Archives febrero 2020

La Free Software Foundation, la institución de referencia del software libre y su principal promotora, ha anunciado que a lo largo de este 2020 pondrá en marcha una “plataforma pública de colaboración y alojamiento de código” (forja) que competirá con las muchas alternativas que hay en el mercado, de las que se pueden destacar a GitHub, GitLab y SourceForce como las más populares.

La intención de la Free Software Foundation es crear una forja pública que soporte todas las características clásicas de este tipo de plataformas, con fusión de código, seguimiento de errores y otras herramientas, y se complementaría con los actuales servidores de Savannah. La institución estaría sopesando la utilización de Pagure como base, pero tiene ciertas reservas debido a que requiere de JavaScript para ofrecer una experiencia agradable, así que sobre la mesa también están Gitea y Sourcehut.

La Free Software Foundation no solo tiene un compromiso con el software libre, sino también ético. La fundación ha dicho que las infraestructuras de almacenamiento de código son muy importantes, pero que resulta “desafortunado que tanto desarrollo de software libre se base actualmente en sitios que no publican su código fuente, y que requieren o alientan el uso de software privativo”. Aquí no solo se dispara contra el archiconocido GitHub, sino también contra el hecho de que GitLab se apoye en GoogleReCAPTCHA para la identificación de los usuarios.

Sin embargo, la construcción de la forja parece que no será un camino de rosas, ya que el equipo de tecnología con el que cuenta la Free Software Foundation “es pequeño para el tamaño de la red que mantenemos, y no tenemos desarrolladores a tiempo completo que trabajen para la FSF, por lo que estamos limitados en la cantidad de tiempo que podemos dedicar al software que elijamos”. Además de las características típicas, el propósito es que la plataforma no haga uso de ningún mecanismo de rastreo de terceros, requiera de soporte para LibreJS, ofrezca una información de licencia adecuada y cuente con autenticación en dos pasos, ofreciendo de esta manera privacidad y seguridad.

Obviamente, y siguiendo la tradición de la Free Software Foundation, el código de la forja estaría disponible, por lo que la institución espera que se creen plataformas federadas y descentralizadas para la mayoría de las necesidades. “Creemos que la necesidad de esta forja respetuosa con la libertad es urgente, por lo que la haremos con el software libre que tenemos disponible en este momento. Permitir que los datos se importen y exporten es una característica que queremos ver en nuestra nueva forja, porque eso al menos asegurará que los usuarios puedan pasar a otra instancia de la misma plataforma.”

Veremos si la futura forja de la Free Software Foundation consigue tener éxito o no. Como suele ser habitual por parte de esta institución, sus intenciones son muy nobles, pero al menos en un principio parece que lo tiene difícil para hacerse un hueco en un mercado en el que muchos competidores viven de las migajas que deja GitHub. Por otro lado, veremos si es lo suficientemente buena como para animar a algún gran proyecto a utilizarla, ya que GNOME y KDE han migrado a GitLab hace relativamente poco.

Fuente: www.muylinux.com

Que el software Open Source se está abriendo camino en las grandes empresas en detrimento de las soluciones privativas es algo que se sabe desde hace años, una tendencia que, lejos de retroceder, ha sido a más en los últimos tiempos, o eso es al menos lo que refleja Red Hat a través de su informe sobre “El estado del Open Source empresarial”.

Que el Open Source tenga una gran presencia en los departamentos TI de muchas corporaciones es algo que ya no sorprende a nadie, más viendo que, por ejemplo, Linux acapara en estos momentos el 100% de la lista TOP500 de las supercomputadoras más rápidas del mundo. De hecho, el Open Source es en la actualidad el centro de innovación que acelera el desarrollo de industrias enteras y crea estándares de facto con beneficios prácticos para desarrolladores, profesionales y consumidores, por lo que su utilización e impulso por parte de las mayores compañías del mundo es algo que ha vuelto habitual, incluso por parte de aquellos que en tiempos pasados mostraban sus reservas.

Para elaborar el informe, Red Hat ha entrevistado a 950 líderes de TI en cuatro regiones a nivel mundial, todos ellos profesionales familiarizados con el código abierto empresarial y que tienen al menos un 1% de Linux instalado en sus organizaciones. Con el fin de ofrecer unos resultados honestos, no todos los encuestados han sido clientes de Red Hat y ninguno sabía que dicha compañía era uno de los patrocinadores del estudio.

Antes de entrar en detalles, las conclusiones principales que se pueden extraer del estudio es que el Open Source empresarial tiene un papel estratégico cada vez más importante en detrimento de las soluciones privativas, que el Open Source empresarial y la computación de la nube están yendo de la mano (cosa normal viendo el peso de proyectos como Kubernetes y Docker), los líderes TI eligen el código abierto empresarial debido a la mayor calidad del software y que la seguridad es la principal razón de por qué los líderes de TI usan Open Source empresarial.

El Open Source es muy importante en las empresas

Red Hat ha hecho hincapié en que los resultados plasmados en el informe ponen en evidencia la importancia del Open Source, ya que el 95% de los encuestados respondió que es importante (en comparación con el 86% del año pasado) para la estrategia general de software de la infraestructura de sus organizaciones. Por otro lado, el 86% de los entrevistados ha señalado que el Open Source empresarial ha sido adoptado por las empresas más innovadoras.

Viendo la tendencia al alza, se estima que el uso del Open Source empresarial aumente en los próximos dos años al mismo tiempo que disminuye el de soluciones privativas. Esto queda plasmado en el hecho de que el año pasado el 55% respondió que el software utilizado en sus organizaciones era privativo, un porcentaje que se ha reducido al 42% este año.

Los encuestados han pronosticado que el uso de software privativo descenderá en los próximos dos años hasta el 32%, mientras que el de Open Source subiría del 36 al 44 por ciento durante el transcurso del mismo periodo de tiempo.

Open Source y nube híbrida, dos conceptos que están muy unidos

La computación en la nube (o cloud computing) se ha convertido en unos de los pilares más importantes de las infraestructuras TI actuales, y su crecimiento está estrechamente vinculado al Open Source. En el estudio llevado a cabo por Red Hat el 63% de los líderes de TI entrevistados respondieron que sus empresas cuentan con una infraestructura de nube híbrida. Del 37% restante que todavía no la tiene, el 54% espera instalarla en los próximos dos años.

El impulso de la nube híbrida responde al motivo de que no todas las cargas de trabajo se adaptan bien a los entornos de nubes públicas. El enfoque de nube híbrida que abarca desde el edge y al bare metal hasta múltiples nubes públicas (multicloud) puede ofrecer la mayor cantidad de opciones y flexibilidad a los usuarios finales. El 83% de los líderes de TI ha resaltado además que el Open Source empresarial ha sido fundamental en la capacidad de su organización para aprovechar las arquitecturas de la nube.

Beneficios y ámbitos de uso

Que el Open Source haya pasado de centrarse en intentar ofrecer soluciones más competitivas con respecto al coste a liderar la innovación es otro de los puntos que han quedado en evidencia en el informe de Red Hat. Si antes las corporaciones apostaban por el Open Source por ser una opción más rentable, hoy en día ese factor no es el más determinante. Los encuestados reconocieron la mejor calidad del software (33%) como la principal razón por la que eligieron el código abierto, seguida de un menor coste total (30%) y una mayor seguridad (29%).

Por último, se ha observado una mayor presencia de Open Source en áreas asociadas históricamente con aplicaciones privativas. Los líderes de TI entrevistados señalaron que los tres primeros lugares en la infraestructura donde se utilizan hoy en día las soluciones empresariales Open Source son la seguridad (52%), las herramientas de gestión de la nube (51%) y las bases de datos (49%).

Fuente: www.muylinux.com

Compartimos una serie de herramientas y recomendaciones para almacenar credenciales y datos de manera segura, como son gestores de contraseñas, soluciones VPN y herramientas de cifrado.

Compartimos una serie de recomendaciones y herramientas para administrar y proteger nuestros datos de forma más eficiente, teniendo en cuenta las mejores prácticas en materia de seguridad informática. Para cada uno de los escenarios planteados recomendamos herramientas útiles para cada una de las tareas.

En este sentido, además de recordar algunos conceptos básicos sobre la seguridad de los datos, hablaremos de las siguientes herramientas: KeePass, Have I Been Pwned, VeraCrypt, Google Drive y ExpressVPN.

1- Seguridad de Credenciales

En esta sección hablaremos de las herramientas: ‘KeePass’ y ‘Have I Been Pwned’.

Por lo general, en cualquier sistema, antes de intercambiar datos o acceder a nuestra información se nos solicitará que ingresemos nuestras credenciales de acceso. Se trata de la forma más común de demostrar nuestra identidad, ya que, en teoría, cómo está compuesta la contraseña es algo que solo nosotros sabemos.

Continuamente recordamos la importancia de utilizar contraseñas fuertes que sean difíciles de adivinar. Las mejores prácticas de seguridad también sugieren utilizar contraseñas diferentes para cada sitio o aplicación que utilicemos, además de modificarlas periódicamente, preferentemente cada 90 días.

Esto se debe a que, a pesar de tener una contraseña altamente segura, puede ocurrir que un sitio o servicio al cual ingresamos utilizando credenciales de acceso sea vulnerado en algún momento. En estos casos, es poco lo que podemos hacer como usuarios para evitar que nuestra contraseña se filtre, ya que no tenemos control sobre el sitio o servicio afectado. Sin embargo, si utilizamos contraseñas diferentes para cada sitio el impacto ante una posible brecha será menor, ya que las credenciales que se filtran únicamente funcionan para el sitio vulnerado. Si utilizamos la misma contraseña en todas las plataformas, existe siempre la posibilidad de que el efecto de una brecha en un sitio se propague, afectando nuestra privacidad en otros sitios.

Ahora bien, la mayoría de nosotros utilizamos decenas de sitios y aplicaciones. Memorizar decenas de contraseñas diferentes puede ser difícil, especialmente si tenemos que modificarlas periódicamente. Esta es la causa por la que muchos usuarios eligen utilizar siempre la mismas contraseñas y rara vez la modifican. Sin embargo, lo que quizás algunos usuarios no saben es que existen gestores de contraseñas que nos facilitan esta tarea.

Uno de estos gestores es KeePass. Se trata de una herramienta de software libre que nos permite almacenar todas nuestras credenciales (usuario + contraseña) para diversas plataformas. Se puede utilizar tanto en Windows como en MacOS y sistemas operativos tipo Unix. Sólo necesitamos recordar una única “contraseña maestra” para poder acceder a una base de datos con todas las credenciales que hayamos almacenado. Además, la herramienta nos ofrece la opción de generar y almacenar nuevas contraseñas, que son seguras y que no necesitaremos recordar. Luego, podremos copiar la contraseña elegida al portapapeles y pegarla directamente en el sitio.

Todas las credenciales que se ingresan o crean en KeePass se almacenan en una base de datos encriptada con AES + Twofish (algoritmos considerados seguros). Esta base de datos se almacena localmente en nuestro equipo, en otras palabras, KeePass no sube esta base de datos a Internet.

La herramienta soporta extensiones y también permite la modificación del código fuente. Para información más detallada, pueden visitar el sitio oficial de KeePass.

En esta misma línea, es una buena idea utilizar Have I Been Pwned. Se trata de una herramienta web que nos permite comprobar si algún sitio en el que nos hayamos registrado utilizando nuestra dirección de email ha sido vulnerado.

