conspiración en la red

CONSPIRACIÓNEN LA RED

Carlos Mesainicio >

INTRODUCCIÓN

CONSPIRACIÓN EN LA RED

• El robo de información personal, la invasión a espacios privados y la expansión de información interesada se han convertido en las grandes amenazas a través de las nuevas tecnologías.

• En los comienzos de internet, los primeros hackers se dedicaban a demostrar que podían saltarse los cortafuegos y acceder a servidores protegidos por el mero hecho de demostrar que lo podían hacer, de «presumir» ante la comunidad hacker. Ahora es diferente. «Detrás del cibrecrimen hay mafias. Y se ha demostrado la intervención de los estados detrás de algunos ataques», asegura el director del Centro Nacional de Excelencia en Ciberseguridad.

• Los usuarios no valoran lo que supone que todos sus datos estén circulando en la Red. Ni se dan cuenta del riesgo que corren con determinadas actitudes.

• En 2012 un 46% de los internautas adultos fue víctima de un ataque informático. • En 2014, el CERT (Centro de Respuesta a Incidentes de Seguridad

Cibernética (CERT), ubicado en León) resolvió unos de 18.000 incidentes de ciberseguridad y generó más de siete millones de notificaciones relativas a direcciones infectadas y a dominios comprometidos, tal y como informó el secretario de Estado de Seguridad, Francisco Martínez. Además añadió que las Fuerzas y Cuerpos de Seguridad del Estado han conocido, entre delitos y faltas, unos 50.000 casos de criminalidad informática, casi un 18% más que en 2013informática, casi un 18% más que en 2013.

ROBOS DESDE EL MÓVIL CON NFC (I)


• ¿Qué te parece si te digo que desde ya, ahora mismo, sólo por el mero hecho de tener habilitado el sistema de pagos desde tu teléfono móvil, te pueden robar todas tus credenciales bancarias y hacer pagos con tu tarjeta de crédito?

• ¿Tienes activado Samsung Pay o Apple Pay? BBVA Wallet, el sistema Contactless de La Caixa, Bizum, Twyp, diversos nombres para activar el sistema NFC de pagos por móvil. Y es que si lo tienes activado eres un verdadero inconsciente, llevas puesto en la frente que quieres que te roben.

• Rápido, mira en los ajustes de tu teléfono móvil si el NFC está activado. Y si es así, ni lo dudes, ¡desactívalo ya!

• Un móvil con NFC es lo único que se necesita para acceder de forma completamente legal a todos los datos de una tarjeta de crédito o débito contactless. A través de una aplicación disponible en la tienda de Google Play, nuestro móvil puede servirnos para obtener en cuestión de un par de segundos todos los datos de una tarjeta de crédito/débito Visa, MasterCard o American Express (entre muchas otras). Esos datos incluyen no solamente el número o la fecha de caducidad, sino también las últimas transacciones que se han realizado con la tarjeta en cuestión.

ROBOS DESDE EL MÓVIL CON NFC (II)


• Para comprobar la información que deja tras de sí nuestra tarjeta, lo único que necesitamos es un teléfono inteligente con Android que disponga de la conectividad de NFC, así como también una tarjeta contactless de crédito o débito (las contactless son las tarjetas en las que aparece un icono con varias líneas curvadas). A partir de ahí, la información que seremos capaces de obtener sorprenderá a más de uno.

• Lo primero que debemos hacer para acceder de forma inalámbrica a los datos de nuestra tarjeta es descargar desde Google Play la aplicación de Lector de tarjetas NFC (EMV). Se trata de una aplicación completamente gratuita compatible con cualquier móvil que disponga de Android 4.0.3 o superior, y su función no es otra que la de acceder a todos los datos de nuestra tarjeta de crédito o débito de forma inalámbrica.

• Una vez instalada, abrimos la aplicación. Lo primero que veremos que se nos muestra en la pantalla es una indicación con el texto de “Mantenga su tarjeta de pago NFC a la parte posterior del teléfono“, lo que nos viene a decir que acerquemos nuestra tarjeta contactless a la parte trasera del teléfono.

• Tan solamente un segundo después de haber acercado el móvil a la tarjeta, la aplicación nos mostrará en la pantalla el número de nuestra tarjeta de crédito/débito, la fecha de caducidad y el número de intentos restantes para introducir el PIN. Hasta ahí nada fuera de lo común, ¿verdad?

ROBOS DESDE EL MÓVIL CON NFC (y III)


• Tan solamente un segundo después de haber acercado el móvil a la tarjeta, la aplicación nos mostrará en la pantalla el número de nuestra tarjeta de crédito/débito, la fecha de caducidad y el número de intentos restantes para introducir el PIN. Hasta ahí nada fuera de lo común, ¿verdad?

• Pero, si nos dirigimos al apartado de “Transacciones“, lo que veremos es nada menos que un listado con todos nuestros últimos pagos realizados desde la tarjeta. Sin haber indicado en ningún momento nuestro PIN, resulta que la aplicación es capaz de acceder al historial de todos los pagos que hemos realizado a través de la tarjeta.

• Lo curioso es que hemos detectado que el chip NFC se encuentra debajo de la pegatina original de la batería de nuestro teléfono. Así que, si tu batería no es original, no suele funcionar el pago NFC. Si el teléfono es Samsung, el NFC se encuentra en la parte inferior de la batería. Y por allí es donde hay que pasar la tarjeta de crédito.

• Alguno puede pensar… se requiere entonces la proximidad de una tarjeta de crédito al teléfono para que te puedan robar los datos bancarios. Cierto, pero…

• Si un manitas consigue adaptar una de estas antenas NFC a su móvil (https://es.aliexpress.com/w/wholesale-nfc-antenna.html), el teléfono sería capaz de leer chips NFC a unos cuantos metros de distancia. ¿Y para qué sirve esto?

