Tag google

Ecuador ­– Google Forms, la herramienta de creación de formularios y cuestionarios de Google lanzada en 2008 que según una estimación casi el 50 % de las encuestas online se realizan con esta herramienta. ESET, , advierte que su uso extendido también incluye los fines maliciosos y a los actores de amenazas, que son expertos en abusar de tecnologías populares, por lo que ya están usando Google Forms para recopilar información confidencial de sus víctimas e incluso engañarlas para que instalen malware.

Google Forms ofrece una gran oportunidad como forma de legitimar estafas y evadir filtros de seguridad. Desde ESET mencionan que los ciberdelincuentes lo prefieren por algunas de sus características clave:

• Es gratuito, lo que significa que los actores de amenazas pueden lanzar campañas a escala con un retorno de la inversión potencialmente lucrativo.
• Goza de la confianza de los usuarios, lo que aumenta las posibilidades de que las víctimas crean que el formulario de Google al que se les envía o redirige es legítimo.
• Es un servicio legítimo, lo que significa que los formularios de Google maliciosos y los enlaces a formularios maliciosos a menudo no son detectados por las herramientas de seguridad de correo electrónico tradicionales.
• Es fácil de utilizar, lo que es bueno para los usuarios, pero también práctico para los ciberdelincuentes, que pueden lanzar campañas de phishing convincentes con muy poco esfuerzo o conocimiento previo de la herramienta.
• Sus comunicaciones están cifradas con TLS (Transport Layer Security), lo que puede dificultar que las herramientas de seguridad comprueben si hay alguna actividad maliciosa. Además, suele utilizar URL dinámicas, lo que puede dificultar la detección de formularios maliciosos por parte de algunos filtros de seguridad de correo electrónico.

La mayoría de los ataques mediante Google Forms tienen por fin engañar a los usuarios y hacerles entregar su información personal y financiera. Aunque existen ligeras variaciones en la forma, estas son algunas de las principales técnicas que destacan desde ESET para tener en cuenta:

Formularios relacionados con el phishing

“Los formularios maliciosos de Google Forms son diseñados para suplantar marcas legítimas, como páginas de inicio de sesión de redes sociales, bancos y universidades, o incluso plataformas de pago. Es más rápido, fácil y barato que crear un sitio dedicado al phishing, y es menos probable que sea bloqueado por los filtros de seguridad.”, comenta Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica.

Normalmente, se recibe un enlace a uno de estos formularios de Google maliciosos a través de un correo electrónico de suplantación de identidad, que puede estar falsificado para hacerse pasar por una marca o un remitente legítimos. El correo electrónico puede incluso proceder de una cuenta legítima que ha sido secuestrada. En cualquier caso, el objetivo final suele ser:

• Recoger los datos de acceso, que luego pueden utilizarse para secuestrar cuentas y cometer fraude de identidad
• Robar los datos de la tarjetao información bancaria o criptográfica para controlar las cuentas y vaciarlas o cometer fraude en los pagos

Persuadir para hacer clic en un enlace del formulario de Google malicioso que redirige a un sitio que instala malware de forma encubierta.

Fuente:Reddit

Los atacantes envían un formulario malicioso de Google para engañar al usuario y que llame así a un número de teléfono que aparece allí. El formulario puede estar diseñado para que parezca enviado por un banco u otro proveedor de servicios de confianza. Generalmente, tendrá un sentido de urgencia para llevar a tomar una decisión precipitada: llamar al número sin pensarlo bien antes. La excusa, frecuentemente, es que la cuenta será bloqueada o que se retiró o retirará dinero.

Desde ESET advierte que si se llama a ese número, se hablará con un miembro de una banda de suplantación de identidad por voz (vishing) que intentará convencer para que se entregue información personal y financiera. También puede sugerir que se descargue un software de acceso remoto al equipo, lo que les daría el control total del mismo.

