Archives septiembre 2019

Se recomienda a los usuarios de Google Chrome actualizar el navegador a la versión 77.0.3865.90, ya que la compañía reparó cuatro fallos de seguridad importantes; uno de ellos catalogado como crítico

La semana pasada el equipo de Google Chrome anunció en su blog oficial el lanzamiento de una actualización para el navegador Chrome tanto para Windows, Mac como Linux.

Esta última versión de Chrome (77.0.3865.90) cuenta con parches de seguridad para cuatro vulnerabilidades reportadas entre agosto y septiembre de este año, de las cuales una fue catalogada como crítica, mientras que las otras tres son consideradas de alto riesgo.

En el caso de la vulnerabilidad crítica (CVE-2019-13685), la misma fue reportada el 5 de septiembre por Khalil Zhani y permitiría a un atacante tomar el control de un equipo infectado de manera remota.Las otras tres son la CVE-2019-13688, CVE-2019-13687 y CVE-2019-13686. Las dos primeras reportadas por Man Yue Mo, mientras que Brendon Tiszka hizo lo propio con la tercera.

Según explicó la compañía a través de su blog, el acceso a los detalles de cada una de las vulnerabilidades reportadas y reparadas en Chrome se mantendrá reservado hasta que la mayoría de los usuarios hayan actualizado a la última versión del navegador.

La explotación de estas vulnerabilidades permitiría a un atacante ejecutar código de manera arbitraria en el contexto del navegador. Lo único que necesitaría el atacante es lograr que la víctima abra un sitio web especialmente diseñado en el navegador, sin necesidad de que interactúe de manera adicional con el sitio, explica TheHackerNews.

Como parte de su programa de bug bounty, Google le pagó a Man Yue Mo un total de 20.000 dólares por las dos vulnerabilidades reportadas, mientras que el monto que cobrará Khalil Zhani y Brendon Tiszka aún se definió, publicó el medio.

Para más información, visitar el sitio oficial del programa de bug bounty de Google Chrome, donde encontrarán información detallada sobre los montos y recompensas.

Fuente: www.welivesecurity.com

Llega la versión estable de Insync 3, la renovada aplicación de sincronización de archivos gracias a la cual usar Google Drive en Linux es coser y cantar. Pero no solo de la nube de Google vive el linuxero y con este lanzamiento se estrena una anunciada y esperada característica: soporte para Microsoft OneDrive.

Lo primero y más importante es que los usuarios de Insync 1.5, la hasta ahora versión estable del cliente, deben fijarse en un par de detalles antes de actualizar a Insync 3, para lo cual se ha publicado una sencilla guía de migración que conviene repasar para evitar problemas.

El porqué del salto de versión lo explican con que Insync 2 fue la versión en desarrollo y para esta nueva han rehecho el motor de sincronización, llamado Core 3 y escrito en Python 3. Sus ventajas, facilidad para añadir nuevas características más fácilmente, lanzar nueva versiones y cazar errores más rápidamente, además de ofrecer una sincronización más fiable y rápida.

Pero sin duda la gran novedad de Insync 3 es el soporte de OneDrive, incluyendo OneDrive for Business y SharePoint. La razón es que si bien existen alternativas para usar el servicio de Microsoft en Linux, no son especialmente accesibles para el usuario que no quiere liarse con configuraciones intrincadas. Es lo mismo que sucede con Google Drive, y en ambos casos Insync ha sabido proponer una solución que no implica quebraderos de cabeza.

Por lo demás, Insync 3 trae diferentes mejoras de usabilidad y personalización con la sincronización selectiva, las carpetas predeterminadas, así como optimizaciones a nivel visual. Más información en el anuncio oficial.

Por último, os recordamos que Insync es software de pago único por cuenta (29,99 dólares euros), pero si dependéis de los servicios mencionados, vale la pena porque va muy bien y tiene muchas opciones interesantes, según podéis ver en la página de descarga. Otro dato a tener en consideración es que Insync es software privativo, pero lleva mucho tiempo de actividad, está aceptado por Google y utiliza autenticación segura.

Servicios de almacenamiento y sincronización de archivos en la nube con soporte para Linux hay unos cuantos, pero siguen faltando dos de los más populares del mercado: Google Drive y Microsoft OneDrive, cuyos respectivos propietarios ignoran por norma al sistema por el que tanto amor profesan para otras cosas. Es por ello que Insync es tan apreciado por estos lares.

Fuente: www.muylinux.com

La masiva filtración de datos afecta a más de 17 millones de personas.

Ecuador tiene menos de 17 millones de habitantes y, según una firma de seguridad, la mayoría de los datos personales de casi todos ellos han sido expuestos.

La compañía de seguridad informática vpnMentor aseguró en un informe que dos de sus expertos detectaron a inicios de septiembre que un servidor utilizado por una empresa de análisis de datos y que contenía información personal sobre millones de ecuatorianos no contaba con los protocolos de protección necesarios.

Y, por lo tanto, casi cualquier persona podía acceder a ellos.

El gobierno de Ecuador no confirmó de inmediato la filtración, aunque indicó que está investigando lo sucedido y recopilando información al respecto.

«Desde primeras horas de la mañana, el gobierno ecuatoriano realiza una investigación para levantar toda la información y descubrir qué ha sucedido y quiénes son los responsables», indicó una fuente oficial a BBC News Mundo.

De confirmarse de forma oficial, sería la mayor filtración en línea de información personal en la historia del país sudamericano y una de las mayores en Latinoamérica, dado el número de personas expuestas.

¿Qué se sabe de la filtración?

De acuerdo con vpnMentor, la filtración ocurrió desde un servidor en Miami que no contaba con los requisitos de seguridad establecidos y que era administrado por Novaestrat, una empresa ecuatoriana de marketing y análisis.

Se trata de 18 GB de datos distribuidos en una variedad de archivos y que incluía nombres, información financiera y datos civiles de hasta 20 millones de personas.

La filtración comprometió la información personal de millones de personas en Ecuador.

«La filtración abarca una gran cantidad de información personal confidencial (…) La mayoría de los individuos afectados parecen estar ubicados en Ecuador», señala la firma en un comunicado en su página web.

Tras el comunicado de vpnMentor, el acceso al servidor fue restringido por el equipo de seguridad informática de emergencia de Ecuador.

Novaestrat no respondió de forma inmediata a las preguntas de la BBC.

¿Qué información reveló la filtración?

Además de los datos de identidad básicos, los archivos expuestos incluían:

• números oficiales de identificación del gobierno

• números de teléfono

• registros familiares

• fechas de matrimonio

• historias educativas

• registros de trabajo

El caché de información también incluía algunos registros financieros que contaban los saldos de las cuentas de los clientes de un gran banco ecuatoriano, según la firma de seguridad informática.

Mientras, los registros de impuestos, incluidos los números de identificación de ingresos oficiales de las empresas, se encontraron en otro archivo.

¿Cuán grave es la filtración?

Según vpnMentor, se trata de una falla informática «particularmente grave», dado el tipo y la cantidad de información que se reveló sobre cada individuo.

«La violación de datos implica una gran cantidad de información sensible de identificación personal a nivel individual», escribieron Noam Rotem y Ran Locar, los expertos que encontraron la falla.

El gobierno de Ecuador anunció que investiga lo sucedido.

La noticia sobre la violación de datos fue revelada en el sitio web de ZDNet, quien consideró que esa información podría ser «tan valiosa como el oro en manos de bandas criminales».

Las búsquedas simples revelaban listas de ecuatorianos ricos, sus domicilios, si tenían hijos, los autos que conducían y sus números de matrícula, indicó el portal de tecnología.

«Esto pone a las personas en riesgo de robo de identidad y fraude financiero. Una parte maliciosa con acceso a los datos filtrados posiblemente podría reunir suficiente información para obtener acceso a cuentas bancarias y más», consideró vpnMentor.

La empresa informática estimó además que el acceso a detalles sobre los carros puede ayudar a los delincuentes a identificar vehículos específicos y la dirección de su propietario.

«Este tipo de violación de datos podría haberse evitado con algunas medidas de seguridad básicas», consideró el portal tecnológico.

¿Cómo se descubrió?

La agencia de seguridad informática indicó que descubrió la filtración como parte de un proyecto de mapeo web a gran escala.

Los expertos de vpnMentor escanean puertos IP y luego buscan vulnerabilidades en el sistema que indiquen una base de datos abierta.

Se desconoce quién pudo obtener acceso a los datos.

Fue así como encontraron que un servidor en Miami contenía información en la nube de millones de personas.

La compañía indicó que, como parte de su práctica, tras detectar la filtración, contactaron el propietario del servidor y le informaron sobre la vulnerabilidad.

¿Aún es riesgosa la fuga?

Desafortunadamente, sí.

Según vpnMentor, una vez que los datos se han expuesto, la filtración no se puede deshacer.

Esto implica que, aunque actualmente no se puede acceder a la base de datos del servidor, la información podría estar ya en manos de partes malintencionadas.

Según el reporte, la filtración también podría tener un impacto en empresas ecuatorianas, ya que los datos filtrados incluían información sobre empleados, así como detalles sobre algunas compañías.

«Estas compañías pueden estar en riesgo de espionaje comercial y fraude. El conocimiento de los empleados de una empresa podría ayudar a los competidores u otras partes maliciosas a recopilar datos confidenciales adicionales de la empresa», indicó vpnMentor.

Fuente: www.bbc.com

Uno no da para más sorpresas en estos tiempos que nos ha tocado vivir. Publicaban nuestros compañeros de MCPRO hace unos días Cómo Satya Nadella ha convertido a Microsoft en una compañía casi Open Source, una afirmación que hay que tomar en su justa medida; y hoy me levanto con la noticia de que el mismísimo Richard Stallman ha dado una conferencia para Microsoft.

La noticia, que en principio era para coger con pinzas por la naturaleza de la misma, ha sido confirmada por Mark Russinovich, CTO de Microsoft Azure, así como por varios de los asistentes -empleados de Microsoft- y algunos medios han dado ya cuenta de ella. En resumen, los de Redmond invitaron a Stallman a dar una de sus charlas en el campus de Microsoft Research… y Stallman accedió. Cuánto le pagaron no se sabe, pero así es como se gana la vida -en parte- el padre del Software Libre.

¿De qué habló Stallman? Por lo que ha trascendido, el invitado pidió que no se registrase en vídeo su participación, que es lo que -dicen las fuentes- hace siempre que la grabación se realiza con software privativo. Sin embargo, esto no se sostiene de acuerdo a muchas de sus apariciones en eventos de todo tipo. Sea como fuere, no hay constancia de lo que dijo el susodicho más allá de las declaraciones de los asistentes.

Según uno de ellos, la charla de Stallman fue la típica: habló de la importancia del software libre, de la GPL v3, de GNU y Linux… y añadió «una lista de pequeñas demandas» para la compañía, incluyendo que promuevan «la higiene de las licencias en GitHub, que presionen a los fabricantes de hardware para que publiquen sus especificaciones y que faciliten la implementación del arranque seguro con UEFI (para sistemas que no sean Windows, se entiende)».

Hay otro asistente que recoge una cita de Stallman ese día: «El libro de Satya [se refiere a Pulsa actualizar] me hizo darme cuenta de que Microsoft es una gran compañía […] si ignoras lo que están haciendo a la libertad de los usuarios […] desafortunadamente esto es muy importante».

Richard Stallman is giving a talk at Microsoft campus.

If the world ends today, you know why. pic.twitter.com/7RtELarcUM

— Ale(ssandro) Segala (@ItalyPaleAle) September 4, 2019

En The Register dicen haberse puesto en contacto con Stallman para preguntarle acerca de esta insólita participación, aunque aún no han obtenido respuesta (la tendrán, Stallman siempre contesta); lo mismo en el caso de Microsoft. Lo curioso es que también se han puesto en contacto con la Free Software Foundation (FSF) y «nadie allí podría explicar la situación».

Cabe recordar que Stallman mantiene su posición de rechazo para con el software de Microsoft, aunque también ha concedido que la nueva etapa de la compañía «es un pequeño paso en la buena dirección». No obstante, la postura de la FSF sigue siendo muy dura sobre lo de «confraternizar con el enemigo». Así lo expresaba Matt Lee, un destacado miembro de la organización, hace una década:

«Piénselo dos veces antes de pasar por Microsoft Research para una sesión de reunión comunitaria por la noche. Cenar con Microsoft es como cenar con Hannibal Lecter, podría proporcionarle muchas conversaciones estimulantes e intelectuales, pero, debe preguntarse, ¿cuál fue su verdadera motivación para invitarlo?», culmina su Dinner with Microsoft.

Claro que hace una década, Microsoft no era lo que es hoy. ¿O sí? Esperamos con ganas la explicación de Richard Stallman al respecto.

