19 de mayo de 2019

ESPAÑA. No logra cerrar la brecha entre Regiones Autonómícas ricas y pobres

La mayoría de regiones que en 2000 tenían una renta 'per capita' por debajo de la media no han ganado posiciones y algunas han retrocedido
El siglo XXI no ha comenzado con buen pie en materia de desigualdad. En España, la convergencia entre comunidades ricas y pobres avanza con pies de plomo, cuando no retrocede. Esta es la principal conclusión si se analiza con retrospectiva la contabilidad regional recién publicada por el Instituto Nacional de Estadística. La mayor parte de autonomías que en 2000 tenían un PIB per capita por debajo de la media están hoy aún más abajo en el escalafón. Entre los casos más llamativos está Canarias, cuyo PIB per capita era en 2000 el 97,7% de la media nacional y 18 años más tarde había caído al 81,3%.
La tabla de datos que la semana pasada publicó el Instituto Nacional de Estadística ofrece un minitratado de la historia de España de las dos últimas décadas. Y en este documento se encuentran narraciones para todos los gustos. Al igual que Canarias, otras seis comunidades o ciudades autónomas que estaban por debajo de la media han perdido puestos. Pero también hay casos de autonomías pobres que han ascendido, como Galicia. Zonas ricas que han subido, como País Vasco. Y otras ricas que han caído, como Baleares.
“El problema fundamental es que ya se partía de una brecha inicial. Y si España crece como un conjunto, en el que tiran todas sus comunidades, es difícil reducir ese gap”, explica Santiago Carbó, catedrático de Economía del Colegio Universitario de Estudios Financieros (Cunef). Un ejemplo de ello es Andalucía. Su PIB per capita ha pasado de 11.823 euros en 2000 a 19.132 en 2018, es decir, subió el 62%. Pero su peso sobre el total prácticamente no se ha movido, al pasar del 74,2% al 74%, alejándose tan solo por milímetros de la media del país.
Los datos del INE son consistentes con otros estudios que apuntan en la misma dirección. El artículo Convergencia regional en España: 1980-2015, publicado por el Banco de España en septiembre de 2017, ya aseguraba que el acercamiento de rentas entre autonomías había sido “reducido”.
 “Ni las variables del mercado de trabajo (empleo, paro) ni la productividad total de los factores han contribuido significativamente a reducir las diferencias regionales a lo largo del periodo analizado”, aseguraba el informe del Banco de España. Sin embargo, la productividad del trabajo sí había contribuido a reducir la brecha regional “por la mayor acumulación de capital en las regiones de menor renta inicial”.
“Hace ya cuatro décadas que la desigualdad regional en España empezó a aumentar y desde entonces esta tendencia no ha hecho más que reforzarse”, comenzaban su entrada en el blog Nada es gratis los economistas Alfonso Díez, Julio Martínez y Daniel A. Tirado hace tres semanas.
Comunidades procíclicas
Los datos del INE ofrecen sorpresas. Una es que Baleares ha pasado de estar en la franja alta de la clasificación —sus 20.000 euros de renta per capita le colocaban en 2000 en un 125% del PIB nacional— a la media, con tan solo un 103,5%. En el extremo opuesto está Galicia. Esta comunidad ha estado siempre en la franja baja, pero ha escalado muchas posiciones al pasar del 77,6% de la renta española a alcanzar dos décadas más tarde el 90,1%. La del País Vasco es también una historia de éxito, con un 122,6% en 2000 que ahora ha escalado al 131,8%.
 “Hay comunidades procíclicas, aquellas muy basadas en el turismo y la construcción, que crecen mucho cuando las cosas van bien, pero que luego caen con fuerza. En cambio, otras como País Vasco, con más arraigo industrial, no sufren tantos vaivenes. Allí la crisis también se notó, pero el paro no subió tanto como en otras partes de España. Y no es solo por el cupo vasco. Es una comunidad más business friendly”, añade Carbó.
A Madrid también le han sentado bien los años. Esta comunidad rozaba en 2000 el 134% del PIB de toda España. Y ahora ha logrado aumentar ligeramente ese porcentaje, hasta más del 135%. “En Madrid, el efecto por ser la capital del país ha sido brutal”, concluye el catedrático de Cunef. Estas comunidades ricas que crecen más que la media también contribuyen a ensanchar la brecha, al alejarse del pelotón.
Perspectiva histórica
El artículo de Nada es gratis El final de la convergencia regional en España ofrece una interesante perspectiva histórica. Según los autores, España ha atravesado épocas de convergencia regional —de 1910 a 1980, principalmente—; ese proceso se detuvo con el acceso de la economía española a la antigua CEE, ahora Unión Europea.
Sobre la situación actual, Díez, Martínez y Tirado extraen tres fenómenos fundamentales: el crecimiento de la desigualdad regional, la polarización de rentas entre territorios relativamente ricos y pobres y “un marcado y persistente” patrón geográfico norte-sur. “El empobrecimiento relativo de regiones tradicionalmente prósperas o la creciente brecha de rentas existentes entre las regiones más ricas y las más desfavorecidas ha asentado la percepción de que en el actual contexto de cambio tecnológico y globalización hay territorios que no importan y ello está motivando su venganza política”, concluyen los economistas Díez, Martínez y Tirado.
Acelerón antes de la gran crisis
Los datos del PIB regional ofrecen también una radiografía de la España pre y poscrisis. De 2000 a 2008, la renta per capita dio un gran acelerón —de 15.935 euros a 24.275, un alza del 52%—. Pero tras el crash de Lehman Brothers, la subida fue muchísimo más modesta: en 2018 alcanzó los 25.854 euros, tan solo un 6,5% más que una década atrás. Comunidades como Andalucía aprovecharon los años del boom para mejorar su posición respecto a la media española, pero descendieron tras la burbuja.
Fuente: El Pais.com

POPULISMO. Eje central del mapa político de Europa y parte fundamental de las Elecciones Europeas (26/05/19)

Según estudio publicado en Alemania por Der Spiegel, basado en datos del Banco de Datos Electorales, de Partidos y Formaciones de Gobiernos del Mundo de la Universidad de Bremen y valoraciones sobre populismo (extremismos) del Instituto de Investigación de Ciencias Sociales de Amsterdam, muestra claramente el equilibrio de fuerzas entre los partidos antisistema y los partidos del sistema  por utilizar otra terminología, porque la primera dificultad para realizar la radiografía del populismo en Europa reside precisamente en los conceptos.

TRES GRANDES VIAS
 Según dice Ruth Wodak, experta en populismo de la Universidad de Lancaster, existen varios tipos:
  1. De derechas, que prevalece en el norte y centro de Europa y que ataca a las élites en cuestiones nacionalistas o muy conservadoras,
  2. De izquierdas, más presente en el sur, que se centra en el capitalismo y la globalización cuando critica al establishment y los culpa de las consecuencias de la crisis.
  3. De centro, muy extendido en los países del Este y Sureste de Europa como Bulgaria, Lituania e Italia, donde partidos tradicionalmente liberales han sucumbido a las características del pensamiento populista: la defensa retórica de un pueblo teóricamente virtuoso cuya voluntad interpreta el partido, el anclaje mítico a un momento pasado e idealizado, la crítica radical a la democracia representativa sin presentar alternativas y la incapacidad de consenso con otros partidos; el rechazo de la división tradicional entre izquierda y derecha en favor de una vertical arriba/abajo; y la identificación de un enemigo sobre el que focalizan la culpa.
Lo que muestra el estudio es una creciente aceptación de estas características en todo el arco ideológico.

Área Sur
En esta área el nuevo mapa muestra el predominio del populismo de izquierda.
  • En Grecia, Syriza desde 2015.
  • En Portugal, la coalición comunista-verde CDU y el marxista Bloco de Esquerda, que han estado representados durante las últimas dos décadas en el parlamento.
  • En España, Podemos desde 2014.
  • Italia es sin duda el país donde el populismo cobra las formas más diversas, con la Lega Nord a la derecha, un populismo de centro de larga tradición que cuaja en «Pueblo de la Libertad» de Silvio Berlusconi (anteriormente Forza Italia), y el movimiento Cinco Estrellas durante dos períodos electorales.
  • Los autores del estudio consideran al partido español Vox dentro de la definición populista y su resultado en las elecciones 28A supondría, según el estudio, una anomalía en el entorno.
El caso alemán
En el caso alemán, el partido Alternativa para Alemania (AfD) está ya presente en el Bundestag con 91 diputados de un total de 709 y un pronóstico de voto del 10% para las elecciones europeas, es el perfecto exponente de formación política por encima de las izquierdas y las derechas, con un programa de corte conservador en los ámbitos de inmigración y política familiar, al tiempo que de corte socialista en materia económica y de asuntos sociales.

VÍAS DE EXPANSIÓN DEL POPULISMO
«El populismo ha encontrado su perfecta vía de expansión en las redes sociales, en las que priman las emociones sobre las reflexiones, y está creciendo en paralelo a la desaparición de los partidos tradicionales de izquierda», señala la politóloga de la Universidad de Zurich Sarah Engler, «en ese contexto los populistas se alimentan del voto de quienes no se benefician de la apertura económica y cultural y, especialmente en el sur de Europa, de votantes asqueados por los escándalos de corrupción y de los perdedores de la globalización».
En el caso del separatismo catalán, el populismo llega por una «crisis de representación» y, en todos los casos, el fenómeno Trump está ejerciendo su efecto.

PERMANENCIA DE LOS PARTIDOS POPULISTAS
«La permanencia en el tiempo de estos partidos dependerá de cómo reaccionen los tradicionales ante la dilución de su poder», prevé Philippe Marliere, experto en política europea del University College London, «en este final de un largo ciclo político los partidos mayoritarios se han vuelto tan impopulares porque sus políticas están siendo rechazadas por no responden a las nuevas realidades y eso crea un vacío donde los populistas pueden intervenir, de manera que o se actualizan o desaparecerán». «El reto es muy serio», advierte, «en Francia, Alemania, España e Italia».

Fuente: Abc.es

FACEBOOK. Chris Hughes, cofundador de la compañía, cree que es "un peligro para la democracia"

Las dimensiones y la importancia que ha alcanzado Facebook, que cuenta actualmente con 2.380 millones de usuarios activos cada mes solo en su red social homónima, han convertido a la compañía en "un peligro para la democracia", según el cofundador de Facebook Chris Hughes, que también critica el poder "sin precedentes" de Zuckerberg, CEO y cofundador de la compañía.
En una columna de opinión publicada en el diario The New York Times, Hughes considera que "ha llegada el momento de romper Facebook", apelando al espíritu económico contra los monopolios de los padres fundadores de Estados Unidos, como Thomas Jefferson y James Madison.
La red social Facebook cuenta actualmente con 2.380 millones de usuarios activos al mes, con alrededor de 2.700 millones de personas que utilizan al menos uno de los servicios de la compañía, entre los que también se incluyen Instagram y WhatsApp, según sus últimos resultados de finales de abril.
Según las estimaciones de Hughes, Facebook acumula más de un 80 por ciento de los ingresos de redes sociales en el mundo, lo que convierte la compañía en un monopolio, "un leviatán que expulsa el emprendimiento y restringe la elección del consumidor", asegura su cofundador.
Hughes, que estuvo presente en Facebook desde su inicio en 2002, ejerciendo como su portavoz, conoció a Mark Zuckerberg en la Universidad de Harvard en 2002, y abandonó la compañía en el año 2007 para formar parte como voluntario en la campaña presidencial de Barack Obama de 2008.
Ahora, Hughes ha denunciado que "Facebook domina tanto las redes sociales que no tiene que responder por sus acciones ante los mercados", con una estrategia que desde gobiernos y reguladores han aprobado como parte responsable.
Hughes ha denunciado que "el mayor error de la Comisión Federal de Comercio de Estados Unidos (FTC) fue permitir a Facebook adquirir Instagram y WhatsApp", una acción que consolidó la posición de la compañía también en el mercado móvil.
El confundador ha propuesto varias medidas que los gobiernos, en especial el de Estados Unidos, deberían tomar para evitar el monopolio de la compañía. Según la primera de ellas, "Facebook debería separarse en varias compañías".
Hughes cree que la Comisión Federal de Comercio estadounidense "debería aplicar las leyes antimonopolio para cancelar las adquisiciones de Instagram y WhatsApp y prohibir futuras compras en los próximos años".
Como medida adicional, Hughes asegura que Estados Unidos necesita "una nueva agencia, dependiente del Congreso para regular a las compañías tecnológicas", destinada a proteger la privacidad de los usuarios, y que "debería crear principios rectores para el discurso aceptable en redes sociales".
Como ejemplo, cita legislaciones como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que entró en vigor el año pasado.
LIDERAZGO DE ZUCKERBERG
Asimismo, Hughes apunta al liderazgo de Zuckerberg como una de las causas que justifican la necesidad de la desaparición de Facebook. "El aspecto más problemático en el poder de Facebook es el control unilateral sobre el discurso de Mark (Zuckerberg)".
"No existen precedentes para su habilidad para monitorizar, organizar e incluso censurar las conversaciones de dos mil millones de personas", según Hughes, que valora la influencia de su excompañero como mayor que la de cualquier otra persona en el sector privado o en los gobiernos.
Esta influencia no cuenta tampoco con límites dentro de la propia empresa, de la que asegura que "la junta de Facebook funciona más como un comité consultivo que como un inspector", debido a que Zuckerberg controlaría alrededor del 60 por ciento de los votos totales.
Por sí solo, Zuckerberg "puede decidir cómo configurar los algoritmos de Facebook para determinar qué pueden ver las personas en los Feed de noticias, qué ajustes de privacidad pueden usar e incluso qué mensajes se envían", denuncia Hughes.
Aunque lo define como "una persona buena y amable", Hughes cree que "su fijación por el crecimiento le ha llevado a sacrificar la seguridad y el civismo por los clics", y se muestra decepcionado por no haber predicho la influencia social que alcanzaría en la actualidad el Feed de noticias de Facebook
Fuente: Europa Press

Vodafone lanzará 5G en España este verano con 10 veces más velocidad

Sabíamos que el 5G se activaría a partir de 2020, pero parece que no vamos a tener que esperar tanto para poder probarlo en España siempre que tengamos un móvil 5G compatible. Si esta mañana era Vodafone en Reino Unido la que confirmaba el lanzamiento para el 3 de julio, hace escasos minutos ha sido Vodafone España la que ha confirmado que lanzar 5G en nuestro país este mismo verano con 10 veces más velocidad.
Vodafone 5G: fecha de lanzamiento en España y velocidad
Y por si todo lo anterior fuera poco, Vodafone lanzará 5G este verano en España tal y como sucederá en otros países en los que tiene presencia la operadora británica. Estos han confirmado algunos aspectos clave, además de la fecha, que pasan por que tendrá 10 veces más velocidad que la tecnología 4G actual, 10 veces más capacidad en la red para soportar el aluvión de dispositivos conectados, una décima parte de latencia que la red 4G para juegos online y otros menesteres y, de nuevo, una capacidad para 100 veces más dispositivos conectados.
A nivel de ciudades, el 5G se lanzará en España en verano como mínimo en las 6 ciudades que forman parte de sus planes piloto. En este caso, hablamos de Madrid, Barcelona, Sevilla, Málaga, Bilbao y Valencia, aunque no está confirmado que se quede ahí únicamente y podríamos tener sorpresas. Sin embargo, esto es algo que ya se irá confirmando en los próximos meses.
Por el momento, nos quedamos con que Vodafone lanzará 5G en verano para seguir apostando por transformar la operadora. Precisamente, hoy ha confirmado que las nuevas tarifas ilimitadas están siendo un éxito y que han disparado por 4 el consumo de la red. Esto hace que tengamos muchas ganas de probarlas dentro de una red 5G con 10 veces más velocidad.
Antonio Coimbra, CEO de Vodafone en España, ha confirmado que han trabajado mucho para entender lo que querían los clientes y confirman que las tarifas ilimitadas son un éxito. En tres semanas la adopción ha sido altísima y están muy esperanzados de lo que puede ocurrir cuando llegue el 5G. Reconoce también que han sido valientes al quitar las promociones ya que entienden que “el mercado va por ahí”.
El 5G se desplegará en más de 80 estaciones base. A nivel general del Grupo Vodafone, tendremos 5G en 50 ciudades europeas este verano. De hecho, como ya hemos comentado, en Reino Unido se lanza el 3 de julio para todos los usuarios. Allí no cambiarán las tarifas con la llegada del 5G, cosa que tampoco parece probable en España.
Fuente:Adsl Zone.net