Concursos de preguntas y respuestas

Los ciberdelincuentes pueden abusar de la función de cuestionario de Google Forms, creando un cuestionario de preguntas y respuestas para hacer al usuario participar en un supuesto concurso. Al finalizar el quiz querrás ver los resultados y ahí es donde se verá un botón que al hacerle clic va a generar un mensaje que puede tener añadidos enlaces a sitios de phishing, malware o estafas.

Como ejemplo de campañas destacadas que se han visto en los últimos años, desde ESET destacan:

BazarCall: Una amenaza de tipo vishing en la que las víctimas recibían un correo electrónico que contenía un formulario de Google malicioso que se hacía pasar por PayPal, Netflix o alguna otra de las grandes marcas. El formulario contenía detalles de un cargo falso que está a punto de aplicarse, a menos que el destinatario llame al número de teléfono facilitado. 

Phishing dirigido a universidades estadounidenses: Google detectó el año pasado un aumento de los ataques contra el sector educativo estadounidense. Las víctimas recibieron correos electrónicos de phishing que contenían un enlace a un formulario de Google malicioso, ambos diseñados para parecer enviados por la universidad, con logotipos y referencias al nombre de la universidad. El objetivo final era obtener datos de acceso o financieros.

El equipo de ESET asegura que la concientización es la base para mitigar el impacto de amenazas de ingeniería social de este tipo. Si se presta atención a la forma que tiene para intentar engañar a los usuarios, será más difícil tomar malas decisiones. Por ejemplo, recomiendan tener en cuenta lo siguiente:

• Utilizar software de seguridad multicapa de un proveedor de confianza en computadoras y dispositivos móviles. Esto ayudará a garantizar que, incluso si se hace clic en un enlace malicioso, se bloquee la descarga del malware. Un buen software también detectará patrones sospechosos, incluso si el propio formulario de Google parece legítimo, además de escanear el ordenador o dispositivo periódicamente y mantener a salvo de cualquier cosa maliciosa.
• Mantenerse alerta ante posibles estafas de phishing. No fiarse de nada no solicitado que solicite que se haga clic en un enlace o llamar a un número urgentemente. En su lugar, ponerse en contacto con el remitente por los canales oficiales. 
• Utilizar contraseñas fuertes y únicas para cada cuenta, almacenarlas en un gestor de contraseñas para recordarlas fácilmente. Y optar por activar la autenticación multifactor (MFA) para todas las cuentas, de esa forma aunque filtre u obtengan una contraseña, no podrán acceder a la cuenta. Lo mejor es una llave de seguridad basada en hardware o una aplicación de autenticación.
• Prestar atención: Google siempre muestra una advertencia en los formularios de Google: «Nunca envíes contraseñas a través de los formularios de Google».

“Si ocurre lo peor y crees que has sido víctima de un ataque a Google Forms, cambia tus contraseñas, realiza un escaneado de malware y pide a tu banco que congele las tarjetas (si has enviado los datos de la tarjeta). Activa el doble factor de autenticación en todas las cuentas, si aún no lo has hecho, y supervisa tus cuentas para detectar cualquier actividad inusual. Siempre se recomienda ser escéptico ante cualquier correo electrónico no solicitado que se recibas, aunque proceda de una marca de confianza.”, concluye Camilo Gutiérrez Amaya de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador

ESET comparte una serie de recomendaciones para gestionar el control sobre la información personal que circula en internet

Ecuador ­– ¿Alguna vez has buscado tu nombre en internet? Tanto si te preocupa la privacidad o si simplemente quieres gestionar tu presencia en la red, ESET, compañía líder en detección proactiva de amenazas, advierte por qué puede ser importante reducir la huella digital, incluso en los resultados de búsqueda de Google, y cómo proteger los datos.

