10 pasos para evitar el spam

scott-kleinberg-spam

Oh, el spam, esa molesta fuente de contaminación viral que se ha apoderado de nuestros correos, ninguna medida parece ser efectiva contra este mal del Siglo XXI. Las cifras sólo brindan un paisaje desolador: Durante el 2010 el tráfico de correos electrónicos alcanzó los 107 billones de correos electrónicos, de los cuales del 89.1% fueron spam, es decir, unos 262.000 correos de spam son enviados al día, ese tráfico de emails es enviado por más de cinco millones de bots repartidos por todo el mundo de los cuales cada uno envió un promedio 77 emails de spam por minuto. ¿Cómo combatimos esto? ¿se puede estar a salvo? pues con los siguientes consejos, el nivel de spam en tu bandeja de entrada disminuirá constantemente:

  1. No le brindes tu correo electrónico a asesores comerciales de ninguna clase, nunca. Seguramente te incluirán en molestas listas de correo que no te serán de mayor utilidad. Si quieres estar al tanto de ofertas, descuentos y eventos, sigue a la marca en redes sociales por medio de listas específicas, es una forma más efectiva y menos intrusiva de estar al tanto de los últimos eventos.
  2. Abre una cuenta de correo “pal espám” (para el Spam). ¿Necesitas subscribirte a ese boletín de dudosa reputación? usa la cuenta de correo pal espám. ¿Abrir una cuenta en una red social nueva y temes que vendan tus datos? usa la cuenta de correo pal espám. Y así con todo.
  3. Si te ves absolutamente obligado a publicar tu dirección de correo electrónico real, camúflala: no pongas cazafantasmas@gmail, escribe mejor (cazafantasmas) arroba (gmail) punto com, o c-a-z-a-f-a-n.t-a-s-m-a-s(arroba) gmail punto com, de este modo un bot no logrará escanear tu correo.
  4. Nunca respondas a los mensajes no solicitados. La mayor parte de los spammers usan las respuestas para verificar qué direcciones son reales. Mientras más respondas, más spam recibirás.
  5. No intentes darte “de baja” en los enlaces que ofrecen los spammers para no recibir más correos de su parte. Esto sólo les confirmará que tu cuenta está activa e intensificarán el volúmen de correo no deseado.
  6. Asegúrate de que tu correo es filtrado por una solución anti-spam. Considere instalar una solución antispam personal. Registre sus cuentas de correo electrónico sólo con proveedores que ofrecen filtración de spam antes de entregar el correo.
  7. Nunca publiques tu cuenta de correo en sitios de fácil acceso al público (foros, redes sociales, comentarios en blogs, etc).
  8. Aléjate de las cadenas: Dentro de cada cadena de correos se almacena información de los computadores y también se crean listas con las direcciones de los correos electrónicos, listas que pueden sustraer los delincuentes para hacer de las suyas.
  9. Implementa el registro SPF: El Sender Policy Framework (SPF), es un filtro que protege el dominio de la cuenta de correo. Para poder hacerlo, analiza y revisa cada dominio registrado que se encuentra autorizado para poder enviar mensajes.
  10. Usa tu sentido común.
Anuncios

Recordando: el caso de hackeo a The Onion

The Onion es el equivalente de Agencia Pinocho a nivel mundial: una fuente de noticias ficticias exponencialmente absurdas, que en algunos casos los más ingenuos toman como verdaderas. Por eso, cuando fueron hackeados inicialmente el pasado 9 de mayo, se pensó en un primer momento que se trataba de una gran broma…pero no fue así.

TheOnionhack

En vista de hackeos tan recientes, muchos descartaron que se tratara de un hack real cuando The Onion empezó a postear imágenes como la de arriba. Sorpresivamente y en lo que parece un caso de meta-trolling, sí fue real: el Syrian Electronic Army atacó de nuevo, no contentos con haberse cargado la cuenta de la AP tan sólo unos días antes. Con casi cinco millones de seguidores en Twitter, y la posibilidad de generar una elevada viralidad mediante el uso del humor, esta cuenta se perfilaba como gran candidata a víctima del próximo hackeo de alto nivel.

