Etiqueta: Seguridad

Project Vault, la tarjeta microSD que Google está desarrollando para sustituir a las contraseñas

Publicado el 29 mayo, 2015

captura-91

Los años pasan y seguimos dependiendo de las contraseñas casi de las misma forma que lo hacíamos hace 20 años. La mayoría de los móviles se desbloquean con cuatro dígitos, tener una combinación login/password es obligatorio en prácticamente todas las aplicaciones web, en los bancos, en las redes sociales… Sí, es cierto que se ha trabajado en indentificación de huellas digitales, incluso en la de rostros, pero parece que es una área que avanza realmente despacio.

ATAP (Advanced Technology and Projects), unidad de proyectos avanzados de Google, ha presentado hoy su proyecto Vault, donde informa que los datos de identificación podrán guardarse en mini-ordenadores del tamaño de tarjetas microSD, como las que veis en la imagen superior, donde no solo se almacenarán claves, sino también patrones de comportamiento.

Cada uno usa el móvil de una forma diferente, y las máquinas pueden saber fácilmente si es un usuario u otro en función de cómo se está utilizando el dispositivo. Esa es una de las claves de Project Vault, aunque aún está en una fase de implantación inicial, por lo que no hay muchos datos sobre el proceso exacto.

El chip tendría su propio sistema operativo – Real Time Operating System (RTOS) – y permitiría que los usuarios se comunicaran entre ellos sin enviar datos sigilosos, siempre enfocándose en el mundo móvil, aunque podría implantarse en cualquier plataforma, no solo en Android. Tiene también un procesador ARM, un chip anNFC y una antena, así como servicios de encriptado (hashing, signing, batch encryption genración aleatoria de números, etc.).

El proyecto tendrá varias partes de código libre, y en github ya podemos ver algunos archivos del mismo. El SDK para desarrolladores empezará a estar disponible hoy mismo.

Google Identity Platform, suite de herramientas para que los desarrolladores faciliten el inicio de sesión

Publicado el 29 mayo, 2015

por Sergio Asenjo

Uno de los problemas más frecuentes a la hora de utilizar una aplicación en la que se requiere inicio de sesión es el hecho de olvidar el nombre de usuario o la contraseña. Se trata de un inconveniente tanto para los desarrolladores (que pueden arriesgarse a perder usuarios que no sepan recuperar su contraseña) tanto como para los usuarios (que se ven obligados a perder el tiempo para recuperar la contraseña). Por esta razón, Google ha anunciado Google Identity Platform, una suite de herramientas con la que los desarrolladores podrán facilitar en gran medida el inicio de sesión en sus aplicaciones y sitios web.

Por un lado, la compañía ha explicado el funcionamiento de Smart Lock for Passwords, una herramienta que podría resultar realmente útil. Como sabréis, Smart Lock es un gestor de contraseñas incluido en Android 5.0 Lollipop. Ahora, la compañía ha anunciado que Smart Lock estará disponible como API para los desarrolladores, de modo que estos puedan implementar la herramienta en sus aplicaciones para grabar las credenciales de los usuarios e iniciar sesión de forma automática en las aplicaciones y páginas web (solo en Google Chrome) en todos sus dispositivos. Por el momento, Google afirma que ya cuenta con la participación de gigantes como Eventbrite, Netflix y el New York Times, entre otros. Gracias a la integración de Smart Lock con las aplicaciones de los desarrolladores, el usuario tendrá la posibilidad de seleccionar que sus datos de inicio de sesión se guarden en Smart Lock, beneficiándose de un inicio de sesión automático en el resto de dispositivos de su propiedad. Esto supone una ventaja importante a la hora de configurar nuevos dispositivos, ya que no sería necesario introducir las contraseñas de todas y cada una de las aplicaciones instaladas. En su lugar, nada más identificarnos con nuestra cuenta de Google, todas las aplicaciones estarían listas para ser utilizadas.

Además, la compañía aprovecha también para explicar las ventajas de Google Sign-in, la herramienta de inicio de sesión de Google que forma parte de la suite de herramientas de la que os hablamos. El buscador afirma que gracias a Google Sign-in es posible aumentar el número de registros en las aplicaciones de los desarrolladores, dado que los usuarios simplemente han de introducir los datos de inicio de sesión que ya utilizan en plataformas como Google Play. Por último, Google ha dado a conocer Identity Toolkit, un sistema de autenticación genérico desarrollado por Google con el que todos aquellos interesados podrán ofrecer inicio de sesión en sus apps de forma sencilla.

Fuente: Google.

Google presenta nuevas formas de gestionar nuestra privacidad y seguridad

Publicado el 28 mayo, 2015

por Juan Diego Polo

Dentro de pocas horas comienza el evento en el que Google, entre otras cosas, presentará Android M, y uno de los puntos fuertes de esta nueva versión de android será la privacidad y el control sobre lo que compartimos en cada aplicación.

En este sentido presentará también un espacio centralizado para gestionar nuestros datos de la cuenta de Google, una página en la que también podremos realizar preguntas sobre privacidad y seguridad en nuestras cuentas. Se trata de myaccount.google.com, un espacio desde donde podemos realizar tres actividades principales:

– Comprobar nuestra privacidad haciendo un repaso entre las configuraciones de privacidad de productos como YouTube, Ads, Google+ o el historial de la cuenta.
– Comprobar la seguridad del acceso a la cuenta, as como las opciones existentes en el quesito «recuperación». Desde allí será posible ver los dispositivos que han accedido a nuestra cuenta y verificar su hay alguna acción sospechosa.
– Bajar los datos para llevarlos a otras plataformas o para hacer backup local.

En este espacio, al que llaman Mi cuenta, en español, podemos ver también cómo los datos de búsquedas, Maps, YouTube y otros productos pueden ser usados para mejorar la experiencia en Google (mejorar las recomendaciones, ofrecer información relevante en función del lugar que nos encontremos, etc.)

Sobre la sección de preguntas y respuestas, podemos ver los datos en google.com/privacy, donde responden a información como ¿Qué datos recoge Google sobre mí? o ¿Qué hace Google con esos datos que recopila?.

Sobre el mensaje que bloquea iPhones al recibirse

Publicado el 27 mayo, 2015

por Juan Diego Polo

mensaje

Desde que hace 14 horas un usuario publicó este hilo en reddit con una cadena de caracteres que bloquea teléfonos iPhone cuando se envía (ya sea vía iMessage, SMS o cualquier otro sistema de mensajes), parece que no se habla de otra cosa en las redes.

El problema es grave: si enviamos ese mensaje a un usuario con iPhone que tenga la versión iOS 8.3 instalada (es posible que ocurra con otras versiones también), el teléfono se bloqueará y se reiniciará. Al reiniciarse no podremos abrir la app de mensajería con el texto en cuestión en modo lista, ya que el problema se repetirá, y dejará de ocurrir cuando recibamos otro mensaje (nos permitirá entrar en la aplicación y eliminar al causante del problema) o cuando respondamos al texto original en modo conversación.

Los detalles los encontramos en macrumors, donde indican que no ocurre a todos los usuarios (debe existir una combinación específica en la configuración del dispositivo), pero sí entre la mayoría de ellos.

El problema es tan grave que desde Apple ya se han pronunciado y han prometido una solución urgente, aunque no ha garantizado fechas.

De momento, mientras no tengamos la solución oficial, recordad que enviando un nuevo mensaje al móvil se solucionará, ya que el error solo ocurre cuando el «texto maldito» es el último recibido.

Astoria, un nuevo cliente Tor resistente a los ataques de la NSA

Publicado el 23 mayo, 2015

por Sergio Asenjo

En los últimos años, el anonimato en Internet está en boca de todos, sobre todo si tenemos en cuenta las actividades de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. A pesar de ello, existen redes de anonimato como Tor, que se encargan de garantizar el anonimato y la privacidad total de los usuarios de Internet.

Gracias a esta red, todos aquellos usuarios que no quieran se rastreados pueden navegar por Internet sin preocupaciones. Cuando un usuario se conecta a un sitio web haciendo uso de la red Tor, los propietarios de la web son capaces de saber que alguien les ha visitado de forma anónima, aunque no pueden identificar al usuario. Esto es posible gracias a la existencia de 6000 nodos distintos en la red Tor, que hacen prácticamente imposible localizar a un usuario en concreto. A pesar de ello, tal y como afirma un grupo de investigadores formado por americanos e israelíes, la NSA habría desarrollado una forma de averiguar la identidad de los usuarios haciendo uso de lo que denominan «ataques de tiempo». Mediante estos ataques, serían capaces de hacerse con el control de los puntos de entrada y salida de la información y, empleando herramientas de análisis estadístico podrían deducir la identidad de los usuarios de la red Tor en cuestión de minutos. A partir de estas averiguaciones, el equipo de investigación del que os hablamos ha desarrollado un nuevo cliente Tor capaz de prevenir estos ataques reveladores de identidad. De hecho, afirman que Astoria (nombre del cliente) puede llegar a reducir el número de conexiones vulnerables de la red Tor del 58% a tan solo el 5,8%. Para ello, dicho cliente emplea un algoritmo capaz de predecir ataques y escoger conexiones seguras.

Sin duda, se trata de un movimiento realmente interesante, a pesar de que por el momento, Astoria no está disponible públicamente.

Link: Astoria (PDF) | Vía The Daily Dot.

Lavaboom, un nuevo proyecto de correo electrónico seguro

Publicado el 15 mayo, 2015

por Juan Diego Polo

En la era post-Snowden se están realizando muchos esfuerzos para traer la seguridad que muchos pensaban que existía antiguamente. El objetivo de Lavaboom es semejante al de otros proyectos de su categoría (como Protonmail): ofrecer un sistema de correo electrónico completamente seguro, que garantice que nadie pueda leer los mensajes desde el servidor central.

Aunque de momento solo se puede acceder después de recibir la invitación (podemos reservar nuestro nombre de usuario en lavaboom.com/signup), ya se conocen algunos detalles sobre lo que ofrece, detalles que podemos leer tanto en su página de presentación como en este artículo de TC.

La idea es ofrecer un sistema de email con criptografía de punta a punta, evitando que el contenido de los mismos puedan consultarse en otro lugar que no sea el navegador del cliente (todo el proceso de criptografía se realiza con javascript en el cliente, los servidores no reciben la información «limpia»). En este caso también realizan cambios con los metadatos, por lo que no es posible saber el origen de ningún mensaje, todos ellos parecen llegar desde las oficinas de Lavaboom.

Cuando sea público se ofrecerá 1 giga de forma gratuita a cualquier usuario, así como una plataforma que pueda instalarse en las empresas con un pago mensual.

Aunque de momento siguen trabajando en el código, apostando mucho por la interfaz de usuario, ya podemos ver el resultado (bajarlo y analizarlo) en github.com/lavab, un gesto de transparencia que se agradece cuando tocamos este tipo de temas.

Peeple, un dispositivo con el que convertir la mirilla de tu puerta en un elemento más inteligente

Publicado el 15 mayo, 2015

por Sergio Asenjo

Peeple

Como ya sabréis, en WWWhatsnew os hablamos con frecuencia acerca de distintos proyectos que buscan financiación en plataformas de crowdfunding como Kickstarter. En esta ocasión, nos ha llamado la atención Peeple, un dispositivo con el que sus creadores pretenden ofrecer un extra de seguridad a nuestros hogares haciendo de la mirilla de la puerta principal de cada hogar un elemento más inteligente.

Tal y como podéis ver en la imagen que ilustra este artículo, a simple vista Peeple es una colorida carcasa con forma circular. A pesar de ello, en su interior cuenta con elementos como una cámara, una pequeña batería, un acelerómetro y conectividad Wi-Fi. Gracias a ello, cada vez que alguien llame a tu puerta Peeple grabará un vídeo que recibirás en tu smartphone junto a una notificación. De esta forma, podrás comprobar quién se encuentra al otro lado de la puerta independientemente de dónde te encuentres. Para ello, únicamente será necesario instalar el dispositivo en el interior del hogar, justo encima de la mirilla de la puerta principal. Además, en caso de querer utilizar la mirilla de forma tradicional, simplemente hay que desenroscar el producto. Pero si hay algo que nos ha llamado especialmente la atención acerca de este dispositivo es que no solo es capaz de alertarnos cuando alguien llama, sino que también lo hará si se abre la puerta desde dentro. De esta forma, Peeple puede convertirse en un dispositivo realmente interesante para todos aquellos con niños pequeños, que pueden abrir la puerta en un descuido.

Por el momento, a falta de 42 días para que finalice la campaña, Peeple ha conseguido recaudar cerca de 35.000 dólares de los 50.000 que solicitan los responsables del proyecto. El dispositivo se comercializará por 149 dólares.

