Shodan: el buscador de cámaras de seguridad, televisiones e incluso equipos médicos

La plataforma permite llegar a controlar todo tipo de dispositivos conectados a Internet sin la seguridad adecuada.

El informático Fernando Gómez muestra cómo funciona el motor de búsqueda Shodan. VÍCTOR SAINZ

Hay un lugar en el que se puede encontrar información e incluso llegar a controlar cámaras de seguridad, taxímetros, coches y yates. También televisores inteligentes, semáforos, hornos y neveras. E incluso se pueden hallar datos sobre gasolineras, lectores de matrículas y dispositivos médicos. Ese lugar se llama Shodan y, a diferencia de Google y otros motores de búsqueda que indexan solo la web, cuenta con información de todo tipo de dispositivos conectados a Internet.

“Si tenemos en cuenta que casi todo está conectado a Internet y no siempre con la seguridad más adecuada, podríamos decir que las posibilidades están limitadas solo por la imaginación de los atacantes”, explica en una entrevista telefónica Pilar Vila, miembro del Grupo de Seguridad Informática y para la Defensa del Consejo General de Colegios Profesionales de Ingeniería Informática(CCII). Shodan es un buscador creado por el informático suizo John Matherly que puede ser utilizado con fines maléficos para hackear dispositivos o acceder a información sobre los mismos. Pero también puede ayudar a los defensores a encontrar las vulnerabilidades de sus propios equipos y corregirlas.

La CNN lo describió como el motor de búsqueda más terrorífico de Internet. Para TechCrunch, es “una ventana al mundo de la absoluta inseguridad”. Pero, ¿es realmente el motor de búsqueda tan aterrador? EL PAÍS se ha reunido en Madrid con Fernando Gómez, también miembro del Grupo de Seguridad Informática y para la Defensa del CCII para saber cómo funciona este buscador. Gómez ha realizado previamente al encuentro una búsqueda para enseñar a este periódico qué se puede encontrar al navegar por él.

Shodan incorpora distintos tipos de filtros. Se puede buscar por ciudad, país, fecha, sistema operativo o tipo de puerto. Gómez, que acude al encuentro con una hoja con varias IPs apuntadas, comienza buscando dispositivos conectados en Torrelodones (Madrid). Apenas tarda unos minutos en entrar dentro de una plataforma que le permite controlar la iluminación de un lugar determinado y distintas cámaras. En la página principal de la misma no se indica a qué corresponden los sistemas. No sabemos si se trata del control de dispositivos en una casa, un área específica o incluso el municipio entero.

Mapa de los dispositivos conectados a Internet. SHODAN

Pero una vez dentro del sistema, Gómez se niega a curiosear en el mismo: “No podemos pasar de aquí porque podríamos estar cometiendo un delito”. Entrar ha sido relativamente fácil. Al pinchar en el puerto, se ha abierto una pestaña en la que se solicitaba una contraseña. El usuario era “admin” y la clave, también. “Si tu usuario es ‘admin’ y la password también es ‘admin’ es como si estás diciendo que en tu casa la puerta está cerrada pero la llave está debajo del felpudo”, afirma el informático. Durante el encuentro, para averiguar otras claves de otros equipos, accede a una web en la que aparecen el usuario y la contraseña por defecto de múltiples dispositivos.

Gasolineras, taxímetros y cámaras de seguridad

Además de buscar por ubicación, también es posible hacerlo por tipo de dispositivo. Gómez introduce en el buscador “tank inventory”. Encuentra decenas de gasolineras de países de todo el mundo: desde Nueva Zelanda a Adeje, en Canarias, o Rota, en Cádiz. En un primer barrido por los primeros resultados, todas muestran la cantidad de los diferentes tipos de gasolina que tienen sus depósitos. Vila afirma que “dependiendo de lo que las gasolineras tengan abierto y sin protección, incluso se podría llegar a modificar sus precios”: “Por ejemplo, alterar las estaciones de autoservicio que cobran a través de tarjeta bancaria y hacer que cobren menos”.

