seguridad

Nueva vulnerabilidad detectada en Adobe Reader

por

Logo Adobe

Los productos de Adobe nos han facilitado enormemente la vida, los archivos PDF y el Flash dos insignias en el mundo informático durante muchos años. Flash está ahora en caída libre, según algunos por la llegada de HTML5 y por otros por los grandes problemas que ocasionaba la plataforma, siendo el consumo de recursos y la seguridad sus dos puntos débiles. Pues bien, parece que ahora le están llegando malos tiempos al otro formato, al PDF, y es que no solo para Flash se encuentran problemas de seguridad, ahora es el turno del visor de PDF de adobe, o sea el afamado Adobe Reader.

En esta ocasión el fallo permite a un atacante inyectar código malicioso en el equipo detectado, para lo cual es necesario que el usuario abra un documento diseñado especificamente. El documento diseñado de esta forma que se ha detectado, actua insertando dos librerías DLL, donde una nos muestra un aviso de engaño y abre un PDF señuelo, la segunda se conectaría a dominios remotos mediante el protocolo HTTP.

Este fallo afecta a las últimas versiones de Adobe Reader (incluidas las 9.5.3, 10.1.5 y 11.0.1) y posiblemente también a anteriores. Para solventar este incidente se recomienda deshabilitar el plugin de PDF en los navegadores y utilizar otros visores de PDF. También conviene estar atentos a las actualizaciones del visor para estar seguros que cuando se lanzan las actualizaciones que solventan este tipo de fallos nuestro sistema esté a salvo. Una última opción es utilizar un sistema integrado en Adobe Reader, pero que por defecto no está activado, que nos ofrece una vista protegida con la cual solo se abrirán documentos que procedan de fuentes de confianza. Para habilitar esta última opción deberíamos ir a Preferencias > Seguridad y revisar las opciones de “Archivos de ubicaciones potencialmente peligrosas” y “Todos los archivos”.

Otra actualización crítica de Adobe Flash

por

Adobe Flash

Por enésima vez, Adobe tiene que salir rápidamente a lanzar una actualización (algo improvisada) para solucionar un fallo crítico en su software Adobe Flash y que lleva varios días ocasionando problemas permitiendo ataques a los equipos afectados. Este fallo afecta a todas las plataformas, o sea que tanto los usuarios de Windows, como los de Mac, los de Linux y los de Android deben actualizar cuanto antes su versión de flash. Si queréis más información sobre esta actualización la encontraréis en este boletín de Adobe.

Tras esta actualización las versiones de Adobe Flash según la plataforma quedarán de la siguiente forma:

  • Windows y Mac OS X: 11.5.502.146
  • Linux: 11.2.202.261
  • Android 11.1.111.31

Google quiere acabar con las contraseñas tradicionales

por
Google, algo más que un buscador
Google, algo más que un buscador

Un número, una palabra, una combinación de números y letras. Si bien la necesidad de contraseñas cada vez más complejas para evitar robos de información ha ido creciendo, lo que no ha evolucionado es el mecanismo propiamente de las contraseñas. Seguimos usando contraseñas, más o menos largas, más o menos complicadas de caracteres alfanuméricos. O eso venía sucediendo hasta ahora.

Los smartphones y tablets han añadido algunas nuevas opciones, como patrones de movimientos, patrones en imágenes, … Pero Google pretende ir más allá, así pues lo que tratarían es de sustituir las contraseñas clásicas como las conocemos por sistemas de identificación físicos que sirvan para reconocer a un usuario de forma inequívoca. De esta manera, Google pretendería asegurar la seguridad de la información de sus usuarios. Y es que tal y como ha indicado Eric Grosse, vicepresidente de seguridad en Google, los sistemas de seguridad basados en claves, si bien han sido un sistema fácil de implantar y con un coste reducido, actualmente se encuentra desfasado.

Además de esta declaración, han reconocido que se está trabajando en sistemas físicos de identificación con los cuales se ampliarían las posibilidades de seguridad. Incluso se habla de una especie de llave, bajo el nombre de YubiKey, con la cual podríamos iniciar sesión en cualquier servicio de Google teniéndola conectada a un puerto USB. La verdad es que los ataques cuyo objetivo es el robo de contraseñas han aumentado con el tiempo, y la dependencia de servicios en la nube es cada vez mayor. Por eso, Google tiene claro que es necesario cambiar el sistema actual. ¿Acaso os habéis planteado que sucedería si un hacker os roba vuestras contraseñas y dejáis de tener acceso a los servicios que con tanta asiduidad usáis? ¿Aceptaríais depender de un sistema físico para acceder a estos servicios?

