25 de julio de 2014

PIRATERIA. Hacker ataca la web del BCE y roba 20.000 direcciones de email

El 'hacker' exigía dinero a cambio de los datos, que no contenían información sensible
"Lamentamos informarle de que se ha producido una violación de las normas de seguridad en la base de datos de la página web del Banco Central Europeo (BCE)". Este es el mensaje que el organismo que encabeza Mario Draghi ha enviado hoy para informar de que su página web ha sido pirateada. Una portavoz de la entidad ha señalado que el número de direcciones de correo electrónico robadas asciende a 20.000, además de otros datos relacionados con las personas que se daban de alta en la página para asistir a seminarios u otros actos organizados por el BCE.
El organismo ha señalado que el robo no ha afectado a ninguna información que pueda afectar al mercado."La base de datos sirve a parte de la página web que recoge información relacionada con conferencias, visitas u otros eventos. Esta parte está separada físicamente de los sistemas internos del BCE", señala la entidad en un comunicado.
El robo se destapó el pasado lunes, cuando el BCE recibió un correo electrónico anónimo que le exigía dinero a cambio de las direcciones robadas. El organismo asegura que, pese a que la mayor parte de la información que tiene en su base de datos está encriptada, datos como correos electrónicos, direcciones postales y números de telefóno no estaban protegidos. Y esos son a las que accedieron los piratas informáticos.  "Ningún sistema interno se ha visto comprometido," aseguran en el organismo.
El BCE está poniéndose en contacto con las personas cuyos emails u otros datos pueden haberse visto afectados y está cambiando todas las contraseñas como medida de precaución. "La policía alemana ha sido informada y hemos dado los pasos necesarios para que una situación así no vuelva a repetirse", señala el banco en el email enviado a su listado de contactos.
Fuente: El Pais.com

¿CONTROL O VIGILANCIA?. Apple "admitió involuntariamente" instalar puertas traseras en iOS

 Tal vez por las prisas por desmentir un análisis que la inculpaba de instalar una puerta trasera en su sistema operativo móvil iOS, Apple habría "admitido involuntariamente" la acusación, según un científico forense, experto en iOS y ex pirata informático.
El científico forense Jonathan Zdziarski durante la conferencia anual de hackers HOPE X, realizada la semana pasada en Nueva York, causó gran revuelo al publicar una presentación donde explicaba que Apple ha creado “varios servicios y mecanismos” que permiten a Apple – y, potencialmente a organismos gubernamentales o terceros- extraer gran cantidad de datos personales de los dispositivos iOS. Según el experto, no hay manera de impedir la fuga de datos, junto con no haber consentimiento expreso otorgado por los usuarios finales.
Esta sería la respuesta de Apple, transcrita por Zdziarski en su blog:
  • “Hemos diseñado iOS para que sus funciones de diagnóstico no pongan en peligro la privacidad del usuario y la seguridad; pero que aún así proporcionen la información necesaria a los departamentos de TI de las empresas, desarrolladores y Apple para solucionar problemas técnicos. Es necesario que el usuario haya desbloqueado el dispositivo, y acordado confiar en otro equipo, antes que éste equipo tenga la capacidad de acceder a estos datos de diagnóstico limitados. El usuario debe estar de acuerdo en compartir esta información, y los datos nunca son transferidos sin su consentimiento. Como hemos dicho antes, Apple nunca ha trabajado con ninguna agencia del gobierno de cualquier país para crear una puerta trasera en cualquiera de nuestros productos o servicios”
  • En este contexto, la última frase parece haber sido cuidadosamente redactada. Zdziarski no ha dicho que Apple haya trabajado con la NSA, o cualquier otro organismo, con el fin de crear una puerta trasera. De acuerdo con su presentación en Nueva York, el experto asegura que la propia Apple ha creado servicios indocumentados, los cuales pueden ser utilizados por Apple, y potencialmente por entidades como la NSA, para extraer los datos de carácter personal. El enfoque es, por lo tanto, distinto, y podría constituir un intento de Apple por desviar la atención del tema real.
Conclusión de Zdziarski
  • La conclusión del experto es rotunda: “No me lo creo por un minuto que estos servicios hayan sido creados exclusivamente con fines de diagnóstico. Los datos que filtran son de naturaleza extremadamente personal. No hay notificación al usuario. Una verdadera herramienta de diagnóstico habría sido diseñada para respetar el usuario, presentando un cuadro de diálogo al intentar acceder a los datos, así como lo hacen otras aplicaciones. Asimismo, respetarían el cifrado de seguridad”.
  • El experto concluye su nota con la siguiente pregunta: “Dime, ¿cuál es la idea al prometer cifrado al usuario, instalando a la vez una puerta trasera que lo elude?”
Fuente: Diarioti.com

MALWARE. Detectado código de nivel gubernamental en malware de ciberdelincuentes

 Cibercriminales han acoplado programas maliciosos de nivel gubernamental en ransomware corriente y troyanos bancarios. La intención es reforzar la capacidad del malware de evitar la detección y bloqueo.
El sitio de seguridad Sentinel Labs ha detectado una variante del malware Giges instalada en otro malware. La empresa ha estado estudiando durante años instancias de malware desarrollado por hackers patrocinados por estados nacionales.
Detalle del malware detectado
  • El código fuente, originario de Rusia, ha sido utilizado para eludir software de seguridad de tipo sandbox, que imita actividades del usuario con el fin de activar la ejecución de malware en el contenedor sellado. Otras características del código incluyen técnicas altamente avanzadas para bloquear la depuración e ingeniería inversa, ambos utilizados por los investigadores de seguridad en el análisis de malware.
  • Precisamente el nivel de sofisticación llevó a los investigadores de Sentinel a la conclusión preliminar de que el código había sido utilizado en ataques de robo de datos y sabotaje informático patrocinados por gobiernos.
  • Con base en esa sospecha inicial, los investigadores analizaron el malware en profundidad, constatando que, efectivamente, había sido utilizado como “portador” para ejecutables usados en otros ataques dirigidos.
  • Tales campañas anteriores incluían, entre otras cosas, espionaje de actividades en la red, grabación de actividades del teclado, robo de propiedad intelectual y capturas de pantalla.
  • Este código sigiloso ha sido utilizado también por cibercriminales para extorsionar dinero a través de ransomware y phishing bancario. El código también ha sido detectado en el malware utilizado en la creación de redes de bots, ataques a infraestructuras críticas y la instalación de rootkits y troyanos, indica Sentinel en su informe.
Otros detalles del informe de Sentinel Labs
  • Según la empresa, la combinación de código de nivel gubernamental, con malware corriente resultará en el surgimiento de malware y ataques aún más virulentos.
  • Mientras que los delitos informáticos sigue siendo el principal motivo detrás de los ataques, el ciberespionaje es responsable de un número significativo de incidentes de robo de datos.
  • Según la empresa de seguridad informática, es difícil vincular estos ataques directamente a estados nacionales específicos.
Fuente: Diarioti.com

MALWARE. Piratas informáticos distribuyen exploits a través de Facebook

Facebook es la red social más grande de Internet. Por ello, es utilizada en muchas ocasiones como uno de los principales ganchos que utilizan los piratas informáticos para llevar a cabo sus acciones maliciosas.
En esta ocasión, un grupo de piratas informáticos ha creado una campaña maliciosa que busca engañar al mayor número de víctimas posible para descargar un paquete de malware que infectará el sistema y dejará a la víctima vulnerable frente a otros ataques. En esta campaña los piratas informáticos afirman conocer un método que permite ganar a todos los usuarios que lo llevan a cabo miles de euros desde su propio domicilio prácticamente por no hacer nada.
Los usuarios que pulsan en el enlace para conocer más información sobre esto abren una nueva ventana del navegador, la cual genera varios saltos entre servidores maliciosos. Varias de estas páginas web ofrecen el paquete de exploits “Nuclear Pack Exploit Kit“, un paquete que aprovecha múltiples vulnerabilidades en Java, Flash, Windows e Internet Explorer. Este kit también descargará varios troyanos que infectarán el sistema y dejarán abierta una puerta trasera para el control del sistema por parte de los piratas informáticos.
Los principales usuarios de Facebook que están siendo atacados por esta campaña fraudulenta residen principalmente en América del Note y Europa (España entre los países afectados), aunque es probable que en nuevas campañas se abarquen aún más países y continentes para obtener un mayor número de víctimas potenciales. El efecto cadena también juega un importante papel en estas campañas ya que cuando los usuarios comparten las entradas en sus perfiles, estas automáticamente llegan también a sus contactos, lo que permite una fácil y rápida difusión.
También recientemente corre por la red social una falsa noticia sobre el accidente del MH17 que en realidad busca distribuir malware a través de una falsa extensión de Adobe Flash que, en teoría, es necesaria para reproducir un vídeo sobre el accidente.
Fuente: Redes Zone.net

KASPERSKY LAB. Detecta 113.500 grupos nuevos de sitios de phishing cada mes

El número de grupo de sitios de phishing se ha incrementado un 17,5% en el primer semestre de 2014, según Kaspersky Lab.
Kaspersky Lab ha calculado el número de grupos de sitios de phishing que se agregan cada mes a la base de datos antiphishing de la compañía. Según este cálculo, en 2013, se dio una media mensual de 96.609 grupos de sitios de phishing, pero en el primer semestre de 2014 esta cifra ha aumentado de forma considerable. En lo que va de año, la media es de 113.500 nuevos cada mes, lo que supone un incremento del 17,5%. No sólo se está notando un mayor número de enlaces falsos, sino que, además, son eliminados más rápidamente, de forma deliberada. Estos periodos de vida tan breves dificultan mucho la tarea de los programas antiphishing .
La empresa recomienda los siguientes siete pasos para mantenerse alejado de los sitios phishing:
  1. No hacer clic en enlaces sospechosos o que se reciban por mail de fuentes que no sean de confianza.
  2. Entrar en todas las páginas web tecleando la dirección en la barra del navegador.
  3. Comprobar la barra del navegador en cuanto se haya descargado la página para asegurarse de que el nombre del dominio corresponde con lo que se esperaba.
  4. Comprobar que el sitio usa una conexión segura.
  5. Si existe la más mínima duda en cuanto a la autenticidad del sitio web, no introducir datos personales bajo ninguna circunstancia.
  6. Contactar con la empresa a través de su página web oficial, para asegurar la legitimidad de la misma.
  7. Evitar introducir datos sensibles desde una wifi pública.
  8. Utilizar una solución de seguridad antiphishing.
Recomendación
  • En la mayoría de soluciones de seguridad de Kaspersky Lab de consumo y empresa llevan incorporadas tecnologías antiphishing, independientemente de la plataforma usada. 
  • Para garantizar la detección de los sitios web phishing, incluyendo los nuevos, la tecnología combina varias capas: una base de datos de grupos de sitios de phishing en el endpoint, una base de datos actualizada constantemente en la nube y el análisis heurístico. 
  • Si una URL no aparece en ninguna base de datos, el módulo de heurística busca indicios de algo sospechoso, tanto en la dirección URL como en el contenido HTML de la web. 
  • Hay más de 200 tests que indican, de forma fiable, si estamos ante un sitio de phishing o no. Esto ayuda a los usuarios a evitar estafas y proteger su identidad digital.
Fuente: Diarioti.com

DARK MAIL. El correo electrónico que impide que la NSA te espíe

Existe una herramienta que podría dificultar que la NSA te espíe. Conoce a Dark Mail, tu caja negra personal para salvaguardar tu correo electrónico.
Como Gmail de Google y otros servicios de correo electrónico con herramientas fuertes de seguridad, Dark Mail cifra el contenido del correo electrónico, protegiéndolo de espías gubernamentales.
Pero Dark Mail toma la medida extra de encubrir los metadatos de tu correo electrónico, que incluyen la línea de asunto y los campos de ‘De’ y ‘Para’. De esa forma, los espías no pueden identificar fácilmente quién envía los correos.
¿Por qué es importante? 
  • Incluso si la NSA no puede leer el cuerpo de tu mensaje, conocer a quién le escribes puede desencadenar un escrutinio extra del gobierno estadounidense.
  • La NSA utiliza metadatos de correo electrónico recolectados de millones de personas para seleccionar a personas en específico para tener una mayor vigilancia de los correos y llamadas telefónicas. Para apreciar cuán rápido puede ascender esto, considera que por cada objetivo, nueva de sus conexiones también son espiadas.
  • Dark Mail no es a prueba de la NSA. El gobierno todavía puede dirigirse a una persona y seguir el trayecto de cada correo. Pero para hacer eso, el gobierno tendría que rastrear cada parada en el camino de un correo; dispositivo, servidor, servidor y dispositivo.
Antecedentes del nuevo servicio de correo elecrónico
  • Este no es el primer intento de Levison de crear una herramienta de comunicación altamente privada. Creó un servicio similar de correo llamado Lavabit, pero lo cerró el año pasado cuando agentes del FBI demandaron que entregara silenciosamente información sobre un usuario en particular de Lavabit: Edward Snowden.
  • Levison se negó a dar las claves de cifrado que permitirían que los federales monitorearan secretamente a Lavabit, y en su lugar prefirió cerrarlo. Por luchar contra el pedido de la FBI, ahora tiene multas federales.
Detalles del nuevo servicio
  • Dark Mail y Lavabit tienen una diferencia importante: a diferencia de Lavabit, Levison no tiene las claves de Dark Mail; cada usuario las tiene. Los correos electrónicos están encriptados en los dispositivos de los usuarios, protegidos por sus contraseñas. Eso significa que ni siquiera él puede leer los correos de los usuarios de Dark Mail, y no tendría nada que entregar a los federales si fueran a pedírselo.
  • Dark Mail no estará disponible durante otros seis meses. Levison todavía lo desarrolla con Stephen Watt, un excodificador de Wall Street (y ahora un hacker convicto que cumplió un tiempo en prisión). 
  • Levison dijo que Dark Mail podría funcionar como una extensión con todos los grandes servicios de correo electrónico; siempre y cuando hagan ligeros ajustes a su código. Levison intenta hacer que Google, Microsoft, Yahoo y otros proveedores de correo entren a bordo.
  • Si los usuarios quieren utilizar Dark Mail como su propio programa de envío de correos, Levison desarrolla un cliente de correo electrónico llamado “Volcano”.
 Fuente: CNN

INFORMES. ¿Qué puede conseguir un ciberdelincuente con un ordenador infectado?

El 2,8% de los ordenadores españoles forma parte de una red zombie. Así lo expone el último informe de Sophos, que también recuerda para qué utilizan los ciberdelincuentes los ordenadores infectados con algún bot.
Desde Sophos detallan algunas de las acciones maliciosas, al margen del envío de spam, que los ciberdelincuentes pueden hacer con un ordenador infectado. Son estas:
  1. Grabar las pulsaciones del teclado para robar nombres de usuario y contraseñas de los servicios a los que acceda el usuario.
  2. Buscar entre los datos del PC infectado para descargar información que podría ser de interés, como fotografías o informes confidenciales.
  3. Engañar al usuario para hacer click en anuncios de publicidad, para generarle beneficios gracias al modelo pay-per-click.
  4. Publicar enlaces fraudulentos a los contactos del usuario en las redes sociales, para aumentar el número de ordenadores infectados.
  5. Descargar otros elementos de malware, por ejemplo, ramsonware como el Virus de la Policía, que secuestra el ordenador si no se paga una supuesta multa.
  6. Atacar los sitios web de otras personas, haciendo que sea el propio usuario el que se vea como culpable de esos ataques.
  7. Hacer que el ordenador infectado actúe como proxy, de tal forma que otros ciberdelincuentes utilicen su conexión para cometer sus delitos cubriendo sus huellas.
Recomendación
  • Para evitar que los ordenadores formen parte de estas redes y que los ciberdelincuentes puedan obtener acceso remoto sobre él, desde Sophos recuerdan que es importante “mantener los sistemas actualizados, no caer en engaños que puedan infectar el sistema y contar con una buena protección antivirus que bloquee este tipo de amenazas.
Fuente: Silicon Week.es

TAILS. Es vulnerable, según una empresa de seguridad

Hace unos meses se habló de Tails, el sistema operativo utilizado por Edward Snowden , por poner el foco en la privacidad y en la seguridad del sistema. Parece que este sistema operativo cuenta con una serie de bugs que permiten la deanonimización del usuario. Al menos eso dice Exodus Intelligence, una empresa de seguridad.
De hecho dicen que incluso la última versión de Tails, con identificador de versión 1.1 (https://tails.boum.org/news/version_1.1/) y lanzada ayer mismo, es vulnerable al exploit desarrollado por ellos. No obstante indican también que no lo liberarán hasta que el equipo de desarrollo haya corregido las vulnerabilidades (que, indican, serán oportunamente reportadas en no más de una semana).
Según declara el equipo de desarrollo ), Tails es un sistema operativo formado por mucho software y muy diverso (desde un núcleo hasta un entorno de escritorio, pasando por muchas herramientas intermedias), y es normal que aparezcan fallos de seguridad de tanto en tanto.
Más información
Fuente: Genbeta

NESSUS. Vulnerabilidad en la interfaz web

Se ha anunciado la corrección de una vulnerabilidad en Nessus 5.2.3 a 5.2.7 que podría permitir a un atacante remoto obtener información sensible.
Detalle e Impacto de la vulnerabilidad
La vulnerabilidad, con CVE-2014-4980, reside en una manipulación de parámetros en la interfaz web que podría permitir a un atacante recuperar información sensible destinada a usuarios autenticados. Un ataque exitoso podría permitir recuperar los siguientes datos, lo que podría facilitar la realización de ataques más avanzados:
  • Plugin Set, Server uuid, Web Server Version, Nessus UI Version, Nessus Type, Notifications, MSP, Capabilities, Multi Scanner, Multi User, Tags, Reset Password, Report Diff, Report Email Config, Report Email, PCI Upload, Plugin Rules, Plugin Set, Idle Timeout, Scanner Boot time, Server Version, Feed, and Status.
Recomendación
  • Tenable ha publicado la interfaz Web UI 2.3.5, disponible para Nessus 5.x que corrige este problema. En torno al 26 de junio se distribuyó esta actualización para todos los clientes como parte del feed de plugins.
Más información:
Fuente: Hispasec

DRUPAL. Boletín de seguridad

El equipo de seguridad de Drupal ha solucionado, en las ramas Drupal Core 6 y 7, varias vulnerabilidades clasificadas como críticas o moderadamente críticas; que podrían permitir a un  atacante causar denegación de servicio, salto de restricciones y XSS.
 Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Recursos afectados
  • Ramas de Drupal Core 6
  • Ramas de Drupal Core 7
Detalle e impacto de las vulnerabilidades
  1. Denegación de servicio en el sistema base.- La característica multisitio determina dinámicamente que fichero de configuración usar basándose en la cabecera HTTP Host. Debido a un fallo de validación de dicha cabecera se podría causar una denegación de servicio. También afecta a los sitios web que no tengan activa esa característica.
  2. Salto de restricciones de seguridad en el módulo File.- Existe un error en el módulo File al no comprobar los permisos cuando se adjunta un fichero previamente subido, pudiendo así obtener acceso a ficheros no permitidos. Afecta solo a Drupal 7.
  3. Cross-site scripting en la API de formularios.- Vulnerabilidad de tipo XSS en la API de formularios al no verificar correctamente elementos de tipo 'select'.
  4. Cross-site scripting en el sistema ajax.- Vulnerabilidad de tipo XSS no persistente en formularios que contengan un campo de tipo 'file' y un campo de tipo texto con ajax habilitado. Afecta solo a Drupal 7.
 Está pendiente la asignación de CVEs.
Recomendación
  • Se recomienda actualizar a las versiones Drupal core 6.32 ó Drupal core 7.29.
Más información:
Fuente: Hispasec

Apache HTTP Server . Descubiertas diversas vulnerabilidades

Se ha publicado la versión 2.4.10 del servidor web Apache destinada a solucionar cinco fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario o causar denegación de servicio.
 Apache es el servidor web más popular del mundo, usado por más del 52% de los sitios web, disponible en código fuente y para infinidad de plataformas, incluyendo diversas implementaciones de UNIX, Microsoft Windows , OS/2 y Novell NetWare.
Detalle e impacto de las vulnerabilidades
  • CVE-2014-0117.-  Existe un error en el manejo de cabeceras HTTP Connection en el módulo 'mod_proxy' que podría provocar una denegación de servicio en un proxy inverso.
  • CVE-2014-3523.- Denegación de servicio debido a un fallo en la función 'winnt_accept' del módulo 'WinNT MPM' que podría generar el agotamiento de la memoria disponible.
  • CVE-2014-0226.- Existe un error de condición de carrera en el módulo 'mod_status' que podría generar un desbordamiento de memoria basado en 'Heap', lo que permitiría ejecutar código arbitrario.
  • CVE-2014-0118.- Fallo en la función 'deflate_in_filter' del módulo 'mod_deflate' a la hora de gestionar la descompresión de peticiones al servidor, que podría generar un agotamiento de recursos y provocar una denegación de servicio.
  • CVE-2014-0231.- Denegación de servicio en el módulo 'mod_cgid' al no tener un mecanismo de timeout para scripts CGI.
Más información:
Fuente: Hispasec

