Archivos para marzo, 2015

wifi61

Fuente || http://www.rtve.es

Investigadores del Grupo de Computación Distribuida y Seguridad de la Universidad Leibniz en Hannover y del Departamento de Matemáticas e Informática de la Universidad Philipps de Marburgo han publicado un reciente trabajo sobre la seguridad de los dispositivos Android (en pdf) en el que se analiza de qué forma peligra la privacidad de muchos datos -incluyendo contraseñas- bajo ciertas situaciones relativamente comunes.

El principal problema -como suele suceder en cuestiones de seguridad- es que aunque la teoría dice una cosa la forma en que se llevan a cabo muchos proyectos en la práctica resulta muy diferente. En concreto los problemas de seguridad surgen debido a la defectuosa implementación de los protocolos de seguridad en algunas aplicaciones (apps), algo que unido a la confusión sobre las de indicaciones al respecto en el software (por ejemplo el significado de los iconos y mensajes de “navegación segura” en el navegador web) pueden “redondear” el problema.

En el trabajo los investigadores explican que analizaron el comportamiento de unas 13.500 aplicaciones distintas disponibles en Google Play, la tienda de aplicaciones de Google y donde los desarrolladores suben sus apps para distribuir a sus clientes y usuarios. Lo que hicieron fue conectar un móvil con Android 4.0 al Wi-Fi del laboratorio, simulando ser un acceso normal y corriente, como el que se podría encontrar en una cafetería, un hotel o en un vecindario. Pero había algo más: las comunicaciones estaban interceptadas con un software especial.

Ataque del intermediario

En seguridad este tipo de “ataques” se conocen como ataque del intermediario y consiste básicamente en interponerse entre el emisor y el receptor de una comunicación copiando todo lo que se transmite -como si una persona trajera y llevara notas secretas en papel pero guardara una fotocopia de cada envío-. Este sistema les permitió capturar todo el tráfico entre el dispositivo móvil Android y los servidores de Internet y analizarlo en busca de alguna debilidad.

De las 13.500 aplicaciones analizadas cerca del 8 %, –unas mil de ellas- resultaron tener una seguridad débil debido a que no seguían correctamente los protocolos de seguridad, incluyendo que ignoraban completamente los protocolos de seguridad, fallaban en la comprobación de los certificados digitales u otras razones. Tras un examen manual, unas cien de las mil resultaron ser vulnerables y tras lanzar sobre ellas software para desproteger los datos se consiguió romper la seguridad de 41 de ellas.

El problema es que muchas algunas de las aplicaciones examinadas contaban ya con millones de usuarios registrados y cierta popularidad en el mercado. Los investigadores consiguieron credenciales tales como cuentas y contraseñas (de buzones de correo, redes sociales y otros servicios); números de cuentas de bancos e incluso engañar a las aplicaciones para “confiar” en el contenido de ciertos servidores, lo que abriría la puerta potencialmente a la creación de software malicioso que pudiera ser dado por bueno o al envío de instrucciones que manipulen el software ya instalado.

Aplicaciones mal diseñadas

En los navegadores web convencionales existen problemas similares, pero la gente se ha acostumbrado a no confiar en cualquier página web y menos en las que no muestran el “candado” que simboliza los protocolos seguros HTTPS/SSL/TTS. En algunas aplicaciones Android, en cambio, los investigadores apuntan a que no hay información visual que indique a los usuarios que está utilizando una comunicación segura (o que no) del mismo modo que nada impide a una aplicación mostrar información engañosa al respecto. Incluso encontraron aplicaciones –desde las relativamente inocentes hasta las de entidades bancarias– que en las preferencias permitían activar seguridad del tipo SSL, pero en realidad no usaban ese canal seguro por diversas razones.

Todo lo anterior se refiere a las aplicaciones Android que los usuarios pueden descargar, pero los investigadores se preguntaron qué sucedería con los accesos a través del navegador web incorporado, que incluye mensajes respecto a la seguridad y los certificados cuando se llega a este tipo de páginas. Realizaron una encuesta entre varios cientos de personas y comprobaron que más de la mitad de las personas pensaban que estaban en una conexión segura cuando en realidad no lo estaban. Ignorando la forma en que estaban conectados, algunos dieron algunas razones tan peregrinas como que se fiaban de su proveedor telefónico o de la marca de su teléfono. Una falsa sensación de seguridad que puede causar problemas a los usuarios menos expertos.

El escenario de estos experimentos era muy claro: un dispositivo móvil Android y una conexión Wi-Fi. El problema son las aplicaciones mal diseñada, la falta de información y el desconocimiento.

