Portada
mis comunidades
otras secciones
#1:
Da tranquilidad conocer la tremenda seguridad de nuestros datos en manos de las autoridades.. Pepe Gotera y Otilio 2.0
#7:
Amarillista no, lo siguiente. Dice el titular "de la forma más obvia"
Y empiezan a explicar que solo tuvo que acceder a la Red Sara de la Policía (como si fuera algo obvio) y a partir de ahí a la pasarela de los Juzgados con Hacienda usando la IP de la policía. Claro claro todo muy obvio
Y empiezan a explicar que solo tuvo que acceder a la Red Sara de la Policía (como si fuera algo obvio) y a partir de ahí a la pasarela de los Juzgados con Hacienda usando la IP de la policía. Claro claro todo muy obvio
#4:
Se vuelve a demostrar que el eslabón más débil en la seguridad informática es el humano
#2:
El segundo paso fue conseguir las credenciales de varios funcionarios del juzgado de Bilbao a través del envío de una página web falsa a sus correos electrónicos simulando el acceso al punto neutro judicial. Fue un caso claro de phishing en el que cayeron ambos funcionarios al proporcionar contraseña y usuario que le permitió acceder al sistema judicial, y después a la base de datos de Hacienda.
#27:
#1 Nadie puede controlar que un funcionario caiga en un phishing bien hecho. En último caso es responsabilidad del funcionario, no del sistema. También te digo que todo absolutamente es hackeable, es cuestión de que quieran hacerlo y que les compense (y que no les pillen, como ha sido el caso).
Comentarios
Da tranquilidad conocer la tremenda seguridad de nuestros datos en manos de las autoridades.. Pepe Gotera y Otilio 2.0
#1 Nadie puede controlar que un funcionario caiga en un phishing bien hecho. En último caso es responsabilidad del funcionario, no del sistema. También te digo que todo absolutamente es hackeable, es cuestión de que quieran hacerlo y que les compense (y que no les pillen, como ha sido el caso).
#27 Claro, yo para pedir cita en el médico necesito certificado digital, usuario, contraseña y doble factor pero nadie puede controlar que a la información confidencial de todos los españoles acceda cualquiera. Todo es culpa del funcionario
#34 Lo pone en la noticia, dos funcionarios cayeron en el phishing y le dieron su usuario y contraseña.
#35 Y qué? No hay control de IPs? DMZ? Tokens de acceso? El sistema es débil y MUY mejorable, si sólo depende de la contraseña de uno o dos usuarios.
#39 Tenía una IP de la policía. Lo suyo es leerse la noticia.
#40 Y las demás cosas que he dicho ya tal
#41 si leyeras la noticia sabrías cómo le pillaron.
#40 ¿Y cómo se puede tener una IP de la policía? No termino de entender que las IPs se puedan poseer.
#51 Bueno yo no soy el hacker, pero obtener una IP no es algo muy complicado, menos para alguien que sabe. Con el mismo phishing que hizo pudo obtener la IP de la respuesta, por ejemplo.
Un cuestionario de google docs te da la IP, no es algo muy difícil, y esto te digo sin acceder a su red, que para un hacker es bastante fácil.
#56 Ya, pero no es conocer la IP, es usarla para hacerse pasar por.
#56 tú hablas de conocer una IP. Otra cosa es que alguien te la asigne y la puedas usar para enviar y recibir información.
Una cosa es relativamente sencilla y la otra un fallo de seguridad importante.
#56 #51 Bueh.... tener la IP no significa nada.... hace 20 anios aun habia un ataque que era cuando entrabas en un sistema, metias una reta de vuelta en los paquetes IP aunque simulabas que era otra IP, pero ... me suena que eso no se hace ya.
Tampoco entiendo lo de que tiene una IP de la policia, me suena a que tenia el control de un ordenador de la policia y no quiern comerse el marron de: como tenia el control y nadie se dio cuenta.
#51 ...especulo con lo siguiente
Que el muchacho se hizo con "al menos dos" pares de usuarios y contraseñas, eso te queda algo claro......
