Bitcoin: ¿Conoces la criptomoneda de la que todo el mundo habla?
Quien más y quien menos, todos hemos oído hablar de los Bitcoins, sobre todo en los últimos tiempos. Se trata, sin ninguna duda, de la criptomoneda más famosa y, sin embargo, aun despierta todo tipo de dudas y suspicacias. La intención de nuestro post es resolverte las dudas más comunes que traen consigo los Bitcoins y las criptomonedas en general. Para empezar, es muy importante que nos preguntemos: ¿Qué es, exactamente, una criptomoneda? Pues bien, la criptomoneda no es otra cosa que un medio digital de intercambio que garantiza la seguridad, integridad y equilibrio de sus estados de cuentas. En resumen, es dinero digital. Tan importante es saber esto, como que los Bitcoins son criptomonedas pero no todas las criptomonedas son Bitcoins. Otras criptomonedas existentes, aunque menos conocidas son: Ripple, Ethereum o Litecoin. A continuación vamos a dar respuesta a las preguntas más recurrentes sobre los Bitcoins: - 1. ¿Qué son los Bitcoins? Los Bitcoins surgen de la idea de crear una nueva moneda que esté basada en la criptografía para, de esta manera, controlar su creación y sus transacciones sin dependencia de ninguna autoridad central. - 2. ¿Cómo puedo adquirir Bitcoins? Hay dos formas para obtener Bitcoins: - Comprarlos en casas de cambio online a cambio de dinero físico (euros). - Minería o generación de nuevos Bitcoins. - 3. ¿Cómo puedo comprar Bitcoins? Su compra/venta se produce en casas de cambio online o entre las carteras y monederos virtuales de los distintos usuarios. Algunos ejemplos de casas de cambio de Bitcoins son: BitStamp o Mt. Gox, que a principios de 2017 copaban algo más del 50% del mercado de este tipo de negocios. - 4. ¿Dónde puedo utilizar los Bitcoins que he adquirido? Puedes usar los Bitcoins que hayas adquirido para comprar en todos aquellos lugares donde se acepten Bitcoins o los conserven como divisa por considerarlos una inversión. Empresas que aceptan el uso de Bitcoins son: Reddit, Mega o WikiLeaks. - 5. ¿Cómo hacer transacciones con mis Bitcoins? Todo lo que vas a necesitar para llevar a cabo tus transacciones es un dispositivo electrónico (PC, smartphone,…) con conexión a Internet. Los usuarios que han comprado sus Bitcoins necesitarán descargarse una cartera a través de la cual se pueden enviar y recibir Bitcoins. Estas carteras son clientes y páginas web que otorgan a los usuarios direcciones Bitcoin (Clave pública para que otros clientes te identifiquen. Esta clave cambia en cada transacción para garantizar el anonimato de la misma) que pueden utilizar para recibir/enviar dinero de/a otros usuarios. Como en todo, hay disponibles diferentes tipos de cartera y tendrás que comprobar cual se adapta mejor a tus necesidades. Para pagar con Bitcoins, el propietario de una cartera acepta la dirección Bitcoin de la cartera emisora para que, a continuación, el emisor realice el pago a través de la aplicación de la cartera (en su ordenador, en su smartphone,…) introduciendo la dirección del destinatario, la cantidad a abonar y pulsando “enviar”. Una vez hecho esto, la transacción se registra en el libro contable de la red Bitcoin y espera la confirmación que verifica que los fondos salen de una cuenta y se cargan en la otra. Tras comprobar que este movimiento se ha realizado con éxito, se confirma la transacción. - 6. ¿Cómo puedo proteger mis Bitcoins y mi cartera? Hay que tener muy en cuenta que la cartera Bitcoin es como una cartera normal con dinero, es decir, se puede perder, te la pueden robar,… y es por esto que cobra relevancia su seguridad. Los usuarios de carteras Bitcoin pueden emplear medidas de seguridad propias para proteger su dinero o utilizar proveedores de servicio que ofrecen buenos niveles de seguridad y pólizas de seguro por pérdida o sustracción. La norma de seguridad más extendida consiste en guardar cantidades pequeñas de Bitcoins en tus dispositivos electrónicos de uso diario y dejar las cantidades más grandes en bancos Bitcoin o en casas de cambio. Todo esto, siendo plenamente consciente de que ninguna de estas entidades ofrece un 100% de seguridad, ni tampoco tienen seguros suficientes para almacenar el dinero como los bancos reales. Estas son las cuestiones que desde la Comunidad Movistar Empresas hemos considerado como fundamentales, pero recuerda que tienes a tu disposición la sección de comentarios para añadir toda la información, sobre Bitcoins, que conozcas y consideres interesante.
