Etiqueta: Seguridad

Chrome OS ya permite desbloquear las laptops acercando nuestro móvil Android

Publicado el 22 octubre, 2014

easy unlock desbloquear chrome os con android

En el evento para desarrolladores Google I/O 2014 se mencionó, entre las muchas características que traería Android Lollipop -hasta ese momento solo Android L-, la posibilidad de desbloquear dispositivos con solo acercarlos unos a otros. Así pues, sería posible desbloquear el móvil a través de un reloj inteligente con Android Wear, o bien, valerse del móvil para que al acercarlo a un Chromebook u otra laptop con Chrome OS, estos últimos consiguieran ser desbloqueados de inmediato.

Pues bien, el nombre de la funcionalidad, Easy Unlock, se confirmó hace pocos días con el lanzamiento de Google Play Services 6.1, pero solo hasta ahora se han compartido datos y capturas de como luce. Dan Campbell ha sido uno de los primeros en probar la novedad y publicar en Google+ su experiencia, en particular, bastante fiel a los datos filtrados previamente por varios medios especializados: El proceso es tan sencillo como desbloquear el móvil Android y ver de inmediato una ventana de notificación, tanto en el móvil como en el Chromebook/laptop, sobre la inminente conexión por proximidad y el posible desbloqueo de los portátiles.

¿Y cómo funciona? Varios requisitos se han cumplido para que pudiera funcionar el experimento, aunque vale destacar que lo más probable es que los límites tiendan a mermar con el tiempo: Un móvil con la versión de prueba de Android 5.0 Lollipop, un Chromebook conectado al canal Dev de actualizaciones, y finalmente Bluetooth 4.0/Low Energy (BLE). En fin, la magia estaría en este último y en las conexiones especiales permitidas entre dispositivos con el software de Chrome. Respecto a la parte visual, una ventana saltaría en el Chromebook, siempre que esté desbloqueado el móvil -de lo contrario no funcionaría pues se facilitaría el acceso a cualquier intruso- para que con un clic se active la sesión. [Fuente: OMGChrome]

Google presenta un nuevo sistema de seguridad para evitar invasión de cuentas

Publicado el 21 octubre, 2014

por Juan Diego Polo

Desde Google presentan ahora un nuevo sistema que mejorará la seguridad a la hora de acceder a nuestra cuenta. Se trata de un nivel de protección aún más fuerte: La clave de seguridad, clave que funciona con un dispositivo USB que ayudará a verificar que el sitio de inicio de sesión es realmente de Google, no un fake que quiere robarnos los datos.

En este caso no hay que escribir códigos, solo incluir la clave de seguridad en el puerto USB y pulsarla cuando Chrome lo pida.

Sobre el protocolo usado, comentan:

La clave de seguridad y Chrome incorporan el protocolo abierto Universal 2nd Factor (U2F) de la Alianza FIDO, por lo que otros sitios web con sistemas de inicio de sesión pueden hacer que U2F funcione en Chrome. Tenemos la esperanza de que otros navegadores añadan también el soporte FIDO U2F.

Para poder usarlo hay que comprar un dispositivo USB compatible directamente a los proveedores U2F participantes. Podéis obtener más información en este enlace.

Dropbox borra por error algunos archivos de ciertos usuarios

Publicado el 13 octubre, 2014

por Juan Diego Polo

Malas noticias para Dropbox han empezado a divulgarse por la web.

Comentan en news.ycombinator.com que varios usuarios han reclamado a la compañía al percibir que algunos de sus archivos han desaparecido, un error posteriormente identificado y solucionado, existente en la función de sincronización selectiva en algunos clientes antiguos de Dropbox.

Al cerrar o reiniciar estas versiones, con la sincronización selectiva activada, los ficheros desaparecían de la nube, y en Dropbox han estado trabajando para intentar recuperarlos, ya que es fácil para ellos identificar dónde se ha producido el problema

Según el email que han enviado a los usuarios afectados, divulgado en engadget, hay algunos casos en los que no se ha podido recuperar la información.

Para evitar que vuelva a suceder han realizado tres acciones:

– Han parcheado su cliente de escritorio para eliminar el problema inmediato.
– Se han asegurado que todos los usuarios ejecutan una versión actualizada del cliente de Dropbox.
– Han retirado todas las versiones afectadas del cliente de Dropbox para que nadie pueda utilizarlo.

A los usuarios afectados se les ha regalado 1 año gratuito de Dropbox Pro, aunque estoy seguro que perder archivos guardados en un supuesto paraíso de la seguridad y la fiabilidad no es algo que se pague con un año de un plan Pro.

Cómo hacer pruebas de seguridad en tu sitio web de forma gratuita

Publicado el 10 octubre, 2014

por Juan Diego Polo

Si tenemos un sitio web y queremos analizar los posibles agujeros de seguridad del mismo, lo mejor es contratar a un experto en la materia que pueda hacer un estudio completo que ayude a mejorar las defensas ante hackers; pero si queremos hacer unas primeras pruebas sin tener que rascarse el bolsillo, hay algunas opciones que podemos probar antes:

– webcheck.me: Realiza un análisis superficial para detectar malware, virus, agujeros XSS y problemas de SQL injections. No requiere demostrar que el sitio web escaneado es nuestro (algo común en este tipo de herramientas), pero tampoco realiza un examen muy serio. Si el informe de webcheck sale negativo, es porque realmente hay un gran problema en la programación del sitio.

– acunetix.com: Obtiene un informe extremadamente completo, pero solo es gratis durante 14 días. Es necesario, incluso en esos 14 días, demostrar que somos los propietarios del sitio web que queremos analizar.

– websecurify.com: Una suite de herramientas que podemos usar para realizar pruebas de todo tipo. Hay opciones de pruebas gratuitas, pero es necesario informar la tarjeta de crédito en todas ellas para que se realice el pago una vez finalizada la prueba (en caso de querer continuar).

– detectify.com: Una de mis opciones preferidas, con una opción gratuita para proyectos personales y ONGs. Tiene un panel de control bastante completo que muestra todos los problemas detectados, realizando tests de varios tipos (más de 140 pruebas, incluyendo XSS). Os hablamos de esta solución hace pocas semanas, con capturas de pantalla de su panel.

– securitycompass.com: Tiene varias extensiones para Firefox que podemos usar para realizar pruebas rápidas, sin necesidad de registro en los formularios y sitios web que tenemos abiertos. Es una de las soluciones más prácticas, ya que no necesita crear cuenta ni verificar que el sitio es de nuestra propiedad.

Si conocéis alguna más, podéis incluirla en los comentarios.

La app de OneDrive para iOS ahora soporta Touch ID y PIN de bloqueo

Publicado el 8 octubre, 2014

por Juan David Quiñónez

La aplicación de OneDrive, el servicio de almacenamiento en la nube de Microsoft, ha recibido una actualización en su versión para iOS. Sus novedades están enfocadas a los iPhone y iPad con iOS 8, particularmente, el iPhone 6 y el iPhone 6 Plus que cuentan con pantallas de gran tamaño además de que mantienen el Touch ID que será de utilidad para las nuevas opciones de seguridad.

Para el tema de seguridad es clave que el guardar nuestros archivos en un servicio online no evita que baste conseguir acceso al dispositivo físico que los contiene, en este caso smartphones y tablets, para visualizarlos, reenviarlos, eliminarlos, etc. Pues bien, OneDrive ahora soporta PIN codes y Touch ID: El primer recurso permitirá habilitar una pequeña contraseña que establecerá una barrera adicional en la pantalla principal de OneDrive para que no sea posible visualizarlos y mucho menos manipularlos libremente; La opción restante posibilitará el autenticarse con la huella dactilar consiguiendo así un nivel de protección superior.

La interfaz también se ha optimizado para las nuevas pantallas aprovechando mucho mejor el espacio disponible para mostrar más carpetas y archivos en simultáneo, y el editor de documentos de Office en un formato más extenso. Igualmente se ha adicionado una característica esencial para la gestión eficiente de los archivos y es el poder ordenarlos según reglas básicas como nombre, fecha y tamaño.

En fin, sigue Microsoft enriqueciendo sus apps poniendo en práctica las sugerencias que los usuarios suelen dejar en UserVoice, un portal especializado donde cualquiera puede publicar sus comentarios y solicitudes de características. Por cierto, aún se mantiene la promoción de 15 Gb de almacenamiento gratuito extra en OneDrive, disponible también para usuarios de Android, Windows y Windows Phone, con solo activar la subida automática de imágenes al servicio para su backup.

Más información: Blog oficial de OneDrive – OneDrive en la AppStore

Discos en estado sólido con función de autodestrucción mediante el envío de un mensaje de texto

Publicado el 1 octubre, 2014

por Sergio Asenjo

Los Autothysis128s y Autothysis128t son dos discos de estado sólido (SSD) de la compañía británica Secure Drives. A pesar de que puedan parecer unos SSD normales y corrientes, cuentan con una peculiaridad de lo más interesante: pueden autodestruirse a distancia si así lo solicitamos.

