Formación

¡No Caigas en la Trampa! Todo lo que Necesitas Saber sobre el Phishing y Cómo Protegerte

¡Hola a todos! Hoy quiero hablaros sobre un tema muy importante en el ámbito de la ciberseguridad: el phishing. Este término, aunque suena como «fishing» en inglés, no tiene nada que ver con la pesca, aunque la analogía de «pescar» usuarios desprevenidos es bastante acertada.

¿Qué es el Phishing?

El phishing es una técnica utilizada por ciberdelincuentes para engañar a las personas y obtener información confidencial, como contraseñas, números de tarjetas de crédito o datos personales. Los atacantes se hacen pasar por entidades confiables, como bancos, empresas de servicios o incluso amigos y familiares, para lograr que las víctimas les proporcionen esta información voluntariamente.

¿Cómo reconocer el phishing?

  • Email sospechosos: ten precaución con correos electrónicos inesperados o mensajes que solicitan información confidencial. Verifica siempre la autenticidad del remitente antes de responder o hacer clic en enlaces.
  • Enlaces sospechosos: evita hacer clic en enlaces incrustados en correos electrónicos no solicitados. Antes de hacer clic, pasa el cursor sobre el enlace para ver la dirección web real.
  • Errores de ortografía y gramática: los correos electrónicos de phishing a menudo contienen errores gramaticales o de ortografía. Muéstrate escéptico ante mensajes que parezcan poco profesionales.

¿Cómo Funciona el Phishing?

  • Correo Electrónico Fraudulento: Uno de los métodos más comunes es el envío de correos electrónicos que parecen proceder de una fuente legítima. Estos correos suelen contener enlaces a sitios web falsos.
  • Sitios Web Falsos: Los enlaces en los correos fraudulentos redirigen a sitios web que se ven casi idénticos a los sitios web oficiales de las organizaciones que los atacantes están imitando.
  • Mensajes de Texto y Llamadas Telefónicas: Además del correo electrónico, los atacantes también utilizan mensajes de texto (SMS) y llamadas telefónicas para intentar engañar a las víctimas.
  • Redes Sociales y Mensajería Instantánea: También pueden usar plataformas de redes sociales y aplicaciones de mensajería instantánea para enviar mensajes engañosos.

Ejemplos Comunes de Phishing

  • Correos Electrónicos de Bancos: Un correo que parece ser de tu banco pidiendo que verifiques tu cuenta o actualices tu contraseña.
  • Notificaciones de Pago: Un mensaje diciendo que hay un problema con un pago que realizaste y que debes ingresar a un enlace para corregirlo.
  • Ofertas y Promociones Falsas: Promociones demasiado buenas para ser verdad, como ganar un iPhone gratis si haces clic en un enlace y proporcionas tu información.

¿Cómo protegerse del phishing?

  • Verificación del remitente: antes de responder a un correo electrónico, comprueba la dirección del remitente para asegurarte de que sea legítima.
  • No compartas información confidencial: nunca proporciones información confidencial, como contraseñas o números de tarjetas de crédito, a través de correos electrónicos no solicitados.
  • Actualiza contraseñas regularmente: cambia tus contraseñas con regularidad y utiliza combinaciones fuertes de letras, números y caracteres especiales.
  • Uso de Autenticación de Dos Factores (2FA): Activar 2FA en tus cuentas añade una capa extra de seguridad.
  • Educación y Conciencia: Mantente informado sobre las últimas tácticas de phishing y comparte esta información con amigos y familiares.
  • Software de Seguridad: Utiliza programas de seguridad y antiphishing que te ayuden a identificar y bloquear intentos de phishing.
  • (Si te llega al correo de la empresa) Informa a IT: si sospechas que has recibido un correo electrónico de phishing, repórtalo de inmediato al equipo de IT.
  • Adicionalmente, en cualquier mensaje sospechoso que recibas a través de Outlook, GMail o cualquier otro proveedor de correo, deberías marcar con el botón derecho la opción Reportar como Correo no Deseado / Marcar como phishing.

 

 

El phishing es una amenaza seria y constante en el mundo digital. Los ciberdelincuentes están siempre buscando nuevas maneras de engañar a las personas, por lo que es crucial mantenerse alerta y bien informado. Recuerda, si algo parece sospechoso, es mejor ser cauteloso y verificar antes de actuar.

¡Mantente seguro en línea y comparte esta información para que otros también puedan protegerse!

Aprendiendo LINUX como si Fuera un Juego

Si eres programador, seguro que alguna vez te has topado con la necesidad de usar linux para dar vida a tus proyectos. Hoy os traigo unas web que te ayudarán a conocer o mejorar en el uso de estos sistemas para que seas más eficiente en tus desarrollos.

VIM Adventures

Aprende con acertijos.

Enlace: https://vim-adventures.com/

Bandit

Para empezar desde 0 e ir avanzando nivel a nivel hasta convertirse en un experto.

