blog

Existen tres métodos principales para realizar la transacción de criptomonedas: Finalización Temprana (FE), Escrow (Depósito en Garantía) y Escrow (Depósito en Garantía) de Firma Múltiple (multisig).

Finalización Temprana: Es un método de pago en el cual un proveedor requiere el recibo del pago antes de despachar los bienes comprados. El riesgo está sobre en el comprador, y en la actualidad está muy asociado con las "estafas de salida" (exit scams). Este método es el menos seguro y debe ser evitarlo a menos se trate con proveedores de muy alta confianza.

Depósito en Garantía: Es un método de pago en el cual un mercado de la Dark Web generará una dirección específica de criptomoneda (tradicionalmente Bitcoin, pero ahora cada vez más Monero (XMR) por anonimato) hacia la cual el comprador transfiere el pago. El mercado retiene el dinero del comprador y paga al proveedor únicamente después del comprador marca la orden como completada. Es moderadamente seguro, pero vulnerable si el mercado mismo cierra.

Depósito en Garantía de Firma Múltiple: También llamado multisig. Este método genera múltiples llaves para la transacción. El multisig 2-de-3 proporciona la mayor seguridad: una llave para el mercado, una para el proveedor y una para el comprador. Esto garantiza incluso si el mercado desaparece, el comprador, y el vendedor todavía pueden finalizar o reembolsar la transacción juntos.

Una anotación sobre Blockchains: Mientras Bitcoin utiliza un libro de contabilidad público donde las transacciones pueden ser indexadas y rastreadas por firmas forenses, los usuarios modernos de la Dark Web priorizan Monero (XMR), el cual utiliza direcciones sigilosas y firmas de anillo para mantener las transacciones privadas. Con respecto a los ataques, el 51% de ataque sigue siendo un riesgo teórico para monedas más pequeñas, pero la amenaza principal actualmente es el phishing y el malware para drenado de billeteras.

Siempre utilizar la opción más segura y verificar la dirección onion del mercado utilizando firmas PGP para evitar sitios de phishing.

Obtención de criptomonedas: Aunque la minería de Bitcoin ya no es considerada como algo factible para individuos debido a los altos costos de hardware y dificultad. En lugar de esto se puede obtener Monero o Bitcoin a través de intercambios descentralizados (DEX) o plataformas Peer-to-Peer (P2P) para mantener la privacidad.

Consideraciones de Seguridad al navegar por la Dark Web:

• Verificar el mercado: Siempre utilizar un directorio de confianza y verificar la llave PGP del sitio.
• Seguridad en el pago: Nunca utilizar tarjetas de débito/crédito ni Paypal. Utilizar monedas enfocadas en la privacidad como Monero.
• Conectividad: Utilizar el Navegador Tor. Aunque muchos sugieren utilizar una VPN, el consenso actual es una VPN mal configurada puede de hecho disminuir el anonimato. Utilizar Puentes Tor (Bridges) o Tails suele ser más seguro.
• Sistemas Operativos: No utilizar Windows. Tails (The Amnesic Incognito Live System) sigue siendo la mejor opción, pues no deja rastro en el dispositivo de almacenamiento. Para una mayor seguridad considerar utilizar Whonix.
• Redes Sociales y Contenido: Aunque Facebook tiene una versión .onion para países censurados, recordar nunca filtrar metadatos personales. Siempre ejercitar el sentido común y asumir cualquier interacción "demasiado amigable" podría ser un intento de ingeniería social.

Fuentes:

https://tails.net/
https://www.whonix.org/
https://www.torproject.org/
 

La privacidad y el anonimato son las razones fundamentales para utilizar la Dark Web, ¿Pero por qué y cómo?

La privacidad y el anonimato son necesarios para el funcionamiento de la sociedad. Las personas desean sentirse seguras y no vigiladas o investigadas.

Incluso con la proliferación de las redes sociales y el exceso de información personal compartida en estas, muchas personas aún desean mantener sus datos privados, y mantener su información personal en privado.

