Hoy os queremos hablar de grandes marcas… ¡cómo no!
Los usuarios de Apple han descubierto que habiendo desactivado la recopilación de datos, la empresa sigue registrando su actividad. Por su parte en Twitter dicen algunos/as que está fallando la verificación en dos pasos (2FA). Grandes marcas, sí. Grandes empresas, sí. Pero con algunas conductas que dejan mucho que desear. Por eso hoy os queremos hablar de grandes marcas… ¡cómo no!
Los usuarios de Estados Unidos han presentado una demanda colectiva contra Apple al descubrir que esta red registra de forma ilegal la actividad confidencial de los usuarios sobre su consumo de aplicaciones móviles.
Para más inri, esto se ha descubierto después de que Apple indicara que buscaba que los usuarios tuvieran un mayor control sobre sus datos y sobre el rastreo que pudieran efectuar las aplicaciones de terceros para fines publicitarios. Así que el año pasado Apple implementó una función de transparencia de seguimiento de aplicaciones con iOS 14. Esta función obligaba a los desarrolladores a informar a los usuarios para que dieran su consentimiento explícito. Pero…
… los propios desarrolladores de iOS y varios investigadores de la empresa de software Mysk detectaron que cuando los usuarios navegaban por la aplicación de la App Store, se recogían datos que luego se enviaban a la empresa. Y eso ocurría incluso si el usuario había desactivado el uso compartido del análisis del dispositivo.
Tenéis más información sobre este tema en la web de Gizmodo, un medio digital del grupo Fusión Media, con sede en Nueva York y especializado en ciencia y tecnología.
Los bloatwares y los fallos de Twitter
Ya todo el mundo sabe que Twitter está inmersa en un follón de mucho cuidado tras las polémicas decisiones de su nuevo propietario, Elon Musk. Precisamente una de sus decisiones ha acabado por ocasionar fallos en su doble autenticación. Todo empezó cuando Musk decidió deshabilitar el bloatware de los microservicios de la popular red social.
Un bloatware es un software que ocupa demasiado espacio para las funcionalidades que proporciona. Son aplicaciones que vienen preinstaladas en nuestros equipos (ordenadores, tabletas, smartphones) pero que no repercuten en nada útil para los usuarios y ralentizan la velocidad de los equipos.
¿Por qué se siguen usando? Pues porque sus creadores pagan a los fabricantes para preinstalarlas en sus ordenadores. Pero no solo ellos. Las grandes marcas tienen sus propios boatwares. Es el caso de Microsoft o Samsung. Eso significa que todos ellos van a intentar que el usuario las use o dicho de otro modo, que usen lo que está preinstalado en lugar de ir a instalarte otras cosas que puedas necesitar o quieras tener.
Musk ha dicho que Twitter necesita menos del 20% de los microservicos que tiene para funcionar correctamente. Por eso ha decidido desinstalar bloatwares. Pero el tiro le ha salido por la culata, porque al hacerlo se ha afectado el sistema de autenticación de dos factores, el que envía los códigos de confirmación para iniciar sesión. Así que muchos usuarios no han podido iniciar su sesión por este hecho.
Debemos decir que este pasado fin de semana hemos comprobado varias veces la autenticación en dos pasos y siempre ha funcionado bien. O sea que o bien ha sido un tema puntual y ya se ha solucionado o bien ha afectado solamente a alguna región geográfica.
El caso de Apple es más grave, porque directamente nos roba los datos y hace lo que quiere, aunque le digas que no. Quizá todavía no saben que “no es no”.
Lo que queda claro es lo siguiente: ¿para qué debe el usuario poner esfuerzos en desactivar opciones o en activar el 2FA si luego esas grandes plataformas tienen fallos? A partir de aquí, ¿os imagináis qué pasaría si los usuarios no estuviéramos constantemente vigilando las interacciones? Pues sí, habéis acertado: esto sería una merienda muy golosa.
