minigaceta 2
DESCRIPTION
MiniGaceta Clase Desarrollo de Software Seguro.TRANSCRIPT
Ciudad Universitaria, 20 de Marzo de 2015
Número 2.
¿Linux y OS X son más vulnerables que Windows?
Ahora podrás proteger tu
smartwatch.
En el 2014 OS X y Linux registrarón más vulnerabilidades que Windows, según estudio de GFI sobre
los datos oficiales del repositorio del gobiero estadounidense National Vulnerability Database.
Intel anuncia la inclusión de la suite de seguridad McAfee Mobile Security Suite en el nuevo reloj inteligente LG Watch Urbane.
Solo 20% de los usuarios no realizan ningun tipo
de respaldo.
Compromete la seguridad de sus clientes con software malicioso
R.I.P. EXPLORER
pag.14
pag.7
pag. 4
pag. 10
pag. 12
2 20 de Marzo de 2015
L a compañía de seguridad ad-
vierte que se han detectado
200.000 nuevas muestras de malware
al día durante ese año, considerado
como el de “los grandes ciberataques”.
El tipo de malware más generado ha
sido el troyano: casi el 70 % del total
el año pasado. Este código malicio-
so, a diferencia del virus informático
convencional, es utilizado por el ata-
cante para acceder de forma remota
a los equipos infectados sin levantar
sospechas.
Cryptolocker ha sido uno de los troy-
anos protagonistas de ciberataques el
año pasado; su modalidad es el ran-
soware, es decir un tipo de código
que permite al atacante restringir el
acceso a determinados archivos de
sistemas infectados y que no resuelve
hasta que la víctima paga dinero por
ello. Por su parte, sólo en 2014 Pan-
daLabs ha detectado y neutralizado
75 millones de nuevas muestras de
malware, cifra por encima del doble
de la registrada en 2013, cuando se
detectaron cerca de 30 millones.
El total de ordenadores contabiliza-
dos como infectados el año pasado
ascendieron al 30,42 %, según los
datos. Por zonas geográficas, China
ha repetido como país con mayor
número de máquinas infectadas, casi
la mitad de ellos, el 49 %. Le siguen
Ecuador, el 42,33 %, y Turquía, el
41,53 %. Otros países por encima
de la media mundial en 2014 fueron
Colombia (33 %) y Uruguay (33 %);
España superó ligeramente la me-
dia mundial, con un 31 % de orde-
nadores infectados en 2014.
En el lado opuesto figuraron los
países escandinavos: Suecia (20 %),
Noruega (20,3 %) y Finlandia (21
%). Entre los diez países con menor
índice de infección en 2014 había
nueve europeos además de Japón.
Sólo en 2014 se creó el 34% de malware de la historia
“Según el último informe anual de PandaLabs, sólo en 2014 se creó el 34 % de todo el código malicioso generado hasta el momento”
Referencia: http://muyseguridad.net/2015/03/02/malware-historia
20 de Marzo de 2015 3
CIA intenta hackear el iPhone de Apple desde su lanzamiento
Investigadores de la Agencia Cen-
tral de Inteligencia estadoun-
idense (CIA) han trabajado durante
casi una década para hackear el iP-
hone de Apple rompiendo su sistema
de cifrado, según informa The Inter-
cept con base en un nuevo filtrado de
Edward Snowden citando documen-
tos secretos.
Según el informe, “las claves de se-
guridad esenciales “que se utilizan
para cifrar los datos almacenados en
los dispositivos de Apple se han con-
vertido en un importante objetivo del
equipo de investigación de la CIA. Y
no no extraña ante los millones de
dispositivos vendidos.
El arma de la CIA para hackear el iP-
hone (y también el iPad) habría sido
Xcode, la herramienta de desarrol-
lo de aplicaciones que utiliza Apple
para crear la gran mayoría de las apli-
caciones del sistema operativo iOS.
