Category Noticias

El uso de la biometría se está convirtiendo en una de las alternativas para mantener nuestros datos seguros.

En 2017, Sarah*, una actriz que vive en Londres, fue víctima del delito de robo de identidad.

«Llegué a casa un día y me encontré con una sorpresa en el buzón», recuerda.

«Había allí dos tarjetas de crédito nuevas que no había pedido y una carta de un banco denegándome otra, que tampoco solicité».

Tuvo que gastar US$200 en servicios de verificación de crédito para tratar de averiguar dónde se habían originado las peticiones que ella no había hecho.

«Y eso es mucho dinero y tiempo».

El robo de identidad es constante en Europa, así como en otras regiones del mundo.

En Reino Unido, el Sistema de la Industria del Crédito para Evitar el Fraude (CIFAS, por sus siglas en inglés), una entidad sin ánimo de lucro con representación del sector público y privado, registró 190.000 casos tan solo el año pasado.

Y que nuestras vidas sean cada vez más digitales es campo fértil para los que se dedican a robar información personal.

Pero entonces ¿cómo podemos mantener segura nuestra identidad digital?

Nuestra primera línea de defensa es muchas veces una contraseña.

Sin embargo, no siempre es la mejor opción.

En abril de este año, Facebook admitió que millones de contraseñas de las cuentas de usuarios de Instagram estaban almacenadas en sus sistemas en un formato de lectura que era vulnerable a ataques.

Microsoft se está moviendo hacia productos sin contraseña.

También hubo un robo digital de grandes proporciones. El año pasado el portal de internet Quora fue hackeado, comprometiendo los nombres y los correos electrónicos de 100 millones de usuarios.

Recientemente, Yahoo! saldó con un acuerdo de $117,5 millones dólares una demanda colectiva por el hackeo masivo que afectó a unos 3.000 millones de usuarios entre 2012 y 2016. Los piratas informáticos se hicieron con correos electrónicos y contraseñas.

Tampoco sorprendió que Microsoft anunciara el año pasado que la compañía está planeando «matar» la contraseña y comenzar a utilizar datos biométricos o una clave especial de seguridad para que se acceda a sus cuentas.

La consultora en tecnologías de la investigación Gartner predice que, para el 2022, el 60% de las grandes marcas e incluso medianas empresas reducirá a la mitad su dependencia para con las contraseñas como método de acceso para sus usuarios.

«Las contraseñas son lo primero por lo que empiezan los hackers», le dijo a la BBC Jason Tooley, director de Veridium, una empresa dedicada a prestar servicios de autentificación biométrica.

«La gente tiende a utilizar contraseñas que son fáciles de recordar y por eso sus sistemas quedan comprometidos», agregó.

El sistema verificación por contraseña es considerado por algunos analistas como obsoleto.

Dejar ese sistema a un lado no solo es un paso en la mejora de la seguridad, también ahorra tiempo a los departamentos de soporte técnico, que dedican horas y horas a restablecer claves olvidadas.

«El costo asociado al uso de contraseñas es de hasta US$200 por empleado, sin incluir la pérdida de productividad», explicó Tooley.

«Para una organización grande, de más de 1.000 empleados, eso es un costo enorme», añadió.

«Nuevos riesgos»

Philip Black es el director comercial de Post-Quantum, una compañía que diseña poderosos sistemas de encriptación para proteger la información.

Está de acuerdo con que las claves y las contraseñas son hoy por hoy el punto débil de la vida digital.

«Hay que crear y usar tantas claves que se vuelve algo inmanejable, así que la gente termina utilizando el mismo código para todo y eso es lo que crea la vulnerabilidad», dijo Black.

Una nueva serie de reglas de la Unión Europea fue diseñada para lidiar con el problema.

La Segunda Directiva de Servicios de Pago (PSD2) les exige a los negocios usar al menos dos vías para autentificar la identidad de un usuario.

Puede ser mediante algo que el cliente tenga en su poder (como una tarjeta del banco), algo que solo él sabe (como un PIN) o una característica propia, entre las que se incluyen los datos biométricos.

Varias empresas de seguridad dicen que una combinación métodos de autentificación reemplazará las contraseñas.

Aunque los tokens, las contraseñas y los códigos enviados por mensaje de texto dominaron hasta ahora este tipo de validaciones, el interés en la biométrica está aumentado.

De acuerdo a la encuesta sobre fraude bancario de la consultora KPMG, en 2019 el 67% de los bancos está invirtiendo en medidas biométricas como huellas digitales, patrones de voz y reconocimiento facial.

La biometría ofrece una mejor experiencia al consumidor, pero no ha tenido el desarrollo esperado debido a que necesita de equipos especializados.

Con los últimos modelos de teléfonos móviles, muchas personas ya tienen el hardware necesario en sus bolsillos.

Una investigación hecha en Reino Unido, por ejemplo, señaló que una quinta parte de los residentes del país tiene un celular que puede escanear huellas digitales. Y ese número está creciendo de manera acelerada.

Pero incluso en eso, los datos son vulnerables.

En septiembre, investigadores chinos demostraron en una conferencia en Shanghái que era posible obtener las huellas digitales de alguien con una fotografía tomada a larga distancia.

Ahora, si es difícil recomponer una contraseña, tratemos de cambiar nuestra huella digital.

Las huellas digitales se han convertido en una opción de protección de datos.

Para aumentar la seguridad, la compañías están confiando en la autenticación multifactor (MFA), que busca identificar a los usuarios usando todas las formas posibles.

Esto incluye no solo el PIN y escaneo de huellas digitales, sino también la ubicación, el historial de compras, sus patrones de movimientoy la identidad telefónica. Hasta la manera en la que agarran el teléfono móvil.

Entonces ¿la biometría va a reemplazar las contraseñas?

«No, una combinación de factores va a reemplazar las contraseñas. Estamos y deberíamos avanzar hacia esto», dice Ali Niknam, director ejecutivo de Bunq, un servicio de banca móvil.

Sin embargo, existe el riesgo de que la autenticación multifactor, aunque segura, haga que el proceso sea aún más complicado.

Si no sabe qué es lo se está usando para verificar su identidad en internet, ¿cómo va un usuario a proteger esa información?

«Ahora cuido que mi fecha de nacimiento o mi dirección no esté en ningún lado», cuenta Sarah.

«Tengo 33 años, soy relativamente joven y estoy familiarizada con la tecnología, pero no estoy segura de saber cómo ser más cuidadosa«, reconoce.

Fuente: www.bbc.com

En este primer artículo de la serie sobre educación en seguridad informática que publicaremos como parte de la celebración del Antimalware Day 2019, proponemos varias ideas para llevar la educación en ciberseguridad al interior de una empresa que pueden implementarse de manera aislada o de manera complementaria.

Teniendo en cuenta que el error humano es el principal responsable de la mayoría de los incidentes de seguridad que ocurren en el ámbito de una empresa u organización, puede resultar muy beneficioso que las personas que forman parte de los equipos de trabajo cuenten con instancias que les permitan desarrollar las habilidades necesarias para saber lidiar con estas amenazas.

#1. Establecer un correo de consulta

Crear una cuenta de correo para el envío de consultas relacionadas a temas o casos de seguridad es una buena iniciativa. A través de este correo de consulta se pueden reenviar correos de apariencia sospechosa para su revisión, estableciendo una instancia más que positiva para que los empleados aprender a reconocer correos fraudulentos. Además, en el caso de los correos de phishing, por ejemplo, este material puede ser utilizado para realizar capacitaciones a partir de casos reales.

Por otra parte, contar con un correo de consulta puede ser de utilidad para incentivar a que los trabajadores que no se animan a realizar preguntas tengan una instancia privada para plantear sus interrogantes.

#2. Reporte de alertas tempranas

Ante casos de campañas de spam maliciosas que llegan a través del correo, establecer una dinámica de alertas tempranas permite informar al resto de la empresa que está circulando una campaña maliciosa y analizar sus características. Además de reducir el riesgo de que algún desprevenido caiga en el engaño, por más que la campaña en concreto no tenga ningún elemento novedoso, sirve para reforzar conceptos y recordar cuáles son las técnicas comunes utilizadas por los cibercriminales.

#3. Charlas y/o capacitaciones

Las charlas como instrumento de capacitación pueden ser una gran herramienta. Las mismas pueden ser dictadas por especialistas de la propia empresa o por profesionales invitados. A partir de lo que pueden ser consultas frecuentes o la elaboración de un calendario de temas como parte de un programa de capacitación, la empresa puede preparar charlas educativas sobre diversos temas que hacen a la seguridad.

Dado que en una empresa conviven profesionales de distintas áreas, en algunos casos es recomendable segmentar el público y realizar dos charlas por separado, más dirigidas y que contemplen los intereses y capacidades de cada grupo. Unas más técnicas para aquellos que tengan conocimientos suficientes y otras menos técnicas que contemplen las limitaciones de los destinatarios.

También es recomendable hacer uso de imágenes, videos y todo tipo de material visual que haga más atractiva y memorable la capacitación, ya que de esta manera será más efectiva la comunicación de lo que se quiere enseñar.

#4. Dinámicas o concursos

Una manera divertida de introducir la capacitación en seguridad en el ámbito empresarial es a través de dinámicas o concursos para que participen los empleados. Por ejemplo, a partir de lo que se aprendió en una charla o capacitación se puede elaborar un concurso de preguntas y respuestas que premie a los ganadores. Además de ser algo entretenido, es una manera de saber a través de los resultados el grado de conocimiento o desconocimiento sobre temas que para la empresa son importantes.

Otra alternativa es contratar un servicio de pruebas de ingeniería social, las cuales permiten evaluar el grado de conocimiento que tienen los profesionales que trabajan en el interior de una empresa y aportan información de valor que puede ser utilizada para determinar aspectos que deben ser tratados con más profundidad en una capacitación.

#5. Guía de buenas prácticas en seguridad

Elaborar una guía de buenas prácticas que sirva como referencia de procedimientos recomendables para conservar un entorno seguro y de esta manera minimizar los riesgos. Esta guía servirá de orientación para comprender las problemáticas más comunes y establecerá prácticas saludables para el manejo y la gestión de información en las empresas. Las mismas pueden incluir, por ejemplo, información acerca de cómo configurar tus dispositivos de manera segura, cómo cifrar la información, cómo configurar el doble factor de autenticación en los servicios principales, etc.

Asimismo, es importante que estas guías sean fáciles de leer y tengan solo la información necesaria. Las mismas pueden estar en el escritorio de cada empleado para su fácil consulta.