Ahora piensa, si estos funcionarios están en su casa - con su operador comercial de turno. La posibilidad de que aunque utilicen algún sistema de vpn es posible; y si recuerdas el caso del SEPE.
Puede ser que el tema de que el cliente de vpn no sea tan seguro(cosa que tampoco dicen en la noticia), por lo que intuyo que además de lo expuesto en el artículo, no descartaría algún otro tipo de software un software para "robar" por ejemplo el certificado que utilizan algunos sistemas de vpn.
A partir de ahí, es el propio sistema "de red privada" quién te da el acceso con una ip propia.
Y esto es , especulando mucho.
#59 En los últimos años los ataques se han centrado mucho en vulnerar la seguridad de las VPN, y lo han conseguido en muchos casos.
#59 Lo de que ha robado un par de credenciales me queda claro. Lo de la VPN podría ser una explicación pero si la Policía Nacional no usa los propios certificados del DNI, que emiten ellos, igual es para hacérselo de mirar y que los ciudadanos les pidamos responsabilidades. ¿Podría haber robado también los certificados? Podría, pero eso ya es algo más complicado que el usuario y la contraseña. No sé. En todo caso, es muy gore que alguien robe datos judiciales y de hacienda desde una IP autorizada de la PN.
#59
#51 ¿vpn?
#51 Desde una oficina de Policía, siendo policía o con la cooperación de policías. Es la única manera. Detalle que el informe policial omite convenientemente.
#ACAB
#51 utilizó una IP de un ordenador la Policía, se refiere, no una IP de un policía. En las diligencias está bien explicado.
#51 Existe la reserva de IP´s...
https://es.wikipedia.org/wiki/Anexo:Direcciones_IP_reservadas
#95 Sí, pero no van por ahí los tiros.
#100 Pues ni idea...
Supuse que se haría pasar por la IP reservada a un pc de la policía, usando un man in the midle o algo parecido.
#51 Antes con el ADSL te daban IP fija en lugar de dinamica. Tenias la misma IP hasta que cambiabas de contrato. Con ipv6 supongo que se volveran a dar IPs fijas.
Entiendo que se metio en la red u ordenador con esa IP y desde ahi accedio o en la red se puso la mac que recibia esa IP y se la dieron.
#97 No.
#40 Pero al acceder si que saltó una alarma que dio pie a toda esta investigación. Las estadísticas fueron clave para ver que en un corto periodo de tiempo se estaban solicitando una gran cantidad de datos.
El sistema permite descargar datos de 500.000 personas sin que se bloquee por si solo ...
#57 imagino hay circunstancias donde una petición de este tipo es legitima, pero que se investiga fe oficio. Es bastante común.
Que justo sean 500000 indica que el joven conoce los procedimientos y apostó por sacar lo máximo en el menor tiempo posible. O igual es que tiene una chiripa increíble, no se.
En cualquier caso le trincaron por los cobros en la wallet fijo y luego fueron viendo en el interrogatorio a ver cuántas hazañas le podían empaquetar
#40 Como tenia una IP de la Policia?
Tenia un ordenador de un policia y desde ahi pivoto?
Es esto un tema de phising mas un que ha pivotado? Es que no me se la palabra en espaniol. Entonces tiene sentido, y la queja es que no le han parado en el ordenador, y por eso dice algo de los IDS. ... .
#39 Amigo mío, con que se cepille el PC de cualquiera con una VPN ya tendría acceso a la red interna y desde la misma, saltar al siguiente punto, como siempre se suele hacer. Y ni control de IPs, ni DMZs, ni gaitas.
#35 Joé, ya lo ha dicho #27, porqué a mí para pedir cita me piden el certificado digital y a estos solo un simple password? Mediocridad que habrá costado un Potosí a los Indras y similares
#35 Dime que no entiendes el comentario, la noticia y la seguridad informática sin decir que no entiendes el comentario ni la noticia ni la seguridad informática.
