14 de abril de 2018

Las doce lecciones que nos enseña el fiasco de Facebook

No solo Facebook ha escarmentado con la fuga de datos que los últimos días ha sacudido los cimientos de su compañía, con daños reputacionales y bursátiles insólitos en su historia. Además, la crisis de la mayor red social del mundo arroja una docena de lecciones para los internautas más sensibilizados con la protección de datos, la privacidad y la ciberseguridad.
1.    El valor de pedir perdón. El arrepentimiento y propósito de enmienda del fundador y presidente ejecutivo de Facebook, escenificado ante las comisiones de Comercio y Justicia del Senado de los Estados Unidos, ha permitido a la puntocom sacudirse del escarnio y comenzar a superar el bache. Un par de frases bastan para poner colofón a las cuatro semanas más ominosas de su reciente historia. "Fue mi error y asumo toda mi responsabilidad, lo siento", dijo Zuckerberg y la acciones de su compañía comenzaron a repuntar. Los expertos en comunicación de crisis deberían tomar nota de la fuerza de un perdón debidamente entonado. La opinión pública suele ser mordaz cuando se intenta disimular la verdad, pero también desborda clemencia cuando percibe un arrepentimiento sincero.
2.    Cuidado con los terceros. Una compañía es responsable de sus acciones, pero también de la de sus socios, colaboradores y proveedores. Todo forma parte de un conjunto, pero el rostro visible estará indefectiblemente condenado a convertirse en la cabeza de turco cuando las cosas vayan mal dadas. Por lo tanto, Facebook debe vigilar todas las aplicaciones que se nutren de su ecosistema para que ninguna se salte las normas. Para confirmar este compromiso, el gigante ha pedido ayuda a los usuarios para que delaten cualquier uso que consideren sospechoso. Además, para incentivar este objetivo, Facebook ofrece recompensas de 40.000 dólares (33.000 euros) para quien ayude a evitar nuevos casos como del de Oxford Analityca.
3.    Usted es dueño de sus datos. Si para algo ha servido la crisis de Facebook es para que la sociedad tome conciencia de que el usuario es el legítimo y soberano dueño de sus datos. Basta con verse en la lista de personas afectadas para apresurarse a cerrar las puertas y ventanas online desde donde se escapa la privacidad para no incurrir en futuras veleidades. De la misma forma, las compañías que manejan datos también deberán evitar las fugas en sus plataformas online ya que se trata de su más valiosa materia prima. Por ejemplo, Telefónica, Deutsche Telekom y Orange promueven estos días una alianza para facilitar este derecho a sus clientes, dotándoles de la capacidad de portar esta información o incluso de ponerla en valor ante terceros.
4.    Audite sus redes. Imagínese que usted no es un ciudadano más y que tiene una dimensión pública. No hace falta ser candidato electoral para auditar los datos que sobre uno circulan por las redes. Por lo pronto, los usuarios de Facebook pueden descargarse todos sus datos (configuración/descargar tu información) y cribar los comentarios enviados y recibidos. Para hacerlo en Twitter o Instagram hay que acudir al perfil y repasar todas las aportaciones.
5.    Pondere sus palabras. Antes, ahora y después, cada cual es dueño de sus silencios y esclavo de sus palabras. Los que se reservan sus opiniones y no las comparten por las redes sociales, se ahorran el riesgo de fugas de privacidad. Como lección de futuro, los usuarios de Facebook o Twitter deberían releer varias veces cada nuevo comentario antes de compartirlo. Pensar en las consecuencias, no solo momentáneas, sino también futuras. También sería conveniente que cada internauta revisara su archivo histórico y eliminara lo que no esté dispuesto a defender de forma universal e intemporal.
6.    Lo suficiente no basta. En materia de privacidad o seguridad nunca hay que conformarse con lo suficiente. Cualquier leve resquicio se convierte en una grieta que puede echar todo a perder. Zuckerberg reconoció a los senadores estadounidenses que su equipo "no hizo lo suficiente y eso fue un error enorme". "No es suficiente con conectar a la gente, tenemos que lograr que esa conexión sea positiva. No basta con darle voz a la gente, tenemos que asegurarnos de que no la usan para hacer daño a otros o difundir desinformación".
