Mejora la Seguridad de Tu WhatsApp

Hace un tiempo vi una entrada en el Blog de «UN INFORMÁTICO EN EL LADO DEL MAL» que me pareció muy útil y hoy quiero compartirla con vosotros. Os voy a mostrar algunas configuraciones que mejoran la seguridad de una de las aplicaciones de mensajería más utilizadas (o la más utilizada).

Llamadas

La primera recomendación es para evitar llamadas de números desconocidos.

Entramos en los ajustes y nos vamos al menú «Privacidad«. Ahí bajamos hasta la opción «Llamadas«. Nos permitirá silenciar las llamadas a números desconocidos. Lo bueno es que las llamadas seguirán apareciendo por si las queremos localizar, pero no nos notificará de las mismas. Esto es muy útil para evitar la típida estafa de «Hola, soy tu hijo y he perdido el móvil«.

Grupos

Otra opción dentro del menú «privacidad«, nos puede evitar esa nueva y molesta «moda» de meternos en grupos raros con gente que no conocemos. Accediendo al apartado «Grupos» podremos escoger quien permitimos que nos añada a grupos. Seleccionando «Mis contactos» evitarás que números desconocidos te metan en esos grupos molestos.

Localización

¿Sabéis que es posible que a través de enviarte un enlace, pueden localizarte? Es algo bastante desconocido, pero esto es gracias a que WhatsApp muestra una previsualización de la web con una imagen.

No es algo tan raro, porque casi todas las redes sociales tienen esta funcionalidad, pero en el caso de otras redes, esa imagen se descarga al servidor de la red social. En el caso de WhatsApp se descarga en tu dispositivo móvil. Es decir, tu móvil se está conectando a esa url para descarga la imagen y al conectarte, es posible conocer tu ubicación. Puede que la ubicación que muestra no es del todo correcta o no es muy precisa, pero es un riesgo que se corre.

Para evitar esto, se puede ir a «Privacidad» al submenú «Avanzada» y habilitar las dos opciones que nos muestran: «Proteger la dirección IP en las llamadas» y «Desactivar vistas previas de enlaces».

 

En el Blog que os indicaba al principio, tenéis mucha más información sobre este tema y las formas que tienen los cibercriminales de utilizar estas opciones y automatizar los ataques.

Fuente: Chema Alonso

Millones de clientes del software espía mSpy con sus datos filtrados

El software mSpy es una aplicación de vigilancia de teléfonos que se promociona como una forma de rastrear a niños o monitorear a empleados. Como la mayoría de los programas espía, también se usa ampliamente para monitorear a personas sin su consentimiento.

Este tipo de aplicaciones también se conocen como «stalkerware» porque las personas que tienen relaciones románticas a menudo las usan para vigilar a su pareja sin su consentimiento o permiso. La aplicación mSpy permite a quien haya colocado el software espía, generalmente alguien que previamente tuvo acceso físico al teléfono de la víctima, ver de forma remota el contenido del teléfono en tiempo real.

En mayo de 2024, robaron millones de tickets de soporte al cliente, incluida información personal, correos electrónicos de soporte y archivos adjuntos de mSpy. Si bien los ataques a proveedores de software espía son cada vez más comunes, siguen siendo notables debido a la información personal altamente confidencial que a menudo se incluye en los datos, en este caso sobre los clientes que usan el servicio.

El ataque abarcó registros de servicio al cliente que datan de 2014, que fueron robados del sistema de soporte al cliente basado en Zendesk del fabricante de software espía.

Como es habitual con los programas espía para teléfonos, los registros de clientes de mSpy incluyen correos electrónicos de personas que buscan ayuda para rastrear subrepticiamente los teléfonos de sus parejas, familiares o hijos. Algunos de esos correos electrónicos y mensajes incluyen solicitudes de asistencia al cliente de varios militares estadounidenses de alto rango, un juez de un tribunal federal de apelaciones de Estados Unidos en funciones, un organismo de control de un departamento del gobierno de Estados Unidos y una oficina del sheriff del condado de Arkansas que solicita una licencia gratuita para probar la aplicación. De hecho se cree que los datos filtrados corresponden a los clientes que solicitaron asistencia, y que el número de clientes es mucho mayor.

Sin embargo, los propietarios de mSpy, una empresa con sede en Ucrania llamada Brainstack, no han reconocido ni revelado públicamente la violación.

