Mapas de Ataques Informáticos DDoS & Malware

El cine ha explotado bastante la figura del hacker, y con esto, el concepto visual y auditivo de los ataques informáticos o las intrusiones a redes corporativas y militares; no les basta el personaje clásico del joven experto en burlar sistemas de seguridad, y para causar la mayor sensación posible de euforia y ciencia ficción, el hacker pasa del mundo real a cometer sus fechorías en mundos paralelos, o derechamente convierten su computadora en una central nuclear. Siendo más precisos, podemos ver esto en películas como The Lawnmower Man (El Hombre del Jardín), en donde el personaje experimenta en la vida real lo ocurrido en un mundo de realidad virtual hasta que lo absorbe por completo, o en la clásica Hackers, en donde Angelina Jolie es mucho más que una cara bonita, sino que una peligrosa y hábil hacker llamada Acid Burn. ¿Pero cómo se puede visualizar un ataque informático siendo lo más realistas posibles, sin caer en lo fantástico? ¿Cómo se ve realmente un ataque informático en tiempo real?

Logstalgia: Website Log Visualization

Logstalgia Website Log Visualization
Logstalgia Website Log Visualization

Logstalgia (también conocido como ApachePong) no es un mapa de ataques informáticos, sino que un software de código libre que permite plasmar en vídeo el comportamiento de un servidor frente a peticiones, utilizando el alma gráfica de Atari Pong. Logstalgia soporta varios formatos estandarizados de access.log utilizados en servidores web Apache y Nginx.

  • https://code.google.com/p/logstalgia/

Y, por supuesto, el sorprendente resultado final:

Mapa de Ataques DDoS

Digital Attack Map, el mapa de ataques informáticos DDoS de Google

Digital Attack Map DDoS of Google
Digital Attack Map DDoS of Google

Google, gracias a la colaboración de  la compañía Arbor Networks, lanzó el sitio web Digital Attack Map, en el cual es posible ver en tiempo real, los ataques DDoS que se realizan a escala mundial. El proyecto fue gestado en Google Ideas, en donde se han surgido otras iniciativas como Network Against Violent Extremism.

  • http://www.digitalattackmap.com/
  • http://www.google.com/ideas/

Mapas de Ataques con Malware

WorldMap3 & Global, los Mapas de Ataques o Infecciones con Malware (Virus) de F-Secure

WorldMap3 Malware or Virusmap of F-Secure
WorldMap3 Malware or Virusmap of F-Secure
Worldmap Virus of F-Secure
Worldmap Virus of F-Secure

La compañía finlandesa F-Secure, basada en los estudios y estadísticas de sus productos y servicios de seguridad informática, publicó dos sitios web en los cuales es posible ver el tracking de amenazas y ataques de las últimas 24 horas en todo el mundo:

  • http://worldmap3.f-secure.com/
  • http://globe.f-secure.com/

Malware Map, el pequeño pero detallista mapa de la multinacional informática Trend Micro

Malware Mapof Trend-Micro
Malware Mapof Trend-Micro

La firma internacional de seguridad informática Trend Micro Inc., fundada en EEUU y con sede central en Japón, permite consultar en línea en uno de sus principales sitios web, un pequeño pero detallado mapa con infecciones por malware a nivel global, con enlaces directos a su propia wiki, una base de datos con nombre y descripción de cada una de las amenazas, además de contar con una simple pero precisa segmentación geográfica de virus por continente.

  • https://imperia.trendmicro-europe.com/us/trendwatch/current-threat-activity/malware-and-vulnerability/malware-map/

Global Virus Map, el mapa de virus poco útil de McAfee

Global Virus Map McAfee
Global Virus Map McAfee

¿Cómo es posible que F-Secure sea capaz de implementar dos mapas útiles sobre infecciones por virus y McAfee no sea capaz de implementar sólo uno? En el sitio web de McAfee es posible consultar un diminuto e inútil mapa sobre supuestas amenazas de seguridad. Ciertamente, el mapa menos preciso y funcional de todos.

