Afirman que los antivirus para Android no son muy efectivos

Una de las mayores virtudes de Android también es una de sus mayores contras: la popularidad derivó en que sea el sistema operativo móvil más atacado. Ante esto, algunos usuarios han optado por instalarse antivirus, pero al parecer no serían tan efectivos como podría esperarse.

Investigadores estadounidenses de Northwestern University y North Carolina State University testearon los diez antivirus más populares en Android para comprobar qué tan efectivos son en la defensa contra las alimañás informáticas. Según los profesionales, estas aplicaciones no serían tan seguras como prometen, sino que podrían ser fácilmente neutralizadas por técnicas simples.

Los resultados son bastante sorprendentes. Varios de esos productos no pueden ver hasta ataques de transformación triviales que no involucran cambios a nivel del código, operaciones que un adolescente podría realizar“, expresó Yan Chen, profesor asociado de Ingeniería Eléctrica e Informática en la Escuela de Ingeniería y Ciencia Aplicada de la Universidad de Northwestern.

Las pruebas consistieron en utilizar una herramienta desarrollada por ellos mismos a la que bautizaron DroidChameleon y que dispara una serie de técnicas frecuentes para insertar un virus dentro de un equipo Android: desde hacer cambios al código binario y al nombre del archivo hasta ejecutar un comando en el virus para reempaquetarlo.

Los resultados indicaron que gran parte de los virus no son detectados por las aplicaciones de seguridad, demostrando en que cualquier antivirus para Android puede ser evadido, aunque el nivel de susceptibilidad de cada software varió. La conclusión de los científicos fue que estos programas tienen firmas basadas en contenido demasiado simples, por lo que exigen a los desarrolladores usar análisis más sofisticados para identificar los ataques.

Nuevo troyano para Android explota muchas vulnerabilidades hasta ahora desconocidas

Investigadores de la empresa de antivirus Kaspersky Lab encontraron un nuevo troyano para Android que explota vulnerabilidades anteriormente desconocidas del sistema operativo móvil de Google, el que además toma prestadas técnicas de malware de Windows para evadir la detección y mantenerse instalado en dispositivos infectados.

La aplicación se llama Backdoor.AndroidOS.Obad.a, y lo catalogaron como el malware más avanzado hasta la fecha para Android. Éste fue diseñado para enviar SMS a números premium sin el consentimiento del usuario, así como también permitirle a los atacantes ejecutar comandos desde computadores remotos en el teléfono. Actualmente el troyano se esparce por mensajes de texto spam, aunque no ha alcanzado una gran masividad.

Con el troyano se puede robar cualquier tipo de información de un teléfono, así como descargar otras aplicaciones maliciosas para ser instaladas localmente o distribuidas a otros dispositivos a través de Bluetooth.

Los investigadores de Kaspersky aseguraron que si bien es común que los programadores de malware intenten crear códigos lo más complejos posibles para dificultar su investigación, “es muy raro encontrar un método de ocultación tan avanzado como el malware Backdoor.AndroidOS.Obad.a“.

El malware además intenta adquirir privilegios de root con el comando “su id” cuando se instala en dispositivos rooteados, afirmó Denis Maslennikov, un analista de Kaspersky Lab. “El troyano luce más como un malware de Windows que como otros troyanos de Android en términos de su complejidad y la cantidad de vulnerabilidades desconocidas que explota”, aseguraron en la empresa de antivirus.

Twitter fortalece su seguridad

Twitter ha agregado nuevas medidas de seguridad a las cuentas de sus usuarios en un esfuerzo por impedir la intromisión de personas no autorizadas, anunció el miércoles la compañía.

En una entrada de su blog, Twitter dijo que los usuarios podrán enlistarse en un programa de verificación para ingresar al servicio.

A aquellos que se inscriban, Twitter les enviará un código de seis dígitos en un mensaje de texto cada vez que ingresen a Twitter.com.

Además de su nombre de usuario y su contraseña, los tuiteros también tendrán que escribir dicho código para poder acceder a sus cuentas.

Microsoft Corp., Google Inc. y Facebook Inc. ya permiten una verificación de dos etapas como opción.

Twitter ha sido objeto de críticas por no contar con esta opción, especialmente, después de recientes intromisiones en las cuentas de importantes organizaciones de noticias y otras empresas.

Sin embargo, a diferencia de otras empresas de internet, Twitter pedirá a los usuarios un código de verificación cada vez que cierren y vuelvan a abrir sesión, aunque sea desde la misma computadora.

Los otros permiten omitir eso si se está ingresando regularmente desde la misma computadora.

Microsoft comenzó a ofrecer la verificación de dos etapas en abril. Facebook y Google la tienen desde hace más tiempo.

Los tuiteros pueden adoptar el sistema de verificación de dos pasos desde la configuración de sus cuentas. Para hacer esto, Twitter pedirá, ya sea una dirección confirmada de correo electrónico o un número telefónico que haya sido verificado.

A pesar de que este proceso aumenta la seguridad a las cuentas de Twitter, la red social indicó que los usuarios deben seguir tomando las precauciones de siempre. Eso incluye elegir contraseñas difíciles que sean únicas para sus cuentas en Twitter y no abrir vínculos en correos electrónicos sospechosos.