#35 me parece o que falta información o que es vergonzoso. Con usuarios y contraseña no se debería de poder extraer muchos datos y dudo que sea la única barrera hasta la información: vpn, certificados, doble factor, filtro por IP, filtro por máquina, horas de actividad y actividad sospechosa.
Yo veo aquí una negligencia a mayores a parte del funcionario de turno.
#35 Y poner un MFA para acceder a datos sensibles como hay en otros servicios?
#34 He ido a comprar una lupa para encontrar algún caso en que funcionario haya sido culpable de algo y inhabilitado.
#27 Oh, absolutamente incontrolable, de ninguna manera se puede detener.
No le expliques al funcionario lo que esl el phising con ejemplos y no hagas ensayos periódicos, no sea que aprenda.
Tampoco filtres las conexiones por un proxy y un firewall, no sea que no pueda conectarse a la página falsa.
#46 A ver, le han pillado, saltó una alarma en el momento que hizo demasiadas consultas (sí, esto que te digo, también viene en la noticia).
Es obvio que el sistema tiene fallas, de hecho ha sacado provecho de ello. También es obvio que no es tan malo cuando le han cogido rápidamente. Yo no digo que el sistema sea perfecto ni inmejorable, pero no me parece una chapuza como decía el comentario al que respondía en primer lugar.
Han hackeado a la NASA y a cientos de instituciones gubernamentales de todos los países del mundo.
#52 Tu comentario era que era responsabilidad del funcionario y no era evitable. No estoy de acuerdo. La formación y la concienciación en ciberseguridad a los usuarios es parte de las responsabilidades del departamento correspondiente. Hoy en día si un trabajador de una empresa con responsabilidad legal cae en un phising la responsabilidad no es totalmente suya.
Y hay decenas de medidas de seguridad para evitar tanto que llegue un mensaje de phising como que se pueda acceder a una página falsa (de hecho, no deberían ni poder salir a Internet desde las oficinas)
#55 Pues no estamos de acuerdo, porque por mucho que se instruya al funcionario/trabajador/usuario de turno es obvio que al final muchos caen. Hoy en día el mail del príncipe nigeriano sigue rulando y lo hace porque hay gente que cae. Tampoco digo que la responsabilidad sea exclusiva del funcionario que picó, pero es difícil controlar "el factor humano".
También comento que hacer algo imposible de hackear es imposible. Puedes ponerle más o menos trabas y también que si falla, al menos seas consciente de que ha habido una intrusión (de hecho el sistema saltó).
Mejorarán los fallos que el sistema tenga y aprenderán para la próxima, como todos.
#55 El phising cada día está más logrado.
#52 Le han pillado... cuando ya tiene nuestros datos hasta el tato. A burro muerto, la cebada al rabo.
#27 no tenían ni un triste MFA? Nada? Con usuario y contraseña de 2 tipos accedes a la info de 500k contribuyentes. Me parece de risa, precisamente pq coincido con lo que dices que cualquiera puede caer en un pishing. Por eso es necesario más seguridad.
Y luego los datos van todos sin encriptar? Entiendo que no... Pero seguro que si
Se vuelve a demostrar que el eslabón más débil en la seguridad informática es el humano
#4 Siempre, la mejor política de seguridad no sirve de nada ante un post-it pegado en la pantalla
#4 Maldita interfaz silla-teclado...
#31 los típicos errores de capa 8
#4 ¡Sustituyámosles por robots!
Amarillista no, lo siguiente. Dice el titular "de la forma más obvia"
Y empiezan a explicar que solo tuvo que acceder a la Red Sara de la Policía (como si fuera algo obvio) y a partir de ahí a la pasarela de los Juzgados con Hacienda usando la IP de la policía. Claro claro todo muy obvio
#7 bastante. Eso no es de hacker. Es de tu primo listillo que sabe mover el ratón.
A cualquier cosa le llaman hacker.
