Etiqueta: Seguridad

Criptext, una extensión que permite el enví­o de emails con fecha de caducidad, cifrado y mucho más

Publicado el

por Juan Diego Polo

captura-28

Criptext se presenta como una extensión para Chrome y Safari que podemos usar para transformar Gmail añadiendo nuevas funcionalidades relacionadas con la seguridad.

Sus principales funciones son:

– Transforma el texto de los emails en imágenes (después de llegar al destino) para evitar que sean leí­dos por robots (ideal para quien no quiere que la publicidad de gmail tenga algo que ver con el contenido del email recibido).
– Permite definir fecha de caducidad de cada email, para que puedan autodestruirse en el destino.
– Avisa cuando un email que hemos enviado ha sido abierto en el destino.
– Ofrece la posibilidad de enviar archivos adjuntos de hasta 100 megas, cifrados, mostrando su contenido en un visualizador personalizado, con opción de bloquearlo con contraseña.
– Muestra la opción de enviar un recordatorio de cualquier email, un «recall» para que el destino reaccione a nuestro mensaje.

El sistema es gratuito durante su fase beta, y prometen dejarlo aún gratis seis meses después del lanzamiento oficial fuera de la fase de pruebas, aunque aún no han comentado el precio que tendrá una vez finalizado dicho periodo.

Ya hemos visto extensiones que hacen una u otra de las funcionalidades que ofrece Criptext, pero es la primera vez que vemos una que las agrupa todas.

Han invadido los servidores de LastPass, pero tus contraseñas están seguras

Publicado el

por Juan Diego Polo

Los servicios de almacenamiento de contraseñas, como LastPass o 1Password, están diseñados para evitar que alguien pueda entrar en sus servidores y robar todos los passwords allí­ existentes.

Es inevitable que ocurran invasiones, no hay sistema suficientemente seguro en el mundo capaz de bloquear todos los intentos de «hackeo del mal», por eso este tipo de plataformas usa un cifrado bastante complejo que impide que alguien pueda obtener acceso a su bien más preciado: «los datos de los usuarios».

Hoy en LastPass están enviando emails a todos sus usuarios informando que han detectado una invasión en la que han podido robar emails de usuarios, frases para recuperar contraseña y otros datos, pero no las contraseñas de los servicios que allí­ se almacenan.

Es importante cambiar la contraseña maestra de LastPass, pero no porque la hayan robado, sino porque con los datos que han obtenido podrí­an, con el tiempo, acabar descubriéndola, y es mejor evitar el problema haciendo algo que hay que hacer con frecuencia: cambiar la contraseña de los servicios más relevantes.

Así­ que, no lo dudéis, cambiad la contraseña de LastPass, pero no os preocupéis si no lo podéis hacer hoy o mañana, vuestros datos están bastante seguros, tanto en este tipo de servicio como en su principal competencia, 1Password. Por desgracia nuestro email no estaba suficientemente seguro dentro de su plataforma, y eso sí­ es algo en lo que tienen que trabajar para que no se repita.

Os dejamos con el mensaje que se está enviando a los usuarios:
Continúa leyendo «Han invadido los servidores de LastPass, pero tus contraseñas están seguras»

Amazon patenta un sistema para desbloquear un smartphone con la oreja

Publicado el

por Sergio Asenjo

Captura

Recientemente, Amazon ha patentado un nuevo sistema gracias al cual es posible desbloquear un smartphone identificando al usuario a partir de la forma de su oreja a la hora de contestar una llamada entrante.

El funcionamiento de este sistema está basado en el hecho de que la oreja de cada usuario es única, por lo que gracias a la tecnologí­a existente en los smartphones actuales es posible comparar la forma de la oreja del usuario almacenada en el terminal con la de la persona que intenta contestar una llamada. Para ello, simplemente es necesario acercarse el smartphone a la oreja y el dispositivo se encargará de tomar una foto de la misma haciendo uso de la cámara frontal, comparando la forma de la oreja obtenida en la imagen con la del usuario. De esta forma, este nuevo sistema evitarí­a la necesidad de tener que introducir el código de bloqueo del terminal cada vez que queramos contestar una llamada entrante. Sin duda, podrí­a tratarse de un factor diferenciador si Amazon decide finalmente implantar este nuevo sistema en futuras generaciones de smartphones.

