Archivos para abril, 2014


1033046

 

El problema afecta a las conexiones que comienzan con ”https”
Los afectados de mayor tamaño están corrigiendo el error, pero el alcance todavía se desconoce
Google difundió un punto débil en el sistema de cifrado que utiliza para sus conexiones seguras

NUEVA YORK, ESTADOS UNIDOS (11/ABR/2014).- Un error en uno de los principales programas de conexión segura utilizado en internet ha tenido potencialmente expuestos a millones de usuarios desde hace dos años.

El lunes pasado, Google difundió un punto débil en el sistema de cifrado que utiliza para sus conexiones seguras, llamado OpenSSL, que también ha afectado a gigantes como Yahoo y Amazon. Esta grieta, existente desde 2011 y descubierta en diciembre de 2013 por un técnico de Google, podría haber permitido a hackers robar contraseñas de los usuarios.

El problema afecta a las conexiones que comienzan con “https” y aparecen en la barra de direcciones cuando el usuario introduce datos delicados, habitualmente contraseñas. El fallo ha sido bautizado en inglés como Heartbleed, o “corazón sangrante”, porque afecta a un tipo de intercambio de información en web.

Los internautas de las páginas que utilizan este código habrían sido potencialmente vulnerables desde 2011. Y si alguien hubiera accedido a información confidencial, no habría dejado rastro.

Potencialmente podría haber dejado sin cobertura de seguridad a millones de usuarios que almacenan los datos de sus tarjetas bancarias en páginas de pago, o que utilizan el e-mail o los mensajes instantáneos.

El fallo puede incluso afectar a quien se conecte a su cuenta de banco por internet, si usan este método de cifrado (existen otros), aunque Unanue recuerda que las entidades siempre utilizan sistemas de seguridad complementaria, independientes del cifrado de la contraseña.

Los afectados de mayor tamaño están parcheando (jerga para arreglos de código) el error, pero el alcance todavía se desconoce. El arreglo fue fabricado por Adam Langley, ingeniero en el desarrollo del navegador Chrome, de Google, y Bodo Möller, experto alemán en cifrado PGP, que trabaja para ACM, una sociedad informática dedicada a la divulgación El descubrimiento del problema fue realizado paralelamente por un técnico de Google llamado Neel Mehta y por Codenomicon, una empresa finlandesa.

La vulnerabilidad podría haber afectado a unas 600 de las 10 mil páginas con más tráfico de la red, según un experto de la empresa Qualys. Eso supone “millones” de usuarios cuya información ha estado potencialmente expuesta, afirma Chema Alonso, experto en seguridad informática y consultor de Informática 64, empresa española cuya seguridad también ha sido afectada (y que ya ha arreglado el problema).

Un portavoz de Yahoo explicó que la empresa ha arreglado el problema en sus webs Yahoo Homepage, Yahoo Search, Yahoo Mail, Yahoo Finanzas, Yahoo Deportes, el sitio de fotos Flickr y la de blogs Tumblr, y que están trabajando para subsanar el error en el resto de sus webs. Google publicó que la vulnerabilidad ha afectado a los usuarios de Search, Gmail, YouTube, Wallet (que se utiliza para realizar pagos), Play (descarga de aplicaciones para Android), Apps, y App Engine (donde los desarrolladores suben sus aplicaciones), y también ha subsanado el bug.

El País

FICHA TÉCNICA

Las características

> Open SSL es un programa de código abierto. Es decir, cualquier programador puede participar en la escritura de su ADN, aunque eso no quiere decir que lo pueda alterar a voluntad como los artículos de Wikipedia.

> Es un sistema de seguridad utilizado por algunas de las principales web que existen, y “entre 50% y 70%” de servidores según Igor Unanue, técnico de la empresa de seguridad S21SEC. Ricardo Galli, fundador de Menéame, afirma que los servidores afectados a unos 500 mil. Es gratuito y funciona como una herramienta que las web utilizan para cifrar la información que intercambian con los usuarios individuales, para que esta no pueda ser robada por terceros.

> Lo usan desde Yahoo, Google, Facebook o Amazon, a la plataforma de juegos Steam, pasando por el software de conexión segura Tor.

 

 

 

fuente


 

1397633093_202336_1397634892_noticia_normal

 

Apple, Google, HTC, Huawei , Motorola, Microsoft, Nokia, Samsung y las cinco principales compañías telefónicas de Estados Unidos han suscrito un acuerdo para que a partir de julio de 2015 todos los nuevos teléfonos que se pongan a la venta lleven sistema antirrobo, según ha anunciado la CTIA, asociación de la industria de telecomunicaciones norteamericana.

El robo de smartphone es uno de los principales actos delictivos en ciudades como Nueva York o Londres, como reiteradamente han denunciado sus respectivos alcaldes. En ambos casos , los responsables municipales habían exigido a los fabricantes de estos aparatos un mayor compromiso para prevenir los robos, pues, además, la sustracción del móvil acarrea delitos más graves que en ocasiones acaban en homicidios.

En Estados Unidos se roban al año 1,6 millones de móviles y en la ciudad de Los Ángeles, este delito ha crecido un 12% en el último año. El senador demócrata Mark Leno promueve en California una ley federal para que todos los móviles y tabletas incluyan obligatoriamente un sistema de anulación del aparato en el momento de la compra. El conocimiento de que estos aparatos quedan inutilizados si se roban acabaría con el mercado negro, según Leno y, por tanto, con gran parte de los beneficios que tienen este tipo de delitos.

Antes de que Leno consiga la obligatoriedad del antirrobo por ley, la industria se ha movido hacia un acuerdo voluntario. De hecho, ya los tres sistemas operativos más importantes -Android, iOS y Windows- permiten remotamente anular las funciones del aparato robado o rastrear el lugar dónde está.

El acuerdo suscrito por fabricantes y operadoras de Estados Unidos tiene la capacidad de borrar de forma remota los datos del aparato, incluso se puede inutilizar si se intenta encender sin el permiso del propietario, como ya ocurre con los sistemas anteriormente citados. Pero ahora, con la incorporación de las operadoras al acuerdo, se añade la posibilidad de recuperar todos los archivos y agenda de contactos si el móvil se recupera después, y sin necesidad de pago alguno.

“La industria móvil ha dado un paso para abordar la epidemia de robo de teléfonos inteligentes”, dijo Leno en un comunicado, pero recuerda que el acuerdo es insuficiente y que seguirá con su propuesta de ley, que podría entrar en vigor en California el 1 de enero, si es aprobada. Iniciativas similares están en marcha en los estados de Illinois y Minnesota.

Según las palabras de CTIA, el acuerdo entre fabricantes y operadoras no significa que haya una tecnología común, sino que garantiza que cada móvil vendido a partir de julio de 2015 llevará incorporada un sistema antirrobo. Este acuerdo no contenta a los partidarios del kill switch, como Leno, el sistema que inutiliza remotamente el aparato, y que propugnan que se preinstale universalmente.

 

fuente