Imagen principal de: Gerd Altmann en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Protección de datos, Redes sociales
Passkeys, el futuro de las contraseñas… ¿son ciberseguras?
Si eres de los que nunca se acuerda de las contraseñas, estás de enhorabuena: ya tenemos una nueva tecnología basada en claves criptográficas y datos biométricos llamada “passkeys” que va a sustituir pronto a las viejas y desmemoriadas contraseñas.
A principios de este año 2022, las mayores empresas de tecnología, como Google, Apple y Microsoft, anunciaron que habían unido fuerzas para simplificar el acceso a aplicaciones, sitios web y dispositivos con una herramienta basada en datos biométricos. Esta propuesta de identificación nos hará olvidar por fin esas contraseñas complicadas que no queremos recordar y que son propensas a las filtraciones. Sin embargo esta propuesta, que recibe el nombre de passkeys, genera una duda: ¿cuán segura es?
Las passkeys solicitaran nuestro registro en una plataforma que almacenará nuestros datos en una nube. Para ello usaremos un PIN, huella dactilar, reconocimiento facial o iris. Dependiendo de la autentificación biométrica que soporte el sistema operativo del móvil, ya sea Android o iOS, en la nube se harán copias de seguridad y se sincronizarán para evitar bloqueos si se pierde el dispositivo en el que se generaron inicialmente.
La idea final es usar esta passkey para iniciar sesión en sitios web sin necesidad de poner los típicos credenciales de usuario y contraseña. Para acceder, se va a desbloquear desde el móvil, de forma segura, con los datos biométricos registrados. Cuanto tengamos que identificarnos en una web, nos ofrecerá un código QR, que leeremos con nuestro móvil, para pedirnos la passkey. Para ello usaremos la huella o rostro y nos identificaremos. En caso de robo del aparato la passkey no tendrá valor, porque es necesario activarla biométricamente cada vez que se use.
¿Qué ocurre con la seguridad?
Técnicamente el proyecto parece no tener ningún fallo, pero podemos aplicar aquello de “poner todos los huevos en la misma cesta” o lo que es lo mismo, tener todos nuestros credenciales en la nube. ¿Es eso suficientemente seguro? No hemos dejado de hablar de lo poco segura que es la nube en algunos de nuestros artículos, como ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD o este otro titulado ¿Quién tiene la responsabilidad de nuestros datos en la nube?
También podemos preguntarnos ¿qué ocurre si falla? Al ser una herramienta todavía en desarrollo podríamos encontrarnos con varios problemas técnicos en el camino.
Pero no adelantemos acontecimientos pesimistas. La idea es buena, los datos biométricos son únicos en cada persona y son, sin duda, el futuro de nuestra autenticación.
Para la empresa que está gestionando el tema, las passkeys “son un reemplazo significativamente más seguro para las contraseñas y otros factores de autenticación frente al phishing, ya que no se pueden reutilizar, no se filtran en las fugas de datos”. Esto funciona en diferentes plataformas y navegadores, incluidos Windows, macOS, iOS y ChromeOS.
Como primeros pasos, antes de usar la passkey, se aconseja realizar una limpieza digital, para mejorar la privacidad y tener control sobre el acceso a la diferente información que guardemos, por lo que se sugiere realizar una verificación de seguridad rápida y proteger las cuentas, entre estas otras recomendaciones:
- Utilizar la verificación en dos pasos (2FP).
- Usar un administrador de contraseñas.
- Revisión de contraseñas periódicamente, al menos cada 3 meses.
- Realizar copia de seguridad cada mes.
- Agregar ordenadores, teléfonos o dispositivos de confianza.
También debemos recordar y reconocer aquí y ahora que hace años que la FIDO Alliance está intentado impulsar métodos de autenticación más seguros y cómodos para los usuarios. Por ello también ha tenido un importante papel en el desaroolo de esta técnica, como podeís ver AQUÍ. De hecho, esta asociación industrial abierta, creada en febrero de 2013, tiene como objetivo desarrollar y promover estándares de autenticación que ayuden a reducir la dependencia excesiva de las contraseñas en el mundo.