#9 lammer lo llamaría yo, pero eso no vende
#7 sensacionalista que te crio
#7 se te cae un mito o que? Que consiguió credenciales y un poco de phising, vamos que elite mis cojones.
#15 ¿Qué esperabas que robase los datos mientras cae desde una avioneta antes de que se le abra el paracaídas?
#54 todo lo contrario, no veras a un hacker hacer mucho esfuerzo fisico. Pero esperaba algo mas sofisticado.
#7 Es Gizmodo, te reto a que encuentres uno de sus titulares sin clickbait
#7 Pues claro. Seguro que eres de los que no tiene su propio rascacielos.
#7 aparte de clickbait está fatal redactada y se come muchas cosas. Le pillaron porque saltó un ids
#7 Lo obvio es que el ataque tuvo que hacerse "desde dentro", es decir que lo ejecutaron policías. Ahora falta seguir el dinero, saber quién lo encargó y quién se ha beneficiado.
#7 Phishing a dos funcionarios de Bilbao, así robó los credenciales.
El segundo paso fue conseguir las credenciales de varios funcionarios del juzgado de Bilbao a través del envío de una página web falsa a sus correos electrónicos simulando el acceso al punto neutro judicial. Fue un caso claro de phishing en el que cayeron ambos funcionarios al proporcionar contraseña y usuario que le permitió acceder al sistema judicial, y después a la base de datos de Hacienda.
#2 hace poco un ayuntamiento grande hizo unas pruebas para comprobar el problema del phishing con sus empleados (creo que salió en meneame)
El 25% de los funcionarios cayeron y añado yo (cosecha propia no tengo pruebas) que no serían más porque pasaron de leer el email más funcionarios
#3 los test de phishing últimamente son suspenso el que lee el correo y sabe que es falso pero no lo reporta como tal, usando la propia herramienta de Outlook o reenviando el correo.
#5 tanto test para luego usar outlook que tiene un historial de bujeros de seguridad mas largo que un dia sin pan
#5 yo, que me dedico a eso los abro todos para saber qué hacen, desde que vi que es la empresa quien lo envía simplemente los borro. Ademas son muy absurdos, aún no me he cruzado con uno creíble.
#3 yo he caido un par de veces en la priebas, yq ando más atento.
El motivo que achaco es no leer detenidamente.
Está uno saturado de mensajes a veces, y no siendo ni mi trabajo ser administrativo, te llegan de gente que ni conoces, y a veces vas en plan automático.
Mal por mi parte, pero no por dejadez 😭
#8 Somos humanos, descargar toda la responsabilidad en nosotros es de necios.
La DGT obliga a tener las manos en el volante en posición perfecta todo el trayecto, sin distraerse ni un momento. Me gustaría ver a alguno de los que redactan esas tonterías durante un viaje de 2 horas, a ver cómo lo respetan...
#3 poco me parece
#3 También lo hizo una empresa de seguridad con sus propios empleados, y también cayeron muchos.
¿estará relacionado este asunto con esta noticia?
Un ataque informático ‘hackea’ las credenciales de Hacienda y bloquea los ordenadores de los funcionarios
Un ataque informático ‘hackea’ las credenciales de...
moncloa.com#28 Probablemente.
#28 Podría ser, y los medios "normales" no informaron de ello...
Ojo que el phising con la IA es cada vez más sofisticado. Yo tengo un canal de youtube, y continuamente intentan mandarme estafas de todo tipo. La última me dejó bastante pillado. Me llegó un email de@youtube.com con un cambio en la política de privacidad de los usuarios, con un mensaje en vídeo del CEO de google comentando las novedades de este nuevo sistema. El vídeo y el mail pedían aceptar las nuevas políticas para no perder la monetización del canal. Las condiciones, por supuesto, venían en un .zip, y al abrir el zip vi que las condiciones venían en un fichero .scr. Ahí me saltó la alarma anti-phising que traigo de serie, y volví a ver el vídeo del CEO de google, y ya me fijé en que la boca no coincidía perfectamente con lo que decía (aunque en un primer vistazo no me di cuenta, porque no le hice demasiado caso)...
