Vulnerabilidades en páginas Web (2): Reconocimiento Web

Vulnerabilidades en páginas Web (2): Reconocimiento Web

En el artículo anterior vimos cómo son las vulnerabilidades que aprovecha la técnica de Command Injection, en el ejemplo dijimos que el equipo donde estaba alojada la Web era un equipo Linux, pero… ¿Cómo podemos saber si el equipo donde está alojada o almacenada una Web es Linux, Windows u otro? Ahí es donde entra en juego una de las técnicas más importantes que un ciberdelicuente lleva a cabo, el Reconocimiento Web.

Artículo elaborado por José Arroyo Viana, administrador de sistemas y experto en ciberseguridad de Extra Software

CONTENIDOS

¿QUÉ ES?
EJEMPLO DE RECONOCIMIENTO WEB
RECONOCIMIENTO WEB SOBRE GESTORES DE CONTENIDOS
EJEMPLO DE RECONOCIMIENTO CON USO DE FUERZA BRUTA
SOLUCIÓN O MITIGACIÓN ANTE LAS TÉCNICAS DE RECONOCIMIENTO WEB
CONCLUSIÓN

¿Qué es?

El reconocimiento es una serie de técnicas que se realizan para recabar información sobre la víctima: página Web, sistema operativo, fuga de datos, datos públicos, etc.

Esta fase de reconocimiento es imprescindible para el atacante ya que le brinda información que le puede servir para realizar un ataque más efectivo.

En el artículo nos centraremos en el reconocimiento de la página Web.

Ejemplo de reconocimiento Web

Siguiendo con el ejemplo  del artículo anterior, sabemos que nuestro objetivo tiene una página Web, en este punto al atacante le interesaría obtener información sobre la tecnología con la que se ha realizado la Web, bajo que servidor está corriendo o que lenguaje de programación se ha utilizado.

Hay herramientas que nos pueden ayudar a extraer la mayoría de la información que hemos mencionado. Una de estas herramientas es WHATWEB.

Ejecutamos la herramienta WHATWEB y vemos en la siguiente imagen la información que es capaz de obtener:

  • Servidor Web sobre el que está corriendo la página y su versión: Apache 2.2.8
  • Sistema operativo del equipo donde está almacenada la página: Linux Ubuntu
  • Versión del lenguaje de programación PHP en el que está desarrollada la página: 5.2.4
whatweb

Nosotros ahora como atacantes podríamos hacer una simple búsqueda en Google para encontrar posibles vulnerabilidades relacionadas con la información que hemos obtenido, por ejemplo, vulnerabilidades que puedan afectar al servidor Web Apache 2.2.8.

Busqueda apache

También existen plugins para el navegador que nos permiten realizar este primer reconocimiento. Uno de los más conocidos es Wappalyzer que lo podemos instalar tanto en Chrome como en Firefox. Vemos un ejemplo de la información extraida con Wappalyzer en la siguiente imagen.

 

wappalyzer

Reconocimiento Web sobre Gestores de Contenidos

Si descubrimos que nuestra Web está realizada mediante un CMS o gestor de contenidos como puede ser WordPress, Joomla o Drupal, podemos usar herramientas ya existentes para realizar una enumeración sobre ellos.

Por ejemplo, en cuanto a WordPress la herramienta más conocida es WPScan, para Joomla tenemos Joomscan y para Drupal, Drupscan.

Centrándonos en WordPress por ser el CMS más usado, la herramienta WPScan nos permitiría entre otras cosas:

  • Hacer fuerza bruta contra el login de WordPress mediante usuarios y/o contraseñas aleatorios.
  • Enumerar todos los plugins que tenga vulnerables el gestor de contenidos.
  • Enumerar los usuarios existentes.
  • Obtener información sobre la Web.

Es importante saber que, aunque el gestor de contenidos esté actualizado podemos encontrar una vulnerabilidad en alguno de los plugins instalados e igualmente comprometer la página Web.

Un ejemplo de uso de WPScan sería el siguiente:

  • wpscan –url http://www.dominio.com -e vp,u
    • Con –url le indicamos la dirección de la página Web que queremos auditar
    • Con -e le indicamos que nos enumere la información de la página, en este caso le estamos indicando que nos enumere los plugins vulnerables con vn (vulnerable plugins) y los usuarios con u (users)
ping root

Como hemos visto, cada gestor de contenidos se puede enumerar con herramientas que atienden a estos gestores de contenidos, luego también existen herramientas genéricas que nos pueden servir para enumerar cualquier página Web, como por ejemplo Nikto, que es un escáner de vulnerabilidades Web que podemos usar contra cualquier tipo de página.

Ejemplo de reconocimiento con uso de fuerza bruta

Otra táctica en la enumeración o reconocimiento de la página Web es hacer fuerza bruta sobre los archivos o directorios de la página para intentar descubrir directorios o ficheros ocultos. A esta técnica se le conoce como Fuzing

Por ejemplo, sabemos que nuestra página es accesible a través de la URL http://10.0.2.4/dvwa/, detrás de esa URL pueden existir directorios que no están enlazados desde la propia página, pero si los conoces puedas llegar a ellos.

