The Document Foundation ha anunciado el lanzamiento como estable de LibreOffice 7.3, la última versión de la archiconocida suite ofimática publicada como software libre y la principal rival de Microsoft Office dentro del segmento. En esta ocasión, entre otras cosas, destaca la mejora de la interoperabilidad con los formatos procedentes del gigante de Redmond, una prioridad que viene forzada por la situación del mercado.
Ya que hemos dicho interoperabilidad, vamos a mencionar los aspectos concretos de ese frente que han sido mejorados en LibreOffice 7.3. Aquí sobresalen las mejoras a nivel rendimiento a la hora de abrir documentos DOCX, XLSX y XLSM, un proceso de renderización más rápido de los documentos complejos en esos formatos y un mejor desempeño del backend de Skia, que fue introducido en la versión 7.1 de la suite.
También hay nuevas características como un nuevo manejo del seguimiento de los cambios en las tablas y cuando se mueve el texto, las cuales también impactan positivamente en la interoperabilidad con Microsoft Office. Para el viejo formato DOC (Word) se ha mejorado la importación de numeración y viñeta, mientras que para DOCX (Word) ha sido mejorada la importación de numeración y viñeta y de hipervínculos, además de corregirse los permisos para editar.
Para XLSX (Excel) se ha ajustado la altura de las filas, la sangría de la celda no aumenta cada vez que se guarda y también se han arreglado los permisos al editar. Por su parte, el soporte de PPTX (PowerPoint) ha recibido correcciones que abarcan enlaces, imágenes, transparencias, importación y exportación.
Las bibliotecas de ScriptForge, que facilitan el desarrollo de macros, han sido extendidas con algunas características nuevas que abarcan la definición de gráficos en Calc (hojas de cálculo), el nuevo servicio de PopupMenu, una amplia gama de opciones para la gestión de impresoras y “una función para exportar documentos a PDF con una gestión completa de las opciones de PDF”.
LibreOffice 7.3 Community
Desde la fundación denuncian que los documentos generados con Microsoft Office todavía se basan en el estándar obsoleto de 2008 y no en aprobado por la ISO. Como consecuencia, según The Document Foundation, hay una gran complejidad oculta que termina provocando problemas en LibreOffice. Que al gigante originario de Redmond no le interese cumplir con su propio estándar es algo lógico, más viendo que eso abriría más la puerta a la competencia.
LibreOffice 7.3 ha sido posible gracias al trabajo de 147 contribuidores. El 69% de los commits de código han procedido principalmente de 49 desarrolladores empleados por tres empresas pertenecientes al Consejo Asesor de The Document Foundation: Collabora, Red Hat y allotropia. El 31% restante procede de 98 contribuidores individuales.
Todos los detalles de LibreOffice 7.3, más concretamente de la edición Community, que es la que nos ocupa, están disponibles en el anuncio oficial y las notas de lanzamiento. La suite ofimática puede obtenerse desde la sección de descargas de la web oficial del proyecto para Linux, Windows y macOS, sin embargo, los paquetes para Linux disponibles ahí tienen que ser actualizados manualmente, así que como alternativa se puede recurrir al PPA Fesh para Ubuntu, a Flatpak, Snap o a alguna distribución rolling release y bleeding edge como Arch Linux, a la que debería de llegar mediante actualización estándar. Os dejamos con un vídeo donde se exponen las principales características nuevas de este lanzamiento.
Probablemente conoces a Anonymous, ese grupo que en 2003 advirtió: «Somos una legión, no perdonamos, no olvidamos, espéranos». Tal vez también sepas de LulzSec. Pero quizás ni siquiera has oído hablar de un grupo ciberactivista tremendamente impactante: LulzSecPeru.
«Fueron los únicos hackers efectivos -de hecho fueron increíblemente efectivos- que pude encontrar en Latinoamérica», le cuenta a la BBC Frank Jack, un periodista de la agencia The Associated Press especializado en ciberseguridad.
También es el único reportero que se comunicó directamente con los chicos que conformaron LulzSecPeru, en 2014.
«Cuando les pregunté por qué asediaron al Ministerio de Defensa argentino, a los militares colombianos, a todas esas redes en las que tal vez no tenían intereses políticos, respondieron: ‘Lo hicimos por el Lulz‘«.
Tres años antes, la revista Wired había dado una explicación sobre lo que significaba esa palabra en ese contexto
«El lulz (una deformación de LOL, abreviatura que se usa online para referirse al laugh out loud o reír a carcajadas) es lo más importante y abstracto que hay que entender sobre Anonymous, y quizás sobre internet.
«El lulz se ríe en lugar de gritar. Es una risa de vergüenza y separación. Es schadenfreude. No es el humor anestésico que facilita el paso de los días, es el humor el que realza las contradicciones. El lulz es una risa con dolor. Te obliga a considerar la injusticia y la hipocresía, desde cualquier lado en el que te encuentres en ese momento».
Rat y Desh
«Cuando entreviste a estos chicos, LulzSecPeru era diferente de los principales grupos hacktivistas como Anonymous o incluso el LulzSec original».
Aunque integraban una versión local del colectivo de intrusos cibernéticos LulzSec, que agrupaba a los llamados «piratas de sombrero negro», con sede en Estados Unidos y Reino Unido, Jack aclara que «no tenían afiliación» con ellos.
«Esos grupos originales tenían miles de miembros activos en todo el mundo, trabajando en diferentes proyectos: protestas contra la Iglesia de la Cienciología, apoyo a la Primavera Árabe y ataques de denegación de servicios —también llamados DoS (por sus siglas en inglés, Denial of Service), consisten en ataques a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos— contra varios objetivos.
«Sus enormes cifras significaban que tenían muchas personas experimentadas a su disposición. LulzSecPeru estaba conformado por sólo dos adolescentes«.
Se identificaban como @Cyber-Rat, que tenía 17 años en ese momento, y @Desh501, quien decía tener entre 19 y 23 años y ser estudiante universitario. Eran programadores autodidactas que comenzaron a la edad de 8 y 6 años, respectivamente.
Según Rat, sus padres no tenían ni idea de lo que estaba haciendo.
Dash, por su lado, dijo que sus padres sabían que estaba involucrado en la seguridad de la información y sospechaban que podría ser un hacker, y creía que tarde o temprano probablemente se enterarían.
«Rat era más vanidoso y se encargaba de la labor intrusiva en las redes sociales, de cultivar la relación con otros ciberactivistas y de publicitar los logros de LulzSecPeru
«Desh era más serio y discreto, y era el verdadero genio en las cuestiones tecnológicas».
Pie de foto,Imagen de presentación de LulzSecPeru en Twitter.
«En ese momento, e incluso ahora, había una corrupción arraigada en varias naciones sudamericanas: sobornos ende proyectos de construcción y energía, desnatados del tesoro público, y mucha relacionada con el narcotráfico».
El tipo de hackeo que hicieron fue ciberactivismo por excelencia, disruptivo, irreverente y con una pizca de travesura.
«Comenzaron con cientos de desfiguraciones, en las que violaban la seguridad de un sitio web y reemplazan el contenido con el logotipo de LulzSec, esa caricatura de un tipo con un bigote tipo Dalí y un sombrero de copa, con una copa de vino en la mano.
«Eso fue solo una especie de carta de presentación, pero lo que más llamó la atención fue cuando se tomaron las cuentas de Twitter del presidente venezolano Nicolás Maduro en 2013«.
«Así fue como se lanzaron a escena«.
Ética pelética peluda
Si bien muchas de sus actividades eran solo para el lulz, había un lado serio, la ética ciberactivista, nacida de un credo compartido por muchos hackers.
Su filosofía era que cualquiera que intentara sofocar la libertad de expresión era el enemigo y, por lo tanto, su objetivo como hackers era exponer los abusos de poder y fomentar la transparencia por parte de los gobiernos.
Sin embargo, seamos claros, estos eran dos adolescentes, no unas blancas palomas.
En los primeros días, antes de afinar su ideología política, se involucraron en actividades poco éticas.
En 2012 irrumpieron en la red de la compañía que maneja el principal dominio de Perú y obtuvieron una base de datos de 114.000 entradas, con nombres, números de teléfono, correos electrónicos y contraseñas de sitios afectados, incluidos bancos, compañías de seguridad, el buscador Google… todos los dominios que concluían con «.pe».
Era el tipo de material que los criminales sueñan con tener.
Y lo volcaron en línea.
«Desh me contó que Rat fue quien lo hizo sin consultarlo y me dijo: ‘Casi lo mato ese día‘«.
Corrupción que corroe
Su hackeo más exitoso se produjo en 2014, cuando fijaron su atención en el gobierno peruano.
«La seguridad de la red del gobierno peruano era mala. Su primer gran hackeo había sido el Ministerio del Interior de Perú en 2011 y al año siguiente hackearon a la policía cibernética de Perú, así que estaban seguros de que la policía cibernética sabía menos sobre ellos que lo que ellos sabían de la policía cibernética.
«Esta vez pusieron sus ojos en la red del Consejo de Ministros.
«Tardaron un mes en entrar, y el resultado fue la publicación de aproximadamente 3.500 correos electrónicos del gobierno que databan de febrero a julio de 2014.
Aunque no salieron a la luz grandes casos de corrupción -«los políticos no eran tan tontos», dice Jack-, quedó expuesta mucha corrupción cotidiana, de bajo nivel… aquella que corroe.
«Fueron condenatorios».
Pie de foto,Las ballenas fueron una de las preocupaciones.
El público halló evidencia de la influencia de cabilderos, lo que generó una enorme presión sobre algunos ministros.
El ministro de Energía, en un irritado intercambio de correos, rechazaba impacientemente las objeciones del ministro del Medio Ambiente en torno a sus cálidas relaciones con una petrolera australiana, que insistía en que sus técnicos, no los reguladores ambientales peruanos, supervisaran las pruebas sísmicas submarinas.
«Fue un caso particularmente explosivo pues esas pruebas se utilizan para detectar depósitos de petróleo, pero pueden lastimar a las ballenas y otras criaturas marinas«.
En otra de las misivas, una ejecutiva del lobby de la industria pesquera le pedía al ministro de Finanzas que extendiera la temporada de extracción de la anchoveta, que «es la industria pesquera más valiosa de Perú, pero también una que está en peligro por la sobrepesca«, subraya Jack. Poco después, se le concedió su deseo.
Las filtraciones contribuyeron a precipitar una moción de censura, a la que el gobierno sobrevivió gracias a un solo voto.
Pie de foto,El ciberactivismo tiende a ser cosa de jóvenes.
«El escándalo que estos hackers dispararon no derribó al gobierno, pero ciertamente lo avergonzó«.
A pesar de la humillación y algunas mejoras, por más que lo intentó, la policía cibernética peruana nunca logró rastrear a los chicos del sombrero de copa.
¿Qué fue de ellos?
Desde sus conversaciones en línea de hace 8 años, Jack dice que sólo oyó de uno de ellos una vez más. «Fue un contacto fugaz».
Él nunca tuvo forma de contactarlos, eran ellos los que se comunicaban con él, y en 2014 ambos dijeron que iban a empezar a retraerse.
«Rat dijo que estaba a punto de cumplir 18 años, y que cuando se convirtiera en adulto, no quería arriesgarse a ser procesado, así que se iba a retirar.
«Desh tenía aspiraciones de abrir un portal como WikiLeaks para América Latina, pero no hay evidencia de que eso sucediera. Realmente quería trabajar como investigador de seguridad, y tal vez eso está haciendo, pero no sé».
El ciberactivismo es una actividad a menudo de jóvenes, en parte porque no enfrentan tanto riesgo como los adultos, pero también porque tienen el tiempo y el ímpetu para hacer algo con las herramientas que manejan.
Además, pueden desvanecerse cuando llega el momento y volver a su otra vida.
«Creo que LulzSecPeru tuvo su impacto y para ellos eso fue suficiente. Pero no me sorprendería que otros como ellos surgieran en un momento de tensión política», concluye Jack.
Para 2015, los grupos ciberactivistas eran una sombra de lo que habían sido, pero como prototipos —con sus tácticas, como el hackeo y la filtración para que otros aprovecharan la información— pervivieron.
En 2020 y 2021 en todo el mundo, el ciberactivismo resucitó, con filtraciones contra la policía, derribos de sitios web de extrema derecha, hackeos que socavaban constantemente el estado de vigilancia de Lukashenko en Bielorrusia, entre otros.
Así es el ciberactivismo: intenso e intermitente.
No sabemos dónde ni cuándo surgirá, pero lo que llama la atención es cómo unos pocos hackers pueden sacudir a aquellos en posiciones de poder que se creen irreprochables.
Vuelve un clásico. Esa marca de agua en el escritorio que evidenciaba tu espíritu bucanero por usar una copia pirata regresa a Windows 11 y ahora te dice si tu hardware no es compatible.
Windows 11 tuvo un despegue turbulento y un poco accidentado este 2021, pero la promesa es que para este nuevo año todo irá más fluido y estable.
Se arrancó de hecho con una actualización importante que igual desconfiguró equipos a la par que nos acercó a todos un poco más a esta nueva era de integración entre ese sistema operativo de escritorio y Android.
Poco a poco se ve un mejor porvenir para la comunidad que utiliza Windows 11. Pero al mismo tiempo también se vislumbra la posibilidad de que regresen algunos elementos “clásicos” que acompañaron a esta plataforma durante años.
En el ejemplo más reciente de esta tendencia tenemos este nuevo reporte, en donde descubrimos que Microsoft hará más fácil saber si nuestro equipo soporta o no el sistema operativo que corre.
Vuelve la marca de agua en el escritorio para copias piratas en Windows 11 pero ahora es distinta
Desde Twitter el usuario @thebookisclosed tiene semanas revelando cada hallazgo interesante que encuentra en la plataforma con cada build liberada para Windows Insiders.
Gracias a él y a otros entusiastas que siguen sus pasos hemos descubierto que actualmente, Microsoft está experimentando con dos nuevos métodos para advertir a los usuarios de Windows 11 si han instalado ese sistema operativo en un hardware no compatible
Esta notificación, tal como podemos observar en las últimas versiones de prueba de Windows 11 se posiciona mediante una marca de agua en la esquina inferior derecha del escritorio.
Si esa ubicación les resulta familiar es porque se trata exactamente del mismo método y ubicación que utilizaba Microsoft antes para notificar cuando detectaba que la copia de Windows XP, 7 y 8 era pirata.
Pero ahora la finalidad de esta marca de agua es menos agresiva y más benigna. Ya que advierte al instante sobre el hardware no compatible cuando no se cumplen los requisitos del sistema operativo para correr de forma estable.
Dado que se trata de una prueba en una versión no liberada de Windows 11, es difícil decir si esto es algo que Microsoft implementará para todos en el futuro o si se trata de una configuración transitoria.
Para instalar este nuevo software la compañía exige que las computadoras cuenten por lo menos con un procesador Intel Coffee Lake de octava generación o una CPU AMD Zen 2 o superior.
Tal imposición deja fuera a, literalmente, millones de equipos que no cuentan con esa potencia. De modo que no será imposible instalar Windows 11 al parecer, pero tendrán que vivir con un sistema operativo inestable y esa marca de agua permanente en el escritorio.
Hasta las ‘start-ups’ más disruptivas pueden tener problemas para competir con las producciones a gran escala o la apuesta de las grandes empresas por producir su propio software. El crecimiento de las nuevas compañías tecnológicas es mucho menor que hace unos años, y también les cuesta más acceder a capital riesgo.
En 2005, varios años antes de que Siri de Apple y Alexa de Amazon aparecieran en escena, dos start-ups, ScanSoft y Nuance Communications, se fusionaron para buscar su oportunidad en el reconocimiento de voz. La nueva empresa desarrolló un potente software de procesamiento de voz y creció rápidamente durante casi una década, a una media de un 27 % anual en ventas. Pero, de repente, alrededor de 2014, dejó de crecer. Los ingresos en 2019 fueron aproximadamente los mismos que los de 2013. Nuance se encontró con fuertes vientos en contra, ya que las grandes empresas informáticas que antes eran sus socios se convirtieron en sus competidores.
La historia de Nuance no es única. En todas las grandes industrias y campos tecnológicos, las start-ups se enfrentan a obstáculos sin precedentes. Todavía siguen surgiendo nuevas empresas para valorizar las oportunidades innovadoras, y estas empresas pueden aprovechar una extraordinaria avalancha de capital de riesgo. Sin embargo, no todo va bien en la economía de las start-ups. Las start-ups innovadoras crecen mucho más lentamente que las empresas del pasado con las que se pueden comparar.
Sorprendentemente, uno de los principales culpables de eso es la tecnología, en concreto la tecnología de información patentada en manos de grandes empresas que dominan sus industrias. Estamos acostumbrados a pensar que la tecnología genera disrupción, en la que las innovaciones introducidas por empresas más pequeñas y nuevas les permiten crecer y, al final, sustituir a las más antiguas y menos productivas. Pero estas tecnologías patentadas actualmente suprimen la renovación industrial, que ha disminuido drásticamente en las últimas dos décadas. Esta pérdida de dinamismo tiene amplias consecuencias negativas para la economía estadounidense. Ha ralentizado el crecimiento de las empresas innovadoras. Los investigadores han relacionado ese crecimiento más lento con un incremento sustancialmente menor de la productividad, que afecta a toda la economía, hasta los ingresos personales.
Nuance comenzó en 1994 como una spin-off del laboratorio del SRI (Stanford Research Institute) de la Universidad de Stanford (EE. UU.), que había desarrollado tecnología de reconocimiento de voz para el Gobierno de EE. UU. ScanSoft era una spin-off de Xerox. Antes de su fusión en 2005, el reconocimiento de voz estaba condicionado por el poder de procesamiento del ordenador. Los sistemas reconocían solo vocabularios limitados, aunque resultaban útiles en algunas aplicaciones comerciales específicas, como para los centros de atención telefónica al cliente y la transcripción de informes médicos.
A finales de la década de 2000, las cosas cambiaron. Mientras los ordenadores se volvían más poderosos, Nuance logró desarrollar una gran innovación: el «reconocimiento de voz continuo de vocabulario extenso». Una persona podía decir cualquier cosa sobre cualquier tema y la tecnología podía transcribirlo con precisión en tiempo real. Nuance usó esta tecnología en la app Dragon Dictation, que Apple introdujo cuando presentó el iPhone 3GS en la Conferencia Mundial de Desarrolladores de 2009. Cuando Apple validó ese producto, Samsung y el resto de fabricantes de teléfonos lo quisieron. Pasó lo mismo con Google, Amazon y Microsoft. Nuance creció rápidamente, tanto con estos importantes clientes como a través de millones de usuarios individuales que compraban la app para iPhone, que en la tienda iTunes se convirtió en la app de productividad comercial número uno. En 2011, Apple presentó Siri, que se basó en la tecnología de Nuance. Los ingresos de Nuance en 2013 crecieron a 1.700 millones de dólares (1.497 millones de euros).
Pero este crecimiento duró poco. Nuance no fue la única empresa en darse cuenta de que la voz estaba a punto de convertirse en el canal principal para la interacción humana con los ordenadores y con los servicios en la nube. El reconocimiento de voz ya no se centraba solo en dictar texto, sino de comprar, buscar información, elegir la música y los vídeos de entretenimiento, controlar los electrodomésticos y mucho más. Era rápido, de manos libres y, en comparación con el teclado y el ratón, era una forma mucho más natural de comunicación para el ser humano.
Las Big Tech empezaron a dedicar mucho dinero y talento a esta oportunidad. Apple invirtió en el desarrollo de sus propios sistemas, Amazon creó su asistente de voz Alexa y Google lo siguió rápidamente con su Home Assistant. Y esas empresas asaltaron con éxito el banco de talentos de Nuance para atraer a los mejores profesionales a sus filas. Amazon tiene actualmente más de 10.000 ingenieros trabajando en los productos de Alexa, más de 10 veces la cantidad de empleados de investigación y desarrollo que tenía Nuance en su apogeo.
Además de sus recursos económicos, las grandes empresas también tenían la ventaja de contar con enormes bases de clientes, productos complementarios e inmensas cantidades de datos a su disposición, lo que les permitía ir mejorando continuamente sus sistemas de reconocimiento de voz. Actualmente, hay instalados 300 millones de dispositivos Alexa; Google maneja de media 5.600 millones de búsquedas cada día y la mitad de sus usuarios informan que utilizan la voz para realizar esas búsquedas. Amazon tiene un ecosistema próspero donde los desarrolladores externos agregan nuevas «habilidades» a Alexa, más de 100.000 van desde poner cadenas de radio específicas hasta contar chistes. Además, Amazon ha otorgado la licencia de la tecnología de Alexa a distancia a los fabricantes de electrodomésticos, que la utilizan para controlar sus lavavajillas, lavadoras y secadoras de ropa o aspiradoras.
Nuance no pudo competir en este campo de batalla. Decidió centrarse en los nichos de mercado como la atención médica antes de que Microsoft la adquiriera en 2021.
Lo que le sucedió a Nuance no es solo la vieja historia de las grandes empresas que invierten tanto que superan a las start-ups. En una amplia variedad de industrias, las compañías dominantes emplean sistemas de información a gran escala para ganar a sus competidores, incluidas las innovadoras start-ups. Utilizan software propio para gestionar mejor la complejidad y así diferenciarse de las empresas rivales. Esto les ha permitido incrementar su dominio en el mercado y evitar acabar alcanzadas por la competencia.
En el comercio minorista, el software de logística y de gestión de inventario de la cadena Walmart le permite abastecer sus tiendas con una selección mucho mayor de productos a menor coste, adaptar cada tienda a las necesidades locales y responder rápidamente a medida que cambia la demanda y surgen productos de moda. Usando grandes sistemas de datos, las principales empresas financieras ofrecen sus tarjetas de crédito y los préstamos con garantía hipotecaria a los clientes individuales de forma masiva y luego se centran en la comercialización de estos productos. Incluso las principales empresas de gestión de residuos y las aseguradoras de salud realizan grandes inversiones en su propio software para vencer a la competencia. En total, las empresas (excluyendo aquellas cuyo producto es software) actualmente invierten cada año más de 240.000 millones de dólares (211.968 millones de euros) en su software interno, frente a los 19.000 millones de dólares (16.780 millones de euros) en 1985. Las grandes corporaciones representan la mayor parte de ese cambio. Las cuatro principales compañías de cada industria, clasificadas por sus ventas,han multiplicado por ocho su inversión en su propio software desde 2000, mucho más que las empresas de segundo nivel.
Estas inversiones han valido la pena. Desde la década de 1980, las cuatro mejores empresas de cada industria han aumentado su cuota de mercado entre un 4 % y un 5 % en la mayoría de los sectores. Mi investigación muestra que las inversiones en software propio causaron la mayor parte de este incremento.
Este mayor dominio de la industria por parte de las principales empresas va acompañado de una disminución correspondiente del riesgo de disrupción, una perspectiva que ha obsesionado a los directivos corporativos desde que salió en 1997 el libro The Innovator’s Dilemma de Clayton Christensen. En el momento en el que Christensen lo escribió, la disrupción iba en aumento. Pero desde aproximadamente el año 2000, cuando las principales empresas comenzaron su ola de inversiones en sistemas propios, esta tendencia ha disminuido drásticamente. En cualquier industria, la posibilidad de que una empresa de alto nivel (medido por las ventas) abandone uno de los cuatro primeros lugares en el periodo de cuatro años se ha reducido de más del 20 % a alrededor del 10 %. Las inversiones de las empresas dominantes en sus sistemas internos explican en gran medida ese cambio. Mientras que algunas nuevas tecnologías alteran industrias enteras (como lo que internet hizo con los periódicos o con el DVD), otras suprimen la disrupción de las empresas dominantes.
¿Cómo ocurre esto y por qué aparentemente afecta tanto a la economía? Se debe a que estos sistemas comerciales abordan una de las principales deficiencias del capitalismo moderno. Desde el final del siglo XIX, las empresas innovadoras descubrieron que a menudo podían lograr enormes ahorros de costes al producir a gran escala. Ese cambio redujo drásticamente los precios al consumidor, pero hubo una contrapartida: para que las empresas consiguieran esos grandes volúmenes, los productos y servicios se tenían que estandarizar. Es muy conocida la frase de Henry Ford que declaró que los compradores de coches podían tener «cualquier color, siempre que sea negro». Las cadenas minoristas lograron su eficiencia proporcionando un conjunto limitado de productos a sus miles de tiendas. Las compañías financieras ofrecían hipotecas y préstamos estándar. Como resultado, los productos contaban con limitados conjuntos de funciones; las tiendas tenían una oferta reducida y respondían lentamente a la demanda cambiante; y mucha gente no podía conseguir préstamos o los obtenía solo en unas condiciones costosas y que no se ajustaban a sus necesidades.
Gráfico: Las ‘start-ups’ tardan más en progresar y salir al mercado
Azul: Tiempo promedio desde el primer capital de riesgo hasta la salida al mercado
Rosa: La media de duración de las start-ups en etapa inicial
Naranja: La media de duración de las start-ups de capital semilla
El software cambia esa ecuación y supera en parte todas estas limitaciones. Esto se debe a que reduce los costes de gestionar la complejidad. Con los datos correctos y la organización adecuada, el software permite a las empresas adaptar los productos y servicios a las necesidades individuales, y ofrece por tanto una mayor variedad o más funciones de los productos. Esto les permite superar a los mejores rivales, para dominar así sus mercados. Las tiendas de la cadena Walmart ofrecen una selección de productos mucho mayor que las de Sears o Kmart, y responden más rápido a las necesidades cambiantes de los clientes. Sears fue durante mucho tiempo el rey del comercio minorista, pero actualmente Walmart ocupa su lugar y Sears está en bancarrota. Toyota produce rápidamente nuevos modelos cuando detecta nuevas tendencias de consumo, pero las empresas automotrices más pequeñas no pueden pagar los miles de millones de euros que se necesitan para hacer lo mismo. De igual modo, solo Boeing y Airbus logran construir nuevos aviones jumbo jets altamente complejos. Las cuatro principales compañías de tarjetas de crédito tienen los datos y los sistemas para enviar ofertas de manera efectiva a los usuarios individuales; obtienen la máxima ganancia y participación de mercado y así lo dominan.
Estas plataformas habilitadas por software han permitido que las principales empresas consoliden su dominio. También han frenado el crecimiento de los rivales, incluidas las start-ups innovadoras.
Diversas pruebas respaldan la idea de que se ha desacelerado sustancialmente el crecimiento de las start-ups. Una señal es el tiempo que tardan las start-ups respaldadas por capital de riesgo en recibir la financiación: de 2006 a 2020, la media de duración de una start-up en la etapa de financiación de la ronda de capital semilla creció de 0,9 años a 2,5 años. La media de duración de una start-up en la etapa tardía subió de 6,8 años a 8,1 años en ese mismo período. Entre las empresas que fueron adquiridas, el tiempo promedio desde la primera financiación hasta la adquisición se triplicó, de poco más de dos años en 2000 a 6,1 años en 2021. Algo similar pasa con las empresas que salieron a bolsa. Pero la evidencia más clara de la desaceleración es lo que ocurre cuando las compañías se vuelven más productivas.
Las grandes empresas utilizan tecnologías a gran escala que dificultan el crecimiento de las start-ups
La característica clave de las economías dinámicas, a lo que el economista Joseph Schumpeter se refirió como «destrucción creativa», es que las empresas más productivas, con mejores productos o costes más bajos o mejores modelos de negocio, crecen más rápido que las menos productivas y al final las desplazan. Pero después de 2000, las empresas con un determinado nivel de productividad crecieron, en promedio, solo la mitad de rápido que las compañías con el mismo nivel de productividad en la década de 1980 y 1990. En otras palabras, la productividad tiene menos efecto sobre el crecimiento que antes. Cuando las empresas productivas crecen más lentamente, es menos probable que ‘salten’ por encima de los líderes de la industria y los sustituyan, que es la característica de la disrupción. El año pasado, la investigación que realicé con mi colega Erich Denk vinculó directamente el impacto menguante de la mejora de la productividad con el mayor dominio de la industria por parte de las grandes empresas y sus inversiones en software y otros activos.
Otro punto de vista, expresado enérgicamente por los investigadores del Congreso de EE. UU. en audiencias y en un informe publicado en 2020, atribuye la disminución del dinamismo económico a una fuente diferente: al debilitamiento de la política antimonopolio del Gobierno estadounidense desde la década de 1980. En este sentido, se ha permitido que las grandes empresas adquieran a sus rivales, lo que ha reducido la competencia. Las adquisiciones han hecho que estas empresas sean más dominantes, especialmente las Big Tech, algo que ha provocado una disminución tanto en el surgimiento de nuevas empresas tecnológicas como en la financiación de capital de riesgo para las empresas en etapa inicial. Pero, de hecho, la tasa a la que las nuevas empresas de tecnología ingresan al mercado ha disminuido solo modestamente desde el aumento excepcional del boom de las puntocom, y la financiación de capital de riesgo en etapa inicial está en niveles récord: con el doble de financiaciones hoy que en 2006 y una cantidad cuatro veces mayor. El problema no consiste en que las grandes empresas impidan que las start-ups entren a los mercados u obtengan financiación; el problema es que las grandes empresas utilizan tecnologías a gran escala que dificultan el crecimiento de las start-ups. Además, las grandes empresas como Walmart y Amazon han crecido principalmente por haber adoptado modelos comerciales superiores, no por la compra de sus rivales. De hecho, la cantidad de adquisiciones por parte de las empresas dominantes ha disminuido desde 2000.
No hay duda de que tales adquisiciones a veces afectan el panorama de las start-ups. Algunos investigadores han identificado las llamadas «zonas de muerte», donde las Big Tech realizan adquisiciones para acabar con la competencia, y el capital de riesgo se vuelve difícil de encontrar. Pero otros investigadores concluyen que las start-ups a menudo responden trasladando su actividad innovadora a una aplicación diferente. Además, la perspectiva de adquisición por parte de una gran empresa suele incentivar a las personas a fundar start-ups. De hecho, a pesar de lo que le pasó a Nuance, la cantidad de start-ups de reconocimiento de voz y procesamiento de lenguaje natural que entraron al mercado se ha cuadruplicado desde 2005, y el 55 % de ellas han recibido inversiones de capital de riesgo.
La desaceleración en el crecimiento de las start-ups innovadoras no es solo un problema para miles de empresas en el sector tecnológico; los vientos en contra de las empresas como Nuance son responsables de los problemas que afectan la situación de toda la economía. Los investigadores de la Oficina del Censo de EE. UU. han demostrado que el crecimiento más lento de las empresas productivas explica gran parte de la desaceleración del crecimiento de la productividad agregada (la cantidad de bienes y servicios finales que produce la economía por persona) y sirve como un indicador aproximado del bienestar económico. Mi propio trabajo también ha mostrado que eso tiene un importante papel en la creciente desigualdad económica, en la mayor división social y en la disminución de la eficacia del Gobierno.
¿Qué se necesita para corregir esta tendencia? Podría ayudar una aplicación más estricta de las leyes antimonopolio, pero los cambios en el dinamismo económico están impulsados más por las nuevas tecnologías que por las fusiones y adquisiciones. Un problema más básico es que las nuevas tecnologías más importantes son propiedad de esas empresas, accesibles solo a un pequeño número de grandes corporaciones. En el pasado, las nuevas tecnologías se difundían ampliamente, ya fuera a través de licencias o mediante desarrollos alternativos de manera independiente por las empresas: algo que permitió una mayor competencia e innovación. El Gobierno a veces ayudaba en este proceso. Bell Labs desarrolló el transistor, pero las autoridades antimonopolio obligaron a licenciar la tecnología de manera generalizada, lo que creó la industria de los semiconductores. De manera similar, IBM creó la industria del software moderno cuando, en respuesta a la presión antimonopolio, comenzó a vender el software por separado del hardware.
En la actualidad estamos viendo algunos desarrollos similares incluso sin la acción del Gobierno. Amazon, por ejemplo, abrió su propia infraestructura de IT para crear la industria de la nube, algo que ha mejorado bastante las perspectivas de muchas pequeñas start-ups. Pero la política antimonopolio se puede utilizar para animar u obligar a más empresas grandes a abrir sus propias plataformas. Relajar las restricciones que imponen los acuerdos de no competencia y los derechos de propiedad intelectual a la movilidad de los empleados también podría fomentar una mayor difusión de la tecnología.
Encontrar el adecuado equilibrio de políticas será difícil y llevará tiempo, pero no queremos reducir los incentivos para la innovación. El punto de partida es reconocer que, en la economía actual, la tecnología ha asumido un nuevo papel. Antes era una fuerza que impulsaba la disrupción y la competencia, pero en la actualidad se utiliza para reprimirlas.
Project Zero, el equipo de analistas de seguridad compuesto por empleados de Google dedicado principalmente a hallar vulnerabilidades de día cero (zero-day), ha publicado un informe en el que se muestra a Linux como proyecto más rápido que compañías como Apple y Microsoft a la hora de corregir fallos de seguridad.
Para realizar el informe, Project Zero ha tomado todos los fallos de seguridad corregidos desde enero de 2019 hasta diciembre de 2021. El equipo de analistas de seguridad de Google ha recalcado el trabajo que hace para dificultar el terreno a los actores maliciosos, pero también ha comentado sobre su informe que “hay una serie de advertencias con nuestros datos, la mayor de las cuales es que analizaremos una pequeña cantidad de muestras, por lo que las diferencias en los números pueden o no ser estadísticamente significativas”.
Project Zero notifica al vendedor y le concede 90 días para corregir un fallo antes de hacerlo público, pudiendo dar 14 días de gracia si se confirma que hay planes serios de publicar un parche antes de los 104 días. Del informe, lo más interesante es la tabla en la que se comparan los fallos corregidos con el tiempo empleado para publicar los correspondientes parches.
Por lo que se puede ver en la tabla, Linux (en este caso el kernel como proyecto) ha sido el vendedor más rápido a la hora de solucionar sus vulnerabilidades, habiendo conseguido corregir el 96% de los fallos reportados por Project Zero dentro del límite estándar de 90 días. Esto quiere decir que de 24 de las 25 vulnerabilidades reportadas por los investigadores en seguridad de Google han sido resueltas dentro del plazo que el gigante del buscador considera como razonable, mientras que el fallo restante excedió tanto el plazo estándar como el periodo de gracia.
Entre los vendedores que aparecen en la tabla de arriba, que corresponde a los fallos que han sido resueltos, solo Google sigue la estela de Linux al haber corregido el 95% de las vulnerabilidades dentro del plazo estándar de 90 días, con 53 fallos que fueron corregidos a tiempo de 56 descubiertos por su propio equipo de seguridad. Por su parte, Microsoft ha cumplido en el 76% de los casos dentro de los 90 días (61 de 80) y ha apurado el tiempo de gracia en el 19% de los casos (15 de 61), mientras que Apple ha corregido el 87% de los fallos dentro en los 90 primeros días tras ser informada (73 de 84). Sorprende ver cómo Apple y Microsoft se sitúan por debajo de Mozilla, que logró corregir 9 fallos de los 10 reportados dentro del límite estándar, aunque posiblemente el volumen influya en la mayor efectividad de la fundación tras Firefox.
Otro dato que sobresale de Linux es el tiempo medio necesario para corregir un fallo, que en el kernel es de tan “solo” 25 días. Dejando atrás el campo de “otros”, que engloba muchos proyectos y empresas de naturaleza muy diversa, vemos que Google se alza con el segundo puesto con 44 días y Mozilla es tercera con 46 días. Apple y Microsoft han tardado de media 69 y 83 días respectivamente.
Parece que los vendedores se lo están poniendo cada vez más difícil a Project Zero. En la siguiente tabla se puede ver un descenso en la cantidad de fallos reportados por parte de la división de Google y también como, a niveles generales, los desarrolladores son más rápidos a la hora de parchear, sobre todo en lo que respecta a Linux. Google empeora sus registros en el año 2021 y Apple no consigue mejorar de forma consistente.
En cuanto a plataformas para móviles, Project Zero ha tenido en cuenta tres: iOS, Android de Samsung y Android de Pixel. De la primera descubrieron 76 fallos con un tiempo de corrección medio de 70 días, mientras que del Android de Samsung se reportaron 10 fallos con un periodo medio de corrección de 72 días y del Android de Pixel 6 fallos con 72 días como tiempo medio necesario para parchear. La razón de la desproporcionada cantidad de vulnerabilidades de iOS se debe a que ahí se han contado también las aplicaciones suministradas junto al propio sistema operativo.
Y cerramos nuestro resumen del informe de Project Zero con los navegadores web, donde se han tenido en cuenta, siguiendo lo expuesto en el informe, a Chrome, WebKit y Firefox. El navegador de Mozilla es el más lento a la hora de publicar un parche tras ser reportarle un fallo, pero es la más rápida cuando se trata del periodo entre la publicación del parche y su liberación a través de un lanzamiento de Firefox. Chrome se muestra extremadamente rápido en la publicación de parches, pero no tanto en el lanzamiento, mientras que WebKit corrige a más velocidad que Mozilla, pero termina siendo de lejos el que más tarda en el lanzamiento.
En total, Chrome termina siendo el más rápido a la hora de solucionar sus fallos, si bien Firefox sigue su estela en términos relativos. Por su parte, WebKit tiene bastante que mejorar para dar alcance a sus rivales.
Conclusión
Como vemos, y según los datos recopilados por Project Zero de Google, Linux se muestra como un proyecto muy efectivo cuando se trata de corregir fallos de seguridad, y no solo a la hora de resolverlos, sino también de hacerlo en periodos de tiempo bastante cortos, incluso más cortos que los empleados por gigantes como Apple, Microsoft, Google y Oracle.
Aunque Linux ha tenido a su favor el hecho de ser el desarrollo de un único producto, no es menos cierto que mantener a raya los en torno a 30 millones de líneas de código del kernel no es algo fácil.
Un phishing para robar la lista de contactos de la víctima y una cuenta de WhatsApp robada: la estrategia utilizada por estafadores que suplantan la identidad de usuarios legítimos para ofrecer dólares para vender.
Los ataques y fraudes online que utilizan la suplantación de identidad continúan en aumento. En gran parte, esto se debe a la mayor presencia de usuarios en medios virtuales, donde la identidad de una persona se convierte en un perfil fácil de duplicar. Por ejemplo, una fotografía que podemos descargar, una descripción que podemos copiar o una fecha de nacimiento pública. Sumado a esto se encuentra la falta de conciencia qué tiene el usuario promedio sobre la cantidad de información personal que está pública en Internet y los riesgos que esto supone.
Como resultado, desde 2020 a esta parte los ataques que involucraron el robo de identidad aumentaron de manera desmedida y desde entonces la cantidad de denuncias no disminuyó.
La venta de dólares como anzuelo: un engaño vía WhatsApp que comienza con un phishing
Lamentablemente, pude comprobar en primera persona los peligros de que la información personal de un conocido caiga en manos de un cibercriminal.
Una mañana, recibí un mensaje vía WhatsApp desde un número desconocido en el que se hacían pasar por una persona cercana a mi familia. Si bien mi naturaleza cautelosa me llevó a tomar precauciones, todo parecía real: si bien el número de teléfono era diferente, su perfil era una copia del perfil legítimo, incluyendo fotografía y nombre de su cuenta. Además, se dirigía a mí por un apodo que solo alguien cercano conocería.
Sin embargo, luego de mantener una conversación mínima para ponernos al día, me envía un mensaje totalmente fuera de lo común, tanto por los mensajes que estábamos intercambiando como por la relación que tengo con la persona cuya identidad fue suplantada: me pregunta si conozco personas interesadas en comprar dólares estadounidenses.
Inmediatamente después del mensaje sospechoso intento comunicarme con mi amiga —ahora víctima— y la llamo a su teléfono real. Luego de hablar con ella confirmo que estaba siendo el blanco de un ataque de suplantación de identidad, pero no bajo las metodologías más comunes: el delincuente que se hacía pasar por ella me había contactado a través de un número distinto al de ella y utilizando una cuenta de WhatsApp diferente, con lo cual no se trataba de un caso de SIM swapping ni de robo de la cuenta de la aplicación.
Con esto en mente, comenzamos a buscar posibles orígenes del ataque: ¿De dónde habían robado su fotografía y nombre completo? ¿Cómo poseían todos sus contactos? ¿Por qué habían elegido una aplicación como WhatsApp? ¿Qué objetivo tenía este ataque en particular?
En primer lugar, notamos que la cuenta usada para llevar a cabo el engaño posiblemente haya sido robada, ya que se trataba de una cuenta de WhatsApp Business que pertenecía a una compañía del rubro automotor.
Además, tras revisar sus redes sociales y perfiles en distintas aplicaciones, nos dimos cuenta de que mi amiga usaba la misma fotografía y nombre de perfil en otros servicios públicos. Esto podría significar que su cuenta de WhatsApp no fue comprometida y que los estafadores suplantaron su identidad utilizando otra cuenta robada de la red social de mensajería más popular en Argentina.
Los estafadores usaron la lista de contactos de Outlook
Paralelo a esto, y gracias a un mensaje de advertencia que envió mi amiga a todos sus contactos en su teléfono real, descubrimos que la mayoría de sus contactos de WhatsApp habían recibido mensajes similares al que recibí yo desde el mismo número.
Teniendo en cuenta la cantidad de contactos que habían sido contactados comprendimos que probablemente el estafador obtuvo una copia de seguridad de los contactos de mi amiga de alguna manera. Con esto en mente, puse el foco en un perfil que combinara todas las piezas robadas: una copia de su lista de contactos, fotografía y nombre completo. Si bien ciertas redes sociales permiten descubrir perfiles nuevos en base a contactos guardados, en ellas no se puede recuperar el número de teléfono de los mismos, con lo cual aplicaciones como Instagram fueron descartadas.
Un último tipo de perfil quedaba por descartar: sus cuentas de correo electrónico. Suponiendo que el cibercriminal tuvo acceso a su correo electrónico configurado para almacenar una copia de sus contactos, funcionalidad altamente utilizada en los smartphones, podría haber generado su perfil y contactado a sus allegados. Solo me faltaba una cosa para comprobar mi teoría: descubrir cómo fue el acceso inicial.
Sabiendo que el phishing es la modalidad de ataque más utilizada por los cibercriminales para robar cuentas de correo electrónico, partimos en la búsqueda dentro de sus correos para encontrar alguno sospechoso en donde haya ingresado. Y lo conseguimos: hace algunos meses mi amiga había sido víctima de un correo de phishing en el que se suplantaba la identidad de Microsoft y en el cual le solicitaban las credenciales utilizando como excusa una supuesta actividad inusual en la cuenta de la víctima. Un clásico engaño de ingeniería social. Si bien me comentó que le llamó la atención que soliciten su contraseña, no sospechó de un posible ataque al no ver consecuencias en el momento y se olvidó completamente del correo.
Estafadores usan la lista de contactos almacenados en la cuenta de correo
Ordenando las piezas cronológicamente pude entender la mecánica de los cibercriminales: obtienen el acceso inicial mediante un ataque de phishing y, si la cuenta víctima tiene una copia de seguridad de sus contactos guardada, se comunican con ellos haciéndose pasar la víctima mediante un teléfono nuevo que no está asociado previamente a la víctima.
Uno de los aspectos clave para esta estafa, y que muchos usuarios desconocen, es la facilidad para obtener los contactos sincronizados habiendo ingresado a una cuenta de correo electrónico. En el caso de una cuenta de Google, por ejemplo, basta con buscar el submenú “Contactos” dentro de Gmail. Dentro de este podemos, no solo visualizar todos los contactos sincronizados con sus números y nombres asignados, sino también exportarlos en un formato ideal para este tipo de ataques.
Imagen 4: Contactos sincronizados en una cuenta de Google
Un último cabo suelto que mi curiosidad me pedía cerrar era comprender bien la finalidad del ataque: si bien logramos alertar a los contactos de mi amiga, ella cambió sus contraseñas y logramos evitar que prosperara el fraude, ¿cuál era su finalidad real?
Pensé que probablemente no había sido un incidente aislado, así que busqué casos similares. Y, efectivamente, parece que se trata de una metodología que ya fue alertada anteriormente: En Argentina al menos, a mediados de noviembre de 2021 creció la cantidad de casos reportados utilizando este modus operandi que por cierto continúa siendo utilizado por cibercriminales.
En los casos que observamos apuntando a usuarios de Argentina, luego de suplantar la identidad de la víctima, el cibercriminal convence a los contactos que tiene en su poder dólares para vender y que necesita que la persona le transfiera el dinero (que suele ser increíblemente menor a la cotización oficial) para concretar el acuerdo. Con el dinero ya transferido, el cibercriminal le promete a la persona que los dólares van a ser entregados, para luego bloquear el usuario y quedarse con el dinero.
De hecho, el titular de la Unidad Fiscal Especializada en Ciberdelincuencia en Argentina (UFECI). Horacio Azzolín, advirtió amediados del año pasado sobre esta metodología en acenso en un extenso hilo de Twitter. Si bien la forma de conseguir los contactos de la víctima puede variar, ya que utilizan distintas formas de acceso inicial (robo de teléfonos, etc), una de las formas es el robo de cuentas de correo y de los contactos sincronizados a estas cuentas. Por ejemplo, de Outlook.
Imagen 5: Advertencia de Horacio Azzolin, titular de la UFECI.
Para evitar este tipo de estafas es importante tener en cuenta algunas recomendaciones que son tan simples como importantes y que ayudarán a evitar un dolor de cabeza tanto a nosotros como a nuestros allegados:
Tener cuidado con aquellas comunicaciones que soliciten credenciales, ya que no suele ser un método que utilicen las aplicaciones. Además, es importante que sepamos cómo identificar un engaño de phishing para no caer la trampa, sobre todo teniendo en cuenta que es una modalidad muy común.
Evitar compartir demasiada información en cuentas que no se utilizan con frecuencia, como nombre completo, imagen de perfil, edad, entre otros. Sobre todo, si se trata de información pública. Estos elementos le pueden permitir a un cibercriminal realizar un ataque de suplantación de identidad.
Activar el doble factor de autenticación y utilizar una contraseña fuerte, especialmente en aquellas cuentas que tengan asociadas información de interés para los cibercriminales: Contactos, tarjetas bancarias, información personal identificable como documentos o pasaportes, información laboral, etcétera.
Si has sido víctima de este ataque o similar es importante tomar medidas para evitar consecuencias adicionales derivadas de este acceso indebido y el robo de identidad, como una posible infección con malware o uso de la cuenta de correo robada para enviar más comunicaciones fraudulentas. Algunas medidas recomendadas son:
Cerrar sesión en la cuenta de correo afectada en todos los dispositivos, cambiar su contraseña y de ser posible activar el doble factor de autenticación.
Modificar la contraseña en cada servicio en el cual utilices la misma contraseña robada o una versión similar, más aún si las credenciales incluyen la cuenta robada como usuario.
Alertar a los contactos del ataque que se está llevando a cabo para evitar generar más víctimas. Para ello, son útiles las funcionalidades de envío de mensajes masivo, como la Difusión en WhatsApp o las historias en otras redes sociales.
Realizar la denuncia correspondiente por suplantación de identidad y estafa al organismo correspondiente, según la legislación del país en donde sucedió.
Monitorear con atención el comportamiento de otras cuentas que pueden haber sido comprometidas o que sean de interés cibercriminal, como cuentas bancarias, plataformas de compras en línea o redes sociales.
En este articulo veremos las bases teórico y prácticas para comenzar a realizar pruebas de pentesting sobre una aplicación iOS.
Tal como venimos recorriendo en esta serie de publicaciones sobre el pentesting en aplicaciones iOS, hoy toca el turno de abordar temas relacionados con la metodología de análisis de seguridad en sí, considerando, por ejemplo, las fuentes de donde puedan provenir las aplicaciones que queremos analizar y las metodologías de análisis asociadas según organizaciones como OWASP.
Ya tenemos nuestro dispositivo con jailbreak, pero ¿Qué sigue?, ¿qué herramientas utilizamos?, ¿cómo instalamos la aplicación que queremos analizar en nuestro dispositivo?, ¿qué pruebas comenzamos a ejecutar para llevar a cabo nuestros análisis? Todas estas preguntas, entre otras que irán surgiendo, son las que intentaremos desarrollar a lo largo del presente artículo a fin de abordar las bases del pentesting sobre aplicaciones iOS.
El entorno y escenario de trabajo
Tal como hemos visto en el post relacionado a jailbreaking, una vez que tenemos nuestro dispositivo con jailbreak es necesario comenzar a instalar las aplicaciones que nos servirán para llevar a cabo nuestras pruebas. Como también mencionamos, para esto será esencial el uso Cydia, un repositorio de software que funciona sobre la base de distintas fuentes que se pueden modificar para ampliar la cantidad de software disponible a la hora de instalar aplicaciones en nuestro dispositivo. El hecho de que Cydia funcione como repositorio nos hace muy sencillo el trabajo de instalar herramientas, dado que solo basta con ingresar a la herramienta, buscar la aplicación que queremos y la instalamos. Pasando a la acción, una de las primeras funcionalidades que necesitaremos incorporar a nuestro dispositivo será, sin dudas, el sistema SSH. De esta forma podremos tomar control del dispositivo desde nuestra PC, situación que veremos cómo llevar a cabo a continuación.
Tal como se muestra en las siguientes imágenes, nuestra intención será abrir Cydia y buscar OpenSSH para llevar a cabo su instalación.
Abrimos Cydia
Luego buscamos OpenSSH
Ejecutamos Instalar
Se despliega la Instalación
Una vez que tenemos instalado OpenSSH averiguaremos qué direccion IP tenemos asignada en nuestro dispositivo para luego poder conectarnos desde nuestra PC.
Identificamos nuestra red:
Identificamos nuestra red
Revisamos las propiedades de la red y encontraremos nuestra dirección IP, la cual debemos recordar para conectarnos más tarde desde nuestra PC por SSH.
Encontramos nuestra dirección IP
Una vez obtenida la direccion IP de nuestro dispositivo, desde nuestra PC abriremos un terminal y nos conectamos por SSH ejecutando la siguiente línea (ssh root@direccionIPdeldispositivo). Luego observaremos que el sistema nos solicita la contraseña, la cual, tal como se observa en la imagen a continuación, por defecto es “alpine”.
Ingresando al dispositivo mediante SSHNota: Recordar cambiar la contraseña por defecto una vez que ingresamos al sistema.
Como podemos observar, estamos conectados desde nuestra PC al dispositivo con privilegios de root, lo cual, como sabemos, nos permite realizar multiples tareas.
Creo que queda claro lo sencillo que es incorporar aplicaciones en nuestro dispositivo mediante Cydia. Con esta misma lógica podemos instalar multiples aplicaciones, como APT Strict, que nos permite instalar software desde el terminal usando el clásico apt-get install u otro software que creamos conveniente para formar nuestro entorno de trabajo. Hay que considerar también que para muchas aplicaciones será necesario agregar las fuentes correspondientes a Cydia para llevar a cabo su instalación, tema con el que debemos tener máximo cuidado dado que hay muchas fuentes que descargan malware. Por lo tanto, antes de instalar una aplicación por medio de fuentes agregadas, siempre será necesario validar las mismas.
Sin dudas que hay muchas otras herramientas que podríamos instalar y esto siempre dependerá de nuestras necesidades, entre otras variables. Y aunque más adelante hablaremos de ello con más detalle, OWASP Mobile Security Project nos brinda diversas herramientas según el tipo de análisis que necesitemos ejecutar (Lista de herramientas). A su vez, estas se complementan con las herramientas propuestas por la guía MSTG, de la cual también hablaremos cuando llegue el turno.
Ahora bien, ya disponemos de nuestro dispositivo con jailbreak y algunas herramientas para comenzar a trabajar. Es hora de plantearnos algunas cuestiones. Por ejemplo, ¿cuál será nuestra aplicación de análisis?, ¿cómo vamos a instalarla en el dispositivo? A partir de estas preguntas surgirá sin dudas parte del escenario de trabajo. Antes de comenzar, es importante destacar que a la hora de interactuar con un “cliente” que nos solicita un pentesting de una aplicación iOS, normalmente este nos proveerá de una aplicación en formato IPA que pude compartirla tanto por algún medio de transferencia de datos, donde tendremos concretamente el archivo .ipa, o bien nos puede brindar un enlace a un sistema tipo TestFlight, el cual nos obliga a descargar e instalar una aplicación desde AppleStore en nuestro dispositivo y a partir de allí abrir el enlace que el “cliente” nos envía para llevar acabo la instalación. Es decir que en este caso no tendríamos el archivo .ipa en sí, sino que lo instalamos por medio de TestFlight, y en un caso más black también puede suceder que nos digan que descarguemos directamente la aplicación desde AppleStore. Dependiendo de cada una de estas circunstancias veremos que a la hora de manipular una aplicación necesitaremos de distintas técnicas que nos ayuden, tanto a instalar la aplicación en el dispositivo como a desplegar las pruebas que necesitemos ejecutar.
Estructura e instalación de aplicaciones iOS
Tal como mencionamos anteriormente, a la hora de realizar pentesting sobre una aplicación iOS básicamente trabajaremos con un archivo de extensión .ipa. Por esta razón, antes de comenzar a manipular nuestra aplicación de estudio es necesario que mencionemos algunos aspectos de estos archivos. En principio, los archivos con la extensión IPA son archivos de aplicación iOS y funcionan como contenedores (como ZIP) para guardar los diversos datos que componen una aplicación iOS disponible para ser ejecutada en dispositivos que corren este sistema operativo.
Por otra parte, cabe destacar que, por lo general, los archivos .ipa se encriptan con la tecnología FairPlay DRM de Apple y, como veremos más adelante, estos archivos se pueden descomprimir cambiando la extensión a .zip para poder observar su contenido. La estructura de un archivo IPA es la misma para todas las aplicaciones. Por lo general encontraremos la carpeta Payload que contiene todos los datos de la aplicación, como los binarios de la misma. Si la aplicación está diseñada para su distribución a través de App Store, también tendrá algunos archivos de datos y metadatos tipo iTunesMetadata donde se guarda la información sobre el desarrollador y la aplicación, como sucede con el archivo iTunesMetadata.plist. Es común también que encontremos un archivo iTunesArtwork, que es un archivo PNG (a veces JPEG) que se utiliza como icono de la aplicación. Sin dudas esto es solo un pantallazo de la estructura de este tipo de archivos. Nos quedan por resolver varias interrogantes en cuanto a los sistemas de cifrado que se utilizan al generar estos archivos, así como también las características de los binarios que contienen y las arquitecturas y compiladores que estos manejan, Y aunque estos temas exceden los alcances de esta serie de artículos sobre pentesting en aplicaciones iOS, a medida que avancemos en los contenidos iremos complementando estos conocimientos según las pruebas de seguridad que necesitemos ejecutar.
Instalación de aplicación de estudio
Si bien existen diversas aplicaciones que son vulnerables y están preparadas para el ámbito académico, en nuestro caso utilizaremos DVIA (Damn Vulnerable IOS App), la cual utiliza un esquema de vulnerabilidades relacionado al OWASP Mobile Top 10 del cual hablaremos más tarde cuando hagamos referencia a las metodologías de análisis. En esta etapa nuestro objetivo será obtener el archivo .ipa de nuestra aplicación, para luego instalarlo en nuestro dispositivo. Si recordamos el post de Jailbreaking, ya hemos visto cómo instalar aplicaciones ipa en nuestro dispositivo, concretamente hemos visto que podíamos instalar nuestro ipa mediante la herramienta Cydia impactor o bien generando el proyecto con el IDE Xcode para firmar la aplicación. Y si bien estos métodos son absolutamente válidos, en esta oportunidad veremos un método distinto para instalar nuestra aplicación de estudio en el dispositivo. Como hemos mencionado más de una vez, es importante contar con diversas técnicas de manipulación y análisis dado que los escenarios siempre pueden ser muy relativos y pueden obligarnos, por ejemplo, a necesitar tener a mano distintas formas de instalar estos archivos.
Como mencionamos anteriormente, utilizaremos la aplicación DVIA para nuestro caso de estudio, la cual descargamos desde el siguiente enlace.
Abriendo DamnVulnerableiOSApp (DVIA)Nota: Una vez descargado nuestro archivo .ipa procedemos a guardarlo en algún directorio. Para este caso creamos una carpeta llamada Damn, en la cual guardamos el archivo .ipa.
Luego accederemos a un terminal y nos ubicaremos en el directorio donde se encuentra nuestro archivo .ipa, para más tarde ejecutar el comando unzip -x DamnVylnerableiOSApp.ipa y descomprimir el archivo .ipa (recodar que los archivos .ipa básicamente son “.zip”) tal como se muestra en la imagen.
Descomprimiendo el archivo .ipa descargado
Luego de descomprimir nuestro archivo .ipa, si hacemos un ls sobre el directorio veremos que se ha generado una carpeta llamda Payload y otra llamada Symbols, tal como se observa en la siguiente imagen.
Navegando archivos y directorios del archivo ipa descomprimido
Ingresando a la carpeta Payload veremos el directorio DamnVulnerableIOSApp.app, el cual contiene el binario que nos interesa tener en nuestro dispositivo para poder instalar la aplicación. Parados en el terminal sobre la carpeta Payload, nos vamos a ayudar del comando scp ejecutando la siguiente sintaxis scp -r DamnVulnerableiOSApp.app root@tudireccionip:/Applications/. Esto copiará el directorio de la aplicación desde nuestra PC al dispositivo.
Copiando la aplicación al dispositivo
Ingresando por SSH a nuestro dispositivo, si nos ubicamos en la carpeta /Applications y ejecutamos un ls, como lo muestra la siguiente imagen, veremos que se encuentra la aplicación que hemos copiado (DamnVulnerableIOSAPP.app).
Identificando la aplicación que copiamos a nuestro dispositivo
Como se observa, podemos identificar en el directorio Applications la aplicación que hemos copiado. Cabe destacar que en el directorio Applications se encuentran todas las aplicaciones que vienen instaladas por defecto con iOS y también las que están preinstaladas mediante Cydia. Llegado el momento veremos que existe otro directorio donde se guardan las aplicaciones que se instalan desde AppStore, Cydia e ipainstaller, entre otros.
Una vez ubicada nuestra aplicación en el directorio /Applications ingresaremos al directorio de nuestra aplicación y, tal como se muestra a continuación, le daremos permisos de ejecución al binario de la aplicación mediante la ejecución de chmod +x DanmVulnerableiOSApp. Luego, ejecutamos el comando uicache para refrescar el springboard y poder encontrar el icono de la aplicación en nuestro dispositivo.
Concediendo permisos de ejecución al binario de la aplicación que hemos copiado al dispositivo y refrescando el springboard
Tal como lo muestran las siguientes imágenes, una vez ejecutado el comando uicache vemos en el springboard de nuestro dispositivo que se agrega el ícono de la aplicación que nosotros hemos copiado, dando lugar a que podamos ejecutarla y dar por terminado el proceso de instalación.
Identificando y abriendo la aplicación desde nuestro dispositivo
Si bien es cierto que este método no es el más “prolijo” para instalar una aplicación, es una opción válida más que debemos aprovechar cuando tenemos un dispositivo con jailbreak, como es nuestro caso. Como hemos visto a lo largo de estas entregas, existen varios caminos para instalar un archivo .ipa a los que se les puede sumar el uso de herramientas como iFunbox o iTools, que también nos ofrecen recursos para llevar a cabo la instalación de estos archivos en nuestro dispositivo.
El análisis de aplicaciones
Aunque podríamos considerar que tenemos las herramientas básicas para comenzar con nuestros análisis, dado que tenemos nuestro dispositivo con Jailbreak, sabemos cómo instalar herramientas en nuestro dispositivo, y ya hemos instalado una aplicación de estudio que utilizaremos para realizar pruebas, es evidente que empezar a realizar pruebas al azar o sin un orden o fin determinado no tiene mucho sentido. Sin lugar a dudas necesitaremos apoyarnos de referencias que nos guíen por dónde comenzar y terminar nuestros análisis. Para ello hablaremos de OWASP Mobile Security Project, ya que desde este proyecto podemos encontrar no solo herramientas metodológicas, sino también técnicas en cuanto a cómo desplegar auditorías de seguridad sobre aplicaciones móviles, tanto para iOS como Android.
Este proyecto no solo contempla herramientas para auditores de seguridad, sino también para desarrolladores y equipos de seguridad, ofreciendo los recursos que se necesitan para crear y mantener aplicaciones móviles seguras. A través del proyecto, su objetivo es clasificar los riesgos de seguridad móvil y proporcionar controles de desarrollo para reducir su impacto o probabilidad de explotación. Por otra parte, el proyecto contempla un Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS, por sus siglas en inglés) que puede ser utilizado por arquitectos y desarrolladores de software que buscan desarrollar aplicaciones móviles seguras, así como también por auditores de seguridad que quieren garantizar la integridad y coherencia de los resultados de sus pruebas.
Por otra parte, y más enfocados en nuestro rol de auditores, dentro del proyecto también encontraremos una guía llamada Mobile Security Testing Guide (MSTG, por sus siglas en inglés) el cual es un manual completo de pruebas de seguridad e ingeniería inversa en aplicaciones móviles, tanto para iOS como Android, y contempla en su contenido una serie de guías metodológico técnicas con ejemplos prácticos y recomendaciones de herramientas disponibles. Esta guía sin dudas es complementaria a lo que propone al standard MASVS, y también a otro tipo de recursos como las MobileAppSecurityChecklist, que nos servirán para ir contabilizando los controles que debemos ejecutar según lo que nos propone el Mobile Security Testing Guide. Dentro de otros recursos que podemos encontrar es importante mencionar también el OWASP Mobile Top Ten, que nos acerca una clasificación de los 10 riesgos más importantes a los que se ven afectadas las aplicaciones móviles ofreciéndonos una vista general de los controles más importante que debemos contemplar a la hora de realizar nuestros análisis.
Como vemos en la imagen, en la guia MSTG se encuentra un apartado dedicado a iOS.
Guía MSTG
Contenidos de la MSTG
Realmente es muy jugoso el contenido de esta guía, puesto que más allá de ofrecernos controles clasificados y numerados de pruebas, también nos aporta informacion en cuanto a cómo desplegar un ambiente de pruebas, ejemplos concretos tanto para pruebas de análisis dinámico como estático, así como recomendaciones y referencias, entre otra valiosa información.
Si ingresamos a la sección iOS Testing Guide de la MSTG veremos que en principio se despliga información relativa a la arquitectura de seguridad iOS, al entorno necesario de trabajo, y luego a las pruebas que se recomiendan ejecutar según las distintas fases de análisis. Como dijimos anteriormente, cada prueba que vayamos ejecutando según lo que nos recomienda la guía podemos ir contabilizándola en una checklist, tal como se muestra en la imagen a continuación.
Control MSTG-ARCH-2 que se encuentra en la guía MSTG ubicado en la checklist Mobile_App_Security_Checklists
En términos generales, MSTG nos propone la ejecución de unos 90 controles de seguridad correspondientes a los sistemas iOS, aunque por supuesto no siempre aplica la ejecución total de los mismos. Esto dependerá de la estructura de la aplicación, de sus funcionalidades, y del objetivo de análisis, entre otros aspectos que se podrían presentar. Por otra parte, si bien MSTG estructura ordenadamente los diversos controles que podemos ejecutar, a la hora de ejecutar estos controles no debemos olvidar tener presente el OWASP Mobile Top 10, ya que es una manera de complementar los controles que propone MSTG de manera generalizada al exponer, como mencionábamos antes, los 10 riesgos de seguridad más críticos que podría tener nuestra aplicación.
OWASP Mobile Top 10
Pues bien, si bien podemos decir que a partir de esta documentación tenemos una serie de controles de seguridad ordenados que podemos ejecutar, también es cierto que durante todo el análisis tendremos que respetar las fases de un pentesting (recolección de información, búsqueda de vulnerabilidades, explotación de vulnerabilidades, etc.) contemplando llevar a cabo ordenadamente las distintas fases y enfoques de trabajo.
Conclusión
Como vimos, el proceso de realizar pentesting en una aplicación para iOS nos exige conocer sobre metodologías de pentesting y también sobre las tecnologías relacionadas a este tipo de aplicaciones. Fuera de todo estándar y metodología, la experiencia del pentester será radical en el resultado de los análisis, pues como podemos deducir, el pentesting no solo se compone de la ejecución de una serie de pruebas y controles de seguridad ordenados, sino que durante todo el proceso de ejecución hay un gran trabajo de análisis que excede a cualquier guía de ejecución y relaciona todas las fases de ejecución a fin de ser lo más minucioso posible.
Si bien como ya dijimos el formato de estas entregas no intenta ser un curso de pentesting, es interesante considerar estas generalidades que estamos desarrollando como puntos de partida o puntos orientativos para poder iniciarnos en este maravilloso mundo. Siguiendo con esta intención de aportar información introductoria sobre el pentesting en aplicaciones iOS, aprovecharemos que tenemos una aplicación de estudio instalada para abordar en una próxima entrega distintos puntos teórico/prácticos que debemos considerar según la fase de análisis con la que estemos trabajando a fin de formar una serie de recomendaciones que nos pueden ser de utilidad a la hora de hacer pentesting en una aplicación.
Intel ha dado un golpe de autoridad con Alder Lake, la última generación de sus procesadores. Después de un tiempo en el que la compañía se veía un tanto superada por AMD, ha sabido reaccionar de buenas maneras con el 12600K, que al menos en noviembre de 2021 fue capaz de plantarle cara hasta al Ryzen 7 5800X de AMD para erigirse como un procesador top dentro de la gama media.
Sin embargo, cuando aplicamos la revolución que ha supuesto Alder Lake a los sistemas operativos, los resultados resultaron ser, en un principio, decepcionantes para los usuarios de Linux, que vieron cómo Windows 11 mostraba un rendimiento superior en una comparativa realizada por Phoronix en el mismo mes de noviembre de 2021.
Los resultados de aquella comparativa entre Linux y Windows 11 sobre Alder Lake despertó las críticas de algunos usuarios del sistema de código abierto, que acusaron a Intel de haber creado su última generación de procesadores centrándose exclusivamente en Windows. La razón de la derrota de Linux, que muchas veces vence en estas comparativas, fue debido a que todavía tenía cosas por pulir, sobre todo en lo referido a repartir las cargas de trabajo entre los núcleos de alto rendimiento y los de bajo rendimiento.
A pesar de haber centrado sus esfuerzos inicialmente en Windows debido a que ahí está, y con gran diferencia, la mayor cuota de usuarios, eso no significó que Intel hubiese dejado tirado a Linux. Por suerte, con la versión 5.16 del kernel el panorama ha cambiado, lo suficiente como para que la situación frente a Windows 11 se haya invertido según pruebas más recientes realizadas por Phoronix.
Si bien todavía quedan cosas por pulir, Linux 5.16 ha traído importantes mejoras en la gestión y distribución de las cargas de trabajo en los procesadores Alder Lake, las cuales han sido suficientes para doblegar a su rival. Merece la pena mencionar que en Phoronix no se ha empleado el Intel Core i5-12600K, sino el Core i9 12900K, que está orientado al escritorio de gama alta.
En cuanto a las distribuciones que se han enfrentado a Windows 11 en la segunda comparativa, la única que ha logrado superarlo con cierta diferencia ha sido Clear Linux, el sistema “experimental” de Intel. Sendas versiones modificadas de Ubuntu también han logrado superar a Windows 11, mientras que la versión diaria y estándar de la distribución de Canonical ha quedado en última posición.
Si Linux 5.16 ha dado muestras de remontar frente a Windows, lo mejor podría estar por llegar con la futura versión 5.18 del kernel, la cual incorporará, o al menos así está planeado, la Interfaz de Retroalimentación de Hardware Mejorada (Enhanced Hardware Feedback Interface/EHFI), que debería de mejorar todavía más el rendimiento y la eficiencia de los procesadores híbridos Alder Lake.
A pesar de las críticas que recibe desde ciertos círculos, la realidad es que Intel es posiblemente el fabricante que mejor cuida su soporte de Linux, además de ser uno de los principales contribuidores del kernel.
El grupo se responsabilizó de inhabilitar la página web del canal RT en inglés y RT en ruso.
El colectivo de ciberactivistas Anonymous anunció que le declaró la guerra a las autoridades de Rusia, después que Vladímir Putin comunicara en la madrugada de este jueves su decisión de realizar «una operación militar especial» para defender a los habitantes del Donbass.
«El colectivo Anonymous está oficialmente en guerra cibernética contra el Gobierno ruso«, reza la publicación del grupo en su cuenta de Twitter.
The Anonymous collective is officially in cyber war against the Russian government. #Anonymous#Ukraine
En sustentación de su amenaza, el grupo de ‘hackers’ se responsabilizó por la inhabilitación de las páginas web del canal RT en inglés y RT en ruso, a las que no había acceso a las 2:30 de este viernes (GMT). Asimismo, alegó haber atacado «varios» sitios web del Gobierno ruso.
Mientras tanto, en otra cuenta en Twitter que también se atribuye al grupo y cuenta con más de 6 millones de seguidores, apareció una serie de publicaciones sobre sus «operaciones contra la Federación de Rusia». «Hay inevitabilidad de que el sector privado muy probablemente también será afectado», reza uno de los tuits. «Nosotros, como colectivo, solo queremos la paz en el mundo. Queremos un futuro para toda la humanidad. Así, mientras la gente en todo el mundo rompe en pedazos a sus proveedores de Internet, entiendan que esto está totalmente dirigido a las acciones del Gobierno ruso y Putin», destacó.
En paralelo, el Centro de Coordinación Nacional de Rusia para Incidentes Informáticos catalogó como «crítica» la posibilidad de amenaza de ataques cibernéticos en el espacio ruso de información. «Amenaza de ciberataques a los recursos de información rusos. Nivel de amenaza: crítico», informa un boletín del organismo, datado el 24 de febrero.
Durante la jornada anterior, el organismo advirtió sobre un aumento en la intensidad de los ataques informáticos contra los recursos de información rusos, incluyendo algunos de infraestructura crítica informativa en el contexto de la operación militar especial de Rusia para defender el Donbass.
Previamente el jueves a la madrugada, Vladímir Putin anunció su decisión de realizar «una operación militar especial» para defender Donbass. «He tomado la decisión de llevar a cabo una operación militar especial», declaró el mandatario durante un mensaje especial a los ciudadanos rusos, detallando que el objetivo del operativo es «proteger a las personas que han sido objeto de abusos y genocidio por parte del régimen de Kiev durante ocho años».
El Ministerio de Defensa de Rusia aseguró que las Fuerzas Armadas rusas apuntan a la infraestructura militar ucraniana y no están atacando a las tropas rendidas ni a la población civil.
¿Están los días contados para contraseñas como ‘123456’? Mientras que Microsoft impulsa un mundo lejos de las contraseñas, esto es lo que su organización debe considerar antes de desprenderse de ellas.
El concepto “sin contraseña” promete hacer la vida mucho más fácil, tanto para los usuarios como para los departamentos de seguridad. Ofrece la tentadora perspectiva de reducir los costos administrativos, mejorar la productividad y reducir el riesgo cibernético. Sin embargo, a pesar de estos llamativos beneficios, su implementación tanto para las empresas del sector B2C (acrónimo de Business to consumer, en inglés) como para el sector B2B (Business to business) no ha sido tan fuerte como podría haberse esperado.
No obstante, cuando la compañía de software más grande del mundo decide respaldar un nuevo paradigma tecnológico, al menos hay que tomar nota. Hace bastante que Microsoft describió a las contraseñas como “inconvenientes, inseguras y costosas”. En marzo de 2021, la compañía introdujo una solución de autenticación sin contraseña para clientes comerciales. Y, en septiembre, anunció que extendería el soporte para todos los usuarios. Por lo cual, se podría decir que la era de la autenticación sin contraseña finalmente ha llegado.
Cuando las contraseñas ya no son adecuadas para su propósito
Las contraseñas han existido durante casi tanto tiempo como las computadoras y su desaparición ha sido predicha muchas veces. Pero, sin embargo, todavía siguen en uso, asegurando todo, desde aplicaciones corporativas hasta la banca en línea, el correo electrónico y cuentas de comercio electrónico.
El problema es que ahora tenemos demasiadas de estas credenciales para administrar y recordar. Una estimación sugiere que el 57% de los trabajadores estadounidenses han anotado contraseñas corporativas en notas adhesivas, mientras que una encuesta realizada en 2021 por ESET Latinoamérica que el 49% de los usuarios anotan sus contraseñas para no olvidarlas y 38% lo hace en un papel. Y el número crece constantemente a medida que expandimos nuestra huella digital. A modo de referencia, una estimación de octubre de 2020 afirmaba que en promedio una persona utiliza alrededor de 100 contraseñas, casi un 25% más que antes de que comenzara la pandemia.
Desde una perspectiva de ciberseguridad, el desafío con las contraseñas está bien documentado: Proporcionan a los atacantes un objetivo que es cada vez más fácil de obtener mediante robo, ataques de phishing, o mediante fuerza bruta. Una vez que tienen las claves en su poder, los atacantes pueden hacerse pasar por usuarios legítimos, superando los mecanismos de seguridad perimetrales y permaneciendo ocultos dentro de las redes corporativas durante mucho tiempo. Actualmente, el tiempo necesario para identificar y contener una brecha de datos es de 287 días.
Los administradores de contraseñas y métodos como el inicio de sesión único (en inglés, Single Sign-on) ofrecen alguna forma de contención para estos desafíos, almacenando y recordando claves complejas para cada cuenta, para que los usuarios no tengan que hacerlo. Sin embargo, todavía no son universalmente populares entre los consumidores. ¿El resultado? Los usuarios reutilizan en múltiples cuentas credenciales que son fáciles de recordar, tanto para sus cuentas de uso personal como corporativas, quedando expuestos a ataques de fuerza bruta como el credential stuffing.
No se trata solo de riesgos de seguridad. Las contraseñas requieren mucho tiempo y dinero para que los equipos de IT las administren, y puedan agregar una fricción adicional al recorrido del cliente. Las brechas pueden requerir reinicios masivos en grandes volúmenes de cuentas, lo que puede interferir con la experiencia del usuario en entornos B2B y B2C.
Cómo la eliminación de las contraseñas puede beneficiar a su negocio
En este contexto, la autenticación sin contraseña ofrece un gran salto. Mediante el uso de una aplicación de autenticación biométrica, como el reconocimiento facial o una clave de seguridad, o un código único enviado por correo electrónico/mensaje de texto, las organizaciones pueden eliminar de un solo golpe los dolores de cabeza de seguridad y administración asociados con las credenciales estáticas.
Al adoptar este enfoque para operaciones B2B y B2C, las organizaciones pueden:
Mejorar la experiencia del usuario: Haciendo que los inicios de sesión sean más fluidos y eliminando la necesidad de que los usuarios recuerden sus contraseñas. Esto incluso podría impulsar mejores ventas si menos carritos de compras quedan abandonados debido a problemas de inicio de sesión.
Mejorar la seguridad: Si no hay contraseñas para robar, las organizaciones pueden eliminar un vector clave que compromete la seguridad. Se afirma que, el año pasado, las contraseñas fueron las culpables del 84% de las brechas de datos. Al menos esto generará mayor dificultad a los atacantes para obtener lo que buscan. Y en el caso de los ataques de fuerza bruta, que actualmente se registran miles de millones cada año, se convertirán en cosa del pasado.
Reducción en los costos y el daño a la reputación: al minimizar los daños financieros provocados por los ataques de ransomware y las brechas de datos. También reducirá los costos de administración IT asociados con el restablecimiento de contraseñas y la investigación de incidentes. Un informe indica que podría costar hasta 150 euros (200 dólares) por el restablecimiento de cada contraseña y unas 30.000 horas en pérdida de productividad por año. Esto sin mencionar el tiempo extra invertido por los equipos de IT que podrían emplearse en tareas de mayor valor.
¿Qué está frenando la autenticación sin contraseña?
Sin embargo, “sin contraseñas” no es sinónimo de panacea. Aún existen varias barreras para su implementación, incluyendo:
La seguridad no está 100% asegurada: Los ataques de SIM swapping, por ejemplo, pueden ayudar a los atacantes a eludir los códigos de acceso de un solo uso (OTP) enviados vía mensaje de texto (SMS). Y, si los atacantes pueden acceder a dispositivos y máquinas, por ejemplo, vía spyware, también podrían interceptar estos códigos de un solo uso.
La biometría no es infalible: Al autenticarse con un atributo físico que el usuario no puede cambiar o restablecer, el riesgo aumenta si los atacantes encuentran una manera de comprometer el sistema. Ya se están desarrollando técnicas de aprendizaje automático para socavar la tecnología de reconocimiento de voz y de imagen.
Altos costos: Las PyMEs (pequeñas y medianas empresas) con una gran base de usuarios o clientes pueden encontrar que implementar alguna tecnología sin contraseña termina siendo bastante costoso, sin mencionar los potenciales costos involucrados en la emisión de dispositivos o tokens de reemplazo, si corresponde. Usar un proveedor establecido como Microsoft tiene más sentido, aunque habrá un costo de desarrollo interno asociado.
Reticencia del usuario: Hay una razón por la cual las contraseñas han resistido a lo largo del tiempo, a pesar de sus principales deficiencias de seguridad: los usuarios saben instintivamente cómo usarlas. Superar el miedo a lo desconocido podría abordarse más fácilmente en un entorno empresarial, donde los usuarios no tendrán otra opción que seguir las reglas. Pero en un mundo B2C podría crear la suficiente fricción adicional para desmotivar a los clientes. Por lo tanto, se debe tener cuidado para que el proceso de inicio de sesión sea lo más fluido e intuitivo posible.
A medida que la era post pandemia efectivamente comience, hay dos tendencias que serán las que den forma al futuro sin contraseña: un aumento en el uso de servicios en línea para el consumidor y la aparición del trabajo híbrido. Con el dispositivo móvil en el centro de ambos, parece tener sentido que cualquier estrategia corporativa sin contraseñas comience aquí.
