Internet: la tierra del todo gratis

Las personas que vivimos la época de finales de los 90’s presenciamos uno de esos fenómenos que ocurren cada tanto y que marcan la historia de la humanidad: el ascenso y el auge de internet. Y considero que somos seres muy afortunados, porque estuvimos justo en la línea donde hubo un antes y un después. Conocimos cómo era socializar y comunicarnos con otros, antes y después de las redes sociales, cómo investigar un tema en una biblioteca y en la wikipedia, junto con muchas otras cosas.

Dentro de todos estos fenómenos que vivimos, hubo uno que, desde mi parecer, fue el que le dio mayor relevancia dentro de la gente del común: descargar cosas. Y no sólo era el hecho de poder descargar cosas, sino que estas se podían descargar gratis. Y poco importó cómo, o porqué, simplemente cualquier contenido que quisiéramos tener estaba ahí: la canción de mi artista favorito, la película de cartelera, el videojuego del que todos hablaban, absolutamente todo, al alcance de unos cuántos clics.

Y todo este frenesí sólo se pudo ver mermado por otro fenómeno igual de desconocido: los virus. De repente, el mundo abierto que teníamos, se volvió un tanto hostil y se debía andar con cuidado, porque ahora al realizar una descarga podríamos descargar uno de estos virus que podría dañar nuestro computador.

Sin embargo, de unos años para acá los virus dejaron de ser algo relevante y alarmante, de repente pudimos volver a descargar todas las cosas que nos ofrecía la red, incluso con mucha más facilidad que antes, ya no hay que descargar una película completa, sólo bajamos una aplicación o accedemos a una página web y la obtenemos en streaming completamente gratis, sin pagar una suscripción, incluso las aplicaciones para el teléfono móvil que son de pago, con un rato navegando por la red las encontramos de manera gratuita, pasa lo mismo con los videojuegos, los sistemas operativos, las suites de ofimática, etc. Por fin pudimos volver a ese frenesí de descargas, los virus no pudieron detenernos, fuimos más inteligentes que todos esos actores maliciosos de por ahí, ¡GANAMOS LA GUERRA! ¿cierto? Pues no, creo que no.

Todo evoluciona

Como ya lo mencioné, la palabra ‘virus’ es la palabra que se popularizó para definir toda una amalgama de software malicioso (malware para los amigos), que en los años 90 y 2000, se podría decir que en su mayoría, no era más que una pilatuna, que dependiendo del caso, podría ser más o menos devastadora, pero que a grandes rasgos no dejaba de ser una travesura con efectos inmediatos que mostraba mensajes en tu computador, dañaba tu sistema operativo o borraba tu información (y no estoy diciendo que esas cosas me parezcan graciosas, pero muchos así lo veían). Sin embargo, como cualquier cosa en la vida y más en el área informática, todo esto evolucionó. Los actores maliciosos encontraron que a parte de echarse unas risas abriendo o cerrando automáticamente tu unidad de CD-ROM y destruir tu disco duro, permanecer ocultos y en silencio era más beneficioso que lo anterior.

Pero ¿en qué le podría beneficiar en esto a alguien que está dentro de mi dispositivo? espero que sea su pregunta en este momento, bueno, motivos hay muchos y pueden ser igual de únicos a cada persona, pero en general podrían ser:

  • Botnets: Se podría decir que el dispositivo queda unido a una red perteneciente al actor malicioso y desde un centro de control puede efectuar diferentes acciones, minar criptomonedas o lanzar ataques a diferentes sitios web.
  • Robo de información: Más allá de robarse las fotos con tu ex y esos vídeos mal grabados de los conciertos a los que vas, los actores maliciosos podrían roban información mucho más sensible, por ejemplo las sesiones o contraseñas almacenadas en el navegador, llevando así a una suplantación de identidad o robos. Esto tiene un mayor impacto cuando desde un dispositivo infectado, alguien accede a recursos de la empresa donde trabaja, ya no sólo la información personal está en riesgo, también la corporativa; este fue el caso del empleado de Orange España, que activó de manera ilegal su sistema operativo y robaron credenciales de este operador de internet, dejando sin acceso a internet a gran parte de España. (Más información aquí)

En conclusión

Estoy casi seguro que la gran mayoría de quienes leen esta entrada y han usado software pirata, jamás se han visto comprometidos en alguno de los escenarios que planteo (cosa que realmente me alegra, aún a costa de pasar como un paranoico), pero, que este tipo de cosas no le haya sucedido a un pequeño sector de la población no significa que la amenaza no esté latente o que no exista, el caso de Orange España que nombré más arriba es para mí, el mejor ejemplo de las consecuencias del uso de este tipo de software. Así que espero que esta entrada sea el medio para reflexionar sobre estos tipos de comportamientos en la red.

