Tag Archive: App


creditcarjpg_EDIIMA20150306_0521_13

Con las nuevas tarjetas que incorporan tecnología NFC para realizar micropagos, un ‘cibercaterista’ podría estar birlándonos mientras nosotros nos entretenemos con una ‘app’ aparentemente inofensiva que hemos descargado. Quién iba a decir que, de tapadillo, esa aplicación iba a mandar los datos de nuestra tarjeta de crédito a algún amante de lo ajeno.

Cada día nos lo ponen más fácil. Si mucha gente ya no llevaba encima un solo céntimo porque en la cartera descansaba la tarjeta, ahora ni siquiera es necesario introducir el plástico en un lector o pasarlo por la ranura: con acercarla al aparato, es suficiente. Así funciona la tecnología NFC, que permite transmitir datos entre dos dispositivos sin necesidad de contacto, solo por aproximación. Muy práctico, pero las reglas del juego en materia de seguridad también han cambiado.

Si antes nos andábamos con cuidado por si a los carteristas les daba por llevarse lo que no les pertenecía, ahora podríamos no enterarnos siquiera de que alguien nos está robando. Si el carterista se ha convertido en un ‘cibercarterista’ y ha decidido sacar partido a las vulnerabilidades de NFC, probablemente no nos percatemos de nada. Sería suficiente con que nuestro móvil estuviera infectado con alguna aplicación maliciosa y actuase como aliado de los mangantes.

Así lo han demostrado los españoles José Vila y Ricardo J. Rodríguez, que han impartido una ponencia al respecto en el congreso de seguridad informática Rooted CON. Su propósito no era otro que destripar la tecnología NFC, sus distintas capas, para comprobar si podían hacerse con cierta información de valor. “Se suponía que era posible, y lo que hemos hecho es llevarlo a la práctica”, cuenta Ricardo, doctor e ingeniero en Informática por la Universidad de Zaragoza que actualmente trabaja para la Universidad de León.

Estos dos investigadores han descubierto que, en las actualizaciones más recientes de Android, es posible que un ‘smartphone’ detecte una tarjeta NFC y transmita la información a otro teléfono para que se pueda hacer pasar por ella.

Si alguien con no muy buenas intenciones consigue que descargues una ‘app’ infectada con su ‘malware’, podría copiar buena parte de la información de tu tarjeta de crédito. ” Podríamos robar información de carácter personal, desde el número de la tarjeta hasta el titular de la misma, e incluso la fecha de caducidad, que son los datos que se transmiten por defecto cuando tú estás leyendo una tarjeta en NFC”, explica Ricardo. Se escapa el código de verificación (CCV) y poco más.

Toda esa información podría enviarse a un segundo ‘smartphone’ (vía Bluetooth, wifi o 3G) para que este se haga pasar por la tarjeta de crédito al acercarlo a un punto de pagos móviles, y realizar así ciertos cargos en la cuenta bancaria asociada a la tarjeta.

Así es como dos ‘smartphones’ maliciosos se pueden aliar en lo que se conoce como un ataque de ‘relay’ (o de retransmisión). Mientras uno capta la información y la envía, el otro hace las veces de tarjeta replicada y puede efectuar pequeñas compras al pasar sobre un datáfono.

Según Rodríguez, el máximo que se podría cargar en la cuenta corriente de la víctima es de 20 euros en el caso de España; algo más en otros países. Además, quien nos birlase la tarjeta no podría hacer todos los pagos que quisiera. Tal y como detalla Ricardo, “los bancos metieron un mecanismo adicional de seguridad. Hay un número de veces limitado en el que puedes hacer compras, de forma consecutiva, sin introducir el código PIN”.

Tal y como nos cuenta este ingeniero informático aragonés, los ‘relay’ no son nuevos. “Estos ataques llevan investigándose desde 2008 a nivel académico; lo novedoso es que ahora Android, con sus últimas versiones, permite que este tipo de ataques sean reales. Antes no era factible, teníamos que hacer ciertas modificaciones. Se podía, pero no por defecto”, nos explica. El dispositivo debía modificarse para obtener acceso ‘root’ (a la raíz del sistema operativo), un procedimiento relativamente sencillo pero que muy pocos usuarios aplican en sus móviles. El número de potenciales víctimas era, por tanto, muy reducido.

