Categoría: Seguridad

Noticias y consejos sobre Seguridad en Internet. Qué apps usar, qué peligros hay en Internet, cómo usar las contraseñas y mucho más.

Steam corrige un fallo de seguridad que permití­a cambiar contraseñas ajenas

Publicado el

por Sergio Asenjo

Captura

Tal y como hemos podido leer en Kotaku, durante el fin de semana ha sido descubierto un fallo de seguridad en Steam, la popular plataforma de videojuegos de Valve. Concretamente, el bug del que os hablamos permití­a cambiar la contraseña de otros usuarios en cuestión de pocos segundos.

Sin duda, estamos ante un fallo de seguridad bastante grave, sobre todo si tenemos en cuenta que para poder cambiar la contraseña de una cuenta determinada no era necesario tener acceso al correo electrónico de la ví­ctima. De hecho, explotar el fallo de seguridad del que os hablamos era tan sencillo como solicitar un código de restablecimiento de la contraseña y acceder a la sección de la web en la que se lleva a cabo el proceso para confirmar el cambio. Para ello, normalmente es necesario introducir un código de seguridad enviado a la cuenta de email del propietario de la cuenta de Steam, pero debido al fallo de seguridad la plataforma aceptaba como válido dejar en blanco el campo en el que se solicitaba el código. De esta forma, cualquiera podí­a dejar sin acceso a su cuenta a otros usuarios, cambiando su contraseña sin ningún tipo de verificación de identidad. Desde Steam han comunicado que el fallo de seguridad del que os hablamos ya ha sido solucionado. Concretamente, parece haber afectado a diversas cuentas de usuario entre el 21 y el 25 de julio. La compañí­a se encuentra restaurando las contraseñas de las cuentas afectadas por el fallo.

Fuente: Kotaku.

WordPress lanza la versión 4.2.3 para corregir importantes vulnerabilidades

Publicado el

por Fco. José Hidalgo

WordPress_logo

WordPress ha anunciado el lanzamiento de la versión 4.2.3 como versión de seguridad para todas las versiones anteriores, insta a aquellos usuarios que tengan WordPress instalado en sus servidores a que actualicen a esta última versión de inmediato, algo que podrán hacer directamente desde la sección de actualizaciones del panel de gestión de sus instalaciones de WordPress, aunque aquellos sitios que soporten actualizaciones automáticas en segundo plano ya están comenzando a recibir la nueva versión.

El motivo por el que se insta a su actualización inmediata es debido a que la nueva versión corrige una vulnerabilidad crí­tica que permite comprometer a los sitios mediante la inyección de código y afectar a los usuarios.

Precisamente, WordPress señala que las versiones de WordPress 4.2.2. y anteriores están afectadas por una vulnerabilidad de cross-site scripting que permitirí­a a usuarios con roles de colaboradores o autores comprometer un sitio. Además de la mencionada vulnerabilidad, también se corrige otra que permitirá a cualquier usuario con permiso de suscripción crear borradores a través de Quick Draft.

La nueva versión de WordPress también corrige unos 20 bugs encontrados dentro de la versión 4.2, los cuales se encuentran mencionados dentro de la lista de cambios para la nueva versión. Desde WordPress agradecen a las fuentes que han encontrado las vulnerabilidades haber sido responsables y haber entrado en contacto con el equipo a nivel interno para resolver los problemas de seguridad.

Ciberseguridad, tipos, casos y un Máster de 600 horas

Publicado el

por Publipost

captura-93

Rara es la semana en la que no leemos algún caso relacionado con la Ciberseguridad en alguna gran empresa. Datos que se filtran, ataques a servidores, robo de información, discos destruidos, móviles que «abren sus puertas al público»… a medida que la tecnologí­a avanza, entregamos más datos en sistemas que, por desgracia, no pueden protegerse completamente de los diferentes ataques que pueden realizarse.

Existe una enorme cantidad de ataques a sistemas informáticos, amenazas que, en general, pueden clasificarse de la siguiente forma:

– De denegación de servicio: Los famosos DDoS, ataques que sobrecargan servidores o redes con el objetivo de impedir que sigan ofreciendo un servicio. Estos ataques pueden ser extremadamente sofisticados, por lo que es prácticamente imposible evitarlos: si millones de diferentes direcciones IP acceden a un mismo servidor, se hace imposible diferenciar a un usuario normal de un ordenador atacando. En este caso se suelen bloquear regiones especí­ficas o grupos sospechosos de direcciones IP, aunque existen sistemas más sofisticados que usan estadí­stica para determinar lo que debe ser bloqueado.
– Man in the middle: La clásica situación en la que el atacante espí­a una comunicación entre dos partes y falsifica datos para hacerse pasar por una de ellas.
– Ataque de dí­a cero: Donde se buscan agujeros de seguridad de programas especí­ficos o se aprovecha algún problema que ya se ha hecho público.
– Ataque por fuerza bruta: Donde se intenta entrar en un sistema intentando obtener la contraseña probando todas las combinaciones posibles.

Hay más categorí­as, más grupos y muchos ataques difí­ciles de clasificar. Ayer mismo vimos como una conocida web de citas entre personas casadas habí­a sido atacada, con 34 millones de datos de usuarios robados (desde nombres a sistemas de pago), aunque aparentemente el robo no tuvo mucho ingrediente tecnológico: alguien de soporte tuvo acceso a los servidores y decidió robar la información.

Crear un sistema seguro no significa crear una maravilla tecnológicamente cerrada, significa crear un flujo de información y una serie de procesos que impidan el acceso no autorizado a datos sensibles, significa entrenar a los trabajadores para entender lo que es seguridad en el mundo de la información digital, y eso es más difí­cil de lo que parece.

Si queréis profundizar en este tema, podéis acceder al Máster de CiberSeguridad organizado por u-tad.com, un máster de 600 horas que empieza en octubre, donde se explicarán técnicas y tácticas de ciberdefensa, ciberataque y análisis forense de sistemas informáticos. El Máster está diseñado para que puedan cursarlo personas con experiencia previa en programación y desarrollo de software, así­ como conocimientos de administración de sistemas operativos y administración de redes.

Twitter presenta nueva web sobre Seguridad en Internet

Publicado el

por Juan Diego Polo

captura-108

Desde el blog de Twitter presentan el nuevo safety.twitter.com, donde explican los cambios realizados para aumentar la seguridad dentro de Twitter, los mecanismos que usan para revisar los informes de usuario y las funciones de bloqueo de datos.

En el Centro de Seguridad muestran información general relacionada con la seguridad en lí­nea, tanto dentro como fuera de Twitter, aunque de momento solo tienen la web en inglés.

Para realizar dicha página han trabajado con expertos en seguridad en lí­nea, profesionales que presentan herramientas y polí­ticas relacionadas con la seguridad en linea, tanto para educadores como para adolescentes y padres.

En la sección de herramientas indican cómo podemos configurar nuestra cuenta para tener la privacidad bajo control, así­ como enlaces a páginas de soporte que ayudan a personalizar nuestra experiencia en la plataforma.

Prometen que en las próximas semanas traducirán el contenido a otros idiomas, por lo que os mantendremos informados sobre la evolución de este nuevo portal.

El spam por correo electrónico alcanza su cifra más baja en doce años

Publicado el

por Sergio Asenjo

captura-71

El spam es uno de los principales problemas en el mundo de Internet. De hecho, seguro que en más de una ocasión habrás recibido algún correo electrónico anunciando que acababas de convertirte en ganador de un premio de loterí­a multimillonario o los tí­picos correos phishing de tu supuesto banco. Aun así­, tal y como hemos podido leer en un informe publicado por Symantec, el mes de junio ha sido el mejor en cuanto al spam recibido en los últimos doce años.

La prestigiosa compañí­a de seguridad informática con sede en Mountain View y conocida como Symantec realiza informes de seguridad de forma mensual. En el más reciente de estos informes, la compañí­a indica que el 49,7% de los correos electrónicos analizados durante el pasado mes de junio han sido considerados como spam, un 0,6% menos que el pasado mes de marzo. A pesar de que pueda parecer una cantidad pequeña, se trata de todo una noticia realmente importante para el mundo de Internet, sobre todo si tenemos en cuenta que estamos ante la cifra de spam más baja desde 2003. Además, las amenazas de phishing y malware enviadas por correo electrónico han sufrido también un descenso durante el mes de junio. A pesar de ello, se ha experimentado un incremento importante en el número de amenazas de malware existentes. Según los datos de Symantec, hemos pasado de 44,5 millones de variantes del mes de mayo a los 57,6 de junio. Concretamente, el ransomware ha sido una de las amenazas que más ha crecido. Este tipo de malware se encarga de bloquear el acceso al ordenador del usuario hasta que este paga una determinada cantidad. Después de alcanzar su cifra más baja el pasado abril después de doce meses, la cifra de ataques de este tipo detectados ha aumentado hasta los 477.000.

Fuente: Symantec.

Trackbuster, para evitar ser rastreados por aquellos que quieren saber si abrimos sus mensajes o no

Publicado el

por Fco. José Hidalgo

Trackbuster

Si queremos llevar la privacidad de las comunicaciones algo más lejos, y protegernos ante posibles intentos de seguimiento mediante la apertura de mensajes de correo electrónico, podemos hacer uso de Trackbuster, un servicio completamente gratuito y sin publicidad que verificará los mensajes que entran a nuestros buzones de correo electrónico y eliminar aquellas técnicas de seguimiento en aquellos mensajes que los dispongan, de modo que los remitentes que las hayan incluido ya no sabrán si hemos abierto los mensajes que nos han enviado o no. Igualmente, esos mensajes serán etiquetados para darnos a entender que las técnicas incorporadas en los mismos han sido eliminadas.

Trackbuster funciona tanto con cuentas de Gmail como con cuentas de Google Apps. Todo lo que tenemos que hacer es vincular nuestras cuentas con su servicio. Actualmente, al querer registrarnos en su servicio, se nos indicará mediante un mensaje que recientemente han abierto el mismo y que la demanda existente ha llegado a superar sus expectativas. Eso sí­, se comprometen a ofrecernos acceso al servicio lo más pronto posible, que nos será notificado por correo electrónico.

De este modo, si tenemos preocupación por saber si nos hacen seguimiento de los mensajes que abrimos, Trackbuster es una de las soluciones a tener en cuenta. Se espera que Trackbuster lance en un futuro una opción de pago con caracterí­sticas extras.

Hexlock, para bloquear aplicaciones especí­ficas en nuestro android

Publicado el

por Publipost

captura-2

En nuestro móvil trabajamos, jugamos, escribimos… cada vez son más las tareas que se realizan con tabletas y dispositivos móviles en general, y cada vez son más las aplicaciones que allí­ instalamos.

El problema con este rápido crecimiento es que aparecen problemas de seguridad y privacidad a una velocidad semejante, motivo por lo cual es importante conocer herramientas que puedan ayudarnos. La mayorí­a de los problemas no se deben a «ataques de crackers» y sí­ a un acceso no autorizado realizado por alguien cercano, y es en ese punto donde nos centraremos ahora.

Hexlock es una aplicación que nos permite bloquear aplicaciones dentro de nuestro android para evitar que otras personas con acceso al mismo terminal puedan abrir datos o actualizar perfiles «sin querer». Ayuda a aumentar el control de los padres, por ejemplo, ya que pueden entregar el dispositivo a los hijos sin miedo a que abran el email, las redes sociales o cualquier otra aplicación privada.

Esta app permite crear perfiles separados para tabletas compartidas, por lo que las aplicaciones que verán los hijos serán diferentes a la que vean los padres o los primos que llegaron de vacaciones.

Hexlock puede activarse automáticamente al cambiar de WiFi, por lo que cuando se detecte una nueva red, se bloquearán las aplicaciones previamente definidas, ayudando así­ a mantenerlas seguras.

Podéis instalarla desde este enlace.

Ahora los problemas de seguridad en Windows XP son mucho mayores

Publicado el

por Juan Diego Polo

captura-6

Microsoft ya no sabe qué hacer para que la gente deje de usar Windows XP. Dejó de dar soporte, informa constantemente de los peligros de usar un sistema operativo tan antiguo (fue lanzado en 2001), recuerda las amenazas existentes ante las cuales Windows XP no puede defenderse… pero aún así­ son millones los dispositivos que siguen usándolo.

Y no hablamos únicamente de usuarios que lo utilizan en sus casas para acceder a Facebook y leer el email, hablamos de cajeros automáticos, paneles de avisos en aeropuertos, sistemas de contabilidad… la situación es realmente seria.

Ahora dejan claro desde Microsoft que los problemas aumentan: La herramienta para borrar malware y las actualizaciones de Microsoft Security Essentials dejaron de ofrecerse desde hace unas horas.

Aunque el soporte de Microsoft a Windows XP dejó de ofrecerse en abril de 2014, hasta ayer se seguí­an ofreciendo las herramientas y actualizaciones para mantener el Sistema seguro, por lo que cualquier nueva amenaza tendrá en XP una ví­ctima sin defensas, unas puertas abiertas al robo de datos (entre otras cosas). Desde 2014 no podemos bajar a Windows XP la herramienta de Microsoft Security Essentials, pero los que ya la tení­an instalada estuvieron recibiendo actualizaciones de seguridad durante estos 16 meses que concluyeron ayer.

Por desgracia, la teorí­a del «si funciona no lo toques» sigue siendo la reina en muchas empresas, por lo que habrá que esperar a que ocurra alguna catástrofe para que muchos empiecen a moverse para migrar a otros sistemas más preparados para las necesidades y amenazas de 2015.

Mitro, el gestor de contraseñas social, cierra en agosto ¿Cómo migrar?

Publicado el

por Juan David Quiñónez

mitro gestor contraseñas

En reiteradas ocasiones hemos hablado de Mitro, un gestor de contraseñas diferente de las más populares opciones del mercado por su enfoque social, esto es, caracterí­sticas para, además de tener a la mano la información de acceso de sesión de múltiples servicios en lí­nea con apenas recordar una contraseña maestra, manejar dicha base de logins con otros usuarios, por ejemplo, equipos de trabajo. Es más, el año pasado hablamos de su nueva herramienta para limitar y compartir temporalmente dichos accesos sin siquiera señalar contraseñas.

Y todas esas funciones le valieron para ganar el interés de Twitter quien le adquirió también el año pasado para proyectos de seguridad y geolocalización. Como consecuencia, Mitro pasó a ser open source permitiendo que el código de su gestión, cliente-servidor, quedara disponible para toda la comunidad desde GitHub. Lo peculiar es que su servicio original se mantuvo activo en simultáneo, algo que no suele suceder cuando una gran compañí­a compra a otra de menor tamaño.

Pues bien, se anuncia hoy en Twitter que Mitro, en dicha última versión original y presente para miles de usuarios aún que gestionan sus contraseñas mediante la extensión para navegador que ofrece, desaparecerá el próximo 31 de agosto: Continúa leyendo «Mitro, el gestor de contraseñas social, cierra en agosto ¿Cómo migrar?»

Los proyectos «anti Inteligencias Artificiales asesinas» que ganaron la financiación de Elon Musk

Publicado el

por Juan David Quiñónez

Future of life

Hablamos en enero de los 10 millones de dólares que Elon Musk, CEO de Tesla y multimillonario emprendedor, donó a la fundación Future of Life Institute (FLI), una institución que trabaja e investiga para mantener el enfoque benefactor de las Inteligencias Artificiales pues si pierden su rumbo podrí­an destruir el mundo.

Mencionamos igualmente que tales recursos estaban destinados a financiar grupos de investigación de todo el planeta que presentaran sus propuestas sobre cómo “mantener dichas IA robustas y beneficiosas”, con un trato ético y seguro. Pues bien, ya está disponible la lista de beneficiados del programa. Vale recordar que un formulario se dispuso para el concurso por los fondos y ya se encuentra en el sitio web de la FLI el listado con los 37 grupos de investigación ganadores; se incluye el titulo de su proyecto, la Institución a la que pertenecen, el monto conseguido, una descripción del trabajo pretendido y el correo electrónico para contactarles.

Continúa leyendo «Los proyectos «anti Inteligencias Artificiales asesinas» que ganaron la financiación de Elon Musk»