Feeds:
Entradas
Comentarios

Posts Tagged ‘Inteco’


“Un albañil leonés encuentra graves fallos de seguridad en Facebook”. Con éste titular aparecía la noticia en la sección de tecnología de Elmundo.es. Y, así era. Se trata de Alfredo Arias (conocido como @minipunk) , un albañil asturiano afincado en León que ha encontrado y puesto en conocimiento tanto a Mark Zuckerberg, creador de Facebook, como al Inteco (Instituto Nacional de Tecnologías de la Comunicación) el fallo.

El agujero de seguridad que encontró @minipunk está relacionado con la suplantación de identidad de los usuarios de la red social Facebook que tengan habilitada la funcionalidad de correo asociada a su perfil. ¿Ein? Para lo que como yo, al leer esto no sabíamos ni si tenías de eso, lo explico: los usuarios que pueden ver suplantada su identidad son aquellas que tienen cuentas de correo de tipo usuario@facebook.com. Este nuevo servicio se lanzó en Estados Unidos a finales de 2010 y llego a España en la primavera de 2011 como una opción más a la que el usuario podía acceder de forma gratuíta si lo deseaba o declinar la invitación pudiendo aceptarla más tarde (o nunca).

La forma en la que @minipunk hizo llegar a su mujer, periodista del diario El Mundo en León, un mensaje suplantando la identidad del jefe de esta: ‘No has hecho caso a los correos que te ha enviado @minipunk, así que te quedas sin vacaciones‘. Según ha declarado el internauta, se trataba de llamar la atención y hacer ver que ‘cualquier puede suplantar la identidad de la mayoría de las personas que estén en Facebook, es un fallo grave’ y aseguró al diario leonés que las más ‘vulnerables son las empresas’.  ¿Cómo se lleva a cabo la suplantación? A través del “spoofing”, una técnica utilizada para sublantar la identidad de usuarios en la red y que, en el caso del que hablo, se refiere a poder modificar el remitente del correo electrónico de Facebook.

@minipunk descubrió el fallo el viernes. Ha día de ayer, Zuckerberg y su equipo no habían dado respueta, mientras que hoy martes (después de varias pruebas) el Inteco finalmente ha enviado un correo de aviso a los usuarios que están inscritos en su lista de mailing, entre las que me encuentro (y recomiendo apuntarse para estar al día de alertas/novedades y fallos de seguridad de un gran número de programas y aplicaciones. También recomiendo darse una vuelta por la web del OSI, Oficina de Seguridad del Internatua). El aviso también es accesible a través del portal de Inteco, en éste link.

Lo curioso del aviso del Inteco no es que haya utilizado para sus pruebas a Lady Gaga (como se ve en la imagen), ni que hayan explicado algo mal (que no lo han hecho). Lo curioso, digo, es la última frase del correo.

Tras una breve pero precisa información sobre el fallo, su origen y los usuarios que pueden haberse visto afectados. El Inteco añade un ejemplo mediante imágenes y la solución al problema. Cito textualmente las dos posibles soluciones que se apuntan en el e-mail:

Ser conscientes de que no se puede asegurar quien es el remitente en los correos recibidos

Deshabilitar la funcionalidad de correo en Facebook, pero tengamos en cuenta que este problema lo vamos a encontrar en cualquier otro servicio de correo

Ambas soluciones bastante obvias, pero por ello hay que recordarlas. Yo añadiría una tercera: ser concientes de la vulnerabilidad de nuestra identidad en Internet aunque se nos pueda asegurar que la página o la red social o la cuenta de correo… son seguras. Porque aquí radica el gran problema del uso masivo de la red: pensamos que todo es seguro, que no podemos ser el blanco de una suplantación o de un ataque a nuestra web, red social u ordenador. Nos exponemos sin saber exactamente cuáles son los riesgos ni cómo protegernos de ellos.

En Elmundo.es, Inteco, además de que se enteró del fallo por @minipunk, recomienda a Facebbok tres medidas a seguir: la primera, avisar al usiario de que la vulnerabilidad es posible; la segunda, incrementar la seguridad del correo y comprobar que proviende de un servicio autorizado para ese dominio, y la tercera es verificar la autenticidad de la firma del correo electrónico con DKIM. La última no os la sé explicar porque mi nivel de conocimiento de protocolos/abreviaturas/acrónicomos/palabrejas referidas a la red es de nivel usuario-medio.

Como último apunte, el Inteco (con sede en León) ha asegurado que no se “encuentra abierto a autodidactas brillantes en este campo, como Alfredo Arias (…) que sigue ganándose la vida como albañil, aunque también haga trabajos relacionados con las nuevas tecnologías para empresas especializadas como Proconsi, y que además tiene una presencia muy activa en las redes sociales y como blogger”. Lo único que hacen cuando les llega algún aviso de los usuarios de sus foros o usuarios que se ponen en contacto con el centro para hacer llegar un aviso de vulnerabilidad es comprobar si el fallo reportado es real y, sí así es, se les pone a los usuarios una etiqueta de confianza.

Pero vuelvo al correo electrónico que, como ya digo, detalla no sólo el problema, la solución y cuáles son los usuario afectados, sino que también informa de cómo se lleva a cabo la suplantación. Y aquí está la parte curiosa. Justo después de explicar cómo se vulnera la seguridad de la red social, el Inteco recuerda que…

Finalmente conviene recordar a aquellos usuarios que les este picando la curiosidad que la suplantación de identidad es un delito tipificado en el código penal.

Yo hasta este punto ni me lo había planteado, pero ha sido leerlo y entrarme unas ganas… pero como ni tengo cuenta de correo de la red social ni la necesidad ni las ganas de hacerlo, me voy a quedar como una buena ciudadana ante la ley: siendo buena en la red.

PD. Mañana, 30 de noviembre, se celebra el Día Internacional de la Seguridad de la Información y el Inteco ha organizado una mesa redonda en Madrid bajo el nombre “Tu sentido Común en Internet” en la que se analizarán los retos que afronta la seguridad en Internet, en ella participarán cinco experto españoles. El acto se podrá seguir por videostreaming a través de la web de la OSI, el hashtag #tusentidocomún y mediante dos web creadas para concienciar a los internautas: www.tusentidocomun.com y www.piensoluegoclico.com.

Anuncios

Read Full Post »