Aprovechamos la ocasión para recordar que recientemente os hablamos de Bodyprint, un proyecto en el que se encuentran trabajando en Yahoo con el que prentenden identificar al usuario de un smartphone mediante su oreja, aunque en este caso, haciendo uso de la pantalla táctil del dispositivo. A continuación os dejamos con el ví­deo que los chicos de PatentYogi han preparado para explicar el funcionamiento de la patente:

Continúa leyendo «Amazon patenta un sistema para desbloquear un smartphone con la oreja»

iOS 9 aumentará la seguridad de tus dispositivos incorporando códigos de bloqueo de seis dí­gitos

Publicado el

por Sergio Asenjo

iOS 9

Seguimos con las novedades presentadas por Apple durante la keynote de la WWDC 2015 que tuvo lugar durante el dí­a de ayer, esta vez centrándonos en las novedades de iOS 9, el próximo sistema operativo para dispositivos móviles de la compañí­a de la manzana. Concretamente, hablamos de una caracterí­stica que mejorará la seguridad de nuestros dispositivos y que ha pasado un tanto desapercibida, ya que Apple no la mencionó durante la presentación.

Si sois usuarios de dispositivos iOS estaréis al tanto de la posibilidad de establecer el caracterí­stico código de bloqueo de cuatro dí­gitos para tratar de impedir el acceso al terminal en caso de que caiga en manos ajenas. Además, desde el lanzamiento del iPhone 5S, Apple ofrece un sistema de seguridad más complejo conocido como Touch ID, que solamente permite el acceso al terminal en caso de reconocer la huella dactilar de la persona que lo está utilizando. De ahora en adelante, tal y como podemos leer en la web de Apple, todos los dispositivos que dispongan de Touch ID (como el iPhone 5S, 6, 6 Plus, el iPad Air 2 o el iPad Mini 3) podrán establecer un código de bloqueo de seis dí­gitos. Este cambio supone una mejora importante de seguridad para los usuarios, ya que aumentará enormemente la dificultad para averiguar el código mediante ataques de fuerza bruta. De hecho, tal y como Apple afirma, un código de bloqueo de seis dí­gitos ofrece un millón de combinaciones distintas en lugar de las 10.000 que ofrece el código de bloqueo de cuatro cifras. Además, se trata de un cambio que los usuarios con Touch ID activado apenas notarán, ya que podrán seguir desbloqueando sus terminales haciendo uso de su huella dactilar.

Sin duda, se trata de una mejora realmente interesante en cuanto a la seguridad de nuestros dispositivos.

torelay, una forma anónima de acceder a sitios web bloqueados

Publicado el

por Juan Diego Polo

captura-109

En torelay tenemos una web que puede ser muy útil para dos objetivos diferentes:

a) Acceder a sitios web que hayan sido bloqueados por la red en la que estáis conectados.
b) Impedir que la web consultada sepa vuestra dirección IP.

Lo que hace torelay es acceder a la web que indiquemos usando TOR, devolviendo el resultado de lo que ha encontrado. Es cierto que torelay sabe nuestra IP, pero no la sabrá la web que hemos buscado desde allí­, por lo que podemos estar tranquilos en ese sentido.

El proyecto es de código abierto, está disponible en github.com/yadakhov/torelay, por lo que si analizáis el código veréis que su funcionamiento es sencillo, aunque no recomiendo su uso para acceder a sitios protegidos con contraseña (redes sociales, bancos, cuentas de email, etc.) y sí­ para acceder a información que, por cualquier motivo, no podáis consultar desde donde os encontráis.

Hace pocas horas que han implementado https en dicha aplicación, presionados en parte por la comunidad de usuarios de reddit, donde ha sido destacado torelay en los últimos dí­as.

Project Vault, la tarjeta microSD que Google está desarrollando para sustituir a las contraseñas

Publicado el

por Juan Diego Polo

captura-91

Los años pasan y seguimos dependiendo de las contraseñas casi de las misma forma que lo hací­amos hace 20 años. La mayorí­a de los móviles se desbloquean con cuatro dí­gitos, tener una combinación login/password es obligatorio en prácticamente todas las aplicaciones web, en los bancos, en las redes sociales… Sí­, es cierto que se ha trabajado en indentificación de huellas digitales, incluso en la de rostros, pero parece que es una área que avanza realmente despacio.