  • http://home.mcafee.com/virusinfo/global-virus-map

Mapas de Infecciones & Ataques por Botnet

Radar, el mapa de las redes zombies de la compañía de seguridad anti-DDoS Qrator

Radar Botnet Map by Qrator
Radar Botnet Map by Qrator

Minimalista y completo mapa de redes botnet que además incluye detallada información estadística sobre tasas de infección, como número asignado por bot, país, ISP, cantidad de bots conectados y mucho más, esto significa que dicho mapa puede ser consultado como una importante fuente de estudio.

  • https://radar.qrator.net/botnetmap/

Global Botnet Threat Activity Map, el mapa de Trend Micro sobre redes Botnets

Global Botnet Threat Activity Map by Trend Micro
Global Botnet Threat Activity Map by Trend Micro

Interesante mapa de Trend Micro Inc. sobre redes botnet, en el cual es posible consultar información general sobre los ataques e infecciones:

  • http://www.trendmicro.com/us/security-intelligence/current-threat-activity/global-botnet-map/index.html

Mapas Interactivos de todo tipo de Ciberataques

Globe, el mapa de ataques web e infecciones por malware de AnubisNetworks

Global Map Cyberfeed of AnubisNetworks
Global Map Cyberfeed of AnubisNetworks

Mapa informativo desarrollado bajo una interesante interfaz gráfica que muestra progresivamente las infecciones y ataques localizados en distintos países.

  • http://globe.cyberfeed.net/

IPViking, el mapa de la ciberguerra de la firma Norse

Norse IPViking Map Live Attacks
Norse IPViking Map Live Attacks

Curioso mapa que centra su información en los ataques que se realizan entre países: un registro de la ciberguerra.

  • http://map.ipviking.com/

HoneyMap, el mapa informático de Honeynet Project ¿Qué? ¿Honeypots?

Honeymap of Honeynet Project
Honeymap of Honeynet Project

Sí, Honeynet Project, la organización voluntaria que apuesta por la implementación de honeypots, la detección de amenazas y el intercambio de información sobre seguridad, también tiene un mapa: HoneyMap. Se trata, ni más ni menos, que las estadísticas de ataque a los honeypots que forman parte del proyecto en todo el mundo. ¿Eres de aquellos que ataca lo primero que se les presenta en el camino? Ten cuidado, puedes estar frente a un tarro de miel.

  • http://map.honeynet.org/

Cyber Threat Map, otro mapa de la guerra cibernética, de FireEye

Cyber Threat Map FireEye
Cyber Threat Map FireEye

Similar al mapa IPViking de Norse, este segundo también centra su información en la data de ciberataques entre países:

  • https://www.fireeye.com/cyber-map/threat-map.html

Sicherheitstacho, el mapa de Deutsche Telekom ¿Más honeypots?

Sicherheitstacho of Deutsche Telekom
Sicherheitstacho of Deutsche Telekom

La compañía de telecomunicaciones más grande de la Unión Europea, montó sus propios honeypots y los liberó en diferentes partes del mundo. Así nace este mapa de ataques que realiza un tracking sobre sus tarros de miel.

  • http://www.sicherheitstacho.eu/

Cyberthreat Real Time Map de Kaspersky

Cyberthreat Real Time Map of Kaspersky
Cyberthreat Real Time Map of Kaspersky

Por su funcionalidad e interfaz gráfica informativa, es uno de los mapas de ataques informáticos más conocidos. Es posible ver los ataques en vivo y en directo, mientras puedes navegar por el mundo y seleccionar un país para informarte sobre sus amenazas, ataques o infecciones. Junto a Digital Attack Map de Google, y Radar de Qrator, uno de los mejores mapas sobre ataques informáticos, ya que permiten el acceso a la información de manera más intituiva.

  • https://cybermap.kaspersky.com/

¿Cómo es realmente un ataque informático?

Después de ver cómo es en el cine, cómo se puede plasmar en vídeo, y cómo es inmerso en las estadísticas de diversas compañías y organizaciones, ¿qué tal si vemos un vídeo sobre cómo realmente se realiza un ataque informático? ¡Disfrútalo!

  •  https://media.blackhat.com/us-13/us-13-Grossman-Million-Browser-Botnet.pdf

Guardians of Peace GOP los Hackers de Sony, ¿quiénes son?

