Etiqueta: Seguridad

Los viajeros de Uber de la India ya pueden utilizar un botón SOS con el que ponerse en contacto con la policía

Publicado el 11 febrero, 2015

A principios de mes os comentábamos que en Uber habían decidido comenzar a comprobar los antecedentes penales de todos los conductores de la plataforma en la India, una decisión que tiene por objetivo acabar con los problemas de seguridad de Uber en la India, donde uno de los conductores fue acusado de violar a una pasajera.

Además de asegurarse de que los conductores no tengan antecedentes penales, Uber ha puesto en marcha otras dos medidas de seguridad con las que espera reforzar la confianza de los usuarios del servicio. La primero de estas medidas es un nuevo botón de emergencias situado dentro de la propia aplicación de Uber. De esta forma, en caso de emergencia el viajero podría pulsar el botón SOS para ponerse en contacto de forma inmediata con la policía. La segunda medida de seguridad -llamada «Send Status» (enviar estado)- tendrá por objetivo compartir la ubicación con hasta cinco familiares o amigos. Gracias a ello, podrán saber en todo momento donde se encuentra el viajero. Además, también se proporcionarán detalles adicionales como la información sobre el conductor (incluyendo su foto) y el modelo del vehículo utilizado.

Estas nuevas medidas de seguridad ya están disponibles en la versión de Uber para Android, y estará disponible próximamente para los usuarios de iOS.

Link: Uber.

Google nos dice cómo ganar dos gigas extra de espacio en Google Drive

Publicado el 10 febrero, 2015

por Juan Diego Polo

Programen una revisión de seguridad en el Día del Internet Seguro

Así se titula el artículo que publican en el blog de Google, donde nos animan a realizar una revisión de nuestra cuenta de Google para verificar que todo está como debería estar: números de teléfono actualizados, logs de acceso sin nada «raro», preguntas de seguridad correctas, permisos concedidos a las aplicaciones que realmente usamos…

Solo tenemos que pulsar en este enlace y realizar el check de seguridad antes del 17 de febrero para ganar así 2 gigas extra de espacio en nuestra cuenta de Google Drive (no se puede realizar con Google Apps).

La iniciativa la lanzan hoy, Día del Internet Seguro (saferinternetday.org), siempre con el objetivo de disminuir el número de invasiones en nuestra cuenta, algo que puede solucionarse con una simple revisión de pocos minutos.

Podéis empezar la revisión en este enlace: security.google.com/settings/security/secureaccount, el bonus de espacio se entregará a partir del 28 de febrero entre todos los que completen el proceso.

Google presenta otro programa de recompensas para quien encuentre problemas de seguridad

Publicado el 2 febrero, 2015

por Juan Diego Polo

Vulnerability Research Grants es el nombre del programa que Google ha presentado para complementar su conocido Vulnerability Reward Program, teniendo en este caso el objetivo de detectar problemas que no estén presentes, y sí posibles errores que podrían transformarse en problemas en un futuro.

En su página de presentación comentan que esperan trabajos de investigadores de vulnerabilidades frecuentes, así como de expertos invitados, que ayuden a generar recomendaciones a tiempo, ofreciendo recompensas que dependerán del nivel del problema identificado.

Pretenden así aumentar la seguridad de productos lanzados recientemente, de «servicios altamente sensibles» (como la búsqueda de Google, Gmail y la Chrome Web Store) y vulnerabilidades recientemente solucionadas, con recompensas que pueden llegar a más de 3.000 dólares.

En su FAQ comentan que es posible incluso ganar dinero sin haber detectado nada, ya que la encuesta que habrá que responder al final del proceso puede ser suficiente como para que Google entienda mejor las variables que afectan a la seguridad de sus servicios, sean críticos o no.

En su anterior programa ya pagaron 4 millones de dólares a los colaboradores que ayudaron a encontrar problemas, ahora quieren llegar más allá, trabajando antes de que el problema ocurra.

Kaspersky QR Scanner, detector de archivos maliciosos e intentos de phishing en códigos QR

Publicado el 31 enero, 2015

por Juan David Quiñónez

Los códigos QR permiten ocultar cualquier enlace, desde una tarjeta de contacto o una página promocional hasta el link de un sitio en el que podrían robarte tus datos personales. Ese es el motivo por el que se ha creado Kaspersky QR Scanner, la nueva aplicación móvil de la firma de seguridad Kaspersky Lab que busca protegernos al tratar con este tipo de códigos.

Kaspersky QR Scanner es una app compatible con iOS y Android que buscará reemplazar el lector de códigos QR del que nos valgamos en nuestro móvil para sustituirlo por una segura opción que bloqueará los enlaces, disfrazados de QR, que llevan a ficheros maliciosos y hasta intentan suplantar tu identidad en línea; Tras bastidores, se valdrá de la tecnología de detección y la base de datos de Kaspersky.

Y su funcionamiento, de nuevo, con ánimo de sustituir nuestro actual lector, no agrega complejidades al sencillo proceso de lectura: Abre la app, apunta la cámara al código QR y espera a que el software detecte y presente la alerta de seguridad respectiva; Si el sitio referenciado no presenta anomalías, se abrirá el enlace en el navegador incorporado de QR Scanner o en el que utilicemos frecuentemente en el móvil. En caso contrario, desplegará un mensaje explicando lo que sucede -aunque dará también la opción de abrirlo por si se trata de un falso positivo-.

Y eso es todo. Entre otros detalles, dentro de su descripción en las tiendas de aplicaciones, se comenta que es capaz de leer códigos QR que conectan a redes WiFi (como los que genera este servicio), con la particularidad de que lo hace de forma segura. Igualmente, se menciona que puede guardar datos de contacto desde una tarjeta de negocios (más básico que Evernote Scannable).

Enlaces: Kaspersky QR Scanner para Android – Para iOS | Vía: gHacks

Marriott finalmente desiste de tratar de prohibir las señales de WiFi personales en sus hoteles

Publicado el 30 enero, 2015

por Juan David Quiñónez

Y finalmente Marriott Inc. ha desistido de intentar bloquear las señales WiFi personales dentro de sus hoteles de lujo, intento promocionado tras la bandera de la seguridad que muchos, incluyendo a Microsoft y Google, han considerado como una simple violación a los derechos de comunicaciones en un simple proyecto por seguir cobrando elevadas sumas por el uso obligatorio del WiFi ofrecido de forma oficial en sus instalaciones; La FCC ha sido responsable de tal cambio de parecer.

Para los que no lo sabían, Marriott pasó hasta una petición formal a la FCC (Comisión Federal de Comunicaciones de USA) para que les fuese permitido “monitorear y mitigar amenazas” contra los datos de los huéspedes de sus hoteles, protección que llevaba implícito el poder interferir las señales personales de sus clientes. Sin embargo, la FCC ha logrado comunicar esta semana su posición ante tal solicitud llegando a mencionar que se trató de “una mala idea” que iba incluso en contra de los principios básicos de la ley de comunicaciones.

Pensamos que estábamos haciendo lo correcto solicitando orientación a la FCC, pero la FCC ha manifestado su oposición.

Bruce Hoffmeister, portavoz de Marriott, afirmó lo anterior en un intento por explicar lo sucedido. La compañía, como terminan de destacar en The Verge, ya ha dado aviso de que no bloqueará señales de WiFi en el futuro aunque continuará trabajando en nuevas formas de evitar las amenazas reales contra sus redes y huéspedes, eso sí, valiéndose de caminos que no “involucren el bloquear las señales de los huéspedes y sus dispositivos WiFi”.

Claro, vale mencionar también lo bueno y es que hace poco Marriott empezó con un plan piloto el cual prueba con ofrecer acceso a cuentas de Netflix, Hulu y Pandora desde los Smart TVs dentro las habitaciones de sus hoteles sin cargos extra.

Apple lanza nueva actualización para OS X e iOS, resolviendo los problemas de espacio

Publicado el 27 enero, 2015

por Fco. José Hidalgo

Es lógico que cuando se lanza una nueva versión de cualquier sistema operativo, dicha versión cuente con una serie de errores y problemas que se irán subsanando en futuras actualizaciones.

En este sentido, uno de los problemas que ha presentado iOS 8 es la imposibilidad de ser actualizado en muchos dispositivos debido a la falta de espacio en los mismos para poder realizar la descarga. Este y otros inconvenientes han sido corregidos en la nueva actualización que acaba de lanzar Apple a los usuarios de dispositivos móviles de su compañía, alcanzando la versión 8.1.3.

Además del menor tamaño del archivo de actualización, iOS 8.1.3 corrige el problema que impedía ver los resultados de las aplicaciones en las búsquedas a través de Spotlight, así como el problema que impedía la introducción de la contraseña ID de Apple para su uso con Facetime, entre otros errores encontrados en versiones previas, incluyendo aspectos relativos a la seguridad. Como siempre, se recomienda a los usuarios la actualización de aquellas versiones que tengan instaladas en sus dispositivos móviles con el objetivo de poder disfrutar de las mejoras introducidas en la nueva versión que acaba de ser lanzada, lo que podría derivar además en poner fin a las quejas que algunos usuarios han ido mostrando por diferentes vías.

También es recomendable llevar a cabo la actualización a la última versión lanzada hoy de OS X Yosemite para aquellos que cuenten con un equipo de escritorio de la compañía, alcanzando la nueva versión la númeración 10.10.2, la cual cuenta con mejoras relativas a la estabilidad y seguridad, entre otros aspectos, incluyendo aquellos referentes a la desconexiones a redes WiFi, carga lentas de sitios web, etc.

Grupo ISIS invade youtube y Twitter de CENTCOM y divulga ficheros confidenciales [Actualizado]

Publicado el 12 enero, 2015

por Juan Diego Polo

Actualización: Analizan en The Washington post la información filtrada, llegando a la conclusión de que la mayoría de los datos (o todos) se han obtenido de Internet, por lo que no existe información clasificada como de alta seguridad dentro de los archivos que se han divulgado en pastebin.

— Texto original:

Las cuentas de Twitter y de Youtube del @centcom (U.S. Central Command) han sido invadidas por un grupo que dice estar relacionado con ISIS, dejando enlaces a un texto en pastebin donde se divulgan archivos supuestamente confidenciales extraídos de los teléfonos móviles de algunos profesionales.

Estos archivos, guardados en 4shared (donde ya los han retirado) y en dfiles.eu, tienen un tamaño de 40 y 15 megas respectivamente, archivos comprimidos que, según puede leerse en el mensaje, llegan desde dispositivos móviles, por lo que ningún ordenador parece haber sido invadido:

Tanto la cuenta de Youtube como la cuenta de Twitter han sido ya suspendidas, aunque el archivo en pastebin aún está disponible. No se sabe el nivel de seguridad de la información publicada, pero todo parece apuntar a que se trata de fotografías y material personal de algunos profesionales del Mando Central (seguramente aprovechando algún agujero de seguridad en iTunes o android).

Aún es pronto para saber si realmente se trata de un grupo asociado a ISIS o de crackers que aprovechan el momento para poner el objetivo en el mundo musulmán. Estaremos atentos a las novedades que vayan apareciendo.

Más información: newsweek.com

Obama presentaría una propuesta de ley que obligaría a las empresas a informar en 30 días en caso de ataque informático

Publicado el 12 enero, 2015

por Sergio Asenjo

Tras los recientes ataques a Sony, parece ser que en la Casa Blanca están decididos a hacer todo lo posible para que este tipo de situaciones afecten lo menos posible a los usuarios de los sitios web o empresas atacadas. El motivo es que, tal y como se hacen eco desde el New York Times, el presidente de los Estados Unidos estaría preparando un proyecto de ley con el que asegurarse de que las empresas americanas comunican con prontitud este tipo de ataques.