Hasta la próxima, recuerden que pueden invitarme un cafecito.

Feliz cumpleaños a ti también

Se llegó esa fecha del año en donde celebro el cumpleaños de este espacio y en lugar de más o menos repetir lo mismo de siempre, sólo quisiera decir que de cierta forma este también es un feliz cumpleaños a aquellas personas que ya sea por amistad, curiosidad o el motivo que sea, siempre han estado acá leyendo las cosas que se me ocurren.

Últimamente siento que hablar sobre temas como privacidad y seguridad informática se vuelve como gritarle a una nube, sin embargo de vez en cuando recibo uno que otro comentario con un “buen artículo” o “esto me hizo reflexionar” y siento que puede valer la pena continuar por acá, escribiendo de vez en cuando.

Así que sin más y para no extenderme tanto, muchas gracias por estar siempre acá, feliz cumpleaños al blog y de nuevo, feliz cumpleaños a ti, por estar estos 4 años firmes leyendo mis preocupaciones o las reflexiones que se me ocurren mientras hago cualquier cosa.

Y por supuesto que este agradecimiento no sólo va para quienes están desde el comienzo, sino se extiende a todos aquellos quienes se han ido incorporando en el trayecto de estos 4 años.

Con cariño, este viejo que le grita a las nubes.

Historias cortas de la vida real (VII) – El sentido arácnido

Para los que no son de mi generación o aún siéndolo no comprenden qué es eso del “sentido arácnido”, les explicaré: este es uno de los poderes de Spider-man (o el Hombre araña) y es una habilidad pre-cognitiva que les advierte de un peligro inminente, este poder es una respuesta simultánea y clarividente a una compleja variedad de fenómenos, que le advierte varias centésimas de segundo antes de producirse el peligro.[1]

Pues bien, a lo largo del tiempo, yo (y muchos otros colegas igualmente) también he ido desarrollando una especie de sentido arácnido, que me advierte de ciertos riesgos relacionados con la seguridad informática y un ejemplo de ello es la historia que quiero contar a continuación.

Mientras tenía una conversación con alguien, esta persona me dijo que tenía que borrar de su computador las credenciales de acceso un sitio en el que trabajó hace más de un año e inmediatamente el ‘sentido arácnido’ me hizo soltar la frase “apuesto a que no han cambiado la contraseña”, cosa que mi interlocutor no creyó posible, así que, decidimos ponerlo a prueba, y ante su cara de asombro y estupefacción, desafortunadamente yo tuve la razón.

Este tipo de situaciones suceden más veces de lo que parece, y tal vez es un patrón más constante entre pequeñas y medianas empresas que no tienen un sistema de políticas de seguridad bien definidas o de tajo no tienen tan siquiera un departamento de TI o alguien que se preocupe por este tipo de situaciones.

Algunas personas pueden pensar que alguien tenga acceso a un correo electrónico es inofensivo, hasta que recuerdan que a ese correo electrónico están vinculadas cuentas de redes sociales, bancos, otras cuentas en otros sitios y pueden utilizarlo para suplantar la identidad de alguien, estafar o dañar la reputación de alguien.

Imagen tomada de https://pm1.aminoapps.com/7931/9465a0c5cf3ad51d28b4950334835a15b8c46031r1-1295-2023v2_uhq.jpg
Referencias

[1] Poderes arácnidos. (s/f). Spider-Man wiki. https://spider-man.fandom.com/es/wiki/Poderes_ar%C3%A1cnidos#Sentido_ar%C3%A1cnido

Año 2552, contraseña: 11111

Es mi deber moral advertir que el siguiente párrafo tiene un ligero spoiler de Halo, la serie que se presenta por Paramount+

Andaba muy tranquilo poniéndome al día con la serie de Halo que se emite por Paramount+ y hubo un suceso que llamó mi atención: el artefacto, un elemento que se presume es bastante importante para la poder ganar la guerra entre los humanos y el Covenant estaba custodiado en una sala cuyo acceso estaba protegido por contraseña, la cuál es 11111.

