El creador de Bitcoin vinculado a la ruta de la seda

noviembre 26, 2013 § Deja un comentario

Dos momentos importantes en la historia de los Bitcoin son su creación por parte Satoshi Nakamoto y la explosión de la ruta de la seda por parte de su fundador Ross William Ulbricht.

Según un informe publicado por Dorit Ron y Adi Shamir, dos científicos israelíes [PDF], Ross William Ulbricht (alias Pirata Roberts) puede vincularse económicamente a Satoshi Nakamoto. Aunque los compradores y vendedores de Bitcoin se mantienen anónimos, las transacciones son públicas y a través de ellas, los científicos fueron capaces de rastrear las interacciones.

La red Bitcoin se estableció en 2008 y se ha creído popularmente que las primeras cuentas en sus primeros días eran de Satoshi Nakamoto, quien llegó a acumular unos 77.600 BTC como resultado de la minería.
La identidad real de Nakamoto nunca ha sido descubierta a pesar de los intentos por averiguar quién tiene el conocimiento de criptografía y habilidades matemáticas suficientes para crear el sistema. Se supone que Nakamoto es el creador porque es la única persona que pudo generar esa cantidad a través de la minería en la primera semana.

Los científicos descubrieron una transferencia de 1.000 Bitcoin una semana después de que la red Bitcoin fuera lanzada y el destinatario de ese movimiento fue una cuenta controlada por Ulbricht. Sin embargo, los investigadores no pueden demostrar que la cuenta realmente pertenece a él o no.

Los investigadores creen que las comisiones incautadas por el FBI son sólo el 22% del total, mientras que ellos han sido capaces de rastrear sólo un tercio de dichas comisiones. Posiblemente, el FBI no ha incautado todos los Bitcoin de Ulbricht porque él podría estar usando otros equipo que no han sido localizado.

¿Nakamoto y Ulbricht no serán la misma persona?

Fuente: The Hacker News

Twitter también implementará Perfect Forward Secrecy (PFS)

noviembre 25, 2013 § Deja un comentario

El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio.

En vista de las recientes revelaciones del espionaje de las agencias de seguridad norteamericanas sobre prácticamente casi toda la industria tecnológica, Twitter anunció que su servicio cambiará sus estándares de cifrado utilizando un nuevo protocolo de seguridad.

Este protocolo, recomendado por muchos expertos en el área como la EFF (Electronic Frontier Foundation), es conocido como Perfect Forward Secrecy.

La EFF explica el funcionamiento de la siguiente forma: Con el cifrado estándar HTTPS la llave (o clave) para desencriptar la información está almacenada en el servidor, lo que significa que una agencia de seguridad como la NSA puede capturar toda la información y simplemente esperar hasta que llegue el día que obtenga la llave para descifrar toda esta información.

Sin embargo, el protocolo Perfect Forward Secrecy (que se implementaría encima de HTPPS) consistiría en el fondo en generar una llave nueva para cada interacción, esperando así prevenir la captura pasiva de datos de la NSA.

El nuevo protocolo requerirá una arquitectura de servidores un poco más compleja, lo que dará como resultado un servicio quizá un poco más lento, pero Twitter cree que esta seguridad extra valdrá completamente la pena. Al fin y al cabo, aseguraron que debería ser un estándar y ya fue implementado por Google y Facebook.

Fuente: FayerWayer

Yahoo! cifrará con 2048 bits la información para protegerla de la NSA

noviembre 21, 2013 § Deja un comentario

Hace un mes nos enteramos de ‘Muscular’, un programa de espionaje de la NSA que tenía como objetivo interceptar la comunicación entre los centros de datos de Yahoo! y Google. Ambas empresas han tomado medidas para evitar que la agencia siga haciendo de las suyas. Marissa Mayer acabó de anunciar que su compañía cifrará toda la información que va de un servidor a otro.

A través de su blog en Tumblr, Yahoo! anunció que pondrá en funcionamiento una llave de cifrado de 2048 bits que servirá para garantizar la privacidad de todos los usuarios. La entrada, publicada por la misma presidente de la compañía, dice que el cambio es consecuencia de los numerosos reportes que en los últimos seis meses hemos conocido sobre la NSA y sus programas de vigilancia.