Se espera que todas estas funciones del passkeys estén disponibles para todo el mundo a finales de 2022.
Artículo redactado con la colaboración de: Astrid Carolina De Dios
Imagen principal: 200 Degrees en Pixabay
- Publicado en General, Noticias, Privacidad, Protección de datos, Seguridad, Servicios
¿Un sistema es más seguro que otro? Ninguno se libra: filtraciones en Safari.
En nuestro sector, como en muchos otros, existen algunas leyendas urbanas cuyo origen siempre es dudoso y su veracidad nunca está contrastada. Una de las más extendidas es que el sistema operativo de Mac OS de Apple es más seguro y en consecuencia, no hay virus en los ordenadores Mac. Pues no, lo sentimos, pero… ¡eso es falso!
Nosotros ya os lo hemos dicho en más de una ocasión. Quizá la más contundente llegó tras un informe de Kaspersky que publicamos hace ya un tiempo en este mismo blog. Lo podéis ver AQUÍ.
Pero como siguen habiendo escépticos, hoy os presentamos una nueva prueba que no deja lugar a dudas.
En esta ocasión es la empresa FingerprintJS la que ha indicado la causa de un error en la implementación de la versión 15 del navegador Safari en iOS e iPadOS. Este error posibilita la filtración de información confidencial de los usuarios, incluyendo datos de cuentas personales en Google.
Recordamos que Mac OS son los sistemas operativos desarrollados por Apple para toda su familia de ordenadores Mac. El error en cuestión se debe a que Apple requiere que los navegadores en iOS 15 e iPadOS 15 usen el motor Webkit en sus sistemas operativos. El software introducido para implementar la versión 15 de Safari posee la API IndexedDB y sería ésta la que permitiría que cualquier sitio web restree su actividad en Internet.
API es el acrónimo de Interfaz de Programación de Aplicaciones, del inglés Application Programming Interface. Se trata de una especie de traductores que posibilitan conectar sistemas, softwares y aplicaciones y ofrece un uso de la tacnología más comprensible para las personas.
Cuando una página web tiene interacción con una base de datos, la base se duplica con el mismo nombre en el resto de pestañas abiertas. Esa base de datos duplicada sería suficiente para extraer de ella información y documentos de un usuario de Google.
Para frenar la filtración de datos confidenciales, hay dos opciones: bloquear JavaScript o usar un bloqueador de anuncios, como AdBlock.
FingerprintJS es una empresa estadounidense, con sede en Chicago que se dedica a la detección de fraudes para diferentes negocios. En su web explican que esta fuga ya la habían detectado el 28 de noviembre y que los ingenieros de Apple trabajaron en el error y fusionaron posibles soluciones poco después.
Pero FingerprintJS insiste en que el error persiste e incluso ha creado una página de demostración simple que demuestra la forma en que una web puede llegar a conocer la identidad de la cuenta de Google de cualquier visitante. Esta demo está disponible en safarileaks.com donde además publican una lista de sitios web que interactuan con la API de IndexedDB y encontramos algunas tan usadas como Alibaba, Bloomberg, Dropbox, Netflix, Twitter, Web.whatsapp o Youtube.
Podéis leer el extenso artículo sobre esta filtración que la propia FingerprintJS ha publicado en su blog AQUÍ.
Como veis, una vez más, deciros que trabajar con un Mac no asegura la inviolabilidad de vuestro ordenador y de las fuentes que se usan. Estas filtraciones en Safari son una prueba más de que no, en absoluto. Y es que, como nos preguntábamos al principio, ¿un sistema es más seguro que otro? Filtraciones en Safari.
Según Apple, “Safari es el navegador más rápido del mundo gracias a la supervelocidad del motor JavaScript. Se ha desarrollado específicamente para funcionar en dispositivos Apple, por eso ofrece un consumo muy eficiente que logra que la batería de mucho más de sí. Y ahora, con el chip de Apple, se ha convertido en un verdadero cohete.”
- Publicado en Ataques / Incidencias, General, Noticias, Seguridad, Sistemas operativos, Tecnología
Los “grandes” no se libran: filtraciones en Telefónica Chile, Apple y Phone House
Aunque no nos cansamos de repetirlo, nos parece adecuado de vez en cuando mostraros que los ciberdelincuentes pueden con todo. Por eso hoy queremos hablaros de tres filtraciones recientes de tres empresas de las consideradas “grandes”, conocidas por todo el mundo. Y para colmo de males una de ellas es Eleven Paths, la compañía de ciberseguridad de Telefónica, que ha sufrido una fuga de información en Chile.
¿Cómo puede ser?, os preguntaréis con razón. No hay respuesta para explicarlo, pero lo cierto es que hace unos días un ciberdelincuente ha puesto a la venta cuatro bases de datos de la división chilena de Elevan Paths y Telefónica. Parece ser que en estas bases de datos había todas las peticiones que se habían realizado desde el SOC de Eleven Paths. Pero no acaba ahí la cosa, porque también había varias VPNs (Red Privada Virtual) de otras compañías, clientes, base de datos bancarios (con números de cuentas corrientes), etc.
Podéis leer la noticia en el medio digital especializado en ciberseguridad Derecho de la red.
Apple también sufre un robo de información y le piden ¡50 millones de dólares!
Otro gigante como Apple también ha sido protagonista en los últimos días porque unos ciberdelincuentes atacaron con un ransomware a la empresa de Taiwan Quanta Computer, que se encarga de fabricar dispositivos de Apple, por lo que tenía mucha información confidencial sobre los productos de la empresa.
Quanta Computer Incorporated es el mayor fabricante de portátiles del mundo y tiene también como clientes otras conocidas marcas, como Hewlett-Packard, Amazon, Fujitsu, Lenovo, Sony y un largo etcétera.
Parece ser que detrás del ataque está el grupo de ciberdelincuentes rusos REvil.
Si queréis saber más de esta red, que también ha hecho de las suyas con cantantes como Madonna o Lady Gaga, podéis ver la información superactualizada (a 25 de abril) en la Wikipedia.
Los ciberdelincuentes ha solicitado un rescate de 50 millones de dólares, la misma cantidad que solicitaron a ACER por un ataque similar hace unas semanas.
Podéis leer la noticia de las filtraciones de Apple que publicaba el diario ABC AQUÍ.
Phone House sufre un ataque pero da la cara y está a la altura
El 11 de abril Phone House sufrió un ciberataque con ransomware que ha podido filtrar datos de 13 millones de clientes y empleados de la cadena. Detrás del ataque se halla el grupo responsable del ransonware Babuk, que pudieron acceder a una copia completa de diez bases de datos de Oracle.
Phone House ha reaccionado con ejemplaridad: ha notificado los hechos a la Agencia Española de Protección de Datos y ha denunciado los hechos ante la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional. Por supuesto, no ha caído en el chantaje y no ha pagado el rescate, tal y como recomiendan los organismos de ciberseguridad.
Pero además de todo esto, que es de obligado cumplimiento, ha publicado una nota en su página web, dirigida a todos sus clientes, con toda la información de lo ocurrido. Podéis leer su comunicado AQUÍ.
También podéis leer la noticia del ataque en el periódico Cinco Días AQUÍ.
Imagen principal: mohamed Hassan en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias
Un nuevo estándar DNS que protege los datos de las búsquedas
Los servidores DNS que convierten el nombre de una web en una dirección IP son los que permiten la navegación por Internet. Pero en este camino se almacenan los datos de los usuarios. El viejo sueño de que eso no ocurra se hace ahora realidad con un nuevo estándar DNS que protege los datos de las búsquedas y que se llama Oblivius DoH.
