¿Servicios de Google seguros?
Ya sabéis que Google es todopoderoso y por ello la vieja frase que decía que si no sales en televisión no existes ya se ha cambiado por “si no estás en Google no existes”. Google siendo lo que es, y con los antecedentes de poca transparencia que tiene, busca aumentar la confianza de sus usuarios en cuanto a seguridad y privacidad. Pero esto último puede que tenga algo que ver con las leyes de la Unión Europea, y su obligado cumplimiento.
Así que la pregunta pertinente podría ser “¿Realmente Google nos quiere ayudar con sus servicios o persigue otras cosas más comerciales?”
Veamos algunos ejemplos. En la configuración de tu cuenta de Gmail, dicen que te quieren ayudar con ciertos aspectos. Algunos son interesantes, no podemos negarlo, pero otros también los ofrecen otras empresas, aunque no diremos nombres.
Comparar tus cuentas almacenadas en Chrome, si has iniciado sesión, con fugas de datos de “otras” empresas, como dejan bien claro:
“Algunas de tus contraseñas han quedado expuestas en una quiebra de seguridad de datos que no es de Google.”
Luego indican todo lo que supuestamente hacen para que tu día a día sea más seguro:
Google Chrome
- Bloquear miles de páginas al día con contenido engañoso.
- Proteger 1.500 millones de bandejas de entrada, contra phishing, encriptación de datos entre sus servidores o diversas opciones de autenticación, como 2FA.
- Pagos seguros con Google Pay.
- Las medidas de seguridad de Chrome, para que navegues con toda tranquilidad:
– Navegación segura, zona de pruebas, etc. para protegerte de sitios peligrosos y de software malicioso.
– Actualizaciones de seguridad automáticas.
– Ayuda al crear contraseñas, como ya hacen otros navegadores.
– Modo incógnito, para poder navegar sin que se guarde la actividad en ningún sitio.
Y aparte de todo esto ponen a tu disposición varias herramientas propias, para poder corregir malos hábitos, dar recomendaciones o poner solución a errores, todo ello en MyAccount.
También inciden en el tema de la privacidad, intentando cambiar la sensación que tienen los usuarios de ellos, con frases como la que podéis leer en ESTE enlace o la siguiente:
“Promovemos rigurosas prácticas relacionadas con datos para proteger tu privacidad. Nunca usamos con fines publicitarios el contenido que creas y almacenas en aplicaciones como Drive, Gmail y Fotos.”
Seguro que muchos de vosotros sois conscientes que Google es más que un buscador. Nos intenta satisfacer rápidamente nuestras necesidades con sus servicios y recalca la importancia de nuestra seguridad. Pero, ¿realmente estamos seguros con ellos?
La lista de productos y servicios del gigante tecnológico es muy extensa. Os podemos refrescar la memoria mencionando Google Drive, Gmail, Google Maps, Google Street View, Google Earth, Google Chrome, YouTube, Google Libros, Google Noticias… Pero está claro: su fama viene de un buscador. El simple hecho de vincularlo a este motor de búsqueda seria limitar su cobertura en la web. Pero es innegable que su fuerza sigue siendo enorme. ¿Quién no ha buscado a través de Google? ¿Alguno de vosotros utiliza otros buscadores?
Podéis ver algunas opciones de navegadores alternativos a Google en un artículo de TECNOideas de 2018 AQUÍ.
One World Trust es una fundación creada en 1951 por parlamentarios de varios partidos cuyo objetivo es mejorar la gobernanza global para hacer prosperar los intereses de toda la humanidad. Publica un ranking en el que examina instituciones gubernamentales, empresas nacionales, multinacionales y ONG. Según este ranking, Google es una de las instituciones menos confiables y transparentes, al negarse a colaborar con la Unión Europea en el caso de retención de datos a los consumidores. Además el gran buscador logró un cero a nivel de transparencia. Podéis ver la noticia en The Register, una web británica de noticias de tecnología y opinión. Aunque este ranking tiene ya unos años y algunas cosas han cambiado, creemos que es suficientemente clarificador.
Los internautas que realizan búsquedas a través de este buscador y tengan cuenta en alguno de los servicios (como en Gmail) son “vigilados” de alguna forma, es decir, todas las búsquedas que se realizan y todos los sitios web visitados quedan en una base de datos: siempre que haya ingresado a su cuenta de Google.
¿Servicios de Google seguros? Google es un negocio y todo lo que hace es por una razón, no por el simple amor hacia los usuarios. Todos sabemos esto y no necesitamos aclaraciones. Es algo obvio. Pero conviene recordarlo de vez en cuando para que todos seamos plenamente conscientes de ello cuando usemos sus productos y servicios.
También conviene recordar que hay cosas que podemos desactivar sin más, como os explicábamos en este artículo de noviembre de 2019 de nuestro blog y que podéis volver a leer AQUÍ.
- Publicado en Consultoría, General, Malos hábitos, Privacidad
Factura digital vs factura enviada por e-mail
Hay conceptos y hábitos muy arraigados cuando usamos la tecnología. La mayoría se basan en habladurías, conformismo o no querer buscar una mejor opción. Así cuando preguntamos a los clientes las respuestas suelen ser parecidas a estas: “todo el mundo lo hace”, “no pasa nada”, “mis compañeros lo hacen igual” o “¿si no, cómo lo hago?”. Y así se cumple una de nuestras premisas: los primeros que facilitan el trabajo a los ciberdelincuentes son los propios usuarios.
En seguridad de la información, estas premisas no valen, y debemos buscar siempre las mejores opciones, aunque a veces sea sacrificando un porcentaje de productividad diaria, que es mínimo por mucho que la gente se empeñe en decir lo contrario. Temas como guardar las contraseñas en el navegador, no cambiar las de entrada al ordenador cada cierto tiempo, revisar el remitente de cada correo, pensar tres segundos antes de clicar un enlace, etc.
Seguridad y LOPD
La seguridad debería ser una de las prioridades de cualquier empresa y por supuesto, cumplir la Ley Orgánica de Protección de Datos (LOPD). Uno de los temas más importantes y que peor se trata, en general, es el envío de facturas y otra documentación sensible por correo electrónico. Enviar con un simple correo electrónico contratos, nóminas, recibos bancarios o incluso Zips con todo lo anterior, es una práctica relativamente habitual. ¿Alguno de vosotros ha enviado un paquete similar a vuestro gestor durante la campaña de la Renta?
