Blog

Información Tecnica, Noticias Informáticas, Seguridad

El negocio de las webs y aplicaciones de hackeo

/

Soy un seguidor de Chema Alonso, como sabéis los que leéis el blog, y el siempre comenta que diariamente le llegan, como hacker famoso, peticiones de diversa índole relacionadas con el hackeo de cuentas a terceras personas. Algunas son muy graciosas y es impresionante que la gente piense que pueden solicitarle a alguien que hackee la cuenta de su novia, o su jefe de trabajo. No es algo nuevo, en el Deep Web, o en páginas “underground” siempre ha existido esto. Pero ahora se anuncian y todo. Me están sorprendiendo mucho las ofertas de páginas y aplicaciones de actividades delictivas relacionadas con la seguridad informática que están saliendo. Casos como el falso “quien me espía en facebook” o el “whatsapp de escritorio”. Chema ya nos advirtió hace poco de las “aplicaciones para hackear Facebook“, que luego mirando el código sólo generaban un código aleatorio. Eso si mucha gente las descargan y ellos consiguen monetizar esas descargas de varias maneras. Hay mucho primo suelto. Hace unos días salió un servicio online de Lizard Squad (grupo de hackers responsable de la caída de las redes de Xbox Live y PlayStation en navidades), llamado Lizard Stresser que servía para solicitar a los usuarios de Lizard, bajo previo pago, que atacasen por DDOs a una web de tu elección (bajo la excusa de servir como prueba de seguridad). La gente podía entrar, registrarse con usuario y contraseña y pedir (pagando) esos ataques al grupo Lizard. Tirando de la fama conseguida en navidades e intentando monetizarla. Como podéis ver en el enlace la página ha sido hackeada, y es que parece ser que el que la hizo no tenía mucha idea y puso los usuarios y contraseñas en texto plano. Estos usuarios y contraseñas han sido filtrados y la web se cae frecuéntemente. Desde entonces no sólo se ha filtrado la lista de usuarios y contraseñas de esta web (y se ha visto las solicitudes de pago y ataques), sino que las cosas no parecen haber ido bien para este grupo porque se han realizado varios arrestos. Esta semana he visto la salida de http://hackerslist.com/, una supuesta página donde puedes registrarte y solicitar, también bajo pago un trabajo de hackeo. Los usuarios registrados como “hackers” pueden llevar a cabo ese trabajo y la página, una vez realizado, transmite el pago. Algo que, obviamente dado el carácter de los trabajos muy legal no es. Pero además no veo a la comunidad hacker viendo esto como una oportunidad para monetizar sus conocimientos y muchos lo verán como un sitio “a atacar”. Si no lo tiran los sistemas legales….me temo que los usuarios lo harán. Ni que decir tiene que no recomiendo para nada este tipo de sitios, ya habéis visto con el caso de Lizard Stresser que no dan buen resultado, pero además estas páginas también son muy dadas a gente aprovechando el tirón mediático para clonarlas o atacarlas. Si realmente tienes que descubrir la contraseña del correo de tu novia déjala. Y si quieres algo investiga, descubre y aprende. El mundo de la seguridad informática es fascinante…pero no está para hackear la cuenta de tu jefe.

Mac, Móviles, Smartphones, Tablets

Be My Eyes: una gran aplicación para la gente con problemas visuales

/

Ayer un amigo, Alfredo T. compartió esta aplicación y creo que es una gran idea. Soy muy partidario de compartir estas aplicaciones que ayudan a la gente para que se den a conocer. Be My Eyes es una aplicación muy sencilla. Consiste en una vídeo llamada que puede realizar la persona con problemas visuales. Cuando la gente de la aplicación recibe la consulta se conectan por vídeo al usuario. Este les solicita ayuda con su problema (leer la fecha de caducidad de un cartón de leche, instrucciones para algo, carteles en una dirección etc etc) y las personas videntes de la aplicación se lo leen en alto. Sencillo pero puede ser una gran ayuda para mucha gente. Como dicen ellos “una red de ojos”. Ahora mismo sólo está para iPhone (aquí) aunque parece que están desarrollando la de Android. No se si durará…pero sólo por la intención y la idea merece la pena compartirla 😀  

