En Holanda, un banco permite utilizar tu voz para gestionar tu cuenta bancaria

Realizar gestiones bancarias por Internet requiere introducir códigos PIN, contraseñas y demás medidas de seguridad para verificar nuestra identidad, lo cual suele retrasar en mayor o menor medida la velocidad a la que realizamos nuestras gestiones bancarias online. En Holanda, el banco ING lleva un tiempo trabajando en nuevas formas de mejorar la gestión de nuestra cuenta bancaria.

Gracias a la colaboración con Nuance (proveedor de soluciones de voz para empresas) y a la tecnología biométrica de voz desarrollada por esta empresa, los clientes de este banco pueden utilizar su voz para realizar todo tipo de tareas con la app para dispositivos móviles, como identificarse o comprobar el saldo disponible en sus cuentas. Ahora, gracias al feedback recibido por los usuarios, ING ha incorporado la posibilidad de realizar pagos usando tan solo la voz. En Nuance consideran que se trata de una forma mucho más conveniente de gestionar tu cuenta bancaria desde un dispositivo móvil. Concretamente, afirman que el uso de la voz resulta mucho más seguro que el de las típicas medidas de seguridad, argumentando que el reconocimiento de voz no es susceptible a ataques de fuerza bruta. Además, explican también que cualquier intento de engaño sería grabado.

Actualmente, la posibilidad de realizar pagos usando la voz ha sido incluida en la más reciente actualización de la app de ING para iOS y Android. Además, los usuarios de dispositivos iOS con Touch ID también pueden utilizar su huella dactilar para identificarse a la hora de realizar un pago a través de la app.

Fuente: Nuance.

Facebook lanza globalmente Security Checkup, nueva herramienta para gestionar la seguridad

Security-Checkup

A partir de hoy y a nivel global, de momento accesible sólo desde equipos de escritorio, los usuarios de Facebook contamos con una nueva herramienta de seguridad llamada Security Checkup, desde la que se nos ofrece una experiencia simplificada a la hora de gestionar algunos elementos clave de seguridad de nuestras cuentas de usuario a través de tres sencillos pasos.

Esta nueva herramienta está dividida en tres apartados, donde en el primero nos indicará aquellos dispositivos en los que tenemos iniciado sesión con la posibilidad de cerrarla, el segundo nos permite activar las alertas de inicio de sesión para notificarnos cuando alguien está intentando acceder a nuestras cuentas, y el último apartado obtendremos consejos para disponer de una contraseña segura y única, consejos a los que tendremos que hacer caso si queremos mejorar la seguridad de nuestras cuentas.

Facebook nos indica que en algún momento durante las próximas semanas seremos alertados de la existencia de esta nueva herramienta a través de nuestros respectivos muros, y nos recuerda además que siempre podemos acceder a todas las opciones de seguridad que tenemos a nuestra disposición a través de la pestaña Seguridad dentro de las opciones de configuración.

La idea, básicamente, es que los usuarios nos preocupemos por la seguridad de nuestras cuentas, facilitándonos en todo lo posible el acceso a los diferentes apartados que podamos gestionar. Se espera que Security Checkup esté disponible próximamente también en dispositivos móviles.

Steam corrige un fallo de seguridad que permitía cambiar contraseñas ajenas

Captura

Tal y como hemos podido leer en Kotaku, durante el fin de semana ha sido descubierto un fallo de seguridad en Steam, la popular plataforma de videojuegos de Valve. Concretamente, el bug del que os hablamos permitía cambiar la contraseña de otros usuarios en cuestión de pocos segundos.

Sin duda, estamos ante un fallo de seguridad bastante grave, sobre todo si tenemos en cuenta que para poder cambiar la contraseña de una cuenta determinada no era necesario tener acceso al correo electrónico de la víctima. De hecho, explotar el fallo de seguridad del que os hablamos era tan sencillo como solicitar un código de restablecimiento de la contraseña y acceder a la sección de la web en la que se lleva a cabo el proceso para confirmar el cambio. Para ello, normalmente es necesario introducir un código de seguridad enviado a la cuenta de email del propietario de la cuenta de Steam, pero debido al fallo de seguridad la plataforma aceptaba como válido dejar en blanco el campo en el que se solicitaba el código. De esta forma, cualquiera podía dejar sin acceso a su cuenta a otros usuarios, cambiando su contraseña sin ningún tipo de verificación de identidad. Desde Steam han comunicado que el fallo de seguridad del que os hablamos ya ha sido solucionado. Concretamente, parece haber afectado a diversas cuentas de usuario entre el 21 y el 25 de julio. La compañía se encuentra restaurando las contraseñas de las cuentas afectadas por el fallo.

