Archives noviembre 2019

¿Cuál es la mejor manera de adentrarse en un proyecto de software existente, en su código fuente? La más habitual no ha pasado de moda: clonas el repositorio o descomprimes el paquete, lo abres en tu IDE favorito y a inspeccionar archivos, ayudado por las herramientas de las que provee el editor. Sourcetrail propone un método que no es nuevo, pero que resulta más fresco.

Tal y como lo introducen, Sourcetrail es un explorador de código fuente multiplataforma y de código abierto que te ayudará a «ser productivo con código fuente desconocido». En esencia, simplifica la comprensión de la estructura del código fuente y su funcionamiento, representándolo visualmente mediante gráficas complejas.

Así lo presentan sus responsables:

Los desarrolladores de software pasan la mayor parte de su tiempo descifrando el código fuente existente, pero las herramientas comunes de edición de código ofrecen poca ayuda para esta tarea. Los depuradores solo permiten la inspección detallada de una ruta de código estricta. ‘Buscar todas las referencias’ ayuda a navegar entre archivos, pero no proporciona el contexto para ver el panorama general de todas las dependencias relevantes.

Sourcetrail proporciona información general y detalles combinando un gráfico de dependencia interactivo, una vista de código concisa y una búsqueda de código eficiente, todo integrado en una herramienta para desarrolladores multiplataforma fácil de usar que te ayuda a explorar el código heredado, comprender la implementación y recrear la arquitectura del software, ¡lo que lo convierte en una experiencia divertida para toda la familia!

En resumen, Sourcetrail es una interesante herramienta para desarrolladores. Por defecto soporte de lenguajes de programación como C, C++, Java y Python y no te priva de nada, porque se integra con los editores más populares, incluyendo Atom, Visual Studio Code, Eclipse, Emacs, Vim… Pero si es noticia en estas páginas es debido a un cambio de licencia.

Tras varios años en desarrollo como software gratuito para uso no comercial, Sourcetrail se pasa al modelo del software libre, adoptando la licencia GPL v3. Sobre este nuevo rumbo se explayan en el blog del proyecto, dando detalles del por qué, del cómo y de los planes para el en el futuro más cercano, en el que esperan atraer a más colaboradores.

En la página oficial de Sourcetrail encontrarás toda la documentación necesaria -y es mucha- para arrancar, así como el enlace para su descarga, de momento solo disponible en formatos ejecutables genéricos para 32 y 64 bits; y a su código fuente, claro.

Fuente: www.muylinux.com

Pine64, la compañía detrás de los portátiles ARM con Linux que tanto están dando de que hablar, tiene desde el viernes su primer teléfono inteligente a la venta: el PinePhone Brave Heart Edition, del que ya nos dimos cuenta hace una par de semanas y, como su nombre indica, no está recomendado para corazones débiles.

De hecho, el PinePhone Brave Heart Edition es el terminal que han lanzado para early adopters, es decir, para entusiastas sin miedo a recibir un producto en fase beta y también para desarrolladores. E incluso así, matizan que «solo pretenden que estas unidades lleguen a las manos de usuarios con una amplia experiencia en Linux y un interés en teléfonos con Linux».

Las características técnicas del PinePhone las especificamos en el artículo de más arriba y en cuanto al precio, es de 149,99 dólares. Pero aunque la preventa está abierta, las primeras unidades no llegarán a su destino hasta finales de diciembre o principios de enero. Y no hay mucho más que contar sobre este dispositivo salvo el motivo que nos ocupa.

En efecto, hay quien ya dispone del teléfono y está haciendo experimentos con él. Para más datos, aunque los sistemas que tendrán soporte son varios, incluyendo PostmarketOS, Ubuntu Touch, KDE Plasma Mobile, LuneOS y hasta Sailfish OS, las unidades que ya están en uso se están despachando con Plasma Mobile.

Pero lo que quiere decir esto es que se trata de un auténtico teléfono con un kernel Linux genérico y, por lo tanto, con la posibilidad de ejecutar en él todo software compatible con Linux y compilado para ARM, claro. Por ejemplo, aplicaciones como Firefox, GIMP o LibreOffice, entre otras.

¿El resultado? Lo podéis ver en el siguiente vídeo, pero tened en consideración que se trata de un producto en fase de desarrollo temprana, que las aplicaciones del escritorio Linux no están por lo general adaptadas a pantallas táctiles y que, en definitiva, no deja de ser un experimento curioso. Lo interesante es lo que salga de aquí en un futuro.

Fuente: www.muylinux.com

La compañía ha sido elegida por el Gobierno de EE. UU. para que controle a los hackers más peligrosos del mundo. Además de los expertos que hay en su equipo, la compañía dispone de otro superpoder: la omnipresencia de sus productos le permiten ver y oír casi todo lo que pasa en internet

Recientemente, el Pentágono concedió a Microsoft un contrato de cerca de 9.000 millones de euros para transformar y los sistemas de computación en la nube de las fuerzas armadas de EE. UU. y alojarlos. Pero esa montaña de dinero venía con un desafío implícito: ¿Podría Microsoft mantener la seguridad de los sistemas del Pentágono frente algunos de los hackers más persistentes, sofisticados y con mejores recursos del mundo? El vicepresidente del Centro de Estudios Estratégicos e Internacionales, James Lewis, afirma: «Reciben un ataque cada hora todos los días». 

El lucrativo contrato se ha convertido en la última victoria de Microsoft sobre Amazon, su rival en la nube. Pero también en su gran responsabilidad de cara a la seguridad nacional, un área que, hasta ahora, se ejecutaba casi en exclusiva en la capital, Washington D. C. (EE. UU.). Ahora docenas de ingenieros y analistas de inteligencia de Microsoft se dedican a vigilar y a detener la proliferación de los hackers financiados por gobiernos de todo el mundo.

Los miembros del equipo, llamado MSTIC (siglas en inglés de Centro de Inteligencia de Amenazas de Microsoft), controlan distintas amenazas. Hay un grupo responsable de los hackers rusos con su nombre en código Strontium, otro controla a los hackers norcoreanos con su nombre en clave Zinc, y otro sigue a los hackers iraníes con nombre en clave Holmio. MSTIC rastrea a más de 70 grupos de amenazas financiados por diferentes gobiernos.

Atacar y defender

John Lambert

La sede de Microsoft es tan enorme y laberíntica como cualquier instalación gubernamental, con cientos de edificios y miles de empleados. Fui ahí a conocer al equipo de Microsoft que rastrea a los hackers más peligrosos del mundo. John Lambert lleva trabajando en Microsoft desde 2000, cuando vio por primera vez una nueva realidad de ciberseguridad que se hizo patente tanto en la capital de Washington como en la sede de Microsoft del estado de Washington. 

En aquel entonces, Microsoft era una compañía especialmente poderosa, ya que monopolizaba el software para PC, y se había dado cuenta de la importancia de internet. A pesar de que Windows XP era increíblemente inseguro, estaba conquistando el mundo. El equipo fue testigo de una serie de enormes y vergonzosos errores de seguridad, incluidos los gusanos que se reproducían como Code Red y Nimda. Esos errores afectaron a muchísimos clientes públicos y privados de su enorme cartera, poniendo en peligro su negocio principal. Pero en 2002, Bill Gates envió su famoso memorando en el que insistía en la importancia de una «computación fiable».

Fue entonces cuando Redmond tuvo que empezar a lidiar con la verdadera importancia de la ciberseguridad. También fue cuando Lambert descubrió con asombro el lado ofensivo del cibermundo. El responsable detalla: «Los límites de ataque y defensa deben ser perfectos. Para defenderse bien, es necesario poder atacar. También hay que tener la mentalidad ofensiva; no se puede pensar solo en la defensa si no sabemos ser creativos a la hora de atacar».

Al ver el aumento del número de ciberataques financiados por gobiernos, Lambert utilizó esta mentalidad ofensiva para impulsar cambios fundamentales en la forma en la que Microsoft abordaba el problema. El objetivo era pasar del desconocido «mundo en la sombra», en el que los equipos de defensa observaban, frustrados, cómo los hackers más sofisticados penetraban en las redes con fuertes «vulnerabilidades desde el día cero», a un dominio en el que Microsoft podría verlo casi todo.

Lambert se preguntaba: «¿Cuáles son los superpoderes de Microsoft?». La respuesta estaba en su omnipresente su sistema operativo Windows, lo que daba a la empresa las herramientas para detectar lo que ocurre en enormes regiones de internet. Por supuesto, ese superpoder también plantea cuestiones de privacidad que aún no hemos resuelto. Pero, en cuanto la seguridad se trata de una gran ventaja.

Los productos de Microsoft ya disponían sistemas de Informe de errores de Windows para tratar de comprender los errores generales y el malfuncionamiento. Pero fueron Lambert y su equipo quienes convirtieron estos sistemas en poderosas herramientas de seguridad y con una complejidad mucho menor. Anteriormente, los equipos de seguridad tenían que recorrer el mundo para encontrar las máquinas afectadas, copiar sus discos duros y sumergirse lentamente en sus incidentes. Ahora esas máquinas simplemente se comunican con Microsoft. Prácticamente todos los accidentes y comportamientos inesperados se comunican a la empresa, que clasifica esa gran cantidad de datos y suele encontrar el malware antes que nadie.

El malware conocido como Bad Rabbit, que en 2017 fingió ser una actualización de Adobe Flash para borrar el disco duro de una víctima, es un ejemplo de cómo Microsoft transformó una debilidad en un punto fuerte. A los 14 minutos de la introducción del ransomware, los algoritmos de aprendizaje automático repasaron los datos y rápidamente empezaron a comprender el ataque. Windows Defender comenzó a bloquearlo automáticamente, mucho antes de que cualquier humano supiera lo que ocurría.

Bad Rabbit fue visto principalmente en Rusia y Ucrania en 2017. Esta es la nota de rescate que recibían las víctimas. Créditos: Kasperky Labs

El antiguo miembro de la Agencia de Seguridad Nacional Jake Williams afirma: «Es algo que no tiene nadie más: visibilidad y datos. Los datos que no tiene nadie más están relacionados con los fallos de las aplicaciones en el sistema operativo y la capa de software. Incluso para fallos de terceros, la telemetría puede solucionarlos. A medida que se empiezan a buscar los objetivos del ataque, Microsoft ya dispone de esa capacidad a través de su telemetría». Esa telemetría ha convertido a cada máquina y producto de Windows en una fuente de datos y registros de Microsoft, que funciona al instante y en todo el mundo. 

El experto, quien luego fundó la empresa de ciberseguridad Rendition Infosec, añade: «Microsoft ve cosas que nadie más ve. Encontramos algo de forma rutinaria, por ejemplo, como las marcas para las IP maliciosas en Office 365 que Microsoft señala, pero durante meses no lo vimos en ningún otro lugar».

Conectar los puntos

La inteligencia de las ciberamenazas requiere una disciplina de rastrear a los adversarios, seguir sus rastros y crear datos que se puedan usar para ayudar a los equipos y dificultar la vida del enemigo. Para lograrlo, el equipo de MSTIC, que ya lleva cinco años trabajando, incluye a antiguos espías y operadores de inteligencia del Gobierno, cuya experiencia en lugares como Fort Meade, el hogar de la Agencia de Seguridad Nacional de EE. UU. y el Comando Cibernético de Estados Unidos, se traduce inmediatamente en su importante papel en Microsoft.

MSTIC da nombre a docenas de amenazas, pero la geopolítica es complicada: China y Estados Unidos, dos de los jugadores más importantes del ciberespacio y las dos economías más grandes del mundo, nunca se mencionan con tanta frecuencia como ocurre con países como Irán, Rusia y Corea del Norte. 

El director de programas estratégicos y asociaciones de MSTIC, Jeremy Dallman, afirma: «Nuestro equipo utiliza los datos, conecta los puntos, cuenta la historia, rastrea al autor y sus comportamientos. Caza a los atacantes, sigue sus movimientos, sus planes y sus objetivos, y se adelanta a todo eso».