El artefacto es un elemento que puede ayudar a ganar la guerra contra el Covenant, resguardado en una sala cuya contraseña de acceso son sólo 5 caracteres, que además son secuenciales, sin una comprobación biométrica, sin otro factor de autenticación y que fue deducido por una IA en pocos segundos… en el siglo XXVI la humanidad ha podido conquistar otras galaxias, pero no ha podido adquirir conciencia acerca de asegurar adecuadamente sus activos importantes. Tal parece que la UNSC no alcanzó a leer la entrada donde expliqué el porqué es una mala idea una contraseña así y sólo queda pensar que el futuro será catastrófico a nivel de ciberseguridad para la humanidad.

Y yo entiendo muy bien que los guionistas se toman este tipo de libertades creativas, no se van a gastar el presupuesto de la serie contratando un panel de expertos en ciberseguridad para que debatan cómo los humanos deberían asegurar los activos en 500 años, sólo para complacer a un montón de ñoñazos (porque estoy seguro que no fui el único de mi área que lo notó) que ni en sus ratos de ocio dejan de pensar en estas cosas.

Pero a lo que quiero ir, es que este problema de un futuro bastante distante no es ajeno a esta época, así como en 2552, en la actualidad muchas personas no tienen una política robusta de contraseñas. Y algunos dirán “pues es que yo no tengo que custodiar un artefacto militar que permita ganar la guerra, entonces no tengo que preocuparme por una contraseña segura” y aunque puede ser cierto que la mayoría de nosotros no custodia elementos que puedan definir el futuro de la humanidad, sí tenemos una identidad digital que deberíamos tratar como tal.

¿Por qué se insiste tanto una contraseña robusta?

Estamos atados a una vida digital, tenemos múltiples cuentas: redes sociales, bancos, correos electrónicos, aplicaciones, etc, y a nivel laboral también, accesos a paneles de gestión, servicios de VPN, correos corporativos, entre otras. Una contraseña con una complejidad considerable puede evitar que personas no autorizadas accedan a estas y se materialicen riesgos como suplantación de identidad, robo de información, extorsión, fraudes, fuga de información confidencial, entre muchos otros horrores que se pueden ver en internet día a día. Y sí, se que algunos también dirán “pues yo no tengo nada que esconder, pueden entrar a la cuenta que sea”, y creo que esa es de las frases que más me frustran cuando hablo de estos temas con alguien, sin embargo los riesgos están ahí latentes, ignorarlos no hará que desaparezcan.

Cierre

Este tema respecto a las contraseñas y la forma de proteger nuestras cuentas es algo extenso, en próximas entradas seguiré profundizando al respecto, por ahora sólo quería dejar esta pequeña reflexión, aprovechando el momento de ocio viendo la serie.

Recuerden que pueden invitarme a un cafecito.

Ahora son tres años

Hasta que me llegó un correo electrónico de mi proveedor de hosting recordándome que el dominio de este sitio web estaba próximo a vencer, no había caído en cuenta que se cumplen 3 años de este blog y como es costumbre, me gusta celebrarlo escribiendo aquí mismo.

Mientras preparaba qué escribir, comencé a leer las entradas conmemorativas de los años anteriores y ya entrado en gastos, comencé a leer todas las entradas, y aunque yo convivo con mis pensamientos 24/7 y estoy acostumbrado a oírme a mí mismo, reconozco que ustedes tienen mucha paciencia para leer tantos párrafos sin sentido y con problemas de redacción, pero acá no es donde les agradeceré por leerme, eso será más adelante. Este ejercicio que he hecho, ha sido un completo viaje en el tiempo, he reflexionado cómo ha cambiado en el tiempo la estructura del blog, cuando comencé quería comenzar con conceptos de cero, explicaciones sencillas, pero se ha trasladado un poco más hacia la reflexión sobre situaciones cotidianas y la ciberseguridad, me gusta mucho ese camino que he ido tomando, junto con la forma en que expreso las ideas, siento que ha sido un lenguaje mucho más relajado y un poco menos pretencioso.

Viendo la entrada conmemorativa del segundo aniversario, he advertido que se cumple un año de la idea del canal de Youtube y el intento de conquista de otros públicos, cosa que se volvió una especie de chiste interno (del cual me río únicamente yo) diciendo algo como “para la próxima sí”, “a final de año sí” y sigue siendo un borrador, pero no significa que la haya abandonado, sólo que estoy inmerso en otras situaciones importantes para mí, pero con la firme convicción de que, toda idea que se comienza, debo terminarla algún día.

Tres años han pasado ya, y sólo puedo estar feliz por perdurar en el tiempo, también muy agradecido por las veces en que la gente a la que me dirijo (amigos y conocidos), comparten, me comentan o dejan un “like” en alguna red social o simplemente con su preguntas, me dan alguna idea para escribir, tres años intentado impactar a alguien sobre la ciberseguridad, el hacking y las situaciones cotidianas del ciberespacio me recargan el ánimo para continuar por acá con puras incoherencias y chistes flojos. Gracias por estar ahí siempre.

Mi número de identificación, mi contraseña

¿Quiénes de ustedes creen que es buena idea tener como contraseña su número de identificación (en otros países es el equivalente a Cédula de ciudadanía, DNI, ID, número de identificación, etc)? Bien, pues para aquellos que creen que es una gran contraseña, emprenderemos una trepidante aventura, con un laboratorio sencillo para demostrar que no lo es.

Antes que nada, veamos cuáles podrían ser los motivos por los cuáles alguien podría usar su número de identificación como contraseña:

  • Longitud: En Colombia, los números de identificación oscilan entre 8 y 10 caracteres y 8 son el mínimo exigido por muchos sistemas.
  • Fácil de recordar: Es nuestro número de identificación y lo necesitamos para casi todo, no nos podríamos olvidar de este dato tan fácilmente.
  • Personal: Sólo nosotros mismos nos sabemos este número, nadie va a andar por la vida aprendiéndose el número de identificación ajeno ¿O sí?
  • Sistemas laxos: Aunque me da la impresión que cada vez es menos frecuente, aún hay sistemas que no son estrictos con las políticas de asignación de contraseñas.

Consideraciones antes empezar

  • Habrá un par de elementos un poco técnicos, pero, para los no técnicos, por favor no pierdan el foco de lo que vamos a hacer: comprobar que no se debe usar el documento de identificación como contraseña.
  • Lo más común es que los números de identificación (por lo menos en Colombia), estén entre 10.000.000 y 1.111.111.111, sin embargo, por ser sólo una prueba de concepto, acortaremos el rango de documentos entre 40.000.000 y 89.000.000.
  • No vamos a escribir uno por uno cada documento (son 50.000.000 en el rango que elegimos), he creado un pequeño script en python que facilita el trabajo, basta con correr python3 dict.py > dict.txt para que el listado quede guardado en un archivo de texto llamado dict.txt, que a partir de ahora, nos referiremos como “diccionario”.

    #!/usr/bin/python3

    def dictionary():

       start = 40000000
       end = 90000000

       for i in range(start,end):
               print (i)


    if __name__ == "__main__":
       dictionary()

Armando el laboratorio

Para nuestro objetivo, he utilizado un router casero, como el que todos tenemos en casa, he configurado una red WiFi llamada “computadoresycafe” (Ja!, seguro no se esperaban ese nombre) y como contraseña elegí un número al azar dentro del diccionario, la seguridad será WPA2-PSK, que, es el común denominador en la mayoría de redes inalámbricas domésticas y algunas corporativas.

Script de python en una línea para elegir un número aleatorio en el rango seleccionado.
Configuración de red. Clave censurada porque vamos a adivinarla.
Red wifi configurada y lista para ser atacada.

Ahora bien. no describiré todo el proceso, ni mostraré el paso a paso, como es costumbre acá, siento que estaría empujando a alguien a hacer cualquier tontería y no quiero sentirme responsable por tonterías, más que por las mías y en la bastedad de internet realmente hay un montón de tutoriales que describen todo paso a paso. Sin embargo resumiré los pasos que se llevan a cabo y el resultado final.

Identificar nuestro objetivo

Es lo primero que necesitaremos, debemos identificar cuál será la red inalámbrica que utilizaremos para nuestro cometido, adicional necesitaremos la MAC del dispositivo, pero nada de nervios, no necesitamos acceder a ninguna arte oscura para obtenerlo, el programa que se utiliza para estas cosas hace todo por uno.

Monitorear

Bien, ahora sólo debemos monitorear qué sucede en la red que estamos atacando, básicamente necesitamos que alguien se conecte a esta, ¿por qué? fácil, cuando alguien se conecta a una red wifi, la contraseña viaja “por el aire” entre un dispositivo conectado y el router, el router valida que la contraseña sea correcta y ahí permite la conexión, a todo este proceso se le llama handshake.

Como ya se dijo, se debe esperar pacientemente a que alguien se conecte a la red en específico, o se puede forzar una desconexión entre alguien que ya lo esté, para que se tenga que reconectar, da igual el método, lo importante es obtener el dichoso handshake.

Se podría pensar que la contraseña se podría obtener si capturamos los paquetes que “viajan por el aire”, sin embargo esta va cifrada, por lo cual nos vamos al siguiente punto.

Ataque de diccionario

Este es el paso final, a grandes rasgos y de manera muy amplia, lo que debemos es comparar las 50.000.000 líneas que contiene nuestro diccionario, cifrarlo como se cifraría el handshake y compararlo con el que se capturó. Por supuesto, todo esto es automatizado, no tenemos que preocuparnos por nada, más que por escribir una línea de comando y esperar pacientemente.

Como podemos ver, este proceso tardará alrededor de unas 3 horas, entonces, mientras esto se ejecuta, vamos por un café…

Y después después de transcurrido un tiempo, logramos encontrar la contraseña de la red inalámbrica

La cual, por supuesto coincide con la contraseña configurada en nuestro router y podemos conectarnos a dicha red.

Preguntas que (espero) puedan surgir a partir de esto:

  • ¿Sólo me veo afectado si uso ese rango de números?
    RTA:
    No, esta prueba de concepto aplica para cualquier rango de números y de cualquier longitud.
  • ¿Es grave que un desconocido se conecte a mi red inalámbrica sin autorización?
    RTA:
    Sí, si alguien mal intencionado se conecta a una red inalámbrica puede ejecutar muchos otros ataques que pueden poner en riesgo la seguridad y la privacidad de una red.
  • Si agrego letras o símbolos a mi contraseña ¿estaré protegido?
    RTA:
    Parcialmente, una contraseña robusta puede dificultar este tipo de ataques, sin embargo, la premisa es que no hay un sistemas completamente seguro.
  • ¿Este ataque sólo aplica para redes inalámbricas?
    RTA:
    No, esto es sólo un ejemplo, usar números como contraseña hace vulnerables correos electrónicos, contraseñas de sitios web, redes sociales y demás.

Cierre

Espero que esta entrada haya sido de utilidad y de reflexión acerca de las contraseñas que utilizan en su día a día. ¿les surge alguna otra pregunta después de ver esto? ¿tienen algún otro motivo por el cuál usarían su número de identificación como contraseña? los invito a dejarlo en los comentarios y si quieren, ya saben que pueden invitarme a un café.

Historias cortas de la vida real (VI) – Pequeño ejemplo de ingeniería social

Hace unos cuantos meses, una amiga que reside en otro país me escribió para contarme cómo, mientras hablaba conmigo, su novio al parecer estaba siendo estafado telefónicamente.

Parecía que iba a ser un día cualquiera en la vida de mi amiga, a quién llamaré Ana (para proteger su identidad) y su novio, al que llamaremos Carlos (porque no me acuerdo de su verdadero nombre), todo cambió cuando Carlos recibió una llamada donde una mujer (su hermana) llorando le decía que la habían secuestrado, luego, el supuesto captor se puso al teléfono y le hizo una exigencia de dinero, que, incluso, fue negociable, los supuestos captores le dijeron que les consignara lo que tuvieran a la mano. Finalmente, Carlos accedió, les hizo un giro por la no despreciable de 1500 dólares, los supuestos captores incluso le dijeron que de ese valor descontara el cargo por el giro (muy queridos ellos) y poco más queda por contar, mientras se hizo toda la transacción, consignación e incluso retiro del dinero, tuvieron a Carlos en la línea ocupado y aunque Ana intentó explicarle de diferentes formas que posiblemente lo estaban estafando, él hizo caso omiso de las advertencias. Unas horas después se confirmó que por fortuna, su hermana nunca estuvo en peligro.

Esta historia nada tiene que ver con computadores, pero que me permite ampliar un poco acerca de lo que hablaba en la entrada anterior sobre la ingeniería social, el concepto es el mismo, desviar el comportamiento de una persona para que tome alguna decisión, en este caso, una bastante errática. Vemos cómo logran crear una situación que genera confusión, porque todos podríamos llegar a preocuparnos al tener un familiar en peligro, y no sólo esto, también se puede apreciar la forma en la que ejercen distracción y control para evitar que la persona implicada no se de cuenta, mantener la mente ocupada evita que pida ayuda a alguien más o que escuche las palabras de Ana. Al final, cuando la transacción se completa y ellos hacen el retiro (notemos también que están muy bien coordinados), simplemente cuelgan y desaparecen sin dejar rastro alguno.

Tristemente esta historia no acaba con un final feliz, pero, de las adversidades de uno, otros pueden sacar provecho como por ejemplo yo al escribir esta entrada.

Este tipo de estafas son bastante comunes y hemos escuchado de ellas muy a menudo, pero allá afuera, aún hay gente susceptible de caer, por eso (y con el debido permiso), me atrevo a escribir sobre esto, confiando en que a alguien, en algún momento le sea útil, ya saben que se pueden invitar a un cafecito en el link de abajo. ¡Hasta la próxima!

Hackeando sin computadores

Introducción

Esta entrada pudo ser un vídeo, de esos que podría subir al canal de Youtube que dije que iba a crear cuando llegaron los dos años del blog, pero, como podrán suponer no he avanzado mucho con ese proyecto y al igual que el amor, la inspiración para escribir llega cuando uno menos se lo espera, así que acá estamos, frente al computador, en una tarde soleada en mi ciudad, mientras disfruto de unos días de vacaciones. Y muchos coincidirán que estando en vacaciones no debería estar acá, sino aprovechando esos días de sol o dedicado a cualquier otra actividad que no implique hablar de trabajo, pero al igual que el amor, la pasión puede más que cualquier otra cosa.

Sin embargo, la idea de escribir esto, surge justamente de estar una noche tumbado en una cama, viendo la ladrona de identidades, la clásica película de humor gringo, que para sorpresa mía, me hizo reír.

Spolier Sinopsis

Por ser una película de 2013, creo que ya no cuenta como spolier, sin embargo intentaré no entrar en muchos detalles. La vida de Sandy Patterson se ve perjudicada por alguien que suplanta su identidad, le causa un gran daño financiero y judicial. Tal vez algunos pensarán que esto lo puede lograr una mente maestra capaz de infiltrarse en todos los sistemas informáticos del mundo, un genio de la informática con una inteligencia superior a la media o una especie de ser que duerme pocas horas al día y está rodeado de pantallas de computador y artifundios electrónicos.

Pues bien, nada más alejado de la realidad, la artífice de la situación que le da título a esta desopilante aventura es Diana, una mujer bastante torpe en muchos aspectos, pero que, a través de ingeniería social se logra hacer con la identidad de Sandy Patterson y desencadena una desternillante aventura.

Lo que nos compete: La ingeniería social

Según el sitio https://www.social-engineer.org/ (para mí, uno de los mayores investigadores sobre la ingeniería social en el mundo) la ingeniería social es “cualquier acto que actúe sobre una persona para que tome una decisión que pueda o no beneficiar a este”[1] es decir, a través de la ingeniería social, se puede influir en el comportamiento de una o varias personas, para que actúen de determinada forma. Volviendo al ejemplo de la película, Diana logró hacerse con la identidad de Sandy a través de una llamada telefónica, fingiendo que era una agente crediticia, ofreciéndole un seguro ya que se habían intentado realizar un fraude (ironías de la vida), solicitó unos datos, los cuales Sandy entregó con confianza y con ello clonó una tarjeta de crédito y su identidad. No necesitó mucho más (excepto por los aparatos con los que imprimió la tarjeta). Casos como estos podemos ver a diario, un ejemplo de ello son esas llamadas fraudulentas fingiendo que un familiar está en algún tipo de problemas, que la clave de nuestro banco fue bloqueada, hacer clic en algún enlace, descargar un programa o que incluso uno se ha ganado un premio de algún tipo. Cualquiera de estas acciones, sin importar su consecuencia (robo de identidad, estafa, robo de dinero, acceso no permitido a un computador o red) es considerado ingeniería social y es altamente utilizado por los delincuentes para llevar a cabo su cometido.