Un ejemplo lo tenemos en las páginas realizadas con WordPress que tienen un directorio para acceder al panel de administración de la página localizado en http://www.dominio.com/wp-admin/.

Para intentar descubrir estos directorios ocultos se utiliza un fichero llamado comúnmente diccionario, donde por cada línea hay una serie de nombres de directorios que les podemos pasar a una herramienta o incluso a un script hecho por nosotros y que vaya probando si existen cada uno de esos directorios y que nos reporte por pantalla o en un fichero los que encuentre.

Por ejemplo, tenemos un diccionario con 220.560 nombres de directorio, un ejemplo de una parte del diccionario sería el siguiente:

ping for free whoami
Le pasamos este diccionario a una herramienta que irá probando cada una de estas palabras detrás de la URL y nos indicará si existe el directorio o fichero. La consultará será de la siguiente forma: http://10.0.2.4/dvwa/palabra_del_diccionario.

Podemos ver como se han descubierto varios directorios o ficheros que pueden tener información sensible o acceso hasta una zona privada.

En el ejemplo hemos usado la herramienta WFUZZ, esta herramienta nos permite realizar el descubrimiento de ficheros o directorios ocultos (entre otras cosas) en la Web objetivo

Solución o mitigación ante las técnicas de reconocimiento Web

Hay distintas técnicas que podemos usar para ocultar la información que puede mostrar nuestra página Web, tanto del servidor que estemos usando como de las tecnologías que usamos para crearla. En los distintos gestores de contenidos también nos encontramos plugins o componentes que realizan esta función de ocultamiento.

Aunque tenemos que intentar mostrar la menor información posible, la única solución válida para evitar que nuestra web sea comprometida es tener todos los sistemas, servicios y componentes actualizados a la última versión. Si lo que tenemos es un CMS, no añadir ningún plugin que no sea completamente necesario, no instalar aquellos que no provengan de fuentes oficiales o que no tengan una política de actualizaciones frecuente. No importa si nuestro WordPress está actualizado a la última versión, si luego tenemos un plugin que no está actualizado y tiene alguna vulnerabilidad que pueda ser aprovechada.

También debemos asegurarnos que tanto la información privada como los accesos a paneles de información estén debidamente protegidos. Si es posible que los paneles de login para la administración de la Web no sean accesibles directamente.

Conclusión

Como hemos visto, existen varias técnicas de reconocimiento Web primero nos hemos centrado en las versiones tanto del servidor como de las tecnologías usadas para su desarrollo y posteriormente en recabar datos ocultos de la página. Todas estas técnicas son usadas por los atacantes en las fases previas de un ataque, la información recopilada aquí le será imprescindible para las fases posteriores del ataque y para conocer a la compañía.

En próximas publicaciones, veremos más ejemplos de técnicas en las que los atacantes utilizan vulnerabilidades en las paginas web a su favor y cómo protegernos de ellas.

Vulnerabilidades en páginas Web (1): Command Injection

Vulnerabilidades en páginas Web (1): Command Injection

Este artículo forma parte de una serie donde veremos distintas vulnerabilidades que nos podemos encontrar en nuestra página Web. Vamos a ver como un ciberdelincuente es capaz de explotarlas y conseguir su objetivo y también veremos unas pautas que podemos seguir para corregir la vulnerabilidad.  En esta ocasión vamos a ver en qué consisten las vulnerabilidades de ejecución de código o ejecución de comandos a través de páginas Web, más conocidas como Command Injection.

Artículo elaborado por José Arroyo Viana, administrador de sistemas y experto en ciberseguridad de Extra Software.

¿Qué es?

Las vulnerabilidades de Command Injection permiten ejecutar código arbitrario o no controlado por el desarrollador en el sistema operativo donde está almacenada la Web.

Ejemplo de Command Injection

A continuación, vamos a ver paso a paso cómo hacernos con el servidor que está detrás de una página web publicada aprovechando uno de los servicios que da.

En ocasiones hay Webs que permiten ejecutar un comando o una herramienta a través de ellas. Por ejemplo, nos encontramos con la siguiente web que permite hacer un ping a la dirección que pongamos en el recuadro de texto del formulario.

ping for free

La herramienta Ping nos permite, indicando una dirección IP o un nombre de dominio como Facebook.com, saber si es accesible o no. Esto lo hace enviando un paquete de información desde el equipo origen mediante el protocolo ICMP y espera una contestación del equipo destino.

Si nosotros ponemos el dominio Facebook.com en el recuadro y pulsamos en el botón de enviar (submit). Vemos que se envían una serie de paquetes y se obtiene una respuesta

ping for free 2

Este comando realmente se está ejecutando en el equipo donde está almacenada la página Web, nosotros sabemos previamente que la Web está almacenada en un equipo Linux y que la salida del comando ping que se ha ejecutado corresponde con la salida que se espera obtener en un equipo Linux. Hacemos la misma prueba y verificamos que es la misma salida. Por lo tanto, el formulario web le está pasando al comando ping lo que nosotros pongamos en el campo de texto, en este caso facebook.com.