2- Herramientas para asegurar datos almacenados en nuestro equipo

En esta sección hablaremos de las herramientas: ‘VeraCrypt’, ‘Google Drive’ y ‘zip’.

La información puede encontrarse en tres estados: En reposo, en tránsito o en uso. Aunque en esta publicación nos enfocaremos en los primeros dos estados. Empecemos por el primer escenario, cuando nuestra información se encuentra “en reposo”. En este caso, nuestra información está almacenada en algún equipo, más precisamente, en un disco duro o unidad de almacenamiento.

¿Qué ocurre si perdemos el acceso al disco?

Puede ocurrir que nuestro equipo sea robado o que el disco duro se dañe. Para cada uno de estos escenarios surge una nueva pregunta:

• ¿Cómo nos aseguramos que un tercero no puede acceder a la información que contiene el equipo robado o extraviado?

Respuesta: encriptando los contenidos del disco.

En dispositivos Android, a partir de la versión 6.0, la encriptación total de disco es obligatoria para los fabricantes y se encuentra activada por defecto. Sin embargo, esto no ocurre  de la misma manera en dispositivos Windows, Mac o en sistemas operativos tipo Unix.

VeraCrypt: es una herramienta de software libre multiplataforma que permite encriptar nuestros datos en reposo en estos sistemas. Esta herramienta nos permitirá crear volúmenes encriptados en los que podemos almacenar carpetas o archivos individuales, o bien, podemos optar por encriptar la totalidad del disco duro, utilizando algoritmos como AES o TwoFish, que son altamente seguros en ambos casos, o incluso una combinación “en cascada” de ambos.

Al crear un volumen encriptado, VeraCrypt se nos solicitará una contraseña para el descifrado de los datos. Esta es una buena oportunidad para comenzar a utilizar KeePass para crear una contraseña segura.

El aspecto más importante de utilizar herramientas como VeraCrypt, o cualquier otra herramienta similar, es que nuestros datos permanecerán confidenciales aun cuando nuestro dispositivo haya sido extraviado o robado.

• ¿Cómo podemos recuperar nuestra información si esto ocurre?

Respuesta: habiendo hecho una copia de seguridad de nuestros datos de antemano.

El proceso de realizar un backup es simple: consiste en copiar nuestros datos a otros medios de almacenamiento. Realizar estas copias de seguridad es fundamental para mantener la disponibilidad de nuestros datos en el caso de que nuestro equipo se dañe o extravíe.

Siguiendo las mejores prácticas en materia de seguridad informática, lo más recomendable es que el almacenamiento de resguardo se encuentre en otra ubicación, en lo posible, lejana a la información original. Esto es para prevenir que el evento que haya afectado a la información original afecte también a la copia de seguridad, como puede ser un robo, inundación, incendio, etc.

En este sentido, si no disponemos de nuestro propio servidor, es posible utilizar servicios de almacenamiento en línea, siempre y cuando se trate de proveedores serios, como puede ser Google Drive. Este servicio permite a cualquier usuario almacenar hasta 15 GB de información de manera gratuita.

Pero antes de subir nuestra información hay que tener dos factores en cuenta:

1. Compresión: para maximizar el espacio disponible, los datos que subamos a Internet deberían ser comprimidos.
2. Encriptación: los datos que vayamos a subir a Internet también deben estar encriptados para garantizar la confidencialidad de la información ante cualquier incidente. Más allá de la propia encriptación que provee el servicio, es una buena idea adicionar una capa de encriptación propia.

Hay múltiples herramientas que nos permiten realizar ambas tareas, como, por ejemplo, WinRar en Windows o la herramienta zip de Unix. Ambas nos permiten cifrar archivos o carpetas usando encriptación segura, que solo pueden ser descifrados con las contraseñas que le hayamos configurado al archivo.

Es importante recordar que para recuperar la información encriptada son necesarias las credenciales, por lo que si utilizan KeePass para almacenar las claves, debemos asegurarnos de que la base de datos sea la principal prioridad a la hora de realizar una copia de seguridad.

3- Herramientas para asegurar los datos en tránsito

En esta sección hablaremos de las herramientas: ‘ExpressVPN’

Finalmente, debemos considerar la confidencialidad de nuestros datos mientras éstos son transferidos desde nuestro equipo hacia otro equipo o sitio a través de Internet. Esto se vuelve aún de mayor importancia si la red de área local a la cual estamos conectados no es segura, por ejemplo, si utilizamos una red Wi-Fi pública.

Lo primero que viene a la mente es la utilización de un servicio de VPN para generar un túnel seguro entre ambos equipos, a través del cual se transmitirá todo el tráfico de red.

ExpressVPN es un proveedor de servicios VPN que nos permite elegir entre la utilización de protocolos L2TP+IPSec o el más versátil OpenVPN. Todo el tráfico que se envía desde nuestro equipo hacia el mundo exterior viajará cifrado y será ilegible para cualquier atacante que intente espiar nuestras actividades.

Hay que aclarar que la utilización de una VPN no nos protegerá de engaños como el phishing, por lo que siempre debemos estar atentos.

Conclusión

Es importante tener en cuenta la seguridad de nuestros datos en cada uno de sus estados. Las herramientas que mencionamos en este artículo, si bien no son las únicas que deberían utilizar, los ayudarán a mantener la confidencialidad, integridad y disponibilidad de sus datos durante las etapas de reposo y tránsito. Como habrán notado, la encriptación de los datos y las copias de resguardo son conceptos fundamentales.

En este articulo no mencionamos el tercer estado, los datos en uso, ya que sería un artículo completo por sí mismo. Sin embargo, es otro factor importante a tener en cuenta. Llamamos datos en uso a aquellos que están almacenados temporalmente en la memoria RAM o registros del CPU mientras éstos se utilizan. La seguridad en esta etapa está más asociada a la utilización de aplicaciones seguras y actualizadas junto al uso de soluciones anti-malware. Lamentablemente, las medidas que mencionamos en este artículo no resultarán útiles si, por ejemplo, nuestras credenciales están siendo capturadas por un  keylogger con acceso al portapapeles.

Como conclusión, cuantas más medidas de seguridad adoptemos y cuanto mayor sea el número de mejores prácticas que respetemos, el riesgo de que nuestra información sea robada será menor. Esto nos ayudará a conformar una defensa en capas que hace menos probable que suframos un incidente de seguridad. Por eso, el primer paso es ser consciente de los riesgos.

Fuente: www.welivesecurity.com

Las redes sociales de segunda generación se basan en pequeñas comunidades privadas que solo conectan a los usuarios con amigos íntimos y familiares. Esta cercanía ayuda a que la gente muestre su lado más real sin tener que preocuparse por la reputación ni el número de seguidores.

Durante su primer año en la universidad, una mañana Jasmine Sun recibió un mensaje de texto de su madre que decía: «¿No tienes clase ahora? ¿Por qué estás en tu cuarto?»

Su madre, Joan Chen, vive en el área de Seattle (EE. UU.) y se había dado cuenta de que el cursor de ubicación de su hija en Life360, el servicio de ubicación compartida con el que los miembros de una familia pueden seguirse unos a otros, todavía estaba en su cuarto en la Universidad de Stanford (EE. UU.). Como muchos estudiantes universitarios, ese día Jasmine se había quedado dormida y no ha ido a clase, algo que no quería que su madre supiera.

Al recordar ese momento desde su cuarto actual en la Universidad de Oxford (Reino Unido), la joven se lamenta: «A mi madre le encantaba Life360. Pero yo no podía elegir qué quería compartir y qué no«.

Ahora su familia tiene una manera de compartir lo que quiere cuando quiere. En noviembre, Jasmine sugirió delicadamente a su madre y a su hermana adolescente, que todavía vivía en casa, que se descargaran una aplicación que acababa de anunciar su lanzamiento en Twitter. Se trataba de Cocoon, creada por los antiguos empleados de Facebook Alex Cornell y Sachin Monga.

En general, Cocoon se parece mucho a Facebook: conecta a las personas en el espacio virtual. La diferencia consiste en que solo conecta a los miembros de una familia en grupos pequeños y específicos. Es como una fuente de actualizaciones de los miembros de la familia: un hermano avisa de que en su vuelo de trabajo ya ha aterrizado, un vídeo de la sobrina aprendiendo a caminar, la ubicación del primo que viaja por Europa, todo conectado mediante este servicio de mensajería que intercambia conversaciones de forma restringida a los miembros de ese grupo (el máximo actual es de 12 personas). «No se trata de transmitir necesariamente lo más destacado ni de crear una identidad u obtener un estatus. Este espacio es solo para estas personas. No existe una gran red», explica Monga.

Cocoon forma parte de la nueva ola de aplicaciones cuyo objetivo consiste en cambiar nuestra forma de interactuar en las redes sociales. Estas nuevas plataformas no nos animan a acumular me gusta ni seguidores, ni requieren la creación diligente de una presencia online. En lugar de eso, nos ofrecen la posibilidad de conectarnos con un grupo pequeño y selecto de personas, y eso es todo.

Las aplicaciones como Dex, creada por Kevin Sun, suelen utilizar un antiguo software de gestión de relaciones con clientes (CRM, por sus siglas en inglés). Los CRM son fiables y flexibles, y similares a una hoja de cálculo de Excel. Se usan para registrar el nombre de un contacto junto a otra información relevante, como su fecha de cumpleaños, preferencias y pasiones. Su creador, cuya web promete «ofrecer superpoderes en las relaciones», admite: «Yo era una de esas personas que tenía una hoja de Excel para mis amigos y relaciones personales».

Otra opción es Monaru, creada por tres estudiantes irlandeses que se sintieron desvinculados cuando llegaron a EE. UU. al terminar la universidad. Su aplicación incorpora un asistente virtual que ayuda a los usuarios a recordar cumpleaños con recordatorios para comprar regalos o llamar a un pariente. Su cofundador, Patrick Finlay, también usaba Excel para organizar sus recordatorios para llamar a sus seres queridos, pero se dio cuenta de que entrelazar su vida personal y la profesional le resultaba «raro». En cambio, Monaru, con una tarifa de pago, envía recordatorios esporádicos cuando detecta que no hemos llamado a un amigo cercano o un ser querido.

Pero igual que Dex y Monaru intentan redefinir el CRM, Cocoon aspira a redefinir las redes sociales, una tarea mucho mayor.

Errores de novato

El modelo actual de las redes sociales no resulta adecuado para compartir cosas en familia. Las diferentes generaciones tienden a congregarse en distintos plataformas: Facebook es el paraíso de los baby boomers, Instagram atrae a los millennials, TikTok es clave para la Generación Z. (WhatsApp ha ayudado a cerrar esta brecha generacional, pero su enfoque en la mensajería es limitado).

Informar a la familia sobre las vacaciones a través de estas plataformas no siempre resulta apropiado. ¿Es información que también deberían tener nuestros antiguos compañeros del colegio, ese conocido del club de lectura y nuestro gran enemigo del instituto? «Las redes sociales tratan a todos por igual, da igual que sea un amigo, un miembro de la familia, o un simple conocido», destaca la profesora de desarrollo humano y ciencias de la familia de la Universidad de Texas (EE. UU.) que asesoró a Cocoon, Courtney Walsh. Y añade: «Yo diría que lo que estamos haciendo en redes sociales es impersonal».

