Timos a través de Bizum como el de la Seguridad Social.

Este verano, aprovechando el problema de los ERES, los pagos de la Seguridad Social etc se han estado propagando nuevos timos de la modalidad vishing. En este caso usando la plataforma de pagos Bizum y “supuestos” pagos de la Seguridad Social.
Como la gente necesita dinero, y está desesperada, es el caldo de cultivo perfecto para estas estafas.

Bizum es un método de pago por el que se puede asociar la cuenta bancaria a un numero de teléfono y hacer un pago a ese número, a otra persona, a través de la aplicación. Se está volviendo muy común entre particulares (muchos bancos no permiten a las empresas que los usen).

Aprovechando esto, los “maleantes” han aprovechado esta aplicación y los ERTEs. El timo era el siguiente:

  • Una persona, normalmente afectada por ERTE o con problemas con la Seguridad Social, recibe un mensaje de una supuesta trabajadora de la SS, indicando que está pendiente un pago, y que se va a usar la aplicación Bizum.
  • Para poder recibir el pago, tienen que darse de alto en esta aplicación.
  • Más tarde, reciben otro mensaje para realizar una transferencia de “confirmación” de la aplicación. Cuando la persona pincha en el enlace, se hace un pago a los estafadores.

En verano se detuvieron a personas que estaban realizando estas estafas, pero este timo lleva ya tiempo realizándose, con diferentes excusas:

Hace unos días salieron otros casos sobre “supuestas” ayudas a las tasas escolares.

Cómo prevenir estos timos.

  • Daros cuenta que las instituciones como la seguridad social no usan métodos de pago como Bizum. Es obvio..son inseguros (como véis) y además, ni vana poner un móvil asociado a una cuenta.
  • En caso de duda, primero investigad. En seguida se ven timos como este con sólo “googlear”.
  • Bloquead el número, no respondáis ni deis ninguna información.
  • Recordad que, si habéis sido objeto de este timo, es que seguramente alguien ha visto que estabais en una situación económica necesitada. Han estado haciendo “ingeniería social”. No compartas esa información en Internet.

AsistenciaCOVID-19: la app del Gobierno para autodiagnóstico y consejos para el coronavirus. Geolocalización opcional.

He dudado si poner esta noticia en la web….pero es una aplicación TIC, es un desarrollo y uso interesante de la tecnología (que se verá más en el futuro) y hay gente que puede querer usarla.

Desde el lunes tenemos disponible online la aplicación del Gobierno para el coronavirus: AsistenciaCOVID-19. Por ahora en uso sólo en Cantabria, Canarias, Castilla-La Mancha, Extremadura y el Principado de Asturias.

La aplicación puede usarse vía web en el enlace proporcionado, o por aplicación móvil de Android e iOS.

Está pensada para dar un autodiagnóstico a nivel primario, e intentar evitar la saturación de los sistemas sanitarios. Una vez realizado el diagnóstico, da consejos sobre qué hacer según los resultados. Permite también un seguimiento y diagnóstico diario si así se desea, y también (dependiendo de la comunidad autónoma) pedir cita con el médico.

Esta aplicación viene con mucha polémica sobre la geolocalización y el uso de los datos que recoge. Algunos sectores han indicado que está diseñada para controlar a los ciudadanos.

La geolocalización es opcional, y, según indica su política de privacidad, será sólo usada para:

 “La geolocalización sólo se utilizará a la hora de registrarte y realizar tus autoevaluaciones, para poder conocer en qué Comunidad Autónoma te encuentras y poder conectarte con el sistema de atención sanitaria que te corresponda. No se rastrea tu localización para finalidades distintas de las señaladas.

Según la misma página, los datos recogidos se ceden a los siguientes destinatarios:

Además del Responsable, tienen acceso a tus datos personales los profesionales sanitarios y las autoridades con las que colaboramos y nos relacionamos para el cumplimiento de las finalidades arriba indicadas. El acceso a tus datos, que proporcionamos a estos terceros, es siempre para finalidades lícitas y sólo durante el periodo de tiempo estrictamente necesario para ello.

Entre otros, esto implica dar acceso a tus datos a:

• Los profesionales sanitarios para que se pongan en contacto directamente contigo en caso de que, del resultado de la autoevaluación realizada a través de la Aplicación, se determine que necesitas atención médica ante la posibilidad de estar infectado por el coronavirus.