Troy Hunt, quien dirige el sitio de notificación de violaciones de datos Have I Been Pwned , obtuvo una copia del conjunto completo de datos filtrados, agregando alrededor de 2,4 millones de direcciones de correo electrónico únicas de clientes de mSpy al catálogo de violaciones de datos pasadas de su sitio.

Según una lista compilada recientemente por TechCrunch , mSpy es el último programa espía para teléfonos que ha sido hackeado en los últimos meses. La vulneración de mSpy demuestra una vez más que no se puede confiar en que los fabricantes de programas espía mantengan seguros sus datos, ni los de sus clientes ni los de sus víctimas.

Créditos de la imagen: TechCrunch

Esta es la tercera violación de datos conocida de mSpy desde que la empresa comenzó alrededor de 2010. mSpy es una de las operaciones de software espía para teléfonos de más larga duración, lo que en parte explica cómo acumuló tantos clientes.

A pesar de su tamaño y alcance, los operadores de mSpy han permanecido ocultos a la vista del público y han eludido en gran medida el escrutinio, hasta ahora. No es raro que los creadores de software espía oculten las identidades reales de sus empleados para proteger a la empresa de los riesgos legales y de reputación asociados con la realización de una operación de vigilancia telefónica global, lo cual es ilegal en muchos países.

Pero la violación de datos de Zendesk de mSpy expuso que su empresa matriz era una empresa tecnológica ucraniana llamada Brainstack.

Puedes obtener más información sobre esta brecha de seguridad aquí: https://blog.miguelandrescaballero.es/mSpy

Las 10 Mejores Prácticas para Mantener tus Contraseñas Seguras

¡Hola a todos! Tras hablar hace un tiempo de la importación de los usuarios en la seguridad (lo puedes ver aquí), hoy quiero compartir con vosotros lo que debes hacer para hacer tus contraseñas lo más seguras posibles. En este mundo digital, proteger nuestra información es crucial y dificultar el acceso a las cuentas es el primer paso.

Usa Contraseñas Largas y Complejas:
Una buena contraseña debe tener al menos 12 caracteres e incluir una combinación de letras (mayúsculas y minúsculas), números y símbolos. Evita usar palabras comunes o información personal.

No Reutilices Contraseñas:
Utilizar la misma contraseña para múltiples cuentas es un gran riesgo. Si un sitio es hackeado, tus otras cuentas también podrían estar en peligro.

Utiliza un Administrador de Contraseñas:
Estas herramientas pueden generar y almacenar contraseñas complejas para cada una de tus cuentas, de modo que solo tengas que recordar una contraseña maestra.

Habilita la Autenticación de Dos Factores (2FA):
Siempre que sea posible, activa 2FA. Esto añade una capa extra de seguridad al requerir un segundo paso de verificación, como un código enviado a tu teléfono.

Actualiza tus Contraseñas Regularmente:
Cambia tus contraseñas cada 3-6 meses para minimizar el riesgo de que sean comprometidas.

Evita Usar Contraseñas Obvias:
Palabras como «password», «123456» o tu nombre seguido de tu año de nacimiento son fáciles de adivinar. Sé creativo.

No Guardes Contraseñas en tu Navegador:
Aunque es conveniente, es más seguro utilizar un administrador de contraseñas especializado.

Revisa Regularmente tus Cuentas en Busca de Actividad Sospechosa:
Monitorea tus cuentas para detectar cualquier actividad inusual. Si ves algo sospechoso, cambia tu contraseña inmediatamente.

Sé Cauteloso con los Correos y Enlaces Phishing:
No hagas clic en enlaces o descarges archivos de correos electrónicos sospechosos. Los ciberdelincuentes a menudo utilizan estas tácticas para robar contraseñas.

Educa a los Demás:
Compartir estas prácticas con amigos y familiares ayuda a crear un entorno digital más seguro para todos.

 

La siguiente imagen sirve para hacerte una idea del tiempo que se tarda en romper una contraseña. No es 100% fiable, pero te puede orientar. También hay una herramienta (aunque a mi no me gusta poner mis contraseñas en este tipo de webs): https://password.kaspersky.com/es/

 

¡Mantener tus contraseñas seguras es esencial para proteger tu información personal y profesional! Sigue estas prácticas y estarás mejor preparado para enfrentar las amenazas cibernéticas.

Genera códigos QR fácilmente en Python

Los códigos QR se han convertido en una parte esencial de nuestra vida digital, ofreciendo una forma rápida y conveniente de acceder a información, realizar pagos, y mucho más, simplemente escaneando un código con nuestro dispositivo móvil. Originados en la industria automotriz japonesa, estos códigos de barras bidimensionales han revolucionado la forma en que interactuamos con el mundo digital y físico.