El malware móvil creció 163% durante 2012

Las amenazas de malware para dispositivos móviles han crecido un 163% durante 2012. En total se han identificado más de 65 mil formas de manipulación de aplicaciones, direcciones web maliciosas y phishing a través de SMS. El 94,8% de los ataques está dirigido a la plataforma Android, aunque más recientemente iOS también ha visto un incremento de las agresiones. Los datos surgen de un estudio realizado por el proveedor de servicios móviles NQ Mobile.

Las tendencias son poco optimistas. Durante 2012 32,8 millones de dispositivos con el sistema operativo de Google fueron infectados. Este valor implica un incremento del 200% respecto 2011. Sin embargo, debe tenerse en cuenta el crecimiento del mercado. Para 2013 se espera que haya unos 798 millones de smartphones tan solo considerando los que operan con Android. Mucho más que los 300 millones de 2012.

Por otro lado resulta interesante remarcar que los ataques no son siempre proporcionales a la población de dispositivos. China concentra el 25,5% de los casos, luego viene India con el 19,$% y luego Rusia con el 17,9%, los Estados Unidos apenas tienen el 9,8%. Arabia Saudita cierra el grupo con un 9,6%.

El 65% de los malware de 2012 incluía spyware, root exploits, troyanos y publicidad invasiva. El 28% estaba diseñado para obtener información personal de los usuarios y sacar provecho de ella. Solo un 7% de los malware estaba destinado a impedir el funcionamiento de los dispositivos. Estos datos indican que los ataques aumentan conforme son capaces de producir beneficios para el atacante. La manipulación de aplicaciones, o App Repackaging, es uno de los métodos más utilizados para la creación de malware.

La técnica supone el agregado de líneas maliciosas a un software legítimo. Luego se sube el programa a Internet para que los usuarios desprevenidos lo descarguen e instalen. Algunas empresas de seguridad han señalado que la ventaja que tiene iOS respecto a Android reside en la implementación del modelo Walled Garden que permite un mayor control sobre las aplicaciones.

Pero los ataques no solo aumentan en número, sino que también se vuelven cada vez más complejos. Existe un tipo de malware que usa a los dispositivos con sistema Android para infectar a las computadoras personales cuando se realiza una conexión entre los dispositivos vía USB. Aunque esta amenaza todavía está limitada a unos pocos dispositivos, es un signo preocupante.

Utilizar fotos de Twitter sin permiso es ilegal en Estados Unidos

Una corte distrital de Manhattan determinó que dos agencias de noticias infringieron los derechos de autor del fotógrafo Daniel Morel, mediante el uso no autorizado de imágenes que había subido a Twitter.

Durante el fallo informado el lunes, el juez Alison J. Nathan determinó que tanto la Agence France-Presse como The Washington Post habían usado sin autorización fotografías que Morel había tomado en 2010, que retrataban los momentos posteriores al terremoto en Haiti.

Morel había usado TwitPic para subir muchas imágenes de la destrucción que había dejado a su paso el terremoto en el país caribeño, ocho de las cuales fueron enviadas a la base de datos de AFP por el director de fotografía de la agencia.

No conforme con ello, esas mismas imágenes fueron entregadas por AFP a Getty Images. En tanto, The Washington Post, usuario de este servicio de fotos de stock, terminó por publicar cuatro de las fotos subidas a Getty en sus propias páginas.

El argumento de la agencia de noticias francesa, antes que reconocer su mal comportamiento, fue plantear que las imágenes subidas a Twitter son perfectamente libres para uso comercial. El juez Nathan, en tanto, consideró que esta aseveración correspondería a “una grosera expansión de los Términos de Servicio de Twitter”.

Si bien lo que recibió Morel fue una parte del dinero que pretendía (es decir, la compensación no se multiplicó por la cantidad de fotos que le fueron “sustraídas”, sino que el fotógrafo recibió una cifra compensatoria por todas), y que, además, no todos los actores involucrados tuvieron parte en el fallo (Getty images fue acusado, pero no fue considerado culpable por el juez), este fallo sienta precedentes para los sitios que hacen uso comercial de las fotografías o imágenes que se suben a las redes sociales. Como aclara Twitter: “como siempre ha sido nuestra política, los usuarios de Twitter son los dueños de sus imágenes”.

Microsoft confirma una vulnerabilidad peligrosa en Internet Explorer

El año termina turbulento para el navegador de Microsoft, Internet Explorer. El programa que ha dominado la navegación por Internet durante más de una década (hasta el ascenso imparable de Google Chrome, que le ha arrebatado el primer puesto durante este año) está sufriendo ataques de cibercriminales que aprovechan un agujero para tomar el control de los equipos infectados. La propia compañía de software ha confirmado que tiene connocimiento de estos ataques exitosos y que está preparando un parche de seguridad que debería salir en los próximos días. Te contamos todos los detalles que se han revelado sobre este agujero de seguridad.

