Slack lanza dos nuevas funciones de seguridad y trabaja para garantizar la seguridad del servicio

slack

Ya hemos hablado en múltiples ocasiones de Slack, un servicio de mensajería multiplataforma enfocado a grupos de trabajo, el cual ya cuenta con más de medio millón de usuarios diarios, siendo además usado por muchas compañías como reemplazo al correo electrónico como sistema de comunicación. La responsabilidad de Slack frente a la seguridad es enorme, y de hecho, el pasado mes de febrero han tenido que hacer frente a accesos no autorizados a la base de datos de perfiles de usuario.

En este sentido, Slack ofrece hoy informaciones al respecto, señalando que el acceso no autorizado ha tenido lugar durante cuatro días en febrero, en el que han podido acceder a datos de usuario aunque sin comprometer a la información financiera o de pago, e incluso gracias al cifrado de las contraseñas, apenas cabe probabilidad de que las mismas hayan sido descifradas por los atacantes.

Slack señala que las actividades sospechosas han afectado a un número muy pequeño de cuentas de usuario, realizando la notificación a usuarios individuales y dueños de equipos que pudieran haberse visto afectados. Igualmente señalan que cuentan con la colaboración de expertos externos para cotejar los supuestos y ofrecer garantías en disponer de mayor seguridad.

Dicho esto, Slack anuncia el lanzamiento de dos funciones de seguridad, la autenticación de dos factores y el “Kill Switch Password”. Respecto al primero, conocido también como verificación en dos pasos, ya se encuentra disponible para aquellos usuarios y equipos que deseen disponer de él, teniendo las instrucciones con todo detalle a través del centro de ayuda de la compañía. Y respecto al segundo, “Kill Switch Password”, se trata de una función que permite a los dueños de equipos que crean que determinadas cuentas puedan tener actividades sospechosas, forzar a los usuarios a cerrar sesión en todos los equipos y a restablecer sus contraseñas.

Con el cierre de la brecha de seguridad y el lanzamiento de estas dos funciones de seguridad, Slack trata de ganarse la confianza de los usuarios empresariales que han confiado las comunicaciones en su servicio

Opera compra servicio de VPN, ¿lo integrará en su navegador?

captura-73

El navegador Opera quiere apostar por la privacidad y la seguridad de sus usuarios. Acaba de adquirir un servicio de VPN de Canadá, SurfEasy, servicio que permite navegar por Internet de forma privada y anónima, aunque ni el precio ni el objetivo se han divulgado aún.

Parece lógico pensar que permitirá integrar la plataforma dentro de su navegador, lo que podría ser activado con un solo click por los usuarios que quieran no ser identificados a la hora de navegar por diferentes sitios (o, incluso, acceder a otras webs como si estuviéramos en otro país).

SurfEasy continuará ofreciendo el servicio de VPN a sus clientes actuales, tanto desde escritorio como desde móviles, así como seguirá ofreciendo su producto de VPN en dispositivo USB.

No es la primera vez que un software integra un servicio de VPN para garantizar anonimato (hay versiones de popcorn Time que ya hacen exactamente eso), pero sería el primero de los grandes navegadores que decide implementar este tipo de plataforma de forma nativa.

Estamos imaginando que es ese el objetivo de Opera, aunque es posible que estén pensando en lanzar algún producto independiente relacionado con el mundo VPN… de momento son solo especulaciones.

Copias piratas de Windows en China se actualizarán gratis a Windows 10

captura-15Hoy, como ya os hemos comentado, se ha anunciado que a partir de verano ya estará disponible Windows 10 para todo el mundo, una versión de Windows que contará con el asistente Cortana, el nuevo navegador Spartan y muchas otras novedades interesantes.

Al mismo tiempo Microsoft ha anunciado, en una entrevista, que las copias piratas en China podrán actualizar de forma gratuita al nuevo Windows 10 (fuera de China solo será posible actualizar de forma gratuita a partir de copias legítimas de Windows 7, 8 y 8.1).

Hay dos motivos por los cuales Microsoft decide algo así:

– La piratería en China es enorme. Son cientos de millones de usuarios los que usan copias piratas de Windows en dicho país. Si se ofrece una actualización gratuita, se están consiguiendo cientos de millones de “usuarios oficiales” que podrán transformarse en futuros clientes habituales.

– Los problemas de seguridad que generan millones de copias piratas son enormes. malware, keyloggers, adware… muchas de las copias vienen con “regalos extra”, y en muchas ocasiones esos problemas son atribuidos a Windows, manchando la imagen sin, en esta ocasión, tener la culpa.

La noticia ha corrido como la pólvora durante las últimas horas, pero es importante recordar que esta migración de “ilegal a legal de forma gratuita” solo ocurrirá en China (de momento solo lo han confirmado allí), donde también están trabajando con Lenovo para llevar Windows 10 a todos los actuales usuarios de Windows.

Actualización: También se podrá actualizar desde fuera de China.

Actualización 2: Estas copias piratas migradas tendrán límites. Más información aquí.

Windows 10 permitirá iniciar sesión, hasta en apps, con la huella dactilar y el iris de los ojos

windows 10 tecnologia acceso

Windows Hello titula el nuevo sistema de autenticación biométrica que presenta hoy Microsoft para ser lanzado en Windows 10. La idea es prescindir de las típicas contraseñas al iniciar sesión en Windows a favor de un rápido y automático análisis del rostro y de los ojos del usuario así como de su huella dactilar. Por si fuera poco, la funcionalidad sería tan útil que hasta serviría como una capa extra de seguridad para acceder a ficheros sensibles, por ejemplo, los empresariales.

Comentan que lo esperado no es solo habilitar el desbloqueo de dispositivos con Windows 10 sino ampliar la experiencia de seguridad biométrica a aplicaciones, archivos, sitios web y servicios. Claro, la magia estaría en sensores especializados -como los infrarrojos que funcionan bajos múltiples condiciones de luz- quienes vendrían incorporados en nuevos dispositivos con Windows, aunque la esperanza para antiguos equipos se mantiene con la mención de que lectores de huellas dactilares, presentes en varios de ellos, podrían funcionar con Windows Hello.

El resto sería trabajo del software que se encargaría de revisar lo capturado para permitir las debidas autenticaciones, eso sí, con las debidas garantías de que no cualquiera, con una foto o algún otro registro inerte, podría saltarse la verificación. Por supuesto, nada mejor que un video para mostrarle en acción:

Sí, a pesar de que no es nuevo el interés por dicha tecnología, resulta interesante verle materializada y a un paso de salir al público en general que en este caso equivaldría a millones de usuarios que tanto en el uso personal de sus dispositivos así como en áreas financieras, de la salud y el gobierno, entre otras, encontrarían grandes beneficios. Por cierto, sería una grata noticia que el Kinect, el dispositivo para Xbox, actuara como hardware suficiente para la identificación segura.

Más información: Blog oficial de Windows

Yahoo presenta sistema para identificarse sin usar contraseñas

Desde Yahoo acaban de presentar una nueva forma de identificarse en su plataforma, un método que evitaría el uso de contraseñas.

El funcionamiento es sencillo: indicamos nuestro login y aguardamos un código que recibiremos en nuestro móvil, ese será el código que tendremos que informar en la web para entrar en nuestra cuenta.

Como veis, es semejante al sistema en dos pasos que varias compañías implantan, donde es necesario tener el login, la contraseña y el código del móvil. En este caso evita el paso del password, dependiendo 100% del móvil.

demand

Este sistema, disponible a partir de hoy en Estados Unidos, puede activarse desde la sección de configuración (hay una opción nueva llamada On-demand). En otros países parece que aún no se implantará, supongo que tienen que confirmar si el envío del código en cualquier región se produce suficientemente rápido.

Actualiza el plugin Yoast WordPress SEO pues se le ha encontrado una grave vulnerabilidad

yoast wordpress seo

Atención webmasters que se valen del plugin WordPress SEO by Yoast pues reportan varios portales que en versiones anteriores a la 1.7.4. se ha detectado una grave vulnerabilidad que puede poner en riesgo a millones de sitios web.

La falla se ha solucionado en la más reciente versión de este fantástico y popular plugin diseñado para optimizar automáticamente múltiples características relacionadas al SEO (sitemaps, reescritura de títulos, metadatos sociales, exclusiones de indexación, etc.) en cualquier sitio web WordPress.

En fin, dicha versión es la 1.7.4 y 1.5.3 para quienes pagan por la versión premium, así que si no cuentas con ella(s) se recomienda que actualices lo más pronto posible el plugin -desde el panel de WordPress o manualmente desde la galería de plugins de WordPress.org- para minimizar la probabilidad de un ataque de ese tipo.

En cuanto a los detalles de la vulnerabilidad, se menciona la posibilidad de su aprovechamiento para ejecutar ataques de inyección SQL a ciegas o Blind SQL injection. Por cierto, ha sido el creador del plugin WPScan quien le ha descubierto y en la página de dicha herramienta ha publicado un extenso reporte técnico con lo conseguido -eso sí, lo compartió tan pronto Yoast dio con la solución-.

Más información: Sitio web de Yoast | Fuente: The Hacker News

Tether, una app gratuita para desbloquear tu Mac mediante un iPhone cercano

Tether desbloquear macImagina que llevas tu iPhone en el bolsillo y al llegar a tu escritorio, tu Mac se desbloquea como por arte de magia; Ahora bien, si te levantas de tu silla para ir al baño o para salir a resolver cualquier otro asunto lejos de tu puesto, el Mac se bloquea de nuevo automáticamente.

Eso es Tether, una aplicación gratuita y una herramienta que se instala en un Mac y en un iPhone la cual se valdrá de las conexiones Bluetooth 4.0 de ambos dispositivos para brindar una alternativa segura y rápida al querer acceder al contenido de tu Mac.

Claro, que sea la tecnología Bluetooth 4.0 la que funciona tras bastidores optimiza el entendimiento de la app para saber qué tan cerca te encuentras del equipo de escritorio y proceder con el desbloqueo, pero su bajo consumo energético evitará que sufra la carga de tu iPhone. Otra bondad es que trabaja en esencia de forma similar a la verificación de dos pasos al requerir disponer de un dispositivo propio para garantizar la propiedad de otro equipo dando así vía al inicio de sesión.

Entre otros detalles, Tether funciona con versiones de MacBook Air y Mac Mini del 2011 y años posteriores así como con los iMac y MacBook Pro conseguidos a partir del 2012; En cuanto al Mac Pro, 2013 es su punto de partida.

Ya para el tema de seguridad que seguramente preocupará a más de uno, en el sitio de Tether afirman que la aplicación no se queda con las claves de acceso, las manipula o comparte a través de Internet ¡No!, simplemente las gestiona a través de Keychain para darles uso en el desbloqueo pero manteniéndolas protegidas.

Más información: Sitio web de Tether | Vía: TNW

PayPal adquiere la forma de seguridad CyActive para impulsar su nuevo centro de seguridad en Israel

CyActive

El servicio de pagos online Paypal, que próximamente se independizará de eBay, la empresa matriz, ha anunciado hoy que en base a la seguridad como prioridad para mantener el dinero de los usuarios más seguro en Internet, va a ampliar sus esfuerzos en esta materia mediante el establecimiento de un centro de seguridad en Israel, donde podrá contar tanto con la tecnología de vanguardia del país así como los mejores talentos en ciberseguridad. Además, como parte de la misma estrategia, también anuncia la adquisición de CyActive, una firma de seguridad especializada en la predicción del desarrollo del malware.

A este respecto, no se ha indicado los términos del acuerdo de adquisición, aunque la prensa local ya filtró la pasada semana que el precio era de 60 millones de dólares, aunque James Barrese, Director de Tecnología y Vicepresidente Senior de Servicios de Pago de Paypal, ha indicado a TechCrunch que el precio era especulativo. Además, asegura al citado medio que la adquisición de CyActive se debe más a la mejora de las capacidades de seguridad de Paypal que al hecho de que Paypal se separe de eBay próximamente.

El nuevo centro de seguridad supone un hito muy importante para Paypal como parte de los esfuerzos que realiza en materia de seguridad, su prioridad fundamental, ya que está “profundamente integrado en todas las decisiones de negocio y producto” que realizan cada día.