¿Lo realmente curioso de la noticia? el enfoque que  The Onion decidió brindarle a la situación. Mientras la AP suspendió su cuenta, The Onion hizo públicos todos los pormenores del acceso fraudulento. En primer lugar, el método fue el mismo de la hackeada a la AP, Pishing con un correo así:

phish1

A pesar de lo mal redactado, algunos usuarios siguieron el enlace, el cual redirigia a una ventana de login en gmail en la cual un usuario efectivamente puso sus credenciales. Una vez adquiridos estos datos, utilizaron la cuenta de este usuario para reenviar el correo de pishing una vez más desde allí. Dos miembros del staff ingresaron sus contraseñas, y uno de ellos contaba con acceso a todas las cuentas de Social Media. De allí en adelante, efecto dominó.

Con dos simples correos electrónicos, los hackers lograron hacerse con una de las cuentas más populares de Twitter. Y no es por alarmar, pero podría sucederle a usted. No está de más recordar: la educación en seguridad informática es fundamental en toda organización contemporánea, o en otras palabras, hay que leer.

Kim Dotcom y su patente de la verificación en dos pasos

Kim Dotcom, el polémico millonario de Internet creador de Megaupload, está recibiendo bastante atención por estos días por cuenta de sus declaraciones acerca del sistema de seguridad de dos pasos. Kim Dotcom, ha pedido su reconocimiento como inventor de este sistema de seguridad justo después de que Twitter lo implementara. Grandes empresas como Google, Facebook o Citibank usan este sistema de verificación que consiste en el envío de un código por SMS adicional al correo standard de recuperación de contraseña.

kimdotcom2-tt-width-604-height-442-attachment_id-343522

Picarón

El gigante del emprendimiento (lol) estaría estudiando la posibilidad de demandar a GoogleFacebook y Twitter por hacer uso de esa patente registrada a su nombre, la patente se remonta al año 1997 y es un método de seguridad destinado a verificar por dos vías la identidad del usuario (una mediante su contraseña habitual y otra mediante otro sistema, como podría ser el SMS). Por ahora, Dotcom ha dicho que no piensa denunciar a las empresas que usan su sistema de doble verificación si le ayudan a financiar el proceso judicial en el que se encuentra inmerso debido a Megaupload. Espera ¿qué? esto ya pasó de hilarante a triste.

Como todos saben, Kim se encuentra en líos legales y económicos debido a su litigio con las autoridades en el caso Megaupload, pero esto ya es un síntoma de desesperación. Las cuentas y los bienes de Kim se encuentran congeladas desde el juicio, es probable, por tanto, que se trate de un intento de Dotcom de llamar la atención para conseguir simpatías y financiación para su causa.

Parecen ser tiempos oscuros para nuestro gigante héroe de Internet: esperamos que te recuperes pronto, Kimcillo:

Kim-Dotcom-imagen-buenos-tiempos_TINIMA20120523_0104_5

¿Qué implicaciones para nuestra seguridad tienen productos como Google Glass?

Productos de alta tecnología que nos alegran la vida a todos hay muchos, pero el impacto y posibles consecuencias de Google Glass no son algo que se ven todos los días. Por si no sabes qué es Google Glass, son unos lentes cuyo propósito es mostrar información sin utilizar las manos, permitiendo también el acceso a Internet mediante comandos de voz, de forma similar a Siri.

Parece divertido, pero como sabemos, todo es diversión y juegos hasta que alguien PIERDE UN OJO. O es grabado sin su consentimiento en el baño. O es hackeado y el stream de su Glass es interceptado y visto por terceros. He preparado una lista de posibles inconvenientes de privacidad con respecto a estas nuevas tecnologías:

  1. Exceso de información visual almacenada:  ¿entraste un momento al baño y por error miraste a tu coworker en el orinal junto a ti? incómodo. ¿Encontraste por error a tu jefe en un momento inapropiado con tu secretaria? ultra incómodo. ¿Viste por error a un compañero cometiendo un delito en tu universidad? 10x incómodo. Ahora aplica Glass a todas las situaciones anteriores y observa como se hacen 20 veces peores. Tu vida podrá llenarse de situaciones inapropiadas con mayor frecuencia e implicaciones más profundas.
  2. Si te hackean estás muerto: hackearon tu stream de Glass y el perpetrador pudo ver: tus datos bancarios, información confidencial en el trabajo, el momento cuando mirabas de forma inapropiada a la hermana de tu novia, las contraseñas de todos tus sitios, y aún peor, puede que capture momentos en exceso privados. Los robos y extorsiones estarán a la orden del día.
  3. Efecto Gran Hermano amplificado: a Google no le interesa proteger nuestros datos. Por el contrario, entre más pueden entrometerse en nuestros datos más cómodos se sienten. ¿Qué podrá hacer Google con toda el gigantesco flujo de big data que recibirá de Glass? da miedo pensarlo.
  4. Todo lo que veas podrá ser usado en tu contra: los gobiernos del mundo no perderán un segundo en analizar tus datos de Glass. Ya sea para monitorearte, controlarte, o inculparte.  Todo en nombre del bien común, obvio.
  5. Reconocimiento facial: Desde ya se habla de aplicaciones de reconocimiento facial para Glass, es decir, vas por la calle, alguien te ve e inmediatamente puede obtener toda la información que desee de ti con una simple búsqueda. MIEDO.

Esto es tan sólo la punta del Iceberg. Hasta ahora empezamos a entender las implicaciones de esta tecnología en nuestro mundo. Ciertamente no podremos detener el avance, el reto estará en aprender a protegernos y co-existir.

El troyano que está arrasando con Facebook

Trojan-Virus

El Microsoft Malware Protection Center ha lanzado una alerta concerniente a la seguridad de Facebook y los navegadores de Internet. Al parecer, un troyano se está apoderando de cuentas de Facebook a través de una extensión para Google Chrome y Mozilla Firefox que se puede actualizar a sí misma. El troyano fue catalogado como JS/Febipos.A  y al ser instalado como extensión intenta actualizarse mediante los siguientes URLs:

Chrome:

du-pont.info/updates/<removido>/BL-chromebrasil.crx

Mozilla Firefox:

du-pont.info/updates/<removido>/BL-mozillabrasil.xpi

Una vez instalado, monitorea las cuentas de Facebook activas y ejecuta una serie de comandos que le otorgan privilegios para realizar las siguientes acciones:

  • Darle like a una página
  • Share
  • Postear
  • Unirse a un grupo.
  • Invitar amigos a un grupo.
  • Chatear
  • Comentar.

A través de estas acciones se propaga aún más, con actualizaciones e interacciones como las siguientes:

  • GAROTA DE 15 ANOS VÍTIMA DE BULLYING COMETE SUICÍDIO APÓS MOSTRAR OS SEIOS NO FACEBOOK

Vìdeo no link abaixo:<Currently unavailable link>

El origen del ataque es Brasil y por ello está escrito en Portugués. La traducción es:

  • CHICA DE 15 AÑOS VÍCTIMA DE BULLYING COMETE SUICIDIO DESPUÉS DE MOSTRAR SUS SENOS EN FACEBOOK.

Video EN ESTE LINK : <Currently unavailable link>

Por ahora, la recomendación es no descargar aplicaciones o extensiones de dudosa procedencia, y en caso de sospecha eliminar las extensiones “raras” de nuestros navegadores.

Herramientas para detectar usuarios fake: ¿cuál es la mejor opción?

Fakers de Status People

Fakers-Status-People1

Fakers, es un programa que nos permite saber, a modo de porcentajes basados en estimaciones de un algoritmo, cuántos de nuestros seguidores en Twitter son falsos.

Lo que hace Fakers es rastrear dichas cuentas engañosas teniendo en cuenta lo que cualquiera con sentido común haría manualmente: identificar a las cuentas en las que por ejemplo no hay ningún tweet, o por la clase de mensajes que allí se encuentran fuera de la temática que puede verse en su descripción. Esta aplicación ha encontrado varios detractores debido al límite operativo de su algoritmo, estos detractores están en lo correcto, sin embargo como método de diagnostico preliminar es bastante útil, siempre y cuando todo un informe no se base en esta herramienta exclusivamente.

