Autor: miguel

miguel https://blog.miguelandrescaballero.es

Puedes crear una interfaz gráfica sin una línea de código

Seguro que siempre has querido crear tu propia web o app, pero estás empezando a programar y crees que es una tarea muy compleja. Hoy os voy a demostrar una forma muy sencilla para hacerlo.

Primero tienes que ir a Figma. Se trata de una herramienta de diseño basada en la nube que permite a los usuarios crear interfaces de usuario, diseñar prototipos interactivos y colaborar en tiempo real.

Desde ahí podrás arrastrar y soltar elementos. Los vas colocando como quieras y creas la interfaz. Además puedes editar el nombre de los elementos para que después sea más sencillo su uso.

Después te descargas esta librería de Python: tkdesigner 1.0.7. Vas al terminal y escribes pip install tkdesigner.

Una vez lo tenemos instalado debemos volver a Figma y obtener un token personal. Puedes obtenerlo yendo a «ajustes de la cuenta > personal access tokens», creas uno y copias el código para utilizarlo después.

También en Figma, vas al proyecto que has hecho, le das a compartir (share) y copias el link que te da la aplicación.

Ahora en el terminal escribes tkdesigner [enlace-copiado] [token-copiado]. Pulsas «enter» y empezará a generar el código. Después podrás verlo en ejecución con el siguiente comando python .\build\guy.py.

A partir de aquí ya puedes programar las acciones y demás tareas que quieras realizar.

Doxxing: Una Actividad de la que Debes Tener Cuidado

Hoy vamos a introducir un nuevo término sobre ciberseguridad que posiblemente muchos nunca hayáis escuchado. Se trata del doxxing y es un fenómeno creciente en el mundo digital.

A medida que las plataformas en línea se vuelven más interconectadas y las personas comparten más detalles sobre sus vidas, es crucial entender los peligros que nos depara la red, saber cómo protegernos y qué medidas tomar si nos convertimos víctima de algún ciberdelincuente. En este post, exploraremos en profundidad qué es el doxxing, sus implicaciones legales y cómo mantenerse seguro en el entorno digital.

En qué consiste

El doxxing es una práctica maliciosa en la que un individuo busca y divulga información privada y personal sobre otra persona sin su consentimiento. Esta información puede incluir detalles como nombres, direcciones, números de teléfono, emails, datos bancarios, ubicaciones recurrentes (lugar de trabajo, lugares frecuentes de ocio, etc.), entre otros.

Objetivos

Los atacantes suelen utilizar el doxxing con diversos objetivos, pero los más destacados son:

  • Acoso e intimidación: Uno de los objetivos principales es intimidar o acosar a la víctima. Al revelar información personal, como direcciones, números de teléfono o datos familiares, el agresor busca crear miedo y vulnerabilidad en la persona afectada.
  • Amenazas y extorsión: Algunos utilizan la información privada para extorsionar a sus víctimas, demandando dinero u otros favores a cambio de no divulgar más datos sensibles.
  • Venganza: A menudo se utiliza como una forma de represalia personal o profesional. Personas que han tenido desacuerdos o conflictos pueden recurrir a esta práctica para «castigar» a su oponente, exponiendo su información privada.
  • Suplantación de identidad.
  • Daño reputacional: Al publicar información comprometedora o privada, el perpetrador intenta desacreditar a la persona en su comunidad, lugar de trabajo o en redes sociales.
  • Ciberbullying: En el contexto del ciberacoso, el doxxing puede ser una herramienta para continuar y escalar el acoso, afectando tanto a jóvenes como a adultos en distintos entornos. Pueden ver más información sobre esto en otra de nuestras publicaciones: «¡Ciberacoso: Qué es y Cómo Protegerte y Protegerte a tí y a los Demás!«.

¿De dónde obtienen los datos?

Los atacantes pueden recopilar información a través de diversas fuentes:

  • Perfiles de redes sociales.
  • Registros públicos en línea.
  • Bases de datos filtradas.
  • Conversaciones en foros públicos.
  • Mails filtrados.
  • Engañando a la víctima para obtener información comprometedora, como imágenes.
  • Un ataque de phishing o ingeniería social.
  • Utilizar software maligno para acceder a los recursos informáticos de la víctima.
  • (Entre otras)

¿Dónde publican los atacantes la información?

La información de la víctima se puede publicar en redes sociales como Twitter, Facebook, Instagram y TikTok. También en foros, en comentarios de artículos y en otros sitios web.

Consecuencias

Es importante destacar que el doxxing no es una práctica sin leyes específicas, la forma de obtener los datos y la forma en la que se lleva a cabo pueden tener graves consecuencias legales para quienes la llevan a cabo. Entre los delitos se pueden encontrar cargos por acoso, violación de la privacidad, robo de identidad y otras infracciones relacionadas.

Medidas preventivas o de protección

  • Establece buenas medidas de ciberseguridad. El software antivirus y de detección de malware puede impedir que los atacantes roben información a través de aplicaciones maliciosas. Protege tu PC, tablet y smartphone con un antivirus. Mantén actualizado el sistema operativo de tus dispositivos.
  • No brindes contraseñas por correo electrónico, por WhatsApp u otros medios. Asegúrate que las personas que se ponen en contacto contigo son de confianza antes de ofrecerles cierta información sensible.
  • Protege tu dirección IP con una VPN o un proxy. Aquí tienes más información «¿Qué Son las VPN y Por Qué Necesitas una para Navegar Seguro?«.
  • Utiliza siempre contraseñas seguras. Cámbialas periódicamente y utiliza otras medidas de protección como 2FA.
  • Sé cuidadoso con los permisos que tienen tus aplicaciones.
  • Utiliza nombres de usuario diferentes en cada plataforma. De esta forma dificultarás el rastreo de tu identidad en la red.
  • Configura alertas en Google de manera que, si en algún sitio aparece tu nombre o algún dato personal (como un móvil), el buscador te avise y puedas eliminarlo hablando con el responsable de los datos.
  • Configura la privacidad de tus cuentas de redes sociales de pública a privada. Sé responsable al publicar una imagen o video. Debes tener en cuenta que puede ser vista por miles de personas que pueden utilizar tus datos con fines delictivos.

En conclusión, el doxxing es una práctica peligrosa y perjudicial que puede tener serias repercusiones para las víctimas. En un mundo cada vez más interconectado, donde la información personal está a menudo al alcance de un clic, es crucial ser consciente de los riesgos asociados con compartir datos privados en línea y tomar medidas para protegerse.

Las víctimas de doxxing pueden experimentar un gran estrés emocional y físico, y las consecuencias pueden extenderse más allá del ámbito digital, afectando su vida cotidiana y su bienestar general. Es fundamental que tanto los individuos como las organizaciones trabajen para crear un entorno en línea más seguro, promoviendo la conciencia sobre la privacidad digital y la importancia de manejar la información personal con cuidado.

Además, es esencial que las leyes y regulaciones evolucionen para abordar adecuadamente los problemas relacionados con todo tipo de ataques como el doxxing, proporcionando protección y recursos para las víctimas. Al educarnos sobre los peligros de internet y alentar prácticas seguras en línea, podemos contribuir a minimizar este fenómeno y crear una comunidad digital más segura y respetuosa.

¿Cómo funcionan los permisos en Linux?

En Linux, cuando se crea un archivo o directorio, se le asignan automáticamente ciertos permisos. Estos permisos se dividen en tres grupos: el usuario que creó el archivo (propietario), el grupo propietario del archivo (que puede incluir varios usuarios), y otros usuarios que no pertenecen al grupo propietario.

Los permisos se clasifican en lectura (r, read), escritura (w, write) y ejecución (x, execute). El permiso de lectura (r) permite ver el contenido de un archivo o directorio, mientras que el permiso de escritura (w) permite modificar el contenido de un archivo o directorio. El permiso de ejecución (x) convierte un archivo en ejecutable o, en el caso de directorios, permite acceder a ellos y usar comandos como cd.

Entonces, ¿cómo podemos verificar qué permisos están activos en un archivo? Realmente es algo tan sencillo como movernos con el comando cd al directorio que queramos y hacer un ls -l. Además podemos utilizar los comandos «chmod» y «chown» para cambiar los permisos y los dueños de los ficheros.

Por aquí os dejo un ejemplo de las combinaciones de permisos que se pueden tener:

El fallo de Windows. CrowdStrike ha hablado.

