Lo + Nuevo
Author

Adal Paredes

Browsing

NordPass ha publicado las 200 peores contraseñas de 2021, confirmando que una buena parte de usuarios sigue incumpliendo todas las normas para su creación y mantenimiento.  Listado anual mediante el análisis de las grandes violaciones de datos que se producen en los ataques a grandes servicios de Internet.

 

Las peores contraseñas de 2021

La lista de las peores más usadas es lamentable, se repite año a año y confirman que somos un chollo para los ciberdelincuentes que ni siquiera tienen que emplear métodos avanzados de pirateo. La mayoría de las más usadas, viejas conocidas como «123456», «111111», «qwerty» o «password», tardan menos de un segundo es descifrarse lanzando un comando que compruebe las más usadas. Y ni siquiera ello, porque con la simple prueba obtendrían acceso a las cuentas.

Las peores 10 contraseñas en España 2021

Consejos parea crear una contraseña segura

Siguiendo normas que sabemos de memoria, pero que no siempre practicamos:

  • No usar palabras típicas o números comunes.
  • No usar nombres personales, de mascotas o fechas de nacimiento.
  • Combinar mayúsculas y minúsculas.
  • Combinar números con letras.
  • Añadir caracteres especiales.
  • Alargar el término con el mayor número de dígitos posible.
  • No utilizar la misma contraseña en todos los sitios.
  • Especialmente, usar contraseñas específicas para banca y sitios de compra on-line.
  • Y en su caso variar también el nombre de usuario.
  • Mantener la contraseña a salvo de cualquier tercero.
  • Reforzar el uso de contraseñas con otros sistemas soportados, especialmente la doble autenticación (2FA) o sistemas biométricos, sensores de huellas o reconocimiento facial.
  • No revelar nunca la contraseña a nadie.
  • Tampoco en supuestas peticiones oficiales desde correos electrónicos o mensajes de servicios de mensajería ya que suelen ser ataques de phishing.

Gestores de contraseñas: una pequeña ayuda

Los gestores de contraseñas hacen el trabajo por nosotros, reducen los errores humanos en su manejo automatizando el proceso de generación de las mismas y de acceso a los sitios web y servicios. Las contraseñas creadas son altamente seguras cumpliendo las normas estándar en tamaño y complejidad y otra de sus grandes ventajas es que el usuario solo necesita recordar una contraseña maestra y el gestor hará el resto.

Las opciones más conocidas en gestores de contraseñas son servicios web comerciales y/o de pago, pero también tienes algunos gratuitos e incluso de código abierto como los del anterior enlace, que tienen la gran ventaja de auditar el software y mantener las credenciales bajo tu control, instalando y autohospedando en nuestra propia máquina.

Otra opción es usar los gestores de contraseñas de los propios navegadores web, también gratuitos. Por ejemplo, el más usado de Internet, el Chrome de Google, cuenta con su propio administrador, lo mismo que el Edge de Microsoft o Firefox, donde tienes disponible una función denominada ‘Password Manager’ que es de las mejores en navegadores.

La mayoría de los ataques de fuerza bruta buscan descifrar contraseñas cortas

  •  De acuerdo con un análisis sobre la base de 25 millones de ataques de fuerza bruta, el 77% de los intentos por descifrar contraseñas apuntaban a claves de entre 1 y 7 caracteres.
  • Los datos surgen del análisis de 25 millones de intentos de ataque registrados durante un mes contra SSH. 

Teniendo esto en cuenta, datos publicados por el ingeniero de software de Microsoft, Ross Bevington, revelaron que el 77% de los intentos utilizaban contraseñas de entre 1 y 7 caracteres y que apenas el 6% de los intentos probaron con contraseñas de 10 caracteres.

Asimismo, solo el 7% de los intentos probaron con combinaciones de contraseñas que incluían un carácter especial, mientras que el 39% incluía al menos un número y el 0% incluía un espacio en blanco.

Esto quiere decir que los principales esfuerzos están concentrados en contraseñas débiles y, por lo tanto, cuanto más compleja sea la clave menos probabilidades de que sea descifrada en este tipo de ataques.

El crecimiento de los ataques de fuerza bruta a RDP y VNC

Según datos correspondientes al segundo cuatrimestre de 2021, los ataques de fuerza bruta fue el principal vector de intrusión a redes informáticas con el 53% de las detecciones. Asimismo,

Desde 2020 a esta parte los ataques de fuerza bruta dirigidos a RDP han tenido un crecimiento muy importante. A comienzos de este año revelaron que entre el primer y último trimestre de 2020 el crecimiento de estos ataques fue de 768%, mientras que el incremento entre el primer cuatrimestre de 2021 con el segundo cuatrimestre fue de 104% con 55 mil millones de detecciones.

Luego de los intentos apuntando al servicio RDP, siguen los ataques dirigidos a SQL y a SMB.

Fuente (s):

Search and buy domains from Namecheap. Lowest prices!

La Guardia Civil ha identificado a un estafador de criptomonedas, creador del ‘token’ Hodlife, que ha sido detenido en Letonia tras permanecer prófugo de la Justicia internacional desde 2015. Los investigadores siguieron el rastro a un treintañero que se conectaba a la wifi de hoteles en la Costa del Sol de Málaga en su intento de no dejar rastro de una operativa que, usando identidades falsas, consiguió hacerse con el control de criptodivisas por valor de más de medio millón de euros, dejando atrás más de un millar de afectados

Buscado desde 2015, se le atribuye un fraude con más de un millar de afectados por un valor que supera el medio millón de euros

Según la Guardia Civil, en la operación del Departamento contra el Cibercrimen de la Unidad Central Operativa (UCO) se ha logrado identificar y detener a “uno de los mayores ciberestafadores de criptomonedas conocidos”, un letón de 30 años de edad buscado por organismos policiales internacionales desde 2015. 

El detenido también ha sido ubicado en otros puntos de la geografía española como Ibiza o Tenerife, donde disfrutada de un alto tren de vida, según explican fuentes de la Guardia Civil. Llegó a poseer tarjetas de crédito y cuentas bancarias con titularidad falsa, ya que sobre él pesaba una orden de búsqueda, detención y extradición ordenada por Estados Unidos en 2015, motivada por la comisión de sucesivas estafas. 

Este cuerpo policial comenzó la investigación por la información recabada a través de canales abiertos para perseguir este fenómeno delincuencial al alza. Tras la detención, ha facilitado la cuenta de correo electrónico ciberestafas@guardiacivil.org como punto de contacto para posibles afectados. 

Hodlife, The Unicorn Token

El cebo de la estafa fue prometer a los usuarios invertir en un nuevo proyecto de criptomoneda, Hodlife, The Unicorn Token, con el reclamo de repartir luego parte de las comisiones de las operaciones que se realizaran con la plataforma. La UCO cree que, al margen de esta investigación, el treintañero arrestado hizo de la estafa su forma de vida.

Para la difusión de este proyecto, lanzó agresivas campañas de publicidad en perfiles de redes sociales como Twitter y Telegram, (de 3.600 miembros) así como con una página web creada ex profeso, consiguiendo rápidamente atraer a una gran comunidad de usuarios embaucados para depositar sus criptodivisas en esta nueva línea de negocio. 