Twitter Audit

TwitterAudit (1)

Twitter Audit Analiza cualquier cuenta en sólo tres minutos, con resultados similares a Fakers de Status People. Para ello, toma como referencia 5.000 seguidores del usuario y le asigna una puntuación según el número de tuits, la fecha del último tuit y la proporción de seguidores/seguidos.

A continuación, asigna un porcentaje de “veracidad” de los seguidores de dicha cuenta (AuditScore).

FollowerWonk

FireShot-Screen-Capture-033-Comparison-of-users-denverveganvan-quieroarepas-NoochVegan-follow-on-Twitter-Followerwonk-followerwonk_com_compare_denverveganvan_quieroarepas_NoochVegan

Sin duda alguna una de las herramientas más completas para detectar Fakes. Calcula todo tipo de datos de una cuenta y los pone a nuestra disposición: edad de sus followers, sexo, seguidores de sus seguidores, palabras claves en sus biografías, publico objetivo, geolocalización y más, mucho más.

Esta herramienta no arroja un resultado automático, es la persona que redacta el informe la encargada de determinar si una cuenta tiene followers falsos o no a través de la interpretación de este grupo de datos.

Existen docenas de herramientas que intentan medir los seguidores falsos de una cuenta, unas lo hacen con mayor éxito que otras. En la práctica, no existe una herramienta infalible, todas conllevan sesgos inherentes a su funcionamiento. Por ello la mejor solución, es usar 2 o 3 de estas herramientas en conjunto para determinar un resultado balanceado y lo más cercano a la realidad posible.

El hackeo a la AP: pishing y malas prácticas

Hace poco les contábamos acerca del hack que sufrió la cuenta oficial de la AP. Más allá de sus efectos y connotaciones sociales y políticas, quedamos pendientes en explicar cómo fue la hackeada en sí.

Este ataque puso en entredicho una vez más la ya dudosa reputación de Twitter en materia de seguridad. Los constantes ataques exitosos a cuentas de alto perfil no se detienen, y de hecho parecen más frecuentes últimamente, sin que Twitter haga algo al respecto, o eso parece. Sin embargo, en este caso en específico, puede que la culpa recaiga sobre un empleado de la AP, ya que el ataque se hizo a través de la modalidad de pishing.

El Phishing es un delito que se comete mediante el uso de ingeniería social. El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. De este modo genera confianza en la víctima y facilita el acceso a su cuenta, en este caso la de Twitter:

TwitterPhishing21

Ejemplo clásico de pishing. Especial atención al URL fraudulento.

A partir de este punto, la víctima ingresa sus credenciales, las cuales son recibidas por el pisher. Para una compañía de la magnitud de Twitter, controlar esta clase de situaciones está más allá de su alcance, y en un mundo ideal en lugar de culpar a Twitter se culparía la *cof cof* ineptitud *cof cof* del personaje que hizo click en el enlace y además se loggeó en esta página falsa, y también a la organización que proclamó la autoría de este crimen, el SEA (siglas del Syrian Electronic Army) quienes se encuentran detrás de  otras falsas noticias como la dudosa sexualidad de la sensación pop del momento.

¿Qué puede hacer Twitter entonces? actualmente basan su verificación de cuentas en el protocolo OAuth para móviles y web, además de un cifrado SSL standard, protocolos perfectamente funcionales y seguros siempre y cuando tus usuarios no sean completamente incompetentes. La idea es implementar un sistema de confirmación de 2 pasos.

Google y Microsoft ya han implementado este sistema, que envía un mensaje de texto al teléfono móvil de los usuarios con una clave que permite confirmar su conexión en caso de que accedan a sus cuentas desde equipos o direcciones IP desconocidas. Facebook también cuenta con un servicio similar, pero que funciona solamente por medio de un mail que es enviado a los usuarios.

Sin embargo, todo esto seguirá siendo inútil si los usuarios no se educan en buenas prácticas de seguridad. Usar el sentido común (tristemente escaso) es el primer y mejor protocolo de seguridad.