Conspiración en la red

EN LA RED
Carlos Mesa inicio >

INTRODUCCIÓN
CONSPIRACIÓN EN LA RED
• El robo de información personal, la invasión a espacios privados y la expansión de
información interesada se han convertido en las grandes amenazas a través de las
nuevas tecnologías.
• En los comienzos de internet, los primeros hackers se dedicaban a demostrar
que podían saltarse los cortafuegos y acceder a servidores protegidos por el
mero hecho de demostrar que lo podían hacer, de «presumir» ante la comunidad
hacker. Ahora es diferente. «Detrás del cibrecrimen hay mafias. Y se ha
demostrado la intervención de los estados detrás de algunos ataques», asegura el
director del Centro Nacional de Excelencia en Ciberseguridad.
• Los usuarios no valoran lo que supone que todos sus datos estén circulando en la
Red. Ni se dan cuenta del riesgo que corren con determinadas actitudes.
• En 2012 un 46% de los internautas adultos fue víctima de un ataque informático.
• En 2014, el CERT (Centro de Respuesta a Incidentes de Seguridad
Cibernética (CERT), ubicado en León) resolvió unos de 18.000 incidentes de
ciberseguridad y generó más de siete millones de notificaciones relativas a
direcciones infectadas y a dominios comprometidos, tal y como informó el
secretario de Estado de Seguridad, Francisco Martínez. Además añadió que las
Fuerzas y Cuerpos de Seguridad del Estado han conocido, entre delitos y faltas,
unos 50.000 casos de criminalidad informática, casi un 18% más que en
2013informática, casi un 18% más que en 2013.

ROBOS DESDE EL MÓVIL
CON NFC (I)
• ¿Qué te parece si te digo que desde ya, ahora mismo, sólo por el mero
hecho de tener habilitado el sistema de pagos desde tu teléfono móvil,
te pueden robar todas tus credenciales bancarias y hacer pagos con tu
tarjeta de crédito?
• ¿Tienes activado Samsung Pay o Apple Pay? BBVA Wallet, el sistema
Contactless de La Caixa, Bizum, Twyp, diversos nombres para activar el
sistema NFC de pagos por móvil. Y es que si lo tienes activado eres un
verdadero inconsciente, llevas puesto en la frente que quieres que te
roben.
• Rápido, mira en los ajustes de tu teléfono móvil si el NFC está activado.
Y si es así, ni lo dudes, ¡desactívalo ya!
• Un móvil con NFC es lo único que se necesita para acceder de forma
completamente legal a todos los datos de una tarjeta de crédito o
débito contactless. A través de una aplicación disponible en la tienda
de Google Play, nuestro móvil puede servirnos para obtener en
cuestión de un par de segundos todos los datos de una tarjeta de
crédito/débito Visa, MasterCard o American Express (entre muchas
otras). Esos datos incluyen no solamente el número o la fecha de
caducidad, sino también las últimas transacciones que se han realizado
con la tarjeta en cuestión.

CON NFC (II)
• Para comprobar la información que deja tras de sí nuestra tarjeta, lo único que
necesitamos es un teléfono inteligente con Android que disponga de la
conectividad de NFC, así como también una tarjeta contactless de crédito o débito
(las contactless son las tarjetas en las que aparece un icono con varias líneas
curvadas). A partir de ahí, la información que seremos capaces de obtener
sorprenderá a más de uno.
• Lo primero que debemos hacer para acceder de forma inalámbrica a los datos de
nuestra tarjeta es descargar desde Google Play la aplicación de Lector de tarjetas
NFC (EMV). Se trata de una aplicación completamente gratuita compatible con
cualquier móvil que disponga de Android 4.0.3 o superior, y su función no es otra
que la de acceder a todos los datos de nuestra tarjeta de crédito o débito de forma
inalámbrica.
• Una vez instalada, abrimos la aplicación. Lo primero que veremos que se nos
muestra en la pantalla es una indicación con el texto de “Mantenga su tarjeta de
pago NFC a la parte posterior del teléfono“, lo que nos viene a decir que
acerquemos nuestra tarjeta contactless a la parte trasera del teléfono.
• Tan solamente un segundo después de haber acercado el móvil a la tarjeta, la
aplicación nos mostrará en la pantalla el número de nuestra tarjeta de
crédito/débito, la fecha de caducidad y el número de intentos restantes para
introducir el PIN. Hasta ahí nada fuera de lo común, ¿verdad?

CON NFC (y III)
• Tan solamente un segundo después de haber acercado el móvil a la tarjeta, la aplicación nos mostrará en la pantalla
el número de nuestra tarjeta de crédito/débito, la fecha de caducidad y el número de intentos restantes para
introducir el PIN. Hasta ahí nada fuera de lo común, ¿verdad?
• Pero, si nos dirigimos al apartado de “Transacciones“, lo que veremos es nada menos que un listado con todos
nuestros últimos pagos realizados desde la tarjeta. Sin haber indicado en ningún momento nuestro PIN, resulta que
la aplicación es capaz de acceder al historial de todos los pagos que hemos realizado a través de la tarjeta.
• Lo curioso es que hemos detectado que el chip NFC se encuentra debajo de la pegatina original de la batería de
nuestro teléfono. Así que, si tu batería no es original, no suele funcionar el pago NFC. Si el teléfono es Samsung, el
NFC se encuentra en la parte inferior de la batería. Y por allí es donde hay que pasar la tarjeta de crédito.
• Alguno puede pensar… se requiere entonces la proximidad de una tarjeta de crédito al teléfono para que te puedan
robar los datos bancarios. Cierto, pero…
• Si un manitas consigue adaptar una de estas antenas NFC a su móvil (https://es.aliexpress.com/w/wholesale-nfc-
antenna.html), el teléfono sería capaz de leer chips NFC a unos cuantos metros de distancia. ¿Y para qué sirve esto?
• Fácil, el cibercarterista sólo tendría que sentarse en el metro y esperar. Cientos de personas, cientos de tarjetas de
crédito, probablemente decenas de personas con el NFC activado en su teléfono móvil. En menos de una hora, el
cibercarterista podría tener a su disposición unas cuantas tarjetas de crédito, listas para poder cometer todo tipo de
crímenes y fechorías en Internet, así como unas cuantas compras que dejarían a cero las cuentas bancarias de los
afectados.
• La aplicación Lector de tarjetas NFC (EMV) la puede adquirir cualquiera, de forma gratuita,
desde https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard&hl=es

BLANQUEO DE DINERO
CON BITCOIN (I)
• Sabemos que el dinero en efectivo desaparecerá.
• La moneda digital, que ha sido criticada como un vehículo para traficantes de
drogas y evasores de impuestos, superó a todas las monedas en competencia con
una subida del 125% en su valor en 2016.
• El Bitcoin ha alcanzado su mayor valor en los últimos tres años por encima de mil
dólares, la unidad. Un Bitcoin en la actualidad vale más de 1.000 euros.
• La creciente guerra contra el efectivo y los controles de capital está haciendo que
Bitcoin se vea como una alternativa viable. La moneda se utiliza para mover el
dinero a todo el mundo de forma rápida y anónima y está libre de control de
cualquier banco central o gobierno, por lo que es atractivo para aquellos que
quieren superar los controles de capital.
• A nuestra Hacienda española les molesta que el personal disponga de billetes de
quinientos euros pero no puede controlar una aplicación en un móvil, o una
cuenta cifrada de Internet, que permita disponer de una cuenta irregular, no
controlada por Banco Central alguno. Y no es un sueño. Ya puede hacerse. Porque
el Bitcoin, como moneda virtual descentralizada, no está controlada ni por
gobiernos ni por corporaciones bancarias. Así que imagínate de sus posibilidades.
• Es por eso que la Unión Europea está tratando de acabar con el anonimato de los
Bitcoin, intentando que se legisle para identificar a los usuarios que realicen
transacciones.

BLANQUEO DE DINERO
CON BITCOIN (II)
• Bitcoin es la moneda virtual de los hackers. ¿Te interesa? ¿Ahora sí estás
convencido de querer comprar Bitcoin para usarlos en tu quehacer diario?
• El problema radicaba, hasta ahora, en los sitios o comercios que admitían esta
criptomoneda. ¿Pero se puede usar en cualquier pueblo de España el Bitcoin? ¿Y si
te digo que sí?
• El Bitcoin es una moneda virtual, algo intangible y que no podrás tocar.
• El Bitcoin no es como el dinero que puedes tocarlo en forma de billetes, si bien el
dinero cuando está en el banco no son más que números. Y ahí radica el cómo
poder usar estos números en la vida real.
• Te voy a recomendar una aplicación de Smartphone llamada Xapo para que
comiences a usar tus Bitcoin. La encontrarás en Google Play.
• ¿Qué es Xapo? Xapo es un monedero Bitcoin donde podrás guardar tus
criptomonedas.
• El funcionamiento de Xapo es similar a PayPal, donde enviamos dinero a través del
correo electrónico, mientras que Xapo lo que utiliza es una dirección Bitcoin (una
dirección única).
• La dirección de tu cartera Xapo está encriptada y puedes crear varios
“monederos”, transferir fondos entre ellos y enviar a los demás usuarios los
Bitcoin, usen Xapo, o no.
https://xapo.com/

BLANQUEO DE DINERO
CON BITCOIN (III)
• Xapo cuenta con varias carteras (wallets) para que puedas diversificar
tus Bitcoin. Hay dos tipos de wallets:
• Monedero Xapo: aquí tendrás los Bitcoin que tienes accesible las 24
horas del día en cualquier día del año.
• Bóveda: la caja fuerte de Xapo, donde estos Bitcoin no se pueden
gastar y no están disponibles. Para pasar tus Bitcoin de la bóveda hacia
el monedero Xapo, deberás pasar unos controles de seguridad y
esperar un plazo de 48 horas para verlos disponibles.
• La Bóveda asegura tus Bitcoin ante un posible robo de identidad,
puesto que hay que esperar un tiempo para que tus Bitcoin salgan de la
caja fuerte; y en caso de hackeo, podrás reaccionar en ese lapso de
tiempo.
• Los Bitcoin asegurados de Xapo se encuentran en los Alpes Suizos. Xapo
posee un satélite que monitorea la seguridad de la red Xapo.
• Xapo es fácil de usar, pero para empezar a utilizarlo deberás verificar tu
cuenta. Es sencillo, sólo tendremos que verificar nuestro móvil y
rellenar un pequeño formulario. No hace falta subir identificación
(documento de identidad) ni ninguna cosa más para empezar a utilizar
Xapo.
• En el apartado Monedero encontrarás varias opciones.

BLANQUEO DE DINERO
CON BITCOIN (y IV)
• Mi dirección: aquí encontrarás la dirección de tu monedero. Si alguien
quiere enviarte Bitcoin deberá introducir la dirección que te saldrá ahí,
será algo parecido a 175hTb3fAV5ZDhDZxDWkyYxg7JxqP2ZdSA
• Transferir: podrás mover dinero entre tu monedero Bitcoin y tu bóveda
(caja fuerte). Recuerda que la caja fuerte es una manera de tener tus
Bitcoin a salvo; estarán bajo seguridad y para sacarlos hay que esperar
un plazo de 48 horas y verificar que eres el dueño de la cuenta Xapo.
• Enviar: aquí podrás enviar Bitcoin a la cuenta que quieras. Sólo
selecciona la cantidad y la dirección Bitcoin de destino.
• Comprar Bitcoin: arriba a la derecha encontrarás un botón donde pone
“comprar bitcoins”. Podrás comprar Bitcoin a través de una
transferencia bancaria. La comisión de Xapo es del 1%.
• Solicitar tarjeta: en la parte superior izquierda del apartado Monedero,
podrás solicitar la tarjeta de débito Xapo, uno de los puntos fuertes de
este monedero.
• Se puede utilizar la tarjeta Xapo en cualquier negocio del mundo, ya
que funciona como una tarjeta de débito más.
• Es decir, adquieres Bitcoin que son inrrastreables, blanqueas dinero
para que Hacienda no lo controle, y luego lo usas poco a poco con tu
tarjeta de débito Xapo.

CLONADO DE TARJETAS (I)
• Contactless Infusion X5 es el primer sistema de clonado de tarjetas bancarias sin
contacto vendido en el mercado negro. Este producto ha sido diseñado y
desarrollado por The CC Buddies.
• El Contactless Infusion X5 es capaz de detectar y leer CUALQUIER tarjeta de banco
a sólo 8 centímetros de distancia.
• Es capaz de leer aproximadamente 15 tarjetas bancarias por segundo.
• Contactless Infusion X5 capta los datos cifrados de cualquier tarjeta bancaria y una
vez descargado a través del software The CC Buddies al ordenador, descifra
automáticamente los datos y extrae el número de la tarjeta bancaria, la fecha de
caducidad y en algunas tarjetas también puede proporcionar el nombre del titular
de la tarjeta, dirección y otros datos sensibles.
• Con los datos extraídos desde Contactless Infusion X5, podrás volver a escribir los
datos en las tarjetas en blanco (también proporcionadas por esta empresa) con el
software.
• Por tanto, cuidado de las tarjetas de crédito NFC. Abstenerse de entregarla a un
camarero y que luego vuelva con la tarjeta, pues podría haberla clonado.
• Cualquier pago con tarjeta de crédito NFC se tiene que hacer a la vista y lejos de
cualquier aparato sospechoso que no sea el propio lector del banco.
• Compra de Contactless Infusion X5 desde:
http://theccbuddies.com/contactless_infusion_X5.html

CLONADO DE TARJETAS (y II)
• ¿Cómo utilizar los datos de la banda
magnética de una tarjeta sin tener una
tarjeta en donde copiarlos? Fácil: utiliza
MagSpoof.
• Es un dispositivo que usa un electroimán
simulando ser la barra magnética de una
tarjeta. Claro está: previamente hay que
haber guardado los números contenidos
en la banda de la tarjeta que se quiere
explotar.
• MagSpoof es un dispositivo que puede
engañar / emular cualquier banda
magnética o tarjeta de crédito. Puede
funcionar "inalámbricamente", incluso en
lectores estándar de tarjetas magnéticas
/ tarjetas de crédito, generando un fuerte
campo electromagnético que emula una
tarjeta de banda magnética tradicional.
• https://samy.pl/magspoof/

INSTAGRAM Y LA VENTA DE
IMÁGENES (I)
• “Una máquina de vending que siempre tiene cola.” Más o menos así presenta la empresa
FotoNota su singular quiosco pensado para imprimir las imágenes compartidas en
Instagram. Las nuestras o las de cualquier usuario de la red social.
• Porque ahí radica el problema. Y es que los usuarios de Instagram se han encontrado con
esta máquina de impresión ya activa en algunos centros comerciales de Madrid y Barcelona.
• No es necesario ingresar nuestros datos de usuario en este quiosco para acceder a todas las
fotos de Instagram. Basta con conocer el nombre o hashtag de cualquier usuario o hacer una
búsqueda mediante etiquetas para poder encargar una copia impresa de cualquier foto
compartida por cualquiera en la red social.
• ¿Es esto legal? ¿Es posible que cualquiera pueda usar tus fotos, imprimirlas, y usarlas como
le dé la gana?
• Sí, es legal. Los derechos de autor ya quedan claros cuando aceptas las condiciones de
Instagram al colgar las fotos en esta red social, perteneciente a Facebook.
• Esto es lo que dice Instagram/Facebook sobre los derechos de autor: "Ten presente que el
hecho de que aparezcas en una fotografía no te confiere derechos de autor sobre la misma".
• Y no, lo sentimos, no vale ese viral del cuento sobre que si indicas mediante texto que tus
fotos no sean usadas, Instagram/Facebook no lo hará. Se trata de un viral falso. La única
realidad imperante es que cuando aceptas registrarte a Instagram/Facebook estás dando tu
consentimiento para que tus datos y fotografías sean utilizados.