phpMyAdmin . Boletines de seguridad

Se han publicado nuevas versiones de phpMyAdmin que subsanan errores de cross-site scripting (XSS) y salto de restricciones, calificadas de no críticas al ser necesario estar autenticado para explotarlas.
 PhpMyAdmin es una popular herramienta, escrita en PHP, para la administración de MySQL a través de un navegador. Este software permite crear, modificar y eliminar bases de datos, tablas, campos, administrar privilegios y, en general, ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.
Recursos afectados
  • Las vulnerabilidades se han solucionado en las versiones 4.0.10.1, 4.1.14.2 y 4.2.6.
Detalle e impacto de las vulnerabilidades
  1. Tres vulnerabilidades de Cross-site scripting. Con CVE-2014-4954, un fallo al mostrar la página de la estructura de la base de datos localizado en la función 'PMA_getHtmlForActionLinks' del fichero 'libraries/structure.lib.php'. Afecta a 4.2.x.
  2. Con CVE-2014-4955, un fallo al mostrar la página de triggers localizado en la función 'PMA_TRI_getRowForList' del fichero 'libraries/rte/rte_list.lib.php'. Afecta a 4.0.x, 4.1.x y 4.2.x. Y conCVE-2014-4986, múltiples errores en la construcción de mensajes de confirmación AJAX en 'js/functions.js'. Afecta a 4.0.x, 4.1.x y 4.2.x.
  3. Por último, un salto derestricciones (CVE-2014-4987) por un error en 'server_user_groups.php' que permitiría saltar restricciones de seguridad y leer la lista de usuarios MySQL Afecta a 4.1.x y 4.2.x.
Más información:
Fuente: Hispasec

MOZILLA. Publica Firefox 31 y corrige 14 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 31 de Firefox, junto con 11 boletines de seguridad destinados a solucionar 14 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.
Mejoras de la nueva version de Firefox 31
  • Firefox 31 destaca por mejorar considerablemente la estabilidad del navegador, e incluir importantes mejorar en la personalización. Otras novedades incluyen un campo de búsqueda al abrir una nueva pestaña, un nuevo verificador de certificados, la reproducción de archivos .ogg y .pdf (en Windows) si no se especifica otra aplicación, control parental, y múltiples mejoras para desarrolladores.
  • Una importante mejora, relacionada con la seguridad, es el bloqueo automático de descargas de malware, para lo que usa la API de Google de navegación segura. De esta forma se comprueban de forma automática todos los archivos que se descarguen, para evitar la descarga de archivos maliciosos. Pero siempre que tratamos con un analizador de malware, sabemos que estamos expuestos a falsos positivos. Por ejemplo, se sabe que en los últimos días Chrome, el navegador de Google ha bloqueado las descargas de uTorrent, el popular programa de descargas torrent. En cualquier caso, a través de la configuración Firefox permite desactivar la opción de bloqueo de descargas por malware.
Detalle de los bletines de seguridad publicados
 Por otra parte, se han publicado 11 boletines de seguridad (tres de ellos considerados críticos y cinco importantes) que corrigen 14 nuevas vulnerabilidades en los diferentes productos Mozilla.
  • MFSA 2014-56.- Boletín considerado crítico por diversos problemas de corrupción de memoria en el motor del navegador (CVE-2014-1547 y CVE-2014-1548).
  • MFSA 2014-57.- Soluciona una vulnerabilidad de gravedad alta por un desbordamiento de búfer en la reproducción de Web Audio (CVE-2014-1549).
  • MFSA 2014-58.- Boletín de carácter alto, corrige un problema de uso después de liberar en Web Audio (CVE-2014-1550).
  • MFSA 2014-59.- Soluciona una vulnerabilidad considerada crítica por un uso después de liberar en el tratamiento de determinadas fuentes en DirectWrite (CVE-2014-1551).
  • MFSA 2014-60.- Corrige una vulnerabilidad de gravedad de gravedad baja que podría permitir la falsificación de eventos de personalización de la barra de herramientas (CVE-2014-1561).
  • MFSA 2014-61.- Boletín de carácter alto por un uso después de liberar en eventos FireOnStateChange (CVE-2014-1555).
  • MFSA 2014-62.- Soluciona un problema de impacto crítico, por una caída explotable en WebGL al usar la librería JavaScript Cesium (CVE-2014-1556).
  • MFSA 2014-63.- Destinado a corregir una vulnerabilidad de gravedad alta por un uso después de liberar al manipular certificados en una cache confiable (CVE-2014-1544).
  • MFSA 2014-64.- Soluciona una vulnerabilidad de importancia alta por una caída en la librería skia al escalar imágenes de gran calidad (CVE-2014-1557).
  • MFSA 2014-65.- Soluciona tres vulnerabilidades de impacto moderado al tratar certificados con codificación de caracteres no estándar (CVE-2014-1558, CVE-2014-1559 y CVE-2014-1560).
  • MFSA 2014-66.- Destinado a corregir una vulnerabilidad de carácter moderado que puede permitir que la sandbox IFRAME acceda a otros contenidos (CVE-2014-1552).
Recomendación
Más información:
Fuente: Hispasec

VULNERABILIDADES. En implementación OpenSSL de productos Siemens

 Siemens ha identificado cuatro vulnerabilidades en su librería criptográfica de OpenSSL que afecta a varios de sus productos SCADA. Estas vulnerabilidades son expotables remotamente y han catagogad de Importancia: 4 - Alta
Recursos afectados
Los productos afectados son:
  1. APE versiones anteriores a Version 2.0.2
  2. CP1543-1: todas las versiones
  3. ROX 1: todas las versiones (solo afectado si Crossbow está instalado),
  4. ROX 2: all versions (solo afectado si eLAN o Crossbow está instalado),
  5. S7-1500: todas las versiones
  6. WinCC OA (PVSS): Versiones 3.8 – 3.12
Detalle e impacto de las vulnerabilidades
  • Las vulnerabilidades de la implementación OpenSSL posibilitan un ataque Man-in-the-Middle y permitirían a un atacante secuestrar una sesión entre el dispositivo y un usuario autorizado. La explotación de estas vulnerablidades afectan también a la disponibilidad del servicio, pudiendo causar caída del servidor Web del producto.
  • Las vulnerablidades tienen los CVEs CVE-2014-0224 para la vulnerabilidad man-in-the-middle y CVE-2014-0198, CVE-2010-529, CVE-2014-347 para las vulnerabilidades derivadas de una impropia validación de entrada.
Recomendación
Siemens ha publicado las actualizaciones:
  1. Productos APE 2.0.2: RUGGEDCOM APE  (http://support.automation.siemens.com/WW/view/en/97654933)
  2. WinCC OA (PVSS): Actualización disponible en el portal ETM (https://portal.etm.at/index.php)
Más información
Fuente: INTECO 

