20 de agosto de 2015

DRUPAL. Descubiertas vulnerabilidades críticas

El equipo de seguridad de Drupal ha publicado una actualización para Drupal 6.x y 7.x que corrige varias vulnerabilidades críticas,  catalogadas de Importancia: 5 - Crítica
Recursos afectados
  • Versiones Drupal core 6.x anteriores a 6.37
  • Versiones Drupal core 7.x anteriores a 7.39
Detalle de las vulnerabilidadeS publicadas
Las vulnerabilidades corregidas en esta actualización son:
  1. Cross-site Scripting - En la función Drupal.ajax() (Drupal 7)
  2. Cross-site Scripting - En la función de autocompletado de formularios (Drupal 6 y 7)
  3. Inyección SQL- (Drupal 7)
  4. Vulnerabilidad CSRF - En la API de formularios (Drupal 6 y 7)
  5. Fuga de información en enlaces de menús (Drupal 6 y 7)
Recomendación
  • Actualizar a Drupal core 6.37 o 7.39 según la versión afectada
Más información
Fuente: INCIBE

ESPAÑA. Abusos de empresas de telefonía móvil

 Activar y cobrar un servicio de manera automática y sin preguntar o subir el precio de una tarifa contratada por clientes con compromiso de permanencia son las cláusulas abusivas de moda. Incurren en ellas las principales empresas de telecomunicaciones, a las que FACUA-Consumidores en Acción ha denunciado por diversas prácticas ilegales.
 La Ley General para la Defensa de los Consumidores y Usuarios establece como abusivas "las cláusulas que vinculen cualquier aspecto del contrato a la voluntad del empresario", y esto es lo que hacen Vodafone, Movistar, Orange y Yoigo de manera recurrente y con total impunidad. Estas prácticas, lamenta Facua, han convertido el sector de las telecomunicaciones en un "mercado opaco en el que al usuario le resulta imposible comparar y elegir la mejor opción".
Vodafone: activación y cobro automático del servicio + Megas
  • Vodafone ha dado de alta el servicio + Megas a la mayoría de sus clientes sin consultarles previamente. Se trata de una tarifa para que los usuarios que agotan los datos mensuales de conexión a Internet adquieran más y puedan seguir navegando a la misma velocidad pagando dos euros. Esos datos se van añadiendo en bloques de 200 megas conforme se van consumiendo. Como el servicio se ha activado automáticamente, los clientes no son avisados de que han superado el límite de datos, por lo que siguen navegando mientras aumenta su factura.
  • La compañía avisó a sus usuarios del alta en este servicio adicional aprovechando un SMS en el que informaba también de una subida de tarifa y de los cambios en las condiciones de los servicios que ya tenían contratados. Lo correcto, según Facua, hubiese sido ofrecer el servicio informando de todas sus condiciones para que los interesados lo contrataran, en lugar de activarlo automáticamente. La organización recuerda que, además de ser una cláusula abusiva, el cobro por defecto es un práctica prohibida por la Ley General para la Defensa de los Consumidores y Usuarios: "Queda prohibido el envío, suministro o prestación de servicios al consumidor no solicitados por él cuando incluyan una pretensión de pago de cualquier naturaleza", reza la norma.
Orange: subida "ilegal" de sus tarifas Canguro
  • Orange ha comenzado a notificar a sus usuarios con contrato de permanencia que los precios de la tarifa Canguro en sus dos variedades (Ahorro y Sin límite) aumentarán dos euros a finales de septiembre y, a cambio, la capacidad de navegación móvil aumentará en 500 Mb. Facua asegura que la subida es "ilegal".
  • En este tipo de fraudes, los clientes que aún no hayan cumplido su periodo de permanencia tienen derecho a que la empresa les mantenga la tarifa mientras dura esa permanencia. La organización informa de que los afectados pueden denunciar a la compañía ante las autoridades de consumo de las comunidades autónomas para exigir el mantenimiento de las tarifas que contrataron o darse de baja de la empresa y demandarles que sea la propia compañía quien les abone las penalizaciones por incumplir los contratos de permanencia. Los contratos de permanencia, recuerda la organización, "no sólo vinculan a los usuarios, sino también a las compañías, que tienen que respetar las tarifas durante su vigencia".
  • Orange también ha anunciado recientemente una subida del establecimiento de llamada a los usuarios de la tarifa Colibri.
Movistar: cinco euros mensuales más por Movistar Fusión
  • Cerca de cuatro millones de usuarios están afectados por la subida ilegal de las tarifas de Movistar Fusión en cinco euros mensuales, con la que la compañía aumentaría sus beneficios, según Facua, en más de 220 millones de euros. La organización ha interpuesto una demanda contra Telefónica en los juzgados de lo mercantil de Madrid por esa práctica abusiva, pero aún no ha obtenido respuesta.
Yoigo: aumento del precio del establecimiento de llamada
  • "Hola, desde el 15 de septiembre el precio del establecimiento de llamada será de 20 céntimos (IVA incluido). Si no estás de acuerdo, puedes pedir baja". Con este SMS está informando Yoigo a todos sus clientes de la subida del establecimiento de llamada, que actualmente cuesta 18,15 céntimos. Facua advierte de que los usuarios con contrato de permanencia pueden denunciar a Yoigo para exigir el mantenimiento del precio del establecimiento de llamada. 
Fuente: Publico.es

19 de agosto de 2015

EE.UU. Advierte que ya son 334.000 los contribuyentes cuyos datos fueron pirateados

Los hackers atacaron la aplicación que permite a los usuarios acceder a sus transacciones y a la información sobre las declaraciones de la renta presentadas
Un ataque de piratas informáticos logró el acceso a datos fiscales de 334.000 contribuyentes de Estados Unidos, informó hoy la agencia de recaudación de impuestos del país, IRS.
Aunque el IRS tenía constancia del ataque desde mayo, cuando reveló que éste había afectado a los datos de unos 100.000 contribuyentes, la información proporcionada hoy por el propio organismo triplica esa cifra y plantea dudas sobre si su alcance pudo ser incluso superior.
El 28 de mayo, la Oficina Federal de Investigaciones (FBI) abrió una investigación para determinar el alcance y la autoría del robo por parte de un grupo de piratas informáticos de los datos fiscales de más de 100.000 contribuyentes estadounidenses en los cuatro meses anteriores.
Los piratas se sirvieron de una aplicación de IRS conocida como "Get Transcript" (Obtén la transcripción), que permite a los usuarios acceder a sus transacciones e información sobre las declaraciones de la renta presentadas.
Aunque para acceder a dicha aplicación es necesario que el usuario responda a varias preguntas sobre su identidad, los piratas lograron las respuestas a partir de otras fuentes de internet y las usaron para acceder a las cuentas.
Tras conocerse el ataque en mayo, el IRS llevó a cabo una investigación interna en la que analizó hasta 23 millones de usos de "Get Transcript" durante los primeros cuatro meses de 2015, en la que encontró que la cifra de afectados era superior a lo revelado en un primer momento.
Además de los 334.000 usuarios afectados, el IRS también informó de que las cuentas de otros 281.000 fueron atacadas "infructuosamente" por los "hackers".
Los contribuyentes afectados por el ataque serán notificados por correo postal durante los próximos días.
Fuente: La Vanguardia.com

MICROSOFT. Lanza actualización de urgencia para Internet Explorer

Microsoft ha publicado el boletín de seguridad MS15-093 fuera de su ciclo habitual de actualizaciones para solucionar una vulnerabilidad "crítica" en todas las versiones de Internet Explorer, desde la 7 a la 11, y que se está explotando de forma activa en la actualidad.
Detalle del boletin de seguridad
  • Este boletín resuelve una vulnerabilidad (con CVE-2015-2502) en la forma en que Internet Explorer accede a objetos en memoria. El fallo podría dar lugar a una corrupción de memoria que permitir la ejecución remota de código arbitrario si el usuario visita una página web que contenga el exploit.
  • En el boletín de Microsoft no se llega a confirmar que la vulnerabilidad se esté explotando de forma activa, aunque la publicación fuera del ciclo habitual ya podría hacernos intuir la gravedad del problema. Sin embargo en una publicación en el blog de Qualys se confirma el ataque activo.
  • El problema afecta a todas las versiones del navegador Internet Explorer desde la 7 a la 11. Los usuarios de Microsoft Edge en Windows 10 no se ven afectados.
  • Esta actualización puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa del parche. Antes de instalar esta actualización es necesario instalar el parche acumulativo publicado el pasado martes.
Más información:
Fuente: Hispasec

PIRATERIA. Grupo 'hackers' publica datos de miles de casados que buscan aventuras online

Un grupo de piratas informáticos colgó en internet un archivo que presuntamente contiene datos personales y financieros de usuarios del sitio web Ashley Madison, que busca pareja a personas casadas que quieren tener una relación extramatrimonial.
Ashley Madison, una web que busca pareja a personas casadas que quieren tener una relación extramatrimonial, ha sido víctima de un ataque informático contra la confidencialidad de sus cerca de 37 millones de usuarios.
El pasado 20 de julio, Ashley Madison admitió haber sido víctima de un ataque informático que puso en peligro la confidencialidad de sus alrededor de 37 millones de usuarios, y varios portales tecnológicos publicaron este martes que el presunto archivo con los datos ya está disponible para descargarse en internet.
Según el sitio web Ars Technica, se trata de un archivo BitTorrent que contiene 9,7 gigabytes de datos robados, entre ellos cuentas de correo electrónico, perfiles con la altura y peso de los usuarios, direcciones postales e información relativa a las transacciones efectuadas con tarjetas de crédito.
Además, también se incluyeron datos robados del portal Established Men, que pone en contacto a mujeres con hombres adinerados y que es propiedad de la misma empresa que posee Ashley Madison, Avid Life Media.
Al poco de que los medios tecnológicos publicaran la noticia, Avid Life Media emitió un comunicado en el que indicó que el ciberataque fue "un acto delictivo" y aseguró que dedicará una gran cantidad de recursos a mitigar los daños.
Los datos se colgaron en un primer momento en la "web oscura", una parte de internet a la que no se puede acceder a través de los buscadores convencionales y que sólo se puede ver con un navegador especial. Posteriormente, el grupo de piratas informáticos autobautizado como Impact Team colgó el archivo disponible para todos los usuarios en un BitTorrent.
Fuente: Publico.es

CHINA. La policía arresta a unas 15.000 personas por delitos cibernéticos

La policía de China dijo el martes que arrestó a cerca de 15.000 personas por delitos que "ponen en peligro la seguridad de internet", en momentos en que el Gobierno busca reforzar los controles en la red.
Desde que asumió en 2013, el presidente Xi Jinping ha llevado una represión cada vez más dura sobre los usuarios de internet en China, que es visto por el Partido Comunista como un asunto que necesita ser controlado, dijeron académicos e investigadores.
La policía ha investigado 7.400 casos de delitos cibernéticos, dijo el Ministerio de Seguridad Pública en un comunicado publicado en su sitio web. No está claro en qué período se realizaron las detenciones, pero la fuerza se refirió a un caso que data de diciembre pasado.
China lanzó un programa de seis meses el mes pasado, cuyo nombre en código es "Limpieza de internet".
"Como siguiente paso, los órganos de seguridad pública seguirán aumentando su investigación y represión de los delitos cibernéticos", dijo el ministerio.
La campaña también se centrará en poner fin a los casos más importantes y disolver a las bandas criminales en internet, agregó. En total, la policía dijo que investigó 66.000 sitios web.
China tiene una de los más sofisticados mecanismos de censura en línea del mundo, conocido como el Gran Cortafuegos. Los censores mantienen un estricto control sobre lo que puede ser publicado, sobre todo material que podría socavar potencialmente al gobernante Partido Comunista.
Fuente: Reuters

GOOGLE. Lanza router inalámbrico para uso doméstico

 El gigante de internet Google Inc lanzó el martes un router inalámbrico, en un esfuerzo más de la compañía por estar preparada para el momento en que los hogares funcionen conectados a internet y atraer a más usuarios a sus servicios.
Ya es posible reservar el router wifi de forma cilíndrica, de nombre OnHub, por 199,99 dólares en minoristas de internet, incluidos Google Store, Amazon.com Inc y Walmart.com.
El router incluye antenas incorporadas que examinarán su entorno para hallar la conexión más rápida, dijo Google en una publicación en un blog.
Con el router, los usuarios podrán priorizar un aparato para que reciba mayores velocidades de internet para actividades que demandan una mayor cantidad de datos, como descargas de contenidos o reproducir una película online.
El router se puede conectar con la aplicación "On" de Google, disponible para Android y iOS, para revisar las redes y supervisar el uso del ancho de banda, entre otras cosas.
Fuente: Reuters

SWIPE. Relanza su plataforma de presentaciones web

La nueva plataforma, completamente rediseñada, incluye nuevas características y el plan Swipe Pro, que permite incorporar herramientas de análisis.
La desarrolladora de la plataforma de presentaciones en la Red Swipe la ha relanzado con un nuevo diseño, esperando adaptarse mejor a los gustos de los usuarios de Sway y Slideshare, sus rivales de Microsoft y LinkedIn respectivamente. Actualmente, Swipe tiene más de 300.000 usuarios y sus presentaciones han sido visto más de 3,5 millones de veces.
Swipe permite a los usuarios convertir imágenes o vídeos en diapositivas que formarán parte de sus presentaciones, a las que puede accederse a través de cualquier dispositivo con conexión a Internet.
La compañía dice que ha rediseñado la plataforma desde cero, añadiendo características como arrastrar y soltar para crear presentaciones y agilizar el proceso general de creación. Los usuarios pueden importar archivos PDF, fotos, videos de YouTube o Vimeo, e incorporarlos a las presentaciones con las nuevas herramientas de edición.
Además, ahora Swipe permite el acceso a otras personas para editar o colaborar en las presentaciones en tiempo real. Eso sí, esta característica se puede ajustar de manera que las modificaciones sólo puedan hacerse dentro de un marco de tiempo específico o sólo en determinadas partes de la presentación.
Otra de las novedades de Swipe va dirigida a los usuarios profesionales y de empresas. Se trata del nuevo plan Pro, que incluye la capacidad de incorporar herramientas de análisis como Google Analytics a proyectos y permite a los usuarios ver cómo han realizado sus proyectos. El plan Pro de Swipe costará 15 dólares al mes.
En cuanto a la seguridad, la compañía también ha añadido la protección por contraseña para el contenido confidencial. Esta característica no sólo está dirigida a las empresas, sino que está disponible en plan gratuito de Swipe.
Fuente: ITespresso.es

MARSHMALLOW. Nombre de la próxima versión Android 6.0 que se lanzará en otoño

Google ha revelado finalmente el misterioso nombre que se encuentra detrás de la letra "m" para su próxima versión Android y así Android 6.0 M se llamará "Marshmallow", como la golosina conocida en España como nube o esponjita.
Android 6.0 Marshmallow, cuyo lanzamiento se prevé para este próximo otoño, fue preestrenado en la conferencia anual de desarrolladores de la compañía a finales de mayo, donde se dieron a conocer las nuevas características  con respecto a Android 5 Lollipop. Pero, como han hecho en otras ocasiones para crear expectativa, la compañía no desveló el sentido de la "M", que se conoce ahora, tres meses después.
Junto con el nombre completo del sistema operativo, Google también ha lanzado la versión final de su Android 6.0 SDK y una tercera y la última previa del 'software' Android 6.0 Marshmallow, que puede ser descargada en los dispositivos Nexus.
Además, la multinacional ha querido recordar en un comunicado que "cuando Android 6.0 Marshmallow se lance al público este otoño, el usuario tendrá que re-flashear manualmente su dispositivo sobre la imagen de la marca para continuar recibiendo las descargas de las actualizaciones OTA en su dispositivo Nexus".
Fuente: ITespresso.es

PS4. El casco de realidad virtual casi terminado (faltan los juegos)

 Sony podría lanzar mañana mismo el Project Morpheus, nombre provisional dado al casco de realidad virtual para su consola PlayStation 4 (PS4), si solo dependiese de la compañía, pero faltan los juegos.
El terreno de la realidad virtual está que arde. Son muchas las compañías que están lanzando sus cascos, tanto para dispositivos móviles, como para ordenadores y consolas.
Mientras que Xbox ha llegado a un acuerdo con Oculus VR para que su casco sea compatible con One, PlayStation lleva tres años desarrollando su propio dispositivo de realidad virtual, cuyo lanzamiento está previsto para el año que viene.
El ingeniero de hardware en R&D de SCE Dennis Castleman ha explicado en su Facebook que un HMD (head-mounted display; una pantalla para la cabeza) VR se parece más en términos de producción a un televisor, puesto que "también necesita tiempo para que los proveedores de componentes puedan fabricar millones de unidades".
En este sentido, Castleman ha explicado que el 'hardware' HMD de PlayStation "está listo para salir"; "sólo estamos esperando a que los juegos lleguen al 'hardware'", ha apuntado.
En septiembre de 2014, Sony anunció que su casco de realidad virtual se encontraba al 85 por ciento de su desarrollo. Algunos meses más tarde, en marzo de este año, comunicó la fecha de lanzamiento del dispositivo (en algún momento de 2016), junto con unas nuevas especificaciones técnicas para Project Morpheus.
Fuente: Europa Press

SUNROOF. Proyectode Google que ayuda a instalar placas solares en los tejados

Google acaba de lanzar una herramienta que será de gran utilidad para quienes hayan decidido apostar por esta energía renovable facilitando una valiosísima información que permitirá colocar dichos paneles de la forma más eficiente posible. 
El nombre de Proyecto Sunroof (Tejado Solar) deja bien claro qué pretenden ahora en Mountain View con esta nueva herramienta que facilitará las cosas a un amplio número de personas, quizá no tantas como con otras de sus magníficas aportaciones (desde Gmail a GoogleMaps) pero desde luego sí que va a lograr un importante ahorro a quienes puedan hacer uso de esta solución.
Con una sencilla búsqueda de tu domicilio Proyecto Sunroof te proporcionará un detallado análisis que te permitirá disponer de valiosa información de gran utilidad si decides instalar placas solares en casa. Para ello analiza las horas de incidencia del sol en tu tejado a lo largo de todo el año gracias a fotografías aéreas de alta resolución en conjunción con análisis locales de las condiciones meteorológicas, concluyendo con un resumen de cuánto dinero ahorrarías si decidieses pasarte a la energía solar autogenerada.
En ese sentido el análisis incluye un informe sobre las horas totales al cabo de año en que el tejado de nuestro domicilio recibe la suficiente luz solar como para poder transformarse en energía, además de los metros cuadrados de tejado disponibles para la instalación de las placas solares. Con esos datos y teniendo en cuenta los precios de le energía eléctrica y de las instalaciones necesarias facilita una estimación de la cantidad de dinero que se ahorraría.
A partir de ahí si decides dar el paso Proyecto Sunrrof, valiéndose también del ecosistema de Google (antes se ha apoyado en GoogleMaps y Google Earth, ahora en el célebre buscador) puede informarte de los instaladores de este tipo de tecnología cercanos a tu domicilio. La propia Google, en determinadas áreas de Estados Unidos de América, ya ha firmado acuerdos de colaboración con cinco proveedores.
En un primer momento Proyecto Sunroof sólo está disponible en ciertas zonas de Fresno y San Francisco (California) y Boston (Massachussets) aunque como en otras ocasiones la intención de Google es expandir su cobertura al resto del mundo, lo que hará paulatinamente.
Proyecto Sunroof es uno de esos programas cuya procedencia es el 20 % del tiempo que cada empleado de Google puede dedicar a proyectos propios. En este caso el detallado cálculo se ha beneficiado de los potentes recursos en cuanto a computación disponibles en la empresa. Tras un año y medio de trabajo el resultado ha alcanzado el estado
Más información
Fuente: Google Sunroof

DRAGON ANYWHERE. Traslada la aplicación de reconocimiento de voz Nuance, a dispositivos móviles

Nuance ha presentado Nuance Anywhere, una aplicación móvil que permitirá a los usuarios acceder a funciones que hasta ahora solo estaban disponibles para PCs.
En los últimos años Nuance se ha fijado en los usuarios de dispositivos móviles con el fin de que puedan emplear parte de su tecnología.
Por un lado la compañía ha trabajado con Apple para mejorar el sistema de dictado que ofrece su plataforma iOS, y por otra ha venido lanzando algunas aplicaciones básicas para que los usuarios de smartphones puedan disfrutar de funciones presentes en su programa estrella, conocido como Dragon NaturalySpeaking.
Ahora Nuance da un paso más allá y anuncia que en otoño se estrenará en el mercado Dragon Anywhere, una aplicación con la que los usuarios del iPhone y el iPad podrán usar la mayoría de las funciones que pueden verse en la versión para escritorio de su software de reconocimiento de voz.
Entre otras, destacan tiempo ilimitado de dictado, reconocimiento de voz más rápido, inserción personalizada de palabras y una serie de variadas opciones de edición, todas ellas con acceso a la nube de Nuance.
Todavía no se ha definido el precio final que tendrá Dragon Anywhere, pero la idea es que se encuentre en torno a los 15 dólares mensuales, o 150 dólares al año.
Fuente: Silicon Week.es

SEXO Y PUBLICIDAD NO CASAN BIEN. O cómo a algunas marcas estos anuncios se les fueron de las manos

Cuando el sexo desembarca en la publicidad casi siempre lo hace rodeado de alguna polémica. 
Y no nos referimos a aquellas campañas publicitarias y anuncios sugerentes que intentan despertar nuestros instintos más profundos apuntando a nuestro subconsciente. El mundo de la publicidad está repleto de todo tipo de ejemplos. Sin embargo, también existen aquellos casos en los que, más allá de utilizar el sexo de forma sutil o subliminal, se presenta de una forma casi explícita, encubierto bajo el guión de lo absurdo, lo cómico, irónico o lo más provocador.
Muchas han sido las marcas y empresas que en su objetivo de acaparar una mayor atención y expectación, no han dudado en hacer del sexo el principal reclamo de sus anuncios publicitarios. Incluso llegando a extremos de riesgo aun conociendo de las limitaciones soportadas por la opinión general y social, y a sabiendas de antemano de las altas posibilidades de que sus comerciales fueran censurados. Algo que gracias a medios como internet, puede convertirse en la clave para triunfar por todo lo alto bajo la máxima de "Anuncio censurado, éxito en internet asegurado".
Está sobradamente demostrado que la publicidad subliminal sigue siendo una de las técnicas que más polémica y controversias generan, pero a pesar de que 'Marketing erótico' mantiene unos principios, que de forma general pocas veces son sobrepasados, existen multitud de casos donde el sexo se manifiesta con descaro y sin tapujos a través de comerciales y anuncios con escenas "demasiado sugerentes" o incluso señalados en ocasiones como humillantes o demasiado machistas.
Sprite, Skittles, Viagra o Guiness, son algunas de las marcas que en alguna ocasión apostaron por añadir al sexo como ingrediente de su fórmula publicitaria. Y sí, aunque en ocasiones podamos encontrarnos anuncios inteligentes o divertidos, en otras ocasiones, las escenas de carácter erótico o sexual, no pueden ser ocultadas ni pasan para nadie desapercibidas. Lo de la moral, dicen que siempre es subjetiva.
Fuente: Puro Marketing

APPS MÓVILES. Queda mucho terreno por explorar en el mercado de este sector

El móvil es una parte muy importante de la estrategia de las marcas, ya que los consumidores están cada vez más presentes en estos dispositivos. A primera vista, las aplicaciones móviles parecían el método más directo para lograrlo, aunque últimamente aparecieron críticos que señalaban que los consumidores no empleaban realmente todas las apps de que disponían  y sobre todo que las marcas no ofrecían nada realmente atractivo.
¿Deben ser por tanto las apps algo a olvidar?
  • Un informe de  Ted Schadler, analista de Forrester especializado en aplicaciones móviles, lo cierto es que aún queda mucho terreno por explorar en el mercado de las apps y, aunque parece que hay muchas aplicaciones móviles, aún hay mercado por cubrir y necesidades que aún no han sido cubiertas con su app de turno.
  • Y, además, los ajustes que se están haciendo en internet en general para hacerla más mobile-friendly (gracias a los diseños responsivos) no son aún suficientes para cubrir todas las necesidades que los consumidores tienen en el terreno móvil. Las apps siguen siendo por tanto necesarias, apunta, y las marcas deben seguir empleándolas para llegar al corazón de sus consumidores. Pero, eso sí, antes de lanzarse a crear una app hay que tener en cuenta ciertos puntos básicos.
El punto de partida tiene que ser los consumidores (y no cualquier otra cosa)
  • No vale la pena mirar lo que hace la competencia (y copiarlo) ni inspirarse en la app de moda en Estados Unidos ni hacer una gran labor de desarrollo en una app de última generación si se falla en el punto de partida. Lo primero que hay que pensar siempre es el consumidor. "¿Qué necesitan? ¿Cuál es su mayor problema?", nos recuerda el analista de Forrester. La marca tiene que acercarse a las preocupaciones de los consumidores y a las potenciales soluciones que ellos le pueden dar.
  • Por otro lado, la marca tiene que pensar en sus valores de marca, en sus fortalezas, y luego trabajar para emplearlas en el mercado móvil. El ejemplo que ofrecen en el análisis de Forrester demuestra claramente cómo se puede hacer una buena estrategia en aplicaciones móviles partiendo de ese punto. Johnson& Johnson quería conectar con los padres, que son sus clientes principales, así que pensó en cuál era el principal problema al que tenían que enfrentarse estos consumidores. Uno de los problemas fundamentales que tienen los padres de niños pequeños es la hora de dormir, así que creó una app especializada en justamente eso.
La app tiene que estar pensada para los 'momentos móviles'
  • La app no solo tiene que responder a algo que la haga útil sino que además tiene que estar ajustada a ese momento en el que los consumidores necesitan o van a usar sus terminales móviles. Las aplicaciones tienen que estar diseñadas para los momentos móviles, como apunta el analista. "Conoce sus hábitos y su contexto porque te preocupas por emplearlos", señala Ted Schadler.
No tienes que hacerlo todo 'in-house'
  • Otro de los grandes problemas a los que se enfrentan las empresas cuando quieren lanzarse en el entorno móvil es que no tienen muy claro qué necesitan en cuestión de talento o que se obsesionan con este aspecto. Pero no hay que convertir este punto en todo el problema o no hay que dejar que esto se convierta en el gran punto de tensión a la hora de hacer una estrategia móvil. No se necesita tener un equipo de desarrolladores si se es un centro comercial.
  • Como explican en el análisis, la marca debe "alquilar lo que necesita, poseer lo que debe". Se puede externalizar el servicio y el soporte informático y se pueden emplear a partners externos para crear una buena estrategia en posicionamiento móvil. Lo que sí hay que hacer para que esa estrategia funcione no es solo crear una estrategia con un foco en el largo plazo sino también crear unas relaciones sólidas y a largo plazo con esos asociados.
Prepárate para todos los ajustes necesarios
  • Y, sobre todo, no hay que olvidar que no se puede siempre llegar y besar al santo. A veces, el camino hacia el éxito es mucho más duro. Hay que ser capaz de responder a estas necesidades, de ajustarse a los cambios y de aprender de los errores. "Nadie lo hace perfecto la primera vez", recuerda Schadler.
  • Una parte tan importante de la estrategia de aplicaciones móvil como el desarrollo de la app es el probarla, el ajustarla y el analizar los datos que esta genera para hacerla mucho más eficiente y efectiva. No hay que tener miedo a seguir trabajando en la app aunque se haya lanzado ya.
Fuente: Puro Marketing

SAMSUNG. Pantalla y pagos es la apuesta de la compañía para la gama alta de la telefonía

Pantallas de gran tamaño, más potencia y un ambicioso servicio de pagos como alternativa a las propuestas de Google y Apple. 
Note 5.
  • La estrella de la presentación ha sido el Galaxy Note 5, la quinta versión del teléfono móvil que consiguió despertar el interés del mercado por los teléfonos de gran pantalla. Como en los modelos anteriores este nuevo Note incluye un puntero -en esta ocasión retráctil- con el que escribir a mano alzada o dibujar sobre la pantalla.
  • Los rumores sobre un dispositivo con dimensiones parecidas a los del Note 4 han resultado ser ciertos. El Note 5 repite con una pantalla de tecnología SuperAMOLED de 5,7 pulgadas de diagonal y con una resolución de 2,560 x 1,440 píxeles.
  • Mejora la potencia de su procesador, con un chip creado por la propia compañía y apoyado por 4GB de RAM, pero los mayores cambios vendrán en el apartado de imagen y diseño. El Note 5 vendrá equipado con una cámara de 16 megapixeles trasera y una de cinco megapixeles frontal y será uno de los primeros teléfonos capaces de realizar retransmisiones en directo a través de YouTube. Samsung ha condensado todas las características en un cuerpo compacto y que por primera vez incluye varios elementos metálicos. El teléfono también inaugura un nuevo modo de carga inalámbrica rápida capaz de recargar completamente la batería en dos horas.
Galaxy S6 Edge +.
  • El segundo teléfono presentado por la compañía coreana es una nueva versión de uno de los móviles más destacados de la pasada feria Mobile World Congress, el Galaxy S6 Edge.
  • La nueva versión, que se conocerá como Galaxy S6 Edge, mantiene su peculiar diseño con pantalla curva pero con unas dimensiones mayores, similares a las del Note 5. El teléfono tendrá más memoria RAM que sus antecesores, 4 GB en total, y estará disponible tanto en 32 como en 64 GB de memoria de almacenamiento.
Samsung Pay
  • Además de los nuevos teléfonos Samsung ha ofrecido nuevos datos sobre su plataforma de pagos móviles, Samsung Pay. Se trata de un servicio con el que la compañía se enfrentará tanto a Apple (que lanzó Apple Pay el pasado año) como a la propia Google, que tiene un servicio similar desde mediados de este año.
  • Samsung Pay se apoyará en una mayor versatilidad como ventaja distintiva. Además de funcionar mediante tecnología inalámbrica NFC será compatible también con lectores de tarjetas de banda magnética. Bastará aproximar el teléfono al lector del datáfono para que emita una señal magnética con la misma información que se obtendría al deslizar una tarjeta de crédito tradicional. En países donde las entidades bancarias no han dado el salto al sistema de tarjetas con chip, como EEUU, esto permitirá a Samsung una mayor compatibilidad con la infraestructura existente.
  • Samsung Pay se lanzará en Corea a finales de este mes y en EEUU a finales de septiembre. La compañía planea lanzar el servicio también en España pero de momento no hay fecha de comercialización.
Fuente: El Mundo.es

PROJECT ARA. El 'smartphone' modular de Google se retrasa hasta 2016

 La compañía anuncia el aplazamiento del lanzamiento experimental de su teléfono configurable pieza a pieza, que estaba previsto para finales de este año en Puerto Rico
El Proyecto Ara, el smartphone modular de Google, llegará al mercado con retraso. En una serie de tweets, la compañía ha confirmado su intención de aplazar hasta el 2016 la prueba piloto del lanzamiento de su teléfono configurable pieza a pieza, prevista a finales de este año en Puerto Rico.
Aunque los de Mountain View no han explicado el motivo del aplazamiento, han asegurado que su intención ahora es llevar Project Ara (en inglés) a algunos lugares de Estados Unidos para el lanzamiento inicial.
La idea de este teléfono inteligente es que los usuarios puedan intercambiar y actualizar sus componentes básicos de forma individual, desde el procesador o la batería hasta la cámara. De este modo, no es necesario reemplazar todo el dispositivo; un concepto que está dando pie a otros proyectos similares, más allá del teléfono de Google.
Si ‘Ara’ tiene éxito podría replantear el mercado de los teléfonos inteligentes, así como la forma en la que la gente interactúa con estos dispositivos. Sin embargo, por el momento, parece que el paso hacia un producto de consumo está siendo más difícil de lo esperado.
Fuente: La Vanguardia.com

18 de agosto de 2015

SNOWDEN. Reveló quien fue el principal socio de la NSA para el espionaje

El gigante de telecomunicaciones estadounidense AT&T colaboró durante al menos 10 años con la Agencia de Seguridad Nacional (NSA) de EEUU en sus programas de cibervigilancia, informó el sábado el diario The New York Times citando documentos filtrados por Edward Snowden.
El informe se basa en documentos filtrados, que van desde 2003 hasta 2013, proporcionados por el excontratista de la NSA Edward Snowden. Los archivos describen la relación de la NSA con la empresa de telecomunicaciones como "altamente colaborativa", citando la " extrema voluntad de ayudar" de AT&T.
Asimismo, proporcionó asistencia técnica para cumplir con una orden judicial secreta que permitió vigilar las comunicaciones por internet de la sede de la ONU, cliente de esa compañía, algo de lo que ya se informó hace dos años.
También prestaron una asistencia mucho menor otras compañías de telecomunicaciones, como Verizon y MCI, según los documentos a los que ha tenido acceso el diario.
Además del tráfico por internet, AT&T facilitó a la NSA datos sobre llamadas desde teléfonos móviles que pasaban por su red, agregó el rotativo.
Un portavoz de AT&T, Brad Burns, indicó al periódico que la compañía “voluntariamente” no proporciona información a ninguna autoridad a no ser que esté en peligro la vida de una persona y el tiempo sea un elemento esencial, sin mayores detalles.
Fuente: El nuevo Herald.com

PIRATERIA. Destapada trama de ‘hackers’ que robó datos corporativos

Estados Unidos ha desmantelado una compleja red de piratas informáticos con origen en Ucrania que logró acceder a datos confidenciales de un centenar de empresas cotizadas, como Caterpillar, Boeing, Oracle y HP. Con el apoyo de operadores bursátiles dispersos por varios países, realizaron después transacciones que le aportaron un beneficio ilícito que asciende a los 100 millones de dólares. En total, hay 32 acusados de participar en esta sofisticada trama financiera.
Los piratas informáticos lograron penetrar a los sistemas de servicios como Business Wire, Marketwired y PRNewswire, que se encargan de la distribución de las notas de prensa en las que las corporaciones detallan sus resultados y diseminan otro tipo de información relevante para los inversores. La investigación calcula que de esta manera accedieron a 100.000 comunicados antes de publicarse.
“La trama no tiene precedentes”, señaló Mary Jo White, la presidenta de la Securities and Exchange Commission. En rueda de prensa explicó que se usaron técnicas muy avanzadas para robar este tipo de información sensible sin ser detectados. Esos datos eran después transmitidos a una red de cómplices en Rusia, Malta, Chipre, Francia y Estado Unidos, que en pocos minutos compraban acciones y otro tipo de activos vinculados a esas sociedades.
Lograron operar así la red durante cinco años. Las autoridades estadounidenses procedieron a hacer varios registros en Nueva York, Pensilvania y Georgia este martes. Cinco individuos fueron arrestados. Pero la trama es global, de acuerdo con la demanda presentada por el regulador bursátil ante un tribunal en Newark (Nueva Jersey). Entre los acusados se encuentran Ivan Turchynov y Oleksandr Ieremenko, identificados como los cabecillas de la trama.
La investigación determina ahora que estos criminales tuvieron como objetivo más de un centenar de empresas. Durante el tiempo que estuvo operando la trama lograron hacer cerca de 1.000 transacciones. El dinero que se embolsaban con estas operaciones era transferido a paraísos fiscales a través de bancos en Estonia, para ser blanqueado. Las firmas que publican estos comunicados están revisando sus sistemas.
El caso vuelve a poner de relieve que el cibercrimen es una de las grandes amenazas a las que se enfrentan el sistema financiero. Los intentos de intrusión en sus sistemas son constantes. A las autoridades les preocupa la complejidad que están alcanzando este tipo de asaltos y su tamaño, que les permiten “enmascarar” las intrusiones en los servidores de datos. La SEC asegura disponer de las herramientas necesarias para detectar actividades sospechosas.
Fuente: El Pais.com

EEUU . Empresas del país presionan a Obama por proteccionismo tecnológico de China

Grupos empresariales estadounidenses están presionando al presidente, Barack Obama, para que discuta con su par chino, Xi Jinping, sus preocupaciones por lo que consideran proteccionismo tecnológico durante una visita a Washington, según una carta dirigida al presidente de EEUU a la que tuvo acceso Reuters.
En el texto del 11 de agosto, 19 grupos de presión empresariales de Estados Unidos, incluyendo la Cámara de Comercio Estadounidense en China y la Cámara de Comercio de Estados Unidos, así como grupos del sector como la Asociación Nacional de Fabricantes y el Consejo Industrial de la Tecnología y la Información, alientan a Obama a plantear las dificultades que enfrenta el sector de Tecnologías de la Información y Comunicaciones (TIC).
"China ha adoptado cada vez más políticas que han afectado negativamente a la capacidad de las empresas TIC de Estados Unidos (y las empresas que dependen del sector) para hacer negocios en China", escribieron los grupos.
El Ministerio de Relaciones Exteriores de China y la Oficina de Información del Consejo de Estado no respondieron de inmediato a las solicitudes por escrito para hacer comentarios.
Grupos tecnológicos estadounidenses han estado en desacuerdo con China desde que el país comenzó a tomar medidas ante preocupaciones de que su seguridad nacional se viera amenazada por la extensa presencia de la tecnología estadounidense.
Los temores surgieron a raíz de las filtraciones de 2013 del ex trabajador de la Agencia de Seguridad Nacional estadounidense Edward Snowden, que mostraron que el Gobierno de EEUU había escondido programas en los productos de las compañías tecnológicas más grandes de Estados Unidos con el fin de espiar las comunicaciones.
En su carta a Obama, los firmantes lo presionaron para que logre el compromiso de que los dos países no usen la seguridad nacional como justificación para sacar adelante políticas económicas proteccionistas que restrinjan la competencia.
Fuente: Reuters

BANCOS Y FIRMAS DE SEGURIDAD. Continuan utilizando versiones vulnerables de Windows

Windows Server 2003, para el que ya Microsoft ya no proporciona actualizaciones, es usado por 609.000 servidores activos, en compañías como Natwest o Panda.
Suele darse por hecho que las grandes empresas se toman muy en serio la actualización de su software para garantizar de esta forma la seguridad de sus equipos. Pero, a la luz de un estudio realizado por la empresa de servicios de Internet Netcraft, parece que esto no siempre es así.
Netcraft ha revelado que alrededor de 609.000 servidores activos, muchos de ellos de bancos y compañías de seguridad, todavía se ejecutan en Windows Server 2003. Se trata de un sistema operativo de 12 años de antigüedad al que Microsoft ya no da soporte desde el mes pasado, informa TNW.
Netcraft asegura que seguir usando Windows Server 2003 pone a las empresas en situación de riesgo, puesto que ya no hay parches o actualizaciones de seguridad de ningún tipo para esta versión. En el caso de la industria de tarjetas de crédito, las normas de seguridad requieren que todas las protecciones y parches ante las vulnerabilidades sean proporcionadas a través del fabricante del sistema operativo, algo que ya no será posible ahora.
En otras palabras, los equipos que utilizan este sistema no tienen garantizada la protección contra posibles vulnerabilidades futuras. Y las empresas que los usan podrían ser objeto de “multas, aumento de las tasas de transacción, daños a la reputación u otras sanciones potencialmente desastrosas como las cuentas canceladas”, advierte la firma.
Netcraft dice que los servidores que aun funcionan con Windows Server 2003 representan más de la quinta parte de todas las páginas analizadas y ayudan a dirigir 175 millones de sitios web. Alrededor del 55% de esos equipos se encuentra en China y Estados Unidos. La lista incluye alrededor de 24.000 ordenadores empleados por Alibaba, así como varios bancos, entre ellos Natwest e ING Direct. Incluso algunas firmas de ciberseguridad como Panda Security y eScan siguen ejecutando el sistema operativo obsoleto.
Fuente: ITespresso.es

OPENSSH Dos nuevas vulnerabilidades críticas en la versión 6.9p1 y anteriores

Descubiertas dos vulnerabilidades críticas en la versión portable 6.9p1 (y anteriores) de OpenSSH que pueden comprometer seriamente la seguridad y la privacidad de los usuarios que hagan uso de esta versión. 
Estas vulnerabilidades, descubiertas por los investigadores de Blue Frost Security GmbH, permiten la ejecución de código sin firmar con permisos de usuario o superusuario utilizando sólo los credenciales de cualquier usuario local (por ejemplo una cuenta sin permisos en el equipo remoto).
OpenSSH es un conjunto de herramientas especialmente diseñadas para establecer conexiones seguras entre dos puntos. Estas herramientas funcionan como alternativas seguras a los principales protocolos y garantizan que todo el tráfico viajará de forma segura y cifrada por la red, evitando que terceras empresas puedan acceder al tráfico. Es muy importante mantener esta suite de herramientas actualizado para evitar poder caer víctimas de piratas informáticos.
OpenSSH implementa la separación de privilegios desde la versión 5.9. Esto se basa en separar el código en dos procesos: uno sin permisos y otro con ellos. De esta manera el proceso sin permisos es el que se encarga de la mayoría de las tareas convencionales que no requieren permisos especiales y de controlar el tráfico de datos. El proceso con permisos de superusuario se encarga de todas las tareas que requieran permisos especiales para su ejecución.
El desarrollo de OpenSSH está pensado para que no haya errores y la parte sin privilegios no tenga acceso a los mismos si no es a través del módulo de control y la parte con privilegios, pero no siempre es así. Ambos procesos están comunicados de manera que sólo cuando se necesite se ejecute el proceso son privilegios, pero siempre a partir del proceso sin ellos. La comunicación entre ambos procesos se controla mediante el uso de banderas (flags).
Los fallos de seguridad en las versiones 6.9p1 y anteriores de OpenSSH se deben a un fallo en la comunicación del proceso sin permisos con el monitor de acceso. De esta manera, un atacante puede enviar al monitor de permisos cualquier nombre de usuario del sistema (por ejemplo root) para dejar los credenciales en la memoria. Una vez hecho esto inicia sesión con el usuario que conoce (aunque no tenga permisos) pero la comunicación entre los dos procesos será de superusuario, al tener el monitor en la memoria los credenciales del usuario root.
También se pueden utilizar estas vulnerabilidades para cambiar el orden en el que se envían los comandos a través del servidor, causando estados aleatorios en el mismo y ganando permisos hasta poder controlar el servidor remoto por completo.
Podemos descargar la versión más reciente de OpenSSH desde los repositorios oficiales de nuestro sistema operativo o desde su página web principal. Como hemos dicho, el fallo de seguridad sólo afecta a las versiones portables. Las versiones instaladas son seguras.
La suite de OpenSSH está formada por las herramientas SSH, SCP, SFTP y SHHD (entre otras) y la semana pasada la suite de actualizó a la versión 7.0, que no es vulnerable a estos fallos de seguridad. Es recomendable actualizar lo antes posible a la versión más reciente para evitar que piratas informáticos puedan aprovecharse de estas vulnerabilidades y utilizarlas para sus propios fines.
Fuente: cxsecurity

CRIPTOGRAFÍA. Los peligros de la red

Poco a poco los usuarios de Internet van cogiendo conciencia de la importancia de cifrar y proteger los datos que enviamos a través de Internet de manera que terceros usuarios o empresas no puedan acceder a ellos, aunque aún se siguen envíando ingentes cantidades de datos sin cifrar.
No es la primera vez que escuchamos que la NSA, agencia de seguridad estadounidense, espía la actividad de los usuarios de Internet a nivel mundial. Recientemente se han levantado sospechas de que incluso el proveedor AT&T ha colaborado con la organización facilitando el acceso a sus redes. Evitar el espionaje es prácticamente imposible, pues nada es seguro y privado en la red. Sin embargo sí que es posible dificultar este espionaje llevando a cabo ciertas precauciones con nuestros datos.
Aunque ya han pasado 20 años desde el desarrollo de los protocolos SSL aún se siguen enviando enormes cantidades de forma insegura por la red. Esto se debe a la poca conciencia que existe sobre el cifrado de datos y la seguridad. Por suerte poco a poco la conciencia sobre los peligros de la red va creciendo. La seguridad y el cifrado no depende sólo de los usuarios ya que no es la primera vez que se ha podido ver cómo grandes empresas han enviado rutinas de conexión en texto plano e incluso establecen conexiones directas e inseguras entre dos puntos, donde un atacante en el medio de ellos podría acceder a todos los datos.
Como hemos dicho, en la red no hay nada seguro. La seguridad depende directamente de nosotros y por ello debemos ser nosotros quienes protejamos nuestros datos personalmente. Para ello debemos utilizar siempre algoritmos públicos, que estén revisados y asegurados. Muchos programas y plataformas utilizan algoritmos de cifrado privados que, aunque de cara a terceros usuarios son “seguros” no nos dan la certeza de que de cara a terceras empresas u organizaciones gubernamentales lo sean.
Antes de finalizar debemos recordar que aunque cifremos nuestros datos al 100% siempre se dejan rastros: los metadatos. Entre estos metadatos podemos destacar el protocolo que utilizamos, el puerto que utilizamos para la conexión e incluso las direcciones tanto de origen como de destino. Esto es un problema del propio protocolo, por lo que son pocas las opciones que nos quedan para evitar que esta información se distribuya por la red.
Las filtraciones de los documentos de la NSA no han hecho más que confirmar las teorías y sospechas sobre el espionaje. A corto, medio e incluso largo plazo los gobiernos van a seguir queriendo controlar todo el tráfico de red “simplemente porque está ahí”. Pese a ello es posible que Estados Unidos no sea la única, ni probablemente la mayor amenaza con la que se pueden encontrar nuestros datos.
Fuente: Cryptography Engineering

KASPERSKY. Acusado de crear malware para desprestigiar a otras soluciones de seguridad

Tras quedar demostrado que empresas desarrolladoras de soluciones de seguridad utilizaban un software para los test y así obtener buenas puntuaciones y otro con un rendimiento peor para la venta, ahora parece que Kaspersky habría creado malware de forma intencionada para desprestigiar al resto de soluciones de seguridad.
La competencia entre las diferentes empresas desarrolladoras de este tipo de herramientas es muy grande y son muchas las que luchan para que su producto sea el mejor valorado para que los usuarios centren sus miradas en él. Sin embargo, lo que desconocíamos es que las argucias utilizadas podían llegar hasta este extremo.
En este caso han sido dos empleados de la compañía Kaspersky los que han detallado que esta ha estado creando malware para desprestigiar a las soluciones de seguridad de la competencia y así obtener ventaja en el mercado de los antivirus para usuarios particulares.
Afirman que la campaña fue aceptada y ordenada por parte de CEO de la compañía y que se ha estado operativa durante al menos 10 años, encontrándose las cifras más altas de esta práctica durante los años 2009 y 2013.
Aunque no se conoce a ciencia cierta el motivo real que impulsó al CEO y otras personas al frente de la compañía para llevar a cabo está práctica, se cree que los acuerdos entre otras empresas del sector para compartir información de amenazas existentes y así crear definiciones de virus más eficaces habrían sido el detonante de esta acción.
El malware creado se enviaba a VirusTotal para desprestigiar al resto de herramientas de seguridad
  • Utilizando un departamento que sobre el papel no existía, se comenzó a crear malware falso que se reportaba a VirusTotal, dejando en mal lugar al resto de soluciones de seguridad y provocando que la popularidad de las herramientas de Kaspersky ascendiese.
Localizar quién se aprovechaba de Kaspersky
  • Además de las informaciones de estos dos empleados, existe otra versión que afirma que la utilización de estas prácticas tenía como fundamento la localización de qué empresas de la competencia se aprovechaban del trabajo de esta para elaborar sus definiciones de virus.
  • Sea cual sea la finalidad, la polémica está servida y el cruce de acusaciones entre las empresas desarrolladoras y análisis de amenazas ya ha comenzado.
Eugen Kaspersky esquiva la información publicada
  • Por parte del CEO de la empresa no ha querido confirmar ni negar nada y ha recurrido a la ironía para salir al paso de estas declaraciones haciendo uso de su cuenta de Twitter.
  • Lo que sí que ha quedado claro es que en este mercado tampoco se juega limpio y las empresas se copian y se espían, obligando a tomar decisiones como esta que hemos detallado.
Fuente: Softpedia

GSMEM. Malware que roba datos de ordenadores aislados a través de conexiones GSM

Aunque tengamos una red aislada Air-gapped, no garantiza la seguridad total, porque aún siendo muy complicado aún es posible extraer datos de estas redes mediante el uso de diferentes tecnologías como son las conexiones GSM. Los investigadores de USENIX hablan de GSMem, un malware que utiliza estas conexiones móviles para acceder a estas redes aisladas y robar datos de ellas.
Por lo general, cuando queremos evitar exponernos a la amenaza de la red solemos desconectar nuestro equipo de Internet y aislarlo. Sin embargo esto no garantiza la seguridad de nuestros datos. Existen diferentes formas de aislar equipos de la red. Una de estas formas es mediante las redes Air-gapped. Este tipo de redes se caracterizan por estar aisladas tanto física como lógicamente de las redes públicas haciendo que, en teoría, estén ocultas y sean totalmente inaccesibles para los demás.
Operativa del malware GSMEN
  • El funcionamiento de GSMem es complejo a la vez que inteligente. En primer lugar para poder funcionar se necesita un malware instalado previamente en uno de los equipos de la red. Este malware modula y transmite señales electromagnéticas dentro de las señales GSM móviles. Estas señales pueden ser recibidas y demoduladas mediante un código concreto instalado en un teléfono móvil cercano.
  • Aunque es posible comprometer estos equipos existen un gran número de dificultades. La primera de ellas es la propia generación de las señales electromagnéticas y su correcta detección, captura y demodulación. También la distancia está muy limitada, siendo este tipo de ataques efectivo sólo dentro de un radio de 1.5 metros utilizando un smartphone convencional. Si se utiliza hardware específico el radio de efectividad puede aumentar a 30 metros, pero es difícil pasar de ahí.
  • También debemos tener en cuenta la tolerancia a errores. Cuanto mayor es la distancia mayor es la tasa de bits erróneos que recibiremos mediante esta tecnología, siendo contenido totalmente alterado cuando la distancia aumente más de la cuenta.
Otras formas alternativas al GSM para acceder a las redes Air-gapped
  • Existen más formas de atacar ordenadores aislados a parte de las conexiones GSM. Actualmente se han podido llevar a cabo ataques con éxito sobre los cables de un ordenador, utilizando receptores FM para hacerse con los datos e incluso emitiendo ultrasonidos a través de los altavoces (externos, o el speaker interno del ordenador) utilizando tan sólo un micrófono para recibir los datos.
  • Aunque todas estas formas demuestran cómo nada es seguro, es muy complicado llevarlas a cabo e implican tener acceso al equipo afectado, ya sea mediante la instalación manual de malware o distribuyendo una unidad de almacenamiento que permita comprometer alguno de los equipos de la red aislada. También debemos tener en cuenta que este tipo de transmisiones de datos tiene una enorme tasa de errores, llegando a recibir datos totalmente corruptos en cuanto nos alejamos un poco del radio de efectividad.
Más información
Fuente: Redeszone.net

PIRATERIA. Ubiquiti víctima de hackeo, pierde 42 millones de euros

Responsables de la compañía Ubiquiti  han informado sobre el hackeo que les ha costado por el momento 42 millones de euros.
Tal y como suele ser habitual en este tipo de casos, el eslabón más débil son los equipos que forman la red LAN de la misma y que están ubicados en diferentes departamentos. Ya hemos podido comprobar que el desconocimiento de los empleados a la hora de navegar por Internet y hacer frente a las amenazas es el principal problema al que debe enfrentarse la empresa y el mayor aliado para los ciberdelincuentes.
Teniendo en cuenta que la investigación la está realizando el propio FBI es evidente que la información vertida sea limitada respecto al ataque. Sin embargo, fuentes cercanas han confirmado que los hackers habrían interceptado las comunicaciones entre dos departamentos internos de la compañía. Se desconoce el tiempo durante el que se llevó a cabo este espionaje, pero fue suficiente para conseguir las credenciales y datos necesarios para realizar transacciones bancarias.
El hackeo que permitió el acceso a la red LAN y el espionaje se han saldado con una transacción de 42 millones de euros desde una empresa subsidiaria a otra cuenta de la que fueron retirados los fondos prácticamente en el mismo instante.
En Ubiquiti confían en recuperar casi la totalidad del dinero
  • Después de realizar y trámites judiciales e informar a la entidad bancaria de la operación no autorizada han conseguido recuperar 14 millones de euros. Sin embargo, para recuperar el resto del capital robado deben esperar a las investigaciones que el FBI está llevando a cabo.
  • Por el momento, la compañía sí ha confirmado que a pesar del espionaje recibido durante un periodo de tiempo, no existe ninguna brecha de seguridad y no se ha producido el robo de más datos de sus servidores. Esto denota que el interés real de los ciberdelincuentes era el dinero.
  • Sobre el acceso, solo hay que ver la gran variedad de amenazas malware existentes en la actualidad para hacerse a la idea sobre cuál pudo ser la estrategia utilizada por los ciberdelincuentes, que de momento no se asocian a ningún grupo de hackers conocido.
Fuente: Softpedia

MICROSOFT EDGE. Encuentran vulnerabilidad que afecta a otras aplicaciones

Los expertos en seguridad ya han encontrado un fallo de seguridad en el nuevo navegador de los sistemas operativos Windows: Microsoft Edge. El problema descubierto afecta también a otros programas y permitiría el robo de las credenciales de un dominio de compartición de archivos.
Sin embargo, aunque parezca que se trata de un problema centrado en el navegador, este también ha aparecido en otras aplicaciones muy utilizadas por los usuarios, como por ejemplo Internet Explorer, Windows Media Player, Excel, QuickTime, AVG, BitDefender o Comodo Antivirus.
Teniendo en cuenta esto, los expertos en seguridad se pusieron manos a la obra y trataron de buscar el punto en común de todos los programas. Encontrando este darían con el causante de la vulnerabilidad y el resultado ha sido que el servicio SMB es el causante de esta.
Se trata de un servicio con dos décadas de antigüedad que en la actualidad posee la versión 3.0, permitiendo la compartición de archivos y dispositivos de red en LAN y el acceso a los equipos Windows Server haciendo uso de ciertos mecanismos de inicio de sesión.
 Una DLL que utiliza el SMB es el origen del problema de Microsoft Edge
  • Tal y como han detallado, el problema de seguridad está localizado en una librería dinámica que permite que un atacante pueda utilizar Internet para realizar el robo de las credenciales del dominio local. Para realizar esta operación solo necesita cargar una líneas de código en un correo electrónico o página web y podrá extraer esta información de forma rápida.
  • Como consecuencia de esto, aplicaciones disponibles para Windows 10 y sistemas operativos anteriores están afectadas por este fallo de seguridad. Por el momento no existe ninguna solución disponible, o al menos definitiva, ya que para paliar los efectos de forma temporal y siempre que no se vaya a utilizar ningún servicio relacionado con SMB el usuario puede deshabilitar el servicio. Para realizar esta operación se puede utilizar este manual de la propia Microsoft.
Listado  de aplicaciones que sufren el fallo de seguridad
  1. Windows Media Player
  2. Adobe Reader
  3. Apple QuickTime
  4. Excel 2010
  5. Symantec Norton Security Scan
  6. AVG Free
  7. BitDefender Free
  8. Comodo Antivirus
  9. IntelliJ IDEA
  10. Box Sync
  11. GitHub
  12. TeamViewer
  13. Dropbox
Fuente: Softpedia

ANDROID. Nueva vulnerabilidad crítica

 Después de las dos vulnerabilidades importantes anunciadas en los últimos días, se confirma otra nueva vulnerabilidad en los dispositivos Android. Or Peles (@peles_o) y Roee Hay (@roeehay) del equipo de seguridad X-Force de IBM han publicado los detalles en un documento titulado "Una clase para gobernarlos a todos" ya que solo encontraron una clase con una vulnerabilidad de serialización en la plataforma Android, la 'OpenSSLX509Certificate', pero fue suficiente para tomar el control del dispositivo.
Detalle de la vulnerabilidad
  • El equipo aprovechó el problema para reemplazar una aplicación existente en el dispositivo atacado por otra con todos los privilegios. De esta forma podría permitir robar datos, evitar la política SElinux, o ejecutar código arbitrario.
  • Se le ha asignado el CVE-2015-3825, según el informe de IBM el problema afecta a Android 4.3 a 5.1 (Jelly Bean, KitKat y Lollipop), incluyendo también a la primera preview de la próxima versión de Android M. Según IBM esto se cifra en un 55% de los dispositivos Android.
  • El equipo de IBM partía de la idea de que si encontraban una clase serializable, que en su método 'finalize' liberara algún objeto nativo cuyo puntero estuviera controlado podrían conseguir ejecutar código en el contexto de la aplicación o servicio. Su investigación se centró en encontrar clases vulnerables en el framework Android y en SDKs de terceras partes.
  • Tras analizar las 13.321 clases disponibles en el framework de un Android 5.1.1 Nexus 5 solo la clase 'OpenSSLX509Certificate' cumplía todos los requisitos para llevar a cabo el ataque de forma exitosa.
Y también en SDKs
  • Después de buscar en el framework de Android, pasaron a analizar 32.701 aplicaciones Android populares de los desarrolladores más conocidos para buscar otras clases que pudieran ser vulnerables.
  • Encontraron un total de 358 clases en 176 APKs que cumplían su criterio (serializable con un método 'finalize' y un campo controlable por el atacante). Finalmente enumeran 6 SDKs vulnerables:

  1. Jumio (CVE-2015-2000)
  2. MetaIO (CVE-2015-2001)
  3. PJSIP PJSUA2 (CVE-2015-2003)
  4. GraceNote GNSDK (CVE-2015-2004)
  5. MyScript (CVE-2015-2020)
  6. esri ArcGis (CVE-2015-2002)
 Los investigadores de IBM comunicaron los problemas a Google y a los desarrolladores de los SDKs afectados.
Recomendación
  • Google ha publicado parches para Android 5.1 y 5.0 y ha portado el parche a Android 4.4. La actualización también está disponible en Android M. Esperemos que les llegue pronto a los usuarios. Igualmente los desarrolladores de SDKs también han publicado parches para los problemas.
Más información:
Fuente: Hispasec

VULNERABILIDAD. Fallo de seguridad afecta a casi todos los procesadores Intel x86

El investigador de seguridad Chris Domas ha descubierto un fallo de seguridad en todos los procesadores Intel de arquitectura x86 fabricados entre 1997 y 2010 (hasta la rama anterior a Sandy Bridge) que puede llegar a permitir a un atacante instalar software personalizado en el equipo afectado.
Esto se debe a que al explotar esta vulnerabilidad el pirata informático evade los sistemas de seguridad que gestionan la seguridad del sistema a nivel de firmware. Por ello un atacante puede llegar a instalar software no deseado en el módulo System Management Mode (SMM) del procesador.
Una vez que se instala un rootkit en el módulo SMM del sistema un pirata informático puede tomar el control sobre la BIOS o UEFI del equipo, borrarla por completo, reescribirla por otra (por ejemplo una UEFI con malware) e incluso, como hemos dicho, tomar el control sobre los discos duros eliminando sus datos, instalando software e incluso otro sistema operativo.
Cabe destacar que las medidas de seguridad actuales (Secure Boot, por ejemplo) son ineficaces porque se fían del módulo System Management Mode (SMM) del procesador, módulo que puede ser comprometido por la vulnerabilidad.
Existe un exploit público para aprovechar esta vulnerabilidad de los procesadores Intel
  • Aunque la vulnerabilidad ha estado abierta desde 1997, esta ha permanecido oculta hasta hace 3 días, fecha en la que se publicó el exploit y la documentación correspondiente. Este exploit, formado por apenas 25 líneas, se encuentra disponible de forma pública en GitHub, junto a una completa documentación y demostración de funcionamiento.
  • Pese a la disponibilidad del exploit poder explotar este fallo de seguridad es bastante complicado. Lo primero que necesitan los piratas informáticos es instalar un rootkit que “desactive” permanentemente las medidas de seguridad del procesador. Para ello se necesitan permisos de root sobre el kernel del sistema, lo que ya requiere de una infección previa con otro malware.
  • Este investigador de seguridad ha conseguido demostrar la vulnerabilidad, como hemos dicho, en procesadores Intel sin embargo afirma que es probable que los procesadores AMD también sean vulnerables a este fallo debido a la complejidad del mismo.
  • Aunque teóricamente es posible bloquear esta vulnerabilidad mediante una actualización de la BIOS o UEFI de un ordenador, el hecho de que esto ocurra es prácticamente imposible. La única solución que existe es pensar cambiar el ordenador a corto o medio plazo ya que ningún fabricante actualizará la BIOS de un ordenador con más de 5 años. También es prácticamente imposible actualizar sin problemas los procesadores, además de que muchos de ellos ya tampoco tendrán soporte por parte de Intel.
Recomendaciones
  • Cabe recordar que para explotar esta vulnerabilidad el atacante necesita tener acceso físico al equipo, por lo que si tenemos cuidado de quién usa el equipo es probable que este fallo de seguridad no pueda ser explotado nunca en nuestro sistema.
Fuente : PC World