Por @Alvy — 18 de Noviembre de 2022

Twitter en derrumbe a cámara lentaTwitter está sumido en el caos. Con la llegada de Elon Musk han sido fulminados de la compañía miles de empleados de todos los departamentos, una sangría importante que de un modo u otro pasará factura. Quienes hayan seguido la evolución de los acontecimientos desde la barrera, con el cubo de palomitas, han presenciado de todo: despidos en directo (por Twitter), lanzamiento de nuevos servicios (la famosa verificación por 8 dólares en el famoso Twitter Blue), la retirada de esos mismos servicios en cuestión de horas, cambios de criterio en las normas (como con las «cuentas parodia», que ahora son roja directa), dimisiones sonadas, más despidos fulminantes, despidos de contratistas externos (especialmente, moderadores) y cambios en la trastienda de alto riesgo y dudosa efectividad.

Lo más reciente es que después de obligar a todo el mundo a trabajar en la oficina ayer se cerró todo acceso físico a las oficinas. Además, los cambios en el código fuente del servicio los debe aprobar Musk en persona uno por uno y hasta se temen sabotajes. En la red están rulando tags como #RIPTwitter y #TwitterMigration que no auguran nada bueno.

La situación es tal que ya se ha bromeado hasta con la prueba de la lechuga; exempleados e ingenieros externos temen un colapso de la plataforma ya sea repentino o por la erosión de los bugs o los cambios acometidos.

Ante esa situación el sentido común sugiere tomar algunas precauciones, como son:

  1. Hacer una copia de seguridad de lo que tengas publicado en Twitter, no va a ser que desaparezca.
  2. Eliminar lo que no necesites, especialmente los mensajes directos.
  3. Abrirte una cuenta alternativa en otro sitio.

Hacer una copia de seguridad de todo tu Twitter

Twitter Archivo de la cuenta

Por suerte Twitter ofrece una opción para descargarse toda la información de una cuenta, y además funciona bastante bien (hasta hoy al menos). Basta solicitarlo a través del menú principal en Twitter > Más opciones > Configuración y soporte > Configuración y privacidad > Tu cuenta > Descargar un archivo con tus datos.

Twitter Archivo de la cuenta

Para completar este pedido de información hay que introducir la contraseña de la cuenta, y verificar mediante correo o SMS la petición con un código de seguridad. [Nota: actualmente hacerlo con el teléfono móvil por SMS funciona sólo a veces, así que puede ser necesario recurrir al correo asociado a la cuenta como alternativa.] El resultado se recibe pasadas 24 horas, y es un archivo .ZIP que al descomprimirlo se puede abrir con el navegador, e incluye:

  • Todos los tuits, imágenes y vídeos publicados
  • Todas las respuestas, retuits, y listas
  • Todos los mensajes directos
  • Información sobre personalización y anuncios (curioso)
  • Otros resúmenes y estadísticas

Lo que no están incluidos son las listas de seguidores, las cuentas a las que sigues o las cuentas bloqueadas. Esto sólo está disponible en el Twitter «en vivo» y no se puede descargar. Existen alternativas para quien necesite hacer esto, como ListFollowers.com y similares (no lo he probado y no sé qué tipo de límites hay, la verdad).

Eliminar lo que no sea necesario

Otra recomendación que ha circulado y tiene sentido es la de eliminar los mensajes directos (DMs) que no se necesiten. Con eso se pueden evitar problemas si el servicio es crackeado, saboteado o de repente un bug permite a cualquiera acceder a las cuentas, lo que daría mal rollito.

Esto es especialmente importante para evitar la fuga de datos y el phishing. Si por ejemplo has mantenido una conversación con tu banco, tu compañía telefónica o alguna otra empresa por el estilo –típico de quejas, consultas rápidas o por problemas con las apps– quizá hayas dado el número de teléfono, DNI o una cuenta de banco para resolver un problema (asumiendo como hasta ahora que hacerlo por DM era «seguro»). Esa información puede ser muy útil para un atacante, que puede intentar engañar usando esos mismos datos haciéndose pasar por esas entidades u otras.

La propia información acerca de con quién te has comunicado puede proporcionar muchas pistas si alguien se pone a indagar sobre ti (manual o automáticamente): quizá encuentre contactos de tu trabajo, o tu familia, a los que con toda esa información se pueda engañar mediante ingeniería social para obtener más datos sobre ti y luego lanzarte un ataque de phishing (me hace gracia que en este caso se conoce como spear phishing).

