jueves, 9 de julio de 2020

Paquete detenido en almacén

Hoy en día es normal estar a la espera de recibir cualquier paquete. Por ello, puede que no nos extrañe recibir el siguiente sms de texto en nuestro móvil:


paquete detenido

CS279003594DE: Estimado Nobel, su paquete ha sido detenida en nuestro almacen, para resolver el problema pincha aqui: http://s40.me/GzgpU


Como hemos dicho, si estamos esperando un paquete puede que acabemos pulsando en el enlace que aparece en el sms. Este enlace nos llevará a la página siguiente:


paquete detenido



Vaya, tenemos un envío internacional en proceso de preparación y necesita nuestra confirmación. Pero, ¿no resulta rara la dirección de la página web: "c.trofeominero.es"? También resulta raro que nos hayan avisado de que tenemos pendiente recibir un paquete, pero no sabemos quién lo envía ni a quién (y no lo sabremos en ningún punto del proceso). Aún así, pulsamos en el botón verde "Información del pedido".

Al hacerlo, nos muestra los distintos pasos y estados que ha tenido el pedido. No importa cuando lo hagamos, siempre nos dirá que el último estado es "Gastos de envío pendientes".


Gastos de envio pendientes


Continuemos entonces.

Envio pendiente


Como no queremos que nuestro pedido sea cancelado en las próximas 24 horas, elegimos un lugar de entrega.... y posteriormente, un momento del día.

Envio pendiente


Ahora parece que no tienen toda la información para realizar la entrega, pero sí disponían de mi número de teléfono para enviarme el sms. Al menos resulta sospechoso.



Pendiente de pago


Y entonces llega un momento importante. Nos pide todos los datos personales que puedan ser interesantes... y por 3,45 euros que nos va a costar el envío del paquete (aparentemente), nos decidimos a rellenar el formulario.


informacion de envio


Por último, nos pide todos los datos de la tarjeta de crédito. Con estos datos, se podrá realizar cualquier compra en internet. Y cuando decimos cualquier compra nos referimos a cualquier cosa y en cualquier tienda, constando nosotros como los compradores del producto. ¿Nos vamos a fiar?

Tarjeta de credito



Llegados a este punto, debemos ser muy cautos y sospechar de sms, mensajes de whatsapp o correos electrónicos poco fiables. Si introducimos los datos de nuestra tarjeta de crédito junto con todos los datos personales suministrados anteriormente, es muy posible que enseguida comencemos a tener gastos y pagos realizados con nuestra tarjeta de crédito sin nuestro consentimiento.


ACTUALIZACIÓN (2020-08-20)


Recientemente hemos recibido una versión parecida en nuestro correo electrónico. El texto es el siguiente:

De: Correos@syxthense.syxthense.com
Asunto: Equipo epostal correos

Estimado cliente,

Su paquete esta esperando la entrega. Confirme el pago (2,99EUROS) en el siguiente enlace, la verificacion en linea debe hacerse en los proximos 24 horas antes de que caduque:

HAGA CLICK AQUI

Atentamente,
El equipo de Correos


Estafa correos


Aparte de lo escueto del mensaje, debería hacernos dudar el que no aparezca ni nuestro nombre ni nuestra dirección en ningún sitio. Un paquete siempre va dirigido a alguien o a algún lugar.

Si decidimos pinchar donde nos dice ("HAGA CLICK AQUI"), nos llevará a la siguiente página:

https://www.a2z4a.com/Correos/manage/?view=login&appIdKey=fcd00c0656cc490&country=

Estafa correos


Al fijarnos en la dirección de la página web, veremos que no tiene nada que ver con la oficial de Correos.

Pero lo que más debería hacernos dudar es que nos solicite todos los datos de nuestra tarjeta de crédito, incluído el PIN. Es fácil comprobar que se trata de un intento de phising. Probamos a introducir datos falsos y sin ningún tipo de control. Incluso no marcamos la casilla de política de privacidad. Al continuar con la farsa, aparecerá una supuesta página de la pasarela de pago, cuya dirección web tampoco es la real.

