Por @Alvy — 11 de Diciembre de 2019

En el cursillo Crypto 101 de Kraken –una de las empresas más fiables en lo relacionado con las criptodivisas, por cierto– se cuentan estas historias de terror acerca de gente que ha olvidado sus contraseñas o perdido llaves, discos duros o teléfonos móviles con bitcoins u otras criptodivisas.

Las soluciones cuando alguien se da cuenta de que ha olvidado o perdido la contraseña que había apuntado son varias, pero ninguna tiene buenas perspectivas. Entre ellas están:

  • Utilizar crackeadores de contraseñas
  • Rebuscar en vertederos de basura
  • Someterse a hipnosis para recordar la contraseña

La primera funciona si se conoce parte de la contraseña, se utilizan contraseñas con patrones más o menos repetitivos para generarlas y recordarlas o incluso si puede estar en algún lugar del disco duro: simplemente se examina todo el disco y se prueba todo lo que haya allí escrito. Es una especie de ataque de diccionario y de fuerza bruta por si hay suerte.

La historia del vertedero de basura, como dicen, es auténtica: alguien perdió 127 millones de dólares (7.500 bitcoin) en 2017 pero el ayuntamiento no le dejó rebuscar en el vertedero donde se acumulaban 350.000 toneladas de desperdicios alrededor de un disco duro viejo que acabó en la basura por equivocación.

En Wired parece ser que ya la cagaron en 2013, cuando después de haber minado 13 bitcoin destruyeron la contraseña a sabiendas, tras una «meditada decisión» de la redacción. Entonces no era mucho dinero, pero se convirtieron en una «pequeña fortuna» (y parece que años después se arrepintieron un poco: podían haberlas donado o guardado para el futuro). En ese mismo artículo se dice que se cree que alrededor del 20% de las bitcoin están perdidas, sin posibilidad de recuperación.

Otra historia entretenida al respecto que creo que mencioné en Twitter en su día fue La historia de terror digital de los 30.000 dólares en bitcoin perdidos por olvidar un PIN protagonizada por nuestro admirado Mark Frauenfelder en persona. Fue una historia de un desastre fue de mal en peor, y eso que «sólo» eran 7,5 bitcoins (pero que al cambio de 30.000 dólares de la época eran un pastizal).

Un método que no se comenta pero que también suele funcionar es utilizar la memoria muscular. A veces lo que tu cerebro no recuerda lo recuerdan los dedos, acostumbrados a teclear las mismas palabras y contraseñas siempre de la misma forma. Este –y otros intentos– no sirven si el sistema donde están guardados los bitcoin tiene algún tipo de número de intentos limitados o retardo, pero por probar que no quede.

Compartir en Flipboard Compartir en Facebook Tuitear
Por @Alvy — 9 de Noviembre de 2019

xHelper / ZDNet

Me sorprendió ver a Bruce Schneier comentando en su blog acerca de un vulgar software malicioso de Android llamado xHelper. Hay miles de esos. Lo curioso de este es que, tal y como explica, es extrañamente persistente. Aunque borres la app o hagas un reset completo del dispositivo vuelve a aparecer, como Ave Fénix que resurge de sus cenizas. Se llama xHelper por el nombre que muestra en la pantalla, que si seguro que lo habrían apodado Fénix.

En ZDNet explican más aún sobre este nuevo e «inamovible» malware que ya ha infectado a 45.000 dispositivos Android: se instala descargando una app insegura y no hace gran cosa excepto mostrar anuncios, notificaciones y hacer clics para monetizar algunas páginas. Cuando se hace clic lleva a la Play Store para que la gente se instale otras apps o se descargue páginas; seguramente los autores ganan dinero a base de comisiones por descargas.

En Symantec cuentan también que ha cambiado desde marzo cuando se detectó, pero xHelper sigue siendo igual de porculero: vuelve a aparecer en cuestión de minutos tras borrarlo, e incluso aunque se elimine completamente todo del dispositivo y se vuelva a los ajustes de fábrica. (Ya han comprobado que no viene preinstalado de fábrica en el bloatware habitual). Según parece se les sigue escapando incluso a los del equipo de Google Play para terminar de matarlo bien matado.

Según cuentan en el blog de Scheier también parece que afecta a algunos Android pero a otros no; en particular al HTC One X. También dan algunas pistas acerca de si el problema puede estar en cosas que no se resetean al hacer un reset de fábrica como los DNS, el contenido de las SIM y algunos submódulos que tienen software propio.