Lo mismo puede ocurrir con otros dispositivos conectados que aparecen en Shodan. Por ejemplo, el informático Chema Alonso explicó en su web en 2016 cómo era posible hackear taxímetros para, entre otras cosas, reiniciar el terminal justo antes de llegar al destino para que marque un precio menor. Durante el encuentro, Gómez consigue información de muchos otros dispositivos: desde impresoras a Play Stations, puntos de recarga e incluso barcos. Con solo introducir en el buscador VSAT, encuentra la ubicación de multitud de embarcaciones. Una de ellas navega cerca de Filipinas. Otra, de Turquía. También accede a las grabaciones de una cámara en tiempo real. En la pantalla de su ordenador, se muestra una calle de Estados Unidos. No se aprecian muy bien los detalles porque en ese momento allí es de noche, pero se ve una marquesina con un anuncio luminoso. “Podría hacer lo que quiera con esta cámara”, afirma el informático jubilado mientras señala las pestañas de administración y menú.

También podrían acabar siendo peligrosas las aspiradoras inteligentes. Vila sostiene que en ocasiones envían a su fabricante las coordenadas de la casa que limpian: “El fabricante puede crear los planos correspondientes de la casa de ese cliente. Si un atacante es capaz de acceder a esta aspiradora o bien intercepta el envío de datos, podría tener toda esa información e incluso se podría plantear alterar el movimiento de la aspiradora si fuese posible por mala configuración”

Los hospitales son infraestructuras críticas

Hay infraestructuras críticas cuyo hackeo podría tener consecuencias devastadoras. Es el caso de los hospitales. Gómez, tras unos minutos de búsqueda a petición de este periódico, llega al servidor de correo de un hospital en Murcia: “No se puede hacer nada, pero lo ideal sería que ni apareciera”. También a la página de login del servidor de un centro en Granada. En ella, se le pide introducir un usuario y una contraseña: “En un hospital ni se me ocurre probar”. El informático asegura que esa página no debería aparecer en Shodan, ya que se podría hacer un ataque y acabar averiguando la contraseña. “Imagínate que un político importante va a un mitin en Andalucía, tiene un accidente de coche y le internan en este hospital. Una persona con malas intenciones podría entrar en el sistema y cambiar los medicamentos que se le deben administrar”, afirma.

De hecho, los investigadores Scott Erven y Mark Collao demostraron en 2015 en una conferencia cómo pudieron acceder a decenas de dispositivos médicos de distintos hospitales utilizando Shodan, según informó la BBC. Por ejemplo, a equipos de resonancia magnética y desfibriladores conectados. Ambos aseguraron que los atacantes podrían incluso obtener datos del historial de pacientes y conocer la ubicación de la maquinaria dentro de un edificio.

Pero aparecer en Shodan no tiene por qué ser malo. Así lo subraya Vila, que trabaja en una empresa de consultoría y auditoría y usa este motor de búsqueda para estudiar las posibles tecnologías, protocolos y puertos desprotegidos de una compañía y securizar los sistemas: “El problema viene cuando es accesible porque hay carencias de seguridad. Cuando la seguridad de un dispositivo o sistema no es suficiente, según el caso, se podría acceder a ese dispositivo, a sus datos e incluso se podría llegar a controlar”.

Cada vez que Gómez consulta información sobre un dispositivo, Shodan le avisa de las vulnerabilidades comunes del mismo. Esta información puede ser usada por “los malos para intentar explotar esa vulnerabilidad antes de que lo arreglen”. “En temas de seguridad informática hay que saber cómo funcionan los malos para ser de los buenos, ya que los malos por lo general siempre van por delante”, afirma.

Pero esa misma información también puede ser utilizada por los propietarios de los dispositivos para corregir las vulnerabilidades y protegerlos. De hecho, cuando Gómez introduce en el buscador diferentes IPs que lleva apuntadas en un papel, algunas de las vulnerabilidades que encontró en su búsqueda previa, ya han sido corregidas y es imposible acceder a los dispositivos.

Ambos expertos coinciden en que cualquier compañía debería consultar si sus dispositivos se pueden encontrar en este buscador y securizarlos. “Lo temible no es Shodan, que no deja de ser una herramienta neutra. Lo temible es la falta de seguridad que existe en dispositivos, configuraciones… Realmente creo que lo temible es lo poco que invierten las empresas en ciberseguridad y lo poco que se invierte en formación dentro del ámbito de la tecnología y la ciberseguridad”, concluye Vila.

Fuente:https://elpais.com/tecnologia/2019/05/07/actualidad/1557227181_895447.html

Read more »

Qiao Biluo, la glamurosa bloguera china cuyo "secreto de belleza" quedó al descubierto en una transmisión en vivo

Derechos de autor de la imagenDOUYU

Image captionLa bloguera china usaba un filtro para parecer más joven y atractiva.

Se hacía llamar "su alteza Qiao Bilou" y se mostraba como una joven hermosa y glamorosa en sus apariciones en internet.

Pero una falla en un filtro que modifica el rostro de las personas reveló que se trataba de una mujer de mediana edad.

Y los fans de esta popular bloguera china explotaron en las redes sociales generando discusiones sobre ética y cómo deben ser los estándares de belleza en internet.

• Yang Kaili, la estrella china de las redes sociales detenida por "insultar" el himno nacional de su país

"Diosa linda"

Aparentemente, la bloguera, que inicialmente se jactó de contar con más de 100.000 seguidores en la red social china Douyu, usaba un filtro en su rostro durante sus apariciones y era reconocida entre sus fanáticos por su "voz dulce y sanadora".

El diario Global Times de China dijo que algunos miembros de su fiel audiencia la "adoraban" como una "diosa linda" e incluso le donaban dinero.

La plataforma de videos en directo Lychee News informó que el incidente ocurrió el 25 de julio durante una transmisión en vivo conjunta con la usuaria Qingzi en la plataforma Douyu.

En el evento, sus fanáticos le pidieron que quitara el filtro y mostrara su rostro pero ella se negó y dijo: "No mostraré mi rostro a menos que reciba regalos por un valor de US$11.950. Después de todo, soy una buena anfitriona".

Derechos de autor de la imagenGETTY IMAGES

Image captionEl incidente con la bloguera se volvió popular en las redes sociales chinas.

Los seguidores comenzaron a enviarle donaciones, la mayor reportada fue de US$5.813.

Sin embargo, en algún momento, parece que el filtro que usaba la bloguera dejó de funcionar y su rostro real se hizo visible para sus espectadores.

Según medios periodísticos, ella se dio cuenta del error cuando las personas que estaban suscriptas a su sala VIP comenzaron a desconectarse en masa.

Y muchos de sus seguidores originales, especialmente hombres, dejaron de seguirla y anularon sus transacciones después de ver su verdadera apariencia.

• Cómo funciona Tik Tok, la app de selfies de China que se ha convertido en la más descargada de 2018 en iPhones de todo el mundo

Desde el incidente, Qiao Biluo suspendió su cuenta de redes sociales según confirmaron usuarios de Weibo, quienes iniciaron un debate sobre lo que sucedió.

Algunos usuarios celebran su ingenio para sacarle dinero a sus seguidores. Otros cuestionanla inteligencia de los hombres que le dan dinero.

Mientras que otros usuarios piden a las personas que no la juzguen por su apariencia, señalando que su popularidad proviene de su voz.

Transmisiones en vivo

Derechos de autor de la imagenGETTY IMAGES

Image captionLa red social Weibo es una de las más populares en China.

La historia sobre la bloguera se volvió muy popular en las redes sociales chinas con más de 600 millones de personas leyendo publicaciones bajo el hashtag que se traduce como "una bloguera es víctima de una falla que muestra su cara de anciana".

China tiene más de 425 millones de transmisiones en vivo y el uso de filtros faciales es algo común en la gran cantidad de plataformas sociales.

El gobierno chino es cauteloso ante la creciente popularidad de la transmisión en vivo.

Los medios de difusión en China están muy controlados y con la excepción de la cobertura de noticias de última hora, las imágenes en la televisión necesitan semanas de aprobación antes de poder ser transmitidas.

• Por qué cualquier persona puede desaparecer en China (y qué tiene que ver el gobierno)

No se recomienda a usuarios de redes que transmitan en vivo de una forma pública, y sufren restricciones en lo que pueden decir.

Expresar sus opiniones podría dar lugar a una fuerte reacción de las autoridades si el contenido se considera políticamente sensible o es en contra de la retórica del gobierno. También deben tener cuidado de no ser vistos como "vulgares".