ATAP (Advanced Technology and Projects), unidad de proyectos avanzados de Google, ha presentado hoy su proyecto Vault, donde informa que los datos de identificación podrán guardarse en mini-ordenadores del tamaño de tarjetas microSD, como las que veis en la imagen superior, donde no solo se almacenarán claves, sino también patrones de comportamiento.

Cada uno usa el móvil de una forma diferente, y las máquinas pueden saber fácilmente si es un usuario u otro en función de cómo se está utilizando el dispositivo. Esa es una de las claves de Project Vault, aunque aún está en una fase de implantación inicial, por lo que no hay muchos datos sobre el proceso exacto.

El chip tendrí­a su propio sistema operativo – Real Time Operating System (RTOS) – y permitirí­a que los usuarios se comunicaran entre ellos sin enviar datos sigilosos, siempre enfocándose en el mundo móvil, aunque podrí­a implantarse en cualquier plataforma, no solo en Android. Tiene también un procesador ARM, un chip anNFC y una antena, así­ como servicios de encriptado (hashing, signing, batch encryption genración aleatoria de números, etc.).

El proyecto tendrá varias partes de código libre, y en github ya podemos ver algunos archivos del mismo. El SDK para desarrolladores empezará a estar disponible hoy mismo.

Google Identity Platform, suite de herramientas para que los desarrolladores faciliten el inicio de sesión

Publicado el

por Sergio Asenjo

Google Smart Lock

Uno de los problemas más frecuentes a la hora de utilizar una aplicación en la que se requiere inicio de sesión es el hecho de olvidar el nombre de usuario o la contraseña. Se trata de un inconveniente tanto para los desarrolladores (que pueden arriesgarse a perder usuarios que no sepan recuperar su contraseña) tanto como para los usuarios (que se ven obligados a perder el tiempo para recuperar la contraseña). Por esta razón, Google ha anunciado Google Identity Platform, una suite de herramientas con la que los desarrolladores podrán facilitar en gran medida el inicio de sesión en sus aplicaciones y sitios web.

Por un lado, la compañí­a ha explicado el funcionamiento de Smart Lock for Passwords, una herramienta que podrí­a resultar realmente útil. Como sabréis, Smart Lock es un gestor de contraseñas incluido en Android 5.0 Lollipop. Ahora, la compañí­a ha anunciado que Smart Lock estará disponible como API para los desarrolladores, de modo que estos puedan implementar la herramienta en sus aplicaciones para grabar las credenciales de los usuarios e iniciar sesión de forma automática en las aplicaciones y páginas web (solo en Google Chrome) en todos sus dispositivos. Por el momento, Google afirma que ya cuenta con la participación de gigantes como Eventbrite, Netflix y el New York Times, entre otros. Gracias a la integración de Smart Lock con las aplicaciones de los desarrolladores, el usuario tendrá la posibilidad de seleccionar que sus datos de inicio de sesión se guarden en Smart Lock, beneficiándose de un inicio de sesión automático en el resto de dispositivos de su propiedad. Esto supone una ventaja importante a la hora de configurar nuevos dispositivos, ya que no serí­a necesario introducir las contraseñas de todas y cada una de las aplicaciones instaladas. En su lugar, nada más identificarnos con nuestra cuenta de Google, todas las aplicaciones estarí­an listas para ser utilizadas.

Además, la compañí­a aprovecha también para explicar las ventajas de Google Sign-in, la herramienta de inicio de sesión de Google que forma parte de la suite de herramientas de la que os hablamos. El buscador afirma que gracias a Google Sign-in es posible aumentar el número de registros en las aplicaciones de los desarrolladores, dado que los usuarios simplemente han de introducir los datos de inicio de sesión que ya utilizan en plataformas como Google Play. Por último, Google ha dado a conocer Identity Toolkit, un sistema de autenticación genérico desarrollado por Google con el que todos aquellos interesados podrán ofrecer inicio de sesión en sus apps de forma sencilla.

Fuente: Google.

Google presenta nuevas formas de gestionar nuestra privacidad y seguridad

Publicado el

por Juan Diego Polo

captura-37

Dentro de pocas horas comienza el evento en el que Google, entre otras cosas, presentará Android M, y uno de los puntos fuertes de esta nueva versión de android será la privacidad y el control sobre lo que compartimos en cada aplicación.

En este sentido presentará también un espacio centralizado para gestionar nuestros datos de la cuenta de Google, una página en la que también podremos realizar preguntas sobre privacidad y seguridad en nuestras cuentas. Se trata de myaccount.google.com, un espacio desde donde podemos realizar tres actividades principales:

– Comprobar nuestra privacidad haciendo un repaso entre las configuraciones de privacidad de productos como YouTube, Ads, Google+ o el historial de la cuenta.
– Comprobar la seguridad del acceso a la cuenta, as como las opciones existentes en el quesito «recuperación». Desde allí­ será posible ver los dispositivos que han accedido a nuestra cuenta y verificar su hay alguna acción sospechosa.
– Bajar los datos para llevarlos a otras plataformas o para hacer backup local.

En este espacio, al que llaman Mi cuenta, en español, podemos ver también cómo los datos de búsquedas, Maps, YouTube y otros productos pueden ser usados para mejorar la experiencia en Google (mejorar las recomendaciones, ofrecer información relevante en función del lugar que nos encontremos, etc.)

Sobre la sección de preguntas y respuestas, podemos ver los datos en google.com/privacy, donde responden a información como ¿Qué datos recoge Google sobre mí­? o ¿Qué hace Google con esos datos que recopila?.

Sobre el mensaje que bloquea iPhones al recibirse

Publicado el

por Juan Diego Polo

mensaje

Desde que hace 14 horas un usuario publicó este hilo en reddit con una cadena de caracteres que bloquea teléfonos iPhone cuando se enví­a (ya sea ví­a iMessage, SMS o cualquier otro sistema de mensajes), parece que no se habla de otra cosa en las redes.

El problema es grave: si enviamos ese mensaje a un usuario con iPhone que tenga la versión iOS 8.3 instalada (es posible que ocurra con otras versiones también), el teléfono se bloqueará y se reiniciará. Al reiniciarse no podremos abrir la app de mensajerí­a con el texto en cuestión en modo lista, ya que el problema se repetirá, y dejará de ocurrir cuando recibamos otro mensaje (nos permitirá entrar en la aplicación y eliminar al causante del problema) o cuando respondamos al texto original en modo conversación.

Los detalles los encontramos en macrumors, donde indican que no ocurre a todos los usuarios (debe existir una combinación especí­fica en la configuración del dispositivo), pero sí­ entre la mayorí­a de ellos.

El problema es tan grave que desde Apple ya se han pronunciado y han prometido una solución urgente, aunque no ha garantizado fechas.

De momento, mientras no tengamos la solución oficial, recordad que enviando un nuevo mensaje al móvil se solucionará, ya que el error solo ocurre cuando el «texto maldito» es el último recibido.

Astoria, un nuevo cliente Tor resistente a los ataques de la NSA

Publicado el

por Sergio Asenjo

captura-8

En los últimos años, el anonimato en Internet está en boca de todos, sobre todo si tenemos en cuenta las actividades de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. A pesar de ello, existen redes de anonimato como Tor, que se encargan de garantizar el anonimato y la privacidad total de los usuarios de Internet.

Gracias a esta red, todos aquellos usuarios que no quieran se rastreados pueden navegar por Internet sin preocupaciones. Cuando un usuario se conecta a un sitio web haciendo uso de la red Tor, los propietarios de la web son capaces de saber que alguien les ha visitado de forma anónima, aunque no pueden identificar al usuario. Esto es posible gracias a la existencia de 6000 nodos distintos en la red Tor, que hacen prácticamente imposible localizar a un usuario en concreto. A pesar de ello, tal y como afirma un grupo de investigadores formado por americanos e israelí­es, la NSA habrí­a desarrollado una forma de averiguar la identidad de los usuarios haciendo uso de lo que denominan «ataques de tiempo». Mediante estos ataques, serí­an capaces de hacerse con el control de los puntos de entrada y salida de la información y, empleando herramientas de análisis estadí­stico podrí­an deducir la identidad de los usuarios de la red Tor en cuestión de minutos. A partir de estas averiguaciones, el equipo de investigación del que os hablamos ha desarrollado un nuevo cliente Tor capaz de prevenir estos ataques reveladores de identidad. De hecho, afirman que Astoria (nombre del cliente) puede llegar a reducir el número de conexiones vulnerables de la red Tor del 58% a tan solo el 5,8%. Para ello, dicho cliente emplea un algoritmo capaz de predecir ataques y escoger conexiones seguras.

Sin duda, se trata de un movimiento realmente interesante, a pesar de que por el momento, Astoria no está disponible públicamente.

Link: Astoria (PDF) | Ví­a The Daily Dot.