Peligros del WiFi gratis

Peligros del WiFi gratis

A todos nos encantan las cosas gratis, y más si se trata de Internet. ¿Para qué gasto mis datos si me están ofreciendo WiFi gratis? Eso pensamos todos.

Pero, hoy quiero que te despidas de ese pensamiento, porque algunos de los WiFi públicos pueden llegar a hacerte mucho daño.

WiFi gratis

Digan lo que digan, nada sale gratis, y mucho menos cuando se trata de tecnología. Hay sitios que ofrecen WiFi gratis, la mayoría son restaurantes, cafés y hasta buses. Llegas, pides la clave y entras. Lo que no sabes es que otra persona que también está conectada puede intentar acceder y violentar tu conexión.

Hay herramientas gratuitas, incluso para Android, para ver los equipos conectados en una red, ver la dirección MAC, ver los servicios que tienen activos e incluso bloquearle el acceso.

Hay tres datos que debes conocer que son de suma importancia:

IP Local

Es una dirección que asigna el router o módem al que estás conectado, usualmente es 192.168.1.xx. Esta IP es dinámica, lo que quiere decir que puede cambiar según se vayan conectando y desconectando dispositivos.

IP Pública

Esta IP, es la IP que usa tu dispositivo para conectarse a internet. La persona que tenga esta IP puede saber en dónde te encuentras (ciudad) y que proveedor de internet usas. Puedes ver tu IP pública en esta página.

Dirección MAC

Posiblemente hayas visto debajo del módem o de algunos computadores que dice “MAC Address” y es una serie de números y letras. Esta dirección es como la cédula (número de identificación único) de tu equipo y es único en todo el mundo.

Hace unos años Google tuvo fue acusada de violentar la privacidad de las personas, cuando se supo que los carros de Google Street View estaban capturando todas las BSSID o direcciones MAC de los routers.

© MaltaToday

También, en Londres instalaron canecas que al pasar al lado de ellas, escaneaban la dirección MAC de tu teléfono. Es más, al dejar el WiFi encendido y acercarte a un router, estás dejando tu dirección MAC en el router.

© RT.com

Por lo tanto es un dato que nunca debes dar, porque usando este dato, pueden saber qué equipo tienes o pueden saber en dónde te encuentras con una precisión muy alta. Incluso un cibercriminal puede falsificar la MAC de él y poner la tuya para cometer algún delito.

WiFi públicos falsos

Hay herramientas que te permiten crear un hotspot de WiFi, quiere decir un punto de acceso para compartir internet. Si te conectas no vas a saber si es falso o no, pero el cibercriminal que está detrás estará capturando cada dato que enviés a través de tu dispositivo. Usuarios, claves, mensajes, imágenes, y todo dato que tu dispositivo envíe a Internet.

Lastimosamente pero afortunadamente (¿?), aprender sobre hacking es muy fácil. Solo basta con usar Google. Digo lastimosamente porque hay personas que les interesa aprender de hacking para robar y hacerte daño, pero afortunadamente hay personas que estamos interesados en proteger a las personas usando el hacking, como por ejemplo el Chema Alonso, de 11 Paths.

 

IoT ¿Y la privacidad?

IoT ¿Y la privacidad?

Hace poco estuve en el Evento de Innovación de ComputerWorld Colombia, el cual tenía como tema principal el IoP- Internet of People– quedé maravillado con la innovación tecnológica del famoso IoT- Internet of Things- sin embargo, el tema de conversación durante el break fue la privacidad.

Antes de entrar a hablar de la privacidad, voy a contarte qué es el IoT. El IoT o el Internet de las Cosas, es el futuro. Implica la conexión de todos nuestros aparatos electrónicos y electrodomésticos entre ellos- independientemente si tienen o no una pantalla- y a su vez cada uno a internet. Por poner un ejemplo, es como si la nevera que tienes ahora, cobrara vida y supiera lo que hace falta y automáticamente lo pidiera por internet. Ericsson se aproxima bastante a lo que sería el IoT en unos años con este vídeo.

Para muchos el vídeo nos deja asombrados con lo que se puede hacer con el IoT  pero, ¿qué provecho pueden sacar las compañías con nuestra información? Esa pregunta, me deja helado, porque ni a mi ni a nadie nos interesa que por ejemplo Samsung sepa qué canales veo, o cuáles son mis hábitos alimenticios. Las grandes compañías pueden recolectar información de uso anónima y con ellas desarrollar nuevos productos o servicios, lo cual no está mal. Pero, ¿si esa información cae en manos equivocadas?

La privacidad siempre será tema de debate.

Hace unos cuarenta años, era impensable que una compañía en el mundo tuviera acceso a tanta información como la tienen hoy día la mayoría de grandes empresas. La privacidad cada vez se diluye más y es tema de debate dependiendo del lado que se mire. Es decir, las grandes empresas se defienden con dos cosas principalmente: Términos y Condiciones y Política de Privacidad (que todos leemos, obviamente), con lo que no importa qué producto o servicio tienes si presionas el botón aceptar o sigues navegando en el sitio web, estás firmando un contrato con el que les das acceso a esa información “anónima”. Y la otra, es que las estadísticas que recolectan ayudan a mejorar el producto o servicio.