Fuente: www.muylinux.com

La criptografía homomórfica es un esquema de cifrado que permite la posibilidad de trabajar con datos cifrados sin necesidad de descifrarlos, minimizando la posibilidad de exposición de la información

Si bien existen métodos para cifrar información desde hace más de mil años, la criptografía como disciplina matemática tomó gran relevancia a partir del siglo XX, momento en el que comenzaron a realizarse investigaciones formales sobre los diferentes métodos, algoritmos y la seguridad de los mismos. Con el correr de los años y los consecuentes avances en la computación, el foco ya no es únicamente proteger comunicaciones sino también datos, y particularmente datos que deben ser utilizados constantemente.

Dado que las operaciones de cifrado y descifrado suelen incurrir en consumo de recursos informáticos o ser puntos de falla para la fuga de información, se ha llegado al surgimiento de una línea de investigación llamada criptografía homomórfica.

El principal objetivo de este tipo de cifrado es poder realizar operaciones directamente sobre los datos cifrados, sin la necesidad de descifrarlos previamente ni de contar con la clave con la que fueron cifrados. De esta manera se logra reducir la cantidad de veces que los datos deben ser descifrados, con la ventaja de disminuir la probabilidad de que estos puedan ser robados y, a su vez, al no necesitar descifrar el dato para utilizarlo, se puede tener un control mucho más estricto sobre la disponibilidad de la información, garantizando su integridad y confidencialidad.

Este tipo de esquemas de cifrado fue propuesto por primera vez en el año 1978 por Ronald Rivest, Adleman y Dertouzos (siendo Rivest y Adleman quienes un año atrás habían publicado el famoso algoritmo RSA junto a Shamir). Sin embargo, esto no significó una etapa de prosperidad para estas investigaciones, ya que la factibilidad teórica para la creación de un esquema de cifrado totalmente homomórfico -que permita realizar cualquier tipo de operación- no había sido demostrada. Fue Craig Gentry quien, en el año 2009, sentó las bases teóricas para la construcción de dicho esquema de forma que el mismo pueda ser tanto seguro como eficiente, dando lugar a múltiples investigaciones y avances que continúan hasta el día de hoy.

La idea básica del funcionamiento de estos sistemas se apoya en el concepto de homomorfismo matemático, el cual establece lo siguiente:

Dados dos grupos (A, .) y (B, *) y una función F: A->B que toma elementos del conjunto A y devuelve elementos del conjunto B. F es un homomorfismo si y solo si F(x . y) = F(x)*F(y) para cualquier par de elementos “x” e “y” pertenecientes al conjunto A.

Luego, mapeando este concepto con criptografía, el conjunto A puede interpretarse como un texto plano, el conjunto B como el texto cifrado, ‘.’ como las operaciones que se pueden realizar sobre el texto plano, ‘*’ como las operaciones que se pueden realizar sobre el dato cifrado y finalmente F como la función de cifrado.

Imagen 1. Esquema general de la dinámica de funcionamiento del cifrado homomórfico

Un detalle llamativo es que los algoritmos de cifrado más comunes suelen estar diseñados para no tener propiedades de homomorfismo con el fin de que el dato cifrado no tenga una estructura relacionada al dato original. En el caso de la criptografía homomórfica, si bien es segura, según el algoritmo en cuestión y la implementación particular del mismo podría llegar a encontrarse un ataque que explote esta característica.

Lo interesante es que, además de que pueden ser aplicados en diversos entornos, muchas de las ventajas que ofrece este tipo de esquemas criptográficos cubren necesidades de los modelos de negocio actuales. En este sentido, su uso puede ser beneficioso en el manejo de datos médicos, sistemas de votación electrónica, sistemas de computación forense y especialmente para servicios encadenados o centrados en la nube; lo cual puede resultar de gran interés actualmente, ya que con el surgimiento de la “transformación digital” el número de empresas e individuos que utiliza servicios Cloud es cada vez mayor.

El desafío que se plantea en este tipo de servicios es el alto volumen de datos y que estos deben ser transmitidos cifrados para luego ser descifrados -quedando en este punto vulnerables- durante el procesamiento en un servidor externo; sobre el cual usualmente no se tiene demasiado control y, por ende, si el mismo se encuentra comprometido podría resultar en la perdida de la confidencialidad de dichos datos. Es por eso que este tipo de situaciones son ideales para el uso de cifrados homomórficos donde, al poder trabajar sobre datos cifrados, surge la posibilidad de que terceros puedan tener acceso a ellos y utilizarlos sin comprometer la integridad o confidencialidad de los mismos.

Imagen 2. Esquema comparativo entre cifrado no homomórfico y cifrado homomórfico

Actualmente, los sistemas de cifrado homomórfico se clasifican en categorías según propiedades y variedad de operaciones que pueden realizarse sobre los datos cifrados. Estas son: Somewhat Homomorphic, Levelled Homomorphic y Fully Homomorphic.

Las operaciones son representadas mediante circuitos de compuertas lógicas y, según la categoría, estos circuitos pueden ser más grandes o pueden tener mayor o menor variedad de operaciones. Los sistemas del tipo Fully Homomorphic (FHC) permiten realizar cualquier tipo de operación sobre los datos, aunque todavía cuentan con importantes limitaciones cuando se utilizan operaciones muy largas y complejas dado el overhead de computo necesario para poder utilizarlos. Las otras categorías presentan mejor rendimiento, pero con una variedad de operaciones más limitada. Por lo tanto, cada categoría tiene sus ventajas y desventajas y es importante evaluar en qué tipo de escenario serán aplicadas.

Si bien la criptografía homomórfica es un área muy prometedora y ya existen implementaciones de los diferentes esquemas de cifrado, estos aún presentan muchas cuestiones a resolver y se encuentran en continuo desarrollo e investigación; lo cual demuestra la necesidad creciente de tener sistemas funcionales y seguros para el manejo de información sensible. Actualmente, son muchas las empresas que buscan impulsar la definición de estándares mediante diversas iniciativas como homomorphicencryption.org, la cual está respaldada por Microsoft, Intel, IBM y muchas otras empresas y entes gubernamentales de gran envergadura. Dada la reciente explosión en el uso de servicios Cloud es esperable que estas tomen aun mayor relevancia durante los próximos años, especialmente cuando los diferentes algoritmos pasen a convertirse en estándares y a ser adoptados por múltiples organizaciones.

Fuente: www.welivesecurity.com

Según datos publicados por Google, una de las razones por las que el phishing sigue siendo efectivo es que el 45% de los internautas no comprende bien qué es

En una de las charlas que tuvieron lugar en la reciente edición de la conferencia de seguridad BlackHat, que se celebró en agosto, Elie Bursztein de Google y Daniela Oliveira, de la Universidad de Florida, explicaron por qué los ataques de phishing siguen siendo tan efectivos en la actualidad. En este sentido, los especialistas identificaron algunos puntos clave para explicar este fenómeno, entre los cuales está: su constante evolución, las técnicas de persuasión que utilizan y el poco conocimiento de los usuarios acerca de qué es el phishing.

Phishing scam, hacker attack and web security vector concept. Illustration of phishing and fraud, online scam and steal

Uno de los métodos más comunes mediante el cual los cibercriminales intentan llevar adelante sus acciones maliciosas es a través de correos de phishing. La mayoría de los usuarios experimentó alguna vez abrir un correo de esta naturaleza en los que se suplanta la identidad de alguna marca solicitando que hagamos clic sobre un enlace o descarguemos un adjunto, ya que después de todo, se trata de una práctica que ya tiene más de 20 años. Sin embargo, continúa siendo al día de hoy una de las formas más comunes que utilizan los cibercriminales en su intento por llevar adelante sus acciones maliciosas.

Pero, antes de continuar, aclararemos qué es el phishing por las dudas que alguno de los lectores no lo tenga del todo claro. Por phishing nos referimos a mensajes maliciosos distribuidos a través de medios digitales, tales como correo electrónico o WhatsApp, que buscan influenciar a un usuario para que lleve adelante una acción que va en contra de sus intereses, como puede llegar a ser realizar clic en un enlace malicioso, abrir un adjunto malicioso e incluso leer información falsa. Dicho esto, las consecuencias de un phishing pueden ser desde la instalación de un software malicioso, el robo de credenciales de acceso a cuentas y/o la manipulación de la opinión de los usuarios.

Para comprender el papel protagónico que tiene el phishing en el escenario de la seguridad actual, Google, por ejemplo, bloquea más de 100 millones de correos de phishing por día. Por otra parte, según un informe global publicado este año por Verizon, el 32% de las brechas de seguridad que se conocieron en 2018 comenzaron por un phishing y el 78% de los incidentes de seguridad que tenían como objetivo tareas de espionaje o la instalación de un backdoor, fueron llevados adelante mediante ataques de phishing.

La constante evolución del phishing

La constante evolución del phishing es una de las claves que explican su vigencia. Según datos compartidos durante la presentación en BlackHat, el 68% de los correos de phishing bloqueados de manera diaria por Gmail están compuestos por nuevas variantes que nunca antes se habían visto, lo que obliga a los mecanismos de defensa humanos y tecnológicos a tener que adaptarse rápidamente para prevenir estos ataques. A esto se suma un problema de educación, ya que según cifras compartidas por los especialistas el 45% de los internautas no comprende bien qué es el phishing.

El arte de la persuasión a través de los correos

Otro aspecto que explica la vigencia del phishing es que los responsables detrás del diseño de estas campañas se han convertido en expertos de la persuasión. Según una investigación realizada por Oliveira, los cibercriminales se han transformado en maestros en el manejo de técnicas para la manipulación psicológica. Nuestra habilidad para detectar un engaño difiere de persona a persona, dado que existen una gran cantidad de factores que influyen en la decisión que tomamos cuando estamos frente a un correo de phishing, tales como la personalidad, el estado de ánimo en un momento específico, la motivación cognitiva, la inteligencia emocional e inclusive un factor hormonal. En este sentido, cuando estamos de buen humor y nuestros niveles de oxitocina, serotonina y dopamina aumentan, somos más propensos a ser engañados, mientras que cuando los niveles de cortisol son elevados (comúnmente asociados al estrés) es más probable que seamos más cautelosos y estemos más atentos.

Según describe Oliveira, existen tres tácticas persuasivas comunes en los correos de phishing: el uso de una autoridad respetada por el usuario, la promesa de un beneficio económico si el individuo interactúa con el correo (o la pérdida económica en caso de ignorarlo); y por último, la apelación al factor emocional.

Muchas campañas de phishing son dirigidas a blancos específicos

Otro aspecto para comprender por qué sigue siendo utilizado el phishing por los actores maliciosos es la personalización de las campañas. A partir de los correos que Google bloquea de manera diaria elaboraron una categorización según el grado de especificidad de sus blancos de ataque.  En este sentido, están por un lado los ataques conocidos como “spearphishing”, que son aquellos correos personalizados y que van dirigidos a una persona específica dentro de una organización. De hecho, en WeLiveSecurity hemos publicado análisis de una gran cantidad de campañas de malware que comienzan con este tipo de correos especialmente dirigidos, como fue a principios de agosto el análisis de Machete y su campaña de ciberespionaje en curso que apunta a organizaciones gubernamentales de América Latina.

Otra categoría, a la cual denominaron “boutique phishing”, corresponde a campañas de phishing personalizadas –no tanto como las anteriores- que apuntan a un par de decenas de individuos u organizaciones. Por último, la tercera categoría corresponde a los correos de phishing masivos, que son aquellos que van dirigidos a miles de individuos u organizaciones.

Un dato interesante es que las campañas de “boutique phishing” duran apenas siete minutos, mientras que las campañas masivas están activas en promedio durante 13 horas.

En cuanto a los blancos de ataque, según Google la mayoría de las campañas de phishing están dirigidas a Gmail; siendo muchas de las campañas dirigidas hacia usuarios finales, mientras que las dirigidas a perfiles empresariales apuntan a un número limitado de individuos. Asimismo, el perfil empresarial es casi cinco veces más apuntado que los usuarios finales, seguido por organizaciones no gubernamentales.

En cuanto a la suplantación de identidad, en el 42% de los ataques de phishing las páginas utilizadas simulan ser sitios legítimos de servicios de correo con el objetivo de que las víctimas ingresen sus claves de acceso. En segundo lugar, se suplanta la identidad de servicios en la nube con un 25%, seguido por páginas que simulan ser de instituciones financieras con un 13%, sitios de ecommerce en un 5% y de servicios de envío en un 3.9%.

Cómo evitar ser víctima del phishing 

Si bien quienes están detrás de las campañas de phishing han evolucionado logrando que luzcan cada vez más convincentes, la educación sigue siendo un factor clave para reducir el número de víctimas de este tipo de ataque. En este sentido, Google publicó un test online para poner a prueba la capacidad de los usuarios de reconocer un correo de phishing en un intento de capacitar y que cada vez más personas sean capaces de reconocer si están frente a un correo sospechoso o no.

