En este artículo, aprenderás:
✅ Qué es filter_var() y por qué usarlo
✅ Diferencias entre validación y sanitización
✅ Filtros más útiles para formularios, emails y URLs
✅ Ejemplos prácticos de uso

1. ¿Qué es filter_var()?

filter_var() es una función de PHP que permite validar y sanitizar datos aplicando filtros predefinidos. Es más seguro que funciones obsoletas como htmlspecialchars() o expresiones regulares complejas en algunos casos.

Sintaxis básica:

php

filter_var($valor, $filtro, $opciones);

• $valor: Dato a filtrar (ej: $_POST['email']).
• $filtro: Tipo de filtro a aplicar (ej: FILTER_VALIDATE_EMAIL).
• $opciones (opcional): Configuraciones adicionales.

2. Validación vs. Sanitización

3. Filtros Más Útiles

Validación de datos comunes

Sanitización de datos peligrosos

4. Ejemplos Prácticos

Validar un formulario de contacto

php

$email = $_POST['email'] ?? '';
$url = $_POST['website'] ?? '';
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
    echo "El email no es válido";
    } elseif (!filter_var($url, FILTER_VALIDATE_URL)) {
    echo "La URL no es válida";
    } else {
    echo "Datos correctos, procesando...";
    }

Sanitizar una entrada para evitar XSS

$comentario = $_POST['comentario'] ?? '';
$comentario_limpio = filter_var($comentario, FILTER_SANITIZE_SPECIAL_CHARS);

echo $comentario_limpio; // Convierte <script> en &lt;script&gt;

Validar y sanitizar un número entero

php

$edad = $_POST['edad'] ?? '';
$edad_limpia = filter_var($edad, FILTER_SANITIZE_NUMBER_INT);
if (filter_var($edad_limpia, FILTER_VALIDATE_INT, ["options" => ["min_range" => 18, "max_range" => 99]])) {
    echo "Edad válida: $edad_limpia";
    } else {
    echo "Edad debe ser entre 18 y 99";
    }

5. Conclusión

✅ filter_var() es una herramienta poderosa para validar y sanitizar datos.
✅ Reduce riesgos de inyección de código y ataques XSS.
✅ Es más seguro que funciones antiguas como mysql_real_escape_string().

La alerta ha llegado desde Avira, CSIS Security Group y Kaspersky Lab, algunos de los desarrolladores de seguridad más importantes. Los mensajes de spam que están llegado a Facebook Messenger contienen un link que aparenta ser un vídeo inofensivo.

El mensaje llega a través de alguno de los contactos que tenemos en Facebook. Esto indica que este amigo también ha sido afectado y es por ello por lo que ahora lo envía, de forma inconsciente, al resto de sus contactos en esta red social.

El formato del mensaje es muy simple. Sin embargo son muchos los usuarios que pueden caer en la trampa. El contenido es el siguiente: primer nombre del usuario, seguido la palabra vídeo y un link acortado.

Por ejemplo podría ser: Javi Video http://bit.ly /23sfs
Cómo actúa

Los usuarios que hagan click en estos enlaces, automáticamente se les redirecciona a otra página diferente que nada tiene que ver con un vídeo. La dirección a la que llegan varía en función de la posición geográfica, el tipo de navegador o incluso el tipo de sistema operativo que estemos utilizando.

Según informan en algunos sitios, los usuarios que utilicen el navegador Firefox, tanto en Windows como en Mac, están siendo redireccionados a una página que ofrece un falso instalador de Flash Player. Según informa desde Kaspersky Lab, al hacer click aquí el archivo instala adware en el ordenador de la víctima.

Por otra parte, en Google Chrome que es otro de los navegadores más utilizados, sus usuarios son redireccionados a una página falsa de YouTube que introduce una extensión maliciosa. Se cree que los delincuentes utilizan esta extensión de Chrome para introducir adware y recopilar credenciales para nuevas cuentas de Facebook, que posteriormente utilizan para enviar los mensajes de spam a nuevos usuarios.
Qué hacer si vemos este mensaje

Lógicamente si hemos leído este artículo y vemos en nuestra cuenta de Facebook Messenger que nos llega un link con las características que hemos mencionado, no hay que abrirlo. Lo primero por nuestra propia seguridad y para no caer en la trampa.

Posteriormente hay que tener en cuenta que ese mensaje nos ha llegado a través de un contacto que tenemos en esta red social. Por tanto lo mejor que podemos hacer es avisarle del problema (seguramente muchos lo desconozcan) y aconsejarle que cambien las credenciales de su cuenta.

