Cibercriminales prefieren datos personales a datos de tarjetas de crédito

noviembre 26, 2013 § 1 comentario

Los precios en los mercados negros del cibercrimen están a la baja en cuanto a datos de tarjetas de crédito, en comparación con los datos personales, según un estudio.

Los datos personales y los accesos de cuentas bancarias se están abaratando, de acuerdo al estudio realizado por Joe Stewart, director en investigaciones de malware de DELL SecureWorks y por el investigador independiente David Shear.

Datos de tarjetas de crédito de usuarios estadounidenses como VISA y MasterCard pueden comprarse por poco mas de 4 dólares, se paga el doble por los datos robados de tarjetas del Reino Unido, Australia y Canadá. La información de las tarjetas de crédito de los EUA contenida en la banda magnética que se encuentra en la parte posterior de la tarjeta alcanza los 12 dólares. Pero estos datos, cuando provenienen de usuarios de la UE o de países asiáticos, pueden ser vendidos por 28 dólares.

Los detalles completos de una tarjeta junto con su correspondiente código VBV (verified by Visa) se pueden encontrar desde 17 dólares, hasta los 25 (para tarjetas que previenen de Reino Unido, Australia, Canadá y Asia).

Un expediente personal completo de un individuo de los EUA (nombre, dirección, números de teléfono, direcciones de correo electrónicas junto con sus credenciales de acceso, fecha de nacimiento, SSN, uno o más datos de cuentas bancarias, etc.) podría costar alrededor de 25 dólares.

Estos expedientes, llamados Fullz en los foros clandestinos, podrían alcanzar el precio de 30 a 40 dólares si la víctima proviene de Reino Unido, Australia, Canadá o Asia, solamente la fecha de nacimiento del individuo puede venderse desde 15 a 25 dólares. Los precios están a la baja, hace dos años los Fullz alcanzaron precios entre 40 y 60 dólares, dependiendo del país donde radique la persona.

No existe escasez de identidades robadas o Fullz, tarjetas de crédito o números de seguridad social a la venta” según lo indica el investigador.

Como sea, los hackers se han dado cuenta que no basta con obtener números de tarjetas de crédito y su código CVV ( Card Verification Value, un valor de 3 a 4 dígitos que se encuentra en la tarjeta) no siempre es suficiente para romper los protocolos de seguridad de algunas empresas.

Fuente: UNAM y The Register

Anuncios

El creador de Bitcoin vinculado a la ruta de la seda

noviembre 26, 2013 § Deja un comentario

Dos momentos importantes en la historia de los Bitcoin son su creación por parte Satoshi Nakamoto y la explosión de la ruta de la seda por parte de su fundador Ross William Ulbricht.

Según un informe publicado por Dorit Ron y Adi Shamir, dos científicos israelíes [PDF], Ross William Ulbricht (alias Pirata Roberts) puede vincularse económicamente a Satoshi Nakamoto. Aunque los compradores y vendedores de Bitcoin se mantienen anónimos, las transacciones son públicas y a través de ellas, los científicos fueron capaces de rastrear las interacciones.

La red Bitcoin se estableció en 2008 y se ha creído popularmente que las primeras cuentas en sus primeros días eran de Satoshi Nakamoto, quien llegó a acumular unos 77.600 BTC como resultado de la minería.
La identidad real de Nakamoto nunca ha sido descubierta a pesar de los intentos por averiguar quién tiene el conocimiento de criptografía y habilidades matemáticas suficientes para crear el sistema. Se supone que Nakamoto es el creador porque es la única persona que pudo generar esa cantidad a través de la minería en la primera semana.

Los científicos descubrieron una transferencia de 1.000 Bitcoin una semana después de que la red Bitcoin fuera lanzada y el destinatario de ese movimiento fue una cuenta controlada por Ulbricht. Sin embargo, los investigadores no pueden demostrar que la cuenta realmente pertenece a él o no.

Los investigadores creen que las comisiones incautadas por el FBI son sólo el 22% del total, mientras que ellos han sido capaces de rastrear sólo un tercio de dichas comisiones. Posiblemente, el FBI no ha incautado todos los Bitcoin de Ulbricht porque él podría estar usando otros equipo que no han sido localizado.