• Fácil, el cibercarterista sólo tendría que sentarse en el metro y esperar. Cientos de personas, cientos de tarjetas de crédito, probablemente decenas de personas con el NFC activado en su teléfono móvil. En menos de una hora, el cibercarterista podría tener a su disposición unas cuantas tarjetas de crédito, listas para poder cometer todo tipo de crímenes y fechorías en Internet, así como unas cuantas compras que dejarían a cero las cuentas bancarias de los afectados.

• La aplicación Lector de tarjetas NFC (EMV) la puede adquirir cualquiera, de forma gratuita, desde https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard&hl=es

https://l.facebook.com/l.php?u=https%3A%2F%2Fes.aliexpress.com%2Fw%2Fwholesale-nfc-antenna.html&h=ATOBAD3a2Sc0Ppj24JWrPWO4AgSw8QY77cFBmPQFwYUPyAHe4u_kIy4qVCfUhcEVKGY-7acYVkTMKdcRsI1udhEzDwnFsPN69Vk5gPwYP5TkzkK46XF3gWVltEDscNzO8AIjSFMD6Lw4uGYEweM&enc=AZPzNIDl5XkDXkbFnrLr0c1f8uwSYdu4_bu0if1i_QyJoarcNwW5A4dEWRSNgSydg8tR0wFPGlOe-8UaBw6L1tLAGL3G68bc0Qg7hxDpjDl_RRwdcVpjjjbAzxEdRw1TUm3UjvOZCzi8m_VI7_SmxLN_KF86Pzkhaoe0-NUUQNEsFAS5LlUm6hS0VR1u8KhwH03jOR9zXTnQuRiDWsK5u-Eg&s=1

https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard&hl=es

BLANQUEO DE DINERO CON BITCOIN (I)


• Sabemos que el dinero en efectivo desaparecerá. • La moneda digital, que ha sido criticada como un vehículo para traficantes de

drogas y evasores de impuestos, superó a todas las monedas en competencia con una subida del 125% en su valor en 2016.

• El Bitcoin ha alcanzado su mayor valor en los últimos tres años por encima de mil dólares, la unidad. Un Bitcoin en la actualidad vale más de 1.000 euros.

• La creciente guerra contra el efectivo y los controles de capital está haciendo que Bitcoin se vea como una alternativa viable. La moneda se utiliza para mover el dinero a todo el mundo de forma rápida y anónima y está libre de control de cualquier banco central o gobierno, por lo que es atractivo para aquellos que quieren superar los controles de capital.

• A nuestra Hacienda española les molesta que el personal disponga de billetes de quinientos euros pero no puede controlar una aplicación en un móvil, o una cuenta cifrada de Internet, que permita disponer de una cuenta irregular, no controlada por Banco Central alguno. Y no es un sueño. Ya puede hacerse. Porque el Bitcoin, como moneda virtual descentralizada, no está controlada ni por gobiernos ni por corporaciones bancarias. Así que imagínate de sus posibilidades.

• Es por eso que la Unión Europea está tratando de acabar con el anonimato de los Bitcoin, intentando que se legisle para identificar a los usuarios que realicen transacciones.

BLANQUEO DE DINERO CON BITCOIN (II)


• Bitcoin es la moneda virtual de los hackers. ¿Te interesa? ¿Ahora sí estás convencido de querer comprar Bitcoin para usarlos en tu quehacer diario?

• El problema radicaba, hasta ahora, en los sitios o comercios que admitían esta criptomoneda. ¿Pero se puede usar en cualquier pueblo de España el Bitcoin? ¿Y si te digo que sí?

• El Bitcoin es una moneda virtual, algo intangible y que no podrás tocar.• El Bitcoin no es como el dinero que puedes tocarlo en forma de billetes, si bien el

dinero cuando está en el banco no son más que números. Y ahí radica el cómo poder usar estos números en la vida real.

• Te voy a recomendar una aplicación de Smartphone llamada Xapo para que comiences a usar tus Bitcoin. La encontrarás en Google Play.

• ¿Qué es Xapo? Xapo es un monedero Bitcoin donde podrás guardar tus criptomonedas.

• El funcionamiento de Xapo es similar a PayPal, donde enviamos dinero a través del correo electrónico, mientras que Xapo lo que utiliza es una dirección Bitcoin (una dirección única).

• La dirección de tu cartera Xapo está encriptada y puedes crear varios “monederos”, transferir fondos entre ellos y enviar a los demás usuarios los Bitcoin, usen Xapo, o no.

https://xapo.com/

https://xapo.com/

https://xapo.com/

BLANQUEO DE DINERO CON BITCOIN (III)


• Xapo cuenta con varias carteras (wallets) para que puedas diversificar tus Bitcoin. Hay dos tipos de wallets:

• Monedero Xapo: aquí tendrás los Bitcoin que tienes accesible las 24 horas del día en cualquier día del año.

• Bóveda: la caja fuerte de Xapo, donde estos Bitcoin no se pueden gastar y no están disponibles. Para pasar tus Bitcoin de la bóveda hacia el monedero Xapo, deberás pasar unos controles de seguridad y esperar un plazo de 48 horas para verlos disponibles.

• La Bóveda asegura tus Bitcoin ante un posible robo de identidad, puesto que hay que esperar un tiempo para que tus Bitcoin salgan de la caja fuerte; y en caso de hackeo, podrás reaccionar en ese lapso de tiempo.

• Los Bitcoin asegurados de Xapo se encuentran en los Alpes Suizos. Xapo posee un satélite que monitorea la seguridad de la red Xapo.

• Xapo es fácil de usar, pero para empezar a utilizarlo deberás verificar tu cuenta. Es sencillo, sólo tendremos que verificar nuestro móvil y rellenar un pequeño formulario. No hace falta subir identificación (documento de identidad) ni ninguna cosa más para empezar a utilizar Xapo.

• En el apartado Monedero encontrarás varias opciones.