• Las autoridades competentes de las Comunidades Autónomas en materia de sanidad (los datos de salud podrán formar parte de tu historia clínica) y otras autoridades nacionales y/o internacionales (p.ej. órganos judiciales), con las que necesitemos compartir tu información.

En cualquier caso, el Responsable siempre garantiza el máximo nivel de protección en el acceso que estos terceros tengan a tus datos e información, por ejemplo, alcanzando acuerdos de tratamiento de datos con los mismos o mediante el establecimiento de medidas de salvaguardas apropiadas que aseguren la confidencialidad y el tratamiento seguro de tus datos.

Obviamente, los datos también pueden usarse con fines estadísticos. De hecho DEBEN porque los datos estadísitcos son muy necesarios para obtener tendencias para poder tomar decisiones sobre qué pasos tomar y cuando (cosa que la mayoría de la población desconoce).

El uso de este tipo de aplicaciones y otra será más frecuente en el futuro, y es una recomendación de los expertos. Es verdad que tendremos que ceder algo de nuestra privacidad para ello, pero puede ser interesante para ahorrar el coste humano y económico de otro desastre de este tipo.
Entre otras cosas, a la gente infectada se les está pidiendo que recuerden con quién han estado para poder avisarles del riesgo de infección. Una aplicación puede hacerlo de manera más rápida y precisa.
Puede que, cuando nos dejen salir, sea con aplicaciones de este tipo. Porque son un gran método para que los expertos realicen tendencias de movimiento, infectados etc y controlen posibles repuntes.


Empresas como Apple y Google ya está moviéndose en ese sentido. Podéis ver las tendencias de movimiento según el COVID-19 que ha publicado Google aquí.

De todas formas recordad que, al final, elegís vosotros las aplicaciones que instalar, qué aplicaciones usar, dónde poner los datos y si activar o no la geolocalización. La decisión final es vuestra….aunque puede que se os “obligue” con condiciones como “si no instalas esto no podrás…”.

Línea 017. Teléfono gratuito de ayuda en Ciberseguridad de INCIBE. Particulares y empresas.

Somos fans de los portales informáticos de organismos públicos como OSI o INCIBE, compartimos muchas noticias sobre sus servicios y consejos. De hecho estamos apuntados a sus correos informativos.
Hace unos días nos hemos entrado de este servicio gratuito para empresas y particulares que nos parece muy útil y queríamos compartir con vosotros.

La línea 017 es una línea telefónica a la que podéis llamar si tenéis cualquier duda sobre temas de seguridad informática.
Esto es lo más importante, un sitio al que cualquier ciudadano, ya sea particular o de empresa, pueda llamar para resolver una duda sobre seguridad. Con el repunte de ataques de spam, ransomware y similar, cualquier ayuda para proporcionar información es bienvenida.

El servicio es confidencial y gratuito.

Feliz Navidad 2019 desde SmythSys IT Consulting.

Todo el equipo de SmythSys IT Consulting queremos aprovechar este post para desearos una Feliz Navidad y un Próspero Año Nuevo.

Os agradecemos a todos: lectores del blog, visitantes de nuestras redes sociales y canal de Youtube, clientes, anunciantes y amigos, que un año más contéis con nosotros.

Esperamos haberos dado un servicio de calidad, e informaciones que os sirvan de ayuda para conocer y manejar mejor el mundo de las TIC (Tecnologías de la Información y Comunicación).

Nosotros ya estamos trabajando, estudiando y formándonos para mejorar y aumentar los servicios que os podemos ofrecer. Cada día podemos ayudaros en más proyectos con tecnologías diversas. Esperamos superarnos el año que viene.

¡Gracias por estar ahí!

Los PowerToys vuelven en Windows 10

Los que llevéis un tiempo en esto de la informática, puede que recordéis los PowerToys. Una serie de aplicaciones que salieron para Windows 95 que permitían hacer modificaciones extra en el sistema operativo que no se podían hacer directamente.

Las Power Toys estuvieron disponibles en Windows 95 y en Windows XP, y luego cesaron de existir. Hasta este Septiembre en el que Microsoft ha decidido sacarlas para Windows 10. Con varias novedades:

  • Están disponibles en el repositorio de Github, desde donde podrás descargarte la útlima “release”.
  • Sale con, ahora mismo (más por venir), 3 aplicaciones:
    Fancyzones: para colocar ventanas donde quieras.
    Shorcut: para ver rápidamente los atajos de teclado disponibles.
    Power rename: para cambiar archivos de nombre de manera masiva.
  • Opción para crearte tus propios PowerToys con la plantilla y la API de configuración.

