Punto a Punto
Etiqueta

hackeos

Browsing
Tecnología

El peligro de las Apps “amorosas”: son más vulnerables a hackeos

Un análisis realizado por la unidad de Seguridad de IBM descubrió que más del 60% de las aplicaciones de citas líderes estudiadas son potencialmente vulnerables a una variedad de ataques cibernéticos que ponen en riesgo la información personal de los usuarios y los datos de las empresas.
El estudio de IBM revela que muchas de estas aplicaciones de citas tienen acceso a características adicionales en dispositivos móviles, como cámara, micrófono, almacenamiento, ubicación GPS e información sobre facturación de billetera móvil que, sumado a las vulnerabilidades, puede convertirlos en blanco de hackers. IBM también halló que casi el 50% de las organizaciones analizadas tienen por lo menos una de estas populares aplicaciones de citas instaladas en dispositivos móviles utilizados para acceder a información de la empresa.
En la actual cultura conectada, las aplicaciones de citas son una forma común y cómoda en que solteros de todas las edades pueden encontrar nuevos intereses sentimentales. De hecho, un estudio de Pew Research reveló que uno de cada 10 norteamericanos o aproximadamente 31 millones de personas, utilizó algún sitio o aplicación de citas, mientras que la cantidad de personas que tuvo una cita con alguien que conoció por internet aumentó a 66% en los últimos ocho años.
“Muchos consumidores usan y confían en sus teléfonos móviles para una variedad de aplicaciones. Es esta confianza lo que da a los hackers la oportunidad de aprovecharse de vulnerabilidades como las que encontramos en estas aplicaciones de citas,” comentó Caleb Barlow, Vicepresidente de IBM Security. “Los consumidores deben ser cuidadosos y no revelar demasiada información personal en estos sitios al intentar entablar una relación. Nuestra investigación demuestra que algunos usuarios pueden estar comprometidos en una situación peligrosa: cuanto más información comparten, más sacrifican su seguridad y privacidad.”
Los investigadores en materia de seguridad de IBM Security identificaron que 26 de las 41 aplicaciones de citas que analizaron en la plataforma móvil Android tenían vulnerabilidades de gravedad media o alta. El análisis se realizó sobre la base de apps disponibles en el App Store de Google Play en Octubre de 2014.
Las vulnerabilidades descubiertas por IBM hacen posible que un hacker obtenga valiosa información personal sobre un usuario. Mientras que algunas apps tienen medidas de privacidad instaladas, IBM descubrió que muchas son vulnerables a ataques que podrían derivar en las siguientes situaciones:

  • La aplicación de citas es usada para bajar Malware: Los usuarios bajan la guardia cuando prevén que van a recibir interés de una potencial cita. Ese es el momento que los hackers aprovechan.
  • Uso de información GPS para seguir los movimientos: IBM descubrió que el 73% de las 41 apps de citas analizadas tienen acceso a la información sobre ubicación GPS actual y pasada. Los hackers pueden captar la ubicación del usuario para saber dónde vive, trabaja o pasa el tiempo.
  • Robo de número de tarjeta de crédito: 48% de las 41 apps de citas analizadas tienen acceso a la información de facturación de un usuario almacenada en su dispositivo.
  • Control remoto de la cámara o el micrófono de un teléfono: Un hacker puede acceder a la cámara o el micrófono de un teléfono incluso si el usuario no está conectado en la app. Esto significa que un atacante puede espiar y escuchar a los usuarios o inmiscuirse en las reuniones confidenciales de la empresa.
  • Sabotaje del perfil en la aplicación de citas: Un hacker puede alterar el contenido y las imágenes en el perfil de citas, hacerse pasar por el usuario y comunicarse con otros usuarios de la app, o dejar que la información personal se filtre al exterior, para afectar la reputación de la identidad de un usuario.

Los hackers pueden interceptar cookies de una app a través de una conexión Wi-Fi o falso punto de acceso y luego sabotear otras características del dispositivo, como la cámara, el GPS y el micrófono, a los cuales la app tiene permisos de acceso. También pueden crear una pantalla de inicio de sesión falsa a través de la app de citas, para captar las credenciales del usuario, de modo que cuando traten de conectarse a un sitio web la información también se comparta con el atacante.
Precauciones ante posibles ataques relacionados con aplicaciones de citas
Si bien IBM descubrió una serie de vulnerabilidades en más del 60% de las apps de citas Android más populares, hay acciones que tanto los consumidores como las empresas pueden tomar para protegerse de las amenazas.
¿Qué pueden hacer los consumidores?

  • Sea misterioso: No divulgue demasiada información personal en estos sitios, como dónde trabaja, su cumpleaños o perfiles de medios sociales, hasta sentirse cómodo con la persona con la que está interactuando a través de la app.
  • Permisos adecuados: Decida si va a usar una app verificando los permisos que pide, visualizando las configuraciones en su dispositivo móvil. Cuando se actualizan, las apps a menudo reconfiguran automáticamente los permisos que determinan a qué características del teléfono tienen acceso, como su libreta de direcciones o datos GPS.
  • Manténgalo exclusivo: Utilice contraseñas exclusivas para cada cuenta online que tenga. Si usa la misma contraseña para todas sus cuentas, puede dejar múltiples frentes de ataque abiertos en caso de que una cuenta se vea comprometida.
  • Parches puntuales: Aplique los últimos parches y actualizaciones a sus apps y a su dispositivo cuando estén disponibles. Así se solucionarán problemas identificados en su dispositivo y aplicaciones y tendrá una experiencia más segura.
  • Conexiones confiables: Utilice sólo conexiones de Wi-Fi confiables en su aplicación de citas. A los hackers les encanta usar puntos de acceso de Wi-Fi falsos para conectarse directamente con su dispositivo y ejecutar estos tipos de ataques. Muchas de las vulnerabilidades encontradas en esta investigación pueden ser explotadas por Wi-Fi.

¿Qué pueden hacer las empresas?
Las empresas también deben estar preparadas para protegerse de las aplicaciones de citas vulnerables que se encuentran activas dentro de sus infraestructuras, especialmente en aquellos casos en que los empleados pueden traer sus propios dispositivos móviles al trabajo (Bring Your Own Device, BYOD). IBM encontró que casi el 50% de las organizaciones relevadas para esta investigación tienen por lo menos una de estas conocidas apps de citas instaladas en dispositivos móviles de la compañía o del personal, utilizados para el trabajo. Para proteger sus activos confidenciales, las empresas deben:

  • Adoptar la protección correcta: Aproveche las soluciones de gestión de la movilidad empresarial (Enterprise Mobility Management, EMM) con capacidades de administración de amenazas móviles (Mobile Threat Management, MTM) para permitir a los empleados utilizar sus propios dispositivos y al mismo tiempo mantener la seguridad de la organización.
  • Definir Apps descargables: Permita a los empleados bajar aplicaciones solo de tiendas de aplicaciones autorizadas, como Google Play, iTunes y la tienda de aplicaciones corporativa.
  • La educación es clave: Capacite a los empleados para que conozcan los peligros que implica bajar aplicaciones de terceros y qué significa otorgar a esas aplicaciones permisos específicos en los dispositivos.
  • Comunicar amenazas potenciales de inmediato: Defina políticas automatizadas en smartphones y tablets, que actúen de inmediato si se descubre que un dispositivo está comprometido o si se encuentran aplicaciones maliciosas. Esto permite proteger los recursos corporativos en tanto que se soluciona el problema.

 

by
Keep Reading
Tecnología

Los siete hackeos más importantes del 2014

En 2014 el cibercrimen se tornó íntimo. Desde la ola de fotografías filtradas que desnudaron a Jennifer Lawrence y otras actrices ante millones de cibernautas hasta la exposición de correos electrónicos y cuentas de usuarios de distintas plataformas de Sony. Los hackeos más relevantes de los últimos doce meses se enfocaron en hacer público lo más privado de sus víctimas, según informa el sitio CNN en español.
Estos son algunos de los hackeos que generaron notables escándalos y atención en la red a lo largo de 2014:

  1. Sony, revelado: A finales de noviembre la firma japonesa sufrió un hackeo en su sistema que, a la fecha, continúa exponiendo secretos de la compañía; desde salarios que muestran inequidad de género, bonos de actores, películas aún sin estrenar y estrategias contra la competencia.

Especialistas consideran que el robo de 100 terabytes de información y su publicación tendría un daño económico de 100 millones de dólares.
Los hackers robaron y expusieron correos internos que demostraban que sólo una ejecutiva de Sony gana más de un millón de dólares; revelaron que Sony compró los derechos para realizar la cinta sobre Mario Bros. de Nintendo y además que comentarios raciales contra el presidente estadounidense Barack Obama.
Algunos de los secretos revelados fueron las opiniones sobre el trabajo de actores como Angelina Jolie, de quien los directivos opinan “tiene poco talento” al igual que el comediante de 48 años Adam Sandler.
El ataque se ha catalogado como uno de los más dañinos de los últimos años.

  1. Hollywood, al descubierto: El 26 de septiembre, fotografías comprometedoras de actrices como la ganadora del Oscar Jennifer Lawrence, Kayle Cuoco, Kate Upton y otras fueron publicadas en el sitio 4Chan.org. Las fotografías, y posteriormente videos eróticos de las actrices atrajeron millones de miradas curiosas, lo que provocó demandas de las estrellas y una campaña, encabezada por Lawrence, en favor de la privacidad y el respeto a la intimidad de figuras públicas.
  2. Sangra corazón: En abril, el malware conocido como Heartbleed puso a temblar a la mayoría de las firmas de Internet debido a que su forma de atacar era a través de los servidores sobre los que operan estas empresas. Facebook, Google, Instagram, Uber y otras empresas digitales se vieron afectadas por dicho malware. Este tipo de malware permite leer partes de la memoria de las computadoras afectadas y acceder a información confidencial.
  3. Mejorando la casa: En septiembre 56 millones de números de tarjetas y 53 millones de direcciones de correo electrónico de usuarios y clientes de la tienda Home Depot fueron robados por hackers. Los datos fueron robados al momento que los cibercriminales vulneraron a un proveedor; la intención era acceder a información confidencial de la cadena. El ataque tuvo un costo para la firma de 62 millones de dólares.
  4. JP Morgan abre la puerta: En agosto, un empleado con pocas medidas de seguridad y passwords débiles fue la puerta de entrada para que el banco estadounidense JP Morgan, uno de los más grandes de dicho país, vulneraran su sistema. El ataque comprometió 76 millones de cuentas del banco de personas físicas y 7 millones correspondientes a empresas; tras el incidente el banco se comprometió a invertir el doble de lo que solía invertir en seguridad para evitar reincidencias. El banco ya invertía 250 millones de dólares anuales en ciberseguridad.
  5. Fuera de la caja: En noviembre, el servicio contenedor de información en la nube, Dropbox, sufrió un ataque cibernético que comprometió la información de correo y contraseñas de al menos 7 millones de usuarios del servicio a nivel mundial. El hackeo se filtró a través del sitio de hackers, Pastebin, en donde se filtró información de 400 cuentas; los responsables solicitaron una recompensa en bitcoins para regresar el control de las cuentas a sus dueños. La firma, a la fecha, aún niega el incidente.
  6. De Rusia para el mundo: Dos ciberataques desde Rusia tomaron relevancia durante este año. En el primero se dio a conocer sobre el robo de más de 1.200 millones de contraseñas de 420.000 sitios de internet; en el segundo vimos como una página en este país compartía en vivo los videos privados de casi 4.600 cámaras en Estados Unidos y miles más en otras partes del mundo.
by
Keep Reading