Como consecuencia, muchos simplemente cantan karaoke en sus habitaciones o se muestran comiendo durante horas.

Se trata de una industria altamente lucrativa llena de usuarias mujeres que harán todo lo posible para destacarse.

Y Qiao Biluo lo logró porque, aunque dejó de transmitir en vivo después del incidente, su perfil de Douyu ahora tiene 650.000 seguidores, muchos más de los 100.000 iniciales.

fuente:https://www.bbc.com/mundo/noticias-49173733

Read more »

Fichaje de Ninja: quién es Tyler Blevins, la superestrella de Fortnite y otros videojuegos online que Microsoft le robó a Amazon

Derechos de autor de la imagenGETTY IMAGES

Image captionTyler Blevins, "Ninja", Jugará en exclusiva para la plataforma Mixer.

Como si se tratara del mercado internacional de fichajes en el fútbol, las plataformas de videojuegos en streaming viven su momento dulce y buscan, a golpe de talonario, cómo atraer las caras más conocidas del sector.

Twitch, que pertenece a Amazon y transmite partidas de videojuegos en directo, ha perdido a una de sus estrellas más importantes.

Mixer, una web rival propiedad de Microsoft, ha contratado a Tyler Blevins, conocido por sus fans como Ninja.

Tenía 14,7 millones de seguidores en Twitch y jugaba principalmente a Fortnite.

Este videojuego de moda combina la construcción de edificios, la compra de armas y los enfrentamientos entre jugadores.

Se puede jugar de manera individual, como parte de un escuadrón de cuatro personas o un equipo de 20 miembros, ya sea con amigos o personas desconocidas, y se puede cambiar de un dispositivo a otro.

• Cómo es Fortnite y por qué se ha convertido en uno de los videojuegos más populares
• Fortnite: un adolescente de 16 años se embolsa US$3 millones al vencer en el Mundial del famoso videojuego

Mixer se lanzó en 2016, pero se ha quedado atrás en popularidad con respecto a Twitch o YouTube Gaming.

En un comunicado, Microsoft dijo que está "emocionada" por la incorporación de Blevins.

"Mixer es un lugar que se creó con la filosofía de ser positivo y acogedor desde el primer día, y esperamos con ansias la energía que traerán Ninja y su comunidad".

Blevins, de 28 años, anunció su fichaje por Mixer a través de Twitter.

"He estado guardando el secreto bastante tiempo", dijo en un video que emulaba una rueda de prensa.

"Estoy muy emocionado de poder contarles que a partir de ahora transmitiré de forma exclusiva y a tiempo completo por Mixer. Honestamente, no tengo palabras. Siento que voy a volver a las raíces del streaming".

Los términos financieros del acuerdo no se han hecho públicos.

Además Blevins también representará y promocionará la plataforma Mixer en distintos eventos.

Derechos de autor de la imagen@NINJA

Image captionTyler Blevins anunció su fichaje por la plataforma de Microsoft a través de su cuenta de Twitter.

Base de seguidores dividida

En un buen mes, Blevins ganaba US$500.000 en Twitch.

Es probable que la decisión divida a su base de seguidores, sugirió Janko Roettgers de la revista Variety.

"Ninja tiene una base exclusiva de fans, y muchos probablemente le seguirán, sin importar la plataforma en la que esté", le dijo Roettgers a la BBC.

"Al mismo tiempo, la decisión también es una oportunidad para que otrosstreamers de Twitch se queden con algunos de los espectadores más casuales de las transmisiones de Ninja".

Al momento de publicar esta nota, 80.000 personas se habían inscrito ya al nuevo canal de Blevins en Mixer.

Derechos de autor de la imagenGETTY IMAGES

Image captionTenía 14,7 millones de seguidores en Twitch y jugaba principalmente a Fortnite.

Roettgers calcula que el fichaje ha movido probablemente una gran cantidad de dinero y que es una clara señal de las intenciones de Microsoft de ponerse al día en el sector de los videojuegos en streaming.

"Microsoft está tratando de encontrar nuevas fuentes de ingresos que vayan más allá de vender hardware", dijo.

