COUNTER-STRIKE GLOBAL OFFENSIVE

Actividad general sobre mi videojuego favorito. Demos, tutoriales, vídeos, gameplays, armas, de todo! More »

GAMING

Actualidad general sobre el mundo Gamer: Novedades, reviews, gameplays, juegos en fase beta, etc.... More »

OPINIÓN & SOCIEDAD

Artículos sobre otros asuntos aparte del mundo del Gaming. More »

FÚTBOL Y DEPORTES

Artículos de opinión y datos sobre el fútbol y otros deportes de interés. More »

CINE & SERIES

Artículos sobre el 7º Arte y el arte del sofá. More »

 

#Gamercenary1: Comunicado Seminario gratuíto

GAMERCENARY1

Buenas a todos:

Hace unos días me planteé en twitter realizar una charla sobre consejos a la hora de captar patrocinadores en equipos y proyectos de eSports, y parece que la iniciativa creó buena expectación, sobre todo tratándose de algo altruista, y más de 70 clubes mostraron su interés en que se organizara.

Hoy, estamos orgullosos de poder anunciar que esta charla GRATUÍTA tendrá lugar en el restaurante RUBIMAR junto a IFEMA el sábado 23-Junio a las 21h, justo después de Gamergy.

Todos los equipos de eSports están invitados, y todos aquellos aficionados que quieran plantearse el desarrollar un proyecto también. Será una buena oportunidad para juntarnos y hacer un poco de networking tras el evento y sobre todo y dada la “calidad” de la comida en IFEMA, tener la oportunidad de descansar un poco y tomar algo en un ambiente gamer más relajado y con comida decente (+loot).

El patrocinador del evento será @BATTLESEAT que cederá algo de material para regalos, descuentos y sorteos  de inscripción gratuita. También instalará un stand para poder probar sus productos de primera mano.

En el evento tenemos ya contactados algunos jugadores profesionales y youtubers, iremos confirmando nombres en los próximos días. Voy a aprovechar eso que conté hace unos días de lo que será mi nuevo proyecto en eSports. Voy a incluírme en un proyecto interesantísimo que ya es una realidad y del que os contaremos todos los detalles este sábado. Os rogamos se lo comentéis o difundais en la medida de lo posible para que llegue al mayor número de miembros de ésta, nuestra comunidad.

Y HABRÁ UN INVITADO SORPRESA, MUY ATENTOS!!!

IMPORTANTE: Todos los interesados en asistir se os ruega hacer una pre-inscripción voluntaria por favor en el enlace: https://bit.ly/gamercenary

Hay una pregunta opcional acerca de si os interesa cenar allí, es algo que nos pide el restaurante para hacer previsión acerca de la comida necesaria. NO ES OBLIGATORIO CONSUMIR NADA. Os pedimos por favor que seáis rigurosos en la inscripción ya que nos ceden el restaurante de forma gratuita y si las cosas salen bien, podremos hacer más eventos como éste, sin coste para los asistentes, que es lo que nos habéis pedido todos.

El restaurante se encuenta a 8min andando desde IFEMA:

Ubicación google Maps: https://goo.gl/maps/VTaEKVJXLtP2
mapa gamercenary

Email de contacto: gamercenary@xxlman.es

Recibir actualizaciones del evento en la cuenta twitter : @Gamercenary

ORGANIZAN: @thekingcsgo @imagjavi @Pagamase @theXXLMAN

PATROCINADOR: BATTLESEAT

COLABORAN: RESTAURANTE RUBIMARVIAJES ADAPTA LEÓN

#ChicasMejoresQueYo

No tengo intención de hacer un linchamiento de esos por internet. No me parece nada constructivo. Este post no pretende generar odio, aún al contrario, más bien nace de la tristeza. Así que no hablaré de quien ha originado esto, pero sí que quiero llamar a la comunidad a reflexión.

https://i0.wp.com/i.imgur.com/0p5x4UR.png?ssl=1

Tristeza que me produce que en pleno 2018, cuando algunos gamers ni siquiera han conocido el siglo XX, ver que a mi amiga @Lauxx12 un clan la rechace un partido amistoso porque sea mujer. Pero que la excusa de “es que creía que erais un clan de chicas” ya produce más bien ascopena. O sea que si estás en un clan mixto mal, pero si sois todas chicas ¿peor? De verdad que no doy crédito….

Ya en CBN (nota mental: joer tengo que hablar del Clan CBN en un artículo, tengo demasiada nostalgia últimamente) allá por 2002, TRINITY era una chica, éramos un clan mixto, y nadie nos trataba distinto.

Así que os pido a todos, a mi gente, a esta comunidad gamer de unos cuantos que me seguís y me queréis, que mencionéis 3 chicas con las que no solo habéis tenido el placer de jugar, sino que tenéis el valor de decir que son mejores que tú en tu juego. No pasa nada, no se va a acabar el mundo. En el peor de los casos, les sacareis una sonrisa a esas chicas, y os prometo que os sentiréis mejor, de seguro.

La única, repito ÚNICA, manera de profesionalizar los eSports es que seamos UN PUTO EJEMPLO PARA LA SOCIEDAD. Debemos ser un ejemplo de respeto, igualdad y tolerancia. No hay otro camino. Si no estás de acuerdo, apártate o te llevaremos por delante, porque los que sí somos profesionales y defendemos estos valores, somos legión. Y no hablo por hablar: desde hace años colaboro y organizo mis propios eventos y en ellos ha habido y habrá, si Dios quiere, participación significativa de mujeres gamer.

Y por supuesto que en este intento de sacarles una sonrisa a nuestras rivales o amigas en el mundo gamer, voy a dar ejemplo. Va por vosotras chicas, por los buenos momentos que he pasado, y por lo mucho que he disfrutado y aprendido en estos añitos que llevo en esto.

Abrazos y besos XXL.

TheXXLMAN @2018

Una charla gratuíta: Cazando Sponsors

Buenos días a todos!

Hace tiempo que no regalo nada a la comunidad gamer. Siempre he creído en que hay un orden superior en todas las cosas: No sé si es una deidad, o es el kharma, o váyase usted a saber, pero creo que de alguna forma que el universo gobierna, uno en la vida termina recibiendo lo que siembra. Y en este momento tan dulce de mi vida tanto en lo personal como en lo profesional, casi me veo en la obligación de compartir algo más a esta comunidad de la que tanto recibo evento a evento.

conseguir sponsors esports gaming gamer

En esta tarea mía de hacer de asesor, de la que a veces tengo que tragar que a algún iluminado se sorprenda de que no la haga gratis (viva “profesionalizar” los esports!!! si si, pero gratis oiga!) me he dado cuenta que quizá producto de la edad, muchas veces existen carencias a la hora de presentar los proyectos a la hora de recaudar financiación. Y es una tarea extremadamente difícil el llegar a las marcas sobre la nueva realidad de marketing que aportan los eSports, y creo que mi experiencia profesional y mi trayectora en todas las cosas que he hecho por el gaming y los eSports pueden arrimar el hombro.

De manera que he confeccionado una pequeña guía-charla de 10 briconsejos llamada “CAZANDO SPONSORS: GUÍA PARA SOBREVIVIR EN ESPORTS” que espero que puedan ayudar a los equipos a alcanzar una mejor financiación. De verdad creo, sinceramente que son consejillos que pueden dar un empujón a la hora de la tan ardua tarea de conseguir fondos. Y sin fondos, no hay proyectos importantes, eso lo sabemos todos, ni duraderos en el tiempo.

Así que os pido algo de ayuda, a ver si podemos invitar todos los equipos (del juego que sea, es indiferente) a los que se invitará GRATUÍTAMENTE al evento. Aún no se dónde haremos esto, si tenéis alguna sugerencia acerca del espacio estaré encantado de recibirla, como siempre. Sería una suerte y una gran noticia tener un representante de cada equipo y poder hacer un poco de networking juntos. Primero juntamos a todos los interesados y después vemos cómo y donde juntarnos.

Es mi manera de dar las gracias a @KPI_Gaming, de los que guardo celoso la camiseta que me regalaron, o mis WIZARDS de los que formé parte en su germen allá por 2003 y aún me siguen en las redes sociales, o los chicos de la casa MOVISTAR RIDERS, que siempre me tratan como a un compañero, o otros muchos clanes de los que he formado parte, coincidido, charlo y aprendido en estos 17 años que llevo en eSports, desde que mi primer clan serio CBN, se pusiera top1 de una ladder en CLANBASE (en el COUNTERS-TRIKE 1.1 !!!) Perdonad que deje a muchos en el tintero donde tengo infinidad de amigos, que hoy no menciono, pero estais igualmente invitados a ésta, mi humilde iniciativa.

Permanezcan en sintonía
Andrés Naranjo “XXL-MAN” – JUNIO 2018

Apoyando nuevas iniciativas: Madrid Game & Business

Buenos días Gamers!!!

Sí, ya lo sé. Todos quereis saber de qué va mi nuevo proyecto. De verdad que no poder contar nada me duele a mí más que a vosotros, pero podeis tener claro que todos aquellos con los que he compartido cosas evento a evento, estareis invitados para contaros en primicia de qué se trata, y si quereis, podréis echar una mano y contribuir, y sobre todo participar de esta nueva etapa de mi vida gamer.

Pero hoy os quiero contar otra cosa: A estas alturas de la peli, soy un hombre feliz porque no hay semana en la que me vea invitado a un evento de la escena del videojuego. Es para mí todo un orgullo ser invitado, y sobre todo cuando es de forma personal, no el tipico copy&paste, a un evento tras otro.

Así que voy a contaros que en el Vivero de Vicálvaro nace este Jueves una iniciativa dirigida por Jesús Luengo, CEO de @Artax_games que creo que es más que necesaria, casi imprescindible, para ayudar a los desarrolladores a conectar con las publicadoras, tarea nada baladí y en la que mi amigo Jesús tiene sobrada trayectoria. Todos aquellos que deseeis publicar, o quizá esteis pensando en derivar vuestra carrera hacia el desarrollo de videojuegos, deberíais estar interesados e intentar asistir. Y cuanto menos, ayudar a difundir esta iniciativa, si podeis.

Ha llegado la hora. El proyecto definitivo

Hace un par de días publicaba la promo de que UNREAL estaba gratis en STEAM. Curiosamente, el primer juego en el que jugué online fué UNREAL TOURNAMENT en cibers en 1998, y en el 1999 (el año que nació Google) ya tenía mi propia ADSL y empecé a jugar online con asiduidad, principalmente al Counter-strike, como todos sabréis.

Muchas cosas han pasado en estos años. Grandísimos y otros pequeños proyectos en los que he colaborado, decenas de ellos. Mi propia cibersala, clanes, comunidades, servidores, desde mi primer clan NYPD (AÑO 2000) donde coincidí con Miguel Maroto, ahora mi compañero en #LaChampionsDeHackers y gestor de la liga de simulación @ACintercom y con @Neme_2k, ahora conocido jugador de CSGO. Desde el formar parte del roster inicial de WIZARDS (con mi hermano en eSports, David “The KING” allá por 2002), hasta haber fundado un club que ganó la SLO el año pasado, o mi actual colaboración en HERETICS, donde me podéis ver en el clan de CLASH ROYALE en la actualidad, y que cuentan con mi ayuda en aquello que sea menester y a los que agradezco el poder contar a los adolescentes cosas en mis talleres y que me vean como “ese señor que sigue jugando!!”.

Sin dejar de lado el #MovistarGameAcademy que actualmente dirijo. Muchas cosas, muchísimas. Cosas en las que he invertido muchísimo tiempo y dinero de mi bolsillo y he sacado más bien poco, casi siempre con el único objetivo de poner mi granito de arena en este mundillo de los eSports, mucho antes de que se llamaran eSports incluso.

