Tarjetas para abrir las habitaciones del hoteles en todo el mundo

F-Secure

Si pensabas que por pasar la noche en el hotel más caro de la ciudad te ibas a sentir más seguro en tu estancia, este trabajo realizado por los trabajadores de la agencia de seguridad F-Secure te dejará un poco intranquilo. Tras una mala experiencia en la que sufrieron de primera mano el robo de un portátil en una habitación de hotel, Tomi Touminen y Timo Hirvonen decidieron estudiar los modelos de cerraduras electrónicas con sistema VingCard Vision, una tecnología desarrollada por el gigante ASSA ABLOY que suele estar presente en muchísimos hoteles de todo el mundo.

Lo interesante de este estudio es que les ha llevado nada menos que 12 largos años de pruebas e investigación, hasta que han conseguido encontrar una serie de errores imperceptibles que, combinados, les ha permitido crear una especie de llave maestra para poder abrir toda puerta que se les ponga por delante. Para conseguirlo se necesita primero una llave original que haya funcionado con el sistema a descifrar. No importa el tiempo que tenga siempre y cuando haya funcionado en su día y no esté deteriorada. Con la ayuda de un lector RDIF de unos 300 euros, logran capturar la información del interior de la tarjeta, y unido a los conocimientos previos de los errores en el sistema y varios trucos necesarios que no han revelado, consiguen dar vida a una tarjeta virtual capaz de abrir todas las puertas.

F-Secure

@FSecure

“You can imagine what a malicious person could do with the power to enter any hotel room, with a master key created basically out of thin air.” – @tomituominen https://www.f-secure.com/en/web/business_global/electronic-lock-systems-are-vulnerable/  pic.twitter.com/j5y0zUGvpV

El secreto está obviamente en el algoritmo creado tras encontrar los bugs en el sistema, y no en una simple lectura de la tarjeta. Con los resultados más que comprobados, se comunicaron inmediatamente con ASSA ABLOY para trabajar en la corrección del sistema, algo que la marca no tardó en hacer y que dio origen a una actualización urgente que publicaron el pasado mes de febrero. A día de hoy la web de la compañía avisa sobre la actualización del sistema y recomienda a todos los clientes que procedan con la actualización para mantener todos los sistemas completamente protegidos.

ASSA ABLOY asegura que los modelos afectados por la falla se corresponden sólo con una pequeña parta de los modelos distribuidos en todo el mundo, ya que, según ellos, la mayoría de sistema instalados a día de hoy cuentan con sistemas más modernos, y no con el basado en VingCard Vision, un software de 20 años de antigüedad que es el único que se ve afectado en esta investigación.

Comprobar si me han robado los datos en internet.

Cada poco tiempo nos despertamos con una nueva brecha de seguridad. Sin ir más lejos, ayer mismo te contamos que Uber había escondido el robo de datos a más de 57 millones de usuarios. Y que esta compañía no era la única. Yahoo o Dropbox tampoco comunicaron sus brechas de seguridad a los clientes cuando se produjeron.

Ante la proliferación de nuevas y cada vez más peligrosas amenazas, conviene estar prevenidos. Además de tomar las consabidas precauciones de seguridad, es importante saber a ciencia cierta si alguno de los servicios a los que estamos suscritos han sufrido algún tipo de robo. Y nosotros sin enterarnos.

Existe un sistema online que puede ayudarnos a descubrir si nuestros datos privados han sido robados en Internet. Y lo cierto es que es muy sencillo. Si quieres averiguar si tu información personal ha sido divulgada en las redes, te recomendamos seguir estas instrucciones.

datos privados han sido robados

Comprueba si tus datos privados han sido robados

1. Lo primero que tienes que hacer si crees que tus datos privados han sido robados es acceder a esta página: https://haveibeenpwned.com/ Se trata de una página en la que puedes verificar si tus datos han trascendido en algún sitio. Y por culpa de alguna acción criminal.

2. A continuación, introduce tu dirección de correo electrónico o nombre de usuario que quieras comprobar. Pulsa en el botón ‘pwned?’. Automáticamente después, el sistema te indicará si los servicios a los que estás registrado con tu cuenta han sufrido algún tipo de hackeo. Y a partir de ahí, podrás tomar las medidas que consideres necesarias.

Al realizar nosotros la prueba, el sistema ha identificado un total de siete sitios en los que nuestros datos han podido correr peligro. Y son los siguientes: Adobe, Bitly, Dropbox, Last.fm, LinkedIn, River City Media Spam List y Zomato.