El director de investigación avanzada de protección contra las amenazas del equipo de Microsoft Defender, Tanmay Ganacharya, trabaja en crear nuevas capas de defensa aplicando ciencia de datos a la gran cantidad de señales entrantes. El responsable señala: «Como tenemos productos en todos los campos, disponemos de sensores que nos traen el tipo correcto de señales. El problema consistía en abordarlos todos».

Microsoft, al igual que otros gigantes tecnológicos como Google y Facebook, informa regularmente a las personas atacadas por hackers gubernamentales, lo que ofrece a las víctimas la oportunidad de defenderse. En el último año, MSTIC notificó a unos 10.000 clientes de Microsoft que estaban sufriendo ataques de hackers gubernamentales. 

Nuevos objetivos

En agosto MSTIC descubrió lo que se conoce como una campaña de descubrimiento de contraseñas. Un grupo hacker adivinó alrededor de 2.700 contraseñas de cuentas asociadas a la campaña de elecciones presidenciales de EE. UU., de los funcionarios del Gobierno, de los periodistas y de iraníes de alto perfil que vivían fuera de Irán. Cuatro cuentas fueron afectadas en este ataque. Los analistas de MSTIC identificaron los ataques rastreando una infraestructura que Microsoft sabía que estaba controlada exclusivamente por el grupo iraní de hackers llamado Phosphorus. 

Dallman explica: «Cuando conseguimos comprender su infraestructura, tenemos una dirección IP que sabemos que es suya y que usan con fines maliciosos, podemos empezar a buscar los registros DNS, los dominios creados, el tráfico de la plataforma. Cuando empiezan a usar esa infraestructura para este tipo de ataques, lo vemos porque ya estamos rastreándola como un indicador conocido del comportamiento de ese actor». 

Después de realizar un considerable trabajo de reconocimiento, Phosphorus intentó explotar el proceso de recuperación de la cuenta utilizando los números de teléfono reales de sus objetivos. MSTIC ha descubierto que Phosphorus y otros hackers patrocinados por gobiernos, incluido el Fancy Bear de Rusia, utilizan esa táctica sistemáticamente para intentar descubrir los códigos de autenticación de dos factores para objetivos de alto nivel.

Lo que en esta ocasión elevó la alarma de Microsoft por encima de lo normal fue que Phosphorus varió su procedimiento operativo estándar de perseguir a ONG y otras organizaciones de sanciones. El enfoque cambió, las tácticas también y el alcance aumentó. Dallman detalla: «Esto no es infrecuente, la diferencia reside en que su escala era significativamente mayor de lo que habíamos visto antes. Se dirigen a este tipo de personas con frecuencia, lo diferente fue la escala y la gran cantidad de trabajo de reconocimiento que habían realizado para esta campaña. Y finalmente, todo se redujo a las personas que fueron su objetivo, incluida la persona central de la campaña presidencial». La investigación de Microsoft finalmente señaló como responsables a hackers iraníes, tal y como informó Reuters.

El campus de Microsoft en Redmond es enorme. Con más de 8 millones de pies cuadrados (casi 750.000 metros cuadrados), cuenta con más de 50.000 empleados. Créditos: Microsoft

«Hemos visto los patrones»

En las dos décadas que Lambert lleva en Microsoft, las herramientas y las armas cibernéticas han proliferado en docenas de países, hay cientos de grupos capaces de ejecutar ciberdelitos y cada vez más empresas del sector venden vulnerabilidades a compradores dispuestos a pagar bastante. Lambert alerta: «Esta proliferación significa una gama mucho más amplia de víctimas. Más actores para rastrear».

Esto es lo que ocurre en los hackeos políticos. Una consecuencia de las elecciones estadounidenses de 2016 ha sido el aumento del gran número de actores que luchan para hackear partidos políticos, campañas y grupos de expertos, sin mencionar al propio Gobierno. Los hackeos relacionados con las elecciones han sido típicamente relacionados con los «cuatro grandes»: Rusia, China, Irán y Corea del Norte. Pero se está extendiendo a otros países, aunque los investigadores de Microsoft se negaron a especificar lo que han visto últimamente.

El director general de proyectos en MSTIC, Jason Norton, explica: «La novedad son los nuevos países que se unen a la batalla y que no estaban allí antes. Sobre los dos grandes [Rusia y China], ahora, sí que podemos decir que llevan dedicándose a esto desde mucho antes de las elecciones de 2016. Pero ahora vemos otros países haciendo lo mismo, pinchando y presionando para conocer las piezas correctas con el fin de tener un impacto o influencia en el futuro». 

Dallman coincide: «El campo se está llenando. Los hackers aprenden unos de otros. Y a medida que aprenden las tácticas más conocidas, las cambian y las utilizan». 

Las próximas elecciones estadounidenses también son diferentes, dado que ya nadie se sorprende de actividad maliciosa. Antes de 2016, la ciberactividad rusa fue recibida con una ingenuidad atónita colectiva, lo que contribuyó a la parálisis y a una respuesta insegura. Esta vez no será así. Dallman señala: «La diferencia estriba en que ahora sabemos lo que va a suceder«. 

Y añade: «En aquel entonces, se trataba más de algo desconocido, y no estábamos seguros de cómo se desarrollarían las tácticas. Ahora sí que lo sabemos porque hemos visto los patrones. Lo vimos en 2016, vimos lo que hicieron en Alemania, los vimos en las elecciones francesas, todos siguiendo el mismo modus operandi. En la mitad de la legislatura del Gobierno de EE.UU. de 2018 lo vimos también, aunque en menor grado, algunos de los mismos modus operandi, los mismos actores, los mismos tiempos, las mismas técnicas. Ahora sí que sabemos que este es el modus operandi que estamos buscando para 2020. Y ya hemos empezado a ver a otros países con otras tácticas».

La nueva norma es que las empresas de ciberinteligencia de la industria tienden a liderar este tipo de actividad de seguridad pública mientras el Gobierno las sigue. En 2016, CrowdStrike fue el primero que investigó y señaló la actividad rusa con el objetivo de interferir con las elecciones estadounidenses. Las fuerzas policiales y de inteligencia de EE. UU. confirmaron más tarde los hallazgos de esta compañía y finalmente, tras la investigación de Robert Mueller, acusaron a los hackers rusos y detallaron la campaña de Moscú (Rusia).