El ejercicio de realizar una búsqueda con el propio nombre en internet, resulta útil para saber cómo aparece la información personal e identificar cualquier posible problema de privacidad. Generalmente, lo primero que aparecerá son las cuentas de redes sociales, blog o sitio web relacionados con el trabajo. Pero si se ajustan algunos parámetros, el resultado puede llegar a ser mucho más específico hasta mostrar direcciones o incluso sitios visitados con frecuencia.

“Si alguien tiene una cuenta en una red social con una configuración de privacidad débil, un blog con su nombre real o una dirección de correo electrónico en la web de una empresa, estos datos pueden recopilarse fácilmente para construir una imagen completa de la identidad digital, a menudo con sus intereses, hábitos y afiliaciones. Esta agregación de información puede ser un problema por varias razones.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según un Informe de Verizon sobre investigaciones de filtraciones de datos de 2024, hasta el 68% se debieron a errores humanos. De esta cifra, un gran porcentaje ocurrieron por personas que cayeron en tácticas de ingeniería social tales como el phishing, el pretexting, las estafas por correo electrónico y la extorsión. La riqueza de información disponible públicamente es utilizada, justamente, para perfeccionar y refinar las tácticas de ingeniería social con el objetivo de engañar a la gente para que envíe dinero o revele datos confidenciales, como credenciales de cuentas.

Teniendo presente este panorama, motores de búsqueda como Google cuentan con una serie de formularios y en su caso una herramienta llamada Resultados sobre ti (que por el momento solo se encuentra disponible en algunos países) para que los usuarios puedan solicitar la eliminación de su información. Es por esto que ESET detalla cómo se realiza este proceso y en qué casos es aplicable.

El mecanismo consiste en enviar una solicitud directa a Google para que revise y elimine los resultados de búsqueda que cumplan determinados criterios, como la exposición de la dirección de correo electrónico o de un domicilio, las credenciales de acceso u otros datos personales. Se debe iniciar una solicitud de eliminación completando el formulario que se observa en la imagen de abajo y disponible en este enlace.

Si el problema planteado no llegara a ser claro o Google necesitara información adicional para identificarlo, el usuario recibirá un correo electrónico solicitando más aclaraciones.

“Hay quienes pueden sentirse a gusto con que sus datos públicos estén disponibles en Internet, pero otras personas pueden preocuparse por su privacidad. Incluso los personajes públicos y las organizaciones conocidas deberían mantener ciertos datos confidenciales para evitar posibles riesgos de privacidad y seguridad. Al final, todo se reduce a saber qué información personal está visible y permanecer alerta para que los actores maliciosos no te encuentren desprevenido.”, concluye el investigador de ESET.

soporte local, mantiene a los usuarios seguros y a las empresas funcionando sin interrupciones. Un panorama digital en constante evolución exige un enfoque progresivo de la seguridad: ESET® está comprometido con una investigación de clase mundial y una potente inteligencia sobre amenazas, respaldada por centros de I+D y una sólida red global de socios.

Fuente: Departamento de Comunicación ESET Ecuador

Fuente: cnnespano.cnn.com

El registro en muchas cuentas distintas, con una clave para cada una, puede parecer tedioso, sobre todo cuando puedes hacerlo con tus credenciales de Facebook o Google. Te contamos cuáles son los pro y contras de usar este tipo de inicio de sesión conocido como SSO y a qué debes prestar atención.

“Continuar con Google” es una forma muy sencilla de registrarse e iniciar sesión en un sitio web o una aplicación. Todo lo que tienes que hacer es pulsar o hacer clic en el botón y permitir que algunos de los datos personales de tu cuenta se compartan con el servicio online de terceros.

Muchos sitios te permiten iniciar sesión con tu cuenta de Facebook, Google, Microsoft, LinkedIn, Apple u otra cuenta de una gran empresa tecnológica; hoy se busca la comodidad y no suelen faltar opciones para elegir y satisfacer todos los gustos.

Cuando vinculas tu acceso a Google con otro servicio, estás autorizando a Google a compartir tu información personal a cambio de facilidad de acceso y comodidad. ¿Hasta qué punto puede ser seguro?