Como ves, dos se corresponden a aplicaciones alternativas. Pero los demás son servicios que casi todos conocemos perfectamente, como pueden ser lo servicios de Adobe, Dropbox o LinkedIn. Junto a cada uno de estos sitios, verás a qué brecha de seguridad se refieren.

Podrás comprobar cuánta información se ha robado (seguramente en millones de cuentas), en qué fecha y de qué tipo de datos estamos hablando (nombres, fechas, números de tarjetas de crédito, direcciones postales, etcétera). Es una manera de medir la magnitud de la tragedia.

datos robados

¿Qué hago con las cuentas hackeadas?

En primer lugar, sería interesante que comprobaras en qué momento tuvo lugar el ataque. Así, si fue en octubre de 2012 y has cambiado la contraseña con posterioridad, no tendrás de qué preocuparte. Si no lo hiciste, te recomendamos ponerte manos a la obra para proteger tus cuentas cuanto antes.

Accede al servicio en cuestión con tu nombre de usuario y contraseña. A continuación, accede a la sección de configuración para modificar la clave de acceso.

Si no usas habitualmente ese servicio, evita daños innecesarios. Date de baja lo antes posible y olvídate de los cambios de contraseña.

¿Eres de los que usan la misma clave para todos los sitios a los que están suscritos? Pues tienes un problema. En primer lugar, asegúrate de registrarte siempre con una contraseña diferente. Si temes olvidarte de la clave, puedes usar un gestor de contraseñas. Si usaste la misma contraseña para todos los servicios y uno de estos figura como hackeado, estarás en riesgo. Asegúrate de cambiar todas las claves antes de que sea demasiado tarde.

Recuerda que las contraseñas tienen que cumplir con una seguridad mínima: estar compuestas por letras, números y símbolos; combinar mayúsculas y minúsculas y contar con un mínimo de 8 caracteres.

Como saber si me han hackeado la contraseña

Con el paso de los años se nos acumulan cuentas de mail, redes sociales, banco y muchos otros programas más.  Algunas de esas contraseñas tienen mucho tiempo, y otras, las hemos realizado siguiendo consejos de seguridad de cada programa, que nos pide que combinemos letras, números, maýusculas y minúsculas. Pero, ¿es eso suficiente?

Ahora, a través de CNET hemos podido saber que existe una herramienta para poder conocer al 100% el nivel de seguridad de nuestras contraseñas. Troy Hunt, el creador de Have I been Pwned?, una web especial para conocer si nuestros mails han aparecido en alguna base de datos de hackers, amplía ahora sus capacidades incluyendo un buscador de contraseñas.

En busca de la contraseña perfecta

contraseña pwned

Este buscador incluye una base de datos de hasta 306 millones de contraseñas de todo el mundo y en varios idiomas, que ya han sido robadas. Por ello, significa que son más sensibles de ser usadas por bots maliciosos. En este sencillo buscador podemos escribir nuestra contraseña, y la web nos dice si forma parte de esa base de datos o no. Cuando es el caso, nos recomienda que dejemos de usarla de inmediato.

Puede que alguno piense, “esto es un truco. Es un engaño para que escriba mi contraseña y así tenerla”. Si ese es el caso, también tenéis la posibilidad de acceder a la información sin tener que escribir una letra. La web ofrece la posibilidad de descargar la lista completa de todas las contraseñas comprometidas. Eso sí, es una tarea pesada (el archivo de Excel pesa 5 GB, imaginad), con más de 300 millones de contraseñas para revisar. De cualquier modo, existe esa opción para recelosos.

Por último, la web nos alerta sobre uno de los procedimientos más comunes de todos: la repetición de contraseñas. Algo que sin duda realizamos todos, por su sencillez, pero que es altamente peligroso. En caso de que un hacker se haga con una sola de esas contraseñas, podría entrar en varias de nuestras redes.

Hoy en día, diversificar nuestras contraseñas no exige recordarlas, ya que hay sistemas de automatización, pero si tenemos que cambiar de terminal por la razón que sea, podríamos encontrarnos con un problema.El dilema entre la sencillez y la seguridad siempre está presente, y depende de cada uno la elección que tomemos. Por ahora, tenemos esta herramienta para saber si, tal vez, nos toque cambiar esa elección

Rompiendo el cifrado de Whatsapp

WhatsApp, la aplicación de mensajería instantánea más famosa del planeta, vuelve a estar en el punto de mira. Si hace unos meses los desarrolladores de la aplicación integraron en ella un sistema de cifrado de extremo a extremo con el fin de reforzar la seguridad en las comunicaciones de sus usuarios, acaba de saltar una noticia que, si es cierta, tiraría por tierra todos los esfuerzos de la compañía por proteger a sus usuarios.

