Así Han Hackeado el Canal de Ibai (y al resto de youtubers)
Vložit
- čas přidán 11. 06. 2023
- Ayer el canal de Ibai sufrió un hackeo y el nombre del canal cambió a Tesla. Pero ¿cómo pasó esto?
CONTACTO: contactomigma@gmail.com
---- MI EQUIPO -----
Portátil: amzn.to/3uYx28Y
Micrófono: amzn.to/3PvOauU
Monitor: amzn.to/3ogJoWp
Cámara: amzn.to/3yTlF3i
Trípode: amzn.to/3RJvbyI
Auriculares: amzn.to/3B8CSbE
Ratón: amzn.to/3ojRAVD
---- REDES SOCIALES 💻----
Twitter: / xmigma
GitHub: github.com/xMigma
Instagram: / xmigma
TikTok: / xmigma - Věda a technologie
Creo que CZcams debería también poder ayudar un poco. Por ejemplo, operaciones criticas (borrados sean masivos o no, cambios de configuración, etc) o que no son habituales (cambiar el nombre del canal, del logo, etc) debería pedir una autenticación por método menos hackeable posible (ya que el atacante ya habría cambiado contraseñas y dispositivos). Es complejo, tedioso, pero no son operaciones comunes (lo máximo seria que te suban videos). Una duda que tengo es, como CZcams recupera el canal? y como comprueba que el atacante no volverá en un futuro (en caso de que siga existiendo puertas traseras indetectables por el usuario)?
Genial con esto al fin tendré seguridad
* _pierde la llave física_ *
Cierto, para cada nivel de seguridad debe haber una forma de recuperación.
@@danielsantrikaphundo4517Ahí es donde entran los hackers
@@danielsantrikaphundo4517 una copia de la llave guardada en una parte de tu casa. Y si se te pierde la ubicación, guardas la ubicación en una nota en otro lado, y si te olvidas, guardas su ubicación en otro lado y así hasta el infinito
Siempre se compran 2 o 3 por si eso pasa.
A mi me pasó lo mismo el 19 de mayo de 2022: Mi canal fue hackeado por los de "Tesla Live", borrando todos mis videos y subiendo falsos videos en vivo con Elon Musk discutiendo sobre las criptomonedas solo para estafar. Un día después del hackeo mi canal fue cerrado por una violación a las normas de la comunidad de CZcams que yo NUNCA cometí. Afortunadamente, gracias a que me contacté con el equipo de CZcams, recuperé mi canal y todos mis videos el 26 de mayo de 2022, una semana después del hackeo.
Xdd
Y cómo te contactaste?, me pasó ayer..
Yo pensé varias veces en usar una llave de seguridad, pero, soy muy malo para guardar las cosas, así que si se me pierde la llave o las llaves, no hay vuelta atrás.
Cómo las llaves del carro
@@Nae_exsi pierdes las llaves del coche las puedes volver a crear
pero no tienes que guardar nada se genera cada 60 segundos, es dinámico. Lo que pasa contigo es la flojera xD.
@@sahadks1433 cierto. Mal ejemplo
@@DarKayserLeo No es dinámico para nada, el hash que genere la llave es irrelevante si pierdes el dispositivo físico que la almacena. Esa es una de las condiciones en las que enfatizan muchos desarrolladores de este tipo de sistemas.
El tema del pishing es que hasta un PDF, un WORD, un Excel, un JPG puede tener un script oculto que se ejecute al momento de abrir el archivo.
Un jpg? Tengo que investigar eso
@@rubiusoficial un jpg no puede ser ejecutado, por lo tanto no puede infectar tu ordenador.
@@alanbarrientos5236 Puede hacerse. Eso es viejo como la ruda (yo lo vi allá x el 2008 en revistas de hacking/cracking). Puede vincularse un .exe a un archivo hasta de texto. Vos los ves como un .txt y ni siquiera el tamaño lo delata, pero al abrirlo el ejecutable empieza a correr (obvio sin q lo veas, solo ves el archivo de texto abierto).
Por eso TODO lo q venga de una fuente desconocida debe pasar por un buen antivirus (pdf, zip, xlsx, docx, etc.) En lo personal yo uso el sitio de VirusTotal 👍
q debo hacer
@@lukdra no abrir correos desconocidos, usar herramientas como virustotal, verificar si quien te envía el correo no está camuflando su dirección original, usar navegadores que bloquean adware y rastreadores de IP, no instalar software pirata, borrar siempre la caché de tus navegadores ect... Hay así siempre existirá una brecha porque ningún sistema es totalmente infalible. Solo ten cuidado.
El problema de los tokens de sesion es que se implementan con 2 FA y no con 3FA, es decir, un token de sesion por persona y por dispositivo. Asi deberian clonar el equipo para que sirva esa cookie de sesion.
Tambian hay que recordar que pueden haber fallas en los softwares no pirateados. El AD de una compania con ejecucion remota puede hacer desastre. Alcanzar cualquier archivo de un usuario.
Tambien los software de captura remota.
Withzack tenia una llave de seguridad y de todas formas vulneraron su cuenta.
Error de capa 8 y 9... Así de sencillo ha sido con todos y cada uno de los hackeos a youtubers
@@ganr1277
El eslabón mas débil.
