Después del gravísimo ataque sufrido por Evernote, no nos asombra que pretenda implementar nuevas medidas de seguridad. Según InformationWeek, el servicio de almacenamiento de datos empezará a requerir autenticación de dos factores a partir de finales de año, aunque no se han aclarado los detalles del sistema a usarse. Por ejemplo, no se sabe si la autenticación utilizará mensajes de texto (que generalmente implican un gasto adicional a los usuarios), o si se hará por medio de una aplicación (que requiere del uso de un teléfono inteligente). Sea como sea, suponemos que la compañía no intentará inventar un nuevo sistema, sino que usará algo que haya sido comprobado como seguro, que podría ser similar a lo utilizado por compañías como Google.

De todas maneras, y aunque no hayas recibido una comunicación de Evernote, recomendamos que cambies tu contraseña en el servicio, y en cualquier otro sitio donde hayas usado la misma combinación de dígitos. Además, no está de más recordarte que usar la misma contraseña en varios lugares disminuye la seguridad.

Evernote acaba de reconocer en su blog que en las últimas horas ha sido objeto de varios ataques. Su equipo de operaciones y seguridad ha querido tranquilizar a los usuarios señalando que no hay pruebas concluyentes de que los cacos en cuestión hayan podido acceder a las notas y el contenido almacenado por los usuarios, pero sí que ha reconocido que parte de la información personal -como por ejemplo e-mails y contraseñas- podría haberse visto comprometida, a pesar de que dichos datos cuentan con un sistema de cifrado de un único sentido. En cualquier caso, la compañía ha puesto en marcha un protocolo de seguridad para resetear todas las claves y pide a sus clientes que inicien sesión lo antes posible y sigan los pasos necesarios para cambiar su contraseña. Así que ya lo sabes, si entre tus aplicaciones de cabecera se encuentra el famoso servicio de notas del elefante, no dejes de seguir las indicaciones de la firma para cubrirte la espalda; tampoco estaría de más que te quedaras atento a su blog y cuenta oficial en Twitter a la espera de nuevos detalles.

Leer - Blog de Evernote
Leer - Cuenta oficial de Twitter

¿Estabas pensando en renovar tu contraseña en Twitter? Es posible que esta sea tu ocasión de oro. La red social ha advertido que ha sido víctima de al menos un ataque en sus servidores mediante el cual los hackers se habrían hecho con direcciones de correo, contraseñas (afortunadamente, cifradas) y tokens de sesión de cerca de 250.000 usuarios.

En este momento, se desconoce el riesgo real al que están sometidos los abonados a la conocida red social del pajarito, pero sus responsables confirman la gravedad del hack advirtiendo que es "extremadamente sofisticado". Sabrás si tu cuenta ha sido afectada si recibes el correo que ves en la parte superior y te tocará resetear tu contraseña en Twitter, porque no podrás acceder al servicio.

A menos de que trabajes en un departamento de sistemas, existe una gran posibilidad de que nunca hayas escuchado el nombre de PhoneFactor, una compañía que se dedica a la autenticación por multifactor de sistemas corporativos. Pues ahora esa empresa pasa a formar parte de Microsoft, que anuncia que implementará la integración de los servicios de autenticación con Active Directory, Windows Azure Active Directory y Office 365.

Por medio de la autenticación por multifactor ofrecida por PhoneFactor, empleados corporativos ya no tendrán que llevar en sus bolsillos identificadores de números aleatorios, porque los móviles pueden usarse para mostrar códigos de identificación. Hay que aclarar que esto no es nada nuevo, ya que Google ofrece autenticación por multifactor desde hace algún tiempo (y recomendamos su uso), pero la diferencia está en tener un servicio corporativo con integración directa con Active Directory.

[Vía SlashGear]

Los sistemas de autenticación abiertos no son nada nuevo, porque OpenID existe desde 2005, y ahora hay disponibles infinidad de sitios que permiten autenticar con credenciales de Facebook, Twitter o Google+. De todas maneras, la fundación Mozilla desea crear algo distinto con el nuevo sistema Persona, que sería más simple y podría llegar a tener más aceptación. Con Persona no es necesario tener una cuenta en una red social que podría publicar tus quejas en un blog cualquiera como parte de tu historia. Es que el autenticador de Mozilla tampoco guarda un registro de los sitios que visitas, porque ha sido desarrollado para verificar la identidad y desaparecer después de eso.

Seguramente será complicado convencer a sitios que ya usen OAuth u OpenID para que además usen Persona, pero de todas maneras la idea nos gusta y merece nuestro apoyo.

Imaginamos que el título de esta noticia te habrá causado cierta alarma si eres fan de World of Warcraft o Diablo III, pero tampoco hace falta que te preocupes en exceso. Con el aviso realizado, hemos de contarte que Blizzard ha detectado un acceso no autorizado a su red interna, lo que ha motivado la emisión de un comunicado para alertar a los usuarios. Pese a que la información que habría sido robada no es suficiente como para apoderarse de cuentas en Battle.net, la compañía recomienda cambiar las contraseñas, dado que el hacker detrás de este suceso habría obtenido las palabras de acceso cifradas y respuestas a preguntas de seguridad de usuarios en América, Oceanía y el sureste de Asia.

No vamos a negarlo: nos parece que esa información es suficiente para asustar a los usuarios, pero Blizzard insiste en que debemos estar tranquilos. Además, la información financiera de sus clientes, como números de tarjetas de crédito, nombres reales o direcciones, no fue obtenida por el hacker.

Los usuarios en los servidores comprometidos recibirán una cordial invitación para cambiar sus contraseñas y preguntas de seguridad en los próximos días, pero si el tema te preocupa, puedes cambiar ya mismo tu contraseña desde el enlace disponible más abajo.

[Vía Massively (Joystiq)]

Leer - Blizzard
Leer - Cambio de contraseña en Battle.net

Puede que Microsoft no se haya visto en una tesitura tan peliaguda como la que le tocó vivir a Sony hace unos meses con el gran apagón de PSN, pero eso no quiere decir que la casa no esté dispuesta a luchar contra los maleantes virtuales con todo su ahínco. Alex Garden, como director general de Xbox Live ha asegurado que su firma ha logrado grandes progresos en el área de seguridad al emprender acciones legales contra webs que han compartido nombres de usuarios y contraseñas recabados mediante pishing. Por si esto fuera poco, Microsoft tiene pensado un sistema de verificación de dos pasos para los dispositivos que no sean de confianza, así como nuevas actualizaciones para garantizar la salud de la plataforma. Garden remata la jugada recordando que una parte importante dentro de las medidas de seguridad de las cuentas Xbox Live radica en lo actualizada que esté la información de tu perfil y anima a los usuarios a comprobar que todos los datos de contacto son correctos.

¿Tendremos que tapar un día los teclados virtuales de nuestros teléfonos igual que cuando sacamos dinero del cajero? Federico Maggi y su equipo del Politécnico de Milán, han desarrollado un software de reconocimiento de contraseñas que saca partido a las letras de tamaño ampliado que aparecen al pulsar las teclas de la mayoría de los dispositivos iOS, Android y BlackBerry, haciendo posible capturar passwords a distancia.

Dado que las letras en cuestión aparecen en posiciones predecibles, el sistema, que usa una cámara montada sobre el hombro del usuario, las reconoce sin mayores problemas incluso en vídeos a baja resolución, con el añadido de que puede seguir la pantalla y ajustar el enfoque para evitar que el sujeto evada la vigilancia moviendo el teléfono. Según sus creadores, este chivato puede reconocer con precisión hasta el 97% de las pulsaciones, y es tan rápido que transmite las contraseñas casi en tiempo real. Lo que no nos explican es cómo piensan convencer a sus víctimas para echarles una cámara por encima del hombro...