Ahora, sin embargo, basta con que el ‘smartphone’ que tiene el cometido de leer la tarjeta de crédito esté equipado con Android 2.3. y el que tiene que replicarla tenga KitKat 4.4. “Tampoco hace falta que sean nuevos modelos”, asegura Ricardo.

Aunque sea una actualización de Android la que hace posible el ataque, el investigador afirma que no es culpa de Google. A medida que el sistema operativo móvil de la compañía – de código abierto – se va desarrollando, se incorporan nuevas funcionalidades más avanzadas. “La tecnología NFC define tres modos de operación. El modo lector-escritor, el punto a punto y el de emulación. Lo que ocurre es que las primeras versiones de Android solamente se podían trabajar con modo lector-escritor o modo punto a punto. Fue a partir de la versión KitKat 4.4 cuando abrieron el modo HC o emulación”.

Tras su hallazgo, Rodríguez y Vila se han puesto en contacto con los bancos para informarles de que existen estos resquicios en la seguridad de sus servicios, por si consideran oportuno tomar medidas. Si bien es cierto que, a juicio de Ricardo, si de lo que se trata es de agilizar el proceso de pago, cuanta más capas de seguridad se pongan más lento será. “ Si quiero que esto sea rápido y estoy insertando protocolos de seguridad, estos van a hacer que sea más lento y, por lo tanto, menos atractivo para el usuario”, asegura. El difícil equilibrio entre simplicidad y seguridad, eterno dilema de un programador de ‘software’.

En cualquier caso, existen ya ciertas medidas de seguridad que pueden evitar este tipo de triquiñuelas. Ciertos mecanismos adicionales de verificación, por ejemplo, y el propio principio de proximidad que es clave en la tecnología NFC (impidiendo que los pagos se realicen desde un lugar distinto al que se encuentra el ‘chip’ de la tarjeta).

Con el método expuesto por Rodríguez y Vila, un juego entre dos teléfonos móviles que se alían, la distancia no supone una limitación relevante. Sin embargo, si además de acercar la tarjeta al aparato hiciera falta introducir alguna clave secreta, se podrían prevenir este tipo de acciones. ¿También esta clave se la acabarán saltando? Probablemente, pero la seguridad es una carrera entre los ‘malos’ y los ‘buenos’ y el premio, desgraciadamente, es tu dinero.

Fuente | Hojaderouter

650_1000_amigdala

Quizás os hayáis parado a pensar en mitad de un paseo por vuestro barrio o alguna zona: ¿qué tipo de delincuencia ha habido por aquí? La respuesta, sobretodo si vives en una gran ciudad, es que siempre se ha cometido algún crimen en todas partes. Pero siempre tenemos esas zonas conocidas precisamente por su inseguridad, cosa que nos hace evitar ciertas calles en nuestras rutas. Si tenemos una calle así cerca, la aplicación Amigdala nos puede ayudar.

Amigdala nos muestra una interfaz que nos recordará a un radar, donde por medio de puntos podremos ver información sobre los delitos que se han cometido cerca: robos, asaltos a locales, asesinatos, detenciones policiales… dependiendo de la cantidad de infracciones en una zona la pantalla se volverá de color azul, verde, amarillo o rojo. Y de cada crimen tendremos detalles como la fecha.

De momento Amigdala está disponible para iOS y es gratuito. Puede despertar cierta polémica sobre la diferencia de seguridad en los barrios de cada metrópolis (la cantidad de crímenes de una zona no significa que te vaya a pasar nada), pero quizás nos pueda ser útil en situaciones delicadas.

Fuente | Genbeta

650_1000_01_Primary_Version_CMYK_CS4-01 Cuando hablamos de más seguridad en nuestras cuentas de Internet, solemos hablar de cosas complejas. Autenticación en dos pasos basada en OTP, biometría… Sin embargo, no siempre lo más complejo es lo mejor. A veces, la idea más sencilla puede funcionar perfectamente, y este es el caso de Latch, una aplicación desarrollada por Eleven Paths bajo el paraguas de Telefónica.

Latch, como su propio nombre indica, es un pestillo para tus cuentas en Internet. El concepto es simple: como no siempre estamos accediendo a todas nuestras cuentas, ¿por qué dejarlas abiertas para que cualquier con el usuario y contraseña pueda entrar a ellas? Con Latch podemos bloquear las cuentas cuando no las estemos usando, añadiendo así una capa adicional de seguridad.

La configuración inicial no es excesivamente complicada. En la aplicación pulsamos el botón de añadir servicio, y se genera un código temporal. Entramos en nuestra cuenta en el servicio que queramos proteger, activamos Latch e introducimos el código que nos da la aplicación. El servicio verificará entonces con los servidores de Latch que el código es correcto, recibirá un código único que identifica esa cuenta, y en tu móvil aparecerá un aviso de “Cuenta protegida”. A partir de entonces podrás bloquearla o desbloquearla sólo con un botón desde tu móvil.

Cuando queramos entrar en esa cuenta, esa web verificará que tu usuario y contraseña son correctos, como hace normalmente. Pero además verá que tu cuenta está protegida, así que preguntará al servidor de Latch con el código único de tu cuenta, que responderá si tu cuenta está bloqueada o no. Si no esta bloqueada entrarás normalmente, pero si está bloqueada, no podrás entrar y recibirás un aviso en tu móvil de que ha habido un intento de acceso no autorizado.

Esta capa de seguridad adicional nos protegerá en caso de que nuestras contraseñas y cuentas de correo se filtren a un atacante. Y como vimos hace unos días, es algo perfectamente posible. En este sentido la idea base es similar a la de autenticación en dos pasos: usar algo que sólo tú tienes. Pero además tiene la ventaja de que es más cómoda y más fácil de implementar para los servicios.

Además, es totalmente anónimo y privado. Los servidores de Latch no tienen en ningún momento los datos de tus cuentas. Sólo mantienen un código aleatorio para cada cuenta: no guardan ni usuario ni contraseña. De la misma forma, los servicios que configures con Latch tampoco tendrán tu número de teléfono.

Aparte de la ideas básicas, Latch cuenta con alguna característica adicional. Podemos activar códigos OTP (estilo Google Authenticator) o enviados por push o SMS para entrar en las cuentas, o configurar un modo nocturno para que nuestras cuentas se bloqueen automáticamente por la noche. También podemos establecer el nivel de granularidad en la protección que queramos: por ejemplo, podemos mantener desbloqueada nuestra cuenta del banco pero bloquear las transferencias con Latch.

Frente a la autenticación en dos pasos a la que estamos acostumbrados, Latch tiene la ventaja de ser más cómodo y fácil de usar, no requerir códigos de emergencia y tener avisos de intentos de acceso no autorizados. Además, podemos tener la aplicación de Latch en varios dispositivos al mismo tiempo sin problemas, así que perder el móvil no es el fin del mundo. Y por último, no sufre de los problemas de seguridad que tienen las soluciones actuales de autenticación en dos pasos.

Nevele_App_3

La aplicación móvil gratuita de Latch estará disponible dentro de unos días en Android, iOS y Windows Phone, y para Blackberry estará en proceso. En cuanto a los proveedores que se integrarán con Latch, están confirmados Tuenti, Acens y algunos servicios internos de Telefónica. En el MWC anunciarán muchas más integraciones, entre las que se encontrarán varios bancos nacionales.

La idea de Latch es muy, muy interesante. Aumenta la seguridad sin añadir un montón de pasos complejos, y tiene el potencial para que lo adopten un buen número de servicios (Eleven Paths está desarrollando módulos para integrarlo en minutos en plataformas como Moodle, Django o WordPress). Eso sí, tendremos que esperar a probarla para ver si es realmente útil y las ventajas que ofrece en cuentas que tengamos permanentemente abiertas, como pueda ser el correo.

Fuente | Genbeta

A %d blogueros les gusta esto: