Aquí en México hacían llamadas desde el mismo banco *Banamex* para defraudar a sus clientes, en lugar de que el banco corrija el problema prefiere decir a los clientes, "No aceptes llamadas de (nosotros) tu propio banco" así me suena ese hack de la DGT
A mi novia le robaron el iPhone hace poco. Al día siguiente le llega un mensaje de texto a su número desde el mismo número que usa Apple para enviarle comunicaciones, con un link para supuestamente acceder a la ubicación del iPhone. Casualmente le pedía para ello meter el código de desbloqueo del iPhone. La manera en la que apareció el teclado de desbloqueo para introducir el código, deslizándose como de abajo hacia arriba, cosa rara para ser diseño Apple, me hizo detener a mi novia cuando estaba a punto de introducir el código. Lo que dice el hombre del vídeo es cierto, hay algunas estafas con las que necesitas cierto nivel de conocimientos y observación y que la inmensa mayoría de la gente no tiene.
Con la charla de los certificados (tema muy interesante) trabajo como dev en una empresa de firma electrónica y gestión de certificados, eso ayuda mucho al control y a no estar compartiendo tu clave, los certificados están centralizados y solo con accesos a una aplicación puedes gestionar quienes lo van a usar, que permisos tendrían (sobre que webs pueden firmar, auditorias, etc) a parte de tener software para la gestión de notificaciones masivas (perfecto para gestorías) entre otras funciones relacionadas.
En verdad no se como funciona, no soy de España, pero estaría bueno que los certificados digitales sean dinámicos, o sea que sea uno base y con un algoritmo usando un 2do factor... entonces si vas a un sitio pasas el certificado y ese certificado es único para ese sitio y te queda registrado en una APP que ese sitio tiene ÉSE certificado, que si quieres cambiarlo te lo permita (que mande un msj al servidor de que esa sesión caducó y la siguiente vez te haga entregar un certificado nuevo). En el teléfono solo se guardaría el certificado original y por medio de los números del segundo factor se haría la generación de los demás. Quizás sin darme cuenta estoy hablando de clave privada y publica, sin embargo el tener control sobre ella y que el certificado sea exclusivo para cada servicio le da un plus de seguridad que no permite que utilicen ese mismo certificado para otra cosa.
En realidad la verificación de validez de una clave privada (o inicio de sesión vía passkey, que viene a ser lo mismo) consiste en la encriptación/desencriptación asimétrica de cadenas aleatorias. Muy a groso modo y saltándome la parte de validación de la cadena de confianza en el caso de certificados: 0) me doy de alta en un servicio, en el proceso le paso al servidor mi clave pública. 1) ahora que me he registrado, intento iniciar una sesión para lo que el servidor se inventa una cadena de caracteres (que nunca se volverá a repetir). 2) el servidor encripta esa cadena utilizando mi clave pública que previamente le pasé cuando me registré en el servicio (paso 0). 3) me manda la cadena encriptada y me pide que la desencripte con mi clave privada que sólo yo tengo. 4) como cliente yo la desencripto. 5) le mando la cadena desencriptada. si lo que yo le mando en el paso 5 coincide con la cadena aleatoria generada por el servidor en el paso 1, entonces es que realmente dispongo de la clave privada emparejada a la pública que el servidor almacena y por lo tanto mi identificación se resuelve satisfactoriamente (se inicia sesión en la app, se me genera una cookie, etc. etc.). Por encima de todo esto, en los pasos 3 y 5 hay además la capa de encriptación https en la que interviene el certificado del servidor (que es un tema similar pero que va aparte). Esa cadena aleatoria no se volverá a repetir nunca por lo que si alguien intercepta y descifra las comunicaciones (https) en los pasos 3 ó 5, el tener la cadena, ya sea encriptada o no, no le valdrá para nada porque es de uso único. Además, para un posible atacante sigue siendo muchísimo más sencillo el robo de cookies de sesión donde todos estos pasos ya han quedado atrás. En cualquier caso, de esta forma se puede usar el mismo certificado (pareja de claves pública-privada) en todos los servicios (siempre y cuando éstos no te fuercen a usar los suyos propios, en cuyo caso el flujo es ligeramente distinto al expuesto antes), lo cuál te facilita muchísimo el mantenimiento.
