Tras difundirse la noticia de que Google Wallet puede ser crackeado a través de un método que permite averiguar el PIN de seguridad, en Google comenzaron a tomar medidas para reducir las consecuencias de este problema de seguridad: hasta que se publique la solución definitiva, no será posible utilizar tarjetas prepagas dentro del servicio. Y, mientras tanto, es un buen momento para aprender sobre cómo efectuar transacciones seguras desde el móvil.

Justamente, uno de los problemas descubiertos es que se puede acceder al saldo de dichas tarjetas, sin necesidad de ingresar clave alguna. Si bien la gran mayoría de los usuarios no debería tener problemas a raíz de las protecciones de la app y la pantalla de bloqueo del equipo, desde la compañía reconocieron que muchos prefieren desactivarlas o rootear su teléfono para obtener acceso de administrador al mismo, complicando la situación.

Es por eso que, a modo de precaución, momentáneamente no se permite el uso de tarjetas prepagas, aunque si está disponible todo el resto de los métodos habituales. Curiosamente, Google siempre utilizó como frase promocional que, las distintas protecciones que implementó en su software, logran que las operaciones sean más seguras que, por ejemplo, llevar una tarjeta de crédito en la billetera.

Lo que ocurre es que los móviles requieren, incluso, más medidas para evitar que ojos ajenos vean los datos o hagan un uso fraudulento del servicio. Por ejemplo, recuerdo que PayPal me obligaba a usar el plan de datos de mi operador para efectuar las transacciones, bloqueando por completo el acceso a través de redes WiFi (ya sean abiertas o protegidas por contraseña).

Por este motivo, aún cuando Google resuelva el inconveniente, también será necesario tomar más recaudos, tan simples como utilizar la mayor cantidad de protecciones posibles, evitando así grandes dolores de cabeza. Lo positivo, si se quiere, es que el alcance del servicio todavía tiene un alcance bastante limitado en cuanto a países y equipos compatibles.

Google Wallet es la propuesta de Google para acabar con el dinero tradicional, y un sistema que compite directamente con otros servicios populares como PayPal por hacerse un hueco entre los compradores. Aún sin un alto uso de mercado, el sistema promete, pero se ha visto comprometido, ya que acaba de ser descubierto un método para crackear su PIN de seguridad.

El crack podría realizarse solamente en los dispositivos rooteados, es decir, aquellos en los que el usuario ha decidido obtener permisos de administrador usando algún método externo (Google no da por defecto este tipo de acceso con Android). Y cuando hablamos de crackeado, nos referimos a que la aplicación en cuestión rompe la contraseña mediante fuerza bruta.

Esta bien, mi teléfono no esta rooteado o modificado, puede pensar uno, pero lo cierto es que eso no soluciona el problema, porque la mayoría de terminales requieren tan sólo la ejecución de una aplicación para conseguir derechos de administrador, y de hecho dependiendo del terminal podemos hacerlo de forma instantánea desde el propio sistema. Al final Verizon iba a tener razón.

Google ya ha anunciado que está trabajando en la solución, y no es para menos porque el crack ha sido distribuido en Internet. Aún así, don’t panic. Seguramente este problema no te afecta porque son aún pocos los lugares donde se puede pagar utilizando Google Wallet, al menos desde España y Latinoamérica.

A pesar de que cada vez más y más páginas web se desarrollan en HTML5, Flash Player sigue estando presente en muchas otras de las que visitamos de forma habitual, y uno de sus principales problemas son los agujeros de seguridad. Ahora, con el fin de reducir el riesgo de que los usuarios seamos víctimas de alguno de estos fallos, Adobe se encuentra trabajando en una manera de hacer funcionar al Flash Player en Modo Protegido dentro del navegador Firefox para Windows Vista y 7, tal como lo hace actualmente en Google Chrome.

Esta característica, haría mucho más difíciles de explotar las vulnerabilidades del reproductor de contenidos multimedia. Según Peleus Uhley, Ingeniero de Software al servicio de Adobe, el funcionamiento del Modo Protegido tendría los mismos privilegios y restricciones de ejecución que Reader X.

Reader X es el complemento de Adobe que permite a los navegadores mostrar archivos PDF y que no ha sido explotado desde que fue liberado en noviembre de 2010. El éxito de esta solución, en parte, es el que ha llevado a la empresa a hacer algo similar con el Flash Player.

Sin embargo, en palabras de Brad Arkin, otro miembro del equipo de Adobe:

El objetivo no es encontrar y reparar todas las vulnerabilidades. Es hacer más costoso el desarrollo de exploits.

Se espera el lanzamiento de esta solución, para la segunda mitad del presente año.

Don’t panic!, pero… al menos media docena de las mayores compañías estadounidenses, y por tanto, varias de las mayores compañías a nivel mundial, fueron asaltadas digitalmente por hackers, y sus datos comprometidos. Ninguna avisó a los inversores. Son datos de alguos de los mayores expertos de seguridad, que aseguran que los casos de hacking, lejos de reducirse, siguen creciendo, y son cada vez más comunes y más críticos, dada la alta dependencia y centralización en Internet hoy en día.

Prácticamente ninguno de estos hechos se ven más tarde reflejados en los informes, normalmente trimestrales, que deben cumplimentar las compañías y corporaciones con el estado de los negocios de las mismas. Reuters ha querido indagar más al respecto, y surgen interesantes (a la par que preocupantes) datos que hablan de un estudio de más de 2.000 informes en los que apenas se menciona información sobre ataques informáticos, y cuando se hace, se hace de forma genérica.

Un claro ejemplo de esto es el del caso VeriSign, una de las mayores autoridades certificadoras a nivel mundial, la cual emite certificados oficiales no sólo para corporaciones sino para entidades, y de la cual acaba de descubrirse que habría sido víctima de un ataque informático hace aproximadamente dos años, estando en juego y potencialmente en manos de los hackers información valiosísima sobre compañías, sitios web, etc.

El alcance aún no se conoce, pero el impacto podría ser brutal, ya que Verisign emite la gran mayoría de certificados SSL de Internet, y a su vez es la encargada de gestionar un abundante número de dominios a través de sus servidores DNS. Hablamos de dominios .com y .net, pero también .gov, centrados en albergar sitios gubernamentales.

En cierto modo es comprensible que las empresas de seguridad traten de ocultar los ataques informáticos a sus inversores, pero… ¿es legal? Estamos hablando de un tema difícil de tratar. Por un lado, seguramente dichas compañías estén en la obligación de informar sobre cualquier problema o intrusión a sus inversores. Por otro, el caos que se podría formar al respecto, con espantada de clientes y efectos bursátiles o incluso afectando a los mercados financieros. Otro ejemplo, el de Sony.

La compañía nipona se vió obligada a admitir que habían sufrido varios ataques y que valiosísima información había sido comprometida debido a que los atacantes filtraron la misma a través de Internet. ¿Lo habrían admitido de no haberse visto en esta situación?

¿Por qué no informan las compañías a sus inversores de los problemas de seguridad? Bueno, aparte de para no alarmar, para evitar posibles pleitos o multas de la SEC (Securities and Exchange Commission), organismo estadounidense que trata de hacer cumplir las leyes federales y obligaciones de las empresas que operan en territorio norteamericano.

Se trata de un problema, sin embargo, que afecta a todas las compañías a nivel mundial, y es que cualquiera esta expuesto a un posible ataque informático provocado, tal vez, por una brecha de seguridad que podría dar muchos quebraderos de cabeza.

Con una breve nota en su sitio web, el equipo encargado del desarrollo de PHP ha dado a conocer de manera oficial la disponibilidad de la versión 5.3.10 del popular lenguaje de programación.

Esta nueva versión corrige un grave fallo de seguridad que fue descubierto y reportado por Stefan Esser. La vulnerabilidad permite a un atacante ejecutar código arbitrario de manera remota. Debido a la gravedad del agujero descubierto, se recomienda la actualización inmediata de todas las versiones anteriores de PHP.

Vale la pena recordar que PHP es uno de los lenguajes de programación más usados y que sitios tan importantes como la Wikipedia o el CMS WordPress, funcionan gracias a este.

Foto (CC): Kore Nordmann

Los certificados SSL son una de las bases en las que nos apoyamos para cifrar nuestro tráfico y realizar una navegación segura que permita intercambiar datos sensibles con un servicio web sin correr el riesgo de que los datos sean interceptados por un tercero. Para proceder al intercambio de datos, nuestro navegador verifica que el sitio web al que nos conectamos es legítimo y, con tal fin, verifica el certificado digital del sitio web para comprobar que el sitio es legítimo puesto que presenta un certificado firmado por alguna entidad reconocida. Las entidades certificadoras son un actor importante puesto que su firma garantiza que un certificado es válido y, por tanto, podemos confiar en él. Según parece, este sistema podría tambalearse porque la que fue una de las entidades certificadoras más importantes del mundo, VeriSign, habría sido víctima de un ataque en el año 2010 en el que se habría sustraído información de gran importancia.

Esta noticia es de gran impacto puesto que esta entidad certificadora ha emitido los certificados SSL de la gran mayoría de sitios web de la red y gestiona un parque enorme de dominios en sus servidores DNS pero, lo más inquietante es que VeriSign habría sido víctima de intrusiones desde el año 2010, concretamente en su filial Reston, responsable de la gestión de los dominios .com, .net y .gov. La compañía no cree que estas brechas de seguridad hayan afectado a los sistemas que controlan su parque de DNS y, por tanto, no temen que puedan existir riesgos relativos a redirecciones fraudulentas pero tampoco descartan nada.

De todas formas que una empresa que ofrece servicios de seguridad y emitía certificados SSL se vea en una situación de este tipo es bastante llamativo y, sobre todo, puede hacer tambalear a más de una empresa, máxime si tenemos en cuenta que la compañía maneja unos 50.000 millones de peticiones diarias de todo tipo de usuarios (incluyendo comunicaciones del gobierno de Estados Unidos o de algunas empresas). Además, estas brechas de seguridad fueron presentadas en una comisión gubernamental (sobre seguridad) que trataba de fijar nuevas normas y pautas de seguridad que debían seguir los distintos proveedores de servicios que operan en la red.

Por ahora, VeriSign ha declinado hacer cualquier tipo de declaración y no confirman si esta brecha de seguridad se debe al esfuerzo de alguna potencia extranjera o a un grupo organizado, son posibilidades que siguen barajando pero aún están sin confirmar.

¿Y qué pasa con los certificados digitales? Esa es una muy buena pregunta que, por desgracia, aún no tiene respuesta. VeriSign vendió el negocio de certificados digitales a Symantec en el verano de 2010 y, teniendo en cuenta las fechas, existe una duda relativa a si estos ataques llegaron antes o después de la venta. En el caso que hubiesen llegado antes, cabría la posibilidad de que muchos certificados digitales estuviesen en peligro y se comprometiesen sitios web de peso como Google o el Bank of America. Desde Symantec se han apresurado a decir que no hay indicios que vinculen la brecha de seguridad con el servicio de certificación y, por tanto, no hay peligro aparente.

Si recordamos el caso de Diginotar, el robo de certificados es capaz de poner patas arribas todo el sistema de cifrado de tráfico que usamos en la red y, por tanto, es un gran riesgo que, quizás, sea un indicador para llamarnos la atención y buscar soluciones más seguras.

El año comenzaba de manera algo revuelta para la firma de seguridad Symantec; aunque el suceso había ocurrido en el año 2006, un colectivo denominado The Lords of Dharmaraja había sido capaz de robar el código fuente de un par de productos de seguridad de la compañía: Norton Antivirus y pcAnywhere. Si bien el código sustraído era antiguo y en el caso de Norton Antivirus no suponía peligro, el código pcAnywhere (una aplicación que permite el acceso remoto) la situación era bien distinta y Symantec tuvo que hacer sonar las alarmas y avisar a los usuarios. Tras esta tempestad, y respuesta tardía, Symantec ha lanzado una actualización que cerraría la brecha de seguridad abierta.

La semana pasada, la compañía de seguridad desplegó un parche de actualización extensivo a todas las versiones del producto pcAnywhere (independientemente de su antigüedad) que estuviesen en riesgo debido a la filtración. El fallo de seguridad, bajo mi punto de vista, fue enorme porque durante 6 años este producto ha estado en riesgo pero ha estado siendo utilizado dentro del mundo corporativo.

Para compensar a los clientes, y supongo que en un intento de recuperar la confianza de los mismos, Symantec ofrece a los usuarios de pcAnywhere actualizaciones gratuitas para pasar la aplicación a la última versión (la 12.5), algo que podrán aplicar todos los clientes de la aplicación independientemente de la antigüedad de la versión que tengan instalada.

¿Y ya está? Sustraen el código fuente de dos productos de una firma de seguridad y ¿lo arreglan con un parche de seguridad y actualizaciones gratuitas? Lógicamente, una actuación rápida era necesaria sobre todo tras recomendar a los usuarios de pcAnywhere que dejasen de usar la aplicación y, lógicamente, lanzar un parche de actualización era una buena solución pero, tras atajar el problema, ¿es suficiente ofrecer una actualización gratuita?

Que a una empresa de seguridad le sustraigan el código fuente de sus productos es un hecho grave pero, aún lo es más, si los usuarios en riesgo son informados 6 años más tarde.

Quién hubiera dicho en un principio que la llegada de Google+ como nueva red social iba a causar tanto furor, teniendo en cuenta los competidores existentes hasta el momento. Esta semana nos vimos ocupados con noticias y mejoras por parte de Google, ya sea en cuanto a medidas de seguridad o la creación de nuevos servicios. En las últimas horas Bradley Horowitz, el Google VP of Product, anunció la incorporación de nuevos cambios de seguridad, dando a conocer a los usuarios que ahora la red social podrá ser utilizada por +13 años (en la mayoría de los países).

Los adolescentes y adultos jóvenes son los consumidores de internet más activos del planeta . Y sorpresa, sorpresa: también son seres humanos que disfrutan de pasar tiempo con amigos y familiares. Si ponemos estas dos cosas juntas está claro que los adolescentes se conectan cada vez más en línea. Desafortunadamente, el hecho de compartir online no está muy priorizado actualmente.

En la vida, por ejemplo, los adolescentes pueden compartir las cosas con las personas adecuadas (como compañeros de clase, padres o amigos cercanos). Con el tiempo, los matices y la riqueza de compartir selectivamente promueve autenticidad y responsabilidad. Lamentablemente, hoy en día las herramientas en línea más populares son rígidas y frágiles en comparación, por lo que los adolescentes terminan compartiendo demasiada información con todos sus llamados “amigos”.

Con Google+ la compañía del buscador ansía ayudar a los adolescentes a desarrollar relaciones significativas en línea. También quieren brindar características que favorezcan la seguridad junto con la posibilidad de auto-expresarse libremente.

La seguridad comienza con sus círculos

La diferencia entre amigos, conocidos y extraños es de especial importancia para los adolescentes. Google+ incluye círculos para ayudar a las personas a manejar sus diferentes relaciones, pero en este caso particular fomentan el reconocimiento de las consecuencias de un sharing inconveniente y excesivo.

Compartir contenido

En Google+ se puede compartir en privado con nuestros círculos, o públicamente con el mundo. Difundir algo para que todos lo vean es un gran problema, sin embargo, cuando los adolescentes traten de difundir fuera de sus círculos, los animan a pensar antes de publicar.

Recibir notificaciones

Google+ es un gran lugar para conectarse con amigos cercanos, así como descubrir otras personas con intereses comunes. Tiene como finalidad ayudar a la gente a explorar la comunidad de forma segura, sin embargo, también ofrece a los usuarios control sobre quién puede contactarlos a ellos en línea. Por defecto, sólo aquellas personas que estén dentro del círculo “teens” podrán interactuar con ellos mientras que si la opción de “bloqueo” a un usuario fuera necesaria siempre está a sólo un clic o dos de distancia.

Hangouts con amigos

Google+ Hangouts reune a los jóvenes mediante una comunicación multi-person con vídeo y sonido en vivo. Sin embargo, se reconoce que la conexión cara a cara es especial e importante, por lo que si un desconocido fuera de los círculos de un adolescente se une en el lugar de reunión, se lo retira temporalmente dándole la oportunidad de reunirse más tarde con previa autorización del adolescente.

Recientemente Google+ lanzó el Centro de Seguridad en el cuál se describen estos y otros cambios con más detalle, pero el enfoque es simple: crear características extraordinarias que los adolescentes realmente quieran, fomentar el comportamiento seguro a través de opciones por defecto adecuadas y que las herramientas para reportar el abuso sean fáciles encontrar y utilizar.

Entre la fuerte protección de usuarios y el contenido concentrado en los adolescentes, es esperanza de Google que los jóvenes se sientan como en casa (y se diviertan) en Google+.

En no mucho tiempo, Android se ha colocado como plataforma móvil líder del mercado y cada vez son más los usuarios que adquieren este tipo de terminales (y los fabricantes que deciden integrar este sistema operativo en sus productos). Sin embargo, a nivel corporativo, la penetración de Android es algo más lenta y en algunos sectores se le tilda de inseguro. Aún así, el Ejército de Estados Unidos ha comenzado el desarrollo de un terminal basado en Android (ventajas de ser un sistema abierto) y algunos terminales se han autorizado para su uso en el ámbito de la defensa. Parece que Android sigue caminando con paso firme dentro de los niveles más exigentes de Estados Unidos y la Agencia de Seguridad Nacional (NSA) ha desarrollado una versión propia de Android que, como es de esperar, mejora mucho la seguridad de esta plataforma.

SE Android (Security Enhanced Android) es una versión de Android mejorada por la NSA dentro de un proyecto de investigación y mejora de la seguridad de sistemas operativos basados en Linux. Esta versión modificada de Android ofrece al usuario políticas de control de acceso mucho más estrictas y, por tanto, ofrecen al usuario un sistema mucho más seguro que la configuración que pueda venir por defecto en cualquier terminal existente en el mercado. SE Android podría considerarse una continuación de un proyecto que se arrancó en el año 2000, SE Linux, una colección de módulos de seguridad para el kernel de Linux que permitía a los usuarios disponer de mecanismos flexibles para controlar el acceso a recursos y el acceso que podían hacer las aplicaciones.

¿Y SE Android está accesible para todo el mundo? Pues por increíble que pueda parecer, SE Android es un proyecto que podemos descargar desde el día 6 de enero (que fue cuando se lanzó la primera versión) si bien es cierto que la instalación de SE Android en un terminal no va a ser algo sencillo puesto que no se distribuye de manera precompilada.

La idea me parece muy interesante, es una buena forma de derribar los mitos alrededor de la seguridad de Android y, desde luego, es una iniciativa muy beneficiosa para la propia industria que, gracias a SE Android, podría desarrollar terminales con características relativas a la seguridad mucho más exigentes y restrictivas.

Google sigue experimentando con nuevas formas para iniciar sesión y fortalecer la seguridad de las cuentas de sus usuarios. Hace meses se activaba el sistema de inicio seguro por pasos, donde debíamos proporcionar nuestro teléfono para iniciar sesión tras recibir un mensaje, algo que teníamos opción de hacer, por supuesto, sólo si queríamos. Ahora los de Mountain View vuelven a sorprender con un sistema de autenticación segura mediante códigos QR, la cual ya ha podido verse.

El equipo de seguridad de Google no ha hecho nada público aún, pero aparentemente dejaron la puerta abierta a una nueva página a la que pudo accederse durante unas horas y que contenía un sistema de autenticación QR. Curiosamente, la misma llevaba por nombre sesame, y si tratamos de acceder ahora tan sólo veremos un mensaje en el que se nos indica que sería un nuevo sistema de autenticación móvil aún en fase experimental.

Los afortunados usuarios que se toparon con ello podían probar, a través de su teléfono Android, el escaneo de un código QR mostrado en el ordenador de escritorio que automáticamente les redirigían a la página de inicio de Google. Según Walter Chang, jefe de seguridad de este nuevo sistema, los usuarios pueden acceder directamente a sus cuentas con el sistema, y se marcará como un riesgo de seguridad el intento de acceder con un código similar o no genuino.

Con más de 800 millones de usuarios, la cantidad de información personal que maneja y almacena Facebook es enorme. De hecho, semejante volumen de información sumado a las no muchas facilidades de la red social de Mark Zuckerberg para configurar la privacidad de los perfiles, suelen dar como resultado que, en determinadas ocasiones, estemos mostrando mucha más información que la que, realmente, nos gustaría dar. En cualquier tipo de red social, el usuario es el mejor sistema de seguridad, es decir, uno debe ser consciente en qué cosas comparte y con quién y, sobre todo, invertir algo de tiempo en explorar las opciones de seguridad para ajustar al máximo la visibilidad de la información y evitar que ojos extraños accedan a contenidos que deberían permanecer en un círculo cercano.

Creo que, de todas las redes sociales que existen, Google+ es la que mejor ha representado este concepto con los círculos. Si recordamos lo que son los círculos son agrupaciones de personas a las que damos una visibilidad determinada sobre los contenidos que publicamos, algo así como los círculos de confianza que tenemos con la gente en la vida real (gente cercana que tiene acceso a mucha más información que la que nos es algo más lejana). Precisamente, esa es uno de los criterios que podemos tener en cuenta a la hora de gestionar nuestra privacidad en Facebook y, teniendo en cuenta todo esto y algunos detalles más, podemos ajustar un poco nuestra configuración y, gracias a esta inversión de tiempo, ahorrarnos algún que otro disgusto.

Mejor en SSL

Hace poco más de un año, una extensión llamada Firesheep nos dejó intranquilos al mostrarnos lo fácil que era suplantar una cuenta (y robar las credenciales) cuando algún usuario accedía a servicios como Facebook sin cifrar y en conexiones compartidas. Si bien el acceso es algo más lento, es fundamental acceder a servicios como Facebook mediante una conexión SSL y, aunque la autentificación sí que vaya bajo SSL, el resto de la experiencia en Facebook obligatoriamente no tiene que funcionar así.

Para que nuestra conexión a Facebook siempre esté cifrada tendremos que acceder a “Configuración de la Cuenta” y, una vez ahí, a “Configuración de la seguridad”, marcando la opción de navegar en Facebook de manera segura siempre.

Controla las sesiones activas

Salvo que tengamos la certeza de que nadie va a usar nuestro equipo y, por tanto, nuestro navegador, es conveniente que terminemos la sesión en sitios como Facebook antes de cerrar la ventana del navegador (sobre todo si es un equipo de acceso compartido, como el del hall de un hotel). Una buena forma de controlar qué credenciales de acceso están activas y, por tanto, podrían servir para acceder a Facebook sin necesidad de introducir usuario y contraseña es consultar las sesiones activas (“Configuración de la Cuenta” y, una vez ahí, a “Configuración de la seguridad”), un lugar en el que se nos mostrarán las sesiones iniciadas (con su ubicación y plataforma) para que, en el caso de encontrar alguna extraña, podamos proceder a su cancelación.

Controla quién puede etiquetarte

Suele ser común que la gente suba fotografías a Facebook, por ejemplo, una felicitación navideña, y comiencen a etiquetar gente. Si el que etiqueta es alguien que no es amigo mío y, sin embargo, es capaz de etiquetarnos porque tengamos amigos comunes, significa que, quizás, debamos prestar atención al alcance de nuestro perfil y debamos visitar la “Configuración de Privacidad”.

En el caso de las etiquetas, podemos evitar el autoetiquetado de Facebook, que digan dónde estamos (a través de su móvil), o que cualquiera tenga acceso a los datos de nuestra biografía y perfil personal. Todos estos apartados podemos controlarlos gracias a un menú en el que se nos ofrece el alcance que queremos dar a nuestro propio rastro.

Acota quién puede vernos, escribirnos o encontrarnos

Alemania, por ejemplo, prohibió que la información recopilada a través de las redes sociales pudiese ser utilizada en procesos de selección de personal, sin embargo, es una práctica habitual por muchas empresas. La mejor manera de garantizar nuestra privacidad es que dediquemos algo de tiempo a ajustar la visibilidad de nuestro perfil y eso es algo que podemos hacer desde “Configuración de la Privacidad” en “Cómo conectas”.

Gracias a este panel de configuración podremos controlar quién nos puede solicitar una conexión de amistad (cualquiera o gente que tenga amigos en común con nosotros), escribirnos mediante un mensaje, contribuir a nuestra biografía (indicando, por ejemplo, que asistió al colegio con nosotros), etc.

¿Amigos o conocidos?

Bajo mi punto de vista, Facebook ha deformado un poco el significado de la palabra amigo y, realmente, ha extendido demasiado su alcance. En Facebook, nuestros contactos son amigos independientemente al grado de cercanía que éstos tengan. Desde hace algún tiempo, si pasamos por nuestra lista de contactos (o por el perfil de alguno de éstos) tenemos la posibilidad de catalogar nuestras conexiones entre mejores amigos, amigos y conocidos, pudiendo así acotar algo más el alcance de las publicaciones y aplicarlo a enlaces que compartamos, actualizaciones de estado o, incluso, fotografías publicadas.

Las listas son tus amigas

Si queremos acotar mucho más el alcance de nuestras publicaciones y ajustar al máximo qué puede ver cada contacto, podemos trabajar con las listas de contactos y agrupar “amigos” con características comunes bajo el paraguas de una lista. Gracias a las listas podremos controlar también el alcance de las publicaciones con una herramienta algo más flexible que el “amigos o conocidos” y, de esa forma, cada uno de nuestros contactos verá lo que consideremos oportuno.

Piensa en lo que harías en el mundo real

Nosotros somos nuestra mejor protección en Facebook, es decir, que aplicando el sentido común y pensando en lo que haríamos en el mundo real, podríamos solventar muchas de las cuestiones relativas a la privacidad de nuestra cuenta. Si tenemos, dentro de nuestros contactos, a nuestro jefe o compañeros del trabajo, hemos de ser conscientes de ellos antes de publicar algo relativo a nuestro entorno laboral y, si vamos a hacerlo, quizás deberíamos tomar la precaución de publicarlo únicamente a nuestros allegados y excluir al grupo de contactos del trabajo.

Vale la pena echar un vistazo a las opciones de configuración de privacidad de nuestra cuenta, más que perder el tiempo, realmente, es una inversión.

Varios años después de que se popularizaran las redes sociales, son ya muchos los usuarios que han revisado las opciones de privacidad, en parte debido a la repercusión mediática que han tenido las filtraciones de datos, agujeros de seguridad y el saber que determinadas opciones por defecto en ocasiones dejaban al descubierto información personal. Ya sabemos que no tenemos que compartir ciertas fotografías con todos nuestros contactos, ¿pero os habéis parado a pensar en los metadatos de las mismas?

Uno de los propósitos que os sugerimos adoptar para este año nuevo era vigilar la configuración de privacidad en las diferentes redes sociales, una muy buena idea de cara a asegurarnos que solamente compartimos lo que queremos con quien queremos. Por eso, vamos a tratar de dar una serie de sugerencias para complementarlo, y aquí esta la primera. Vigilar los datos de fotografías que subimos a redes como Facebook o Tuenti, y por datos no me refiero a la fotografía en sí sino a los metadatos.

La mayoría de cámaras, por no decir el 100% de las cámaras digitales que han salido al mercado en la última década, incluyen datos tales como el modelo de cámara, la hora a al que fue tomada, o incluso los datos de geolocalización GPS dependiendo de la configuración de la misma. Por supuesto, siempre es bueno repasar la configuración de nuestra cámara, pero a veces es insuficiente.

Tal vez en nuestra cuenta de Facebook compartimos fotografías con nuestros amigos pero también con compañeros de trabajo o incluso desconocido, dependiendo de nuestra profesión o del uso que le demos a las redes sociales. Por eso, puede ser una muy buena idea eliminar por completo la información almacenada en nuestras fotografías. Para ello os propongo un par de herramientas:

• AutoJpegTrunk

  Se trata de un programa completamente gratuito que sirve precisamente para eliminar los datos EXIF de archivos JPEG, y además nos permite hacerlo de forma masiva. Sencillamente tenemos que arrastrar archivos y podremos eliminarlos. Más tarde, con las imágenes ya modificadas, podremos subirlas sin ningún tipo de reparo a cualquier red social o servicio de alojamiento, por supuesto teniendo en cuenta con quién queremos compartir esos momentos digitales de nuestra vida.

  La aplicación funciona en cualquier sistema Windows, así que no tendréis problemas para ejecutarla, ya que además se trata de un programa portable, ideal para llevarlo en nuestras unidades USB y tenerlo a mano.

• PureJPEG

  PureJPEG nos permite hacer exactamente lo mismo, aunque nos da a elegir que datos queremos dejar y que datos queremos eliminar. La aplicación, que hay que utilizar en Windows y bajo línea de comandos, trata datos EXIF y además se encarga de los bloques de comentarios. Determinados modelos de cámara incluyen metadatos como bloques de comentarios, fuera de la zona más común de información extendida.

  Su uso es sencillo, y en la página de descarga se nos ofrecen varios ejemplos, además de consejos, y razones para utilizarlo. Por supuesto también es una utilidad portable.

• jhead

  En Linux también nos encontramos con una utilidad de línea de comando que nos permite extraer y modificar datos EXIF de archivos JPEG. En la página encontraremos información para hacerlo, aunque haré un pequeño resumen.

  La instalación es igual que la de cualquier otro paquete Linux, mediante * sudo apt-get install jhead*. Si utilizamos man jhead podremos ver todas las opciones que esta herramienta nos da, y para eliminar toda la información basta con teclear lo siguiente: * jhead -purejpg /path/to/image.jpg*. jhead soporta wildcards o comodines, por lo que también podemos utilizar * para tratar todas las imágenes de una misma carpeta.

¿Necesitas proteger la información de tu navegador? Simple Startup Password te ayuda. Se trata de una sencilla extensión que está disponible para Google Chrome y que añade un diálogo para que sólo podamos acceder al navegador en caso de conocer una contraseña.

Y ya está. Es así de simple. De hecho, lo único que veremos de la extensión será el diálogo y su pantalla de configuración, donde básicamente debemos introducir una contraseña. Los desarrolladores nos alertan de que si se nos olvida, la única forma de volver a tomar el control sobre Chrome es volver a reinstalar el navegador.

Su funcionamiento es aceptable, aunque no sobresaliente, por un sencillo motivo. El cierre no es instantáneo, y la extensión no previene que las páginas que tengamos abiertas se carguen en segundo plano, bajo el diálogo de la contraseña. Una vez introducida volveremos a poder utilizar el navegador, pero si fallamos se cerrará, eso si, no de forma instantáneo sino tras un par de segundos (dependiendo de la carga del sistema, por supuesto).

Simple Startup Password es una extensión ideal para instalar en caso de que compartamos el ordenador con alguien o utilicemos el navegador en el trabajo, evitando que cualquier graciosillo acceda a nuestras cuentas de correo o Twitter para curiosear o gastarnos alguna broma.

Android es una plataforma móvil que se ha convertido en un “corredor de fondo” difícil de alcanzar que, gracias a las características de su ecosistema, ha sido capaz de acceder al hermético mundo de la Defensa de Estados Unidos siendo ésta la plataforma base sobre la que se desarrollará un terminal que será usado por las tropas estadounidenses en el campo de batalla. Mientras este terminal llega, los militares estadounidenses necesitan utilizar dispositivos móviles para desempeñar parte de su trabajo y, como es lógico, el Departamento de Defensa debe aprobar un catálogo de terminales aptos para trabajar en un ámbito en el que la privacidad y la seguridad en las comunicaciones es fundamental. Android acaba de entrar en el selecto club de plataformas aprobadas por el Pentágono y que, por tanto, pueden ser utilizadas por los militares aunque, eso sí, hay algunas restricciones.

Hasta ahora, y además ha sido así durante algunos años, la única plataforma autorizada por el Departamento de Defensa para ser utilizada en operaciones era BlackBerry OS pero esta hegemonía de RIM se verá amenazada con la entrada de un segundo actor cuyos terminales podrán operar con aplicaciones y redes adscritas al Ejército de Estados Unidos. De todas formas, esta autorización no es tan amplia como podríamos imaginar, ya que no abarca todo el ecosistema Android sino que tan sólo autoriza una pequeña parte (dejando fuera dispositivos tan conocidos como el Samsung Galaxy).

Según se indica en la Security Technical Implementation Guide, se autoriza el uso de dispositivos con Android 2.2 que provengan del fabricante Dell, puesto que es la plataforma Android que se considera apta y segura. Además de esta restricción en cuanto a fabricantes, los dispositivos Android que se utilicen tendrán bloqueado el acceso al Android Market de manera que no sea posible la instalación de aplicaciones por parte de los usuarios, evitando mezclar un uso personal con un uso profesional y, en el caso de navegar por Internet, los dispositivos usarán un proxy interno que será el que de paso al exterior.

Aunque la entrada de Android es algo tímida, este hecho es bastante significativo puesto que, a pesar de las restricciones, comienza a desterrarse parte del mito que dice que Android es inseguro y no es apto para un uso corporativo. Por cierto, en el caso del iOS de Apple, éste por ahora tan sólo se autoriza su uso en pruebas piloto pero no para un uso habitual y corporativo dentro del Departamento de Defensa.

Este año 2011 que está a punto de finalizar ha dejado patente un hecho en el que, quizás, muchas compañías no habían reparado: la seguridad de sus sistemas. Las acciones de Luzlsec o Anonymous nos han demostrado que muchos servicios que usábamos a diario o, incluso, entidades como la OTAN o la CIA, no son tan seguros como aparentaban y han sufrido robos de información. Aunque parecía que las cosas se habían calmado un poco, en la noche de Navidad, Anonymous la lanzado un certero golpe contra Strartfor, un instituto privado de seguridad e inteligencia de Estados Unidos que tiene como clientes a entidades como American Express, Goldman Sachs, Morgan Stanley o al propio gobierno federal de Estados Unidos y del que habrían robado los datos de sus casi 4.000 clientes.

Parte de los datos recopilados han sido publicados en una nota en Pastebin pero el alcance del botín es mucho más profundo y abarcaría direcciones de correo electrónico, datos de tarjetas de crédito, correos procedentes del servidor de correo de la entidad (se estiman unos 200 GB en correos), nombres de contactos y, lógicamente, toda la lista de clientes y benefactores del instituto.

Unas 90.000 tarjetas de crédito de agencias y fuerzas de seguridad, periodistas, miembros de la comunidad de inteligencia y expertos en seguridad informática han sido filtradas y eran utilizadas para captar más de un millón de dólares en donaciones

El golpe es importante si tenemos en cuenta que entre los clientes de este instituto encontramos entidades financieras, grandes empresas, entidades gubernamentales como Goldman Sachs, la Fundación Rockefeller, MF Global, el Departamento de Policía de Miami Dade, la policía de Zurich, American Airlines, HP, IBM además del Ejército, la Fuerza Aérea o la Armada de Estados Unidos.

Para este instituto cuyas actividades giran alrededor de la seguridad y la inteligencia, el golpe ha sido bastante duro. La compañía ha confirmado el ataque (en un comunicado firmado por el presidente de Startfor, George Friedman) y ha suspendido su actividad en la red, es decir, ha cerrado su página web (tras retirar la versión web que los hackers lograron colocar) y han suspendido el servicio de correo electrónico.

Tenemos razones para creer que los nombres de nuestros clientes han sido colgados en otros sitios web

Stratfor ha puesto el caso en manos de las autoridades y están trabajando con ellas para identificar a los atacantes que han sido capaces de poner en evidencia a un instituto que, precisamente, ejercía en el ramo de la consultoría sobre seguridad e inteligencia.

Imágenes: The Hacker News

Un mercado al que Facebook todavía no ha podido entrar es el de la compra online. A pesar de varios intentos, como Facebook Credits, los usuarios no confían demasiado en la seguridad de la red social más grande del mundo. De hecho, las fallas en seguridad han sido una de las preocupaciones de los usuarios durante todo el 2011. En esta oportunidad, un estudio muestra que solamente el 26 por ciento de los usuarios confían en Facebook lo suficiente como para hacer compras a través de la plataforma.

Los resultados fueron obtenidos a través de una encuesta en internet conducida por ThreatMetrix y The Ponemon Institute, abarcando una totalidad de 800 consumidores. De este número, que en realidad no puede llamarse demasiado representativo, el 53 por ciento de las personas afirmaron convencidas que Facebook no es seguro para comprar. En total, el 74 por ciento expresó sus dudas.

En realidad, estos usuarios confían en la marca Facebook, pero no piensan que son inmunes a ataques de seguridad como spam y phishing. Por ejemplo, desde ThreatMetrix han afirmado que los incidentes con el virus de “Lady Gaga ha Muerto” en septiembre (con un link a una historia falsa de la BBC) y el ataque de spam de noviembre pasado, Facebook puede ser poco confiable como para dejar allí datos como la tarjeta de crédito. Los usuarios están dispuestos a pasar allí un promedio de seis horas, pero no quieren comprar.

De acuerdo con esta consultora, el problema radica en la falta de velocidad que tiene Facebook para responder a estos ataques. Los analistas de Facebook se toman horas para resolver este tipo de problemas, cuando para muchos usuarios ya es demasiado tarde. Si los tiempos en internet se acortan, podemos imaginar que en Facebook son aún más cortos. De hecho, muchos usuarios pensaron que Google es más seguro que Facebook, pues responde rápidamente a estos eventos.

Este estudio es un duro golpe al llamado F-Commerce (una variante del e-commerce dentro de Facebook), servicio que busca instalar las transacciones de compra dentro de la misma plataforma. Hasta ahora, solamente pocas marcas han instalado tiendas online dentro de sus páginas de fans en Facebook, porque el servicio es demasiado nóvel y no tiene muchos adeptos. Parece ser que la seguridad es una de las piedras más grandes en el camino de Facebook, y no podrán imponerse en el mercado hasta que no lo resuelvan.

Hace unos días os hablé de una nueva característica de Windows 8, que permitiría usar imágenes cómo contraseñas en los dispositivos que tuvieran una pantalla táctil. Pues bien, hoy un experto en seguridad informática, Kenneth Weiss, ha indicado que este sistema es un juguete.

El principal problema de este sistema según señala Weiss es que el procedimiento para acceder al sistema operativo con una autenticación de este tipo es demasiado visible, pudiendo crearse patrones y llegando a averiguar la combinación para acceder al sistema. Es decir, una persona que tengan interés en tener acceso a la máquina mediante esta autenticación le bastará simplemente con fijarse en la pantalla y los movimientos que se van haciendo con el dedo, para posteriormente intentar reproducirlos.

Es más cómo un juguete de Fisher-Price que una opción seria para el acceso a una computadora segura.

Actualmente Kenneth Weiss esta trabajando en métodos de autenticación mediante tres pasos y estos claramente están muy por encima de lo que Windows 8 propone con este sistema. También podríamos decir que la combinación se podría conocer simplemente siguiendo las huellas que ha dejado nuestros dedos en la pantalla táctil, ¿pero es realmente un problema de seguridad lo que comenta este experto?

Con las contraseñas alfanuméricas también existe un riesgo de que esta sea conocida por un tercero, alguien que preste mucha atención mientras la escribimos con nuestro teclado y puede tener acceso a nuestro sistema. Pero si alguien mira fijamente mientras vamos a escribir nuestra contraseña es probable que nos demos cuenta, algo similar sucederá con la autenticación mediante imagen, sólo que es evidente que estará más expuesto. Cómo dice Weiss este sistema es mejor que nada, pero tenemos que tener presente que probablemente en Microsoft no hayan ideado este sistema para que sea lo más seguro posible, ya que habría otras posibilidades.

Lo que buscan en Redmond no es ofrecer una formula para ingresar a nuestro sistema de la forma más segura posible, sino que quieren ofrecer a los usuarios de dispositivos táctiles una formula sencilla para acceder al sistema sin tener que escribir la contraseña alfanumérica mediante la pantalla táctil, lo que esta demostrado puede llevar más tiempo dependiendo de cual sea nuestra contraseña. El sistema tiene que mejorar, eso seguro, pero es un buen primer paso para mejorar este aspecto.

Este 2011 que está a punto de terminar es un año en el que, personalmente, la seguridad o la falta de ella ha estado muy presente en gran parte de las noticias generados y hechos acontecidos durante el año. Hemos visto cómo un grupo de hackers tumbaban la web de la CIA, accedían a una de la OTAN o hackeaban la PlayStation Network, hechos que han servido para que otras empresas y entidades se dieran cuenta que sus sistemas eran vulnerables o habían sido vulnerados. El último caso en hacerse público es el de la Cámara de Comercio de Estados Unidos que, según se ha publicado en el Wall Street Journal, habría sido víctima durante más de un año de acceso no autorizados que podrían provenir de China.

Según parece, toda la información almacenada en los sistemas de esta entidad habrían quedado comprometidas, incluyendo información sobre sus más de 3 millones de miembros y seis semanas de correos de sus servidores. Lo más curioso es que los hackers fueron bastante selectivos puesto que, en el caso de los correos electrónicos, los correos interceptados eran aquellos que tenían que ver con operaciones en Asia, algo que casa con algunas herramientas encontradas, que se atribuyen a estos hackers, que se habrían utilizado para filtrar la información por palabras clave aunque aún no se ha podido determinar qué información exacta se han llevado y, claro está, las palabras clave utilizadas.

Y a pesar que se haya conocido hoy este caso, estas intrusiones se habrían dado durante el año pasado y, cuando fueron detectadas por el FBI, atajadas en mayo de 2010, momento en el que el la oficina de investigación apuntó que la intrusión procedía de China con indicios de estar sustentada por los medios oficiales. De hecho, este tipo de intrusiones no son nuevas y alguna que otra vez han trascendido casos similares y desde el propio gobierno de Estados Unidos se ha acusado a China en más de un informe.

El Wall Street Journal se han dirigido a la Embajada de China en Estados Unidos y un portavoz de la misma aseguró al diario que este tipo de actuaciones están prohibidas por la legislación del país y, por tanto, no son algo que pueda ser apoyado por el gobierno. Era lógico que no iban a contestar con una respuesta afirmativa.

Según parece, las pruebas apuntan a direcciones IP que pertenecen a instituciones académicas del gigante asiático y, de hecho, una de estas instituciones ya salió a la luz en un ataque en 2001 a la web de la Casa Blanca, por eso miraron a China rápidamente.

Cada vez que Mozilla quiere lanzar una actualización de seguridad de su producto estrella, Mozilla Firefox, debe lanzar una nueva versión con todo lo que eso supone. Entre otras cosas están las pruebas para asegurarse de que la nueva versión que soluciona uno o varios problemas determinados no añade además otro, algo que lamentablemente hemos visto en más de una ocasión y que es uno de los problemas típicos de las actualizaciones en casi cualquier aplicación.

Arreglar un pequeño fallo se extiende muchas veces en días en los que no sólo el usuario final no tiene la solución sino en los que la propia compañía sufre, con todos los ojos siempre puestos en ella y literalmente trabajando a contrarreloj. Tal vez por ello, Mozilla ha decidido que Firefox comenzará a recibir parches de seguridad a través de extensiones y/o complementos.

Esto soluciona el problema de tener que montar una nueva release, la cual en el mejor de los casos tardaría más de 24 horas en lanzarse. Además incorporan otra serie de ventajas que pueden que hacen que pueda tratarse de una muy buena idea, como por ejemplo la actualización de una versión localizada específica (por ejemplo la versión castellana del navegador).

Otras ventajas son el bloqueo de extensiones maliciosas de forma automática o incluso la posibilidad de des-actualizar nuestro navegador desinstalando la extensión que ha realizado los cambios, algo con lo que en teoría no deberíamos tener problemas. Todo esto llegará en Firefox 11, y en mi opinión podría ser un cambio en la política de actualizaciones de Mozilla, y algo que les haga convencerse por fin de que no importa el número de versión sino la estabilidad y el acabado final del producto. Bien por Mozilla.

La Stop Online Piracy Act, popularmente conocida por sus siglas SOPA, es una propuesta que está últimamente en boca de todos debido a que el congreso estadounidense esta planteándose seriamente el acogerse a ella de cara a dar una solución al problema de la piratería en Internet. Básicamente, y como otras tantas propuestas, pretende controlar qué contenidos podemos compartir y descargar de la red, aunque lo revolucionario del asunto, por llamarle de alguna forma, es que lo hace dando el poder directamente a las grandes corporaciones, las cuales tendrán la última palabra sobré qué podemos y qué no podemos consumir.

Este resumen es sólo la punta del Iceberg, y cuanto más indagamos más oscuras son las consecuencias, con unas leyes que permitirían a los Estados Unidos bloquear determinadas páginas con técnicas similares a las que ya se usan en países como China o Irán. Una privación de derechos de la que ya han alertado varias personas y en contra de la cual se han posicionado empresas tan importantes como Facebook o Twitter, que serían por cierto dos de las grandes afectadas si la propuesta sale adelante.

Además de corporaciones también hemos escuchado a organismos e incluso a personalidades hablar de las consecuencias que tendría aprobar un acta así. El último en hacerlo ha sido Vint Cerf, un hombre que está reconocido como uno de los padres de Internet, y lo ha hecho enviando una carta al mismísimo Lamar Smith, autor de la polémica SOPA.

Como uno de los padres de Internet me preocupo profundamente por los problemas que puendan surgir en su infraestructura, y por eso me gustaría unirme al grupo de expertos que ya han expresado su disconformidad con varios aspectos de la llamada SOPA.

SOPA no solamente es un error a la hora de prevenir que los usuarios accedan a contenidos ilegales, sino que se trata de una forma de censura sin precedentes en la web.

En el resto de la carta, Cerf habla sobre los problemas de los bloqueos DNS, exponiendo una serie de detalles no simplemente morales o éticos, sino también relativos a la seguridad. Citando partes concretas del acta, concluye haciendo la sugerencia de elaborar unas leyes que se ajusten mejor al verdadero problema y que vayan más por los derroteros de seguir el dinero, es decir, aquellos que traten de cortar la financiación, de mermar los ingresos publicitarios o incluso de bloquear el cobro de éstos.

Que Windows 8 iba a mejorar las credenciales no era un secreto, de hecho es uno de los primeros datos que pudimos conocer de un sistema operativo cuyo desarrollo estaría llegando a fases finales y cuyas características parecen cada vez más interesantes. Surgía la información sobre la mejora de la seguridad, pero Microsoft no daba ningún tipo de dato al respecto salvo que se incluiría un generador de contraseñas asociado a la creación y modificación de cuentas de usuario.

Ahora surgen algunos datos, confirmados directamente por Microsoft a través de Building Windows 8 –su blog de desarrollo del nuevo sistema operativo— que indican que Windows 8 podrá almacenar y nos dará la posibilidad de recuperar múltiples nombres de cuenta y contraseñas correspondientes a cada uno de los sitios web y aplicaciones que usemos, es decir, tendrá un gestor de contraseñas unificado que nos permitirá gestionarlas por igual.

Dicho gestor se basaría, para la parte web, tan sólo en contraseñas capturadas a través de Internet Explorer 10, que sería el complemento perfecto para Windows 10, pese a no ser un navegador anclado al sistema como lo fue en Windows 98 o incluso en Windows XP. Volviendo al tema de las contraseñas, se sabe que el gestor tendría una función de búsqueda implícita que permitiría encontrar logins con tan sólo escribir la primera o primeras letras del nombre de usuario.

En el artículo del que os hablo se comentan además otras alternativas, como el uso de claves públicas o privadas que se pueden utilizar en sustitución de las propias contraseñas. Se trata de una nota larga y bastante detallada que nos deja muy buen sabor de boca ya que esta vez parece que Microsoft no sólo se está esmerando en dar a los usuarios las funcionalidades que hemos ido demandando a lo largo de los años, sino que se está filtrando mucha información incluso antes de que hayamos podido probar una beta. Una beta que llegaría en los primeros meses del año y que parece que podría ser protagonista del próximo CES 2012.

Cada cierto tiempo Microsoft lanza en forma de una gran actualización los pequeños parches que han ido surgiendo a lo largo de un periodo de tiempo con el fin de aunar todos en uno sólo y mantener así su sistema libre de posibles intrusiones y del malware que pueda afectarle. Hace escasamente unas horas se ha lanzado el boletín correspondiente a diciembre, es decir, el último del año.

Dicho boletín consta de un total de 13 boletines o actualizaciones que cubren un total de 19 vulnerabilidades diferentes, todas ellas afectando a Windows, Office e incluso una para Internet Explorer. Como es habitual, la actualización se puede descargar directamente desde los servidores de descargas de Microsoft, donde además encontraremos también una versión en DVD ISO.

La lista de parches incluidos esta, como viene siendo habitual, llena de pequeñas actualizaciones que tratan de tapar huecos en un amplio puñado de productos de Microsoft entre los que se encuentran varios elementos del propio sistema, Active Directory, Powerpoint, Excel o Publisher, por poner algunos ejemplos, aunque desde Redmond nos indican que hay dos de ellos críticos –qua ya deberíamos haber instalado cuando fueron lanzados de forma individual—:

• MS11-087 – Vulnerabilidad en el Kernel de Windows
• MS11-092 – Vulnerabilidad en Windows Media

Ambos, repito, propiciarían la ejecución de código no deseado y por lo tanto no seguro. Si aún no nos hemos hecho con las actualizaciones es muy recomendable hacerlo descargando el instalador conjunto correspondiente al conjunto de boletines del que os hablo en este artículo. ¿El próximo? El año que viene, y ya está previsto para el 10 de enero.

La telefonía IP es uno de los servicios que más controversia generan con los operadores y la neutralidad de la red pero que, por otra parte, son muy utilizados por los usuarios que, maximizan el uso de sus tarifas planas de Internet, llamando a buen precio y con una buena calidad de servicio. Skype es uno de los servicios más utilizados, tanto a nivel individual como a nivel empresarial, y gracias a su éxito ha terminado recalando en Microsoft como una división de la compañía en un millonario proceso de adquisición. Parece que unos expertos en seguridad han encontrado un fallo de seguridad en Skype que permitiría a alguien con no muy buenas intenciones obtener la ubicación del usuario (y monitorizarla) además de poder monitorizar su actividad en redes P2P.

Los investigadores del Instituto Politécnico de la Universidad de Nueva York habrían estado explotando esta vulnerabilidad durante dos semanas con un grupo de 20 voluntarios de los que habrían logrado obtener la IP de su equipo y, mediante un servicio de geolocalización basado en la IP, obtener su ubicación y los datos de su proveedor de servicios de Internet (ISP). En uno de los análisis realizados, el equipo pudo trazar la ruta seguida por uno de los individuos que participaron en las pruebas y comprobar que había estado de vacaciones en Nueva York, después en Chicago y, posteriormente, se había ido a Francia.

Según este equipo de investigación, gracias al fallo descubierto, alguien con no muy buenas intenciones podría iniciar una llamada a través de Skype, bloquear ciertos paquetes de datos y finalizar la llamada en el momento justo para obtener la IP y sin necesidad que, al otro extremo, llegue la señal de llamada entrante. Lo peor de todo es que este método de seguimiento funcionaría, incluso, sin estar en la lista de contactos del usuario a atacar.

Por otro lado, en otro experimento, los investigadores utilizaron BitTorrent para encolar las 50.000 descargas más populares y, utilizando las direcciones IP obtenidas a partir de Skype, se pusieron a buscar la actividad de los usuarios y, así, localizaron qué contenidos se estaban bajando.

Afortunadamente, el equipo se puso en contacto con Skype y ésta ya está trabajando para solucionar el problema; una solución que, seguramente, vendrá en forma de actualización.

Android, a día de hoy, es la plataforma móvil con mayor número de dispositivos en circulación y esta expansión ha propiciado la aparición de un potente mercado de aplicaciones, markets y la proliferación de un nutrido grupo de desarrolladores. Sin embargo, su popularidad también su parte negativa que se traduce en la proliferación de malware destinado a esta plataforma y con la que se intenta aprovechar cualquier vulnerabilidad de la misma. Precisamente, un equipo de investigación de la Universidad Estatal de Carolina del Norte acaba de presentar un artículo en el que demuestran una nueva vulnerabilidad en Android que podría afectar a algunos de los teléfonos que se venden actualmente.

La vulnerabilidad no afecta, afortunadamente, a todos los dispositivos Android del mercado sino que, únicamente, afectaría a algunas implementaciones ya que muchos fabricantes personalizan el sistema para diferenciarse un poco del resto y esta personalización habría abierto la puerta a estas vulnerabilidades que podrían ser explotadas por algún tipo de malware. Según el responsable del estudio, el Dr. Xuxian Jiang, algunas de las aplicaciones que cargan los fabricantes (como las notificaciones de mensajes de texto) pueden crear una puerta trasera que puede ser aprovechada por terceros.

¿Y qué problemas podrían tener los usuarios? La respuesta, realmente, no es nada sencilla porque depende del tipo de malware que sea utilizado por un hipotético atacante. Teóricamente, alguien que aprovechase esta vulnerabilidad, podría instalar una aplicación para grabar el registro de llamadas (o las propias llamadas), enviar mensajes de texto o borrar la configuración y ajustes del terminal.

Dentro de los terminales afectados, y que han sido identificados por el estudio, se encontrarían algunos modelos conocidos como HTC Legend, EVO 4G o Wildfire S pero, al final, aunque parezca algo extremadamente grave, con un poco de prevención y unas buenas prácticas por parte del usuarios podemos reducir la probabilidad de caer presas de un ataque de esta índole.

Es fundamental que los usuarios instalen aplicaciones que procedan de sitios de confianza, como el Google Android Market, porque aunque no esté libre de malware, cuando se detecta malware en una aplicación, Google actúa con bastante diligencia para retirarla. Por otro lado, sería interesante que los usuarios bloqueasen, bajo contraseña, sus terminales (evitando así cualquier uso indebido) además de instalar las actualizaciones que sean publicadas por los fabricantes.

Hoy 30 de noviembre es el Día Internacional de la Seguridad de la Información, un día que dedicamos a recordar la importancia de mantener unas pautas seguras en el manejo de información, ya sea de carácter personal o en nuestro trabajo. La información es uno de los mayores activos que puede tener una empresa y, en algunos casos, puede ser la clave para que una compañía rival nos adelante o, directamente, pueda hundir nuestro negocio. Cualquier dispositivo que tengamos entre manos puede tener almacenados datos personales que deberíamos controlar, inventariar y, sobre todo, valorar para que seamos conscientes de lo que tenemos y, llegado el caso de enfrentarnos a la pérdida de los datos o a su robo, saber actuar adecuadamente.

Hoy en día es normal que salgamos con nuestro smartphone, nuestro ordenador portátil y mantengamos en ellos datos bancarios (la aplicación de nuestro banco instalada en nuestro smartphone), nuestra agenda de contactos y nuestros correos electrónicos, nuestras notas, archivos de nuestra empresa, en definitiva, información que nos es de valor y que debemos salvaguardar adecuadamente.

Aprovechando que hoy es el Día Internacional de la Seguridad de la Información, vamos a aprovechar para dedicar unos minutos a organizar nuestra información y a proteger nuestros activos de la manera más adecuada para que podamos enfrentar, de la mejor manera posible, una pérdida de datos o el robo de nuestro ordenador portátil.

Inventariar los servicios que utilizas y establecer una política de contraseñas

Cualquier plan de de seguridad de la información indica que debemos establecer un inventario de nuestros activos y la verdad es que sería lo ideal: establecer una lista ordenada con todos los activos de información que tenemos, es decir, carpetas en nuestro disco duro, aplicaciones que almacenan información y servicios que estamos utilizando que también guardan datos.

Para intentar simplificar un poco el modelo, podríamos empezar por inventariar los servicios que utilizamos en nuestro ordenador, o en nuestro smartphone, y requieren que nos conectemos a algún tipo de servidor e introduzcamos nuestro usuario y nuestra contraseña. No es raro que la gente almacene las contraseñas de su cuenta de Facebook, Twitter o Gmail en su navegador pero, siguiendo esa pauta, si perdemos nuestro ordenador y alguien logra acceder a nuestro perfil, salvo que cambiemos la contraseña, también tendrá acceso a estos servicios.