La idea era que el software de desar-
rollo comprometido permitiera a la
CIA, NSA u otras agencias de espi-
onaje, inyectar una puerta trasera en
los programas distribuidos en la tien-
da oficial App Store de Apple.
La versión “personalizada” de Xcode
podría ser utilizada para espiar a los
usuarios, robar contraseñas, infor-
mación de cuentas, interceptar co-
municaciones y desactivar funciones
de seguridad básicas de desactivar los
dispositivos de Apple.
También se cita un intento de hackeo
en OS X para instalar un “keylogger”
en los ordenadores Mac.
Apple ha respondido que no ha co-
laborado con ninguna agencia guber-
namental para facilitarles acceso de
ningún tipo y que no piensan hacerlo
en ningún momento.
En todo caso una nueva y preocu-
pante información sobre estos pro-
gramas de vigilancia masiva que no
hacen sino sembrar una total descon-
fianza en las grandes tecnológicas es-
tadounidense y pueden afectar a sus
cifras de negocio.
Referencias: http://muyseguridad.net/2015/03/11/hackear-el-iphone-cia
4 20 de Marzo de 2015
Casi el 20 % de los usuarios de móvil no realiza nunca una copia de seguridadL a compañía de seguridad ESET
ha anunciado los resultados de
un estudio realizado durante enero
y febrero a través de redes sociales
a usuarios de teléfonos inteligentes.
Las conclusiones arrojan que, en los
últimos doce meses, el 9,7 % perdió
su dispositivo o sufrió el robo del
mismo. Además, el 29,3 % de los en-
cuestados afirma que no bloquea el
dispositivo y el 19,7 %, que no realiza
copias de seguridad de los conteni-
dos almacenados en el móvil.
Por otro lado, según el estudio el 35,7
% de los usuarios sólo la lleva a cabo
a veces (el 14,7 % a diario, el 19,9 %
semanalmente y el 10 % cada mes).
Una de las mejores herramientas de
protección es el propio bloqueo del
dispositivo. Sin embargo, el 29,3 %
de los encuestados no bloquea su dis-
positivo ni tan solo la pantalla frente
a accesos no deseados. Por otra par-
te, los que sí bloquean el móvil optan
mayoritariamente por el bloqueo
mediante un número PIN (el 55,3
%); frente a un 12,5 % que utiliza la
huella dactilar y un 3 % que prefiere
el reconocimiento facial.
Una de las formas más sencillas de
proteger el acceso a las redes cor-
porativas y a los mensajes de correo
personales es utilizar la autenticación
de doble factor. En este sentido, el es-
tudio llevado a cabo por ESET mues-
tra cómo el 64,9 % de los encuestados
utiliza la autenticación para acceder a
servicios online (por ejemplo, medi-
ante mensajes de texto). Esto es espe-
cialmente importante para servicios
como banca online, a la que accede
el 53 % de los usuarios. Además, el
estudio muestra la importancia de
proteger la información depositada
en la nube; el 26,9 % de los usuarios
encuestados afirma utilizar exclusiv-
amente servicios cloud mientras que
el 23,1 % utiliza tanto servicios en la
nube como hard drive para guardar
información.
Referencia: http://muyseguridad.net/2015/03/04/copia-de-seguridad
“RECUERDA RESPALDAR TU INFORMACIÓN CADA CIERTO
PERIODO”
20 de Marzo de 2015 5
Desarrollado por HP Security
Research, la firma estadoun-
idense ha publicado su Informe an-
ual del Ciberriesgo 2015, ofreciendo
investigación de amenazas y análisis
en profundidad sobre la mayor parte
de los problemas de seguridad que
han afectado a las empresas durante
años pasados y los que se esperan
para este año.
Una de las principales conclusiones
del informe, establece que el panora-
ma de amenazas contra la seguridad
está plagado de vulnerabilidades
conocidas y como muestra, los 10
principales ataques que tuvieron
lugar en 2014 se aprovecharon de
debilidades conocidas en sistemas
implementados hace años, incluso
décadas, como explica Art Gillil-
and, vicepresidente senior y director
general del HP Enterprise Security
Products:
“Muchos de los principales riesgos de
seguridad son problemas conocidos
por nosotros desde hace décadas y de-
jan a las organizaciones expuestas a
riesgos de forma innecesaria… No po-
demos olvidar la defensa contra estas
conocidas vulnerabilidades y confiar
en la seguridad que nos ofrecerá la
próxima innovación tecnológica. Las
organizaciones deben utilizar tácticas
de seguridad para hacer frente a las
vulnerabilidades conocidas y, a su
vez, eliminar los riesgos”
Otras de las conclusiones de HP
Security Research son:
El 44% de las brechas conocidas
proceden de vulnerabilidades que
nacieron hace entre 2 y 4 años. Los
cibercriminales continúan imple-
mentando técnicas conocidas para
comprometer los sistemas y las
redes. Todas y cada una de las 10
principales vulnerabilidades que
tuvieron lugar en 2014 aprovechaban
código escrito hace años, incluso
décadas.
•Lasdesconfiguracionesde
los servidores ha sido la principal
vulnerabilidad. Por encima de vul-
nerabilidades como la privacidad y
los problemas de seguridad causados
por las cookies, las desconfigura-
ciones de los servidores dominaban
la lista de las preocupaciones de
seguridad en 2014, proporcionan-
do a los adversarios un acceso a los
archivos, dejando a la organización
susceptible de sufrir un ataque.
•Sehanintroducidonuevas
vías de ataque a través de los dis-
positivos conectados. Además de
HP Security Research pu-blica el Informe anual del Ciberriesgo 2015
6 20 de Marzo de 2015
los problemas de seguridad que ha
causado el Internet de las Cosas, en
2014 se produjo un aumento en el
nivel de malware para dispositivos
móviles. Puesto que el ecosistema i
informático continúa ampliándose,
a menos que las empresas tomen
la seguridad en consideración, los
cibercriminales continuarán descu-
briendo puntos de acceso.
•Laprincipalcausade
ataques a software son defectos,
errores y fallos. La mayoría de las
vulnerabilidades se deben a un
pequeño número de errores en la
programación del software. Tanto las
antiguas como las nuevas vulnera-
bilidades están siendo aprovechadas
por los atacantes.
El grupo de investigación de HP
también ofrece recomendaciones
como:
•Sedebeutilizarunaamplia
estrategia de parcheado para garan-
tizar que los sistemas están actual-
izados con las últimas soluciones de
seguridad para reducir la probabili-
dad de sufrir ataques.
•Elanálisisregularde
penetración y verifi-
cación de configura-
ciones por entidades
externas e internas
puede identificar los
errores de configura-
ción antes de que los
cibercriminales los
ataquen.
•Mitigarelriesgo
que puede suponer
la adopción de una
nueva tecnología antes de incluir-
la en una red.Con la aparición de
nuevas tecnologías comoInternet of
Things (IoT), es necesario que las
organizaciones se protejan contra las
vulnerabilidades de seguridad en-
tendiendo las nuevas vías de ataque
antes de que las utilicen.
•Lacolaboracióneinteligen-
cia de amenazas compartida es clave
para hacer frente a las amenazas
en la industria de seguridad. Esto
permite a las organizaciones ganar
visibilidad en las tácticas del adver-
sario, permitiendo una mejor defen-
sa proactiva, fortaleciendo la protec-
ción ofrecida por las soluciones de
seguridad y un entorno más seguro.
•Sedebeadoptarunaestrate-
gia de protección complementaria
con una continua mentalidad de
“asumir brechas”. No hay ninguna
solución mágica, por los que se debe
implementar una estrategia com-
plementaria, tácticas de seguridad
por capas para garantizar la mejor
defensa.
El informe del Ciberriesgo de HP es
publicado anualmente por HP Secu-
rity Research, ofreciendo un número
de recursos externos e internos para
desarrollar el informe, incluyendo
HP Zero Day Initiative, HP Fortify
on Demand, HP Software Security
Research y ReversingLabs.
Referencia: http://muyseguridad.net/2015/02/26/hp-security-research-in-forme
20 de Marzo de 2015 7
Antivirus para smartwatches, en marcha
Intel ha anunciado la inclusión de
la suite de seguridad McAfee Mo-
bile Security Suite en el nuevo reloj
inteligente LG Watch Urbane que
la firma ha presentado en el MWC
2015.
Los antivirus para smartwatches es-
tán en marcha, como vemos. Lo ex-
plica el CEO de Intel, Brian Krzanich:
“Aunque podemos pensar que un re-
loj es un dispositivo simple, recoge
datos como frecuencia cardíaca y al-
gunas personas pueden estar preocu-
pados que sus datos personales sal-
gan a la luz”
Recordemos que los wearables de úl-
tima generación como relojes inteli-
gentes y especialmente las pulseras
cuantificadoras, están especialmente
destinados a monitorizar datos per-
sonales relativos a la actividad física
y a la salud.
Bien conectados con Wi-Fi, Blue-
tooth 4.0, 3G/4G o GPS, los wear-
ables son igual de vulnerables que
un dispositivo móvil como un smart-
phone o tablet. Los 200.000 millones
de dispositivos conectados bajo la
Internet de las Cosas previstos para
la próxima década va a suponer un
enorme reto en materia de seguridad.
Y ya sabemos que los registros médi-
cos son una mina de oro para la ciber-
delincuencia alcanzando un gran val-
or en el mercado negro por los datos
que contienen, como número de Se-
guridad Social, domicilio, registros
de seguro, registros de nacimiento,
datos familiares, información de fac-
turación, medicamentos e historial
médico.
Referencia: http://muyseguridad.net/2015/03/07/antivirus-para-smart-watches.
8 20 de Marzo de 2015
IBM descubre vulnerabilidad en Dropbox para Android
E l Equipo de Investigación de Se-
guridad de Aplicaciones X-Force
de IBM descubrió una vulnerabilidad
en el SDK de Dropbox para Android
que permite a los atacantes conectar
aplicaciones en dispositivos móviles
con una cuenta de Dropbox controla-
da por el atacante, sin el conocimiento
o la autorización de la víctima.
La vulnerabilidad puede explotarse
de dos maneras: utilizando una app
maliciosa instalada en el dispositivo
del usuario o bien remotamente, utili-
zando técnicas “drive-by”. Sin embar-
go, no puede explotarse si la app del
Dropbox está instalada en el disposi-
tivo.
Al descubrir la vulnerabilidad, el equi-
po de IBM divulgó en forma privada
el problema a Dropbox. La respuesta
de Dropbox a esta amenaza de segu-
ridad fue particularmente notable, ya
que acusaron recibo de la notificación
en tan sólo seis minutos, confirma-
ron la vulnerabilidad dentro de las 24
horas y sacaron un parche en tan solo
4 días.
Esto indudablemente muestra el
compromiso de la compañía con la
seguridad: fue uno de los tiempos de
respuestas más rápidos que el equipo
de IBM Security ha visto en su larga
historia de investigación de vulnerabi-
lidades.
Con una solución de parche dis-
ponible, es recomendable especial-
mente a los desarrolladores que ac-
tualicen su biblioteca Dropbox SDK.
Además, los usuarios finales (dueños
de los dispositivos) se les recomien-
da actualicen sus apps que dependen
del SDK y se recomienda instalar la
app de Dropbox, que hace que sea
imposible explotar la vulnerabilidad;
esto se debe a que el código SDK vul-
nerable no se invoca cuando la app lo-
cal de Dropbox está instalada.
Referencia: http://www.debate.com.mx/digital/IBM-descubre-vul-nerabilidad-en-Dropbox-para-An-droid-20150313-0150.html
20 de Marzo de 2015 9
Ahora podrás desbloquear tu celular con los ojosPrimero fue la contraseña,
después de la huella digital y
ahora tus ojos servirán como un el-
emento de seguridad en tus dispos-
itivos móviles, porque es imposible
clonarlos, copiarlos u ocuparlos
cuando has muerto.
Una de las tendencias observadas en
el Mobile World Congress 2015 fue
justamente el lanzamiento de dispos-
itivos que utilizan el reconocimiento
del iris o los vasos sanguíneos para
identificar al usuario y permitir que
desbloquee el dispositivo o, bien, ac-
ceda a determinadas aplicaciones del
teléfono móvil o la tablet.
ZTE con el smartphone Grand S3
cuenta con tecnología de EyeVerify
para leer los vasos sanguíneos que se
encuentran en la zona blanca del ojo,
mientras que Fujitsu prefirió la lectu-
ra del iris en sus equipos.
Según representantes de la empresa
china, eligieron la lectura de los vasos
sanguíneos, porque se trata de una
tecnología mucho más barata porque
lo único que se requiere es el software
para hacer funcionar la cámara.
Creo que el iris es más complicado,
porque necesitas un hardware espe-
cial, pero si usas nuestro sistema se
trata de un software y es más seguro
que la huella digital, porque nadie
puede clonar tus ojos”, afirmaron los
voceros a Excélsior.
Y es que su software puede ocuparse
en teléfonos móviles o tablets y es
funcional incluso para el sistema fi-
nanciero, cerca de ocho mil bancos
usan su aplicación.
En lo que respecta al smartphone de
Fujitsu que utiliza el reconocimien-
to de iris se trata de un equipo aún
en desarrollo, ya que se requiere una
cámara especial para poder detectar
dicha parte del ojo.
El hardware necesario para leer el
iris podría añadirse como un acce-
sorio para quienes deseen este nivel
de protección, ya que sirve tanto para
desbloquear el equipo como para
abrir algunas aplicaciones.
Referencia: http://eldiariodechihua-hua.mx/notas.php?seccion=Econo-mia&f=2015/03/07&id=da3a9129b-fe71a59d3aa11fb75b60ba2
10 20 de Marzo de 2015
R.I.P Internet Explorer, Microsoft finalmente decide jubilarlo Tras muchos intentos fallidos
de revivir al que una vez fue el
navegador dominante, Microsoft fi-
nalmente decidió dar borrón y cuen-
ta nueva para lanzar un navegador
totalmente adaptado a las actuales
tendencias.
Microsoft confirmó que abandonará
al mítico Internet Explorer, tal y
como presagiaban algunos medios
de comunicación. Y es que Microsoft
tenía ya varias semanas insinuándo-
lo.
Esta noticia no sorprende a la may-
oría, pues desde hace varios años la
fama de IE era muy mala; y aunque
la versión 10 fue bastante elogia-
da por sus usuarios, lo cierto es que
la mayoría no se animaba a dejar a
sus navegadores favoritos por otro
navegador que no no tenía muy buen
prestigio.
Project Spartan y pretende ser el nue-
vo navegador de Windows en todas
sus plataformas. Se trata de una ren-
ovación completa y no sólo una actu-
alización.
Destacan tres aspectos muy atractivos
para una mejor navegación. El prim-
ero es la posibilidad de escritura de
notas a mano durante la navegación,
es decir, con una stylus, en cualquier
página web, controladas por la apli-
cación de One Note, actualmente di-
sponible en Outlook.
La segunda es un display de lectura
para textos largos. Esta característica
es una de las mejoras más interesates,
pues no se necesita un complemento
u actualización sino que ya está pre-
instalada la función en el navegador,
lo que hacen tener una compatibili-
dad mucho más funcional.
Por último, Cortana se incorpo-
ra a Spartan. El asistente personal
se encargará de recomendaciones,
busquedas referenciadas, recordato-
rios y preferencias, vía voz o análoga,
lo que enriquecerá la buqueda de in-
ternet en Windows.
Sin duda, se espera que Spartan
renueve la imagen del navegador de
Microsoft, por lo que será una pro-
puesta completamente nueva y dif-
erente a la última versión de Inter-
net Explorer. Sin embargo, la pelea
será complicada pues Chrome, el
navegador de Google, tiene una am-
plio margen de ventaja ante el recién
llegado Spartan.
Referencia: http://www.pcworld.com.mx/Articulos/34054.htm
20 de Marzo de 2015 11
Google sufre el fallo de seguridad más grande de su historia
Google filtró los datos de 282.000
dominios registrados a través
de uno de sus servicios Google Apps
for Work, una brecha de seguridad de
Google que ha hecho públicos cientos
de números de teléfono, direcciones
de correo electrónico, nombres y
demás tipo de información privada de
empresas y usuarios.
Fueron los investigadores de Cisco
Systems los que descubrieron una de
las mayores brechas de seguridad de
Google.
En total, según Cisco Systems, estos
datos representan el 94% de las di-
recciones de Google Apps que se han
registrado a través de eNom. Entre los
servicios que promete esta compañía,
se encuentra el de proteger toda la in-
formación personal
incluida en los reg-
istros de dominio.
Fue a partir de
mediados de 2013
cuando un defec-
to de software en
Google Apps for
Work empezó a
filtrar los datos de
miles de usuarios
que vieron su información privada
aireada en Internet.
Esta fuga afectó tanto a dominios
con información falseada de usuarios
como a los que dieron sus datos reales.
Hasta ahora la mayoría de los afecta-
dos no han sido conscientes de esta
brecha de seguridad de Google y su
consiguiente filtrado de información
ya que desde 2013, este hecho ha sido
ocultado por la compañía.
Pero ahora este fallo de seguridad ha
sido tan grande que Google no ha
tenido más remedio que mandar un
correo electrónico informando a sus
usuarios sobre la violación de sus da-
tos.
Aunque es cierto que no es particular-
mente fácil, obtener acceso a estos da-
tos, sobre todo ahora que han pasado
dos semanas desde que Google los ha
vuelto a ocultar, los que sí sepan cómo
acceder a este tipo de información
filtrada es posible que comiencen a
venderla en el mercado negro.
Esta impresionante brecha de seguri-
dad de Google es un poderoso recor-
datorio de lo importante que es ser
consciente de lo que registramos en la
Red.
Referencia: http://computerhoy.com/no-ticias/software/google-sufre-fallo-seguri-dad-mas-grande-su-historia-25599
12 20 de Marzo de 2015
Lenovo compromete la seguridad de sus clientes con software maliciosoEl término bloatware es utilizado
para referirse al software que vi-
ene preinstalado en ciertos equipos,
sobre todo computadoras, y que no
hace otra cosa más que inflar la can-
tidad de datos almacenados, es decir,
sólo ocupa espacio y es inútil o mo-
lesto.
Por ejemplo, muchos teléfonos An-
droid vienen precargados de fábrica
con aplicaciones que sólo hacen más
lentos los equipos y no suponen nin-
guna ventaja para el usuario.
Esta práctica es común en la mayoría
de fabricantes, pero ahora ha llegado
a un punto alarmante.
Durante septiembre de 2014 y hasta
la fecha, Lenovo, la principal vende-
dora de computadoras personales en
el mundo, ha incluido en sus equi-
pos nuevos un software dedicado a
mostrar publicidad en los sitios que
visitan sus usuarios.
Esto no sólo supone una invasión a la
privacidad de sus consumidores, sino
que los expone a un riesgo enorme de
seguridad.
Se ha confirmado que dicho software,
conocido como Superfish, se instala
como un emisor de certificados de
seguridad autorizados en el sistema o,
lo que es lo mismo, puede infiltrarse
en las conexiones “seguras” utilizadas
al entrar a portales bancarios u otros
que utilicen tecnología de cifrado.
Sin embargo, Superfish fue identifica-
do como un software malicioso que
registra conexiones cifradas, una mo-
dalidad que puede permitir a terceros
a aprovechar esta brecha para vulner-
ar la privacidad de los usuarios de los
equipos de Lenovo que cuentan con
este programa.
La forma en la que intercepta las
comunicaciones con dichos por-
tales deja huecos que pueden ser
aprovechados por terceros para in-
yectar código malicioso en las com-
putadoras o incluso robar sus datos.
El problema no termina simplemente
desinstalando dicho software, ya que
componentes del mismo quedan ac-
tivos y, por tanto, las vulnerabilidades
permanecen.
Referencia: http://ntrzacatecas.com/2015/02/20/lenovo-comprom-ete-la-seguridad-de-sus-clientes-con-soft-ware-malicioso/
20 de Marzo de 2015 13
Google mejora su tecnología de Navegación Segura
Google ha destacado las últimas
mejoras implementadas en su
tecnología de Navegación Segura,
creada para proteger a los usuarios –
tanto en Google como en otros sitios
en la web – ofreciéndoles la infor-
mación que necesitan para evitar los
peligros en la red.
Los sitios peligrosos detectados por
Navegación segura se dividen en dos
categorías: sitios que atacan a los usu-
arios de forma intencionada, ya sea
con malware,phishing o software no
deseado que es engañoso o difícil de
desinstalar; o sitios que atacan a los
usuarios de forma no intencionada
debido a que han sido vulnerados
como en los ataques a los mismos
portales sin que el propietario tenga
conocimiento.
Cuando se detectan estos sitios, el
sistema advierte a los usuarios so-
bre los peligros con un aviso en los
navegadores web Chrome, Firefox o
Safari y advierte a los propietarios u
operadores de sitios web.
Google explica que de la misma for-
ma que los creadores de malware
evolucionan en sus ataques, la firma
ha mejorado esta tecnología, inte-
grándola en productos Google y ex-
tendiéndola a software de terceros,
incluyendo:
•API de Navegación segura:
Distribuimos de manera gratuita los
datos de Navegación segura a los de-
sarrolladores y, además, esta semana
estamos incorporando información
sobre sitios que alojan software no
deseado, permitiendo a los desarrol-
ladores mejorar la protección de sus
usuarios.
•Chrome: Antes de que un
usuario visite un sitio que contenga
software no deseado o intente des-
cargar algo peligroso, nosotros les
mostramos una advertencia clara.
•GoogleAnalytics:Reciente-
mente integramos las notificaciones
de Navegación segura a Google An-
alytics para que los propietarios de
sitios puedan tomar medidas inme-
diatas para proteger a sus usuarios
en caso de que exista algún prob-
lema con su sitios web. Antes, sólo
mostrábamos estas advertencias a
través de nuestro servicio de Herra-
mientas para webmasters de Google.
•Anuncios: También hemos
comenzado recientemente a identi-
ficar los anuncios dirigidos a usuari-
os determinados que son utilizados
para difundir software no deseado.
Navegación segura muestra más de 5
millones de advertencias por día en
todo tipo de sitios maliciosos y con
software no deseado, y descubre más
de 50,000 sitios de malware y más de
90,000 sitios de phishing mensual-
mente.
Referencia: http://ntrzacatecas.com/2015/02/20/lenovo-comprom-ete-la-seguridad-de-sus-clientes-con-soft-ware-malicioso/
14 20 de Marzo de 2015
OS X y Linux registraron más vulnerabilidades que Windows en 2014OS X y Linux registraron más
vulnerabilidades que Win-
dows en 2014, según estudio de GFI
sobre los datos oficiales del reposito-
rio del gobierno estadounidense Na-
tional Vulnerability Database.
Los datos pueden sorprender a más
de uno teniendo en cuenta las cifras
de años anteriores, la “fama” de cada
uno de los sistemas operativos y que
la cantidad de malware programado
para sistemas Windows en el escrito-
rio informático es muy superior a la
de OS X y Linux, básicamente por su
amplísima cuota de mercado.
En esta valoración se tienen en cuenta
únicamente los sistemas operativos y
no software propio o de terceros que,
como muestra también el estudio,
suele ser la principal fuente de prob-
lemas de seguridad. En cualquier
caso ahí está el dato: Mac OS X, iOS y
el kernel de Linux coparon las prime-
ras posiciones en número de vulnera-
bilidades en 2014, con 147, 127 y 119
registradas respectivamente:
En cuanto a aplicaciones, los
navegadores web de Microsoft en-
cabezan el listado confirmando lo que
hablábamos anteriormente. Flash y
Java son los productos con más prob-
lemas de seguridad y el objetivo pre-
dilecto de los cibercriminales para
extender el malware.
En global, se añadieron 7.038 vul-
nerabilidades en 2014 a la National
Vulnerability Database. El 83% de
las vulnerabilidades detectadas están
relacionadas con aplicaciones, el 13%
en sistemas operativos y el 4% en el
hardware.
Referencia: http://muyseguridad.net/2015/02/25/vulnerabilidades-osx-li-nux-windows
20 de Marzo de 2015 15
Investigadores descubren un bug de seguridad importante en los navegadores de Apple y Google
Aunque la noticia hace
referencia a Apple, no es
la única afectada por este bug
de seguridad y es que según la
publicación del The Washington Post,
unos investigadores han descubierto
recientemente un importante fallo de
seguridad tanto en el software creado
por Google como en el de Apple.
Esto ha dejado a muchos dispositivos
vulnerables ante diferentes intentos
de hacking.
El exploit para ser más concretos se
ha denominado “FREAK” (Factoring
Attack on RSA-EXPORT Keys), esta
vulnerabilidad se debe en realidad
a una
política del
gobierno de
los Estados
Unidos la
cual impide
que las
e m p r e s a s
usen en
todo el
código un
c i f r a d o
de alta seguridad, en su lugar se les
exige crear puntos vulnerables que
solamente ellos conocen.
Estas políticas un tanto discutibles
se llevan utilizando hace más de una
década, incluso ahora también se
practica con equipos vendidos dentro
de los Estados Unidos. La existencia
de este tipo de cifrado menos eficaz ha
pasado “desapercibido” durante años
hasta ahora, y remarco hasta ahora
debido a que unos investigadores han
podido encontrar la forma de forzar a
los navegadores del sistema a usar un
tipo de cifrado de 512 bit más débil
para luego poder romperlo.
Estos investigadores creen que la
vulnerabilidad puede ser usada para
lanzar ataques contra sitios web e
infiltrarse para robar contraseñas,
datos sensibles o infectar otros
equipos. Estas afirmaciones han
sido probadas en diferentes pruebas
donde los cifrados del software
expuesto fueron traspasados en un
total de siete horas donde más de una
cuarta parte de los sitios web cifrados
resultaron ser vulnerables.
Los investigadores que descubrieron
esta vulnerabilidad ya han notificado
a las instancias del gobierno y a las
principales empresas de tecnología
para solucionar el problema antes
de que sea ampliamente publicitado.
Según la portavoz de Apple,
Trudy Miller, la compañía estaría
preparando un parche de seguridad
que verá la luz la próxima semana
tanto para equipos portátiles y de
sobremesa como para dispositivos
móviles.
Referencia: http://www.soydemac.com/unos-investigadores-descu-bren-un-bug-de-seguridad-impor-tante-en-el-software-de-apple/
20 de Marzo de 2015 17
Intetegrantes: Pérez Castillo Mauricio. Editor, Diseñador. Pérez Ortiz Cynthia. Redacción y fotografía.
Torres Martínez Carlos Coordinador, Redacción.
Contactanos: Tel. 26156325
Correo: [email protected]
DESARROLLO DE SOFTWARE
SEGURO.