
¿Es seguro el software de código abierto?

¿Se puede piratear una cámara web de forma remota?

Cómo identificar y protegerse contra el spear phishing

Como saber si has sido víctima de una fuga de datos

Herramientas de Accesibilidad
Los investigadores de seguridad han revelado que los piratas informáticos pueden secuestrar cuentas en línea incluso antes de que el usuario las cree. Para ello explotan fallos en sitios web y en las plataformas más populares, como Instagram, LinkedIn, Zoom, WordPress y Dropbox, que, afortunadamente, ya han corregido los errores que permitían este tipo de ataque.
Aparte de las plataformas mencionadas anteriormente, Andrew Pavard, investigador del Centro de respuesta de seguridad de Microsoft, y Avinash Sudhodanan, investigador de seguridad independiente, analizaron 75 servicios en línea y descubrieron que al menos 35 son vulnerables a ataques de secuestro previo de cuentas
Estos ataques varían en tipo y gravedad, pero todos provienen de malas prácticas de seguridad por parte de los propios sitios web, a la hora de gestionar el registro de usuarios.
Para que un ataque funcione, el villano necesita conocer la dirección de correo electrónico del objetivo, lo cual es relativamente fácil, sobre todo «gracias» a las numerosas violaciones de datos que afectan a las empresas a diario, y cuyos datos acaban pululando por la web oscura.
Las redes sociales, con perfiles de privacidad mal configurados, son otra fuente muy valiosa de información.
Los atacantes, normalmente, apuntan a los servicios a los que las víctimas probablemente se suscribirán en el futuro, por lo que este tipo de estafa es algo parecido a tirar un anzuelo y esperar a ver quien pica.
Sin embargo, mediante correos electrónicos de phishing, también se puede tratar de engañar a una persona para que se registre en alguna plataforma en concreto.
En el momento en que la víctima decida registrarse por primera vez en esa plataforma, recibirá un mensaje diciendo que ya tiene una cuenta pendiente de verificar.
Pueden pasar varias cosas:
Si partimos de la base de que los perpetradores conocen el correo electrónico, pero no tienen acceso a la bandeja de entrada de la víctima, para intentar apoderarse de la cuenta creada por esta persona, deberán utilizar diferentes técnicas para «troyanizar» su dirección de correo electrónico.
El mecanismo específico mediante el cual se perpetra este ataque varía, y pueden utilizarse varios métodos, como por ejemplo:
Para que el ataque se lleve a cabo con éxito, se requiere que el servicio de destino admita cuentas clásicas y federadas.
Mediante una cuenta federada, la autenticación en un servicio se delega a un proveedor de identidad externo, como por ejemplo Google o Microsoft.
Además, las direcciones de correo electrónico deben usarse como identificador único y debe admitirse la fusión de ambos tipos de cuenta.
Básicamente, el delincuente utiliza la misma dirección de correo electrónico para crear dos cuentas:
El ataque también funciona si la propia víctima crea una cuenta a través de la ruta federada, utilizando la misma dirección de correo electrónico.
El ataque funciona si el servicio de turno admite varias sesiones simultáneas, y si los usuarios no cierran sesión en las cuentas si se restablecen las contraseñas.
El atacante debe permanecer conectado a la cuenta, mediante algún script automatizado, para mantener la sesión activa.
El atacante crea una cuenta en el servicio de destino utilizando la dirección de correo electrónico de la víctima, junto con cualquier contraseña.
Una vez hecho esto, el villano agrega un segundo identificador a la cuenta, por ejemplo, su propia dirección de correo electrónico o número de teléfono.
Cuando la víctima crea una cuenta e intenta restablece su contraseña, el pirata informático también recibirá una notificación para restablecer la contraseña.
Entonces, la restablece, recupera la cuenta y obtiene la información genuina del cliente.
El ataque explota una vulnerabilidad en el proceso de cambio de correo electrónico de los servicios de destino.
El atacante crea una cuenta en un portal usando la dirección de correo electrónico de la víctima y cualquier contraseña.
Posteriormente, inicia el proceso de cambio de dirección de correo electrónico de la cuenta; esto da lugar a que el servicio envíe un mensaje de confirmación a la nueva dirección de correo electrónico.
En lugar de hacer clic en el enlace de inmediato, el atacante espera tranquilamente a que la víctima restablezca la contraseña de la cuenta y la recupere.
El atacante luego activará el enlace para tomar el control de la cuenta de la víctima.
El ataque funciona solo si el servicio de destino no invalida los enlaces de recuperación, después de un período determinado.
Como hemos dicho antes, perpetrar este tipo de ataque da la sensación de que es complicado, y los métodos enumerados anteriormente si bien son bastante fáciles de entender, no acabamos de ver claro como pueden llevarse a la práctica.
Seguramente nos hemos saltado algo, quizás andamos un poco perdidos, o nuestro Inglés es digno del traductor de Google.
Obviamente, si alguien intenta registrarse en una plataforma con nuestra dirección de correo electrónico, el correo de confirmación nos llegará a nosotros, no al estafador.
Por otro lado, si somos nosotros los que intentamos registrarnos con nuestro correo, y nos dicen que esta dirección ya existe en su base de datos, nos mosquearíamos bastante.
Y si cayésemos en la trampa, e intentáramos recuperar nuestras credenciales de acceso, nos las enviarían a nosotros y no al villano.
Imaginamos que esto último debe ser la causa principal de que estas cosas pasen.
En cualquier caso, nosotros solamente hemos intentado resumir lo que hemos leído (y comprendido) en la página de Microsoft.
Si alguien está interesado en saber más, puede bajarse el PDF (en Inglés) y leérselo con tranquilidad.
Dependiendo de la naturaleza del servicio de destino, un ataque exitoso podría permitir al atacante leer y modificar la información asociada a la cuenta, o realizar todo tipo de acciones usando la identidad de la víctima.
Para evitar convertirnos en damnificados, es muy recomendable que protejamos nuestras cuentas con autenticación multifactor (MFA).
Si intentamos crear una cuenta mediante una dirección de correo electrónico, y nos dicen que ya existe una cuenta asociada al mismo, debemos registrarnos con una dirección de correo electrónico diferente.
Este ataque es imposible si usamos diferentes direcciones de correo electrónico para todas nuestras cuentas más importantes.
Por su parte, todos los servicios en línea que requieren de registro deberían eliminar periódicamente las cuentas pendientes de verificación, e invalidar las sesiones durante el restablecimiento de contraseña.
La V edición tendrá lugar el 9 y el 10 de junio en Málaga. En esta
...En apenas un mes, exactamente los días 16 y 17 de junio, dará
...El pasado 24 de abril VirusTotal informaba a sus usuarios de la
...El pasado 18 de abril de 2023, Google informó de 8 vulnerabilidades
...El pasado mes de diciembre de 2022 y enero de 2023, el equipo de
...