BLANQUEO DE DINERO CON BITCOIN (y IV)


• Mi dirección: aquí encontrarás la dirección de tu monedero. Si alguien quiere enviarte Bitcoin deberá introducir la dirección que te saldrá ahí, será algo parecido a 175hTb3fAV5ZDhDZxDWkyYxg7JxqP2ZdSA

• Transferir: podrás mover dinero entre tu monedero Bitcoin y tu bóveda (caja fuerte). Recuerda que la caja fuerte es una manera de tener tus Bitcoin a salvo; estarán bajo seguridad y para sacarlos hay que esperar un plazo de 48 horas y verificar que eres el dueño de la cuenta Xapo.

• Enviar: aquí podrás enviar Bitcoin a la cuenta que quieras. Sólo selecciona la cantidad y la dirección Bitcoin de destino.

• Comprar Bitcoin: arriba a la derecha encontrarás un botón donde pone “comprar bitcoins”. Podrás comprar Bitcoin a través de una transferencia bancaria. La comisión de Xapo es del 1%.

• Solicitar tarjeta: en la parte superior izquierda del apartado Monedero, podrás solicitar la tarjeta de débito Xapo, uno de los puntos fuertes de este monedero.

• Se puede utilizar la tarjeta Xapo en cualquier negocio del mundo, ya que funciona como una tarjeta de débito más.

• Es decir, adquieres Bitcoin que son inrrastreables, blanqueas dinero para que Hacienda no lo controle, y luego lo usas poco a poco con tu tarjeta de débito Xapo.

CLONADO DE TARJETAS (I)


• Contactless Infusion X5 es el primer sistema de clonado de tarjetas bancarias sin contacto vendido en el mercado negro. Este producto ha sido diseñado y desarrollado por The CC Buddies.

• El Contactless Infusion X5 es capaz de detectar y leer CUALQUIER tarjeta de banco a sólo 8 centímetros de distancia.

• Es capaz de leer aproximadamente 15 tarjetas bancarias por segundo.• Contactless Infusion X5 capta los datos cifrados de cualquier tarjeta bancaria y una

vez descargado a través del software The CC Buddies al ordenador, descifra automáticamente los datos y extrae el número de la tarjeta bancaria, la fecha de caducidad y en algunas tarjetas también puede proporcionar el nombre del titular de la tarjeta, dirección y otros datos sensibles.

• Con los datos extraídos desde Contactless Infusion X5, podrás volver a escribir los datos en las tarjetas en blanco (también proporcionadas por esta empresa) con el software.

• Por tanto, cuidado de las tarjetas de crédito NFC. Abstenerse de entregarla a un camarero y que luego vuelva con la tarjeta, pues podría haberla clonado.

• Cualquier pago con tarjeta de crédito NFC se tiene que hacer a la vista y lejos de cualquier aparato sospechoso que no sea el propio lector del banco.

• Compra de Contactless Infusion X5 desde: http://theccbuddies.com/contactless_infusion_X5.html

http://theccbuddies.com/contactless_infusion_X5.html

CLONADO DE TARJETAS (y II)


• ¿Cómo utilizar los datos de la banda magnética de una tarjeta sin tener una tarjeta en donde copiarlos? Fácil: utiliza MagSpoof.

• Es un dispositivo que usa un electroimán simulando ser la barra magnética de una tarjeta. Claro está: previamente hay que haber guardado los números contenidos en la banda de la tarjeta que se quiere explotar.

• MagSpoof es un dispositivo que puede engañar / emular cualquier banda magnética o tarjeta de crédito. Puede funcionar "inalámbricamente", incluso en lectores estándar de tarjetas magnéticas / tarjetas de crédito, generando un fuerte campo electromagnético que emula una tarjeta de banda magnética tradicional.

• https://samy.pl/magspoof/

https://samy.pl/magspoof/


https://www.youtube.com/watch?time_continue=290&v=UHSFf0Lz1qc


INSTAGRAM Y LA VENTA DE IMÁGENES (I)


• “Una máquina de vending que siempre tiene cola.” Más o menos así presenta la empresa FotoNota su singular quiosco pensado para imprimir las imágenes compartidas en Instagram. Las nuestras o las de cualquier usuario de la red social.

• Porque ahí radica el problema. Y es que los usuarios de Instagram se han encontrado con esta máquina de impresión ya activa en algunos centros comerciales de Madrid y Barcelona.

• No es necesario ingresar nuestros datos de usuario en este quiosco para acceder a todas las fotos de Instagram. Basta con conocer el nombre o hashtag de cualquier usuario o hacer una búsqueda mediante etiquetas para poder encargar una copia impresa de cualquier foto compartida por cualquiera en la red social.

• ¿Es esto legal? ¿Es posible que cualquiera pueda usar tus fotos, imprimirlas, y usarlas como le dé la gana?

• Sí, es legal. Los derechos de autor ya quedan claros cuando aceptas las condiciones de Instagram al colgar las fotos en esta red social, perteneciente a Facebook.

• Esto es lo que dice Instagram/Facebook sobre los derechos de autor: "Ten presente que el hecho de que aparezcas en una fotografía no te confiere derechos de autor sobre la misma".

• Y no, lo sentimos, no vale ese viral del cuento sobre que si indicas mediante texto que tus fotos no sean usadas, Instagram/Facebook no lo hará. Se trata de un viral falso. La única realidad imperante es que cuando aceptas registrarte a Instagram/Facebook estás dando tu consentimiento para que tus datos y fotografías sean utilizados.

INSTAGRAM Y LA VENTA DE IMÁGENES (y II)


• A nivel gráfico se reconoce al Copyright © por el uso de un símbolo regulado según el artículo 146 del Real Decreto Legislativo 1/1996.

• Instagram y Facebook no colocan por defecto el copyright tuyo.• Para que no vulneren el copyright puedes generar tu propia marca de agua a la

hora de subir la foto.• En las redes sociales funcionan las mismas condiciones legales sobre los

derechos de autor de las imágenes que en cualquier otro sitio de Internet, además de las propias normas de uso de cada una de esas plataformas sociales.