¡Ah! Y, obviamente, nada de usar la misma contraseña en Twitter que en otros sitios. Cámbiala.

Alternativas a Twitter

Mastodon

Aunque alternativas a Twitter hay muchas, no hay nada como el original y será muy difícil que alguna otra red social, o similar, pueda romper el doble efecto red que requiere una transición de este tipo: (1) hacer que tu red de amigos/conocidos/cuentas interesantes deje de estar en donde está (Twitter) y (2) que todas esas cuentas pasen a estar disponibles en otra nueva red tan bien conectadas como están ahora.

En cualquier caso, la que está popularizándose con más velocidad y beneficiándose de este caos es sin duda Mastodon, que es muy parecida a Twitter en look pero no tanto en cuanto a funcionamiento y configuración. Para empezar es una red social distribuida en diversos servidores (generalmente temáticos) aunque en la práctica puedes crearte una cuenta en cualquiera de ellos. Idealmente funciona como una «Federación», de modo que puedes seguir a cualquier cuenta de (casi) cualquier servidor, y como ahora mismo algunos tienen cerradas la creación de cuentas (por exceso de peticiones) tienes que encontrar un servidor que acepte nuevas altas (y tenga tu @cuenta favorita libre).

Las cuentas en Mastodon tienen doble arroba, son algo así como:

@Microsiervos@Mastodon.Cloud

donde la primera parte es la cuenta y la segunda es el servidor. (Sí: nosotros llevamos unos días haciendo pruebas y publicando tanto en Mastodon como en Twitter por si acaso.)

Quizá la forma más simple de entender cómo funciona Mastodon es pensar en que cada usuario crea una cuenta en un blog (y hay muchos sitios que hospedan blogs, agrupados por intereses) y luego te puedes suscribir a los feeds RSS de cualquier otro usuario de la red, esté donde esté. El resto es bastante parecido, la app de Mastodon [Android, iOS] funciona bastante bien y hay otros lectores alternativos.

En fin, esta es la situación; no se ha producido el hundimiento de la plataforma pero actualmente parece ir más a la deriva que navegando con buen rumbo. Para las cuentas con contenidos históricos, delicados o «corporativos» quizá sea interesante seguir estos consejos. Puede que no pase nada o puede que Twitter acabe como el Titanic, reposando en el fondo de algún datacenter oscuro y lúgubre. Por si acaso, ¡que no te pillen sin haberlo previsto!

Bonus:

  • Fedifinder (es fiable, doy fe) sirve para conectar la cuenta de Twitter, ver a quienes sigues y traspasar esos usuarios a sus equivalentes (si existen) en Mastodon. Funciona bien, pero de momento sólo el ~5% de las cuentas parecen haberse movido (y muchas no tienen actividad o nunca se trasladarán).
  • Las cuentas verificadas (especialmente las corporativas) encontrarán útil Fedified, que es una especie de verificador extra que mantiene un listado de cuentas de Mastodon que tienen equivalente en una cuenta de Twitter verificada. Basta seguir el paso-a-paso para asegurarse que en caso de problemas la cuenta de Mastodon es de quien dice que es. (Para las cuentas no-verificadas por Twitter no sirve.)

Otras lecturas interesantes de gente que sabe de esto:

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Alvy — 8 de Noviembre de 2022

ImgImgImg

Ayer estuve siguiendo por streaming el V Congreso Antifraude, un evento organizado por la World Compliance Association, Fundación Universitaria Behavior & Law y la Asociación Española de Empresas Contra el Fraude, con un buen número de expertos y expertas en áreas como:

  • Fraude en criptomonedas
  • Ciberseguridad y análisis forense
  • Perfiles criminológicos de los delincuentes empresariales
  • Investigaciones de fraudes
  • Casos reales de estafas en Internet

Cada uno de los temas era espeso, con una profundidad y ramificaciones que requerirían muchas más horas para tratarlos, a fondo –algunos apasionantes– pero me quedé con algunas ideas sobre el «estado de la cuestión» y algunos detalles interesantes. El primero es que los fraudes por internet siguen aumentando y son según los últimos estudios cada vez de mayor cuantía. Estamos hablando además de estafas en las que sólo el 25% de los afectados denuncian tras haber perdido su dinero, normalmente por vergüenza, miedo a represalias o porque creen que «no va a servir para nada».