Viendo lo útiles que pueden llegar a ser, seguro que alguna vez has querido generar un código QR para incluirlo en una tarjeta de visita o en un cartel o en una web… Lo que todo solemos hacer siempre es ir a lo más y buscar una pagina web que nos lo genere indicando una URL o algo del estilo.

Hoy os traigo otra opcion para generar estas matrices de datos desde código Python: qrcode.

Qrcode nos ayuda a generar de forma sencilla y con pocas líneas de código una imagen PNG con el código QR que queramos. Un ejemplo es el siguiente

import qrcode
qr = qrcode.QRCode(
  version=1,
  error_correction=qrcode.constants.ERROR_CORRECT_L,
  box_size=10,
  border=4,
)
qr.add_data('Some data')
qr.make(fit=True)

img = qr.make_image(fill_color="black", back_color="white")

Se puede escoger tamaño indicando un número del 1 al 40 en el parametro «version» (El 1 es una matriz de 21×21). También se puede cambiar el color de fondo y de QR. El parámetro error_correction controla la corrección de errores utilizada para el código QR.  El parámetro box_size controla cuántos píxeles tiene cada “caja” del código QR. El parámetro de borde controla el grosor de los cuadros que debe tener el borde (el valor predeterminado es 4, que es el mínimo según las especificaciones).

Hay más opciones que puedes consultar en la web de la librería: https://pypi.org/project/qrcode/

Os dejo algunos ejemplos:

¡No Caigas en la Trampa! Todo lo que Necesitas Saber sobre el Phishing y Cómo Protegerte

¡Hola a todos! Hoy quiero hablaros sobre un tema muy importante en el ámbito de la ciberseguridad: el phishing. Este término, aunque suena como «fishing» en inglés, no tiene nada que ver con la pesca, aunque la analogía de «pescar» usuarios desprevenidos es bastante acertada.

¿Qué es el Phishing?

El phishing es una técnica utilizada por ciberdelincuentes para engañar a las personas y obtener información confidencial, como contraseñas, números de tarjetas de crédito o datos personales. Los atacantes se hacen pasar por entidades confiables, como bancos, empresas de servicios o incluso amigos y familiares, para lograr que las víctimas les proporcionen esta información voluntariamente.

¿Cómo reconocer el phishing?

  • Email sospechosos: ten precaución con correos electrónicos inesperados o mensajes que solicitan información confidencial. Verifica siempre la autenticidad del remitente antes de responder o hacer clic en enlaces.
  • Enlaces sospechosos: evita hacer clic en enlaces incrustados en correos electrónicos no solicitados. Antes de hacer clic, pasa el cursor sobre el enlace para ver la dirección web real.
  • Errores de ortografía y gramática: los correos electrónicos de phishing a menudo contienen errores gramaticales o de ortografía. Muéstrate escéptico ante mensajes que parezcan poco profesionales.

¿Cómo Funciona el Phishing?

  • Correo Electrónico Fraudulento: Uno de los métodos más comunes es el envío de correos electrónicos que parecen proceder de una fuente legítima. Estos correos suelen contener enlaces a sitios web falsos.
  • Sitios Web Falsos: Los enlaces en los correos fraudulentos redirigen a sitios web que se ven casi idénticos a los sitios web oficiales de las organizaciones que los atacantes están imitando.
  • Mensajes de Texto y Llamadas Telefónicas: Además del correo electrónico, los atacantes también utilizan mensajes de texto (SMS) y llamadas telefónicas para intentar engañar a las víctimas.
  • Redes Sociales y Mensajería Instantánea: También pueden usar plataformas de redes sociales y aplicaciones de mensajería instantánea para enviar mensajes engañosos.

Ejemplos Comunes de Phishing

  • Correos Electrónicos de Bancos: Un correo que parece ser de tu banco pidiendo que verifiques tu cuenta o actualices tu contraseña.
  • Notificaciones de Pago: Un mensaje diciendo que hay un problema con un pago que realizaste y que debes ingresar a un enlace para corregirlo.
  • Ofertas y Promociones Falsas: Promociones demasiado buenas para ser verdad, como ganar un iPhone gratis si haces clic en un enlace y proporcionas tu información.

¿Cómo protegerse del phishing?