El 24 de noviembre de 2014 ocurrió un hecho que fue catalogado de bluff o estrategia de marketing: hackers habían tomado control de diversas computadoras de la compañía norteamericana Sony, al interior de la red corporativa de trabajo. ¿Qué? ¿Cómo? ¿Quién? Guardians of Peace GOP.

Red comprometida

La noticia se dio a conocer después de que empleados de Sony Pictures Entertainment advirtieran que la red de computadoras estaba secuestrada, impidiéndoles trabajar. Sólo era posible ver un macabro mensaje que contenía enlaces de descarga directa con archivos secretos de Sony, incluyendo una advertencia sobre filtración de material secreto a las 11:00 PM del mismo lunes 24:

“Warning: We’ve already warned you, and this is just a beginning.
We continue till our request be met.
We’ve obtained all your internall data including your secrets and top secrets.
If you don’t obey us, we’ll release data shown below to the world.
Determine what will you do till November the 24th, 11:00 PM (GMT).”

Guardians of Peace GOP los Hackers de Sony
Guardians of Peace GOP los Hackers de Sony

Hackeo de cuentas en Twitter

Además de esto, casi de manera simultánea, fueron hackeadas tres cuentas de Twitter relacionadas con la compañía y la difusión de producciones filmográficas: @SoulSurferMovie @StompTheYardDVD @StarTroopMovie Con el siguiente mensaje:

“Hacked By #GOP You, the criminals including Michael Lynton will surely go to hell. Nobody can help you.

@SoulSurferMovie Twitter Hacked by GOP Guardians of Peace
@SoulSurferMovie Twitter Hacked by GOP Guardians of Peace
@StompTheYardDVD Twitter hacked by GOP Guardians of Peace
@StompTheYardDVD Twitter Hacked by GOP Guardians of Peace
@StarTroopMovie Twitter hacked by GOP Guardians of Peace
@StarTroopMovie Twitter Hacked by GOP Guardians of Peace

Emails con exigencias no reveladas

Asímismo los empleados de Sony recibieron correos electrónicos con demandas que de no ser cumplidas impulsarían la filtración de documentos con información financiera y comercial de la empresa, a las 11:00 PM del lunes 24 de noviembre, tal como se veía en las computadoras bloqueadas.

¿Quiénes son Guardians of Peace?

Sobre esto se ha especulado bastante. Desde un comienzo se habló de una estrategia publicitaria para promover producciones cinematográficas de Sony. Otros aseguraron que trabajadores de la firma participaron en el ataque, mientras que también se rumoreaba un supuesto protagonismo de Corea del Norte, con el argumento de que en junio de 2014, el gobierno de Pyongyang declaró (a través de una carta) que consideraba a la película The Interview como “un acto de guerra“.

Tras indagaciones del FBI, el buró federal compartió con Brian Krebs una firma de detección de intrusión realizada con el IDS Snort, a lo cual Brian Krebs publicó en su blog que el lenguaje utilizado en el desarrollo del malware fue el coreano:

“The report also says the language pack referenced by the malicious files is Korean”

Guardians of Peace: ¿Botnet? ¿Ransomware? ¿El Virus de La Policía?

¿Qué es un ramsonware? Según Wikipedia:

Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.”

“Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa MacAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250.000 tipos de ransomwares únicos.”

La primera aparición del ransomware data de marzo del 2011 en Alemania, cuando una plaga de virus informático desconocido hasta ese entonces bloqueaba las computadoras simulando ser la policía alemana.

Con estas descripciones genéricas de ransomware podemos entender con qué malware los hackers de Guardians of Peace infectaron la red informática y corporativa de Sony, para luego robar la información de ésta y bloquear las computadoras. La particularidad destacada del ransomware de Guardians of Peace es que se trata además, a todas luces, de una Botnet indetectable y altamente sofisticada, ya que permite copiar o transferir grandes cantidades de archivos de forma remota mediante protocolos como FTP, e infectar completamente redes de computadoras comunes, y servidores. Estamos, por tanto, frente a un potente malware desarrollado bajo ambientes militares, que probablemente se propaga con características de gusano, ya que una compañía como Sony debe tener altos estándares y políticas de seguridad que permiten descartar de antemano un ataque de Ingeniería Social con phishing.