VULNERABILIDADES. En controladores Honeywell FALCON XLWeb

 Se han descubierto dos vulnerabilidades en controladores HoneyWell FALCON, que podrían permitir sortear la autenticación del sistema y ejecutar código de forma remota. Se han catalogado de Importancia: 4 - Alta
Recursos afectados
  1. FALCON Linux 2.04.01 y anteriores.
  2. FALCON XLWebExe 2.02.11 y anteriores.
Detalle e Impacto de las vulnerabilidades
  • La página web de cambio de contraseña es accesible sin autenticación. A través de ella, un atacante podría obtener el hash de contraseñas específicas y nombres de usuarios del sistema. De esta forma, podría acceder al sistema incluso como usuario administrador. Se ha asignado el identificador CVE-2014-2717 a esta vulnerabilidad.
  • El servidor web es vulnerable a varios ataques de tipo cross-site scripting. Mediante el envío de entradas inválidas a los controladores XL Web, un atacante podría conseguir ejecutar código HTML y scripts arbitrarios en sesiones de los navegadores de otros usuarios. Se ha asignado el identificador CVE-2014-3110 a esta vulnerabilidad.
Recomendación
  • Honeywell ha publicado una actualización que resuelve las vulnerabilidades mencionadas. Se puede consultar cómo aplicar la actualización desde Centraline Parnerweb.  https://www.centraline.com/index.php?id=1
Más información
Fuente: INTECO 

VULNERABILIDADES. En Omron NS Series HMI

 Se han descubierto múltiples vulnerabilidades en las terminales HMI de productos de la serie NS de Omron Corporation. Estas vulnerabilidades podrían permitir a un atacante modificar la configuración de los dispositivos y acceder a información sensible.  Se han catalogado de Importancia: 3 - Media
Recursos afectados
 Las vulnerabilidades afectan a los siguientes productos de Omron Corporation:
  1. NS15 Versión 8.1xx - 8.68x.
  2. NS12 Versión 8.1xx - 8.68x.
  3. NS10 Versión 8.1xx - 8.68x.
  4. NS8 Versión 8.1xx - 8.68x.
  5. NS5 Versión 8.1xx - 8.68x.
Detalle e Impacto de las vulnerabilidades
  • Un atacante podría conseguir ejecutación de comandos en el sistema debido a que la aplicación web no verifica correctamente las peticiones recibidas. De esta forma, el atacante podría realizar cambios en la configuración del sistema. Se ha asignado el identificador CVE-2014-2369 a esta vulnerabilidad.
  • La aplicación web es vulnerable a cross-site scripting, ya que almacena datos no fiables que podrían ser posteriormente incluidos en contenido dinámico. Se ha asignado el identificador CVE-2014-2370 a esta vulnerabilidad.
Recomendación
  • Omron Corporation ha publicado actualizaciones a versiones 8.7x que resuelven las vulnerabilidades encontradas.
Más información
Fuente: INTECO 

Mac OS X Yosemite. Las 5 novedades princiaples del nuevo sistema operativo

Este jueves, un millón de consumidores podrá obtener un vistazo al nuevo sistema operativo de las computadoras Mac, conocido como OS X Yosemite, el cual sigue los pasos de su hermano menor, iOS, y retoma identidades gráficas y simplicidad.
“Yosemite es el futuro de OS X con su increíble nuevo diseño y nuevas aplicaciones, todas con la ingeniería necesaria para trabajar de manera perfecta con iOS”, dijo el vicepresidente senior de software, Craig Federighi, al momento de presentar la plataforma en junio.
Quienes deseen descargar este versión beta, deberán ir a este link, registrarse y esperar el correo electrónico de Apple que les ofrecerá un hipertexto con la descarga; sin embargo, antes de hacerlo, te sugerimos respaldar en la nube tus documentos y no instalarlo en tu máquina principal laboral ya que, al ser una versión todavía de prueba, pueden aparecer variaciones en su calidad.
Estas son las 5 novedades que podrás encontrar en OS X Yosemite:
  1. Diseño renovado.- Para mantener una identidad visual en todos sus dispositivos, Apple decidió retomar algunas características del sistema operativo de sus equipos móviles como colores claros, elementos transparentes y el servicio de Spotlight (búsqueda de datos dentro de la Mac) mejorado.
  2. Mensajes.- La aplicación de mensajes ha sido renovada y, por ejemplo, si tienes un iPhone, podrás ver los mensajes SMS que te han enviado y contestarlos directamente desde la aplicación, utilizando como enlace tu línea telefónica.
  3. Teléfono enlazado.- ¿Has querido alguna vez realizar llamadas telefónicas desde tu Mac? Con el nuevo sistema operativo podrás hacerlo, ya que podrás tener tu libreta de direcciones con tus contactos en una nueva aplicación. De la misma manera, si estás lejos de tu teléfono y recibes una llamada, podrás contestarla directamente desde tu computadora.
  4. iCloud.- Como un competencia directa a servicios como Dropbox, Drive de Google o Skydrive de Microsoft, la firma de la manzana lanza una versión más poderosa de su plataforma para la nube, en la cual podrás organizar tus documentos, crear folders, añadir tags y compartir presentaciones con tu equipo de trabajo.
  5. Mail.- Con esta nueva versión, podrás iniciar a escribir un correo electrónico en tu iPhone y terminarlo de enviar desde tu Mac sin problema. Además cuenta con un nuevo servicio llamado ‘Maildrop’ que te permite almacenar durante un mes documentos, sin la necesidad de saturar la bandeja de entrada de alguien más.
Fuente: CNN