Como suele ser habitual en estos casos, Microsoft no ha desvelado demasiados datos sobre el funcionamiento de una vulnerabilidad para Internet Explorer que está siendo explotada con éxito por cibercriminales. Lo que sí sabemos es que se trata de un agujero peligroso, ya que una vez se ha utilizado con éxito permite a los hackers acceder al ordenador y controlarlo de manera remota. De hecho, su gravedad alcanza cotas bastante grandes ya que la compañía de software estadounidense estaría preparando un parche para lanzarlo lo antes posible, y podría saltarse su política de lanzar actualizaciones de seguridad en bloque durante el segundo martes de cada mes.

Una de las lecturas positivas que se pueden extraer de la información concedida por Microsoft es que la vulnerabilidad solo afecta a las versiones antiguas del programa (Microsoft Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8), mientras que las nuevas versiones de Internet Explorer 9 e Internet Explorer 10 (esta última lanzada de manera oficial junto al sistema operativo Windows 8) se libran de los ataques. El principal consejo que ofrecen los ingenieros de la compañía para evitar los ataques consiste en actualizar la versión del navegador a las últimas disponibles, de manera que se librarían por completo del peligro.

No obstante, aquellos usuarios que quieran seguir utilizando versiones antiguas de Internet Explorer pueden realizar una serie de medidas para aumentar la seguridad, como por ejemplo desactivar JavaScript, desactivar Flash o instalar una herramienta que ya se desplegó con motivo del anterior agujero encontrado en septiembre. Dicha herramienta permite identificar las partes que se modifican del navegador y hacer que el programa se cierre (en vez de permitir que los cibercriminales realicen con éxito su ataque).

Lo que no se ha desvelado son los elementos que resultan comprometidos (se habla de una corrupción de la memoria) ni el modo en el que los cibercriminales pueden atacar con éxito al equipo. Tampoco tenemos datos sobre el número de ordenadores que habrían sido infectados ya a través de este ataque, aunque el primer descubrimiento de una web infectada a través de esta amenaza se produjo el pasado 21 de diciembre. Sin duda, una mala forma de terminar el año para el navegador de Microsoft, que ya descubrió un agujero grave el pasado mes de septiembre que provocó que muchos expertos aconsejaran dejar de utilizar el programa hasta que se lanzó la solución. Mucho tendrá que trabajar en 2013 la compañía para recuperar el trono que le ha arrebatado Google Chrome (según los datos de StatCounter).

Hackean 55.000 cuentas de la red social Twitter

Alrededor de 55.000 cuentas de la red social Twitter habrían sido hackeadas ayer, según confirmó la propia compañía. Los datos revelados incluyen las direcciones de correo y las contraseñas de los usuarios afectados, muchos de ellos perfiles falsos y cuentas duplicadas.

“Estamos estudiando la situación. En el interín, se ha llevado a cabo el restablecimiento de contraseñas a aquellas cuentas que pueden haber sido afectadas”, explicó un portavoz de la plataforma de microblogging al portal CNET. Además sugirió que aquellos que tengan dudas y sospechen que su cuenta ha sido vulnerada, contemplen la posibilidad de cambiar sus contraseñas, para mayor seguridad.

Por ahora la identidad del autor del ataque, como así también los motivos por los que fue hecho el hackeo, no han sido revelados. Mientras tanto, el misterio sobre el episodio crece, ya que Twitter ha confirmado que de las 55.000 cuentas, 20.000 son perfiles duplicados, muchas otras son cuentas con correos electrónicos no deseados que ya han sido suspendidas e, incluso, credenciales de acceso que no parecen estar vinculadas (la contraseña y el nombre de usuario no están asociados uno con el otro).

La lista completa de usuarios afectado ha sido publicada por el sitio Airdemon.net, donde pueden consultarse 5 links que incluyen el listado completo de cuentas hackeadas:

Lista 1

Lista 2

Lista 3

Lista 4

Lista 5

Microsoft solucionó fallo de seguridad en contraseñas de Hotmail

Luego de que un grupo de Hackers marroquíes empezará a probar en foros que podían accesar en tan solo un minuto a las cuentas de Hotmail, el servicio de correo electrónico logró corregir a tiempo la falla de seguridad que implicada a 13 millones de cuentas.

La actividad consistía en que los usuarios de Firefox podían resetear la contraseña de los usuarios Hotmail por medio de la web y así dejar a estos fuera de su cuenta.

El problema era causado con un add-on de Firefox llamado Temper Data, que permitía a los hackers en tiempo real desde su navegador interceptar requerimientos HTTP para luego modificar los datos de las cuentas.

Es decir, los hackers podían en Hotmail resetear la contraseña de cualquier usuario a través de la herramienta de Firefox para recuperar claves perdidas, y luego de esto velozmente cambiar el requerimiento para poner un password diferente.

Se sabe que la solución a este problema por parte de Hotmail fue aparentemente sencilla, ya que se arregló en solamente un día desde que se conoció el hecho.

Igualmente, para saber si su cuenta fue una de las afectadas lo único que puede hacer es ingresar a su E-mail, y si no puede acceder quiere decir que la contraseña fue cambiada.

Asimismo, la empresa Microsoft afirmó que solamente algunas cuentas se vieron afectadas por los hackers marroquíes.

Facebook lanzó su antivirus gratuito

En los últimos días Facebook dio un paso más para garantizar la seguridad de la información de sus usuarios y presentó su aplicación Antivirus Marketplace, desarrollado tras el acuerdo con otras empresas del sector.

De aquí se podrán obtener programas como Norton Anti-Virus 2012, TrendMicro Titanium Security Essentials (PC) y Smart Surfing (Mac), McAfee, entre otros, para proteger sus equipos.

Los interesados podrán descargar cualquiera de estos antivirus y obtendrán una licencia de uso totalmente gratuita con una duración de seis meses.

En un comunicado los responsables de este en Facebook señalaron que creen que armar “a nuestros usuarios con software de antivirus les permitirá mantenerse seguros sin importar dónde estén en la web”.

La compañía también sumó las listas negras de Microsoft, McAfee, Sophos, Symantec y TrendMicro a su registro, para evitar que links peligrosos se publiquen en la red social, y para advertir a los usuarios en caso de que alguno se haya colado.

Falso Instagram envía SMS sin autorización

Hay aplicaciones que supieron ganarse un lugar de privilegio entre los smartphones, tal es el caso de Instagram que luego de un exitosísimo paso por iOS llegó a los equipos Android para superar el millón de descargas durante las primeras 24 horas de disponibilidad.

Pero un problema creciente en el mercado de la telefonía móvil es el de la seguridad, y esto vale para todos los sistemas operativos. No solo debemos tener cuidado de aplicaciones que oficialmente se publican en las tiendas y que maliciosamente “roban” nuestros datos, sino además de falsas aplicaciones como la que desde un sitio ruso, de idéntico aspecto al de Instagram, dice ofrecer esta misma aplicación con la posibilidad de descargar el APK para su instalación manual. Una vez puesta en marcha, y habiéndole otorgado los permisos, esta aplicación comienza a enviar SMS de manera automática a servicios que cobran por recibirlos (como los tantos que hay destinados a concursos varios), y de buenas a primeras nuestro crédito “vuela” sin que sepamos por qué.

Por supuesto que aquí el principal “responsable” es el usuario, que en vez de ir al icono de Google Play (la tienda de aplicaciones de Google), buscar la aplicación e instarla desde ahí, decide entrar por su cuenta en una web, bajar el APK (el “instalador”, por decirlo de manera simple), e incorporarlo por cuenta propia.

Aquí intervienen varios factores. Si bien Instagram es gratuita, en muchas ocasiones los usuarios de Android pululan por estas web “no oficiales” con el objetivo de bajar aplicaciones comerciales sin tener que pagar por ello. Y es justamente donde abundan casos como éstos.

Pero también existe otra situación, un tanto más complicada, y que la motiva el propio fabricante del equipo. Al ser Android un sistema operativo libre, muchas empresas están lanzando al mercado sus propias Tablets a bajo costo, con versiones del sistema modificadas por ellos. Y en muchos casos nos encontramos con equipos que no cuentan con el acceso a la tienda oficial de Google, sino a una tienda paralela que el fabricante creó, donde están sólo las aplicaciones que a ellos deciden ofrecer (probablemente para evitar problemas de compatibilidad con un sistema que no lograron insertar de una forma estable).

Es entonces cuando los usuarios, ante la no disponibilidad de aplicaciones como Instagram en la “tienda” a la que da acceso el equipo de fábrica, y la imposibilidad de descargar el APK de forma manual desde el sitio oficial (que nos deriva a Google Play para su instalación), terminan optando por ir a sitios que les ofrezcan esta alternativa, aún cuando su intención no sea hacerlo de manera ilegal.

Conclusión: para evitar dolores de cabeza, en principio asegúrense que el equipo Android que compren no tenga ninguna restricción en cuanto al libre uso del sistema operativo con todas sus funcionalidades (acceso a la Google Play incluida). Y de ser así, no instalen aplicaciones si no es por este medio.

Un nuevo virus amenaza a Facebook

Bajo la leyenda "¿Ya viste que sales en un video?" se intenta infectar los equipos de los usuario que abran la aplicación. Es enviado por contactos que fueron atacados y se presenta como un video real. Se recomienda no abrir enlaces que no estén comprobados

Una vez más los virus eligen las redes sociales para expandirse, y otra vez los usuarios de Facebook se ven amenazados por un programa malicioso que se esconde detrás de una aplicación en la cual un contacto te sugiere que veas un video en el que apareces.

Se trata de un enlace que se publica en los perfiles bajo la consigna "¿Ya viste que sales en un video?", supuestamente enviada por un amigo y que redirecciona a una página con una link de descarga.

En la mayoría de los casos la frase utilizada es bastante genérica, pero en otras oportunidades puede ser más amistosa e incluso incluir el nombre del usuario, como otra forma de engaño.

La web a la que son redireccionados los usuarios simula el diseño de Facebook, pero en realidad se encuentra alojada en un dominio de Blogspot, que pertenece a la plataforma Blogger de Google.