Por último, una recomendación para que ayuda a la retención de ideas y/o conceptos es jugar con los lugares inesperados para dejar mensajes; como pueden ser el baño, en la cocina o el ascensor. El hecho de encontrar un mensaje en un lugar que no esperamos tiene un impacto mayor que si lo encontramos en los lugares comunes.

Fuente: www.welivesecurity.com

Un experto en inteligencia artificial dice que incluso robots bien intencionados podrían volverse contra nosotros.

Desde Stephen Hawking hasta Elon Musk, algunas de las mentes más importantes del mundo de la inteligencia artificial (IA) han expresado su preocupación de que esta represente una amenaza existencial para nuestra especie.

Pero según un nuevo libro, lo que debe preocuparnos no es que los robots tomen conciencia de sí mismos y se alcen contra sus amos humanos, sino que las máquinas se vuelvan tan buenas en la consecución de los objetivos que les fijamos, que terminemos siendo aniquilados inadvertidamente al establecerles tareas equivocadas.

Stuart Russell, profesor en la Universidad de California en Berkeley, es el autor de Human Compatible: AI and the Problem of Control («Compatible con humanos: la IA y el problema del control») y un experto en los avances que el aprendizaje automático ha hecho posibles.

«El meme de Hollywood siempre consiste en la máquina que espontáneamente toma conciencia de sí misma y luego decide que odia a los seres humanos y quiere matarnos a todos», dijo a la BBC.

Pero los robots no tienen sentimientos humanos, por lo que «es completamente equivocado preocuparse por eso».

Los robots son cada vez mejores en las tareas que les asignamos.

«No es realmente la conciencia maligna, sino su capacidad la que tiene que preocuparnos, solo su capacidad de alcanzar un objetivo mal especificado por nosotros».

«Demasiado competente»

En una entrevista con el programa Today de la BBC, el experto dio un ejemplo hipotético de la amenaza real que, en su opinión, la IA podría representar.

Imagina que tenemos un poderoso sistema de IA que es capaz de controlar el clima del planeta y que queremos usarlo para devolver los niveles de CO2 en nuestra atmósfera a la época preindustrial.

«El sistema descubre que la forma más fácil de hacerlo es deshacerse de todos los seres humanos, porque ellos son los que están produciendo todo este dióxido de carbono en primer lugar», dijo Russell.

«Y podrías decir, bueno, puedes hacer lo que quieras, pero no puedes deshacerte de los seres humanos. Entonces ¿qué hace el sistema? Simplemente nos convence de tener menos hijos hasta que no queden seres humanos».

La victoria del equipo de ajedrez Deep Blue sobre Garry Kasparov fue un hito para el desarrollo de la inteligencia artificial.

El ejemplo sirve para resaltar los riesgos asociados a que la inteligencia artificial actúe bajo instrucciones en las que los humanos no hemos pensado.

Superinteligencia

La mayoría de los sistemas actuales de IA tienen aplicaciones «débiles», diseñadas específicamente para abordar un problema bien especificado en un área, según el Centro para el Estudio del Riesgo Existencial, de la Universidad de Cambridge, en Reino Unido.

Un momento importante para este campo llegó en 1997, cuando la computadora Deep Blue derrotó al campeón mundial de ajedrez, Garry Kasparov, en un torneo de seis partidas.

Pero a pesar de la hazaña, Deep Blue fue diseñado por humanos específicamente para jugar al ajedrez y no podría con un simple juego de damas.

Ese no es el caso de los avances posteriores en inteligencia artificial. El software AlphaGo Zero, por ejemplo, alcanzó un nivel de rendimiento sobrehumano después de solo tres días de jugar Go contra sí mismo.

Usando el aprendizaje profundo, un método de aprendizaje automático que emplea redes neuronales artificiales, AlphaGo Zero requirió mucha menos programación humana y resultó ser un muy buen jugador de Go, ajedrez y shōgi.

Fue completamente autodidacta, de una manera, tal vez, alarmante.

Russell dice que los humanos necesitamos recuperar el control de la IA antes de que sea demasiado tarde.

«A medida que un sistema de inteligencia artificial se vuelva más poderoso y más general, podría volverse súper inteligente, superior al rendimiento humano en muchos o casi todos los dominios«, dice el Centro de Riesgo Existencial.

Y es por eso que, según Russell, los humanos necesitamos retomar el control.

«No sabemos lo que queremos»

Según Russell, dar a la inteligencia artificial objetivos más definidos no es la solución para este dilema, porque los humanos mismos no estamos seguros de cuáles son esas metas.

«No sabemos que algo no nos gusta hasta que sucede», dice.

«Deberíamos cambiar toda la base sobre la cual construimos sistemas de IA», dice, alejándose de la noción de dar a los robots objetivos fijos.

«En cambio, el sistema tiene que saber que desconoce cuál es el objetivo».

«Y una vez que tienes sistemas que funcionan de esa manera, realmente serán diferentes a los seres humanos. Comenzarán a pedir permiso antes de hacer las cosas, porque no estarán seguros de si eso es lo que quieres».

En «2001: Odisea en el espacio» (1968), una computadora altamente capaz se rebela contra los planes para apagarla.

En especial, dice el profesor Russell, estarían «felices de que los apaguen porque querrán evitar hacer cosas que no te vayan a gustar».

El genio de la lámpara

«La forma en que construimos la IA es un poco como la forma en que pensamos en un genio dentro de una lámpara. Si frotas la lámpara, sale el genio y dices: ‘Me gustaría que esto sucediera'», dijo Russell.

«Y, si el sistema de IA es lo suficientemente potente, hará exactamente lo que pides y obtendrás exactamente lo que pides».

«Ahora, el problema con los genios en las lámparas es que el tercer deseo es siempre: ‘Por favor, deshaga los dos primeros deseos porque no pudimos especificar los objetivos correctamente».

«Entonces, una máquina que persigue un objetivo que no es el correcto se convierte, en efecto, en un enemigo de la raza humana, un enemigo que es mucho más poderoso que nosotros».

Fuente: www.muylinux.com

Les adelantamos el lanzamiento en el PING, pero como advertimos, merecía la pena comentarlo con un poco de calma y a eso vamos. Y es que KeePassXC 2.5 llega tras más de medio año de desarrollo para confirmar una vez más algo que ya estaba claro: que es el gestor de contraseñas de código abierto más recomendable del panorama actualmente.

Parece difícil que haya quien no conozca a la familia de gestores de contraseña de código abierto KeePass, de la cual KeePassXC es uno de sus miembros más recientes a razón del nulo progreso de KeePassX, una versión en Qt cuyo lento desarrollo propició el nacimiento de un fork, KeePassXC, que ha resultado ser lo mejor que podía haber pasado.

Por si acaso, ya os recomendamos a KeePassXC como en nuevo tótem de las contraseñas en un artículo de repaso que os interesará leer, si aún no lo conocías, aunque lo cierto es que de un tiempo a esta parte está en todo lados, precisamente debido al la lentitud del desarrollo de sus alternativas. El último cambio significativo lo encontramos en Tails 4.0, que lo toma como opción por defecto.

En cuanto a las novedades de KeePassXC 2.5, ahí va una lista

• Nueva opción para crear una copia de seguridad de la base de datos impresa.
• Nuevo panel de estadísticas de la base de datos.
• Las vistas de entrada y desbloqueo han sido rediseñadas.
• Nueva opción para descargar los favicons de las entradas de una sola vez.
• Autocompletado automático del nombre de usuario en función de los nombres de usuario conocidos de otras entradas.
• Importación de archivos OpVault de 1Password.
• Soporte para las llaves de seguridad de código abierto OnlyKey.

En lo que se refiere al soporte de Linux, también hay novedades interesantes, como la mejora de la versión para la línea de comandos, incluyendo la posibilidad de verificar si las credenciales se han visto comprometidas haciendo uso de la base de datos de HIBP, pero sin necesidad de conectarse a esta; así como el soporte del estándar libsecret y, en principio, la compatibilidad con los clientes que hagan uso de esta tecnología.

Al contrario, el lanzamiento de KeePassXC 2.5 supone el fin del soporte para Ubuntu 14.04 LTS y las nueva AppImage se basan ahora en Ubuntu 16.04 LTS, con Qt 5.5 como requisito mínimo.

Y en cuanto a la descarga de KeePassX 2.5, en la página oficial se ofrecen diferentes vías para las principales distribuciones Linux, incluyendo las mencionadas AppImage, paquetes Snap, repositorios dedicados y más.

Fuente: www.muylinux.com

Linus Torvalds ya no se considera un programador. El creador de Linux y Git lo ha reconocido así en una charla con Dirk Hohndel, director de código abierto de VMware, en el marco de la Open Source Summit Europe que se celebra estos días en Lyon.

«Ya no sé nada de programar. La mayor parte del código que escribo está en mis correos electrónicos. Alguien me envía un parche… Y yo respondo con pseudocódigo. Estoy tan acostumbrado a editar parches que a veces los envío sin haberlos probado. Literalmente lo escribo por correo y digo: ‘Creo que así es como debe hacerse’, pero esto es lo que hago, no soy un programador«, comenta Torvalds según recogen en ZDnet.

«Entonces, ¿en qué consiste tu trabajo?«, le pregunta Hohndel. «Leo y escribo muchos correos electrónicos. Al final, mi trabajo es decir ‘no’. Alguien tiene que decir ‘no’. Porque los desarrolladores saben que si hacen algo a lo que yo le diré ‘no’, harán un mejor trabajo al escribir el código«, responde Torvalds. «A veces los cambios en el código son tan obvios que realmente no se requieren mensajes, pero eso es muy, muy raro», añade.

No obstante, le pone mucha dedicación a al labor que desempeña: «Creo que uno de mis objetivos principales es ser muy receptivo cuando la gente me envía parches. Quiero dar el sí o no en un día o dos. Durante una fusión, el día o dos pueden alargarse toda la semana, pero como mantenedor quiero estar encima todo el tiempo. Creo que esa es una de las cosas que quieres hacer al responder para que las personas que envían el código, ya sea como parches o como solicitudes, sientan que su trabajo es, tal vez no apreciado porque a veces no lo es, pero que al menos reciban respuesta«, explica.

Hohndel le recuerda entonces que su primera autobiografía se titulaba Just for Fun (Solo por diversión), algo que él mismo ha asegurado hasta no hace mucho, a lo que Torvalds responde: «En muchos aspectos, el desarrollo se ha vuelto mucho más fácil… Tenemos herramientas mucho mejores y tenemos una documentación mucho mejor, tenemos mucha más comunidad donde las personas sienten parte de sus trabajos es ayudar a nuevas personas a entrar«.

Pero también echa de menos los viejos tiempos: «Lo que quizás no sea divertido es que tenemos que tener muchas reglas establecidas. Era mucho más libre en el pasado y había más bromas y se podían intentar cosas. Hay mucha seriedad, pero la razón por la que lo sigo haciendo es que es lo correcto. Por lo tanto, puedo pasar la mayor parte de mi tiempo leyendo correos electrónicos, pero parte de la razón por la que lo hago es de lo contrario estaría realmente aburrido«.

Llega a admitir incluso algunas de las dudas que le han asaltado a lo largo del tiempo y cómo Git, más que Linux, llegó a hacerle sentir bien: «Todos tenemos dudas, ¿verdad? Todos pensamos »¿somos realmente buenos?’ Y una de las dudas que tenía con Linux se debía a que era solo una reimplementación de Unix. ¿Puedo ofrecer algo que no sea solo una mejor versión de otra cosa?«, se preguntaba. «Y Git me demostró que puedo hacerlo. Tener dos proyectos con tanto impacto significa que no soy un poni de un solo truco«.

Fuente: www.muylinux.com

Los ataques más llamativos y sofisticados probablemente no representen el tipo de amenaza que más debería preocupar a la mayoría de las empresas. A continuación explicamos a que sí debería prestarle atención su organización.

Cuando nos enteramos acerca de una nueva brecha, asumimos que los atacantes utilizaron un exploit nunca antes visto para aprovecharse de una vulnerabilidad zero-day y así lograr quebrar la defensa de una empresa. Sin embargo, este escenario está normalmente lejos de ser realidad en la mayoría de los casos. Si bien es cierto que los grupos de cibercriminales respaldados por los Estados-nación tienen una inclinación a hacer uso de vulnerabilidades zero-day para infiltrarse en los objetivos más importantes de una nación, esos objetivos no son usted; y probablemente tampoco lo sea su organización.

En la última edición de la conferencia Virus Bulletin que se llevó a cabo a principios de octubre de este año, al igual que en otros años, disfrutamos de muchas historias sobre ataques contra objetivos financieros de alto perfil. Pero al final, los actores maliciosos no lograron comprometer a estos objetivos con exploits aterradores, sino que lograron entrar a los sistemas con un correo de phishing o, tal como en el caso que narró un presentador de RiskIQ, utilizaron permisos abiertos en un popular recurso en la nube.

La realidad es que el punto débil de la industria de la seguridad está en que los cibercriminales eligen preferentemente el camino que oponga menor resistencia, el cual a menudo está dado por software de seguridad mal configurado, errores humanos u otros problemas de seguridad operacional. En otras palabras, no se trata de las técnicas sofisticadas utilizadas por un súper hacker, se trata de lo que hacemos nosotros.

Si creemos que estamos haciendo todo bien dentro de nuestra propia organización, esto incluso puede no ser suficiente. Si bien es posible que hayamos protegido completamente nuestra propia red, las personas con las que interactuamos pueden no estar tan protegidas. Podemos pensar que hemos rechazado con éxito el software de un tercero, que no utilizamos la nube para la colaboración, por lo que sentimos que estamos en terreno seguro. Sin embargo, terceras partes dentro de la cadena de suministro pueden estar utilizando servicios en la nube de una manera riesgosa. Y a veces, ni nosotros ni ellos saben que esta situación ha creado un riesgo significativo para ambos entornos.

Sin embargo, hay cosas que podemos hacer al respecto.

Los incidentes de seguridad de mayor magnitud que se dan en estos días, a menudo comienzan en una solución o servicio externo que utiliza. Si bien es posible que contemos con el mejor equipo de seguridad, tal vez estas terceras partes no lo tengan.

Si no estamos seguros, aquí hay algunas cosas obvias (o no tan obvias) que podemos consultar con nuestros equipos:

Permisos en la nube

Sin duda es conveniente para los equipos que comparten recursos en la nube, especialmente para compartir archivos, tener permisos totales sobre los archivos para poder añadir/cambiar/eliminar el acceso a cualquier persona. Pero esto también podría abrirnos problemas. En el caso de proyectos y equipos que se arman apresuradamente, muchas veces ocurre que los recursos “temporales” son arrojados a la nube sin considerar las mejores prácticas de seguridad. Esto a menudo lleva a que todos tengan permisos abiertos como forma de asegurarse de que todo “simplemente funcione”. Y estos recursos suelen sobrevivir por años, con el riesgo que supone el hecho de que haya información privada accesible de manera pública.

Plataformas de colaboración

¿Nuestros equipos o proveedores externos utilizan servicios de mensajería, foros o plataformas no seguras y/o no monitoreadas para discutir temas relacionados con el negocio? Si los delincuentes (o incluso los competidores) pueden acceder a las comunicaciones internas sobre nuestro negocio, esto podría causarnos grandes problemas. Como mínimo, estaríamos proporcionando recursos significativos a atacantes que buscan mediante ingeniería social ingresar a nuestra red.

Correo corporativo comprometido

¿Qué tan bien hemos bloqueado la capacidad de enviar correos electrónicos desde nuestro dominio? ¿Podría esa avalancha de phishing venir desde el interior de nuestra propia casa? Si no estamos cuidando bien la seguridad del correo electrónico, los atacantes podrían estar utilizando nuestro nombre para engañar a las personas y convencerlas para que hagan clic en enlaces maliciosos. Muy pocas compañías están utilizando estrategias de autenticación de correo electrónico como DMARC, DKIM o SPF para ayudar a verificar los mensajes válidos.

Puede ser tentador seguir buscando las nuevas amenazas que los atacantes están desarrollando, pero al final lo más importante pasa más por reparar las grietas simples que puedan existir dentro de nuestro propio edificio. A medida que la tecnología se vuelve más omnipresente, también introduce más complejidad. Al abordar a fondo estos problemas más simples, seremos capaces de dedicar menos energía a estresarnos por las sofisticadas técnicas que se utilizan contra blancos de alto valor y aprovecharla para hacer que las cosas sean realmente más seguras.

Fuente: www.welivesecurity.com

Jack Dorsey revelará los detalles de la nueva medida el próximo 15 de noviembre.

Durante años, Twitter ha luchado para intentar captar cada vez más anunciantes. Pese a ello, este miércoles, decidió voluntariamente prescindir de algunos de ellos.

A partir del próximo 22 de noviembre, la red social ya no difundirá más publicidad política en ninguna parte del mundo.

«Aunque la publicidad en internet es increíblemente poderosa y muy efectiva para los anunciantes comerciales, ese poder trae consigo riesgos significativos en la política», dijo en un tuit Jack Dorsey, cofundador y presidente de la empresa.

Los detalles de cómo funcionará la prohibición serán divulgados el próximo 15 de noviembre. Por lo pronto, se sabe que la medida no afectará aquellos anuncios destinados a estimular a los ciudadanos a inscribirse en el registro de electores.

Dorsey anunció la medida en un momento muy particular, cuando Estados Unidos está a punto de entrar de lleno en la campaña para las elecciones presidenciales de 2020 y cuando, de hecho, el Partido Demócrata se encuentra plenamente imbuido en el proceso para escoger al candidato que intentará arrebatarle la presidencia al republicano Donald Trump.

El tema de la publicidad política en redes sociales es muy polémico en Estados Unidos y Reino Unido desde que surgieron denuncias sobre los intentos de manipular a los votantes a través de la difusión de mensajes falsos en redes sociales tanto para la campaña presidencial de 2016 en la que fue electo Trump como en el referéndum británico sobre el Brexit.

Reacciones diversas

Brad Parscale, jefe de la campaña de reelección del mandatario estadounidense, criticó la decisión de Twitter señalando que se trata de «otro intento de la izquierda para silenciar a Trump y a los conservadores».

En un comunicado, el comando de campaña de Trump dijo que Twitter le había cerrado la puerta a centenares de millones de dólares en ingresos potenciales y señaló que se trata de una decisión «tonta» que perjudica a sus accionistas.

Pero Bill Russo, portavoz de la campaña de Joe Biden, quien lidera la intención de voto entre los precandidatos demócratas, dio la bienvenida a la medida.

«Al enfrentarse a la escogencia entre los dólares de la publicidad y la integridad de nuestra democracia, resulta estimulante que, por una vez, el dinero no haya ganado«, apuntó en un mensaje en Twitter.

¿Pero, cómo justifica Twitter esta decisión?

Ganarse a la audiencia

«Creemos que el alcance de los mensajes políticos debe ser algo que se gane, no que se compre«, dijo Dorsey en un hilo en Twitter en el que anunció la nueva medida.

«Un mensaje político se gana su alcance cuando la gente decide seguir una cuenta o hacer un retuit. Pagar para que se difunda elimina esa decisión, imponiendo sobre las personas mensajes políticos altamente optimizados y dirigidos. Creemos que esa decisión no debería ser puesta en riesgo por dinero», manifestó.

Dorsey explicó que en lo referente a la política, la publicidad en internet trae riesgos significativos pues puede usarse para influir a los votantes y afectar la vida de millones de personas.

«Los anuncios políticos en internet representan retos completamente nuevos para el debate ciudadano«, agregó, refiriéndose expresamente a la optimización de mensajes sobre la base del aprendizaje automático y dirigidos a un público muy específico, la divulgación de información engañosa sin verificar y a los deep fake.

El jefe de Twitter añadió que enfrentar esos problemas al mismo tiempo que reciben dinero de parte de esos anunciantes podía afectar la credibilidad de la red.

«No es creíble que nosotros digamos: ‘Estamos trabajando duro para detener a la gente que intenta sacar provecho de nuestros sistemas para difundir información falsa, pero si alguien nos paga para dirigir y forzar a la gente a ver su anuncio político…bueno…ellos pueden decir lo que quieran'», apuntó.

Detrás de la decisión de Twitter, también puede estar presente el tema de la competencia por credibilidad e influencia contra otras redes sociales.

Según explicó Jim Waterson, editor sobre temas de medios de comunicación del diario británico The Guardian, esta puede ser una jugada muy perspicaz.

«Twitter ha hecho algo muy astuto acá porque Twitter es un jugador pequeño en el mundo de la publicidad política», señaló en conversación con la BBC.

El director y fundador de Facebook, Mark Zuckerberg, argumenta que su compañía no debe coartar la libertad de expresión.

«Al hacer esto, ellos han puesto mucha presión en Facebook, que es su principal rival y una gran bestia en esta área, para que realmente aclare sus políticas», agregó.

Waterson señaló que en las próximas elecciones presidenciales en Estados Unidos, la mayor parte de la publicidad política irá a Facebook y destacó que esa compañía ha dicho que permitirá que cualquier candidato diga lo que quiera sin ser verificado ni limitado.

«Eso es realmente interesante porque quiere decir que es esencialmente un pase libre para que los políticos paguen para impulsar mentiras, verdades o lo que sea en tu feed durante las próximas elecciones», alertó.

Facebook se ha visto bajo intenso escrutinio desde el estallido del escándalo de Cambridge Analytica, una compañía británica que usando el acceso que tenía a los datos de los usuarios de esa red social logró construir el perfil de millones de votantes en Estados Unidos para intentar influenciar en las elecciones de 2016.

La semana pasada, Zuckerberg compareció ante el Congreso de Estados Unidos, donde fue duramente interpelado por la legisladora demócrata Alexandria Ocasio-Cortez.

«Usted anunció recientemente que la política oficial de Facebook ahora permite a los políticos pagar para difundir desinformación en las elecciones de 2020 y en el futuro. Así que solo quiero saber hasta dónde se puede llevar esto», le dio Ocasio.

Zuckerberg le respondió que la plataforma eliminaría los mensajes de cualquiera, incluidos los políticos, que llamaran a la violencia o trataron de contener la participación de los votantes.

Sin embargo, en cuanto a las noticias falsas, dijo que no era el papel de Facebook evitar que «las personas en una elección vean que has mentido».

Fuente: www.bbc.com

Google anunció que una computadora avanzada logró la «supremacía cuántica» por primera vez, superando el rendimiento de los dispositivos convencionales.

El procesador Sycamore realizó en 200 segundos una tarea que, según Google, tardaría 10.000 años en hacer con computadoras convencionales.

El gigante tecnológico aseguró que su procesador cuántico Sycamore fue capaz de realizar en 200 segundos una tarea específica que a las mejores supercomputadoras del mundo les llevaría 10.000 años completar, según Google.

Sin embargo, IBM, que ha estado trabajando en computadoras cuánticas propias, cuestionó algunas de las cifras dadas por Google.

Lo cierto es que los científicos han invertido esfuerzos en este campo durante décadas porque las computadoras cuánticas prometen velocidades mucho más rápidas.

En las computadoras clásicas, la unidad de información se denomina «bit» y puede tener un valor de 1 o 0. Pero su equivalente en un sistema cuántico, el cúbit (bit cuántico), puede ser 1 y 0 al mismo tiempo.

Este fenómeno abre la puerta para que se realicen múltiples cálculos simultáneamente. Pero los cúbits deben sincronizarse utilizando un efecto cuántico conocido como entrelazamiento, que Albert Einstein denominó «acción espeluznante a distancia».

Google ha estado trabajando en una computadora cuántica.

Sin embargo, los científicos han tenido dificultades para construir dispositivos efectivos con los cúbits suficientes para que puedan competir con las computadoras convencionales.

Sycamore contiene 54 cúbits, aunque uno de ellos no funcionó, por lo que el dispositivo utilizó 53 cúbits.

Cuestión de tiempo

Según un artículo publicado este miércoles en la revista Nature, John Martinis, de Google, y sus colegas le plantearon al procesador un problema de muestreo aleatorio, donde debía verificar un conjunto de números con una distribución verdaderamente aleatoria.

Sycamore pudo completar la tarea en 3 minutos y 20 segundos. Por el contrario, los investigadores afirman en su artículo que Summit, la mejor supercomputadora del mundo, tardaría 10.000 años en completar la tarea.

IBM asegura que la operación puede ser realizada en 2,5 días por computadoras convencionales.

Sin embargo, IBM puso en duda algunos de los resultados publicados por Google.

«Argumentamos que una simulación ideal de la misma tarea se puede realizar en un sistema clásico en 2,5 días y con mucha mayor fidelidad», dijeron los investigadores de IBM Edwin Pednault, John Gunnels y Jay Gambetta en un blog.

«Esta es, de hecho, una estimación conservadora para el peor de los casos, y esperamos que con mejoras adicionales el costo clásico de la simulación pueda reducirse aún más».

IBM también cuestionó la definición de Google de «supremacía cuántica» y dijo que podía llevar a confusión.

«Primero porque… por su definición más estricta, el objetivo no se cumplió. Pero más fundamentalmente, porque las computadoras cuánticas nunca reinarán ‘supremas’ sobre las computadoras clásicas, sino que trabajarán junto a ellas, ya que cada una tiene sus fortalezas únicas», concluyeron.

Fuente: www.bbc.com

En el 40% de los casos el incidente se produjo por hacer clic en enlaces que redirigían a sitios infectados, mientras que un 23% fue por abrir adjuntos infectados.

Hoy se celebra el “Día Mundial del Correo” por ser el aniversario de la Unión Postal Universal (UPU, por sus siglas en inglés), la agencia especializada de las Naciones Unidas establecida en 1874, en Suiza, que dio inicio a una revolución en las comunicaciones al introducir la posibilidad del envío de cartas a todo el mundo al regular el sistema de correspondencia internacional. Según Naciones Unidas, el propósito de conmemorar esta fecha es generar conciencia acerca de la importancia del servicio postal en la vida diaria de las personas y de los negocios, así como para el desarrollo de los países; un rol que hoy ocupa en mayor medida el correo en formato electrónico.

Tomando como punto de partida la importancia que ha tenido el correo para el desarrollo de los países y el rol clave que ocupa en esta misma línea el correo electrónico, realizamos una encuesta a nuestra comunidad de usuarios para saber cómo utilizan este servicio desde la perspectiva de la seguridad.

Un dato interesante que arrojó la encuesta es que el 53% de los usuarios dijo utilizar una cuenta de correo exclusivamente para suscribirse a sitios y servicios, lo cual resulta útil para evitar recibir spam en la cuenta de correo principal. Otra alternativa posible a esta estrategia para proteger tu dirección de correo es mediante el uso de direcciones de correo electrónico temporales.

Por otra parte, más del 60% manifestó que utiliza su dirección de correo principal para ingresar a la mitad de los otros servicios online que utiliza y 1 de cada 5 usuarios aseguró que utiliza la misma contraseña de su cuenta de correo para servicios como Twitter, Facebook, LinkedIn Instagram o Netflix, entre otros. La reutilización de contraseñas es una práctica no recomendada porque atenta contra la seguridad de los usuarios, ya que con frecuencia vemos que populares servicios resultan víctimas de incidentes que derivan en filtraciones de cuentas y contraseñas de los usuarios, las cuales luego pueden caer en manos de cibercriminales que las utilizan para realizar ataques de credential stuffing o para comercializarlas en el mercado negro. De hecho, existen servicios que permiten a un usuario averiguar si la contraseña que utilizan fue filtrada en alguna brecha.

Otro dato que aportó la encuesta es que el 44% de los encuestados aseguró haber sufrido un incidente de seguridad a través del correo electrónico. De este porcentaje, un 40% sufrió un incidente al hacer clic en un enlace que luego redireccionaba a un sitio infectado, mientras que un 23% se infectó por abrir un archivo adjunto malicioso y un 27% por caer en un engaño a partir de un correo que suplantaba la identidad de una empresa o servicio legítimo.

En cuanto al phishing, un mecanismo utilizado por los cibercriminales que tiene varias décadas pero que sigue aún vigente dada la efectividad que tiene para los atacantes, según los usuarios encuestados el 58% de los correos de phishing que reciben suplantan la identidad de sitios de compras online, mientras que en un 40% de los casos simulan ser correos de entidades bancarias y en un 30% de compañías de viaje.

Como hemos visto en reiteradas ocasiones, el correo electrónico como vector de propagación de amenazas informáticas no es una novedad. Por eso la importancia de aprovechar fechas como esta para informar acerca de los riesgos de seguridad que existen alrededor de una herramienta clave para la sociedad moderna como es el correo electrónico y aprender a hacer un uso más seguro de la misma para evitar dolores de cabeza. A continuación, compartimos una infografía que elaboramos a partir de los datos que dejó la encuesta.

Fuente: www.welivesecurity.com

Lo sabemos: algunos estáis hasta el gorro de estas noticias, pero…, reconozcámoslo, es difícil resistirse cuando desde el gigante del software privativo nos llegan declaraciones como estas. La cuestión es, ¿seguimos llamándolo así, el «gigante del software privativo»? Porque en Microsoft no están de acuerdo.

Todo viene a cuento de una de las frases más lapidarias, para mal, que en su día se dijeron desde Redmond. Nos referimos al tristemente ilustre comentario de Steve Ballmer, «Linux en un cáncer«. Es cierto que él mismo se retractó de sus palabras, admitiendo primero que Linux ya no era un cáncer, sino un rival a tener en cuenta; concediendo después que no solo no consideraba a Linux un cáncer, sino que lo amaba. Y, como bien es sabido, no ha sido el único que ha dicho eso desde dentro de Microsoft.

Sin embargo, la cita de marras les persigue hasta día de hoy, y de hecho una de las sugerencias que hizo Richard Stallman en su reciente charla para Microsoft, fue la de retractarse de este comentario. Entre otros. Sea como fuere ha llovido mucho desde entonces y no pierden la oportunidad de recordarlo, como ha sucedido en el Red Hat Forum 2019 celebrado en Melbourne con la participación de Lee Hickin, CTO de Microsoft Australia, según recogen en ZDNet.

«Reconozco la ironía de Microsoft aquí en un evento comunitario de código abierto. Estoy realmente orgulloso de hacerlo, y me siento honrado y privilegiado de poder estar en el escenario con Red Hat para compartir nuestra historia«, comenta Hickin. «Lo digo con la mano en mi corazón de una manera muy seria: somos una empresa de código abierto, estamos comprometidos con el código abierto, estamos comprometidos con Red Hat y estamos comprometidos con nuestro compromiso y nuestro apoyo a una amplia comunidad de código abierto a través de una gama de tecnologías, entre las cuales GitHub es una de ellas«.

Y añade: «No somos la compañía propietaria de Windows; somos la nube de código abierto que tiene una gama de servicios en una gran cantidad de herramientas y tecnologías«.

Es, en todo caso, un episodio más en la ya larga historia de relación entre Microsoft y el código abierto: del «amamos el Open Source» al repetido «amamos a Linux«, pasando por la que ha sido la declaración más rotunda que hayan hecho a este respecto, llegando a autoproclamarse los número uno del código abierto… y a tenor de las cifras en bruto, algo de razón tienen. Pero no es ningún misterio, tal y como han reconocido en diferentes ocasiones: van donde están los clientes y, si funciona, apuestan por ello de manera decidida.

Por supuesto, hay quien sigue sin fiarse de Microsoft, pero como señalaban hace poco algunos de los principales desarrolladores de Linus, Linus Torvalds incluido: por más que a Microsoft le gustase controlar Linux, no hay de qué preocuparse.

Fuente: www.muylinux.com