SERVICIO (IaaS). Las 5 claves para el uso seguro de Infraestructuras en la nube

Check Point® Software Technologies Ltd. , proveedor de soluciones de seguridad para Internet, ha alertado acerca de los riesgos a los que se enfrentan muchas organizaciones que utilizan libremente a día de hoy una infraestructura basada en la nube como servicio (IaaS).
En Check Point enumera las 5 “Mejores Prácticas” a tener en cuenta cuando se implementa IaaS:
  1. Determinar qué pueden hacer los usuarios en la consola de administración: Es necesario permitir a los usuarios acceder sólo a lo que requieren estrictamente para su trabajo. Una forma eficiente de hacer esto es crear grupos de usuarios y asignar la cantidad mínima de derechos de los miembros del grupo para hacer un trabajo específico. Por ejemplo, si se crea un grupo para “Leer la base de datos Access”, esos usuarios sólo tendrán acceso a dicha tarea y si esas credenciales son robadas, todo el IaaS no estará en peligro.
  2. Utilizar Autenticación multi-factor: Se recomienda implementar la autenticación más robusta para evitar el acceso no autorizado. La autenticación multi-factor aún puede requerir que el usuario tenga un nombre de usuario y contraseña, además de un código adicional dado por un producto de autenticación de terceros. Este código puede ser el del identificador hardware que cambia cada minuto o un código enviado al teléfono del usuario a través de SMS.
  3. Considerar el uso de SAML: Security Assertion Markup Language (SAML) es un estándar abierto que se puede utilizar junto con otros mecanismos de identidad, tales como Windows Active Directory Federation Services. Es posible establecer el acceso a la consola de gestión  para utilizar Windows Active Directory como mecanismo de autenticación. Esto añade otra capa de seguridad al exigir a los usuarios conectarse a la consola de administración sólo cuando están en la red local de la compañía o en una conexión VPN segura.
  4. Hacer cumplir la protección del Endpoint y de la red local: Reforzando la protección tanto del endpoint como de la red local es posible disminuir el riesgo de tener malware/troyanos en los dispositivos que pueden robar las credenciales de usuario. Es importante asegurarse de que el software antivirus se actualiza regularmente y que hay programados escaneados en busca de virus. Instalar un firewall de red y un Sistema de Prevención de Intrusiones (IPS) otorga una protección adicional para los endpoints. Además, es conveniente tener en cuenta antivirus de red y software anti-bot para prevenir frente a virus y localizar sistemas post-infectados, así como la tecnología de emulación de Amenazas para encontrar amenazas nuevas y desconocidas.
  5. Crear un Plan y realizar las tareas de backup y recuperación: Una organización requiere, como mínimo de tres planes de respuesta para minimizar la pérdida de datos o la interrupción de los servicios.
  • Un plan de respuesta DDoS, que detalla los pasos específicos que la empresa va a adoptar en caso de producirse tal ataque.
  • Un plan de respuesta a incidentes, que define lo que constituye un incidente de seguridad y esboza cuáles serán las respuestas adecuadas para cada tipología.
  • Un Plan de Continuidad de Negocio, para detallar los pasos que la compañía va a tomar para asegurar que un incidente de seguridad tiene una interrupción mínima de las operaciones empresariales del día a día.
Para ayudar a desarrollar estos planes, son de gran ayuda las Prácticas Recomendadas de seguridad AWS, así como los White papers del Instituto Nacional de Estándares y Tecnología (NIST) sobre “Guía para el manejo de incidentes de Seguridad Informática” y “Técnicas para recuperación de sistemas y datos”.
  • Por último, de forma adicional a estas recomendaciones, es importante que la organización adopte una cultura de protección del servidor IaaS como si estuviera “dentro de la propia organización”. Check Point ofrece, por ejemplo, un Gateway de Seguridad en el Marketplace de Amazon que puede hacer cumplir las directivas de seguridad de la organización, así como proteger sus activos dentro del entorno de AWS, mismas protecciones de  Marketplace de Amazon.
Fuente: Diarioti.com

ESTUDIOS. El 54% de españoles tiene un smartphone y el 28% una tableta

El informe anual 'La Sociedad en Red', correspondiente al año 2013, elaborado por el Observatorio Nacional de las Telecomunicaciones y de la sociedad de la Información (ONTSI), asegura que los 'smartphones' ya están presentes en el 53,7 por ciento de la población española a partir de 15 años y, por su parte, las tabletas hacen lo propio en el 28,5 por ciento de los hogares españoles.
   Además, la penetración de Internet en los hogares españoles ha llegado ya al 69,6 por ciento, mientras que la penetración de telefonía móvil ha llegado al 96 por ciento, al que le sigue la telefonía fija (83%), Internet (70%) y la televisión de pago (21%).
   En cuanto a los dispositivos, en el tercer trimestre de 2013 se alcanzó a cifra de 88,2 por ciento de españoles que habitualmente usan el teléfono móvil, donde este informe ha detallado que hay 34,3 millones de individuos con móvil activo, casi un millón más respecto al tercer trimestre de 2012. Por otro lado, los aparatos de televisión TDT/Plasma también están disponibles en el 78,6 por ciento de los hogares.
Detalles del informe relacionados con la Administración
  • Según este informe, un total de 38,3 millones de ciudadanos españoles ya tienen DNI electrónico y durante el año 2013 se produjeron casi 92 validaciones electrónicas de la plataforma de certificados y firma electrónica '@firma'.
  • Además, este informe del ONTSI ha señalado que el 98 por ciento de los servicios públicos digitales básicos de la Administración General del Estado (AGE) son "totalmente accesibles" en Internet.
  • Esto supone que España supere en un 24 por ciento la media europea, que se sitúa en el 74 por ciento. También han indicado que su usabilidad es del 100 por ciento, comparado con el 76 por ciento de media de la 'UE27'.
Detalles del informe vinculado al uso profesional
  • Uno de los datos más destacados de este informe es el aumento del uso profesional en cuanto a las redes sociales se refiere. Así, ha aumentado un 11,7 por ciento en el caso de las pymes y grandes empresas y un 17,6% en las microempresas. En total, han registrado un porcentaje de uso del 29,1 y 26,6 por ciento, respectivamente.
  • También ha habido un aumento reseñable en la banda ancha móvil, que ha crecido por tercer año seguido y ha registrado un índice de penetración en las empresas con conexión a Internet del 73,6 por ciento en pymes y grandes empresas y del 56,8 por ciento en las microempresas.
  • En cuanto al uso de la firma digital, el informe 'La Sociedad en Red' ha destacado que en 2013 alcanzó el 71,8 por ciento de las compañías con Internet de 10 y más empleados; mientras que en las de menos de 10 personas, el 32,6 por ciento de las que tienen conexión a Internet usa la firma electrónica.
  • En cuanto a las empresas españolas, siguen optando por el comercio electrónico para realizar compras -un 22,6 por ciento de las pymes y grandes empresas, y el 10,1 por ciento de las microempresas- frente a vender por Internet -un 14,4 por ciento de las pymes y grandes empresas, y el 2,1 por ciento de las microempresas-.
  • Las redes sociales también tienen su importancia en el ámbito empresarial, dado que este informe del ONTSI ha indicado que el 29,1 por ciento de las empresas de 10 o más empleados usa redes sociales digitales por motivo de trabajo. En el caso de las microempresas, son el 26,6 por ciento las que usan redes sociales digitales por este mismo motivo.
 Otros Detalles del informe  a nivel global
  • Por último, este informe ha afirmado que la telefonía móvil mundial creció casi un 7 por ciento, alcanzando 6.625 millones de líneas en 2013, de las cuales actualmente existen 1.140 millones de líneas fijas en el mundo.
  • Por su parte, se han contabilizado 2.686 millones de usuarios de Internet en 2013, un dato que representa un aumento del 8 por ciento respecto a 2012.
Fuente: Portaltic / EP