Android, Información Tecnica

Android Studio: el entorno de desarrollo oficial en Android

/

Hace casi un mes salió la noticia: ya está disponible la primera versión estable de la herramienta de desarrollo en Android oficial de Google: Android Studio. Lo tienes disponible para Windows, Mac y Linux y viene con muchas herramientas, entre ellas un editor de código, integración con Github, compatibilidad con  varias pantallas (apps para teléfonos Android ,tablets, Android Wear, Android TV, Android Auto y Google Glass) de diferentes tamaños etc etc. Mucha gente estaba usando  Eclipse  + el plugin de Android aunque lo lógico es que vayan pasando a este entorno oficial ahora que ha dejado de ser beta…ya que obviamente tiene ventajas en cuanto a compatibilidad y cambios de código de Google. Así que si queréis empezar en el mundo del desarrollo de aplicaciones Android, ya disponéis de un entorno oficial y muchos tutoriales en Internet. Os dejo un ejemplo:  https://www.youtube.com/playlist?list=PLc7fMPfZwlVjb9N5jOyqI73nlJ_ETXpER https://www.youtube.com/playlist?list=PLMTiAh6qhda0sV5u5j9pRjpg88KuHDs1H Ahora toca investigar, probar y desarrollar vuestra primera aplicación. Nosotros lo haremos pronto jejejeje      

Compartir, Video

Kodi para ver deportes. Ejemplo fútbol: partido Real Madrid vs Atlético de Madrid

/

Hace unos días me preguntó un amigo sobre maneras de ver fútbol en el ordenador. La verdad es que a mi el fútbol no me interesa lo más mínimo (soy más de deportes de lucha) pero me picó la curiosidad informática. Además, en mi trabajo es necesario estar al día de todas las novedades y maneras de hacer las cosas…si no te quedas atrás. Como ayer fue el partido Real Madrid vs Atlético de Madrid, se me ocurrió que era la mejor oportunidad para probar. Si puedo ver un partido de fútbol de ese calibre, en España, con la popularidad que tiene, y con mi conexión de 1Mbps (y con Kodi veo películas en HD), se puede ver todo. Aproveché que tenía instalado en mi ordenador Kodi y que había hecho la instalación del addon Sportsdevil hace unos días para investigar. Tras un par de minutos me conecté sin problemas como podréis ver en el vídeo. Probé con dos conexiones diferentes. Me gustó que el addon te muestra los eventos deportivos que hay según la hora que es, y luego muchísimos enlaces. En cada enlace muestra la velocidad del mismo y el idioma. Recordad que Kodi se puede instalar en un ordenador y conectarlo a la tele, o en una Raspberri y pegarlo detras de la TV. Además permite manejo remoto usando el móvil o la tablet como mando a distancia como podéis ver aquí. La semana que viene os contamos cómo instalar y configurar SportsDevil en Kodi.  

Android, Noticias Informáticas, Seguridad

Que es el NFC que están poniendo en las tarjetas de crédito. Ventajas y peligros.