Los servidores DNS (Domain Name System, o sea Sistema de Nombres de Dominio), son absolutamente imprescindibles para navegar por internet. Gracias a ellos al escribir el nombre de una web o su dirección en vuestro navegador, se traduce esa información a una dirección IP, lo que permite la navegación.
Normalmente los ordenadores o proveedores de internet facilitan un rúter con un DNS. Y así es como siempre puede saber cuál es vuestra IP y quién es el que se conecta. Tan importante es el DNS que cuando una ley o decisión judicial o gubernamental ordena bloquear el acceso a una serie de páginas, lo que se hace es, precisamente, bloquear el acceso a la DNS.
Aunque los ordenadores permiten en sus configuración de red, cambiar las DNS que usamos para navegar y usar algunas alternativas (¡ya hablamos de ello en el lejano 2011!) que pueden mejorar vuestra privacidad, lo cierto es que siempre se acaba por poder tener los datos.
Ahora tres empresas han unido sus fuerzas para evitar esto. Apple, Fastly y Cloudflare han desarrollado un nuevo estándar DNS que protege los datos de las búsquedas. Lo que hace “simplemente” es separar las direcciones IP de las consultas colocando un proxy intermediario entre el usuario y el servidor DNS. De esta forma ninguna entidad podrá ver las dos al mismo tiempo. Y escribimos “simplemente” entre comillas, porque detrás de esto hay un complicado tema tecnológico cuya explicación sobrepasa los límites de este blog. Pero no os preocupéis. Si alguno de vosotros desea conocer exactamente los intríngulis técnicos os invitamos a visitar la web de Cloudflare, en donde encontraréis una bonita explicación.
Cloudflare es una empresa de San Francisco que entre sus servicios ofrece uno gratuito de servidor de nombres de dominio a todos los clientes que utilicen una red Anycast. En la práctica gestiona el 35% de los dominios DNS administrados. La compañía ha anunciado también que, además de este nuevo protocolo, pone a disposición el código fuente para que cualquiera pueda probarlo.
Por su parte Fastly es un proveedor estadounidense de servicios de computación en la nube. Estas dos empresas junto a Apple han lanzado este producto que mejora la privacidad del DNS y que han bautizado con el nombre de Oblivius DoH. Y que por cierto, a pesar del nombre, ¡no es una escuela más de Harry Potter!
- Publicado en General, Noticias, Privacidad, Productos
Un iPhone dedicado a la investigación de seguridad
El compromiso de Apple con la seguridad le ha llevado a diseñar un programa que ayuda a mejorar la seguridad de los usuarios de iOS. Para ello cuenta con un iPhone dedicado a la investigación de seguridad que no es comercial.
Este dispositivo de seguridad, bautizado como SRD (Security Reseach Device) está diseñado exclusivamente para ser usado en investigaciones relativas a la seguridad y en entornos controlados. Para ello, el acceso al shell está disponible, podrá ejecutar cualquier herramienta y elegir sus permisos. De no ser así el SRD se comporta como un iPhone estándar.
en la página oficial Apple Developer
Las personas que pueden acceder a los SRD deben estar autorizadas por Apple, porque no están pensados para un uso personal y deben permanecer en las instalaciones de los participantes en el programa de dispositivos de seguridad de Apple. La empresa se reserva la propiedad de los SRD y los proporciona sobre una base de 12 meses renovable.
Quienes encuentren vulnerabilidades deberán informar inmediatamente a Apple, que recompensará al autor a través de Apple Security Bounty, el programa que ofrece reconocimiento público a las personas que envíen informes válidos y hará coincidir las donaciones del pago de recompensas a organizaciones benéficas calificadas.