En enero 8 de 2014, Yahoo Mail será el primero en recibir la mejora de seguridad, pero Mayer aseguró que para finales del primer periodo del próximo año esto se extenderá a todos sus servicios. El método de cifrado que usarán específicamente protege la información cuando está siendo transferida de un servidor a otro, precisamente el canal que usa la NSA para conseguir la información. Sin embargo, vale mencionar que hasta ahora la agencia de seguridad ha sido capaz de descifrar lo indescifrable.

En el momento en el que conocimos Muscular, Google y Yahoo! negaron todo conocimiento sobre el programa y negaron, una vez más, sobre la supuesta colaboración con la NSA. “Estamos enojados al ver hasta que punto llega el gobierno para interceptar datos en nuestras redes privadas y subraya la necesidad de una reforma urgente”, dijo David Drummond, jefe legal de Google.

Fuente: Enter

Jornada gratuita sobre Criptografía

noviembre 11, 2013 § Deja un comentario

El próximo jueves 14 de noviembre se llevará a cabo en Escuela de Ingeniería de Ejército una actividad no arancelada sobre Criptografía, que contará con la presencia del Dr. Jorge Ramió Aguirre de la Universidad Politécnica de Madrid.

  • 18:30 – 18:55 Registración
  • 19:00 – 19:15 Bienvenida y Apertura
  • 19:15 – 19:45 Interrogantes sobre el nuevo paradigma de enseñanza MOOC y un caso de estudio: el proyecto Crypt4you de Criptored.
    Dr. Jorge Ramió Aguirre – Universidad Politécnica de Madrid.
  • 19:45 – 20:15 El sistema de aeronaves no tripuladas Lipan y un potencial uso de la criptografía en la transmisión de información sensible.
  • 20:15 – 20:45 Nuevas Tendencias en Criptografía.
  • 20:55 – 21:25 Seguridad en QR.
  • 21:30 – 22:00 Fortalezas y debilidades de la cifra con clave pública: el caso de RSA

Informes e inscripción:
Av. Cabildo15 –1° Piso (1426) C.A.B.A.
Tel:(5411) 4779-338
estcc@iese.edu.ar – www.ingenieriaest.iese.edu.ar

Cristian de la Redacción de Segu-Info

Por el espionaje, aumenta la venta de telófonos cifrados

noviembre 8, 2013 § Deja un comentario

“Han llegado nuevos tiempos: los proveedores apenas tienen tiempo para satisfacer la demanda del cliente”, informa el diario alemán ‘Rainer Frankfurter’ citando al portavoz de la empresa Deutsche Telekom, Rundschau Knirsha. Esta tendencia, destaca el diario ruso RBK Daily, se manifiesta con mayor claridad en Alemania tras la noticia de que la NSA escuchaba el teléfono de la canciller Angela Merkel.

“La demanda de móviles cifrado es increíble. En un par de semanas ha crecido en diez veces”, comenta sin ocultar su alegría Sven Kramer, que trabaja en la empresa Secusmart, en Dusseldorf, especializada en la fabricación de estos dispositivos. Según ella, cada vez son más los interesados en la adquisición de este tipo de móviles, incluso entre ciudadanos comunes y corrientes, aunque su interés suele desvanecerse rápidamente cuando se enteran de que el costo de los dispositivos oscila entre 1.700 y 2.500 euros.

Deutsche Telekom y Secusmart suministran sus móviles al gobierno alemán y a otras agencias estatales. Todos estos pedidos, incluidos los detalles sobre la proporción de móviles con cifrado para altos directivos de diferentes empresas, son información confidencial.

“Para romper nuestros códigos, incluso con la ayuda de dispositivos especiales se necesitarían 149 billones de años”, asegura el jefe de Secusmart Hans-Christoph Quelle. Sin embargo, la mayoría de los expertos creen que la próxima generación de ‘hackers’ puede cambiar la situación actual.

Fuente: RT

Como se incautan #Bitcoins

noviembre 8, 2013 § Deja un comentario

La ciberdelincuencia es cada vez más sofisticada y los delitos económicos que lleva aparejados -sobre todo, robo y blanqueo de capitales- encuentra desde hace años en la Red un campo ilimitado de posibilidades. El auge de las divisas virtuales plantean nuevos retos judiciales y policiales. Nos hemos preguntado: ¿Cómo se intervienen las cuentas de monedas virtuales? ¿Qué se hace con ellas, una vez se detiene al presunto delincuente? ¿Y qué pasa si éste al final resulta absuelto?
Para entender de qué hablamos, parece necesario volver a una definición de ‘moneda virtual’. Y el Bitcoin es el ejemplo más conocido. No es una moneda de curso legal -no hay ninguna autoridad que tome decisiones sobre su emisión y control- pero sí puede funcionar como medio de pago. Y además es un medio de pago anónimo -en principio-, como el pago en efectivo.

Con la caída de SilkRoad, el FBI se incautó de 26.000 Bitcoins por valor de unos 3,6 millones de dólares. Y más cerca, hace unos meses, la Policía española anunciaba que había logrado incautarse de Bitcoins -de hecho, se convertía en el segundo Cuerpo de Seguridad del mundo en incautarse de este tipo de moneda electrónica- en el marco de la Operación Ramson contra los responsables de una red que estafaron a las víctimas del llamado ‘virus de la Policía’.

El inspector jefe de delitos económicos de la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional española explica un poco cómo se procede a bloquear moneda electrónica. Rodríguez comenta que el ciberdelicuente lo que busca -sus premisas- es fundamentalmente cometer sus delitos de forma anónima -trata de evitar la “trazabilidad” de sus movimientos en la Red- y obtener el máximo beneficio posible y moverlo, ‘blanquearlo’, también de forma anónima. Por eso se usan cada vez más las monedas electrónicas.

Operación Ramson

A la hora de mover dinero electrónico, en el caso de la Operación Ramson, estas operaciones se realizaban de forma diferente en el caso de Europa y EEUU. En EEUU se usaba MoneyPay, que obligaba a blanquear las cantidades mediante la extracción de efectivo con tarjetas falsas en España. En este caso, se hacían con tarjetas bancarias prepago estadounidenses y llamaban desde Málaga a través de un ordenador ‘dedicado’ que simulaba una llamada desde EEUU. Una vez activadas cargaban de dinero las tarjetas y hacían ‘rondas nocturnas’ a cajeros par extraer efectivo. En ese momento se perdía el rastro del banqueo. Y todo ello desde Málaga. Luego, el dinero volvía al circuito de dinero electrónico.

Mientras, en Europa, se utilizaban otras plataformas de pago de dinero electrónico como Neteller, OkPay o WebMoney, que no pueden operar en EEUU. En el caso de la Operación Ramson, uno de los detenidos en Málaga estaba dedicado a varias actividades de blanqueo de dinero -también procedente del ‘phishing’- y de venta de ordenadores ‘dedicados’ (bajo el control total de un intruso remoto).

El detenido, según la Policía, se dedicaba a mover dinero de las plataformas antes mencionadas -controlaba un gran número de cuentas o ‘monederos’- a través de los conversores, que permiten cambiar de Bitcoins a Linden Dollars, por ejemplo. Todo esto lo hacía con identidades robadas; en este caso en concreto, mediante los datos de DNIs escaneados de tiendas de telefonía móvil cuyas bases de datos habían sido comprometidos. “En un momento dado, tras varias conversiones es posible transferir Bitcoins, por ejemplo, a una cuenta bancaria: así es como disponía del dinero”, explica Rodríguez, que explica que en muchos casos esas cuentas son de ‘mulas’, personas que desconocen que hay cuentas abiertas a su nombre. “Incluso para dinero ya ‘blanqueado’ usaba cuentas que no estaban a su nombre”, apunta el inspector.

Hasta aquí el modus operandi del detenido. Pero ¿cuál es la clave para poder incautarse de monedas digitales? Rodríguez reconoce que en este caso cuenta la rapidez de la intervención. “Cuando se detuvo a este individuo logramos hacerlo con sus ordenadores y discos duros en marcha, tenia unas 50 pestañas abiertas en su navegador con diferentes cuentas y monederos para realizar estas transacciones”. A este detenido le llegaron a intervenir hasta 100 tarjetas de teléfono prepago -que usaban para autenticar claves- a nombre de una sola persona.

De Bitcoin al depósito judicial

¿Cómo se incauta una moneda como Bitcoin, que no tiene quien la gestione directamente? ¿Cómo dispone uno de ese dinero? Lo que hizo la Policía, una vez entraron en casa del detenido pillado in fraganti y con algunos de sus monederos abiertos -nunca antes-, fue pedir una orden judicial para intervenirlos lo más rápido posible.

“En esta ocasión, con la autorización judicial en la mano -que se cursó el mismo día de la detención- y al valor de cambio que esté, entramos en los monederos del detenido; tenemos una plataforma paralela y cuentas creadas nuestras para controlar todo ese dinero, y allí se transfirieron las cantidades” comenta Rodríguez. Por tanto, la Policía no llegó a tener la cantidad en efectivo.
“Se acreditó al juzgado el valor de cambio de ese momento, demostrando todos los pasos y descontando las comisiones”, afirma el inspector. Más tarde las cantidades intervenidas en euros se ingresaron en la cuenta bancaria de consignaciones judiciales. De hecho, ésta es la manera común de intervenir divisas digitales: hay que convertir esas cantidades en dinero de curso legal e ingresarlo en la cuenta bancaria que el juzgado designe. “La Policía no puede quedarse con las cantidades incautadas, que tienen que pasar al juzgado, y la forma de realizar eso es ingresar las cantidades en una cuenta bancaria en esta investigaciones y en todas, y ya sean talones, cheques, efectivo o dinero electrónico”, afirma Rodríguez.

La Policía sólo puede acreditar lo que ha estafado un ciberdelincuente a través de los movimientos previamente controlados gracias a las intervenciones de las comunicaciones por orden judicial, muchas de las cuales requieren comisiones rogatorias a otros países. “Cuando decimos que este señor ha blanqueado en dos meses 600.000 euros es porque tenemos pruebas fehacientes de ello”, asegura. Muchas plataformas colaboran a la primera, porque no quieren que sean consideradas como ‘encubridoras’ de hechos delictivos.

Fuente: El Mundo

SSL: Interceptado hoy, descifrado mañana (II)

octubre 27, 2013 § Deja un comentario

Tal y como se vio en el artículo anterior, SSL: Interceptado hoy, descifrado mañana (II), Netcraft ha probado la suite de cifrado de los cinco navegadores más importantes (Internet Explorer, Google Chrome, Firefox, Safari y Opera ) contra 2.4 millones de sitios SSL obtenidos de la encuesta SSL de Netcraft realizada en Junio.
El soporte para Perfect Forward Secrecy (PFS) varió significativamente entre los distintos navegadores: sólo una pequeña fracción de las conexiones SSL de Internet Explorer trabajaron con PFS; mientras que Google Chrome, Opera y Firefox estuvieron protegidos en aproximadamente un tercio de las conexiones. Safari se desempeñó solo un poco mejor que Internet Explorer.

Internet Explorer se desempeña pobremente ya que no soporta ninguna suite de cifrado que use tanto llaves Públicas RSA como intercambio de llaves DH de curvas no elípticas, lo que incluye la suite de cifrado PFS más popular. Además, las suites de cifrado PFS soportadas por IE tienen una prioridad más baja que algunas de las suites no-PFS. Curiosamente, IE soporta DHE-DSS-AES256-SHA, el cual usa el poco usual método de autentificación DSS, pero no soporta el muy popular DHE-RSA-AES256-SHA.

Browser priority Cipher Suite Real-world usage in SSL Survey
1 AES128-SHA 63.52%
2 AES256-SHA 2.21%
3 RC4-SHA 17.12%
4 DES-CBC3-SHA 0.41%
5 ECDHE-RSA-AES128-SHA 0.08%
6 ECDHE-RSA-AES256-SHA 0.21%
7 ECDHE-ECDSA-AES128-SHA 0.00%
8 ECDHE-ECDSA-AES256-SHA 0.00%
9 DHE-DSS-AES128-SHA 0.00%
10 DHE-DSS-AES256-SHA 0.00%
11 EDH-DSS-DES-CBC3-SHA 0.00%
12 RC4-MD5 16.46%
El orden de prioridad de la suite de cifrado de Internet Explorer 10 y la suite de cifrado real encontrada en la encuesta SSL de Netcraft. Las suites de cifrado PFS están resaltadas en negritas.

Safari soporta muchas suites de cifrado PFS pero solo recurre a las de curvas no elípticas como último recurso. Ya que los cifrados no-PFS tienen prioridades más altas, los webservices van a respetar las preferencias del explorador y los seleccionarán primero, incluso cuando ellos mismos soporten suites de cifrados (de curvas no elípticas) PFS.

Chrome, Firefox, y Opera se desempeñaron mucho mejor, dando preferencia, en cualquier nivel de fortaleza a las suites de cifrado PFS. Por ejemplo: la lista de preferencias de Opera empieza: DHE-RSA-AES256-SHA, DHE-DSS-AES256-SHA, AES256-SHA, DHE-RSA-AES128-SHA, DHE-DSS-AES128-SHA, AES128-SHA.

NetCraft no incluyó en la prueba, ninguna suite de cifrado que sólo esté presente en TLS 1.2, lo que incluye muchas de las suites de cifrado PFS de Opera, por lo que los resultados de este explorador son inferiores en el número de sitios SSL reales que utilizan PFS.

Ninguno de los exploradores cambió su interfaz de usuario notablemente para reflejar la presencia de PFS como lo sí harían para certificados EV (donde generalmente muestran una barra de direcciones de color verde). Google Chrome y Opera sí muestran la suite de cifrado utilizada (en ventanas emergentes o cuadros de diálogos), pero se basan en que el usuario entienda las implicaciones de mensajes como “… se utiliza ECDHE_RSA como el mecanismo de intercambio de llaves…”.

Continuará…

Traducción: Mauro Gioino de la Redacción de Segu-Info
Fuente: Netcraft

SSL: Interceptado hoy, descifrado mañana (I)

octubre 25, 2013 § Deja un comentario

Millones de sitios web y miles de millones de personas dependen de SSL/TLS para proteger la transmisión de información confidencial, como contraseñas, detalles de tarjetas de crédito e información personal con la expectativa de que el cifrado garantice privacidad. Sin embargo, documentos recientemente filtrados parecen revelar que la NSA , la Agencia Nacional de Seguridad de Estados Unidos, registra un gran volumen de tráfico de Internet y retiene comunicaciones cifradas para un posterior criptoanálisis.

Estados Unidos no es el único gobierno que desea controlar el tráfico cifrado de Internet: Arabia Saudita ha pedido ayuda para descifrar tráfico SSL, China ha sido acusado de llevar a cabo un ataque MITM contra GitHub solo SSL e Irán ha sido informado que se dedique a la inspección en profundidad de paquetes y más, por nombrar sólo algunos.

La razón por la que los gobiernos podrían considerar avanzar con el registro y almacenamiento de grandes volúmenes de tráfico cifrado es que si la clave privada está disponible en algún momento, (quizás a través de una orden judicial, ingeniería social, un ataque con éxito contra el sitio web o a través de criptoanálisis) todo el tráfico histórico del sitio afectado podría ser descifrado. Esto realmente abriría la caja de Pandora, ya que en un sitio ocupado una simple tecla descifraría todo el tráfico cifrado enviado a millones de personas.

Hay una defensa en contra de esto, conocido como el confidencialidad/secreto perfecto directo (PFS). Cuando se utiliza PFS, el compromiso de la clave privada de un sitio con SSL no necesariamente revela los secretos de la comunicación privada enviada, las conexiones a sitios SSL que utilizan PFS tienen una clave por sesión que no se revela si se ve comprometida la clave privada a largo plazo. La seguridad de PFS depende de que ambas partes descartan el “secreto” compartido, luego de que la transacción se haya completado (o después de un período de tiempo razonable para permitir reanudar la sesión).

Fisgones que desean descifrar la comunicación más allá de que ha utilizado PFS se enfrentan a una tarea de enormes proporciones: cada sesión debe ser atacada de forma independiente. Cuando las conexiones SSL no utilizan PFS , la clave secreta utilizada para cifrar el resto de la sesión es generada por el sitio y enviada cifrada junto al par de claves privada-pública. Si alguna vez la clave privada es comprometida, todas las sesiones cifradas anteriores son fáciles de descifrar.

PFS fue inventado en 1992, dos años antes que el protocolo SSL y, por lo tanto sería razonable esperar que SSL hiciera uso de PFS desde el principio. Sin embargo, casi veinte años más tarde, el uso de PFS no es utilizado por la mayoría de los sitios SSL.

El uso de PFS depende de la negociación entre el navegador y el sitio web y del conjunto de cifrado utilizados (cipher suite). PFS confiere ventajas en cuestiones de confidencialidad pero tiene algunos inconvenientes de rendimiento. Por otro lado, hay un número pequeño de navegadores y si un gobierno deseara maximizar su influencia en la restricción de la utilización de PFS, sólo debería comenzar con esos navegadores.

Las suites de cifrado que proporcionan secreto perfecto son aquellas que utilizan intercambio de claves Diffie-Hellman, firmados por el servidor, auque la clave del servidor puede ser de tipo RSA.
Considerando TLS: hay dos suites de cifrado que utiliza AES con una llave de 256 bits y SHA-1 para la verificación de la integridad:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Sólo el último proporciona un secreto perfecto. En el primero, el intercambio de claves se realiza mediante el cifrado de un valor aleatorio con las llaves del servidor RSA, algo que puede ser atacado posteriormente al robar una copia de la clave privada del servidor.


Netcraft ha probado la suite de cifrado de los cinco navegadores más importantes (Internet Explorer, Google Chrome, Firefox, Safari y Opera ) contra 2.4 millones de sitios SSL obtenidos de la encuesta SSL de Netcraft realizada en Junio. El soporte para PFS varió significativamente entre los distintos navegadores: sólo una pequeña fracción de las conexiones SSL de Internet Explorer trabajaron con PFS; mientras que Google Chrome, Opera y Firefox estuvieron protegidos en aproximadamente un tercio de las conexiones. Safari se desempeñó solo un poco mejor que Internet Explorer.

Continuará…

Traducción: Mauro Gioino de la Redacción de Segu-Info
Fuente: Netcraft

Yahoo! implementará SSL por defecto

octubre 20, 2013 § Deja un comentario

Como parte de la reestructuración de la empresa, Yahoo! ha anunciado que en enero de 2014 implementará codificación SSL predeterminada en su servicio de correo. Se cree que la falta de este servicio podría estar detrás de la ingente filtración de información a la NSA.

El pasado mes de enero, Yahoo abrió la opción de proteger las comunicaciones de Yahoo! Mail con un sistema de codificación SSL, pero los usuarios debían solicitar este servicio para obtenerlo. Ante las críticas suscitadas, Yahoo ha decidido que, a partir del 8 de enero de 2014, sus cuentas de correo contarán con el sistema SSL de forma predeterminada, protegiendo de forma automática a todos los usuarios, sin que haga falta solicitarlo.

Con esta medida, Yahoo sigue los pasos de sus principales competidores, que ya habían adoptado hace tiempo el protocolo SSL para la seguridad de sus clientes. Google, fue el primero en incluirlo de forma predeterminada en GMail en 2010, y desde entonces ha estado expandiendo su campo de acción para que abarque otros de sus servicios. Microsoft también lo hizo en Outlook en 2012 y Facebook en agosto de este mismo año.

Yahoo toma esta medida después de conocerse que, según los documentos filtrados por Snowden, la NSA había conseguido el doble de información de correos electrónicos de Yahoo que del resto de servidores de correo combinados. Algunos apuntan que esto se produjo precisamente debido a su falta de codificación SSL predeterminada.

Fuente: CIOAL

Perforando el cifrado de #WhatsApp

octubre 18, 2013 § Deja un comentario

Una vulnerabilidad en WhatsApp permite a cualquiera que pueda espiar una conexión de la aplicación, a descifrar los mensajes de los usuarios.

El estudiante de Informática de la Utrecht University, This Alkemade, encontró —durante sus trabajos en el proyecto de mensajería instantánea open source Adium— la falla en el sistema que WhatsApp utiliza para la seguridad de sus mensajes: el mismo código de cifrado para los mensajes entrantes y salientes.

El error afectaría a dispositivos Android, iOS y Nokia Series 40. Entre sus conclusiones, publicadas en su blog, en la entrada Piercing Through WhatsApp’s Encryption (Perforando el cifrado de WhatsApp), Alkemade concluye que el usuario debe considerar “como comprometidas todas sus conversaciones previas”, además de que no puede hacer nada más que “dejar de usar [la aplicación] hasta que los desarrolladores la actualicen”. Además, ha publicado una prueba de concepto.

De acuerdo con medios internacionales, responsables de WhatsApp han descartado que las conversaciones de sus usuarios estén en peligro. Sin embargo, desde su publicación, ningún medio oficial de la aplicación (cuentas de Twitter o blog) se han pronunciado.

El estudiante remarcó en su publicación ha recibido recientemente “numerosos alegatos” por su seguridad: facilidad para robar contraseñas, mensajes no cifrados e incluso un sitio en el que se puede cambiar el estatus de un usuario.

Fuente: bSecure

¿Dónde estoy?

Actualmente estás explorando la categoría criptografía en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 105 seguidores