El equipo de Google Play ha alertado a todos los desarrolladores sobre ataques de phishing que han estado circulando, se hacen pasar por notificaciones relacionadas con la violación de los términos e incluyen enlaces hacia páginas falsas que buscan robar las contraseñas.
Las alertas de seguridad han llegado por e-mail y también aparecen en la consola de developers:
La semana pasada circuló la noticia sobre un supuesto hackeo de Dropbox en el cual se habrían filtrado 7 millones de contraseñas, al menos era lo que repetían todos los medios como si fueran fotocopiadoras online.
El mismo día Dropbox publicó un aviso en su blog aclarando que los usuarios y contraseñas que circulaban no se habían robado de sus servidores. De hecho ni siquiera eran 7 millones de contraseñas las publicadas, como comenta Chema en este artículo la lista publicada era de 400.
¿Pero entonces cómo robaron esas 400 cuentas?
Hace algún tiempo publiqué un video mostrando cómo se podría realizar un ataque de fuerza bruta a un sitio bajo WordPress con una herramienta gratuita llamada WPScan. Un ataque de este tipo básicamente consiste en una lista de palabras que se van probando una tras otra como posibles passwords hasta que alguno permita el acceso.
En 2011 el comediante Louis C.K. ofrecía por internet la descarga completa de su show por tan sólo 5 dólares y en pocos días logró acumular más de 1 millón en PayPal. En su web oficial pueden ver la captura de la cuenta, sorprendente!
Recuerdo que en ese entonces pensé que si tuviera tanto dinero en mi PayPal tendría una notebook bajo llave exclusiva para acceder a la cuenta y evitar así cualquier problema de seguridad. Como si se tratara de un equipo de la NASA o algo por el estilo.
De hecho muchos especialistas en seguridad recomiendan utilizar live-cds para acceder a las cuentas bancarias, pues son una forma rápida y segura de evadir cualquier malware que pueda estar alojado en el sistema, esperando que entremos a nuestro home banking.
Cuando en un portátil se maneja información sensible resulta obvio que hay que tomar precauciones extras para protegerla, pero a veces lo mas obvio se nos puede pasar por alto como le ha sucedido a Jens Kyllönen, un jugador de poker profesional.
Haveibeenpwned.com es un sitio web que permite verificar si nuestro correo electrónico se ha visto comprometido por algún robo de información que también deje expuesta la contraseña. Se basa en los ataques que han recibido distintas empresas como Adobe, Yahoo y Sony en los últimos tiempos que en total afectaron a más de 150 millones de usuarios.
La herramienta fue creada por el investigador Troy Hunt y sólo verifica si la dirección de correo se encontraba en alguna de las bases de datos robadas y que luego fueron publicadas en internet. Si es así, cualquier atacante podría tener acceso a la contraseña de esa cuenta y si es la misma que se utiliza en otros servicios ya te imaginarás lo que puede llegar a suceder.
