31 jul 2017

Ingeniería Social en los jóvenes.

Si algo sabemos hoy en día que es fácil de hacer es la ingeniería social, es decir, el obtener datos de una persona o claves de esta haciendo que nuestra víctima nos lo de por si mismo o a través de un tercero.
Un suceso que he visto a lo largo de estos días es que en la red social "Instagram" se han multiplicado como células las cuentas al estilo "Se quien eres" "Se quien te gusta" etc. Provocando un auge en los jóvenes por experimentar esta nueva "moda".

Para ver como funciona esto nos vamos a crear una cuenta para que vengan a nosotros, pero antes vamos a analizar el funcionamiento de esta moda.

En la imagen anterior podemos ver como funciona. Nos piden seguir su cuenta, mencionarlos en la aplicación "Stories" dentro de la aplicación de la red social y nombrar amigos. Tras esto automáticamente sabremos todo sobre el sujeto en cuestión.

Este proceso comienza hablando con los amigos (los terceros) para sacar información, haciéndonos pasar por otra cuenta de confianza o desde esta animando a que participasen.
Entre los datos obtenidos se buscan los datos privados o que no los sepan cualquiera para generar misterio ante el usuario que ha comenzado a hablar con nosotros.
Una vez se termina se preguntan si son ciertos los datos, si responde que sí automáticamente tenemos una base para sacar más información.

Tras saber como funciona esto, nos crearemos una cuenta del mismo estilo. Como siempre crearemos un aviso que de por sí interpretaremos como que el usuario lo ha leído y sólo esperaremos a que venga nuestra víctima.


Una persona que despliegue nuestro mensaje verá que se trata de un experimento de ingeniería social, pero si de algo se es que normalmente nadie se molesta en leer después de los hashtags ni menos aún darle a leer más, así que desde un móvil convencional la víctima ve esto.


Tras subir esta foto y dejar la cuenta preparada no nos queda más que esperar a nuestra víctima "pique" y comience a seguirnos y obtener datos de los amigos. Para ello usaré la cuenta personal y la de un colaborador para propagar el "engaño".


Tras media hora hemos conseguido datos personales acerca de cuando suelen quedar, como eran sus vidas, donde participan, donde estudian, etc. Aunque hay un caso que la persona me dejo acceder a su cuenta privada, sin saber quien era, donde aplicando EXIF a las fotos podremos saber hasta la ubicación

Sin más, me despido de esta entrada por ahora...

24 jul 2017

Talking about Security 01 | Francisco Rosales

Buenos días comunidad!
Como muchos sabéis (y quienes no verán ahora) suelo hacer entrevistas con formato Podcast sobre cualquier temática, y con ello, y queriendo dar contenido nuevo al blog, he creado una nueva sección llamada "Talking About Security" o "Hablando sobre Seguridad" en la que pondré podcast o grabaciones de estas entrevistas donde nos centraremos en la Seguridad Informática y la tecnología en general.

Pasando al contenido en si, este primer episodio lo estreno con Francisco Rosales, notario en Alcalá de Guadaira, Sevilla y ponente en charlas universitarias como por ejemplo la Universidad de Sevilla.
En este capítulo hemos hablado sobre ciberseguridad, ransomware, criptomonedas o contrato digital entre otros, teniendo así una duración de 40 minutos pero donde te garantizo que en esos 40 minutos vas a aprender mucho desde un punto de vista totalmente diferente a lo que se ve hoy en día.

Sin más dar las gracias a Francisco Rosales por aceptar esta entrevista para un proyecto que acaba de nacer, y también a aquellos y aquellas que me leéis cada vez que subo entrada.

Twitter Francisco Rosales: https://twitter.com/notarioalcala
Web Notaría Francisco Rosales: https://www.franciscorosales.es/
Blog Francisco Rosales: https://www.notariofranciscorosales.com/

Por si queréis os dejo las direcciones de monederos de Francisco y mía para realizar donaciones.

ID Francisco Rosales BTC: 1B3Rua1xzKvdTifLwi99XzZF9hc3pqS2xz

ID Francisco Rosales Monero: 4GdoN7NCTi8a5gZug7PrwZNKjvHFmKeV11L6pNJPgj5QNEHsN6eeX3DaAQFwZ1ufD4LYCZKArktt113W7QjWvQ7CW9guhG6Fo7VSchdFAd

ID Francisco Rosales ETH: 0x505bB86218a4C065b824029D8cD4b6777E728B15

ID Hackingot ETH: 0xd85168612331bba50095bd9ed7de70b0433052b7

ID Hackingot BTC: 1KJYH3BpL5jzDzxuHWEbGCX67NUzeDihmQ

Enlace al podcast: https://www.ivoox.com/talking-about-security-01-francisco-rosales-audios-mp3_rf_19960979_1.html


19 jul 2017

¿Es segura una VPN?

Buenos Días! Hoy el tema del que vengo a hablaros es sobre las famosas VPN y si de verdad son tan seguras como nos prometen en Internet, pero antes de hablar de esto deberíamos saber que son.
Según la Real Academia de este blog, una VPN (Virtual Private Network) es un túnel que te aísla del resto de tu red haciendo el tráfico más seguro, aunque esa no es su única función, como veremos a continuación.

10 jul 2017

Lo que he aprendido en estos años...

Recuerdo aquel 30 de Octubre cuando dimos inicio a un proyecto llamado la Esquina del Procesador, pasando a ser a día de hoy lo que conocemos como Hackingot.
El interés de pasar el blog al hacking fue por compartir lo que he recibido en todos estos años acerca de la materia, aunque creo que me han enseñado mucho más de lo que he dado, y hoy, me gustaría hacer un resumen de todo esto aquí.

Antes de seguir dar las gracias a Tower, Fran, Petrux, Yolanda, OWASP Sevilla, Marcos, Hack And Beers y todas aquellas personas que me han enseñado de cierta manera un poco de lo que hace que sepa lo que se a día de hoy.


  • He aprendido que un sistema NO puede ser privado, pues esto es una sensación de bienestar. Toda máquina conectada es vulnerable.
  • De la mano de ToWeR he visto el verdadero sentido de los Lusers, que allá donde vallas encontrarás de todo, hasta un bocata en un armario de comunicaciones.
  • Con Yolanda Corral he visto pocos de sus ciberdebates (es algo pendiente que tengo) pero los que he podido ver demuestran que se puede entender la seguridad informática de una manera sencilla.
  • Recuerdo mi primera conferencia de seguridad, en el pabellón de Francia, en Sevilla. Organizada por OWASP Sevilla, donde conocí el movimiento y aprendí en las que he ido cosas valiosas, como montar una VPN casera, un proyecto sencillo e interesante.
  • Al igual que tantas conferencias, he podido saludar en personas a grandes del sector, como a Silvia Barrera, donde la conocí en una conferencia sobre el acoso y peligros de las redes sociales, y donde vi que mi sueño si existe, estar en la Policía Nacional y Ciberseguridad a la vez.
  • Creo que no es necesario decirlo pero, el peligro de las contraseñas débiles y lo necesario que es una autenticación en dos fases o pasos.
  • Si4Ti, aquella web, consultora de seguridad, donde pude hablar de uno de los temas que más me apasiona, el acoso en las redes y la ingeniería social.
  • He aprendido que un hacker puede ser un padre, un estudiante, un abogado, un policía, un guardia civil, una persona cualquiera, y no, no es necesario la pantalla de Matrix ni la capucha, y si, se recomienda una bombilla.
  • Todo deja rastro, aunque pases una herramienta forense, como nos explica Marcos.
  • Hay personas maravillosas que sacan adelante programas o propuestas para ayudar a la comunidad, como por ejemplo, x1red+segura, de Angel.
A todos ellos y más, miles de gracias ;)