Añadir Pasaporte Covid en la wallet de tu iPhone o Android

Your Pass ha desarrollado una solución para crear una copia digital del pasaporte COVID de la UE y llevarlo en la cartera digital del móvil.

Los ciudadanos de países miembros de la Unión Europea ahora pueden crear una copia digital de su pasaporte COVID (también llamado Certificado Verde Digital) para llevarlo consigo a tomas partes en su teléfono Android y iPhone.

Esta solución ha sido desarrollada por Your Pass, una compañía checa independiente especializada en en campo de las carteras digitales. La firma asegura que este proyecto es una forma de «contribuir de forma gratuita en la batalla contra el COVID-19».

El proceso para crear la copia digital del pasaporte COVID es muy sencillo. No es necesario instalar ninguna aplicación en el móvil. Además, Your Pass asegura que no recopilan información ya que se trata de un contenedor digital del código QR.

Descargar el pasaporte covid

En primer lugar tenemos que acceder al enlace correspondiente de la comunidad donde residimos para generar nuestro pasaporte covid.

En este enlace puedes encontrar la web de tu comunidad autónoma: https://www.mscbs.gob.es/profesionales/saludPublica/ccayes/alertasActual/nCov/ccd/ccaa.htm

Los datos que me han solicitado han sido el numero sip, fecha de nacimiento y fecha de emisión de la sip. Una vez enviado el formulario nos saldrá para confirmar si el teléfono que tienen registrado es el correcto, confirmado esto, recibiremos un código por sms que es el que nos terminará de dar acceso a nuestro pasaporte covid generado.

Lo más cómodo es o bien hacer un recorte del pasaporte completo o generar un pdf para guardárnoslos.

Digitalizando el pasaporte COVID

  • En un teléfono iOS, abrir la página www.getcovidpass.eu y tocar en el botón Crear el suyo en la parte superior.
  • Tomar una foto o cargar una captura de pantalla del código QR del pasaporte COVID.
  • Descargar el pase digital en el dispositivo móvil.
  • Abrir el pase digital en la aplicación Wallet integrada del iPhone o en una cartera digital de terceros en Android. Your Wallet recomienda descargar su aplicación de Play Store.

Son unos pasos muy sencillos y de esta forma siempre tendremos en el teléfono móvil nuestro pasaporte covid, aunque no tengamos conexión.

El pasaporte COVID de la UE entró en vigor el 1 de julio de 2021, permite certificar que una persona ha sido vacunada, se ha realizado una prueba de COVID-19 cuyo resultado ha sido negativo o se ha recuperado de la enfermedad.

Se trata de un documento que facilita la movilidad entre los Estados miembros de la Unión Europea a quienes acrediten una de las tres condiciones anteriormente citadas. Tenerlo en la cartera digital del dispositivo móvil pude ser una alternativa muy práctica.

Es muy probable que además de para poder viajar a otros países, en breve, también sea obligado para asistir a eventos como conciertos o festivales.

Etiquetado: / /

Intentos Pishing. BBVA

A diario recibimos cantidad de comunicaciones (e-mail, sms, teléfono) intentando técnicas de pishing (técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar)

En este caso voy a documentar una de BBVA que me ha llegado por e-mail

Encabezado del correo

Aquí ya sorprenden muchísimas cosas. La primera y más importante es que BBVA jamás te mandaría una notificación por mail pidiéndote acceder a tu cuenta. Pero aún así.. vemos que no saben mi nombre, simplemente utilizan el nombre de mi dirección de email para ponerla en el asunto: Jtorrecilla
Después vemos que su cabecera es BBVA Espana ¿qué pasó con la ñ?
Y para rematar una dirección de correo que en ningún caso proviene de BBVA pues al menos debería de contener el dominio bbva.es notificaciones-bbva.541281@email.acceso.bbva.es.dyca.com

Cuerpo del correo

El diseño pese a querer imitar la hoja de estilos y la estructura de BBVA tiene muchísimos aspectos sospechosos, por ejemplo ese botón, ni se han esforzado en centrar el texto… También vuelven a utilizar la primera parte de mi dirección de correo para dirigirse a mi.

El resto del correo contiene una imagen borrosa

Un teléfono que dudo que sea de BBVA y el resto del html y el pie, pese a no adjuntarlo también dejan bastante que desear en cuanto a diseño aunque los enlaces que contienen parece que van a urls correctas pero aquí lo peligroso es el botón de acceder al buzón que te lleva a esta url:

http://www.bbva.es.bdd9c9f2.wmdiscovery.com/.bbva198/?=jtorrecilla@coarval.es=

Como se puede apreciar.. el dominio es wmdiscovery.com (nada que ver con bbva)

Desde una imitación del acceso clientes de BBVA tratarán de conseguir tus credenciales pero ahí ya me niego a llegar.