Y digo poco, por lo económico: No hay ni 1 solo evento, de los muchos a los que suelo ser invitado, donde no reciba el cariño de la comunidad. Han sido muchos años de compartir esta afición los que ahora me procuran el reconocimiento. No os podeis imaginar lo grato que es acudir a los eventos, con pase VIP, con gente que quiere hacerse fotos contigo, que estén deseando verte para comentarte que quieren lanzar una startup, o que te pidan opinión para desarrollar un juego. Gente que deposita en tí su confianza y su proyecto. Como decía el otro día: NO TIENE PRECIO.

Pero ha llegado la hora de dar el salto cualitativo. Esta vez me incorporo al proyecto que todo gamer sueña. Un proyecto de gamers y para gamers, y con la esperanza de dar a la comunidad aquello que se merece. Por eso os pido a TODOS aquellos con los que he compartido algo en estos años que esteis atentos a las próximas noticias. Este proyecto es para vosotros, para todos los que como yo habeis trabajado gratis en lanes y eventos, y ahora mereceis una recompensa. Es vital que os cuente, en persona, como creo que van a cambiar las cosas en la escena gamer española. Por que los eSports los mantenemos en pie nosotros, los que llevamos años colaborando desinteresadamente en esta, nuestra pasión. Y ahora que el espectáculo es rentable, es hora de recoger beneficios.

PRONTO, MUY PRONTO, OS DARÉ TODOS LOS DETALLES. Por ahora, sólo agradeceros en público todo ese cariño que evento a evento me mostrais, y pediros que os unáis a mí en esto.

Permanezcan en sintonía.
@TheXXLMAN – mayo2018

esports dinero 

Han vuelto a matar a Sylvester Stallone….

Sí, no me he equivocado con el título. Por enésima vez y con la sorna de haber utilizado imágenes de su última película, en la que sufre un cáncer, las redes se han hecho eco una vez más de la supuesta muerte de Sylvester Stallone.

Entiendo que la gente se tiene que aburrir mucho y quien no puede generar contenido atractivo escribiendo, es mejor que invente. Ya se dice en periodismo que “no dejes que una verdad te estropee una buena noticia”. Y puestos a inventar, pues nada, matamos a alguien que eso siempre da que hablar…Y esta vez le ha tocado al bueno de “Rocky”.

Hasta la web de MARCA (enlace) se ha tenido que hacer eco de la noticia, donde el propio Sylvester nos dice que sigue “vivo y golpeando!”. Un crack.

rocky

Que sirva el ejemplo para que cuestionemos las noticias antes de compartirlas. Hay muchas que cantan un poco. De lo de “regalan iphone X por que están mal las cajas, lo voy a compartir por si acaso” ya hablo en otro post.

Un abrazo y buenos días!
@TheXXLMAN

[RETRO GAMING] Acabo de descubrir KAILLERA!

Kaillera es un programa que sirve para jugar emuladores en línea, es un programa gratuito que soporta cualquier emulador que tenga compatibilidad para jugar en red.

creado por: Christophe thibault, uno de los creadores del proyecto Winamp. (enlace wiki)

Emuladores que soporta:

Es interesantísimo y sólo requiere un pequeño servidor, que consume muy pocos recursos. En los próximos días estaré intentando dar de alta uno propio y echarme unos FINAL FIGHT o DOUBLE DRAGON con los colegas. No es nada nuevo, pero me parece que merece la pena comentarlo. En este enlace teneis un tutorial -> enlace.

Un saludo desde aquí a Carlos Madurga, Briko y Jordi Alba, de las noches skyperas.

BONUS: Estoy planeando comprarme algo muy grande para jugar a lo retro, y he visto este pantallón (60″ x 599€), a ver que os parece:

https://i1.wp.com/i.imgur.com/4kbt2Iy.png?resize=590%2C177&ssl=1

Click para ampliar

Un saludo y buenos días!
@TheXXLMAN

 

Al que madruga, Dios le apoya

Así cantaban “Académica Palanca”. Y ya que de normal madrugo mucho, voy a tener que empezar la sana práctica de actualizar este blog siempre a primera hora, ya que mis atribuciones me tienen demasiado empleado últimamente como para dejarlo a lo largo del día, y ya esto clama al cielo….

Para empezar deciros que llevo meses sin levantar cabeza, excepto por esas vacaciones de ensueño que mis amigos habréis podido vivir conmigo via Twitter. Me encantaría escribir un buen artículo sobre cómo me lo he pasado, y hacer algún vídeo para mi canal de youtube, que está más muerto que la carrera musical de Jesulín, pero es que no me da la vida, en serio ….

battlefieldlasvegasCampo de tiro BATTLEFIELD LAS VEGAS

La buena noticia es que Febrero verá la luz una nueva iniciativa que tengo el placer de dirigir. No puedo contar por el momento más detalles, pero os aseguro que dará que hablar. Creo que es la dinámica que necesita el gaming y los eSports en España. Espero estar a la altura y que sirva para divulgar esta afición que nos une a los gamers. Y dada la expectación que hemos creado ya, hay que cuidar los detalles y es en los detalles donde se me está fugando el poco tiempo que mi trabajo en #LaChampionsDeHackers me deja.

Así que a madrugar, y a levantar el país! Como decimos “Stop overthinking, start overdoing”.

Buenos días!

@TheXXLMAN

 

UNA DE PROMOCIONES Y MOVILIDAD SOSTENIBLE

Buenas a todos!

Ante todo pediros disculpas…. Tengo el blog literalmente abandonado pero creedme que es por buena causa. Creo que la iniciativa en la que ahora mismo aparte de mi trabajo del día a día en la que estoy implicado, merecerá la pena, modestamente.

Como sabeis me encanta hablar cuando tengo algo interesante que compartir y la verdad, que después de probar alguno de estos servicios, creo que no está de más hablar un poco de las iniciativas para compartir coche o los nuevos coches eléctricos por minuto. Personalmente soy partidario de la idea de que sólo tenemos un planeta, y más vale cuidarlo, y si de paso es ahorrando algo de dinero, pues mejor hacerlo. Recordar que los coches eléctricos no pagan “la hora” y puedes coger cualquier que te pille cerca mirando el mapa de la app.

Por si alguien aun no lo sabe, AMOVENS es como BLABLACAR, pero no tiene comisiones. Además entrando por este enlace regalan 10 euros de mi parte -> http://bit.ly/2mMcRrE

Tambien hay un servicio nuevo de alquiler por minutos de coches electricos llamado ZITY. como es nuevo el registro es gratis. Si los haces RT en twitter te regalan 20 minutos de uso (y el registro, que en emov o car2go son 15€) : www.zitycar.es
aquí teneis el twit -> https://twitter.com/Zity/status/953181940236144642

+info y comparativa: via XAKATA

Y por último, la empresa DRIIVEME ofrece coches de alquiler por 1€ al dia (si, habeis leido bien) es para moverlos entre sus sedes, es super útil y funciona genial -> https://www.driiveme.es/p/MTU0NTY4

Zity llega a Madrid: así queda la "guerra" del carsharing frente a Car2go y Emov

Espero que os sea de ayuda!

Un abrazo XXL

Jugando con Apps de Ligoteo (I): AMOR BRUTO

Ya que estamos bien entrados en 2017 parece que todo el mundo tiene plena conciencia de lo importante que es garantizar unas mínimas medidas de seguridad en todos los servicios web. Lo que aún no queda tan claro, es que todos los recursos asociados a un servicio además deben seguir las mismas directrices y el mismo rigor de securización para no ser el eslabón frágil de la cadena: Una cadena es tan fuerte como el eslabón más débil.

Por hacer una analogía que me encanta, y que tomo prestada de mi compañero Félix Gómez y muy rollo gamer a lo AGE OF EMPIRES: Si nuestro sistema lo consideramos la típica fortaleza medieval y levantamos las medidas de defensa más feroces en nuestras murallas y el puente levadizo principal, de nada servirá si por la parte trasera hay una puerta débil y nada vigilada. Los malos entrarán por la parte más fácil haciendo inútiles cuantos esfuerzos y recursos hayamos empleado en otras partes. Algo que bien nos explicaba Chema Alonso en su artículo “DO THE BASICS: LOW HANGING FRUIT” http://www.elladodelmal.com/2015/11/do-basics-elimina-el-low-hanging-fruit.html

DOTHEBASICS
Parte de la conferencia DO THE BASICS con nombres de usuario de army.mil a tiro de Google (Ejército USA)

Puede que parezca baladí, pero este fallo de no proteger todos los recursos asociados lo presentó la mismísima APPLE en su servicio Find-My-Phone, el cual permitía fuerza bruta y que parece que fue vulnerado por un script llamado iBrute al que se le atribuye el famoso celeb-hack, que accedió a un montón de fotos comprometidas de famosas de Hollywood mostrando sus encantos (https://github.com/hackappcom/ibrute/blob/master/id_brute.py)

ibrute hack
Captura de iBrute probando contraseñas APPLE

Definamos para los menos expertos que significa un ataque de fuerza bruta: Significa probar todas las contraseñas posibles hasta dar con la válida. Es decir, por ejemplo, si tuviéramos que probar el pin de una tarjeta bancaria, que sabemos que consta normalmente de 4 dígitos, sería probar desde el 0000 al 9999, por tanto, 10.000 combinaciones posibles.

Las medidas básicas ante este tipo de ataques son por ejemplo, hacer saltar un mecanismo ante intentos fallidos (bloqueo de cuenta o retraso entre peticiones) o incluir un captcha para evitar que el acceso se pueda hacer mediante un sistema automatizado (comúnmente llamado bot) Por tanto, y siguiendo con el ejemplo bancario, lo que hace nuestro banco es normalmente si fallamos 3 veces el PIN, capturar la tarjeta y pedirnos que pasemos por la oficina, para evitar que un supuesto delincuente que se haga con la tarjeta pueda hacer intentos hasta dar con el pin y por tanto obtener acceso a todo nuestro saldo (Bloqueo de cuenta). Un retraso entre peticiones es lo que cualquier teléfono Android hace si introducimos varias veces mal el patrón de desbloqueo: Nos hace esperar 30 segundos hasta el 4º intento, y ese retraso va aumentando a medida que fallemos de nuevo.

El sistema de bloqueo puede parecer una buena idea, pero para un atacante malicioso podría significa una denegación de servicio (DOS, no confundir con DDOS) ya que tras varios intentos no válidos, la cuenta queda bloqueada. Si sabemos el nombre de la cuenta y el tiempo de bloqueo, podemos hacer ese número de intentos de forma automatizada cada intervalo de tiempo bloqueando por siempre la cuenta del legítimo dueño.

Para mi demostración elegí probar con las apps de ligoteo, y entre ellas, SHAKN, que tiene aparte de su app móvil, también un acceso web completo a través de https://app.shakn.com/#/login

Donde llegué a probar más de 10000 intentos fallidos de login sin que mi acceso ni mi cuenta de prueba fueran restringidos. Y eso sin introducir ningún cambio de navegador (falseando el user-agent) ni retraso entre peticiones. Se pueden hacer hasta 4 intentos por segundo.

Después de comprobar que no hay restricciones, el resto es cuestión de tiempo, y recordemos que en ElevenPaths siempre decimos que los malos tienen mucho. Para minimizar este tiempo, podemos acudir a elegir cuentas víctima y ya sólo tener que probar contraseñas bien por fuerza bruta o por ataques de diccionario.


Probando contraseñas contra una cuenta de prueba en SKAKN

Continuando con las definiciones “a nivel de todos”, definiré ataque de diccionario como aquel en el que se usan las combinaciones más comunes, en vez de TODAS las combinaciones. Por si no sabéis hasta qué punto esto influye en el número de pruebas y por tanto en el tiempo de acceso a una cuenta víctima, podéis buscar por internet listas de contraseñas más comunes. Y funciona, vaya que si funciona, incluso hay pruebas que aseguran que usando una lista de 1.000 contraseñas accedemos al 98% de cuentas, o lo que es lo mismo, que 98 de cada 100 personas está usando una contraseña de esa lista. (http://omicrono.elespanol.com/2013/07/las-1000-contrasenas-mas-usadas-sirven-para-iniciar-sesion-en-el-98-1-de-las-cuentas-abiertas/)

Pero incluso podemos encontrar por internet diccionarios desde 10.000 (https://pastebin.com/E76ndEmV ) a  10 millones de passwords: https://xato.net/today-i-am-releasing-ten-million-passwords-b6278bbe7495 . Si tu contraseña “habitual” está en esa lista, ya sabes lo que tienes que hacer! Es más: NO DEBERIAS TENER UNA CONTRASEÑA HABITUAL!!

Pero, ¿y las cuentas víctima? ¿De dónde las sacamos? Bueno eso depende de si nos interesa una cuenta o simplemente queremos acceder a cuentas, sean las que fuere. O probar a cuantas cuentas podemos acceder de todo el sistema: dependerá mucho de cual sea nuestro objetivo. Suplantar una sola cuenta puede significar que usurpando esa identidad podamos atacar a otros usuarios haciéndonos pasar por esa persona, por poner un solo ejemplo.

En el caso de Instagram, que también sufrió esta vulnerabilidad explotada en Diciembre de 2015 por el script https://github.com/chinoogawa/instaBrute/blob/master/instaBrute.py Instabrute, los nombres de cuenta los podemos sacar de la propia URL, por ejemplo, en mi caso sé que alguien registró por ejemplo la cuenta XXLMAN : https://www.instagram.com/xxlman/. Este tipo de “descubrimiento” de cuentas se hace en todas las redes públicas, por ejemplo, TWITTER. Por tanto, es fácil descubrir si una cuenta existe o no, y por tanto, probar contraseñas en aquellas que existen solamente, reduciendo considerablemente el tiempo de captura de credenciales.

Si la solución de fuerza bruta para las cuentas de usuario no nos complace, podemos elegir una víctima. Sería cuestión de obtener su email bien por ingeniería social, bien haciéndonos pasar por la propia APP con un mensaje directo…. O bien podemos hacer algo de hacking con buscadores para ver cuanta gente nos da directamente su email registrado en SHAKN, como en cualquier otro servicio web. Por si os interesa ver todo lo que está a la vista de todo el mundo (y no debería) e iniciaros en el Open-Source Intelligence os recomiendo encarecidamente el libro “Hacking con buscadores” de 0xWord. (http://0xword.com/es/libros/20-libro-hacking-buscadores-google-bing-sodan-robtex.html)


Usuarios publicando su email registrado en SHAKN

Quede como conclusión de este artículo que todo servicio web, app o empresa con servicios online debe mantener una política uniforme de seguridad para todas sus servidores, servicios y facetas accesibles en internet, ya que cada recurso secundario es una potencial vulnerabilidad y debe tratarse de forma separada con los mismos patrones y el mismo rigor que los principales. Y como no, recordar la importancia de usar segundos factores de autenticación (2FA) para que no todo dependa de que nuestra contraseña caiga en malas manos. Para este cometido ElevenPaths ofrece a todas las empresas su servicio LATCH o el más novedoso y cómodo MOBILE CONNECT donde ya puedes olvidarte de las contraseñas para siempre.

NOTA IMPORTANTE: Esta grave vulnerabilidad fue notificada hace a SHAKN antes de la publicación de este artículo  como caso de uso de éxito de la temática. Gracias a dicha notificación la web ya no es vulnerable a este tipo de ataques. Durante la realización de esta prueba no se accedió de forma ilegal a ningún dato ya que la cuenta era de prueba y propia. Antes de realizar este tipo de test siempre hay que tener la implicación legal y la responsabilidad ética de no hacer nada perjudicial al entorno donde se ejecuta. Este artículo solo tiene intención de formar y educar en seguridad digital y responsabilidad en el uso de las tecnologías y es publicado en nombre propio.

Andres Naranjo @TheXXLMAN Nov’2017
#LaChampionsDeHackers

GMG
CDKEYS STEAM

GMG
JUEGOS GRATIS STEAM
GMG
FACEIT CSGO LEAGUE
GMG
GANAR DINERO X REFS
GMG
CDKEYS STEAM