal es la única solución.

1. Obtén una contraseña segura


Un 80% de las infracciones se deben a contraseñas robadas y/o contraseñas débiles.

Obtener una contraseña segura es el mínimo necesario. Esto es más fácil de lo que piensas.
Muchos no saben que puede usar espacios en sus contraseñas, por ejemplo: "mesa de caballo" es una contraseña mucho mejor que "caballo123".

2. Haz que tu contraseña sea única


Tener una sola contraseña fuerte no cuenta si esa contraseña se filtra.

Compañías fiables como LinkedIn y Yahoo han perdido millones de contraseñas en los últimos años, lo que abre la puerta a ataques cibernéticos de gran alcance.

Los gestores de contraseñas como LastPass y 1Password te ayudan a generar y mantener un registro de contraseñas únicas y fuertes.

3. Saber detectar el phishing


Los ciberdelincuentes están enviando constantemente correos electrónicos de "phishing", intentando que hagas clic en su sitio web para instalar malware o convencerte de darles tu contraseña.

Entender lo que un pirata informático está tratando de hacer y qué busca es clave.

La mala sintaxis, la ortografía incorrecta o las direcciones de correo electrónico y los vínculos que incluyen un montón de paradas completas (por ejemplo, amazon.getcode.tickets.phishingattack.com) son signos claves de advertencia a tener en cuenta.

4. Entiende la información que ya estás dando


Los ataques de phishing dependen de la cantidad de información que compartimos acerca de nosotros mismos en línea.

Los infractores detrás del robo de datos de iCloud de celebridades en 2014 utilizaron la información adquirida a través de los mensajes públicos que dieron las figuras para adivinar las respuestas a las preguntas secretas del usuario.

Si tu pregunta secreta es "La ciudad en la que yo nací" y publicas esa información en Facebook, los ciberdelincuentes tienen una forma fácil de ingresar a tu cuenta.

5. Presta atención a las URL de las páginas web


Cuando veas "http" en la url de una página web, significa que tu comunicación con esa página no está cifrada.
Cualquier comunicación podría ser fácilmente leída por un pirata informático esperando en esa página.

"Http" es un signo de advertencia a tener en cuenta si alguna vez piensas que podrías haber tropezado con un sitio web de phishing o generalmente sospechoso.

Si alguna vez ingresas información confidencial como números de tarjeta de crédito o datos personales, asegúrate de que el sitio web tenga "https" en la URL del sitio web. De esa manera, estarás más seguro.

6. Actualiza tu software


El software se actualiza por una razón. Por lo general, empresas como Microsoft o Apple descubren vulnerabilidades que podrían permitir entrar en sus sistemas, así que lo arreglan y luego ofrecen una actualización.

Con el ataque de WanaCry a principios de este año se vio lo que sucede cuando las organizaciones no instalan parches (actualizaciones que ponen los sistemas informáticos a la versión más actualizada) y actualizaciones de seguridad.

7. Cifrar todo


En caso de que ocurra una violación informática, por lo menos asegúrate de que cualquier información que quede expuesta a terceros sea difícil de entender.

Cifra tus discos duros y bases de datos con un algoritmo moderno como AES-256, esta es una herramienta defensiva determinante para proteger tus datos en caso de una violación.

El conocimiento es la clave de la seguridad cibernética, pero es importante pensar en la estructura subyacente de tu negocio y la forma en que manejas los datos de forma más amplia.
Los controles de toda la organización y las políticas de protección de datos ayudan a definir una defensa tecnológica sólida, y aseguran que sabes cómo responder en caso de incumplimiento.


* Artículo de Edith Gómez (colaboradora habitual) *



Edith Gómez


Editora en gananci.com



BIO

Edith Gómez es una apasionada del marketing digital, especializada en comunicación online.
Se niega a irse a la cama cada noche sin haber aprendido algo nuevo.
Le inquietan las ideas de negocio y, más aún, aportar una mirada creativa al pequeño mundo en el que vivimos.