En una declaración posterior a la noticia de la partida de Blevin, Amazon declaró: "Nos ha encantado ver a Ninja en Twitch todos estos años y estamos orgullosos de todo lo que ha logrado para él, su familia y la comunidad de jugadores".

"Le deseamos la mejor de las suertes en sus futuros planes".

Fuente:https://www.bbc.com/mundo/noticias-49206325

Read more »

Fortnite: un adolescente de 16 años se embolsa US$3 millones al vencer en el Mundial del famoso videojuego

Derechos de autor de la imagenEPIC GAMES

Image captionKyle Giersdorf, conocido en el mundo online como "Bugha", fue el vencedor de la modalidad en solitario del Mundial de Fortnite.

Solo tiene 16 años, pero ya puede afirmar que se convirtió en millonario casi de la noche a la mañana.

Un adolescente estadounidense ganó este domingo un premio récord de US$3 millones al proclamarse campeón mundial del torneo del videojuego Fortnite.

Kyle Giersdorf, de 16 años, fue quien ganó la modalidad en solitario del torneo, pese a no estar entre las quinielas previas de los favoritos.

El evento, celebrado este fin de semana en Nueva York, ofreció la mayor cantidad en premios en la historia de los juegos electrónicos con un total de US$30 millones a repartir entre los distintos ganadores.

• Cómo es el Mundial de Fortnite, el torneo en el que la mayoría de participantes tiene menos de 16 años y el ganador se llevará US$3 millones
• Cómo es Fortnite y por qué se ha convertido en uno de los videojuegos más populares

Conocido en el mundo online por su apodo 'Bugha', Kyle se mantuvo riendo y sacudiendo la cabeza cuando el público estalló en gritos después de que se anunciara su nombre como ganador.

El vencedor le dijo a la BBC que quiere ahorrar la mayor parte de su suculento premio. "Todo lo que quiero es un nuevo escritorio y tal vez uno para mi trofeo", dijo.

El juego final fue descrito por los expertos como una "victoria ridícula", ya que el ganador jugó con una sonrisa en su rostro mientras derrotaba a sus rivales.

Derechos de autor de la imagenGETTY IMAGES

Image captionEl Mundial de Fortnite ofreció la mayor cantidad en premios en la historia de los juegos electrónicos

El Mundial de Fortnite está considerado como un hito en el mundo de los juegos electrónicos, una industria que se estima alcanzará los US$1.000 millones este año.

Sin embargo, el récord que acaba de alcanzar al ofrecer los mayores premios ya está listo para ser superado por otro evento llamado The International, que tendrá lugar en agosto.

En la final de Fortnite celebrada este domingo compitieron 100 jugadores luchando en pantallas gigantes de computadoras.Más de 30 países estuvieron representados a través de 70 jugadores.

Previamente, 40 millones de jugadores de todo el mundo intentaron clasificarse para el torneo durante diez semanas de competencia en línea.

Derechos de autor de la imagenGETTY IMAGES

Image caption70 jugadores de más de 30 países participaron en la final de este domingo.

200 millones de jugadores

Fortnite está protagonizado por 100 personajes que son lanzados a una isla donde tienen que encontrar armas, construir estructuras y eliminarse entre sí hasta que un jugador vence.

Cuenta con 200 millones de jugadores registrados en todo el mundo y se puede descargar de manera gratuita, pero los participantes pueden gastar dinero en compras dentro del juego.

Se puede jugar de manera individual, como parte de un escuadrón de cuatro personas o un equipo de 20 miembros, ya sea con amigos o personas desconocidas.

Derechos de autor de la imagenGETTY IMAGES

Image captionFortnite cuenta con 200 millones de jugadores registrados en todo el mundo.

El mes pasado, sus creadores fueron interrogados por parlamentarios británicos acerca de si los desarrolladores de juegos, Epic Games, hacen lo suficiente para verificar la edad de los jugadores o alentarlos para tomar descansos después de largos períodos de juego.

En abril, el príncipe Harry pidió que se prohibiera Fortnite diciendo que el juego había sido "creado para ser adictivo".

El asesor legal de la firma, Canon Pence, dijo a los parlamentarios que el personal de Epic Games se había "sorprendido" por el comentario del príncipe Harry.

Fuente:https://www.bbc.com/mundo/noticias-49147321

Read more »