Así que ojo...de momento canta porque es un .scr y tal...pero llegará un día que encontrarán otras maneras, y te llegará un vídeo de cualquier conocido tuyo de facebook o alguna red social, hablando como habla esa persona, pidiéndote vete a saber qué... y será muy difícil no caer.
#44 hubo una temporada que solo con el visionado de cierto tipo de vídeos alterados, o la vista previa, te podían infectar.
#91 Por eso mejor usar Invidious o Libretube como interfaces.
Luego que si me llaman loco por evitar el Javascript y navegar con Dillo y Luakit para emergencias.
Acojonante. Para cualquiera que tenga certificado digital y la última versión de autofirma (ahora la 1.8) realizar un trámite a través de la red Sara como registrar un escrito es una hazaña solo asequible si están alineados los astros convenientemente, lo que convierte la administración electrónica en un muro inaccesible. Y resulta que para los hakers las pasarelas de la red Sara son muy vulnerables. Es decir, que para los usuarios hay días que es casi infranqueable para registrar un escrito. Y un camino de rosas para un delincuente. Algo falla
#18 La red Sara es una red interna de la administración, no tiene nada que ver con la realización de trámites por parte de los ciudadanos. Los ciudadanos no la usan para realizar sus trámites, los hacen por Internet.
#42 Y debe ser una red muy segura y que no permite a nadie hacer consultas prospectivas para ver si se encuentra algo que perjudique a los opositores políticos.
#63 La red debe ser segura, pero es un error confiar toda la seguridad a la red. Si este tipo accedió a los datos no fue solo por seguridad de la red, también de los sistemas de autenticación/autorización y de los sistemas de información implicados.
#42 Perdona pero el registro electrónico común se hace a través de la pasarela de la red sara. Estoy harto de registrar escritos y sufrir la autofirma.
No es tan fácil ni tan obvio lo que ha hecho, por ir por pasos:
- Fishing en el que caiga alguien y ponga su usuario y contraseña de dominio en una web, es que tiene que no "cantar" mucho, es decir, tiene que parece algo a lo que tienen o por lo menos que tenga el aspecto a algo de la policia.
- Una vez pillada el usuario y la contraseña, intentar conectarse a la VPN que de acceso a la red sara. A partir de ahi, mirar a donde quiere ir en tu ataque o que puede pillar. Si no tienes la VPN, necesitas un salto a un equipo intermedio que este metido en la red sara, si no, es imposible, ya que tienes que tienes que tener direccionado el tráfico a nivel de rutas hacía afuera y eso lo tendria que hacer alguien, con un proxy o un router....demasiado complejo que lo hace inviable.
- Diseñar la consulta de datos para ver como extraer información.
Fallos a nivel de seguridad muy gordos:
- Un sistema de antispam que haga una resolucion inversa de los dominios de los caules este enviando, revise los dominios y verifique que son legitimos. Tambien puede revisar lo legitimo de la IP que envia el correo, que suele ser bastante efectivo. Hay muchas soluciones comerciales que hacen eso.
- Una VPN que de acceso con el usuario y contraseña es como tener una contraseña de tu banco con 1234. Cualquier empresa mediana ya tiene tecnologías de zero trust, que esencialmente es no confiar de ti en todo momento, verificando decir quien eres y desde donde te conectas, y asi valorar a donde puedes acceder. Esto la mayoria de las soluciones comerciales tienen algo que ya hace cosas de estas y a un muy buen nivel, cosas como que verifique una clave de registro, certificado digital o proceso corriendo en el ordenador cliente.
- Consoltas a un servicio de terceros desde la red sara. Tiene pinta de ser una API. Las API son ahora mismo la fuente de ataques más importantes, ya que no se tiene mucho conocimiento de como funcionan como norma general, con lo que la seguridad básica pues lo dejan andando. Cuando te cuelas por ahi, el estropicio es importante.