Internet proporciona una manera de comunicarse y compartir, pero con el tiempo se está convirtiendo en una herramienta para los proveedores recolecten información sobre nosotros, para ofrecernos productos los cuales son supuestamente deseamos, acorde a nuestro comportamiento en la red. También es una manera para los gobiernos vigilen, y para los estafadores y delincuentes recolecten información con intenciones maliciosas.

Utilizar la Dark Web permite a las personas comunicarse, comprar, conectarse, y trabajar de manera privada y anónima.

Al menos esa es la idea. Como ocurre con todas las tecnologías y entornos, las personas menos éticas entre nosotros utilizan las ventajas relacionadas al anonimato y privacidad ofrecida por la Dark Web para sus propios fines.

La privacidad se define como el estado en el cual una persona (o entidad corporativa) oculte información sobre sí misma de otros. Esto puede ser hecho por varias razones, los cuales en última instancia no son relevantes. La idea es que, es posible o al menos debería serlo. Esto se está reforzando por leyes, como el GDRP, y varias normativas y leyes sobre privacidad.

El anonimato puede ser descrito como ocultar la verdadera identidad de una persona de otros sin ocultar ni censurar sus actividades.

Internet ha afectado estos términos y ha disminuido el nivel de ambos para nosotros.

Los ciberdelincuentes, empresas, y gobiernos recolectan información sobre nosotros.

Esto perjudica nuestra privacidad. Pocas personas entienden cuanto.

Sin privacidad en línea, la información (personal o empresarial) puede ser accedida y utilizada por los tres tipos mencionados anteriormente (ciberdelincuentes, empresas y gobiernos).

Si se utiliza como ejemplo las empresas de publicidad. Recolectan información para ser capaces de segmentarnos según nuestras preferencias, historial de búsqueda, y otros parámetros, causando el efecto el cual se ve, mientras se navega en Internet: recibir anuncios de productos o servicios los cuales se buscaron, fueron de interés, o en algunos casos en los cuales se hizo clic accidentalmente en un enlace.

Los gobiernos recolectan esta información para crear perfiles y detectar si alguna persona o grupo es un disidente, así como para prevenir crímenes o actos de terrorismo. No importando cual sea la razón, están invadiendo nuestra privacidad.

Es importante comprender el anonimato y la privacidad no son lo mismo.

Se podría ser anónimo pero no tener privacidad, o viceversa. Para la mayoría de nosotros nuestra identidad es nuestro activo más preciado, y muchas personas prefieren tener identidades separadas en línea para garantizar el anonimato.

Para algunos el anonimato es importante para ser capaces de expresar opiniones sin temor a represalias. Para otros depende del país donde se esté localizado, y para otros esto depende de la profesión.

En resumen, se requiere proteger nuestra información, ya sea médica, financiera, o personal. Si un ciberdelincuente gana acceso hacia esta información, se tiene el riesgo de sufrir robo, chantaje, suplantación de identidad, fraude, o cualquier otro tipo de ataque el cual podría perjudicarnos de diversas maneras.

La libertad de expresión es un derecho el cual debe ser ejercido por todas las culturas y personas.

Para preservar o mantener la privacidad y anonimato en línea, se puede utilizar diversas herramientas, como VPN, el navegador Tor, y haciendo esto navegar por la Dark Web.

Fuentes:

https://www.investopedia.com/terms/d/dark-web.asp
 

Así como la Web Superficial o WWW está sobre Internet, la Deep Web existe en la Dark Net (o, mejor dicho en múltiples redes oscuras).

Es importante señalar los términos Dark Web y Dark Net no son sinónimos. Dark Net era un término utilizado en la década de 1970 para referirse a redes aisladas de ARPANET, principalmente por propósitos de seguridad, como la compartimentación. Estaban configuradas para ser capaces de recibir datos externos, pero permanecían ocultas en los listados de red en ARPANET y no respondían ante consultas de red, como las peticiones ping.