Al respecto, el mismo lunes 24 de noviembre, tras el ataque a Sony, el FBI emitió una alerta a las empresas de Estados Unidos, hablando sobre un poderoso virus que era capaz, entre otras cosas, de borrar por completo un disco duro, y que se trata de un malware con potencial para poner en jaque a los sistemas informáticos de ese país.

En desarrollo.

Guardians of Peace Christmas gift for Michael Lynton

The 1st day of Christmas gift: This is the beginning

by GOP

Notice

We have already promised a Christmas gift to you.
This is the beginning of the gift.

Please send an email titled by “Merry Christmas” at the addresses below to tell us what you want in our Christmas gift.
emma.brooks-0oc6m7bl@yopmail.com
marc.parker-1ojn2dp2@yopmail.com
axel.turner-4oqbyjui@yopmail.com
rose.martin-boz2uaul@yopmail.com
rose.martin-0o7jacx4@yopmail.com

Warning

We will clearly show it to you at the very time and places “The Interview” be shown, including the premiere, how bitter fate those who seek fun in terror should be doomed to.
Soon all the world will see what an awful movie Sony Pictures Entertainment has made.
The world will be full of fear.
Remember the 11th of September 2001.
We recommend you to keep yourself distant from the places at that time.
(If your house is nearby, you’d better leave.)
Whatever comes in the coming days is called by the greed of Sony Pictures Entertainment.
All the world will denounce the SONY.

Christmas gift: Michael Lynton
Password: diespe123

http://www.mediafire.com/download/ruybemwauscqcz2/mlynton.rar.torrent
http://filenuke.com/f/OXVgaa6
http://rmdown.com/link.php?hash=14305a5d7d2980e3f6e4a3627971bf21c0f5aaba703
http://www.uploadable.ch/file/FWa7V3fmCach/mlynton.rar.torrent
http://180upload.com/8nnfi3newqeq

Previous Torrents
http://www.mediafire.com/download/o86cvept53a806o/s0ny-old.zip
http://filenuke.com/f/3pqX4o6
http://www.uploadable.ch/file/5aTd2wN37Tgb/s0ny-old.zip
http://180upload.com/5xq113evi1fx

https://friendpaste.com/5spgSLCA5DN9T7ZHtftfsK

SONY MOVIE SCRIPTS.zip FREE DOWNLOAD!!!

https://volafile.io/r/PN53Ju
http://fileb.ag/l3w5uoo97f23

Uso de dominios para SEO Black Hat

El uso de dominios web para estrategias de SEO black hat:

  • Con buen PR o algo de PR.
  • Variación de sintaxis.
  • Diferente extensión para el nombre de dominio de una marca.
  • Suplantación del nombre de una marca.
  • Explotación de acontecimientos sociales o políticos importantes.
  • Posicionamiento orgánico de una URL por debajo de una marca.

Dominios con autoridad

Google PageRank™
Google PageRank™

La compra de un dominio expirado y con buen PageRank que luego se redirecciona a otro, genera el traspaso de link juice y todo el tráfico de dicho dominio: aumentamos la autoridad de un dominio con otro y también el flujo de visitantes, independiente de si se trata o no de un público objetivo. No obstante, ¡mucho cuidado! Siempre se debe realizar un estudio exhaustivo sobre el dominio que se adquiere para no vincular nuestro target final con enlaces spam, atributos nofollow, mala reputación en Internet y un sin fin de variantes que podrían llevar a tu marca por una odisea sin retorno que sólo te hará perder dinero, tiempo y ánimo.

Otro uso práctico de la compra de dominios caducados es la implementación de sitios web, splogs, o directorios, ¡con el objetivo de generar contenido y una buena cantidad de enlaces a nuestro target!

Algunas herramientas o aplicaciones web conocidas para encontrar dominios caducados: ExpiredDomains.net y RegisterCompass.com

En mi opinión, haría un estudio de linkbuilding sobre las marcas más conocidas a nivel local o según algúna industria específica para tirar del hilo de los tejidos de enlaces y encontrar un dominio fuera de uso con buen PageRank o una buena cantidad de links entrantes hacia él.