Etiquetado: / / / /

Suplantación de identidad en correos electrónicos E-mail spoofing

Se conoce por email spoofing a la suplantación de la identidad a través del correo electrónico, utilizando una dirección de remitente falsa

Email spoofing es una técnica que utilizan los atacantes para ocultar la verdadera dirección del remitente en un correo malicioso y sustituirla por una legítima suplantando la identidad de una empresa o un usuario al utilizar un dominio auténtico. Se utiliza mucho en campañas de phishing o spam para mejorar su eficacia evadiendo controles antispam y haciendo que los correos tengan una apariencia creíble.

Comunicaciones en el envío de correos electrónicos

Los sistemas que gestionan el envio y recepción de correos utilizan tres protocolos principalmente:

  • SMTP (Simple Mail Transfer Protocol) se utiliza para el envío.
  • IMAP o POP se utilizan para la recepción

El protocolo SMTP se basa en transacciones entre remitente y receptor, emitiendo secuencias de comandos y suministrando los datos necesarios ordenados mediante un protocolo de control de transmisión de conexión (TCP). Una de estas transacciones cuenta con tres secuencias de comando/respuesta: La dirección de retorno o emisor (MAIL), la dirección del destinatario (RCPT) y el contenido del mensaje (DATA).

Estos datos generalmente son completados de manera automática por el servidor de nuestro proveedor de correo, en donde todos los usuarios cuentan con autenticación previa, con lo cual el protocolo no exige ningún tipo de verificación de identidad en su uso. Proveedores de correo como Gmail u Outlook no permiten suplantar la identidad de correos dentro de su dominio pero la mayoría de direcciones existentes pueden llegar a ser víctimas de este ataque.

Hay infiidad de correos suplantando empresas como Correos, Bancos, Amazon, Apple, etc.

Correo Suplantando al banco Santander

Ataques más frecuentes que utilizan email spoofing

Los ataques de ingenería social funcionan si se consigue transmitirle confianza al receptor para que no sospeche del ataque, con lo cual emular ser una organización o individuo que se relacione con la víctima suplantando la identidad del correo (algún servicio que utilice, posibles contactos comunes de una víctima anterior, entre otros) hace que sea más dificil detectar el engaño. Por otro lado, personificando una compañía con su dominio real, se evita levantar sospechas de spam o phishing en los servidores de correo electrónico.

Lo hemos visto recientemente en casos aquí en valencia como el caso famoso de la EMT o en el del palacio de congresos donde suplantaron a la empresa de seguridad consiguiendo que los pagos se realizaran en la cuenta bancaría de los estafadores.

Ransomware y botnets

Estos ataque volvieron a ganar menciones en el pasado 2020, año en el cual se registró una gran actividad de botnets y en el que los ataques de ransomware fueron protagonistas afectando a varios rubros, entre ellos el de la salud. La empresa pública son sus víctimas preferidas como ayuntamientos, hospitales o actualmente al SEPE. Tampoco se libran las empresas privadas, grandes y pequeñas, casos sonados como el de Garmin o actualmente la empresa Acer.

Estos ataques son en forma de un correo con un archivo que imita ser una factura, recibo o cualquier otro tipo de documento del ambito empresa. Buscan que la víctima descargue y ejecute ese supuesto documento que lo que realmente hace es conectarse y descargar un archivo que infectará su equipo, bien para cifrar una parte o toda la información que contiene y pedir un rescate monetario para la supuesta liberación de los archivos, o bien convertir al equipo en “zombie”, pudiendo ser controlado por el equipo maestro de la red para enviar spam, alojar malware, entre otras cosas más.

En el caso del ransomware, además del pago del rescate utilizando varios métodos extorsivos como ataques de DDoS o chantaje por filtrando la información robada -tendencia reciente pero que llegó para quedarse-, los atacantes también pueden llegar a monetizar el incidente vendiendo los datos robados en mercados negros y en la deep web.

Phishing

En este tipo de ataque se busca convencer a la víctima suplantando la identidad de una compañía, por ejemplo, para que ingrese a un enlace adjunto que buscará robarle información. Los atacantes suelen suplantar la identidad de reconocidas compañías como correos, amazon, mensajerías o bancos que ofrecen servicios en línea, alegando algún problema o movimiento sospechoso en una cuenta a nombre de la víctima, para luego indicarle que acceda a un sitio web que simula ser el oficial de la compañía y que inicie sesión. De esta manera, la víctima entrega sus credenciales y el atacante obtiene el acceso a la cuenta. Actualmente los bancos han modernizado sus sistemas de seguridad implementando el doble factor de seguridad donde se necesita un mensaje recibido en el móvil por ejemplo para demostrar la autenticidad de la conexión, pero no todas las compañías tienen esta seguridad.