  • Verificación del remitente: antes de responder a un correo electrónico, comprueba la dirección del remitente para asegurarte de que sea legítima.
  • No compartas información confidencial: nunca proporciones información confidencial, como contraseñas o números de tarjetas de crédito, a través de correos electrónicos no solicitados.
  • Actualiza contraseñas regularmente: cambia tus contraseñas con regularidad y utiliza combinaciones fuertes de letras, números y caracteres especiales.
  • Uso de Autenticación de Dos Factores (2FA): Activar 2FA en tus cuentas añade una capa extra de seguridad.
  • Educación y Conciencia: Mantente informado sobre las últimas tácticas de phishing y comparte esta información con amigos y familiares.
  • Software de Seguridad: Utiliza programas de seguridad y antiphishing que te ayuden a identificar y bloquear intentos de phishing.
  • (Si te llega al correo de la empresa) Informa a IT: si sospechas que has recibido un correo electrónico de phishing, repórtalo de inmediato al equipo de IT.
  • Adicionalmente, en cualquier mensaje sospechoso que recibas a través de Outlook, GMail o cualquier otro proveedor de correo, deberías marcar con el botón derecho la opción Reportar como Correo no Deseado / Marcar como phishing.

 

 

El phishing es una amenaza seria y constante en el mundo digital. Los ciberdelincuentes están siempre buscando nuevas maneras de engañar a las personas, por lo que es crucial mantenerse alerta y bien informado. Recuerda, si algo parece sospechoso, es mejor ser cauteloso y verificar antes de actuar.

¡Mantente seguro en línea y comparte esta información para que otros también puedan protegerse!

Cómo enviar Mensajes de forma Anónima

Hoy os traigo Anon-SMS, un script de Python que permite enviar mensajes de forma anónima. Es una herramienta que en ciertos momentos puede resultar muy útil.

Información de la herramienta:

  • Esta es una versión gratuita.
  • Envío de mensajes súper rápido.
  • Envío Internacional de Mensajes disponible.
  • Sólo puedes enviar un mensaje al día.
  • Mensajería anónima.
  • Fácil de usar e incrustar en el código.

Enlace: https://github.com/HACK3RY2J/Anon-SMS

¿No te Han Pagado? Os traigo una Solución

¿Eres desarrollador y un cliente no te ha pagado por tu trabajo?

Os traigo un script que va bajando la opacidad de la web cada día hasta que desaparece del  todo. Puedes escoger el número de días que tardará en desaparecer del todo. Su uso es muy sencillo, ya que solo basta con incluir el JS en el «Head» del sitio.

También se han desarrollado funcionalidades similares para otros entornos y herramientas:

  • Plugin para WordPress.
  • Versión para Android.
  • Versión para Windows Forms.
  • Versión Flutter.
  • Versión iOS (SwiftUI).
  • Versión Angular.

Enlace: https://github.com/kleampa/not-paid

Aprendiendo LINUX como si Fuera un Juego

Si eres programador, seguro que alguna vez te has topado con la necesidad de usar linux para dar vida a tus proyectos. Hoy os traigo unas web que te ayudarán a conocer o mejorar en el uso de estos sistemas para que seas más eficiente en tus desarrollos.

VIM Adventures

Aprende con acertijos.

Enlace: https://vim-adventures.com/

Bandit

Para empezar desde 0 e ir avanzando nivel a nivel hasta convertirse en un experto.

Enlace: https://overthewire.org/wargames/bandit/

Terminus

Creado por MIT es un juego interactivo para ayudarte con el aprendizaje en el uso de un Terminal

Enlace: https://web.mit.edu/mprat/Public/web/Terminus/Web/main.html

Linux Survival

Se plantea en forma de retos que te enseñarán todo lo que necesitas saber de la forma más sencilla posible.

Enlace: https://linuxsurvival.com/

The Command Line Murders

¿Te gustan los misterios? Utiliza comandos para resolver este.

Enlace: https://github.com/veltman/clmystery

Buscar cuentas y correos electrónicos de cualquier persona

Hoy vamos a hablar de Profil3r, una herramienta OSINT que te permite encontrar perfiles potenciales de cualquier persona en las redes sociales, así como sus direcciones de correo electrónico.

Tiene una función que alerta alerta de la presencia de una fuga de datos de los correos electrónicos encontrados.

Entre las redes disponibles se encuentran las siguientes:

  • Instagram
  • Facebook
  • Twitter
  • Tiktok
  • Onlyfans

Funciona con Python y te permite buscar por nombre como en el siguiente ejemplo: