Gmail, víctima de phising

El pasado miércoles GMail, el servicio de correo de Google estuvo en boca de todos. ¿Por un nuevo servicio? ¿Una actualización? Nada más lejos de la realidad: miles de usuarios reportaron que bajo el título «X (alguien de la lista de contactos) te ha compartido un documento en Google Docs» se escondía un malware que en poco tiempo se traspasó a millones de equipos entre ellos a trabajadores de BuzzFeed, New York Magazine, Gizmodo, etc. que avisaron del problema al público.

Aunque Google se dio prisa en bloquear el malware, el daño estaba hecho y aún ahora hay equipos que podrían estar infectados. El funcionamiento era muy sencillo (y eficaz), al entrar en el mail había un enlace a una página de Google que nos daba a elegir el la cuenta con la que entrar al documento. Posteriormente se «otorgaban permisos» a Google Docs -una falsa app- para entrar en todo nuestro perfil. Y eso, de paso, abría la puerta para que todos nuestros contactos entraran en la cadena de phising.

En un primer momento Google solo pidió que no se abriera el mail y que directamente se borrara. Sin embargo se mostró como una opción poco eficaz pues lo hicieron a través de redes sociales y muchas personas no pudieron acceder a las mismas durante sus turnos de trabajo. Poco tiempo después Google oficializaba que había sucumbido a un ataque.

Es cierto que tan solo tardaron una hora en dar con el problema y bloquear la aplicación, pero también lo es que la aplicación estaba programada para hacer una copia de los contactos y contenidos de cada cuenta de usuario lo que ha hecho que la empresa de Mountain View haya advertido que aún puede haber equipos y cuentas infectadas.

Precisamente por eso, la empresa del buscador ha pedido a sus millones de usuarios que entren en sus cuentas para revisar uno a uno los permisos de acceso que han otorgado a cada aplicación y que eliminen «Google Docs».

De esta forma, aunque no estaremos a salvo si el desarrollador ha hecho una copia de seguridad de los contenidos, nos permitirá que la aplicación no pueda seguir entrando. Los usuarios deberán estar alerta durante un tiempo y la empresa, sobre todo, deberá ganarse de nuevo la confianza de aquellos que pensaban que era prácticamente infranqueable.

Smart Reply, Google quiere hacerlo todo por nosotros

Seguro que a todos nos ha pasado algún día (o todos) levantarnos de la cama, salir del gimnasio, bajar del avión y tener decenas de emails en la bandeja de entrada. Un sonido que debería ser absolutamente inocuo se convierte en una tortura que significa trabajo o spam. Y seguro que en alguno de esos días (o todos) nos gustaría poder borrar todos de golpe sin pensar o que alguien los respondiera por nosotros. Si es así, felicidades, Google ha escuchado nuestras «plegarias» y ha decidido dar un paso más -en favor de nuestra comodidad o en contra de nuestra privacidad-.

Hace ya tiempo que Google escanea nuestros emails así que era solo cuestión de tiempo que la empresa generara un software que supiera qué hacer con ellos. La idea se llama smart replay y, según la propia empresa, ya se ha puesto en marcha en varios servicios de Alphabet y su objetivo es identificar cuáles son los mensajes que requieren de más urgencia para ser respondidos y generar respuestas automáticas. El usuarios solo pulsará sobre la que mejor le convenga y el email de vuelta se generará al momento.

En el blog de la empresa Bálint Miklós, uno de los ingenieros de software de la empresa encargada de su desarrollo, pone como ejemplo un email con la pregunta «¿tienes alguna documentación sobre cómo usar el nuevo software?». La plataforma pone a disposición de Miklós tres respuestas: «No, lo siento»; «Sí, pero tengo que buscarlo»; «Sí, te la envío».

En palabras del propio ingeniero una forma de ahorrar «un tiempo precioso para aquellos emails que requieren de una respuesta corta y rápida». ¿Y para aquellos que requieren de algo más? «Estas respuestas serán un primer impulso sobre el que desarrollar el resto de la respuesta». En definitiva una evolución más después de que durante años servicios como Gmail y Yahoo! Mail hayan ayudado a los usuarios a ordenar los emails por contenidos y hayan apartado el spam, por ejemplo.

Ahora es la inteligencia artificial la que lanzará las respuestas más adecuadas y, sobre todo, la que aprenderá de las respuestas que nosotros damos habitualmente para convertirse en «nuestro espejo». Los algoritmos conocerán nuestras formas y cada vez se irán pareciendo más a nosotros. Por cierto, aunque solo está disponible en inglés por el momento, quien quiera probarlo ya puede buscarlo en la App Store y en Google Play.

Smart Replay utiliza otras tecnologías que Google ya tiene en marcha como Inbox. Ésta se encarga de conocer cuál es el contenido de los emails de entrada y separarlos entre los importantes, los que necesitan respuesta urgente y los que son solamente spam o publicidad poco relevante (¿la de la competencia?) Inbox, además, está siendo desarrollado cada día más para que pueda generar respuestas con un lenguaje natural, aunque las pruebas internas de ambos sistemas han provocado curiosas reacciones entre los propios trabajadores de Google (pidieron eliminar la respuesta «te quiero»).

El motivo es sencillo: tanto gracias como te quiero son respuestas amistosas y habituales en los emails que recibimos de personas cercanas -la primera también en los de trabajo- lo que hizo que el sistemas entendiera que eran respuestas «seguras» que podían ser utilizadas con cierta asiduidad. El error ya está subsanado.

Según Google, Smart Reply se ciñe a los mismos rigurosos sistemas de privacidad de otros servicios de la compañía -como Google Now- de modo que la información escaneada nunca es compartida con la empresa o terceros de modo que la información está «asegurada». Ningún ser humano lee los emails, solo robots que pretenden hacer más rápido nuestro día a día. ¿Cuál será el siguiente paso?

Celebgate y Google, ¿qué ha pasado realmente?

Hace poco más de un mes hablábamos del enorme valor de las contraseñas y el motivo de sus robos masivos. En septiembre, en pocos días, hemos conocido el escándalo del Celebgate en el que los contenidos de la nube de Apple de cien famosas han sido pirateados y están siendo hechos públicos y la filtración de casi cinco millones de contraseñas de Gmail en dos foros rusos. ¿Qué ha ocurrido en ambos casos? ¿Son similares? ¿Qué podemos hacer para protegernos?

Google también cae

 

Aunque ha sido mucho más sonado el caso de las fotografías robadas a las famosas, por volumen y por cercanía empezaremos con el caso de las contraseñas robadas y que afectan a millones de usuarios de Gmail, Google Plus, Yandex y Mail.ru. El foro btcsec.com, especializada en seguridad, hacía pública una captura de pantalla en el que se advertían nombres de usuarios y contraseñas y explicaban que al menos el 60% eran fiables.

La delegación de Google en el país respondía que la gran mayoría de esa información estaba desactualizada o se refería a cuentas fantasma o abandonadas. De momento, ninguna de las agencias de seguridad digital estatales han recibido ninguna denuncia por algún afectado, sin embargo, tres hackers que aseguraron ser de Anonymous reclamaron la autoría y afirmaron que aunque el ataque fue sobre una base de datos en California podrían hacerlo en cualquier otra.

Yandex y la propia Google explican que estos ataques son el resultado de pirateos continuos y que su seguridad no se ha visto afectada, «sólo la de los usuarios pirateados». Los investigadores no están de acuerdo. Para conseguir una base de datos de este tamaño a partir de ataques individuales harían falta años… y muchas personas implicadas. Además, es poco probable que los hackers estén interesados en atacar a personas individuales habiendo objetivos mucho más jugosos como las TPVs de los bancos o datos de tarjetas como los de los usuarios de PlayStation.

En lo que va de mes, sólo en Rusia, empresas como Yandex o Mail.ru han visto comprometida la seguridad 4,7 y 1,3 millones de cuentas. Un total de 11 millones de afectados en el país en menos de dos semanas. Precisamente por estas cifras y porque las empresas no están obligadas a proteger individualmente los datos de cada usuario recomiendan el empleo de contraseñas seguras (alfanuméricas) y su renovación periódica.

Celebgate, ¿de quién fue la culpa?

 

Que le roben a cien de tus clientes más famosos información comprometida sólo unos días antes de que se presenten nuevos productos y servicios (como Apple Pay) no es bueno. Que unido al escándalo salga continuamente la marca iCloud, tampoco.

Son varias las famosas que han anunciado que emprenderán acciones legales contra los que han colgado las imágenes -algunas de ellas eran menores cuando se hicieron las fotos con lo que el delito adquiere una dimensión mucho más grave- y otras barajaron querellarse contra Apple por una supuesta brecha en la seguridad de su nube.

Sin embargo, como han explicado varios analistas y ha argumentado la empresa, en este caso sí se ha dado un ataque individual a las celebrities con el fin de obtener un botín de alto valor. Una vez más, el empleo de técnicas como phising, revelar o utilizar preguntas de seguridad muy obvias -algunas respuestas de las famosas afectadas se habían publicado en entrevistas en medios- o los ataques de fuerza bruta han sido los responsables de este escarnio.

¿Tenemos alguna forma de protegernos? Como siempre, recomendamos el empleo de claves alfanuméricas que empleen algún carácter especial y alterne mayúsculas y minúsculas; activar la verificación en dos pasos en todas las cuentas posibles; renovar periódicamente las contraseñas (hay programas que te ayudan a tenerlas a salvo y te las recuerdan); no usar nunca la misma para todas las cuentas críticas (bancos, correo, sitios de compras, etc.) y procurar separar las cuentas «críticas» de correo -trabajo, por ejemplo- de las que utilizamos en lugares menos seguros como foros.

Immersion, Obama al descubierto

La extraña imagen con la que abrimos el post de hoy es uno de los mapas que ha llevado a cabo Immersion, un proyecto de un grupo de investigadores del Massachussets Institute of Technology de Boston y que demuestra el potencial informativo del sistema Prism que utiliza la NSA (la Agencia de Seguridad Nacional estadounidense) y que Eric Snowden ha descubierto.

 

El software, desarrollado por tres alumnos del Media Lab de la universidad permite, a cualquiera que introduzca su cuenta de correo en GMail y su contraseña, crear un mapa a partir de quién envía y quién recibe mensajes. No es necesario que analice los contenidos de las comunicaciones. Tan sólo el canal es suficiente para trazar un mapa bastante fehaciente de con quién se comunica cada uno de nosotros.

 

El gracioso ejemplo que nos brinda el Media Lab (pobre Howard Wolowitz) deja claro todo lo que la NSA o las tecnológicas pueden saber de nosotros sin necesidad de vulnerar por completo nuestra intimidad. Los algoritmos permiten crear un mapa sorprendentemente exacto de nuestra red social real -no una «de cara a la galería» como Facebook, sino de nuestras interrelaciones digitales reales-.

 

El tamaño de los círculos aumenta la relevancia de la persona con la que nos comunicamos y el espesor de la línea que nos une a ese círculo indica el volumen de contactos que tenemos con esa persona. Así, es habitual encontrar gruesos trazos con familiares y compañeros de trabajo pero, para un ojo más entrenado, también le llamarán la atención las finas líneas directas con contactos más «especiales».

 

A partir de estas relaciones se pueden discernir hábitos y costumbres -desde horarios hasta de comunicación o trabajo- así como ideología política, religiosa o -añaden los expertos- tendencias sexuales. Si una persona está suscrita a una web que tenga una determinada ideología o fin es probable que muestre cierta simpatía hacia esa actividad.

 

El País reproduce parte de la entrevista que César Hidalgo, supervisor del proyecto, ha concedido a The Boston Globe y de ella se dilucidan algunas conclusiones interesantes: «observar el Facebook o Twitter de una persona nos permite realizar un retrato de una persona del mismo modo que si estamos dentro de un coche mirando por la ventanilla. Usar metadatos como los que maneja Immersion equivale a conducir guiado por un potente GPS».

