S.L.I. Tecnologías de la Información - E.I.B.


TRADUCCIR AL...



agosto 02, 2009

Cuidado con el software gratuito


cybernautas.es


Los programas gratuitos son muy frecuentes en Internet. ¿Nunca se ha preguntado por qué una empresa puede decidir ofrecer software gratis? ¿Qué obtiene a cambio? A menudo, la respuesta es simple: sus datos personales.

El pagar con su privacidad a cambio de obtener un programa en apariencia gratuito se está convirtiendo en una práctica común en Internet. Con eso de que cada vez más usuarios tienen su computar conectado a la Red, incluso de forma permanente gracias a tarifas planas de cable y ADSL, muchas compañías optan por distribuir sus productos de forma totalmente gratuita y cobrarse el servicio espiando la actividad del usuario.

Siempre que instala un programa en su Computador, éste necesariamente tiene acceso a todos los recursos del sistema: puede leer cualquier rincón del disco duro, registrar cada pulsación de teclado realizada por el usuario o guardar un histórico de cada programa y documento abiertos. Claro que una cosa es la posibilidad de llevar a cabo todas estas tareas y otra, que se haga de verdad.

Los programas que rastrean la información sobre hábitos de consumo y navegación de los internautas pueden realizar todas o alguna de las actividades anteriores de manera sigilosa, sin que nadie lo advierta. A intervalos de tiempo programables, el programa se conecta a través de Internet con un servidor de la compañía que lo distribuyó y transmite diligentemente toda la información que ha recopilado.

Uno de los primeros casos conocidos de software espía fue el de Aureate/Radiate, que funcionaba en conjunción con programas que incluían publicidad para financiarse, lo que se conoce como software de distribución adware, esto es, el usuario no paga por usar el programa, pero debe soportar la presencia de banners. Con la excusa de que necesitaban conectarse a un servidor central para descargar los banners que vería el usuario, establecían conexiones sin despertar mayores sospechosas.

Lo que no imaginaba el usuario era que el programa no sólo descargaba banners, sino que también enviaba de vuelta a Aureate información de su actividad en Internet. El hecho resultaba aún más grave si se tiene en cuenta que al desinstalar el programa de Aureate dejaban de funcionar las otras aplicaciones que había descargado, como GetRight o Go!zilla.

Desde luego que Aureate/Radiate no es la única compañía metida en este negocio. Otros programas similares a Aureate/Radiate que puede encontrar en su ordenador son Webhancer, Customer Companion, Conducent/Timesink, Cydoor, Comet Cursor o Web3000.

Otras aplicaciones de gran popularidad y uso muy extendido hoy día entre los internautas que recaban información sobre los usuarios para enviarla a las casas publicitarias son, además de las ya citadas, Audiogalaxy, Babylon Tool, Copernic 2000, CrushPop, CuteMX, EZForms, Gator (uno de los mas instalados), FlashGet, Gif Animator, iMesh, JPEG Optimizer, MP3 Downloader, MP3 Fiend, NeoPlanet Browser, Net Scan 2000, Net Tools 2001, NetMonitor, Odigo Messenger, Opera Freeware, Oligo Browser, Real Audioplayer, Spam Buster, TIFNY, TypeItIn, WebCopier, ZipZilla.

Por otro lado, las barras de navegación constituyen la última vuelta de tuerca en las novedosas estrategias maquinadas por las empresas punto com, para recabar subrepticiamente información sobre los usuarios. Existen docenas de barras gratuitas que asisten al internauta en su navegación: le facilitan las búsquedas en Internet, le proporcionan información extendida sobre el sitio que está visitando, le ayudan a comparar precios sobre productos, en definitiva, colaboran para que su vida en la Red sea más sencilla.

Lo que el internauta desconoce es que, silenciosamente entre bastidores, algunas barras también registran cada página que visita, cada formulario que rellena, sin distinguir si se trata de páginas cifradas o no. Cada cierto tiempo, las barras envían toda esta información a la empresa de software, que ve así recompensados con creces sus esfuerzos por desarrollar el producto "gratis".

Otra forma de recopilación solapada de datos de los internautas que se ha visto en Internet consiste en la utilización de los "Web bugs" o "escuchas Web". Una escucha web es un gráfico GIF transparente dentro de una página web o dentro de un correo electrónico del mismo color del fondo y con un tamaño de 1x1 píxeles. Normalmente, al igual que ocurre con las cookies, son puestas ahí por terceras partes para entresacar información acerca de los lectores de esas páginas o correos. La información recabada sobre el visitante gracias a esta imagen incluye entre otros datos la dirección IP de su ordenador, el URL de la imagen, que codifica los datos que serán enviados desde la página web visitada al sitio recolector de información, la fecha y hora en que fue vista la imagen, el tipo y versión de navegador del internauta, su sistema operativo, idioma e incluso valores de cookies si es que no están deshabilitadas.

