¿Consciente de qué datos tuyos están en internet?

¿Consciente de qué datos tuyos están en internet?

Qué sabe internet sobre mí III parte

Tercera parte de la serie de artículos “Qué sabe internet sobre mí?”, aportados por José Arroyo, con el objetivo de informarte sobre diferentes maneras de descubrir que datos tuyos pueden estar públicos en internet sin que seas conscientes de que están ahí. En la primera parte te hablamos de fugas de información (especialmente tus datos personales). Continuando con la misma dinámica compartimos un laboratorio práctico mostrándote más técnicas para que puedas verificar que información tuya anda suelta por internet.

¿Pueden averiguar las descargas que hago?

Las descargas realizadas por el protocolo BitTorrent pueden ser públicas en Internet, este protocolo utiliza un sistema p2p para el intercambio de archivos, de forma que, tu ordenador se convierte también en la fuente del fichero que estés descargando para servirlo a otros usuarios. Toda la organización y las conexiones las controla un servidor que se conoce como tracker.
Al registrarse todas las conexiones en el tracker, a no ser que utilices un tracker privado, cualquiera puede saber lo que se está descargando desde una dirección IP.
En esta web puedes consultar las descargas de torrents que se han hecho desde una dirección IP.
Introduciendo tu dirección IP y pulsando en “FIND IP” te devuelve un listado con las descargas, el nombre del fichero descargado, la fecha de inicio y finalización de la descarga y el tamaño del fichero. Puedes consultar tu dirección IP desde aquí

torrent

 

Esta Web también tiene una funcionalidad que nos permite compartir un enlace en las redes sociales y ver que torrents se han descargado desde las direcciones IP de las personas que abran ese enlace. Lo podemos encontrar en este enlace.

¿Qué implica que alguien pueda ver las descargas que hacemos?

Pueden hacer un perfil de nosotros en función de nuestros gustos e intentar que caigamos en alguna trampa utilizando “ingeniería social“.

Se puede saber si algún empleado está realizando descargas en la empresa.

Si desde una IP se están descargando cosas ilegales

La imaginación no tiene límites…

Obtener tus datos personales a través de la Web de hacienda – hacienda somos todos 🙂

Para solicitar cita previa en la Web de la Agencia Tributaria, únicamente necesitamos para acceder, nuestro DNI y el primer apellido 🙁

Los datos de acceso que pide la Agencia Tributaria para solicitar una cita previa, si conocemos a la persona, son relativamente fáciles de conseguir. En caso de que no la conozcamos podemos hacer búsquedas en Google (Los parámetros utilizados en otros navegadores diferentes a Google, pueden variar) utilizando un poco de hacking en buscadores por si estos datos estuvieran públicos en la red. Un ejemplo de consulta puede ser la siguiente:

filetype:xls intext:dni site:*.es

 

filetype:xml Con este parámetro le estamos pidiendo a Google que busque solo los documentos con esta extensión.

intext:dni Le estamos pidiendo a Google que busque en documentos xml que además aparezca la palabra dni dentro de su contenido.

site:*.es Le estamos pidiendo a Google que solo busque en dominios acabados en .es, en páginas españolas.

 

De esta forma obtenemos listados de personas donde aparece su nombre y apellidos y además su DNI

¿Qué podemos hacer con estos datos?

Pues por ejemplo saber la sede de la Agencia Tributaria que queda más cerca de su casa, nuestro nombre completo, preparar un ataque de ingeniería social…

 

¡¡LABORATORIO!!

¡Enséñame tu imagen y te digo dónde estás!

De todos es sabido que al publicar una imagen se deben borrar los metadatos que esta contenga los cuales nos pueden mostrar entre otras cosas, las coordenadas desde donde se hizo la imagen.

Pero, aunque eliminemos los metadatos de una imagen, utilizando un servicio de imágenes como el de Google Image, podemos hacer una comparativa de imágenes e intentar descubrir donde se ha realizado.

Gracias a la capacidad de identificación de Google Image podemos saber si una imagen está siendo usada en un sitio Web, las imágenes parecidas, las modificaciones de la propia imagen, etc.

Vamos a hacer la prueba. Subimos una imagen a Google. Abajo, la imagen de una fuente del retiro que hemos encontrado en internet.

 

  1. Subimos la imagen y hacemos la búsqueda de la “fuente”.
  2. En este apartado aparecen las páginas que coinciden con la palabra buscada, en este caso Google ha añadido la palabra fuente a la búsqueda, ya que la imagen ya había sido publicada.
  3. Google nos muestra en este apartado diferentes imágenes de la misma fuente o de otras muy similares.
  4. Aquí nos muestra la coincidencia exacta del lugar donde se ha hecho la fotografía, lo que se muestra es la Fuente de la Alcachofa en el Retiro Madrileño que coincide con la fuente que aparece en nuestra foto. Aparecen distintos artículos relacionados con esta fuente.

 

Te ví por Leakedin…

En la segunda parte de esta serie de artículos vimos como el servicio https://hesidohackeado.com buscaba si nuestra dirección de correo electrónico aparecía en alguna lista de cuentas hackeadas y por lo tanto nuestra recomendación era, y sigue siendo, cambiar la contraseña de los servicios en los que aparezcamos listados usando contraseñas seguras.

Leakedin es un servicio que permite seguir éstas fugas de datos por RSS o twitter que se van subiendo a Pastebin, no confundir con Linkedin que es una red social para profesionales.

Lo que hace Leakedin es analizar lo que se va publicando en Pastebin sobre fugas de información y lo va categorizando.

Por ejemplo podemos ver fugas de información sobre accesos a distintas cuentas:

http://www.leakedin.com/tag/simple-password/

 

Fugas de información de tarjetas de crédito:

http://www.leakedin.com/tag/mastercard-credit-card/

 

Fugas de información de bases de datos:

http://www.leakedin.com/tag/mysql-table-with-passwords/

 

Fugas de información de cuentas de correo:

http://www.leakedin.com/tag/emailpassword-dump/

 

Y así, muchas más…

 

Realmente, lo potente de este servicio, es que podemos seguir añadiendo el RSS http://feeds.feedburner.com/Leakedin a nuestro lector de noticias favorito y cada vez que se añada una nueva entrada nos llegará un aviso.

Aquí terminamos esta tercera parte sobre la serie de publicaciones ¿qué sabe Internet sobre mí? Si te ha gustado compártelo para que la gente de tu entorno tenga en cuenta también que en Internet vamos dejando muchos datos que seguramente no queremos que sean públicos. 🙂

Vuelve la maratón Hackathon Madrid Change

Vuelve la maratón Hackathon Madrid Change

El próximo 11 y 12 de febrero regresa una segunda edición de la maratón HACKATHON.

Hackathon

Este término “hackathon o hackatón” se usa comunidades hacker donde se reúnen programadores para desarrollar software de forma colaborativa. Se celebran en muchos países y con muchos fines, sociales, solidarios, startups, emprendedores, etc.

Hackathon Madrid Change son maratones de 48 horas dedicados a la innovación social. Participan 50 personas organizadas en 10 grupos diferentes. Para esta segunda edición los equipos estarán formados por un especialista en marketing, un diseñador, dos programadores, un emprendedor y un humanista, las inscripciones ya están cerradas.

Lugar y organizadores

El evento será en el Campus Madrid de Google y lo realiza  Madrid Change, magnífico proyecto creado por Andrés Espinosa y Alberto Berardi, dos emprendedores y estudiantes de IED Madrid.

Os dejamos el vídeo presentación:

(Laboratorio práctico) ¿Qué sabe Internet sobre mí? II Parte

(Laboratorio práctico) ¿Qué sabe Internet sobre mí? II Parte

En ¿Qué sabe internet sobre mí? I Parte vimos las fugas de información sobre datos personales que pueden estar públicos en Internet. Siguiendo la misma dinámica os mostramos otras técnicas para ver qué información nuestra está suelta por Internet. Así que… ¡vamos a ello!

¿Tu ISP revela información sobre ti a través del router?

Hay un buscador especializado en el internet de las cosas (IoT) llamado Shodan, desde el que podemos localizar casi cualquier tipo de dispositivo, incluidos los routers, cámaras de videovigilancia, discos duros multimedia, etc.

Para realizar la siguiente prueba de concepto tenemos que crearnos una cuenta en https://www.shodan.io/ e iniciar sesión. Una vez hecho, realizamos la siguiente búsqueda:

country:ES arroyo

BUSQUEDAS-EN-SHODAN

Búsquedas en la App SHODAN

Como podemos observar se nos muestran en primer lugar varios routers de la marca Ubiquiti con el nombre completo de la persona propietaria, su dirección IP, el nombre de su ISP o proveedor de servicios de Internet. Si seguimos indagando en algunos casos se nos muestra también la dirección de titular.

¿Te pueden localizar por tu MAC?

La MAC o dirección MAC es un identificador único de 48 bits que se le asigna a tu tarjeta de red a través de la cual se conecta nuestro ordenador a Internet.

En el caso de conexiones Wifi es fácil saber que MAC está asignada a un punto de acceso y localizar a través de la API de Google Maps donde está exactamente.