Fraude en el mundo de las criptodivisas

Sobre los fraudes a criptomonedas, tema casi de actualidad, se comentó que en España el número de exchanges («casas de cambio») registrados en el Banco de España ha pasado este año de 12 a 45. El propio Banco ha emitido numerosos avisos y recomendaciones respecto a las criptomonedas. La CNMV mantiene también una lista de entidades NO registradas, más conocida como la lista de «cuidadín con meter ahí tu dinero» que conviene leer antes de mover el dinero.

También advirtieron de la desinformación que transmiten algunos influencers y recordaron el «caso Iniesta» (y sus vistosos anuncios), así como que toda campaña dirigida a más de 100.000 personas debe ser revisada por la CNMV. Influencers que ejercen la peor influencia posible porque además se dirigen a los más jóvenes, inexpertos y vulnerables, como ya denuncian públicamente periodistas y comunicadores. Mientras tanto, la publicidad de criptos campa por las camisetas de los equipos de fútbol con la aquiescencia de la propia CNV, algo un poco paradójico. WTF.

Curiosamente al respecto explican cómo a pesar de que existen herramientas para hacer seguimiento de las criptomonedas y su uso, al traspasar fronteras, existir las wallets no custodiadas y cierta laxitud en cuando a la conversión de unas criptomonedas a otras (y a dólares y euros) es difícil seguir la pista al dinero. Esto es una virtud para la gente honrada que hace buen uso de ellas, pero también permite que algunos estafadores y cibercriminales también las prefieren como forma de pago.

Criminales del mundo digital

En el apartado del perfil de los cibercriminales me llamó la atención el factor oscuro de la personalidad y el hecho de que se pueda perfilar psicológicamente tan afinadamente a estos personajes. No obstante, parece que es algo fácil «a toro pasado». Personajes como Elizabeth Holmes de Theranos, Neumann de WeWork, Anna Delvey/Sorokin o el mismísimo John DeLorean casi saltan a la vista. Pero nadie los detectó. ¿Cuáles son los estafadores que están ahora mismo siendo titulares en las noticias por otros sus aparentes grandes iniciativas y logros? Eso ya es más difícil de dilucidar, aunque ese «factor D» sea sin duda una buena pista.

La última parte de la conferencia sobre casos reales se dejó fuera al caso IM Academy (pese a estar anunciado) pero enumeró otro buen número de ellos. Se explicó que la gente sigue cayendo en clásicos como los esquemas de Ponzi y las estafas piramidales, los estafadores del amor, las novias rusas, asiáticas y de otros lugares exóticos, así como otros más sutiles. Pusieron hasta grabaciones de «timos nigerianos en acción» (!)

Entre los problemas más de moda y relacionados con la tecnología se citaron el malware, que sigue entrando porque la gente «hace clic donde no debe» o el fraude del CEO, correos falsos en los que un email suplantando al jefe pide urgentemente transferir dinero a una cuenta. Es una suerte de spear phishing o engaño dirigido contra un objetivo específico investigado previamente, frente al phising convencional que busca objetivos tras enviar miles de mensajes (matando moscas a cañonazos).

Según explicaron, las soluciones pasan a veces por mantener mayores y políticas de seguridad internas en las empresas o a veces el simple uso del sentido común antes de actuar: preguntarse si un correo puede haber sido suplantado, si esa oferta para ganar dinero rápido tiene visos de ser real o por qué razón esa novia surgida del frío nos ha «elegido» a nosotros. ¡Que no, hombre, que no!

También se mencionó un dato que me sorprendió mucho:

Si al hacer una transferencia los bancos cotejaran el IBAN y el nombre del titular de la cuenta, el 95% de las ciberestafas no se producirían en España.

Y es que ciertamente sólo hace falta esa ristra de dígitos para enviar dinero a una cuenta cualquiera. Teniendo en cuenta que todas tienen un titular –persona o entidad legal– que la persona que hace esos envíos debería conocer, como cuando hacemos un Bizum, es raro que no se haga. Quizá fuera un sitio por el que comenzar. Según esto actualmente las entidades financieras que solicitan el nombre para hacer ese tipo de operaciones lo guardan pero simplemente no lo comprueban. Incomprensible.