En la búsqueda por lograr la clave secreta perfecta, los investigadores de la Universidad Americana de Beirut han dado con una interesante alternativa que podría añadir un plus de seguridad ante un posible robo de contraseñas. Se trata de un software de reconocimiento de patrón de escritura, Key-Pattern Analysis (KPA), capaz de analizar la rapidez y tiempo empleado en la pulsación de teclas a la hora de introducir una contraseña. Tras realizar una media (el usuario tendrá que reescribirla varias veces en el momento de la configuración), el estilo queda asociado a los propios datos de autenticación, de manera que a partir de entonces no sólo valdrá con escribir correctamente tus credenciales, tendrás que hacerlo al ritmo que el programa tiene asociado a tu perfil o el acceso será denegado -no sabemos a ti, pero a nosotros nos entran sudores de pensar en semejante momento de presión-.

Realmente esta solución no es nueva. Ya hace cosa de un año vimos una alternativa similar, aunque este software KPA permite además la configuración de una misma contraseña para varias personas, de manera que se podrán asociar diferentes patrones de acceso para una misma información bajo la misma clave. Sin duda, el planteamiento suena a priori complejo pero, todo sea por salvaguardar mejor nuestros datos, ¿no?

[Vía Gizmag]

Piénsatelo dos veces antes de pasarte por el McDonalds a por tu dosis de hidratos de carbono. Resulta que un estudio llevado a cabo por la Universidad de Pensilvania ha desvelado que la protección mediante un patrón en pantalla de los dispositivos Android, puede ser fácilmente revelada gracias a las huellas que dejamos con nuestros dedos en ella. Según parece, en este estudio se pudieron desvelar con facilidad las contraseñas de varios dispositivos. No estará de más que consideres la idea de volver al PIN de toda la vida mediante teclado QWERTY...

[Vía Techdirt]

Suponemos que ya has oído hablar de la posibilidad de usar tu GPU para asistir a la CPU cuando el procesador central necesite una ayudita. Bien, pues prepárate, porque la cosa va tan en serio que los rusos de Elcomsoft, han solicitado una patente que describe un método para convertir una tarjeta gráfica en toda una máquina de reventar contraseñas. La técnica hace uso de las tremendas capacidades de procesamiento en paralelo de los chips gráficos actuales para hacer picadillo las protecciones industriales que más rabia te puedan dar; una clave de Vista NTLM, por ejemplo, puede ser crackeada ahora en 3-5 días con una tarjeta del montón, cuando antes hubieran hecho falta 2 meses. ¿Que vas de pro por la vida? Pincha una GeForce 8800 Ultra en tu placa y Elcomsoft asegura que podrás destripar contraseñas 25 veces más rápido que con los métodos actuales.

[Vía NewScientist]
[Artículo en inglés]

Puede que los interfaces de entrada de datos operados mediante los ojos no suenen del todo prácticos para aquellas personas que conservan la movilidad de sus extremidades, pero párate a pensar en su implementación en los cajeros automáticos. Algo tan "simple", podría hacer inservibles las cámaras ocultas que los ladrones usan para robarte la contraseña de tu tarjeta, y hemos de confesar que solo ese detalle nos haría sentir un poco más seguros cuando nos toca hacer la típica visita nocturna. La gente de la Universidad de Stanford está trabajando en una solución de este tipo para evitar dicho problema, por no hablar de todos esos "curiosos" que en ocasiones parecen mirarte por encima del hombro mientras introduces tu contraseña. Su ExePassword es capaz de seguir el movimiento de tus globos oculares mientras los deslizas sobre los números de una pantalla, y si bien parece que el sistema ralentiza un poco la labor de tecleo, consigue hacer virtualmente imposible el trabajo de los ladrones. Por supuesto, no tenemos ni idea de cuándo podremos encontrarnos con los primeros cajeros de este tipo.

[Vía New Scientist]
[Artículo en inglés]

Hasta ahora, las únicas novedades en lo que a memorias flash se refería era más almacenamiento, y precios más bajos, pero la nueva "Flash Padlock" de Corsair cambia las cosas. Esta memoria USB ofrece proteger tu información con una contraseña numérica, que al ser establecida con hardware, sería casi imposible que los hackers la pudieran reventar. Podrás conseguirla en tamaños de 1 y 2GB, con un precio de 29,99 y 39,99 dólares respectivamente. Eso sí, asegúrate de tener un puerto USB cerca del teclado, porque de lo contrario, terminarás rompiéndote la espalda cuando tengas que ingresar la contraseña.

[Artículo en Inglés]