Conclusión

Si confiamos nuestra información a grandes compañías, les estamos dando el poder. Pero a cambio, mejoran el producto o servicio. Cada uno debe decidir que información comparte. Si eres una persona muy reservada, vas a preferir seguir viviendo afuera del IoT.

Por mi parte, y hablando como Ingeniero de Sistemas, busco la automatización de las cosas, por lo tanto, viviría encantado en el IoT.

 

El internet es una calle pública, ¿Estás protegido?

El internet es una calle pública, ¿Estás protegido?

Así es, el internet es una calle pública, cualquiera puede conocerte sin que lo sepas. ¿Quieres saber cómo?

Antes de responderte, quisiera que hicieras este test:

Estamos en una época en la que tenemos que estar conectados, tenemos que saber qué están haciendo los demás y queremos que los demás también lo sepan. Pero, ¿quienes son “los demás”? Los demás pueden ser: tus amigos, tu familia, conocidos, cibercriminales y hasta incluso agencias de inteligencia (sí, enserio).

Hablemos de los cibercriminales:

¿Quienes son?

Puede ser una persona que compró un libro o hizo un curso de hacking “ético” sin conocimientos en Ingeniería de Sistemas. O puede ser un ingeniero de sistemas con alguna especialización en seguridad informática al que se le nubló la vista y empezó a trabajar para el lado equivocado 🙁 .

Por otro lado, simplemente pueden ser bots que se alimentan de bases de datos de correos eléctronicos y atacan enviando SPAM.

¿Cómo son?

Aparentan ser personas normales, con familia, trabajo, usualmente son bastante amables y se ganan el cariño de la gente con facilidad.

¿Qué hacen?

  1. Te roban información personal y hasta confidencial.
  2. La pueden vender por grandes sumas de dinero a corporaciones o a delincuentes.
  3. O te pueden atacar, físicamente o cibernéticamente.
  4. O incluso puedes llegar a ser parte de algo peor. Te pueden incriminar en algo o te pueden chantajear a cambio de dinero.

¿Cómo lo hacen?

Ahora sí te respondo; con Ingeniería Social. No, no es una nueva carrera 😛 . La ingeniería social se define como:

“El conjunto de técnicas psicológicas y habilidades sociales utilizadas de forma consciente y muchas veces premeditada para la obtención de información de terceros.”

Por eso te decía que usualmente son personas muy amables, eso lo hacen únicamente para ganarse nuestra confianza, para que les brindemos algún tipo de información que puedan usar para atacarnos.

Hay muchísimas maneras de obtener nuestra información, te pongo primero estos ejemplos que son difíciles de creer, pero son métodos aún más fáciles que los demás:

  • Revisando nuestra basura (Trashing: ¿Anotas tus contraseñas en papeles o en libretas? ¡Cuidado con tirarlos!)
  • Revisando nuestra correspondencia y facturas. (Pueden hacerse pasar por amigos nuestros y reclamar nuestra correspondencia).
  • Haciéndose pasar por técnicos o asesores de empresas  (usualemente lo hacen vía telefónica).
  • La peor de todas: haciendo amigos.

Ya habrán más métodos, pero serán cada vez más. Entre algunos de los métodos más cibernéticos:

  • Phising: Enviarnos correos electrónicos, haciéndose pasar por empresas como Facebook, Gmail, Microsoft, etc. Usualmente los correos tienen propuestas un poco exageradas y ridículas, algunas de las que he visto son:
    • Yazuri Yarleni Yamapán te ha etiquetado en Facebook (¡Claro! Debe ser una amiga, ¿o no?).
    • Tarjeta de crédito rechazada en tu última compra por PayPal.
    • Problemas con tu cuenta de GMail.
    • Revisa tu cuenta de Bancolombia.

Hay infinitas propuestas pero, ¿sabes qué es lo peor de todo? Que hay gente que lo cree sin siquiera tener cuenta en la página de la que supuestamente llega el correo. Estos correos contienen links para que “ingreses” a tu cuenta. Si haces clic en el enlace, te va a salir una página falsa idéntica a la original, si ingresas tus datos te redireccionará a la original, usualmente generando un error 404, pero tus datos ya los tiene el atacante.

fb-404

  • Drive-by Downloads: Son sitios que descargan archivos sin nuestro consentimiento. Estos archivos tienen código malicioso que infectan nuestro computador. También nos pueden enviar correos electrónicos con propuestas igual de ridículas:
    • Te han enviado una nota de voz por WhatsApp.
    • Cuentas por pagar en el Banco de Mauritania (¡Pero si nunca había oído de eso!).
    • Herencia de un familiar perdido (What?).
    • Suscripción vitalicia de Microsoft Office (¿enserio? ¡La quiero!).