Según TrustGo la inseguridad en las Apps de Android sigue creciendo

por

En un informe de la firma TrustGo se muestra que Android sigue teniendo un importante problema con la seguridad, y es que según la firma hasta un 25% de las apps de esta plataforma podrían ser inseguras. Según el informe el 21,1% de las apps tendrían código de alto riesgo que podría llegar a comprometer los datos personales de los usuarios, instalar aplicaciones no deseadas o incluso permitir pagos no autorizados por los usuarios. Se indica también que hay un crecimiento «alarmante» de las aplicaciones que aunque no son consideradas maliciosas según los criterios convencionales pueden ser de alto riesgo. En cuanto a las aplicaciones más peligrosas, la gran mayoría se encuentran catalogadas como juegos, siendo un 44,5% de las señaladas en el informe. Hasta un 25% de las aplicaciones tienen permisos que podrían generar vulnerabilidades.

Y ¿cuales son las tiendas de apps más inseguras? Pues de momento, el mayor peligro se sigue manteniendo en las tiendas de apps de China, donde las cifras son de cerca de un 40% de apps con Malware, frente a por ejemplo el 2% de Aproov, que sería la más segura. Google Play, se situaría en quinto lugar con un 7,5% de incidencia de Malware entre sus aplicaciones.

Así pues, debemos seguir manteniendo la guardia y tener mucho cuidado con las fuentes que elegimos para instalar aplicaciones en nuestros dispositivos, que cada vez más contienen información crítica.

Las contraseñas cambian de aspecto

por

A medida que han ido evolucionando los sistemas operativos, algunas cosas han ido adaptándose y otras han permanecido prácticamente inmutables. En unas ocasiones, lo que no cambia no es porque no haya algo mejor sino porque los usuarios están tan acostumbrados a una determinada forma de trabajar, que cambiar dicho patrón se hace relativamente complicado.

Así sucede con las contraseñas de inicio de sesión en los sistemas operativos, que durante mucho tiempo no han sido más que una combinación de letras y números que se insertaban en la pantalla de inicio, para permitir empezar a utilizar el ordenador. Pues bien, esto está cambiando, ya hay otras formas de crear una contraseña para iniciar sesión y los nuevos sistemas operativos están empezando a ofrecerlas, con la intención de que los usuarios cada vez más, hagan uso de esas nuevas posibilidades.

Android ya hace uso desde algún tiempo de una función de reconocimiento facial para permitir el inicio de sesión en los dispositivos gobernados por el sistema operativo, y el uso de la imagen para iniciar sesión llega también ahora de la mano de Windows 8. En este caso, se combinaría una imagen estática con una combinación de hasta tres gestos (tomando como base dicha imagen) que son los que nos permitirán iniciar sesión. Las combinaciones pueden ser infinitas y por tanto mayor será la seguridad de nuestro equipo empleando este sistema de autenticación. Es un pequeño paso más allá de la interpretación de un patron de movimientos que ya incluye Android, ya que este sistema se basa en nueve puntos, sin embargo en la solución de Microsoft tenemos un sinfín de posibles combinaciones haciendo de este sistema más seguro.

Facebook incluye acceso https por defecto

por

Si bien, hasta hace poco se trataba de una opción para quienes quisieran realizar el acceso mediante el protocolo https, ahora se trata de una opción por defecto. Así pues los desarrolladores de Facebook han incluido por defecto el acceso a la red social mediante el protocolo https. De esta forma se incrementará la seguridad de la red social evitando mayores problemas. No obstante, se ha decidido mantener aún la opción de que aquellos usuarios que quieran seguir realizando el acceso de la forma tradicional puedan configurar su cuenta para que así sea. Parece que finalmente el equipo de desarrollo de Facebook ha optado por incorporar esta medida de seguridad independientemente de los posibles efectos que pueda tener sobre el rendimiento.