Fuente: Kotaku.

WordPress lanza la versión 4.2.3 para corregir importantes vulnerabilidades

WordPress_logo

WordPress ha anunciado el lanzamiento de la versión 4.2.3 como versión de seguridad para todas las versiones anteriores, insta a aquellos usuarios que tengan WordPress instalado en sus servidores a que actualicen a esta última versión de inmediato, algo que podrán hacer directamente desde la sección de actualizaciones del panel de gestión de sus instalaciones de WordPress, aunque aquellos sitios que soporten actualizaciones automáticas en segundo plano ya están comenzando a recibir la nueva versión.

El motivo por el que se insta a su actualización inmediata es debido a que la nueva versión corrige una vulnerabilidad crítica que permite comprometer a los sitios mediante la inyección de código y afectar a los usuarios.

Precisamente, WordPress señala que las versiones de WordPress 4.2.2. y anteriores están afectadas por una vulnerabilidad de cross-site scripting que permitiría a usuarios con roles de colaboradores o autores comprometer un sitio. Además de la mencionada vulnerabilidad, también se corrige otra que permitirá a cualquier usuario con permiso de suscripción crear borradores a través de Quick Draft.

La nueva versión de WordPress también corrige unos 20 bugs encontrados dentro de la versión 4.2, los cuales se encuentran mencionados dentro de la lista de cambios para la nueva versión. Desde WordPress agradecen a las fuentes que han encontrado las vulnerabilidades haber sido responsables y haber entrado en contacto con el equipo a nivel interno para resolver los problemas de seguridad.

Ciberseguridad, tipos, casos y un Máster de 600 horas

captura-93

Rara es la semana en la que no leemos algún caso relacionado con la Ciberseguridad en alguna gran empresa. Datos que se filtran, ataques a servidores, robo de información, discos destruidos, móviles que “abren sus puertas al público”… a medida que la tecnología avanza, entregamos más datos en sistemas que, por desgracia, no pueden protegerse completamente de los diferentes ataques que pueden realizarse.

Existe una enorme cantidad de ataques a sistemas informáticos, amenazas que, en general, pueden clasificarse de la siguiente forma:

– De denegación de servicio: Los famosos DDoS, ataques que sobrecargan servidores o redes con el objetivo de impedir que sigan ofreciendo un servicio. Estos ataques pueden ser extremadamente sofisticados, por lo que es prácticamente imposible evitarlos: si millones de diferentes direcciones IP acceden a un mismo servidor, se hace imposible diferenciar a un usuario normal de un ordenador atacando. En este caso se suelen bloquear regiones específicas o grupos sospechosos de direcciones IP, aunque existen sistemas más sofisticados que usan estadística para determinar lo que debe ser bloqueado.
– Man in the middle: La clásica situación en la que el atacante espía una comunicación entre dos partes y falsifica datos para hacerse pasar por una de ellas.
– Ataque de día cero: Donde se buscan agujeros de seguridad de programas específicos o se aprovecha algún problema que ya se ha hecho público.
– Ataque por fuerza bruta: Donde se intenta entrar en un sistema intentando obtener la contraseña probando todas las combinaciones posibles.

Hay más categorías, más grupos y muchos ataques difíciles de clasificar. Ayer mismo vimos como una conocida web de citas entre personas casadas había sido atacada, con 34 millones de datos de usuarios robados (desde nombres a sistemas de pago), aunque aparentemente el robo no tuvo mucho ingrediente tecnológico: alguien de soporte tuvo acceso a los servidores y decidió robar la información.

Crear un sistema seguro no significa crear una maravilla tecnológicamente cerrada, significa crear un flujo de información y una serie de procesos que impidan el acceso no autorizado a datos sensibles, significa entrenar a los trabajadores para entender lo que es seguridad en el mundo de la información digital, y eso es más difícil de lo que parece.

Si queréis profundizar en este tema, podéis acceder al Máster de CiberSeguridad organizado por u-tad.com, un máster de 600 horas que empieza en octubre, donde se explicarán técnicas y tácticas de ciberdefensa, ciberataque y análisis forense de sistemas informáticos. El Máster está diseñado para que puedan cursarlo personas con experiencia previa en programación y desarrollo de software, así como conocimientos de administración de sistemas operativos y administración de redes.

Twitter presenta nueva web sobre Seguridad en Internet

captura-108

Desde el blog de Twitter presentan el nuevo safety.twitter.com, donde explican los cambios realizados para aumentar la seguridad dentro de Twitter, los mecanismos que usan para revisar los informes de usuario y las funciones de bloqueo de datos.

En el Centro de Seguridad muestran información general relacionada con la seguridad en línea, tanto dentro como fuera de Twitter, aunque de momento solo tienen la web en inglés.

Para realizar dicha página han trabajado con expertos en seguridad en línea, profesionales que presentan herramientas y políticas relacionadas con la seguridad en linea, tanto para educadores como para adolescentes y padres.

En la sección de herramientas indican cómo podemos configurar nuestra cuenta para tener la privacidad bajo control, así como enlaces a páginas de soporte que ayudan a personalizar nuestra experiencia en la plataforma.

Prometen que en las próximas semanas traducirán el contenido a otros idiomas, por lo que os mantendremos informados sobre la evolución de este nuevo portal.

El spam por correo electrónico alcanza su cifra más baja en doce años

captura-71

El spam es uno de los principales problemas en el mundo de Internet. De hecho, seguro que en más de una ocasión habrás recibido algún correo electrónico anunciando que acababas de convertirte en ganador de un premio de lotería multimillonario o los típicos correos phishing de tu supuesto banco. Aun así, tal y como hemos podido leer en un informe publicado por Symantec, el mes de junio ha sido el mejor en cuanto al spam recibido en los últimos doce años.

La prestigiosa compañía de seguridad informática con sede en Mountain View y conocida como Symantec realiza informes de seguridad de forma mensual. En el más reciente de estos informes, la compañía indica que el 49,7% de los correos electrónicos analizados durante el pasado mes de junio han sido considerados como spam, un 0,6% menos que el pasado mes de marzo. A pesar de que pueda parecer una cantidad pequeña, se trata de todo una noticia realmente importante para el mundo de Internet, sobre todo si tenemos en cuenta que estamos ante la cifra de spam más baja desde 2003. Además, las amenazas de phising y malware enviadas por correo electrónico han sufrido también un descenso durante el mes de junio. A pesar de ello, se ha experimentado un incremento importante en el número de amenazas de malware existentes. Según los datos de Symantec, hemos pasado de 44,5 millones de variantes del mes de mayo a los 57,6 de junio. Concretamente, el ransomware ha sido una de las amenazas que más ha crecido. Este tipo de malware se encarga de bloquear el acceso al ordenador del usuario hasta que este paga una determinada cantidad. Después de alcanzar su cifra más baja el pasado abril después de doce meses, la cifra de ataques de este tipo detectados ha aumentado hasta los 477.000.

Fuente: Symantec.

Trackbuster, para evitar ser rastreados por aquellos que quieren saber si abrimos sus mensajes o no

Trackbuster

Si queremos llevar la privacidad de las comunicaciones algo más lejos, y protegernos ante posibles intentos de seguimiento mediante la apertura de mensajes de correo electrónico, podemos hacer uso de Trackbuster, un servicio completamente gratuito y sin publicidad que verificará los mensajes que entran a nuestros buzones de correo electrónico y eliminar aquellas técnicas de seguimiento en aquellos mensajes que los dispongan, de modo que los remitentes que las hayan incluido ya no sabrán si hemos abierto los mensajes que nos han enviado o no. Igualmente, esos mensajes serán etiquetados para darnos a entender que las técnicas incorporadas en los mismos han sido eliminadas.

Trackbuster funciona tanto con cuentas de Gmail como con cuentas de Google Apps. Todo lo que tenemos que hacer es vincular nuestras cuentas con su servicio. Actualmente, al querer registrarnos en su servicio, se nos indicará mediante un mensaje que recientemente han abierto el mismo y que la demanda existente ha llegado a superar sus expectativas. Eso sí, se comprometen a ofrecernos acceso al servicio lo más pronto posible, que nos será notificado por correo electrónico.

De este modo, si tenemos preocupación por saber si nos hacen seguimiento de los mensajes que abrimos, Trackbuster es una de las soluciones a tener en cuenta. Se espera que Trackbuster lance en un futuro una opción de pago con características extras.