Enlace: https://overthewire.org/wargames/bandit/

Terminus

Creado por MIT es un juego interactivo para ayudarte con el aprendizaje en el uso de un Terminal

Enlace: https://web.mit.edu/mprat/Public/web/Terminus/Web/main.html

Linux Survival

Se plantea en forma de retos que te enseñarán todo lo que necesitas saber de la forma más sencilla posible.

Enlace: https://linuxsurvival.com/

The Command Line Murders

¿Te gustan los misterios? Utiliza comandos para resolver este.

Enlace: https://github.com/veltman/clmystery

Secretos de los Buscadores que no Conocías

En todos los buscadores tenemos herramientas y palabras reservadas que nos ayudan a la hora de consultar información. Estas palabras clave se utilizan para especificar más la búsqueda y dependiendo de cada buscador pueden ser diferentes. En este caso se explicarán para los dos más importantes, Google y Bing.

Google

  • site:ucm.es. Solo muestra resultados del dominio web indicado. Si se especifica alguna palabra más, solo la buscará en ese dominio.
  • «tarta de manzana». Busca solo la frase exacta, sin quitar palabras.
  • tienda –online. El símbolo ‘-’ hace que no busque la palabra que le sigue, por lo que en este caso buscará la palabra tienda pero que no incluya online.
  • los * años. Los asteriscos sirven como comodines en las búsquedas.
  • link:marca.com. Muestra todas las páginas que poseen enlaces a la página indicada.
  • info:www.elhacker.es. Muestra información de la página web, como sitios similares, la caché de Google, páginas con enlaces al sitio…
  • inurl:uah. Muestra las páginas que contengan la palabra indicada en su URL.
  • intitle:Windows. Muestra las páginas que tengan la palabra indicada en su título.
  • cache:www.dropbox.com. Muestra la caché que tenga Google almacenada del sitio web.
  • filetype:pdf hacking. Muestra resultados de la búsqueda que tengan la extensión específica. Pueden ser pdf, doc, docx, pptx, xlsx, rdp (escritorio remoto)…

Bing

Tiene funciones muy parecidas a las de Google: site, filetype, intitle, url… Pero cabe destacar una función, ip. Con esta palabra se pueden buscar los sitios hospedados en una misma ip, dominios compartidos.

Siempre se recomienda realizar las búsquedas en diferentes buscadores, ya que utilizan métodos de indexación distintos y los resultados pueden variar de uno a otro.

Para encontrar búsquedas más avanzadas (los llamados Dorks de Google) es recomendable visitar el repositorio de la Google Hacking Database (GHDB), que se encuentra en la página: https://blog.miguelandrescaballero.es/dorks

En esa web se pueden encontrar diferentes búsquedas realizadas para encontrar vulnerabilidades, usuarios, archivos… hasta contraseñas. Muchas de las búsquedas están desactualizadas, pero a día de hoy aún siguen apareciendo nuevos resultados útiles.

Comparte Internet fuera de España desde tu Móvil

Seguro que has escuchado mucho hablar sobre el Roaming y que en toda Europa las compañías telefónicas ofrecen el servicio de forma gratuita.

El roaming es un servicio proporcionado por las compañías de telecomunicaciones que permite a los usuarios de teléfonos móviles utilizar sus dispositivos para llamadas, mensajes de texto y acceso a datos móviles fuera del área de cobertura de su red doméstica. De esta forma sus usuarios se pueden conectar a internet en zonas en las que esas operadoras no tienen redes propias desplegadas,

Normalmente el término se suele utilizar para indicar aquellas áreas fuera del país del usuario, pero también se puede aplicar a nivel nacional. Hay operadores que no disponen de una gran cobertura desplegada y ofrece conectarse a otras redes para ampliarla y de esta forma ofrecer un mejor servicio a sus usuarios. Un claro ejemplo de esto es Yoigo.

No obstante existen compañías que capan ciertas funciones o servicios si no te encuentras conectado a una red suya. Este es el caso de la opción de compartir internet que ofrecen muchos de los dispositivos móviles actuales.

Si alguna vez os ocurre, se puede solucionar configurando un DNS privado y de esta forma es posible que puedas saltarte esa limitación.

Los pasos son los siguientes para un dispositivo Android:

  • Accede a la configuración de tu Android y entra dentro de las opciones de red.
  • Busca en ‘Más ajustes de conexión’, ‘Más conexiones’, ‘Configuración avanzada’ o mensaje similar. Cada modelo y marca ofrece la opción de distinta manera.
  • Localiza el apartado de ‘DNS privado’ y entra en el menú.
  • Escribe la dirección del DNS elegido y guarda la configuración.

En el caso de móviles Xiaomi quizá no te aparezca en los menús el ajuste de DNS privado. Para localizarlo, búscalo en la pantalla de los ajustes, dentro del buscador de la zona superior. Si sigue sin salir instala ‘Hidden settings for MIUI’. Desde la app tendrás acceso al ajuste de las direcciones DNS privadas.