CHINA. Capturó armas de ciberespionaje de la NSA y las usó para atacar a Europa

Un grupo de cibercriminales relacionados con la inteligencia de China fue capaz de robar las herramientas de ciberespionaje utilizadas por la Agencia Nacional de Seguridad (NSA) de Estados Unidos y las usó para efectuar ataques contra objetivos gubernamentales de Europa.
El pasado 2017, un grupo de cibercriminales conocido como Shadow Brokers publicó las herramientas utilizadas por el Equation Group, perteneciente a la NSA, para realizar ciberataques a través de vulnerabilidades día cero de Windows como EternalBlue, empleada en ataques como el del 'ransomware' WannaCry.
Ahora, la compañía de ciberseguridad Symantec ha descubierto que un grupo de cibercriminales conocido como Buckeye utilizó las armas de Equation Group en ataques durante el año 2016, meses antes de que Shadow Brokers difundiera públicamente las herramientas.
El diario The New York Times ha relacionado a Buckeye con la inteligencia de China. Este grupo, desaparecido desde 2017, estuvo activo desde al menos 2009, y efectuaba principalmente ataques de espionaje contra organizaciones de Estados Unidos, según Symantec.
En marzo de 2016, Buckeye utilizó DoublePulsar, una de las puertas traseras filtradas por Shadow Brokers, para llevar a cabo un ciberataque contra objetivos en Hong Kong (China). Una hora más tarde, el mismo 'exploit' se empleó para atacar a una institución educativa en Bélgica. Symantec ha dejado constancia de otros ataques documentados contra objetivos de Luxemburgo, Vietnam y Filipinas.
A través de esta herramienta, los cibercriminales lograron utilizar la puerta trasera para enviar una carga útil secundaria de metadatos, con la que los atacantes conseguían hacerse con el control de un dispositivo incluso después de que el 'malware' fuera retirado, antes de que la vulnerabilidad recibiese un parche.
Según estimaciones de Symantec, las armas utilizadas por Buckeye son una versión elaborada por los propios criminales a partir de las de la NSA, obtenidas a través de "tráfico de red capturado, posiblemente al observar un ataque de Equation Group".
La compañía de seguridad ve menos probable que los atacantes de Buckeye utilizaran una brecha de seguridad para atacar directamente a los servidores de los espías de la NSA, o que un antiguo miembro de la inteligencia de Estados Unidos haya podido filtrar las herramientas.
Fuente: Europa Presss

El acceso de las 'apps' a grabar la pantalla y la personalización de anuncios de Android vulneran el RGPD, según la AEPD