Además de los riesgos de las credenciales vulneradas, los atacantes recolectan y venden listas con direcciones de correos electrónicos de usuarios que cayeron en alguna campaña de phishing para continuar con el envío de estos correos maliciosos, ya que se considera una dirección de correo susceptible a engaños.
Muchas veces se producen cadenas donde el infectado manda correos a sus contactos tratando de engañarles tambien y que ejecuten algún archivo malware o accedan en alguna web fraudulenta.

Spam

La distribución de publicidad no deseada o contenido malicioso mediante envíos masivos constituyen un ataque que tiene tantos años de antigüedad como la propia Internet. Sin embargo, los mecanismos de ataque van evolucionando y los cibercriminales se adaptan y combinan el spam con las otras técnicas fraudulentas.

Nuevos métodos de spam combinados con ingeniería social y los métodos utilizados por el phishing en diferentes formatos como campañas de publicidad que aparentan venir de compañías reconocidas o de algún contacto así como campañas de extorsión donde la victima recibe un correo de su propia dirección haciendole creer que tienen acceso a la cuenta de correo y le piden dinero a cambio de no divulgar información privada.

Es super importente mantenerse actualizado acerca de las tendencias en el campo de la ciberseguridad y particularmente en lo que se refiere a los ataques de ingeniería social la cual nos demuestra por ejemplo que la regla de que si el correo proviene de una dirección segura o conocida, es seguro, no es tan cierta.

Una regla básica es descartar cualquier publicidad no deseada o correos con archivos adjuntos que no hayamos solicitado. Además, en el caso de recibir un correo advirtiendo de algún error con nuestra cuenta, es recomendable no hacer clic en enlaces incluidos en el mismo correo, sino ingresar al servicio o sitio desde la barra del navegador.

Etiquetado: / / / / /

Kindle Paperwhite

Adquirí un Kindle para empezar con un nuevo hábito recuperado en épocas anteriores pero que últimamente estaba perdido

En el vaivén de hábitos en mi vida, la lectura siempre ha sido uno bastante irregular, así que no se lo podría llamar hábito realmente. En plena crisis de los 40 he decidido que hay que recuperarlo y convertirlo en un hábito real y esa es la razón por la que esperé a los Amazon Prime days y comprar un kindle rebajado de precio.

Había sido usuario de Kindle en su primer formato el cual no se lleva tanto en cuanto a evolución con sus hermanos actuales. El anterior era un buen dispositivo, ligero, fino, con wifi, altavoces pero sin luz para leer en la oscuridad de la noche por ejemplo.

En el kindle anterior, le fueron apareciendo manchas en la pantalla, era el mejor momento para renovarlo y más aún con la excusa de empezar con un nuevo hábito en mi vida.

Este nuevo kindle me gusta mucho, tiene capacidad de 8GB más que suficiente cuando hay libros que no llegan al MB. Tiene conectividad wifi y su sistema va ligado a la tienda de libros de amazon y al servicio de Amazon Kindle unlimited donde además te regalan 3 meses gratis, posteriormente la suscripción creo que está en los 10€ que no estoy seguro aún si me merece la pena, pero tengo 3 meses para comprobarlo. Los libros que tenía anotados pendientes, hay que comprarlos aún teniendo el servicio.

Creo que poco negativo se puede decir de este dispositivo. En oferta estaba por debajo de los 100€. Le he comprado una funda para protegerlo y en cuanto al hábito, pues ahí ando.. por ahora, en unos 6 días me he terminado un libro que comencé que tampoco era demasiado denso. Por algo se empieza.

Tengo libros físicos, que estoy pensando en venderlos o regalarlos por el espacio que ocupan. No me considero uno de los románticos que disfrutan ojeando, pasando las páginas, de los olores del libro.. etc…

Etiquetado: / / / /

Aplicaciones para el teletrabajo. Boosted

Una aplicación básica en mi día a día trabajando desde casa desde hace 8 días es Boosted

https://play.google.com/store/apps/details?id=com.boostedproductivity.app

Boosted es una aplicación muy sencilla cuya función es imputar tiempo a proyectos. Para ello en primer lugar hay que dar de alta los proyectos y luego es tan sencillo como darle al play en el que estamos trabajando para que el tiempo empiece a contar. Al cambiar de proyecto, automáticamente para el anterior y empieza a contar tiempo en el que hemos dado al play nuevamente.

Tiene dos funciones extra bastante interesantes como son la posiblidad de ver informes y gráficas eligiendo un determinado período de tiempo así como el de hacer un backup de los datos de la aplicación si incluimos nuestra cuenta de Google Drive.

Etiquetado: