Noticias De La Semana: Metadatos, Zero Days, MH 370 Phishing y Más

Para aquellos que pasamos nuestros días escribiendo noticias de seguridad informática, la semana pasada fue una semana lenta. Sin embargo, si bien no hubo muchas grandes noticias sobre eventos informáticos,

Para aquellos que pasamos nuestros días escribiendo noticias de seguridad informática, la semana pasada fue una semana lenta. Sin embargo, si bien no hubo muchas grandes noticias sobre eventos informáticos, sí hubo una pequeña cantidad de historias notables que merece la pena mencionar.

Dentro de este puñado de noticias destacables encontramos el lanzamiento por parte de la compañía White Hat Security de su navegador web interno para máquinas con sistema operativo Windows y que se focaliza fuertemente en la seguridad y la privacidad. El presidente de los Estados Unidos, Barack Obama, decidió ponerle fin a la recolección de metadatos por parte de la NSA. Un grupo de estafadores utilizaron la noticia de la desaparición del vuelo MH 370 de Malaysian Airlines como carnada para realizar ataques phishing. Se anunció un nuevo Zero Day en Microsoft.

El navegador Aviator.

Hoy en día, las necesidades de seguridad y privacidad en Internet están de moda, en parte, gracias a las informaciones que se dieron a conocer sobre las campañas de espionaje que llevaba a cabo la Agencia de Seguridad Nacional de Estados Unidos (NSA). Sin embargo, asegurar la privacidad de una sesión web es un trabajo muy arduo, especialmente para aquellos usuarios que carecen de conocimientos técnicos en la materia o que no disponen del tiempo para configurar adecuadamente sus navegadores.

Por esta razón, unos meses atrás, nuestros amigos de White Hat Security habían decidido lanzar su navegador Aviator al público (para Mac, al menos). Según se dio a conocer, el personal de WHS utiliza internamente este navegador desde hace años y, a principios de esta semana, lanzaron una versión para Windows con el objetivo de otorgarle a una porción mucho mayor la población la posibilidad de utilizar su navegador.

Aviator fue creado bajo la base de un código Chromium, lo que lo hace muy similar a Google Chrome. Sin embargo, Aviator está diseñado para optimizar la privacidad, la seguridad y el anonimato de los usuarios. Por defecto este navegador impide el rastreo Web por parte de los publicistas. El buscador base de Aviator es DuckDuckGo, que no almacena el historial de búsqueda de los usuarios ni permite la muestra de avisos publicitarios.

El navegador no bloquea los avisos como lo hacen diferentes extensiones de los otros tres grandes navegadores, sino que, por el contrario, no establece ningún tipo de conexión con las redes de publicidades. Esto no sólo previene el rastreo corporativo, sino que, además, protege a los usuarios de los avisos maliciosos. La compañía asegura que esta característica permite que el navegador funcione más rápido que sus competidores.

Obama le pone fin a la recopilación de Metadatos

Hace casi un año se dio a conocer que la NSA estaba recolectando y almacenando los metadatos de las comunicaciones de todas las personas que poseían un teléfono móvil o una computadora. Dentro de toda esta información –además de una larga lista de acusaciones sobre el aparato de espionaje estatal- que  llegó a oídos del público a través de Edward Snown, ex contratista de la Agencia de Seguridad Nacional estadounidense, la recolección de metadatos fue la noticia que tuvo más resonancia entre la audiencia. Esto es particularmente extraño, principalmente porque la mayoría de las personas ni siquiera sabía lo que era un metadato, pero también porque la recopilación de los metadatos es una de las acciones menos graves dentro de las revelaciones en torno al escándalo de la NSA.

De todas formas, cualquier progreso es bueno y la Casa Blanca, al parecer, ha decidido ponerle fin a la recopilación y almacenamiento de metadatos. Según el sistema que regía hasta ahora, la NSA podía almacenar información de charlas telefónicas hasta por 5 años, pero debido a las nuevas reglas, el servicio secreto estadounidense no podrá guardar ningún metadato. Éstos permanecerán en los registros de los proveedores del servicio, quienes, según la legislación vigente, podrán retener esas informaciones hasta 18 meses.

De hecho, al tiempo que escribo este artículo, la Casa Blanca ha hecho pública su intención de acabar con la recolección masiva de metadatos tal y como estaba establecido en la sección 215 de la controversial Acta Patriótica.

Estafas Phishing: vuelo MH 370

Tal y como ya lo sabrás, tres semanas atrás un avión de la compañía Malaysian Airlines, que volaba desde Kuala Lumpur a Beijing desapareció misteriosamente con 239 personas a bordo sin dejar ningún rastro. Al tiempo en que escribo este artículo, las autoridades determinaron que el vuelo MH 370 terminó en una tragedia. Sin embargo, aún no se han descubierto evidencias concretas de los rastros del avión. La teoría más sólida apunta a que el Boeing 777 se estrelló en algún lugar del Océano Índico.

Tal y como ocurrió con otros eventos misteriosos y desapariciones inexplicables, la historia del vuelo MH 370 –a pesar de que la teoría más probable siempre fue un accidente trágico- generó una larga lista de absurdas teorías conspirativas, muchas de las cuales dieron lugar a desvergonzadas coberturas mediáticas. Del mismo modo, un grupo de hackers sinvergüenzas (aunque menos chocantes, dado que ahora estamos hablando de criminales y no de personas que se autodenominan periodistas) aprovecharon esta situación para explotar la historia del vuelo MH 370 con el fin de obtener dinero e información confidencial.

Durante los días de conmoción aparecieron varios enlaces que sugerían que el vuelo MH 370 había sido encontrado. Los usuarios se veían atraídos a clickear en las noticias, sin saber que se trataba de una estafa. La vieja técnica de estafas phishing suele entrar en escena cuando una información particular captura masivamente la atención de la audiencia (muertes de celebridades, eventos deportivos internacionales, desastres naturales y la lista continúa). No obstante, en este caso particular, también hubo campañas sofisticadas de Spear Phishing, en las que los atacantes enviaban correos electrónicos con archivos adjuntos maliciosos, haciéndose pasar por autoridades gubernamentales.

Microsoft Word Zero Day

Finalmente, el lunes pasado Microsoft anunció en su blog Techmet que se registraron una serie de ataques dirigidos a la vulnerabilidad Zero Day, presente en Microsoft Word 2010. Si bien estos ataques apuntaron a la versión 2010 de Word, la compañía advirtió que esta vulnerabilidad afecta también a las versiones 2003, 2007, 2013 y 2013RT, como también a Office para Mac, Office Web Apps 2010 y 2013 y Word Viewer. Según informaron desde Microsoft, ya se creó una herramienta para solucionar este error y el parche definitivo estará disponible en las próximas semanas.

 

 

Traducido por: Guillermo Vidal Quinteiro

Consejos