Variación de sintaxis

Juegos de sintaxis en la compra de dominios
Juegos de sintaxis en la compra de dominios

La sintaxis de una marca es algo que Google se toma muy en serio, al punto de que es capaz de llevar a la justicia a todo aquel que use esta técnica. Así podemos ver cómo, en el caso de Chile, por ejemplo, los dominios Gugul.cl y Googles.cl (y una larga lista de variaciones de sintaxis) son de propiedad de Google Inc.

Obviamente, siempre existen excepciones a la regla: a la fecha de publicación de este artículo, los dominios Gooogle.cl y Gogole.cl son de propiedad de personas y/o empresas aparentemente no ligadas a Google.

Pero, ¿cuál es la importancia de utilizar  juegos de sintaxis en la compra de dominios basándose en los nombres de marcas conocidas? Según la plataforma oficial de Google para estadísticas de search, la palabra “Gogole” tiene un promedio de 5.400 búsquedas mensuales, mientras que “Gooogle”, la interesante cantidad de 14.800 búsquedas al mes. Es decir, imaginen la cantidad de tráfico que se recibe tan sólo por escribir mal “Google” en el navegador…

Extensión de dominio y suplantación de marca

Nombres de Dominio
Nombres de Dominio

A propósito de SEO black hat para robar tráfico por la compra de un dominio similar al de una marca, hace poco detuvieron en España por infringir derechos de autor, a los fundadores y administradores de Seriespepito.com y Peliculaspepito, sitios desde los cuales se podía ver y descargar cientos o quizá miles de series de TV y películas. Poco antes de la detención, fueron suplantados por una copia, Seriespepiton.com dominio que ya fue dado de baja; sólo quedó el recuerdo de la copia en Facebook: https://www.facebook.com/seriepepito (el original es https://www.facebook.com/SeriesPepito)…

Acabo de consultar el dominio Seriespepito.cl y está disponible…

Explotación de acontecimientos sociales o políticos

Mundial de Fútbol FIFA Rusia 2018
Mundial de Fútbol FIFA Rusia 2018

¿Está por ocurrir un evento deportivo importante ? ¿Elecciones presidenciales? ¿Qué tal si te adelantas a los acontecimientos de gran flujo de personas y compras un dominio relacionado? Claro, requiere trabajo montar la web Presidenciales2020.cl pero imagina la cantidad de tráfico que podrías derivar a redes sociales, o imagina la buena posibilidad de usar esa web para exposición de anuncios publicitarios…

Posicionamiento de URLs debajo de otro dominio

Doble de Mario Moreno "Cantinflas"
Doble de Mario Moreno “Cantinflas”

¿Y si no tenemos dinero para comprar dominios o en cambio queremos hacer algo similar con algún dominio que ya tengamos? Es un juego de palabras o un eufemismo quizás para no hablar de “colgarse de la fama” de una persona o compañía. Pero es SEO black hat, así que, ¿que más da?

Pues bien, esta técnica, a diferencia de las otras, está enfocada exclusivamente a especialistas SEO como yo, porque se requiere de amplios conocimientos, experiencia, recursos, medios y herramientas para crear un path optimizado en base al nombre de un famoso o de una compañía, para luego posicionarlo justo por debajo de las URLs oficiales, con el objetivo de captar tráfico para nuestros propios fines.

Si tienes mente crítica enfocada al marketing en Internet habrás pensado en campañas de reputación online en motores de búsqueda. Y déjame decirte que sí, estás en lo correcto: esta técnica se usa además, para limpiar o enlodar la reputación de personas y empresas.

¿SEO Black Hat o White Hat?

Ten en cuenta que después de todo lo mejor es trabajar siempre en base a SEO white hat, aunque requiera más esfuerzo y tiempo, ya que este método entrega resultados positivos que tienden a ser permanentes o más duraderos. En cambio, el SEO black hat es una solución rápida a situaciones de necesidad o crisis, y que está dedicada casi 100% a especialistas SEO que sabemos cómo manejar estas situaciones y técnicas sin caer en el spam. El SEO black hat no es apto para principiantes, y tampoco para cardíacos.