¿Nakamoto y Ulbricht no serán la misma persona?

Fuente: The Hacker News

Empresa sancionada por mal manejo de datos (Colombia)

noviembre 26, 2013 § Deja un comentario

Por violar el régimen de protección de datos personales (Hábeas Data), la Superintendencia de Industria y Comercio (SIC), sancionó en primera instancia a Experian Computec S.A., administradora de la central de riesgos DataCrédito, con una multa de $412.650.000, equivalente a setecientos salarios mínimos legales mensuales vigentes (700 Smlmv).

Por medio de la Resolución No. 62.016 del 25 de octubre de 2013, la SIC, a través de Dirección de Investigación de Protección de Datos Personales, la sanción se impuso como resultado de una investigación en la que se determinó que Experian Computec S.A., violó los deberes legales de circulación restringida y seguridad de la información crediticia de los ciudadanos reportados en DataCrédito.

Dentro de la actuación administrativa, se determinó que la empresa de referencia, asignaba perfiles de usuario y claves de acceso a DataCrédito a sus ejecutivos de venta, quienes al momento de ofrecer sus servicios a potenciales clientes, accedían de forma ilegal a historias crediticias reales sin autorización alguna.

Dicha maniobra puso en riesgo la integridad y seguridad de la información de millones de colombianos, en la medida en que cualquier ejecutivo de venta podía tener acceso a las historias crediticias de los titulares sin restricción, desde cualquier computador y en cualquier lugar y circunstancia.

En la investigación también se demostró que los ejecutivos de venta de Experian Computec S.A. hacían demostraciones de sus productos mostrándoles a sus potenciales clientes historias de crédito reales de ciudadanos identificables sin contar con las autorizaciones necesarias.

Frente a la situación Superindustria comprobó que la compañía investigada no había implementado procedimientos de anonimización de los datos personales para los casos en que sus ejecutivos accedían a historias de crédito para ilustrar sobre las características y condiciones de sus servicios. De esta manera, la ausencia de controles hacía posible la consulta de los datos privados de cualquier titular y su suministro a terceros distintos a los legítimamente autorizados.

Finalmente, además de la multa impuesta, la Superindustria ordenó a Experian Computer S.A. abstenerse de asignar perfiles de usuarios y claves de acceso a sus ejecutivos de venta que desarrollen labores comerciales, por el alto riesgo que ello conlleva.

Fuente: Mercado de Dinero

La #NSA infectó más de 50.000 redes con malware

noviembre 25, 2013 § Deja un comentario

La NSA también nos infecta con malware para tenernos controlados, a la espera de que un espía gubernamental americano apriete un botón, y al instante comience la recolección de información privada.

Mashable informa de los últimos documentos publicados por Edward Snowden, que en esta ocasión recoge el periódico holandés NRC. En ellos se revela un PDF de alto secreto perteneciente a la NSA, la Agencia de Seguridad Americana, fechado en 2012, en donde se muestran unos puntos amarillos que hacen referencia a más de 50.000 redes con implantes CNE.

Las siglas CNE significan Computer Network Exploitation, es decir, simple y llanamente, malware que infecta ordenadores.

Como se puede ver, los puntos amarillos en donde más se concentran dichas infecciones se encuentran en Asia, Sudamérica, México, y parte de África.

Según los documentos filtrados, el malware fue desarrollado por el departamento de élite de la NSA, llamado TAO, que tiene a su disposición más de mil hackers altamente cualificados. Este malware actúa como una célula durmiente. Puede permanecer oculto muchos años, indetectable, y activarse o desactivarse a voluntad. Cuando un hacker lo “despierta”, automáticamente comienza a recopilar toda la información de la red en donde está oculto.

Tal como puede verse en la parte inferior de la imagen, esta información secreta se compartía con las agencias de espionaje de Australia, Canadá, Reino Unido y Nueva Zelanda, los principales aliados anglosajones de Estados Unidos en el mundo.

Fuente: Computer Hoy

Twitter también implementará Perfect Forward Secrecy (PFS)

noviembre 25, 2013 § Deja un comentario

El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio.