Cómo cuidar los datos

¿Algunos consejos para evitar el robo de los datos personales? Se puede pensar por un lado en utilizar únicamente redes Wi-Fi en las que se pueda confiar, no cualquier Wi-Fi abierta que aparezca de repente por ahí. Respecto a las aplicaciones, no descargar cualquier cosa sino apps con cierta reputación. Y si las aplicaciones sospechosas no tienen indicadores sobre la seguridad de las comunicaciones -o aun teniéndolas- mejor desconfiar.

Al usar el navegador web conviene fijarse en el prefijo de las direcciones (que debería ser HTTPS, terminado en S) y leer cuidadosamente los mensajes de seguridad sobre los certificados de las webs que se visitan.

Como consejo genérico, es mejor intentar usar lo menos posible las cuentas importantes en sitios donde no se tenga una seguridad clara de que no va a haber problemas. Y como consejo general, no usar nunca las mismas contraseñas en servicios distintos: es más incómodo pero infinitamente más seguro. Si se siguen estos pasos es difícil que se produzcan problemas importantes -incluso aunque, como en este caso, estén estos investigadores de “intermediarios” acechando para robar los datos personales.

Anuncios

Apple_Watch

Fuente || http://legal-data.net

La traducción de la palabra wearable es “llevable”, y así es como se denomina a todos los dispositivos electrónicos que nos ponemos en alguna parte de nuestro cuerpo, como por ejemplo gafas, relojes, brazaletes, prendas de vestir, etc. y que recogiendo determinada información interactúan de alguna manera con nosotros.

A pesar de que es una tecnología bastante innovadora, la distribución de wearables está creciendo y ha aumentado un 700% en 2014 respecto al año anterior; empiezan a proliferar las personas que utilizan este tipo de dispositivos y ya no resulta tan extraño cruzarse con alguien vistiendo unas Google glass o un smartwhatch.

Resulta interesante profundizar en el alcance de esta nueva tecnología sobretodo en cuanto a privacidad pues como se indica en el Dictamen del Grupo del Artículo 29 sobre wearables “en principio, pese a que los dispositivos pertenecientes a esta categoría no recojan datos especialmente protegidos pueden acabar proporcionando a terceros información inferida acerca de la salud del individuo”.

Una de las novedades que aportan la mayoría de wearables es que su utilidad principal está enfocada a ayudarte en el mantenimiento físico y de tu salud. Para poder prestarte este servicio necesitan recoger previamente cierta información que en algunos casos se basa únicamente en el movimiento que percibe el dispositivo, si por ejemplo lo llevamos en la muñeca o las veces que presionamos un botón para que calcule nuestro estado de ánimo (cuantos más click más felices). Pero en otros casos disponen de elementos tecnológicos que permiten calcular por ejemplo la frecuencia cardíaca, las calorías quemadas, mi nivel de hidratación, las horas de sueño, etc. ¡Incluso podemos enviar el latido de nuestro corazón a un contacto!

La gestión de esta información se hace desde aplicaciones móviles donde también cargamos otros datos como el sexo, la altura, el peso y la edad, para poder cruzarlos con los nuevos y animarnos a movernos más, darnos consejos e incluso diagnósticos.

Dejando a un lado el hecho de que si pensábamos que no podíamos estar más monitorizados, aquí tenemos un claro ejemplo de que sí podemos; hay que tener en cuenta también la seguridad de toda esta información que ya no son solo fotos, teléfonos o datos de geolocalización, sino datos de salud.

La protección de la que hablamos tiene que implementarse en todo el proceso y circulación de nuestros datos y tener en cuenta que, tal como se indica en el citado Dictamen del Grupo del Artículo 29 “puesto que el Internet de las cosas amplifica los riesgos asociados a una seguridad inadecuada en el diseño de los sistemas, no sólo por los datos recogidos y las inferencias que se pueden hacer de ellos sino por la tecnología que utilizan, que debería basarse en sistemas seguros y diseñados de acuerdo a los riesgos potenciales”.

En primer lugar, hay que controlar el proceso de la recogida de datos a través de wearables, es decir condiciones de aceptación de recogida y almacenamiento, consentimiento de gestión y tratamiento de estos, y garantías por parte de la empresa creadora del gadget. Y en segundo lugar, hay que regularizar la legitimación para que terceros puedan conocer y gestionar estos datos como por ejemplo en la cesión de los mismos a la App que me permitirá tener estadísticas y evolución de mi estado. Si la App ha sido desarrollada por la misma empresa que el wearable no tendremos tantos factores a considerar, pero si es una App de desarrolladores independientes habrá que legalizar la cesión de los datos y el tratamiento que estos puedan hacer; y lo más importante, en todo este proceso ¿hasta qué punto el usuario puede ejercer el control sobre la difusión de mis datos?, ¿cuánta gente tiene acceso a los datos? y allí donde estén, ¿están seguros?