24 de noviembre de 2018

VPN. El 86% de las 'apps' ofrecen un servicio con privacidad débil

El 86% de las principales aplicaciones que ofrecen redes VPN poseen "políticas de privacidad débiles" que no están suficientemente detalladas, monitorizan el tráfico del usuario o comparten sus datos con terceras empresas, y además el 59% son de propiedad china o se localizan en el país oriental.
La web de seguridad Top10VPN ha publicado un informe sobre redes privadas virtuales (VPNs en sus siglas en inglés), las cuales se utilizan para navegar de forma privada, evadir la censura y usar WiFi público de forma segura. Las redes consiguen esto al encriptar la conexión a Internet de los usuarios y reemplazar la dirección IP del dispositivo mediante el desvío del tráfico a un servidor remoto.
El informe se ha centrado en las treinta aplicaciones gratuitas de VPN más descargadas de las tiendas de Apple y Android en Reino Unido y Estados Unidos, de las cuales se ha podido observar que el 59% de ellas están afincadas en China o poseen directamente propietarios chinos.
Ejemplos de esto son SuperVPN Free VPN Client, con 50 millones de descargas en Android, Snap VPN que posee 10 millones de usuarios, o X-VPN y YogaVPN con 5 millones cada una.
Recomendación
Lo ideal es elegir una compañía que ofrezca servicios de VPN seguras, aunque evidentemente no son gratuitas.
Más información
Fuente: Europa Press

VPN. Que son y para que sirven

Una VPN son las siglas de Virtual Private Network, o red privada virtual, la cual permite crear una red local sin necesidad que sus integrantes estén físicamente conectados entre sí, sino a través de Internet.
Sin embargo, hay otra particularidad de las conexiones VPN más desconocida los túneles de datos. Normalmente, mientras usas Internet tu dispositivo se pone en contacto con tu proveedor de Internet, que es el que conecta con los distintos servicios web para ofrecerte, por ejemplo correo electrónico.
Cuando te conectas a una conexión VPN, esto cambia. Todo tu tráfico de red sigue yendo desde tu dispositivo a tu proveedor de Internet, pero de ahí se dirige directo al servidor VPN, desde donde partirá al destino. Idealmente la conexión está cifrada, de modo que tu proveedor de Internet realmente no sabe a qué estás accediendo. A efectos prácticos, tu dirección IP es la del servidor VPN: en muchos aspectos es como si estuvieras físicamente ahí, conectándote a Internet.
Ventajas de las conexiones VPN
Ahora que ya sabemos qué es una conexión VPN y para qué sirve, es hora de resumir una lista de las ventajas e inconvenientes que te supone el uso de esta tecnología. Primero, la parte positiva:
  • Funciona en todas las aplicaciones, pues enruta todo el tráfico de Internet, a diferencia de los servidores proxy, que solo puedes usar en el navegador web y un puñado de aplicaciones más que te dejan configurar las opciones de conexión avanzadas.
  • Se conecta y desconecta fácilmente. Una vez configurado, puedes activar y desactivar la conexión a tu antojo.
  • Seguridad adicional en puntos de acceso WiFi, siempre y cuando la conexión esté cifrada, claro
  • Falseo de tu ubicación, como ya hemos visto en el apartado anterior, una conexión VPN es un modo eficaz de evitar la censura o acceder a contenido limitado a cierta región.
  • Tu proveedor de Internet no puede saber a qué te dedicas en Internet. Con una VPN no sabrán a que te dedicas, aunque sí lo sabrá la compañía que gestiona la VPN.
Más información
Fuente: Europa Press

VPN SEGURA. ¿Qué son este tipo de VPN? ¿Ventajas e Inconvenientes?

Estas VPN tiene un modo de núcleo seguro para mejorar la privacidad del usuario y la seguridad de los datos al mitigar algunos de los riesgos de un servidor VPN comprometido.
Un método común para exponer el tráfico VPN es comprometer el servidor que maneja su tráfico. Este riesgo es particularmente grave cuando el servidor se encuentra en una jurisdicción de alto riesgo.
Para mitigar este riesgo, la compañía ProtonVPN presenta una arquitectura de nucleo seguro que enruta el tráfico a través de múltiples tuneles cifrados en múltiples países para defenderse mejor contra ataques basados en una red. También se integra con la red Tor para garantizar el anonimato.
Principales caracterrsticas de la arquitectura
1- Soporta tráfico P2P
2- Enruta el tráfico a través de nodos TOR
3- Servidores normales o Premium
Ventajas
Cuando te conectas a ProtonVPN, tu tráfico se deriva a través de varios servidores principales seguros antes de salir de la red privada, haciendo imposible que se rastreen los datos de usuarios específicos. Estos servidores están ubicados en Suecia, Islandia y Suiza, donde existen importantes leyes sobre la privacidad que no permiten al gobierno solicitar información a Proton.
Además, cada vez que inicias una sesión recibes una clave de cifrado nueva, por lo que si una resulta comprometida ésta no podrá ser usada para descifrar tráfico de otras sesiones. También posee cifrado AES de 256 bits, intercambio de claves RSA de 2048 bits y autenticación de mensajes HMAC-SHA256.
Inconvenientes
1.    Es un servicio de pago.
2.    Sólo dispone de servidores en 14 países, y solo soporta el protocolo OpenVPN. ProtonVPN no se puede utilizar con los protocolos PPTP y L2TP.
2.1. El motivo de ello es asegurarse de que la red sea completamenete privada, ya que OpenVPN es el protocolo más seguro, lo cual no siempre resulta conveniente, pero desde luego si que es seguro.
DISPONIBILIDAD
Secure Core es una función incluida en los planes Plus y Visionary. Pueden activarse de la siguiente manera:
Aplicación Windows ProtonVPN:
·        Descargue e instale ProtonVPN, https://protonvpn.com/download/  inicie la aplicación e inicie sesión
·        Busque y active Secure Core en la pestaña de país de la izquierda.
·        Conéctese a los servidores disponibles en la lista debajo.
Aplicación ProtonVPN para Android:
·     Instale la aplicación móvil VPN de Android ProtonVPN https://play.google.com/store/apps/details?id=com.protonvpn.android  desde Play Store.
·        Toque el selector junto a "Usar Secure Core" para activar Secure Core.
·       Conéctese a uno de los servidores centrales seguros disponibles en la lista de servidores.
En MacOS, GNU / Linux, iOS
1)   Siga la guía paso a paso para configurar ProtonVPN en dispositivos:
2)   Cuando seleccione un archivo de configuración del servidor, simplemente elija un archivo de configuración con una estructura de nombres similar a xx-xx-00.protonvpn.com.xxxxxxx.ovpn
Más información
Fuente: ProtonVpn