7.    Vigile con quien se vincula. Probablemente haya alguien en el mundo que estudia los términos de uso cada vez que descarga una aplicación, pero aún no está confirmado. Se acepta alegremente lo que ponga antes de marcar la casilla de aceptar y ya está. No debería ocurrir lo mismo cuando se solicita la vinculación de la aplicación con Facebook o Twitter, generalmente para confirmar la identidad del usuario. Esos permisos podrían actuar en contra de los intereses de uno. Para evitarlo, resulta más conveniente hermanar la aplicación con una dirección de email creada exclusivamente para ese tipo de usos.
8.    Desconfíe de los extraños. Nadie dejaría la puerta de su casa abierta y mucho menos dejaría entrar a cualquier intruso hasta la cocina. En el mundo online parece que se actúa de otra forma. La mayoría de las aplicaciones solicita permiso para acceder a la agenda de contactos, la galería de imágenes, la cámara o el micrófono. Y lo peor es que el usuario accede de forma despreocupada, sin perder un minuto en comprobar los permisos de uso que disfruta cada aplicación, incluida aquellas que solo se usan de forma ocasional.
9.    Su contraseña es muy fácil. Sería curioso proponer que levantara la mano aquel que tenga como parte fundamental de su contraseña su fecha de nacimiento o de alguien muy cercano, pareja, hijos, hermanos. Otros eligen el nombre de allegados o el de su pueblo o su mascota. Cuando se pide que la contraseña incorpore un número, la mayoría apuesta por el 1, por el 0 o por el 1 y el 0. Cuando intentan sofisticar el password, se conforman con cambiar la letra i por el 1, o la letra O por el cero. Los que les piden un código, ponen la arroba o el asterisco. O la suma de todo lo anterior. Y sí, para conocer las fechas de los cumpleaños, nombres de familiares basta con acceder a las redes sociales y allí nutrirse de todos esos datos salpicados inocentemente entre comentarios y aficiones.
10. El dato es petróleo. Se ha juntado el hambre con las ganas de comer. Las empresas nunca han estado más interesadas en cultivar los datos personales de sus consumidores, y la gente nunca ha estado más dispuesta a poner su información en el escaparate público. La recopilación de información personal se está convirtiendo en una forma eficaz de ofrecer un servicio al cliente excepcional. Aquellos que comparten su ubicación en Waze, por ejemplo, pueden conocer en tiempo real dónde se encuentra el atasco en su ruta tradicional, para así intentar evitarlo. Pero también están desvelando públicamente sus andanzas con el coche.
11. Ojo con las 'apps' chivatas. Consulte de un vistazo las aplicaciones de su smartphone y comprobará que muchas de ellas recaban datos personales. No solo es el rastro en las búsquedas de Google, lo que comenta con sus amigos o conocidos (WhatsApp), lo que piensa (Twitter), de lo que presume y donde viaja (Facebook, Instagram), la música que le gusta (Spotify, Tidal) y la que te gustaría tener (Shazam), por donde se mueve (Maps y Waze), cuándo viaja en avión o en tren (PassWallet), los conciertos y espectáculos de los que disfruta (PassWallet), cuándo comparte el coche o moto (Car2Go, Emov, Zity, Muving, Bluemove, Respiro, Avancar) o en taxi (Cabify, Uber, MiTaxi), lo que compra (Amazon, El Corte Inglés online), cuándo llena el depósito (Cepsa Pay), su forma física (eHealth), el ritmo al que corre, los kilómetros que hace y las calorías que consume (Strava, Runstatic), lo que desayuna, come y cena (mi Nodieta), lo que vende y compra a sus vecinos (Wallapop), cuándo pasea por el campo (Wikiloc), los textos que traduce de otros idiomas (Translator, Deepl), dónde y cuándo aparca (ElParking), cuándo cena fuera de casa (ElTenedor), el vino que consume (Vivino), lo que le interesa escuchar a deshoras (iVoox), las series que le quitan horas de sueño (Netflix, HBO), hasta las pulsaciones en reposo y lo profundo que duerme (pulseras y bandas deportivas).
12. Casi nadie es anónimo. No espere a perder su teléfono móvil para descubrir lo que Google conoce de sus movimientos. La plataforma Android, propiedad de Google, le muestra pormenorizadamente en un mapa los sitios y la hora del día en los que ha estado encendido su terminal. Pruebe a hacerlo a través del sitio web Android.com/find. Asimismo, los operadores de telefonía móvil también disponen de estos datos incluso con la geolocalización apagada, ya que al conectarse con redes de telefonía o WiFi la teleco sabe dónde se encuentra el usuario y la estación base más cercana que le proporciona el servicio.
Fuente: El Economista.es