Ping a Facebook

Sabemos que en Linux podemos concatenar varios comandos separándolos por punto y coma (;). Por lo tanto, si a la misma línea del comando ping anterior le añadimos un comando que nos identifique el usuario con el que se está interactuando en la consola nos mostrará la salida de los dos comandos. En este caso el comando que podemos usar es whoami.

Vemos que después de la salida del comando ping nos muestra la salida del comando whoami que es root (Es decir, root es el usuario superadministrador de Linux y con el que estoy ejecutando estos comandos)

ping root

Siguiendo este mismo proceso y sabiendo que la Web está ejecutando el comando Ping  y coge el valor que le pasemos nosotros mediante el formulario de texto, intentamos hacer la misma concatenación de comandos que habíamos probado en la máquina Linux. Le pasamos primero el dominio Facebook.com como valor del comando ping, seguido del punto y coma (;) y el comando whoami:

 

ping for free whoami

Si esto lo ejecutamos, podemos ver que nos muestra el usuario que está ejecutando los comandos a través del servicio Web, que es www-data

 

En este momento sabemos que la página Web es vulnerable a una ejecución de comandos. Podemos ejecutar cualquier comando después del ping y nos lo va a ejecutar en el servidor web que aloja la página. Los ciberdelincuentes pueden utilizar esta vulnerabilidad para ganar acceso a la máquina donde está alojada la Web o modificar la Web en su propio beneficio.

Una vez que tengan acceso a la máquina pueden intentar acceder a otras máquinas dentro de la misma red o pivotar hacía otras redes internas a las que desde el exterior no se tenga acceso.

Una vez que se tenga ejecución de comandos, básicamente el servidor está comprometido al 100%

Solución para el Command Injection

Hay que evitar el uso de funciones o el paso de valores a las funciones que permitan a un usuario ejecutar código en el servidor.

En el ejemplo que hemos visto seguramente el comando se guarde en una variable tipo $comando y luego se imprime por pantalla su valor.

Esto no se debería hacer así, tenemos que verificar que la entrada es lo que se espera. En este caso se espera una dirección IP y nada más. Por lo que podemos usar expresiones regulares para validar el valor a introducir. Por ejemplo, podríamos validar que solo acepte 4 dígitos separamos por un punto, que no acepte punto y coma (;), que no acepte otros valores de concatenación como & o | y que no acepte espacios. Otra forma es crear una expresión regular únicamente con los valores válidos a introducir.

Esto son formas de hacerlo más seguras, pero lo mejor es evitar este tipo de funciones.

Las vulnerabilidades de este tipo se pueden dar también en los gestores de contenidos CMS, a veces son desconocidos incluso por el propio fabricante (vulnerabilidades Zero Day). Por tanto, es importante, cuanto menos, mantener el propio CMS y los plugins o componentes actualizados para corregir las vulnerabilidades que ya ha conseguido corregir el fabricante.

En este artículo hemos explicado cómo funciona el ataque llamado Command Injection o ejecución de código. Es el primero de una serie sobre vulnerabilidades en las páginas web, que continuaremos el mes que viene con la técnica del Reconocimiento Web. Esperamos seguir contando con tu interés.

¿Cómo proteger a los menores del acoso en redes sociales?

¿Cómo proteger a los menores del acoso en redes sociales?

Cada vez más, la seguridad de los menores en las redes sociales está en peligro por malas prácticas como el sexting o el stalking (luego veremos en qué consisten). En concreto, los adolescentes son un blanco fácil al acceder ya a dispositivos electrónicos con internet, tener una autoestima frágil y dar mucha importancia a la reputación social. Junto a conductas claramente de riesgo como las mencionadas, hay otras aparentemente más inocentes como compartir información personal o no usar buenas prácticas de contraseñas, que pueden provocar ciberdelitos. Te contamos cómo proteger a los menores del acoso en redes sociales e internet.

Partimos de una evidencia: la mayoría de los adolescentes, e incluso los pre-adolescentes, disponen actualmente de teléfono móvil en España. Además, si bien la normativa europea RGPD, permite establecer entre los 13 y los 16 años la edad para dar el consentimiento de uso de datos personales, en España está fijada desde 2018 en los 14 años. Para edades inferiores, son los padres los que tienen que dar el consentimiento en su nombre.   Por tanto, salvo alguna excepción (como LinkedIn o WhatsApp, que establecen el límite en los 16 años –en la segunda no se respeta mucho-), los adolescentes pueden darse de alta en redes sociales libremente desde los 14 años.  Esto quiere decir que están expuestos a riesgos altos, dado que en estas redes se comparte información personal –cuando no sensible- con relativa frecuencia.

Los casos más graves de acoso en redes sociales

El sexting consiste en enviar fotos, vídeos o mensajes de contenido sexual o erótico personal a través de redes de mensajería instantánea o redes sociales.  El sexting no es constitutivo de delito en sí mismo, pero sí el reenvío de esa información sin consentimiento.

sexting

El  sexting es una práctica muy peligrosa para los adolescentes

El stalking consiste en realizar acciones aparentemente legales (llamadas, envío de regalos de algún tipo, mensajes de texto, correos, imágenes o vídeos) pero que son indeseadas por la víctima, y hacerlo repetidas veces.  El hecho de que sea indeseado y que se repita, hace que constituya acoso.

Un caso específico es el cyberbulling, un acoso entre iguales en el entorno tecnologías de la comunicación (abarcando también las redes sociales), e incluye actuaciones de chantaje, vejaciones e insultos de menores de edad a otros menores.

El grooming es la simulación por parte de un adulto para que un menor le perciba como otro menor para obtener de él información personal sensible o aquella que permita una acción delictiva.

Este tipo de acciones son cuanto menos peligrosas para el menor y en su mayoría dañinas, por lo que deben evitarse con una adecuada formación y acompañándoles en el uso que hace de las redes sociales. Debemos tener en cuenta que las medidas de control que vamos a ver a continuación no impiden nunca del todo el peligro, y lo más importante es que el menor sepa diferenciar lo que va a suponer un riesgo para él y actuar adecuadamente en esas situaciones.

Recomendaciones de ciberseguridad para padres y tutores

Los padres y tutores son los primeros que deben tener claro las medidas de ciberseguridad básicas que deben adoptar. Entre las medidas de control para evitar el acoso en redes sociales.

  • Los dispositivos que no sean de uso para menores deben tener contraseña cifrada. Los recursos que se encuentren en ordenadores compartidos a los que no deban acceder menores deben estar protegidos por un doble factor de autenticación.
  • Los dispositivos que sean de uso para menores no deben tener preinstaladas aplicaciones o apps que ellos no deban usar. Debemos tener en cuenta que, en el caso de las redes sociales, aunque las compañías establezcan una edad mínima para darse de alta una cuenta, en la mayoría de los casos no establecen ninguna medida para comprobar si el usuario es un menor. Si este decide falsear los datos, podrá darse de alta igualmente.
  • Los adultos deben ajustar también en los dispositivos de los menores las opciones de control parental de los navegadores y configurar las opciones de los buscadores que restringen resultados para adultos.
  • En los dispositivos móviles, son muy recomendables funciones como el “Modo Niños”. Estas funciones restringen mediante control parental el tiempo de juego diario o las aplicaciones y contactos a los que los niños pueden acceder.

No debemos dejar nuestro móvil a un menor sin prestar atención a lo que hace en él

Las medidas que padres y tutores pueden adoptar a nivel formativo son:

  • Mostrar su disponibilidad para los menores para hablar en todo momento y estar alerta ante cualquier comportamiento fuera de lo común de los mismos, que podría evidenciar que están siendo acosados o extorsionados.
  • Facilitar el acceso de los menores a foros saludables en que puedan compartir sus problemas y recibir orientación sobre cómo comportarse.
  • Proporcionar a los menores las orientaciones de ciberseguridad que damos en el punto siguiente.

Orientaciones de ciberseguridad para menores

El objetivo más vulnerable para crackers (hackers con métodos y/o fines ilegales) y acosadores son aquellas personas con menos formación y experiencia. Los menores suelen coincidir con ese perfil, así que hay que evitar al máximo que cometan errores y acaben sufriendo acoso en redes sociales. Para ello:

  • Los menores no deben utilizar nunca libremente los dispositivos de sus padres, salvo que se haya habilitado el “Modo niños” o similar.
  • Debemos explicar al menor la diferencia entre un ámbito privado y uno público, y dejarles claro que la mayoría de la información que se comparte en una red social es por defecto pública.
  • Debemos adelantarnos y ser nosotros mismos los que  les ayudemos a configurar las opciones de privacidad de sus redes sociales, o explicarles, si tienen edad suficiente, cómo deben hacerlo y por qué.
Configuración privacidad facebook

Opciones de privacidad en Facebook: Es importante restringir aquí cómo podrán contactar con los menores desde esta red.

  • Se les debe dejar claro qué información personal en ningún momento deben compartir en redes sociales con alguien cuya identidad no esté clara, y por supuesto nunca en un mensaje público: el teléfono, la dirección de casa, la localización, fotografías del hogar, o comunicar que se va a estar un periodo de tiempo definido ausente del domicilio (por vacaciones, por ejemplo).
  • Se les debe dejar claro qué información no debe compartirse nunca con nadie, incluso aunque sean amigos o personas conocidas: fotografías comprometidas de ellos mismos u otras personas, contraseñas de servicios o aplicaciones o información bancaria (si bien esta última es raramente accesible a los menores).

Concluiremos recordando que el hecho de que se adopten todas estas medidas no garantiza la seguridad de menor, solo la favorecen. Cuando un menor tiene un dispositivo con acceso a internet, su situación debe considerarse por defecto vulnerable a convertirse en víctima de adultos u otros menores malintencionados. Debemos estar alerta siempre ante la posibilidad de que sufran acoso en redes sociales y otros ámbitos de la red.

Las 10 mejores extensiones de Chrome para una navegación segura

Las 10 mejores extensiones de Chrome para una navegación segura

Chrome es el navegador más popular hoy en día, millones de personas lo usan alrededor del mundo para sus actividades en línea. Es de vital importancia dotarlo con varias capas de seguridad si queremos mantener nuestro historial e información de navegación seguros. Es por eso que hoy te contamos cuáles son las extensiones de Chrome que volverán tu navegación segura y mucho más fácil. Encontramos desde VPN confiables y bloqueadores de anuncios hasta administradores de cookies.

Esta selección está basada en las extensiones mejor calificadas de su categoría. Quédate con nosotros y conoce cuáles son.

1.      CyberGhost VPN Free Proxy

Las redes virtuales privadas son de las mejores herramientas para ingresar a los sitios web que tu país no están disponibles. Además, te protegen tanto contra atacantes y rastreadores, como de la minería de datos y son geniales para oculta la dirección IP real. El cifrado de conexión es muy seguro y esta extensión es de las mejores valoradas en cuanto a temas de seguridad en línea.

2.      Hotspot Shield VPN Free Proxy

Hotspot Shield es una extensión que viene en versión gratuita y de pago, que es capaz de darte todos los beneficios que una VPN te brinda. Evita el robo de tus datos, encriptando la actividad y el historial de navegación y además te protege de los sitios catalogados como no deseados.

Es posible que no sepas cómo configurar alguna de estas redes virtuales, sin embargo puede ser más fácil a través de la VPN mejor calificada, revísala y resguarda tu información.

3.      Ghostery

Esta extensión es de las más usadas por los internautas, ya que bloquea las aplicaciones de terceros que están diseñadas para rastrear tu información. También funciona como un bloqueador de anuncios y te proporciona una navegación segura rápida y limpia.

Lo mejor es que al ingresar en un sitio web te avisa la cantidad de rastreadores que tiene la página. Al bloquear los rastreadores permite que la velocidad de carga sea más rápida.

4.      minerBlock

La minería utiliza el poder del procesador de tu ordenador sin tu consentimiento para la extracción de criptomonedas. La extensión minerBlock se encarga de detener a los mineros bloqueando los scripts y las solicitudes al detectar comportamientos sospechosos de los scripts cargados. Esta los elimina de manera inmediata.

5.      Privacy Badger

Es un práctico complemento de este navegador que bloquea los anunciantes y rastreadores para que no sepan qué páginas web visitas. Siempre que detecta qué anunciante te está rastreando sin permiso, los bloquea y no permite que inserte más de su contenido durante tu navegación.

No es un bloqueador de anuncios común, pues su trabajo es realmente bloquear por completo los anuncios. Este al detectar imágenes, secuencias de comandos que rastreen tu actividad sin tu permiso, los bloquea de manera automática y te permite una navegación segura.

Chrome Extensions

6.      uBlock Origin

Si estás cansado de los anuncios y realmente quieres hacerlos desaparecer todos, esta es la extensión de Chrome que se encarga de hacerlo. Eso sí, ten en cuenta que bloquea todos ellos.

7.      HTTPS Everywhere

Esta extensión funciona básicamente cambiando los sitios web “HTTP” por unos “HTTPS”. Esto es así porque los primeros son vulnerables a amenazas y más cuando se ingresa a ellos desde redes públicas. Es aquí donde el robo de información privada sucede con más frecuencia.

Uno de los problemas comunes de los HTTPS es que los sitios web no ofrecen soporte cifrado a través de estos, lo que dificulta su uso. La extensión resuelve este problema reescribiendo las solicitudes en los sitios.

8.      LastPass

Este práctico complemento almacena las contraseñas de tus sitios web para que no tengas que recordarlas todas. Además, te permite crear contraseñas seguras para todos tus sitios y lo mejor es que con tan solo una clave maestra podrás acceder al resto de las contraseñas.

Utiliza cifrado y algoritmos sólidos para que terceros no accedan a tus datos. También cuenta con autenticación de dos factores para agregar todavía más seguridad a tu información.

9.      Vanilla Cookie Manager

Es posible que en primera instancia las cookies sean inofensivas, pues estas solo son información guardada en un directorio. Sin embargo, esta información se puede almacenar y sobre todo da pistas sobre tu actividad en línea.

Vanilla Cookie Manager te permite administrar tus cookies, eliminando las no deseadas. De esta forma solo se almacenan en tu navegador aquellas que te gustaría conservar, sobre todo si son de sitios web confiables para una navegación segura.

10. Burner Emails: Easy, Fast, Disposable Emails

Si eres de los que te registras una sola vez en la vida en un sitio web solo para descargar un contenido, entonces esta extensión es para ti. Este complemento básicamente crea direcciones de correos electrónicos desechables para que puedas registrarte en sitios web sin dar tu correo real.

De esta manera, no solo proteges tu email del spam, sino de correos fraudulentos, robo de identidad, etc. Tiene una versión gratuita y una de pago. Podrás gestionar con ella los correos que quieres recibir de determinados sitios web y lo que no también.

¿Son seguras de usar las extensiones de Chrome?

Generalmente las extensiones de Chrome son seleccionadas con cuidado, sin embargo, todavía existe la posibilidad de que alguna de ellas comprometa la seguridad y privacidad de tu información. Para escoger las que no impidan una navegación segura ten en cuenta lo siguiente:

  • Verifica la puntuación en las calificaciones de extensiones. No escojas aquellas que posean menos de 4.3 estrellas.
  • Procura leer las reseñas de los usuarios, estas te darán pistas de si son buenas o malas extensiones.
  • Solo instalas aquellas que procedan de fuentes confiables. Para ello investiga quién la desarrolló.
  • Tómate tu tiempo y lee los permisos que las extensiones requieren. Ten en cuenta que, si una extensión que ya has instalado te pide de un momento a otro un permiso, significa que es sospechosa y puede comprometer tu seguridad.
  • No instales muchas extensiones. Solo instala aquellas que realmente necesitas, de lo contrario el navegador podría ponerse lento.
  • Sospecha de una extensión si luego de instalarla el navegador se ralentiza.
Diferencias entre Deep Web, Dark Web y Darknet

Diferencias entre Deep Web, Dark Web y Darknet

Seguro que has oído hablar muchas veces de los términos Deep Web, Dark Web o Darknet, pero ¿sabes realmente lo que significan y qué los diferencia? En este artículo vamos a descubrir las diferencias entre Deep Web, Dark Web y Darknet.

Artículo elaborado por José Arroyo Viana, administrador de sistemas y experto en ciberseguridad de Extra Software. En publicaciones  anteriores  ya nos habló del uso de nuestros datos que hacen las grandes empresas, entre otros diversos temas.

CONTENIDOS

Deep Web

Darknet

Dark Web

El Iceberg

¿Ciberdelincuencia o privacidad?

El primer concepto que debemos tener claro es el de “Clearnet” o también llamado “Surface Net”, que no es más que el Internet tal cual lo conocemos, las páginas que aparecen en Google, Bing, Yahoo u otros buscadores y podemos acceder libremente y de forma directa sin introducir ningún dato previo o tener que usar un software especial para acceder.

Deep Web

En los últimos años el término “Deep web” se ha ido popularizando y extendiendo en Internet, aunque muchas veces se utiliza para dirigirse a otros términos como “dark web” o “darknet” de una forma errónea.

Cuando se habla de “Deep Web” se refiere principalmente a contenidos que no se encuentran indexados por los principales motores de búsqueda, y por ello es difícil su localización y saber que están ahí. Cuando decimos que un contenido no ha sido indexado por un buscador nos referimos a que no lo ha incluido a su base de datos de búsquedas y por tanto no aparecerá. Hay muchos motivos por los que un contenido no sea indexado por los buscadores, puede ser que el contenido esté protegido por una contraseña para acceder o sean páginas que tengas que pagar para ver, pero también los archivos que subimos a nuestra cuenta de Google Drive, OneDrive o Dropbox (y no hemos hecho públicos). En esta categoría entrarían también las páginas que en las etiquetas meta tengan definido un “noindex” para no ser indexadas por los buscadores o tengan la indexación deshabilitada mediante el fichero robots.txt.

Imagínate si alguien con una simple búsqueda de tu nombre en Google pudiera leer tu correo de tu cuenta de Gmail o de Outlook, no estaría bien.

Darknet

Muchas veces se usa el término Deep Web para referirse a la Darknet o a la Dark Web, pero hay diferencias entre Deep Web, Dark web y Darknet. La Darknet es una red cifrada* que no puede ser indexada por los buscadores y se requieren herramientas o software específicos para poder acceder. Podemos decir que la Darknet es una parte de la Deep Web.

Esta red hace que los usuarios y sus ubicaciones sean anónimas. Los usuarios pueden ocultar su identidad, los propietarios de sitios web pueden ocultar su ubicación y los datos pueden transferirse de forma anónima.

Una de las Darknets más populares es Tor o The Onion Router, para acceder a esta Darknet es necesario instalar un cliente específico y, además, aunque existen algunos buscadores dentro de esta red, se debe contar previamente con las direcciones de los servicios a los que se desea acceder. Como sabemos en la Surface Web nos encontramos con sitios cuya dirección termina en .com, .es, .net, etc. Estos sitios dentro de la red Tor tienen una dirección especial acabada en “. onion”

Otros tipos de Darknet son I2P y Freenet.

Navegador de la red Tor

Dark Web

En realidad, Darknet y Dark Web están relacionados entre sí. Cuando hablamos de Dark Web nos estamos refiriendo a los sitios web existentes en estas Darknets. A muchos de estos sitios web no podemos acceder si no tenemos un usuario en ellos o el acceso permitido. La actividad de estos sitios suele ser desconocida y en algunos casos se trata de sitios que están dedicados a traficar con contenido ilegal. Es el Word Wide Web de la Darknet.

Este es el espacio utilizado por el mercado negro de Internet, donde podemos encontrar malware a la venta, drogas, armas, documentos falsificados, y todo tipo de contenido ilegal y/o denigrante.

