Etiqueta: Implementación

Una investigación ve vulnerabilidades en las formas en la que las telecos implementan el estándar RCS

Publicado el 29 noviembre, 2019

Google tenía razón al manifestar sus preocupaciones en la manera en la que los operadores de telecomunicaciones estaban implementando la tecnología RCS, la sustituta a la tecnología de mensajes de textos cortos SMS, observando que cada operador la implementa de una manera diferente, y que debido a ello, ahora una nueva investigación llevada a cabo por la firma de ciberseguridad Security Research Labs (SRLabs) señala que esta situación está ofreciendo una serie de vulnerabilidades.

SRLabs señala que la tecnología RCS no es vulnerable en sí, sino algunas de las implementaciones que se están llevando a cabo por parte de operadoras de telecomunicaciones, dado que parte del mismo aún no está definido, posibilitando diferentes tipos de ataques, que van desde la interceptación de llamadas hasta la falsificación de los números de teléfonos, pasando también por las posibles filtraciones de las ubicaciones de los propios usuarios.
Continúa leyendo «Una investigación ve vulnerabilidades en las formas en la que las telecos implementan el estándar RCS»

Investigadores dejan en entredicho la seguridad de Confide, app de mensajería segura

Publicado el 8 marzo, 2017

por Fco. José Hidalgo

Confide

¿Son realmente seguras aquellas aplicaciones que prometen que las comunicaciones entre usuarios están cifradas de extremo a extremo? Pues parece ser que no del todo. Hoy hemos conocidos varios informes pertenecientes a investigadores de seguridad que ponen en entredicho la implementación del cifrado de extremo a extremo de la aplicación Confide, la cual promete desde su web que ofrece cifrado de grado militar.

En estos informes exponen que Confide no es realmente una aplicación segura debido a las múltiples vulnerabilidades que posee por dicha implementación del cifrado que podría posibilitar desde la suplantación de identidad de los usuarios mediante el secuestro de sus cuentas hasta la alteración del contenido de los mensajes o archivos en tránsito sin descifrarlo primero, pasando por la posibilidad de conocer los detalles de contactos de todos o de usuarios específicos de Confide, entre otros.
Continúa leyendo «Investigadores dejan en entredicho la seguridad de Confide, app de mensajería segura»

La OpenID Foundation lanza OpenID Connect para facilitar el acceso a servicios y aplicaciones

Publicado el 27 febrero, 2014

por Fco. José Hidalgo

Hubo una etapa en Internet en la que los usuarios teníamos la posibilidad de identificarnos en numerosos servicios a través de los distintos proveedores de OpenID que habían en aquel momento. Debido a la falta de simplicidad de este sistema, el mismo ha dejado de tenerse en cuenta debido al escaso uso, pasando al olvido.

Más tarde vino el protocolo OAuth, donde en su versión 2.0 corregían los problemas de su versión inicial, permitiéndonos a día de hoy acceder a muchos servicios en la web a través de una serie de proveedores de identidad, como Google, Facebook o Twitter, evitando así la necesidad de que los usuarios nos creamos nuevas cuentas de usuario con sus correspondientes contraseñas, delegando los desarrolladores las funciones de identificación, acceso y almacenamiento a los proveedores de identidades, ya que estos cuentan con la infraestructura necesaria para ello.

La OpenID Foundation no se ha quedado de brazos cruzados y confirma desde su web que su capa de identificación ya está completamente terminada, la cual se llama OpenID Connect. Según declara en su sitio web:

Esta capa de identidad en Internet ya está ayudando a los sitios web, las empresas y los operadores de redes móviles a identificar personas. OpenID Connect permite mejores controles de privacidad y fuerte (y más amigable para los usuarios) autenticación.

Con ello, la OpenID Foundation pretende que el nuevo protocolo permita evitar preocupaciones a los desarrolladores de tener que mantener las cuentas de los usuarios seguras, delegando dichas funciones a los proveedores de identidades, ya que según ellos, éstos están continuamente invirtiendo en infraestructuras de autenticación sofisticada teniendo los conocimientos especiales necesarios para la gestión con seguridad de los inicios de sesión y detectar abusos.

Este nuevo protocolo, en relación a los anteriores, que usaban XML y un esquema de firma de mensaje personalizado, de difícil implementación para los desarrolladores, utiliza OAuth 2.0 mediante conexiones seguras.

OpenID Connect ya está recibiendo el apoyo de Google, Microsoft, Salesforce, Deutsche Telekom, AOL, así como numerosas compañías y operadores móviles. En el caso de Google, el mismo apoyará este protocolo a través de sus librerías para Google+ Sing-In.

Los desarrolladores y el resto de interesados pueden obtener más información en la FAQ de la OpenID Connect.

Google comienza el camino para integrar las búsquedas por voz en Chrome

Publicado el 23 enero, 2014

por Fco. José Hidalgo

Franí§ois Beaufort, desarrollador y evangelista del proyecto de código abierto Chromium de Google, acaba de anunciar que el equipo de Chromium ha comenzado a trabajar en la incorporación de la funcionalidad de las búsquedas vía voz en Chrome, de manera que permitirá más adelante a los usuarios realizar las búsquedas a través de la voz de manera nativa desde sus equipos de escritorio sin necesidad de emplear la extensión Google Voice Search Hotword (Beta), que se lanzó por primera vez el pasado mes de Noviembre.

Esta función deberá ser previamente activada por los propios usuarios a través de de la configuración de búsquedas de Chrome y posteriormente situarse en Google.com en el navegador para comenzar las búsquedas con un «Ok Google» y luego indicar los términos de búsquedas. Además, en el anuncio se indica que habrá dos opciones disponibles para esta funcionalidad, la parada de las escuchas para «Ok Google» después de cinco minutos y la de su modo incógnito.

Por ahora, tendrá que pasar una serie de fases para que esta funcionalidad pueda estar disponible dentro de la versión estable de Chrome para permitir a cualquier usuario realizar las búsquedas vía voz desde sus dispositivos de escritorio, algo que posiblemente pueda llegar a estar disponible a finales del presente año. Tarde o temprano los usuarios podrán optar por establecer los términos de búsquedas a través de la voz o seguir empleando los teclados de escritorio, aunque aquellos que empleen la voz igual lo podrán tener más fácil para realizar búsquedas en dispositivos móviles, e incluso a través de las propias gafas inteligentes de Google si se hacen con algunas de ellas.

PayPal se convierte en monedero digital móvil con el rediseño de sus aplicaciones para Android e iOS

Publicado el 5 septiembre, 2013

por Fco. José Hidalgo

Hace pocos años que veíamos la posibilidad de pagar por la adquisición de productos y servicios a través de los terminales móviles como algo lejano, aunque durante todo este tiempo, han surgido una serie de iniciativas que permiten convertir nuestros terminales móviles como nuestras carteras virtuales para realizar pagos. Algunos de estos sistemas cobran directamente de nuestro saldo de móvil, y otros, como la española Momopocket, nos permiten ingresar un saldo y sobre la misma iremos realizando los pagos.

Pues bien, un paso lógico para convertirse en cartera digital, aprovechando los recursos, los ingenieros de los que dispone, y la experiencia en el sector, lo ha dado Paypal con la renovación de sus aplicaciones móviles para las plataformas Android e iOS, convirtiéndose así es una completa aplicación para realizar pagos. De esta manera, la inclusión de las funciones de cartera digital, para realizar pagos en los establecimientos que estén soportados, se une a las funciones tradicionales de administración de cuentas, con el seguimiento de las compras realizadas así como las trasnferencias de dinero.

Paypal cuenta con más de 132 millones de usuarios activos en 193 países, como cuenta The Verge, potencial suficiente para que los comercios puedan adoptar su sistema de pago, y en este sentido, la propia aplicación permitirá a los usuarios conocer aquellos establecimientos cercanos que si permitan el pago mediante su sistema a través de los terminales móviles, así como las promociones existentes.

Las nuevas aplicaciones móviles de Paypal también han sufrido mejoras en lo que respecta a la interfaz de usuario y corrección de errores. Sin duda, es un paso hacia el futuro, de manera que a través de los terminales móviles, ya no podría hacer falta disponer de dinero en efectivo ni tarjetas. Ya sólo será cuestión de acostumbrarse, aunque algo me dice que tardaremos tiempo en adaptarnos a estos sistemas de pago, optando todavía por pagos en efectivo y mediante el uso de las tarjetas bancarias, experiencias de pago aún fáciles de realizar en relación a las experiencias de pago con terminales móviles, lo que puede suponer alguna complejidad para algunos usuarios que no estén tan habituados a las tecnologías.

Las nuevas aplicaciones móviles de Paypal se pueden obtener a través de Google Play para Android y mediante Apple App Store para sistemas iOS.

Mozilla lanza la versión 22 de Firefox, con soporte para las tecnologías Asm.js y WebRTC

Publicado el 25 junio, 2013

por Fco. José Hidalgo

Hoy día, las tecnologías que se van incorporando a los navegadores web, están posibilitando interacciones hasta límites inimaginables hace unos años. Y en ese camino sigue yendo Mozilla, el cual acaba de lanzar la versión 22 de su navegador Firefox, donde la novedad más importante es el soporte de las tecnologías Asm.js y WebRTC, lo que permitirá a los desarrolladores crear aplicaciones web de alto rendimiento, las cuales podrán hacer uso de llamadas y videollamadas, así como la posibilidad de compartir archivos entre familiares y amigos, todo ello directamente desde el navegador y sin necesidad de incluir elementos adicionales, como plugins o extensiones.

Asm,js es una tecnología algo más desconocida que WebRTC, pero que dará mucho que hablar. Se trata de un subconjunto de JavaScript que se ejecuta casi a velocidad nativa en el propio navegador, lo que permitirá el desarrollo de aplicaciones altamente intensivas, como juegos 3D y procesado de fotografías directamente en la web, sin necesidad de software adicional. Para ello, se hará uso del compilador múltiple Emscripten, el cual ofrece asm.js.

Como ya hemos visto en otros servicios, WebRTC es la tecnología que posibilita el uso de las comunicaciones a través del navegador, permitiendo el uso del audio y video llamadas, así como la posibilidad de compartir archivos con otras personas, sin necesidad de elementos adicionales. Hasta ahora, es Chrome quien ha apostado por esta tecnología, pero ahora Firefox también la integra dentro del propio navegador.

Las nuevas posibilidades pueden ser probadas a través de una demo de juego llamada BananaBread, la cual usa WebGL, Emscripten, asm.js y WebRTC. Respecto a WebGL, se ha mejorado su rendimiento de representación, siendo ésta una de las novedades menores que también incorpora Firefox en esta nueva versión estable.

Enlace: BananaBread Demo | Vía: Anuncio en el blog oficial

El codec de vídeo VP9 ya está activado en la versión de desarrollo de Chromium

Publicado el 17 junio, 2013

por Fco. José Hidalgo

El estándar de compresión de vídeo abierto y libre de royalties, VP9, acaba de ser activado en la versión de desarrollo de Chromiun. Así lo ha indicado Franí§ois Beaufort, desarrollador y evangelista de Chromium, a través de su cuenta en Google+.

Resulta que Google ya manifestó hace un mes su intención de acabar la definición del nuevo códec de vídeo VP9 para el día de hoy, a pesar de la escasa acogida que ha tenido la versión anterior, VP8, donde además, ha recibido demandas por infracción de patentes de Nokia.

Según Beaufort, el nuevo códec es un 50% mejor que el mejor y más popular códec de vídeo de Internet, el H.264, con lo que permitirá a los usuarios ver vídeos usando la mitad del ancho de banda. Además, indica que el VP9 también va a formar parte de WebRTC, proyecto de carácter abierto para el establecimiento de comunicaciones a través de voz y vídeos sin necesidad de plugins, a finales de este año.

Ya sabemos que también está a punto de lanzarse el códec de vídeo H.265, el cual ya comentamos que sería también más eficiente, permitiendo igualmente ver vídeos usando menor ancho de banda, ya que haría uso de menor bitrate manteniendo la misma calidad de imagen, por lo que su comparación no ha sido del todo acertada. H.265 sigue en la misma línea de cobro de royalties a quien haga uso de él, aunque esperemos que Google haya tomado nota para que su nuevo codec no pueda verse afectado por nuevas demandas por infracción de patentes.

Lo que si es claro que este códec, el VP9, sería implementado en el ecosistema de Google, tanto en navegadores como en YouTube, lo que podría empujarle para ganar cuota de mercado de usuarios. Ya todo depende de las fichas de Google.

Vía: Anuncio en sel perfil de Franí§ois Beaufort

LinkedIn también ofrece la verificación en dos pasos, de forma opcional

Publicado el 31 mayo, 2013

por Fco. José Hidalgo

Hoy ha sido LinkedIn la que ha decidido ofrecer a los usuarios la posibilidad de que usen el sistema de la verificación en dos pasos en sus propias cuentas, de manera opcional, en el que además del correo electrónico y contraseña, también recibirán un código mediante SMS para poder acceder a las mismas.

Y como es opcional, los usuarios que deseen usarlo, deberán activarlo desde Configuración / Cuenta / Gestionar configuración de seguridad /, y en «Verificación en dos etapas para inicio de sesión» hay una opción que dice Activar, la cual presionarán, teniendo que registrar y verificar sus números de teléfono para recibir los códigos.

La misma presentación de LinkedIn ofrece los pasos a seguir, tanto para activarlo como el modo de funcionamiento. De esta manera, LinkedIn se suma a otros servicios web que durante los últimos días han estado añadiendo la verificación en dos pasos, y eso que LinkedIn no ha sido de las que más problemas de seguridad han tenido, aunque siempre es un plus de seguridad, sobre todo, porque es en esta plataforma donde aportamos los datos de contactos y de nuestra vida laboral, estando visible ante los ojos de otros muchos usuarios.

Así que aquellos que queráis dar mayor seguridad a vuestras cuentas de usuario en LinkedIn, ya podéis activarlo.

Vía: Blog de Linkedin

Evernote introduce la autenticación en dos pasos, en principio, a sus usuarios premium

Publicado el 30 mayo, 2013

por Fco. José Hidalgo

Este año está siendo curioso en lo que respecta a la seguridad de los servicios web. Hemos pasado de ver noticias de los problemas de seguridad que han afectado a un número de servicios web conocidos a noticias donde éstos toman medidas, entre ellas, la implementación del factor de autenticación en dos pasos. Y si la semana pasada fue Twitter quien lo implementó, esta semana es Evernote quien hace lo suyo, aunque eso sí, llegando primero a los usuarios de cuentas de pago, según la compañía, porque «están más comprometidos con el servicio», y que llegará a finales de año al resto de usuarios.

Además, la implementación de la autenticación en dos pasos viene acompañada también con la implementación del historial de acceso y las aplicaciones autorizadas, dos medidas más de seguridad que permitirá, por un lado, que los usuarios tengan acceso a las localizaciones desde donde han accedido a sus cuentas, y ser avisados por si su cuenta ha sido accedida por un tercero, y por otro, controlar aquellas aplicaciones que tengan autorizadas para ser usadas con Evernote.

Los usuarios necesitarán su id de usuario y contraseña, y además, del código que se les enviará a través de un mensaje SMS a sus terminales móviles.

Por tanto, lo más normal, visto la tendencia, es que otros servicios que aún no lo hayan hecho, incluya la autenticación en dos pasos, con el fin de que los usuarios tengan mayor protección en el acceso a sus cuentas.

Vía: Blog de Evernote

Amazon lanza su servicio de identificación para desarrolladores terceros

Publicado el 29 mayo, 2013

por Fco. José Hidalgo

En vista de que los usuarios prefieren identificarse en distintos sitios web y aplicaciones a tan sólo un click con sus cuentas de usuarios ya creadas en otros servicios, en lugar de tener que rellenar un formulario nuevo en cada ocasión para crear una nueva cuenta de usuario, Amazon lanza su servicio de identificación «Login with Amazon», enfocada a los desarrolladores, con la idea de que puedan implementarlos en cuestión de horas en sus juegos, aplicaciones, o sitios web.

De esta manera, los más de 200 millones de usuarios activos con los que cuentan, pueden acceder a terceros servicios que lo tengan implementado. Con el lanzamiento de «Login with Amazon», Amazon se suman a otros proveedores de identidad como Google o Facebook, quienes han experimentado un gran éxito con sus respectivos servicios, sirviendo además para captar nuevos usuarios y fomentar la participación de los mismos.

Hay que indicar que bajo el servicio «Login with Amazon» se encuentra el protocolo abierto de autorización OAuth 2.0, que es bastante usado en muchas de las aplicaciones y servicios que usamos hoy día en Internet.

De este modo, Amazon aumenta su ecosistema de servicios, sobre todo, cuando «Login with Amazon» ya ha sido probado con éxito con sus servicios Zappos y Woot.

Enlace: Login with Amazon | Vía: BusinessWire