CRIPTODIVISAS. Como diseñó el hermano de Pablo Escobar su propia moneda como rebelión contra Bitcoin

Roberto de Jesús Escobar ha aprovechado la plataforma de su corporación, Escobar Inc, para desarrollar una moneda virtual que comparte el código fuente de Bitcoin, pero en una versión "más rápida y ligera", según informan desde su web. Para Escobar, se trata de un acto de rebelión contra la Bitcoin, sobre la que acusa al Gobierno de Estados Unidos de estar detrás de su creación en un libro donde explica todos los detalles sobre el origen de su divisa.
Bautizada como Diet Bitcoin (DDX), replica el concepto de su criptodivisa madre de limitar el número de unidades en el mercado, en concreto, un millón. El CEO de la compañía, Daniel Reitberg, declaró a El Financiero que eso constituirá una garantía de que se alcance "un valor muy alto", y subrayó el hecho de que la Diet Bitcoin es actualmente 4.000 veces más barata que la divisa de la que nace.
La sombra de Bitcoin
En Pablo Escobar's Diet Bitcoin, su hermano realiza una impactante denuncia: "Soy la primera persona del mundo, Roberto de Jesús Escobar Gaviria, que clama públicamente que la Bitcoin fue creada por el Gobierno de EEUU. El mundo tiene que despertarse y verlo, pero entonces será demasiado tarde", profetiza. Añade que, cuando el público sea consciente de esta información, la CIA venderá todas sus Bitcoins y provocará el desplome de su valor. "Ésta es una de las razones por las que creo mi propia criptomoneda. Porque cuando esto suceda, el que tenga Bitcoins se quedará con cero. Esas personas que han invertido lo perderán todo. Es la razón para esta rebelión", argumenta.
"Conservad el Etereum, conservad el Tron, conservad el Ripple, conservad la Bitcoin. Ya veréis lo que pasa. Todas ellas se quedarán en nada, casi nada. Pero no mi moneda", insiste Escobar. El hermano del rey del 'narco' explica cómo un día empezó a leer sobre las criptomonedas, y acabó sumido en una gran sorpresa: "Los chicos están creando divisas on line de la nada; están imprimiendo dinero de la nada". Tanto fue su asombro que encargó una investigación de este novedoso producto financiero a su equipo. Pero no fue hasta que un amigo del círculo de confianza de Nicolás Maduro confirmó a Roberto Escobar que Venezuela estaba trabajando en su propia moneda virtual cuando éste vislumbró la opción. "Puede que yo también lance una", le contestó, según su propio relato.
Tres paquetes de 'tokens'
Lanzada hace tres semanas al mercado, los 'tokens' de Diet Bitcoin se venderán en tres paquetes. El primero ya está vendido en su totalidad después de que se ofreciera un descuento del 96% por cada DDX, desde los 50 dólares de la ICO hasta los dos dólares. El segundo paquete puso a disposición de los inversores interesados 300.000 'tokens' por 3,50 dólares cada uno, también con rebaja desde los 100 dólares previstos inicialmente. La venta de este segundo paquete concluirá en un mes exacto. La tercera y última fase lanzará las 400.000 monedas virtuales restantes a un precio de 1.000 dólares cada una.
El hermano del líder narcotraficante, que cumplió penas de prisión por su implicación en el negocio de Pablo Escobar -fue jefe de sicarios en los años 80 y responsable de la logística del cártel-, se ha reconvertido en empresario a través de la compañía creada en 1984 para gestionar y proteger los derechos y riquezas de la familia Escobar. Escobar Inc se presentó en aquel momento como un 'holding' de inversión privada, y a lo largo de su historia ha ido mutando según las necesidades. En los últimos años luchan por proteger el nombre de la familia y su legado, particularmente en lo que respecta a la gestión de derechos y licencias. En 2017 demandaron a Netflix por 1000 millones de dólares por el uso de la imagen de Pablo Escobar en su serie de éxito Narcos, en un sonado caso judicial que aún sigue en trámite.
Fuente: El Economista.es

BANCO SANTANDER. Lanza servicio transferencias internacionales basado en blockchain