Ya ha pasado casi un mes de uno de los sucesos que ha sido, sin duda, uno de los problemas cibernéticos más importantes del año y posiblemente de la década. Esta definición no la doy solo yo, si no que la dan altos cargos de otras empresas como Omer Grossman (CIO de CyberArk).

La actualización defectuosa hizo que más de 8.5 millones de ordenadores con Windows como sistema operativo estuvieran inservibles y el daño a los procesos empresariales a nivel mundial fue dramático. Este fallo afectó tanto a pequeñas empresas como a infraestructuras críticas, como hospitales.

Desde CrowdStrike explicaron unos días despues lo sucedido y cual fue la causa del error y de no saltar las alarmas de los diversos controles realizados antes de su puesta en producción.

Primero comenzar explicando que hay dos punto clave en este problema:

  1. «Sensor content»
  2. «Rapid response content»

Sensor content

Fue el principal acusado en el momento de máxima tensión. Es muy común que se actualiza y para desplegar debe pasar diversos test (Unitarios, de integración, de estrés y de desempeño). Contiene diversos modelos de machine learning, IA, etc para detectar amenazas de una forma más efizaz.

Los clientes pueden elegir que versión tener. Es decir, pueden escoger actualizar siempre a la última versión (N) o pueden escoger alguna versión previa (N-1, N-2….), que debería estar más testada y, por tanto, ser más estable.

Desde CrowdStrike nos aclararon que este no fue el culpable del incidente. El despliegue fue correcto, paso un exhausitvo QA y todos los test. Es decir, no dio ningún problema.

Rapid response content

Es el encargado de analizar patrones de comportamiento. Busca similitudes con virus conocidos para detectar cuando algún virus muta o se camufla de cierta forma.

El «código» (que realmente no es código como tal), está en un archivo binario propietario. Es decir, es un archivo binario cuyo «código» es privado.

Básicamente funciona con heurísticas de comportamiento, es decir, intenta detectar amenazas basándose en como se comportan los programas y no en lo que son. Para que lo veamos con un ejemplo, se podría decir que se trata de un policía que en lugar de fijarse en tu nombre y antecedentes, analiza si estás teniendo un comportamiento extraño.

Esto se entrega como «Template instance», o lo que es lo mismo, modelos de comportamiento.

Dentro de cada actualización del sensor «Falcon», está dentro este «Rapid Response Content»

Falcon

Tiene tres subsistemas:

  • «Content Configuration System»
  • «Content Interpreter»
  • «Sensor Detection Engine»

Content Configuration System

Nos vamos a centrar en este, que es el que nos importa para este caso.

Antes de cada despliegue, una tarea a realizar es pasar un «Content Validator» que se encarga de comprobar que los «Template Instances» sean los correctos.

¿Qué ocurrió?

El día 28 de marzo se despliega el sensor 7.11. Añade un nuevo «IPC Template Type», que detecta novedosas vías de ataque. Ataques que atacaban a las «Named Pipes» por si te interesa informarte más en profundidad.

El 5 de marzo, se realiza un test de estrés del «IPC Template Type», que resulta exitoso. Se lanza el archivo «Channel File 291», siguiendo todos los tests exitosamente.

Otras tres «IPC Template Instances» se despliegan correctamente entre el 8 y el 24 de abril.

El 19 de julio, se despliegan 2 nuevas «IPC Template Instances». Y es en estas donde empiezan los problemas. El «Content Validator» tiene un bug que hace que no se detecten unos datos inválidos (a pesar de que el 5 de marzo se habían superado todos los test pertinentes). Como no detecta ningún error, se despliega en producción.

El sensor «Falcon» que tienen todos los ordenadores, recibe los datos y los carga en el «Content Interpreter». El «Channel File 291» produce un out-of-bounds memory exception porque también existía un bug de manejo de excepciones.

Y……

Medio mundo parado por una excepción mal manejada que salta de un fichero mínimamente incorrecto que no se detecta por un bug en un «Content Validator» que ha pasado unos tests que justamente no comprobaban lo que falló.

Tienes la explicación completa aquí: https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

¡Ciberacoso: Qué es y Cómo Protegerte y Protegerte a tí y a los Demás!

¿Sabías que el 37% de los jóvenes ha experimentado ciberacoso en algún momento? En la era digital, el acoso ha encontrado nuevas formas de afectar nuestras vidas. Pero ¡no te preocupes! Aquí te dejo una guía rápida para entender y combatir el ciberacoso.

¿Qué es el ciberacoso?

El ciberacoso es cualquier forma de acoso o bullying que ocurre a través de dispositivos digitales como teléfonos móviles, computadoras y tabletas. Esto puede incluir mensajes dañinos, rumores en redes sociales, y compartir imágenes o videos sin consentimiento. Es un problema serio que afecta a personas de todas las edades, pero con el que se debe tener especial precaución en niños y adolescentes.

Cuando el acoso ocurre en línea, la víctima puede sentirse atacada en todas partes, incluso en su propio hogar. Puede parecer que no hay escapatoria. Las consecuencias pueden ser duraderas y afectar a la víctima de diversas maneras:

  • Mentalmente: La víctima puede sentirse preocupada, avergonzada, estúpida e incluso asustada o enfadada.
  • Emocionalmente: Puede experimentar vergüenza y perder interés en actividades que antes disfrutaba.
  • Físicamente: La víctima puede sentirse fatigada debido a la pérdida de sueño y sufrir dolores de estómago y de cabeza.

El ciberacoso puede afectarnos de muchas formas. Sin embargo, es posible superarlo y recuperar la confianza en nosotros mismos y la salud.

Cómo Protegerte y Proteger a los Demás

Si piensas que te están acosando, lo primero que debes hacer es buscar ayuda de alguien en quien confíes, por ejemplo tu padre o tu madre, un familiar cercano u otro adulto de confianza. En la escuela puedes hablar con un consejero, el entrenador deportivo o tu maestro(a) favorito(a), ya sea online o en persona. Y si no te sientes cómodo(a) hablando con alguien que conoces, comunícate con una línea telefónica de ayuda en tu país para que puedas hablar con un consejero profesional.

Estas serían las medidas a tomar más importantes:

  • Configura tu privacidad: Asegúrate de que tus perfiles en redes sociales tengan configuraciones de privacidad estrictas. Solo permite que personas de confianza vean tus publicaciones.
  • No respondas: Si eres víctima de ciberacoso, evita responder a los mensajes ofensivos. Responder puede empeorar la situación.
  • Guarda evidencia: Mantén registros de cualquier incidente de ciberacoso. Capturas de pantalla y mensajes guardados pueden ser útiles si decides denunciar.
  • Bloquea y reporta: Usa las funciones de bloqueo y reporte que ofrecen la mayoría de las plataformas sociales. Esto puede detener al acosador y alertar a los administradores del sitio. Las empresas de redes sociales tienen la obligación de velar por la seguridad de sus usuarios.
  • Habla con alguien de confianza: No enfrentes el ciberacoso solo. Habla con amigos, familiares o un profesional de la salud mental.
  • Educa a los demás: Si ves a alguien que lo está cometiendo explícale que no es un comportamiento correcto e intenta apoyar y ayudar a la víctima. Informa a tus amigos y familiares sobre los riesgos del ciberacoso y cómo protegerse. ¡La educación es nuestra mejor defensa!

El ciberacoso no es un juego, y todos tenemos un papel en la lucha contra él. Comparte esta publicación para ayudar a difundir la conciencia y proteger a nuestra comunidad en línea. ¡Juntos podemos hacer la diferencia!

Codificación, cifrado y tokenización.

La codificación, el cifrado y la tokenización son tres procesos distintos que manejan los datos de diferentes maneras con diversos fines, como la transmisión de datos, la seguridad y el cumplimiento de las normativas. En los diseños de sistemas, tenemos que seleccionar el enfoque correcto para el manejo de información sensible.

Codificación

La codificación convierte los datos a un formato diferente utilizando un esquema que se puede invertir fácilmente. Algunos ejemplos son la codificación Base64, que codifica datos binarios en caracteres ASCII, lo que facilita la transmisión de datos a través de medios diseñados para tratar datos textuales. La codificación no sirve para proteger los datos. Los datos codificados pueden descodificarse fácilmente utilizando el mismo esquema sin necesidad de una clave.

Cifrado

El cifrado implica algoritmos complejos que utilizan claves para transformar los datos. El cifrado puede ser simétrico (utilizando la misma clave para cifrar y descifrar) o asimétrico (utilizando una clave pública para cifrar y una clave privada para descifrar).

El cifrado está diseñado para proteger la confidencialidad de los datos transformando los datos legibles (texto plano) en un formato ilegible (texto cifrado) mediante un algoritmo y una clave secreta. Sólo quien tenga la clave correcta puede descifrar y acceder a los datos originales.

Tokenización

La tokenización es el proceso de sustituir datos sensibles por marcadores de posición no sensibles llamados tokens. La correspondencia entre los datos originales y el token se almacena de forma segura en una bóveda de tokens. Estos tokens pueden utilizarse en varios sistemas y procesos sin exponer los datos originales, lo que reduce el riesgo de filtración de datos.

La tokenización se utiliza a menudo para proteger la información de tarjetas de crédito, números de identificación personal y otros datos sensibles. La tokenización es altamente segura, ya que los tokens no contienen ninguna parte de los datos originales y, por lo tanto, no pueden ser objeto de ingeniería inversa para revelar los datos originales. Es especialmente útil para cumplir normativas como PCI DSS.

¿Qué Son las VPN y Por Qué Necesitas una para Navegar Seguro?

¿Alguna vez te has preguntado si hay una forma mágica de hacer que tu vida en línea sea más segura y privada? ¡Pues la hay! La respuesta es una VPN, y en este post, te vamos a enseñar todo lo que necesitas saber sobre estas maravillas tecnológicas. Así que, siéntate, relájate y prepárate para descubrir cómo una VPN puede convertirse en tu mejor aliada digital.

Comencemos explicando lo que es una VPN. VPN son las siglas de «Virtual Private Network» o Red Privada Virtual en español. Básicamente, una VPN es un servicio que crea una conexión segura y encriptada entre tu dispositivo (puede ser un ordenador, móvil o tablet) y un servidor remoto que gestiona la VPN. Esto hace que todos los datos que se envían y reciben a través de tu dispositivo sean encriptados y, por tanto, mucho más difíciles de interceptar por terceros. De esta forma al acceder a cualquier sitio web, tu dispositivo primero se conecta a el servidor VPN y después es este el que accede al sitio indicado. Como el servidor VPN está en una red confiable y la conexión entre él y tu dispositivo está cifrada, la conexión es más segura.

¿Cómo Funciona una VPN?

Cuando te conectas a internet sin una VPN, tu conexión es directa: tu dispositivo se comunica con los sitios web o servicios que visitas, y esos sitios pueden ver tu dirección IP y potencialmente otros datos personales. Con una VPN, tu conexión pasa primero por un servidor seguro antes de llegar al destino final. Esto tiene varios efectos importantes:

  • Encriptación: Los datos se cifran, lo que significa que incluso si alguien logra interceptar tu conexión entre tu dispositivo y la VPN, no podrá leer la información transmitida.
  • Privacidad: Tu dirección IP real se oculta. En lugar de mostrar tu ubicación real, el sitio web que visitas verá la dirección IP del servidor VPN, protegiendo así tu identidad y ubicación.
  • Acceso a Contenidos Restringidos: Puedes acceder a contenido que puede estar bloqueado en tu región geográfica, como ciertos servicios de streaming o sitios web censurados. Si el servidor VPN está en una región que tiene acceso a ciertas web a las que tu no tienes acceso, podrás acceder a ellas sin problema.

¿Por Qué Necesitas una VPN?

Existen varias razones clave por las cuales deberías considerar usar una VPN:

  • Protección en Redes Públicas: Cuando te conectas a una red Wi-Fi pública, como en cafeterías, aeropuertos, hoteles,etc., tu conexión es vulnerable a ataques de ciberdelincuentes. Una VPN asegura tu conexión, protegiendo tus datos personales y financieros dentro de esa red pública, ya que viajan cifrados.
  • Evitar la Censura y la Vigilancia: En algunos países, el acceso a internet está estrictamente controlado y ciertos sitios web están bloqueados. Una VPN te permite eludir estas restricciones y acceder a internet libremente.
  • Seguridad en el Trabajo Remoto: Si trabajas desde casa o viajas frecuentemente por trabajo, una VPN puede proteger tus comunicaciones y garantizar que los datos sensibles de la empresa permanezcan seguros.
  • Ahorro de Dinero: En algunos casos, los precios de los vuelos, hoteles y otros servicios varían según tu ubicación. Usar una VPN puede ayudarte a obtener mejores ofertas al cambiar virtualmente tu ubicación.
  • Privacidad: Los proveedores de servicios de internet (ISP) pueden rastrear tu actividad en línea y vender esa información a anunciantes. Con una VPN, tu actividad se vuelve anónima y no pueden rastrear lo que haces en línea.