Con el transcurrir del tiempo el término también se utilizó para referirse a las redes superpuestas, las cuales son esencialmente redes utilizando software y hardware para crear múltiples capas de abstracción. Estas capas se ejecutan sobre múltiples capas de red separadas e independientes, o sobre una red común (de ahí el término superpuesta), accesibles únicamente con navegadores o software especiales, o cuando sus direcciones IP no son encaminables globalmente. Algunos ejemplos de estas redes superpuestas son Tor, el Proyecto de Internet Invisible (I2P), o FreeNet.

Así se puede considerar la Dark Net como la infraestructura subyacente a la Dark Web, el cual comprende el contenido y los sitios web hacia los cuales únicamente se puede acceder con software especializado.

Un ejemplo el cual ilustra la Dark Net es  Tor, también conocido como The Onion Router. Se trata esencialmente de una red distribuida de servidores o hosts, donde el tráfico de los usuarios se redirige entre diversos encaminadores.

Esto dificulta la vigilancia de los datos, lo cual mejora el anonimato, la privacidad, y la seguridad.

Como se puede observar en la imagen, internet abarca la Deep Web, la cual se encuentra dentro (o debajo) de la Surface Web, y la Dark Web, la cual se ubica en la Dark Net (otra parte de esa magnífica red de redes conocida como Internet).

Fuentes:

https://www.torproject.org/
https://i2p.net/es/
https://freenet.org/
 

El nombre "Tor" puede referirse hacia varios componentes diferentes.

Tor es un programa el cual se puede ejecutar en una computadora para ayudar a mantenerse a salvo en Internet. Protege redirigiendo tas comunicaciones alrededor de una red distribuida de repetidores ejecutados por voluntarios a nivel mundial: previene alguien vigile la conexión hacia Internet y conocer cuales sitios web se visita, además previene los sitios visitados conozcan la dirección física de origen. Este conjunto de repetidores voluntarios se denominado la red Tor.

La mayoría de personas utiliza Tor con Tor Browser, el cual es una versión de Firefox el cual arregla muchos problemas de privacidad.

¿Cuales protecciones proporciona Tor?

La privacidad y el anonimato ofrecida por Tor

Tor encripta el tráfico en capas y lo encamina a través de diferentes servidores, de tal modo ningún punto individual puede revelar quien se es y que se hace en línea.

La comunicación en Internet está basada en un modelo de almacenamiento y reenvío el cual puede entenderse como una analogía del correo postal: los datos se transmiten en bloques llamados datagramas o paquetes IP. Cada paquete incluye una dirección IP de origen (del remitente) y una dirección IP de destino (del receptor), similar a las cartas ordinarias contiendo las direcciones postales del remitente y el destinatario. El camino del remitente hacia receptor involucra múltiples saltos de encaminadores, donde cada encaminador inspecciona la dirección IP de destino y reenvía el paquete lo más cerca posible de su destino. De esta manera cada encaminador entre el remitente y el receptor conoce el remitente se está comunicando con el receptor. En particular, el proveedor de servicios de internet (ISP) local puede crear un perfil completo sobre la utilización de Internet. Además cualquier servidor en Internet pudiendo ver alguno de los paquetes puede perfilar comportamientos.

El objetivo de Tor es mejorar la privacidad enviando el tráfico a través de una serie de proxies. La comunicación se encripta en múltiples capas y se encamina a través de varios saltos en la red Tor hasta el receptor final. Tener en consideración el ISP observa se está comunicando con nodos Tor. Similarmente los servidores de Internet únicamente ven ellos están siendo contactados por nodos Tor .

Hablando de manera general, Tor busca solucionar tres problemas de privacidad:

Primero, Tor previene los sitios web y otros servicios conozcan una ubicación la cual se podría utilizar para crear bases de datos sobre hábitos e intereses. Con Tor las conexiones hacia Internet no delatan por defecto; ahora se tiene la capacidad de elegir, para cada conexión, cuanta información revelar.

Segundo, Tor previene personas quienes vigilan tráfico localmente (como el ISP o alguien con acceso al wifi o encaminador casero) conozcan cual información se está descargando y desde donde se obtiene. También los detiene de decidir cual información se está permitido de obtener o publicar: si se puede acceder hacia cualquier parte de la red Tor, se puede acceder hacia cualquier sitio web en Internet.

Tercero, Tor encamina la conexión a través de más de un repetidor Tor, de tal manera ningún repetidor puede conocer aquello lo cual se está haciendo. Dado estos repetidores son ejecutados por diferentes personas u organizaciones, la distribución de confianza proporciona mayor seguridad comparada con la antigua perspectiva de proxy de un solo salto.

Sin embargo, existen situaciones en las cuales Tor dalla en resolver completamente estos problemas de privacidad.

Fuentes:

https://support.torproject.org/about-tor/introduction/what-is-tor/
https://support.torproject.org/about-tor/introduction/protections/
 

El script de nombre afp-serverinfo, muestra información del servidor AFP. Esta información incluye el nombre de host del servidor, las direcciones IPv4 e IPv6, y el tipo de hardware (por ejemplo, Macmini o MacBookPro).

Apple Filing Protocol (AFP), formalmente AppleTalk Filling Protocol, es un protocolo de red propietario, y parte del Servicio de Apple File Services (AFS), el cual ofrece servicios de archivos para macOS, Mac OS clásico, y computadoras Apple II.

Se ejecuta el script contra dos direcciones IPv6.

La opción --script=afp-serverinfo de Nmap, permite definir el nombre del script.

$ nmap -Pn -n -p 548 --script afp-serverinfo.nse 121.161.50.58 

El escaneo realizado revela la siguiente información:

Machine Type) Netatalk3.1.12. No es un servidor macOS real. Netatalk es una implementación de código abierto de AFP para sistemas tipo Unix/Linux.

Network Addresses: Dirección IP 172.17.0.1. Es la dirección IP por defecto de la pasarela.

UAMs: Indican como se validan las credenciales: DHX2, DHCAST128. El hecho de soporte ambos indica compatibilidad con clientes antiguos.

Server Flags. Tres indicadores críticos para la etapa de post-explotación: Password Saving Prohibited: false: El servidor permite que los clientes guarden la contraseña.  Open Directory: true: El servidor puede estar integrado con servicios de directorio (como LDAP o Apple Open Directory). Super Client: true: El servidor soporta capacidades para administración avanzada a través del protocolo.

Desde la perspectiva de Ciberseguridad, se puede verificar la existencia vulnerabilidades conocidas para Netatalk, como también intentar enumerar usuarios, y analizar si se revelan nombres de cuentas válidas.

Fuentes:

https://nmap.org/nsedoc/scripts/afp-serverinfo.html
https://en.wikipedia.org/wiki/Apple_Filing_Protocol
 

El script de nombre address-info, muestra información adicional sobre direcciones IPv6, como direcciones MAC integradas, o direcciones IPv4, cuando estén disponibles.

Algunos formatos de direcciones IP codifican información adicional; por ejemplo algunas direcciones IPv6 codifican una dirección IPv4 o una dirección MAC. Este script puede decodificar estos formatos de dirección:

Direcciones IPv6 compatibles con IPv4,
Direcciones IPv6 mapeadas con IPv4,
Direcciones IPv6 Teredo,
Direcciones IPv6 6to4,
Direcciones IPv6 utilizando un ID de interfaz EUI-64,
Direcciones IPv6 integradas con IPv4,
Direcciones IPv6 traducidas a IPv4 y
Direcciones IPv6 EUI-64 modificadas con ISATAP.

Se sugiere consultar el RFC 4291 para obtener información general sobre la arquitectura de direccionamiento IPv6, y las definiciones de algunos términos.

Se ejecuta el script contra dos direcciones IPv6.

La opción --script=address-info de Nmap, permite definir el nombre del script.

$ sudo nmap -n -Pn -sn -6 --script=address-info 2600:3c01::f03c:91ff:fe18:bb2f
$ sudo nmap -n -Pn -sn -6 --script=address-info 2600:3c03::f03c:95ff:feed:4d4f

En los escaneos obtenidos se puede visualizar Nmap ha detectado la dirección IPv6 de ambos hosts se generaron utilizando el estándar EUI-64. Este método utiliza la dirección MAC física de la tarjeta de red, la divide por la mitad, inserta el valor hexadecimal ff:fe en medio y voltea el séptimo bit del primer octeto para crear la Interface ID de la dirección IPv6.

Para ambos hosts Nmap indica manuf: Unknown porque los prefijos MAC comenzando con f2:3c:91 y f2:3c:95 no están registrados en la base de datos oficial de la IEEE (OUI - Organizationally Unique Identifier).

Desde la perspectiva de Ciberseguridad tiene interpretaciones interesantes; pues cuando se encuentran direcciones EUI-64 con fabricantes desconocidos, y bits de administración local, generalmente se está ante uno de estos dos escenarios; Virtualización o Contenedores, como también Aleatorización MAC “MAC Randomization” (Privacidad)

Fuentes:

https://nmap.org/nsedoc/scripts/address-info.html
https://www.rfc-editor.org/rfc/rfc4291.html
 

La meta o propósito principal de una carpeta de nombre “config”, es dividir código lógico de los datos críticos y variables, pues sin esta carpeta se debería escribir la contraseña correspondiente a la base de datos en cada archivo php o js. Consecuentemente si la contraseña cambiase se deberá modificar tal vez cientos de archivos.

Entre el tipo de contenido más frecuentemente almacenado se encuentra información sobre conexión hacia bases de datos, variables de entorno o rutas, integraciones con terceros (llaves API).

El Google Dork utilizado es el siguiente:

site:pe intitle:"index of" inurl:/config/

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva intitle: Busca en el título de página en texto “index of”, con el propósito de encontrar servidores quienes tengan habilitado el listado de la carpetas.

La directiva inurl: Filtra los resultados para mostrar únicamente aquello conteniendo el texto “/config/” en la URL.

En esta oportunidad Google encontraron 1,300 resultados.

Empresa Nacional de la Coca S.A. - ENACO S.A.

ELABS PUCP

Atmosfera com pe

Desde la perspectiva de ciberseguridad está búsqueda tiene diversas implicancias, con consecuencias potencialmente devastadoras. El principal riesgo es el robo de credenciales de bases de datos, pues los archivos contenidos en esta carpeta frecuentemente contienen texto plano. Exposición de llaves API y secretos, pues las aplicaciones modernas se conectan hacia otros servicios. Así mismo puede generar un compromiso total del servidor, dado el hecho esta carpeta podría almacenar llaves para encriptación, pudiendo un ciberatacante tener la capacidad de falsificar cookies o sesiones, para escalar privilegios y ejecutar comandos.

Fuentes:

https://www.exploit-db.com/google-hacking-database
 

Los archivos “logs” o de registro, son archivos generados por software, los cuales contienen información de las operaciones, actividades, y patrones sobre la utilización de una aplicación, servidor, o sistema de TI. Incluyen un registro histórico sobre todos los procesos, eventos, y mensajes, junto con datos descriptivos adicionales como marcas de tiempo, para contextualizar esta información. Las marcas de tiempo indican aquello ocurrido dentro del sistema, además de cuando ocurrió. Así en caso de generarse un problema en los sistemas, se dispondrá de un registro detallado sobre todas las acciones realizadas antes del incidente.

El Google Dork utilizado es el siguiente:

site:pe filetype:log

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva filetype: restringe los resultados para sean mostrados únicamente archivos con extensión LOG.

En esta oportunidad Google encontraron únicamente 7 resultados, de lo cuales únicamente 3 son funcionales.