• Esto significa que en caso de vulneración de la propiedad intelectual de esas imágenes o de los derechos de autor de las fotografías en redes sociales, además de la posible denuncia del autor, podríamos encontrarnos con sanciones que vayan desde la retirada de la publicación o mensaje hasta la expulsión del usuario de esa plataforma social.

• No hay que olvidar que cuando participamos en redes sociales lo estamos haciendo en casa de un tercero, y el dueño es quien pone las normas.

• Por tanto, antes de subir las fotos a Instagram o cualquier red social lo que hay que hacer es añadir la marca de agua o copyright.

• Aplicación recomendada Add Watermark: https://play.google.com/store/apps/details?id=com.androidvilla.addwatermark

https://play.google.com/store/apps/details?id=com.androidvilla.addwatermark

https://play.google.com/store/apps/details?id=com.androidvilla.addwatermark

CREACIÓN DE CUENTAS FALSAS EN CUALQUIER RED SOCIAL


• Se pueden crear cuentas de correo falsas con un simple clic de ratón, sin necesidad de rellenar tediosos formularios o pasar por verificaciones.

• Sin embargo, este tipo de cuentas de correo sólo duran 10 minutos.

• ¿Y para qué sirven? Pues para crear cuentas falsas en redes sociales, como Facebook o Twitter, o para crear malos comentarios en lugares de opinión como Tripadvisor.

• Este tipo de cuentas se camuflan argumentando que son para evitar el spam, pero la realidad es otra.

• Algunos de estos servicios se pueden encontrar con una simple búsqueda en Google: “email 10 minutos” y voilá, a disfrutar.

SMS SPOOFING

• El SMS spoofing puede ser utilizado con variados fines que suponen un fraude. Uno de los más comunes es la solicitud de información a la víctima a través de mensajes de texto con identidad suplantada. Las tácticas pueden incluir mandar SMS haciéndose pasar por bancos o por la compañía telefónica solicitando información, pidiendo visitar una página de internet o llamar a un número de teléfono para resolver un supuesto problema. Incluso se han dado casos en los que el SMS fraudulento se hacia pasar por algún amigo en problemas.

• La firma californiana especializada en el negocio en voz y SMS Nexmo ha lanzado un servicio pionero por el cual permite a las marcas ponerse en contacto con sus clientes de manera individualizada a través de su aplicación de mensajería instantánea preferida. Para ello, utiliza una interfaz de programación de aplicaciones (API), que permite servirse de aplicaciones de terceros para crear los servicios.

• SMSender Nexmo es la aplicación que usa la pasarela Nexmo para enviar SMS masivos y de forma anónima. Sólo se precisa indicarle la API de Nexmo de tu cuenta, tu número secreto en Nexmo, y el nombre falsificado con el que quieres el remitente de envíos. Descarga de la app desde:https://play.google.com/store/apps/details?id=net.iqdesk.smssender


https://www.nexmo.com/

https://www.nexmo.com/

https://play.google.com/store/apps/details?id=net.iqdesk.smssender

WHATSAPP SPOOFING

• Si has preparado una base de datos con gran cantidad de contactos, olvida hacer los envíos desde el Smartphone incluso si piensas en crear grupos. Es una locura.

• Te recomiendo que utilices plataformas web específicas para esta finalidad.

• Cualquier plataforma de envíos masivos de WhatsApp y de SMS te pedirá la importación de la base de datos en su sistema. El uso es muy sencillo y, en el momento en el que cargues la base de datos, el programa verifica si los números de teléfono disponen de WhatsApp o no.

• Estas mismas plataformas servirán para enviar mensajes con el remitente falso.

• Algunas de estas plataformas (los precios son caros):http://www.whatsmassive.com/precios/https://www.whatsappmarketing.eshttp://b-whatsapp.com/main/


http://www.whatsmassive.com/precios/

https://www.whatsappmarketing.es/

http://b-whatsapp.com/main/

LLAMADA TELEFÓNICA SPOOFING

• Cambia tu voz por la de un hombre o una mujer.

• Haz una llamada con el número de teléfono disfrazado de otro, para que no se vea el origen real de la llamada.

• Sólo se necesita esta aplicación: Fake Caller ID: https://fakecallerid.io/

• Funciona para Android e iPhone.

• También graba las llamadas.

• Es una aplicación de pago.


https://fakecallerid.io/

ROBO DE INFORMACIÓN SENSIBLE EN FACEBOOK (I)


• El usuario no te debe tener bloqueado para usar este truco. Es necesario estar registrado en la plataforma de Facebook y sigues los siguientes pasos.

• Buscar el perfil del usuarioBuscamos el perfil del usuario: https://www.facebook.com/nombreDelUsuario"nombreDelUsuario" es el nombre del perfil que nos interesa.

• Saber ID de la cuentaAhora tendremos que conocer el ID de esta cuenta, este ID Facebook lo interpreta como una secuencia numérica que apunta al nombre de usuario. Para saber el ID tenemos la siguiente opción:Sobre cualquier espacio en blanco de la página de Facebook del usuario hacemos clic derecho > "Ver código fuente de la página". Se nos abrirá una ventana en la que pulsaremos las teclas: Ctrl+F, para a continuación buscar "profile_id" (sin comillas) y pulsaremos la tecla Enter.El primero que encontremos nos servirá, el cual se mostrará similar a lo siguiente: "profile_id":0000000000000000Donde la secuencia de "0" (ceros) es el número ID que identifica al nombre de usuario.Otra forma más fácil de saber ID de cuenta: http://findmyfbid.com/

http://findmyfbid.com/

ROBO DE INFORMACIÓN SENSIBLE EN FACEBOOK (y II)


• Ver información del perfil privadoUna vez ya sepamos cual es el ID que identifica a dicho usuario, copiaremos y colocaremos este ID en la siguiente URL: https://www.facebook.com/search/0000000000000000Por último tendremos que colocar después del ID el tipo de búsqueda que queramos hacer, algunas referencias:/photos-tagged = Fotos etiquetadas/photos-of = Fotos de.../photos-by = Fotos por.../photos-liked = Fotos a las que hizo Like/photos-of/intersect = Más fotos/photos-commented = Comentarios en fotos/pages-liked = Páginas que le gusta/groups = GruposUn ejemplo final sería:https://www.facebook.com/search/0000000000000000/photos-taggedDonde 0000000000000000 es el IDdelUsuario sería lógicamente la secuencia numérica respectiva y a continuación, en este caso, se mostrarían los resultados de las fotos en las que a ese usuario otros usuarios le etiquetaron o aparece etiquetado.