A continuación, os dejamos con el vídeo de presentación de la campaña:

Continúa leyendo «Peeple, un dispositivo con el que convertir la mirilla de tu puerta en un elemento más inteligente»

Google bloqueará extensiones que no estén en la Chrome Store también en Mac

Publicado el 13 mayo, 2015

por Juan Diego Polo

El bloqueo afecta a los usuarios de Windows desde hace meses, y afectará a los de mac a partir de julio.

Así lo informan en el blog de Chrome, donde indican que ha sido necesario tomar esta actitud para evitar la distribución de plugins maliciosos a lo largo y ancho de internet.

La instalación de extensiones fuera de chrome store se ha permitido para ofrecer la posibilidad de probar extensiones durante su etapa de desarrollo, pero esta puerta abierta se ha aprovechado en varias ocasiones para ofrecer virus y malware de todo tipo, motivo por el cual se cerrará esta opción. Todos los usuarios de Windows tienen ya bloqueada la posibilidad de instalar plugins que no estén listados en la chrome Store, y dentro de dos meses llegará el turno a los usuarios de Mac (no se han pronunciado sobre los usuarios de Linux).

Los programadores podrán seguir probando extensiones durante el desarrollo, pero tendrán que hacerlo bajo estas políticas y usando la instalación en su propio site, tal y como vemos en developer.chrome.com.

Un mal necesario para poder garantizar la seguridad de los usuarios, evitando así que se instalen archivos de origen desconocido.

Novedades en las notificaciones de WordPress.com y protección contra ataques de día cero

Publicado el 27 abril, 2015

por Juan David Quiñónez

Dos llamativas novedades son señaladas en el blog oficial de WordPress.com: Un mejorado sistema de filtros junto a una nueva interfaz para gestionar las notificaciones generadas en el sistema, y la solución de un grave bug que en las últimas horas ha ocupado la atención de varios medios especializados. Continúa leyendo «Novedades en las notificaciones de WordPress.com y protección contra ataques de día cero»

Yahoo trabaja en un sistema que permitiría usar la pantalla táctil de un smartphone para identificar a su dueño

Publicado el 25 abril, 2015

por Sergio Asenjo

Captura

Dada la gran cantidad de información personal que almacenamos en nuestros smartphones, es importante contar con medidas de seguridad para evitar accesos no autorizados. Algunas de las medidas más comunes son el característico código de bloqueo o los patrones, seguidos por medidas de seguridad más recientes como el escáner de huellas digitales. Hoy os hablamos de Bodyprint, un proyecto que está siendo llevado a cabo por un grupo de investigadores pertenecientes a Yahoo Labs que permitiría reconocer al dueño del terminal haciendo uso de la pantalla táctil del mismo.

El objetivo que persiguen en Yahoo es ofrecer una forma precisa de reconocer al dueño de un teléfono sin necesidad de encarecer el dispositivo con un sensor de huellas digitales. Para ello, decidieron aprovechar la pantalla táctil, un elemento que todos los smartphones tienen en común. De esta forma, tal y como nos muestran en el vídeo que podéis ver a continuación, podrían conseguir que únicamente el dueño del smartphone pueda responder una llamada entrante, ya que al colocar el teléfono en la oreja, la pantalla táctil sería capaz de reconocer la forma de la misma e identificar a la persona que sujete el terminal. Bodyprint está siendo desarrollado para ser capaz de identificar distintas partes del cuerpo, de modo que sea posible utilizar el más cómodo dependiendo de cada situación. De esta forma será posible utilizar la oreja, la palma de la mano o los nudillos como medidas de seguridad. A pesar de ello, no es posible utilizar la pantalla táctil para escánear huellas dactilares dada la escasa resolución de entrada de las pantallas actuales, que no están preparadas para captar los detalles de algo tan preciso como una huella dactilar.

Por supuesto, se trata de un sistema que se encuentra todavía en fase de desarrollo, por lo que en ocasiones en las que distintas personas tengan una fisionomía similar podría dar lugar a errores. Aun así, afirman que el sistema autoriza únicamente a la persona correcta el 99,52% de las veces. A pesar de ello, en algunas ocasiones es incapaz de reconocer al dueño del smartphone.

A continuación os dejamos con un vídeo en el que se muestra el funcionamiento de esta tecnología:

Continúa leyendo «Yahoo trabaja en un sistema que permitiría usar la pantalla táctil de un smartphone para identificar a su dueño»