Para ello, únicamente tendríamos que enviar un SMS a un número de teléfono especial que iniciará la autodestrucción del disco, como si de una película de ciencia ficción se tratase. Pero lo que más llama la atención es que esto no significa que se inicie una especie de borrado de datos o algo por el estilo, sino que literalmente, el SSD se destruirá por completo, quedando físicamente inutilizado, ya que los chips de memoria flash de su interior se romperán. Un mensaje de texto no es la única forma de activar este sistema de seguridad, sino que si no contamos con la posibilidad de enviarlo (o todavía no nos hemos dado cuenta de que nos han robado el disco) el SSD también puede autodestruirse. Por ejemplo, si detecta que ha sido extraido del PC, el PIN de seguridad ha sido introducido de forma errónea varias veces o incluso la batería es baja (señal de que podrían haberlo desconectado sin poder ponerlo de nuevo en funcionamiento), el disco se autodestruiría.

Sin duda, se trata del disco en estado sólido ideal para todos aquellos que cuya seguridad de sus datos sea la prioridad más importante. Por supuesto, no se trata de una opción barata, ya que la unidad más barata tiene un precio de cerca de 1250 euros.

5 plugins para activar la verificación de dos pasos en WordPress

Publicado el 29 septiembre, 2014

por Juan David Quiñónez

Un método de seguridad que se ha puesto de moda en los últimos tiempos tanto por su eficiencia como por su facilidad de uso, además de su implementación en sitios populares (Gmail.com, Dropbox, Amazon, iCloud, Facebook, Twitter, etc.), ha sido el de la verificación o autenticación en dos pasos. La idea es tan simple como inteligente: Al tratar de iniciar sesión en alguno de tales sitios una pantalla adicional pedirá un código que es enviado cada vez a nuestros móviles (vía SMS o con completas apps), así se completa el proceso de login con ayuda de algo que nos pertenece (el móvil) y se complica en buena medida el trabajo de posibles atacantes.

Pues bien, es posible agregar este nivel de seguridad a nuestros sitios web creados con WordPress.org a través de diferentes plugins especializados, por ejemplo, los siguientes 5 que han sido recomendados previamente por el portal ElegantThemes. Todos son gratuitos aunque en varios se puede pagar por acceder a funcionalidades extra, eso sí, no son requeridas para un uso básico.

1. Duo Two-Factor Authentication

Lo ofrece la empresa de seguridad Duo y se caracteriza por su sencilla configuración: Crea una cuenta gratuita en Duo, consigue la API Key, instala el plugin, ingresa la API key, marca en WordPress a qué tipo de usuarios se les pedirá la verificación en dos pasos (administradores, autores, comentaristas, etc.) y listo, la próxima vez que se logueen, se les pedirá alguna acción de verificación (popup, SMS, password) a través de la app de Duo para móviles.

2. Clef

Clef
Otra brillante herramienta de seguridad que se vale de una app especial para móviles: En el próximo inicio de sesión, luego de instalar el plugin Cleff, pulsa desde la pantalla de login de WordPress sobre el nuevo botón «Log in with your phone» que aparece en su parte inferior. Enseguida se mostrará una onda animada a la que tendrás que apuntar con la cámara de tu móvil, desde la app de Clef, para que se establezca la conexión entre el dispositivo móvil y el del escritorio.

3. Two Factor Auth

Two Factor Auth permite realizar el login con un código numérico adicional creado aleatoriamente por el algoritmo TOTP/HOTP que se encarga de generar «One Time Passwords», claves que caducan cada cierto tiempo para dar vida a nuevas claves. Éstas pueden ser enviadas automáticamente, tras su generación, tanto vía email como a través de aplicaciones de terceros ofrecidas para dispositivos móviles por herramientas de seguridad como Duo Mobile y Google Authenticator.

4. Authy Two Factor Authentication

Authy se vale de simples mensajes de texto enviados al móvil luego de conseguir una API Key en su sitio web y haber sido configurado su plugin. Una interesante característica es que se le puede permitir a cada usuario de la cuenta en WordPress decidir si optará por este modo de inicio de sesión, aunque también es posible forzar su requerimiento si se cuentan con permisos de administrador.

5. Google Authenticator

Finalmente un método también muy cómodo para agregar una capa de seguridad extra a un sitio WordPress mediante las herramientas especializadas ofrecidas por el proyecto Google Authenticator quien provee múltiples plugins y aplicaciones móviles (iOS/Android/BlackBerry), las mismas que sirven para loguearse de forma segura en diferentes servicios populares (Dropbox, Amazon, Gmail, LastPass, etc.). Se basa en códigos aleatorios generados por la app en el smartphone que deben ser ingresados en la pantalla de login de WordPress la cual es modificada automáticamente por el plugin para facilitar la inclusión de los códigos.