Otras VPN Seguras

Hoy en día para enumerar algunas de las VPN más seguras con las que tendremos nuestra conexión realmente protegida. No solamente por lo que respecta a la conexión protegida, sino entraremos en algunos matices como la jurisdicción, el registro del tráfico o de la IP, al igual que el cifrado de los datos que correrán por ese "túnel".
BolehVPN
  • BolehVPN cumple todos los requisitos para convertirse en la VPN ideal para mantener nuestra conexión bien protegida. En aspectos como la seguridad, registro de datos del usuario como la IP o el tráfico ofrece esa confianza que hemos de buscar en una VPN.
  • BolehVPN ofrece cifrado de datos en AES-128 y AES-256, lo único que están en inglés, pero al ser una de las VPN más fiables, es recomendable que pasemos a probarla por la gran experiencia que otorga para tener nuestra conexión protegida.
  • Tiene una prueba gratuita de un mes y sus precios van al mes por los 6,67 dólares. Se encuentra en Malasia y de la lista es la que más recomendamos.
Freedome
  • Citamos a esta VPN porque ofrece gran seguridad en el cifrado de datos con AES-256, pero en el registro de la IP y el ancho de banda deja bastante que desear. Si la ponemos en esta lista es porque está la web en español, aunque la base es en Finlandia.
  • Para dar unos primeros pasos en las VPN os puede venir muy bien, aunque recomendamos que paséis a otro servicio cuando os hagáis un poco con Freedome para tener una conexión totalmente protegida a todo nivel. Tampoco podemos recomendarlo por el trato ético al incentivar el spam en social media o que no requiera una copia ética.
  • Su coste es de 49,90 euros al año para tres dispositivos. Una VPN segura aunque no llega a la perfección que BolehVPN para disponer de una conexión protegida.
BlackVPN
  • Otra de las que proporciona una experiencia muy gratificante a todos los niveles para mantener la conexión realmente protegida. Basada en Hong Kong y con ella te olvidarás de que registren el tráfico, las DNS, el ancho de banda o se hagan logs de las direcciones IPS.
  • Es consciente de los problemas vinculados actualmente a la privacidad y dispone cifrado de datos por defecto tanto en AES-128 al igual que en AES-256 para acceder a una conexión protegida..
  • Por 49 euros al año podrás acceder a una serie de localizaciones VPN limitadas, aunque por 99 euros tendrás acceso a toda su red de localizaciones VPN en un gran número de países. Otra de las VPN seguras que ofrece seguridad a tu conexión.
Doublehop
  • Otra VNP que pondrá en valor la conexión protegida y que se encuentra basada en las Islas Seychelles. Sigue lo dicho sobre BlackVPN y BolehVPN para que no se registren ningún tipo de tráfico, el ancho de banda o la dirección IP. Al igual que la anterior, el método de pago es por email, aunque con una ventaja: podrás usar Bitcoins para pagar la cuota.
  • Dispone al usuario de una red VPN de servidores dedicados y cifrado de datos AES-256 por defecto. Mencionar que ofrece protocolo OpenVPN y que de la lista es una de las más baratas.
  • Por 9 dólares al mes y un correo electrónico podrás acceder a un VPN segura en tu dispositivo para disponer de una conexión protegida.
Trust.zone
  • También se encuentra en las Islas Seychelles y cumple todos los requisitos para ser una de las VPN más seguras. Acepta Bitcoin y con un correo electrónico podrás obtener una VPN para asegurar tu conexión a internet.
  • Una de las mayores ventajas de Trust.zone como una VPN segura es su gran disponibilidad de países y de servidores con 30 y 108 respectivamente. En valor ponemos su cifrado de datos AES-256 y no bloquea el tráfico P2P para una conexión protegida.
  • Puedes probar la VPN de forma gratuita. Sus precios varían desde los 6,99 dólares al mes si contratas un año, aunque ahora la encontrarás de oferta por un total de 39,95 dólares para tener 127 localizaciones, transferencia ilimitada de datos y tres conexiones simultáneas.
NordVPN
  • Afincada en Panamá, NordVPN ofrece una VPN bien segura que sigue el baremo esperado para tener gran confianza en que tendremos bien protegida nuestra conexión. Sigue a raja tabla todo lo relacionado con el registro de bando de ancha y dirección IP para que podamos conducir todo el tráfico sin que nadie haga logs.
  • Acepta Bitcoins y email para el registro de su VPN. A favor de la privacidad, con lo que contarás con una VPN que mantendrá protegida la conexión sin que tengamos que preocuparnos en ningún momento.
  • Cifrado de datos en AES-256 para un VPN que tiene un precio 11,95 dólares al mes. Tiene planes para dos años que se quedan en 3,29 dólares. Ah, y está en español, así que muy recomendable.
Fuente: El Grupo Informático.com

15 de noviembre de 2018

Los secuestros BGP del gobierno de China

El Gobierno Chino secuestró tráfico de red de usuarios de EEUU para ser redirigido hacía el país Chino.
La Naval War College de los Estados Unidos ha publicado un artículo en el que se evidencia como el gobierno de China (a través del proveedor de servicios China Telecom) redirigió en múltiples ocasiones el tráfico de internet de parte de los usuarios de Estados Unidos hacia China, mediante la técnica de secuestro BGP.
BGP (Border Gateway Protocol) es un protocolo clave en las comunicaciones de internet. Este protocolo es utilizado para intercambiar información de enrutamiento entre los distintos proveedores de servicios registrados en internet. Garantizando que dichas rutas estén libres de bucles y representan el camino más corto entre dos extremos de una comunicación.
En el artículo, se resalta como en 2015 Estados Unidos y China alcanzaron un acuerdo por el cual se pretendían reducir los ciberataques directos entre ambas potencias. Dicho acuerdo pareció tener impacto en el número de ataques que ambos países recibían.
Sin embargo, este acuerdo no contempla los cada vez más frecuentes ataques de secuestro BGP que suelen sufrir en general los países del oeste.
¿ Cómo funciona un ataque de secuestro de rutas BGP ?
Internet se basa en la interconexión de otras muchas redes de forma más o menos jerárquica. En los routers frontera de cada una de esas redes, funciona el protocolo BGP, encargado como ya hemos comentado de encaminar el tráfico por una u otra red, dependiendo de cual sea el camino más corto hasta llegar a un determinado destino.
Un ataque de secuestro BGP ocurre cuando un router frontera de una de estas redes anuncia de forma intencionada (o por un fallo de configuración) rutas pertenecientes a otra red distinta como si fuese una ruta propia.
Si esta falsa afirmación es aceptada por el resto de redes vecinas, entonces el tráfico se encaminará al atacante en lugar de su destino legítimo.
Fuente: Hispasec

FACEBOOK. Afirmó cortar lazos con los asuntos públicos de los definidores

Facebook ha terminado su relación con una consultora con sede en Washington, Definers Public Affairs, que difundió información despectiva sobre los críticos y competidores de la red social, según una persona familiarizada con la decisión.
El movimiento siguió a un artículo del New York Times el miércoles que describía el tipo de trabajo que los Definidores hicieron en nombre de Facebook. Entre otras cosas, los Definidores trabajaron para desacreditar a los manifestantes activistas que estaban en contra de Facebook, en parte vinculándolos con el liberal liberal George Soros. También intentó desviar las críticas a la red social presionando a los reporteros para que investigaran a rivales como Google.
La noche del miércoles, Facebook decidió terminar su relación con los Definidores después de que la publicación del artículo del Times provocó una protesta, dijo la persona familiarizada con el asunto, que no estaba autorizada a hablar en público. Los principales ejecutivos de Facebook, incluidos Mark Zuckerberg y Sheryl Sandberg, no estaban al tanto del trabajo específico que realizan los Definidores, dijo la persona.
En un comunicado, Facebook dijo que no había ocultado sus vínculos con los Definidores y disputó que le había pedido a la firma que difundiera información falsa.
"Es incorrecto sugerir que alguna vez le hemos pedido a los Definidores que paguen o escriban artículos en nombre de Facebook, o que comuniquemos algo falso", dijo una portavoz de Facebook en el comunicado.
"La relación con Facebook fue bien conocida por los medios de comunicación, entre otras cosas porque en varias ocasiones enviaron invitaciones a cientos de periodistas sobre importantes llamadas de prensa en nuestro nombre", agregó la portavoz.
Definers fue fundado por veteranos de las campañas presidenciales republicanas y se especializó en aplicar tácticas de campaña política a las relaciones públicas corporativas. El año pasado, Tim Miller, un funcionario de los Definidores y ex portavoz de Jeb Bush, comenzó un capítulo de Silicon Valley. Él dijo en una entrevista que a medida que las empresas de tecnología madura, un objetivo debe ser “tener un contenido positivo empujado fuera de su empresa y contenido negativo que está siendo empujado hacia fuera sobre su competidor.”
Facebook inicialmente contrató a Definidores para monitorear las noticias sobre la red social. Amplió su relación con la firma en octubre de 2017 cuando aumentaba el escrutinio de Facebook sobre cómo los agentes rusos habían utilizado el sitio de redes sociales para sembrar la discordia antes de las elecciones presidenciales de 2016 en Estados Unidos.
The Times informó el miércoles que a principios de este año, un sitio web conservador llamado NTK Network comenzó a publicar historias en defensa de Facebook y criticando a los rivales de Facebook como Google. NTK es un afiliado de Definidores.
Además, los Definidores circularon un documento de investigación este verano, que eligió al Sr. Soros, el donante liberal multimillonario, como la fuerza no reconocida detrás de lo que parecía ser un amplio movimiento anti-Facebook. Los definidores presionaron a los reporteros para explorar las conexiones financieras entre el Sr. Soros y los grupos que habían criticado a Facebook, incluido un grupo progresista fundado por el hijo del Sr. Soros y Color of Change, una organización de justicia racial en línea.
Un funcionario de Open Society Foundations de Soros dijo que la filantropía había apoyado a ambos grupos miembros, pero que no se habían otorgado subvenciones para apoyar campañas contra Facebook.
"Estamos orgullosos de habernos asociado con Facebook en el último año en una gama de servicios de asuntos públicos. Todo nuestro trabajo se basa en documentos e información disponibles públicamente ”, dijo un portavoz de los Definidores en una declaración.
Agregó que "el documento al que se hace referencia en la historia del Times sobre las posibles fuentes de financiamiento de la organización anti-Facebook fue completamente basado en hechos públicos".
Miller dijo el miércoles por la noche en Twitter que estaba herido por las acusaciones de que el trabajo de Definers relacionado con el Sr. Soros era antisemita. "Estoy disgustado por el aumento del antisemitismo, incluidas las personas que han atacado falsamente a Soros. Es profundamente profundamente personal. "Luché continuamente contra la derecha y otros que propagan mentiras racistas y odian y seguirán haciéndolo", dijo.
Después del artículo del Times, otras organizaciones también comenzaron a reevaluar su relación con los Definidores. Uno de ellos fue Crooked Media, que dirige el popular podcast político Pod Save America. El Sr. Miller es un colaborador frecuente del podcast.
"Necesitamos llegar al fondo de la participación de Tim en este trabajo, y él no contribuirá a Crooked mientras tanto", dijeron Jon Favreau, Jon Lovett y Tommy Vietor, tres de los anfitriones del podcast, en una entrevista. Declaración publicada en Twitter el miércoles.
Fuente: nytimes.com

KASPERSKY. Procesará datos de usuarios europeos en Zúrich y anuncia Centro Transparencia

Kasperksy Lab ha anunciado que a partir de este martes procesará los archivos maliciosos compartidos por los usuarios europeos en sus centros de datos de Zúrich (Suiza), como parte de su Iniciativa de Transparencia Global, y la inauguración de su primer Centro de Transparencia en la ciudad suiza para ofrecer información sobre seguridad a gobiernos y socios tecnológicos.
La compañía de ciberseguridad ha informado de la reubicación de las actividades de procesamiento de datos mediante un comunicado, en el que se recoge el objetivo de Kaspersky de aumentar la adaptabilidad de la infraestructura de tecnologías de la información (TI) "frente a las amenazas de fugas de datos y ataques a la cadena de suministro".
Todos los datos relacionados con estas amenazas enviados por los usuarios europeos pasan a procesarse en dos centros de datos ubicados en Zúrich. Además de los archivos maliciosos o desconocidos, Kaspersky también analizará en dichos centros los metadatos relativos a los productos que la compañía envía a la Red de Seguridad de Kaspersky para realizar análisis automatizados de 'malware'.
INAUGURACIÓN DEL CENTRO DE TRANSPARENCIA
Junto a esto, la compañía ha inaugurado en Zúrich su primer Centro de Transparencia, en el cual los socios autorizados de la empresa podrán acceder a revisiones de código, actualizaciones de 'software' y de reglas de detección de amenazas. Kaspersky también ha añadido que proporcionará información relativa a sus productos, seguridad y documentación técnica tanto a 'partners' como a los gobiernos.
Suiza se encuentra entre los principales países en cuanto a cantidad de servidores de Internet seguros, según ha declarado Kaspersky, además de poseer una infraestructura de TI de calidad. Junto a esto, la compañía también resalta su posición geográfica en el centro de Europa y su estatus fuera de la Unión Europea, por lo que tiene "su propia normativa de privacidad de datos".
El director ejecutivo de Kaspersky Lab, Eugene Kaspersky, ha resaltado que "la necesidad de probar la confiabilidad pronto será un estándar de la industria", y que "la reubicación en Suiza de partes clave de nuestra infraestructura, nos coloca en uno de los lugares más seguros del mundo".
FUTURAS MEDIDAS DE KASPERSKY
La protección de los datos de los clientes y la seguridad de la infraestructura son las prioridades que Kaspersky ha resaltado, y por ello la reubicación de los archivos a Suiza es el primer paso que la compañía toma, proceso con el cual se pretende acabar a finales de 2019.
La reubicación del procesamiento de datos de usuarios pertenecientes a otras regiones y el "traslado a Zúrich del ensamblaje de 'software'" también son iniciativas que Kaspersky pretende llevar a cabo. Por otro lado, Kaspersky ha previsto la migración de otro tipo de datos consistentes en estadísticas anónimas de amenazas y uso "en fases posteriores" de la iniciativa.
INICIATIVA DE TRANSPARENCIA GLOBAL
   Kaspersky anunció de forma pública su Iniciativa de Transparencia Global en octubre del año 2017, y además de la reubicación de los datos y la creación del Centro de Transparencia, ha tomado otras medidas como contratar una auditoría externa de sus prácticas de ingeniería "en torno a la creación y distribución de las bases de datos de reglas de detección de amenazas", para confirmar sus estándares de seguridad.
Además, la compañía ha afirmado que ha conseguido mejorar la seguridad de sus productos con la ayuda de una comunidad de "entusiastas de la seguridad en todo el mundo", la cual contribuye a identificar errores.
Fuente: Europa Press

EEUU. Los nuevos sistemas armamentísticos vulnerables a ‘hackers’

Estados Unidos ha adquirido nuevos sistemas de armamento por 1,6 billones de dólares que, según investigadores del gobierno, abren nuevas vulnerabilidades potenciales a ciberataques.
En una prueba de vulnerabilidades digitales realizada por el Pentágono, un grupo de hackers autorizados pudo tomar el control de los sistemas armamentísticos adquiridos por el Ejército estadounidense, según una nueva y severa evaluación gubernamental.
El informe de la Oficina de Rendición de Cuentas (GAO, por su sigla en inglés) concluyó que muchas de las armas, o de los sistemas que las controlan, se podían neutralizar en unas horas y que, en muchos casos, el Ejército no se daba cuenta del ciberataque.
Para que se pudiera hacer pública una versión del estudio sin alertar a los adversarios de Estados Unidos, se borraron todos los nombres y todas las descripciones de los sistemas que fallaron, los cuales forman parte de un conjunto de armas valorado en 1,6 billones de dólares que el Pentágono les está comprando a los contratistas de defensa. El Congreso recibirá la versión clasificada del reporte, que especifica cuáles fueron los sistemas afectados.
Sin embargo, incluso la evaluación desclasificada describió un panorama aterrador sobre la vulnerabilidad de una serie de armas emergentes, desde nuevas generaciones de misiles y aeronaves hasta prototipos de nuevos sistemas de lanzamiento de armas nucleares.
“En uno de los casos, el equipo de pruebas tomó el control de las terminales de los operadores”, concluyó el informe. “Pudieron ver, en tiempo real, qué veían los operadores en sus pantallas y fueron capaces de manipular el sistema” —una técnica que recuerda a la usada por los ciberatacantes rusos en la red eléctrica de Ucrania hace dos años—.
La GAO, la oficina de investigación del Congreso, describió un enfrentamiento entre hackers del “equipo rojo” y ciberdefensores del Pentágono. Las armas probadas forman parte de un total de 86 sistemas armamentísticos en desarrollo; los ciberatacantes tuvieron acceso a muchos de los sistemas porque encontraron contraseñas fáciles de descubrir o porque había pocas protecciones en contra de amenazas (filtraciones) internas, de personas con cierto nivel de acceso a elementos de los programas.
En algunas ocasiones, el equipo de pruebas jugó con sus objetivos en el Pentágono. Un equipo “informó haber generado un mensaje emergente que aparecía en las terminales de los usuarios y les daba instrucciones de insertar dos monedas de 25 centavos para que el sistema continuara funcionando”.
La evaluación se realizó después de años de advertencias sobre las vulnerabilidades de los sistemas de defensa —algunas de las cuales fueron ignoradas, según la GAO— y justo cuando el presidente Donald Trump ha dado mayor flexibilidad a los comandantes estadounidenses para que desplieguen ciberarmas sin la necesidad de obtener primero la aprobación presidencial.
También sugiere que Estados Unidos es vulnerable a ciberataques cuando intenta inhabilitar sistemas enemigos.
El año pasado, The New York Times informó que el expresidente Barack Obama ordenó iniciar ataques acelerados en contra de los sistemas de misiles norcoreanos en 2014, más o menos al mismo tiempo que el Pentágono comenzó a percatarse de forma tardía de las fallas que había en sus propios sistemas, según el artículo.
En años recientes, el Pentágono ha empezado a instalar “alarmas contra intrusos” para alertar a los operadores de las armas sobre señales de ataque. No obstante, la GAO sugirió que esas alarmas eran tan efectivas como las de los autos que suenan en las calles: se han convertido en un suceso tan común que todo el mundo asume que se trata de una falsa alarma.
“Los sistemas de detección de intrusos identificaron correctamente las actividades del equipo de pruebas”, señaló el informe. Sin embargo, agregó, el sistema “siempre estaba en ‘rojo’” y “las advertencias eran tan comunes que los operadores ya no las percibían”.
Los auditores del Congreso anunciaron los hallazgos obtenidos mediante el primer examen que ha realizado la GAO para detectar vulnerabilidades en sistemas importantes de armas que está adquiriendo el gobierno federal.
Según el informe, el costo total de los sistemas adquiridos es de 1,66 billones de dólares. Entre estos sistemas se encuentran submarinos, misiles, cohetes de carga, radares, aviones caza, aviones cisterna, portaviones, buques destructores, satélites, helicópteros y equipos electrónicos de interferencia de señales.
En varias entrevistas, los funcionarios de la GAO señalaron que los programas de adquisiciones que se evaluaron incluían dos de las tres clases principales de sistemas de lanzamiento de armas nucleares: el submarino clase Columbia y el remplazo de los desfasados misiles Minuteman con los que cuenta Estados Unidos, conocido como Disuasión Estratégica Basada en Tierra.
El bombardero B-21, una nueva generación de aviones furtivos que podrán lanzar armas nucleares, no entra dentro del total de 1,6 billones de dólares.
Fuente: The New York Times

¿Usas un dron DJI? Es posible que tu información sensible esté en peligro

Investigadores de CheckPoint han revelado detalles de una vulnerabilidad en la aplicación web de DJI que podría haber permitido a un atacante acceder a cuentas de usuario y sincronizar información sensible como: registros de vuelo, ubicación, vídeo de cámara en vivo y fotos tomadas.
El equipo de DJI a pesar de estar informado de esta vulnerabilidad desde marzo, no ha puesto solución a la misma hasta hace menos de dos meses.
Introducción:
La vulnerabilidad en cuestión se valía de tres ataques diferentes para conseguir acceder a las cuentas de las victimas. Vamos a explicar algunos conceptos usados durante el análisis del fallo para que se comprenda mejor:
1)   Atributos de las cookies: Las cookies de sesión tienen una serie de indicadores que mejoran la seguridad de las mismas. Principalmente son tres:
a)   Secure: Obliga a que la cookie se envíe solo mediante comunicaciones seguras y encriptadas.
b)   HTTPOnly: Especifica que la cookie solo es accesible mediante el protocolo HTTP.
c)    Same-site: Impide que el navegador envíe la cookie cuando la petición es originada desde un dominio externo. (No está relacionada con la vulnerabilidad que vamos a comentar).
2)   XSS (Cross-site Scripting): Vulnerabilidad web que consiste en inyectar código JavaScript. Hay dos tipos:
a)   Reflejado: Consiste en editar los valores que se pasan mediante URL.
b)   Persistente: Consiste en insertar código HTML en sitios que lo permitan, de manera que este queda visible antes cualquier usuario que lo visite.
Detalle de vulnerabilidades
Debido a una vulnerabilidad XSS persistente en el foro de DJI, un atacante podía inyectar un enlace con código malicioso que robara las cookies de sesión de la víctima que accediera. Estas al no tener correctamente configurados los atributos Secure y HTTPOnly, permitían al atacante reutilizarlas para tomar el control de la cuenta web DJI del usuario, de las aplicaciones móviles y de la plataforma centralizada de gestión de operaciones con drones llamada DJI Flighthub.
Sin embargo, para acceder a la cuenta comprometida en las aplicaciones móviles no valía solo con los hechos mencionados. Los atacantes además debían interceptar el tráfico de la aplicación móvil, y gracias a un fallo en la configuración de la implementación SSL, y mediante un ataque de hombre en el medio (MitM) conseguían el acceso.
Recomendaciones:
A pesar de que DJI ha asegurado que no ha encontrado evidencias de que el fallo se haya estado explotando más allá de los laboratorios de CheckPoint, si eres usuario de la empresa y has dado clic en algún enlace sospechoso del foro, se lo hagas saber de inmediato al soporte técnico.
Más información:
Fuente: Hispasec



INTEl Anuncia familia procedores Cascade Lake con hasta 48 núcleos por CPU

El fabricante de circuitos Intel ha anunciado dos nuevas líneas de procesadores Intel Xeon, Cascade Lake Advanced Performance, el cual integra 48 núcleos de procesamiento por CPU para rendimiento avanzado, y Xeon E-2100, orientados a reforzar la seguridad en empresas de servicios en la nube de nivel básico.
Las nuevas líneas de procesadores están basados en la plataforma escalable Intel Xeon, y se enfocan a "ofrecer a un gran número de clientes unas soluciones optimizadas para satisfacer las diversas necesidades de rendimiento", como ha indicado la directora general de productos Xeon y de marketing para centro de datos, Lisa Spelman, en un comunicado.
CASCADE LAKE ADVANCED PERFORMANCE
Cascade Lake admite hasta 48 núcleos por cada unidad central de procesamiento (CPU) y 12 canales de memoria con tecnología DDR4 por cada zócalo del circuito. Este procesador está diseñado para la informática de alto rendimiento, procesos de Inteligencia Artificial (IA) e infraestructura como servicio (SaaS) debido a su alto rendimiento y escalabilidad, como indica la compañía.
Estos procesador ofrecen mejoras en el rendimiento de las CPU y en cargas de trabajo limitadas por el ancho de banda de la memoria. Las estimaciones de rendimiento realizadas por la compañía indican que Cascade Lake mejorara las prestaciones del Intel 8180 y AMD EPYC 7601. También resaltan que sería superior a Intel Xeon Platinum en cuanto a inferencia de IA y aprendizaje profundo ('deep learning').
INTEL XEON E-2100
Por otra parte, Xeon E-2100 ofrece "características de seguridad y administración basadas en 'hardware'" para los datos y las aplicaciones de los clientes, según ha indicado la compañía. Este procesador está orientado a pequeñas y medianas empresas, así como a servidores de servicios en la nube.
Xeon E-2100 ofrece soporte para cargas de trabajo para servidores de nivel básico, y otorga una capa de seguridad adicional cuando se utiliza con aplicaciones en la nube.
Intel Xeon E-2100 ya se puede adquirir a través de Intel, así como mediante los principales distribuidores de procesadores. Mientras, se espera que Cascade Lake llegue al mercado durante la primera mitad de 2019.
Fuente: Europa Press

BREXIT. Obligará a cooperar a España y Reino Unido sobre Gibraltar

El acuerdo de salida del Brexit consta de 585 páginas, 185 artículos y tres protocolos. Uno sobre Irlanda del Norte, otro sobre Chipre y el último sobre Gibraltar. En el documento presentado año por la Comisión Europea se establece un marco, regulatorio y político, inédito y que por primera vez en la historia fuerza o propicia la cooperación entre el Reino Unido y España no sólo en el Peñón, sino también en toda la zona del Campo de Gibraltar. Con la creación de una serie de grupos de trabajo mixto sobre los temas que España considera vitales: aduanas, tabaco, medioambiente y los derechos de los trabajadores del Campo de Gibraltar. No hay, sin embargo, ningún hito en el papel redactado por el equipo de Michel Barnier.
En el Protocolo del acuerdo de salida, que los jefes de Estado y de Gobierno deben ratificar el próximo día 25, hay información detallada por primera vez sobre los comités mixtos que en el futuro deberán abordar los temas más espinosos y que más preocupan a Madrid desde hace décadas. La Comisión ha ido publicando documentos de la negociación en general del Brexit sistemáticamente los últimos meses, pero de Gibraltar no se había visto una sola línea. Ahora, en siete páginas y seis artículos muy concretos, el Protocolo establece la creación de tres comités de trabajo conjunto entre Madrid y Londres para temas labores, medioambientales y aduaneros. Faltan todavía por conocerse los cuatro (en teoría ahora serán cuatro) Memorandos que han ido desarrollando ambas capitales con el resto de detalles concretos y que deben dar forma a lo avanzado a nivel comunitario, que es más genérico.
Tras una serie de considerandos, y destacando que "la retirada ordenada del Reino Unido de la Unión en relación con Gibraltar implica que cualquier posible efecto negativo en las estrechas relaciones sociales y económicas entre Gibraltar y el área circundante, en particular el territorio de los municipios que conforman la Mancomunidad de Municipios del Campo de Gibraltar en el Reino de España, se aborda adecuadamente", el Protocolo apunta a la necesidad de seguir "promoviendo un desarrollo económico y social equilibrado en el área, en particular en términos de condiciones laborales, y continuar garantizando los niveles más altos de protección ambiental de conformidad con la legislación de la Unión, así como continuar fortaleciendo la seguridad para los habitantes de la zona, en particular a través de la cooperación en materia policial y aduanera".
El primer artículo hace referencia a los derechos de los ciudadanos, y estipula que "el Reino de España y el Reino Unido cooperarán estrechamente con miras a preparar y respaldar la aplicación efectiva de la Parte Dos del Acuerdo de Retirada de los derechos de los ciudadanos, que se aplica plenamente, entre otras cosas, a los trabajadores que residen en Gibraltar o en España, en particular en el territorio de los municipios que conforman la Mancomunidad de Municipios del Campo de Gibraltar, y que, en los artículos 24 y 25, establecen derechos específicos para los trabajadores fronterizos".
Es un elemento importante. Bruselas, así, da a los cerca de 10.000 empleados que entran y salen diariamente, el estatus de "transfronterizos" y la cobertura de todo el acuerdo de salida, para que no puedan ser discriminados en el futuro. Para ellos, "las autoridades competentes intercambiarán información actualizada trimestralmente" y "establecerán un comité de coordinación como foro de discusión regular entre las autoridades competentes para monitorear asuntos relacionados con el empleo y las condiciones laborales".
Durante la negociación, el presidente del Gobierno, Pedro Sánchez, aceptó dejar fuera de forma directa otra de las reivindicaciones históricas: la congestión del aeropuerto. Así lo explicó hace unas semanas en Bruselas, al admitir que era un tema demasiado polémico. El Artículo2 del Protocolo fija que "la ley de la Unión sobre transporte aéreo que no se haya aplicado al aeropuerto de Gibraltar antes del 30 de marzo de 2019 solo se aplicará al aeropuerto de Gibraltar a partir de la fecha establecida por el Comité Conjunto". Un "Comité Mixto adoptará la decisión al respecto, previa notificación por el Reino Unido y España de que han alcanzado un acuerdo satisfactorio sobre el uso del aeropuerto de Gibraltar". Algo que queda muy en el aire en la redacción. El Tercer Artículo establece una cooperación para "alcanzar la transparencia necesaria en asuntos tributarios" y sobre el "respeto a los intereses financieros de las partes afectadas", en particular "estableciendo un sistema reforzado de cooperación administrativa para la lucha contra el fraude, el contrabando y el lavado de dinero". Así como para resolver las disputas impositivas.
En concreto, y recuperando una vieja aspiración española, se indica que las normas internacionales del G-20 y la OCDE sobre "gobernanza fiscal, transparencia, el intercambio de información y las prácticas fiscales se cumplirán en Gibraltar", con miras a "la participación de Gibraltar en el marco inclusivo de la OCDE sobre la erosión de bases imponibles y el desvío de beneficios (BEPS)".El acuerdo hace hincapié en que "Reino Unido garantizará que su ratificación del Convenio Marco de control del tabaco, adoptado en Ginebra el 21 de mayo de 2003, y el Protocolo para eliminar el comercio ilícito, adoptado en Seúl el 12 de noviembre de 2012, se extiende a Gibraltar hasta el 30 de junio de 2020".
Y además, Londres "garantizará un sistema de trazabilidad y medidas de seguridad", uno que "garantizará la reciprocidad. Acceso a la información sobre trazabilidad de los cigarrillos en España y Gibraltar". Con el fin de "prevenir y disuadir el contrabando de productos sujetos a impuestos especiales o impuestos especiales, el Reino Unido garantizará que, con respecto al alcohol y la gasolina, un sistema fiscal que tenga como objetivo prevenir actividades fraudulentas relacionadas con esos productos esté en vigor en Gibraltar". El Artículo Cuatro establece otro comité bilateral que se convierta en "foro regular para discusiones" sobre la gestión de residuos, calidad del aire o pesca. Dejando la puerta abierta a que la UE participe de las mismas.
En materia aduanera, el Artículo Cinco crea otro comité más como "foro para el seguimiento y la coordinación entre las autoridades competentes de cualquier cuestión relacionada con la cooperación en materia policial y aduanera".
El último apartado es de carácter técnico sobre el comité especializado, formado por representantes de ambos gobiernos (no hay ninguna referencia en el Protocolo a las autoridades del Peñón, un detalle nada casual) y las autoridades europeas.
Fuente: El Mundo.es

ALEMANIA. Desea acuerdo vinculante sobre impuesto digital de UE para diciembre

El ministro de Finanzas alemán, Olaf Scholz, dijo que está a favor de lograr un acuerdo vinculante sobre un impuesto digital de la Unión Europea en una reunión de ministros de la UE que se realizará en diciembre, destacando de paso que apoya el modelo francés.
“Si las negociaciones continúan de la forma en que han estado yendo hasta ahora, seguiremos en conversaciones dentro de 100 años. Por eso apoyo al modelo francés y quiero ofrecer lo recaudado a la UE”, dijo Scholz, según declaraciones publicadas el lunes por el semanario Der Spiegel.
Ha habido discordia entre los estados miembros de la Unión Europea sobre un plan propuesto por la UE para gravar los ingresos de las grandes empresas de Internet como Google y Facebook.
Alemania solicitó este mes una revisión de la iniciativa para excluir del plan tributario actividades vinculadas a los fabricantes de automóviles.
El ministro de Finanzas francés, Bruno Le Maire, dijo el lunes que estaban cerca de lograr un acuerdo.
En virtud de la propuesta de la Comisión Europea dada a conocer en marzo, los estados de la UE cobrarán un impuesto del 3 por ciento sobre los ingresos digitales de las grandes firmas, acusadas de evitar impuestos al desviar sus beneficios a los estados del bloque con tributos más bajos.
El plan apunta a cambiar las normas fiscales que han permitido a algunas de las compañías más grandes del mundo pagar tasas inusualmente bajas de impuestos corporativos por sus ganancias.
Pero para ello es necesario el apoyo de los 28 estados de la UE y varios se oponen, entre ellos países pequeños y con impuestos más bajos, como Irlanda, que se ha beneficiado al permitir que las multinacionales registren allí las ganancias de las ventas digitales.
Fuente: Reuters

Nuevo ataque informático afecta a banco chileno Consorcio

El banco chileno Consorcio dijo el jueves que su sistema de transferencias internacionales fue afectado por un ataque informático, en que hackers robaron casi 2 millones de dólares, en un nuevo delito de ciberseguridad en el sistema financiero local.
Consorcio, una entidad de tamaño medio en la banca chilena, informó que el martes pasado detectó que terceros, aún no identificados, intervinieron sus sistemas para generar cargos en una cuenta propia del banco que posee en el exterior.
“Un monto inferior a los 2 millones de dólares está aún en proceso de ser recuperado, para lo que además existen seguros comprometidos”, dijo Consorcio en un comunicado.
El banco aseguró que tras detectar el ataque informático se activaron los protocolos de seguridad y contingencia, junto con dar cuenta a las autoridades.
Agregó que el incidente no tuvo impacto en los registros ni fondos de los clientes y sus productos continúan operativos.
El ataque al banco consorcio se suma a otros delitos similares, como el que afectó a mediados de año al Banco de Chile, en el que hackers robaron 10 millones de dólares, o la filtración masiva de datos de clientes bancarios y de tarjetas de créditos por redes sociales.
Fuente: Reuters

ESPAÑA. Estado actual de la Justicia.

La justicia española está bien surtida de magníficos jueces que respetan los derechos humanos y los datos a este respecto son irrefutables y conviene no falsearlos con finalidades políticas, arrimando el ascua a la propia sardina haciendo del caso excepcional la regla general, porque eso resultaría una falacia.
Aunque dicha Justicia viene aquejada de tres graves problemas
1)   El primero, el nombramiento de los vocales del Consejo General del Poder Judicial.- Muy influido por la política y ésta, a su vez, por los poderes fácticos, sobre todo por los poderes económicos. Esos vocales designan con más o menos trabas a los jueces de los altos tribunales, lo que provoca el riesgo cierto que la falta de independencia de origen de los vocales, se traslade a los jueces elegidos. A partir de ahí, hablar de independencia se hace realmente complicado. El desgraciado caso de las hipotecas, con independencia del fondo del asunto, ha disparado las alarmas ciudadanas.
2)   El segundo problema es de orden ideológico.-Es un hecho constatable que una parte relevante de las pocas condenas que España ha recibido del Tribunal Europeo de Derechos Humanos han tenido que ver con el independentismo vasco, y alguna vez con el catalán. Han sido casos sonados algunos de ellos, como el de Inés del Río, que puso en libertad a varias decenas de presos de ETA, o el 'caso Atutxa', el 'caso Castells' -uno de los más antiguos- o el reciente 'caso Otegi', o la primera condena a España por tratos degradantes este mismo año.
3)   El tercer problema es la formación judicial.- El sistema de oposiciones es muy defectuoso, anticuado, predominantemente memorístico y con un excesivo papel de una figura no oficial que resulta difícilmente definible en cuanto a su rol: el preparador. El problema es común a otras oposiciones que se celebran en España que poseen un sistema similar de examen para el acceso a plazas funcionariales de alta categoría. El resultado es que no siempre llegan los que acabarían siendo más competentes en su puesto.
Lo doloroso del caso es que son solo una minoría los jueces con sesgo tan conservador que les condicione en sus sentencias, pero hacen mucho ruido.
 De la misma manera que la mayoría de vocales del Consejo General del Poder Judicial, pese a su defectuosa designación, padecen después merma de su independencia. Y, sin duda, todos los jueces aprobaron las oposiciones con pleno merecimiento.
Pero hay que poner solución a las sospechas.
 Es tiempo de reformas, a fin de que la luz pública refleje debidamente la excelencia y pulcritud de la enorme mayoría del colectivo judicial, pero el acuerdo entre PP y PSOE para la elección del Presidente del Consejo General del Poder Judicial no es buena señal.
Fuente: El Periodico.com