La URL utilizada es la siguiente:

https://maps.googleapis.com/maps/api/browserlocation/json?browser=firefox&sensor=true&wifi=mac:XX-XX-XX-XX-XX-XX|ss:-XX

Api-Google

Ejemplo de una Api de Google, para este caso.

De esta forma obtendríamos las coordenadas del punto de acceso Wifi.

El peligro de saber tu nombre de usuario

Si alguien por casualidad supiera el nombre de usuario que usas en un servicio de Internet, con una simple búsqueda podría saber si ese nombre de usuario se está usando en otros servicios. Una pequeña lista de las herramientas que se pueden utilizar:

Para probarlo hemos buscado en http://checkusernames.com/ la palabra username y podemos ver que está siendo usado en varios servicios como nombre de usuario.

check-username

Ejemplo de una búsqueda de usuario en la App Checkusernames

¿He sido hackeado?

Muchos tipos de malwares usados para interceptar o robar cuentas a los usuarios sube a una web los ficheros con las cuentas que ha ido “robando” y este fichero es indexado por Google. De este modo si hacemos la consulta correcta podemos obtener toda esta información. Por ejemplo, con la siguiente consulta (dork), en Google, obtenemos listados de cuentas de Facebook u otros servicios que han sido robadas o hackeadas:

 

  • allintext:email OR mail +*gmail.com filetype:txt password www.facebook.com -from
fichero-hackeado

Forma, en este caso, de un fichero hackeado

Para saber si hemos sido hackeados o nuestros datos están en alguna de estas listas hay servicios online que podemos utilizar para comprobarlo, como https://hesidohackeado.com. Simplemente ponemos nuestra dirección de correo electrónico y pulsando en el botón comprobar sabremos si nuestro correo aparece en alguna de estas listas. Si nuestro correo apareciera como hackeado, debemos cambiar nuestra contraseña en el servicio afectado. Recordar no repetir la misma contraseña en varios servicios ya que si la descubren en uno, pueden acceder a los demás. También es recomendable utilizar contraseñas seguras.

Nos vigilan…

Cada día hay más cámaras de videovigilancia conectadas en las ciudades y en un futuro habrá más, ¿se convertirá el mundo en un gran hermano a nivel global?

Os dejo una Web donde podréis ver cámaras Web conectadas en distintas ciudades en tiempo real: http://www.skylinewebcams.com/

Y aquí las de España: http://www.skylinewebcams.com/es/webcam/espana.html

Sugerimos la siguiente lectura de una serie de artículos:

No hace falta que tú lo hagas

Y para terminar no olvides que pueden saber dónde vives a través de las fotos que subes de tu gato

 

Si te ha gustado no olvides compartirlo 😉

*** Este artículo ha sido una aportación de José Arroyo, administrador de sistemas y experto en seguridad informática en Extra Software.

COMO USAR CONTRASEÑAS SEGURAS Y NO MORIR EN EL INTENTO

COMO USAR CONTRASEÑAS SEGURAS Y NO MORIR EN EL INTENTO

Últimamente la seguridad de las contraseñas en internet ha vuelto a pasar a un primer plano debido, en parte, a las muchas filtraciones que han salido a la luz en los últimos meses. Seguro que en muchas ocasiones os han hablado de la importancia de tener una contraseña segura y distinta para cada uno de los servicios web en los que tengáis cuenta por eso os daremos unos consejos para que esto no sea un verdadero quebradero de cabeza.

 

¿Qué es una contraseña segura?

Antes de empezar a hablar de cómo recordar o almacenar nuestras contraseñas es importante recordar cómo crear nuestra contraseña lo más segura posible. Los consejos básicos que siempre nos suelen recordar son que usemos contraseñas largas, combinando números, símbolos y letras, preferiblemente mayúsculas y minúsculas. También es importante que no uses datos personales, una contraseña con tu nombre y tu fecha de nacimiento puede ser larga y contener letras, números y símbolos, pero esto solo hace que sea difícil de descifrar por un ordenador a base de prueba error, una persona que te conozca podría adivinarla.

 

Cómo creo mi contraseña segura

Siguiendo los consejos de antes parece que para crear una contraseña segura solo tenemos que teclear sin sentido en el teclado hasta que salga algo parecido a esto 00%&”·&SDFAcachk-r.

Lo más importante de las contraseñas, sin embargo, es que seamos capaces de recordarlas, de nada sirve tener una contraseña indescifrable si luego no vamos a ser capaces de usarla cuando lo necesitemos. Para que esto no nos pase tenemos dos opciones, la primera de ellas sería usar un gestor de contraseñas como por ejemplo los que vamos a ver luego. La segunda opción, que es la que yo utilizo, consiste en crear las contraseñas siguiendo un patrón. Por ejemplo, siguiendo estos pasos:

  1. Pensamos en una frase fácil de recordar, el estribillo una canción, una cita de un libro, etc… por ejemplo: Es importante que siempre usemos contraseñas seguras
  2. Nos quedamos con las iniciales de cada palabra: Eiqsucs
  3. Añadimos un número para darle complejidad: Eiqsucs25 Este es un buen punto de partida.
  4. Para que las contraseñas de cada servicio sean siempre distintas podemos poner el nombre del servicio o algún elemento distintivo. Añadiremos un símbolo entre la base que tenemos y esto último. Por ejemplo, usaríamos
    1. Eiqsucs25_Apple o Eiqsucs25@ManzanaMordida para la cuenta de Apple
    2. Eiqsucs25&Twitter o Eiqsucs25$PajaroAzul para la de twitter
  5. Si queremos darle aún más complejidad a nuestra contraseña podemos, por ejemplo, contar el número de caracteres que tiene hasta este punto y añadirlo al final.
    1. Eiqsucs25_Apple15
    2. Eiqsucs25@ManzanaMordida24
    3. Eiqsucs25&Twitter17
    4. Eiqsucs25$PajaroAzul20

Siguiendo estos pasos hemos terminado con unas contraseñas largas y suficientemente complejas para que no sean capaces de descifrarlas ni las personas ni los ordenadores. El único problema es que nos arriesgamos a que alguien averigüe nuestro patrón y sea capaz de descifrarlo, para estos casos lo mejor es complicar el patrón lo más posible para ponérselo difícil al que quiera intentarlo. Por ejemplo podríamos escribir el nombre del servicio al revés o usando la letra de al lado en el teclado de manera que TWITTER a RETTIWT a TRYYOET

Gestores de contraseñas

Como comentábamos antes existe otra posibilidad que es usar unos programas llamados gestores de contraseñas que básicamente son listas donde se almacenan lEjemplo generador de contraseñas LastPassas cuentas y contraseñas que tenemos para los diferentes servicios. La mayoría de ellos también permiten la opción de generar contraseñas aleatorias sin que nosotros tengamos que preocuparnos por nada. Lo único que tendremos que hacer es recordar la contraseña maestra que nos da acceso al programa.
Actualmente existen gran variedad de gestores de contraseñas dependiendo de nuestras necesidades, los hay que almacenan las contraseñas en la nube, otros son aplicaciones para los dispositivos móviles o para ordenadores. Algunos incluso se integran con las aplicaciones y son capaces de rellenar automáticamente los formularios de acceso. De todas las alterna
tivas, los más comunes son: LastPass, KeePass libre y con aplicación para dispositivos Windows (aunque hay desarrollos multiplataforma de terceros) y 1Password, de pago, en un principio diseñado para dispositivos Apple pero actualmente tiene aplicación para Android y una beta para Windows.

Cómo detectar si formas parte de una botnet

Cómo detectar si formas parte de una botnet

Hace algunas semanas te contamos sobre el ataque DDos que sufrió DynDNS a través de una botnet formada por dispositivos de “Internet de las cosas (IoT)”.

Ahora, vamos a ver cómo podemos conocer si nuestra IP forma parte de alguna botnet.

Y cómo detectar si formo parte de una botnet: Ordenadores

Iniciamos accediendo al servicio que ha creado la Oficina de Seguridad del Internauta que nos permite consultar si nuestra IP está listada en alguna de estas redes.

servicio-antibotnet
Es muy sencillo de utilizar, sólo tenemos que pulsar en el botón que pone “Chequea tu conexión”, aceptar las condiciones y volver a pulsar el botón.

Chequea conexión

Y automáticamente nos informará si en nuestra red hay algún equipo infectado:
botnets-check

También disponemos de un plugin antibonet para el navegador, que si lo añadimos revisa de forma periódica nuestra conexión con el servicio antibotnet y nos informa si hay alguna amenaza.

Móviles

Para los dispositivos móviles Android esta la herramienta CONAN Mobile que revisa nuestra conexión. La podemos descargar a través de Google Play.

Detectar si formo parte de una botnet

Es muy sencilla de instalar y es un complemento perfecto para el antivirus que tengamos instalado. Una vez realizada la instalación, nos aparece un botón para que analicemos el dispositivo y entre otras cosas nos hace el checkeo antibotnet.

Puede que hayas formado parte de algún ataque de los últimos años sin saberlo. Ahora ya sabes cómo detectar si formo parte de una botnet y comprobar si un dispositivo de tu red forma parte de una botnet.

Si te ha gustado el artículo recuerda compartirlo 😉

 

¿Qué sabe Internet sobre mí? I Parte

¿Qué sabe Internet sobre mí? I Parte

A estas alturas ¿quién no ha buscado alguna vez su nombre en Google? Es tan fácil como escribir nuestro nombre en el navegador y darle a buscar y si queremos una búsqueda más precisa, podemos poner nuestro nombre entre comillas dobles. De esta forma podemos ver (casi) todo lo que internet sabe sobre mí, en este caso en Google, pero hay más y lo vamos a ver en este artículo.

Dato de curiosidad: sabías qué, a la acción de buscar nuestro propio nombre en un buscador como Google se conoce como egosurfing

¿Dónde vivo?

Si alguien quisiera saber dónde vives tiene varias formas de cumplir su objetivo, por ejemplo, infobel.com publica una guía electrónica de sus clientes la cual ha sido indexada por Google y mediante consultas avanzadas en el buscador podemos sacar información de una persona:

Escribe lo siguiente en el buscador:

site:infobel.com “Arroyo” inurl:”people”

buscador

Como podemos observar, en cada uno de los resultados aparece el nombre de la persona, su dirección, el identificador, etc.

Otros directorios telefónicos en los que podríamos hacer este tipo de consultas son:

¿Cómo es mi casa?

Una vez que saben dónde vivimos, a la persona en cuestión le podría interesar como es nuestra casa y así saber, por ejemplo, nuestro nivel económico.

En España se podría dirigir a la sede electrónica del catastro  y hacer una consulta de los datos catastrales sabiendo nuestra dirección y todo esto sin identificarse.

tu-casa-en-el-catastro

De esta manera se podría saber los metros cuadrados de la vivienda, si es un piso, vivienda unifamiliar, etc.

Lo que Facebook sabe de ti:

Si accedemos al perfil de una persona en Facebook que no es amiga(o) nuestro solo veremos las fotos e información que esa persona quiere que veamos. Pero poniendo en el navegador la dirección correcta podemos obtener mucha más información.

Para la siguiente prueba de concepto necesitamos saber el identificador de perfil del usuario, para sacarlo haremos lo siguiente:

  1. Entramos en el perfil de la persona en cuestión
  2. Accedemos al código fuente de la página
  3. Buscamos la cadena “fb://”
  4. Copiamos la numeración que aparece después de /profile/

Profile de Facebook

Una vez que tenemos el identificador de perfil podemos obtener fácilmente la siguiente información:

  • Sus historias publicadas:
    • https://www.facebook.com/search/numero_identificador/stories-by
  • Sus fotos publicadas:
    • https://www.facebook.com/search/numero_identificador/photos-of
  • Las historias en las que ha sido etiquetada:
    • https://www.facebook.com/search/numero_identificador/stories-tagged
  • Las fotos en la que ha sido etiquetada:
    • https://www.facebook.com/search/numero_identificador/photos-tagged
  • Los grupos a los que pertenece:
    • https://www.facebook.com/search/numero_identificador/groups/
  • Los amigos que tiene:
    • https://www.facebook.com/search/numero_identificador/friends/
  • Dónde trabajan sus amigos:
    • https://www.facebook.com/search/numero_identificador/friends/employers/
  • Dónde estudiaron sus amigos:
    • https://www.facebook.com/search/numero_identificador/friends/schools-attended/
  • Qué sitios han visitado sus amigos:
    • https://www.facebook.com/search/numero_identificador/friends/places-visited/

 

Por ejemplo, podemos deducir en qué localidad vive una persona si sabemos dónde viven la mayoría de sus amigos.

Buscadores de identidades digitales

Existen buscadores específicos para buscar personas, concretamente su identidad digital. Unas páginas de búsqueda generalizada de trabajadores, o personas de forma individual son:

  • http://pipl.com/
  • http://www.yasni.co.uk/
  • http://knowem.com/

Otra página que nos permite realizar búsquedas personalizadas desde el email y comprobar las apariciones en redes sociales es:

  • http://www.spokeo.com/email

Y si lo que necesitamos es comprobar que un email existe y es válido podemos utilizar

  • http://centralops.net/co/
    • En su sección de “Email Dossier”

 

Ahora ya sabes algunas de las técnicas que se suelen utilizar para rastrearnos. Utilízalas para ver la información pública que hay sobre ti y exige el derecho al olvido

En la segunda parte de esta serie de artículos podrás informarte sobre otras técnicas o acciones que permiten descubrir nuestros datos personales públicos en Internet. …No te lo puedes perder 😉