¡Con la contraseña no alcanza!

Cuando creó su cuenta de Facebook, seguramente tuvo cuidado de utilizar una contraseña segura, ¿verdad? Por ejemplo, alternó entre mayúsculas y minúsculas, utilizó números, no comparte la misma contraseña con otros sitios como por ejemplo Gmail o Hotmail, y nadie más que usted la conoce. Con todas esas precauciones, se garantiza que nadie puede acceder a sus datos… ¿o no?

Lamentablemente, la cosa no es tan sencilla: con una variación de una técnica de ataque conocida, es posible acceder a todos los datos de la cuenta de Facebook de cualquier usuario, sin conocer la contraseña.

Como siempre, debe haber un engaño de por medio que le permita al atacante acceder a su información personal y la de sus contactos, pero lo novedoso de esta técnica es que el tipo de engaño necesario es sorprendentemente fácil de conseguir.

El nombre que recibe esta técnica es “cross-site identification” o CSID, y se trata de generar, en primer lugar, que usted ingrese a un sitio elegido por el atacante mientras que está logueado en Facebook (o cualquiera de las otras redes sociales que son vulnerables (por ejemplo, Orkut).

De esta manera, el atacante aprovecha que usted ya había ingresado la contraseña, para engañar a la red social y solicitar el envío de información como si usted mismo lo estuviera haciendo.

Por supuesto, en ningún momento durante el ataque es posible detectar esta actividad, y lamentablemente esta operación no deja rastros.

En cuanto al sitio necesario para el engaño, es necesario que genere una motivación para que el usuario acceda a hacer clic en algún enlace o una imagen, por lo que generalmente se utilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado por el hacker, sino que se puede utilizar un sitio legítimo para realizar el ataque.

¿Qué se puede hacer para evitar caer en esta nueva técnica? Las mayores posibilidades de evitar un ataque de cross-site identification recaen en los sitios de las redes sociales, ya sea mejorando el diseño de sus interfaces, aumentando la seguridad de las aplicaciones y fortaleciendo las políticas de entrega de datos personales de los usuarios.

Sin embargo, podemos citar algunas recomendaciones que siempre es necesario tener en cuenta, y que pueden ayudar a protegerse también de este tipo de ataque:

• En las redes sociales acepte invitaciones solamente de gente conocida.
• Configure siempre las preferencias de seguridad y privacidad de su perfil. Puede tomar algo de tiempo, pero realmente ¡vale la pena para protegerse!
• Utilice aplicaciones en las redes sociales solamente cuando conozca el origen, es decir, quién es el autor o la empresa que la distribuye, y qué hace exactamente.
• Al otorgar acceso a sus datos personales, tanto a una aplicación como a la red social en sí, evalúe las consecuencias potenciales de la decisión. La recomendación es probar primero con la opción de denegar accesos, y habilitarlos si se comprueba que son necesarios.
• No habilite las opciones que le permiten mantenerlo logueado durante mucho tiempo en un sitio. Es preferible ingresar la contraseña varias veces; generalmente, esta opción se presenta como “no cerrar mi sesión”, “mantenerme logueado”, “keep my session alive” o algo por el estilo.
• Cuando deje de utilizar una página que requiere de una contraseña (ya sea una red social, su correo o el home-banking), siempre asegúrese de desconectarse. Típicamente existe una opción llamada “sign out”, “log out”, “salir” o similar.

Fuente: Global Crossing

Read full story

Cómo los organismos de seguridad se infiltran en las redes sociales

Un documento interno del Departamento de Justicia de los EEUU menciona la actividad que realizan agencias como el FBI en sitios como facebook, MySpace, LinkedIn y twitter

Todos los organismos de seguridad estadounidenses se han sumergido en los servicios de redes sociales de internet, registrándose con nombres y datos falsos para comunicarse con gente sospechosa y buscar información de actividades ilegales, según un documento interno del Departamento de Justicia que pone sobre el tapete una cantidad de posibles conflictos entre el derecho a la privacidad y la lucha contra la delincuencia.

El documento, obtenido por la Electroning Frontier Foundation de San Francisco invocando la ley de libertad de información, deja en claro que los agentes de las fuerzas de seguridad se conectan con las redes sociales e intercambian mensajes con sospechosos, con amigos o parientes de estos, y revisan información privada, incluidos comentarios de la gente, fotos y videos.

La incursión en la red tiene varios usos: les permite, por ejemplo, ver si lo que un sospechoso dice allí coincide con lo que le dijo a la policía.

Los mensajes de twitter son particularmente delatores, ya que tienden a revelar el lugar donde se encontraba una persona a determinada hora.

Fotos de una jornada de compras excesivas pueden alimentar las sospechas de que una persona estuvo involucrada en un robo.

Los organismos de seguridad nacionales, estatales y municipales coordinan sus incursiones en la red con el servicio secreto, el FBI y otras dependencias del gobierno para evitar conflictos.
"Uno puede armar tremendo lío en una investigación si dos agencias investigan a la misma persona y comienzan a hacer cosas que resultan contraproducentes", comentó el detective Frank Dannahey, de la policía de Rocky Hill, Connecticut, especialista en operaciones encubiertas.

Las redes sociales contienen una cantidad de información personal, incluidas fotos, videos y audio, que pueden suministrar datos importantes en una investigación de un delito.

El documento del Departamento de Justicia dice que los portales como facebook, twitter, MySpace, LinkedIn y otros similares son de gran valor para las investigaciones, pero "no habla de ningún mecanismo que garantice que el gobierno los usa en forma responsable", sostuvo Marcia Hoffman, abogada de la Electronic Frontier Foundation, una organización que defiende las libertades civiles.

Funcionarios del Departamento de Justicia afirman que las incursiones en internet están regidas por ciertas normas, pero no dicen cuáles son esas normas.

Antecedentes
No hace mucho, una mujer de Missouri fue enjuiciada por usar una cuenta en MySpace con datos falsos para hostigar a otra persona. Eso es básicamente lo mismo que están haciendo las autoridades ahora, aunque con diferentes motivos.

La mujer, Lori Drew, se hizo pasar por un niño adolescente que coqueteaba por internet con una vecina de 13 años. La niña se ahorcó en octubre del 2006 luego de recibir un mensaje en el que el amigo virtual le decía que el mundo se vería mejor sin ella.

Un jurado la condenó por varias violaciones de las reglas de MySpace sobre la creación de cuentas con datos falsos, pero un juez anuló los veredictos el año pasado por considerar que las leyes son demasiado vagas.

"¿Si un agente viola las normas de un portal, incurre en una actividad ilegal?", plantea el documento del Departamento de Justicia.

Casi todos los portales estipulan que el usuario no puede difundir datos ni información falsa.

Un ex fiscal especializado en temas de internet, Marc Zwillinger, considera que los investigadores tienen derecho a actuar en forma encubierta en internet, del mismo modo que lo hacen en el mundo real, incluso si violan las normas de los portales. Pero que hay un límite para todo.

"Tiene que haber una buena supervisión para que los agentes no se pasen de la raya", manifestó Zwillinger.

A veces ni hace falta una operación encubierta para encontrar a alguien que ha cometido un delito, pues las personas cometen torpezas increíbles, como cuando un sospechoso de fraude que era buscado por las autoridades puso fotos en facebook que indicaban que estaba dándose la gran vida en México.

La policía determinó el sitio exacto donde se encontraba y pidió su detención. El individuo, Maxi Sopo, fue arrestado y está a la espera de su deportación.

Fuente: InfoBae

Read full story