Dado que la imagen es invisible en la práctica, el confiado usuario no sospecha que el sitio web donde ha entregado a través de un formulario datos sobre su persona incluye en sus páginas un GIF transparente que se carga desde otro sitio web de terceras partes. En el URL de la imagen se han añadido sus datos personales, que pasarán a ser conocidos por las terceras partes. Todo ello de forma silenciosa y sin que el internauta se percate de nada.

Otro uso igualmente intrusivo se presenta cuando se insertan dentro de correos que utilizan el hoy omnipresente formato HTML. Gracias a las escuchas web insertadas en los mensajes de correo, el sitio que los envió puede saber cuánta gente los leyó, con qué frecuencia y si los reenviaron a alguien. Por supuesto, las compañías que las usan no advierten de su presencia ni de los fines que persiguen con ellas. A diferencia de los banners, cuya presencia es manifiesta, las escuchas web permanecen inadvertidas. Mantienen en secreto su existencia dentro de las páginas web y de los mensajes de correo. Pero aunque no pueda verlas, desde las sombras violan su intimidad.

Mientras algunas compañías avisan acerca de su intención de recopilar información sobre hábitos de navegación del usuario en la letra pequeña de sus licencias de uso, ese texto que nadie lee cuando instala los programas, otras obvian toda referencia clara a su actividad espía. Obtener datos privados sobre los usuarios sin pedir su consentimiento y, lo que es peor, sin ni siquiera informarles sobre ello, representa un grave atentado contra la privacidad que se está volviendo cada vez más frecuente en Internet.

La próxima vez que descargue un programa sin que le cobren por ello, piense que a lo mejor no es tan gratuito como se anuncia en la publicidad. Sus datos personales pueden suponer el precio que pagará por él.

Fuente: Gonzalo Alvarez M

¿Qué tanto confía en los programas gratuitos como para descargarlos tranquilamente?

El exceso de confianza... peligro en las redes sociales


En el marco de la segunda versión del Campus Party, Kevin Mitnick, uno de los ex hackers más importantes del mundo, dio una conferencia sobre las amenazas más frecuentes en el mundo digital.

Mitnick asegura que ante la evolución de las tecnologías de seguridad y de los desarrollos en sistemas, se ha popularizado la práctica de la Ingeniería Social, un tipo de ataque altamente efectivo que se aprovecha del componente humano de la seguridad, mucho más sencillo de violentar que cualquier firewall de avanzada.

“Una manera muy efectiva de hackear hoy en día es por medio de la influencia y manipulación psicologica de personas que podemos persuadir para que nos entregen información o realicen tareas”, aseguró el experto en violación de seguridad ahora dedicado a la asesoría de empresas.

Además, el ejercicio de timar a las personas tiene ventajas significativas con respecto a los métodos tradicionales: no genera altos costos, no abre logs de registro, es casi ciento por ciento efectivo y no recibe actualizaciones como sí lo hacen los sistemas de seguridad.

Según datos compilados por el experto, toda persona a quien se le pide el nombre de la manera adecuada lo entrega. Asimismo, 94 por ciento entrega datos de la mamá o la mascota, mientras 98 por ciento da su dirección y 92 por ciento su teléfono o su fecha de cumpleaños. Todos los anteriores son datos esenciales para penetrar una cuenta de correo e incluso responder preguntas de servicios bancarios que permitan captar claves de acceso.

Tales datos se complementan con métodos comunes de ataque como el almacenamiento de los números presionados por un usuario cuando llama a su banco (por medio de software), la captura de datos registrados en correos (violación técnica) y la instalación de programas en equipos objetivo (por medio de descargas, troyanos en USB, entre otros).

“El ataque tiene dos pasos. Primero hay que construir confianza. Luego, sencillamente, atacar”. Según el especialista, las principales falencias de la seguridad en las personas es que se creen invulnerables (eso no me pasa a mí), tienden a confiar demasiado en otros, conciben los protocolos de seguridad como aburridos, desestiman la importancia de la información, siempre quieren ayudar y no se percatan de las consecuencias.

Ante esto, Mitnick dice que es necesario capacitarse sobre el hecho de que la gente no es invencible, entender que es posible responder ‘no’ a solicitudes de información y evaluar qué contenidos deben ser protegidos a toda costa. “El malo siempre tiene un plan, un fin y un rol (...) nosotros también debemos tenerlo para protegernos”, concluyó el especialista.

Fuente: Campus Party






¿Hasta qué punto es conciente de la información que comparte?