Skip to Content

AOL Tech

seguridad posts

Hackean el lector del Galaxy S5 con una huella falsa

La incorporación de sistemas de detección de huellas ha facilitado la vida a muchos usuarios que se sentían obligados a proteger su teléfono de alguna forma, sin embargo, tras esa cortina de protección irrompible se esconden métodos de hackeo realmente rudimentarios que ponen en evidencia la supuesta protección de los equipos. Como seguro recordarás, el iPhone 5s fue una de las víctimas de este tipo de demostraciones, así que, ¿adivinas quién ha sido el siguiente?

La NSA asegura que no sabía nada de Heartbleed (a pesar de las acusaciones)

NSA asegura que no sabía nada de Heartbleed (a pesar de las acusaciones)
Reconocemos que estábamos en pleno desarrollo de esta noticia... cuando hemos tenido que cambiar el enfoque. La NSA acaba de publicar en su cuenta oficial de Twitter que no sabía nada de Heartbleed hasta que la vulnerabilidad se ha destapado, desmintiendo así la información publicada hace unas horas por Bloomberg. Según este conocido medio, la agencia de seguridad sí conocía este fallo y de hecho habría estado usándolo durante los últimos dos años para su propio beneficio -algo que, dado el historia de la organización ya no resultaría ni taaaan descabellado.

A estas alturas, ¿a quién deberíamos creer?


Leer - NSA explotó el fallo Heartbleed durante años
Leer - Desmentido de NSA en Twitte

Que no cunda el pánico: Heartbleed podría no ser tan peligroso

Que no cunda el pánico: Heartbleed podría no ser tan peligroso
Tras una semana caótica en lo que a seguridad cibernética se refiere, hoy llegan unas declaraciones que muchos administradores de sistemas estaban esperando: Heartbleed no es tan peligroso como lo pintan. A semejante conclusión han llegado en Cloudfare, una compañía especializada en seguridad que, tras comprobar en sus propias carnes los problemas del famoso error, han podido corroborar que en ningún momento el atacante podrá tener acceso a la clave privada que andaba buscando.

Están tan seguro de ello que han dejado sus propios servidores con OpenSSL sin parchear para que todo aquel que lo desee intente extraer la clave privada de la web haciendo uso de la vulnerabilidad de Heartbleed. De esta forma pueden ocurrir dos cosas, o que su teoría se confirme y pongamos fin al asunto (y a la incertidumbre de más de un usuario) o que se intensifiquen los esfuerzos por acabar con Heartbleed, consigan la clave y todo internet vuelva a entrar en parada cardiorespiratoria. Esperemos que sea lo primero.

[Vía The Verge]
[Imagen original: Wikimedia]

Leer - Comunicado de Cloudfare
Leer - Reto de Cloudfare

Heartbleed estaría también afectando a routers de Cisco y Juniper

Heartbleed estaría también afectando a routers de Cisco y Juniper
A estas alturas deberías de estar al corriente sobre el error Heartbleed, pero si no es así, será mejor que eches un ojo a nuestro artículo y te pongas al día. El que posiblemente sea el error más grave en la historia de internet ha puesto a los gigantes de la industria patas arriba, obligando a actualizar servidores y a informar seriamente a sus usuarios sobre la posible filtración de datos personales. Sin embargo, algo que no esperábamos es que el hardware también estuviese afectado, ya que tanto Cisco Systems como Juniper Networks han anunciado que sus productos de red también estarían afectados por el error de Heartbleed.

Aún así, hay que aclarar que los routers que no utilicen OpenSSL no están afectados (como es el caso de los archiconocidos Linksys), por lo que puede que el error no esté tan extendido en los hogares. Si quieres conocer un poco más a fondo qué modelos se han detectado como afectados, puedes echar un vistazo a las listas que han preparado Juniper y Cisco en los enlaces que te dejamos a continuación.

Leer - Varios routers de Cisco y Juniper afectados por Heartbleed
Leer - Aparece el error Heartbleed en los routers Cisco y Juniper
Leer - Comunicado oficial de Cisco Systems
Leer - Comunicado oficial de Juniper Networks

Tesla Model S se blinda de nuevo, ahora contra los ataques de los hackers

Tesla Model S se blinda de nuevo; ahora del ataque de los hackers
Tesla está blindando su Model S y no sólo físicamente como te demostramos hace unos días, sino que también está reforzando la seguridad del sistema que lo gestiona del zarpazo de los hackers. Es cierto que el automóvil no se puede conducir de forma remota, pero sí puede en un momento dado conocer la ubicación del vehículo o abrirlo a distancia para robar todo lo que haya dentro. El asunto no es baladí y menos en una marca como la de Elon Musk que cuenta con el magnetismo y consecuente efecto lupa de cara a los medios.

Da la casualidad que uno de los afortunados propietarios de un Model S es Nitesh Dhanjani, que además es consultor en materia de seguridad y en una trabajada entrada en su blog ha puesto en evidencia las carencias de marca y modelo en materia de seguridad. Lo primero que ha destacado es que el panel de control del usuario en web está protegido por apenas "una contraseña de 6 cifras", algo que lo hace susceptible de un ataque por fuerza bruta ya que la web no contempla una limitación de intentos infructuosos de acceso. Pero aquí no terminan los problemas planteados por este usuario, sino que la potencia de las aplicaciones móviles en el vehículo suponen, como veremos, una amenaza adicional.

La NSA habría proporcionado un segundo generador de números aleatorios a RSA

La NSA habría proporcionado un segundo generador de números aleatorios a RSA
Informaciones aparecidas en la prensa en diciembre del año pasado señalaban que la NSA había pagado 10 millones de dólares a la compañía de seguridad RSA para que esta usara el generador de números aleatorios Dual Elliptic Curve, que supuestamente incluía una puerta trasera. Hoy, de acuerdo con la agencia de noticias Reuters, sabemos que esa no habría sido la única herramienta desarrollada por la agencia de espionaje estadounidense que terminó siendo proporcionada por RSA a sus clientes.

Según el artículo, el generador conocido como "Extended Random", que supuestamente aumentaba la entropía al generar una llave de cifrado no sólo había sido desarrollado por la NSA, sino que hasta hacía que el trabajo de descifrar datos fuera "decenas de miles" de veces más rápido.

Google presenta su nuevo informe transparencia y despeja las dudas más frecuentes con un animado vídeo

Google presenta su nuevo informe transparencia y despeja las dudas más frecuentes con un animado vídeo
Google es ya toda una experta en los informes de transparencia para informar de las peticiones de datos de usuarios por parte de las autoridades de todo el mundo, pero claro con la que está cayendo con las escuchas de la NSA en Estados Unidos, este tipo de documentos ha ganado una gran popularidad y ahora se investigan con lupa.

El noveno estudio de Google a este respecto acaba de ser publicado y, como no podía ser de otro modo, refleja un considerable aumento en el número de peticiones a nivel global, alcanzando aproximadamente un 120 % desde que Google comenzara a facilitar este tipo de datos allá por 2009. Según refleja la firma, cada vez son más los gobiernos que deciden ejercer su autoridad y solicitar datos de determinados usuarios, aunque el informe también explica que el número de casos en los que realmente se llega a facilitar dicha información cada vez es menor, pasando del 64% de 2013 al 76 que se proporcionaba tres años antes (eso por no mencionar que el volumen de usuarios también ha crecido notablemente).

Mylar, una plataforma web a prueba de curiosos ideada por el MIT

Mylar, una plataforma web a prueba de curiosos ideada por el MIT
Las repercusiones a las escuchas masivas de la NSA continúan llegando a ritmo constante, por lo que no es de extrañar que un grupo de investigadores del MIT haya decidido tomar cartas en el asunto y buscar una manera más segura para construir webs, servicios y aplicaciones. El fruto de este trabajo es una nueva plataforma que ha sido bautizada como Mylar que, según recoge Technology Review, es capaz de mantener tus datos cifrados y a buen recaudo durante todo el tiempo que estén en sus servidores.

Dicha información únicamente es descodificada cuando se accede desde tu ordenador por medio de una contraseña, aunque el sistema también ofrece la posibilidad de generar otras claves en caso de que necesites compartir algo concreto con otro usuario. Sus creadores están tan convencidos del hermetismo de este sistema que Raluca Popa, jefe del proyecto, asegura que nadie puede entrar a husmear lo que se cuece entre tus archivos, ni siquiera organismos como la NSA. Según indica, incluso si por un caso algún gobierno solicitara acceso a la compañía, el servidor ni siquiera puede ofrecer datos sin cifrar.

Google cifrará la información entre sus centros de datos y también la conexión de Gmail

Google cifrará todos los datos entre sus centros de datos y también la conexión de Gmail
Aunque la gran mayoría de nosotros seguramente opina que nuestros mundanos correos no requieren de la más alta protección de cifrado disponible actualmente, Google piensa lo contrario y por eso protegerá nuestros datos precisamente con eso. A partir de hoy todas las conexiones a Gmail usarán HTTPS por defecto, para mantener una comunicación segura entre el navegador de un ordenador o dispositivo móvil y los servidores del gigante de internet. En realidad esto no es totalmente nuevo, porque desde el año pasado Google ha ofrecido la opción de usar SSL al conectarse a su servicio de correo, pero esta era una opción que podía ser desactivada fácilmente por el usuario.

Google Play introduce más control en las compras dentro de aplicaciones para evitar sustos

Google Play introduce más control en las compras dentro de aplicaciones para evitar sustos
¿Has sentido ese frío escalofrío que recorre tu cuerpo tras ver la factura de compras realizadas en la Play Store? Ya sea por tu hijo, tu sobrino o por familiares poco familiarizados con las nuevas tecnologías, las compras dentro de aplicaciones acaban convirtiéndose en un arma de doble filo que puede fundir tu cartera en menos de cinco minutos. Tras las muchas quejas realizadas por usuarios afectados por este derroche incontrolable, Google ha decidido incluir nuevos métodos de seguridad con los que los usuarios podrán poner más impedimentos a las compras instantáneas de las aplicaciones.

La solución es un nuevo menú dentro de Play Store desde el que podremos elegir la frecuencia en la que nos pedirán nuestra contraseña en cada compra: siempre, cada 30 minutos o nunca. Así controlaremos un poco más nuestro impulsos, y sobretodo estaremos tranquilos cuando nuestro teléfono caiga en manos de los más pequeños.

[Vía Android Community]

Las normas de Apple impiden que un usuario herede el iPad de su madre fallecida

Las normas de seguridad de Apple impiden que un usuario herede el iPad de su madre fallecida
Sabemos que las normas de Apple pueden llegar a ser bastante complejas, pero si todavía no te haces una idea de hasta dónde son capaces de llegar los de Cupertino, será mejor que eches un ojo a la siguiente historia que te traemos. Josh Grant es un londinense que recientemente ha perdido a su madre tras una larga enfermedad. En sus últimos meses de vida, la mujer estuvo haciendo uso de un iPad, y ahora tras la muerte, su hijo quiere recuperar la información y poder utilizarlo a nivel personal. Pero hay un problema: no sabe el usuario y el password de iTunes, ni hay manera de conseguirlo.

Como lees. Desde Apple siguen fieles a su política de privacidad, y ni una copia del testamente ni el certificado de defunción han sido suficientes para que el fabricante de su brazo a torcer. El empeño de este usuario por recuperar el iPad sigue adelante, y ahora tendrá que solicitar una orden judicial que certifique que el iPad pertenecía a su madre. ¿Liberará Apple el usuario y contraseña? ¿Tendrá el usuario que darse por vencido en esta absurda cruzada?

El Bitcoin vuelve a temblar: Un hacker ruso filtra el código fuente de Mt.Gox y Flexcoin cierra sus puertas

El Bitcoin vuelve a temblar: Un hacker ruso filtra el código fuente de Mt.Gox y Flexcoin cierra sus puertas
Por si no tuviera suficiente con el robo de bitcoins y el estado de suspensión de pagos, Mt.Gox ahora tiene que lidiar con la filtración de su código fuente. Eso es justo lo que un hacker ruso llamado "nanashi_" ha publicado en una sala de chat de IRC, un documento de 1.719 líneas con el que aquellos que controlen de programación podrán ver con detalle cómo funciona el sistema de transmisión y recepción de Bitcoins que utilizaba el servicio.

Está claro que esta filtración vuelve a ser un duro golpe para la criptodivisa, ya que sigue devaluándose tras la caída de empresas de intercambio que sucumben ante problemas de seguridad, como por ejemplo Flexcoin, que acaba de anunciar su cierre tras sufrir el robo de 896 bitcoins (unos 450.000 euros). Puede que no sea una cantidad realmente grande, pero la operación podría esconder graves problemas de seguridad que la empresa todavía no ha querido especificar. ¿Se aproxima el fin del Bitcoin?

[Vía TechCrunch]

El nuevo retrovisor LCD híbrido de Nissan ilumina la noche y cancela destellos para evitar accidentes (vídeo)

Los retrovisores con pantalla LCD integrada (y hasta con Flappy Bird para los más energúmenos) dejaron de ser una novedad hace años, pero nunca antes habíamos visto una implementación tan interesante como la que hoy ha anunciado Nissan. El nuevo "retrovisor inteligente" de los japoneses combina un espejo de toda la vida con una pantalla LCD integrada en la propia carcasa y una cámara de visión trasera con procesamiento de la imagen para mejorar la iluminación en todo momento.

Aunque a primera vista parece un espejo retrovisor como otro cualquiera, con solo pulsar un botón el conductor puede cambiar al modo cámara en menos de un segundo, obteniendo una gran vista panorámica muy superior a la brindada por un espejo convencional, más amplia y totalmente desprovista de obstáculos como las cabezas de los ocupantes traseros o deyecciones de pterodáctilos suciedad en el parabrisas trasero. Por si no fuera suficiente, una serie de algoritmos se encargan de aclarar la imagen en los recorridos de menor visibilidad e incluso de contrarrestar el efecto de los focos del tráfico, evitando así deslumbrar al conductor.

Por ahora este retrovisor es un prototipo, aunque Nissan indica que próximamente será utilizado en el coches de carreras como el ZEOD RC, cuyo debut está previsto en las 24 Horas de Le Mans, y ya hay planes para ofrecerlo en su gama de turismos a partir del año 2015. ¿No puedes esperar hasta entonces? Tienes un vídeo del espejo en funcionamiento tras el salto.

Apple explica de qué manera almacena la información del sensor de huella de forma segura

Apple explica de qué manera almacena la información del sensor de huella de forma segura
Como sabes, no están siendo buenos días en materia de seguridad para Apple, que recientemente descubrió un problema grave de seguridad en la conexión de sus equipos que fue ya solucionada mediante una actualización. Pues bien, no es casual que con la presentación del Galaxy S5 con su sensor de huella y las escasas explicaciones dadas por Samsung sobre cómo almacena los registros, sean los de Cupertino los que hayan salido a la palestra a dar explicaciones sobre cómo almacenan esta información de forma segura. El resumen fundamental del asunto es que el procesador A7 cuenta con una zona segura que ni el propio chip ni Apple puede leer y cada sesión de acceso es cifrada de comienzo a fin.

Pero ¿qué sucede con el registro de huellas de cada vez que ponemos el dedo sobre TouchID? Apple explica que sólo permanece en memoria hasta que sirve como clave de acceso, y en cualquier caso, éste es borrado tras 48 horas de inactividad, si hay un reinicio o cinco intentos fallidos de acceso. Tienes toda la información en un PDF haciendo clic en Leer.

[Vía TechCrunch]

Samsung lanza Knox 2.0 para seguir abriendo el mundo corporativo a sus Galaxy

Samsung lanza Knox 2.0 para abrir las puertas del mundo corporativo a sus Galaxy
¿Recuerdas que el año pasado por estas mismas fechas estábamos dando la bienvenida a la plataforma de seguridad Knox? Pues Samsung ha decidido que la mejor manera de celebrar esta efeméride es lanzando una versión mejorada. Es así como conocemos a la nueva Knox 2.0, que nos propone una manera mucho más segura (y sencilla, que también es importante) de proteger y controlar los terminales de la familia Galaxy, un detalle que probablemente agradecerán quienes tengan la posibilidad de utilizar su terminal en el trabajo.

A efectos prácticos la actualización lo que implica es un cambio en la manera en la que se gestionan las aplicaciones de Google Play, protegiendo digitalmente la información para que no haya que pasar previamente por un entorno dedicado de Knox. Según indica Samsung, la mayor parte de los programas de Google Play pueden ahora funcionar en este entorno seguro, por lo que ya no hace falta separar entre apps personales y profesionales como hasta ahora. La compañía está muy comprometida con estas nuevas opciones, hasta el punto que el propio JK Shin básicamente señaló durante el evento el deseo de Samsung de bordar las cosas en el segmento empresarial.




Noticias AOL