Y es que una compañía de vigilancia cibernética israelí asegura haber desarrollado una herramienta llamada CatchApp que podría ser capaz de descifrar todas las conversaciones de WhatsApp, incluidas las que se encuentran cifradas, desde una herramienta que crea un falso punto WiFi y cuyo tamaño permite esconderla en un mochila. La herramienta funcionaría solo con estar situado cerca  del usuariodel que queramos descifrar sus mensajes, y después de que éste se conecte a este falso punto WiFi, es posible acceder a toda la información.

catchapp

La compañía desarrolladora se llama Wintego y se encuentra basada en Haifa (Israel). Han sido ellos mismos los que han publicado folletos con toda la información de su herramienta, CatchApp, a la que denominan como “interceptor de WhatsApp”.

Wintego asegura que su aplicación tiene una capacidad sin precedentes y que lo hace a través de unataque de intermediario (man-in-the-middle, MitM o JANUS), un ataque en el que se consigue leer, insertar  o modificar los mensajes entre dos partes sin que ninguna de ellas conozca que algo o alguien ha intervenido.

Se supone que la aplicación interceptaría el tráfico entre la aplicación y el servidor de WhatsApp  y en ese punto descifraría el encriptado.

Por el momento la compañía israelí no ha dado más detalles pero desde Forbes  aseguran que la herramienta funciona y además en la mayoría de versiones de WhatsApp.

CatchApp forma parte de una serie de herramientas de hackeo desarrolladas por Wintego, que son denominadas como WINT y de las que los israelíes presumen cabe en una simple mochila. WINT es para ellos una herramienta de extracción de datos que mediante este hackeo pueden hacerse con material sensible de cualquier usuario.
wint

Por el momento no se sabe demasiado sobre Wintego pero varias investigaciones apuntan que ha sido fundada por varios ex alumnos de Verint, otra empresa israelí. Verint casualmente fue proveedor de herramientas de vigilancia cibernética para la Agencia de Seguridad Nacional de Estados Unidos (NSA). Según indica también Forbes, las cabezas visibles de esta empresa serían Yuval Luria que se encarga de la parte comercial y Nhevo Kaufman que sería el CEO de la compañía.

Estas herramientas se encuentran a la venta únicamente para cuerpos de seguridad como la policía, pero obviamente, cabe la posibilidad de que caiga en manos indebidas siempre y cuando haya suficiente dinero por medio.

Hackeada la web AEDE

Comunicado Anonymous Aede

Lo contábamos esta mañana, la nueva Ley de Propiedad Intelectual ha sido finalmente aprobada en el Congreso. Entre sus principales novedades está el Canon AEDE, la compensación irrenunciable que los editores y creadores de contenidos recibirán vía asociación de gestión de derechos de autor.

En Xataka tenéis todos los detalles de esta ley, y aquí en Genbeta ya nos hemos hecho eco de algunas reacciones como la de Google, desde donde han asegurado que están muy decepcionados con la ley. La reacción de Anonymous tampoco se ha hecho esperar, y el colectivo ha hackeado la web de AEDE colgando un comunicado oficial.

A esta hora, este es el aspecto de la web de AEDE.

Anonymous Aede

El comunicado de Anonymous, el cual está escrito en un tono muy hostil y amenazante, reza lo siguiente:

Si pensáis, carteristas de la información, que con la aprobación del canon por parte de vuestros amigos del corrupto Partido Popular, vais a acabar con un Internet libre y al servicio de los ciudadanos, es que no nos conocéis.

Ni vosotros, ni vuestros medios vendidos al servicio de la corrupción institucionada, vais a conseguir acabar con una Red libre. Vuestros abugados y mercenarios de la porra intentarán protegeros de nosotros, pero nosotros somos una IDEA; no combatimos por un salario ni porque nos paguen unas putas como, seguramente, harán con vosotros.

Esperadnos.

Nunca estamos lejos de vuestros puertos, servidores, paneles de control y documentos (de los que ya hemos hecho una bonita copia).

La 9 de Anonymous.