Twitter: @edigomben
LinkedIn: edithgomezbenitez



16 de mayo de 2017

Reflexiones sobre el primer ciberataque masivo que ha paralizado el mundo

Mucho se ha hablado en los últimos días sobre lo ocurrido con el ciberataque intensivo a través de un virus del tipo ransomware conocido como "WannaCry" (Quiero llorar).
Unas 200 mil computadoras, sobre todo en Europa, fueron infectadas desde el viernes por el virus que explota una vulnerabilidad en los sistemas operativos Windows divulgada en los documentos robados a la NSA (Agencia de Seguridad Nacional de Estados Unidos).

Documentación que guardaba la Agencia de Seguridad Nacional para sus propios intereses y que fue sustraída y publicada por el grupo ruso Shadow Brokers. Wikileaks fue el principal altavoz de esta filtración. Los detalles técnicos hicieron posible que los cibercriminales, todavía no reconocidos, diseñaran el gusano informático que propagó el ransomware.

Edward Snowden hizo alusión al ciberataque: "Si la NSA hubiese comunicado el fallo de seguridad de forma privada cuando lo encontraron, y no cuando lo perdieron en la filtración, esto no habría sucedido".

"Los gobiernos del mundo deberían tratar este ataque como una llamada de atención", escribió en un blog el presidente y director jurídico de Microsoft, Brad Smith, sobre lo que se está definiendo como el mayor ataque de ransomware de todos los tiempos.

"Un escenario equivalente con armas convencionales sería que al ejército estadounidense le roben algunos de sus misiles Tomahawk", escribió Smith.

Smith argumentó que los gobiernos deberían aplicar en el ciberespacio reglas como las que rigen el mundo físico.
Y defendió que la protección ante estos ataques es una "responsabilidad compartida" entre consumidores, gobiernos y, en primera instancia, ellos.

Chema Alonso, responsable de Big Data e Innovación de Telefónica, una de las empresas más afectadas, explicó a través de su blog por qué no actualizaron a tiempo, pese a que el parche fue publicado y clasificado como "crítico" dos meses antes:

"La realidad es que en redes de empresas como las de Telefónica no se puede arriesgar la continuidad de negocio de un sistema que da servicio a los clientes por un problema con un parche, así que se invierte más en responder ante un posible riesgo de que sea explotado con medidas de detección y respuesta, en lugar de arriesgarse a que algo falle en la prevención rápida".

shutterstock

Algunas consideraciones

El ataque ha estado muy bien diseñado y pensado, tanto desde el punto de vista económico como por el riesgo que supone para todos a nivel general. Alcanza dimensiones sin precedentes y exige una compleja investigación internacional para identificar a los culpables.

Vivimos en una era digital y todo está conectado a Internet (bancos, datos sensibles, como los vinculados a salud, biométricos, de geolocalización, entre otros, y los de niños, niñas y adolescentes ...) por lo que debemos asumir ciertos riesgos o amenazas. Podemos decir con total certeza que la delincuencia ya es digital.

Suscribo la opinión del Sr. Borja Adsuara Varela (experto en Derecho y Estrategia Digital) que dice literalmente:

"Estoy un poco harto de que a los usuarios se nos eche la culpa de los fallos que tienen los productos y servicios TIC, descargando en nosotros toda la responsabilidad de lo que pase y presuponiendo en nosotros unos conocimientos informáticos que no tenemos, cuando lo normal y razonable es pensar que compras productos o contratas servicios que son seguros.

Y no vale decir que no existe una seguridad al 100%, porque eso ya lo sabemos. Pero, donde no llega la seguridad tecnológica, llega la seguridad jurídica, que dice quién responde si hay un "fallo de fábrica" de la primera (no un mal uso). Cuando se descubre un fallo en un vehículo, un electrodoméstico, un juguete, una medicina o un alimento, se retira del mercado y/o se arregla, siempre con cargo al fabricante.

Echo de menos una mayor vigilancia de las autoridades públicas y las asociaciones privadas sobre la seguridad de los productos y servicios digitales. No "a posteriori", porque a toro pasado todos somos muy listos, sino "a priori". ¿Se imaginan que se permitiera comercializar (y circular) automóviles con graves defectos de seguridad, o electrodomésticos, juguetes, medicinas o alimentos, sin los oportunos controles?"


Artículo completo: Ramón-Ware y "el negro del Whatsapp"

¿cuáles son las necesidades en nuestro país?

Las empresas españolas, que reciben una media de cien ataques informáticos al año, un 33% de los cuales son efectivos, buscan 'hackers' para frenar los 'crackers', ha explicado la directora del Máster de Seguridad de las TIC de la Universitat Oberta de Catalunya, Helena Rifà, que ha señalado que en el 2025 las industrias necesitarán unos 825.000 profesionales de seguridad.

De hecho, la necesidad de los 825.000 especialistas en seguridad informática para el 2025 en España ya la adelantó María del Mar López, secretaria del Consejo Nacional de Ciberseguridad, durante la apertura del Programa de innovación en ciberseguridad de la Deusto Business School en noviembre de 2016.

"Más allá de los estereotipos que muestran las películas, un 'hacker' es una persona especializada en buscar agujeros de seguridad, un profesional de las redes y los sistemas que puede encajar perfectamente en la dinámica empresarial", ha afirmado Rifà.

Según la experta, "este es un perfil muy recomendable para asegurar que una empresa tiene sus activos lo más seguros posible".

Estos especialistas atacan el sistema para analizar si es vulnerable a 'exploits', es decir, si hay agujeros de seguridad, además de llevar a cabo análisis exhaustivos para intentar encontrar nuevas deficiencias.

"A diferencia del 'hacker', el 'cracker' es el que utiliza las vulnerabilidades para acceder, infectar y extraer información privada de sistemas externos malintencionadamente y a menudo ilegalmente", ha subrayado Rifà.

Los ataques que más realizan son los softwares maliciosos ('malware'), la suplantación de la identidad ('phishing') y los robots que controlan los ordenadores remotamente ('botnet').

En promedio, los 'crackers' alcanzan el éxito en uno de cada tres ataques al mes, según afirma el estudio de la consultora Accenture.

A escala global, más del 85% de las empresas analizadas estaban infectadas cada mes de alguna manera, según el Informe anual de seguridad de Cisco. Infraestructuras obsoletas y softwares sin actualizar lastran la capacidad de las corporaciones para dar respuesta a los ciberataques.

¿qué podemos hacer para minimizar los riesgos en nuestros equipos informáticos?


  • Instala un antivirus adecuado y un firewall o cortafuegos.
  • Utiliza contraseñas de alta seguridad: se recomienda que las contraseñas no contengan nombres completos, nombres reales o de tu empresa, así como números muy conocidos (número de teléfono o fecha de nacimiento).
  • La web How Secure Is My Password? averigua la dificultad para descifrar tu contraseña por una computadora.
  • Mantén actualizados el sistema operativo y los navegadores web de tu equipo.
  • Realiza copias de seguridad periódicas de la información, principalmente la más sensible o importante de los dispositivos.
  • Usa el "sentido común":
    1. no abrir ficheros, adjuntos o enlaces de correos electrónicos no fiables, ni contestar a este tipo de correos.
    2. precaución al seguir enlaces en correos, mensajería instantánea y redes sociales, aunque sean de contactos conocidos.

¿qué antivirus debemos usar?

En la actualidad, existen infinidad de antivirus y debemos elegir la solución que mejor se adapte a nuestras necesidades.
Voy a hacer mención especial a Bitdefender por razones que expongo a continuación:

  • Dispone de un laboratorio de pruebas, un servicio técnico y convenios con diferentes universidades y entidades públicas como la Universidad Oberta de Cataluña o el Centro de Alerta Antivirus.
  • Posee múltiples certificaciones y premios internacionales: Bitdefender 2015 ha ganado cuatro premios de PC MAG y CNET, y obtuvo Editor’s Choice una crítica excelente de PC WORLD. El producto se desarrolla sobre una versión mejorada de Bitdefender 2014, la cual ganó el título de "Mejor Antivirus of 2014" y dos premios Editor’s Choice de PC MAG.
  • Ofrece software contra las amenazas a más de 500 millones de usuarios domésticos y soluciones corporativas en más de 180 países.
    Tiene oficinas en Estados Unidos, Reino Unido, Alemania, España (ubicadas en Madrid, Barcelona, Vigo, Las Palmas de Gran Canaria, Valencia y Sevilla), Perú y Rumanía. Además, posee una red local de distribuidores en más de 200 países.
  • Además de la protección antivirus habitual en este tipo de aplicaciones contra malware, spyware, ataques de phishing, etc., incluye un firewall, un gestor de contraseñas, control parental, un escáner para perfiles de Facebook (Safego) que bloquea posibles enlaces que podamos recibir a través de esta red social, una aplicación para borrado seguro de ficheros y, también, un navegador Web (Safepay) para acceder de forma segura a cualquier entidad bancaria que funciona en su propio escritorio sin interactuar con el resto del Sistema Operativo.
  • La app Bitdefender Central está disponible ahora para iOS y Android (nuevo)
  • Gestor de contraseñas y Destructor de archivos mejorados (nuevo)
Toda la información en:

Bitdefender Internet Security 2017





24 de abril de 2017

Ciberseguridad: glosario de términos

La ciberseguridad debe ser considerada como un proceso y no como una actividad aislada y diferenciada del resto de servicios o herramientas informáticas. Podemos decir que la seguridad es una cualidad más, que como la salud en el caso de las personas, hay que cuidar desde el principio, y en cuya gestión participan gran cantidad de agentes.


Siguiendo con esta comparación, los ciberataques, cada vez más sofisticados y difíciles de detectar, se pueden considerar como una enfermedad que debemos ser capaces de prevenir y ante la que debemos ser capaces de reaccionar, generando los anticuerpos necesarios para volver a la situación de salud inicial.


Es vital la divulgación y concienciación en materia de ciberseguridad tanto de empresas como de ciudadanos

.

En este caso, vamos a explicar algunos de los términos relacionados con la seguridad informática o seguridad de tecnologías de la información..

Malware

Software malicioso creado para infiltrase en una computadora, obtener información confidencial o acceder a sistemas informáticos privados.

Dispositivo de análisis de malware

Dispositivo de alto rendimiento diseñado para analizar automáticamente archivos sospechosos y descubrir el malware, ejecutando esos archivos dentro de la seguridad de un entorno de máquina virtual de sandbox.

Sandbox

Palabra procedente del inglés que significa "caja de arena" (sand: arena, y box: caja) y hace referencia a una de las muchas máquinas virtuales utilizadas para detectar la presencia de malware y otros amenazas cibernéticas.

Phishing

El phishing o "suplantación de identidad" es un intento de obtener información confidencial (como nombres de usuario, contraseñas e información detallada de tarjetas de crédito) de forma fraudulenta por medio de técnicas haciéndose pasar por una entidad confiable.

Ransomware

Tipo de malware que cifra los archivos importantes para el usuario, haciéndolos inaccesibles, y pide que se pague un "rescate" para poder recibir la contraseña que permite recuperar los archivos.

Scareware

Del inglés scare (miedo) y software, es un tipo de ransomware más simple que engaña a los usuarios de una computadora para que visiten sitios infestados de malware.

Si quieres conocer otros tipos de malwares, visita la página del blog: ¿sabes cómo funciona un programa antivirus y cómo protegerte contra malwares?

Spear Phishing

Un ataque contra una organización específica o un individuo dentro de esa organización. La intención es robar propiedad intelectual, datos financieros, secretos comerciales o militares y otros datos confidenciales.

Hacktivismo

El Hacktivismo (un acrónimo de hacker y activismo) es el uso de computadoras y redes informáticas para protestar y/o promover fines políticos.

Ataque de día cero

En inglés zero-day attack o 0-day attack, es un ataque contra una aplicación o sistema que tiene como objetivo la ejecución de código malicioso gracias al conocimiento de vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante del producto. El nombre 0-day se debe a que aún no existe ninguna revisión o parche para mitigar el aprovechamiento de la vulnerabilidad.

Baiting

Un ataque de ingeniería social en el cual los medios físicos (como CD-ROMs o unidades flash USB) que contienen malware se dejan deliberadamente cerca de las instalaciones de una organización objetivo, donde pueden ser encontrados y posteriormente instalados por víctimas curiosas.

Big Data

Una colección de conjuntos de datos tan grandes y complejos que son difíciles de trabajar con la gestión de bases de datos tradicionales y herramientas de análisis.

Big Data Security

Una solución basada en computadora que captura y almacena algunas o todas las fuentes de datos grandes de una organización para descubrir y mitigar las amenazas cibernéticas.

Cyberwarfare

Ataque cibernético de motivación política para llevar a cabo sabotaje y/o espionaje contra otra nación.

Ataque de denegación de servicio (DoS)

Es un ataque a un sistema de computadoras o red que hace que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de conectividad en la red por el consumo de ancho de banda de la misma o sobrecarga de los recursos computacionales del sistema atacado.

Política de uso aceptable (AUP)

Un conjunto de normas que define la forma en que los usuarios finales pueden utilizar computadoras, red y recursos de Internet.

Amenaza persistente avanzada (APT)

Ataque cibernético que emplea técnicas avanzadas de sigilo para permanecer desapercibidos durante largos períodos, generalmente gubernamental o comercial, dirigido a penetrar la seguridad informática de una entidad específica.

Prevención de pérdida de datos (DLP)

Una estrategia o solución que detecta y evita que los usuarios finales envíen información sensible o crítica fuera de la red corporativa.

Defensa en profundidad

Proviene de la terminología militar y se refiere a una estrategia que pretende aplicar controles de seguridad para proteger los datos en diferentes capas de modo que una amenaza de seguridad debe poder vulnerar más de una medida de seguridad.

Drive-by download

Una forma de ciberataque que se produce cuando un usuario descarga de forma involuntaria un software de ordenador proveniente de Internet. El sitio web descarga el malware en la computadora de la víctima sin que la víctima se da cuenta.

Falso positivo

Para un antivirus, un falso positivo en informática se refiere a la detección de un archivo como virus (o alguna otra clase de malware) por parte de un antivirus, cuando en realidad no es ningún virus o malware.

Falso negativo

En el contexto de la seguridad de la información se produce cuando el software antivirus falla en detectar un archivo o área del sistema que está realmente infectada.

Sistema de detección de intrusos (IDS)

Un dispositivo o software pasivo que supervisa el tráfico de red y proporciona alertas cuando detecta amenazas cibernéticas.

Sistema de prevención de intrusiones (IPS)

Un dispositivo activo (en línea) o una aplicación de software que supervisa el tráfico de red y bloquea las amenazas cibernéticas tras la detección. Es un control de acceso cercano a las tecnologías cortafuegos.

Análisis de comportamiento de red (NBA)

Una solución de seguridad informática que monitorea continuamente los datos de flujo de los routers para detectar un comportamiento anómalo de la red como ataques de denegación de servicio, ciertas formas de malware y violaciones a políticas de red.

Cortafuegos de nueva generación (Next-Generation Firewall o NGFW)

Dispositivo cuya función es gestionar la seguridad entre redes LAN permitiendo o denegando las conexiones, pero va más allá con funcionalidades avanzadas que se pueden activar o desactivar de forma modular, tales como Detección de Intrusos (IPS), Prevención de Intrusos (IDS), Control de Aplicaciones, Prevención de perdida de datos (DLP), Autenticación de Usuarios, Concentrador VPN, Antivirus y Filtrado Web.

Información sobre seguridad y gestión de eventos (SIEM)

La tecnología SIEM proporciona un análisis en tiempo real de las alertas de seguridad generadas por el hardware y software de red. Se trata de software o administración de servicios utilizado también para loguear datos de seguridad y generar reportes para fines de cumplimiento.

Dispositivo de visibilidad SSL

Aparato de alto rendimiento diseñado para inspeccionar el tráfico cifrado SSL (y TLS), hacer cumplir políticas de uso de SSL, descifrar el tráfico SSL para la inspección y/o captura de datos por uno o más dispositivos de seguridad de red y eliminar el punto ciego de seguridad que crea el tráfico cifrado.

Gestión Unificada de Amenazas (UTM)

Por lo general un único producto de seguridad que ofrece varias funciones de seguridad en un solo punto en la red. Una solución UTM generalmente incluye funciones como antivirus, anti-spyware, anti-spam, firewall de red, prevención y detección de intrusiones, filtrado de contenido y prevención de fugas.

Watering Hole Attack

El ataque se vale de los mismos empleados de las compañías haciéndoles descargar involuntariamente malware a la red de la organización atacada cuando visitan una una página web de confianza controlada por el delincuente.


11 de enero de 2016

HackerOne, conecta hackers con empresas

Creado por los líderes de seguridad de Facebook, Microsoft y Google, HackerOne es la primera plataforma de gestión de vulnerabilidades y recompensas de errores: todos los informes de vulnerabilidad en un solo lugar, administrados por el equipo de soporte de incidencias, proporcionando una fácil interacción entre los interesados ​​y recompensando a cualquier hacker en cualquier parte del mundo con un sólo clic.

En el año 2011, dos holandeses con 20 años de edad diseñaron una lista de objetivos de 100 empresas de alta tecnología que tratarían de hackear. En poco tiempo habían encontrado fallos de seguridad en Facebook, Google, Apple, Microsoft, Twitter y otras 95 empresas.

Cuando alertaron a los ejecutivos de esas empresas, alrededor de un tercio de ellos ignoraron el aviso. Otro tercio les dió las gracias pero nunca solucionaron las vulnerabilidades, mientras que el resto resolvió sus bugs de seguridad. Afortunadamente para los jóvenes hackers informáticos, nadie llamó a la policía.

Ahora Michiel Prins y Jobert Abma, se encuentran entre los cuatro co-fundadores de esta plataforma tecnológica ubicada en San Francisco que pretende convertirse en mediadora entre las empresas con problemas potenciales de ciberseguridad y hackers como ellos.
Esperan que su equipo, HackerOne, pueda persuadir a otros hackers para informar responsablemente de fallos de seguridad, en lugar de explotarlos, y conecte los "white hats" con empresas dispuestas a pagar una recompensa por sus hallazgos.

En el último año, la puesta en marcha ha convencido a algunos de los grandes de la tecnología - incluyendo Yahoo, Square y Twitter - y empresas como bancos y compañías petroleras se han puesto al servicio de esta iniciativa.
También han convencido a los inversores de capital riesgo que conocedores de los miles de millones de dispositivos móviles en línea y las vulnerabilidades inevitables, han visto en HackerOne un potencial muy lucrativo.
HackerOne recibe una comisión del 20 por ciento de cada una de las recompensas pagadas a través de su servicio.

Las compañías tecnológicas comenzaron a gratificar a los hackers hace cinco años cuando Google empezó a pagar a los hackers $3,133.70 por bugs (31337 es el código de la "élite" hacker). Desde entonces, Google ha llegado a pagar la cifra de $150,000 para una sola recompensa y ha repartido más de $4 millones a los hackers.

Cerca de 1.500 hackers forman parte de la plataforma HackerOne. Se han fijado alrededor de 9.000 bugs y recibido más de 3 millones de dólares en recompensas.

Para las empresas que están empezando a considerar el programa de errores, HackerOne les ofrece una comunidad de hackers de buena reputación y se encarga de los trámites de gestión, incluyendo los formularios de impuestos y pagos.

Además, han creado el programa Internet Bug Bounty cuyo panel premiará la investigación en las vulnerabilidades con graves consecuencias para la seguridad pública: aquellas que estén presentes en las implementaciones de múltiples proveedores o un proveedor con una cuota de mercado dominante y un gran número de usuarios finales.

El programa "Internet Bug Bounty" está formado por un grupo de voluntarios expertos en seguridad siendo responsables de la definición de las reglas del programa, la asignación de recompensas y mediar cualquier desacuerdo que pueda surgir:


¿Cómo funciona HackerOne? (english):





Algunas de las empresas que forman parte de la plataforma Hackerone:




Puedes ver el listado commpleto en Directory Report Vulnerabilities to Companies's Security Teams


21 de diciembre de 2015

¿sabías que Google paga recompensas por descubrir fallos de seguridad en sus productos?

Bug Security Google
La filosofía de seguridad de Google:
como proveedor de software y servicios para muchos usuarios, anunciantes y editores en Internet, Google apuesta fuertemente por ayudar a proteger su privacidad y seguridad.
Y lo hace proporcionando recompensas en efectivo (desde noviembre de 2010) para mejorar la calidad y seguridad de sus productos.

Google ofrece actualmente los siguientes programas de recompensa de seguridad:

En principio, cualquier servicio web propiedad de Google que maneja datos de usuario sensibles están en el alcance de estas recompensas. Esto incluye todo el contenido en los siguientes dominios:

  • *.google.com
  • *.youtube.com
  • *.blogger.com
Errores en aplicaciones y extensiones desarrolladas por Google (publicados en Google Play, en iTunes o en la Chrome Web Store) también calificarán.

Las empresas o servicios recién adquiridos están sujetos a un período de supervisión de seis meses. Los bugs reportados antes de ese periodo no califican para una recompensa.

Cualquier problema de diseño o implementación que afecta sustancialmente a la confidencialidad o integridad de los datos de usuario formará parte del programa.

Los ejemplos más comunes incluyen:

  • Cross-site scripting
  • Cross-site request forgery
  • Mixed-content scripts
  • Authentication or authorization flaws
  • Server-side code execution bugs
Cantidades de recompensa

Las recompensas por errores de clasificación van desde $100 a $20.000.
La siguiente tabla muestra las recompensas habituales elegidas para los errores más comunes:

Category Examples Applications that permit taking over a Google account [1] Other highly sensitive applications [2] Normal Google applications Non-integrated acquisitions and other sandboxed or lower priority applications [3]
Vulnerabilities giving direct access to Google servers
Remote code execution Command injection, deserialization bugs, sandbox escapes $20,000 $20,000 $20,000 $1,337 - $5,000
Unrestricted file system or database access Unsandboxed XXE, SQL injection $10,000 $10,000 $10,000 $1,337 - $5,000
Logic flaw bugs leaking or bypassing significant security controls Direct object reference, remote user impersonation $10,000 $7,500 $5,000 $500
Vulnerabilities giving access to client or authenticated session of the logged-in victim
Execute code on the client Web: Cross-site scripting
Mobile: Code execution
$7,500 $5,000 $3,133.7 $100
Other valid security vulnerabilities Web: CSRF, Clickjacking
Mobile: Information leak, privilege escalation
$500 - $7,500 $500 - $5,000 $500 - $3,133.7 $100

Además, ofrece la opción de donar tu premio a una organización benéfica. Si lo haces, Google duplicará su donación.
Cualquier recompensa sin reclamar después de 12 meses será donada a una organización benéfica de su elección.

Google no emite recompensas a las personas que están en las listas de sanciones, o que se encuentran en los países que forman parte de las listas de sanciones: Cuba, Irán, Corea del Norte, Sudán y Siria.

¿Quién determina si el informe es elegible para una recompensa?:

El panel de recompensa se compone de los miembros del equipo de seguridad de Google.
Actualmente, los miembros permanentes son Artur Janc, Eduardo Vela Nava, Jeremy Zimmer, Martin Straka, y Michal Zalewski.
También se incorporan al equipo otros miembros de forma rotativa.

¿Cómo reportar un informe de vulnerabilidad de Google?:

Accede a la siguiente dirección: Security Bug Report

¿Qué es bughunter.withgoogle.com?:

Es el tablero de instrumentos para todos los investigadores de seguridad que participan en el Programa de Recompensa de Vulnerabilidad (VRP) de Google.

Si quieres aparecer en el salón de la fama tienes que presentar un informe de error válido.
El salón de la fama se ordenan en función de una combinación de:

  • Cantidad: informes de errores válidos conducirán a una mejor clasificación. Informes falsos pueden llevar a un rango inferior.
  • Gravedad: errores más graves conducen a una mejor clasificación.
Yo he tenido la suerte de encontrar un error de seguridad en uno de sus productos y formo parte del Salón de la Fama de Google :))

Google Vulnerability Reward Program (HALL OF FAME)





Soluciones a problemas comunes de "no vulnerabilidad"::


La lista completa de programas de caza de bugs de 2019::

Recientemente, una lectora del blog me ha proporcionado información valiosa de los programas de recompensas más importantes en la actualidad(Bug Bounty): La lista completa de programas de caza de bugs de 2019.
Muchas gracias Verónica :))