Tal y como ha indicado la fuente (que ha decidido permanecer en el anonimato) Obama daría a conocer todos los detalles acerca de este proyecto de ley durante el día de hoy en su discurso para la Comisión Federal del Comercio. El objetivo de esta medida es preservar la seguridad y privacidad de los datos de los usuarios que hayan podido estar expuestos a ataques informáticos, de modo que estos puedan cambiar sus contraseñas y asegurarse de que todo está correcto. Si finalmente se aprueba esta ley, las empresas americanas afectadas por un ataque informático en el que la seguridad de los datos bancarios de los usuarios esté en juego, tendrían la obligación de comunicarlo en un plazo de 30 días desde que se descubra la amenaza. De no hacerlo, se enfrentarían a posibles sanciones económicas.

Además, Obama podría presentar también una propuesta de ley adicional que impediría que las empresas utilicen los datos privados de los estudiantes obtenidos en las universidades y demás instituciones educativas con el objetivo de obtener un beneficio económico, medida que surgiría por el cada vez mayor uso de dispositivos electrónicos y conexiones a Internet en las aulas.

Fuente: The New York Times | Imagen: jamesomalley de Flickr.

Bitstamp vuelve a funcionar, después de perder 5 millones de dólares en bitcoins

Publicado el 9 enero, 2015

por Juan Diego Polo

19.000 bitcoins fueron robados de Bitstamp, el equivalente a 5 millones de dólares, manchando aún más la reputación de esta moneda que no llega a los 300 dólares por unidad hoy en día, después de haber llegado casi a los 1000 dólares hace un año, tal y como vemos en la curva de evolución de blockchain.info.

Suspendieron el servicio después de encontrar el agujero de seguridad que causó el robo, un problema que ya ha sido solucionado, según comentó el cofundador del proyecto, Damijan Merlak, a Reuters, vuelta que veremos durante el día de hoy.

Las 24 horas que dieron de plazo para volver a funcionar normalmente se han alargado bastante, por lo visto el problema era mayor de lo previsto, aunque no han dado explicaciones de los detalles de la «brecha». Aseguran que ningún cliente se verá afectado, y que han ampliado las normas de seguridad para evitar que algo así se repita en el futuro. Por lo visto la mayoría de los bitcoins los tienen «offline», por lo que solo se ha visto afectada una pequeña parte de todo lo que guardan.

Fueron «solo» cinco millones, mucho menos que l oque robaron el año pasado en Mt. Gox, pero el miedo que genera entre los usuarios tiene un valor mucho mayor.

Cookies capaces de rastrear a los usuarios en modo privado

Publicado el 8 enero, 2015

por Juan Diego Polo

En arstechnica.com han publicado un artículo explicando un agujero de seguridad que podría ser aprovechado para que algunas webs puedan rastrear la actividad de los usuarios incluso en modo «privado».

Muchos navegadores modernos incluyen la opción «privacy mode», modo privado, una forma de evitar que el histórico de navegación se guarde, de evitar que la publicidad sea personalizada, de evitar que las webs sepan lo que hemos visitado anteriormente… un sistema «privado» que puede burlarse con este nuevo agujero, aunque han actualizado la entrada diciendo que la última versión de Firefox ya la ha cubierto para evitar que se produzca la invasión de privacidad.

Estas «súper cookies» aparecen cuando se usa el HTTP Strict Transport Security (HSTS), protocolo que se utiliza para aumentar la seguridad enviando al usuario hacia la versión HTTPS del sitio. Durante ese cambio automático se podrían generar estas nuevas cookies que ayudarían a identificar la actividad del usuario.

De momento parece que solo Internet Explorer se salva, ya que no tiene soporte para la tecnología HSTS, aunque ya que en Firefox han trabajado para evitar el problema, seguramente las próximas versiones de los navegadores estarán libres del mismo.

Por otro lado es importante tener en cuenta que son los dueños de las webs los que deben aprovecharse de este error, ya que si no hay malas intenciones, nuestras privacidad seguirá garantizada.