Banco Estado, el banco menos seguro de Chile

Nota, 26 de marzo 2015.

Después de la publicación de las vulnerabilidades en Banco Estado, se generaron trifulcas en las que, obviamente, no participé: el banco, por ejemplo, amenazó con demandarme, al mismo tiempo que desmintió las fallas en su aplicación web. Curiosamente (para el bien de todos sus clientes), las falencias desaparecieron y aplicaron diferentes y adicionales maneras de autenticación. ¿Coincidencia? Como disloque, un anónimo, días después del disclosure, aplicó las vulnerabilidades con algo de cosecha propia (logrando un interesante bypass de login), para luego grabarlo y publicarlo en Youtube, demostrando con esto que la información publicada en aquel reporte era 100% real y explotable, tirando por el suelo los estudios paralelos a base de ignorancia. A saber: http://utb.cl/NLjh4

******************

Motivado por un aviso de publicidad en Banco Estado para descargar el software Detect Safe Browsing, advertí graves vulnerabilidades por medio de las cuales Banco Estado ha expuesto durante varios meses las cuentas bancarias de todos los clientes Cuenta RUT (y probablemente otros tipos de cuentas). Banco Estado ha roto todas las políticas de privacidad y protección de manera increíble.

Descarga desprotegida & XSS

Detect Safe Browsing de Easy Solutions INC fue el punto de partida, ya que es una aplicación supuestamete exclusiva para clientes de Banco Estado, accesible sólo por medio de una cuenta de usuario, pero en la práctica se puede descargar sin sesión. Incluso, podemos ver cómo dicha URL ya ha sido objeto de explotación para ataques tipo XSS (Cross-site Scripting), según los resultados de búsqueda y la caché de Google. Pero no es lo peor, ¡esto es sólo el comienzo! Toma tu cuenta RUT y partir de ahora guárdala.

URL para descarga de Detect Safe Browsing, de Easy Solutions INC
URL para descarga de Detect Safe Browsing, de Easy Solutions INC

Fuzzing & SQL Injection

Fue entonces cuando decidí volver a ingresar con mi cuenta de usuario al sitio de Banco Estado para poner esta vez más atención en el funcionamiento de la interfaz web, logrando advertir que es posible, por medio de fuzzing, acceder a planillas de uso interno del banco. Para mi sorpresa, además, en cada cambio de acceso la nueva URL arroja un número en el extremo superior izquierdo, mostrando de esta forma que además de fuzzing es vulnerable a ataques de SQLi (SQL Injection).

Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado

Exposición de base de datos de clientes

De manera extraordinaria, también es posible acceder a la base de datos completa de personas y empresas que han obtenido devoluciones de dinero, filtrando así números de cuentas, nombres completos y dineros de cientos o quizá miles de usuarios y compañías en Chile:

Exposición de base de datos de clientes
Exposición de base de datos de clientes

Cambios arbitrarios de datos y contraseñas

Como si fuera poco, aunque parezca increíble, es posible “actualizar” los datos de cualquier cliente sin tener la contraseña y sin acceder bajo una sesión de login:

Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado

Y para colmo, no sólo es posible cambiar arbitrariamente los datos de los clientes, sino que además podemos resetear la contraseña de acceso web de todas las Cuentas RUT. Increíble, pero cierto.

Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado

XSS, Inyección de HTML & Ataques de Ingeniería Social

Como han de imaginarse, mi asombro era gigante. Sin embargo, quedé con la boca abierta al percatar que después de todo lo anterior, ¡podía modificar la web! Así es, señoras y señores, el sitio de Banco Estado es tan crítico, que se puede armar un buen plan de Ingeniería Social para realizar un ataque masivo a nivel nacional con el objeto de robar contraseñas de tarjetas bancarias. ¿Cómo? Facil, inyectando un payload acorde a la web en donde se realice un call to action para que la víctima haga click sobre él y lo lleve a una web de phishing a través de la misma página web oficial. ¡Una mina de oro para carding!