Alguien podría pensar que con cambiar la contraseña es suficiente y, efectivamente, está en lo cierto, sin embargo, si no tenemos un inventario claro de los servicios que utilizamos, puede ser que se nos olvide cambiar la contraseña en alguno de ellos y alguien consiga acceder. Por tanto, creo que es importante hacer un ejercicio de recopilación y mantener un inventario (en Evernote o en Google Docs) con los servicios que utilizamos (pero sin almacenar las contraseñas).

Una vez tengamos identificados los servicios que solemos utilizar, el siguiente paso es instaurar una política de contraseñas lo suficientemente fuerte. Hay gente que suele utilizar la misma contraseña en todos los servicios que usa, algo que es fácil de recordar pero en el caso de que alguna de sus contraseñas se vea comprometida, se estarían comprometiendo todos los servicios en los que se tenga un usuario con dicha contraseña. Lo ideal es que mantengamos contraseñas distintas en cada servicio que usemos, aunque sea introduciendo pequeñas variantes (pero que no sean demasiado evidentes) y alternando el uso de letras (mayúsculas y minúsculas) además de números (pero sin usar fechas de nacimiento).

Es fundamental que nos forcemos a tener ciertas rutinas para cambiar nuestra contraseña, tanto de los servicios a los que accedemos (correo, redes sociales, etc) como de nuestros dispositivos (ordenador, portátil y smarphone), con este tipo de rutinas mejoraremos la seguridad de nuestros perfiles y nuestros datos, haciéndoselo algo más difícil a aquéllos que comercian con nuestros datos.

La elección de una buena contraseña es algo muy importante porque es la llave que da acceso a información de gran valor y, por tanto, debemos dedicar un poco de tiempo en encontrar contraseñas que podamos recordar y que además sean seguras y, como muestra, hace un par de semanas se publicaron las 25 peores contraseñas de 2011 (que andaban en un listado de contraseñas que se usan en ataques por “fuerza bruta”).

Haz un backup de los datos importantes

Existen datos que no podemos perder, por tanto, debemos protegerlos pese a todo porque son la base de nuestro trabajo (contactos, entregables para nuestros clientes, información contable, etc). Independientemente que seamos cuidadosos con las contraseñas y nunca perdamos de vista nuestros dispositivos, éstos pueden romperse o ser víctimas de un accidente que los deje inservibles, por tanto, no podemos arriesgarnos a que, por ejemplo, una subida de tensión destroce nuestro portátil con los datos dentro.

Aquí es donde entra en juego instaurar una buena política de copias de seguridad en la que tendremos que detectar la información valiosa que no podemos perder bajo ningún concepto y en la que conjugaremos los datos que consideramos importantes, el espacio de almacenamiento disponible, la periodicidad de las copias de seguridad y el tipo de copia de seguridad que vamos a hacer. Hace unos meses os comentamos una guía práctica para realizar backups que podéis utilizar como base y en la que, además de ser importante dedicar un tiempo de manera periódica a realizar las copias de seguridad, también es importante que dediquemos tiempo a verificar que las copias se están realizando correctamente y no detectarlo a la hora de restaurar una copia de seguridad tras un desastre.

Cifra el contenido de tu portátil

Otro detalle importante, para evitar que alguien no autorizado acceda a tus datos, es el de cifrar los datos personales en nuestro ordenador. Muchos sistemas operativos ofrecen la posibilidad de cifrar los datos de carpetas personales y, además, aplicar este cifrado a las carpetas que queramos y, aunque perdamos algo de rendimiento a la hora de manejar dichos archivos (por cifrarlos y descrifarlos), evitaremos que alguien pueda sacar el disco duro de nuestro ordenador e intentar conectarlo a una base desde la cual acceder a los datos.

En el caso de Windows 7, por ejemplo, podemos cifrar una carpeta utilizando el sistema que viene incluido en el propio sistema operativo (Propiedades de carpeta, General, apartado Avanzadas y cifrar carpeta), si bien debemos tener en cuenta que el cifrado se realiza mediante un certificado digital y, por tanto, debemos tenerlo en cuenta a la hora de restaurar una copia de seguridad o intentar leer dichos archivos desde un dispositivo distinto.

Otra opción es la de utilizar cifrado de archivos mediante PGP, un sistema de cifrado muy utilizado para archivos y correos electrónicos y para el que podemos encontrar múltiples utilidades libres para cifrar nuestros archivos, como por ejemplo, Gpg4win o GnuPG.

Establece una contraseña en tu smartphone

Llama mucho la atención que la gente, simplemente, bloquee el teclado de su smartphone y que no aprovechen las funciones de contraseña que incluyen muchos de ellos (patrones en Android o un PIN en iOS). Nuestros terminales móviles poseen acceso a nuestro buzón de correo, nuestros mensajes o a números de teléfono de clientes y compañeros de trabajo que, seguramente, no deberían caer en malas manos.

La mejor prevención es la concienciación y, por tanto, si adoptamos la pauta de bloquear nuestro teléfono con una contraseña, seguramente, se lo pongamos algo más difícil a los amigos de los datos ajenos.

Aprovecha la nube y sus servicios

Gracias a la nube podemos contar con múltiples servicios que nos pueden servir de soporte para proteger nuestros datos o, al menos, guardar a buen recaudo la información importante. Servicios como Google Docs o Evernote pueden ayudarnos a mantener en la nube, y de manera segura, nuestra documentación de trabajo o las notas de nuestras reuniones, servicios como Dropbox, Box y SparkleShare pueden ser buenos almacenes en la nube en los que depositar copias de seguridad de archivos importantes y Prey es una interesante aplicación que puede ayudarnos a localizar nuestro portátil en caso que lo perdamos o nos sea robado e, incluso, puede tomar una foto del ladrón u ordenar, en remoto, el borrado de los datos importantes.

Ten un plan de acción en caso de robo

Ante una situación de pérdida de datos o de alguno de nuestros equipos debemos mantener la calma y ser algo metódicos con nuestros movimientos, por ello, creo que es bueno que pensemos qué hacer si alguna vez nos viésemos en una situación así porque si llegara el caso (y esperemos que esa situación no llegue nunca) sabremos qué hacer y lo haremos de una manera rápida y efectiva porque, en este tipo de situaciones, el tiempo es vital.

Nuestro plan de acción particular debería contener las siguientes actuaciones:

• Si hemos perdido nuestro portátil, por ejemplo, con las credenciales de acceso a varios servicios almacenadas (correo electrónico, redes sociales, etc), lo mejor será que cambiemos las contraseñas de todos los servicios y para hacerlo nos será muy útil el inventario que realizamos.

• Si usamos Prey es el momento de activarlo y ponerlo en marcha para ver si alguien ha intentado encender el equipo y, con suerte, podemos detectarlo.

• Acudir a las autoridades y, en el caso de perder información de nuestra empresa o un portátil que pertenece a ésta, ponerlo en conocimiento del área de sistemas de nuestra empresa o el área de seguridad, si ésta existiese.

• Verificar la fecha de la última copia de seguridad realizada para hacernos una idea del punto al que podremos recuperarnos y ver qué datos podemos recuperar (solicitándolos a nuestros amigos, clientes o proveedores) y cuáles hemos perdido definitivamente.

Algunos consejos rápidos

Para finalizar algunos consejos rápidos que pueden mejorar la seguridad de nuestros datos y equipos:

• Bloquea tus equipos siempre que te levantes de la mesa para que nadie pueda acceder sin autorización
• Mantén cifrada la información de carácter confidencial para que, en caso de pérdida, no sea fácil recuperarla
• No facilites nunca tus contraseñas a nadie, es algo estrictamente personal y, por tanto, no deben compartirse
• Cambia tus contraseñas de manera periódica
• Instaura una rutina de copias de seguridad y verifica que las copias funcionan adecuadamente
• No instales aplicaciones sin control y sin asegurarte que provienen de una fuente fiable. La instalación sin control puede acarrear la llegada de malware que ponga en peligro nuestros datos, de hecho, tener un buen antivirus y aplicaciones contra el malware es otra pauta a seguir si nuestro sistema operativo es propenso a este tipo de males.