Si dejas la sesión abierta da igual
Otra buena medida de seguridad puede ser configurar el navegador para que limpie las cookies al cerrarlo, puede ser algo incómodo poner la pass cada vez que quieras ver tu correo pero yo por ejemplo no uso correo o yt a diario a veces solo abro el navegador para buscar x cosa por lo que no necesito una cookie de sesión de Google almacenada en mi pc
Exacto así como usar de preferencia el modo incógnito del navegador para búsquedas pequeñas jeje
@@Helixo451 como reproducción de enanos con enfermedades desconocidas
@@Helixo451 jejejej
es sencillo eso de solucionar, lo que hago yo es crear una maquina virtual con algún sistema linux que sea seguro IprediaOS, Liberté, Privatix, Tails y Whonix con sus respectivas contraseñas etc (aunque con una distro linux de hogar tipo Ubuntu, Linux mint igual se puede sin problemas, es cosa de gustos al final) y en esa maquina virtual tengo todas mis cuentas activas, generalmente los hackers cuando infectan una pc lo hacen por malware que funciona para windows y para chrome (en linux uso firefox y otros navegadores no basados en el motor de chrome) entonces así las posibilidades se reducen bastante a que me hackeen mis cuentas, aunque claro también tomo muchas medidas de seguridad como no descargar nada pirata ni descargar email dudosos, o hablar con extraños etc es sentido comun y prevención , y con respecto a mi máquina host, pues ahí no tengo ninguna cookies ni sesion activa así como señalas y con antivirus, firewall etc
si tu limpias las cookies de forma local, aunque si es cierto que puede dificultar algo en cierta medida, no impide que si alguien captura esa cookie pueda utilizarla. Esto es debido a que cuando tu limpias las cookies de tu navegador, realmente no estás cerrando la sesión en cada uno de los servicios en los que has autenticado. Normalmente este tipo de servicios suelen tener una opción dentro de la configuración de seguridad de la cuenta para cerrar todas las sesiones activas en todos los dispositivos. Una buena practica sería realizar esta acción con cierta regularidad.
En el caso del canal de Linus fue por abrir un pdf adjunto de un falso anunciante. Yo mismo bajé un pdf q al revisar con el sitio de VirusTotal tenía más detecciones de troyanos q mis años de edad
Tambien usar alternativas open source o gratis en vez de software piretado, por ejemplo olive editor en vex de premiere, libre office, linux etc
Nuevo sub crack. Me brindaste mucha info
Si van a piratear software al menos yo recomiendo que sea algo viejo. Por ejemplo si quieres bajar Premiere es mejor la versión 2019, por que si bajas la última versión hay mucho más riesgo, ya que aveces el malware de las versiones viejas puede ya no estar activo (aunque tampoco es seguro)
El tema no es el software. El tema es el crackeo. Esos registradores/keygen/cracks si los pasas x un antivirus te saltan alarmas de detección de troyanos y demases. Lo de "es un falso positivo", falso positivo mis polainas.
Si uno usa un keygen lo tiene q correr en un sandbox, si no, fuiste.
@@deleatur Y eso que tiene que ver, lo que dices ya es algo implicito
tremendo video, mi hermano, no sabía de la existencia de las llaves físicas
Todas las cuentas en las que estoy logeado en mi pc, tambien estoy logeado en el movil. ¿En ese escenario es util una llave fisica?
¡Gracias, Migma! como no tengo presupuesto ahora mismo para comprar la llave, borraré las cookies cada vez que deje de usar el navegador.
Hola Una pregunta
¿Un robo de secion puede darse incluso si la persona no guarda sus contraseñas en el navegador?
Sabéis quien es inhackeable? El abuelo mayor de 75 años que no tiene ni ordenador, ni cuentas, ni teléfono y todas sus gestiones las hace en presencial. Lo malo es que lo atraquen.... Pero hackear el tío es inhackeable 😂
Ya pero él ni fama ni dinero tiene
No tiene ni pies ni cabeza lo que acabas de decir...
@@Shoy_Cabrera tu crees que una persona mayor que no tiene smartphone, ni ordenador ni ninguna red social pueden llegar a hackearlo? Es prácticamente una persona fuera del mundo digital, si a esa persona pueden hackearlo que paren el mundo que yo me bajo.
LOLL, lo vi en Twitter. Pensaba que era Bait. Pobre Ibai, la paso mal en la Champions, y ahora acá xd
Es mucho más factible perder esa llave de seguridad física que te ataque un "hacker"
Pierdes la llave física chao cuenta
Yo le pondría una correar muy visible y grande para evitar perderla (o al menos dificultarlo).
Es mas fácil que te roben el celular y accedan a tus datos que pierdas la llave de seguridad
@@ricardov6817 No... Hoy no pierdes tus datos aunque te roben el celular
Corríjanme si me equivoco pero, aun teniendo la llave física de autentificación, sigue existiendo el riesgo de que copien tus cookies (una vez has iniciado sesión tu) y las abran en otra computadora (saltándose cualquier necesidad de verificar el inicio de sesión) no?
Sí, por eso él dice que cierren sesión cada vez que puedan
Me voy a suscribir para que tu canal tenga más seguidores y que así seas cada vez más el foco de los hackers jajajaja. Gracias por la info amigo, un saludo, muy buen vídeo!
Que agradable sujeto 😂
Gracias a ti
xd
A mí también me hackearon bro.
que llaves fisicas recomiendas comprar?
Y si uno usa Linux o MacOS que precausiones ha de tener tengo pop Os en mi escritorio y macos ventura en una laptop macbook
Y como se que tu no eres un hacker y quieres pasar desapercibido haciendo este video? 😮
este chavo no pasa software modificado pa que lo descarguemos como hacen muchos otros
Y hace 2 días puso en comunidad que lo intentaron hackear. Tal vez el hacker consiguió el canal y está ganándose nuestra confianza
Eso es lo que diría un Hacker queriendo pasar desapercibido
Estas preguntas asi no me dejan dormir por las noches
O peor, es el xocas
Buen vídeo amigo.
Tengo una pregunta, ese tipo de correos "infectados", se ejecutan en sistemas operativos de PC, pero pueden ejecutarse también en teléfonos móviles?
Por supuesto que SÍ. A unos cuantos famosos les han fastidiado por el móvil... y eran de los mejores. Ojo al parche.
@@joel4694 gracias por responder, lo preguntaba porque cómo son archivos .exe, el móvil no los puede ejecutar, imagino que usarán otro tipo de archivos para ello
si descargas juegos "gratis" es decir no es el juego original sino una reversion pues te pegaran scripts para tratar de entrar en tus cuentas, ya le paso a mi profe que se descargo un juego gratis.