Lo siento por los ciudadanos obligados a matase entre ellos, en ambos lados, son carne de cañón, utilizada por los psicópatas, sádicos y enfermos de codicia, de las Oligarquías, Reinados y Gobiernos afines. Esto acaba Enfocándose en la desobediencia de la población joven y adulta, en servir Ejércitos, Mercenarios y Sicarios. Optando por la UNIDAD con la DIVERSIDAD Global, la humanidad UNIDA TODA, volver a la Familia Humana. La OTAN es parte y cómplice de la situación DISTÓPICA actual. La OTAN es parte y cómplice, dirigida por honorables Psicópatas, Sádicos y Enfermos de Codicia.- ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE--e71i33NbE4.html .La OTAN es parte y cómplice de los EEUU o sea de los Nórdicos, Anglosajones y Vaticano cómplice. EEUU de siempre han intentado dividir a Rusia, para conseguir la hegemonía en del Planeta y Humanidad Toda, lo mismo que hicieron en Yugoslavia, Vietnam, Corea y últimamente en Irán. EEUU viven a costa de los recursos de sus antiguas Colonias, utilizando recursos humanos y minerales. Fabricación y venta de Armas, organizando mediante terceros, desestabilización y enfrentamientos Bélicos. Creo que le está llegando su Fin. Ya que Rusia tiene acuerdos de apoyo mutuo con China. *Esta situación Global DISTÓPICA de siglos, y otras tan o más graves, caban en la UTOPÍA, de la Unidad con la Diversidad Global, la Humanidad Unida Toda, Volver a la Familia Humana*. Acaban en un mundo sin Fronteras, un Mundo de Estados o Regiones, una Constitución y Parlamento, Imparcial Global. Un idioma común e Imparcial Universal, como es el ESPERANTO, creado en 1887, y aprobado por la O.N.U. en 1914, después de la 1a Guerra Mundial (respetando el idioma de cada Tribu o Cultura, ejemplo: Esperanto y francés, Esperanto y guaraní, Esperanto y catalán, Esperanto e italiano, etc. etc. así sucesivamente). Es difícil, pero Posible con una MASA suficiente, de seres humanos Inteligentes, Honestos, Reflexivos, Responsables y Comprometidos, que los hay a nivel Global. Sin necesidad de Enfrentamientos ni derramamiento de sangre. El mundo cambia, porque Tú y Yo cambiamos, cada vez somos Más. Máxima difusión posible, gracias. Saludos de Ildefons, ciudadano del Mundo sin Fronteras, si de Estados o Regiones. Viernes 31/05/24.
Lo de dar el certificado digital a una gestoria es una locura. Se puede registrar a esa persona como apoderado en los registros de apoderamiento y se puede hacer online. Y la persona autoriza los permisos concretos que quiere conceder y que, obviamente, son revocables en cualquier momento.
Eso es lo que nos debería preocupar. Antes era casi obvio lo que era y lo que no era una estafa, ahora las estafas tienen páginas identicas a las de los gobiernos. Cada vez son más sofisticados, y quizá algunos puedan zafarse por que conocen o son precavidos, pero la mayoría no, y ahí está el verdadero objetivo y negocio. En pocas palabras, estamos jodidos y esto no parará pronto ☠️
yo creo que no le pasó a el pero lo cuenta porque nate estaba también como diciendo que con ese link es imposible y no lo es tanto para alguien que no está informatizado.
Mi padre está recibiendo SMS de la DGT con una notificación de multa, ha recibido ya varios, se olió algo raro y vino a preguntarme a mi. Mi hermano que no tiene ni carnet también XD
Trabajo en el hospital de Cabueñes de Gijón (hospital público), tenemos ataques que no se ponen en conocimiento de las autoridades, la mayoría de los ordenadores están con Windows 7, alguno con XP y los servidores que gestiona Siemens usan Windows server 2000... Todo esto en 2024... Nos dijeron que era wanacry pero ningún ordenador lo he visto "secuestrado"...¿Que datos se han visto comprometidos? Nunca se sabrá es la administración, si llega a ser una empresa privada no pasaría ninguna auditoría... En lo público las pasan todas incumpliendo lo todo😭😱😭
Muchas gracias a ambos, esta madrugada me ha llegado y ya he notificado a todos aquellos de mis contactos de WhatsUp, con un pantallazo y escrito "OJO FALSO NO CLICK" sois muy grandes en este canal.
No sólo es lo de los sms, ahora la base de datos de la DGT funciona tan mal que te para la policía con el seguro hecho de hace 1 semana te meten una multa por no tener seguro y además tampoco te dejan pasar la ITV si la tienes que hacer porque no aparece el coche en la base de datos
mmm alguien ha dimitido por esta falta de rigor en seguridad por parte de la DGT? si soy victima de una estafa o de suplantación de identidad puedo denunciar a la DGT?, si todos estos datos robados son usados con una IA cada vez es más complicado sospechar las estafas porque son cada vez más sofisticadas.
Me encantó este video, más relajado, con mucha menos producción, pero hablando igualmente cuestiones interesantes, con mucha info y con distintos niveles de complejidad. ¡Muy bueno!
Supongo que dependerá del caso concreto pero hay formas... Por ejemplo hay empresas que venden servicio de mensajería masiva para publicidad, si metes un par de empresas pantalla de por medio ya no sabes quién fue. Luego creo que hoy día todavía sigue siendo posible suplantar el número desde el que aparentemente fue enviado el sms.
El certificado está cifrado por contraseña, se le puede hacer fuerza bruta si te lo roban pero no se comparte sin protección por contraseña, además te obliga el propio certificado a ponerle una contraseña, que se te pide para exportar e importar para su uso.
Lo que se necesita es una ley que obligue a las empresas a tener los datos privados a salvo con todas las medidas , ya que muchas empresas prefieren no invertir en protección sobre los datos de clientes y en caso de ser extraídos estos datos que la multa sea : Pagar un monto considerable a los afectados y ya verás como se ponen las pilas a realmente invertir en protección.
A mi me llegó el otro día ya un SMS que tenía una multa y que tenía 24h para pagarla. Tener cuidado nada más. No pueden hacer nada solo tener los datos para llamarnos, mandarnos SMS email etc solo es cuestión vuestra de darles vuestros datos bancarios.
Y yo como usuario de esas empresas hackeadas y mis datos están rulando por ahí.......se puede denunciar y ganar el juicio porque no hayan protegido mis datos como corresponde ??? (y la del resto de la gente) O contratar sus servicios no conlleva la protección de mis datos ??? Porque ya no te puedes fiar que una importante empresa (dgt, telefónica, iberdrola, ....) que protejan los datos de sus usuarios.
Es que la seguridad informática, para los simples mortales, nones fácil de ver. No es tan fácil como el auto sin seguridad. Porque los límites, como usar auto sin airbag, se olvidan cuando las prioridades pasan a ser otros. Y la seguridad informática dudo que sea algo prioritario para la mayoría. Falta educación, y facilidad de estas capas de seguridad, para no tener que meter una ingeniería para entenderlas.
Yo directamente tengo desactivados los SMS en mi móvil (las notificaciones básicamente), así que salvo que tenga que verificar algún servicio con SMS de estos que te mandan un código, el resto ni me entero porque prácticamente ningún servicio te va a mandar un SMS para absolutamente nada, así que casi todo lo que salga ahí es, por defecto, pura estafa.
El certificado digital tiene una clave de 8 dígitos para poder manejar ese archivo o sea que también está protegido nadie puede acceder a ello a menos que pueda descifrar la clave que se bloquea
Respecto al minuto 8:00 no sabes cuanta razon tiene Nate. Tengo un trasfondo de informatico, pero recientemente he entrado al mundo de las gestorias y asesorias financieras. La seguridad que muchas gestorias tienen con los certificados digitales es un chiste. Desde enviar el archivo y la contraseña en un mismo email, a encriptarlas todas con "1234" como contraseña. En mi asesoria fui yo el que me di cuenta de la barbaridad que era eso y el que implementé protocolos de seguridad decentes.
Yo sí tengo trasfondo de informático y casi una década trabajando con empresas digamos grandes y ejem serias... Y no solo tienes razón sino que te quedas corto. Mejor no sigas indagando porque te puedes llevar un disgusto 😂 a mí me cambió la vida, y entre eso y otros temas personales perdí toda confianza en el sistema. Tenemos tecnología y profesionales de sobra, pero lo único que importa es la pasta, tu vida y tu seguridad solo son un producto más
@@DavidCastillaGil creeme, he indagado. Y sí, he visto cosas que mas me vale callarme... Y luego esas empresas pagan a una empresa de "Protección de datos" que les preguntan gilipolleces sobre si tienen los papeles tras una puerta con llave, pero la seguridad informática es un chiste.
yo trabajo para la asistencia en carretera de mutua madrileña; en la oficina nos comunicaron sobre el ataque y hubo muchas personas llamando al departamento de multas por el sms engañoso que se muestra en el video
A mi me llego uno de retraso de pago y otro de recordatorio antes de el aumento de mi multa.... obviamente no abro el link pero a ver si empiezan a mejorar la ciberseguridad en este pais.. un abrazo y enhorabuena por tus videos!
Esto se soluciona muy fácilmente, volviendo al papel, les costará más dinero a las empresas, pero el papel es imposible de hackear. Lo que no puede ser es que nuestros datos anden rulando por ahí, al mejor postor.
Yo he recibido tres sms de la DGT. Da miedo pensar que estos datos son vulnerables pero me temo que la administración pública cuida menos de ellos que muchas compañías privadas con información de menor valor.
Acá en El Salvador ocurrió algo similar, los datos de DUI (Documento Único de Identidad; algo similar al DNI) Se podían consultar en un chat automatizado de Telegram, lo único que necesitabas eras un nombre y apellido y te lanzaba fotografía, dirección, correo electrónico y número de teléfono. Cabe aclarar que dirección y número de teléfono no siempre eran correctos. Saludos.
Y ha sido un lío eso, dos de mis números reciben hasta 5 mensajes al día de estafadores en telegram. Uno si me sacó de onda mandando una "respuesta de solicitud de empleo" en el cúal cabal le habían puesto mis datos. Ese número lo bloqueé de un solo... a los otros solo les respondo spam hasta desquiciarlos.
En caso de que compres en tiendas, si tienes miedo de que sepan donde vives, puedes poner siempre un punto de recogida o acordar con algún establecimiento que a cambio de alguna cantidad de dinero ellos reciban tus paquetes… Pero si hackean la dgt o la admin pública estas jodido
Si el programador de la estafa es lo suficientemente avispado habrá programado la captura de datos en el input change para no esperar a que hagas el submit del formulario
¿Que por donde ha sido la brecha? Dice el invitado que quiere saber. Es bastante simple, sistemas de la administración pública obsoletos con vulnerabilidades explotables. Versiones de Websphere de hace mas de 12 años, por ponerte un ejemplo... Lo raro es que no los hackeen más a menudo (que no se hayan dado cuenta de más veces es otra historia)
2 месяца назад
Un ataque qué también fue muy interesante fue el que hubo hacia el gobierno Mexicano el famoso Guacamaya leaks donde se filtraron miles y miles de archivos clasificados.
Dnd valla se filtraron archivos de los sobornos de los Narcos hacia el gobierno (Más narco narco narcos) emm los sucesos fuera de la moral y ética del gobierno de México (Más NARCO NARCO NARCO) archivos clasificados de sobornos etc etc interesante
NO ES NECESARIO DAR TU CERTIFICADO A UN GESTOR, el registro de apoderamientos està para eso, en el que apoderas a una persona a usar un servicio telemático en nombre tuyo representándote temporalmente. Despues caduca y tienes que apoderar de nuevo
Devolvernos a la otra mitad de nate, está en 2d,😂😂 fuera coña siempre me trago a este hombre y me he descargado en el móvil el karpesky y apago el móvil todos los días...
Otra candidata para el cementerio de cosas abandonadas de Google. Una herramienta excelente que nos evitaba necesitar ninguna herramienta, framework o plataforma para tener la posibilidad de generar aplicaciones con aspecto nativo prácticamente con el mismo código que utilizabas para la página web. Lo más doloroso es que la propia comunidad de desarrolladores web es la mayor responsable de perder su propia independencia de frameworks y otras tecnologías para lograr prácticamente los mismos resultados que las PWA.
A mi me han enviado el sms de la DGT esta tarde, para pagarla en 24 horas. Sólo con eso ya no me fio. Deseando llegar a casa y probar la url en el PC a ver que sigue.
El otro dia me llegó un sms de la dgt, no suelo hacer caso a los sms porque doy por hecho de que la mayoria son scam, y el hecho de que llevo mas de 1 año sin coche pues ayuda a tener esas sospechas
A mi me llegó también! Pero yo no me fio de nada. Antes de tocar nada... miro personalmente con mi certificado. Como esto mil cosas... ya no sé puede abrir nada... te pueden robar cokis y liartela robándote de todo incluso atacando canales con ellas y boot... yo me estoy enterando ahora...
hola Nate, me gustaria ver el modo de llevar a tu colega a dar una conferencia a una universidad de mexico, la modalidad puede ser virtual, me gustaria que hablara un poco de que la ciberseguridad es mundo mas amplio a simples hackers, o una breve capacitacion de como tener una vida digital mas segura
Acá veo medio difícil que vea tu mensaje, te recomiendo estar pendiente de cuando haga stream y donarle con tu mensaje a ver si te da algún correo para que te comuniques directamente con el
La única solución es hacer todo aquello que sea importante en formato físico. La digitalización de absolutamente todo es un error que todos vamos a pagar en mayor o menor medida.
Esto no es una novedad ya lo hizo Alcasec hace unos años y fue condenado por ello. Incluso fue capaz de hacerle supuestamente un carnet de conducir real al pequeño Nicolás introduciendo los datos dentro de la DGT jajajaja
DGT, Yoigo, Santander, BBVA, Telefónica... Se les pueden imponer sanciones, pero cómo se repara el daño hecho a los usuarios? El número de spam que recibimos a diario llega a ser bochornoso y si fuera solo eso...
es facil de detectar. cuando te pone la fecha de la multa y te pone q en los proximos 2 dias se acaba el plazo para pagar. cuando en españa de toda la vida tienes 15 dias para poder pagar el 50 x ciento de la multa. x eso creo q no a sido un español por mas numero nacional q fuese
No hacer ni punto caso a los sms, siempre llegan las cartas certificadas a casa y eso no se miente. El problema que hay hoy en día es que no pensamos a la antigua, pasemos por un momento en el internet y nos pongamos a una y lo podamos todos por escrito en mano y no digital, así sabremos que es oficial. La culpa es nuestra por dejar de lado las notificaciones por carta.
La mayoría de expertos en ciberseguridad que sean sabios siempre te van a decir que hasta ellos pueden caer por estas trampas. No hay manera de estar alerta el 100% del tiempo. A mí también casi me estafan la tarjeta del banco porque justo porque estaba esperando una notificación del banco, rellené datos y todo solo que menos mal que lo hice mal sin querer. No debería haber vergüenza en admitir y explicar a la gente como te han engañado para que otros aprendan te tus errores.
Podriais tratar el tema de la publicidad de Google (y otros) que es engañosa y ademas llena de virus. Aveces es inevitable darle click ya que se cruza sin querer. Anuncios que no son verificados, incluso en RU-vid Kid hay anuncios +18 que no se entienden. Gracias
Sospecho que puedan seguir estando comprometidos, ayer me apunte para sacarme el carnet y al dia siguiente me llega un sms conforme tengo una multa que pagar 🤔
A mí me ha llegado el sms de fishing de la DGT, con el dominio dgt-multas, y no tengo carnet de conducir osea que es imposible que mis datos estén en la DGT, ¿Como es posible? No entiendo nada xd
Aparte del post en un foro de un usuario ofreciendo una supuesta base de datos robada a la DGT, que pruebas hay de que dicho robo ha sido real? El de un hacker de Murcia sí fue real, y no fue directamente a la DGT. Este todavía no se ha demostrado.
Los buscadores como Google etc. escanean todas la red del mundo y almacena en caché las información de los sitios wed por eso existe el SEO y cuando buscamos algo nos muestra la información que está en el caché del buscador y cuando haces clips te redirecciona al sitio físico, por eso aveces en la lista de la búsqueda un link y al hacer clip te muestra que esa página no se existe, decir que escanear la red es ilegal es para discutir
En Argentina paso lo mismo hace no mucho, robaron las fotos de frent y dorso de todos los carnets de conducir del pais. Probablemente fue la misma gente
Lo que yo no entiendo es porque dentro de estas entidades no hay gente que este 24/7 pendiente de la ciberseguridad... ya que hoy en día es muy fácil hacer cualquier cosa...
En un país donde la corrupción campa a sus anchas, creer que la DGT ha sido "hackeada", es ser muy inocente. Yo apostaría por un ataque desde dentro, donde alguien se ha llenado a base de bien los bolsillos.