Esto es justo lo que Cocoon quiere cambiar. Lanzado el pasado Día de Acción de Gracias, durante su primera semana acumuló más de 10.000 usuarios de 163 países, afirma Monga. Todo lo que se publica se queda dentro del grupo. La aplicación tiene su propio mundo en pequeño: se introduce la pantalla de inicio, que saluda a los usuarios con actualizaciones desde la última vez que iniciaron sesión; las posibilidades de mensajería incluyen distintos temas para ayudar a mantener las conversaciones de grupo. Las fotos, vídeos y enlaces se comparten en una «caja fuerte» a la que todos los miembros pueden acceder.

Cornell detalla: «No calculamos el tiempo que se pasa con la aplicación, que es un objetivo bastante común para optimizarla porque es algo que no nos importa. Lo importante es poder entrar y querer conectarse de esta manera. Quiero que [los usuarios] tengan una sensación cálida y relajada, frente a la ansiedad paralizante de iniciar sesión en Twitter».

El desarrollador de software de Washington (EE. UU.) Conor Muirhead descubrió Cocoon a través de una conversación en su lugar de trabajo, y despertó su interés. Se opone moralmente al uso de productos de Facebook debido a sus prácticas con los datos (aunque usa WhatsApp a regañadientes para mantenerse en contacto con su familia, que incluye a su padre Jim, que vive en Canadá). Su esposa y él adoptaron recientemente a una niña y querían un lugar seguro para compartir fotos de ella con la familia. Muirhead recuerda: «No compartiríamos fotos ni vídeos [de otra manera. Queremos que nuestra familia vea las cosas bonitas que hace».

Dudaba en descargar otra aplicación más, pero estaba intrigado por la promesa de Cocoon de que no vendería su información privada a un tercero. Aunque de momento es gratis, Monga y Cornell afirman que con el tiempo tienen la intención de rentabilizar la aplicación a través de suscripciones, pero no de anuncios. Muirhead añade: «Su idea de crear un lugar privado, protegido y seguro parecía convincente».

Esa privacidad es lo que Jasmine y Joan necesitaban. Ahora, Jasmine puede compartir su ubicación en la ciudad en lugar de sus coordenadas GPS. La joven afirma: «Creo que [el hecho de no compartir la ubicación exacta] nos acerca más. Crea más igualdad».

La profesora asociada de cultura y medios en la New School y autora de The End of Forgetting: Growing Up With Social Media, Kate Eichhorn, tiene un nombre para esta segunda ola de redes sociales posteriores a Facebook: microrredes. En su opinión, es natural que los errores a la hora de tratar los datos de la última década hayan generado un deseo de tener redes más pequeñas y mejor definidas. De hecho, los jóvenes ya crean sus propias versiones a través de aplicaciones actuales de las redes sociales. La experta continúa: «Los preadolescentes y adolescentes son muy conscientes de la gestión de la reputación. Ya están creando microcomunidades en Facebook e Instagram. Están buscando otros lugares para hacerlo».

El éxito final de las aplicaciones como Cocoon dependerá de cómo reaccionen los usuarios ante la estructura comercial de suscripción. Eichhorn tiene interés en ver qué pasará, tras casi dos décadas de redes sociales gratuitas accesibles para cualquiera que esté dispuesto a entregar sus datos personales. La gente no está acostumbrada a pagar. La experta se pregunta: «¿Están las personas suficientemente preocupadas por la privacidad como para dejar de lado la idea de que estas plataformas deberían ser gratuitas? ¿Se suscribirán para recuperar su privacidad?»

La otra gran pregunta es: ¿funcionará? ¿Conseguirá una aplicación hacernos sentir más cerca de nuestra familia? Las dos familias con las que hablé para este artículo sentían que el tipo de contenido que publican en esta aplicación es más abierto y honesto que el que publican en Instagram o Facebook.

Jasmine se dio cuenta de que podía publicar una foto tomada rápidamente, incluso una que no se viera bien del todo, algo que jamás haría en Instagram. La joven detalla: «[En Instagram] hay normas», y reconoce que a veces usa «finsta» (una cuenta falsa de Instagram) para sus amigos más cercanos.

La psicóloga clínica y experta en amistad Miriam Kirmayer detalla: «La confianza fomenta la autenticidad. Es mucho más fácil compartir las partes menos organizadas de nuestras vidas cuando nos sentimos aceptados por lo que realmente somos y tenemos menos miedo a las opiniones y al rechazo».

Cocoon es una nueva aplicación y, de momento, su masa de usuarios es pequeña, lo que implica que todavía tiene algunos defectos. Los mensajes no siempre funcionan muy bien: el chat publica las fotos sobre el texto, algo que no gustó a la familia Muirhead durante la reciente emergencia médica del papá Jim. La familia se sintió tan frustrada y molesta por esa superposición que simplemente pasaron a WhatsApp.

Aun así, estas nuevas microrredes y el control que ofrecen podrían redefinir nuestra forma de pensar y usar las redes sociales en la próxima década, ya sea con Cocoon o con otra aplicación que la siga. Eichhorn concluye: «En el mundo de la tecnología, las personas se equivocan y se queman rápidamente, pero la idea de estas microcomunidades controladas es algo que persistirá«.

Fuente: www.technologyreview.es

Hace unos meses que supimos de la iniciativa Arctic Code Vault, parte del GitHub Archive Program cuya intención es la de preservar para las futuras generaciones todo el software de código abierto que se almacena en sus servidores. Pues bien, la «copia de seguridad ártica» ha comenzado.

En resumen, GitHub almacenará sus repositorios públicos en una bóveda ártica con el objetivo de «preservar todo el software de código abierto para generaciones futuras». Y se trata de un objetivo a muy largo plazo, pues debe asegurar el código almacenado durante los próximos mil años nada menos.