También cada vez de terminar de usar la PC es borrar las cookies, ya que de ahí roban la info de las sesiones
con solo poner la activacion desde tu celular basta, cada vez q uiera entrar a un navegador debes darle el ok desde tu telefono ,asi nunca podran entrar a tu cta google
Muy bien explicado, de 10 el vídeo
Sirve de algo tener cuántas separadas en la PC? Uso una cuenta para mí información personal y otra cuenta para juegos, donde uso algunos mods o hacks.
Puedes ponerme link o el nombre de la llave fisica que té compraste
si tienes un correo electronico de una institucion academica, instituto o universidad, puedes conseguir la suite de adobe a mitad de precio o incluso mejor en el precio.
Es extraño lo de la Cuqui, según tengo entendido si la persona no está en la misma ubicación que tú automáticamente se le ha de cerrar la sesión y también, cuando van a cambiar la contraseña necesitan ingresar tu contraseña actual y entonces, la pregunta del millón de dólares es, cómo obtienen esa contraseña que está encriptada? incluso, cuando vas a cambiar tu contraseña te pide que ingreses el código de verificación que envían a tu número de teléfono por lo que algo raro debe haber ahí, si no es que son los mismos de CZcams que venden tu información a esas personas
¿A qué te referís de misma ubicación? ¿Mismo pais? ¿o restricción por IP?
Donde se pueden comprar las llaves de seguridad?
Y que pasa cuando se te pierda la llave física?
teniendo la sesión abierta de gmail me pide contraseña cuando quiero cambiarla así entonces como hacen los hackers para entrar allí?
A mi también me apareció esa alerta el Sabado!!
me acuerdo q estaba en esas paginas de cracking y se pasaban cuentas bastantes incluso te pasaban cookies y lo pegabas al navegador ya no necesitabas el usuario y contraseña de netflix.
falta poco para los 100k
Pregunta sería: ¿Puedo usar las mismas llaves fisicas en varias cuentas de google?
5:44 ¿Por qué se sigue usando la contraseña?
Yo casi caigo en una estafa muy bien montada donde te hacian creer que estabas en una cuenta con criptomonedas y para poder mover grandes cantidades de criptos ocupabas crearte una cuenta y upgradear tu cuenta para poner pasar mas cantidad de criptos de la cuanta con millones y la tuya el metodo por donde entre fue por un número temporal
Una vez en un canal de coches ruso lo hackearon con lo mismo de Tesla pero a los días regresó con todos los videos como si nada
muchas gracias!
¿Se puede crear una copia de la llave? Lo digo porque ¿qué pasa si es robada o se estropea por algún motivo?
Normalmente te venden el par, cosa de tener una contigo y otra guardada por si acaso
Creó que hace falta un poco de educación a la hora de manejar nuestros ordenadores que nos permitan mitigar estos ataques. Por ejemplo, cuando usamos windows o linux no usar el usuario administrador/root para navegar por intenert, es decir, crear otra cuenta de usuario distinta para estas cosas. También, usar alguna máquina virtual, esto sobre todo viene bien para quienes necesiten probar software. Es importante tener un gestor de claves para no reperir claves, claro aqui esta la cuestión que algunos sitios sobre todo en páginas de españa no permiten tener claves de seguridad muy largas. Pero, claro ya nos estamos metiendo en el campo de usuarios más avanzados.
Una cosa que no entiendo, es si la Cookie de Sesión pasa por encima del V2P ¿No deberían de modificar estás cookies para que estén obligadas a pasar por el sistema de Verificación?
Llevan más de 2 años hackeando cuentas mediante Cookies y Google no hace ni pingo
@@Cop0o
Si, eso ya lo sé, pero el sistema de cookies no es algo que haya creado Google.
Por lo que si pertenece a algún estandarizado de la red debería de existir algún tipo de update, por decirlo de algún modo que obligue a las cookies a pasar por los autentificadores.
Porque también están involucrados los proveedores de internet, y también está el factor humano
Como se usa la llave desde el movil? Desconozco sobre el tema
La manera de conexión depende de la llave, los métodos habituales son USB, NFC (que no requieren que la llave tenga batería) o bluetooth (que no recomiendo pues la llave necesita una batería). Eso sí, la web para browsers móviles (o app) tiene que tener implementada la funcionalidad.
a mi me paso y no se como carajos lo hacen si tengo alta seguridad en mi cuenta 😱😱
Actualmente ya nada es seguro descargar cosas pirateadas ni apk ni .exe
justamente me banearon una cuenta de un juego antiguo y los administradores del juego me dijeron que se detecto "EventHijacked" pero poco despues me devolvieron la cuenta.
Podrían usar un ordenador con Linux o Mac exclusivamente para las cuentas de CZcams de interés.
si las cookies son archivos con configuraciones de preferencias y datos de inicio de sesión de los sitios, es decir que por ejemplo si usas un tema oscuro en un sitio x eso queda guardado en una cookie del sitio en tu dispositivo para que la próxima vez que ingreses no necesites poner el tema oscuro, también se puede robar las cookies de un celular
@@lcjmetalord si solo usas Linux o Mac para esas cuentas y no Windows o Android ahí si funciona
Que pasa si pierdes o se te rompe la llave?
En resumen te descargas un .EXE, te saca las cookies, te desencriptan las cookies, las meten en el navegador, cambian la contraseña y ya esta
Tambien hackearon a you viral y a un tal nexus un canal llamado micro strategy
Mal eso es cierto
Hay muchos canales hackeados en youtube que suben contenido de programas gratis que tienen virus y son canales que son muy activos en poco tiempo y tienen el mismo tipo de portadas, no recomiendo descargar nada de lo que promociona ningun canal
A mí me llegan correos de gente ofreciendo miles de dólares por promocionar un sitio web, una oferta demasiado buena para ser verdad; pero en este caso, comparten el link del sitio web como para que uno lo revise, por supuesto, yo no he abierto esos sitios.