Ingenieria Social & Robo de contraseñas de tarjetas Banco Estado
Ingenieria Social & Robo de contraseñas de tarjetas Banco Estado

Conclusión

¿Se justifican los cobros de la Cuenta RUT, sabiendo que, cualquier cracker podría explotar esta información para fines criminales? Un banco tan grande como este, ¿tiene equipo dedicado a los quehaceres propios de la seguridad informática? Francamente, si la aplicación web es así, no quiero imaginar sus sistemas o redes y menos aún los servidores… Es más, ¿de qué sirven sus certificados de seguridad SSL?

Hasta que Banco Estado no arregle todo esto, es recomendable, a todas luces, no usar la Cuenta RUT, guardarla por un buen tiempo, o buscar un banco más seguro.

Saludos y recuerda que… La seguridad en Internet es un mito, porque el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Si no me crees, pregúntaselo a la NSA.

SEO & HTTPS, el nuevo giro de Google para ranking en los SERP

Webmaster Central Blog de Google
Webmaster Central Blog de Google

Después del nuevo anuncio sobre el giro de Google en los SERP, relacionado con el uso de HTTPS, se ha comenzado a decir cosas como “Google, comercializará, entonces, certificados SSL, de hecho, ya comenzó a vender dominios en EEUU”; “Google comercializa diversos servicios con su programa Google Apps, no sería extraño que añadiera certificados SSL”. A esto podemos añadir los artículos en contra o con desdén que han publicado consultores SEO y agencias de marketing digital, subestimando el quid del asunto; y las noticias grandilocuentes de diversos canales online hablando casi, acerca de la nueva panacea en el SEO. Pero, ¿cuál es la verdad? ¿Qué dijo exactamente el equipo de Google sobre esto?

De manera simultánea, el 6 de agosto del 2014, Zineb Ait Bahajji y Gary Illyes, publicaron tanto en el blog central para webmasters como en el blog de seguridad online, el artículo “HTTPS es una señal de ranking“. Analicemos:

“La seguridad es una prioridad máxima para Google. Invertimos mucho en asegurar que nuestros servicios utilicen la seguridad líder en la industria, como una fuerte encriptación HTTPS por defecto. Esto significa que las personas que usan las búsquedas, Gmail y Google Drive, por ejemplo, tendrán automáticamente una conexión segura a Google”. Hace algún tiempo, Google comenzó una suerte de plan tácito y estratégico que no ha sido establecido de manera seria, pero que en la práctica se lleva a cabo como uno de sus pilares: la seguridad informática. Fue así como Google dio inició a su programa programa de recompensas por alerta y denuncias de vulnerabilidades, más conocido como Google Vulnerability Reward Program (VRP). Al mismo tenor vemos hoy cómo a través de las herramientas para webmaster de Google, es posible detectar, monitorear, y salvar (en la medida de los posible, por supuesto), sitios web que han sufrido intrusiones o ataques de crackers.

Google Vulnerability Reward Program (VRP)
Google Vulnerability Reward Program (VRP)

“Más allá de nuestras propias cosas, también trabajamos para hacer de Internet un lugar ampliamente más seguro. Gran parte de eso es asegurándose que las personas accedan a sitios web seguros desde Google. Por ejemplo, creamos recursos para ayudar a los webmasters a prevenir y corregir brechas de seguridad en sus sitios”. Sin embargo, a pesar de los intentos de Google por entregar a los usuarios una experiencia de navegación altamente segura y de calidad, hay aspectos graves que escapan a sus intenciones. Heartbleed, por ejemplo, es uno de esos aspectos.

“Queremos ir más allá. Hace unos meses, en Google I/O, hicimos un llamado al «HTTPS en todas partes» de la web”. Todos sabemos que, al estilo de Apple, Microsoft y otras compañías, Google realiza grandes conferencias y eventos para hacer públicos nuevos productos, servicios y programas, por lo que, lo del uso de HTTPS se veía venir.

“También vemos más y más webmasters adoptando HTTPS (también conocido como HTTP sobre TLS, -Transport Layer Security, en inglés-, algo así como “Seguridad en la Capa de Transporte”, en español) en sus sitios, lo cual es alentador”. A medida que las tecnologías avanzan, también lo hace el mundo del cracking. De esta forma, progresivamente, se ha ido implementando SSL incluso en sitios web que no obedecen a lógicas online de transacciones monetarias, sólo con el fin de aumentar su seguridad frente a ataques informáticos.

Matt Cutts "Reading HTTPS as a Ranking Signal"
Matt Cutts “Reading HTTPS as a Ranking Signal”

“Por estas razones, los últimos meses realizamos pruebas teniendo en cuanto si los sitios web usan seguridad: conexiones cifradas son una señal en nuestros algoritmos de clasificación en las búsquedas. Hemos visto resultados positivos, por lo que estamos empezando a utilizar HTTPS como una señal de clasificación. Por ahora es sólo una señal de peso muy ligero (afecta a menos del 1% de las consultas globales, y lleva menos peso que otras señales, como el contenido de alta calidad) mientras damos tiempo a los webmasters para cambiar a HTTPS. Pero con el tiempo, podemos fortalecerla, porque nos gustaría animar a todos los propietarios de sitios web a cambiar de HTTP a HTTPS para mantener a todos a salvo en la web”. Es acá en donde yace la médula de la discusión, porque, efectivamente, usar HTTPS sí mejora la clasificación de los sitios web en los resultados de búsqueda, aunque sólo por ahora, a menos del 1% de las consultas. Además, advierten que, en un futuro no muy lejano, el uso de HTTPS será una señal importante y adicional en todos los factores que se contemplan a la hora de la optimización web. Sin embargo, dejan en claro que, mientras este cambio no se realice, el contenido de calidad es un factor poco más preponderante, repito, “mientras damos tiempo a los webmasters para cambiar a HTTPS”.

“En las próximas semanas, publicaremos detalladas las mejores prácticas para hacer más fácil la adopción de TLS, y para evitar errores comunes. Aquí hay algunos consejos básicos para empezar:

  • Decida el tipo de certificado que necesita: simple, multi-dominio, o el certificado especial (comodín o wildcard).
  • Use certificados de clave de 2048 bist.
  • Use URLs relativas para recursos que residen en el mismo dominio seguro.
  • Urls relativas en el uso del protocolo en todos los otros dominios.
  • Revise nuestro artículo sobre traslado de un sitio con cambio de URL para más directrices sobre la manera de cambiar la dirección de su sitio web.
  • No bloquee su sitio HTTPS para la indexación de los motores de búsqueda usando Robots.txt
  • Permita la indexación de las secciones de su sitio web por los motores de búsqueda siempre que sea posible. Evite la metatag noindex”.

“Si su sitio web ya usa HTTPS, puede probar su nivel de seguridad y configuración con la herramienta Qualys Lab. Si está preocupado por el TLS y el rendimiento de su sitio, eche un vistazo a Es rápido aún el TLS? Y, por supuesto, si tiene preguntas o inquietudes, siéntase libre de escribir in nuestro foro de ayuda a webmasters”.

“Esperamos ver más sitios web usando HTTPS en el futuro. ¡Hagamos todos la web más segura!”. Y para terminar, entregan tips y links hacia guías de migración de HTTPS a HTTPS, dando por hecho algo que ya ha tomado su curso, seria, técnica e irrevocablemente.

Entonces, ¿es importante para el SEO el uso de HTTPS? Sí, lo es, aunque su importancia es baja, y su implementación formal somo señal importante será dentro de algún tiempo indefinido.

La implemetación de HTTPS o la migración de HTTP a HTTPS será objeto de otro artículo, así que, la pregunta más importante, ahora, es: ¿quieres añadir un factor más a tu clasificación o posicionamiento en los resultados de búsqueda? Usa SSL a partir de ahora, sin excusas. 

Detalles:

  • Qué es el HTTPS: http://es.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure
  • Artículo en el blog para webmasters de Google: http://googlewebmastercentral.blogspot.com/2014/08/https-as-ranking-signal.html
  • Artículo en el blog de seguridad online de Google: http://googleonlinesecurity.blogspot.com/2014/08/https-as-ranking-signal_6.html
  • Programa de recompensas de Google: http://www.google.com/about/appsecurity/reward-program/
  • Hacking en webmaster tools: http://www.google.com/webmasters/hacked/
  • Reporte de bugs a Google: https://www.google.com/appserve/security-bugs/m2/new?rl=&key=