Banco Santander ha lanzado en cuatro países, entre ellos España, un servicio de transferencias internacionales que utiliza una tecnología basada en la 'blockchain' de Ripple.
Concretamente, este servicio usa xCurrent, una tecnología basada en registros contables compartidos propiedad de Ripple, compañía californiana en la que Santander invirtió 4 millones de dólares (3,25 millones de euros, según el cambio actual) en 2015 a través de InnoVentures.
El servicio, llamado 'Santander One Pay FX', se encuentra ya disponible, además de en España, en Reino Unido, Brasil y Polonia y su lanzamiento en más países está previsto para los próximos meses.
Así, los clientes de Reino Unido pueden usar el servicio para hacer transferencias a países europeos y a Estados Unidos, los de España podrán efectuarlas a Reino Unido y Estados Unidos, mientras que los de Brasil y Polonia lo podrán hacer a Reino Unido.
Transferencias más rápidas
Con este servicio, los clientes de Santander podrán hacer transferencias internacionales entre particulares de forma más rápida, pues en muchos casos llegarán a destino el mismo día o al día siguiente. Además, conocerán el importe exacto que llegará en la moneda del destinatario antes de confirmar la transacción.
Antes del verano, la entidad lanzará este servicio de forma instantánea en varios mercados y durante los próximos meses añadirá más funcionalidades, según ha informado en un comunicado.
La presidenta de Santander, Ana Botín, que adelantó este lanzamiento en la última presentación de resultados del banco, ha afirmado que el objetivo de la entidad es que este servicio "sea útil a los miles de clientes que hacen a diario este tipo de operaciones" y ha señalado que se añadirán más monedas y destinos en los próximos meses.
InnoVentures, el fondo de capital emprendedor de Santander fundado en 2014, cuenta con una dotación de 200 millones de dólares (162,13 millones de euros). Hasta la fecha, este vehículo de inversión ha invertido cantidades que oscilan entre 250.000 euros y 10 millones de euros en cada una de las 20 startup que han despertado el interés del banco cántabro.
Fuente: Europa Press

SPOTIFY. Trabaja en nueva versión gratuita de su plataforma

Según informa Bloomberg, el servicio de música trabaja en mejorar la versión gratuita para que sea más fácil de usar, especialmente en el diseño para teléfonos móviles, con el objetivo de acercar la plataforma a cada vez más usuarios.
El nuevo servicio freemium facilitará a los usuarios gratuitos un acceso más cómodo y rápido a las listas de reproducción en el móvil así como tener un mayor control sobre qué canciones se escuchan en las listas de reproducción, acercándose así al modelo que tienen los usuarios que sí pagan mensualmente a Spotify, eso sí, seguirán manteniéndose los anuncios.
Y es que una vez que ha comenzado a cotizar, Spotify necesita atraer a un gran número de nuevos usuarios con el objetivo de satisfacer a los inversores que a día de hoy valoran a la empresa en función de su crecimiento. Además, el servicio gratuito es el principal canal para dar el salto a las opciones de pago, clientes que generan aproximadamente el 90% de sus ingresos de 4,090 millones de euros en 2017.
Con estos cambios, Spotify espera acercarse a los 200 millones de usuarios registrados para finales de año, y hasta 96 millones de suscriptores de pago, frente a los 159 millones de usuarios activos al mes y 71 millones de premiums, que tiene actualmente.
Un dispositivo para el coche
El medio explica que la renovación de su servicio gratuito llegará en las próximas semanas y todo apunta a que será el 24 de abril, cuando Spotify ha convocado un evento para prensa especializada en el que se espera que la compañía también presente un altavoz inteligente orientado hacia los coches.
Se especula con que Spotify lanzará a finales de mes un dispositivo conectado al asistente inteligente Alexa de Amazon que permitirá llevar la música de la plataforma al vehículo de forma fácil.
El dispositivo, además de controlarse a través de la voz, contará con conexión propia a redes 4G y un nuevo tipo de suscripción que se irá hasta los 13 dólares mensuales, lo que supondría una nueva vía de ingresos para la plataforma.
Asimismo, el gadget para vehículos se espera que sea el anticipo al lanzamiento de un altavoz inteligente para el hogar, con el que se especula que la compañía podría competir contra el HomePod de Apple.
Fuente: El Economista.es

NOKIA 1. Llega el smartphone de gama entrada con Android Go por 89 euros

HMD renueva el Nokia 6: 4 GB de RAM y procesador Snapdragon 630 para seguir rondando los 200 euros
HMD Global ha anunciado el lanzamiento en España del nuevo Nokia 1, un smartphone de gama entrada que ofrece presetaciones esenciales potenciadas con el sistema operativo Android Go a bajo precio, ya que se vende por 89 euros.
El smartphone cuenta con una pantalla de 4,5 pulgadas, procesador de cuatro núcleos Mediatek MT6737M, 1 GB de RAM, 8 GB de almacenamiento ampliables a través de microSD y cámaras delanteras y traseras de 2 y 5 megapíxeles, respectivamente.
Pese a sus características de gama entrada, el verdadero potencial del teléfono se encuentra en la optimización a Android Go, un sistema operativo de Google personalizado para dispositivos con 1GB RAM o menos que incluye una nueva gama de aplicaciones diseñadas para funcionar con más agilidad y para consumir menos datos al mismo tiempo.
Exteriormente, el Nokia 1 cuenta con el ya reconocible diseño de los teléfonos de la marca y estará disponible en Rojo Cálido y Azul Oscuro, aunque puede personalizarse a través de las carcasas intercambiables Xpress-on.
Fuente: El Economista.es

APPLE. Lanza el iPhone 8 en su icónico acabado rojo de su (Product)RED

Apple ha anunciado la disponibilidad de sus teléfonos iPhone 8 y iPhone 8 Plus bajo el icónico acabado rojo de su línea (Product)RED Special Edition.
Ambos teléfonos montan una cubierta de vidrio en rojo con una banda de aluminio a juego y un frontal negro, uno de los grandes reclamos que se le hicieron a la empresa cuando el pasado año lanzó la edición RED del iPhone 7.
La edición especial iPhone (Product)RED, de las que parte del importe va destinado a tratamientos y labores ccontra el VIH, estará disponible para pedido online a partir de mañana, y empezará a llegar a las tiendas a partir del viernes 13 de abril.
Los nuevos teléfonos estarán disponibles en modelos de 64 GB y 256 GB, con un precio a partir de 809 euros y mantiene las características de los modelos actuales con lo que el rojo será una opción más a elegir entre gris espacial, plata y oro.
"Esta edición especial (PRODUCT)RED del iPhone, con una espectacular combinación de colores rojo y negro, ofrece a los clientes la posibilidad de aportar su contribución a la lucha contra la propagación del VIH y el SIDA", explica Greg Joswiak, vicepresidente de Product Marketing de Apple. "El iPhone 8 y el iPhone 8 Plus mejoran en todo lo que apreciamos del iPhone, incluidas las pantallas Retina HD más bellas que nunca, el chip más potente e inteligente en un smartphone con el A11 Bionic y las cámaras más avanzadas para capturar fotos y videos increíbles. Estamos orgullosos de apoyar a (RED) con este nuevo y atractivo iPhone y esperamos que los clientes vean esta contribución tan especial como nosotros".
Fuente: El Economista.es

YOUTUBE. Demandada por recopilar datos de niños menores de 13 años con fines comerciales

Un grupo de organizaciones de defensa de la niñez presentó hoy ante las autoridades de EEUU una denuncia que pide sancionar a Google por la recogida ilegal de datos personales de los niños por parte de YouTube con fines comerciales.
La coalición, formada por 23 grupos de defensa de los derechos de los niños, denunció ante la Comisión Federal de Comercio (FTC) que el gigante tecnológico recopila información personal de menores de 13 años, incluyendo la ubicación, identificadores de dispositivo y números de teléfono, y los rastrea sin consentimiento.
"Google, propietario de Youtube, obtiene ganancias considerables recolectando información personal de niños que usan YouTube (...) para seguir la pista del usuario a lo largo del tiempo", escribieron los denunciantes en la queja formal.
El director ejecutivo del Centro para la Democracia Digital (CDD), Jeff Chester, que forma parte de la coalición, acusó a Google de recoger esta información "sin proporcionar primero un aviso directo a los padres y obtener su consentimiento", tal como establece la Ley de Protección de la Privacidad en línea para Niños (COPPA).
La demanda asegura que Youtube, utilizada en EEUU por cerca del 80% de los niños entre seis y doce años, según estudios recientes, usa estos datos para dirigir los anuncios a los menores a través de su plataforma y sacar así rendimiento económico.
El buscador más famoso de Internet se ha defendido de estas acusaciones alegando que la plataforma de Youtube es sólo para mayores de 13 años, una justificación que los denunciantes no ven con buenos ojos.
Fuente: EFE

RUSIA. Prohibirá aplicación de mensajería Telegram por disputa sobre cifrado

Un tribunal ruso ordenó el viernes el bloqueo de la aplicación de mensajería Telegram en Rusia, anticipando posibles problemas de comunicación para millones de usuarios en el último pulso entre firmas tecnológicas globales y las autoridades rusas.
La decisión se produjo una semana después de que el órgano estatal que supervisa las comunicaciones en Rusia, Roskomnadzor, presentó una demanda para limitar el acceso a Telegram ante sus reiteradas negativas a dar acceso a los servicios de seguridad estatales a los mensajes secretos de sus usuarios.
Como parte de sus servicios, Telegram permite que sus más de 200 millones de usuarios a nivel global se comuniquen a través de mensajes cifrados que no pueden ser leídos por terceras partes, incluidas las autoridades gubernamentales.
o obstante, el servicio de seguridad ruso FSB afirmó que necesita tener acceso a esos mensajes para su trabajo, que incluye impedir ataques terroristas. Telegram se ha negado a cumplir con los requerimientos esgrimiendo el respeto a la privacidad de sus usuarios.
“El tribunal decidió acoger los requisitos de Roskomnadzor, imponer restricciones al acceso a la mensajería de Telegram e impedir que entreguen las condiciones técnicas para el intercambio de mensajes”, dijo la agencia de noticias TASS citando a la juez Yulia Smolina.
El director de Roskomnadzor, Alexander Zharov, dijo que la prohibición entrará en vigor pronto, aunque no precisó exactamente cuándo, señaló TASS.
Los principales proveedores de redes en Rusia, Megafon y MTS, declinaron hacer comentarios sobre la prohibición. La competidora Beeline dijo que “actuará dentro del marco de la ley”.
El fundador y presidente ejecutivo de Telegram, Pavel Durov, dijo que la aplicación usará sistemas internos para circunvalar la medida, aunque no pudo garantizar un acceso del 100 por ciento sin el uso de una red virtual privada, o VPN.
Fuente: Reuters

Vulnerabilidades en VMware vRealize Automation 7

VMware ha publicado un boletín de seguridad con el objetivo de corregir dos vulnerabilidades en el panel de control de vRealize Automation, ambas relacionadas con el robo de sesiones de usuario
VMware vRealize Suite es una plataforma orientada a la gestión de la nube. De esta suite forma parte VMware vRealize Automation, la parte encargada de automatizar varios aspectos de la gestión de la nube, que presenta al usuario un panel de control web como parte de su funcionalidad. Precisamente a este panel mencionado le afectan dos vulnerabilidades relacionadas con el robo de sesiones de usuario,
La primera de las vulnerabilidades, identificada como CVE-2018-6958, es el clásico cross-site scripting. Básicamente consiste en la posibilidad de inyectar código JavaScript de forma inesperada en una página web, cosa que es posible porque la página web no limpia adecuadamente la entrada de datos de un usuario. Y por tanto, éste puede introducir datos especialmente diseñados para provocar la inyección. De hecho, es particularmente peligroso cuando los datos especialmente diseñados persisten de una carga de la página a otra, por almacenarse en la base de datos de la página. Esto permite que otro usuario distinto sufra la ejecución de la inyección JavaScript. El escenario descrito es de los más peligrosos para esta vulnerabilidad, y puede permitir el robo de sesión al obtener la cookie de otro usuario.
La segunda vulnerabilidad, con identificador CVE-2018-6958, refleja un problema en el manejo de identificadores de sesión de usuario. Según afirman, puede llevar a que se secuestre la sesión de un usuario. Si bien no especifican cómo, es bastante probable que sea porque los identificadores de sesión generados sigan un patrón, y que por tanto sea posible averiguar identificadores existentes o predecir los identificadores futuros. Ya que los identificadores de sesión se suelen presentar como una cookie, sería tan fácil como una vez obtenido el identificador de otro usuario, presentarlo como tuyo introduciendo esa cookie en tu navegador.
Ambas vulnerabilidades afectan a distintas versiones de la rama 7 de VMware vRealize Automation, y se han publicado versiones corregidas según indica el mismo boletín informativo.
Más información:
Fuente: Hispasec

MICROSOFT. Fallo en Outlook permite usar ficheros OLE remotos para filtrar contraseñaS de usuario