Ya sabemos que hay que diferenciar lo importante de lo urgente, pero eso no debería ser excusa para enviar archivos de esta forma, escudándose en que “es necesario para una gestión”.
Recientemente y nada menos que para la inscripción en un curso de protección de datos, nos obligaban a enviar todos estos documentos y alguno más, a través de un simple correo electrónico, sin ofrecernos una alternativa segura. Y en caso de no hacerlo, nos anunciaron que no podríamos matricularnos en el curso.
Pero… ¿es seguro el correo electrónico?
Pues depende de muchas cosas, pero mayormente y debido al mal uso, la respuesta debe ser que no es seguro; y vamos a razonarlo.
En primer lugar, puede depender de si estamos incluidos en listas de distribución de spam, con lo que nos llegaran más correos de este tipo, y seguramente también correos de phishing u otros potencialmente peligrosos.
También puede depender de si hemos usado con anterioridad algún servicio y claro, si lo hemos hecho estaremos registrados con ese correo electrónico. En principio no debe pasar nada, pero si la empresa que ofrece el servicio demandado ha tenido una fuga de información (cosa muy, muy habitual), nuestras credenciales han sido comprometidas, tanto el usuario (e-mail) como la contraseña usada.
Llegados a este punto, cualquiera que vea una de estas listas podrá acceder a nuestro correo, ya que casi todas tienen activada la opción cliente web.
Esta opción permite interactuar con nuestra cuenta a través de un navegador web, o la opción de autoconfigurar para clientes tipo IMAP (del inglés Internet Message Access Protocol, o sea Protocolo de Acceso a Mensajes de Internet) o POP3, (Post Office Protocol = Protocolo de Oficina de Correo), lo que a efectos prácticos significa la totalidad de clientes de correo de ordenador o de smartphone.
Una vez accedido a nuestro correo, el modus operandi es esperar a que haya algún tema jugoso que pueda reportar mucho dinero al ciberdelincuente, en lugar de cambiar la contraseña, coger esta factura, editarla, cambiar la cuenta bancaria de destino, y esperar que pique.
Muchas empresas miran solo la última factura, no comparan los datos de su sistema de gestión con dicha factura, o no llaman al proveedor si hay un cambio que no concuerda con los datos que tenía.
Tampoco tienen un protocolo para grandes facturas, y cambio en la operativa normal, de ahí que los casos que atendemos de facturas interceptadas, cuenta cambiada, y transferencia hecha, sean frecuentes. Y lo que nos pide el cliente suele ser inviable: que le demos la razón a él, en una petición de análisis forense, cuando suele ser lo contrario.
No os podéis imaginar hasta que punto somos vulnerables. Y no solo por los ciberdelincuentes. Un cliente nos contactó para explicarnos que una factura suya, enviada en PDF sin encriptar, fue manipulada por la empresa destinataria (cosa muy sencilla de hacer con las herramientas actuales), consignando la mitad del importe real a pagar. Cuando nuestro cliente protestó le enviaron la factura retocada diciéndoles que es lo que él había enviado y que iban a pagar lo que constaba en la factura.
¡Hay soluciones!
Pero si tan negro lo pintamos ¿cómo podemos mejorar o asegurar el envío de facturas o procedimientos de cobro?
Pues tampoco es tan difícil: un poco de paciencia y de empeño para cambiar hábitos. Ahí van algunas opciones:
• Documento firmado digitalmente enviado por correo electrónico.
De esta forma el destinatario puede comprobar si ha sido modificado entre envío y recepción. Se pueden realizar estas firmas de varias maneras, siendo las dos más usadas en nuestro país las siguientes:
– certificado personal o empresarial, expedido por la Fábrica Nacional de Moneda y Timbre.
– clave personal y pública, criptografía asimétrica, lo que se conoce como PGP, también muy usado en el correo electrónico.
• Factura enviada a través de plataforma segura.
Hay varias alternativas en el mercado. Son plataformas donde se puede enviar información y que para descargarla se necesitan varios factores de autenticación. Además la información va encriptada desde que se sube a la plataforma hasta que la descarga el destinatario final.
• Portal cliente para descargarse facturas.
Se notifica que hay una factura disponible con un aviso al usuario o empresa y ésta se la puede descargar directamente de la plataforma de gestión del proveedor, sin ningún tipo de intermediario en el proceso.
También se suelen firmar digitalmente, ya que la mayoría de las plataformas de gestión tienen esta opción y ofrece una mayor tranquilidad y seguridad.
• Portal de facturación electrónica.
En el caso de no tener la opción anterior y ni siquiera un programa de gestión, tampoco nos interesa un gran sistema de gestión integral (ERP), porque nuestro volumen de facturas (aunque no de facturación) es pequeño. La solución podría ser usar varios de estos portales, donde te realizan la factura, te la firman digitalmente, y la envían al cliente, todo de forma sencilla, y segura, que es lo que importa.
¿Qué hacemos con las facturas impagadas?
Pero seguramente otro de los problemas que más preocupa a las pymes y autónomos es el de los impagos. Tener facturas pendientes de cobro es, desgraciadamente, una práctica extendida, que ocasiona muchos problemas en las contabilidades, en el pago de impuestos, en las cajas y en el tiempo que se ha de dedicar a reclamarlas.
En este mismo saco tenemos el recobro de facturas por atrasos o morosos, ya sea en formato digital como en papel. Es un auténtico dolor de cabeza.
Pero también en este caso hay soluciones. Y mucho más sencillas de lo que podéis pensar. Os proponemos que conozcáis un agente de cobro inteligente de vuestras facturas, como es el caso de Dunforce, que entre varias de sus ventajas posee la opción de integración con SAGE, uno de los softwares de gestión empresarial y facturación más usado por las pymes en Europa. Dunforce os puede ayudar a modernizar vuestra empresa y facilitaros mucho el trabajo, porque es un software de recobro de facturas automatizado, que consigue reducir la morosidad en un 35% y el trabajo de cobro en un 90%. Fue premiada por el BBVA ya en el año 2018.
Imagen principal: mohamed Hassan en Pixabay
- Publicado en Consultoría, General, Noticias, Seguridad
Origen de la palabra y movimiento Hacker : Parte 2, terminología.