Primero aparece esta página para que creamos que vamos a ser redirigidos a la pasarela de pago:

Phising Correo


Y finalmente, aparece la supuesta página de la pasarela:

Pasarela de pago


Curiosamente, donde debe aparecer nuestro número de teléfono, al que supuestamente han enviado el mensaje, aparecen asteriscos.

Podemos introducir cualquier código y pulsar en el botón "Aceptar". La farsa terminará, nos redirigirá a una página real de Correos y se habrán quedado con TODOS los datos de nuestra tarjeta de crédito. Así es que recordar que vuestro banco nunca os pedirá el PIN de vuestra tarjeta, y tampoco lo hará ninguna tienda online donde vayamos a comprar. Si os piden el PIN, no es de fiar.

miércoles, 20 de febrero de 2019

Instalación y uso de Kleopatra

Kleopatra es una aplicación que vamos a utilizar para cifrar archivos y así poder enviarlos a través del correo electrónico o cualquier otro medio de manera segura. Utiliza un mecanismo de clave asimétrica, en el que cada usuario del sistema criptográfico ha de poseer una pareja de claves:

  • Clave privada: será custodiada por su propietario y no se dará a conocer a ningún otro.
  • Clave pública: será conocida por todos los usuarios.

Esta pareja de claves es complementaria: lo que cifra una sólo lo puede descifrar la otra y viceversa. Estas claves se obtienen mediante métodos matemáticos complicados de forma que por razones de tiempo de cómputo, es imposible conocer una clave a partir de la otra.

Básicamente, el sistema consiste en:

A y B tienen sus pares de claves respectivas: una clave privada que sólo ha de conocer el propietario de la misma y una clave pública que está disponible para todos los usuarios del sistema.


Clava asimetrica


A escribe un mensaje a B y quiere que sólo él pueda leerlo. Por esta razón lo cifra con la clave pública de B, accesible a todos los usuarios.
Se produce el envío del mensaje cifrado no siendo necesario el envío de la clave.
Sólo B puede descifrar el mensaje enviado por A ya que sólo él conoce la clave privada correspondiente.

Clava asimetrica




INSTALACIÓN DE KLEOPATRA


Para instalar Kleopatra, debemos acceder a la página https://www.gpg4win.org/, y descargarnos Gpg4win.


Descargar Kleopatra



Al finalizar la descarga, ejecutaremos el programa instalador.


Instalar Kleopatra



Instalacion de Kleopatra



Instalacion Kleopatra



Marcaremos únicamente la casilla “Kleopatra”. Hay que tener en cuenta que “GnuPG” aparece ya marcado por defecto


Opciones Instalacion Kleopatra



Instalación Kleopatra



Instalación Kleopatra



Instalación Kleopatra



Al finalizar la instalación, tendremos el icono correspondiente en nuestro Escritorio


Icono Kleopatra




CREACIÓN DE CERTIFICADO PERSONAL CON KLEOPATRA


Para crearnos un certificado personal, lo primero que debemos hacer es abrir la aplicación que acabamos de instalar. Después, pulsaremos en el menú “File” y seleccionaremos “New Certificate…”.


Certificado en Kleopatra



Certificado en Kleopatra



Certificado en Kleopatra



En la ventana de configuración avanzada, vemos qué tipo de encriptación se realizará. Quedaremos marcadas las opciones que aparecen.


Certificado en Kleopatra



Después de pulsar “Next” en la ventana de introducción de datos del certificado, veremos los parámetros introducidos. Para crear el certificado, pulsaremos “Create Key”.


Certificados en Kleopatra



Ahora debemos introducir una contraseña para nuestro certificado. Nos pedirá confirmar dicha contraseña.


Configuracion Kleopatra



Posteriormente, veremos una ventana en la que se indica que la clave ha sido creada. Al cerrar, ya aparecerán los detalles de nuestro certificado en la ventana de Kleopatra.


Certificados Kleopatra




EXPORTAR CERTIFICADO CON KLEOPATRA



Si queremos enviar nuestra clave pública, podremos hacerlo desde la pestaña “My Certificates”. Seleccionaremos el certificado que acabamos de crear, y abriremos el menú contextual. Elegiremos la opción “Export Certificates…”. Nos pedirá un nombre de archivo y una ubicación para guardar el certificado.


Exportar clave Kleopatra



Exportar certificado Kleopatra



A la hora de cifrar un correo electrónico, lo más sencillo será adjuntar este archivo. No obstante, también podríamos copiar el contenido del archivo exportado en el propio mensaje. En nuestro caso, el archivo que acabamos de exportar tiene el siguiente contenido:


Exportacion certificado Kleoatra




IMPORTAR CERTIFICADO CON KLEOPATRA


Si queremos cifrar algún archivo que queramos enviar adjunto, deberíamos disponer de la clave pública del destinatario, creada también con Kleopatra.

Cuando el destinatario nos envíe su clave, al igual que nosotros le hemos enviado la nuestra, tenemos que importarla a la aplicación.

Para importar una clave, debemos pulsar en el botón “Import Certificates”, y seleccionar el archivo que contiene dicha clave.


Importar certificado Kleopatra



Importar certificado Kleopatra



La importación se habrá realizado correctamente si el número de archivos procesados es igual al de importados.


Importar certificado Kleopatra



A continuación, veremos los datos del certificado importado en la pestaña “Imported Certificates”.


Importar certificado Kleopatra



Lo siguiente que deberíamos hacer es certificar el certificado que acabamos de importar. Para hacerlo, pulsaremos con el botón derecho sobre el certificado recién importado, y elegimos la opción “Certify Certificate…”.


Importar certificado Kleopatra



Ahora tenemos que marcar la casilla del nombre del certificado y “I have verified the fingerprint”. Después, elegiremos entre certificarlo sólo para nosotros o para todos los usuarios. Es más seguro certificarlo únicamente para nosotros.


Importar certificado Kleopatra



Importar certificado Kleopatra



Luego nos pedirá que introduzcamos nuestra clave de certificado. Si hemos hecho todo correctamente, veremos un mensaje que nos indica que la certificación ha tenido éxito.


Clave Kleopatra



Clave Kleopatra




CIFRADO DE ARCHIVOS CON KLEOPATRA


Para cifrar un archivo, lo más fácil es desplegar el menú “File” y seleccionar la opción “Sign/Encrypt Files”. Posteriormente, seleccionaremos el archivo que queremos cifrar.


Cifrado con Kleopatra



Cifrado con Kleopatra



Después de seleccionar el archivo, podemos elegir entre encriptarlo, firmarlo o ambas cosas. En nuestro ejemplo, sólo los encriptaremos.


Cifrado con Kleopatra



Lo siguiente que debemos hacer es añadir el certificado del destinatario. Para ello, lo seleccionaremos y pulsaremos el botón añadir. Es muy importante añadir también nuestro certificado, de lo contrario, nosotros mismos no podremos abrir el archivo cifrado. Por último, pulsamos en el botón “Encrypt”.


Cifrado con Kleopatra



Si el cifrado se ha realizado correctamente, aparecerá un mensaje indicándolo, y debería aparecer el archivo ya cifrado en la misma ubicación original del archivo.


Cifrado con Kleopatra



Cifrado con Kleopatra




DESCIFRADO DE ARCHIVOS CON KLEOPATRA


Para descifrar un archivo encriptado, debemos realizar los pasos inversamente. Primero, pulsaremos sobre el menú “File” y seleccionaremos la opción “Decrypt/Very Files…”. Después, seleccionaremos el archivo que queremos descifrar.


Descifrado con Kleopatra



Descifrado con Kleopatra



Mantendremos la carpeta donde se encuentra el archivo cifrado para crear el archivo descifrado. Posteriormente, nos solicitará nuestra clave privada.


Descifrado con Kleopatra



Descifrado con Kleopatra



Después de introducir nuestra clave privada, se descifrará el archivo.


Descifrado con Kleopatra



Descifrado con Kleopatra