Boletín semanal nº 31 Noticias Seguridad en Comunidad Movistar Empresas
* 1 de cada 5 páginas web utiliza certificados vulnerables, según revela Venafi Según la información del último estudio de la compañía de ciberseguridad Venafi, el 21% de todas las páginas web analizadas continúan empleando certificados como el SHA-1, que son vulnerables frente a ataques “man-in-the-middle”, de fuerza bruta o de colisión. Este tipo de ataques pueden implicar el acceso no autorizado a datos sensibles y de carácter personal de los usuarios. Nuevo ataque masivo infecta a servidores de bancos, gobiernos y multinacionales. http://www.ticbeat.com/seguridad/1-de-cada-5-paginas-web-utiliza-certificados-vulnerables-segun-revela-venafi/ * Los nuevos retos en ciberseguridad contados por Chema Alonso Es conocido por todos la importancia de la ciberseguridad para las empresas. Cada vez son más los negocios que sufren ataques informáticos de algún tipo dado el auge de esta tendencia, por lo que muchas empresas han decidido poner solución frente a estos posibles ataques a fin de evitar estas acciones. Uno de los principales inconvenientes, es la falta de personal capacitado para proteger la información, aunque cada vez son más los profesionales especializados en seguridad. Para más información os dejamos este vídeo de Chema Alonso. http://cincodias.com/cincodias/2017/03/22/tecnologia/1490194082_115020.html * Es Posible hackear teléfonos mediante ondas sonoras Un grupo de investigadores de seguridad en ordenadores de la Universidad de Michigan, en Carolina del Sur, ha descubierto una vulnerabilidad en los smartphones que permite que éstos sean hackeados haciendo uso de ondas sonoras. En una prueba realizada por los mismos investigadores, éstos fueron capaces de hacerse con el control del acelerómetro, un componente utilizado tanto en teléfonos móviles, como en pulseras de deporte o automóviles, mediante unos determinados archivos de audio que hicieron sonar. http://blog.elhacker.net/2017/03/es-posible-hackear-telefonos-mediante-ondas-sonoras.html * Telegram vs WhatsApp Web Telegram afirma que no es vulnerable al ataque que sí afecta a WhatsApp Web. Quizás recuerdes nuestra noticia asegurando que las cuentas de WhatsApp y Telegram podrían estar en peligro, gracias al envío de una imagen maliciosa transmitida hacia la versión web de tu cuenta en las dos apps de mensajería más usadas en el mundo. https://voltaico.lavozdegalicia.es/2017/03/telegram-no-vulnerable-ataque-whatsapp-web-confusion/ * NoSQL INSecurity: Preview and Basic Attacks Cuando hablamos de bases de datos NoSQL, lo primero que pensamos es en rendimiento, flexibilidad y escalabilidad, las características propias y necesarias de las bases de datos utilizadas por los gigantes de Internet como Adobe, Amazon, Ebay, Twitter, Google, Netflix. Pero analizando los features de bases de datos NoSQL como MongoDB, Cassandra, CouchDB, Hbase, Redis o Riak podemos darnos cuenta a primera vista que las medidas de seguridad que poseen son insuficientes o están pensadas para bases de datos utilizadas en ambientes "trusted", donde la posibilidad de ataques sea ínfima y existan otras medidas de protección por fuera del nivel de base de datos. Ahora, ¿Cómo hacemos para detectar las debilidades de seguridad de una determinada instalación de base de datos NoSQL para poder explotarlas (o para poder remediarlas y hacer nuestra base de datos NoSQL mas segura)? http://www.hacking4badpentesters.com/2017/03/nosql-insecurity-attacks-and-protection.html * Pwn2Own 2017 con exploits para Adobe, Apple, Microsoft, Mozilla, Ubuntu y VMware El concurso anual de hackers patrocinado por Zero Day Initiative (ZDI) y Trend Micro, ha establecido un récord de exploits exitosos, registrando 17 intentos con 11 exitosos. El récord se produjo en el segundo día del evento, que este año celebra su décimo aniversario. En total, los concursantes recibieron U$S340.000 y 97 puntos de Master of Pwn por la investigación del día. Según el blog de Trend Micro, Track A se centró en los productos de Adobe y Microsoft y dio como resultado el lanzamiento de exploits exitosos sobre Adobe Flash, Microsoft Edge y Microsoft Windows. ZDI otorgó U$S220.000 y 60 puntos de Master of Pwn a los concursantes de Track A. En el día 1, los concursantes recibieron