Se ha descubierto un fallo en Outlook que permite la carga de objetos OLE remotos solo previsualizando un correo electrónico. Esto podría usarse para acceder a información secreta del usuario, como el hash de la contraseña del usuario de Windows.
Nos situamos en 2016. Buscando técnicas para saltar ASLR de Windows, el investigador Will Dormann, miembro del CERT, empieza a hacer pruebas incrustando ficheros OLE en el contenido de ficheros de formato de texto enriquecido (RTF). Sin embargo, la vulnerabilidad que encontró iba más allá de sus objetivos iniciales.
Desde hace tiempo, Microsoft Outlook (y la mayoría de clientes y plataformas de correo) bloquea la carga de imágenes remotas en correos HTML como medida de protección de la privacidad, concretamente para no desvelar la dirección IP. Para cargarlas, pide interacción del usuario.
Sin embargo, al enviar correos RTF con objetos OLE remotos incrustados, Dormann comprobó que se carga el contenido automáticamente y sin pedir ninguna autorización cuando estos objetos están alojados en un servidor SMB. Es más, esta carga no se realiza al abrir el correo, sino simplemente previsualizándolo.
A diferencia de los correos HTML, que revelarían únicamente nuestra dirección IP, al iniciar una  conexión SMB estaríamos enviando al servidor remoto mucha más (y más crítica) información del sistema:
  • Dirección IP.
  • Nombre de dominio.
  • Nombre de usuario.
  • Nombre del equipo.
  • Clave de sesión SMB.
Una vez abierta la puerta a conexiones arbitrarias a servidores SMB, nos queda estudiar qué información adicional podemos obtener y cómo la podemos explotar. En este caso, Dormann aprovecha una vulnerabilidad en los clientes SMB para provocar una denegación de servicio en el sistema del usuario.
También, usando la herramienta Responder pudo interceptar conexiones del protocolo NTMLv2, que incluye el hash de la contraseña de usuario de Windows. Si esta contraseña es débil, descifrarla es cuestión de segundos.
Esta vulnerabilidad (CVE-2018-0950) ha sido solucionada en el último boletín de Microsoft. Ahora no se producen visualizaciones de contenido remoto OLE. Sin embargo, este no es el único modo en el que se podría forzar al cliente SMB de Windows iniciar una conexión SMB, por lo que se recomienda el bloqueo de los puertos involucrados en este tipo de conexiones.
Más información:
Fuente: Hispasec

JENKINS. Actualización de seguridad

Jenkins ha publicado un boletín de seguridad para corregir una vulnerabilidad media y otra menor sobre su core.
Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.
Las versiones afectadas por estas vulnerabilidades son las anteriores a 2.116 para la rama Jenkins weekly y 2.107.2 para la versión LTS.
La primera vulnerabilidad identificada con el identificador SECURITY-754, afecta a la consola de comandos (CLI) y podría permitir a un atacante remoto acceder a vistas y agentes del sistema. El fallo ha sido descubierto a través de los errores que el sistema devuelve en función de los argumentos que un atacante va enviando al sistema.
La segunda vulnerabilidad identificada con el identificador SECURITY-759, está localizada en los cuadros de diálogo de confirmación de JavaScript. El fallo expone el nombre de algunos elementos de forma insegura, lo que podría ser aprovechado por un atacante para llevar a cabo ataques de tipo ‘cross site scripting’.
Jenkins dispone de una lista de correo en la cual los usuarios de este software pueden suscribirse para recibir notificaciones de seguridad. También pone a disposición de cualquier usuario que descubra alguna vulnerabilidad el siguiente enlace para reporte.
Más información:
·        Jenkins security advisory: https://jenkins.io/security/advisory/2018-04-11/
Fuente: Hispasec