 

Así, este sistema no analiza sólo a una persona. En el momento en el que se pone a trabajar todos los contactos, toda la red de personas, es susceptible de ser analizada por el programa lo que, al final, otorga un enorme poder para el analista. Lo más importante es que cuando Obama afirmaba que sólo estaban recabando datos de las llamadas de Verizon, «no de los contenidos», estaba admitiendo que contaba con mapas de relaciones perfectamente elaborados -y bastante concluyentes- de cada uno de los objetos de seguimiento.

 

Por mucho que desde que Snowden sacara a la luz el espionaje de Washington la NSA haya intentado demostrar que son datos superfluos sin interés, un gran grupo de expertos y profesores ha demostrado que la importancia de estos metadatos va mucho más allá que la de unos pocos gráficos o seguimientos «por seguridad». Es un enorme retrato robot de las personas bajo la implacable lupa del Gran Hermano.

GMail, renovado y más sencillo

Da igual que no seas un alto ejecutivo de la City o que no seas partidario de darte de alta en muchas webs, los correos electrónicos inundan nuestras vidas desde que podemos tenerlos y llevarlos en cualquier parte. Estar unos pocos días fuera del trabajo pueden suponer muchas horas para poder leer, clasificar y contestar esa maraña de correspondencia que, normalmente, viene aderezada de mucha publicidad y algún que otro spam.

 

GMail, el principal servicio de correo electrónico en todo el mundo se ha renovado esta misma semana para hacer esas tareas más sencillas. Ya era intuitivo, era rápido y tenía un buscador genial -como no podría ser de otro modo tratándose de un servicio de Google- pero ahora, gracias a sus cinco buzones por cuenta (son opcionales pero mucho más que recomendables) la facilidad para clasificar y leer en orden los mensajes se incrementa notablemente.

 

Los nuevos buzones aparecen como pestañas encima de los mensajes de entrada. Cada una de ellas tiene un color asignado y nos permitirá clasificar del siguiente modo los correos:

 

  • Principal: mensajes «VIP». De amigos y familiares así como los «inclasificables» en otras categorías. Sus alertas -indicando el número de correos recibidos- nos aparecerá en gris.
  • Social: incluye todos aquellos procedentes de redes sociales y de webs en las que hayamos compartido información personal. Su color es el azul.
  • Promociones: cualquier oferta, descuento o correo promocional se enviará automáticamente a este buzón que se identifica con el tono verde.
  • Notificaciones: el buzón amarillo se quedará con las facturas, recibos, confirmaciones de compras, etc.
  • Foros: cualquier mensaje procedente de foros, grupos, listas de mailing, etc. se clasificarán en el buzón morado.
Lo mejor de todo ello es que, aunque parezca que hay que clasificarlos a mano, el propio GMail es capaz de distinguirlos y enviarlo al buzón correspondiente automáticamente. En pocas horas después de usar las pestañas los correos electrónicos aparecerán por arte de magia donde les corresponde: las ofertas de Privalia y Amazon; la factura de Euskaltel o Vodafone; los avisos de etiquetados de Facebook y los nuevos seguidores en Twitter; incluso las conversaciones vía correo electrónico se «apartan» de la pestaña principal para facilitarnos el trabajo con el servicio.
Si, por una casualidad, GMail se «equivoca» o preferimos que un correo salte de un buzón a otro, tan sólo hay que arrastrarlo desde su ubicación por defecto al nuevo destino que queremos asignarle. Así de sencillo. A partir de entonces todas las notificaciones electrónicas de ese origen irán a nuestro «color» preferido.
El resto, que ya funciona excepcionalmente bien, no cambia. Las estrellas para remarcar la importancia de algunos mails, las etiquetas para cada uno de ellos, «Chats», «Enviados» o «Spam». En su presentación Itamar Gilad, responsable de GMail dijo que el cambio pretende evitar que «el correo nos controle a nosotros» para que seamos nosotros los que utilicemos con facilidad esta herramienta.
Los cambios, por cierto, no serán sólo para la versión de escritorio, en pocos días llegará a cualquier dispositivo que use Android 4.0 y, por supuesto, a los iPad y iPhone. GMail ya cuenta con 425 millones de cuentas activas y es el líder en casi todos los países en los que está disponible (en 54 idiomas). Actualizaciones como esta lo explican fácilmente.