Para ayudarte a encontrar un equilibrio entre seguridad y comodidad, te contamos los pros y los contras de utilizar este método de autenticación denominado inicio de sesión único (SSO), también conocido como inicio de sesión social, para tus cuentas personales online.

Figura 1. Ejemplo de opciones SSO para iniciar sesión o crear una cuenta

Figura 2. Más opciones de SSO

Un único inicio de sesión para todos

Primero lo primero: ¿qué es exactamente el SSO? Es un esquema de autenticación que permite a una organización obtener acceso consentido a tu información personal al tiempo que te permite registrarte e iniciar sesión en sus servicios en lugar de exigirte que te registres a través de un formulario independiente.

No es de extrañar que esta práctica sea tan común en todo Internet:

• Facilidad de registro y acceso. En lugar de tener que rellenar otro formulario con su nombre, apellidos, número de teléfono o dirección de correo electrónico, solo tiene que hacer clic en su opción SSO preferida y compartir esos datos (y posiblemente también otros) con la nueva aplicación o sitio web. [Es importante destacar que su contraseña nunca se comparte con el sitio web, sino que su identidad se verifica mediante un token de autenticación]
• Atracción y captación de usuarios. Los servicios en línea saben muy bien que cuanto más fácil te resulte registrarte e iniciar sesión, más probable es que lo hagas y vuelvas a hacerlo.
• Se acabó el cansancio de las contraseñas. Diferentes sitios web tienen diferentes requisitos de contraseña; además, debemos utilizar una combinación única de nombre de usuario y contraseña cada vez. Pero gracias a esta implementación de SSO, establecer una contraseña segura con una sola de las grandes plataformas de Internet puede darte acceso a cientos de otros sitios web, reduciendo enormemente el número de contraseñas que necesitas crear y memorizar.
• Mejor prevención de los compromisos de cuentas autoinfligidos (en algunos casos). A medida que nuestras listas de contraseñas se vuelven demasiado extensas para recordarlas, muchas personas pueden llevar un registro de sus credenciales en papel o en una hoja de cálculo Excel. Pero, ¿qué ocurre si alguien se hace con esa lista de contraseñas? Tener que recordar únicamente la contraseña de tu cuenta de Google y proteger la cuenta adecuadamente puede reducir la necesidad de generar, y luego depender, de una lista de contraseñas mal protegida (por ejemplo, si los gestores de contraseñas no son lo tuyo).

Entonces, ¿deberías utilizar siempre SSO?

La respuesta es clara: no.

Aunque el SSO ofrece algunas ventajas importantes al usuario, le expone a riesgos que pueden no revelarse hasta que sea demasiado tarde. ¿Cuáles son algunas de las implicaciones?

• Todos los huevos están en la misma cesta. Si tus credenciales de Facebook o Google caen en las manos equivocadas, los ciberdelincuentes no solo tendrán acceso a esa cuenta, sino también a todos los sitios web a los que la hayas vinculado. Lo que nos lleva al siguiente punto…
• Protege tu cuenta principal “como si tu vida dependiera de ello”. Una contraseña segura —quizá en forma de frase de contraseña que consista en una frase que mezcle mayúsculas, minúsculas y números— puede ser clave para proteger tus cuentas y datos personales. Si por alguna razón no usas un gestor de contraseñas, quizá puedas plantearte elegir una frase de contraseña en un formato que te permita añadirle el nombre del sitio web, pero sin que toda la cadena sea demasiado predecible.
• Cuestiones de privacidad. Cuando vinculas cuentas, estás permitiendo que tu información personal se transmita al sitio web y, debido a lo fácil que es configurarlo, podrías estar consintiendo la transferencia de más información de la que te imaginas. Y aunque Facebook, Google, Microsoft o Apple te permiten comprobar todas tus conexiones con terceros, revocar el acceso no significa que también estés revocando el consentimiento de un sitio web para utilizar tus datos. Además, si después de “eliminar conexiones” vuelves a entrar en el mismo sitio web y utilizas tu login social preferido, te dejarán entrar igual que antes, como si nunca hubieras revocado el acceso.

Figura 3. Revocación del consentimiento para que Google vincule tus datos

• Atracción y captación de usuarios (y las implicaciones para tu huella digital). Es cierto que hemos mencionado la captación eficaz de usuarios como una de las ventajas del SSO para aplicaciones y sitios web, pero puede ser un arma de doble filo. Si acabas registrándote en aplicaciones o sitios web que nunca has necesitado tanto, ¿cuánto tardarás en olvidarte de ellos? Para evitarlo, asegúrate de llevar un registro de todos los sitios web en los que te registraste y de la información personal que guardan sobre ti; por ejemplo, la información de tu tarjeta de crédito puede estar almacenada en un sitio web que hayas utilizado una vez y del que te hayas olvidado. Aunque esto puede ocurrir independientemente de cómo inicies sesión, la naturaleza sin fricciones del método “exprés” puede hacerte más propenso a olvidarte de todas esas aplicaciones o sitios web en los que una vez iniciaste sesión con tu cuenta de Google o Facebook.

Entonces, ¿con SSO o sin SSO?

Cuando se combinan con otras medidas de seguridad y privacidad, los inicios de sesión sociales pueden ahorrar mucho tiempo. Pero en el caso de los sitios web que guardan tu información personal, como tu nombre completo, dirección, datos bancarios o números de tarjeta de crédito, es más seguro optar por una cuenta independiente protegida por una frase de contraseña compleja y única, junto con la autenticación de dos factores (2FA).

En resumen, considera el uso de SSO solo si:

• habilitas la autenticación de doble factor (2FA) en la cuenta principal, ya que así será más difícil que alguien se haga pasar por ti en Internet,
• confía en la plataforma que utilizas para acceder al otro sitio web; no obstante, la confianza es algo voluble y debes tomar otras precauciones,
• utiliza servicios de pago como PayPal o una tarjeta de crédito virtual como opciones de pago para cualquier sitio web al que hayas accedido utilizando SSO; esto te ayudará a evitar que se filtren tus datos bancarios,
• utiliza la configuración de tu cuenta principal para realizar un seguimiento de todos los sitios web a los que la has vinculado.

Figura 4. Gestión de aplicaciones de terceros y autorizaciones SSO en Google

¿Hay alguna otra forma?

Equilibrar el fácil acceso a todas tus cuentas online y mantenerlas seguras puede ser todo un reto. Existen otras formas de conseguirlo además de los inicios de sesión sociales:

Una alternativa obvia consiste en crear una cuenta independiente para cada servicio y utilizar un gestor de contraseñas que te evite el dolor de cabeza que supone crear, gestionar y rellenar automáticamente tus credenciales de inicio de sesión. Otra opción es usar una dirección de correo electrónico desechable, sobre todo para sitios web que no te interesan demasiado o que no piensas volver a utilizar. Además, algunos gobiernos han creado una identificación única de ciudadano que da a la gente acceso en línea a servicios ofrecidos por algunas organizaciones públicas y privadas.

Sea cual sea el método que elijas, podrás disfrutar de tu presencia en Internet sin demasiados problemas (o prisas) siempre que sigas las prácticas generales de ciberhigiene, como evitar revelar tus credenciales, activar el 2FA y ser consciente de toda tu huella digital.

Fuente: www.welivesecurity.com

El ascenso de Microsoft como uno de los principales contribuidores del código abierto ha sido casi meteórico desde la llegada de Satya Nadella al cargo de CEO. La transformación de la corporación ha sido tal que llegó a autorpoclamarse como la número uno del código abierto después de que Linux se convirtiera en el sistema operativo más usado en Azure, su plataforma de computación en la nube.

Sin embargo, parece que Microsoft está perdiendo su corona, ya que la empresa de asesoría Aiven, radicada en Helsinki (Finlandia), ha publicado que Google ha incrementado lo suficiente su número de contribuidores como para superar a la corporación de Redmond. Este cambio en el primer puesto viene en parte debido a que el gigante del buscador incrementó la cantidad de commits mensuales en GitHub en un 20% en comparación con los datos del mismo periodo del año pasado.

Heikki Nousiainen, director de tecnología (CTO) y cofundador de Aiven, ha mostrado su sorpresa ante el dato de que Google haya superado a Microsoft. Si antes dijimos que el incremento de la contribución de Google es solo una parte de las razones, es porque Nousiainen ha expuesto que “un factor en esto ha sido una disminución de los commits año tras año de Microsoft en proyectos de código abierto. Sin embargo, el compromiso de Microsoft con la libertad y la innovación de los desarrolladores es consistente, ya que la empresa es un jugador importante en código abierto e incluso compró GitHub en 2018”.

Aiven también ha destacado que Amazon ha empezado a centrarse más en el Open Source a través de proyectos como OpenSearch, que nació como un bifurcación de Elasticsearch. Sin embargo, posiblemente el dato más interesantes es que Google, Microsoft y Amazon muestran un compromiso cada vez mayor con el código abierto al haber aumentado entre todos en un 300% la cantidad de contribuidores en GitHub en los últimos seis años, lo que delata una competencia entre las grandes corporaciones en este sentido.

Mayores contribuidores al codigo abierto en GitHub según el Open Source Contributor Index (OCSI).

Si uno mira directamente las tablas publicadas por Open Source Contributor Index (OCSI), Google ha tenido a 5.421 contribuidores activos el pasado mes de julio frente a los 5.268 de Microsoft. El gigante de Mountain View ha dominado todos los meses del año 2022, mientras que la corporación de Redmond hizo lo propio en 2021 con la salvedad de febrero, cuando Google logró hacerse con el primer puesto.

El pique entre Google y Microsoft por liderar las contribuciones en GitHub está servido, más viendo que dichas compañías están tomando distancia de otras como Red Hat, Intel, IBM, Amazon, Facebook y la propia GitHub, que son las únicas que superaron los mil contribuidores en julio de 2022.

Como vemos, las grandes corporaciones se han tomado muy serio la contribución al código abierto, pero también se detecta una tendencia a preferir guardarse cartas en lugar de realizar una auténtica contribución de cara a la comunidad, lo que se traduce en la preponderancia de licencias permisivas como MIT y Apache 2 frente a las GPL.

Fuente: www.muylinux.com

Aunque Linux es considerado como un sistema seguro porque lo es, debido a su diseño y a las características que se han ido incorporando a lo largo del tiempo, siempre se puede hacer más, especialmente en el desarrollo directo del kernel Linux, en el que los esfuerzos suelen derivarse a otras áreas.

Así, The Linux Foundation ha anunciado que Google financiará el trabajo a tiempo completo de dos desarrolladores que se centrarán en la seguridad del núcleo; dos mantenedores del kernel Linux con años de experiencia a sus espaldas y que ahora enfocarán toso sus esfuerzos en detectar y corregir las fallas de seguridad que se encuentren.

Teniendo a Google por un lado y a dos desarrolladores por el otro, puede parecer una iniciativa irrisoria, pero la compañía espera que otras organizaciones se animen a hacer lo mismo en con el objetivo de corregir de una vez por todas una larga lista de problemas que ya se sabe que están ahí. La opinión de Google es que apuntar al kernel tendrá un impacto más amplio en la seguridad subyacente de ecosistema de software que se basa en este.

La tarea de uno de estos desarrolladores consistirá en «corregir todos los errores encontrados con los compiladores de Clang / LLVM mientras se trabaja en el establecimiento de sistemas de integración continua para respaldar el trabajo en curso. Una vez que estos objetivos estén bien establecidos, el plan es comenzar a agregar funciones y pulir el kernel utilizando estas tecnologías de compilación».

El segundo mantenedor se dedica ya a «eliminar varias clases de desbordamientos de búfer mediante la transformación de todas las instancias de matrices de un elemento y de longitud cero en miembros de matriz flexible, que es el mecanismo preferido y menos propenso a errores para declarar tales tipos de longitud variable», así como «se está enfocando activamente en corregir errores antes de que lleguen a la línea principal, mientras que también desarrolla de manera proactiva mecanismos de defensa que eliminan clases enteras de vulnerabilidades».

¿Y todo lo demás? Por el modelo colaborativo de desarrollo que emplea Linux, son muchos los ojos que detectan problemas y alertan de ellos, y los encargados de solucionarlos suelen ser los responsables del área en cuestión, pero hay ciertas partes del kernel que son más susceptivas a acumular más errores y menos atención, como las descritas, por lo que es ahí donde se están centrando los esfuerzos ahora.

De momento parece que todo marcha bien, pero porque haya poco que arreglar, sino por todo lo contrario. En The Register han entrevistado a este par de desarrolladores y el titular lo dice todo: «Estamos encontrando errores mucho más rápido de lo que podemos solucionarlos», lo cual no es negativo per se, pero sí indica que la labor que han comenzado no es de las que se terminan pronto.

Hace tiempo además que en The Linux Foundation se están preocupando por mejorar la seguridad no solo del kernel, sino de los componentes de código abierto más populares. En este caso, lo harán en colaboración con Google, que al menos por ahora sigue teniendo en Linux el motor de todos sus grandes proyectos.

¿Y qué dice Linus Torvalds de todo esto? Nada. El jefe se está controlando todo lo que puede, desde que la presión de los nuevos inquisidores de Internet se le echase al cuello por su «comportamiento tóxico» y nos ha dejado sin las declaraciones sin filtro de antaño, como aquella en la que hablaba del circo de la seguridad y de «la gente de OpenBSD masturbándose como monos porque no hay nada más importante que la seguridad».

Con todo, Torvalds se refería a que todos los errores importan, sean relativos a la seguridad o a cualquier otro aspecto. Y algo de razón no le faltaba, como señalaba tiempo después su compañero de batalla Greg Kroah-Hartman en relación a los procedimientos de seguridad aplicados a Linux. No obstante, nunca está de más fijarse en todo lo que se pueda.

Fuente: www.muylinux.com

Esta función está disponible actualmente en Estados Unidos, México, Brasil, España e India, pero la intención es ampliar su cobertura a otros países.

La semana pasada Google anunció una nueva funcionalidad en Android: las llamadas verificadas. Una función que busca evitar el spam y los engaños telefónicos y a la vez ayudar a empresas legítimas a transmitir mayor confianza y seguridad de cara a los clientes. Muchas veces no atendemos una llamada entrante si desconocemos el número que llama. A partir de esta nueva función los usuarios que tengan la app Teléfono de Google configurada como predeterminada para gestionar las llamadas en su dispositivo, además de corroborar que la misma proviene de una fuente verificada -mediante una marca azul-, verán en la pantalla el nombre de la empresa y una breve descripción del motivo de la llamada.

Esta opción funciona con aquellas empresas que se anotaron para formar parte de este programa y que sus llamadas aparezcan como verificadas en los dispositivos de los clientes. Las empresas que quieran formar parte de esta iniciativa y que estén en los países con cobertura (Estados Unidos, México, Brasil, España o India) pueden comenzar comunicándose con alguno de los socios de Google para implementar las llamadas verificadas.

La app de Teléfono de Google viene predeterminada en algunos teléfonos además de Pixel, como es el caso de los dispositivos con Android One, pero puede ser descargada desde la play store.

Según Google, las pruebas que realizaron durante la etapa piloto demostraron que con esta función las personas están más dispuestas a contestar una llamada que antes. Por ejemplo, el ratio de personas que atienden una llamada de un banco será más alta gracias a la función que añade el motivo de la llamada. Lo mismo en el caso de una llamada de un servicio de paquetería o envío de comida que quiere saber si el cliente está en el domicilio para recibir la entrega, explica Google.

Esta iniciativa se suma a los mensajes SMS verificados, funcionalidad que lanzó Google el año pasado y que al igual que con las llamadas telefónicas, confirma la identidad de la empresa en los mensajes de texto. Esta función actualmente está disponible en nueve países, entre ellos Brasil, México y España, y según Google el plan es ampliar la cobertura durante este 2020.

Vale la pena mencionar que los ataques de vishing han aumentado durante la pandemia. El uso de esta técnica de ingeniería social para estafar a los usuarios mediante llamadas telefónicas suplantando la identidad de una empresa o institución ha estado muy activa. En Estados Unidos organismos alertaron en agosto sobre el incremento de este tipo de ataques aprovechando que muchas personas están teletrabajando. En España, la Oficina de Seguridad Internauta alertó sobre este mismo comportamiento también el mes pasado, mientras que en América Latina también se están aprovechando de esta situación aparejada a la pandemia en países como Argentina, donde desde hace varios meses se registran casos de estafas telefónicas en las que se hacen pasar por organismos como la Administración Nacional de la Seguridad Social (ANSES) o instituciones bancarias para robar datos personales y dinero.

Créditos de la imagen: Hassan OUAJBIR en Pexels

Fuente: www.welivesecurity.com

Google ha publicado como Open Source un proyecto con la intención de ayudar a los vendedores de hardware a crear sus propias “llaves de seguridad” y contribuir al impulso de la mencionada tecnología.

El proyecto, que es una iniciativa llamada OpenSK, se compone de un firmware construido con Rust que permite convertir chips de Nordic en dispositivos que cumplen con los estándares de claves de seguridad FIDO U2F y FIDO2 (Fast Identity Online). Pero no solo el chip y el firmware cubre OpenSK, sino que también se ha publicado una carcasa protectora que se puede imprimir en 3D, por lo que los dispositivos resultantes se ven y pueden ser usados como llaves estándares.

Google ha explicado en su blog corporativo que espera en el futuro expandir la iniciativa a más fabricantes de chips, aunque ha empezado por los de Nordic debido a que son asequibles desde el punto de vista económico y soportan los criterios estipulados para los estándares de FIDO2, NFC y Bluetooth Low Energy. Poniendo esos recursos a disposición de todos, Google espera ayudar a impulsar y expandir este tipo de tecnologías haciéndolas más accesibles para los fabricantes, ya que hasta el momento solo Google y Yubikey han creado llaves compatibles con FIDO a través de hardware y software privativo.

Profundizando en los detalles técnicos, OpenSK está escrito en Rust y se ejecuta en TockOS para ofrecer un mejor aislamiento y abstracciones del sistema operativo más limpias con el fin de reforzar la seguridad. La fuerte seguridad ofrecida por Rust a nivel de memoria y las abstracciones de coste cero hacen que el código sea menos vulnerable a los ataques lógicos. Por su parte, TockOS, con su arquitectura aislada (sandbox), ofrece un aislamiento entre el applet de la llave de seguridad, los drivers y el kernel para construir una defensa en profundidad.

Sin embargo, y a pesar de las buenas intenciones de la iniciativa, de momento sería prudente cogerla con con pinzas, ya que Google ha anunciado el lanzamiento inicial de OpenSK como “un proyecto experimental de investigación para ser usado para propósitos de pruebas e investigación”, así que igualmente puede terminar naufragando antes de cumplir con su propósito.

Fuente: www.muylinux.com