En vista de las recientes revelaciones del espionaje de las agencias de seguridad norteamericanas sobre prácticamente casi toda la industria tecnológica, Twitter anunció que su servicio cambiará sus estándares de cifrado utilizando un nuevo protocolo de seguridad.

Este protocolo, recomendado por muchos expertos en el área como la EFF (Electronic Frontier Foundation), es conocido como Perfect Forward Secrecy.

La EFF explica el funcionamiento de la siguiente forma: Con el cifrado estándar HTTPS la llave (o clave) para desencriptar la información está almacenada en el servidor, lo que significa que una agencia de seguridad como la NSA puede capturar toda la información y simplemente esperar hasta que llegue el día que obtenga la llave para descifrar toda esta información.

Sin embargo, el protocolo Perfect Forward Secrecy (que se implementaría encima de HTPPS) consistiría en el fondo en generar una llave nueva para cada interacción, esperando así prevenir la captura pasiva de datos de la NSA.

El nuevo protocolo requerirá una arquitectura de servidores un poco más compleja, lo que dará como resultado un servicio quizá un poco más lento, pero Twitter cree que esta seguridad extra valdrá completamente la pena. Al fin y al cabo, aseguraron que debería ser un estándar y ya fue implementado por Google y Facebook.

Fuente: FayerWayer

Facebook permite ver la lista de amigos "privada"

noviembre 25, 2013 § Deja un comentario

Irene Abezgauz, un investigador de seguridad del Centro de investigación de Quotium ha encontrado una vulnerabilidad en Facebook que permite ver la lista de amigos de los usuarios, aunque el usuario haya establecido esa información como privada.

El exploit abusa de la función de “Personas que tal vez conozcas” en Facebook, que sugiere nuevos amigosen base a conexiones mutuas y otros criterios como la educación o el trabajo.

¡Este hack es muy sencillo! Lo que se tendría que hacer es crear un perfil falso de Facebook y luego enviar una solicitud de amistad a su objetivo. Incluso si el usuario objetivo nunca acepta la solicitud, el atacante puede ver la lista de amigos de esa persona a través de la función de “gente que tal vez conozcas“.

Facebook dice que “un atacante no tienen forma de saber si los amigos sugeridos representan o no la lista completa del usuario. Puede ver cientos de sugerencias y no saber cuales son los reales, sólo es un 80%”.
Por el momento, Facebook no ha reconocido el hallazgo. Entonces, ¿para qué establecer dicha lista como privada?

Fuente: HackerNews

Guía de protección de Infraestructuras Críticas

noviembre 25, 2013 § Deja un comentario

Destinada a operadores de infraestructuras críticas, la guía tiene como fin fundamental introducir los procedimientos y herramientas esenciales para mejorar la seguridad de los sistemas informáticos que componen las infraestructuras críticas.

En la guía se indican normas de buenas prácticas para proteger equipos individuales y el acceso a servicios, como la limitación de los privilegios y servicios a los mínimos necesarios, implantación de políticas de actualización o creación de snapshots con las configuraciones de seguridad. Incluyendo, por supuesto, la necesidad de incorporar medidas antimalware y procedimientos de backup robustos. Además, se hace énfasis en la especial atención requerida en los entornos legacy y en los equipos móviles.

También introduce la conveniencia de desplegar medidas avanzadas. Concretamente, se tratan: los sistemas de detección de intrusiones, como la plataforma open source OSSEC, que integra todos los aspectos de un HIDS (Host-based Intrusion Detection System) y de un SIM/SEM (Security Incident Management/Security Events Management); los conocidos como HoneyTokens, que funcionan como “cepo” para atraer a posibles atacantes y hacer más rápida su detección; la implantación de indicadores de compromiso, o IOC, por ejemplo por medio del framework OpenIOC de Mandiant, que sirven para identificar amenazas, de forma automática, a partir de sus características técnicas; las potentes herramientas EMET y CrystalAEP, muy útiles para la detección de exploits.

La guía “El Puesto del Operador: Guía básica de protección de Infraestructuras Críticas” se encuentra disponible para su descarga INTECO.

Fuente: INTECO