Seguimos reivindicando el uso de la palabra “hacker” como una persona que tiene una habilidad especial y que investiga y no como un ciberdelincuente. Para ello hace unos días os empezamos a explicar el origen y la historia de este término. Hoy proseguimos para adentrarnos en su terminología.
Acabamos el primer artículo hablando de los primeros ordenadores domésticos que llegaron a los hogares, en los años 70 ¿Algunos recordaréis los Spectrum, Amstrad, Commodore o MSX, verdad? Hoy empezamos con PDP-10, que podéis ver en la imagen de cabecera de artículo. Aunque muchos le llamaban ya microcomputador, era un Programmed Data Processor, una máquina científica, donde aparte de las variables de programación, había hardware para modificar y también configurar.
Al ser aparatos caros, grandes y de difícil manejo, lo tenían grandes corporaciones y universidades. En estas últimas se tenía que compartir el tiempo de uso entre diferentes grupos de estudiantes y también se tuvo que comenzar a compartir la información entre ellos. De ahí que fuera la máquina elegida y favorita entre los primeros hackers (tampoco había muchas más, la verdad).
Podéis leer la información sobre el PDP-10 que publica la Wikipedia.
También os invitamos a ver un vídeo de Lyle Bickley, experto en dicha máquina y restaurador de una, donde nos va explicando que hacía y que no hacía, como lo hacían, etc. Lyle Bickley es también uno de los fundadores del Computer History Museum que se encuentra en Mountain View, California.
En el anterior artículo también os hablamos del Instituto de Tecnología de Massachusetts, el MIT. Así que hoy también seguimos este hilo para hablar de ARPANET. En el año 1969 se conectó el laboratorio de Inteligencia Artificial a dicha red, creada inicialmente para el departamento de defensa de EE. UU. y que luego dio conexión a varias universidades.
Por su parte UNIX, que se creó en ese mismo año aproximadamente y en los laboratorios de la empresa Bell, y que significó la primera versión de este sistema operativo, y una red que los unía, USENET.
Al desaparecer el sistema PDP, Unix se convirtió en el sistema hacker por excelencia.
Avanzamos ahora para que conozcáis GNU, cuyas siglas significan “No es Unix”. Richard Stallman, un experto en Unix, decidió crear un sistema libre, usando por primera vez esa expresión y la de software libre. De hecho Stallman fue el fundador de la Free Software Foundation. Así que toca una reverencia.
Y llegamos a Linux, una parte de historia que cualquiera que toque este mundo, conoce. Es el sistema operativo por excelencia. Su kernel o núcleo fue creado en el año 1991 por Linus Torvalds, de la universidad de Helsinki. Su idea era crear un sistema libre, empezando por colgar dicho kernel en Internet, y pidiendo ayuda para su desarrollo, creando así una comunidad para avanzar en el tema.
Y unas cuantas palabrejas más. Ya os advertíamos: hoy va de terminología
Phreaking, el primer hack famoso. Se trataba de poder accionar los controles, por entonces analógicos de las centrales telefónicas, con tonos de silbatos o similares. Posteriormente, para hacerlo más cómodo, y para vender aparatos a quien no sabía realizar estos hacks, se crearon unas cajas de nombre “blue box“, para realizar automáticamente estas acciones. En el artículo anterior ya hablamos de este tema y de su historia. En la Wikipedia hay una buena recopilación de información.
Cracking / cracker, para algunos es arte, para otros no es más que un ataque a los derechos de autor de las compañías. Consiste en vulnerar los sistemas anticopia de juegos, consolas, etc. Y por analogía, en la segunda definición, se habla del individuo que hace estas cosas.
En los años 90, con los 16 bits en auge, y la potencia de éstos, hubo grupos de cracking que se hicieron muy famosos, porque entre la carga y el juego, introducían una “demo” con animaciones, vectorización, música, etc. También había grupos de distribución, que revendían por toda Europa y por EE. UU. estos juegos crackeados, que también incluían las demos mencionadas.
Lamer, persona que cogía juegos crakeados, quitaba las demos de los grupos originales, y ponía las suyas. Hasta los grupos de crackers y distribución comenzaron a proteger los juegos desprotegidos contra posibles intrusiones.
Demoscene, con lo comentado de crackers/lamers, junto con las partys (que al principio se denominaron copypartys) donde también habían concursos de programación y demos, se creó un gran ambiente y nivel técnico. Una de las que me vienen primero a la cabeza es Spaceballs, en Amiga, pero podéis ver una recopilación AQUÍ, que va del año 1989 al 2004.
Homebrew, es software casero hecho por usuarios, casi siempre de consolas, que busca poder ejecutarlo sin restricciones. Casi siempre había, y hay, que realizar modificaciones de hardware en los aparatos para poder correr este tipo de programas. Muchos programadores aficionados que comenzaron haciendo homebrew, sin los soportes ni kits de desarrollo de las empresas, pudieron lograr contratos para hacer juegos oficiales.
Un ejemplo es el juego Star Fox, que en Europa se llamó Starwing, de Nintendo, programado por Argonaut Software, unos programadores del Reino Unido, de apenas 18 años, que desarrollaron un motor homebrew vectorial, para la consola GameBoy.
Hacktivismo, empezó siendo algo más genérico, pero a partir de los años 2000 cogió más fuerza la definición de “hackers que actúan con fines sociales, a veces no de buenas maneras”. Muchos grupos surgidos en esa época, y muchos imitadores, le han dado cara a este tipo de acciones, al hacerse famosos entre el gran público.
Sombreros, pues si, esta prenda o complemento de moda, clasifica a los hackers según sus intenciones, benévolas, malintencionadas, o a medio camino, siendo blanco, negro y gris los colores. Pero últimamente hay más colores, y más definiciones muy concretas, podéis buscar…
… y cuando lo encontréis, podéis escribir aquí debajo y nos contáis a todos el resultado de vuestras pesquisas.
¿Os ha gustado todo este recorrido histórico y terminológico? Recordad que hay un artículo previo, que si alguno o alguna de vosotros / vosotras no lo ha leído todavía, clicad AQUÍ para hacerlo.