Compartir en Flipboard Compartir en Facebook Tuitear
Por @Alvy — 30 de Septiembre de 2019

El vídeo explicativo de The Spinner [¡cuidadín!] es tan inquietante como perturbador: un servicio que ofrece influenciar subconscientemente a la persona que elijas mostrándole contenido en los sitios que suela visitar. Dicho así suena un poco peliculero, pero luego explican cómo lo hacen y más o menos todo encaja: envían un «correo inocente» a la persona objetivo, que al visitar una web recibe una cookie que permite identificar su navegación a partir de ese momento. Desde entonces los sitios web que visite que colaboren con The Spinner (por ejemplo, mostrando publicidad, contenidos patrocinados, publicidad programática y similares, algo ubicuo hoy en día) mostrarán selectivamente imágenes y textos personalizados sólo a esa persona con el fin de lograr el objetivo definido.

Entre los diversos «posibles usos» altamente controvertidos del servicio se incluyen «proponer matrimonio», «dejar de fumar» o «iniciar una relación sexual». También muestran algunas de las sugerentes imágenes y textos (estilo titulares guarripeich como los que lees cada día por todas partes) con los que explican que se consigue el efecto. Es algo bastante burdo pero directo al grano. Se supone que todos estamos expuestos a miles de impactos de este tipo al día a través de los medios, y que verlo –aunque sea subconscientemente– diez, veinte, cincuenta o cien veces al cabo de unos días debería influir de algún modo.

The Spinner no es una broma ni del todo falso: es una iniciativa real, con una empresa detrás, que ofrece el servicio básico por unos 50 dólares. Otra cosa es que funcione. Y otra que sea legal, por no hablar de ético. Según investigó Ipsa en Hacker News todo lo que hay detrás es bastante turbio: la empresa tiene enlaces con el mundo de la publicidad y el juego online, un origen incierto, varias sedes, unos pocos empleados y no muchos clientes (calculan que unos 500). La mayor parte parecen perseguir además fines sexuales: se ve que «la cabra tira al monte» y la más vieja razón del mundo acaba siendo más habitual que el espionaje industrial o las ganas de quitarse de vicios como el tabaco voluntariamente. El servicio además estaría prohibido en Europa por las leyes de protección de datos.

Por otro lado sabemos que la publicidad subliminal es una leyenda urbana, pese a que irónicamente luego también es ilícita en España según los artículos 3 y 4 de la Ley General de Publicidad:

Artículo 4. Publicidad subliminal. A los efectos de esta ley, será publicidad subliminal la que mediante técnicas de producción de estímulos de intensidades fronterizas con los umbrales de los sentidos o análogas, pueda actuar sobre el público destinatario sin ser conscientemente percibida.

Más claro agua. La Ley también podría decir que es ilegal el control mental y la tortura a distancia desde satélites espía pero eso no haría reales las «armas psicotrónicas» (!!??), imagino que se entiende con esto que ilegalizar algo no le da validez científica.

Todo este asunto de The Spinner se relaciona con la manipulación publicitaria de masas; véase al respecto el altamente recomendable libro de Marta Peirano El enemigo conoce el sistema. Se mencionan siempre casos como el Cambridge Analytica y su influencia en la victoria de Trump o el resultado de la consulta británica sobre el Brexit. Pero no hay que creerse todo lo que se dice en artículos y documentales, y menos lo que dicen las propias empresas rarunas:

No hay pruebas de que Cambridge Analytica sea eficaz (…) Lo que sabemos sobre microtargeting nos dice que no es muy poderoso a la hora de persuadir votantes. – Kiko Llaneras

El caso es que tampoco está claro si esa «tecnología mágica» para manipularnos como a conejillos pudiera ser más, menos o nada efectiva si se dirige a una persona en concreto, con mensajes a medida y con la intensidad y repetición suficiente. Sus creadores no dicen que «funcione siempre» sino que prefieren calificarla como «altamente efectiva». Y si no funciona además la gente tampoco se va a quejar mucho, dado los fines turbios para los que suele usarse. Yo desde luego no arriesgaría mi dinero ahí. Ni para ligarme a Claudia Shiffer. Me huele más a timo.

Más sobre el tema en otros sitios serios:

Compartir en Flipboard Compartir en Facebook Tuitear
Por @Alvy — 10 de Septiembre de 2019

4 pendrives (CC) AlvyEn un experimento ya clásico de seguridad informática, unos investigadores del Departamento de Seguridad Nacional de los Estados Unidos dejaron tirados unos cuantos pendrives y CD-ROMs así como quien no quiere la cosa en el suelo de aparcamientos de edificios gubernamentales y de contratistas privados. Poca gente pudo resistir la tentación: el 60 por ciento de los que los recogieron enchufaron los pendrives en su ordenador. Si además de eso el pendrive llevaba un «logotipo con aspecto oficial», la cifra aumentaba al 90 por ciento. Una demostración de que el punto más débil en la cadena de seguridad de cualquier organización siguen siendo las personas y que luchar contra la ingeniería social es casi tan complicado como hacerlo contra las técnicas más punteras y avanzadas. [Fuente: Bloomberg + TNW]

Relacionado:

Compartir en Flipboard Compartir en Facebook Tuitear