BlacBerry 10 más seguro que iOs6 y Android 4, al menos para el pentágono

por

Recientemente se hacía pública la noticia de que BlackBerry lograba el certificado FIPS, certificado que necesitan las plataformas informáticas para poder ser utilizadas por los miembros del Gobierno de EE.UU. De hecho, se trata de la única plataforma móvil que dispone de dicha certificación, lo cual la convierte en la única plataforma desde donde se pueda enviar material clasificado, mientras que si se usa un dispositivo de otra plataforma solo se podría enviar información no clasificada o sensible. Y el que Blackberry logra cumplir los estrictos requisitos de seguridad, puede ser un importante respaldo para un nuevo despegue de la plataforma, tal y como destacan desde la propia compañía.

No obstante, esto podría contrastar con otra noticia anterior a la obtención de dicho certificado y que va en sentido contrario. Y es que el Departamento de Defensa de EE.UU habría dejado de utilizar los teléfonos BlackBerry para sus empleados y se cambiarán a Apple o Google. Así pues RIM no puede lanzar las campanas al vuelo del todo y deberá demostrar que es capaz de hacer algo bueno y rápidamente para que BlackBerry 10 llegue y sea capaz de recuperar el terreno que no hace sino perder.

Un millón y medio de ciberdelitos al día

por

Cuando uno escucha una cifra como esta siente un escalofrío, pero estos son los datos que revela un estudio realizado por Symantec, demostrando que los delitos informáticos siguen en auge. Y es que ese millón y medio de fraudes online, supone un total de 556 millones al año. Esto implicaría un crecimiento con respecto al año 2011, aumentando especialmente los nuevos sistemas a través de las redes sociales y los dispositivos móviles tan de moda en estos tiempos.

Otro de los detalles que destaca del informe es que, si bien, el número de víctimas de estos ciberataques ha crecido, el impacto sobre ellas es menor. Es decir, que hay más ataques, pero con un impacto económico menor, sin llegar en muchos casos de estos fraudes a la cifra de un euro. También se destaca que a diferencia de años atrás, cunado muchos de estos ataques lo que buscaban era la fama, ahora se busca más lucrarse con las acciones y por supuesto mantenerse en el anonimato.

Muy destacable es también la vulnerabilidad detectada tanto en dispositivos móviles y redes sociales, especialmente cuando su uso se ha extendido tanto que 2 de cada 3 adultos usan sus dispositivos móviles para el acceso a Internet y en 8 de cada 10 casos cuentan con perfil en las redes sociales. Teniendo en cuenta que aún no hay una clara concienciación de las posibles amenazas sobre este tipo de dispositivos, los cibercriminales están tratando de aprovechar la situación, especialmente cuando apenas una tercera parte de los usuarios de dispositivos móviles utilizan alguna solución de seguridad.

Por tanto, y en vista de este informe, no podemos sino seguir insistiendo en la necesidad de tener unos hábitos sobre seguridad online constantes, y tener en cuenta que cualquier dispositivo con el que accedamos a internet es plausible de recibir un ataque. Así pues, nunca debemos bajar la guardia, especialmente con los smartphones, que tenemos siempre con nosotros y que cada vez tienen más información privada nuestra.

La importancia de una contraseña segura

por

LifeLock publicó un infografía sobre el tiempo estimado que podrían tardar en hackearnos nuestra contraseña. En su infografía nos ponen ante dos casos, uno el de un hacker amater y otro profesional y la verdad es que queda bastante bien reflejada la importancia de optar por una contraseña segura. Y es que cuando uno ve como en menos de un segundo una contraseña podría ser crackeada, se queda cuanto menos intranquilo. Eso es para el caso de un hacker profesional y ante una contraseña sin símbolos. Además en la propia infografía se muestra como la inclusión de un símbolo así como hacer un poco más extensa la contraseña, complicaría bastante las cosas incluso para el hacker profesional, que pasaría de tener que dedicar unas pocas milésimas a necesitar varias semanas (en el caso de un hacker aficionado, la labor ya se haría imposible). Así pues, no nos queda más que recordaros la importancia de elegir contraseñas lo suficientemente seguras, y eso implica combinar caracteres (en mayúsculas y minúsculas), números y símbolos. Especialmente cuando estamos en una epoca en que los servicios en la nube cobran cada vez más importancia… y es que ¿que os pasaría si os robasen y cambiasen vuestras claves en los servicios que usáis a diario?