Peligro, peligro y más peligro
Esta semana la noticia tecnológica principal ha sido los problemas de funcionamiento de importantes webs de todo el mundo, como la del Gobierno del Reino Unido o la del New York Times por un error en los sistemas de una compañía llamada Fastly. Nosotros queremos aprovechar esto para explicaros otros problemas muy cotidianos que deben ponernos en alerta continua y entender que hay que adelantarse a ellos de la única forma posible: previniendo y actuando.
Fastly es un proveedor estadounidense de servicios de computación en la nube y a pesar de que reaccionó muy rápido, los medios de comunicación hablaron de “caída de Internet”. Evidentemente Internet no se cayó, pero la alarma saltó y se comentó rápidamente en todo el mundo. Pero otros incidentes no llegan al gran público y creednos: hay muchísimos incidentes a diario. Vamos a contaros algunos de ellos.
Seguramente casi todos nosotros tenemos una buena cantidad de apps en nuestros smartphones. Hay tantas opciones, desde servicios de todo tipo a juegos y pasatiempos, que se nos hace difícil no caer en la tentación de entrar en la App Store y bajarnos cualquier aplicación con cualquier excusa.
Debéis saber que un estudio propio del prestigioso The Washington Post acaba de descubrir que casi el 2% de las aplicaciones con mayores ingresos de la App Store son, en realidad, estafas que ha costado a los usuarios 48 millones de dólares. Tras analizar más de mil aplicaciones, los técnicos del estudio han descubierto varias prácticas fraudulentas. Entre las más comunes se encuentra el hacer valoraciones falsas de usuarios para subir en los rankings y cobrar a los usuarios cantidades más altas. Otra práctica tiene que ver con casos de aplicaciones de VPN que mienten a los usuarios diciéndoles que han sido infectados por un malware y así hacen pagar al usuario por servicios que no necesitan.
Por si esto no fuera poco, Apple obtiene el 30% de comisiones. Podéis ver la noticia en el propio The Washington Post AQUÍ.
MORALEJA:
• Hay que tener mucho cuidado con las apps y en general con cualquier software o plataforma que usemos.
• Antes de bajaros cualquier app, paraos un momento y preguntaos si realmente necesitáis esa aplicación.
• En caso afirmativo, debéis cercioraos muy bien que lo que creéis que necesitáis sean las apps correctas. Hay muchos nombres parecidos y versiones diferentes.
¡Hay que actualizar los softwares!
Una encuesta de la empresa Kaspersky indica que el 49% de los españoles suele posponer las actualizaciones de software. Entre ellos, además, un 65% cree que no pasa nada si se retrasa su instalación.
Podemos entender que en el momento de recibir una notificación de actualización se esté trabajando o que no sea un buen momento para dejar de usar un dispositivo. Pero no que se vaya posponiendo una y otra vez o que crean que es perder el tiempo.
MORALEJA:
• Seguramente muchos usuarios no sepan que las nuevas funcionalidades llevan aparejadas muchas actualizaciones de seguridad. De hecho la gran parte de una actualización se dedica a convertir en más segura cualquier aplicación.
• ¿Cuánto tiempo ocupa una actualización? ¿No creéis que es mejor tomaros un pequeño descanso, levantar la vista de los aparatos, daros un paseo, tomar un café, dialogar con el resto del equipo o hacer un poco de gimnasia vertebral?
• En cualquier caso, priorizad siempre las actualizaciones de las aplicaciones que mantienen vuestros dispositivos y datos personales a salvo de ciberataques.
• En serio: mantened siempre vuestros equipos al día y con un antivirus actualizado. No seáis perezosos con este tema.
Los ciberdelincuentes dan un paso más
El confinamiento llevó aparejado un incremento espectacular de suscripciones de streaming, superando los mil millones de usuarios en todo el mundo. Esta práctica ha disminuido este año y muchos usuarios lo que hacen ahora es darse de alta gratis en estos servicios y cancelarlo cuando finaliza el período de prueba. Esto lo han aprovechado los ciberdelincuentes para dar un paso más: han creado su propia plataforma de streaming llamada BravoMovies, con un catálogo falso de películas interesantes. Esta forma de proceder, totalmente innovadora, por cuanto es usar la ingeniería social como vector de ataque, ha sido detectada por la empresa de ciberseguridad Proofpoint a principios de mayo. Tenéis toda la información de esta noticia en la web Cybersecuritynews.es, el primer medio de comunicación de España especializado en información sobre ciberseguridad realizado por periodistas especializados en tecnología e innovación.
MORALEJA:
• Peligro, peligro y más peligro. Ya lo veis: los malos siempre intentan ir por delante.
• La seguridad absoluta al 100% no existe.
• Solamente una buena y minuciosa planificación de las necesidades de ciberseguridad de una empresa pueden frenar este tipo de acciones a tiempo. Y minimizar las consecuencias de un posible desastre.
• La labor de un CISO es fundamental en cualquier empresa, pero si no os lo podéis permitir, la mejor opción es tener un CISO externo.
• Os queremos recordar que TECNOideas posee un servicio de monitorización constante de los sistemas de cualquier empresa. Se trata de un Centro de Operaciones de Seguridad, un servicio de 24 horas / 7 días a la semana, para poder actuar en el precios momento que hay una urgencia, evitando así que el desastre sea incontrolable.
Imagen principal: OpenClipart-Vectors en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias
Adiós al Explorer: Microsoft anuncia que le queda un año de vida
15 de junio de 2022. Es la fecha en la que dejaremos de usar el navegador Internet Explorer, porque Microsoft dejará de prestarle soporte y lo retirará del mercado. El buen navegador ha llegado a tener hasta 11 versiones, pero ahora solo nos queda decir adiós al Explorer.
En realidad la empresa de Bill Gates da un paso más para que todos nos pasemos al Edge, que parece ser la niña de los ojos de la compañía por su empeño en que los usuarios del Windows 10 usen el navegador Edge. Ya lo habíamos anunciado en este blog, como podéis ver AQUÍ.
Para justificar esta decisión, Microsoft explica tres motivos:
• Compatibilidad mejorada.
Microsoft Edge es el único navegador con compatibilidad integrada para aplicaciones y sitios web heredados de Internet Explorer, incluida la compatibilidad con funciones como los controles ActiveX . Además Edge se basa en el proyecto Chromium, que es una tecnología que impulsa a muchos navegadores actuales.
• Productividad optimizada.
La empresa cree que el motor dual del Edge acaba con el uso de distintos navegadores para distintas tareas.
• Mejor seguridad del navegador.
Microsoft asegura que se intentan aproximadamente 579 ataques de contraseñas por segundo y Edge es la mejor protección posible frente a ataques de phishing y malware. Además escanea la darkweb para identificar posibles compromisos con los credenciales personales. Finalmente añaden que Edge es más seguro que Chrome para empresas en Windows 10.
Podéis leer todos estos motivos ampliados en la propia web de Microsoft AQUÍ.
Microsoft también aclara que la retirada del Explorer no afecta a las aplicaciones de escritorio Windows 10 LTSC o Server Internet Explorer 11. Tampoco afecta al motor MSHTML (Trident).
Con el nombre de Internet Explorer se conocen toda una serie de navegadores que desarrolló Microsoft para su sistema operativo Windows desde 1995, cuando se integró en el paquete Windows 95 Plus. Posteriormente se fueron creando nuevas versiones, hasta un total de 11. La compañía lo sentenció en 2016 cuando presentó su nuevo navegador Microsoft Edge.
¿Y vosotros, qué tenéis que decir? ¿Estáis de acuerdo en decir adiós al Explorer?
O sois un poco “informáticorománticos” y os produce una cierta tristeza abandonarlo?
Podéis opinar aquí abajo.
Imagen principal: S. Hermann & F. Richter en Pixabay
Origen de la palabra y del movimiento Hacker: Parte 1, historia y su uso
Los que nos seguís habitualmente, sabéis que somos muy pesados con la buena utilización de toda la terminología técnica y científica, pero más aún con la palabra “hacker”. A pesar de que la RAE hace ya tiempo que incorporó una segunda acepción, mucho más acertada que la primera, el término sigue usándose equivocadamente como sinónimo de pirata informático. Por eso hoy queremos explicaros el origen de la palabra y del movimiento Hacker.
¿Cuál es el origen de esta palabra? ¿A quién se refiere ahora o se refería en sus principios?
Durante toda la vida hemos visto y escuchado este término y a su vera se han contado anécdotas curiosas, a veces sin ningún orden. Todas ellas quieren llevar la razón, así que ante esta complejidad lo mejor es que empecemos por el comienzo.
Como no hay duda, la palabra surge del idioma inglés. Ya antes del siglo XX , “hack” significaba cortar a lo bruto. De aquí pasó a denominarse “hacker” a una persona que tenía una habilidad especial, que entonces era hacer muebles cortados con hacha.
Así que hack ya quedó popularizado como sinónimo de hacer algo habilidoso o fuera de lo normal.
Avanzamos por la historia para referirnos a algo más técnico. Nos vamos al famoso Instituto de Tecnología de Massachusetts, el MIT. Una organización de estudiantes del MIT había creado, en 1946, el Tech Model Railroad Club (TMRC), una agrupación de fanes de los trenes. En 1959 esta organización tuvo a su disposición dos microcomputadores, el TX-0 y el PDP-1, para experimentar. De lo que habían pensado en un principio a lo que se hizo después, nada que ver. De ahí que Peter Samson, un científico pionero en la creación de software, juntara esa experimentación con la palabra “hacks” en el escrito “Official Hacker’s dictionary” con el lema “La información quiere ser libre”. Y como no, crearon el primer videojuego de la historia: Spacewar.
Este grupo acabó mutando hacia el MIT AI Lab —Laboratorio de Inteligencia Artificial del MIT—, de donde posteriormente saldría el software libre y parte de los embriones de Internet y de la World Wide Web, junto con Arpanet.
En los años 70 llegan las consolas a casa y a finales de esa década, también llegan los primeros ordenadores domésticos. En España se comenzó este camino con Apple II (muchas escuelas los adquirieron para enseñar informática, entre ellas la de quien suscribe este artículo), algunos pocos, Pc’s IBM y la invasión de los 8 bits, como Spectrum, Amstrad, Commodore o MSX.
En esa época incluso se crean revistas especializadas, como Phrac y 2600. Esta última todavía se publica hoy en día. Los dos nombres se basan en el primer hack masivo y mítico, como fue el uso de los tonos del teléfono, el “phreaking“. Con una emisión de un tono de 2600 hercios, por ejemplo el silbato que se regalaba con los cereales Cap’n Crunch, se podía interactuar con el sistema automático de las operadoras telefónicas, por entonces AT&T.
A raíz del descubrimiento de las autoridades de este caso, y de algunos más, como accesos puntuales a ciertas organizaciones gubernamentales, por parte de adolescentes, y no tan adolescentes, se comenzó a dar forma a varias leyes contra “el uso indebido de las computadoras”, y varios de ellos acabaron en la cárcel.
En los años 80 y 90 hubo el boom de la “demoscene“, demostraciones tecnológicas por parte de grupos que se distribuían en diferentes partys informáticos por todo el mundo, sobre todo de los ya ordenadores personales de 16 bits, como IBM y compatibles a partir del procesador 386, ordenadores Amiga y Atari (si, esta marca terminó haciendo ordenadores personales, y ampliaremos información en las segunda parte de este artículo). Se demonizó un tanto esta escena, ya que muchos de los grupos también eran crackers, gente que rompía la protección de los juegos para revenderlos más baratos, y que incluía alguna de estas demos como introducción al juego. También estaban los denominados lamers, que le ponían su nombre al trabajo de cracking de terceros. Pero no neguemos la parte hack de todo este proceso.
Y saltaremos hasta el día de hoy, donde los grandes estudios y medios de comunicación le han dado un mal uso a la palabra hacker, para darle connotaciones de delincuente a quien se le etiquete con ella. Así que seguimos luchando, para que después que la RAE, por fin, incluyera una buena definición, elimine la antigua, y todos los periodistas y medios de comunicación cambien su uso.
Os recordamos la segunda acepción de la RAE, que dice “Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar delos fallos y desarrollar técnicas de mejora.”
Sin embargo mantiene como primera acepción la de “Pirata informático”. Y otra cosa: adapta la palabra al español, escribiendo jáquer, como podéis ver AQUÍ.
Como os comentábamos al principio, nosotros siempre hemos querido reivindicar el buen uso de la palabra. Por ejemplo en este artículo del 2019 titulado Hacker bueno, hacker malo. Tanto nos importa el buen uso del término que dentro de nuestra sección Presentación y servicios explicamos las definiciones de Hacker, Cracker, Ciberdelincuente o Hacking ético. Lo podéis leer AQUÍ.
No hemos podido entrar en profundidad, pero dejamos para un segundo artículo toda la terminología que haya podido surgir sobre el origen de la palabra y del movimiento Hacker. Y también incluiremos lo que nos hayamos dejado en el tintero en este artículo.
¿Por qué la industria es la gran olvidada de la ciberseguridad?
Es un hecho: cada vez se habla más de la ciberseguridad en el mundo empresarial. Sin embargo la industria no va al mismo ritmo y eso a pesar de que hay muchos ejemplos espectaculares de fallos de seguridad en sistemas industriales. Como el que ocurrió en la planta potabilizadora de agua de Florida en febrero o la más reciente de Colonial, empresa que gestiona la mayor red de oleoductos de Estados Unidos. ¿Por qué la industria es la gran olvidada de la ciberseguridad?
Parece que no sólo la ciberseguridad es una asignatura que la industria debe aprobar. Ahora nos llega un informe que ha realizado la empresa alicantina IPYC Ingenieros de Calidad y Producción durante todo el año 2020, tomando como base 250 organizaciones con plantas industriales. Según este estudio, el 40% de las empresas que tienen plantas industriales en España desconoce los costes exactos por unidad de producción.
Se debe a que los responsables contables y financieros no contempla toda la casuística que puede afectar a la producción por la escasa digitalización de los procesos.
El informe constata que sólo un 15% de los responsables financieros del sector dispone de este tipo de información. Todo ello puede producir sobrecostes de entre un 9 y un 18% debido a factores imprevistos, pero habituales en la industria, como errores y defectos de producción, mermas, paradas imprevistas de máquinas, roturas de stock, incrementos de horas extras de los equipos de mantenimiento de las plantas, etc.
Podéis leer la noticia en el boletín de Metales y Metalurgia AQUÍ.
IPYC es una empresa de ingenieros de Alcoy, especializada en la organización industrial desde hace más de 20 años.
Sin lugar a dudas nosotros añadiríamos también los problemas derivados de la falta de ciberseguridad industrial. ¿Vuestra maquinaria tiene actualizados sus programas? Los responsables de IT/OT deben evaluar la seguridad de los sistemas de control industrial y sistemas conjuntos (entornos IT clásicos).
Podéis ver claramente cuál es el problema visitando nuestros servicios AQUÍ.
Os queremos recordar que TECNOideas está especializado en ciberseguridad industrial. Poseemos la máxima certificación profesional (nivel Negro) del Centro de Ciberseguridad Industrial. Por ello nos gustaría que los interesados en el tema pudierais leer un par de artículos de nuestro colaborador Jordi Ubach. Con el título La ciberseguridad industrial también existe, tenéis un primer artículo AQUÍ, donde nos habla de la primera defensa OT y un segundo artículo en el que desgrana los ataques al nivel 1 en OT. Lo podéis leer AQUÍ.
Finalmente, informar a nuestros seguidores, pero muy especialmente a los de América Latina que TECNOideas va a impartir, junto a CIDES, Organismo Técnico de Capacitación chileno, el curso Auditorías en Sistemas de Control Industrial los días 10,11, 12 y 13 de agosto.
¡La inscripción ya está abierta!
- Publicado en Ataques / Incidencias, Formación, General, Noticias
Vulnerabilidades en el protocolo WiFi y en cámaras de videovigilancia
Un investigador ha descubierto una docena de vulnerabilidades (FragAttacks) que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997.
Y, casualidades de la vida, al mismo tiempo se ha descubierto un fallo en unas cámaras de seguridad que han permitido a unos clientes fisgonear las casas de otros. Ambos casos afectan a empresas, pero también a domicilios particulares.
A veces la realidad es tozuda. Y a veces nos da la razón. Cuando en este blog insistimos en la necesidad de la ciberseguridad a todos los niveles o cuando en nuestras formaciones insistimos en la necesidad de estar siempre alerta y de tener un buen protocolo de ciberseguridad, muchas personas creen que por ser particulares o pymes no van a ser vulnerados. Se equivocan y hoy podemos traer aquí dos ejemplos muy claros al respecto.
Descubiertas vulnerabilidades en el protocolo WiFi existentes desde 1997
Uno de los investigadores en ciberseguridad más reconocidos del mundo, el belga Mathy Vanhoef, ha descubierto una docena de vulnerabilidades que afectan a todos los dispositivos con WiFi, algunas de las cuales están presentes desde 1997. Algunas de ellas son fallos de diseño en el estándar WiFi, por lo que afectan a la mayoría de dispositivos y otros son fallos generalizados de programación.
Las vulnerabilidades detectadas pueden afectar a informaciones sensibles del usuario, como nombres y contraseñas. El problema más grande puede estar en las redes domésticas, ya que los posibles atacantes accederían a dispositivos del internet de las cosas, que no se suelen actualizar.
Podéis leer esta noticia en la sección de tecnología del diario El Mundo AQUÍ.
Mathy Vanhoef es un investigador especialista en ciberseguridad que saltó a la fama en 2017 cuando fue uno de los descubridores del KRACK, una vulnerabilidad que afectaba al protocolo WPA2 de la red WiFi. Precisamente las vulnerabilidades detectadas ahora, llamadas genéricamente FragAttacks tienen su base en las investigaciones realizadas desde entonces. Los amantes de la técnica debéis saber que el propio Vanhoeg ha creado una web específica (fragattacks.com) para explicar estas vulnerabilidades. La podéis ver AQUÍ.
exterior de Eufy
Foto en la web de Eufy Security
¿Videovigilancia o videofisgoneo?
Una empresa que presta servicios de videoviglilancia, Eufy Security, ha tenido que reconocer una brecha de seguridad en la app de la compañía tras una información recogida por 9to5Mac, una de las webs de noticias tecnológicas más importantes del mundo.
La brecha en cuestión permitió que algunos propietarios de cámaras Eufy pudieran ver imágenes recogidas de otros usuarios. En otras palabras, esos usuarios podían ver las casas de otros. Concretamente desde la app de Nueva Zelanda algunos usuarios podían ver imágenes de cámaras de Australia y visualizar también sus detalles de contacto.
La compañía informó que el error sólo afectó al 0,001% de sus usuarios y que se debió a un fallo de software durante la actualización del servidor. La brecha estuvo limitada en el tiempo y duró unas horas. Afectó a usuarios de Estados Unidos, Cuba, México, Brasil, Argentina, Nueva Zelanda y Australia, pero no al continente europeo.
Eufy es una empresa que desarrolla y crea dispositivos y aparatos inteligentes para el hogar que simplifican la experiencia global de hogares inteligentes (por ejemplo, aspiradoras robot). Forma parte de Anker Innovations, una empresa de marcas de electrónica de consumo líder en Estados Unidos.
¿Necesitáis poner cámaras de videovigilancia?
Bueno, vale, admitimos que el título del anterior párrafo no hace justicia a las cámaras Eufy y que la empresa reaccionó a tiempo y pidió disculpas. Pero estas cosas pueden pasar. A cualquiera de las marcas. Este comentario viene a cuento porque a continuación os vamos a hablar de otra empresa que se dedica, entre otras cosas, a la videovigilancia y que justamente ahora acaba de sacar al mercado nuevos productos.
La empresa D-Link ha presentado una renovación completa de su gama de videovigilancia profesional llamada “Vigilance”. Hay varios modelos de cámaras en formato Domo (las que poseen una carcasa semiesférica y compacta) y Bullet (las que tienen forma alargada “en bala” o hacia afuera), aptas para interiores y exteriores.
Foto en la web de D-Link
Entre las novedades más destacadas de estas cámaras se puede citar que proporcionan vigilancia 24/7; pueden ver hasta 30 metros de distancia, incluso en oscuridad o a contraluz; que las cámaras para exteriores son muy resistentes a la intemperie y funcionan con un rango de temperatura que va de los -30°C a los 50°C o que han mejorado ostensiblemente la resolución. En algunos modelos llega a ser de 1080 píxeles.
Además de las cámaras también se ha presentado un nuevo grabador de vídeo de red que puede conectar y alimentar hasta 16 cámaras.
D-Link Corporation es una empresa taiwanesa, un proveedor global cuyo negocio principal son las soluciones de redes y comunicaciones para empresas y particulares. Podéis ver los datos técnicos de la nueva gama en la web de D-Link clicando AQUÍ.
Imagen principal: logotipo de la web FragAttacks.com
- Publicado en Consultoría, General, Malos hábitos, Medios de comunicación, Noticias
Otro evento en el que colaboró TECNOideas
Como ya sabéis todos los que nos seguís habitualmente, en TECNOideas nos gusta apoyar eventos. Y esperamos que cada día sean más, tanto los que se organicen, como los que cuenten con nuestro apoyo. Pero eso sí, todos de temática hacker o ciberinteligencia y desde el punto de vista más práctico y técnico, para compartir información.
El pasado 9 de abril y durante 24 horas, el equipo FlagHunters organizó un nuevo CTF (Capturar la bandera, del inglés Capture the Flag), que ya es el tercero que organizan y, como siempre, con gran éxito.
Un CTF o Capture the Flag, es una competición de logros o pruebas de conocimiento hacker, que puede organizarse de modo individual o por equipos. La competición dura varias horas y se van obteniendo puntos. Quien acumula más puntuación, superando cada reto (que puntúan por separado y de diferente manera), gana fantásticos premios, como cursos de hacking o acceso a plataformas para mejorar sus habilidades. En esta ocasión se registraron 351 usuarios, para optar a ganar 5.056 puntos posibles, en 37 challenges o retos.
¿Y cómo terminó el CTF después de una dura y larga competición?
Los 3 primeros fueron:
1 – Sergamar
2 – Wartz
3 – RommGT
La entrega de premios, virtual, como todo el concurso, se retransmitió a través de Twitch.
Las redes sociales de HackMadrid y donde se hizo difusión del evento son las siguientes:
• Instagram: @flag_hunters
• Twitter: @hunters_flag
• Youtube
• Twitch
Y la nota o comunicado según los organizadores:
“Evento realizado con mucho ánimo para los que se quieren iniciar en el mundo del CTF, desarrollado durante 24 horas, con un resultado bastante ajustado entre los primeros puestos, motivando y dejando expectante al publico en general.
Este evento contó con la peculiaridad de que se entregaron premios, no solo a los tres primeros, sino también a diferentes participantes que cumplieron la condición de haber superado los retos de calentamiento, demostrando que todos tienen oportunidad de no solo obtener conocimientos sino también de ganar premios que les ayuden a crecer.”
Así que por nuestra parte, contentos de haber ayudado con nuestra pequeña aportación como patrocinadores, y esperamos repetir. ¡Atención! tomad nota: se rumorea que el siguiente tendrá lugar en octubre.
- Publicado en General, Hazlo tu mismo, Noticias, Sobre TECNOideas
Alternativas a sistemas operativos en smartphones – Parte II
Volvemos al tema de los teléfonos móviles seguros para seguir hablando de las alternativas libres en sistemas operativos para smartphones. Este tema lo empezamos hace unas semanas, concretamente el 10 de mayo, y hoy volvemos a él para acabar de explicaros cosas interesantes que esperamos que os resulten muy prácticas.
Tal y como os comentamos en nuestro primer artículo sobre este tema, nos hemos puesto manos a la obra para seguir probando alternativas a sistemas operativos en smartphone, que si, los hay.
En esta ocasión hemos preparado, instalado y usado, durante una semana LineageOS, un fork de Android, heredero de CyanogenMod, que promete mejor rendimiento, compatibilidad y actualización en terminales antiguos (por ejemplo Samsusng Galaxy S5 con Android 9), y que promete ser la panacea de la privacidad.
Vayamos por partes. Primero de todo: ¿qué es un fork? En informática se denomina así a un proyecto que en algún momento se separa de la base común del proyecto origen (en este caso se trataría de Android y de las zarpas de Google) y avanza en paralelo para crear un producto nuevo. También podría denominarse fork al sistema MacOs, ya que cogieron el sistema libre y de código libre FreeBSD, para no desarrollar uno desde cero.
Un poco de historia
Aclarado el primer punto pasamos al siguiente: ¿qué es, o qué era CyanogenMod? Era, sí. Hablamos en pasado porque cerró hace ya unos añitos, concretamente el 31 de Diciembre de 2016, después de 7 años de servicio.