Con un tamaño total cercano a los 1.000 millones de euros, Microsoft es ahora un orden de magnitud más grande, lo que le permite aportar enormes recursos al desafío de la seguridad. Y el gigante tecnológico tiene otra gran ventaja: sus ojos, oídos y software están en todas partes. Como diría Lambert, ese es su superpoder.

Fuente: www.technologyreview.es

Entrevistamos a especialistas en seguridad informática para conocer su opinión sobre la formación en este campo en el que hay escasez de profesionales y que hace falta difundir más.

El crecimiento de los ciberataques a lo largo de los años provocó un aumento de la demanda de profesionales en el campo de la seguridad de la información. Según un informe reciente de Cybersecurity Ventures, el crecimiento de las vacantes en el sector de la ciberseguridad se espera que crezca en un 350% para el 2021. Sin embargo, la escasez de profesionales con las habilidades suficientes para cubrir esa demanda se estima que generará, para ese mismo año, tres millones y medio de vacantes a lo largo del mundo que no serán cubiertas.

Teniendo en cuenta este panorama y pensando sobre todo en los más jóvenes, como parte de la serie sobre educación en seguridad informática que estamos publicando cada lunes de noviembre en conmemoración del Antimalware Day 2019, decidimos consultar a diferentes especialistas que se desempeñan en la industria cómo es que se formaron en este campo, qué tan cierto es que muchos de los profesionales que actualmente se desempeñan en la industria han aprendido de manera autodidacta, si consideran que la oferta académica está alineada con esta creciente demanda y qué opinan sobre la difusión que tiene las carreras y especializaciones este campo de estudio.

¿Una formación que se adquiere de manera autodidacta?

Si bien cada vez más universidades alrededor del mundo ofrecen carreras de grado en seguridad informática, aún no es una titulación que pueda encontrarse en todas las instituciones. Muchos profesionales que se desempeñan en este campo adquirieron sus habilidades a través de certificaciones y de manera autodidacta. Sin embargo, si bien no están lo suficientemente difundidas como deberían si consideramos la demanda, la realidad es que la oferta se está incrementando, aseguran especialistas.

Según nos explica el reconocido investigador de ESET, Aryeh Goretsky, quien comenzó a trabajar en la industria a fines de los años 80, al principio no había cursos ni certificaciones sobre ciberseguridad. “Si bien nos enseñaron seguridad informática, el foco estaba centrado en modelos de control de acceso y en el concepto de asegurar sistemas informáticos para múltiples usuarios; pero no desde una perspectiva más amplia o como un sistema interconectado a nivel global. Por lo tanto, quienes estaban interesados en el concepto de ciberseguridad teniendo en cuenta el comportamiento de computadoras y redes interconectadas comunicadas entre sí, debían aprenderlo por cuenta propia a partir de libros y de la propia experimentación práctica”, explica.

Por su parte, el investigador de malware del laboratorio de ESET de Canadá, Marc Etienne Léveillé, quien estudió desarrollo de software e ingeniería informática, explica que “varias de las cosas que aprendí en la universidad no aplicaban en mi posición como investigador, lo que me llevó a tener que leer y aprender acerca de muchos aspectos de seguridad por cuenta propia”.

Sin dudas que en la actualidad el escenario contribuye enormemente al aprendizaje autodidacta. Esto lo comprobamos con la oferta educativa y de calidad que ofrecen plataformas que ofrecen cursos online masivos y abiertos (MOOC, por sus siglas en inglés) como Coursera, con la posibilidad que ofrecen redes sociales como Twitter para compartir información constantemente y en la que se conectan grandes profesionales con personas deseosas de aprender; además de la cantidad de recursos disponibles en YouTube, sitios web y demás repositorios. “Si bien el aprendizaje por cuenta propia es un camino posible y muchos profesionales en esta industria se formaron de esta manera, no se trata de la única opción”, explica el investigador de ESET Brasil, Daniel Cunha Barbosa. “También es cierto que la comunidad de tecnología y seguridad es cada vez mayor y a un gran porcentaje de la misma le gusta compartir sus conocimientos, lo que permite que los profesionales que recién comienzan consigan tener el apoyo de otros profesionales”, añade.

Sin embargo, pese a la necesidad muchas veces de aprender por cuenta propia muchos aspectos que forman parte de la seguridad y de la labor diaria de los investigadores, varios coinciden en el valor de la formación académica. “Si tuviera que decidir nuevamente qué camino seguir volvería a elegir la universidad, ya que me dio la oportunidad de conocer muchas personas y de participar en distintas actividades extra curriculares”, dice Marc Etienne.

Creció la oferta académica en el campo de la seguridad informática

Dado que los incidentes de seguridad han incrementado con el correr de los años, también el deseo de estandarizar los aspectos pedagógicos de quienes desean formarse en este sector, opina Goretsky. “En general creo que es positiva la amplia oferta educativa que existe actualmente en todos los niveles que hacen a la ciberseguridad, pero también me preocupa la calidad de la educación que se ofrece”, explica. “Necesitamos tanto de profesionales que cuenten con conocimientos teóricos como de perfiles operativos, y necesitamos que todos ellos cuenten con sólidos conocimientos acerca de la construcción de bloques de sistemas complejos. Si bien mucho de esto puede aprenderse, aún es necesario el aprendizaje por cuenta propia para llevar los conocimientos adquiridos a la construcción de estructuras complejas y al desarrollo de ideas, pero no sé si la oferta de posgrados y las certificaciones ofrecen un marco suficiente o limitado que permita obtener una base sólida de los conceptos en ciberseguridad”, añade.

En países como Canadá, la oferta de cursos universitarios en ciberseguridad ha incrementado, cuenta Léveillé. “Ahora hay titulaciones con especializaciones en seguridad informática, mientras que antes la única opción era hacer desarrollo de software o redes informáticas. Igualmente, aún existe una demanda creciente de profesionales que es necesario cubrir en nuestra industria. Quizás, con el esfuerzo de los programas educativos veremos en algunos años una situación más estable”, opina.