A mi una vez me pasó, tan solo robaron las cookies de la sesión de mi navegador y cambiaron hasta el dominio del correo por uno temporal, fue por haber apretado un pop en una página pirata
Ah, y les recomiendo imprimir las 10 claves que Google te entrega, aunque hagan lo que sea con la cuenta, al usar una de esas claves recuperas el acceso inmediato
@@ELHUASOPITERefectivamente, esa hoja es una salvación
@@ELHUASOPITERyo lo queria hacer pero luego vi que decia que las mismas cambiaban cada cierto tiempo. me equivoco?
lo de secuestro de sesion es parecido a cundo instalas otro navegador y te pide importar los datos del anterior?
Pero no exportan sesiones, los hackers si lo logran.
@@capulini a mi Edge me inició todas las sesiones que tenia en Chrome 🤔
Es parecido
hola migma un saludo
El vídeo está bien y tiene mi like, PERO:
1) Aunque sea con llave física, eso sigue siendo un tipo de factor de verificación (nada de "... está por encima de la verificación en 2 pasos...", ES uno de los posibles factores en 2FA/MFA)... Cada factor de verificación es - o debería ser - independiente y estar aislado de los otros, los posibles son: usuario+pwd, huella dactilar, reconocimiento facial/iris/voz, tarjeta/dispositivo NFC, PIN, SMS/mail/app con código único, etc... los hay más o menos seguros (y sí, las llaves físicas son de los que más - siempre que uno sea cuidadoso con ellas), pero insisto TODOS ellos son factores de verificación. Lo más habitual es que el primero sea la combinación de usuario/pwd; y luego cada servicio soporta los que soporta para los siguientes (p.ej. CZcams/Google sí soporta llaves físicas, pero te encontrarás con otros muchos servicios que no)
2) Como muy bien has dicho previamente, el multi-factor de verificación (repito, sí, las llaves físicas SÍ son un tipo de verificación) sólo te protege en el momento del login, pero una vez has pasado todos los factores y obtienes la cookie de sesión, esa barrera de seguridad ya ha quedado atrás, así que la llave física - que tmb recomiendo - desgraciadamente NO te protege de este ataque en concreto (aunque sí de otros, de ahí que la recomiende).
Lo que me parece increíble es que, dada la alta ocurrencia de este hackeo, desde CZcams sigan permitiendo hacer según qué cambios (borrar vídeos en masa, cambiar el nombre del canal, etc.) sin solicitar otra vez la autenticación del usuario (simple/doble/triple....). Este error es similar a dejar tu puesto un momento sin bloquear el PC, por ello muchos programas que permiten realizar acciones críticas, solicitan al usuario que se re-identifique una vez más cuando vaya a realizar alguna de esas acciones, y asegurarse de que no sea otro que haya podido aprovechar un "despiste" del usuario (ya sea dicho "despiste" instalarse un malware roba-cookies o irse al lavabo sin bloquear el PC)
Resumiendo, sí, es aconsejable activar la veriticación en múltiples pasos y que uno de estos pasos sea con una llave física (para aquellos servicios que lo soporten, entre los cuáles están todos los de Google), pero no, no te va a proteger en el caso de que te roben las cookies... a no ser que desde CZcams se pongan las pilas y soliciten la re-autenticación para ciertas acciones.
Muy interesante tutorial.
Lo que tienen es que dejar de piratear software y listo, no importa de donde lo bajen si es pirata estas jodido.
Al final no mencionaste cómo hackearon a ese man
las llaves de seguridad son 100% seguras?
Es más seguro pero nada es 100% seguro mejor prevenir que lamentar, siempre cuidarse aunque seamos unos titanes 😁
No se puede fiar uno hay gente que desde que tenían 9 años están con los juegos y el ordenador y hacen cosas increíbles con 28 años y hay muchos por ahí sueltos
La llave titan no la mandan a cualquier país. Cuek!!
Pero da miedo si esa llave fisica se te daña... naaa jamas podras entrar.
Se recomienda hacerse con 2 como mínimo (la otra de backup) y asociar ambas al servicio (o servicios) en cuestión.
En el momento que se daña una hay que hacerse rápido con otra y mientras usar la de backup. Una vez se tenga la nueva hay que vincularla a los servicios
En caso de pérdida o robo, además de hacerse con otra como en el caso de que se dañe, también hay que darse prisa en desvincular esa llave robada/perdida de cualquier servicio con el que estuviera asociada. Esto es recomendable hacerlo tmb en caso de que se dañen, pero es bastante menos urgente.
cuando eso me paso a mi fue hacker vs hacker porq mee hackeaba la cuenta y yo le hackeaba y cuando se canso me devolvio mi cuenta y ahora tengo mi cuenta otra ves
la solución que yo hago es manejar mis cuentas y todo lo relacionado a internet desde Fedora 38 y lo que tuviera que editar que exija un software no compatible en fedora o por lo menos, pirata, es utilizar Windows sin conexión a internet.... Aunque en realidad todo lo hago desde Fedora y Windows solo lo tengo para jugar
5:10 Pues eso es solo la promoción, en países como Argentina, México, Perú o Venezuela son varios salarios más impuestos y más aún si quitas la promoción
Mmm. Era otro video de venta...
Recuerdo que me metí tremendo virus .exe cuando descarge el Call of duty 3 para PC, sorpresa, no existe una versión para PC.
Pregunto a quienes saben, si solo entro subo y checo mis cuentas en linux aún hay riesgo?
a mi tambien me hakearon y a mi primo tambien tenia como 2000 ssucriptores, busquue informacion yyy nadie sabia nada, tuvo que pasar meses para que un famoso le hakeen para que un webon haga un video de como le hakearon y cuuando yo queria saber antes este video nunca estuvo, muchas gracias
Asi tambien le paso a matix oviedo, le cambiaron su canal y borraron todos sus videos, menos mal que ya lo recupero
0:17 A veces ni cambiando la contraseña funciona, con las cookies no es necesario.