¿Qué requisitos se precisan para participar en el programa?
Los investigadores que quieran participar en el programa y tener un iPhone dedicado a la investigación de seguridad deben enviar la solicitud a Apple y deben cumplir inicialmente los siguientes requisitos:
• Ser titular de una cuenta de socio en el Programa de desarrolladores de Apple.
• Tener un historial probado de éxito en la búsqueda de problemas de seguridad en las plataformas de Apple u otros sistemas operativos y plataformas modernos.
• Tener su sede en un país o región elegible, es decir que no esté en las listas de países restringidos por Estados Unidos.
Ya lo sabéis Bounty Hunters, si necesitáis un reto más, aquí tenéis uno bien grande, trastear un Iphone para sacarle las vergüenzas a su Ios.
Más información en la página oficial de Apple.
Más lloros sobre el iva y la competencia desleal en los libros electrónicos.
A raíz de la subida del iva al 21% y como ello afectará también a las ediciones electrónicas, ya que en este país a diferencia de otros muchos del mundo, no tiene un tipo impositivo reducido para este producto, editores, autores y periodistas han puesto el grito en el cielo, porque se reducirán las ventas en un mercado que en España no acaba de aflorar.
¿O sí? Amazon y Apple si venden, y los anteriores se quejan de que les hacen competencia desleal ya que operan y facturan desde Luxemburgo, que tiene el Iva al 3%.
En estas dos últimas plataformas hay infinidad de títulos, a un precio más que competitivo (más del 18% de diferencia del iva), con una facilidad pasmosa para comprarlos. Si los primeros se aplicasen el cuento, y la versión electrónica de los títulos que se crean y editan en España no fuese IGUAL o uno o dos euros más baratos, los consumidores no tendríamos porqué piratearlos. Y ya no mencionemos los sistemas anticopia….otro día.
- Publicado en Noticias
Nexus 7, el tablet de Google, triunfando.
Y es que a los pocos días, se ha quedado sin stocks de ningún modelo. Y las previsiones de venta superan todas las previsiones de fabricación.
¿Será por su competitivo precio para sus grandes prestaciones? Relación calidad-precio le llaman. ¿O porque las tabletas son una moda, y Google está más de moda que Apple? ¿Imposible?
- Publicado en Noticias
Novedades Apple.
Hace unos días la marca de la manzana anunció sus próximos lanzamientos y novedades en la reunión anual de desarrolladores de su software. Resumiendo brevemente serían:
Portátiles Mac renovados, con USB 3.0 y con integración Facebook y Twitter (¿?), una aplicación de mapas basada en Tom Tom, Passbook su versión de Google Wallet (puedes guardar tarjetas de fidelización como Quomai, billetes de avión, …), y la superpantalla Retina, la mayor resolución del mercado al mayor precio del mercado (y una persona corriente no notará la diferencia entre esta y una full-hd).
En cuanto a su IOS6, por fin Siri en español, y su integración con la guía Yelp (negocios locales, tipo Google Mpas o Foursquare) y la videollamada -tan esperada- en 3G, PoweNap un instalador de actualizaciones cuando no se usa el portátil.
¿Novedades? Unas cuantas, sí, pero nada nuevo, todo mejoras y mucho espectáculo y decir "aunque copiemos y mejoremos, somos los mejores". Eso es marketing.
- Publicado en Noticias
MacOs ya en Catalán.
Desde la semana pasada Apple ofrece en forma de actualización de su sistema operativo MacOs, (que ya se podía disfrutar en otras plataformas como Iphone o Ipad) del idioma catalán, así como también el croata, el griego, el hebreo, el rumano, el eslovaco, el tailandés y el ucraniano.
La sorpresa es que es eso, un parche, traduce todas las palabras a esos idiomas, pero de serie no incluye por ejemplo, un corrector en esos idiomas para cualquier aplicación.
- Publicado en Noticias
- 1
- 2
Español 
Català