Scientific Electronic Library Online – SciELO

Municipalidad Provincial de Cañete

Superintendencia Nacional de Salud

Las implicancias de los archivos Logs desde la perspectiva de ciberseguridad, se relacionan fundamentalmente con la exposición de información. Credenciales en texto plano, pues algunos programadores puede registrar erróneamente intentos fallidos de sesión, incluyendo nombre de usuario y contraseña. Rutas sensibles, mostrando potencialmente cuales archivos están siendo accedidos, exponiendo carpetas ocultas administrativas. Direcciones IP, registrando quienes han accedido hacia un sitio, permitiendo al ciberacatante identificar a otros usuarios o administradores para realizar ataques de ingeniería social. Tokens o Cookies, pues si el log de una aplicación web está mal programada podría contener tokens activos permitiendo al ciberatacante robar la sesión del usuario. Finalmente errores SQL, exponiendo fallas en la base de datos proporcionando indicios sobre como realizar una inyección SQL.

Fuentes:

https://aws.amazon.com/what-is/log-files/
 

WampServer es un entorno para desarrollo web en sistemas operativos Windows. Permite crear aplicaciones web con Apache2, PHP, y una base de datos MySQL. Además PhpMyAdmin facilita la gestión de bases de datos.

WampServer instala automáticamente todo lo necesario para empezar a desarrollar aplicaciones web, además de ser muy intuitivo. Se podrá rápidamente configurar un servidor sin necesidad de modificar los archivos de configuración.

El Google Dork utilizado es el siguiente:

site:pe intitle:"WAMPSERVER Homepage"

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

intitle: Busca páginas indexadas por Google cuyo título sea exactamente "WAMPSERVER Homepage"

En esta oportunidad Google encontró cuatro resultados.

UGEL 02 | Unidad de Gestión Educativa Local 02

Programa de Compensaciones para la Competitividad

Desde la perspectiva de ciberseguridad la página de inicio de WampServer es un panel de control interactivo.

Un ciberatacante puede obtener información detallas sobre las versiones de Apache, PHP, MySQL, teniendo la capacidad de buscar fallas específicas a explotar. Así mismo se puede obtener información sobre la configuración del servidor, como extensiones cargadas conteniendo vulnerabilidades. También es factible obtener una lista de proyectos, pues WampServer muestra por defecto una lista de todos los proyectos residiendo en el servidor, pudiendo un ciberatacante visualizar los nombres de bases de datos, carpetas de clientes, o código fuente.

Finalmente la página puede incluir enlaces directos hacia phpMyAdmin para gestionar bases de datos. Como también una página phpinfo la cual revela información muy detallada, como variables de entorno, rutas completas en el sistema, configuraciones de red, etc.

Fuentes:

https://www.wampserver.com

Un archivo changelog es una lista de cambios hechos hacia el software el cual ha sido revisado transcurrir del tiempo, como un código base o un producto.

Un archivo changelog puede ser un registro organizado. El autor del archivo changelog puede presentar la información para facilitar su comprensión y consumo. Para un proyecto de software y una liberación de software, un archivo changelog frecuentemente está organizado como correcciones de bugs y nuevas características.

El Google Dork utilizado es el siguiente:

site:pe inurl:changelog

La directiva site: restringe los resultados únicamente a dominio pe, correspondiente a Perú.

La directiva inurl:busca páginas indexadas por Google los cuales incluyan la palabra changelog en la URL.

En esta oportunidad Google encontraron únicamente 1,230 resultados. 

Instituto Nacional Penitenciario - INPE

Gobierno Regional Tacna - Gore Tacna

Calzados Zedani

Desde la perspectiva de la ciberseguridad los archivos changelog son interesantes porque esencialmente son un mapa de potenciales debilidades. En primera instancia puede revelar la versión exacta de software siendo utilizada a nivel del servidor. Así mismo revela un historial de parches, pudiendo un ciberatacante inferir como funcionaba una vulnerabilidad, para probar si está mal parchada. También puede revelar rutas internas hacia diversos archivos, nombres de desarrolladores, y correos electrónicos. Finalmente puede exponer tecnologías ocultas, como plugins o librerías específicas, para afinar más un ciberataque.

Fuentes:

https://en.wikipedia.org/wiki/Changelog