Grande ElonMusk, yo ya tengo el Zelda de verdad de hace tiempo
Recomendacion: Nunca mirar tu correo electronico
Recomendacion: nunca tener correo electronico, ni cuenta de youtube, ni cuenta de nada. si me apuras, nunca tener pc ni telefono movil.
@@KaladinStormBlessed190 No existir, porque hasta las redes locales de las actas de nacimiento pueden hackear
Sigo teniendo la duda de cómo cambian la contraseña si solo te roban la cookie y que yo sepa las cookies no dicen la contraseña, ya que al cambiarla te la vuelve a pedir
Porque tienen abierta la sesión de gmail y desde la cuenta abierta puedes cambiar la contraseña, no es necesario que se la sepan y no siempre te piden ingresarla al cambiarla, eso decía un youtuber de habl en inglés
Simplemente copian y pegan los archivos
@@juandg442cómo no, siempre te pide la contraseña actual para poder poner una nueva
5:06 La realidad es que nadie necesita la Suit de Adobe. Hay miles de alternativas de código abierto. A no ser que seas un profesional, no hay excusa para piratear nada.
Solo te dire un sistema window no es igual a uno android una pc no es igual a un dispositivo asi que se puede hacer de todo en la pc pero en android si es complicado
Google debe pedir contraseña cada vez que desees cambiar contraseña y nombre de usuario, pero no lo hacen. ¿saben porque?
Si piden confirmar tu identidad.
@@capulini igual, sigen poniendo TESLA en los canales y cambiando contraseñas esos loquillos. Talvez usan una API que no requiere confirmación de identidad y ahi esta el truco que deben cortarles.
A escribir en un cuaderno 500 veces: no debo usar software pirata, no debo usar software pirata, no debo…
Paso algo con el canal de @tortugaadicion saben que paso le borraron todos los videos y le cambiaron todo menos los anuncios de la comunidad
Son "medio" equivocadas algunas cosas que se han dicho en este video:
1. tanto una buena contraseña como un doble factor de autenticación son muy valiosos (especialmente este último)... cuando SE USAN BIEN !!!
2. el problema no es del segundo factor de autenticación, el problema es que la gente no cierra las sesiones en el navegador cuando "abandona" la página en cuestión (y entonces como quen dice la llave se queda enganchada en la puerta y alguien malintencionado la puede USAR, SIEMPRE que tu software tenga un agujero de seguridad!!)
3. el otro problema GRAVE es que para hacer la vida más cómoda a los usuarios las páginas acostumbran a hacer dos cosas nefastas: a) no cerrar las sesiones de usuario cada X tiempo de inactividad, b) ofrecer al usuario esa opción de "no pedirme el segundo factor en este dispositivo porqué es seguro" (jajaja, qué mal chiste... seguro no hay nada ya!!). Esa opción es la que casi MATA el toble factor de autenticación.
Entendido lo anterior, no debes alarmarte si sigues todos estos consejos o parte de ellos (ya depende de tus ganas de "incomodarte" la vida):
1. usa pestañas de navegación de incógnito en tu navegador en cualquier website que tenga acceso por contraseña. ¿Porqué? Porqué al cerrar el navegador (NO AL CERRAR LA PESTAÑA!!) las cookies (las llaves de la sesión) se eliminan SÍ O SÍ !! aunque no hayas cerrado sesión voluntariamente. Solamente esta medida ya haría anularía el ataque que mencionaron en el video muchas de las veces. Puedes usar el navegador en modo "no de incógnito" para todo lo demás.
2. un consejo mejor (así lo hago yo desde hace años): usa un navegador diferente al que usas por defecto, para los sitios web que realmente son importantes para ti (el banco, administrar tu canal, administrar lo que sea...!!!) y el navegador por defecto lo usas para las cosas (y sesiones) que si llegas a perder tampoco será un problemón en tu vida.
3. Usa un gestor de contraseñas. Eso te permitirá una convivencia mucho más agradable con el sistema de contraseñas y mucho más robusto porqué por fin podrás usar contraseñas diferentes y complicadas para cada servicio donde tengas cuenta. Si eres de los paranoicos, no confíes en el gestor de contraseñas que ya traen incorporado casi todos los navegadores web! usa uno externo... una app CONFIABLE!!!
4. Por la misma razón, no confío en que el navegador recuerde mi contraseña, y por la misma razón que explica el vídeo marco NUNCA la opción de que la página "recuerde que este dispositivo es seguro". Porquée tu dispositivo NO ES SEGURO. En ciber-seguridad de servidores web a esto le llaman "zero trust policy", es decir política de confianza CERO en todo y todos. Cualquier cosa puede fallar en cualquieer momento, y la confianza tienes que regalarla lo mínimo indispensable siempre que sea posible.
5. POR FAVOR, APLICA DE INMEDIATO LAS ACTUALIZACIONES que te sugiera tu dispositivo o sistema opeerativo !!! conozco mucha gente que va acumulando las notificaciones de actualización y NO LES HACE CASO!!! a ver... eso es lo más peligroso que puedes hacer! Te explico: el 80% de esas actualizaciones son justamente de SEGURIDAD !!! corrigen agujeros de seguridad en el software (es algo que nunca se acaba de securizar...), y son agujeros que están listados por ahí en internet y que la gente con malas intenciones LEE y aprovecha para tratar de entrar en nuestros dispositivos y sesiones. Los fabricantes de software van tapando esos agujeros de seguridad, pero es NECESARIO que actualices tus apps y tu windows si quieres estar protegido con esas nuevas mejoras y correcciones. Sino es como si tuvieras una diana en la cabeza gritando: atácame!!!
SIguiendo estos consejos estás cubierto al 99%. Claro, del phishing no te salva nadie. En este sentido olvidé un consejo paa operar en teléfonos: REINICIA TU DISPOSITIVO CADA X DÍAS (1-3 días máximo). En esto no conozco mucho, pero escuché algo muy razonable: la mayoría de infecciones navegando operan en la RAM del dispositivo, que es una memoria temporal de ejecución que se borra y vacía cada vez que reinicias tu dispositivo (lo mismo aplica para los PCs)... con lo que al apagar tu dispositivo, en la práctica se hace un reseteo completo de tu RAM y de posibles infecciones en el navegador. Insisto, tal vez es inexacto como lo digo, pero creo que debe ser muy así. Desde entonces también sigo esta buena práactica de reinicio cada x días.
Ah, si eres usuario de Android: define una contraseña para desbloquear tu teléfono, no solo un PIN de tipo trazo!!! De nuevo, es más molesto, pero si tienes sensor de huella, puedes usarla como alternativa, solo por 72 horas (3 días). Cada 72 horas tienes que reescribir la contraseña, por tu seguridad. De hecho, es el momento en el que aaprovecho (como recordatorio ineludible) para reiniciar el teléfono 🙂
Siendo así las cosas, entonces el problema es más gordo de lo que imaginaba. Se supone que para hacer nuestras vidas más fáciles, los inicios de sesión se guardan para no tener que escribir el usuario y la contraseña cada dos por tres. Pero si la solución es simplemente cerrar la sesión cada vez, entonces estamos tirando la toalla.... mejor ni siquiera usemos computadoras!
Yo creo que el error es culpa de los navegadores o incluso del mismísimo Windows. He visto videos antiguos de hace casi 10 años que trataban este tema, y hasta ahora nadie ha tenido la genialidad de corregirlo o encontrar una fórmula diferente para evitar que nos roben esos códigos de inicio de sesión. Acaso no hay algún cabezón en estas empresas que se le ocurra una forma más segura?
No soy un experto en la materia, pero estoy seguro de que se puede hacer algo más. Estoy de acuerdo contigo en los cuidados que hay que tener en este ámbito, pero también es cierto que la gente se va a aburrir de tener que gastar el 40% (o incluso más) de su tiempo en estas cuestiones. Creo que las empresas podrían esforzarse un poco más en brindarnos seguridad; simplemente no han mostrado interés en solucionarlo...
@@JohnDetecter El problema "siempre ha estado ahí", no es un problema de los navegadores "de ahora". Lo que sucede en el área del software es que son ENTIDADES CAMBIANTES PERMANENTEMENTE porqué el ecosistema del software es un enjambre de una cantidad enorme de componentes que unos dependen de otros, y si uno cambia en algo, los otros deben hacerlo también. Y el problema con este CAMBIO CONTINUO del software es que se crean cada día nuevas posibilidades de "romper el código". Cada funcionalidad nueva (o diferente a cómo era antes en algún sentido) cambia las maneras en las que ese software podría ser vulnerado, simplemente.
Entonces, la cosa "va a peor", en el sentido de que cada vez el ecosistema de software es más numeroso, con mayor número de gente implicada, y en contrapartida no hay una mayor inversión de dinero en poner más atención en reducir o atajar las nuevas vulnerabilidades. De hecho, las empresas que más dinero y personas le dedican son las grandes (Microsoft, Facebook, etc...) y suele a través de "campañas de recompensas económicas" para quien encuentre vulnerabilidades. Pero el resto de la industria (me incluyo) lo mejor que podemos hacer es tratar de seguir con rigurosidad buenas prácticas (incluso a costa de que a menudo los usuarios se quejan porqué les "parece incómodo") y responder lo más rápidamente cuando alguien nos reporta algún problema.
Lo triste es que vivimos en un mundo en el que la gente cree que TIENE DERECHO A UN BUEN SOFTWARE y GRATIS !!! y si no me lo dan gratis, por favor que alguien me lo "hackee". En lugar de ser más responsables y remunerar a los desarrolladores por su trabajo. Me acuerdo del RIDÍCULO escándalo que montaron la mayoria de usuarios de Whatsapp cuando la empresa pretendió cobrar UN DÓLAR al año, o por cuenta (no recuerdo bien).... era solamente un dólar pero se llevaban las manos a la cabeza!! como si ellos trabajasen normalmente gratis para sus empresas...! qué ridiculez!.
Entonces, amigo, sí... esto no mejorará mucho. O como siempre en la vida: habrá quienes tratemos de hacer bien las cosas como usuarios, y nos irá mejor, mientras que la borregada mirará solo por su comodidad auto-complaciente y le secuestrarán continuamente sus cuentas en redes sociales, plataformas, etc... La magia solo sirve para sacar ramos de flores de los sombreros... no para securizar tu vida.
Yo le digo siempre a mis clientes: un mayor nivel de SEGURIDAD siempre implica PROPORCIONALMENTE un menor nivel de COMODIDAD. Y no hace falta ser un ingeniero de software para entenderlo: todos sabemos que si pones más cerraduras en la puerta de tu casa será más difícil que alguien malintencionado entre, pero también tú te vas a tardar el doble en entrar cada día... tú escoge qué es más importante para ti ;-)
@@SergiRodriguesRius Uf... Amigo, tu respuesta es digna de alguien que trabaja en el ámbito informático pero no comprende la realidad del usuario "común". Me recuerda a las discusiones que solía tener con usuarios de Linux que menospreciaban a aquellos que no utilizaban ese sistema y no querían usar la terminal. Simplemente no podían entender que ellos son solo el 5% de personas muy involucradas en eso, mientras que el usuario común, con poca experiencia, no lo entiende. Además, no comprenden las desventajas de no poder utilizar ciertos programas.
