The Real Cost of a Data Breach

Infographic by Veracode Application Security

Cómo detecté que era un phishing (correo engaña-bobos)

Me llegó un phishing. El asunto del correo es “Su cuenta está inactiva”. Un claro engaño para que les regale mis claves de acceso a mi banca en línea. Esta vez no tuvieron suerte.

¿Cómo detecté que era un phishing? Estas son las claves:

1.- El mensaje del correo en sí no dice nada. Es ambiguo. Y no tiene sentido. El mensaje dice:

Permiso SEGOB: 20456784PS03

Vigencia del Permiso: Del 15 de Julio de 2013 al 14 de Agosto de 2013.

Estamos realizando una actualización a la plataforma de seguridad móvil Y requerimos actualice de inmediato o se registre ya que esta plataforma estará activa por seguridad en 24 horas totalmente gratis. Esto es para reforzar sus sistemas de pagos, servicios, transferencias y saldos.

Para terminar este proceso de actualización de sus servicios ve al siguiente enlace AQUÍ.

LE TOMARA SOLO UN MINUTO PARA CONCLUIR CON LA NUEVA PLATAFORMA

http://www.bancomer.com.mx/minisitios/Sitio_bancomerMovil_3/Registro/

 ¿De qué plataforma habla? ¿Eh? ¿Plataforma de seguridad móvil? ¿Que actualice porque sólo estará activa 24 horas? ¿Gratis? ¿Te hace sentido eso? Pues la verdad para mí no tiene coherencia todo el párrafo.

Eso sí, les concedo que lo escribieron sin faltas de ortografía. Otros que me llegan ni un corrector le pasan los muy analfabetas.

2.- Las ligas. Lo significan todo. Si te fijas, las ligas dicen que te mandan a Bancomer. Pero tengo un truco bajo la manga. Le pasé el ratón a las ligas (sin entrar al sitio). Las ligas te mandan a http://201.116.211.85. ¿Ese es un sitio de Bancomer? ¿En serio? ¿No debería decir algo así como http://bancomer.com/blablablá? Pues claro que se trata de un engaña-bobos que levantó su servidor que nada tiene que ver con un banco. Aguas con las ligas que te mandan dentro de un correo, no todas llevan a donde dicen. Por cierto, otro truco para ver a dónde te llevan las ligas es leer el correo en texto plano (plain text).

3.- ¡Un momento, el correo tiene mi nombre! Carajo, eso sí me puso a pensar. ¿Cómo supieron mi nombre? Me angustié. Pero qué wey soy. Claro. Me están enviando su correo engañoso a mi cuenta de fausto.cepeda @ gmail.com. Estos señores hicieron un script para extraer el nombre de mi cuenta de correo (fausto.cepeda) e insertarlo en el mensaje. Nada difícil. Pero sí ingenioso, no? Hasta pudieron enviarme el correo con nombre y apellido; pero supongo que su script no es tan complejo.

4.- Las imágenes se ven muy profesionales. Ok. Eso te lo concedo. El correo si lo ves superficialmente, se ve cool. Como uno verdadero. Pues bien, la lección es que no todo lo bonito por fuera es hermoso por dentro cuando ves los detalles.

Conclusión: lo que estas personas quieren es que tú te metas a su sitio falso e ingreses tus contraseñas como si estuvieras entrando en tu banca en línea. Y luego ellos las usan para entrar a tu cuenta e intentar hacer destrozos en tus finanzas. Ya sabes, ante la duda, mejor llamar a tu banco o acudir a una sucursal. Te puede salvar de un buen susto. Muchos sitios bancarios tienen información más amplia que la que aquí te digo, ve y consúltala. 

 

Ante el posible espionaje gubernamental, ¿qué hacer con tu privacidad?

ComputerWorld México me hizo el favor de publicar un artículo llamado "Ante el posible espionaje gubernamental, ¿qué hacer con tu privacidad?"

http://www.computerworldmexico.mx/Articulos/29617.htm

¿Qué hay detrás de las historias de espionaje?

TechTarget me hizo el favor de publicar un artículo sobre el espionaje de la NSA denunciado por Edward Snowden. Espero les guste:
http://searchdatacenter.techtarget.com/es/opinion/Que-hay-detras-de-las-historias-de-espionaje

Alcanzar seguridad

Me pareció interesante estos enunciados del Dr Malik F. Saleh:

"The traditional information security objectives are confidentiality, integrity, and availability. Achieving these three objectives does not mean achieving security. Security is achieved by the prevention of attacks against information systems and from achieving the organization’s mission despite attacks and accidents".

El documento completo:
http://www.google.com/url?sa=t&rct=j&q=maturity%20informatin%20security&source=web&cd=3&cad=rja&ved=0CEIQFjAC&url=http%3A%2F%2Fwww.researchgate.net%2Fpublication%2F216462795_Information_Security_Maturity_Model%2Ffile%2F9c960519f190ccd7b3.pdf&ei=izncUe-kEo__qQHzpIHgCg&usg=AFQjCNE2H29SrOj5M1V774g5PAO4KFAlBg&bvm=bv.48705608,d.aWM

Los metadatos no importan

Los metadatos sí importan, contrariamente a lo que dice el título de este artículo. Un metadato es todo aquél dato que detalla una acción. Un ejemplo puede ser de utilidad. Navegar en Internet: si saben lo que estuviste haciendo dentro de la página ese es el dato; si sólo saben que entraste a un sitio ese es un metadato.

Y resulta que un metadato es mucho, basta conectar puntos, correlacionar información y usar un poco de intuición. A continuación algunos ejemplos de metadatos de tu navegación por Internet:

• Entraste a varios sitios de divorcio. Significa que estás buscando divorciarte o estás considerándolo.
• Googleaste páginas de VIH e ingresaste a un par. Entonces sospechas que tienes VIH por alguna razón. Si tienes una pareja estable será interesante saber por qué crees tener VIH.
• Buscaste portales de “crédito familiar”.  Estás necesitado de dinero y buscas opciones para salir a flote.
• Pusiste en tu navegador “www.parejaDF.com”. Auto-explicativo, no?
• Entraste a  “www.comosuicidarse.org”. Sin comentarios.

Tú entras a un sitio y sin saber qué hiciste dentro de él ya podemos inferir varias cosas. Imagina lo que lograríamos conocer si no sólo  sabemos cada sitio individual al que entraste, sino todo tu historial de navegación de hace un par de años atrás. Es suficiente para armar un perfil de una persona.

Cuando te digan que los metadatos no importan, contesta que los metadatos son datos. Más información de metadatos aquí.

Hay más niños que sufren robo de identidad

Infographic by Veracode Application Security