Para Cunha Barbosa, “es más positivo que existan programas de especialización y de posgrado que titulaciones en sí, ya que contar con una titulación que le brinda al futuro profesional una base más amplia le permitirá conocer aspectos tecnológicos que van más allá de la seguridad, y eso lo ayudará a convertirse en un profesional más preparado”.

¿Qué tan promocionadas son las carreras en ciberseguridad?

Muchas veces, los jóvenes se enfrentan a un difícil proceso cuando deben decidir qué carrera estudiar. Muchos finalizan la educación secundaria sin tener muy claro qué quieren hacer de sus vidas. Más allá de la multiplicidad de factores que entran en juego y que hacen que este proceso sea difícil, el hecho de no tener información sobre las carreras menos tradicionales hace que los jóvenes no logren vincular sus intereses y gustos personales con un área de formación.

Varios especialistas coinciden en que la visibilidad de las carreras en seguridad es mayor ahora que hace unos años. “Antes era algo que debías descubrir por tu propia cuenta, pero ahora veo muchos más estudiantes interesados en seguridad informática que en mi época de estudiante. Ahora se nota que hay más empresas y escuelas que quieren despertar el interés en los estudiantes”, opina Léveillé.

Por otra parte, “los jóvenes muchas veces se hacen una imagen equivocada acerca de qué es la ciberseguridad y no logran darse cuenta del alcance”, comenta Aryeh Goretsky. Los jóvenes puede que vean como atractiva la imagen del prototipo de un hacker atacando computadoras y adquiriendo fama y dinero, pero lo que hace falta también es explicar que hace la ciberseguridad. “Creo que hay una falta de conciencia a nivel general, ya que la defensa de redes y equipos ante un ataque suele ser una tarea más difícil e intensa que la de atacar esas redes y computadoras. Sin embargo, lo que los medios de comunicación y la industria del entretenimiento transmiten es una imagen sesgada e idealizada del atacante y no de quienes trabajan del lado de la defensa, lo cual distorsiona la visión de lo que es la ciberseguridad”, opina.

La seguridad por diseño: ¿un problema de la formación?

Consultados acerca de si consideran que los contenidos sobre seguridad que se ven durante el proceso de formación los futuros programadores y/o desarrolladores son suficientes para que cuando los profesionales den el salto al mercado laboral estén capacitados para brindar sistemas seguros, para Marc Etienne, “el desarrollo seguro está muy bien enseñado en la actualidad. El problema está en que los desarrolladores necesitan el incentivo para aplicar lo que aprendieron. Los problemas de seguridad en el código deben detectarse durante la revisión del código y deben ser resueltos antes de incluirse en el proyecto. Si los desarrolladores ven que sus códigos siempre son rechazados prestarán más atención y desarrollarán los reflejos apropiados”, opina.

El desarrollo de los profesionales en el campo de la seguridad informática debe ser constante debido a la continua evolución de las amenazas. Si bien en la actualidad existen muchas opciones para desarrollar habilidades suficientes para desempeñarse en este campo, como son las carreras, las especializaciones, las certificaciones e incluso los cursos y el material disponible para estudiar de manera independiente, está claro que no hay una única forma.

Fuente: www.welivesecurity.com

Es noticia, pero hay que reconocer que el TOP500 de supercomputadoras se ha vuelto bastante aburrido para los amantes del software… porque todo es Linux.

Hace años que nos hacemos eco del TOP500 de supercomputadoras, la lista que recoge las 500 supercomputadoras más potentes del mundo y que en la última década ha pasado de ser una suerte de competición entre Linux y Windows a convertirse en una cuenta atrás hacia la dominación absoluta del sistema de código abierto, lo que terminó sucediendo finalmente en 2017.

Desde entonces el interés del TOP500 se ha centrado en lo que debe, las supercomputadoras que lo forman, y en quién la tiene más grande, si Estados Unidos o China. Y nada ha cambiado en este año: con una potencia de 148,6 petaflops, algo más de lo que tenía el pasado junio, la supercomputadora de Laboratorio Nacional de Oak Ridge se mantiene como la número uno del mundo.

Este prodigio de la tecnología llamado Summit superó a la china Sunway TaihuLight el año pasado y se compone de procesadores IBM POWER9 y GPU NVIDIA Tesla V100, está gobernada por una versión de Red Hat Enterprise Linux especialmente adaptada para la tarea y no tiene competencia a la vista, entre otras cosas porque Estados Unidos aplica ciertos vetos a la venta de componentes de sus compañías al gigante asiático.

En segundo lugar se encuentra también otra máquina estadounidense construida por IBM, Sierra, en el Laboratorio Nacional Lawrence Livermore en California con 94,6 petaflops; y ya en tercer lugar aparece Sunway TaihuLight, desarrollada por el Centro Nacional de Investigación de Ingeniería y Tecnología de Computadoras Paralelas (NRCPC) chino e instalado en el Centro Nacional de Supercomputación en Wuxi con sus 93 petaflops.

En cualquier caso, si Estados Unidos tiene las dos supercomputadoras más potentes del mundo, China es la que más supercomputadoras tiene y la que más va añadiendo a la lista, con 227 en total, mientras que Estados Unidos se sitúa en su mínimo histórico con 118, aunque en promedio siguen siendo superiores técnicamente.

Fuente: www.muylinux.com

El uso de la biometría se está convirtiendo en una de las alternativas para mantener nuestros datos seguros.

En 2017, Sarah*, una actriz que vive en Londres, fue víctima del delito de robo de identidad.

«Llegué a casa un día y me encontré con una sorpresa en el buzón», recuerda.

«Había allí dos tarjetas de crédito nuevas que no había pedido y una carta de un banco denegándome otra, que tampoco solicité».

Tuvo que gastar US$200 en servicios de verificación de crédito para tratar de averiguar dónde se habían originado las peticiones que ella no había hecho.

«Y eso es mucho dinero y tiempo».

El robo de identidad es constante en Europa, así como en otras regiones del mundo.

En Reino Unido, el Sistema de la Industria del Crédito para Evitar el Fraude (CIFAS, por sus siglas en inglés), una entidad sin ánimo de lucro con representación del sector público y privado, registró 190.000 casos tan solo el año pasado.