USB DE LLAVE CRIPTOGRÁFICA (I)


• ¿Te imaginas sólo poder acceder a tu Facebook si introduces un determinado tipo de USB al ordenador? Sin contraseñas, con la tranquilidad de poder acudir a un ordenador público de un cibercafé y sin temor a que la contraseña quede almacenada con algún sistema de espionaje que ni habías detectado.

• Como parte del nuevo portal de herramientas de privacidad de Facebook, la red social acaba de estrenar la demandada función de soporte para llaves USB, una nueva forma de acceder a nuestra cuenta; pero en esta ocasión haciendo uso de un soporte físico.

• Gracias a esta nueva característica de seguridad en Facebook, la autentificación a dos pasos va más lejos permitiendo no sólo el uso de los clásicos códigos de un sólo uso enviados al teléfono móvil (que pueden ser interceptables), sino también una llave USB especial que se nos permita reconocer como el dueño de una cuenta simplemente teniendo dicha llave de seguridad, aunque siempre en combinación con nuestra contraseña por si acabáramos perdiendo la llave.

• La instalación de la llave de seguridad en Facebook es un procedimiento muy sencillo. Simplemente accedemos a ‘Seguridad’, después a ‘Aprobación de Inicio de Sesión’, y entre las opciones aparecerá ‘Claves de Seguridad: añadir llave’. Una vez que introduzcamos la llave, ya seremos reconocidos como dueños de la cuenta, teniendo así una nueva capa de seguridad para nuestra red social favorita.

USB DE LLAVE CRIPTOGRÁFICA (y II)


• Eso sí, no te olvides de activar la autentificación en dos pasos en tu apartado de Seguridad de Facebook.

• Con Google a la cabeza, la alianza FIDO está desarrollando una tecnología (el protocolo U2F) capaz de resolver esa segunda verificación de modo que sea imprescindible (esta vez sí) tener el artilugio en tu poder para acceder a la cuenta de turno.

• Dicho artilugio es un dispositivo USB que puedes adquirir por menos de 8 euros a través de Amazon. Las cuentas de Google ya son compatibles si accedes a través del navegador Chrome. Es sencillo: tecleas tu usuario y contraseña de Gmail, como siempre, pero en lugar de un código que llega a tu teléfono tienes que introducir el pendrive en el puerto de tu ordenador – y pulsar el botón que lleva incorporado – para completar el segundo paso de la identificación.

• De hecho, no solo tu cuenta de Google puede beneficiarse de esta medida de seguridad. Usando el navegador Chrome como puerta, cualquier empresa puede adoptar esta llave para proteger su intranet, su gestor de correo electrónico o cualquier otra aplicación corporativa.

• ¿Te ha gustado la idea de acceder a tu cuenta Facebook sólo insertando un USB? Pues aquí tienes el enlace a Amazon para comprar este dispositivo por menos de 8 euros, gastos de envío incluidos: https://www.amazon.es/HYPERSECU-HyperFIDO-K5-U2F-Security/dp/B011PIROK4

https://www.amazon.es/HYPERSECU-HyperFIDO-K5-U2F-Security/dp/B011PIROK4

EL LADRÓN USB DE LOS 12 SEGUNDOS (I)


• Un USB que se vende por Amazon para recuperar la contraseña de cualquier Windows en cuestión de segundos: https://www.amazon.com/Recovery-Password-Better-Windows-Versions-7/dp/B01BO6604S

• Hace un reset de cualquiera de estas versiones de Windows con sólo conectarlo: Windows 7/XP/2000/98 y Windows 10

• Su precio es de menos de 20 euros.

https://www.amazon.com/Recovery-Password-Better-Windows-Versions-7/dp/B01BO6604S

https://www.amazon.com/Recovery-Password-Better-Windows-Versions-7/dp/B01BO6604S

EL LADRÓN USB DE LOS 12 SEGUNDOS (y II)


• Seleccionas en esta pantalla qué usuario hay que hackear cuando el USB arranque.

• Aparece la pantalla de que el usuario ha sido reseteado a una contraseña en blanco.

FULMINAR UN ORDENADOR CON UN PENDRIVE


• El caso del USB Killer 2.0, es un dispositivo desarrollado por Dark Purple que destruye cualquier dispositivo electrónico con un puerto USB incorporado.

• Cómo logra esto? Muy resumidamente, el dispositivo hace uso de un convertidor DC/DC (corriente continua) y una serie de condensadores (dispositivos eléctricos que almacenan energía eléctrica en su interior). Cuando el USB Killer es conectado al puerto USB del ordenador, se inicia una transmisión de corriente eléctrica a los condensadores, la cual finaliza cuando estos alcanzan unos niveles determinados de carga. Una vez llegados a este punto, el condensador deja de absorber energía y se transforma en una fuente de tensión, realizando de forma instantánea una descarga de 220 voltios sobre el puerto USB al que está conectado –el voltaje máximo soportado por un puerto USB es de 5 voltios–.