Lo tercero que podemos hacer es reportar estos mensajes de spam a Facebook.

Como siempre decimos, lo mejor para evitar problemas como este y otros similares es tener sentido común. Pero también debemos de tener instalado software de seguridad en nuestro equipo y que pueda protegernos, llegado el momento, frente a amenazas en forma de malware.

• Presiona ALT + F8 para que te da la pantallita de crear una macro y el nombre del macro y pones un nombre y le das en crear
• Cuando le des CREAR te lleva al editor de Visual Basic, ahi copiaremos el código que esta a continuación
• Le damos en ejecutar y esperamos que nos salga una ventana de alerta con unas letras esa es la clave que tenemos que usar
• Luego nos vamos a desproteger hoja y pegamos la clave y listo

Sub breakit() 

Dim i As Integer, j As Integer, k As Integer 
Dim l As Integer, m As Integer, n As Integer 
On Error Resume Next 
For i = 65 To 66 
For j = 65 To 66 
For k = 65 To 66 
For l = 65 To 66 
For m = 65 To 66 
For i1 = 65 To 66 
For i2 = 65 To 66 
For i3 = 65 To 66 
For i4 = 65 To 66 
For i5 = 65 To 66 
For i6 = 65 To 66 
For n = 32 To 126 
ActiveSheet.Unprotect Chr(i) & Chr(j) & Chr(k) & _ 
Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) & _ 
Chr(i4) & Chr(i5) & Chr(i6) & Chr(n) 
If ActiveSheet.ProtectContents = False Then 
MsgBox "One usable password is " & Chr(i) & Chr(j) & _ 
Chr(k) & Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) _ 
& Chr(i4) & Chr(i5) & Chr(i6) & Chr(n) 
Exit Sub 
End If 
Next 
Next 
Next 
Next 
Next 
Next 
Next 
Next 
Next 
Next 
Next 
Next 

End Sub 

Peritos informáticos han conseguido identificar y explotar el fallo de seguridad de WhatsApp, concretamente en la versión 2.12.250 ejecutada sobre dos sistemas Android 5.x y 4.4.x, que permite modificar la base de datos de WhatsApp para editar mensajes sin dejar rastro de la modificación.

WhatsApp utiliza para las conversaciones el software de bases de datos SQLite. WhatsApp en total utiliza dos bases de datos diferentes, la original, que se encuentra sin cifrar, y la copia de seguridad, la cual utiliza sistemas de criptografía simétrica junto al algoritmo AES de clave única para el cifrado y el descifrado de la misma. Mientras que la copia de datos está “protegida” y no nos interesa de momento, vamos a centrarnos en la base de datos original, la que utiliza el propio cliente de mensajería en tiempo real.

La base de datos que utiliza WhatsApp para mostrar las conversaciones en tiempo real en el propio cliente de mensajería se guarda en plano, sin cifrar como hemos dicho, aunque sí que se encuentra en un directorio de acceso limitado.

Descargar la base de datos de conversaciones de WhatsApp al PC

Para poder modificar una conversación de WhatsApp lo primero que debemos hacer es tener permisos de root sobre el dispositivo. Una vez con estos permisos habilitados conectamos el smartphone a nuestro ordenador y, a través de la herramienta de desarrollo adb ejecutamos los siguientes comandos:

• adb devices (nos muestra los dispositivos conectados, útil para saber si todo funciona correctamente)
• adb shell (nos abre un terminal para controlar el smartphone)

A continuación ejecutamos el comando “su” para conseguir permisos de superusuario en el dispositivo.

• su

Con estos garantizados nos situamos sobre la ruta de las bases de datos de WhatsApp tecleando en el terminal o shell:

• cd /data/data/com.whatsapp/databases

A continuación ejecutamos el comando ls -la para mostrar una lista con todos los archivos de dicho directorio. Si nos fijamos en esta lista, uno de los archivos se llamará msgstore.db. Este archivo contiene toda la base de datos de conversaciones de WhatsApp que se guardan automáticamente (y sin cifrar) cada vez que recibimos o enviamos un mensaje.

Una vez confirmado que tenemos el archivo de la base de datos en nuestro smartphone debemos copiarlo al ordenador. Para ello escribimos dos veces “exit” en el terminal para salir del shell y volver a Windows y desde allí tecleamos:

• adb pull /data/data/com.whatsapp/databases/msgstore.db

El archivo se descarga a nuestro PC, a la misma ruta donde tenemos el binario de adb copiado. Todo listo. Ya podemos empezar a modificar los mensajes que queramos.

Modificar la base de datos de conversaciones

Una vez tenemos la base de datos en nuestro PC debemos descargarnos la aplicación SQLiteStudio con la que la abriremos y modificaremos. Una vez tengamos el programa lo ejecutamos y cargamos la base de datos desde el menú Database -> Add a database y nos conectamos a ella mediante el menú Database -> Connect to the database.

Una vez conectados a la base de datos veremos todas las tablas de la misma, aunque debemos centrarnos en dos:

• messages
• messages_fts_content

Lo primero que debemos hacer es identificar la clave privada del mensaje. Para ello lanzamos una consulta a la base de datos con el siguiente comando:

• select * from messages where data LIKE “%mensaje%”; (sustituyendo mensaje por el contenido que queremos buscar)

Apuntamos en un papel o documento la clave privada del mensaje, o valor de la columna ID, para igualar los cambios en las dos tablas anteriores. A continuación, en la columna “data” de la table “messages” cambiamos el valor del mensaje que hemos enviado por el nuevo que queremos establecer.

Una vez realizados los cambios que queremos pulsamos sobre el botón “commit” para que estos se apliquen y cambien en la base de datos.

La mitad del proceso ya está hecho. Ahora abrimos la tabla messages_fts_content y en el buscador introducimos la clave privada, o ID, que hemos anotado antes. Veremos una nueva fila con el contenido del mensaje, que aún no ha sido cambiado como el de la primera tabla.

Lo seleccionamos y modificamos de igual forma, pero manteniendo el estilo original de la tabla:

• Todo el texto en minúsculas.
• Las palabras separadas por tres espacios.
• Los signos de puntuación separados de la palabra anterior por un espacio.

Aunque este paso no es obligatorio es recomendable para dificultar aún más el poder saber que la tabla ha sido modificada. Ya tenemos todo listo. Ahora sólo nos queda volver a copiar la tabla a nuestro móvil.

Copiar al teléfono la base de datos modificada de conversaciones de WhatsApp

Una vez que hemos realizado los cambios anteriores en la base de datos es hora de subirla de nuevo al smartphone. Para ello abrimos de nuevo una ventana de MS-DOS y tecleamos:

• adb push msgstore.db /data/data/com.whatsapp/databases/msgstore.db

La base de datos se ha subido correctamente a nuestro dispositivo, aunque hay un pequeño problema: los permisos.

Al haber subido una base de datos como usuario adb con permisos de superusuario, el propietario y el grupo de este archivo ahora es “root”. Si queremos borrar todo rastro de haber modificado dicha conversación tenemos que teclear en nuestro terminal:

• adb shell
• su
• cd /data/data/com.whatsapp/databases
• ls –la
• chown u0_a88:u0_a88 msgstore.db

Todo listo. Ya podemos abrir nuestro WhatsApp de nuevo y ver cómo los mensajes que hemos enviado y recibido son diferentes. A simple vista es totalmente imposible saber si un mensaje es original o ha sido modificado y siguiendo un análisis forense tampoco es posible saberlo ya que los cambios no han dejado rastro ni en la base de datos ni en nuestro smartphone.

Según la finalidad que vayamos a dar a esto debemos tener en cuenta que es posible que estemos cometiendo un delito (por ejemplo para presentarlo como pruebas legales) y que siempre hay formas de detectar el engaño (por ejemplo mediante el análisis físico de los chips de memoria, quienes podrían demostrar que hay otro archivo “mstorage.db” que ha sido eliminado previamente.

Tomado de: www.redeszone.net

Los usuarios que descubrieron este problema en un foro de ArsTechnica, usaron una laptop nueva de Lenovo que de forma automática sobre-escribió los archivos del sistema y descargó un actualizador que instaló software de la empresa. Esto sucedió cuando reinstalaron Windows desde una unidad DVD. En una situación “normal”, el equipo no debió de sobre escribir archivos de sistema, ni instalar software adicional al sistema operativo.

El sistema que activa este indeseable comportamiento se llama Lenovo Service Engine (LSE), y descarga una aplicación para “mejorar el desempeño de la PC, actualizar el firmware, los controladores y las aplicaciones pre-instaladas”. Además, envía información del sistema a los servidores de Lenovo que supuestamente les sirve para aprender como los usuarios utilizan sus equipos.

El problema de todo esto, es que los usuarios no están enterados de lo que está sucediendo en sus computadoras, además que se instala software no solicitado.

Lenovo ha lanzado un parche para arreglar este problema y se puede descargar desde su página oficial para PCs de escritorio y para sus laptops. Ahí mismo vienen los modelos afectados, así que si tienen un equipo Lenovo, dense una vuelta para ver si tienen este problema.

El sistema nos permite manejar las salas de chat directamente desde su sitio web y nos creara canales privados listos para usarlo por ejemplo podrás probarlo ingresando a https://hack.chat/?psoluciones y entraras a una sala.

Para crear una sala de chat solo deberas ingresar a https://hack.chat/?nombresala donde nombresala es la sala de chat que quieres crear y nos pedira elegir un nombre de usuario sin tener que rellenar ningún formulario ni nada por el estilo.

El chat es una sala sencilla donde solo podrás escribir ya que no tiene la posibilidad de compartir archivos pero ideal para quien quiere hablar de algún tema en especifico o crear debates.

En lo que se refiere a seguridad el contenido esta cifrado con ssl lo que lo convierte en algo seguro, ademas de que no se guardan las conversaciones y una vez salgamos todo se elimina.

Desde que en 2013 los desarrolladores de Backtrack decidieran dejar este proyecto en su versión 5r3 que estaba basada en Ubuntu, para darle un vuelco al proyecto y pasar a desarrollar Kali, este basado en Debian para mejorar su rendimiento y con un gran número de mejoras. Pues bien, este año veremos la aparición de la 2.0 después de casi 2 años.

Kali Linux 2.0 traerá mejoras como su interfaz gráfica, totalmente rediseñada para optimizar al máximo el trabajo, con nuevos menús y nuevas categorías para ordenar las numerosas herramientas que se incluyen. Igualmente pasa con las actualizaciones, que ahora serán semanales para mantenernos al día y su instalación será igual de sencilla que hasta ahora.

El framework Metasploit también ha tenido mejoras, al que le han añadido Ruby 2.0 de manera nativa para acelerar al máximo los tiempos de carga. Igualmente se incluirá un sistema de notificaciones en el escritorio para no perder detalle e incluso se han integrado mejores herramientas para grabar la pantalla y realizar videotutoriales.

Shodan recoge datos sobre todo en los servidores web en el momento (HTTP puerto 80), pero también hay algunos datos de FTP (21), SSH (22) Telnet (23), SNMP (161) y SIP (5060) servicios.

Fue lanzado en 2009 por el informático John Matherly, quien, en 2003, concibió la idea de dispositivos conectados a Internet a buscar. El nombre Shodan es una referencia a SHODAN, un personaje del videojuego System Shock.
(CNN) – “Cuando la gente no encuentra algo en Google, se cree que nadie lo puede encontrar. Eso es falso”.

La apreciación corresponde a John Matherly, creador de Shodan, el buscador más terrorífico de Internet.

A diferencia de Google, que se concentra en la búsqueda de sitios web, Shodan es una especie de buscador “oscuro” que detecta servidores, cámaras web, impresoras, routers y todo aquello que se conecta y forma Internet.

Shodan opera permanentemente y obtiene información de unos 500 millones de dispositivos y servicios conectados cada mes. Y los resultados de las búsquedas son sorprendentes: desde semáforos hasta cámaras de seguridad, pasando por sistemas de calefacción y crematorios.

Los usuarios de Shodan también han encontrado sistemas de control para un parque acuático y una estación de servicio. Y los investigadores en seguridad informática han localizado sistemas de comando y de control de plantas nucleares y un acelerador de partículas utilizando Shodan.

Pero lo que llama la atención de Shodan, y lo que lo hace tan escalofriante, es que muy pocos de estos dispositivos tienen restricciones de seguridad para acceder a ellos.

En mayo de 2013, CNN Money publicó un artículo que detalla cómo SHODAN se puede utilizar para encontrar sistemas peligrosas en Internet, incluyendo controles de semáforos. Muestran imágenes de esos sistemas, que proporcionaron la bandera de advertencia “La muerte puede ocurrir !!!” al conectarse.

A la hora de configurar un router siempre recomendamos cambiar el usuario y la contraseña por defecto para entrar en el administrador de manera que si alguien consigue acceder a nuestra red no pueda modificar los valores del router a su gusto. Igualmente es recomendable cambiar la contraseña del Wi-FI (configurándola como WPA2 AES), desactivar el WPS y aplicar, por ejemplo, una lista blanca en el filtrado de MAC para evitar que dispositivos no autorizados puedan conectarse al router. Si nuestro dispositivo también tiene la posibilidad de crear una “red de invitados” podemos habilitarla para que terceras personas (amigos, familiares, etc) se conecten a Internet a través de nuestro Wi-Fi pero por una red diferente.

Si queremos comprobar hasta qué punto es seguro nuestro router podemos utilizar la aplicación RouterCheck. Esta aplicación gratuita analiza automáticamente diferentes aspectos de nuestro router y nos dice si su configuración es correcta y está correctamente protegido o lo de contrario es vulnerable ante diferentes ataques potenciales de red. También analiza posibles vulnerabilidades conocidas que dependen directamente del firmware del fabricante y no de una configuración por nuestra parte.

Lo primero que debemos hacer es descargar RouterCheck desde la Play Store e instalarla en nuestro smartphone o tablet. Una vez instalada la ejecutamos y veremos una ventana similar a la siguiente.

Para empezar a analizar nuestro router lo único que tenemos que hacer es pulsar sobre el botón “Check My Router” y elegiremos a qué entorno pertenece el router (casa, trabajo, cafetería, etc).

En nuestro caso el router es el de casa, por lo que seleccionamos “Home” e indicamos a RouterCheck que tenemos permiso del dueño para auditar su router.

Comenzará el análisis del router.

Esperamos a que finalice el proceso (no debería tardar mucho) y podremos ver un resumen con todo lo analizado y con las debilidades de nuestro router.

Si pulsamos sobre alguna de las vulnerabilidades se abrirá la base de datos de RouterCheck donde nos explicará qué genera dicha vulnerabilidad y nos dará pistas sobre cómo solucionarla.

Sin duda RouterCheck es una gran herramienta muy sencilla de utilizar y totalmente gratuita que nos va a permitir controlar en todo momento la seguridad de nuestro router y la privacidad de nuestras conexiones frente a posibles amenazas.

La proliferación de redes inalámbricas en el ámbito doméstico ha traído consigo el crecimiento de los amigos de la Wi-Fi ajena. Normalmente los routers que suministran las compañías telefónicas disponen de mecanismos de protección suficientes para evitar que nuestra red sea accesible para los demás. La configuración avanzada de estos dispositivos permite establecer niveles altos de seguridad, aunque definir adecuadamente los parámetros no está al alcance del usuario medio. Lo que sí lo está es descubrir a los intrusos, y con Fing resulta realmente sencillo.

Fing es una herramienta multiplataforma gratuita que permite conocer de forma rápida todos los equipos conectados a una red, ofreciendo gran cantidad de información sobre la misma y los dispositivos conectados a ésta.

Para los sistemas operativos de escritorio: Linux (la mayoría de distribuciones), Mac OS X (Leopard, Snow Leopard y Lion), y Windows (XP, Vista y Windows 7), Fing se maneja desde la línea de comandos. Esta circunstancia puede alejar al usuario común, si bien es bastante potente.

Ahora bien, para dispositivos móviles la cosa cambia radicalmente, ya que Fing se ofrece con una interfaz de usuario elegante y atractiva, donde podemos encontrar rápidamente toda la información que ofrece esta útil herramienta.

Aunque la información que suministra Fing puede llegar a ser bastante técnica en algunos apartados, la básica es fácil de entender por casi cualquier usuario: nombre y/o fabricante del dispositivo conectado, dirección IP y dirección MAC. Estos datos son suficientes para determinar en un golpe de vista si tenemos en la red un invitado no previsto.

He probado Fing para Android, además de en línea de comandos. La aplicación para el androide descubre con gran velocidad cualquier cacharro enganchado a nuestro router en pocos segundos. He puesto en marcha por curiosidad todos los equipos que tenía a mano (diez entre teléfonos, portátiles, equipos de escritorio y Kindle), y en menos de 20 segundos tenía en pantalla la red completa.

El nombre del producto, Fing, viene de la combinación de las voces inglesas Find y Ping. Para los amantes de las redes, Fing ofrece un completo juego de herramientas que permite realizar diagnósticos muy precisos, funcionalidades que quedan fuera del propósito de este artículo.

DESCARGA

Fuente: http://www.genbeta.com/