Se resumía en una comunidad de desarrollo de una Rom para dispositivos Android, que sobre todo buscaba darle más vida a lo que comercialmente se conoce como renovación, y no quedarse con un “brick” (aunque se traduce como “ladrillo”, el símil más exacto seria “dispositivo que no vale para nada”, y lo puedes usar de pisapapeles).
Todo comenzó con el HTC Dream, y como esta comunidad logró acceso de root al dispositivo, se abrió la veda, aunque no a todo el mundo le hizo gracia. En las primeras versiones de esta Rom, se incluían las aplicaciones de Google, las Gaaps, de las que luego hablaremos, y que al tener código cerrado y propietario, no tenían derecho a usar. Después de alguna amenaza por los mandamases de la compañía, llegaron a un acuerdo, y pudieron seguir con la rom, sin dichas aplicaciones.
Se creó una empresa, Cyanogen Inc, para dar salida comercial a este mod, pero llegó en el momento en que los de Android espabilaron y actualizaban más los dispositivos. El resultado fue que el mod derivó a una capa de configuración y personalización, por lo que perdió el “alma”. No triunfó, y acabó cerrando en la fecha señalada anteriormente.
Damos un paso más. Es la hora de volver a LineageOs, ya que recogió el testigo. ¿Por qué nos encanta este software? Promete compatibilidad con modelos antiguos, esos a los que Android oficialmente ya no da soporte, con lo cual los usuarios se quedaron con un sistema antiguo, sin software… Y claro, si no es seguro, ya no te dejan usarlo, y además, lo más importante, sin Google…
Pero… ¿qué quiere decir esto de “sin Google”? Nos referimos a dos cosas, siendo la primera y la más importante, sin su yugo, su control, su análisis de tus datos, etc. Y la segunda, sin las aplicaciones preinstaladas, las famosas Gaaps (aunque veremos que esto no es importante si queréis instalarlas en LineageOS, aunque sea un sinsentido).
Para instalarlo, como con cualquier otro sistema operativo, necesitamos el teléfono rooteado (o sea, que lo hayamos desbloqueado), que hayamos instalado un bootloader (gestor de arranque) y luego instalar el sistema, desde este mismo bootloader.
Nosotros volvimos a usar Fastboot, porque siempre nos funciona bien, porque lo puedes conectar a un ordenador, vía drivers ADB, o desde el menú al que puedes acceder vía botón de encendido y aumentar volumen. Luego navegamos por dichas opciones. Dependiendo de la versión o del dispositivo pone una frase u otra, pero seguramente, instalación, actualización, o algo similar, dándonos la opción de ir a buscar el archivo.
“Et voilà”, después de unos minutos de instalación, iniciará nuestro nuevo sistema. Viene con ciertas apps ya instaladas, pero al ser un core Android, es compatible con cualquiera.
Y os preguntaréis ¿cómo se instalan las apps si no vienen con la Play Store? Pues hay varias opciones:
Una podría ser un gestor de repositorios alternativo, opensource, libre o similar, donde se vayan publicando (sí, esto existe, y sin que Google sepa que os descargáis, usáis, instaláis, cómo, cuándo, etc.). Por ejemplo F-droid.
La segunda opción seria, ¿cómo instalamos esta dichosa app, F-droid sin la tienda? Pues tendréis que bajar el archivo .apk, pasarlo al dispositivo, ya sea con cable o a través de la tarjeta, e instalarlo. Este paso seguramente tendrá una advertencia, de “instalar aplicaciones desde repositorios no seguros“, solo hay que cambiar dicha opción desde los ajustes, y problema resuelto.
Si en F-droid no tenéis la aplicación que buscáis, la podéis bajar con este segundo método alternativo. Aunque para algunos pueda resultar engorroso, lo cierto es que no tiene mayor complicación. En ESTE enlace solo tendremos que poner el link de la Play Store de la app que queramos, y en ESTE, podremos hacer una búsqueda de la app que queramos. Pero hay muchos más.
Ahora viene lo complicado, desengancharse de Google, de sus servicios y de lo que todo ello conlleva. Pero con un poco de paciencia, y pruebas, veréis que no es complicado. Como hemos dicho, podéis descargar las apps por distintos métodos, pero si lo que buscáis es hacerlo completo, hay que usar alternativas. Así, si queréis igualmente usar todas las apps de Google, podéis buscar distintos packs disponibles, como por ejemplo OpenGapps.
Nosotros estamos usando, a nivel corporativo y recomendando a nuestros clientes, el sistema Nextcloud, del que hicimos un primer artículo que podéis leer AQUÍ, donde explicamos todas sus bondades. Necesitaréis una aplicación de terceros, llamada DAVx, para poder conectar sin problemas, ya que realiza conexiones CalDAV/CardDAV para sincronizar contactos, calendarios o tareas, en plataformas compatibles con este protocolo.
Bien, ya tenemos las apps que necesitamos, y además contactos, calendario y ficheros (si tenéis imagen, y no la versión virtual, asegurar bien el teléfono, sino cualquiera podrá acceder), ahora nos falta el sustituto de Gmail.
Así que como servidor de correo, ProtonMail, como no, que ya llevamos un tiempo con ellos, y permiten usar tu dominio, después de una sencilla configuración. Y para finalizar Telegram y Signal, aunque no solemos enviar ni facturas, ni presupuestos ni ficheros sensibles, por mucho que nos lo pidan los clientes.
Y una semana de pruebas, contentos, más que con Ubuntu Touch, que aún le falta un poquito de desarrollo, y aprovechamiento de hardware, ya se sabe que las comunidades dependen de sí mismas para avanzar y eso cuesta.
Así que no tengáis miedo a desengancharos, ¡hay vida más allá de Google o de iPhone!, que luego nos quejamos del trato que dan a nuestros datos.
Y acabamos con el mismo consejo con el que terminábamos la primera parte de este artículo: al comprar un nuevo smartphone,
casi todos lo usuarios de fijan en la calidad de los materiales, el número de cámaras fotográficas, el diseño… pero no olvidéis la seguridad del dispositivo:
¡debería ser vuestra principal preocupación!
- Publicado en Consultoría, General, Hazlo tu mismo, Mobile, Sistemas operativos
Español 
Català