Sobre el último punto de «Privacidad» es importante indicar que esa privacidad que consigues con respecto a los proveedores de internet, la pierdes con respecto a los gestores de la VPN. Es decir, al encriptar los datos entre tu dispositivo y el servidor VPN cualquier persona o servicio que esté entre medias esa conexión, no podrá ver lo que haces ni a que te estas conectando. Pero ese cifrado existe entre tú y la VPN, por lo que el servidor de la VPN descifra esa conexión antes de llamar al servicio que sea preciso. Es por esto que es importante elegir bien el servidor de VPN al que nos conectamos y qué hacen con nuestros datos. En mi opinión, la mejor VPN es la que configuras tú mismo, aunque no siempre es posible.

Consideraciones al Elegir una VPN

No todas las VPN son iguales, y es importante elegir una que se adapte a tus necesidades y cuyas condiciones de uso nos aseguren, entre otras cosas la privacidad de nuestros datos. Aquí hay algunos factores a considerar:

  • Política de No Registros: Asegúrate de que el proveedor no guarde registros de tu actividad en línea.
  • Velocidad de Conexión: Algunas VPN pueden ralentizar tu conexión a internet. Opta por un servicio conocido por sus altas velocidades.
  • Compatibilidad: Verifica que la VPN sea compatible con todos tus dispositivos.
  • Seguridad y Encriptación: Asegúrate de que utilice protocolos de seguridad avanzados.
  • Ubicación de los Servidores: Cuantos más servidores tenga en diferentes países, mejor será tu acceso a contenido global.

En resumen, una VPN es una herramienta esencial para proteger tu privacidad y seguridad en línea. Ya sea que estés navegando por la web en casa, usando una red Wi-Fi pública o accediendo a contenido desde el extranjero, una VPN puede brindarte la tranquilidad de saber que tus datos están seguros y que tu actividad en línea es privada. No obstante, como en casi todas las medidas de seguridad, una VPN no garantiza la seguridad total en la red y deberemos escoger la VPN con precaución e implementar más medidas aparte de esta.

¿Ya estás usando una VPN? ¿Cuál ha sido tu experiencia?

Un ciberataque ha dejado al descubierto los datos personales de aproximadamente 50000 personas.

Un ciberataque ha expuesto los datos personales de aproximadamente 50,000 profesionales de la sanidad en Granada. Este incidente comprometió información sensible de empleados de hospitales y centros de salud, poniendo en riesgo su privacidad y seguridad. Los datos afectados incluyen nombres, direcciones, números de identificación y posiblemente información financiera, lo que aumenta el riesgo de robo de identidad y otros tipos de fraude.

El ataque destaca la creciente amenaza de ciberataques en el sector de la salud, un área especialmente vulnerable debido a la gran cantidad de datos personales que maneja y su importancia crítica. Las autoridades han iniciado una investigación para identificar a los responsables y evaluar el alcance completo del daño. También se están tomando medidas para reforzar la ciberseguridad en los sistemas afectados, incluyendo auditorías de seguridad y la implementación de nuevas tecnologías de protección de datos.

Este incidente subraya la urgencia de mejorar las defensas cibernéticas en las instituciones de salud, no solo para proteger la información personal de los empleados, sino también para asegurar la continuidad de los servicios médicos esenciales. La comunidad médica y los expertos en ciberseguridad están colaborando para desarrollar estrategias más robustas y proactivas contra futuros ataques, enfatizando la necesidad de capacitación continua y la adopción de mejores prácticas en seguridad informática.

En resumen, el ciberataque en Granada pone de manifiesto la importancia de la ciberseguridad en el sector sanitario y la necesidad de una respuesta coordinada y eficaz para proteger los datos personales de los profesionales de la salud y garantizar la seguridad y privacidad en el manejo de información sensible.

Filtradas las direcciones de correo de 15 millones de usuarios de Trello

Trello es una herramienta de gestión de proyectos en línea propiedad de Atlassian. Las empresas suelen utilizarla para organizar datos y tareas en tableros, tarjetas y listas.