INSTAGRAM Y LA VENTA DE
IMÁGENES (y II)
• A nivel gráfico se reconoce al Copyright © por el uso de
un símbolo regulado según el artículo 146 del Real Decreto Legislativo 1/1996.
• Instagram y Facebook no colocan por defecto el copyright tuyo.
• Para que no vulneren el copyright puedes generar tu propia marca de agua a la
hora de subir la foto.
• En las redes sociales funcionan las mismas condiciones legales sobre los
derechos de autor de las imágenes que en cualquier otro sitio de Internet,
además de las propias normas de uso de cada una de esas plataformas sociales.
• Esto significa que en caso de vulneración de la propiedad intelectual de esas
imágenes o de los derechos de autor de las fotografías en redes sociales,
además de la posible denuncia del autor, podríamos encontrarnos con
sanciones que vayan desde la retirada de la publicación o mensaje hasta la
expulsión del usuario de esa plataforma social.
• No hay que olvidar que cuando participamos en redes sociales lo estamos
haciendo en casa de un tercero, y el dueño es quien pone las normas.
• Por tanto, antes de subir las fotos a Instagram o cualquier red social lo que hay
que hacer es añadir la marca de agua o copyright.
• Aplicación recomendada Add Watermark:
https://play.google.com/store/apps/details?id=com.androidvilla.addwatermark

CREACIÓN DE CUENTAS FALSAS
EN CUALQUIER RED SOCIAL
• Se pueden crear cuentas de correo
falsas con un simple clic de ratón, sin
necesidad de rellenar tediosos
formularios o pasar por
verificaciones.
• Sin embargo, este tipo de cuentas de
correo sólo duran 10 minutos.
• ¿Y para qué sirven? Pues para crear
cuentas falsas en redes sociales,
como Facebook o Twitter, o para
crear malos comentarios en lugares
de opinión como Tripadvisor.
• Este tipo de cuentas se camuflan
argumentando que son para evitar el
spam, pero la realidad es otra.
• Algunos de estos servicios se pueden
encontrar con una simple búsqueda
en Google: “email 10 minutos” y
voilá, a disfrutar.

SMS SPOOFING
• El SMS spoofing puede ser utilizado con variados fines que suponen un fraude.
Uno de los más comunes es la solicitud de información a la víctima a través
de mensajes de texto con identidad suplantada. Las tácticas pueden incluir
mandar SMS haciéndose pasar por bancos o por la compañía telefónica
solicitando información, pidiendo visitar una página de internet o llamar a un
número de teléfono para resolver un supuesto problema. Incluso se han dado
casos en los que el SMS fraudulento se hacia pasar por algún amigo en
problemas.
• La firma californiana especializada en el negocio en voz y SMS Nexmo ha
lanzado un servicio pionero por el cual permite a las marcas ponerse en
contacto con sus clientes de manera individualizada a través de su aplicación
de mensajería instantánea preferida. Para ello, utiliza una interfaz de
programación de aplicaciones (API), que permite servirse de aplicaciones de
terceros para crear los servicios.
• SMSender Nexmo es la aplicación que usa la pasarela Nexmo para enviar SMS
masivos y de forma anónima. Sólo se precisa indicarle la API de Nexmo de tu
cuenta, tu número secreto en Nexmo, y el nombre falsificado con el que
quieres el remitente de envíos. Descarga de la app desde:
https://play.google.com/store/apps/details?id=net.iqdesk.smssender

WHATSAPP SPOOFING
• Si has preparado una base de datos con gran
cantidad de contactos, olvida hacer los envíos
desde el Smartphone incluso si piensas en crear
grupos. Es una locura.
• Te recomiendo que utilices plataformas web
específicas para esta finalidad.
• Cualquier plataforma de envíos masivos de
WhatsApp y de SMS te pedirá la importación de la
base de datos en su sistema. El uso es muy sencillo
y, en el momento en el que cargues la base de
datos, el programa verifica si los números de
teléfono disponen de WhatsApp o no.
• Estas mismas plataformas servirán para enviar
mensajes con el remitente falso.
• Algunas de estas plataformas (los precios son
caros):
http://www.whatsmassive.com/precios/
https://www.whatsappmarketing.es
http://b-whatsapp.com/main/

LLAMADA TELEFÓNICA
SPOOFING
• Cambia tu voz por la de
un hombre o una mujer.
• Haz una llamada con el
número de teléfono
disfrazado de otro, para
que no se vea el origen
real de la llamada.
• Sólo se necesita esta
aplicación: Fake Caller
ID:
https://fakecallerid.io/
• Funciona para Android
e iPhone.
• También graba las
llamadas.
• Es una aplicación de
pago.

ROBO DE INFORMACIÓN
SENSIBLE EN FACEBOOK (I)
• El usuario no te debe tener bloqueado para usar este truco. Es necesario estar
registrado en la plataforma de Facebook y sigues los siguientes pasos.
• Buscar el perfil del usuario
Buscamos el perfil del usuario:
https://www.facebook.com/nombreDelUsuario
"nombreDelUsuario" es el nombre del perfil que nos interesa.
• Saber ID de la cuenta
Ahora tendremos que conocer el ID de esta cuenta, este ID Facebook lo interpreta
como una secuencia numérica que apunta al nombre de usuario. Para saber el ID
tenemos la siguiente opción:
Sobre cualquier espacio en blanco de la página de Facebook del usuario hacemos
clic derecho > "Ver código fuente de la página". Se nos abrirá una ventana en la
que pulsaremos las teclas: Ctrl+F, para a continuación buscar "profile_id" (sin
comillas) y pulsaremos la tecla Enter.
El primero que encontremos nos servirá, el cual se mostrará similar a lo siguiente:
"profile_id":0000000000000000
Donde la secuencia de "0" (ceros) es el número ID que identifica al nombre de
usuario.
Otra forma más fácil de saber ID de cuenta: http://findmyfbid.com/