U$S 233.000 y 45 puntos, con cinco intentos exitosos (y 20 errores), un éxito parcial, dos fracasos y dos entradas retiradas. https://www.infosecurity-magazine.com/news/pwn2own-2017-sets-record-on-day-2 * 0-Day para más de 300 modelos de Switch Cisco IOS/IOS XE (Desactiva Telnet) La vulnerabilidad reside en el código de procesamiento de Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE. La falla identificada como CVE-2017-3881 podría permitir a un atacante remoto no autenticado causar un reinicio del dispositivo afectado o ejecutar código con privilegios elevados y de forma remota en el dispositivo, para tomar el control total del dispositivo. https://arstechnica.com/security/2017/03/a-simple-command-allows-the-cia-to-commandeer-318-models-of-cisco-switches/ * Security Awareness según la ISO/IEC 27001:2013 Para aquellos que se preguntan si la norma ISO/IEC 27001:2013 incluye requisitos de capacitación o concientización en seguridad informática, la respuesta es sí, vamos a encontrar que está mencionada en el propio cuerpo de la norma como requisito, por lo que también es un control de la ISO/IEC 27002:2013. Según éstas es necesario no sólo llevar adelante un programa de capacitación y concientización sino también contar con un registro que lo evidencie. http://blog.smartfense.com/2017/02/security-awareness-segun-iso-27001.html * EE UU acusa a espías rusos del robo masivo de datos sufrido por Yahoo El Departamento de Justicia de Estados Unidos tiene ya montada la batería de cargos penales contra los responsables del asalto masivo informático que hace tres años puso al descubierto los datos personales de más de 500 millones de usuarios de Yahoo. Washington confirma que detrás de uno de los robos de datos más graves de la historia hay cuatro hackers, de los que dos pertenecen a los servicios de espionaje de Rusia. Actuaron para enriquecerse con esa información. Los cuatro acusados son Dmitry Aleksandrovich Dokuchaev, Igor Anatolyevich Sushchin, Alexsey Alexseyevich Belan y Karim Baratov. Los dos primeros son funcionarios de la FSB, el sucesor de la temida KGB. Los investigadores estadounidenses aseguran que actuaban en nombre de la agencia y explican que trabajan en la unidad de información conocida como Centro 18, que hace de enlace con el FBI en asuntos relacionados con la cibercriminalidad. http://internacional.elpais.com/internacional/2017/03/15/actualidad/1489590898_242085.html * Wikileaks desclasifica el programa de hackeo global de la CIA Wikileaks acaba de realizar una acusación bastante grave en la cual acusa a la CIA (Agencia Central de Inteligencia) de llevar a cabo un proyecto de hackeo a nivel global en el cual productos triviales como celulares y televisores se utilizaban como micrófonos ocultos. La situación es llamada Year Zero por parte de Wikileaks y en el comunicado de prensa indican que "la CIA perdió el control de la mayoría de su arsenal de hackeo que incluye malware, virus, troyanos, exploits tipo 'dia cero' convertidos en armas y la documentación asociada". Con "Year Zero", Wikileaks espera dar a conocer "el alcance y la dirección del programa de hackeo global de la CIA". https://git.kernel.org/pub/scm/linux/kernel/git/gregkh/tty.git/commit/?h=tty-linus&id=82f2341c94d270421f383641b7cd670e474db56b
Boletín semanal nº 30 Noticias Seguridad en Comunidad Movistar Empresas
* Una de cada 3 webs utiliza librerías JavaScript obsoletas y vulnerables El ecosistema JavaScript es el más extendido en las webs modernas y sus repositorios pueden llegar a contener más de 100.000 librerías diferentes, aunque las más utilizadas son, principalmente, jQuery, Angular, Handlebars, Bootstrap, Modernizr, Moment y LoDash. Sin embargo, tanta variedad de librerías está poniendo en peligro la seguridad de los usuarios y de los servidores de páginas web, ya que más del 37% de las páginas web utilizan librerías obsoletas o desactualizadas que ponen en peligro la seguridad del servidor. Si quieres saber más accede a este enlace. https://www.redeszone.net/2017/03/10/librerias-javascript-vulnerables/ * Malware preinstalado en teléfonos Al menos 36 modelos de teléfonos inteligentes de gama alta pertenecientes a empresas como Samsung, LG, Xiaomi, Asus, Nexus, Oppo y Lenovo, están siendo distribuidos con malware precargado. Estos