Y que nuestras vidas sean cada vez más digitales es campo fértil para los que se dedican a robar información personal.

Pero entonces ¿cómo podemos mantener segura nuestra identidad digital?

Nuestra primera línea de defensa es muchas veces una contraseña.

Sin embargo, no siempre es la mejor opción.

En abril de este año, Facebook admitió que millones de contraseñas de las cuentas de usuarios de Instagram estaban almacenadas en sus sistemas en un formato de lectura que era vulnerable a ataques.

Microsoft se está moviendo hacia productos sin contraseña.

También hubo un robo digital de grandes proporciones. El año pasado el portal de internet Quora fue hackeado, comprometiendo los nombres y los correos electrónicos de 100 millones de usuarios.

Recientemente, Yahoo! saldó con un acuerdo de $117,5 millones dólares una demanda colectiva por el hackeo masivo que afectó a unos 3.000 millones de usuarios entre 2012 y 2016. Los piratas informáticos se hicieron con correos electrónicos y contraseñas.

Tampoco sorprendió que Microsoft anunciara el año pasado que la compañía está planeando «matar» la contraseña y comenzar a utilizar datos biométricos o una clave especial de seguridad para que se acceda a sus cuentas.

La consultora en tecnologías de la investigación Gartner predice que, para el 2022, el 60% de las grandes marcas e incluso medianas empresas reducirá a la mitad su dependencia para con las contraseñas como método de acceso para sus usuarios.

«Las contraseñas son lo primero por lo que empiezan los hackers», le dijo a la BBC Jason Tooley, director de Veridium, una empresa dedicada a prestar servicios de autentificación biométrica.

«La gente tiende a utilizar contraseñas que son fáciles de recordar y por eso sus sistemas quedan comprometidos», agregó.

El sistema verificación por contraseña es considerado por algunos analistas como obsoleto.

Dejar ese sistema a un lado no solo es un paso en la mejora de la seguridad, también ahorra tiempo a los departamentos de soporte técnico, que dedican horas y horas a restablecer claves olvidadas.

«El costo asociado al uso de contraseñas es de hasta US$200 por empleado, sin incluir la pérdida de productividad», explicó Tooley.

«Para una organización grande, de más de 1.000 empleados, eso es un costo enorme», añadió.

«Nuevos riesgos»

Philip Black es el director comercial de Post-Quantum, una compañía que diseña poderosos sistemas de encriptación para proteger la información.

Está de acuerdo con que las claves y las contraseñas son hoy por hoy el punto débil de la vida digital.

«Hay que crear y usar tantas claves que se vuelve algo inmanejable, así que la gente termina utilizando el mismo código para todo y eso es lo que crea la vulnerabilidad», dijo Black.

Una nueva serie de reglas de la Unión Europea fue diseñada para lidiar con el problema.

La Segunda Directiva de Servicios de Pago (PSD2) les exige a los negocios usar al menos dos vías para autentificar la identidad de un usuario.

Puede ser mediante algo que el cliente tenga en su poder (como una tarjeta del banco), algo que solo él sabe (como un PIN) o una característica propia, entre las que se incluyen los datos biométricos.

Varias empresas de seguridad dicen que una combinación métodos de autentificación reemplazará las contraseñas.

Aunque los tokens, las contraseñas y los códigos enviados por mensaje de texto dominaron hasta ahora este tipo de validaciones, el interés en la biométrica está aumentado.

De acuerdo a la encuesta sobre fraude bancario de la consultora KPMG, en 2019 el 67% de los bancos está invirtiendo en medidas biométricas como huellas digitales, patrones de voz y reconocimiento facial.

La biometría ofrece una mejor experiencia al consumidor, pero no ha tenido el desarrollo esperado debido a que necesita de equipos especializados.

Con los últimos modelos de teléfonos móviles, muchas personas ya tienen el hardware necesario en sus bolsillos.

Una investigación hecha en Reino Unido, por ejemplo, señaló que una quinta parte de los residentes del país tiene un celular que puede escanear huellas digitales. Y ese número está creciendo de manera acelerada.

Pero incluso en eso, los datos son vulnerables.

En septiembre, investigadores chinos demostraron en una conferencia en Shanghái que era posible obtener las huellas digitales de alguien con una fotografía tomada a larga distancia.

Ahora, si es difícil recomponer una contraseña, tratemos de cambiar nuestra huella digital.

Las huellas digitales se han convertido en una opción de protección de datos.

Para aumentar la seguridad, la compañías están confiando en la autenticación multifactor (MFA), que busca identificar a los usuarios usando todas las formas posibles.

Esto incluye no solo el PIN y escaneo de huellas digitales, sino también la ubicación, el historial de compras, sus patrones de movimientoy la identidad telefónica. Hasta la manera en la que agarran el teléfono móvil.

Entonces ¿la biometría va a reemplazar las contraseñas?

«No, una combinación de factores va a reemplazar las contraseñas. Estamos y deberíamos avanzar hacia esto», dice Ali Niknam, director ejecutivo de Bunq, un servicio de banca móvil.

Sin embargo, existe el riesgo de que la autenticación multifactor, aunque segura, haga que el proceso sea aún más complicado.

Si no sabe qué es lo se está usando para verificar su identidad en internet, ¿cómo va un usuario a proteger esa información?

«Ahora cuido que mi fecha de nacimiento o mi dirección no esté en ningún lado», cuenta Sarah.

«Tengo 33 años, soy relativamente joven y estoy familiarizada con la tecnología, pero no estoy segura de saber cómo ser más cuidadosa«, reconoce.

Fuente: www.bbc.com

En este primer artículo de la serie sobre educación en seguridad informática que publicaremos como parte de la celebración del Antimalware Day 2019, proponemos varias ideas para llevar la educación en ciberseguridad al interior de una empresa que pueden implementarse de manera aislada o de manera complementaria.

Teniendo en cuenta que el error humano es el principal responsable de la mayoría de los incidentes de seguridad que ocurren en el ámbito de una empresa u organización, puede resultar muy beneficioso que las personas que forman parte de los equipos de trabajo cuenten con instancias que les permitan desarrollar las habilidades necesarias para saber lidiar con estas amenazas.

#1. Establecer un correo de consulta

Crear una cuenta de correo para el envío de consultas relacionadas a temas o casos de seguridad es una buena iniciativa. A través de este correo de consulta se pueden reenviar correos de apariencia sospechosa para su revisión, estableciendo una instancia más que positiva para que los empleados aprender a reconocer correos fraudulentos. Además, en el caso de los correos de phishing, por ejemplo, este material puede ser utilizado para realizar capacitaciones a partir de casos reales.

Por otra parte, contar con un correo de consulta puede ser de utilidad para incentivar a que los trabajadores que no se animan a realizar preguntas tengan una instancia privada para plantear sus interrogantes.

#2. Reporte de alertas tempranas

Ante casos de campañas de spam maliciosas que llegan a través del correo, establecer una dinámica de alertas tempranas permite informar al resto de la empresa que está circulando una campaña maliciosa y analizar sus características. Además de reducir el riesgo de que algún desprevenido caiga en el engaño, por más que la campaña en concreto no tenga ningún elemento novedoso, sirve para reforzar conceptos y recordar cuáles son las técnicas comunes utilizadas por los cibercriminales.

#3. Charlas y/o capacitaciones

Las charlas como instrumento de capacitación pueden ser una gran herramienta. Las mismas pueden ser dictadas por especialistas de la propia empresa o por profesionales invitados. A partir de lo que pueden ser consultas frecuentes o la elaboración de un calendario de temas como parte de un programa de capacitación, la empresa puede preparar charlas educativas sobre diversos temas que hacen a la seguridad.

Dado que en una empresa conviven profesionales de distintas áreas, en algunos casos es recomendable segmentar el público y realizar dos charlas por separado, más dirigidas y que contemplen los intereses y capacidades de cada grupo. Unas más técnicas para aquellos que tengan conocimientos suficientes y otras menos técnicas que contemplen las limitaciones de los destinatarios.

También es recomendable hacer uso de imágenes, videos y todo tipo de material visual que haga más atractiva y memorable la capacitación, ya que de esta manera será más efectiva la comunicación de lo que se quiere enseñar.

#4. Dinámicas o concursos

Una manera divertida de introducir la capacitación en seguridad en el ámbito empresarial es a través de dinámicas o concursos para que participen los empleados. Por ejemplo, a partir de lo que se aprendió en una charla o capacitación se puede elaborar un concurso de preguntas y respuestas que premie a los ganadores. Además de ser algo entretenido, es una manera de saber a través de los resultados el grado de conocimiento o desconocimiento sobre temas que para la empresa son importantes.

Otra alternativa es contratar un servicio de pruebas de ingeniería social, las cuales permiten evaluar el grado de conocimiento que tienen los profesionales que trabajan en el interior de una empresa y aportan información de valor que puede ser utilizada para determinar aspectos que deben ser tratados con más profundidad en una capacitación.

#5. Guía de buenas prácticas en seguridad

Elaborar una guía de buenas prácticas que sirva como referencia de procedimientos recomendables para conservar un entorno seguro y de esta manera minimizar los riesgos. Esta guía servirá de orientación para comprender las problemáticas más comunes y establecerá prácticas saludables para el manejo y la gestión de información en las empresas. Las mismas pueden incluir, por ejemplo, información acerca de cómo configurar tus dispositivos de manera segura, cómo cifrar la información, cómo configurar el doble factor de autenticación en los servicios principales, etc.

Asimismo, es importante que estas guías sean fáciles de leer y tengan solo la información necesaria. Las mismas pueden estar en el escritorio de cada empleado para su fácil consulta.

Por último, una recomendación para que ayuda a la retención de ideas y/o conceptos es jugar con los lugares inesperados para dejar mensajes; como pueden ser el baño, en la cocina o el ascensor. El hecho de encontrar un mensaje en un lugar que no esperamos tiene un impacto mayor que si lo encontramos en los lugares comunes.

Fuente: www.welivesecurity.com

Un experto en inteligencia artificial dice que incluso robots bien intencionados podrían volverse contra nosotros.

Desde Stephen Hawking hasta Elon Musk, algunas de las mentes más importantes del mundo de la inteligencia artificial (IA) han expresado su preocupación de que esta represente una amenaza existencial para nuestra especie.

Pero según un nuevo libro, lo que debe preocuparnos no es que los robots tomen conciencia de sí mismos y se alcen contra sus amos humanos, sino que las máquinas se vuelvan tan buenas en la consecución de los objetivos que les fijamos, que terminemos siendo aniquilados inadvertidamente al establecerles tareas equivocadas.

Stuart Russell, profesor en la Universidad de California en Berkeley, es el autor de Human Compatible: AI and the Problem of Control («Compatible con humanos: la IA y el problema del control») y un experto en los avances que el aprendizaje automático ha hecho posibles.

«El meme de Hollywood siempre consiste en la máquina que espontáneamente toma conciencia de sí misma y luego decide que odia a los seres humanos y quiere matarnos a todos», dijo a la BBC.

Pero los robots no tienen sentimientos humanos, por lo que «es completamente equivocado preocuparse por eso».

Los robots son cada vez mejores en las tareas que les asignamos.

«No es realmente la conciencia maligna, sino su capacidad la que tiene que preocuparnos, solo su capacidad de alcanzar un objetivo mal especificado por nosotros».

«Demasiado competente»

En una entrevista con el programa Today de la BBC, el experto dio un ejemplo hipotético de la amenaza real que, en su opinión, la IA podría representar.

Imagina que tenemos un poderoso sistema de IA que es capaz de controlar el clima del planeta y que queremos usarlo para devolver los niveles de CO2 en nuestra atmósfera a la época preindustrial.

«El sistema descubre que la forma más fácil de hacerlo es deshacerse de todos los seres humanos, porque ellos son los que están produciendo todo este dióxido de carbono en primer lugar», dijo Russell.

«Y podrías decir, bueno, puedes hacer lo que quieras, pero no puedes deshacerte de los seres humanos. Entonces ¿qué hace el sistema? Simplemente nos convence de tener menos hijos hasta que no queden seres humanos».