ROBO DE INFORMACIÓN
SENSIBLE EN FACEBOOK (y II)
• Ver información del perfil privado
Una vez ya sepamos cual es el ID que identifica a dicho usuario, copiaremos y
colocaremos este ID en la siguiente URL:
https://www.facebook.com/search/0000000000000000
Por último tendremos que colocar después del ID el tipo de búsqueda que queramos
hacer, algunas referencias:
/photos-tagged = Fotos etiquetadas
/photos-of = Fotos de...
/photos-by = Fotos por...
/photos-liked = Fotos a las que hizo Like
/photos-of/intersect = Más fotos
/photos-commented = Comentarios en fotos
/pages-liked = Páginas que le gusta
/groups = Grupos
Un ejemplo final sería:
https://www.facebook.com/search/0000000000000000/photos-tagged
Donde 0000000000000000 es el IDdelUsuario sería lógicamente la secuencia numérica
respectiva y a continuación, en este caso, se mostrarían los resultados de las fotos en
las que a ese usuario otros usuarios le etiquetaron o aparece etiquetado.

USB DE LLAVE
CRIPTOGRÁFICA (I)
• ¿Te imaginas sólo poder acceder a tu Facebook si introduces un determinado tipo
de USB al ordenador? Sin contraseñas, con la tranquilidad de poder acudir a un
ordenador público de un cibercafé y sin temor a que la contraseña quede
almacenada con algún sistema de espionaje que ni habías detectado.
• Como parte del nuevo portal de herramientas de privacidad de Facebook, la red
social acaba de estrenar la demandada función de soporte para llaves USB, una
nueva forma de acceder a nuestra cuenta; pero en esta ocasión haciendo uso de
un soporte físico.
• Gracias a esta nueva característica de seguridad en Facebook, la autentificación a
dos pasos va más lejos permitiendo no sólo el uso de los clásicos códigos de un
sólo uso enviados al teléfono móvil (que pueden ser interceptables), sino también
una llave USB especial que se nos permita reconocer como el dueño de una cuenta
simplemente teniendo dicha llave de seguridad, aunque siempre en combinación
con nuestra contraseña por si acabáramos perdiendo la llave.
• La instalación de la llave de seguridad en Facebook es un procedimiento muy
sencillo. Simplemente accedemos a ‘Seguridad’, después a ‘Aprobación de Inicio de
Sesión’, y entre las opciones aparecerá ‘Claves de Seguridad: añadir llave’. Una vez
que introduzcamos la llave, ya seremos reconocidos como dueños de la cuenta,
teniendo así una nueva capa de seguridad para nuestra red social favorita.

USB DE LLAVE
CRIPTOGRÁFICA (y II)
• Eso sí, no te olvides de activar la autentificación en dos pasos en tu apartado de
Seguridad de Facebook.
• Con Google a la cabeza, la alianza FIDO está desarrollando una tecnología (el
protocolo U2F) capaz de resolver esa segunda verificación de modo que sea
imprescindible (esta vez sí) tener el artilugio en tu poder para acceder a la cuenta
de turno.
• Dicho artilugio es un dispositivo USB que puedes adquirir por menos de 8 euros a
través de Amazon. Las cuentas de Google ya son compatibles si accedes a través
del navegador Chrome. Es sencillo: tecleas tu usuario y contraseña de Gmail, como
siempre, pero en lugar de un código que llega a tu teléfono tienes que introducir el
pendrive en el puerto de tu ordenador – y pulsar el botón que lleva incorporado –
para completar el segundo paso de la identificación.
• De hecho, no solo tu cuenta de Google puede beneficiarse de esta medida de
seguridad. Usando el navegador Chrome como puerta, cualquier empresa puede
adoptar esta llave para proteger su intranet, su gestor de correo electrónico o
cualquier otra aplicación corporativa.
• ¿Te ha gustado la idea de acceder a tu cuenta Facebook sólo insertando un USB?
Pues aquí tienes el enlace a Amazon para comprar este dispositivo por menos de 8
euros, gastos de envío incluidos: https://www.amazon.es/HYPERSECU-HyperFIDO-
K5-U2F-Security/dp/B011PIROK4

EL LADRÓN USB DE LOS 12
SEGUNDOS (I)
• Un USB que se vende por Amazon para recuperar la
contraseña de cualquier Windows en cuestión de segundos:
https://www.amazon.com/Recovery-Password-Better-
Windows-Versions-7/dp/B01BO6604S
• Hace un reset de cualquiera de estas versiones de Windows
con sólo conectarlo: Windows 7/XP/2000/98 y Windows 10
• Su precio es de menos de 20 euros.

EL LADRÓN USB DE LOS 12
SEGUNDOS (y II)
• Seleccionas en esta pantalla qué usuario hay
que hackear cuando el USB arranque.
• Aparece la pantalla de que el usuario ha sido
reseteado a una contraseña en blanco.

FULMINAR UN ORDENADOR
CON UN PENDRIVE
• El caso del USB Killer 2.0, es un dispositivo desarrollado por
Dark Purple que destruye cualquier dispositivo electrónico
con un puerto USB incorporado.
• Cómo logra esto? Muy resumidamente, el dispositivo hace
uso de un convertidor DC/DC (corriente continua) y una serie
de condensadores (dispositivos eléctricos que almacenan
energía eléctrica en su interior). Cuando el USB Killer es
conectado al puerto USB del ordenador, se inicia una
transmisión de corriente eléctrica a los condensadores, la
cual finaliza cuando estos alcanzan unos niveles
determinados de carga. Una vez llegados a este punto, el
condensador deja de absorber energía y se transforma en
una fuente de tensión, realizando de forma instantánea una
descarga de 220 voltios sobre el puerto USB al que está
conectado –el voltaje máximo soportado por un puerto USB
es de 5 voltios–.
• Este dispositivo no solo es capaz de destruir ordenadores,
sino también televisiones, consolas e inclusos teléfonos
móviles que cuenten con la tecnología USB OTG (USB On The
Go). Se puede adquirir desde: https://www.usbkill.com

INTERCEPTANDO
CONVERSACIONES DE MÓVILES
• ¿Qué es una Femtocelda? Exteriormente se parece a un repetidor y la ventaja para
un atacante es que el usuario no puede hacer nada para impedir que su teléfono
se conecte a esta femtocelda, puesto que están diseñadas para intentar tener la
mejor cobertura posible.
• Este tipo de ataques, también conocidos como de estación base falsa, son
conocidos desde hace años y hay investigadores que han demostrado cómo
pueden forzar a los teléfonos móviles a que se conecten a redes controladas por
ellos y así poder espiar las comunicaciones.
• Un atacante puede interceptar y modificar todo el tráfico, ya sean llamadas,
mensajes o transferencias de datos.
• Te puedes hacer con uno de estos aparatos de forma muy fácil, ya que Movistar los
oferta a sus clientes para zonas donde no llegue su cobertura móvil, conectando la
femtocelda al ADSL de casa.
• Sólo cuesta 9 euros al mes y un hacker o puede usar para conectarlo a cualquier
ADSL, de forma escondida, y así poder interceptar las comunicaciones móviles de
cualquier víctima.
• Aquí el enlace para solicitar la Femtocelda a Movistar:
http://www.movistar.es/particulares/movil/servicios/ficha/nav-mi-cobertura-
movil?_ga=1.12783863.1133150465.1484906061

NAVEGACIÓN CON TOR Y
VPN (I)
• El servicio Tor se usa en todo el mundo, por ejemplo en países donde internet está
intervenido por gobiernos que espían a sus ciudadanos. Gracias a este proyecto,
muchas personas navegan con seguridad. El anonimato que ofrece se usa para
poder filtrar documentación sensible a medios, navegar por redes sociales en países
donde están prohibidas y, sí, también existen webs donde se cometen delitos, como
tiendas donde se compran armas o drogas.
• El primer paso es descargarse el navegador desde la web de Tor. Está disponible
para Windows, OS X y Linux de forma oficial, traducido en varios idiomas, entre
ellos el español.
• Se instala como cualquier aplicación de tu plataforma: una vez lo tengas listo,
ejecútalo. Se abrirá un navegador con el aspecto de Firefox y algún botón extra. La
primera pantalla que se abre te mostrará la información más importante que debes
conocer: estás conectado a su red y tu navegador está actualizado, lo cual es crítico
para evitar filtraciones.
• Desde ahora puedes navegar en cualquier web tradicional o en las páginas onion.
Para conocer cómo se ha enrutado tu conexión, pulsa sobre el botón de la cebolla
que hay a la izquierda de la barra de direcciones. En este menú puedes ver la ruta
que ha tomado tu visita, dando saltos por medio mundo.
• Existen varios sitios donde encontrar webs escondidas en esta red, The Hidden
Wiki es el más actualizado. Reddit tiene varios subredditsdedicados a Tor, como el
propio r/Tor o r/onions.

NAVEGACIÓN CON TOR Y
VPN (y II)
• Empecemos por lo básico. VPN son las siglas de Virtual Private
Network, o red privada virtual.
• Una conexión VPN lo que te permite es crear una red local sin
necesidad que sus integrantes estén físicamente conectados entre sí,
sino a través de Internet.
• Cuando te conectas a una conexión VPN todo tu tráfico de red sigue
yendo desde tu dispositivo a tu proveedor de Internet, pero de ahí se
dirige directo al servidor VPN, desde donde partirá al destino.
Idealmente la conexión está cifrada, de modo que tu proveedor de
Internet realmente no sabe a qué estás accediendo. A efectos
prácticos, tu dirección IP es la del servidor VPN.
• Al conectarte con VPN, tu dispositivo se comunica con el servidor VPN,
y es éste el que habla con Internet. Si tú estás en China y el servidor
VPN está en Estados Unidos, generalmente los servidores web creerán
que estás navegando desde este país, dejándote acceder a los
contenidos disponibles solo allí, como podría ser Netflix.
• De igual modo, esta misma lógica se puede usar para acceder a
aquellos contenidos que estuvieran censurados o bloqueados en tu
país, pero no allí donde se encuentra el servidor VPN. Así es como
millones de ciudadanos chinos logran conectarse a Facebook y otras
3.000 webs bloqueadas en el país.
Ejemplo de VPN de pago: MonkeyVPN
http://www.monkeyvpn.com/

ROBO DEL WIFI
• Que se hagan de tu wifi puede parecer una simple inocentada. Pero qué
ocurre si te digo que si alguien se hace con tu wifi, el ladrón se ha
apoderado de tu IP (o sea de tu DNI digital) y puede cometer fechorías con
tu IP. ¿Qué te parecería que se descargara fotos de pederastia? ¿Y si el
ladrón de tu IP comete algún fraude por la Red? Qué le dirás a la policía…
¿Qué te han robado el wifi? Explícaselo a tus vecinos, cuando te vean salir
esposado de casa, arrestado por la policía y acusado de pornografía
infantil.
• Android Dumper. Esta app es bastante nueva y funciona muy bien, es
diferente al resto de la lista, porque al igual que algunos de los
programas que hay en Wifislax, también se aprovecha de la vulnerabilidad
que tiene el protocolo WPS. Básicamente sirve para comprobar si tienes
algún problema de seguridad en tu red wifi debido al protocolo WPS.
Puedes utilizarla de 2 modos, modo Root y sin root.
• WPSApp Free. Es una de las últimas aplicaciones para auditar Wifi que
acaba de aparecer en la Play Store, más de 52.000 personas la han
calificado con 5 estrellas. es capaz de averiguar las claves WPS siempre
que el router tenga activado el WPS. Si es tu caso, desactiva YA el WPS de
tu router. Desarrollada por españoles.
• Busca estos nombres en tu Google Play y verás.

ROBO DESDE BLUETOOTH (I)
• Visto en la serie Mr. Robot con Kali Linux. El hacker se hace pasar por la conexión Bluetooth del afectado, que estará
validado en el sistema. El hacker tiene acceso total al usar las credenciales del afectado.
• Se activa Bluetooth en su sistema de hacking de Linux iniciando el servicio Bluetooth:
• kali > service bluetooth start
• Es necesario activar el dispositivo Bluetooth:
• kali > hciconfig hci0 up
• A continuación se comprueba si realmente funciona, así como sus propiedades, escribiendo:
• kali > hciconfig hci0
• Hay que tener en cuenta la "Dirección BD" en la segunda línea: esta es la dirección MAC del dispositivo
Bluetooth.

ROBO DESDE BLUETOOTH (II)
• Hay que buscar conexiones Bluetooth. Se usa entonces btscanner, un escáner Bluetooth incorporado con una GUI
rudimentaria. Para usarlo:
• kali > btscanner
• A continuación, se seleccione "i" para iniciar un análisis de consulta. Puedes ver los resultados a continuación con
un ejemplo:
• Utilizando btscanner, podemos obtener una lista de todos los dispositivos Bluetooth en el rango. Este aquí tiene
una dirección MAC y un nombre de "Tyler" -para falsificar este dispositivo, debemos hacer spoof de la dirección
MAC y el nombre del dispositivo.
• Recuerda que Bluetooth es un protocolo de baja potencia con un alcance de unos 10 metros (aunque con una
antena direccional, se han alcanzado distancias de hasta 100 metros).

ROBO DESDE BLUETOOTH (y III)
• Se necesita clonar el teclado de la víctima con esta información. Kali Linux tiene una herramienta diseñada para
spoof de dispositivos Bluetooth llamado spooftooph. Podemos hacerlo con un comando similar a éste:
• kali > spooftooph -i hci0 -a A0:02:DC:11:4F:85 -n Car537
• -i designa el dispositivo, en este caso hci0
• -a designa la dirección MAC que queremos engañar
• -n designa el nombre del dispositivo que queremos engañar, en este caso "Car537"
• Si lo hacemos correctamente, nuestro dispositivo Bluetooth falsificará la dirección MAC y el nombre del dispositivo
Bluetooth del ordenador de la víctima.
• Para comprobar si hemos tenido éxito, podemos usar hciconfig seguido por el dispositivo y el switch "name" que
mostrará el nombre del dispositivo. Recuerda, este es nuestro dispositivo Bluetooth que estamos tratando de
emular con el dispositivo Bluetooth del ordenador de la víctima. Si tenemos éxito, tendrá la misma dirección MAC
y el nombre del dispositivo Bluetooth de la víctima.
kali > hciconfig hci0 name

PWN PHONE
• Sí. En la serie de televisión Mr-
Robot su protagonista utiliza
un pwn phone en el capítulo 8 de
la segunda temporada para correr
un software que ha diseñado él
mismo (CrackSIM) y cuya finalidad
es la de crackear otra tarjeta SIM,
la del interlocutor del Dark Army,
Zhun. Lo consigue gracias a un pwn
phone, un smartphone preparado
para penetrar y crackear redes
ajenas que lleva preinstalado
multitud de herramientas (más de
100) de ataque y monitorización
de redes. Por 1.100 dólares es
tuyo.
• Porque es real y se puede adquirir
desde aquí:
https://store.pwnieexpress.com/pr
oduct/pwn-phone2014b/

KALI LINUX
• Kali Linux es la herramienta perfecta para hackers, que buscan (y
encuentran) los límites y fisuras en la seguridad de las redes y
sistemas informáticos.
• Una de las principales virtudes de Kali Linux son las más de 300
herramientas y aplicaciones relacionadas con la seguridad
informática que incluye esta distribución, destacando algunas tan
conocidas como Nmap, que permite escanear los puertos de un
sistema, el crackeador de contraseñas Jack the Ripper o la
suite Aircrack-ng para comprobar la seguridad de las redes
inalámbricas.
• En esta página web (http://tools.kali.org/tools-
listing) encontrarás un listado con todas las herramientas de
seguridad que incluye Kali Linux, perfectamente catalogadas en
los distintos ámbitos de la seguridad informática.
• Además de las aplicaciones que están incluidas en Kali Linux, esta
distribución ofrece soporte para un gran abanico de dispositivos
inalámbricos con los que trabajar, así como una amplia variedad
de plataformas como ARM, Raspberry Pi, Chromebook, etc.
• Descarga de la ISO de Kali Linux:
https://www.kali.org/downloads/