Usualmente cuando abres estos correos se descarga un archivo que se ejecuta automáticamente. Las variantes pueden ir desde adwares, rootkits, troyanos hasta ramsomware. Ya hablaremos en otro pin sobre cada uno.

Te debes estar preguntando, ¿Cómo te llega toda esta basura? Fácil, si son bots buscan en bases de datos con correos electrónicos y los envían masivamente para ver quién cae. Pero si son personas, puede ser tu vecino el que quiere sacar algo de ti.

Te he mencionado pocas maneras de como los cibercriminales te pueden atacar utilizando información tan básica como el correo eléctrico o las fotos de tu último viaje el cual publicaste en Facebook.

Para terminar te daré un ejemplo de cómo te pueden quitar información sin que te des cuenta.

EIFFEL-TOWER-S9

Te fuiste de viaje a París, estuviste cinco días, en los cuales cada día ponías dos fotos en Facebook e Instagram; en el hotel, la torre Eiffel (nunca falta), con tus amigos, en la discoteca, en el aeropuerto, en el avión, etc. Llegaste de nuevo a Colombia feliz por el viaje más increíble de tu vida, cuando recibes una llamada:

-Buenas tardes, ¿Como está? Estoy buscando al señor Felipe Lobo.
-Sí, con él, ¿Con quién hablo?
-Habla con Gustavo von Ferdinand representante de la cadena hotelera Francesa en Colombia.
-Ajá, en qué le puedo ayudar.
-¿Usted se quedó cinco días en nuestro hotel de París?
-Sí señor.
-Bien, me llamó el Gerente del hotel; el Doctor François Renet para comunicarle que el hotel tiene una política de premiación a los mejores huéspedes.
-Uyy, y ¿cómo es eso?
-El hotel está dispuesto a obsequiarle una Suite Presidencial en cualquiera de nuestros hoteles alrededor del mundo por cinco noches. La cadena hotelera Francesa paga su acomodación, comida y transporte dentro de la ciudad que elija. Ahora debo preguntarle si desea aceptar esta generosa oferta que le hace el Doctor François Renet.
-Umm, suena bien, si claro que sí.
-¿Tiene idea de qué destino le gustaría? Para comunicarle al Doctor François.
-¿En qué otras ciudades tienen hoteles?
-Le puedo ofrecer nuestro hotel de Lima, Los Ángeles, Dublin….
-Me gustaría el hotel de Dubai.
-Excelente opción señor Felipe.
-Ahora debo hacerle unas preguntas de seguridad para comprobar su identidad.
-¿Cómo es su nombre completo?
-Felipe Lobo.
-¿Número de documento?
-C.C. 55555.
-¿Ciudad de residencia, barrio y dirección?
-Bogotá, Bogotá Lakes, Cll. 874 con Av. 6ta Apto. 405.
-¿Teléfono fijo?
-555555
-¿Correo electrónico?
[email protected]
-Ahora señor Felipe, necesito sus datos de tarjeta de crédito para debitarle el envío de la carta de recomendación del Doctor François para que pueda ingresar y hacer uso de su premio en nuestro hotel de cinco estrellas en Dubai. El envío tiene un costo de 15.99 euros, los cuales se le entregarán de nuevo una vez esté en el hotel.
-¿Y no lo puedo hacer por internet?
-Entenderá señor Felipe que nuestra política de premiación es confidencial, muy pocas personas son beneficiadas y es un proceso que sólo los altos directivos estamos autorizados para realizar.
-Entiendo, dice que me lo devuelven, ¿cierto?
-Sí señor, se le entregará un sobre en la recepción del hotel con los 15.99 euros.
-Ok, los datos son 5454-…-4545 se vence en Mayo del 2056 y el código es 888.
-Perfecto, señor Felipe, en los próximos tres días hábiles llegará la carta desde París. Quedamos atentos a su respuesta. De nuevo muchas gracias por quedarse en nuestra cadena…
-Muchísimas gracias, no sabe lo contento que estoy…

Verás que al comienzo uno está en modo defensivo, bastante escéptico, tal vez esperando una encuesta de satisfacción, pero una vez nos habla del premio que viene desde el Gerente y sabe que estuve cinco días en el hotel de París, y conoce que otros hoteles que hay, me baja la primera barrera defensiva y obtiene mi confianza – lo más importante-. Toda esa charla, para obtener los datos de mi tarjeta de crédito y sólo por haber puesto fotos en Facebook e Instagram.

Conclusión:

Cuidado con lo que pones en internet. Y ten aún más cuidado con quién hablas. Nunca, pero nunca des tus datos personales por teléfono, a menos de que seas tú el que llame. ¿Ya viste toda la información que sacó a partir de unas fotos?

P.D. No, nunca he ido a París…

Si te gustó ya sabes qué hacer