Otro factor clave para reducir el número de víctimas del phishing es implementar el uso del doble factor de autenticación en todos los servicios que esté disponible, ya que esta capa de seguridad adicional que se agrega ayuda a evitar que terceros puedan acceder a nuestras cuentas en caso de ser víctimas del robo de nuestras credenciales de acceso en una brecha. De hecho, un estudio publicado por Google este año demostró que el doble factor de autenticación es la solución más efectiva para prevenir el secuestro de cuentas.

El primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse un segundo para pensar, por lo que recomendamos la lectura de 8 señales que indican que eres un blanco fácil de las estafas por Internet, artículo en el que encontrarás una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios.

Fuente: www.welivesecurity.com

Blender está consiguiendo, poco a poco, el apoyo de más empresas que lo utilizan para la generación de contenidos y reducir los costes de la creación de gráficos mediante computadoras.

Si anteriormente os informamos sobre las contribuciones de Epic Games y Ubisoft, ahora nos hacemos eco de que el estudio Khara, situado en japón, ha decidido utilizar Blender para parte de la producción de la película EVANGELION:3.0+1.0, la cual se espera que sea estrenada en el año 2020.

Pero Khara no solo ha dicho que está utilizando Blender para la producción de una película de animé, sino que además va a apoyar al “Blender Development Fund” para así contribuir a la financiación de la fundación encargada de desarrollar y coordinar los esfuerzos en torno a la conocida solución de desarrollo y renderizado de gráficos 3D.

Khara y la empresa de producción de animé mediante CGI Project Studio Q, Inc. están preparando la migración de sus principales herramientas de CGI 3D a Blender. Con estos cambios las empresas mencionadas esperan reducir los costes, cosa muy importante en un sector cuya situación económica parece ser opuesta a la popularidad que llegan a alcanzar sus producciones.

Entrando en aspectos técnicos, parece que el lápiz de cera de Blender ha convencido a Khara, gracias a que abre la posibilidad de hacer dibujos 2D de manera tradicional sobre un espacio 3D. Esta característica resulta de gran utilidad para los productores de animé al no depender exclusivamente de modelos tridimensionales.

Además de la utilización y el apoyo a la solución de desarrollo y renderizado de gráficos 3D, en el anuncio publicado por Blender Foundation se puede leer de manera desarrollada los motivos de la decisión de Khara explicados por personas que trabajan en la empresa. Os dejamos con un trailer de EVANGELION:3.0+1.0.

Fuente: www.muylinux.com

Se ha anunciado el lanzamiento de Kali Linux 2019.3, la nueva versión de esta popular distribución especializada en audiotoría y seguridad informática, solo apta para profesionales o apasionados por la materia a lo sumo.

Kali Linux 2019.3 es asimismo la tercera actualización de mantenimiento de la versión actual y está dirigida únicamente a nuevas instalaciones. Quienes ya lo tuvieran instalada y hayan actualizado el sistema no deben hacer nada más, porque ya tienen todo lo nuevo: básicamente, parches de seguridad y varias actualizaciones en los paquetes de la distribución. Lo más destacado, el kernel Linux 5.2.9.

Sin embargo, más allá de la imagen de instalación, Kali Linux presenta novedades como proyecto, incluyendo una réplica del repositorio en el CDN de CloudFlare como alternativa a las comunitarias existentes; una página de estatus a la que acudir en caso de problemas con alguno de los servidores de descarga; o una colección de scripts de ayuda para mejorar la accesibilidad de las herramientas de la distribución.

Con esta nueva versión llegan también actualizaciones en las imágenes ARM, que ganan soporte para los Pinebook y mejoran el de Raspberry Pi, y las de NetHunter, una edición específica con compatibilidad con diferentes terminales móviles: LG V20 International Edition, Nexus 5X, Nexus 10 y OnePlus 7 como nueva adición.

Otra novedad de Kali Linux 2019.3 es el estreno de una imagen oficial en formato contenedor LXD que se suma a las opciones que ya había disponibles, incluyendo las ediciones principales de escritorio con GNOME y Xfce, otras con KDE Plasma, MATE, e17 y LXDE, o las imágenes para VMware y Virtualbox.

Kali Linux se renovó por entero en 2015, dejando atrás el nombre de BackTrack Linux y adoptando Debian Testing como base para pasar a funcionar bajo el modelo rolling release con el que sigue haciéndolo actualmente.

Fuente: www.muylinux.com