Crédito de la imagen: Centro de ayuda de Google Apps

Bajar libros «piratas» a nuestro kindle puede poner en peligro nuestra cuenta de Amazon

Publicado el 16 septiembre, 2014

por Juan Diego Polo

Si acostumbráis a bajar libros de Internet para copiarlos en el kindle, prestad atención: puede ser peligroso.

Así puede leerse en the-digital-reader.com, donde comentan el resultado de un estudio realizado en el que muestran un agujero de seguridad de amazon que puede ser fácilmente utilizado.

Un hacker podría ganar acceso a nuestra cuenta de amazon permitiendo que la víctima ponga un libro en su kindle previamente alterado. Solo tendría que incluir un script en su título, de forma que cuando el usuario acceda a la sección web de «gestión de kindle», el script se ejecutará y podrá acceder a las cookies de amazon y dejar datos privados en evidencia, enviándolos al atacante.

En la captura se muestra el resultado de la ejecución de un script inofensivo incluido en un libro del Kindle. Dicho script se ejecuta al acceder a la página web de amazon, a la sección de gestión de kindle.

Es decir, que si usuario con malas intenciones baja un libro, lo altera poniendo un script malicioso en su título, lo sube a su página y deja que lo bajen otras personas, puede ganar acceso a las cuentas de mucha gente, algo que podría solucionarse si desde Amazon bloquean la posibilidad de ejecutar scripts en los títulos de los libros dentro de su web.

En el informe original se muestra que este problema también lo tiene Calibre, el famoso gestor de libros electrónicos.

Herramienta de Google para eliminar malware de nuestro ordenador

Publicado el 12 septiembre, 2014

por Juan Diego Polo

Desde los foros de Google indican una herramienta que, en fase beta y solo para Windows, puede ayudarnos a eliminar programas sospechosos que afectan a nuestra navegación diaria usando Chrome.

Se trata de Software Removal Tool (Herramienta de eliminación de software), disponible en google.com/chrome/srt de forma gratuita para que, al ejecutarse, se busquen programas conocidos por causar problemas en Chrome y se solicite permiso para eliminarlos.

Cada vez que se ejecute se mostrará un mensaje con datos sobre los programas encontrados, con la opción de eliminarlos en caso de que así lo deseemos. Durante el proceso es posible que se cierren algunos programas abiertos, por lo que es importante tener todos los trabajos guardados antes de comenzar.

Al terminar se abrirá Chrome de forma automática y se preguntará si queremos restablecer la configuración del navegador.

Sobre el tipo de programas que detecta indica que son softwares conocidos por causar problemas en Chrome, no son los típicos que detectan otros antivirus, aunque dejan bastante claro que no busca todos los tipos de virus informáticos.

Podéis obtener más información en esta página de soporte.

Line, la app de mensajería, nos avisará cuando alguien intente acceder a nuestra cuenta

Publicado el 19 agosto, 2014

por Sergio Asenjo

Line, la popular aplicación de mensajería instantánea para smartphones y ordenadores, ha puesto en marcha una serie de medidas con el objetivo de reforzar la seguridad del servicio, tal y como la compañía ha anunciado a través de un comunicado publicado en su blog oficial.

Las razones detrás de esta medida parecen estar relacionadas con una importante cantidad de accesos no identificados a las cuentas de usuarios de Japón, a lo que la compañía ha aprovechado para dejar claro que nadie ha tenido acceso a sus sistemas, por lo que recomiendan a sus usuarios que utilicen contraseñas más seguras. En cuanto a las medidas de seguridad tomadas, de ahora en adelante, recibiremos una notificación a través de un mensaje a nuestro teléfono móvil informándonos cada vez que se inicie sesión con nuestra cuenta en un ordenador distinto al habitual. Además, no solo nos avisarán si alguien accede a nuestra cuenta, sino que incluso aunque solo lo hayan intentado, desde Line nos informarán de ello con el objetivo de que aumentemos la seguridad de nuestra contraseña. Otra medida que resulta de lo más útil es la posibilidad de que, una vez una tercera persona haya obtenido acceso a nuestra cuenta, podamos cerrar su sesión de forma remota para evitar que acceda a información privada. Por supuesto, a continuación tendríamos que cambiar la contraseña de forma inmediata.

No cabe duda de que últimamente en Line están trabajando seriamente en la mejora de la seguridad de su sistema, y es que la seguridad es uno de los pilares vitales a la hora de desarrollar una aplicación de mensajería instantánea.