_____
Foto (CC) Lindsey LaMont @ Unsplash.

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Wicho — 11 de Octubre de 2022

Panel de salidas con letras por segmentos; en amarillo la aerolínea y el número de vuelo; en blanco el destino
Panel de salidas en el aeropuerto internacional de Los ángeles – Wicho

El grupo de piratas informáticos –no, no son hackers, en todo caso ciberdelincuentes– conocido como Killnet lleva desde ayer atacando las webs de diversos aeropuertos de los Estados Unidos. La lista de sus objetivos incluye los de La Guardia en Nueva York –el primero en ser atacado–, Des Moines, Los Ángeles, Midway y O'Hare en Chicago, Denver, y Hartsfield-Jackson en Atlanta. Se especula que el ataque podría tener que ver con la destrucción del puente de Kerch, que une Crimea con Rusia.

La buena noticia es que son ataques de denegación de servicio, lo que no implica que hayan entrado en los sistemas de esos aeropuertos. Y que no afectan a las operaciones de vuelo; sólo a las webs públicas de los aeropuertos; los sistemas atacados no se encargan del control del tráfico aéreo, de las comunicaciones y coordinación internas de las aerolíneas ni de la seguridad del transporte. La mayoría de las webs atacadas estaban de nuevo en marcha a las pocas horas; otras están trabajando en ello.

No es la primera vez que Killnet ataca objetivos en los Estados Unidos o en Europa; y lo hacen en apoyo al gobierno ruso, aunque oficialmente no tienen nada que ver. Otros objetivos han sido sitios web del Departamento de Defensa de los Estados Unidos o de instituciones sanitarias.

Relacionado,

Compartir en Flipboard Tuitear

PUBLICIDAD



Por @Alvy — 24 de Septiembre de 2022

David Buchanan en Twitter: The image in this tweet displays its own MD5 hash. You can download and hash it yourself, and it should still match - 1337e2ef42b9bee8de06a4d223a51337

A David Buchanan se le ocurrió que sería divertido generar una imagen PNG que mostrara su propio hash, lo cual no es trivial. Después de darle vuelta al problemático bucle en el que entra la cuestión (si modificas la imagen cambia el hash y si cambia el hash tienes que modificar la imagen) finalmente lo consiguió. Y con el bonus de hacer que el hash empiece y acabe por 1337 (en la cultura hacker: Leet o «Élite»).

El resultado es este curioso PNG de 444×666 píxeles y 103 KB donde puede verse el valor del hash (1337e2ef42b9bee8de06a4d223a51337) y para el que si se calcula el hash MD5 se obtiene el mismo valor. Puedes comprobarlo descargando la imagen y ejecutando

md5sum hashquine_by_retr0id.png

o desde una página que haga el mismo cálculo como MD4 File Checksum.

El asunto dista de ser trivial, como decíamos. Recordemos que la función hash transforma un fichero cualquiera en un valor de longitud fija que es único… o único en la práctica, al menos. Lo interesante de estas funciones, como la MD5, es que un cambio en un solo bit modifica totalmente el hash. En el caso del MD5 son 128 bits que es fácil ver como 32 caracteres hexadecimales. Se utiliza ampliamente en criptografía y seguridad.

La idea de Buchanan, explicada someramente, consiste en utilizar la fuerza bruta, ir cambiando algunos píxeles o colores casi inapreciables y recalcular el hash una y otra vez, hasta encontrar uno que coincida (técnicamente se dice «que produzca colisiones»). La imagen es monocroma porque parte del truco es que los píxeles que se cambian van a una «paleta inteligente» que los vuelve invisibles, algo fácil de hacer en las imágenes PNG. El proceso requirió software especial para encontrar las colisiones y más de 24 horas de una máquina a toda pastilla comprobando millones de hashes.

Esta idea no es nueva, pero siempre resulta divertido ver un nuevo resultado. Ha servido también para generar GIF animados, PDFs (casi como «truco de magia predictiva»), HTML, ZIP, ROMs y archivos en muchos más formatos que muestran que en la práctica a veces se pueden conseguir hashes de forma intencionada, aunque con ciertas limitaciones y siempre a cambio de un gran coste de computación.

Relacionado:

Compartir en Flipboard Tuitear

PUBLICIDAD




PUBLICIDAD


Cifitec: Futuros posibles, Vol. 1

Futuros posibles, Vol. 1
Relatos de ciencia ficción y tecnología
CIFITEC