GOOGLE. Confirma la compra de Twitch por 1.000 millones de dólares

Se trata de una de las adquisiciones más importantes del año para Google. El servicio de streaming de videojuegos se unirá a YouTube.
Se llevaba rumoreando desde mayo, pero han hecho falta dos meses más para que Google haya podido cerrar la operación. Según han confirmado fuentes cercanas a la misma, la empresa de Mountain View habría adquirido por fin a Twitch, el servicio de streaming de videojuegos. La cuantía sería la misma que se venía barajando en primavera: 1.000 millones de dólares, lo que costó en su día Instagram a Facebook.
El acuerdo permitiría a Google crear un auténtico imperio alrededor del mundo del vídeo. Twitch será el complemento perfecto para la plataforma audiovisual YouTube y para el servicio de Hangouts de la empresa de la gran G. La compra pone de manifiesto el valor de las transmisiones de vídeo en directo, algo en lo que Google ya ha hecho sus pinitos en eventos deportivos, musicales y de otros tipos.
Google pagó en 2006 1.650 millones de dólares por YouTube. Hoy la web sirve más de 6.000 millones de horas de vídeo al mes a una audiencia de 1.000 millones de usuarios.
Twitch fue fundada en junio de 2011 por Justin Kan y Emmett Shear, creadores de Justin.TV. Este fue uno de los primeros servicios en alojar livestreams o vídeos en tiempo real. El último aún se mantiene como CEO de Twitch. La web cuenta con más de 50 millones de usuarios activos, más de 1,1 millones de miembros que emiten vídeos y más de 13 millones de minutos de vídeos distribuidos, todo esto cada mes. La plataforma cuenta con diferentes acuerdos comerciales con webs de noticias como GameSpot, Joystiq o Destructoid. Los usuarios pueden chatear entre ellos mientras disfrutan de las partidas.
La startup, con sede en San Francisco, ha obtenido 35 millones de financiación de firmas como Bessemer Venture Partners, Alsop Louie Partners o WestSummitCapital, de acorde a Venture Beat.
Con esta operación, Google podría crear una sección potente dedicada a los videojuegos en YouTube llevando todo el tráfico de Twitch a su plataforma o llevar el contenido original de los youtubers relacionado con este campo a Twitch.
Fuente: ITespresso.es

FRANCIA. Propone leyes para restringir Uber sin llegar a prohibirlo

La guerra entre los taxistas y Uber sigue adelante. Mientras Bruselas asegura que el servicio es legal, España avisa de que pondrá multas y Francia prepara una ley para legalizarlo haciéndolo inviable.
Las numerosas revueltas de taxistas por toda Europa, e incluso en Corea, debido a la propagación del servicio Uber de contratación vehículos privados, no han conseguido que la Unión Europea finalmente lo declare ilegal, sino todo lo contrario. Ante esta situación, Francia busca una solución que, por un lado no contradiga los designios de Europa y por otro apacigüe a los taxista.
La conclusión según indica el WSJ, ha sido crear una nueva ley en la que, aunque se declara a servicios como Uber algo totalmente legal, se introducen restricciones que merman enormemente su viabilidad económica para los conductores de los vehículos.Según éstas, tras cada servicio, los conductores tendrán que volver a su casa u oficina para poder recoger a otro cliente, además tampoco podrán mandar su localización GPS.
Si bien es cierto que los taxistas tienen parte de razón, ya que el estado les obliga a unos gastos que los conductores en Uber no tienen, la solución que quiere imponer el gobierno francés para “contentar a todos” es increíblemente absurda. A parte de que hacer volver a los conductores no tiene ningún sentido, salvo el de fastidiar, supone también un gasto y contaminación extra totalmente innecesarios.
Respecto a prohibir poder mandar la posición por GPS, no tiene ningún sentido, de hecho mandar la señal GPS debería ser algo que los taxistas deberían cumplir, de forma que en lugar de tener que recurrir a las paradas, las centralitas o la pura suerte, sería una ventaja el poder saber que taxis se encuentran cerca de nosotros.
En lugar de mermar una solución que está claro que el público demanda, lo que deberían hacer los gobiernos es facilitar la vida a los taxistas en lugar de complicársela al resto. Licencias de taxi más baratas, legislación y precios más flexibles, además de pedir el mismo tipo de carnet tantos a taxistas como conductores de Uber, así las cosas se compensarían.
Fuente: ITespresso.es

ESPAÑA. Sigue en el top 10 de los mayores emisores de spam

Los datos del último informe de la firma de seguridad Sophos muestran como Estados Unidos sigue siendo el rey del spam y España está en la novena posición.
La nueva edición del informe Dirty Dozen de Sophos para el segundo trimestre de 2014 ubican a España en la novena posición, ya que un 2,8%de los ordenadores del país forman parte de una red zombie, culpables de la emisión de correo basura.
La primera posición sigue siendo coto exclusivo para Estados Unidos, que además ha sufrido un alarmante crecimiento en el nivel de spam, que se ha incrementado en 8 puntos y actualmente está en un 24,2%.
La segunda plaza del informe de Sophos sobre el spam es para Francia, que acumula un 6,7% y sube 6 posiciones, ya que el primer trimestre se ubicó en el octavo lugar.
En el puesto de bronce se puede apreciar a China con un 6,2% y un ligero crecimiento frente a la quinta plaza del anterior período.
También aparecen en posiciones destacadas Italia, que llega al 5,2% y mantiene la cuarta plaza, Rusia, que alcanza un 5.1% y baja dos puestos.
Completan el top 10 Alemania, que tiene un 3,6%, Corea del Sur (3,2%), Ucrania (3,0%), la ya mencionada España (2,8%), y Vietnam (2,7%).
Fuente: Silicon News.es

IBM. Estudia ampliar sus servicios en la nube con soporte de tecnologías HPC

IBM planea introducir soporte para la tecnología de red InfiniBand a través de los desarrollos de SoftLayer, una compañía que adquirió hace un año.
Fujitsu no es la única compañía que está de aniversario en tema de cloud computing. IBM también puede celebrar que ya ha pasado más de un año desde que llegó a un acuerdo de compra con SoftLayer.
Esta firma se ha integrado bajo la división de servicios cloud del Gigante Azul y ha pasado los últimos meses impulsando el desarrollo de la nube híbrida, como destacan sus responsables, señalando que en este tiempo ha sumado nada menos que 6.000 clientes nuevos.
Convertido en un elemento fundamental dentro de la estrategia empresarial de IBM, SoftLayer sigue marcándose objetivos y acaba de anunciar el soporte para la tecnología InfiniBand en su oferta.
Concretamente, introducirá este estándar para redes en las conexiones establecidas entre sus servidores “bare metal”.
Dado que InfiniBand maneja velocidades de transferencia de hasta 56 Gbps, se espera que este paso adelante de IBM y SoftLayer acabe derivando en una aceleración de tareas realmente intensivas. Aquí entrarían desde los grandes datos del Big Data hasta otro tipo de elementos de computación de alto rendimiento.
“A medida que más y más compañías migran sus cargas de trabajo más arduas a la nube”, comenta el CEO de SoftLayer, Lance Crosby, sobre la implementación, “exigen que los proveedores ofrezcan un rendimiento de red de alta velocidad para seguirles el ritmo”.
Se prevé que la llegada de las cargas HPC a la nube de IBM se haga efectiva a lo largo de este mismo verano.
Fuente: Silicon Week.es

MICROSOFT. Anuncio unificación de todas versiones Windows en única plataforma

El CEO de Microsoft anuncia que la empresa combinará todas las versiones de Windows independientemente del tipo de pantalla.
Durante una conferencia telefónica trimestral con los medios y analistas financieros, el CEO de Microsoft anunció que la empresa fusionará sus diferentes versiones de Windows en una sola plataforma, independientemente del dispositivo o pantalla utilizada. “Vamos a simplificar la próxima versión de Windows. En lugar de tres sistemas operativos, haremos converger a Windows en un solo sistema operativo único, para las pantallas de todos los tamaños”, dijo Nadella citado por Business Insider, Wall Street Journal, The Verge y otros medios.
Para Microsoft, la racionalización de Windows no es decisión comercial, sino tecnológica.
En efecto, Microsoft produce actualmente tres versiones principales de Windows con variantes para sistemas integrados, Xbox y empresas, que van desde Windows 8.1, Windows Phone y Windows RT. En este contexto, cabe señalar que Microsoft no se ha referido últimamente a Windows RT, por lo que ésta versión de Windows aún existe, aunque con futuro incierto.
La simplificación de Windows implica que se está creando una base común -un núcleo- que permitirá a los desarrolladores crear una aplicación de Windows y hacer que se ejecute en todas las versiones del sistema operativo. Este núcleo, conocido como núcleo NT, ha sido el elemento central de Windows desde principios de los ’90.
Muy probablemente, el nuevo Windows unificado, o fusionado, se convertirá en realidad posiblemente con Windows 9, probablemente en 2015.
Fuente: Diarioti.com

MICROSOFT. Cuestiona decisión del Reino Unido de adoptar ODF

El gobierno británico ha decidido que los organismos de la administración pública adoptarán gradualmente ODF para reducir costos y aumentar la eficacia. Para Microsoft, "no está comprobado y es poco claro cómo los ciudadanos del Reino Unido se beneficiarán de la decisión del gobierno".
Microsoft ha restado importancia a la decisión del gobierno del Reino Unido de adoptar el formato de documento de código abierto (ODF) como el tipo de archivo estándar para compartir y colaborar en documentos oficiales.
La decisión gubernamental establece que en los formatos PDF/A y HTML también serán admisibles para los departamentos y organismos gubernamentales, a la hora de visualizar documentos oficiales. La medida fue anunciada el 22 de julio por el Ministro de Gabinete Francis Maude, quien dijo que la adopción de ODF impulsará la colaboración entre los funcionarios de gobierno y terceros, ya que no se requerirá un software especializado para abrir o trabajar en documentos oficiales.
La expectativa es que todos los organismos gubernamentales adopten estas medidas gradualmente, implementando herramientas de productividad gratuitas, en lugar de pagar por software propietario como Microsoft Office, que favorecen el formato OpenXML.
El gobierno busca de esta forma reducir costes dentro de la administración pública, y prescindir, donde sea posible, de contratistas externos.
“Hemos escuchado a quienes dijeron que los estándares abiertos reducirán costes y harán que sea más fácil trabajar con el gobierno”, dijo Maude al hacer su anuncio de ayer.
“Este es un gran paso adelante para nuestra agenda digital que permitirá a los ciudadanos, las empresas y los contribuyentes ahorrar £ 1.2 mil millones durante el período legislativo actual”
La iniciativa forma parte de un proyecto gubernamental de amplio alcance, orientado a reducir la dependencia estatal de un grupo reducido de grandes proveedores de TI, optando en lugar de ello por considerar las ofertas más rentables para la adquisición de software y equipos de alta tecnología.
En  declaraciones hechas hoy a la publicación británica  IT Pro, un portavoz de Microsoft restó importancia de la decisión, señalando que tanto su oferta de herramientas de productividad de negocios – Office 2013 y Office 365 – ya incluyen soporte para ODF. El portavoz agregó que “no está comprobado y es poco claro cómo los ciudadanos del Reino Unido se beneficiarán de la decisión del gobierno. Apoyamos activamente una amplia gama de estándares abiertos, por lo que -al igual que Adobe cuenta con el formato de archivo PDF- ahora colaboramos con muchos actores para impulsar el formato Open XML a través de los organismos de normalización independientes e internacionales”.
El portavoz añadió que Microsoft aboga por  dar a los usuarios una selección de estándares, debido al impacto positivo que esto puede tener en la competencia, y a su vez, en la innovación.
Por último, deslizó una crítica al gobierno británico: “El gobierno declaró su loable estrategia de nube-primero para llevar sus servicios a la ciudadanía; pero esto depende de fomentar la innovación, no restringirla”. La conclusión del portavoz se aleja del tema de fondo, al postular que el gobierno no debería buscar alternativas gratuitas a Office, debido a que Microsoft ya incluye soporte para ODF.
Fuente: Diarioti.com

AMAZON. Teléfono "Fire" no enamora a crítica especializada

 El nuevo teléfono inteligente "Fire" de Amazon posee algunos artilugios, como efectos 3D y un escáner de objetos, que podrían ser insuficientes para seducir a los usuarios del iPhone de Apple o del Galaxy S5 de Samsung, que tienen precios similares, dijeron críticos especializados.
Entre las funciones de su primer teléfono avanzado, Amazon ha incluido la "Perspectiva Dinámica": cuatro cámaras que siguen al rostro del usuario y simulan un efecto tridimensional en la pantalla.
El teléfono también tiene un escáner "Firefly" que permite a los usuarios apuntar el dispositivo a un objeto y ser direccionado a la tienda online de Amazon para comprarlo.
Estas novedades, sin embargo, no lograron impresionar a quienes escribieron reseñas sobre el teléfono, que sale a la venta el viernes en Estados Unidos.
Geoffrey Fowler, de The Wall Street Journal, dijo que el "Fire" no tiene características que los usuarios desean encontrar en un smartphone, como una batería que dure más tiempo y disponer de aplicaciones populares como YouTube y Google Maps.
"El éxito y el potencial del Fire se basa en Firefly y Dynamic Perspective: tecnologías 'de onda' que dependen de que los desarrolladores encuentren mejores maneras de usarlas", señaló David Pierce, crítico de The Verge.
"Hasta ahora, están resolviendo un problema que nadie tiene", agregó.
El "Fire" tiene especificaciones similares a smartphones de rango alto y medio y opera con una versión modificada del sistema operativo Android de Google.
Amazon ofrece a los compradores del aparato una membresía de un año a Prime, su servicio de contenido online y entrega de productos en dos días.
El "Fire" tiene un precio de 649 dólares, cuando se adquiere sin un contrato con alguna compañía de telecomunicaciones, o 199,99 dólares al comprarlo a través del contrato de un plan con AT&T Inc.
Walt Mossberg, en su comentario publicado en el blog tecnológico Recode, dijo que el mayor problema para el nuevo teléfono es que lo vende sólo una operadora de telefonía móvil y que está atado al ecosistema Amazon.
"Sus funciones exclusivas no tienen suficiente utilidad, y además impactan en la vida útil de la batería y en su desempeño", escribió por su parte Brad Molen, de Engadget.
"El debut telefónico de Amazon no es malo per se, pero hay pocos incentivos para que alguien cambie de compañía o plataforma para comprarlo", agregó.
Fuente: Reuters