/

Muchos habréis oído los términos “tarjetas Contactless” , ha llegado la era “Contactless” etc. Sobre todo en los bancos. ¿Qué es esto? Se trata del uso de la tecnología NFC (Near Field Communication) en las tarjetas (banco, DNI, abono transportes…) y todo indica que cada vez iremos más en esa dirección. ¿Qué es la NFC? Es una tecnología de comunicación inalámbrica (como si tuvieras una pequeña wifi) basada en el anterior RFID. Pero mientras el RFID permitía leerse a varios metros (dependiendo del tipo y la fuente usada), lo que podía ser un gran problema de seguridad, el NFC sólo se puede leer a distancias de hasta 10 cm aproximádamente (de ahí lo de Near). ¿Que ventajas tiene? Básicamente es una evolución de los códigos de barras, las tarjetas magnéticas e incluso los códigos BIDI. Se puede crear pegatinas o emisores con información NFC que cualquier lector puede leer y permitan ejecutar algo (un cobro, mandar un email, añadir un recordatorio al calendario, abrir una aplicación etc etc). Esto ya os está permitiendo pasar tarjetas de abono transporte en lectores y que abra el torno,ver la información con el móvil sobre el estado de los autobuses en la parada… y va a permitir pagos son sólo acercar una tarjeta, fichar fácilmente en el trabajo, realizar muchas acciones automáticamente, leer datos (igual que los Bidi) desde el móvil etc etc . Incluso el DNI 3.0  va a disponer de NFC lo que permitirá identificarte rápidamente en muchos servicios. Y muchos bancos os están cambiando la tarjeta a “Contactless” en “modo lentejas” ,la coges si o si. De hecho no sólo son las empresas las que pueden usarlo sino que ya venden tarjetas que puedes programar (de varios costes, baratas en China y algo más caras las de las marcas).  Y la mayoría de los móviles actuales van incluyendo lectores de NFC (parte del peligro..todo el mundo tiene un lector). Mirad este vídeo. PELIGROS: A cualquier informático esto le hace temblar y ver luces rojas de alarma. Porque hay una regla en la informática, todo lo que tu puedes ver de manera remota lo pueden ver también “los malos”. Esto se vió en USA donde era fácil leer a distancia la información de la tarjeta de crédito con un lector a distancia (de hecho salió una aplicación para móvil que retiraron). Eso si, como es una tecnología reciente no se conocen mucho todavía sus vulnerabilidades. Saldrán más. Apuntamos algunas: Obtención de la información de la tarjeta.  Esto permite a cualquier persona con un lector obtener la información contenida en la tarjeta. Información que pueden ser los datos de tu tarjeta de crédito o, algo que preocupa mucho con el DNI 3.0 , que te identifique la policía (o cualquiera) sin autorización. A saber que hace luego esa persona con esos datos. Pagos pequeños sin más seguridad: Al principio del uso del RFID y ahora NFC en las tarjetas de crédito los bancos permitían (y permiten) el cobro de pequeñas cantidades desde un lector sin necesidad de PIN (por temas de estar offline etc). Esto quiere decir, por ejemplo, que en teoría yo podría cobrarte pequeñas cantidades (Electronic Pickpoketing) pasando un lector cerca de ti (menos de 10cm) sin mayor autorización. Pequeñas cantidades a muchas personas es una cantidad muy grande. Parece que ahora han limitado el número de cobros así que se requieren sin PIN…pero sigue siendo un riesgo enorme. Tráfico sin cifrar. GRAN fallo. El tráfico por RFID (NFC incluído) NO está cifrado (cómo se les ha pasado esto hoy en día creando la tecnología es impensable). Esto quiere decir que cualquiera puede leer el tráfico si lo intercepta. ¿Difícil? Proyectos como el https://www.openpcd.org/  ya crean tanto software como hardware que lee tráfico NFC. Ataque Relay: Un tercero puede leer la información entre la tarjeta y un lector, y usarla en una tarjeta falsa posteriormente. Por ejemplo así. Bueno …..espero haberos acojonado un poco porque sólo así uno es consciente de cómo debe proteger sus datos. Más información hackeando NFC. ¿Que puedo hacer para protegerme?   No usar esta tecnología no es solución…nos la van a imponer (bancos, DNI 3.0 etc) y además toda tecnología tiene sus ventajas. Y se pueden (Y DEBEN) tomar medidas de seguridad. Ya venden carteras que bloquean el RFID porque crean una jaula de Faraday desde la que los emisores de tu tarjetas no pueden salir fuera de la cartera. Esta es una solución. Para el que no quiera comprar una cartera también venden fundas para tarjetas anti-RFID , mucho más económicas, donde puedes meter la tarjeta y no deja que emita fuera. Las hay de muchas calidades y tipos pero como mínimo recomiendo ir comprando algunas de estas. Ya estáis advertidos….vienen fraudes a punta pala.    

Ofimatica, Trucos

F.lux: ajusta el color de tu pantalla a la hora del día

/

Hace unos días os hablamos de lo dañino que es para las horas de sueño y para la vista el leer con la pantalla de la tablet o del móvil como viene por defecto. Las pantallas están diseñadas para máximo brillo, pero por la tarde el cuerpo no está preparado para eso, y los colores azules suelen afectar a los ritmos de sueño además de dañar la vista. Si queréis evitar eso en el ordenador tenéis F.lux en https://justgetflux.com/ Disponible para Windows, Linux y Mac, el programa ajusta los colores de la pantalla según la hora del día y, por lo tanto, según la luz externa. Una buena manera de ahorrarse estrés ocular, dolores de cabeza y falta de sueño.  