• Este dispositivo no solo es capaz de destruir ordenadores, sino también televisiones, consolas e inclusos teléfonos móviles que cuenten con la tecnología USB OTG (USB On The Go). Se puede adquirir desde: https://www.usbkill.com

https://www.usbkill.com/

INTERCEPTANDO CONVERSACIONES DE MÓVILES


• ¿Qué es una Femtocelda? Exteriormente se parece a un repetidor y la ventaja para un atacante es que el usuario no puede hacer nada para impedir que su teléfono se conecte a esta femtocelda, puesto que están diseñadas para intentar tener la mejor cobertura posible.

• Este tipo de ataques, también conocidos como de estación base falsa, son conocidos desde hace años y hay investigadores que han demostrado cómo pueden forzar a los teléfonos móviles a que se conecten a redes controladas por ellos y así poder espiar las comunicaciones.

• Un atacante puede interceptar y modificar todo el tráfico, ya sean llamadas, mensajes o transferencias de datos.

• Te puedes hacer con uno de estos aparatos de forma muy fácil, ya que Movistar los oferta a sus clientes para zonas donde no llegue su cobertura móvil, conectando la femtocelda al ADSL de casa.

• Sólo cuesta 9 euros al mes y un hacker o puede usar para conectarlo a cualquier ADSL, de forma escondida, y así poder interceptar las comunicaciones móviles de cualquier víctima.

• Aquí el enlace para solicitar la Femtocelda a Movistar:http://www.movistar.es/particulares/movil/servicios/ficha/nav-mi-cobertura-movil?_ga=1.12783863.1133150465.1484906061

https://vimeo.com/27258284

http://www.elladodelmal.com/2014/09/estaciones-base-falsas-espian-las.html

http://www.movistar.es/particulares/movil/servicios/ficha/nav-mi-cobertura-movil?_ga=1.12783863.1133150465.1484906061

http://www.movistar.es/particulares/movil/servicios/ficha/nav-mi-cobertura-movil?_ga=1.12783863.1133150465.1484906061

NAVEGACIÓN CON TOR Y VPN (I)


• El servicio Tor se usa en todo el mundo, por ejemplo en países donde internet está intervenido por gobiernos que espían a sus ciudadanos. Gracias a este proyecto, muchas personas navegan con seguridad. El anonimato que ofrece se usa para poder filtrar documentación sensible a medios, navegar por redes sociales en países donde están prohibidas y, sí, también existen webs donde se cometen delitos, como tiendas donde se compran armas o drogas.

• El primer paso es descargarse el navegador desde la web de Tor. Está disponible para Windows, OS X y Linux de forma oficial, traducido en varios idiomas, entre ellos el español.

• Se instala como cualquier aplicación de tu plataforma: una vez lo tengas listo, ejecútalo. Se abrirá un navegador con el aspecto de Firefox y algún botón extra. La primera pantalla que se abre te mostrará la información más importante que debes conocer: estás conectado a su red y tu navegador está actualizado, lo cual es crítico para evitar filtraciones.

• Desde ahora puedes navegar en cualquier web tradicional o en las páginas onion. Para conocer cómo se ha enrutado tu conexión, pulsa sobre el botón de la cebolla que hay a la izquierda de la barra de direcciones. En este menú puedes ver la ruta que ha tomado tu visita, dando saltos por medio mundo.

• Existen varios sitios donde encontrar webs escondidas en esta red, The Hidden Wiki es el más actualizado. Reddit tiene varios subredditsdedicados a Tor, como el propio r/Tor o r/onions.

https://www.torproject.org/projects/torbrowser.html.en

https://www.torproject.org/projects/torbrowser.html.en

https://es.wikipedia.org/wiki/The_Hidden_Wiki




https://www.reddit.com/r/tor

https://www.reddit.com/r/tor

https://www.reddit.com/r/onions

https://www.reddit.com/r/onions

NAVEGACIÓN CON TOR Y VPN (y II)


• Empecemos por lo básico. VPN son las siglas de Virtual Private Network, o red privada virtual.

• Una conexión VPN lo que te permite es crear una red local sin necesidad que sus integrantes estén físicamente conectados entre sí, sino a través de Internet.

• Cuando te conectas a una conexión VPN todo tu tráfico de red sigue yendo desde tu dispositivo a tu proveedor de Internet, pero de ahí se dirige directo al servidor VPN, desde donde partirá al destino. Idealmente la conexión está cifrada, de modo que tu proveedor de Internet realmente no sabe a qué estás accediendo. A efectos prácticos, tu dirección IP es la del servidor VPN.

• Al conectarte con VPN, tu dispositivo se comunica con el servidor VPN, y es éste el que habla con Internet. Si tú estás en China y el servidor VPN está en Estados Unidos, generalmente los servidores web creerán que estás navegando desde este país, dejándote acceder a los contenidos disponibles solo allí, como podría ser Netflix.

• De igual modo, esta misma lógica se puede usar para acceder a aquellos contenidos que estuvieran censurados o bloqueados en tu país, pero no allí donde se encuentra el servidor VPN. Así es como millones de ciudadanos chinos logran conectarse a Facebook y otras 3.000 webs bloqueadas en el país.

Ejemplo de VPN de pago: MonkeyVPNhttp://www.monkeyvpn.com/

http://www.monkeyvpn.com/

ROBO DEL WIFI


• Que se hagan de tu wifi puede parecer una simple inocentada. Pero qué ocurre si te digo que si alguien se hace con tu wifi, el ladrón se ha apoderado de tu IP (o sea de tu DNI digital) y puede cometer fechorías con tu IP. ¿Qué te parecería que se descargara fotos de pederastia? ¿Y si el ladrón de tu IP comete algún fraude por la Red? Qué le dirás a la policía… ¿Qué te han robado el wifi? Explícaselo a tus vecinos, cuando te vean salir esposado de casa, arrestado por la policía y acusado de pornografía infantil.

