Ahora saquean bienes virtuales

July 30th, 2010 | Posted by in Uncategorized - (0 Comments)

Por Ben Worthen

Las ventas de bienes digitales como objetos virtuales y dinero ficticio para juegos en Internet son cada vez más populares entre los consumidores. No obstante, también lo son para los delincuentes cibernéticos.

Las compañías que vendieron productos digitales perdieron 1,9% de su ingreso total debido a fraudes en 2009, comparado con 1,1% en el caso de las empresas que venden bienes físicos en la web, según la procesadora de tarjetas de crédito para negocios en línea CyberSource Corp.

Estos porcentajes pueden parecer pequeños, pero pueden convertirse en sumas considerables a medida que redes de socialización como Facebook Inc. expanden el mercado de bienes virtuales, asociado tradicionalmente con juegos como Second Life y World of Warcraft, donde los usuarios compran artículos virtuales como oro y ropa para avatares. Las ventas mundiales de productos digitales en plataformas de juegos y redes sociales alcanzaron los US$2.200 millones en 2009 y se espera que suban a US$6.000 millones en 2013, según Piper Jaffray & Co. Los datos de CyberSource también incluyen otras compras digitales —como música y películas de la tienda iTunes de Apple— que añaden miles de millones de dólares más a la categoría.

PayPal, el sistema de pagos en Internet propiedad de eBay Inc., hizo transacciones valoradas en más de US$2.000 millones en diversos productos digitales durante 2009 y la categoría está “creciendo muy rápido”, asegura el portavoz Anuj Nayar. “Hay un nivel muy alto de actividad nefaria” en el negocio, afirma, añadiendo que PayPal está trabajando en varias medidas de prevención de fraude que espera anunciar en los próximos meses.

A primera vista, es difícil imaginarse el interés de los estafadores por artículos como espadas computarizadas para un juego de fantasía. Pero a menudo estos bienes son más fáciles de obtener que productos físicos y los delincuentes saben que hay formas de convertirlos en dinero.

“El intento de fraude es inevitable siempre que se aceptan pagos en línea”, dice Joe Sullivan, director de seguridad en Facebook. Sullivan afirma que proteger de fraude a un sitio es como una “partida de ajedrez” con delincuentes que cambian constantemente de tácticas.

Por ejemplo, Facebook presentó en 2009 una divisa virtual, llamada Credits (créditos), que sus usuarios compran en el sitio y gastan en juegos y otros servicios. Para asegurarse de que la moneda, que está en fase de prueba, no caiga presa de los delincuentes, en los últimos meses Facebook ha contratado a varios expertos en fraudes.

Una forma común de fraude consiste en comprar un artículo con una tarjeta de crédito robada y venderlo posteriormente por dinero de verdad en el sitio web de otra empresa, a menudo a un precio rebajado.

Sullivan afirma que monitorea Internet para vigilar que no surja un mercado secundario de créditos de Facebook. Por su parte, la compañía también comprueba que la dirección de Internet que usa un cliente para hacer una compra se encuentra donde vive el titular de la cuenta. Si los datos presentados parecen sospechosos, Facebook usa una novedosa técnica de identificación: muestra fotos de amigos de usuarios y pide que nombre a la persona en la imagen.

Las compras por Internet de bienes digitales y físicos están regidas por las mismas normas impuestas por las compañías de tarjetas de crédito, que estipulan que la empresa que acepta la compra —y no el titular de la tarjeta— es responsable de los cargos fraudulentos, incluso si la compra fue aprobada por la administradora de la tarjeta.

Sin embargo, los bienes digitales presentan desafíos particulares. Una compañía en línea que vende, por ejemplo, un libro o una computadora, tiene una dirección de envío para comparar con una dirección de facturación. Además, tiene horas, o en algunos casos días, para revisar el pedido manualmente si sospecha de fraude. Cerca 25% de las compras en Internet está sujeto a esta revisión, según CyberSource.

Por lo general, los vendedores de bienes digitales no cuentan con tanta información ni tiempo para tomar decisiones. Los clientes esperan que el proceso sea rápido, y las tasas de cancelación de la compra son mayores cuando éste no es el caso. Además, con un bien digital no hay dirección de envío. Otra complicación: las ventas de productos digitales son a menudo por pequeñas cantidades de dinero, generalmente de US$1 o US$2, afirma Justin Smith , fundador de la firma de estudios de mercado Inside Network Inc.

En el caso de Facebook, la divisa virtual no tiene ningún valor en el mundo real, por lo que la compañía no incurriría en multas elevadas si permite una compra fraudulenta. Pero el sitio no quiere que sus usuarios lo asocien con fraude bajo ninguna circunstancia: “una mala experiencia no sólo hará que los usuarios eviten los créditos, sino también a Facebook”, dice Sullivan.

Fuente: WSJ Americas


, , , , , , , , , , , , , , , , , , ,

De las marcas más valiosas del mundo, 4 son tecnológicas

July 30th, 2010 | Posted by in Uncategorized - (0 Comments)

La publicicación estadounidense Forbes ha encumbrado en la cima de
las marcas más valiosas a Apple, en primer lugar, Microsoft, por
detrás, y Coca-Cola en el tercer puesto. Según Forbes, la posición
de los creadores de Mac, iPod y iPhone, es justa y haría falta
“más de un problema con la recepción de la antena del iPhone 4
para que la marca Apple se vea afectada”, una marca que a día
de hoy vañe 57.400 millones de dólares ´según los responsables de
Forbes.

, , , , , ,

ICANN mejora la seguridad de Internet

July 30th, 2010 | Posted by in Uncategorized - (0 Comments)

La corporación implanta el protocolo de seguridad DNSSEC en los 13 servidores raíz. Desde mediados de mes se puede comprobar que las direcciones visitadas son auténticas y no han sido alteradas.

El sistema de nombres de dominios (DNS), la infraestructura técnica que gestiona la resolución de nombres y direcciones de Internet, ya es un poco más seguro. La corporación ICANN ha implantado el protocolo de seguridad DNSSEC en los 13 servidores raíz. Desde mediados de mes se puede comprobar que las direcciones visitadas son auténticas y no han sido alteradas por un ciberdelincuente.

El sistema DNS es una gran base de datos jerárquica, que convierte las direcciones alfabéticas en numéricas. Es decir traduce el nombre Elpais.com en su correspondiente dirección IP. Desde su origen el sistema ha sido inseguro porque no utiliza mecanismos de seguridad, como la autentificación e integridad, que garanticen la veracidad y fiabilidad del sistema. En 2002, gobiernos y empresas ya estaban preocupados por esta vulnerabilidad y se acordó que ICANN creara un departamento de seguridad con el objetivo de resolver el problema.

La respuesta fue DNSSEC. Mediante criptografía y firmas digitales para la identificación y validación de las respuestas de resolución de nombres, el protocolo atajaba el problema, pero era muy costoso de implantar. “El protocolo utiliza criptografía de clave pública. A nivel de DNS implica que cada dirección, o resolución de nombres, vaya firmada digitalmente. El protocolo requiere que cada dominio (o zona) tenga sus claves asociadas, que garantizan que las resoluciones de ese dominio son realmente las auténticas. El hecho de que en Internet haya millones de dominios hace que sea tan complejo de implantar globalmente. En cualquier caso es un importante primer paso para resolver ataques asociados al DNS, como los de pharming“, explica Raúl Siles, experto en seguridad informática y fundador de la empresa Taddong .

Cuando hace un año Dan Kaminsky descubrió que era muy fácil manipular el sistema, las reticencias a DNSSEC se disiparon .Un año después, el protocolo ya está disponible, al menos en los 13 servidores principales de nombres de dominio y se aleja el temido ciberataque masivo, que echaría abajo Internet al completo.

Fuente: El País


, , , , , , , , , , , , , ,

Cisco responde al hacker de ‘millones de routers’ de Black Hat

July 30th, 2010 | Posted by in Uncategorized - (0 Comments)

Cisco ha publicado una nota en su blog en respuesta a la charla que se iba a dar esta semana en Black Hat sobre el hackeo de millones de routers hogareños. Hace dos semanas blogueamos sobre esa charla..

Básicamente, el presentador afirma que una técnica de reenlace de DNS puede ser usada por un atacante para infiltrarse en el router y tomar control del navegador del usuario para invadir archivos internos y aplicaciones. La técnica hace vulnerable a los routers Cisco Linksys WRT, así como también los de ActionTec, Asus, Belkin, Dell y Thompson.

Pero Cisco, en una nota de su blog esta semana, afirma que los usuarios pueden protegerse de ser atacados cambiando algunos de los valores por defecto en su router Linksys WRT:

Hemos intentado contactar al investigador para una charla, pero basados en la información existente hacer cualquiera de los siguientes pasos en su router Linksys modelo WRT le ayudará a proveer seguridad:

  1. Cambiar la contraseña por defecto del router
  2. Cambiar su SSID (también conocido como Nombre de Red)
  3. Habilitar el cifrado WPA2
  4. Actualizar al último firmware Linksys

Los modelos WRT se despachan con valores por defecto que son conocidos por cualquiera que use el mismo router, dice Cisco en el post. De modo que cambiar la contraseña y el SSID por defecto ayudará a prevenir el ataque de reenlace DNS (DNS rebinding attack)

Los Linksys E-Series y los nuevos routers hogareños Valet no son susceptibles a la vulnerabilidad de reenlace de DNS porque el software de estos modelos establece un nuevo SSID y contraseñas automáticamente durante la configuración inicial, dice Cisco.

Traducción: Raúl Batista – Segu-Info
Autor: Jim Duffy
Fuente: Networkworld


, , , , , , , , , , , , , , , , , , ,

Nueva forma de hackear los cajeros para conseguir efectivo bajo demanda

July 30th, 2010 | Posted by in Uncategorized - (0 Comments)

Barnaby Jack, investigador de IOActive, ha conseguido atraer la atención de los asistentes a la conferencia de seguridad Black Hat al conseguir explotar brechas de seguridad en dos cajeros automáticos diferentes logrando que emitieran efectivo bajo demanda y almacenaran los datos sensibles de las tarjetas bancarias de los usuarios.

Jack demostró sus ataques sobre dos sistemas que había comprado para tal fin. Se trataba de cajeros automáticos del tipo que generalmente se encuentra en algunos bares y centros comerciales. Desde hace años, los delincuentes vienen tomando este tipo de sistemas como objetivo, utilizando rastreadores específicos para almacenar los datos de las tarjetas y números PIN de sus víctimas.

Según Jack ya los fabricantes de cajeros Triton y Tranax ya han desarrollado parches para proteger las máquinas de este tipo de ataques. Tranax, en concreto, cubrió la vulnerabilidad en sus máquinas en noviembre de 2008.

Tranax había padecido problemas de seguridad con anterioridad. En 2006, un delincuente de Virginia (Estados Unidos) utilizó un código de teclado para reprogramar una de sus máquinas haciéndola interpretar que estaba entregando billetes de 5 dólares. Después, utilizando una tarjeta de débito el ladrón sacó billetes de 20 dólares consiguiendo que el sistema sólo restara de la cuenta una cuarta parte del dinero.

Con sólo una llamada telefónica

Pero, según Jack, existe una forma aún más fácil y preocupante de conseguir el efectivo. Basta simplemente con que los delincuentes se conecten con las máquinas haciendo una llamada telefónica -dado que gran parte de ellas tienen asociadas herramientas de gestión remota que son accesibles a través de un teléfono- y lanzando después el ataque.

Experimentando con sus propias máquinas, Jack ha desarrollado una forma de evitar el sistema de autenticación remota que brinda acceso a ellas e instalar a continuación un rootkit denominado Scrooge que le permite anular el firmware. Además, ha creado una herramienta de gestión online, Dillinger, capaz de rastrear las máquinas comprometidas y almacenar los datos de las personas que las utilizan.

Fuente: CSO


, , , , , , , , , , ,