5 cosas que aprendimos sobre la seguridad en línea en 2013
Los días de los noticieros preocupados por todo el Internet podrían cerrarse con un simple (pero efectivo) gusano informático, pero eso no significa que la seguridad en línea ya no sea una preocupación. Las amenazas se han vuelto más complejas y, lo que es peor, ahora vienen de lugares que la mayoría nunca esperaría, como el gobierno. Aquí hay 5 lecciones difíciles que aprendimos sobre seguridad en línea en 2013.
El gobierno te está mirando ...
El mayor punto de conversación sobre seguridad informática de 2013 fue, por supuesto, la revelación de que partes del gobierno de los Estados Unidos (principalmente la Agencia de Seguridad Nacional) han estado espiando a ciudadanos sin restricciones..
De acuerdo con los documentos filtrados por el ex contratista de la NSA Edward Snowden y reforzados por otras fuentes como el ex funcionario de la NSA William Binney, los servicios de inteligencia de los Estados Unidos no solo tienen acceso a registros telefónicos y metadatos de redes sociales, sino que también pueden acceder a una amplia gama de servicios, incluido el teléfono celular. Llamadas, correos electrónicos y conversaciones en línea, ya sea a través de escuchas telefónicas directas o mediante órdenes secretas.
¿Qué significa esto para ti? Es difícil decirlo porque la NSA insiste en que el programa es un secreto de seguridad nacional. Si bien los informantes han señalado que el tamaño de los centros de datos de la NSA implica que el gobierno está grabando y manteniendo un volumen bastante grande de datos de audio y video, no hay manera de saber con certeza qué se ha grabado y almacenado mientras continúen los espías de América. al muro de piedra al público.
La conclusión perturbadora es que hay nada que puedas hacer para asegurar su privacidad, porque la medida en que puede ser comprometida y cómo podría estar comprometida es solo conocida a medias.
... Y así es todo el mundo
No solo el gobierno está interesado en espiar a la gente. Las personas también pueden hacer uso del video o audio encubierto tomado de la computadora de la víctima. A menudo tiene menos que ver con el fraude que con las bromas y la pornografía, aunque los dos pueden converger.
El mundo subterráneo de observar a las víctimas desprevenidas, llamado “traqueteando” Fue brillantemente expuesto en un artículo de Ars Technica. Aunque encender la cámara web de una persona y grabarla de forma remota a menudo se considera como piratería, ahora se puede lograr con relativa facilidad utilizando programas con nombres como Fun Manager. Una vez que se ha instalado un cliente de evaluación en la PC de la víctima, los evaluadores pueden ingresar y ver qué sucede.
A menudo, “Qué esta pasando” se traduce directamente en la posibilidad de ver a mujeres desprevenidas sin ropa, aunque el software también se puede usar para jugar bromas, como abrir al azar imágenes perturbadoras para ver la reacción de la víctima. En el peor de los casos, el traqueteo puede traducirse directamente al chantaje, ya que el evaluador captura imágenes embarazosas o desnudas de una víctima y luego amenaza con liberarlas si no se les paga un rescate..
Sus contraseñas todavía no son seguras
La seguridad de la contraseña es una preocupación común, y por una buena razón. Mientras una única cadena de texto sea todo lo que se interponga entre el mundo y su cuenta bancaria, mantener ese texto en secreto será de suma importancia. Desafortunadamente, las compañías que nos piden que iniciemos sesión con una contraseña no están tan preocupadas, y las están perdiendo a un ritmo alarmante.
La mayor infracción de este año fue cortesía de Adobe, que perdió más de 150 millones de contraseñas en un gran ataque que también (según la compañía) permitió a los atacantes burlarse de un código para el software aún en desarrollo y robar información de facturación para algunos clientes. Mientras que las contraseñas fueron encriptadas, fueron todos Asegurado utilizando un método de cifrado obsoleto y la misma clave de cifrado. Lo que significa que descodificarlos fue mucho más fácil de lo que debería haber sido.
Si bien se han producido violaciones similares antes, Adobe es la más grande en términos de la cantidad de contraseñas perdidas, lo que demuestra que hay todavía Empresas que no toman en serio la seguridad. Afortunadamente, hay una manera fácil de saber si se violaron los datos de su contraseña; solo vaya a HaveIBeenPwned.com e ingrese su dirección de correo electrónico.
Hackear es un negocio
A medida que las computadoras se han vuelto más complejas, los delincuentes que buscan usarlas como un medio para obtener un beneficio ilegal también se han vuelto más sofisticados. Los días de un pirata informático solitario lanzando descaradamente un virus solo para ver qué sucede parecen haber terminado, reemplazados por grupos que trabajan juntos para ganar dinero..
Un ejemplo es Paunch, un hacker en Rusia que dirigió las ventas de un kit de exploit conocido como Blackhole. El kit, creado por Paunch y varios co-conspiradores, fue desarrollado tácticas de negocios, en parte ingeniosas. En lugar de intentar hacer explotaciones de día cero por su cuenta, el grupo de Paunch compró ataques de día cero a otros hackers. Luego se agregaron al kit, que se vendió como una suscripción por $ 500 a $ 700 por mes. Una parte de las ganancias se reinvirtió para comprar aún más exploits, lo que hizo que Blackhole fuera aún más capaz.
Así es como funciona cualquier negocio. Se desarrolla un producto y, si tiene éxito, se reinvierte parte del beneficio para mejorar el producto y, con suerte, atraer más negocios. Repetir hasta que sea rico. Desafortunadamente para Paunch, su esquema finalmente fue rastreado por la policía rusa, y ahora está bajo custodia.
Incluso su número de seguro social es un clic de distancia
La existencia de redes de bots se conoce desde hace algún tiempo, pero su uso a menudo se asocia con ataques relativamente simples pero masivos, como la denegación de servicio ¿Qué es un ataque DDoS? [MakeUseOf explica] ¿Qué es un ataque DDoS? [MakeUseOf Explica] El término DDoS pasa silbando cada vez que el ciberactivismo levanta su cabeza en masa. Este tipo de ataques son titulares internacionales debido a múltiples razones. Los problemas que impulsan esos ataques DDoS a menudo son controvertidos o altamente ... Leer más o enviar correos electrónicos no deseados, en lugar de robos de datos. Un equipo de hackers adolescentes en ruso nos recordó que pueden hacer más que llenar nuestras bandejas de entrada con anuncios de Viagra cuando lograron instalar una red de bots en los principales intermediarios de datos (como LexisNexis) y robar volúmenes de datos confidenciales..
Esto resultó en una “Servicio” llamado SSNDOB que vendió información sobre los residentes de los Estados Unidos. ¿El precio? Solo un par de dólares por un registro básico y hasta $ 15 dólares por crédito completo o verificación de antecedentes. Está bien; Si usted es ciudadano de los Estados Unidos, su número de seguro social y su información crediticia se pueden obtener por menos del precio de una comida en The Olive Garden..
Y se pone peor. Además de almacenar información, algunas empresas de corretaje de datos también se utilizan para autenticarla. Es posible que haya encontrado esto usted mismo si alguna vez ha intentado solicitar un préstamo solo para que lo reciban preguntas como, “¿Cuál fue tu dirección hace cinco años??” Dado que los propios intermediarios de datos estaban comprometidos, tales preguntas podrían responderse con facilidad..
Conclusión
2013 no ha sido un gran año para la seguridad en línea. De hecho, ha sido una pesadilla. Espionaje del gobierno, números de seguridad social robados, chantaje de cámaras web por parte de extraños; muchos imaginan que estos son los peores escenarios que solo podrían ocurrir en las circunstancias más extremas, pero este año demostró todo lo anterior con un esfuerzo sorprendentemente pequeño. Afortunadamente, 2014 verá los pasos tomados para resolver estos problemas evidentes, aunque personalmente dudo que tengamos tanta suerte.
Crédito de la imagen: Flickr / Shane Becker, Flickr / Steve Rhodes
Explorar más sobre: Seguridad en línea.