Para dar una mayor credibilidad a estas campañas, el creador de Hodlife se hizo con los servicios de un actor. Su función era grabar vídeos promocionales del proyecto haciéndose pasar por el creador de la iniciativa, creando expectativa sobre logros y la mecánica de beneficios.

La supuesta inversión se desenmascaró por sí sola el pasado mes de junio, cuando todos los inversores que habían invertido sus criptomonedas en Hodlife pudieron comprobar que habían sido transferidas hacia otras carteras, sin quedar rastro alguno de sus inversiones. Se trata de una estafa bautizada como ‘rug pull’ o ‘tirar de la alfombra’, consistente en que los desarrolladores de un proyecto abandonan el mismo y se dan a la fuga con el dinero de los inversores.

De villas de lujo a la wifi de hoteles

La UCO realizó la trazabilidad sobre las inversiones, comprobando que el detenido propició el cambio de divisa de las criptomonedas, traspasos a distintas redes y usó plataformas que ofrecen servicios de ‘mixing’ o mezcla de criptoactivos con los de otros usuarios, consiguiendo así dificultar la identificación de la titularidad de cada una de las carteras en las que están depositados los fondos. 

Los investigadores llegaron entonces a un ciudadano lituano, de iniciales A. T. y 29 años, que resultó ser una identidad falsa del letón arrestado, cabecilla de la estafa, el cual había disfrutado de estancias en España durante largas temporadas en 2020. También descubrieron estafas anteriores por unos 600.000 euros, lo que para la UCO pone de manifiesto que esta persona hacía de la estafa su forma de vida. 

Search and buy domains from Namecheap. Lowest prices!

Mansiones de 1000 € diarios de alquiler

Siguiendo el rastro de esta persona, los agentes pudieron comprobar el alto nivel de vida que llevaba, tanto él como sus acompañantes, residiendo en villas de lujo de rentas superiores a los 1.000 euros diarios o alquilando coches de alta gama de las marcas más exclusivas, así como gastando ingentes cantidades de dinero en tiendas de ropa de diseño y en los locales de restauración más destacados de la Costa del Sol

También fue determinante para los agentes conocer que el cabecilla de la estafa alternaba la residencia en las citadas villas con otras en hoteles. Era aquí donde utilizaban las conexiones de internet para conectarse a diferentes plataformas de compra y venta de criptomonedas, transfiriendo los fondos robados a carteras de su titularidad. 

Fuente (s):

Varios empleados de Microsoft han filtrado un documento que revela los salarios y bonificaciones de distintos ingenieros de software de la empresa norteamericana. A esta filtración se ha producido a través de una serie de correos electrónicos internos entre varias empleadas. En estos mensajes, las trabajadoras aludían a la brecha salarial que hay en la empresa tecnológica y expusieron varios ejemplos de salarios entre hombres y mujeres.

Varios trabajadores de la compañía tecnológica han filtrado un documento en el que aparecen los sueldos y bonificaciones de los ingenieros de software de la empresa americana.

El documento contenía información acerca de 1.200 empleados de Microsoft. De ellos, más de 600 son ingenieros y algunos trabajan en el departamento de Azure.

Un portavoz de la empresa estadounidense ha declarado que la remuneración depende del puesto que tenga, la antigüedad, el nivel de desempeño y la competencia en el mercado.

El medio digital ha realizado un análisis sobre el salario de los ingenieros, calculando el salario base, las bonificaciones y las acciones que se les dan. Te contamos los sueldos que tienen los ingenieros en los distintos departamentos de Microsoft.

Search and buy domains from Namecheap. Lowest prices!

El documento filtrado por empleados revela los sueldos de cientos de trabajadores de Microsoft en divisiones como Azure, Office y Windows

El documento contenía información acerca de 1.200 empleados de Microsoft. De ellos, más de 600 son ingenieros y algunos trabajan en el departamento de Azure.

Un portavoz de la empresa estadounidense ha declarado que la remuneración depende del puesto que tenga, la antigüedad, el nivel de desempeño y la competencia en el mercado.

El medio digital ha realizado un análisis sobre el salario de los ingenieros, calculando el salario base, las bonificaciones y las acciones que se les dan. Te contamos los sueldos que tienen los ingenieros en los distintos departamentos de Microsoft.

Departamento de inteligencia artificial

La división de inteligencia artificial y cloud de Microsoft incluye negocios importantes como Azure. La compañía ha explicado que la nube más grande de Microsoft generó más de 18.000 millones de euros en ingresos en su trimestre de mayor demanda, pero no está claro exactamente qué productos y servicios incluye.

En la hoja de cálculo, sólo 34 personas se identificaron como trabajadores de este departamento. Su retribución oscila entre 108.000 y los 324.000 euros, con una media de 154.245 euros.

– Salario base: cuentan con una media de unos 133.000 euros.

– Bonus en efectivo: se suelen otorgan anualmente, y varía entre los 3.500 y 43.600 euros.

– Acciones: también se dan anualmente y tienen una media de 14.000 euros.

Azure

Los ingresos en Azure oscilan entre los 107.779 y los casi 900.000 euros, tomando como referencia los datos de 210 personas que figuran en la hoja de cálculo, con una media de 162.105 euros.

– Salario base: una media de 129.178 euros, basada en un rango de 92.581 a 436.707 euros.

– Bonus en efectivo: se otorga anualmente y tiene una media de 15.634 euros.

– Acciones: también se otorgan anualmente y tiene una media de 14.000 euros.

Área comercial y ecosistemas

Los paquetes de compensación del área comercial y de ecosistemas en las 12 entradas de la hoja de cálculo que los empleados enviaron tienen una media de 152.304,80 euros.

– Salario base: una media de 122.714 euros, basada en un rango de 109.176 a 159.600 euros.

– Bonus en efectivo: se otorgan anualmente, con una media de 15.066 euros.

– Acciones: también se otorgan anualmente, con una media de 13.275 euros.

Experiencias y dispositivos

Este departamento es responsable de una gran parte del negocio de la empresa, incluido Microsoft 365, que incluye Word, Excel, OneDrive y SharePoint.

Los paquetes de compensación totales de este departamento tienen una media de 165.948 euros.

– Salario base: una media de 129.265 euros, basada en un rango de 98.695 a 196.518 euros.

– Bonus en efectivo: una media de 15.372 euros, basada en un rango de 0 a 42.797 euros.

– Acciones: una media de 14.673 euros, basada en un rango de 0 a 146.733 euros.

Windows

Los paquetes de compensación de Windows en las 14 entradas de la hoja de cálculo oscilan entre 121.404 y 266.145 euros, con una media de 162.673 euros.

– Salario base: tienen una media de 124.811 euros.

– Bonus en efectivo: se otorgan anualmente, con una media de 16.201 euros.

– Acciones: también se otorgan anualmente, con una media de 16.682 euros.

Office

Office cuenta con unos paquetes de compensación que se sitúan entre los 107.954 y 432.340 euros.

– Salario base: tienen una media de 137.126 euros.

– Bonus en efectivo: se otorgan anualmente, con una media de 16.594 euros.

– Acciones: también se otorgan anualmente y tiene una media de 17.468 euros.

Bing

El motor de búsqueda de Microsoft tiene unos paquetes de compensación que ronda los 136.252 euros.

– Salario base: tienen una media de 112.670 euros, basada en un rango de 96.075 a 162.455 euros.

– Bonus en efectivo: se suelen otorgar anualmente, con una media de 9.600 euros.

– Acciones: también se otorgan anualmente, con una media de 13.974 euros.

Ingeniería y operaciones

El equipo de ingeniería y operaciones es “una división de TI interna de Microsoft”, según la propia empresa, que “mantiene la infraestructura y las redes”, lo que hace que los empleados puedan “crear una amplia gama de productos y servicios”.

Los paquetes de compensación de este departamento (aparecen en 11 entradas del documento) tienen una media de 143.327 euros.

– Salario base: una media de 117.736 euros, basada en un rango de 61.139 a 144.113 euros.

– Bonus en efectivo: se otorgan anualmente, con una media de 13.450 euros.

– Acciones: también se otorgan anualmente, con una media de 12.577 euros.

División de desarrollo

La división de Desarrollo de Microsoft tiene un paquete de compensación que se encuentra entre los 114.417 y 246.300 euros, con una media de 141.222 euros.

– Salario base: Una media de 118.863 euros, basada en un rango de 99.569 a 174.700 euros.

– Bonus en efectivo: generalmente se otorgan anualmente, con una media de 14.400 euros, basada en un rango de 0 a 32.300 euros.

– Acciones: generalmente se otorgan anualmente, con un media de 11.354 euros, basada en un rango de 0 a 39.300 euros.

Equipo de experiencias web

Microsoft describe este departamento como el equipo que se encarga de “crear contenido, servicios y plataformas integrales y atractivos para que los consumidores accedan a la información que necesitan en cualquier lugar y en cualquier dispositivo y para que las empresas mejoren su servicio y la experiencia del usuario”.

Sus paquetes de compensación (según las 18 entradas del documento filtrado) rondan los 163.852 euros.

– Salario base: una media de 122.500 euros, basada en un rango de 99.656 a 192.151 euros.

– Bonus en efectivo: se otorgan anualmente, con una media de 16.500 euros.

– Acciones: también se otorgan anualmente y tienen una media de 15.800 euros.

Xbox

Los paquetes de compensación de Xbox (la consola de videojuegos de Microsoft) son de entre 122.800 y 261.151, con una media de 148.581 euros.

– Salario base: una media de 119.439 euros, basada en un rango de 104.809 a 174.683 euros.

– Bonus en efectivo: se otorgan anualmente, con una media de 14.500 euros.

– Acciones: también se otorgan anualmente y tienen una media de 10.830 euros.

Fuente (s) :

Llevar en el bolsillo un sistema operativo seguro es posible gracias a desarrollos como Tails (The Amnesic Incognito Live System) y a formatos USB en formato «Live» y autoarrancables que podemos usar en múltiples tareas y en todo tipo de equipos. Un sistema operativo portable seguro y privado.

Tal y como su nombre indica, es ‘amnésico’. Esto se debe a que no hace uso de nuestro disco duro ni tampoco de nuestra memoria Swap sino que se ejecuta y guarda todos los elementos generados durante su uso en la memoria RAM por lo que, una vez apagado el ordenador, los datos desaparecen.

Sistema operativo seguro, privado y portable con Tails

Todo el sistema operativo vía Tor con Tails 

  • Tails es el sistema operativo portátil que te protege de la vigilancia y la censura.
  • Evita la vigilancia, la censura, la publicidad, y los virus
  • Tu ordenador  seguro en cualquier lugar


Tails usa la red Tor para proteger tu privacidad en línea y ayudarte a evitar la censura. Disfruta de Internet como debería ser.

Apaga tu ordenador e inicia en tu memoria USB con Tails en lugar de iniciarla con Windows, macOS o Linux. Tails no deja rastros en la computadora cuando la apagas.

Tails incluye una selección de aplicaciones para trabajar en documentos confidenciales y para comunicarse de forma segura. Todo en Tails está listo para usar y tiene una configuración segura por defecto.

Puedes descargar Tails de forma gratuita Tails está basado en Debian GNU/Linux.


¿Quién usa Tails?

  • Activistas usan Tails para ocultar sus identidades, evitar la censura y comunicarse de manera segura.
  • Periodistasy sus fuentes usan Tails para publicar información confidencial y acceder a Internet desde lugares inseguros.
  • Sobrevivientes de violencia domestica usan Tails para escapar de la vigilancia en casa.
  • Tú: cuando necesites privacidad adicional en este mundo digital.

Tor para todo con TAILS


Todo lo que haces en Internet desde Tails pasa por la red Tor. Tor cifra y anonimiza tu conexión al pasarlo a través de 3 relays. Los relays son servidores operados por diferentes personas y organizaciones de todo el mundo.

Un solo relay nunca sabe de dónde viene la conexión cifrada y hacia dónde va:

  •  El primer relay solo sabe de dónde vienes, pero no a dónde vas.
  •  Este tercer relay solo sabe a dónde vas, pero no de dónde vienes.
  •  La conexión con el destino final se cifra siempre que es posible para evitar que un tercero lea tus contenidos.

Para usar Tails, apaga la computadora e inicia en tu memoria USB en lugar de iniciar con Windows, macOS o Linux.

Puedes temporalmente convertir tu propia computadora en una máquina segura. Puedes también mantenerte seguro mientras usas la computadora de otra persona.

Tails es una descarga que ocupa 1.2 GB y toma ½ hora para instalar. Tails puede ser instalado en una memoria USB de al menos 8 GB. Tails funciona en la mayoría de las computadoras de menos de 10 años. Puedes comenzar de nuevo en el otro sistema operativo después de apagar Tails.

Además de incluir un paquete de aplicaciones básicas instaladas como navegador web, cliente de correo electrónico, herramientas ofimáticas o reproductores/editores multimedia, su punto fuerte radica en la protección de la privacidad en línea que ofrece. Su navegador por defecto es Tor Browser y utiliza la red Tor redirigiendo las comunicaciones alrededor de una red distribuida de relevos realizados por voluntarios de todo el mundo.

Todas las aplicaciones de Tails están configuradas para conectarse a través de Tor mientras que las conexiones directas (no-anónimas) son bloqueadas. Además, incluye herramientas de cifrado para protección de archivos o documentos, correos electrónicos o mensajería instantánea.

Cómo crear un sistema operativo seguro arrancable por USB

Para crear estos Live USB o pendrives autoarrancables (que no son lo mismo ni tienen el mismo objetivo aunque en algunos casos sirven para ambos usos), disponemos de un buen número de herramientas. Muchas de código abierto y/o gratuitas como el incombustible Rufus u otras tipo WinSetupFromUSB más especializadas para incluir múltiples sistemas operativos en el mismo medio.

La idea básica en estos casos es la misma. Crear un medio de almacenamiento flash que insertado en un puerto USB nos permita iniciarlo en el arranque de la computadora y antes de que el sistema operativo instalado se ponga en marcha. O en máquinas que no tengan ningún sistema instalado. Los desarrolladores de Tails recomiendan usar Balena Etcher, disponible para Windows, mac y Linux, y con ella realizamos este práctico.

Si usamos un PC con Windows 10 (puedes hacerlo igualmente desde Linux o macOS) y un pendrive USB 3.2, aunque puede ser otro inferior como un USB 2.0. Recuerda, una interfaz superior te ofrecerá un mejor rendimiento (importante para ejecutar un sistema operativo), mientras que una interfaz inferior suele ofrecer compatibilidad con un mayor número de equipos y menos errores potenciales.

Uses cualquiera de ellas, tendrá que tener al menos 8 Gbytes de capacidad. Guarda los datos que contenga porque se borrarán al crear el medio con Tails y arrancamos:

  • Descargar la última versión de Tails. Para el ejemplo, la imagen USB para Windows «tails-amd64-4.24.img» con un tamaño de 1,2 GB. Puedes usar la descarga directa o torrent.
  • Descargar la última versión de Balena Etcher (v.1.7.0) para Windows e instala la herramienta.
  • Sigue las instrucciones, seleccionando la imagen de Tails descargada y el pendrive que uses.

Arrancando y utilizando Tails

Quizá lo más complicado para un usuario de a pie sea conseguir que su PC se inicie sobre el pendrive USB con Tails que acabamos de crear. Todos los equipos informáticos tienen teclas especiales programadas para acceso a UEFI/BIOS o al menú de arranque interno del equipo. Se activan pulsando la tecla correspondiente durante la fase de testeo del hardware que sucede cuando arrancamos el ordenador personal.

Los fabricantes no lo ponen fácil porque cada uno emplea teclas distintas. Eso sí, suelen repetirse en todos los equipos de la marca y en la mayoría de los casos utilizan las teclas de «Función», la de «Escape» o las «Suprimir».. Si trabajas en Windows, en cualquier equipo puedes acceder al USB reiniciando el equipo con la tecla «May» pulsada y seleccionándolo en el menú.

El desarrollo que tiene todo lo básico de una distribución Linux, con base en la siempre estable Debian, suites ofimática Office, aplicaciones de gráficos, música y vídeo, y utilidades variadas, además de poder instalar las que quieras.

 Así por ejemplo si queremos crear un espacio de persistencia para poder almacenar archivos, las bookmark del navegador, paquetes de programas descargados, etc no nos será posible. Para poder solucionar este problema tenemos que usar otro dispositivo USB y conectarlo a nuestro ordenador.

Tails Installer

Tails incluye por defecto:

  • Tor Browser: El navegador de Tor se encarga de ocultar la ubicación y anonimizar todos los accesos a las páginas web y los servicios de Internet.
  • HTTPS Everywhere: Encripta la gran mayoría de las páginas webs que visitas.
  • NoScript: protege contra ataques de Javascript y minería de criptomonedas.
  • Adblock Plus: Bloquea la publicidad intrusiva.
  • Icedove (Thunderbirds): Gestor de correo electrónico con opciones adicionales de encriptación y privacidad.
  • Aircrack-ng: Auditoría de seguridad de la conexión WiFi.
  • I2P: Red de anonimización alternativa a Tor.
  • Electrum: Un cliente para usar Bitcoin.
  • LUKS: Encripta discos y unidades USB.
  • GnuPG: Basado en OpenPNG, encripta correos y ficheros.
  • PWGen: Generador de contraseñas fuertes.
  • Florence: teclado virtual para inmunizarse contra los keyloggers.
  • MAT: Anonimiza los metadatos de los ficheros.
  • KeePassX: Gestor de contraseñas.
  • LibreOffice,: Software de ofimática compatible con Office. Procesador de textos, Hoja de cálculo, presentaciones, etc.
  •  OnionShare, para compartir archivos sobre Tor  

Search and buy domains from Namecheap. Lowest prices!

Recuerda:

  1. Tails utiliza la red Tor para todo su tráfico saliente. Esto implica que el tráfico de salida del último nodo al servidor Web no irá cifrado y alguien podría estar capturando nuestro tráfico.
  2. Tails no esconde el hecho que estas usando la red Tor. Por lo tanto, el administrador de la Red o tu ISP pueden saber que te estas conectando a la red Tor.
  3. Aunque usemos Tails y la red Tor podemos sufrir ataques Man-in-the-middle ya que la red Tor es susceptible de recibir ataques de este tipo en el tráfico que se genera desde el nodo de salida al servidor Web al que nos queremos conectar.
  4. Tails no encripa nuestros documentos ni nuestros correos electrónicos por defecto. Únicamente nos proporciona las herramientas para que lo podamos hacer nosotros mismos
  5. Los sitios web donde navegamos pueden detectar que el tráfico proviene de un nodo de salida de Tor. Para ello tan solo tienen que introducir la IP de su servidor en la siguiente página web: https://check.torproject.org/cgi-bin/TorBulkExitList.py
  6. En el caso de necesitar cambiar de identidad se aconseja cerrar Tails y volver a arrancar Tails. Si no lo cerramos las cookies y otros datos almacenados pueden revelar lo que hemos estado realizando.
  7. Tails permite crear volúmenes de persistencia. En caso de crearlos y perder nuestro USB cualquiera podría acceder a nuestros archivos almacenados.
  8. El SO no hace tus contraseñas más fuertes ni mejores por si solo, tú juegas un papel fundamental

Crear un espacio de persistencia dentro de nuestro USB

Cada vez que apagamos el ordenador la totalidad de configuraciones, archivos descargados durante la sesión, bookmark que tenemos en el navegador, programas instalados, configuración del correo Claws, etc desaparecen. La próxima vez que arranquemos el USB el contenido que veremos es exactamente el mismo que como si acabáramos de instalar Tails.

Para crear el espacio de persistencia tenemos que seguir lo siguientes pasos:

  • Applications/Tails/Configure persistent Volume 

Por defecto Tails coge la totalidad de este espacio libre para crear el volumen de persistencia.

El volumen de persistencia que se creará estará cifrado. Por lo tanto nos pedirá que introduzcamos una clave de cifrado. Introducimos una buena clave de cifrado y apretamos el botón de Create.

Fuente (s) :

 En unas declaraciones realizadas a la Comisión de Bolsa y Valores norteamericana, la empresa de registro y alojamiento web GoDaddy ha revelado que ha descubierto que ha sido hackeada. La empresa dice que descubrió que un «tercero no autorizado» había accedido a su entorno de alojamiento de WordPress gestionado.

GoDaddy, una de las plataformas de hosting y registro de dominios más importantes del mundo, ha sido víctima de un incidente de seguridad
El problema ha salido a la luz este lunes en una presentación de GoDaddy ante la Comisión de Bolsa y Valores de Estados Unidos. La compañía dijo que una persona no autorizada utilizó una contraseña comprometida para acceder a su entorno de alojamiento de WordPress el 6 de septiembre de este año.
Sin embargo, GoDaddy descubrió el incidente de seguridad el pasado 17 de noviembre tras detectar actividad sospechosa e iniciar una investigación que aún está en curso. Una vez identificadas las contraseñas de acceso comprometidas, fueron renovadas, pero los datos habrían sido filtrados.
La presentación habla de la filtración de direcciones de correo electrónico y números de cliente de 1,2 millones de usuarios de GoDaddy que usan el sistema WordPress administrado. Esto puede presentar un mayor riesgo de ataques de phishing para las víctimas de la violación de datos.

  •  La filtración de datos de GoDaddy dada a conocer este lunes afecta a 1,2 millones de clientes que utilizan WordPress administrado.   

Hasta 1,2 millones de usuarios han visto expuestos su dirección de correo electrónico y su número de cliente, así como las contraseñas de administrador de los dos sitios de WordPress alojados en la plataforma, además de las contraseñas de los sFTP, las bases de datos y las claves privadas SSL.

El documento dice que GoDaddy cree que la brecha se produjo por primera vez el 6 de septiembre de 2021, y la investigación está actualmente en curso. 

  • Up to 1.2 million active and inactive Managed WordPress customers had their email address and customer number exposed. The exposure of email addresses presents risk of phishing attacks.
  • The original WordPress Admin password that was set at the time of provisioning was exposed. If those credentials were still in use, we reset those passwords.
  • For active customers, sFTP and database usernames and passwords were exposed. We reset both passwords.
  • For a subset of active customers, the SSL private key was exposed. We are in the process of issuing and installing new certificates for those customers.

Demetrius Comes, Director de Seguridad de la Información, reconoce que GoDaddy está trabajando actualmente con las fuerzas de seguridad y con una empresa forense privada. Además, dice que ha restablecido las credenciales pertinentes y trabajará con los usuarios para emitir nuevos certificados SSL. Comes finaliza su declaración diciendo que la empresa, quizás demasiado tarde, «aprenderá de este incidente» y tomará medidas para evitar que se produzca una brecha de este tipo en el futuro.

Search and buy domains from Namecheap. Lowest prices!

Esta no es ni mucho menos la primera vez que se habla de GoDaddy en la misma frase que de una brecha de seguridad en los últimos años. En 2018, un error de AWS expuso los datos de los servidores de GoDaddy, y en 2020, 28.000 cuentas de usuarios fueron vulneradas por un individuo no autorizado. Más tarde, el año pasado, GoDaddy también fue mencionado como parte de un hack que derribó una serie de sitios en el espacio de la criptomoneda.

Fuentes:

Qué es la red TOR, cómo funciona y cómo puedes utilizarla para entrar en la Darknet más popular de la red. Empezaremos explicándote qué es exactamente TOR y cómo funciona exactamente TOR. Y luego, terminaremos con los sencillos métodos con los que puedes conectarte a TOR desde tu ordenador o desde tu smartphone Android.

 Índice de Contenidos

  • ¿Qué es la red TOR? Introducción
  • Funcionamiento básico
  • Navegar en TOR con su navegador.
  • Diferentes tipos de relays en Tor
  • Ayuda a TOR con un bridge o relay o una extensión del navegador para que usuarios censurados pueden tener internet libre
  • TAILS (Amensia): todas las conexiones de red de un sistema operativo vía red TOR.

 Se suele definir la Dark Web como una zona no indexable por buscadores convencionales, lo que quiere decir que no puedes encontrar sus páginas en Google, Bing y demás buscadores. Pero hay alguna excepción. Por ejemplo, se han creado buscadores para Darknets como la red TOR, y tenemos algunos motores de búsqueda como DuckDuckGo que también están trabajando en incluir este tipo de contenido.

¿Cómo funciona TOR?

 El nombre TOR son las siglas de ‘The Onion Router’, el router Cebolla, y es posiblemente la principal y más conocida Darknet de Internet. El objetivo de este proyecto es el de crear una red de comunicaciones distribuida y superpuesta al Internet convencional. Las Dark Webs que puedes encontrar en la Darknet de TOR se diferencian por tener el dominio .onion.

Tor es una red que implementa una técnica llamada Onion Routing (enrutado cebolla en castellano), diseñada con vistas a proteger las comunicaciones en la Marina de los Estados Unidos. La idea es cambiar el modo de enrutado tradicional de Internet para garantizar el anonimato y la privacidad de los datos.

El enrutado tradicional que usamos para conectarnos a servidores en Internet es directo. Por ejemplo, si quieres leer una web tu ordenador se conecta de forma directa a sus servidores. La ruta es relativamente sencilla: de tu ordenador a tu router, de ahí a los enrutadores de tu ISP (proveedor de Internet) y después directos a los servidores de la web que estás visitando.

 Onion Routing, que consiste en enviar los datos por un camino no directo utilizando diferentes nodos. Primero, el ordenador A, que quiere enviar el mensaje a B, calcula una ruta más o menos aleatoria al destino pasando por varios nodos intermedios. Después, consigue las claves públicas de todos ellos usando un directorio de nodos.

Usando cifrado asimétrico, el ordenador A cifra el mensaje como una cebolla: por capas. Primero cifrará el mensaje con la clave pública del último nodo de la ruta, para que sólo él lo pueda descifrar. Además del mensaje, incluye (también cifradas) instrucciones para llegar al destino, B. Todo este paquete, junto con las instrucciones para llegar al último nodo de la lista, se cifra de nuevo para que sólo lo pueda descifrar el penúltimo nodo de la ruta.

Pero tampoco es un método infalible, ya que analizando los tiempos a los que se reciben y envían los paquetes en cada nodo se podría llegar a saber, con mucho tiempo y dedicación, qué ordenadores se están comunicando.

Además, de cara al usuario convencional está la molestia de que el precio a pagar por la privacidad y seguridad es la velocidad

 Tor cifra y anonimiza tu conexión al pasarlo a través de 3 relays. Los relays son servidores operados por diferentes personas y organizaciones de todo el mundo.

Diferencias entre repetidores (relays) o nodos de Tor

Los relés Tor también se conocen como “enrutadores” o “nodos”. Reciben tráfico en la red Tor y lo transmiten. 

Hay 3 tipos de relés que puede ejecutar para ayudar a la red Tor: 

  1. relés intermedios (Guard and middle relay)
  2. relés de salida (exit relay)
  3. puentes (bridges)

Para mayor seguridad, todo el tráfico de Tor pasa por al menos tres relés antes de llegar a su destino. Los dos primeros relés son relés intermedios que reciben tráfico y lo pasan a otro relé. Los relés intermedios aumentan la velocidad y la robustez de la red Tor sin hacer que el propietario del relé parezca la fuente del tráfico. Los relés intermedios anuncian su presencia al resto de la red Tor, para que cualquier usuario de Tor pueda conectarse a ellos. 

1- Guardián y nodo intermedio

(también conocido como relés sin salida)

Un relé de protección es el primer relé de la cadena de 3 relés que forman un circuito Tor. Un relevo intermedio no es ni un guardia ni una salida, sino que actúa como el segundo salto entre los dos. P

2- Relé de salida (exit relay) (Repetidor de salida)

El relé de salida es el relé final en un circuito Tor, el que envía tráfico a su destino. Los servicios a los que se conectan los clientes de Tor (sitio web, servicio de chat, proveedor de correo electrónico, etc.) verán la dirección IP del relé de salida en lugar de la dirección IP real del usuario de Tor.

3- Puente (bridge)

El diseño de la red Tor significa que la dirección IP de los relés Tor es pública. Sin embargo, una de las formas en que los gobiernos o los ISP pueden bloquear Tor es mediante la lista de bloqueo de las direcciones IP de estos nodos públicos de Tor. Los puentes Tor son nodos de la red que no figuran en el directorio público de Tor, lo que dificulta que los ISP y los gobiernos los bloqueen.

Los puentes son útiles para los usuarios de Tor bajo regímenes opresivos o para las personas que quieren una capa adicional de seguridad porque les preocupa que alguien reconozca que están contactando una dirección IP pública de retransmisión de Tor. Varios países, incluidos China e Irán, han encontrado formas de detectar y bloquear las conexiones a los puentes Tor. Los transportes conectables, un tipo especial de puente, abordan esto agregando una capa adicional de ofuscación.

Navegar con Tor (Tor Browser) – Navegar dominios .onion

  TOR es extremadamente sencillo gracias a que tiene un navegador preparado para conectarte sin grandes problemas. Lo primero que tienes que hacer es ir a la página de Tor Browser, y pulsar sobre el icono de tu sistema operativo para descargártelo. Se trata de un navegador basado en Firefox especialmente creado para entrar en TOR sin tener que configurar nada. Sólo lo abres y te conecta automáticamente.

Elige la carpeta de destino e instálalo, después ejecuta el navegador. Verás que este no se abre automáticamente, sino que primero te muestra una ventana que te indica que puedes conectarte o configurar la conexión. Pulsa en el botón Connect, y cuando termine el proceso de conexión Tor Browser se abrirá y podrás navegar con él tanto por la Clearnet como por la red de Tor. Viene con el buscador DuckDuckGo configurado para encontrar también páginas .onion, el dominio de las webs de esta Darknet.

Ayudar a los usuarios censurados, ejecuta un puente Tor

Los puentes son relés Tor privados que sirven como trampolines hacia la red. Cuando la red Tor está bloqueada, los usuarios pueden obtener un puente para eludir la censura. Gracias a nuestra comunidad de operadores de puentes, los usuarios de China, Bielorrusia, Irán y Kazajstán pueden conectarse a la red Tor y acceder a Internet libre y abierto.

Actualmente hay aproximadamente 1200 puentes, 900 de los cuales admiten el protocolo de ofuscación obfs4. Desafortunadamente, estas cifras han ido disminuyendo desde principios del año 2021. No es suficiente tener muchos puentes: eventualmente, todos ellos podrían encontrarse en listas de bloqueo. 

Search and buy domains from Namecheap. Lowest prices!

Configuración de un puente

Para configurar un puente obfs4, consulte nuestras instrucciones de instalación que han sido recientemente revisadas. Hay guías para varias distribuciones de Linux, FreeBSD, OpenBSD y Docker. Ten n cuenta que un puente obfs4 necesita tanto un OR abierto como un puerto obfs4 abierto.

Requerimientos técnicos

Para unirse a la campaña de puentes, debe seguir estos requisitos:

  • Dirección IPv4 estática. Aunque los puentes Tor pueden operar detrás de direcciones IP dinámicas, este escenario no es tan óptimo si se piensa en otros que necesitan configurar regularmente las nuevas direcciones IP manualmente. IPv6 es definitivamente una ventaja, pero no es obligatorio.
  • Transporte enchufable Obfs4 configurado. Como se trata del transporte enchufable con mayores probabilidades de pasar por la censura global, optamos por este.
  • Tiempo de actividad 24 horas al día, 7 días a la semana. Servir a la red las 24 horas del día, los 7 días de la semana es vital para los puentes, ya que aquellos que realmente necesitan solucionar la censura dependen de que Tor esté siempre disponible;

Otras formas de ayudar

Si no es lo suficientemente técnico para ejecutar un puente, pero desea ayudar a los usuarios censurados, hay otras formas en las que puedes ayudar:

  •  Ejecutar un proxy Snowflake. No necesita un servidor dedicado y se puede ejecutar un proxy simplemente instalando una extensión en tu navegador. La extensión está disponible para Firefox y también para Chrome. No hay necesidad de preocuparse por los sitios web a los que acceden las personas a través de tu proxy. Tu dirección IP de navegación visible coincidirá con su nodo de salida de Tor, no con el tuyo.

Todo el sistema operativo vía Tor con Tails 

  • Tails es el sistema operativo portátil que te protege de la vigilancia y la censura.
  • Evita la vigilancia, la censura, la publicidad, y los virus
  • Tu computadora segura en cualquier lugar


Tails usa la red Tor para proteger tu privacidad en línea y ayudarte a evitar la censura. Disfruta de Internet como debería ser.

Apaga tu ordenador e inicia en tu memoria USB con Tails en lugar de iniciarla con Windows, macOS o Linux. Tails no deja rastros en la computadora cuando la apagas.

Tails incluye una selección de aplicaciones para trabajar en documentos confidenciales y para comunicarse de forma segura. Todo en Tails está listo para usar y tiene una configuración segura por defecto.

Tails incluye:

  •     Tor Browser con uBlock, un navegador seguro con un ad-blocker
  •     Thunderbird, para correos cifrados
  •     KeePassXC, para crear y almacenar contraseñas seguras
  •     LibreOffice, una suite de oficina
  •     OnionShare, para compartir archivos sobre Tor

Puedes descargar Tails de forma gratuita Tails está basado en Debian GNU/Linux.

¿Quién usa Tails?

  • Activistas usan Tails para ocultar sus identidades, evitar la censura y comunicarse de manera segura.
  • Periodistasy sus fuentes usan Tails para publicar información confidencial y acceder a Internet desde lugares inseguros.
  • Sobrevivientes de violencia domestica usan Tails para escapar de la vigilancia en casa.
  • Tú: cuando necesites privacidad adicional en este mundo digital.

Tor para todo con TAILS


Todo lo que haces en Internet desde Tails pasa por la red Tor. Tor cifra y anonimiza tu conexión al pasarlo a través de 3 relays. Los relays son servidores operados por diferentes personas y organizaciones de todo el mundo.

Un solo relay nunca sabe de dónde viene la conexión cifrada y hacia dónde va:

  •  El primer relay solo sabe de dónde vienes, pero no a dónde vas.
  •  Este tercer relay solo sabe a dónde vas, pero no de dónde vienes.
  •  La conexión con el destino final se cifra siempre que es posible para evitar que un tercero lea tus contenidos.

Para usar Tails, apaga la computadora e inicia en tu memoria USB en lugar de iniciar con Windows, macOS o Linux.

Puedes temporalmente convertir tu propia computadora en una máquina segura. Puedes también mantenerte seguro mientras usas la computadora de otra persona.

Tails es una descarga que ocupa 1.2 GB y toma ½ hora para instalar. Tails puede ser instalado en una memoria USB de al menos 8 GB. Tails funciona en la mayoría de las computadoras de menos de 10 años. Puedes comenzar de nuevo en el otro sistema operativo después de apagar Tails.

Fuente (s) :

La capitalización de mercado de Bitcoin ha perdido $ 150 mil millones desde el domingo

Escucha la noticia dando click en el audio  🙂

Bitcoin ha caído otro 4% en las últimas 24 horas. Como la criptomoneda más grande, su movimiento a la baja ha ayudado a derribar el mercado con ella, ya que la capitalización global del mercado de criptomonedas ha disminuido un 5%. Bitcoin alcanzó un precio máximo histórico de $ 69,044 hace solo ocho días, el 10 de noviembre. Su nuevo precio por debajo de la marca de $ 58,000 representa su punto más bajo en más de un mes.

Si bien eso no es un gran colapso, lo llamaremos una corrección.

Ha sido un día bastante terrible y una semana severa para la mayoría de los tokens no asociados con un metaverso (los tokens MANA y SAND se venden como pan caliente renderizados digitalmente). Shiba Inu ha sido un mal perro, premiando a sus dueños con un 19% de pérdidas en las últimas 24 horas. Binance Coin se ha recuperado, perdiendo un 8% en el proceso. Solana se quemó un 9% después de volar demasiado cerca del sol. Y Ethereum, XRP y Cardano cayeron un 4%. En total, el mercado de cifrado vale casi un 13% menos de lo que valía el domingo.

¿Qué sucedió el lunes para cambiar el estado de ánimo de los mercados?

Ese fue el día en que el presidente de los Estados Unidos, Joe Biden, firmó el proyecto de ley de infraestructura de $ 1.2 billones, que incluye nuevos requisitos de declaración de impuestos para los custodios criptográficos y, si se aplica de manera amplia, los mineros, los apostadores, los proveedores de billeteras y los desarrolladores de software también. Los cabilderos criptográficos consideraron que el lenguaje del proyecto de ley era desastroso, ya que obligaba a los actores sin custodia a proporcionar información de los clientes al IRS, información que probablemente no puedan obtener.

Esos requisitos de informes no están programados para entrar en vigencia hasta 2024, y los senadores ya han propuesto arreglos al proyecto de ley. Los senadores Ron Wyden (D-OR) y Cynthia Lummis (R-WY) quieren aclarar la redacción para estipular que las disposiciones no se aplican a los actores que no tienen la custodia, mientras que el senador Ted Cruz (R-TX) quiere derogar la disposiciones criptográficas dentro del proyecto de ley de infraestructura en conjunto.

No obstante, los inversores pueden sentir que el proyecto de ley establece un tono siniestro en D.C. a medida que aumenta el escrutinio regulatorio, consumiendo el deseo de mantener Bitcoin como una reserva de valor a largo plazo.

Si bien el proyecto de ley Biden no necesariamente ha causado la tristeza de Bitcoin, los dos están correlacionados. Al igual que Bitcoin y otros activos digitales. Según el sitio de datos Cryptowatch, durante los últimos 30 días, Bitcoin y Ethereum se han movido en conjunto por un coeficiente de 0,84, donde -1 es diametralmente opuesto y 1 significa alineación perfecta. Para BTC-XRP y BTC-ADA, los coeficientes están por encima de 0,60.

Fuente (s):

Según comunicaron desde la agencia de investigación estadounidense, el hardware afectado fue apagado en cuanto se descubrió lo que estaba ocurriendo.

 Hackean sistema de correos del FBI para enviar advertencias falsas sobre ciberataques

  • Los servidores de correos electrónicos del FBI fueron hackeados para distribuir spam. Las advertencias fraudulentas avisaban al recipiente de una supuesta brecha de datos en su red.

 El FBI confirmó que los correos electrónicos enviados este sábado desde su servidor que alertaban de un posible ataque cibernético son falsos.

Horas antes, la organización Spamhause Project, que rastrea actividades de ‘spam’ y ‘malware’, advirtió en su cuenta de Twitter que piratas informáticos habían hackeado el sistema de correos electrónicos del FBI para enviar a través de este múltiples ‘emails’ con alertas.

“Hemos sido notificados de correos electrónicos ‘alarmantes’ enviados en las últimas horas que pretenden parecer haber llegado desde el FBI o el DHS [Departamento de Seguridad Nacional de EE.UU.]”, escribió Spamhause Project, señalando que los mensajes se estaban enviando realmente desde los sistemas de ambos organismos, pero se trataba de notificaciones “falsas”.

Según la organización, las alertas se enviaron a los contactos indicados en la base de datos del Registro Norteamericano de Números de Internet (ARIN, por sus siglas en inglés). “Causan perturbación porque los encabezamientos son reales, de verdad llegan desde la infraestructura del FBI”, agregaron.

En un tuit separado, Spamhause indicó que es posible que el alcance del ataque no se limitara al ARIN. La organización publicó asimismo un gráfico que muestra los drásticos aumentos de tráfico provocados por las alertas falsas.

Por su parte, el FBI confirmó que estaba al tanto del envío de correos falsos desde su dirección @ic.fbi.gov.

“Es una situación en curso y de momento no podemos proporcionar ninguna información. El ‘hardware’ afectado fue apagado en cuanto se descubrió el asunto”, señaló en un comunicado la agencia de investigación estadounidense.

La Oficina Federal de Investigaciones (FBI) confirmóque su nombre de dominio fbi.gov y su dirección de Internet se utilizaron para enviar miles de correos electrónicos falsos sobre una investigación de delito cibernético. Según una entrevista con la persona que se atribuyó la responsabilidad del engaño, los mensajes de spam se enviaron abusando de un código inseguro en un portal en línea del FBI diseñado para compartir información con las autoridades policiales estatales y locales.


A última hora de la noche del 12 de noviembre ET, decenas de miles de correos electrónicos comenzaron a fluir desde la dirección del FBI eims@ic.fbi.gov, advirtiendo sobre ciberataques falsos.

Según el Departamento de Justicia, “CJIS administra y opera varios sistemas nacionales de información sobre delitos utilizados por la comunidad de seguridad pública con fines tanto penales como civiles. Los sistemas CJIS están disponibles para la comunidad de justicia penal, incluidas las fuerzas del orden, las cárceles, los fiscales, los tribunales, así como los servicios de libertad condicional y antes del juicio “.




“El FBI y CISA [la Agencia de Seguridad de Infraestructura y Ciberseguridad] están al tanto del incidente de esta mañana que involucra correos electrónicos falsos de una cuenta de correo electrónico @ ic.fbi.gov”, se lee en el comunicado del FBI. “Esta es una situación en curso y no podemos proporcionar ninguna información adicional en este momento. El hardware afectado se desconectó rápidamente al descubrir el problema. Continuamos alentando al público a ser cauteloso con los remitentes desconocidos y lo instamos a informar cualquier actividad sospechosa en www.ic3.gov o www.cisa.gov ”.


“Podría haber usado esto al 1000% para enviar correos electrónicos de apariencia más legítima, engañar a las empresas para que entreguen datos, etc.”, dijo Pompompurin. “Y esto nunca lo habría encontrado nadie que lo divulgara responsablemente, debido al aviso que los federales tienen en su sitio web”.

Pompompurin dice que el acceso ilícito al sistema de correo electrónico del FBI comenzó con una exploración de su Portal Empresarial de Aplicación de la Ley (LEEP), que la oficina describe como “una puerta de entrada que proporciona a las agencias de aplicación de la ley, grupos de inteligencia y entidades de justicia penal acceso a recursos beneficiosos”.

Portal empresarial de aplicación de la ley del FBI (LEEP).

“¡Estos recursos fortalecerán el desarrollo de casos para los investigadores, mejorarán el intercambio de información entre agencias y serán accesibles en una ubicación centralizada!”, Dice entusiasmado el sitio del FBI.

Hasta en algún momento de esta mañana, el portal LEEP permitía a cualquier persona solicitar una cuenta. De manera útil, las instrucciones paso a paso para registrar una nueva cuenta en el portal LEEP también están disponibles en el sitio web del DOJ. [Cabe señalar que el “Paso 1” de esas instrucciones es visitar el sitio en Internet Explorer de Microsoft, un navegador web obsoleto que incluso Microsoft ya no anima a las personas a usar por razones de seguridad.]

Gran parte de ese proceso implica completar formularios con la información personal y de contacto del solicitante y la de su organización. Un paso crítico en ese proceso dice que los solicitantes recibirán una confirmación por correo electrónico de eims@ic.fbi.gov con un código de acceso único, aparentemente para validar que el solicitante puede recibir correo electrónico en el dominio en cuestión.

Pero según Pompompurin, el propio sitio web del FBI filtró ese código de acceso único en el código HTML de la página web.

Pompompurin dijo que pudieron enviarse un correo electrónico desde eims@ic.fbi.gov editando la solicitud enviada a su navegador y cambiando el texto en los campos “Asunto” y “Contenido de texto” del mensaje.

“Básicamente, cuando solicitó el código de confirmación, se generó en el lado del cliente y luego se le envió a través de una solicitud POST”, dijo Pompompurin. “Esta solicitud de publicación incluye los parámetros para el asunto del correo electrónico y el contenido del cuerpo”.

Pompompurin dijo que un script simple reemplazó esos parámetros con su propio asunto y cuerpo del mensaje, y automatizó el envío del mensaje falso a miles de direcciones de correo electrónico.


Fuente (s) :

OnionShare es una herramienta de código abierto que te permite compartir archivos de forma segura y anónima, alojar sitios web y chatear con amigos a través de la red Tor. En la versión más reciente, OnionShare podrá levantar un servidor web, con los archivos que le especifiquemos y generará una url .onion. Con lo que tendremos una web en la red Tor accesible gracias al navegador Tor, y con nuestro equipo sirviendo como servidor web.

OnionShare

 OnionShare, Sus funcionalidades básicas ya sabes en qué consisten: permite compartir -y recibir- archivos, chatear y hasta alojar un sitio web completo, por ejemplo para evitar la persecución o la censura

OnionShare es un software desarrollado por Micah Flee, y publicado bajo una licencia de software libre, con su código disponible en GitHub. Multiplataforma y disponible desde los repositorios en muchas distribuciones de GNU/Linux.

¿Cómo funciona OnionShare?

Los servidores web se inician localmente en su ordenador y se hacen accesibles a otras personas como servicios Tor.

Por defecto, las direcciones web de OnionShare están protegidas con una clave privada

Somos los responsables de compartir esta información con quien queramos a través del medio que consideremos oportuno (cifrado sería una buena idea), ya que a las personas que le enviemos esa URL, podrán copiarla y pegarla en su navegador Tor y, si disponen de la clave privada, acceder al servicio de OnionShare.

Mientras que con el modo normal estamos generando una URL directamente el archivo que queremos compartir, el modo recepción genera una URL directamente a un directorio de nuestro ordenador. Cualquiera que entre en esta dirección Onion podrá subir cualquier archivo a nuestro PC desde el navegador web, sin necesidad de hacer nada más.

Como nuestro propio ordenador es el servidor web, ningún tercero puede acceder a nada de lo que ocurre en OnionShare, ni siquiera los desarrolladores de la aplicación. Es completamente privado. Y al estar basado en los servicios onion, también protege nuestro anonimato.

Contra qué protege OnionShare

  • Los terceros no tienen acceso a nada de lo que ocurre. Utilizar el servicio significa alojar los servicios directamente en tu ordenador. Cuando se comparten archivos, no se suben a ningún servidor. Si haces una sala de chat en OnionShare, tu ordenador también actúa como servidor para ello. Esto evita el modelo tradicional de tener que confiar en los ordenadores de los demás.
  • No se puede espiar los datos en tránsito. La conexión entre el servicio Tor y el Navegador Tor está encriptada de extremo a extremo. Esto significa que los atacantes no pueden espiar nada excepto el tráfico Tor.
  • El anonimato de los usuarios está protegido por Tor. OnionShare y el Navegador Tor protegen el anonimato de los usuarios. Mientras el usuario de comunique de forma anónima la dirección de OnionShare a los usuarios del Navegador Tor, los usuarios del Navegador Tor y cualquier amigo de lo ajeno, no puede conocer la identidad del usuario final de la aplicación.

¿Cómo funciona el cifrado?

Como OnionShare se respalda en los servicios onion de Tor, todas las conexiones entre el Navegador Tor y OnionShare son cifradas de extremo a extremo (E2EE). Cuando alguien publica un mensaje a un cuarto de chat OnionShare, lo envía al servidor a través de la conexión onion E2EE, la cual lo envía luego a todos los otros miembros del cuarto de chat usando WebSockets, a través de sus conexiones onion E2EE.

OnionShare no implementa ningún cifrado de chat por sí mismo. En vez, cuenta con el cifrado del servicio onion de Tor.

En el caso de los chats, se permite acceder a salas ya establecidas, pero no hay registros que valgan y no es necesario crear ningún tipo de cuenta ni incluir ningún dato que sea identificable. Y como en el resto de funciones, el tráfico está cifrado de extremo a extremo y enrutado a través de la red Tor, por lo que la IP se asigna de nuevo con cada conexión.

Se encuentra disponible para Windows, Mac y Linux.  

El botón con el pulgar hacia abajo de YouTube no tendrá un efecto visible en la puntuación visible de los vídeos. Así lo ha anunciado la filial de Alphabet en lo que describe como un intento por “respetar las interacciones entre espectadores y creadores” y “proteger a nuestros creadores del acoso” al que pueden ser sometidos como parte de campañas coordinadas.

Adiós a los ‘No me gusta’ de YouTube: la plataforma oculta estas cifras para reducir el acoso hacia los creadores

La idea no es completamente nueva, puesto que YouTube llevaba tiempo experimentando con la idea de ocultar los votos negativos de sus vídeos, pero hasta ahora no había pasado de la fase de pruebas. Los resultados de este testeo han debido de satisfacer las expectativas internas de la compañía, puesto que desde ya mismo (aunque de forma gradual) el botón de “no me gusta” dejará de tener su propio conteo visible por los espectadores.

Según detalla YouTube, aunque se elimina el contador público de votos, el botón en sí mismo y las estadísticas internas derivadas de su uso se mantienen. De hecho, los creadores de contenidos podrán observar este parámetro como hasta ahora desde su panel de control. Simplemente, los usuarios del botón no verán más efecto aparte de que su opinión queda registrada con un clic en lugar de un -1 visible por todo el mundo como hasta ahora.

Search and buy domains from Namecheap. Lowest prices!

YouTube asegura que es consciente de que no todo el mundo estará de acuerdo con esta decisión, que a la postre era solo una de las opciones que valoraba para evitar el problema del bombardeo de negativos. La compañía lleva años trabajando en este asunto, y valorado soluciones como la posibilidad de añadir checkboxes para indicar por qué un vídeo no era del agrado del visitante, e incluso eliminar los votos negativos por completo.

Por supuesto, es lícito preguntarse si este intento por silenciar a los trolls y pretender que en YouTube reina la bonhomía no tendrá efectos negativos en la calidad de las recomendaciones de la plataforma. Sin duda, también habrá vídeos que merezcan tener puntuaciones altamente negativas. De hecho, el Rewind 2018 sigue siendo a fecha de hoy el vídeo con más votos negativos en la historia de YouTube… y fue creación de la propia compañía.

Otras redes sociales también han dado a los usuarios la opción de ocultar métricas de calificación: Instagram y Facebook te permiten ocultar los recuentos de me gusta si se quiere evitar la posible presión social que conlleva que la principal medida de éxito en la plataforma se muestre a todos.

Representantes de las tecnológicas YouTube, TikTok y Snapchat se comprometieron este martes a entregar al Congreso de Estados Unidos toda la información interna que tengan sobre el impacto de sus productos en la salud mental de los menores.

Fuente (s) :