Noticias y Alertas
Header
El Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia (CNI), ha publicado un informe en el que advierte: “Desde sus inicios, los creadores de WhatsApp han descuidado algunos elementos básicos en cuanto a la protección de la aplicación y de los datos personales que se gestionan en esta aplicación”.

(más…)

WhatsApp is establishing data-sharing practices that signal a significant shift in its attitude toward privacy—though you wouldn’t know it from the privacy policy update that popped up on users’ screens recently. The new policy lays the groundwork for alarming data sharing between WhatsApp and its parent company Facebook. (más…)

QRLJacking: secuestro de código QR

agosto 3rd, 2016 | Posted by kwelladm in Noticias - (0 Comments)

SQRL () es un un sistema de autenticación basado en código QR que permite a los usuarios “certificar” rápidamente la autenticidad en un sitio web sin tener que memorizar o escribir nombre de usuarios o contraseñas. Los códigos QR son códigos bidimensionales que contienen una cantidad significativa de información, como una llave precompartida o una cookie de sesión.

Un sitio web que implementa el sistema de autenticación SQRL muestra un código QR en la pantalla de la computadora y cualquier persona que quiera iniciar sesión sólo escanee ese código con una aplicación de teléfono móvil. Una vez escaneado, el sitio inicia la sesión de usuario sin necesidad de escribir ningún dato adicional. Este código se renueva cada 20 segundos. Por ejemplo, en WhatsApp web, se presenta la siguiente pantalla:

Como las contraseñas pueden ser robadas con un keylogger, con un ataque Man in the Middle (MitM) o por fuerza bruta aún, los códigos QR son considerado seguros ya que se genera al azar un código secreto, que nunca es revelado a nadie.

QRLJacking: Secuestro de código QR

El investigador de seguridad egipcio Mohamed Abdelbasset Elnouby (@SymbianSyMoh) ha creado una prueba de concepto que demuestra una técnica que se puede utilizarse para hackear cuentas de servicios que usan la característica “Inicio de sesión con código QR”. Denominado QRLJacking, la técnica es un “vector de ataque simple-pero-desagradable” que afecta a todas las aplicaciones que basan su inicio de sesión con códigos QR.

Básicamente se basa en un phishing, donde el atacante tiene que convencer a la víctima de escanear el código QR brindado por el atacante:

  • El atacante ingresa al sitio que utiliza el código QR (por ejemplo WhatsApp web). El sitio muestra el código generado.
  • El atacante clona/copia del código QR de inicio de sesión en una página de phishing creada por él.
  • El atacante envía la página de phishing a la víctima.
  • Si es convencido, la víctima escanea el código QR con la aplicación móvil objetivo.
  • La aplicación móvil envía el token secreto al servicio web para completar el proceso de autenticación.
  • Como resultado, el atacante inicia la sesión cliente y gana el control sobre la cuenta de la víctima.
  • Para llevar a cabo un exitoso, un atacante debe refrescar continuamente (cada N segundos) el código generado en la página falsa.

Este escenario se puede replicar en WhatsApp, WeChat, AirDroid, Weibo, Yandex, Alibaba y cualquier otro proyecto que utilice código QR como método de autenticación.

Para más detalles se puede ingresa a la página del ataque QRLjacking en OWASP o Github o se puede ver el video.

Fuente: The Hacker News

whatsapp

El pasado mes de abril la compañía de Mark Zuckerberg informaba de que había completado el proceso por el cual WhatsApp se basa en el cifrado de extremo a extremo para sus comunicaciones. Esto quiere decir que los mensajes ‘salen’ cifrados de nuestro móvil, pasan del mismo modo por los servidores de la compañía y no se descifran sino cuando llegan al teléfono inteligente del contacto al que han sido enviados. Es decir, que según esta premisa sería prácticamente imposible interceptar una conversación, pero un investigador de seguridad ha encontrado una ‘puerta trasera’ a este sistema.

Nuestras conversaciones de WhatsApp no pueden ser interceptadas ‘en tránsito’, pero sí se puede revisar una copia local (más…)

Hace un año empezamos con esta Saga que hoy tenemos que actualizar. Luego de esos artículos que tuvieron tanta repercusión y que próximamente publicaremos en conjunto, qué es lo que podemos decir.

En cuanto a la evaluación que tiene en cuenta cómo nos protegen las empresas de los requerimientos de los gobiernos y recordando que el análisis se hizo en base a cinco criterios públicos:

  • seguir las prácticas recomendadas por la industria
  • informar a sus usuarios de los pedidos de información de los gobiernos
  • hacer pública su política de almacenamiento de datos de sus usuarios
  • informar de los pedidos de los gobiernos de eliminación de contenido
  • oponerse a accesos secretos que permitan el espionaje por parte del estado

(más…)

WhatsApp no es cien por cien segura

abril 10th, 2016 | Posted by kwelladm in Noticias - (0 Comments)

La «app» propiedad de Facebook ha implementado por defecto un sistema de cifrado de extremo a extremo -«end to end», en inglés-, que permite a sus más de mil millones de usuarios mantener conversaciones seguras y privadas, tanto en los mensajes de texto como en las llamadas. Sin embargo, todavía no hace borrados seguros como Telegram.WhatsApp cuenta ya con el cifrado de extremo a extremo

(más…)

WhatsApp es la aplicación de mensajería instantánea más utilizada del mundo. Más de setecientos millones de usuarios en todo el planeta (la décima parte de toda la Humanidad), la utiliza para intercambiar mensajes de texto y de voz, ficheros de audio y de vídeo, etc. El hecho de que sea una aplicación universalmente utilizada, implica también que muchas personas, involucradas en procesos judiciales, presenten los mensajes de WhatsApp como prueba si quieren demostrar que una conversación, en unos términos concretos, ha tenido lugar entre determinados interlocutores.

Que actualmente ya se estén admitiendo como pruebas los mensajes enviados y recibidos a través de WhatsApp, otorga una dimensión extraordinaria a esta aplicación, de tal forma que debe tenerse en cuenta la posibilidad de que los mensajes puedan ser manipulados, no sólo a la hora de realizar el envío del propio mensaje, como ya fue demostrado por dos ingenieros informáticos españoles, sino también una vez los mensajes han sido enviados o recibidos, es decir, directamente sobre la base de datos en la que se almacenan los mismos. (más…)

Es en comparación a las posturas que toman compañías como Apple, Google, Microsoft o Twitter respecto de los pedidos gubernamentales para acceder a los datos de sus usuarios.

Un análisis de la Electronic Frontier Foundation (EFF), una muy conocida organización sin fines de lucro dedicada a defender la libertad y privacidad digitales analizó cómo hacen varios servicios digitales para proteger la privacidad de sus usuarios. (más…)

Finalmente, Whatsapp desembarcó en las PCs, gracias a su nuevo cliente web lanzado hoy para el browser Chrome. Whatsapp Web, que ya está funcionando y está disponible para usuarios de Android, Blackberry y Windows Phone (llamativamente, aún no está disponible para iPhone), fue diseñado, según la compañía, “para las personas que pasan mucho tiempo frente a una computadora, tanto en casa como en el trabajo”. (más…)

Con 700 millones de usuarios en el mundo, WhatsApp es la aplicación móvil de mensajes instantáneos más popular del mundo. Muchos de esos usuarios están en América Latina, donde según ha dicho la empresa –que fue comprada por Facebook hace un año– está uno de sus principales mercados. Ahora bien, muchos usan WhatsApp a diario: chatean, mandan mensajes de voz y audio y, cada vez más, comparten fotos. Pero quizá se están perdiendo algo que puede mejorar la experiencia. Acá tienen 10 herramientas o facetas o trucos que probablemente no sabían de WhatsApp. (más…)