DEEP WEB (I)
• El concepto de Deep Web es sencillo. La Deep Web es aquella parte de la Red que
contiene material, información y páginas web que no están indexadas en ninguno
de los buscadores existentes como pueden ser Bing, Google, Yahoo, etc.
Muchos de vosotros quedareis sorprendidos en saber que la Deep Web presenta
mucho más contenido que la web superficial que nosotros podemos acceder.
• Según datos de la Wikipedia en el año 2000 la internet superficial tenia un tamaño
de 167 Terabytes mientras que la Deep Web tenia una tamaño de 7500 Terabytes
lo que significa que el contenido de la Deep Web era 45 veces superior a la
información que teníamos acceso en aquel momento. Actualmente a día de hoy la
universidad de California en Berkeley estima que el tamaño real de la red profunda
es de 91.000 Terabytes.
• Todo lo que hay en la Deep Web no podemos decir que sea intrínsecamente malo.
Podemos encontrar contenido interesante y diverso como por ejemplo:
• Contenido almacenado por los gobiernos de distintos países.
• Organizaciones que almacenan información. Por ejemplo la NASA almacena
información acerca de las investigaciones científicas que realiza.
• Multitud de bases de datos de distinta índole. Las bases de datos representan un
% muy importante de la información almacenada en la Deep Web.
• Foros de temáticas diversas.

DEEP WEB (II)
• No obstante también nos podemos encontrar contenido muy desagradable como por ejemplo
los siguientes:
• Venta de drogas.
• Pornografía.
• Mercado negro de sicarios.
• Documentos clasificados como por ejemplo los de Wikileaks.
• Foros de crackers en busca de víctimas.
• Phishers, spammers, botnet agents, en busca de víctimas.
• Páginas para comprar o fabricar armas.
• Piratería de libros, películas, música, software, etc.
• Nota: Afortunadamente el contenido que se acaba de describir representa un % muy pequeño
de lo que es la Deep Web. Este tipo de contenido se clasifica dentro de una subcategoría de la
Deep Web. denominada Darknet.
• Todo el material perteneciente a la deep web no es accesible de forma corriente. Para acceder a
este contenido tenemos que acceder a través de un servidor proxy. En caso de querer investigar
y experimentar una muy buena opción para empezar es hacerlo a través de la red Tor.
• Si queréis conectaros a la red Tor y acceder y navegar por la deep web a través de vuestro
teléfono Android, tan solo tiene que visitar el siguiente enlace.: https://geekland.eu/configurar-
tor-en-android-para-navegar-en-la-deep-web/

DEEP WEB (y III)
• Bajo el punto de vista
de expertos del sector,
estos son los mejores
buscadores a para
adentrarte en la Deep
Web:
1. Onion.City
(http://www.onion.li
nk)
2. Not Evil
(https://hss3uro2hsxf
ogfq.onion.to)

¿CUÁNDO HAS SIDO
HACKEADO?
• Comprueba
anónimamente si tu
dirección de email se ha
visto comprometida en
alguna ruptura de
seguridad.
• Puedes comprobar si tu
correo electrónico
aparece en una base de
datos universal de correos
que han sido hackeados.
Lo único que tienes que
hacer es meter tu correo
electrónico en la caja y en
un segundo te comprueba
si está en la lista o no.
¡Hazlo y te quedas
tranquilo!
• https://haveibeenpwned.
com

MR. ROBOT (I)
• Mr. Robot es una serie de televisión estadounidense creada por
Sam Esmail. Se estrenó el 24 de junio de 2015 en la cadena USA
Network. El mismo día la serie se renovó para una segunda
temporada, estrenada el 13 de julio de 2016. El 16 de agosto
del mismo año Mr. Robot fue renovado para una tercera
temporada a estrenarse en 2017.
• La serie sigue a Elliot Alderson (Rami Malek), un joven hacker
que sufre de fobia social, depresión clínica y delirios, trabaja
como ingeniero de seguridad informática y usa sus habilidades
para proteger a las personas por las que se preocupa. Elliot es
reclutado por Mr. Robot (Christian Slater), el misterioso líder de
un grupo de hacktivistas llamado fsociety, que quiere destruir a
poderosos empresarios de multinacionales que están
manejando el mundo.
• Puede verse online desde:
http://www.seriespapaya.com/serie/mr-robot.html

MR. ROBOT (y II)
• Vamos a analizar los momentos clave en los hack de los miembros de
F-Society y otros personajes. Herramientas comunes y
especializadas: btscanner, bluesniff, meterpreter, candump y más. Una
cosa que nos deja confundidos es la velocidad supersónica a la que
Elliot es capaz de programar, a lo mejor está usando hackertyper.
• En el tercer episodio de la primera temporada, nuestro psicópata
favorito primero hace root del terminal Android con una herramienta
común como SuperSU, y luego instala FlexiSpy, una app capaz
de espiar los mensajes enviados en trece plataformas distintas.
• Cuando F-Society hace un ataque de denegación distribuido de
servicio a los servidores de Evil Corp, Elliot, Gideon y todo AllSafe
Cybersecurity salen en su defensa. La forma en la que intentan atajarlo
poniéndose en contacto con los ISP es el primer paso de manual ante
este tipo de ataques.
• No surte efecto porque los proveedores de internet (ISP) no pueden
solucionar ataques si se basan en errores del protocolo utilizado, ahí
también es realista. Gideon también comenta “llamar a Prolexic”, que
es un servicio real especializado solucionar este tipo de problemas.

CONTACTAR CON EL AUTOR
Web empresa rutas: www.planetainsolito.es
Blog: www.carlosmesa.com

Conspiración en la red

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (10)

Similar a Conspiración en la red

Similar a Conspiración en la red (20)

Más de Carlos Mesa

Más de Carlos Mesa (20)

Último

Último (6)

Conspiración en la red