Allí se pide instalar un complemento para el navegador, pero esto solo sucede en los browsers que permitan la instalación de estas extensiones. Esta herramienta es una supuesta extensión para visualizar videos de YouTube, pero en realidad es un código malicioso que se usa para propagar esta amenaza a otros usuarios.

Por último, si se siguen todos los pasos, el virus te invita a un portal donde debes introducir el número de celular para recibir un supuesto código, y así lucrar a base de suscribir al usuario a un servicio de tarifa especial de recibo de mensajes SMS.

La amenaza se está expandiendo en varios idiomas, y afectó a internautas de Estados Unidos, España y Latinoamérica. Las recomendaciones para evitar ser infectados es evitar abrir enlaces que no este comprobados.

El spam encuentra nuevos recursos para colarse en nuestros equipos

MessageLabs es un producto de Symantec orientado al correo electrónico y en particular al combate de virus y spam en ese entorno. En su informe íntitulado “MessageLabs Intelligence”, que se publicó recientemente, se advierte que los spammers, esos individuos que se dedican a invadir nuestras casillas con ofertas y “soluciones” que jamás tuvimos intención de conocer, han encontrado un nuevo e ingenioso método para hacer llegar sus indeseado mensaje. Esta vez el ardid consiste en crear servicios falsos de abreviaturas de URL´s, esos que sirven para no escribir direcciones tan largas, para redireccionar a su antojo nuestros desprevenidos click, en lugar de las direcciones a las que en realidad apuntaban.

La maniobra funciona de la siguiente forma: La URL abreviada que creemos en el sitio falso, con total inocencia, no es la que recibiremos en nuestro correo o la web, en su lugar nos llegarán URL´S abreviadas creadas en un sitio legítimo, como puede ser Bitly, pero que nos redirigen al sitio de URL´S falso, que a su vez te envía directamente al sitio web del spammer. Y allí te divertirás un buen rato tratando de cerrar ventanas o el sitio, pensarán con acierto algunos.

Y como estos muchachos no descansan en su afán de hacerse leer, habían creado sus dominios de destino unos cuantos meses antes, de forma que los servicios de URL´s buenos, no detectarán ninguna anomalía por la antigüedad del domino.

Y esta treta que te contamos consiguió aumentar en casi un 3 por ciento el spam a nivel global.

Desde Symantec lanzaron la advertencia. “Hemos perseguido por varios años a los spammer en su uso de los servicios de abreviaturas de URL´s y esta es una nueva técnica”, señaló Paul Wood, de la empresa encargada del informe.

En todo caso, para no despertar ninguna alarma inútil, les dejamos enlaces a servicios conocidos de abreviatura de URL´s, para los que necesiten.

Bitly (el servicio usado en Twitter)

TinyURL

ShortURL

Un desliz en iTunes revela la funcionalidad "Descarga automática" para las aplicaciones de iOS

¡Ja! De aquí sale alguien despedido de Cupertino seguro. iTunes ha mostrado un mensaje con una funcionalidad que aún no existe durante unas horas para después desaparecer sin dejar rastro:

Si tu dispositivo tiene la descarga automática activada para las aplicaciones, tus actualizaciones se descargarán al dispositivo sin tener que sincronizar.

¿“Descarga automática”? No sabemos nada de una funcionalidad que se llame así, y mucho menos que sea capaz de actualizar las aplicaciones directamente a nuestros teléfonos o tablets. Pero por lo visto es lo que planea ofrecernos Apple como parte de la migración a la nube que va a plantear pasado mañana.

Lo que no queda claro es de dónde se descargarán estas actualizaciones. Puede que lleguen directamente de los servidores de Apple, con lo que ni nos daríamos cuenta de que las aplicaciones se estén actualizando. Otra posibilidad es que se descarguen desde esos rumoreados nuevos Airport Extreme o Time Capsule equipados con iOS y con procesadores A4/A5. De un modo u otro, nos podríamos saltar la sincronización con el cable USB.

Ahora falta saber si este tipo de actualizaciones también será la base para la sincronización inalámbrica de los dispositivos o de comprar aplicaciones desde la web para que se descarguen directamente a los dispositivos, como llevan haciendo los usuarios de Android desde hace bastante tiempo. Quedan menos de 48 horas para saberlo.

Chrome Invulnerable: los hackers apuntaron a otros navegadores

¿Conocen Pwn2Own? Bueno, si se encuentran en el mundo del hacking sin dudas lo conocerán. Pero de lo contrario también hay algunos detalles que les interesarán mucho. Hace algunos días publicamos la noticia en la que informábamos sobre la gran apuesta de Google en para esta particular contienda de hackers: U$S 20.000 a quien pueda hackear Chrome.

¿El resultado de este desafío? Ninguno de los inscriptos pudo con Chorme, aunque en honor a la verdad, los pocos interesados desistieron antes de probar. Sin dudas el prestigio y las características de seguridad del navegador de Google, hicieron que los que pensaron en vulnerarlo fueran a probar suerte con otras aplicaciones.

Los que decidieron subirse a los desafíos de la conferencia de seguridad CanSecWest, dirigieron sus cañones hacia otro lugar. Internet Explorer 8, corriendo en Windows 7, sufrió un ataque que rápidamente desnudó sus vulnerabilidades. Por parte de Apple, su iPhone 4 fue vulnerado y hasta Safari cayó rendido a manos de los hackers.

Otro de los que pudo ser vulnerado en este particular concurso fue BlackBerry, para sumarse al rubro de los sistemas móviles que tendrán algunos puntos que mejorar, en cuanto a seguridad se refiere.

En la lista de los productos que han podido mantenerse sin ser hackeados en el Pwn2Own se encuentran Firefox, Android y Windows Phone 7.

Encontraremos más información sobre el CanSecWest Vancouver 2011 en el sitio web: http://cansecwest.com/

Lo último en Seguridad para BlackBerry

Un nuevo sistema de seguridad para BlackBerry ha llegado. Se trata del BlackBerry Protect, aplicación que definitivamente nos salvará en caso de pérdida de nuestro teléfono.

El año pasado tuvo su beta cerrado, pero hoy ya está disponible para ser probado por todos los usuarios. Dentro de las cosas que nos permite esta aplicación podemos destacar:

* Asistencia para localizar nuestro equipo vía GPS.
* Bloquear nuestro equipo y ponerle un password definido.
* Activar un sonido bastante fuerte en el caso que no encontremos nuestro teléfono. Aún cuando éste se encuentre en Modo Silencio.
* Forzar un backup de información, aún cuando el equipo no se encuentre en nuestro poder.
* Permitir, como último recurso, borrar todos los datos de tu equipo y tarjeta SIM.

Es importante destacar que este programa se maneja a través del sitio web de BlackBerry, de forma de tener tus datos de manera segura y confiable. El Beta en estos momentos se encuentra abierto para usuarios de Norte América y para algunos países de sudamérica. Pueden acceder a ella a través del siguiente link.

Paradoja en el mundo informático: los riesgos de estar seguros

Entre las primeras preguntas que se hace seriamente una empresa cuando quiere obtener un mayor nivel de seguridad, una de las más implacables es ¿qué grado de seguridad se puede obtener? Está claro que la seguridad absoluta no existe, pero ¿cuánto es suficiente? Sobre eso mismo quisiera tratar estas líneas.

Daremos por sobreentendido que existe una organización, distintos niveles de jerarquía, infraestructuras, equipamiento y toda clase de activos. Si consideramos que hablamos de seguridad de la información, lo primero que se debería hacer es determinar cuáles son los activos de información que posee la empresa. Luego de esto, ya podemos comenzar con una serie de preguntas a veces difíciles de contestar. La primera podría ser: ¿qué eventos podrían afectar a mis activos? Supongamos que tenemos un datacenter con varios servidores, claramente nos enfrentaríamos al problema de quedarnos sin energía eléctrica, o sin conexión a Internet. Dependiendo del grado de impacto que tengan estos sucesos en la operatoria del negocio, se deberán tomar ciertas medidas.

En pocas palabras, lo que estaremos haciendo es un análisis de riesgos. Si ahondamos más en la cuestión, veremos que muchos de los problemas típicos a los que se enfrenta una empresa, suelen ser los mismos que los que tienen las demás, por lo que en general no será necesario reinventar la rueda, ya que incluso existen manuales y diferentes metodologías para abordar el análisis y gestión del riesgo.

De cualquier manera la discusión no pasa por saber qué nos afecta, sino mas bien cuánto nos afecta y qué podemos hacer al respecto. Por ejemplo, si para defendernos de un posible ataque alienígena al datacenter necesitamos una serie de ametralladoras antiaéreas, probablemente nuestro negocio no consiga sustentarlo, debido a la baja probabilidad de ocurrencia del incidente, a pesar de su potencial efecto destructivo. Es decir, podemos disminuir el daño causado por el impacto de la amenaza, pero ¿hasta qué punto? Este es el problema.

En general se habla de administración de riesgo, no de eliminación, ya que en general no es posible eliminarlo (a menos que se elimine el activo afectado). Tal como el error, el riesgo se puede minimizar, pero no eliminar. Además, se puede transferir (por ejemplo contratando una póliza de seguro) o admitir (aceptar). La decisión será tomada en función de cuánto se esté dispuesto a gastar. Para minimizarlo se tomarán contramedidas, que están orientadas a reducir el daño o el impacto, o también a impedir su ocurrencia.

En pocas palabras, el riesgo deberá disminuirse hasta un umbral tolerable por el negocio. Si se admite la posibilidad de pérdida de una suma de dinero y la empresa lo puede sustentar, el riesgo estará correctamente gestionado. Como ya es sabido, las decisiones en seguridad no se toman en función de la tecnología, sino de la continuidad y mejora del negocio.

Seguridad y Negocios: un noviazgo con relaciones complicadas

Las empresas toman decisiones todo el tiempo. Cambian tecnologías, implementan nuevas normas, contratan personal, crean productos, brindan servicios, etc. Todas tienen su objetivo, su corazón del negocio. Pero ¿qué papel juega la seguridad de la información en el negocio de las organizaciones?

Pensándolo bien, exceptuando las empresas que se dedican a prestar seguridad, la seguridad no es el foco del negocio de ninguna empresa, solo que su importancia superlativa obliga a que sea tenida en cuenta, pero en muchas ocasiones trata de evitarse por diversos motivos. ¿Y por qué razón se intentaría evitar la seguridad? ¿No es acaso siempre una buena idea estar más seguros? Propongamos algunas teorías:

* La seguridad puede ser muy costosa. Esta afirmación dependerá de muchos factores, pero lo cierto es que en muchos casos pueden obtenerse grandes avances y muy rápidos con muy poco esfuerzo (aplicación directa del principio de Pareto, del 80/20).
* La seguridad requiere personal muy capacitado. Esto es completamente cierto, pero también se requiere personal muy capacitado para otras tareas, y sin embargo no se evitan. Un especialista en asuntos legales es requerido en toda organización, y no se lo evita porque se corre el riesgo de incumplir la ley y que pueda llegarse a cese de las operaciones. Lo mismo ocurre con un especialista en finanzas, contabilidad, ingeniería, etc. En caso de que el problema sea la dificultad en la contratación de personal, la alternativa de la tercerización (outsourcing) de servicios siempre está como opción válida.
* No se puede garantizar la seguridad. Esto también es cierto, sin embargo pueden reducirse los márgenes de error y riesgo a límites muy pequeños, tales que la organización pueda sostenerlos en función de su propio negocio.
* La seguridad representa una inversión que no puede retornar. En cierta medida esto tiene tu veta de realidad, dado que al agregar mecanismos, hardware, software y herramientas de seguridad, no se busca hacer que la empresa gane mas dinero, sino más bien que exista la probabilidad de que no lo pierda.

Por estos y otros motivos, las empresas tienen muchos reparos a la hora de implementar seguridad, pero hay algo que puede observarse, y es que en ningún caso se consideran problemas tecnológicos, ya que a medida de que van apareciendo las distintas amenazas, aparecen soluciones correspondientes.

Y esto podemos ampliarlo al horizonte de la información más allá de la tecnología, como siempre decimos, ya que la seguridad informática solo se refiere a dichos temas, en tanto que la seguridad de la información amplía su definición a aspectos también administrativos, físicos y humanos.

En esta misma línea, sabemos bien que seguridad y comodidad siempre son inversamente proporcionales, por tanto, a mayor seguridad, menor comodidad, y viceversa. Dicha paradoja es una ecuación que apuntan a resolver los profesionales de la materia, ya que todos desearían tener alta seguridad y alta comodidad (imaginemos la incomodidad de una contraseña larga, y la seguridad asociada a la incomodidad de una contraseña larga, o la incomodidad de una puerta con 4 cerraduras versus la seguridad de la misma).

En conclusión, las decisiones de negocios se toman en base a elementos que permiten planificar y calcular los mejores resultados para los fines de la empresa, y la seguridad de la información parece ser un impedimento o entorpecedor directo de este proceso. La realidad indica que la seguridad es un asunto de negocios, y aumentará o disminuirá según se disponga (o no) a nivel de la dirección de la organización. Cualquier implementación de seguridad se realizará en función de una evaluación previa del impacto que podría tener el omitirla, o bien, en el peor de los casos, en los momentos posteriores a los incidentes, que obligan a tomar medidas correctivas costosas a todo nivel, por no haber tomado las medidas preventivas correspondientes.

¡Cuidado con los pen drives!

Estos dispositivos son geniales: pequeños, discretos y con mayores capacidades de almacenamiento cada día, permiten transportar con facilidad fotos, canciones, presentaciones y miles de datos. Sin embargo, pueden convertirse en un arma de doble filo.

Sucede que todas las ventajas de los pen drives pueden volverse en contra de la empresa cuando quien lo porta es alguien malintencionado, o que inserta “promiscuamente” su pen drive en cuanto puerto USB encuentra. ¿Por qué? Con un dispositivo de este tipo, un empleado desleal podría copiar la base de clientes de la compañía donde trabaja, o cualquier otro tipo de documento. De la misma manera, podría insertar en la PC un pen drive infectado y dispersar rápidamente el malware por toda la red de la compañía.

Por estos motivos, es importante que en la pyme se establezcan ciertas pautas con respecto al uso de estas pequeñas unidades de almacenamiento. Primero, generar conciencia entre los empleados. De hecho, no todos saben que el pen drive puede portar virus y provocar serios problema en la red. En segundo lugar, es esencial contar con políticas sobre la accesibilidad a los equipos y establecer perfiles para saber quién utilizó cada PC para realizar una actividad específica. En el mercado existen soluciones de bajo costo que ofrecen este servicio y otros, como analizar los eventos que acontecen en cada máquina en tiempo real y generar informes detallados.

En definitiva, no se trata de tapar con cintas los puertos USB de las computadoras o prohibir el uso de pen drives, sino de estar atentos acerca de los riesgos que estos dispositivos pueden acarrear a la pyme, y actuar en consecuencia antes de que algún hecho inesperado lo tome por sorpresa.

Por: Débora Slotnisky

Licenciada en Ciencias de la Comunicación y Periodista.

Antes de elegir una contraseña, me tomo unos minutos

La mayor parte de los internautas utiliza contraseñas sencillas y poco originales como mecanismo de seguridad, tales como el nombre de ellos mismos, el sus hijos o mascotas. Así lo afirma un estudio realizado en EE.UU., a partir del cual también se supo que muchas personas recurren concretamente a las secuencias “1234” y “qwerty”. Qué aconsejan los especialistas.

La poca importancia que la mayoría de los usuarios otorgamos a las contraseñas facilita la intrusión de piratas informáticos y, por qué no, de algún familiar, cónyuge o empleado ávido de saber más acerca de nuestra vida laboral, personal o incluso amorosa.

La elección de la contraseña en un tema relevante, y como tal requiere de algunos minutos de meditación. Pensemos por un instante qué mal nos sentiríamos al descubrir que alguien lee nuestros e-mails, curiosea dentro de nuestra PC o revisa nuestros movimientos bancarios a través del servicio de home-banking. Sería una experiencia traumática, ¿no?

Para evitar (o al menos no facilitar) el hecho de que nuestras claves sean descubiertas, es posible utilizar palabras que contengan al menos 8 caracteres, una letra mayúscula y un símbolo o número.

En un contexto en el cual la información tiene cada día más poder, es menester otorgarle a las contraseñas la atención y los cuidados que merecen. Y, claro está, no revelárselas nunca a nadie.

¿Cuáles son los riesgos de hacer click en “aceptar” en la web?

A la hora de entrar o registrarse en las redes sociales, pocos son los usuarios que se detienen a leer las condiciones de uso de los portales que visitan o de los que quieren formar parte, suponiendo que esto insume una pérdida de tiempo y haciendo click en todas las pestañas que dicen “aceptar” sin saber lo que realmente contienen, pero ¿qué hay detrás de los contratos para ingresar a un sitio web?.

Por empezar, este descuido por parte de los internautas, que no es ajeno a redes tales como Facebook, Sónico y Hi5, o a sitios como Blogger, MSN Messenger, y Taringa! es aprovechado por algunos anunciantes para vender avisos, dado que el envío de publicidad, uno de los principales sustentos de este tipo de páginas, se pacta en los contratos que nadie lee.

Como ya es sabido, la mayoría de los sitios usan los datos que suben a Internet los usuarios cuando se registran y personalizan los anuncios, propios o de otros que les pagan por ese servicio, y tanto la información que colocan los usuarios en sus perfiles, como los comentarios que expresan hostilidades o preferencias, forman parte de un apetecible legajo virtual que es recolectado con la imprudente aprobación de los beneficiarios, según informó un matutino local.

De este modo, los administradores de los distintos websites pueden segmentar a su público por edad, sexo y nivel educativo, y tener datos precisos sobre sus gustos y costumbres, garantizando a sus clientes que la publicidad que están enviando va a llegar al consumidor indicado.

Según Martín Spinetto, gerente de Servicios Online de Microsoft, “no se comparte la base de datos con otras empresas, pero sí vendemos audiencia“. En el Centro de Privacidad de la firma se anuncia: “Microsoft no venderá, alquilará ni cederá sus listados de clientes a terceros. En ocasiones, como ayuda para poder prestar los servicios, podrá proporcionar datos a otras empresas que actúan en nombre de Microsoft“.

En tanto, Alberto Arébalos, director de Asuntos Públicos de Google, enfatizó el cambio de rumbo que se introdujo en los servicios web: “La publicidad basada en intereses, es una modalidad que le permite al consumidor elegir los temas que quiere ver y, en caso de no estar interesado, seleccionar la opción de no mostrar ninguna propaganda en su sitio“.

Otra cuestión es el uso que en la red se hacen de los materiales que suben los usuarios, lo que puede llevar a quejas por la exhibición de contenidos o imágenes no autorizadas, y si bien es cierto que todavía no se reportó ningún caso de expropiación por parte de una de estas redes, ¿qué sucedería si alguien se consagra como escritor, músico o fotógrafo? ¿Quién garantiza que el contenido que tiene en la página no va a ser explotado por la dueña de todos sus derechos?

Por ejemplo, una de las cláusulas del contrato de MySpace dice que “al mostrar o dar a conocer cualquier contenido en los servicios MySpace o a través de estos, por el presente usted concede a MySpace una licencia limitada para usar, modificar, eliminar o agregar información, presentar públicamente, mostrar públicamente, reproducir y distribuir dicho contenido“.

Algo similar sucede con Taringa!, uno de los portales más visitados por los navegantes argentinos, que se adjudica expresamente los derechos de autor sobre la obra de clasificación y compilación realizada por cualquiera de sus usuarios, obligándolos a transferirle todos los derechos que pudieran corresponderles.

Consultado por el diario Clarín, el abogado Leandro González Frea aseveró al respecto que estos servicios están amparados por la Ley de Defensa del Consumidor, pero que estos contratos de adhesión están redactados de forma unilateral por las empresas, no dando lugar a los usuarios para negociar los términos de inclusión.