Ofimatica, Trucos

Truco: Cambiar la plantilla por defecto en Microsoft Word

/

Hay gente que siempre escribe documentos con un tipo de letra determinado, con un pie de página o una cabecera, añadiendo una firma, un logo, una marca de agua o con márgenes especiales. Por ejemplo en las empresas para seguir un esquema corporativo. Es un coñazo, hacer todos estos cambios cada vez que abrimos Word. Mucha gente lo que hace es crearse una “plantilla” que no es mas que un documento Word del estilo “pagina de empresa”. El problema de eso (os habrá pasado) es que muchas veces se te olvida y sobreescribes la plantilla, además de que tienes que abrirlo cada vez. Os vamos a explicar como hacerlo de una manera más lógica, modificar la plantilla Normal de WordPress, la que abre cada vez que se ejecuta. Así tendrás tu página personalizada como quieres. Para ello tienes que ir a abrir, como si abrieras un documento, y subir con el scroll hasta arriba del todo en la columna izquierda. Verás una opción que pone Plantillas. Debería aparecer la plantilla Normal, si no  elige en el desplegable “Todos los documentos” por si tienes algún filtro. Abre la plantilla Normal. Te recomiendo que antes hagas una copia de seguridad (guárdala primero con otro nombre como Normalvieja y vuelve a abrir la Normal). Haz los cambios que necesites y guárdalos. Estarás sobreescribiendo la plantilla  Normal que es la que abre Word. Si cierras y abres Word ahora verás que ya tienes tu página personalizada como quieres, con tu pie, tu marca de agua o lo que necesites. Un buen truco, os dejo un vídeo en inglés explicando cómo hacerlo.

Diseño Web, Gestores de contenidos, Seguridad

iThemes Security y BulletProof Security. Dos plugins de seguridad para WordPress

/

Hace unos días os hablamos de WordFence, un fantástico plugin para mantener la seguridad en WordPress (algo cada día más importante). Hoy os dejamos dos más muy recomendables. No podemos insistir suficientemente en la importancia de estos programas para que vuestras páginas estén limpias, os refuercen la seguridad y os avisen de ataques e infecciones. Cuidado al usarlos y configurarlos, eso si, porque como son potentes un fallo puede ocasionar la caída de la web (hacer copia de seguridad antes de cada cambio).  iThemes Security es un plugin muy completo y muy descargado. Sigue cuatro pasos “Obscure, Protect, Detect, Recover”, es decir oculta, protege, detecta y recupera. Lo primero te permite analizar tu instalación y ver fallos de seguridad, reforzarla ocultando el backend, cambiando el sufijo de las tablas de la base de datos, mira la fortaleza de las contraseñas, banea usuarios y hosts que intentan entrar con contraseñas equivocadas, monitoriza tu web para detectar cambios y modificaciones maliciosas y además te permite hacer copias de seguridad periódicas para poder restaurarlas en caso de problemas. Es compatible con el plugin de copia de seguridad BackupBuddy  de iThemes. Muy directo y sencillo de usar para el que no tiene ni idea. Bulletproof Security:  Otro plugin de seguridad que, en este caso, toma el enfoque de proteger tu instalación de WordPress con configuraciones (tipo firewall) del fichero .htaccess con la idea que, como es lo primero que se lee, cuando alguien intenta inyectar código o cambiar configuración, si se le para a nivel de htaccess no llega ni a tocar tus ficheros. Parte de lo que te permite en modo gratuito es tener un firewall a nivel htaccess, monitorización y control de quien entra y quien sale (login) de tu web y copia de seguridad de la base de datos. En modo Pro tiene muchas otras funciones. Al final es que probéis y veáis cual os gusta más personalmente. Si estas no os gustan también existen y tienen buena fama Quttera Web Malware Scanner y Sucuri Security aunque creo que en estos hay que registrarse o incluso pagar tras un primer periodo gratuito.  

Internet, Seguridad

Cuidado con los clones o sustitutos de páginas de descargas famosas.