SIGNAL. Salto de restricciones en el bloqueo de pantalla de

Signal ha corregido urgentemente una vulnerabilidad que permitiría saltarse el bloqueo de pantalla establecido para la aplicación, tanto al utilizar TouchID como al definir una contraseña de bloqueo en dispositivos Apple.
Signal es una popular aplicación de mensajería de código libre enfocada, principalmente, a la privacidad y la seguridad, cifrando las comunicaciones de extremo a extremo.
La vulnerabilidad (CVE-2018-9840), reportada por el joven investigador Leonardo Porpora, permitiría saltar de manera sencilla el bloqueo de pantalla activo, utilizando únicamente combinaciones de ciertos eventos y habilitando el acceso a los mensajes sin tener que introducir contraseña o utilizar el lector de huellas.
Como se puede comprobar en los vídeos publicados, se podía saltar el bloqueo por TouchID, simplemente utilizando la siguiente combinación de acciones, una vez abierto Signal, en su versión 2.23:
1.    Pulsar Cancelar
2.    Pulsar el botón Home
3.    Volver a Signal
Mientras que en la versión 2.23.1.1, un parche parcial de la anterior, se reproducía el mismo error mediante:
1.    Pulsar Cancelar
2.    Pulsar el botón Home
3.    Pulsar dos veces botón Home
4.    Cerrar Signal
5.    Abrir Signal
6.    Pulsar Cancelar
7.    Pulsar el botón Home
El investigador, tras analizar el código fuente pudo comprobar que, técnicamente, la vulnerabilidad residía en una incorrecta gestión de los eventos de sistema, mediante las funciones appEnteredBackgroundDate, appEnteredForegroundDate, lastUnlockSuccessDate, y alertar a los desarrolladores para una pronta resolución.
Para corregir la vulnerabilidad sólo hay que actualizar o instalar la versión 2.23.2 de Signal, ya disponible.
Más información:
Fuente: Hispasec

MICROSOFT. Publicados los boletines de seguridad de abril de 2018

La publicación mensual de actualizaciones de seguridad de Microsoft este mes consta de 66 vulnerabilidades, 22 clasificadas como críticas y 44 como importantes, siendo el resto de severidad media o baja.
Recursos afectados:
1.    Internet Explorer
2.    Microsoft Edge
3.    Microsoft Windows
4.    Microsoft Office and Microsoft Office Services and Web Apps
5.    ChakraCore
6.    Adobe Flash Player
7.    Microsoft Malware Protection Engine
8.    Microsoft Visual Studio
9.    Microsoft Azure IoT SDK
Recomendación
Instalar la actualización correspondiente. En la página de información de instalación de las actualizaciones de seguridad, se informa de los distintos métodos de actualización. https://support.microsoft.com/en-us/help/20180410/security-update-deployment-information-april-10-2018
Detalle de actualización agrupadas por tipos de vulnebacilidades
·        Denegación de servicio.
·        Escalado de privilegios.
·        Divulgación de información.
·        Ejecución remota de código.
·        Evasión de la seguridad.
Más información
Fuente: INCIBE

SAP. Actualización de seguridad del mes de abril 2018

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de  Importancia: 5 - Crítica
Recursos afectados:
1.    SAP Business Client
2.    SAP Business One
3.    SAP Visual Composer
4.    SAP Business Objects
5.    SAP Cloud Platform Connector
6.    SAP Disclosure Management
7.    SAP Solution Manager
8.    Sybase PowerBuilder
9.    SMP
10. Agentry
11. SAP Open Switch
12. SAP Open Server
13. SDK for SAP ASE
14. SYBASE SOFTWARE DEV KIT
15. SYBASE IQ
16. SAP IQ
17. Sybase SQL Anywhere
18. SAP SQL Anywhere
19. SAP SQL Anywhere OnDemand
20. SAP ASE
21. SAP Replication Server
22. SYBASE ECDA
23. SAP HANA Smart Data Streaming
24. SAP Complex Assembly Manufacturing
25. SAP Data Services
26. SAP Crystal Reports Server, OEM Edition
27. SAP Control Center and SAP Cockpit Framework
Recomendación
Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.
Detalle de actualización
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 8 notas de seguridad y 4 actualizaciones, siendo 1 de ellas de severidad crítica, 4 altas y el resto de criticidad media.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
  • 2 vulnerabilidades de inyección de código.
  • 2 vulnerabilidades de cross-site scripting.
  • 2 vulnerabilidades de divulgación de información.
  • 1 vulnerabilidad de denegación de servicio.
  • 1 vulnerabilidad de incorrecta limitación de rutas de directorio (Directory/Path transversal).
  • 4 vulnerabilidades de otro tipo.
La nota de seguridad calificada como crítica se refieren a:
  • Corrupción de memoria: un atacante puede inyectar código en memoria especialmente diseñado lo que puede provocar una denegación de servicio o la ejecución remota de código.
En cuanto a las etiquetadas con severidad alta una de ellas es una denegación de servicio, otra a un manejo incorrecto de las sesiones en SAP Business Objects y dos actualizaciones de notas de seguridad anteriores.
Más información:
Fuente: INCIBE