La victoria del equipo de ajedrez Deep Blue sobre Garry Kasparov fue un hito para el desarrollo de la inteligencia artificial.

El ejemplo sirve para resaltar los riesgos asociados a que la inteligencia artificial actúe bajo instrucciones en las que los humanos no hemos pensado.

Superinteligencia

La mayoría de los sistemas actuales de IA tienen aplicaciones «débiles», diseñadas específicamente para abordar un problema bien especificado en un área, según el Centro para el Estudio del Riesgo Existencial, de la Universidad de Cambridge, en Reino Unido.

Un momento importante para este campo llegó en 1997, cuando la computadora Deep Blue derrotó al campeón mundial de ajedrez, Garry Kasparov, en un torneo de seis partidas.

Pero a pesar de la hazaña, Deep Blue fue diseñado por humanos específicamente para jugar al ajedrez y no podría con un simple juego de damas.

Ese no es el caso de los avances posteriores en inteligencia artificial. El software AlphaGo Zero, por ejemplo, alcanzó un nivel de rendimiento sobrehumano después de solo tres días de jugar Go contra sí mismo.

Usando el aprendizaje profundo, un método de aprendizaje automático que emplea redes neuronales artificiales, AlphaGo Zero requirió mucha menos programación humana y resultó ser un muy buen jugador de Go, ajedrez y shōgi.

Fue completamente autodidacta, de una manera, tal vez, alarmante.

Russell dice que los humanos necesitamos recuperar el control de la IA antes de que sea demasiado tarde.

«A medida que un sistema de inteligencia artificial se vuelva más poderoso y más general, podría volverse súper inteligente, superior al rendimiento humano en muchos o casi todos los dominios«, dice el Centro de Riesgo Existencial.

Y es por eso que, según Russell, los humanos necesitamos retomar el control.

«No sabemos lo que queremos»

Según Russell, dar a la inteligencia artificial objetivos más definidos no es la solución para este dilema, porque los humanos mismos no estamos seguros de cuáles son esas metas.

«No sabemos que algo no nos gusta hasta que sucede», dice.

«Deberíamos cambiar toda la base sobre la cual construimos sistemas de IA», dice, alejándose de la noción de dar a los robots objetivos fijos.

«En cambio, el sistema tiene que saber que desconoce cuál es el objetivo».

«Y una vez que tienes sistemas que funcionan de esa manera, realmente serán diferentes a los seres humanos. Comenzarán a pedir permiso antes de hacer las cosas, porque no estarán seguros de si eso es lo que quieres».

En «2001: Odisea en el espacio» (1968), una computadora altamente capaz se rebela contra los planes para apagarla.

En especial, dice el profesor Russell, estarían «felices de que los apaguen porque querrán evitar hacer cosas que no te vayan a gustar».

El genio de la lámpara

«La forma en que construimos la IA es un poco como la forma en que pensamos en un genio dentro de una lámpara. Si frotas la lámpara, sale el genio y dices: ‘Me gustaría que esto sucediera'», dijo Russell.

«Y, si el sistema de IA es lo suficientemente potente, hará exactamente lo que pides y obtendrás exactamente lo que pides».

«Ahora, el problema con los genios en las lámparas es que el tercer deseo es siempre: ‘Por favor, deshaga los dos primeros deseos porque no pudimos especificar los objetivos correctamente».

«Entonces, una máquina que persigue un objetivo que no es el correcto se convierte, en efecto, en un enemigo de la raza humana, un enemigo que es mucho más poderoso que nosotros».

Fuente: www.muylinux.com

Les adelantamos el lanzamiento en el PING, pero como advertimos, merecía la pena comentarlo con un poco de calma y a eso vamos. Y es que KeePassXC 2.5 llega tras más de medio año de desarrollo para confirmar una vez más algo que ya estaba claro: que es el gestor de contraseñas de código abierto más recomendable del panorama actualmente.

Parece difícil que haya quien no conozca a la familia de gestores de contraseña de código abierto KeePass, de la cual KeePassXC es uno de sus miembros más recientes a razón del nulo progreso de KeePassX, una versión en Qt cuyo lento desarrollo propició el nacimiento de un fork, KeePassXC, que ha resultado ser lo mejor que podía haber pasado.

Por si acaso, ya os recomendamos a KeePassXC como en nuevo tótem de las contraseñas en un artículo de repaso que os interesará leer, si aún no lo conocías, aunque lo cierto es que de un tiempo a esta parte está en todo lados, precisamente debido al la lentitud del desarrollo de sus alternativas. El último cambio significativo lo encontramos en Tails 4.0, que lo toma como opción por defecto.

En cuanto a las novedades de KeePassXC 2.5, ahí va una lista

• Nueva opción para crear una copia de seguridad de la base de datos impresa.
• Nuevo panel de estadísticas de la base de datos.
• Las vistas de entrada y desbloqueo han sido rediseñadas.
• Nueva opción para descargar los favicons de las entradas de una sola vez.
• Autocompletado automático del nombre de usuario en función de los nombres de usuario conocidos de otras entradas.
• Importación de archivos OpVault de 1Password.
• Soporte para las llaves de seguridad de código abierto OnlyKey.

En lo que se refiere al soporte de Linux, también hay novedades interesantes, como la mejora de la versión para la línea de comandos, incluyendo la posibilidad de verificar si las credenciales se han visto comprometidas haciendo uso de la base de datos de HIBP, pero sin necesidad de conectarse a esta; así como el soporte del estándar libsecret y, en principio, la compatibilidad con los clientes que hagan uso de esta tecnología.

Al contrario, el lanzamiento de KeePassXC 2.5 supone el fin del soporte para Ubuntu 14.04 LTS y las nueva AppImage se basan ahora en Ubuntu 16.04 LTS, con Qt 5.5 como requisito mínimo.

Y en cuanto a la descarga de KeePassX 2.5, en la página oficial se ofrecen diferentes vías para las principales distribuciones Linux, incluyendo las mencionadas AppImage, paquetes Snap, repositorios dedicados y más.

Fuente: www.muylinux.com