Una vez tengas el DNS privado activo, todas las conexiones se filtrarán con él; para obtener, de rebote, las características que ofrezca el proveedor de DNS.

Las ventajas de este tipo de DNS son múltiples, todo dependerá del servicio en cuestión: desde mayor privacidad a más velocidad en el uso del navegador y las aplicaciones. Eso sí, hay que dejar bien claro que también suponen un riesgo: el DNS privado que se configure sabrá casi todo del uso que se haga de Internet.

Información relacionada: Enlace

Curso Online – CS 253 Web Security

Hoy os vengo a recomendar un curso muy interesante e instructivo sobre seguridad web. Además, ¡es gratuito!

Este curso es una visión general de la seguridad web. El objetivo es comprender los ataques web más comunes y sus contramedidas. Dada la inseguridad generalizada del panorama web moderno, existe una necesidad apremiante de que los programadores y diseñadores de sistemas mejoren su comprensión de los problemas de seguridad web.

Los temas incluyen: Principios de seguridad web, ataques y contramedidas, el modelo de seguridad del navegador, vulnerabilidades de aplicaciones web, inyección, denegación de servicio, ataques TLS, privacidad, fingerprinting, política del mismo origen, cross site scripting, autenticación, seguridad JavaScript, amenazas emergentes, defense-in-depth y técnicas para escribir código seguro. Los proyectos del curso incluyen la escritura de exploits de seguridad, la defensa de aplicaciones web inseguras y la implementación de estándares web emergentes.

Este es el enlace a la lista de vídeos, por si lo quieres ver directamente en Youtube: ENLACE.

¡Cuidado con los Espías Digitales! Todo sobre el Sniffing y Cómo Proteger tus Datos

Robar un usuario y una contraseña puede no ser tán dificil como suena. Podría ser tan siempre como compartir la misma red que tu víctima.

«Lo que vamos a aprender no es ninguna broma y no es ético probarlo en redes sin consentimiento expreso. En muchos contexto es ilegal y podrías hasta ir a la carcel.»

No se si lo sabéis pero en internet hay dos protocolos importantes HTTP y, uno más nuevo, HTTPS que es más «seguro».

Si utilizamos HTTP, los datos enviados a internet no están encriptados y por tanto son susceptibles de ser leídos por terceras personas. Si un atacante está conectado a la misma red que nosotros, puede leer todos los paquetes (Cuadrado rojo de la imagen siguiente) que se envían y reciben dentro de la misma y por tanto analizarlos.

Para analizar esos paquetes existen herramientas como «WhireShark». Una vez descargada la herramienta la ponemos a escuchar paquetes. Lo más sencillo es seleccionar la opción any para que coja todo

En una futura entrega realizaremos un ejemplo práctico de todo lo que se puede obtener de los paquetes que pasan por nuestra red.

De todo esto podemos aprender dos cosas muy importantes:

  • No conectarse a redes gratuitas. Muchos atacantes generan este tipo de redes para que los usuarios novatos y no tan novatos se conecten a ellas y puedan coger sus contraseñas.
  • Dejar de utilizar el protocolo HTTP. Muchos navegadores actuales te avisan cuando te estás conectando a una web a través de HTTP para que lo sepas. Si necesitas utilizar ese protocolo, recuerda utilizar otras técnicas para dar más seguridad a la comunicación y nunca envíes contraseñas.

Cursos gratuitos de Google para desarrolladores

No se si lo sabéis, pero Google ofrece cursos gratuitos y online para formarte en diversas áreas (En español y con certificado). Lo mejor es que no son necesarios requisitos previos a la hora de realizarlos.

Aquí os dejo algunos de los más interesantes:

  1. Cloud Computing: Descubre cómo transformar un negocio e innovar dentro de tu empresa a la vez que reduces sus costes.
    Certificado por Escuela de Organización Industrial.
    Enlace al curso.
  2. Comercio electrónico: Aprende cómo comprar y vender productos y servicios en la red, romper fronteras y llegar a nuevos clientes.
    Certificado por la Escuela de Organización Industrial.
    Enlace al curso.
  3. Curso de Introducción al Desarrollo Web: HTML y CSS.
    Certificado por la Universidad de Alicante.
    Primera parte.
    Segunda parte.
  4. Desarrollo de Apps Móviles: Este curso te presenta los principios esenciales que deben inspirar la creación de estas aplicaciones, y así enfocar bien su diseño y programación desde el principio.
    Certificado por la Universidad Complutense de Madrid.
    Enlace al curso.
  5. Fundamentos de Marketing Digital: Conviértete en un experto de marketing digital a un nivel básico con ejercicios prácticos que te ayudarán a conseguir excelentes resultados.
    Certificado por la agencia Interactive Advertising Bureau (IAB).
    Enlace al curso.

En esta web puedes encontrar más cursos de google como los mostrados: https://grow.google/intl/es/