• Android Dumper. Esta app es bastante nueva y funciona muy bien, es diferente al resto de la lista, porque al igual que algunos de los programas que hay en Wifislax, también se aprovecha de la vulnerabilidad que tiene el protocolo WPS. Básicamente sirve para comprobar si tienes algún problema de seguridad en tu red wifi debido al protocolo WPS. Puedes utilizarla de 2 modos, modo Root y sin root.

• WPSApp Free. Es una de las últimas aplicaciones para auditar Wifi que acaba de aparecer en la Play Store, más de 52.000 personas la han calificado con 5 estrellas. es capaz de averiguar las claves WPS siempre que el router tenga activado el WPS. Si es tu caso, desactiva YA el WPS de tu router. Desarrollada por españoles.

• Busca estos nombres en tu Google Play y verás.

ROBO DESDE BLUETOOTH (I)


• Visto en la serie Mr. Robot con Kali Linux. El hacker se hace pasar por la conexión Bluetooth del afectado, que estará validado en el sistema. El hacker tiene acceso total al usar las credenciales del afectado.

• Se activa Bluetooth en su sistema de hacking de Linux iniciando el servicio Bluetooth:• kali > service bluetooth start

• Es necesario activar el dispositivo Bluetooth:• kali > hciconfig hci0 up• A continuación se comprueba si realmente funciona, así como sus propiedades, escribiendo:• kali > hciconfig hci0

• Hay que tener en cuenta la "Dirección BD" en la segunda línea: esta es la dirección MAC del dispositivo Bluetooth.

ROBO DESDE BLUETOOTH (II)


• Hay que buscar conexiones Bluetooth. Se usa entonces btscanner, un escáner Bluetooth incorporado con una GUI rudimentaria. Para usarlo:

• kali > btscanner• A continuación, se seleccione "i" para iniciar un análisis de consulta. Puedes ver los resultados a continuación con

un ejemplo:

• Utilizando btscanner, podemos obtener una lista de todos los dispositivos Bluetooth en el rango. Este aquí tiene una dirección MAC y un nombre de "Tyler" -para falsificar este dispositivo, debemos hacer spoof de la dirección MAC y el nombre del dispositivo.

• Recuerda que Bluetooth es un protocolo de baja potencia con un alcance de unos 10 metros (aunque con una antena direccional, se han alcanzado distancias de hasta 100 metros).

ROBO DESDE BLUETOOTH (y III)


• Se necesita clonar el teclado de la víctima con esta información. Kali Linux tiene una herramienta diseñada para spoof de dispositivos Bluetooth llamado spooftooph. Podemos hacerlo con un comando similar a éste:

• kali > spooftooph -i hci0 -a A0:02:DC:11:4F:85 -n Car537• -i designa el dispositivo, en este caso hci0• -a designa la dirección MAC que queremos engañar• -n designa el nombre del dispositivo que queremos engañar, en este caso "Car537"• Si lo hacemos correctamente, nuestro dispositivo Bluetooth falsificará la dirección MAC y el nombre del dispositivo

Bluetooth del ordenador de la víctima.

• Para comprobar si hemos tenido éxito, podemos usar hciconfig seguido por el dispositivo y el switch "name" que mostrará el nombre del dispositivo. Recuerda, este es nuestro dispositivo Bluetooth que estamos tratando de emular con el dispositivo Bluetooth del ordenador de la víctima. Si tenemos éxito, tendrá la misma dirección MAC y el nombre del dispositivo Bluetooth de la víctima.kali > hciconfig hci0 name

PWN PHONE


• Sí. En la serie de televisión Mr- Robot su protagonista utiliza un pwn phone en el capítulo 8 de la segunda temporada para correr un software que ha diseñado él mismo (CrackSIM) y cuya finalidad es la de crackear otra tarjeta SIM, la del interlocutor del Dark Army, Zhun. Lo consigue gracias a un pwn phone, un smartphone preparado para penetrar y crackear redes ajenas que lleva preinstalado multitud de herramientas (más de 100) de ataque y monitorización de redes. Por 1.100 dólares es tuyo.

• Porque es real y se puede adquirir desde aquí: https://store.pwnieexpress.com/product/pwn-phone2014b/

https://www.pwnieexpress.com/mr-robot-pwn-phone




https://store.pwnieexpress.com/product/pwn-phone2014b/



KALI LINUX


• Kali Linux es la herramienta perfecta para hackers, que buscan (y encuentran) los límites y fisuras en la seguridad de las redes y sistemas informáticos.

• Una de las principales virtudes de Kali Linux son las más de 300 herramientas y aplicaciones relacionadas con la seguridad informática que incluye esta distribución, destacando algunas tan conocidas como Nmap, que permite escanear los puertos de un sistema, el crackeador de contraseñas Jack the Ripper o la suite Aircrack-ng para comprobar la seguridad de las redes inalámbricas.

• En esta página web (http://tools.kali.org/tools-listing) encontrarás un listado con todas las herramientas de seguridad que incluye Kali Linux, perfectamente catalogadas en los distintos ámbitos de la seguridad informática.

• Además de las aplicaciones que están incluidas en Kali Linux, esta distribución ofrece soporte para un gran abanico de dispositivos inalámbricos con los que trabajar, así como una amplia variedad de plataformas como ARM, Raspberry Pi, Chromebook, etc.

• Descarga de la ISO de Kali Linux: https://www.kali.org/downloads/

http://tools.kali.org/tools-listing

http://tools.kali.org/tools-listing

https://www.kali.org/downloads/

DEEP WEB (I)


• El concepto de Deep Web es sencillo. La Deep Web es aquella parte de la Red que contiene material, información y páginas web que no están indexadas en ninguno de los buscadores existentes como pueden ser Bing, Google, Yahoo, etc. Muchos de vosotros quedareis sorprendidos en saber que la Deep Web presenta mucho más contenido que la web superficial que nosotros podemos acceder.

• Según datos de la Wikipedia en el año 2000 la internet superficial tenia un tamaño de 167 Terabytes mientras que la Deep Web tenia una tamaño de 7500 Terabytes lo que significa que el contenido de la Deep Web era 45 veces superior a la información que teníamos acceso en aquel momento. Actualmente a día de hoy la universidad de California en Berkeley estima que el tamaño real de la red profunda es de 91.000 Terabytes.

• Todo lo que hay en la Deep Web no podemos decir que sea intrínsecamente malo. Podemos encontrar contenido interesante y diverso como por ejemplo:

• Contenido almacenado por los gobiernos de distintos países.• Organizaciones que almacenan información. Por ejemplo la NASA almacena

información acerca de las investigaciones científicas que realiza. • Multitud de bases de datos de distinta índole. Las bases de datos representan un %

muy importante de la información almacenada en la Deep Web.• Foros de temáticas diversas.

DEEP WEB (II)


• No obstante también nos podemos encontrar contenido muy desagradable como por ejemplo los siguientes:

• Venta de drogas.• Pornografía.• Mercado negro de sicarios.• Documentos clasificados como por ejemplo los de Wikileaks. • Foros de crackers en busca de víctimas.• Phishers, spammers, botnet agents, en busca de víctimas.• Páginas para comprar o fabricar armas.• Piratería de libros, películas, música, software, etc.• Nota: Afortunadamente el contenido que se acaba de describir representa un % muy pequeño

de lo que es la Deep Web. Este tipo de contenido se clasifica dentro de una subcategoría de la Deep Web. denominada Darknet.

• Todo el material perteneciente a la deep web no es accesible de forma corriente. Para acceder a este contenido tenemos que acceder a través de un servidor proxy. En caso de querer investigar y experimentar una muy buena opción para empezar es hacerlo a través de la red Tor.

• Si queréis conectaros a la red Tor y acceder y navegar por la deep web a través de vuestro teléfono Android, tan solo tiene que visitar el siguiente enlace.: https://geekland.eu/configurar-tor-en-android-para-navegar-en-la-deep-web/

https://geekland.eu/configurar-tor-en-android-para-navegar-en-la-deep-web/

DEEP WEB (y III)


• Bajo el punto de vista de expertos del sector, estos son los mejores buscadores a para adentrarte en la Deep Web:

1. Onion.City (http://www.onion.link)2. Not Evil (https://hss3uro2hsxfogfq.onion.to)

http://www.onion.link/

http://www.onion.link/

https://hss3uro2hsxfogfq.onion.to/

https://hss3uro2hsxfogfq.onion.to/

¿CUÁNDO HAS SIDO HACKEADO?


• Comprueba anónimamente si tu dirección de email se ha visto comprometida en alguna ruptura de seguridad.

• Puedes comprobar si tu correo electrónico aparece en una base de datos universal de correos que han sido hackeados. Lo único que tienes que hacer es meter tu correo electrónico en la caja y en un segundo te comprueba si está en la lista o no. ¡Hazlo y te quedas tranquilo!

• https://haveibeenpwned.com

https://haveibeenpwned.com/

https://haveibeenpwned.com/

MR. ROBOT (I)


• Mr. Robot es una serie de televisión estadounidense creada por Sam Esmail. Se estrenó el 24 de junio de 2015 en la cadena USA Network. El mismo día la serie se renovó para una segunda temporada, estrenada el 13 de julio de 2016. El 16 de agosto del mismo año Mr. Robot fue renovado para una tercera temporada a estrenarse en 2017.

• La serie sigue a Elliot Alderson (Rami Malek), un joven hacker que sufre de fobia social, depresión clínica y delirios, trabaja como ingeniero de seguridad informática y usa sus habilidades para proteger a las personas por las que se preocupa. Elliot es reclutado por Mr. Robot (Christian Slater), el misterioso líder de un grupo de hacktivistas llamado fsociety, que quiere destruir a poderosos empresarios de multinacionales que están manejando el mundo.

• Puede verse online desde: http://www.seriespapaya.com/serie/mr-robot.html

http://www.seriespapaya.com/serie/mr-robot.html

MR. ROBOT (y II)


• Vamos a analizar los momentos clave en los hack de los miembros de F-Society y otros personajes. Herramientas comunes y especializadas: btscanner, bluesniff, meterpreter, candump y más. Una cosa que nos deja confundidos es la velocidad supersónica a la que Elliot es capaz de programar, a lo mejor está usando hackertyper.

• En el tercer episodio de la primera temporada, nuestro psicópata favorito primero hace root del terminal Android con una herramienta común como SuperSU, y luego instala FlexiSpy, una app capaz de espiar los mensajes enviados en trece plataformas distintas.

• Cuando F-Society hace un ataque de denegación distribuido de servicio a los servidores de Evil Corp, Elliot, Gideon y todo AllSafe Cybersecurity salen en su defensa. La forma en la que intentan atajarlo poniéndose en contacto con los ISP es el primer paso de manual ante este tipo de ataques.

• No surte efecto porque los proveedores de internet (ISP) no pueden solucionar ataques si se basan en errores del protocolo utilizado, ahí también es realista. Gideon también comenta “llamar a Prolexic”, que es un servicio real especializado solucionar este tipo de problemas.

http://manpages.ubuntu.com/manpages/xenial/en/man1/btscanner.1.html

https://www.usenix.org/legacy/event/woot07/tech/full_papers/spill/spill.pdf

https://www.offensive-security.com/metasploit-unleashed/meterpreter-basics/

https://github.com/linux-can/can-utils/

http://hackertyper.com/

http://spycasa.com/why-flexispy-best-tracking-app/

http://spycasa.com/why-flexispy-best-tracking-app/

CONTACTAR CON EL AUTORWeb empresa rutas: www.planetainsolito.esBlog: www.carlosmesa.com


Carlos Mesa

salir ^

CONSPIRACIÓNEN LA RED