¿por que no se invierte más en seguridad? Pues puede ser que la policia, cuando le gan X cientos de miles de euros para gastar, la seguridad IT no sea uno de puntos principales, de eso no se ganan votos, ya que no puedes enseñar tus nuevos elementos de seguridad en el puesto delante de tus jefes, que son policias y no expertos en IT. Esto me lo invento, pero me imagino que será algo asi, ya que me lo he encontrado en algun cuerpo del estado con ese argumento.
#83 El paso mas dificil es el primero, despues... Metasploit y si tienes CoreImpact....
Pero tienes razon,... como metio la pagina web de inicio solo con un phising? Tienes que tener un objetivo y saber quien es: email. Para acceder a la WEB tienes doble certificacion (o como se diga en espaniol), luego deberia de tener acceso a un token fisico (improbable) o hackear el acceso de RSA o Cisco, y eso significa que no ha tenido que hackear un movil (encontrar el numbero de movil, la IP, mas recopilacion del objetivo)... .
Esto suena muy raro o que tenia acceso a alguien del juzgado.
Preguntar puerta por puerta?.
sigo sin entender como pudo usar una IP de la policia..
#13 VPN
#17 instalo un servicio vpn en los ordenadores de la policia?
#22 No, seguramente con las credenciales robadas uso la VPN para empleados
#13 Se localiza una comisaria que tenga wifi, se hace shouldersurfing para pillar la clave (entre otros metodos), te conectas a esa wifi y sales a la calle con ip de policia haciendo una consulta legitima de datos por su trabajo.
#21 ¿Nadie hace una auditoría de seguridad en esos sitios?
#21 NINGUNA comisaría tiene un equipo WiFi conectado a la red de ellos. Lo que sí hay en algunas es redes WiFi porque el router está conectado a una fibra abierta, pero no conectados a ordenadores corporativos.
#32 #38 es que no hace falta esa auditoría porque no hay ninguna WiFi.
#21 Las comisarías no deberían tener wifi
#21 He tenido que mirar qué era shoulder surfing porque no me creía que pudiera ser simplemente mirar disimuladamente a la pantalla o teclado de alguien que esté metiendo la contraseña. Y sí. Usando palabros grandilocuentes en inglés cualquiera es juanker.
#48 Es lo que tienen estas cosas, que tienen palabros para decir cosas sencillas, pero si lo dices sencillo no puedes cobrar un paston por asesoria de seguridad.
#48 A esa la tendría que ver yo con un PC pelado con los datos a 2.7 KBPS a ver a dónde llegan.
#13 En la noticia sólo dicen que era una IP "dentro del rango". Ya es cutre que no tengan una VPN, pero parece realmente la parte más elaborada del plan.
La otra simplemente son los funcionarios no mirando de dónde venía el correo
#13 Yo me pregunto exactamente lo mismo, solo detallan (un poco) el tema de phishing y el tema de 'conseguir' la IP quizás sea más interesante.
Vamos que de hacker poco, más bien de esos que se dedican a la "ingeniería social" o sea los timadores de toda la vida.
#11 Si, lo que viene siendo un hacker de toda la vida.
#49 Bueno, para mí un hacker es un tipo que se pasa años quemándose las pestañas estudiando aspectos de seguridad para llegar a controlar unas técnicas que muy pocos en el mundo dominan, lo que hagan luego con esos conocimientos es otra cosa.
Lo de la "ingeniería social" es dedicarse a crear un web de palo, espamear y esperar a que alguno meta sus credenciales; cualquier tonto con unos conocimientos rudimentarios de informática puede hacerlo, hasta yo mismo podría.
#71 No creo yo que sea tan facil la verdad, y ademas de esas herramientas necesitas saber mucho de informatica.
#72 si lo es si. Lo difícil es encontrar agujeros de seguridad, explotarlos, ir ganando privilegios de administrador y no dejar huella. Eso es ser un hacker.
Este crió no sabe nada sobre eso.
#71 En realidad controlar las técnicas no es la parte difícil. Lo dificil es saber cuando y como aplicarlas y hacerlo de la forma en que no dejes rastro y si inevitablemente lo dejas saber borrarlo.
#71 Ese tipo de "hacker" es un mito. Un hacker originalmente era un programador rápido capaz de improvisar soluciones o desarrollar cosas difíciles que no son obvias, optimizando los recursos o expandiendo su funcionalidad. Y antes de eso, un hacker era alguien capaz de tunear, reciclar o construir un recurso electrónico con sus propias manos.
Los "hackeos" de seguridad casi siempre giran en torno a la ingeniería social. Cuando se empezó a filtrar información confidencial mediante burdos engaños (como el caso de Kevin Mitnick y el código fuente de Motorola) las empresas afectadas crearon la imagen del "hacker peligroso" para justificar su propia incompetencia frente a la opinión pública y convencer a los jueces de que la persona a la que enviaron voluntariamente la información lo hizo todo él sólo y de forma imprevisible, o que de alguna manera es punible ser más listo que un encargado de seguridad. La mentira caló hondo y se acabó convirtiendo en un tópico de películas y novelas, pero el mundo real no funciona así.
Mitnick, probablemente el primer condenado por ser un "hacker peligroso", nunca utilizó conocimientos avanzados de tecnología para saltarse ninguna limitación. Simplemente Mitnick llamó a Motorola y dijo "Hola, ¿me pasáis vuestro código fuente?" La persona que le atendió le dijo que sólo el encargado de seguridad podía darle acceso, así que llamó al encargado (Momento en que Mitnick se asustó y pensó que le iban a pillar). Para su sorpresa, el encargado se puso al teléfono y le dio acceso sin preguntar nada.
Aaron Swartz, otro joven condenado por ser un hacker peligroso, lo único que hizo fue descargar en su portátil muchos libros de la universidad, cuando tenía permiso para hacerlo.
El capitán Crunch llamaba a las líneas de soporte técnico diciendo que no tenía credenciales y las operadoras le activaban lo que pidiera igualmente.
Esta gente fueron prodigios de la informática y la electrónica, pero nunca utilizaron esos conocimientos para los actos por los que fueron condenados. Se utilizó su inteligencia como carácter distintivo para dibujarlos como peligrosos en un mundo que ignoraba todo sobre seguridad informática.
#86 no te metas con el capitán crunch era mi ídolo de la adolescencia
Por el eslabón más débil, haciendo que el funcionario te de sus claves.
Es decir, nada de genio de la ingeniería informática: simple y llano phising
#33 Bueno, el simple y llano phising requiere al menos un pelín de maña... Obtener las direcciones de las víctimas... Configurar un servicio web en la nube (a no ser que seas muy tonto y te lo hagas en casa)... Clonar el gancho... Obtener un SMTP convincente... Registrar un dominio con trampa homográfica... etc.
Creo que es un delito muchísimo más grave que los vejestorios de 75 años que están en las oficinas de la policía y en los juzgados no sepan diferenciar el correo oficial de la policía de un correo tipo tupolicía@mipollaesgrande.com
La policía ya sabe cómo les engañaron para acceder a la AEAT. Poco han tardado en enterarse.
¿Alguien me puede explicar cómo se puede tener una IP de la policía?
Y too gracias las criptomonedas para que luego digan.
tan obvio no será si no han sido capaces de evitarlo
Porque sale siempre con la cara cubierta? En serio hay que proteger su intimidad después de lo que ha hecho?
De varias formas, una de ellas es spoofearla
https://www.cloudflare.com/es-es/learning/ddos/glossary/ip-spoofing/
o conseguir poner un bicho en un PC de la red
El sistema de seguridad que describe el artículo es bastante simple. Sería triste que no hubiera nada más.
Pero bueno, supongo que si para currar el funci de turno tiene que, aparte de la vpn, levantarse un bastión efímero, todo con 2fa, entonces ya no sale un expediente de esos juzgaos en la vida