/

Ayer estaba viendo un anuncio de Facebook en el que se anunciaba una página para arreglar el problema de “la caída de todas las webs de películas y series” y además disponía de “un nuevo sistema indetectable“. Nota 1: Si algo empieza a venderse así…cuidado. Es obvio que TODAS las webs de películas y series no se han caído, y muy dudoso que exista “un nuevo sistema indetectable”. Además ¿un anuncio en Facebook de una actividad ilegal (compartir enlaces de películas)…? Primeras indicaciones que esto es para atraer incautos. Por curiosidad empecé a investigar y al entrar en la página (con una apariencia sospechósamente igual a series.ly) dice que “han creado un nuevo sistema” para visualizar películas. Ese sistema está “basado en unos PIN’s (códigos informáticos)” (jajajjaja) “tan seguros que ni siquiera nosotros podemos ver“, “desde los registros hasta los enlaces están codificados a través de PIN’s” (jajjajajaja y re-jajajaja). Ni siquiera pinché. Buscando en el Whois el dominio está comprado hace unos días (Diciembre) y sólo por un año. Además en su página de Facebook hay muchísimas quejas de redirecciones, que piden una tarjeta de crédito etc etc. NORMAL. Lo mismo pasó cuando cerró seriesyonkis, a los pocos días la clonó un ruso. Algunos enlaces funcionaban pero otros eran muy sospechosos. Lo  mismo pasó con PirateBay tras el cierre (no ahora que van a volver a abrir 300 clones legítimos). Ayer salió una noticia sobre la reaparición de Seriespepito con otro dominio. FALSO. Otro clon. Y lo hemos también en páginas famosas de libros cerradas y casos similares. CUIDADO: Se está volviendo MUY habitual que los “malos” clonen estas páginas o intenten aprovechar el tirón mediático de un cierre, o la necesidad de la gente tras la caída de una web. Sospechad INMEDIATAMENTE de páginas iguales, de reclamos publicitarios sencillos y otros indicios. ¿Que buscan con esto?  Varias cosas y ninguna buena. Algunos buscan aprovecharse del tráfico de una página famosa tanto para redirigir los enlaces a su web, como para meter código para obtener ingresos. Si ponen anuncios con su cuenta un porcentaje pinchará y, por pequeño que sea ya son ingresos, sobre todo en páginas con mucho tráfico. Muchos ponen código en la página o en los enlaces que te infectan el ordenador con malware o virus. Esto es lo más habitual. Pensad en los ingresos que obtiene alguien por mandar spam desde tu equipo, por distribuir software de pago,o el uso que puede hacer un delincuente de hacer que tu ordenador forme parte de una botnet. Como veis en el caso antes mencionado algunas piden tarjeta de crédito. Os sorprendería saber la cantidad de gente que la pone. Os podéis imaginar lo que pueden hacer. Muchas piden registro con e-mail y otros datos, es una buena manera de obtener tus datos para cualquier actividad (spam, extorsión, compras falsas etc). Cuando entras en una de estas páginas no sabes ni lo que te está metiendo en el ordenador ni dónde estás ingresando. Para gente con conocimientos puede ser fácil luego poder monitorizar todo lo que haces en tu navegador (claves de banco, claves de servicios, etc etc). Conclusión: NO CAIGÁIS en estos trucos. Usad siempre servicios fiables, que lleven tiempo y conocidos. Esos ya tienen suficiente malware como para encima acudir a los clones nuevos que desconocemos.    

Android, Smartphones, Tablets, Trucos

Aumenta la memoria caché de tu tarjeta SD para acelerar tu Android

/

Hoy tenemos un truco para acelerar tu Android e intentar que tenga parones: aumentar la memoria caché de tu tarjeta SD. Obviamente al rendimiento de tu Android le afectan varias cosas, tu dispositivo (memoria, procesador, versión de Android, aplicaciones, ROM usada….). También le influye la velocidad de acceso a los datos. Para eso una buena idea es tener una tarjeta SD (microSD normalmente) rápida. Podéis ver el artículo de ayer sobre velocidades de tarjetas. Una vez tienes el mejor equipamiento posible, toca arreglar las cosas que puedas y una de ellas es la memoria caché de la tarjeta. Increíblemente esta está puesta por defecto a 128kb. Lo lógico es ampliarlo para que pueda leer más rápido desde caché. Teniendo en cuenta que yo muevo la mayoría de mis aplicaciones a la tarjeta…esto significa un incremento en la velocidad de las aplicaciones. Según el desarrollador a veces de hasta 40 veces. Aquí lo hemos probado y la verdad es que se nota. Si queréis números podéis verificarlo con una aplicación SD Card Tester. SD Booster se puede descargar desde Google Play pero necesitas tener tu teléfono rooteado. Instálalo y ejecútalo. Después empieza por poner 1024 (1Mb) en el “caché para todos los dispositivos” y luego dale a aceptar (el tick). Una vez hecho esto comprueba cómo va tu móvil y haz otra prueba con SD Card Tester. Si no te satisface puedes probar con otro tamaño de caché, nosotros con el de por defecto nos valió y la verdad es que se nota.

Scroll al inicio