Un usuario ha publicado más de 15 millones de direcciones de correo electrónico asociadas a cuentas de Trello que se recopilaron mediante una API no segura en enero. En enero, BleepingComputer informó que un atacante conocido como ‘emo‘ estaba vendiendo perfiles de 15.115.516 miembros de Trello en un popular foro de piratería. Si bien casi todos los datos de estos perfiles son información pública, cada perfil también contenía una dirección de correo electrónico no pública asociada a la cuenta.

Atlassian, el propietario de Trello, no confirmó en ese momento cómo se robaron los datos, pero el proopio ‘emo‘ le dijo a BleepingComputer que se recopilaron utilizando una API REST no segura que permitía a los desarrolladores consultar información pública sobre un perfil basado en el ID de Trello, el nombre de usuario o la dirección de correo electrónico de los usuarios.

‘emo’ creó una lista de 500 millones de direcciones de correo electrónico y la introdujo en la API para determinar si estaban vinculadas a una cuenta de Trello. Luego, la lista se combinó con la información de la cuenta obtenida para crear perfiles de miembros para más de 15 millones de usuarios. Finalmente, emo compartió la lista completa de 15.115.516 perfiles en el foro de piratería Breached por ocho créditos del sitio (por un valor de $2,32).

«Trello tenía un punto final de API abierto que permitía a cualquier usuario no autenticado asignar una dirección de correo electrónico a una cuenta de Trello», explicó emo en la publicación del foro. Continuaba diciendo que «originalmente, solo iba a alimentar los correos electrónicos de los puntos finales desde bases de datos ‘com’ (OGU, RF, Breached, etc.), pero decidí seguir con los correos electrónicos hasta aburrirme».

Esta información (Correo y nombre completo de los usuarios) se puede utilizar en ataques de phishing dirigidos para robar información más confidencial, como contraseñas. ‘emo’ también dice que los datos se pueden usar para doxing, lo que permite a los atacantes vincular direcciones de correo electrónico a personas y sus alias.

Desde Atlassian indicaron que se había corregido el problema: «Gracias a la API REST de Trello, los usuarios pueden invitar a miembros o invitados a sus tableros públicos por correo electrónico. Sin embargo, dado el uso indebido de la API descubierto en esta investigación de enero de 2024, realizamos un cambio para que los usuarios o servicios no autenticados no puedan solicitar información pública de otro usuario por correo electrónico. Los usuarios autenticados aún pueden solicitar información que está disponible públicamente en el perfil de otro usuario mediante esta API. Este cambio logra un equilibrio entre evitar el uso indebido de la API y mantener la función «invitar a un tablero público por correo electrónico» en funcionamiento para nuestros usuarios. Continuaremos monitoreando el uso de la API y tomaremos las medidas necesarias».

Las API no seguras se han convertido en un objetivo popular para los atacantes, que abusan de ellas para combinar información no pública, como direcciones de correo electrónico y números de teléfono, con perfiles públicos.

En 2021, se aprovecharon de una API para vincular números de teléfono a cuentas de Facebook , creando perfiles para 533 millones de usuarios.

En 2022, Twitter sufrió una vulneración similar cuando atacantes utilizaron de una API no segura para vincular números de teléfono y direcciones de correo electrónico a millones de usuarios.

Más recientemente, se utilizó una API de Twilio no segura para confirmar los números de teléfono de 33 millones de usuarios de la aplicación de autenticación multifactor Authy.

¿Quieres ser programador y no sabes por dónde empezar?

¿Quieres ser programador y no sabes por dónde empezar? Hoy os traigo una guía donde podrás escoger el leguaje que quieres aprender o la categoría.

La web se llama roadmap.sh, puedes entrar aquí: https://roadmap.sh/. Esta plataforma proporciona rutas de aprendizaje detalladas y visuales, diseñadas para ayudarte a aprender de manera estructurada y eficiente.

Cada ruta está cuidadosamente organizada para proporcionar un enfoque paso a paso, asegurando que los estudiantes adquieran las habilidades necesarias en el orden más lógico y efectivo.

Además de ser una guía gratuita sobre los pasos a dar en el proceso de aprendizaje, tendrás guías para tópicos de la programación y vídeos explicatorios.