La escena en cuestión

¿Estamos a la deriva en esto?

Por tratarse de un ataque que está meramente dirigido hacia una persona, no hay software, antivirus o dispositivo que pueda solucionar esto, sin embargo la mejor defensa para estos casos es desconfiar, la ingeniería social se basa en crear un entorno confiable a la víctima, solicitar su cooperación en algo o directamente intimidar de alguna forma, por eso es importante detenerse durante unos segundos para pensar con cabeza fría la situación y analizar muy bien el entorno.

En el link de abajo pueden invitarme a un café, a ver si así logro avanzar con el canal de Youtube, un abrazo.

Referencias

[1] What is Social Engineering? (2014, enero 21). Security Through Education. https://www.social-engineer.org/about/

Reflexionando sobre el software libre gracias a Winamp

Introducción para los nostálgicos

Bueno, esta entrada pudo haber sido un vídeo de youtube, sin embargo, he tenido unos cuántos inconvenientes a nivel logístico y creativo, sin embargo no quería dejar pasar la oportunidad de escribir esto, al ver que, después de muchos años, se liberó una nueva versión de winamp.

Para quienes no lo sepan, o lo hayan olvidado, winamp fue un emblemático reproductor multimedia de windows, que fue muy popular en nuestra generación ya que era muy versátil, tenía una interfaz gráfica muy ordenada, permitía adaptar sus módulos de manera fácil y creo que la mejor función de todas era que su apariencia se podía personalizar con la instalación de skins, además era gratuito. Me atrevo a decir que en su época fue uno de los software más populares y utilizados.

Así lucía winamp

Desconozco los motivos por los cuales este reproductor perdió popularidad, comenzó a quedar en el olvido y su desarrollo se detuvo, sin embargo la versión 5.9 RC1 ya fue publicada.

¿Qué es el software libre?

El software libre nació cuando Richard Stallman, (al igual que muchos de nosotros) se peleó con su impresora, bueno, en realidad fue con los fabricantes de la impresora, ya que no quisieron suministrar el código fuente del controlador de esta para poder agregarle una nueva funcionalidad y a partir de ahí, se creó todo un movimiento, basado en la filosofía de descargar, modificar, distribuir y examinar el código fuente de un software de manera libre y sin restricciones a través de la GNU General Public License.

Libre no es lo mismo que gratis

Como ya lo había dicho, Winamp se distribuyó de forma gratuita y esta nueva versión no es la excepción, sin embargo hay algo que me gustaría remarcar, según el portal Xataka, Winamp puede ser detectado como software malicioso, es decir, que dentro del programa podría estar contenido algún otro que pueda comprometer la seguridad o la privacidad de quien lo utiliza, sin embargo, se dice que esto sólo es un falso positivo y que el programa es seguro. Y con esto es como quiero explicar la diferencia sustancial entre un programa de descarga gratuita (en la que no se debe pagar por su usufructo) y el software libre (amparado bajo la licencia GNU GPL). En un principio, tanto los programas gratis y los libres, pueden ser descargados y distribuidos sin tener que dar dinero al desarrollador, pero el software libre nos otorga una libertad, podemos descargar el código fuente y examinarlo, lo cual nos permitiría saber a ciencia cierta cuál es el contenido de un programa, su comportamiento, sus componentes, etc.

Para retomar, Winamp es un programa gratuito, podemos descargarlo, pero su código fuente no es de escrutinio público, por lo cual sólo nos queda confiar en la palabra de los desarrolladores al decir que no contiene software malicioso.

Conclusión

Entiendo que toda esta cátedra de software libre y gratis al usuario final puede tenerlo sin cuidado, generalmente, uno como usuario regular lo que quiere es poder tener un software por el cual no deba pagar, que funcione sin problemas o limitaciones y ya, seguramente muchos usuarios dirán “pues yo ni programador soy, qué voy a andar necesitando revisar el código de un programa, ni mucho menos tendré tiempo para eso”, sin embargo, me parece importante que, tanto el software libre, como las diferencias que se plantean, sean divulgadas, no para que todos nos convirtamos a esa especie de religión que se ha creado alrededor de Richard Stallman, sino para que muchos sepan que, en esta época donde la tecnología se convirtió en un pilar importante de nuestra vida, la distribución de software libre, es una vía para reducir la brecha tecnológica.

GNU, la imagen oficial del proyecto GNU.

Ya son dos años

Es increíble que entre la entrada que escribí para celebrar un año y esta haya sólo dos publicaciones. Para algunos, un blog con tan pocas entradas en dos años podría ser un proyecto fallido y tal vez tenga razón, sin embargo, yo no lo veo así. Me aferro a la idea que este blog sirvió como un peldaño de otros cuántos que tuve que subir para obtener mi primer trabajo en ciberseguridad, cosa que no podría ponerme más feliz. Y no es sólo eso, tal como escribía acá, este es el lugar donde condenso muchas ideas, cada borrador que escribo y no termino es un recordatorio de las cosas que debo repasar o lo que debo aprender para, ahí sí poder publicar la entrada, teniendo en cuenta la cantidad de borradores que tengo y comparándolo con las entradas publicadas, la conclusión a la que llegamos todos, es que definitivamente, aún hay mucho material que revisar y aterrizar muchas ideas sueltas.

Con pocas o muchas entradas, para esta fecha siempre habrá una publicación para agradecerles a todos los que llegan acá, se toman el tiempo de leer, dejar algún comentario o una donación. Impactar de manera positiva a alguien intentando dejar un poco de lado tanto tecnicismo y palabras sofisticadas para explicar algo que nos concierne a todos, es algo que me llena de mucha alegría y siento que se alinea con ese objetivo utópico de intentar hacer un mundo digital más seguro.

Aun así con el gran aprecio que le tengo a este blog, siento que se está comenzando a quedar estancado en el tiempo, los blogs (junto con los foros) eran por allá en la década pasada el medio más rápido para encontrar noticias, soluciones de máquinas, aprender técnicas y un sin fin de cosas, pero estos medios fueron desplazados por otros que son mucho más llamativos, los video-tutoriales y las transmisiones en directo. Y tiene todo el sentido, estamos en una época en la que intentamos ser multitarea y si esta publicación no fuera un vídeo, en lugar de emplear 2 o 3 minutos frente a la pantalla leyendo, fácilmente mi voz estaría sonando en paralelo mientras van manejando, cocinando o cualquier otra cosa que no requiera tener los ojos fijos en un dispositivo. Así que yo también he decidido dar ese salto a las nuevas plataformas, no sólo por esta razón, sino porque ¿Qué clase de estereotipo nerd sería si no estoy actualizado con las últimas tendencias de tecnología? Además, iniciar este blog era para mí un reto, un reto tecnológico, ¿podría ser capaz de crear un blog desde 0? ¿Podría montarlo con Docker? Y ahora que lo logré, es el momento de plantearse otro reto y este me parece bastante desafiante, porque es sumergirme en un mundo nuevo, sin dejar de hablar de lo que más me gusta: ciberseguridad y tal vez podría llegar a más personas.

Esto no significa que voy a abandonar o cerrar este blog, en el colegio, un profesor me escribió una vez en un trabajo, que no abandonara la costumbre de escribir, porque lo hacía muy bien, aunque yo no creo que lo haga tan bien, acá estoy haciéndole caso hasta el final al profesor de filosofía: Alexander. Ahora bien, Youtube y sus políticas son un verdadero dolor de cabeza para quienes se dedican a compartir contenido de ciberseguridad en esa plataforma, los canales son borrados, los vídeos desmonetizados y con penalizaciones, así que, seguramente, (aunque esta idea no está del todo madura aún) este blog continuará funcionando para publicar ese tipo de cosas que no se la llevan bien con las políticas de Youtube.

Así que supongo que pasará un buen tiempo antes de que vuelvan a tener noticias mías, ya que esta idea del canal de Youtube me empezó a rondar con más fuerza mientras veía mi película favorita y apenas la estoy materializando conforme escribo esto, así que espero nos veamos pronto por Youtube y pueda seguir recibiendo el mismo apoyo como hasta ahora. Un abrazo.