dispositivos infectados se identificaron después de que CheckPoint realizó un análisis en estos en dispositivos Android. Se detectaron dos familias de malware en los dispositivos infectados: Loki y SLocker. http://blog.checkpoint.com/2017/03/10/preinstalled-malware-targeting-mobile-users/ * Detenido el 'hacker' que filtró los 'papeles de la Castellana' sobre familiares del rey Juan Carlos Agentes de la Policía Nacional han detenido en Tenerife a un hacker por atacar el servidor de una asesoría tributaria y hacerse con más de 40.000 documentos privados sobre familiares del rey Juan Carlos y otras grandes fortunas, los conocidos como los papeles de la Castellana que fueron publicados por varios medios en junio de 2016. Los agentes localizaron el origen de la intrusión informática y rastrearon la misma hasta llegar al domicilio del arrestado, en Tenerife. El detenido, quien presuntamente reveló información fiscal de importantes empresarios y grandes fortunas de España, se enfrenta a penas de prisión de hasta 5 años. Descargó de forma ilegal más de 40.000 documentos de importantes empresarios y grandes fortunas de España. http://www.20minutos.es/noticia/2982193/0/hacker-filtro-papeles-castellana-detenido-policia-rey-juan-carlos-datos-fiscales/ * ¿Qué hacer si publican una foto tuya en internet sin tu permiso? Busca al propietario del dominio y pídele que retire la imagen Denúncialo a la policía Conoce la ley ¿Deberían los niños tener derecho a vetar lo que sus padres publican de ellos en Facebook? http://www.bbc.com/mundo/noticias-37896303 * ¿Se equivoca Wikileaks? 14 cosas que hay que saber sobre el espionaje de la CIA Casi 9.000 documentos secretos del departamento cibernético de la CIA han sido filtrados esta semana por Wikileaks, que ha publicado una nota de prensa. One Hacker ha preguntado a tres de los grandes expertos mundiales, David Barroso de Countercraft, Sergio de los Santos de Eleven Paths y Mikko Hypponen, de F-Secure para conocer qué ocultan y qué hay de verdad y mentira en ellos. http://www.onemagazine.es/vault7-wikileaks-filtracion-espionaje-cia-analisis-de-hackers-y-expertos-ultima-hora * Microsoft publica 18 boletines de seguridad y soluciona 135 vulnerabilidades A pesar de las informaciones previas sobre la no publicación de boletines, este martes Microsoft ha publicado 18 boletines de seguridad (del MS17-006 al MS17-023) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft nueve de los boletines presentan un nivel de gravedad "crítico" mientras que los nueve restantes son "importantes". En total se han solucionado 135 vulnerabilidades (algunas de ellas en varios productos). Además se han corregido otras siete vulnerabilidades adicionales en Flash Player. http://unaaldia.hispasec.com/2017/03/microsoft-publica-18-boletines-de.html * Auditando la seguridad de los juguetes inteligentes Cuando empezaron a salir las noticias por todos lados (hasta medios nacionales se hicieron eco) sobre los juguetes que ponían en riesgo la privacidad de los niños, recordé la muñeca y busqué la aplicación (para iOS y Android), la bajé y empecé a analizarla de forma estática (basado en el código fuente) y dinámica (analizando la aplicación en ejecución), aunque la aplicación solicitaba una gran cantidad de permisos en el teléfono (cámara, internet, micrófono, alarmas, entre otros) solo revisando el código fuente y detallando el anuncio del juguete me di cuenta de su verdadero funcionamiento. Lo primero que me pareció raro es que pedía permisos de Internet, pero no hacia conexiones a servidores propios, lo que me causo curiosidad, me puse a revisar un poco más y me di cuenta que el permiso de Internet se usaba para el modulo de publicidad (admob) y de estadísticas del framework de desarrollo (unity), lo que me generó la pregunta ¿qué hacen con los datos recolectados por estos sistemas?, encontraría la respuesta literalmente en la palma de mi mano, presionando el botón “privacy policy” de la misma aplicación, donde a grandes rasgos nos dicen que van a recolectar información de nuestros hijos de diferentes formas, la podrán compartir con terceros dentro y fuera de los estados unidos y que podrán cambiar las políticas de privacidad cuando quieran. https://www.dragonjar.org/auditando-la-seguridad-de-los-juguetes-inteligentes.xhtml