El iceberg

En muchas ocasiones nos podemos encontrar una imagen de un iceberg para representar los conceptos que hemos visto, aunque esta imagen no es una representación correcta ya que somos incapaces de determinar, ni medir el contenido que hay en la Deep Web debido a que muchos de estos contenidos son inaccesibles o no están disponibles todo el tiempo. Lo qué si se sabe es que es bastante mayor que la Surface Web. Y según dicen la Dark Web representa el 0,01% de la Deep Web. Como vemos hay diferencias entre la Deep Web y la Dark Web.

¿Ciberdelincuencia o privacidad?

El objetivo principal de la Darknet y por la que fue creada era para que pudieran ser utilizadas en regímenes autoritarios, que censuran la libertad de expresión o el acceso a contenidos. Mediante estas redes se daba la posibilidad de expresarse a denunciantes políticos, activistas o periodistas que pueden ser censurados o correr el riesgo de sufrir represalias políticas si su gobierno los descubre. Por ejemplo, durante la primavera árabe los blogueros de Irán usaban Tor para poder navegar de manera anónima, eludir la censura y no ser detectados por la policía.

Mediante estas redes se ayuda a salvaguardar y proteger el derecho a la privacidad y a la libertad de expresión que son fundamentales para el bienestar de cualquier sociedad.

Edward Snowden es un gran defensor de la red Tor y otras herramientas de la Darknet

Pero lo mismo que ocurre con cualquier herramienta, no es buena ni mala, sino que viene definida por el uso que se le da y lamentablemente en muchas ocasiones se usa para actividades delictivas o que hieren la integridad o la dignidad de las personas.

Como ves, hay claras diferencias entre Deep Web, Dark Web y Darknet. En resumen, la Deep Web son los contenidos de internet que no están indexados, y son la mayoría. Darknet es una red cifrada*, para acceder a la cual requieres herramientas –y conocimientos- específicos. Por último, la Dark Web son los sitios alojados en la Darknet. Esperamos haberte ayudado a clarificar estos tres conceptos.

* IMPORTANTE: Los enrutadores de estas Darknets no cifran el tráfico, solamente en la comunicación intermedia, no en el inicio y salida de los paquetes, el verdadero objetivo es ocultar el destinatario y el destino. Para que el tráfico no sea transparente deberemos de implementarle nosotros la capa de cifrado. Puedes ver una explicación un poco más amplia con esta publicación sobre el funcionamiento de enrutado en la red Tor.

¿Cómo y en qué comunidades funciona Radar Covid?

¿Cómo y en qué comunidades funciona Radar Covid?

Ya hemos hablado de Radar Covid, en nuestra publicación sobre apps contra el Coronavirus, cuando estaba en pruebas el mes de julio. Actualmente Radar Covid, la app quizá más ambiciosa del gobierno, está ya implantada en varias comunidades y la han descargado 3,4 millones de personas.  Para que funcione, su uso debe estar extendido todo lo posible (el gobierno habla de un 20%, y otros de un 60%). Hoy vamos a explicarte cómo funciona, por qué es respetuosa con tus datos personales, y en qué comunidades funciona Radar Covid.

Si quieres descargarte la app ahora clica aquí

Radar Covid es una app de la Secretaría de Estado de Digitalización e Inteligencia Artificial  del Gobierno de España. Radar Covid funciona con el protocolo DP3T descentralizado (luego explicaremos qué es) y utiliza el bluetooth y la información que libremente se le facilita para mantener informados a sus usuarios de si están o han estado expuestos a contagio. Aunque ha tardado mucho en desarrollarse, está operativa desde el mes de agosto, si bien no en todas las comunidades autónomas.  Radar Covid  no recopila  datos personales, como nombre, dirección, edad o teléfono, ni tampoco la ubicación de los usuarios (salvo en Android, que  se necesita tan solo para que funcione  correctamente el bluetooth, pero sin asociar a datos de usuario).

Cómo funciona Radar Covid

La  primera pregunta es cómo funciona  esta App, si dicen (y corroboramos que es cierto) que no recopila datos personales ni ubicación asociada con el usuario. Básicamente, está basada en el intercambio de IDs aleatorios con otros móviles, y la información que el propio usuario facilita. Cuando el móvil de un usuario se encuentra lo suficientemente cerca de otro móvil con la App, como para tener contacto  por bluetooth, puede emitir y recibir su ID. Por otra parte, el usuario comunica a la App si ha dado positivo, y esto lo hace introduciendo un código anónimo que facilitan las autoridades sanitarias. De este modo, el usuario puede saber si ha estado cerca de un positivo. La app considera contacto de riesgo haber estado a menos de 2 metros  durante  al menos 15 minutos (en un día)  de un positivo.

Cuando un usuario comunica un positivo, el sistema de notificaciones manda una alerta a los ID aleatorios que corresponden a los móviles de los usuarios de los que ha estado cerca los últimos 7 días.  Aunque actualmente contempla esos 7 días, la versión definitiva cotejará los  datos de 14  días). De este modo los usuarios saben que pueden haber estado expuestos. Por último,la app solo admitirá un positivo si  el usuario lo certifica con un código alfanumérico aleatorio  único que genera  el Ministerio de  Sanidad; y que asignan personal sanitario o rastreadores.

En qué comunidades funciona Radar Covid

A fecha de hoy (2 de septiembre), 10 comunidades han implementado Radar Covid: Andalucía, Murcia, Baleares, Canarias,  Cantabria, Extremadura,  Aragón  y Castilla y León, si bien algunas comenzaron en pruebas la última semana de  agosto. Madrid y Navarra acaban de sumarse esta semana. Es inminente su uso en Cataluña y en la Comunidad Valenciana, pero todavía no está activa en ellas. La app tiene ya más de 3,4 millones de descargas, pero está muy lejos del 20% de la población que ha indicado el Gobierno que necesitaría para frenar la curva, y aún más del 60% que consideran algunos expertos. En España, según diversos estudios de Telefónica e IAB Spain, entre 31,2 y 31,7 millones de españoles disponen de movil con acceso a internet.

El siguiente mapa muestra las Comunidades Autónomas que actualmente tienen activada la app Radar Covid.

Radar Covid Paso a Paso

La primera  pantalla  es de bienvenida y para elegir el idioma. Actualmente la App está en castellano, catalán e inglés.  La siguiente pantalla deja claro que no se revelan datos personales del usuario ni geolocalización. Por supuesto, hay que aceptar la política de privacidad:

A continuación, la aplicación empieza a pedir  permisos para lo  siguiente:

  • Activar el Bluetooth (es la base de su funcionamiento).
  • Permitir que la app funcione en segundo  plano (aunque suponga  un mayor gasto de  batería).
  • Activar el sistema de notificaciones de exposición al COVID-19.

Debemos detenernos un poco aquí, porque el sistema de notificaciones de  exposición al COVID-19, desarrollado por Apple y Google, necesita en android que el teléfono informe de su  ubicación. Por tanto, la ubicación debería estar activa. Como se han encargado de explicar el fabricante, esto no se debe a que ni las autoridades sanitarias ni Google  vayan a utilizar los  datos de ubicación  asociados al usuario, es solo un requisito para que el sistema de detección por  bluetooth funcione.

Si te desplazas a Ajustes / Google, verás las Notificaciones  de exposición al COVID-19 activas, y más datos sobre lo que ha recopilado y cómo funciona.

Desde aquí podrás consultar las comprobaciones  de  exposición hechas (como es un dato privado  te pedirá verificación por huella o patrón) y también eliminar los ID aleatorios  almacenados (aunque entonces todo lo que ha hecho la app hasta el momento no serviría de nada).  Como se puede ver el sistema es muy respetuoso con la información personal.

Cuando el smartphone se encuentra cerca de un teléfono cuyo usuario haya  comunicado un positivo, enviará datos de  fecha y hora, duración de la exposición e intensidad de la señal bluetooth.

Una vez configurada la aplicación, la  pantalla principal muestra un indicador de si la aplicación está activada, de si estamos o no en riesgo (dependiendo de que estemos cerca de un teléfono cuyo usuario  ha comunicado un positivo) y un acceso para comunicar un positivo en COVID-19:

En caso de que –esperemos que no- tengas que comunicar un positivo, las autoridades sanitarias te darán un código de  12 dígitos aleatorio que deberás introducir.

¿Qué datos maneja Radar Covid y a quién los comunica?

La app deja claro que los datos que recopila no son datos personales. Se almacenan Ids aleatorios de los teléfonos y la propia comunicación del positivo libremente otorgada por el usuario. La ubicación es solo necesaria para el adecuado funcionamiento de Bluetooth. Además, la información almacenada ni siquiera se comunica a las autoridades sanitarias.

El sistema descentralizado DP3T, por el que finalmente ha optado la Secretaría  de Estado de Digitalización e IA, funciona de un modo que la información del positivo y de los  IDs aleatorios  almacenados  se guardan solo en el propio dispositivo del usuario. El sistema promovido por el consorcio de  Rastreo Paneuropeo de Proximidad para Preservar la Privacidad (Pepp-PT), al que se adhirió  inicialmente España, promovía un sistema centralizado  (de hecho Francia sigue  teniéndolo). Pero parte de  la comunidad científica se opuso, y Google y Apple se alinearon del lado de los sistemas descentralizados. Quizá por eso, la mayoría de los países europeos  en sus apps –incluyendo España- han optado finalmente por el protocolo descentralizado DP3T.

Por último, indicar que Radar Covid necesita una implantación en España mucho mayor  que la que tiene para que sea efectiva. El proyecto ha ido muy lento, pero poco a poco va cobrando fuerza. Sin embargo, existen aún muchos usuarios que desconfían de estas app que han sido muy útiles en países como China y Corea del Sur (si bien el primero tiene una importante restricción de libertades y derechos). Pero, como hemos visto, la app es extremadamente respetuosa con la privacidad y no supone ninguna amenaza para los datos de los usuarios. Como por desgracia parece que va a ser, la pandemia está lejos de controlarse en nuestro país, y puede ser una útil herramienta para el rastreo de aquí en adelante.