Se despierta la curiosidad para ver que nuevos Toys pueden salir de este proyecto.

Atención: llegan cartas amenazando multas a usuarios por realizar descargas P2P en todas España.

Hace año y medio se produjo el llamado Caso Euskaltel, en el que clientes de la operadora vasca Euskaltel estaban recibiendo cartas amenazando con juicios y multas (400€) por haber descargado contenido P2P.

Hace unos meses se conoció la sentencia de dos de los casos, en uno se absolvía a los acusados, y en el otro se les condenaba a pagar 150€.
Parece que la sentencia depende de la interpretación del juez.

El caso es que estas cartas amenazantes se han extendido a toda España, y a varios operadores (los últimos de Movistar). Así que cuidado, puede llegarte a tí.

https://twitter.com/deth_mage/status/1173840388530102274


Veamos los detalles y qué hacer.

Datos sobre las cartas.

  • Las cartas piden 400€ (por descarga) en concepto de “indemnización por el daño ocasionado“. 100€ como compensación y 300€ por los gastos de investigación y reclamación (ja!).
    Si no se paga amenazan con acciones legales.
  • A un usuario le piden 1300€ por haberse descargado 10 veces un episodio.
  • Ya no sólo es con clientes de Euskaltel, están llegando por toda España ( Madrid, Valladolid y Cádiz ) y con clientes de Movistar también (se supone que se extenderá a otras operadoras).
  • Curiosamente la serie repetida en Ash vs Evil Dead (serán frikis los investigadores…meterse con usuarios de serie C jejejeje).
  • Por ahora, salvo los de Euskaltel, las cartas se están quedando en amenazas, no están progresando a juicio (se supone por los costes, aunque también se supone que alguna vez irán).

Dudas sobre los datos que identifican a los usuarios.

Hay gente que se pregunta cómo se ceden los datos a las empresas denunciantes sin orden de un juez. Esto es incorrecto, la petición si la hace un juez, tras diligencias previas.

La gran duda, la que han alegado previamente los abogados defensores y por la que uno de los casos de Euskaltel se desestimó es que se está identificando a los usuarios por la dirección IP.

Los abogados defensores, y el juez de Donostia que desestimó el caso, alegan que no se puede identificar al responsable de una descarga por una dirección de IP que puede haber sido contratado por otro usuario.
Los denunciantes que el titular de la línea es responsable.
Y los jueces varían su criterio…y aspectos de los juicios irregulares.

Qué hacer si se reciben estas cartas.

Los abogados expertos en esta materia, David Bravo y David Maeztu recomiendan no pagar y ponerse en contacto con otros acusados, para agruparse y realizar una defensa conjunta como en el caso Euskaltel.

Nuestra opinión.

Nosotros opinamos que así no se lucha contra la piratería: atacando al usuario. Es como atacar al drogadicto para luchar contra la droga. Tampoco hace amigos entre los usuarios.

Técnicamente hay muchísimas dudas sobre la dirección IP como identificación del usuario que realiza la acción de descarga, sobre todo con IPs dinámicas, sitios compartidos, wifi etc etc. Pero claro, los jueces pueden decidir que el titular es el responsable y lavarse las manos.

Los usuarios SIEMPRE van a encontrar maneras de descargar, y cuanto más se persiga, más se ocultarán (VPNs etc).

En mi opinión, las descargas ilegales se combaten con contenido barato y de calidad. El que escribe este artículo ha dejado de usar las descargas al tener Netflix, Amazon Primer etc. No merece la pena el trabajo por conseguir contenidos de menos calidad cuando con unos pocos clics tienes streaming de alta calidad.

Pero a la industria siempre la ha gustado más castigar que trabajar y pensar.

El canal de HP acaba de publicar cientos de vídeos sobre cómo reparar sus productos y cambiar piezas. Excelente iniciativa.

Últimamente tenemos dos vertientes en el mundo de los fabricantes respecto a la reparación de sus productos.

Por un lado está el “bando” de Apple (como destacado representante), que cada día hace más difícil la reparación, usando herramientas o componentes suyos que no pueden adquirirse en otros lados. Esto obviamente sólo les beneficia a esas empresas, y supone, a nuestro entender, un daño al medio ambiente y a empresas “terciarias” de soporte.

Por otro lado está el bando de las empresas que apoyan la reparación de los productos (algo que permite el uso continuado de los mismos, es mejor para el medio ambiente, para la economía del usuario, para los que nos dedicamos a reparar….).

HP acaba de dar un paso enorme a favor del segundo bando: ha publicado en su canal de Youtube de Soporte, cientos de vídeos con explicaciones sobre cómo reparar muchísimos de sus productos. Desde Pcs, a impresoras y portátiles. Y no sólo reparar, sino también sustituir piezas, trucos, “how-tos” y muchos más tutoriales que pueden ayudar al usuario.

Los vídeos están categorizados en listas de reproducción y, para nosotros, supone una razón más para decantarnos por HP.

EXCELENTE HP, así se hace (fui becario de HP hace años y me da cierta alegría que hagan estas cosas).

Os ponemos un vídeo como ejemplo, de los muchos que hay.

Enorme FAIL de Facebook. Ha guardado contraseñas en texto plano durante años.

Hace unos días la gente de KrebsOnSecurity sacaron un artículo en el que afirmaban que Facebook lleva almacenando contraseñas en texto plano desde hace años, algunas desde el 2012.

Facebook lo ha confirmado en este artículo de hace 4 días.

Para el que no sepa que es esto, es una cagada monumental, sobre todo para una empresa online como Facebook. Texto plano son ficheros que cualquiera puede leer, sin ningún cifrado ni contraseña. Como si guardas un documento de texto tu con el bloc de notas.

Desde hace años las contraseñas en todos los sistemas viene cifradas, para que nadie pueda descubrirlas sin, al menos, algo de trabajo. Pero estos ficheros contenían contraseñas de usuarios sin ninguna protección. Cualquier empleado podía abrir el fichero, copiar las contraseñas y enviarlas, revenderlas etc.

¿A quién afecta este fallo?

Según Facebook a miles de usuarios de Facebook, Facebook Lite e Instagram:

We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users .

La empresa notificará a los usuarios afectados para que cambien su contraseña.

¿Que se puede hacer?

Lo primero cambiar la contraseña. Puedes esperar a ver si eres uno de los afectados y que Facebook te lo notifique…pero yo recomiendo cambiarla ya. Aunque sea por “higiene” informática.

Lo siguiente es lo que recomienda la empresa en el artículo anterior y que llevamos nosotros recomendando desde hace años:

  • Usa gestores de contraseñas para poder guardar contraseñas diferentes para cada servicio y difíciles de adivinar.
  • Activa la doble autenticación. Yo no tengo que preocuparme de este filtrado porque hace tiempo que uso Latch para proteger mi Facebook. Así que, aunque descubran mi contraseña, no pueden entrar sin el código de mi aplicación. Esto da una tranquilidad enorme y te permite “pasar” de estos fallos de seguridad de las empresas.

Eso si…. sorprende y mucho un fallo de seguridad tan garrafal en una empresa tan grande.

Control de horas automatizado tras el nuevo Real Decreto Ley 8/19

El día 8 de Marzo se aprobó el Real Decreto Ley 8/2019, que introduce varias modificaciones desde el punto de vista laboral. La que nos incumbe hoy es el Registro de horas. Vamos que hay que “fichar” en todas las empresas.
Resumimos las novedades de este registro diario de horas
obligatorio :

  • Deberá incluir el horario concreto de inicio y finalización de la jornada de trabajo de cada persona trabajadora. Tiene que constar el número de horas realizadas y en su caso las horas extras.
  • No especifica formato. Puede ser en papel o digital.
  • Entra en vigor el día 12 de mayo del 2019 (dos meses).
  • Se deben conservar 4 años.
  • Las multas son de 206€ a 6.250€
  • Es necesario poder sacar informes que será lo que nos pidan en una inspección.

Obviamente se puede realizar en papel, pero es una lata tanto a modo de gestión diaria, como para almacenar dichos registros. Además de ser un retraso, en nuestra opinión, a estas alturas andar con registros en papel. Así que os dejamos posibles soluciones automatizadas (que nosotros montamos para clientes).

Nota: aunque muchas veces se instalan a la vez, no es necesario que los sistemas de horas sean también control de acceso. Para convertirlos en control de acceso sólo hay que conectarlos a una cerradura electrónica. Pero, por ejemplo a nosotros no nos interesa en nuestra oficina.

Programas gratis para control de horas.

Lo primero es el software que gestione esto, no queremos registro de horas manual por las razones antes esgrimidas. Hay software específico para cada ordenador, pero estamos hablando de soluciones empresariales que se puedan gestionar de modo global. Preferimos las soluciones web que guardan el contenido en bases de datos y permiten control de horas desde cualquier lugar (¿quién no hace teleworking hoy en día?).

El sistema de fichaje online (ya sea en un servidor/pc local o en Internet), permite varias modalidades como fichar por aplicación de móvil, fichar desde casa a través de una web, fichar en una web al llegar al trabajo, automatizar el fichar con tareas al “logarse” cada usuario en su perfil del ordenador, o al hacer doble click en un icono. Es mucho más compatible con el trabajo desde casa, pero también requiere empleados más fiables.

Además, los que presentamos, permiten una gestión global de recursos humanos (vacaciones, empleados, bajas etc).

Os dejamos alguna opción que recomendamos ahora y que iremos actualizando.

OrangeHRM.

La solución con versión Open Source más conocida de gestión de recursos humanos. Tiene un módulo para gestión de horas que incluye, entre otras, “fichar”

Podéis probarlo en esta demo.
Dispone además de una app para poder gestionarlo desde el móvil (lo que permite fichar fácilmente ). iOS y Android.
En su web tienes que registrarte para descargar la versión. Pero tienen página en Source Forge con el programa.
Se puede optar poner en un Windows con un WAMP, o en un Linux.

IceHRM

Es la competencia más directa de OrangeHRM. Visualmente más atractivo pero requiere algo más de conocimientos para instalar.

También tiene una demo aquí.
Y la versión Open Source en Github y en Source Forge.
App tiene en iOS y Android.

Hardware.

Con respecto al hardware hay varias opciones, dependiendo de lo que os fiéis de vuestros empleados, de si se trabaja sólo en un sitio o varios (varias oficinas o desde casa) etc. El hardware automatiza el proceso de fichar y además identifica mejor al usuario (aunque todos se pueden engañar) y algunos aseguran que sea en un sitio concreto. Si se necesita combinar con control de acceso son necesarios.

  • Control dactilar. El que está más de moda, porque permite identificar mejor al usuario y combinar con controles de acceso. Suele incluir software de gestión de horas o en el propio aparato, o para instalar en un PC. Nosotros trabajamos con varios modelos y precios.
  • NFC. Es el mismo sistema del “pago contactless” de las tarjetas de crédito. Es más barato que el anterior y permite crear tarjetas, pulseras, o llaveros que el empleado pueda llevar (y por lo tanto también ceder para que “fichen” por él). También permite “fichar” con algunos móviles que lo leen. Algunos modelos tienen el sistema de gestión en el hardware, en otros casos el software puede estar en un PC o en un servidor de Internet y el dispositvo NFC accede a él. También permite automatizar el fichar a través de la web porque dichos dispositivos permiten que se graben órdenes y tareas.

Esperamos que esto os ayude. Para cualquier duda ya sabéis, consultarnos.

Comprueba si te han hackeado la cuenta. Más de 772 millones de correos.

Hace unos días, el fundador de la página Have I been Pwned anunció que ha descubierto una colección de contraseñas e e-mails hackeados enorme. Supone la segunda mayor filtración de datos de la historia.

Estamos hablando de 772,904,991 correos, 21,222,975 contraseñas únicas y
1,160,253,228 combinaciones de contraseñas y correos. En total ¡¡más de 87Gb de datos!!

La colección la ha descubierto en MEGA, gracias comentarios de lectores de su página. La ha llamado Collection #1. Su tamaño impresiona, aunque contiene recopilaciones de filtraciones anteriores.
Ya la ha subido a su página (que es una base de datos pública de filtraciones).

¿Cómo compruebo si mi cuenta está ahí?

Para eso es para lo que esta persona creó la página Have I Been Pwned. Entra en esta página, pon tu e-mail para comprobar si está ahí.

  • Si no está no te preocupes, estás a salvo.
  • Si está significa que alguna página en la que estuviera tu correo ha sido hackeada y tus datos son públicos. Esta página te dirá dónde. Pero aún así recomendamos que cambies la contraseña en todos los servicios que usen ese correo.

No sólo puedes comprobar si tu correo se ha filtrado, sino que también puedes comprobar tu contraseña en esta página. Al comprobar tu contraseña verás si está en la lista. Si está, no la uses….es una de las que comprobarán automáticamente (con robots) al intentar acceder a un servicio.