El anuncio se dio durante la última conferencia para desarrolladores que celebró la plataforma a finales del año pasado, y se hizo bajo la premisa de que existen factores para pensar en el «fin del mundo» puede llegar a darse cuando uno menos se lo espera, por lo que la compañía parte de Microsoft quiere guardar el software con toda la seguridad posible.

Para esta iniciativa GitHub se ha asociado con Long Now Foundation, Internet Archive, Software Heritage Foundation, Arctic World Archive, Microsoft Research, Bodleian Library y Stanford Libraries. El programa contempla el almacenaje de datos de manera continuada en varios formatos y ubicaciones entre los que destaca el Arctic World Archive, una bóveda a 250 metros dentro de la misma montaña de Noruega que se utiliza para el banco mundial de semillas.

Los datos se almacenarán en bobinas de película recubiertas con polvo de óxido de hierro cuya duración se estima en mil años, de manera que llegado el caso puedan ser leídas por una computadora o, de producirse un corte de energía global, hasta por los humanos.

Entre los primeros depósitos se encuentran el código fuente de los sistemas operativos Linux y Android, así como una variedad de lenguajes de programación, plataformas web, criptomonedas y herramientas de inteligencia artificial. GitHub planea tener todos los repositorios públicos activos almacenados este mismo febrero.

Los datos se ubicarán junto a archivos de todo el mundo preservados digitalmente, incluyendo obras de arte, música, avances científicos, manuscritos históricos o hallazgos arqueológicos. Si se produce algún tipo de evento apocalíptico, todos estos datos podrían utilizarse para ayudar a reconstruir una sociedad global. De lo contrario, al menos actuará como una valiosa cápsula del tiempo.

«Es fácil imaginar un futuro en el que el software de hoy se vea como una irrelevancia pintoresca y olvidada hace mucho tiempo, hasta que surja una necesidad inesperada. Al igual que cualquier copia de seguridad, el programa GitHub Archive está destinado a cubrir futuros imprevistos», explican.

Fuente: www.muylinux.com

Ha costado, pero Thunderbird ha encontrado finalmente un nuevo hogar en el que seguir creciendo más allá de Mozilla… aunque no mucho más allá.

Según cuentan en el blog oficial del proyecto, Thunderbird pasa a estar bajo el amparo de MZLA Technologies Corporation, una nueva subsidiaria de Mozilla Foundation que «no solo permitirá que el proyecto Thunderbird tenga más flexibilidad y agilidad, sino que también nos permitirá explorar ofrecer a nuestros usuarios productos y servicios que no eran posibles», explican.

En concreto, desligarse de Mozilla Foundation permitirá a Thunderbird buscar ingresos en organizaciones no benéficas con los que cubrir los gastos que se deriven de los nuevos productos y servicios que podrían poner en marcha, aunque no especifican más a este respecto. Sí mencionan que a partir de ahora podrán «contratar más fácilmente, actuar con mayor rapidez y buscar ideas que antes no eran posibles».

Terminan el anuncio emplazando a los interesados para más adelante. En los próximos meses desvelarán más datos acerca de «la futura dirección de Thunderbird», aunque aseguran que los pilares del proyecto no se van a tocar y Thunderbird seguirá siendo lo que es: un cliente de correo electrónico de código abierto respetuoso con la privacidad del usuario.

Retomando la historia desde el principio, fue en 2015 cuando se dio a conocer la intención de Mozilla de deshacerse de Thunderbird, un proyecto al que consideraban un lastre y al que no querían desviar más recursos, por pocos que fueran, con el objetivo de centrarse por completo en Firefox (que luego se gastaran un dineral sin determinar en iniciativas tan dudosas como Firefox OS o comprando Pocket… es otro cantar).

Así, la continuidad de Thunderbird tuvo momento delicados, como reconoce en el anuncio de hoy el responsable del proyecto, pero su desaparición eran palabras mayores por la importancia que tiene y a pesar de que la búsqueda de un nuevo hogar era indispensable y de que Mozilla dio un ultimátum, no llegó la sangre al río por la presión de la comunidad.

Lo que sí sucedió es que de Mozilla Corporation Thunderbird pasó a estar bajo Mozilla Foundation, con las limitaciones que ello conlleva en materia de financiación. Pero también sirvió al proyecto para reorganizarse y así llegamos hasta el anuncio que nos ocupa, que en definitiva es positivo para el progreso de Thunderbird.

Falta por ver en qué consisten eso nuevos productos y servicios que mencionan, pero como hacer cábalas es tan sencillo como arriesgado, habrá que esperar a que lo vayan desvelando.

Fuente: www.muylinux.com

Canonical ha anunciado el lanzamiento de Anbox Cloud, un nuevo servicio enfocado en la distribución de aplicaciones de Android con un concepto nada innovador, pero con un potencial tremendo que, eso sí, habrá que ver hasta dónde lo lleva la desarrolladora de Ubuntu. Por el momento, lo han presentado y lo tienen listo para que las compañías de telecomunicaciones -a las que han dado prioridad- que lo deseen comiencen sus pruebas.

Pero, ¿qué es Anbox Cloud? Quizás conozcas Anbox (Android in a Box), un proyecto que permite «ejecutar aplicaciones de Android en cualquier sistema operativo GNU/Linux». Pues bien, esto es parecido, pero para la nube. En esencia, Anbox Cloud es una plataforma de distribución de aplicaciones de Android que cuenta con toda la potencia de la computación en la nube, esto es, recursos escalables bajo demanda y algo muy importante: independencia del proveedor.

La idea detrás de Anbox Cloud es la siguiente: Android se ha estandarizado a tal punto que muchas de las organizaciones que lo utilizan desearían poder hacer más cosas con él. Cosas tales como ejecutar aplicaciones de alta demanda o juegos, pero se enfrentan a un límite insuperable: la capacidad técnica del dispositivo. Por lo tanto, la propuesta de Anbox Cloud es mandar el contenido al dispositivo, pero que sea la nube la que se encargue de soportar la potencia de computación necesaria.

Como digo, el concepto no es novedoso, y de hecho en Canonical lo simplifican con ejemplos que cualquiera podrá entender: Netflix, Spotify, Youtube… Cuando los usas, simplemente le das al play y el contenido se reproduce; tu dispositivo solo carga la interfaz, el vídeo o la pista de audio y poco más, mientras que los servidores del servicio hacen el trabajo duro: recursos, bases de datos, etc. Aunque hay un ejemplo más claro todavía y muy en boga: Google Stadia. En este caso serían aplicaciones como contenido.

Así pues, esas aplicaciones de alta demanda o juegos que a día de hoy no tienen cabida en Android no por falta de público, sino por limitación del dispositivo, están ahora al alcance con Anbox Cloud. Por supuesto, en Canonical cuentan con las mejoras en las líneas de datos y se apoyarán tanto en 4G y LTE como en 5G, puesto que este será -como sucede con Google Stadia- el cuello de botella que termine marcando la diferencia.

Canonical ha construido Anbox Cloud sobre la capa de compatibilidad con Android que proporciona Anbox, la ejecución de aplicaciones se realiza a través de contenedores LXD, MAAS (Metal as a Service) para el aprovisionamiento de infraestructura remota y Juju para facilitar la implementación y administración de la plataforma, optimizada para arquitecturas x86 y ARM y disponible para su despliegue en nubes públicas y privadas.

En cuanto a la independencia de proveedor, dado que Anbox Cloud funciona a modo de servicio independiente, significa que «permite a los operadores móviles ser dueños de su¿esto propio canal de distribución de marca para las aplicaciones, rompiendo así el duopolio Google-Apple de las tiendas de aplicaciones centralizadas», explican. A los fabricantes de dispositivos ni los mencionan porque Google se pone seria; por eso animan a las telecos a ser la primeras en probarlo.

La cuestión es, ¿le saldrá bien la jugada a Canonical? Ubuntu es el Linux líder en la nube, pero esta es una jugada distinta. También cabe preguntarse, ¿se reducirá esto a Android? Porque, no lo olvidemos, el propósito inicial de Anbox es el de traer las aplicaciones de Android a Linux. A GNU/Linux.

Fuente: www.muylinux.com

El CERT de Japón publicó EmoCheck, una herramienta dirigida a usuarios de Windows que permite corroborar si tu equipo está infectado con el troyano Emotet.

El Equipo de Respuesta ante Emergencias Informáticas (CERT) de Japón publicó EmoCheck, una herramienta para usuarios de Windows que permite identificar si el equipo fue infectado con el troyano Emotet.

El lanzamiento de la herramienta surge pocas semanas después de que distintas entidades reportaran un reciente incremento en la actividad de Emotet y de conocerse una campaña de spam dirigida a usuarios de Japón distribuyendo este popular troyano en la que, según explica BleepingComputer, utilizaban técnicas de ingeniería social para asustar a las potenciales víctimas y que descarguen un adjunto malicioso que simulaba ser una notificación oficial relacionado al coronavirus. Supuestamente, en el documento adjunto se daban detalles sobre medidas preventivas para evitar la infección de este virus que está causando tanto pánico a nivel global.

Sobre Emotet

Emotet es un conocido troyano bancario de arquitectura modular, conocido por sus técnicas de persistencia y de autopropagación que generalmente es utilizado como un downloader o dropper de otro malware. Fue descubierto por primera vez en 2014 y desde entonces ha evolucionado hasta convertirse en un malware utilizado para desplegar diferentes payloads.

En América Latina la presencia de Emotet data de al menos 2015. Entre 2018 y 2019 su presencia en la región ha sido importante, centrándose principalmente en países como México, Argentina, Ecuador y Colombia, aunque también se ha detectado su presencia en varios otros países. Según datos de ESET, en los meses de noviembre y diciembre de 2019 se detectaron cada uno de los meses más de 27.000 muestras de diferentes variantes de Emotet, lo que demuestra la magnitud de esta amenaza.

Sus campañas suelen utilizar el correo electrónico como vector de ataque e incluir adjuntos maliciosos suplantando la identidad de una marca conocida (o incluso fechas como BlackFriday) para hacer caer a la víctima en el engaño.

EmoCheck, una herramienta del CERT de Japón

Aquellos usuarios de Windows interesados en probar la herramienta para verificar si han sido infectados con Emotet pueden descargar EmoCheck desde el repositorio de GitHub del CERT de Japón.

Una vez descargada y ejecutada la herramienta, la misma escaneará el equipo en busca del troyano y, en caso de encontrarlo en el equipo, informará al usuario el ID del proceso bajo el que está corriendo y la ubicación del archivo malicioso. En caso de estar infectado el usuario deberá inmediatamente abrir el administrador de tareas terminar el proceso.

Es importante mencionar que esto no suple la importancia y necesidad de contar con una solución de seguridad confiable en el equipo. En primer lugar, porque en caso de tener una solución instalada es probable que la amenaza sea detectada antes de infectar el equipo, pero también porque dado que este troyano es utilizado para distribuir otras amenazas que la herramienta EmoCheck no identificará, en caso de haber detectado la presencia de Emotet será importante correr la solución de seguridad en busca de otras amenazas en el equipo.

Fuente: www.welivesecurity.com

Google ha publicado como Open Source un proyecto con la intención de ayudar a los vendedores de hardware a crear sus propias “llaves de seguridad” y contribuir al impulso de la mencionada tecnología.

El proyecto, que es una iniciativa llamada OpenSK, se compone de un firmware construido con Rust que permite convertir chips de Nordic en dispositivos que cumplen con los estándares de claves de seguridad FIDO U2F y FIDO2 (Fast Identity Online). Pero no solo el chip y el firmware cubre OpenSK, sino que también se ha publicado una carcasa protectora que se puede imprimir en 3D, por lo que los dispositivos resultantes se ven y pueden ser usados como llaves estándares.

Google ha explicado en su blog corporativo que espera en el futuro expandir la iniciativa a más fabricantes de chips, aunque ha empezado por los de Nordic debido a que son asequibles desde el punto de vista económico y soportan los criterios estipulados para los estándares de FIDO2, NFC y Bluetooth Low Energy. Poniendo esos recursos a disposición de todos, Google espera ayudar a impulsar y expandir este tipo de tecnologías haciéndolas más accesibles para los fabricantes, ya que hasta el momento solo Google y Yubikey han creado llaves compatibles con FIDO a través de hardware y software privativo.

Profundizando en los detalles técnicos, OpenSK está escrito en Rust y se ejecuta en TockOS para ofrecer un mejor aislamiento y abstracciones del sistema operativo más limpias con el fin de reforzar la seguridad. La fuerte seguridad ofrecida por Rust a nivel de memoria y las abstracciones de coste cero hacen que el código sea menos vulnerable a los ataques lógicos. Por su parte, TockOS, con su arquitectura aislada (sandbox), ofrece un aislamiento entre el applet de la llave de seguridad, los drivers y el kernel para construir una defensa en profundidad.

Sin embargo, y a pesar de las buenas intenciones de la iniciativa, de momento sería prudente cogerla con con pinzas, ya que Google ha anunciado el lanzamiento inicial de OpenSK como “un proyecto experimental de investigación para ser usado para propósitos de pruebas e investigación”, así que igualmente puede terminar naufragando antes de cumplir con su propósito.

Fuente: www.muylinux.com

Microsoft lanzó el martes el parche que repara una vulnerabilidad crítica que afecta a Windows 10, Windows Server 2016 y Windows Server 2019. Dos días después ya se publicaron pruebas de concepto que explotan el fallo. Se recomienda actualizar cuanto antes.

Microsoft lanzó parche el pasado martes que reparar una vulnerabilidad severa reportada por la NSA. El parche fue incluido en el paquete de actualizaciones popularmente conocido como Patch Tuesday que todos los meses lanza la compañía el segundo martes de cada mes cada mes.

Se trata de una vulnerabilidad del tipo spoofing que afecta a Microsoft CryptoAPI, un componente incluido en el sistema operativo. Según la descripción del fallo (CVE-2020-0601), “existe una vulnerabilidad de spoofing en la forma en que Windows CryptoAPI (Crypt32.dll) valida los Certificados de Criptografía de Curva Elíptica (ECC, por sus siglas en inglés)”, explicó Microsoft.

En este sentido, “un atacante podría explotar la vulnerabilidad mediante el uso de un falso código de certificado de firma para firmar un ejecutable malicioso y hacer que parezca que el archivo proviene de una fuente confiable y legítima”. Por lo tanto, “en caso de lograr explotar el error de manera exitosa un atacante podría llevar adelante un ataque de Man In The Middle y lograr de esta manera descifrar información confidencial”, explica la compañía.

Este fallo descubierto por la Agencia Nacional de Seguridad de los Estados Unidos, más conocida como la NSA, fue reportado de manera conjunta entre la NSA y Microsoft y está presente en Windows 10, Windows Server 2016 y en Windows Server 2019.

En un comunicado publicado por la NSA, el organismo explica que este grave fallo pone en riesgo a los equipos que utilicen Windows a un amplio rango de vectores de explotación, por lo que es importante que instalen el parche que lanzó Microsoft lo antes posible para mitigar el error ante la posibilidad de que cibercriminales creen herramientas que exploten remotamente el mismo.

Si bien hasta el momento no hay conocimiento de la presencia de ningún exploit que se esté utilizando de manera activa para aprovecharse del error, recientemente se conoció la existencia de al menos dos pruebas de concepto (PoC) que explotan la vulnerabilidad que algunos sectores de la industria han comenzado a denominar como CurveBall o NSACrypt. Asimismo, al menos dos de estas PoC están disponibles de manera públicas.

Además, según publicaron especialistas en Twitter, se detectó que ya hay quienes están experimentando formas de explotar esta vulnerabilidad.

people start playing with CVE-2020-0601 https://t.co/MkAJeHLm92 https://t.co/cvzSUPYnIohttps://t.co/3ctcrxvghI pic.twitter.com/FzOvmhZ4uz

— Bernardo Quintero (@bquintero) January 16, 2020

Por otra parte, investigadores chinos revelaron hoy que realizaron pruebas exitosas con un ransomware y lograron explotar el fallo y pasar el proceso de verificación de certificados.

Instalar el parche cuanto antes

Estos últimos hechos dan cuenta de la importancia de instalar esta actualización lo antes posible para evitar riesgos, no solo por la criticidad de la vulnerabilidad, sino por al alta probabilidad de que en un futuro no muy lejano comiencen a detectarse ataques intentando explotarla.

El último paquete de actualizaciones que lanzó Microsoft para Windows reparó un total de 49 vulnerabilidades presentes en el sistema operativo, entre ellas, la CVE-2020-0601.  Si bien Windows envía automáticamente los parches con las actualizaciones, en caso de que no hayas instalado el parche podrás encontrar la actualización a este fallo aquí especificado para cada versión de Windows.

Fuente: www.welivesecurity.com