Actualizamos la información de esta publicación (24/04/2017)

Google publica la versión de Chrome 58 y corrige esta vulnerabilidad

Google anuncia una nueva versión de su navegador en la que corrige esta vulnerabilidad. La nueva versión es Chrome 58

Os dejamos los pasos para actualizar nuestro navegador a la siguiente versión:

1. Abrimos Google Chrome.

2. En la parte superior derecha pulsamos sobre el icono

3. Y nos dirigimos a Ayuda > Información de Google Chrome.

4. Automáticamente empezará a descargar la nueva versión.

5. Una vez finalizada reiniciamos el navegador.

6. Y ya tenemos instalada la nueva versión donde se corrige esta vulnerabilidad.

Hasta aquí nuestra actualización para esta publicación. Esperamos que sea de utilidad y os recordamos que lo compartas, si te ha gustado. 🙂

Un investigador de seguridad informática chino ha descubierto un nuevo ataque phishing muy difícil de detectar.

El ataque hace uso de una vulnerabilidad conocida en los navegadores Chrome, Opera y Firefox que permite utilizar dominios falsos como sitios Web legítimos, como Apple, Amazon o Google lo que puede llevar al robo de las credenciales de acceso a la cuenta, los datos de la tarjeta de crédito, etc.

Este investigador (Xudong Zheng) ha creado una página Web demo donde muestra la vulnerabilidad.

Si abrimos el enlace anterior con cualquiera de los navegadores mostrados, podemos ver que aparece el dominio legítimo Apple.com y asegurado mediante certificado SSL (HTTPS) pero la Web que se muestra no es la Web de Apple. Esto es así, por que los caracteres se han sustituido por caracteres Unicode.

Este ataque se conoce desde el 2001 y se le llama ataque homógrafo (homograph attack)

Con los caracteres Unicode se puede representar alfabetos como el griego, cirílico y armenio en los nombres de dominio internacionalizados y hay letras que tienen el mismo aspecto que las letras latinas, por ejemplo, la “a» latina con el código (U + 0430) puede ser sustituida por una “a» cirílica con el código (U + 0041). Las dos letras son tratadas de diferente forma por los navegadores, pero aparentemente son la misma letra.

Por defecto, muchos navegadores web utilizan la llamada codificación Punycode (código púny) para representar los caracteres Unicode en la URL para defenderse de los ataques de phishing homógrafos.

De acuerdo con Zheng, el vacío legal se basa en el hecho de que, si alguien elige todos los caracteres de un nombre de dominio de un único conjunto de caracteres del idioma extranjero, de forma aparente es igual que el dominio de destino, entonces los navegadores lo muestran en el mismo idioma en lugar de mostrarlo en el formato Punycode.

Esto le permitió registrar el dominio xn--80ak6aa92e.com, el cual aparece como Apple.com en todos los navegadores vulnerables.

Las distintas compañías ya están buscando una solución, habrá que esperar unos días para actualizar nuestros navegadores, mientras tanto mucho cuidado con este ataque.

Podéis ampliar esta información desde el artículo original (en inglés)

Últimamente el uso de contraseñas seguras en internet ha vuelto a pasar a un primer plano debido, en parte, a las muchas filtraciones que han salido a la luz en los últimos meses. Seguro que en muchas ocasiones os han hablado de la importancia de tener una contraseña segura y distinta para cada uno de los servicios web en los que tengáis cuenta por eso os daremos unos consejos para que esto no sea un verdadero quebradero de cabeza.

¿Qué es una contraseña segura?

Antes de empezar a hablar de cómo recordar o almacenar nuestras contraseñas es importante recordar cómo crear nuestra contraseña lo más segura posible. Los consejos básicos que siempre nos suelen recordar son que usemos contraseñas largas, combinando números, símbolos y letras, preferiblemente mayúsculas y minúsculas. También es importante que no uses datos personales, una contraseña con tu nombre y tu fecha de nacimiento puede ser larga y contener letras, números y símbolos, pero esto solo hace que sea difícil de descifrar por un ordenador a base de prueba error, una persona que te conozca podría adivinarla.

Cómo creo mi contraseña segura

Siguiendo los consejos de antes parece que para crear una contraseña segura solo tenemos que teclear sin sentido en el teclado hasta que salga algo parecido a esto 00%&”·&SDFAcachk-r.

Lo más importante de las contraseñas, sin embargo, es que seamos capaces de recordarlas, de nada sirve tener una contraseña indescifrable si luego no vamos a ser capaces de usarla cuando lo necesitemos. Para que esto no nos pase tenemos dos opciones, la primera de ellas sería usar un gestor de contraseñas como por ejemplo los que vamos a ver luego. La segunda opción, que es la que yo utilizo, consiste en crear las contraseñas siguiendo un patrón. Por ejemplo, siguiendo estos pasos:

1. Pensamos en una frase fácil de recordar, el estribillo una canción, una cita de un libro, etc… por ejemplo: Es importante que siempre usemos contraseñas seguras
2. Nos quedamos con las iniciales de cada palabra: Eiqsucs
3. Añadimos un número para darle complejidad: Eiqsucs25 Este es un buen punto de partida.
4. Para que las contraseñas de cada servicio sean siempre distintas podemos poner el nombre del servicio o algún elemento distintivo. Añadiremos un símbolo entre la base que tenemos y esto último. Por ejemplo, usaríamos
   1. Eiqsucs25_Apple o Eiqsucs25@ManzanaMordida para la cuenta de Apple
   2. Eiqsucs25&Twitter o Eiqsucs25$PajaroAzul para la de twitter
5. Si queremos darle aún más complejidad a nuestra contraseña podemos, por ejemplo, contar el número de caracteres que tiene hasta este punto y añadirlo al final.
   1. Eiqsucs25_Apple15
   2. Eiqsucs25@ManzanaMordida24
   3. Eiqsucs25&Twitter17
   4. Eiqsucs25$PajaroAzul20

Siguiendo estos pasos hemos terminado con unas contraseñas largas y suficientemente complejas para que no sean capaces de descifrarlas ni las personas ni los ordenadores. El único problema es que nos arriesgamos a que alguien averigüe nuestro patrón y sea capaz de descifrarlo, para estos casos lo mejor es complicar el patrón lo más posible para ponérselo difícil al que quiera intentarlo. Por ejemplo podríamos escribir el nombre del servicio al revés o usando la letra de al lado en el teclado de manera que TWITTER a RETTIWT a TRYYOET

Gestores de contraseñas

Como comentábamos antes existe otra posibilidad que es usar unos programas llamados gestores de contraseñas que básicamente son listas donde se almacenan las cuentas y contraseñas que tenemos para los diferentes servicios. La mayoría de ellos también permiten la opción de generar contraseñas aleatorias sin que nosotros tengamos que preocuparnos por nada. Lo único que tendremos que hacer es recordar la contraseña maestra que nos da acceso al programa.
Actualmente existen gran variedad de gestores de contraseñas dependiendo de nuestras necesidades, los hay que almacenan las contraseñas en la nube, otros son aplicaciones para los dispositivos móviles o para ordenadores. Algunos incluso se integran con las aplicaciones y son capaces de rellenar automáticamente los formularios de acceso. De todas las alterna
tivas, los más comunes son: LastPass, KeePass libre y con aplicación para dispositivos Windows (aunque hay desarrollos multiplataforma de terceros) y 1Password, de pago, en un principio diseñado para dispositivos Apple pero actualmente tiene aplicación para Android y una beta para Windows.