Te sucede lo mismo. Tú, como alguien que trabaja en esto, lo sabes todo, pero no puedes esperar que las personas que no trabajan en esta área lo sepan. Hay personas que son usuarios muy básicos, realmente básicos. Te lo digo porque he tenido la oportunidad de trabajar con estas personas y para ellos, este mundo es completamente desconocido. Si me enseñaran, tal vez lo entendería porque he investigado estos temas, pero para otros es como hablar en otro idioma.
Si tú, como experto en el área, me dices que es muy complejo solucionar el problema para las empresas desarrolladoras por X y Y razones, te entiendo y te creo. Por eso, en mi comentario anterior, comencé diciendo que estamos en un problema gordo. También te di la razón en todas las recomendaciones. Sin embargo, creo que caes en el error de no comprender al usuario común. A veces es bueno salir detrás del escritorio y del computador para entender mejor el mundo desde otras perspectivas.
En cuanto a lo de cobrar por usar software, creo que es algo innecesario y se desvía de la discusión. Pienso que lo mencionaste simplemente porque te afecta, pero no creo que sea relevante en este contexto.
@@JohnDetecter comprendo lo que dices acerca de los "usuarios comunes"... ¿Qué me vas a explicar si doy asistencia a esos usuarios desde los 90's? 😅 Pero eso no desdice lo que afirmaba en mi primer comentario, y sí tiene relación con lo del "software gratis". Tal vez dije muchas cosas pero no concluí mi coentario, no uní los puntos, Ahí va.
Todo tiene que ver con el hecho de que como el software (igual que los contenidos multimedia -música, cine, lirbos...) son FACILÍSIMAMENTE DESCARGABLES y COPIABLES, incluso el hardware celular es relativamente barato (cuando aparecieron los primeros los REGALABAN al comprar un microondas! algunos jóvenes de hoy no han visto eso), vivimos en una sociedad en la que las tecnologías digitales son SOBRE-ABUNDANTES y hasta pareciera que son gratis... aunque como ya sabes, cuando algo es gratis es que tú eres el producto. De ahí que en el subconsciente colectivo hay esa sensación de que no es un crimen de pena de muerte descargar y usar sin pagar, y algunos hasta creen que es un derecho.
Voy acabando. Enlazándolo con lo de la ciberseguridad: solo pretendo hacer notar que estas tecnologías son COSA SERIA, igual que lo es conducir un automóvil (un trasto de más de una tonelada con la que puedes quitar la vida de cualquiera que se te cruce por delante en un despiste) y que ese "común de usuarios" del que estamos hablando PRETENDEN (y parece que tú también pretendes) que puedan usar de forma segura tal tecnología sin darle el VALOR de lo que cuesta. De lo que cuesta hacerlo y mantenerlo. Y de lo que cuesta aprender a usarlo bien (como el automóvil). Y que si quieres que AÚN SEA MÁS FÁCIL (porqué la verdad no es para genios manejarse bien un doble factor de autenticación!!!!!) deberíamos todos pagar BASTANTE MÁS DINERO para que los programadores hicieran software más seguro y más sencillo "out-of-the-box".
Así que sí depende del dinero. De que las cosas no son gratis, y las cosas seguras y eficientes mucho menos. Y no me hagas continuar hablando, porqué en el caso del automovilismo la metáfora aguanta hasta el infinito. Por eso pudimos ver con horror el ESCÁNDALO MAYÚSCULO hace un par de años de la ESTAFA de Volkswagen con el trucaje de sus motores diesel para engañar en los tests de contaminación. Aunque incluso en este caso sería discutible si lo hicieron para ahorrarse dinero o para seguir teniendo compradores que contaminan a lo loco pero no están dispuestos a pagar más por coches realmente menos contaminantes. Por eso digo que el paralelismo con el software y los contenidos digitales es muy cercano. Al final todo se reduce a una mentalidad del "todo gratis".... tristemente. En un mundo, paradójicamente en el que todo el mundo quiere cobrar muy bien y tener una pensiones maravillosas... pero que las paguen otros. En fin, ya lo dejo, que ahora sí me fui del todo por la tangente.
Saludos fraternos. Gracias por la conversación.
Déjame ser más directo y posiblemente más ofensivo: en los 90's me tocó estar un año dando clases en una academia de informática a comerciantes (gerentes/dependientes de jugueterías, papelerías, talleres de impresión, etc.) pagado por el municipio, por aquello de incentivar el uso y aprovechamiento de las emergentes tecnologías digitales. Eran el final de los 90's, tocando al cambio de siglo.
Te aseguro que cualquiera de esas personas (mis alumn@s) le ponía MÁS GANAS Y ENTUSIASMO en aprender a usar el excel de lo que ponen la mayoría de mis clientes actuales, 25 años después!!! Y no es una cuestión de edad, eh! Tanto en aquel entonces como ahora, trato con personas de todas las franjas en edad laboral.
A lo que voy: me queda claro -tristemente- después de 25-30 años en este sector que como tú dices, la mayoría de la gente tienen conocimientos POR DEBAJO de lo básico en el manejo de las tecnologías digitales, pero lo peor es que LO SABEN, LO TIENEN MUY ASUMIDO, Y NO LES IMPORTA, no tienen ningún interés en salir de su ignorancia... algo que está a unas cuantas horas de dedicación nada más. No es cosa de edad, ni de dinero, ni de estudios. Es una cosa de actitud. Conozco señoras de 60 años que les dan 100 vueltas a la mayoría de mis otros clientes, y no son ingenieras de computación.
En fin, ya dije al inicio que me iba a poner más ácido en este comentario. Aunque no es mi voluntad. Supongo que nada más es decepción, frustración, y lamento por una especie humana que de algún modo está adormilada en la comodidad de su día a día, de su seguir tirando sin ir más lejos que llegar al día siguiente a ser posible como hoy está... jajaja, ya me puse trágico. Disculpa. Saludos!
QUe pasaria si desativas los cookies? o usas incognito? 🤔
No te hackearian
A mí me llegan correos de una compañia de Argentina llamada Telecentro por un internet a menor precio y con. Sólo ver la vista previa se ve ese texto de precio menor y una sucesión de letras y números etc 😂 ni los abro .
si se pierde la llave física que pasa,
Cagas, por eso la idea es configurar mas de una, si se te pierdes tienes una de respaldo.
años y años usando juegos y programas pirata nunca eh sido hackeado. pero ahora ultimo en una pagina donde veo películas me hackearon. creoo. antes solo las descargaba y cerraba la pagina. pero ahora quise verla online. creo que desde ese momento me hackearon unas cuentas.
Hay una llave física mejor que otra? o mejor dicho ¿La llave física de google es la mejor y como la consigo?
Las más famosas son las yubikeys, son como las estándar, tiene para distintos tipos de entrada (usb,usb C, para entrada de iPhone, etc) pero creo que el robo de sesión puede burlar completamente este método de protección
Ni spy CZcamsr y también me salió la alerta y me pusieron estados de criptomonedas en mi instagram
Cómo*
Por qué la verificación en dos pasos no es suficiente si te quitan la cookie de sesión? En teoría no pueden cambiar la contraseña ni el correo, ni añadir una llave física sin verificar con el móvil
La verificación en N pasos se hace cuando no existe cookie de sesión previa. A la que existe cookie de sesión previa ya no hay necesidad de ningún tipo de identificación. Si tú te llevas la cookie de sesión - que no deja de ser un ficherito en una carpeta - de un dispositivo A (en el que en algún momento ya te has identificado con los N pasos) a otro dispositivo B (en el que jamás te has identificado), en B no te va a pedir ningún tipo de identificación, y esto es porque al existir la cookie de sesión, el servidor se piensa que ya te identificaste en el pasado.
Maneras de evitar almacenar cookies de sesión (aunque ello suponga tener que verificar con N pasos cada vez que queramos iniciar sesión):
1) En caso de que exista la opción "recordarme", NO marcarla
2) Asegurarse de cerrar todas las sesiones antes de cerrar el navegador (dándole a la opción de "Desconectar", "Log out", "Cerrar sesión", ... a veces etiquetan la opción como "Salir"). Asegurarse de hacerlo al menos 1 vez/día, p.ej. antes de irse a dormir (cuanto más frecuente se haga, menos probable será que, en caso de que nos la lleguen a robar, siga siendo válida cuando la intenten utilizar).
@@AndreuPinel gracias por la explicación, pero si google pidiera identificación en 2 pasos para cambiar la contraseña a pesar de tener la cookie de sesión (algo que discord hace por ejemplo), entonces se resolvería el problema no?
@@TebionDL Lo comento en una entrada más abajo.
Si google pidiera que te reidentificaras - sea en un único paso o en múltiples - a la hora de realizar ciertas acciones críticas, incluyendo - pero no limitado a - el cambio de contraseña, estos hackeos no serían tan dañinos.
Otras acciones que deberían requerir reidentificarse serían:
* el borrado de elementos (vídeos, mails, ficheros en drive...) de golpe o cada x tiempo (p.ej. intentar borrar 10 vídeos de una tacada o 10 en menos de 5 minutos).
* la subida/envío masivo de elementos (subir 300 vídeos de una tacada, o enviar 1 mail a 3000 personas debería detectarse como spam potencial y por tanto requerir reidentificarse)
* cambio de nombre del canal
* cambio de dirección de e-mail/teléfono de seguridad
* cambio de cualquier factor o tipo de identificación
* añadir/quitar métodos de pago
* etc
Y como digo, hay aplicaciones nativas que incluso sin funcionar con cookies, implementan estos requerimientos de reidentificarse, porque pasa lo mismo cuando uno se va de su sitio - p.ej. al lavabo - y se olvida de bloquear su PC, lo que permite que cualquera que pase por delante use su PC para realizar acciones dañinas en su nombre.
@@TebionDL
Si google pidiera MFA para cambiar la contraseña - que no sé si lo hace aunque seguramente sólo te pida el password actual y no la llave física o cualquier otro MFA - estarías protegido contra la apropiación ABSOLUTA de la cuenta, pero NO te protegería contra el acceso a tu cuenta, con lo que ello conlleva (el hacker aún podría hacer borrado de vídeos, mails, archivos de google drive, etc.). Es decir, tú podrías seguir accediendo a tu cuenta ya que no podrían cambiarte el pwd para evitar que tú accedas... pero el hacker tmb podría acceder.
Entiendo que en los casos en los que el hacker ha conseguido incluso cambiar la contraseña de la cuenta es porque realmente para su cambio sí te pide sabértela previamente, pero después NO hay MFA; así que bastaría con hacer un "he olvidado mi contraseña" y esta acción, si estuviera configurada para enviar un correo a otra cuenta de mail (p.ej. a yahoomail.com) para la que el hacker tmb haya robado la cookie, sería fácil de sortear.
Vamos, que para una protección total no bastaría con proteger el cambio de sistemas de autenticación con MFA, tmb sería necesario que el MFA fuera requisito para muchas otras acciones críticas, como el borrado de mails gmail/vídeos youtube/ficheros gdrive/etc en masa (de un golpe o en un lapso de tiempo X), cambios de nombre del canal, etc. etc. Pero sí, el más importante, sería el cambio de cualquier método de autenticación (no sólo la contraseña, cualquier otro FA tmb debería solicitar todos los MFA de ese momento).
Yo digo lo mismo que el compañero quien sabe quien es quien si no lo ves😮
Espero que no me pase
Lástima que solo con robar los cookies eres vulnerable. Google debería solucionar eso
Y si pierdo mi llave fisica ☝️😟
Igualmente esos streamers tienen mucha plata asi que por lo menos tendrian que invertir en sus herramientas o usar alternativas más baratas