La forma en la que las aplicaciones móviles solicitan permiso para acceder a grabaciones de la pantalla de los dispositivos y el uso de identificadores en Android para la personalización de anuncios supone una infracción del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, según ha denunciado la Agencia Española de Protección de Datos (AEPD).
La AEPD ha publicado este miércoles dos documentos técnicos que analizan el sistema operativo Android, dirigidos tanto a usuarios como a desarrolladores de aplicaciones, aconsejando los mecanismos que estos últimos deben implementar para poner su 'software' móvil en orden con la normativa actual de protección de datos.
Al respecto, Google, en un comunicado enviado a Europa Press, ha declarado que "acabamos de recibir los estudios. Estamos revisando su contenido y esperamos poder discutirlo con la AEPD". 
La primera de las notas técnicas analiza el control del usuario en la personalización de anuncios que lleva a cabo el sistema Android. Desde la versión Android 7 KitKat, cada terminal cuenta con un identificador único para el envío de anuncios personalizados.
Android ofrece a los usuarios la posibilidad de deshabilitar el identificador de publicidad a través de sus ajustes, lo que Google transmite a las entidades de publicidad, "pero depende de estas respetar o no esta preferencia", según ha alertado la AEPD en un comunicado.
Además, deshabilitar el identificador de Android "no impide que el identificador sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario", destaca el estudio.
Asimismo, al reiniciar los valores de fábrica de un dispositivo, Android vuelve a activar por defecto la personalización de anuncios y "el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el RGPD", alerta la AEPD.
El organismo ha recomendado a los desarrolladores de aplicaciones "tener en cuenta que el envío de datos personales a una tercera parte se considera un tratamiento de datos personales para el que es necesaria una base legal, y como tal, además deben cumplir con todos los principios aplicables a tratamientos de datos que el RGPD establece, entre ellos el principio de minimización de datos", recoge la nota técnica.
'APPS' QUE CAPTURAN LA PANTALLA
   El segundo informe de la AEPD hace referencia a la práctica mediante la cual Android da permiso a las aplicaciones para que capturen la pantalla del dispositivo y lo envíen fuera del mismo, una característica habilitada en el sistema operativo móvil de Google desde 2014 con la versión 5.0 Lollipop.
Los investigadores de la AEPD han detectado casos de aplicaciones que "solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso".
La aceptación del usuario para la captura de pantalla "no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD", alerta la AEPD.
Tampoco cumplen con los principios de transparencia las aplicaciones que llevan a cabo la grabación de pantalla sin que el usuario sea consciente de en qué momento se está produciendo, incluso en los casos en que se ha concedido previamente el consentimiento, según AEPD.
La Agencia recomienda a los usuarios no permitir el acceso al contenido de su pantalla si no se les ha ofrecido información suficiente y no activar nunca la opción "No volver a mostrar" cuando Android muestra el aviso.
Por su parte, el organismo aconseja a los desarrolladores de aplicaciones que utilizan la grabación de la pantalla "asegurarse de que se recoge de forma apropiada el consentimiento de los usuarios" y "proporcionar mecanismos para que el usuario sea plenamente consciente de cuándo se están realizando dichas grabaciones", concluye.
La AEPD presentará ambas notas técnicas y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la Agencia junto a otras autoridades europeas de protección de datos y el Supervisor Europeo.
Fuente: Europa Presss

CIBERATAQUE. Robo de tarjetas de crédito en más de cien sitios de e-commerce.

Investigadores de la empresa de ciberseguridad Qihoo 360’s NetLab han descubierto una campaña activa de sustracción de datos bancarios que está robando datos de clientes de más de 100 sitios web de comercio electrónico.
Mientras se monitorizaba el dominio malicioso www.magento-analytics.com durante los pasados siete meses, los investigadores descubrieron como los atacantes habían estado inyectando código javascript malicioso en cientos de sitios web de comercio electrónico a través de dicho dominio.
El código javascript en cuestión se encarga de robar información de los pagos realizados en el sitio web como son el número de tarjeta de crédito, el nombre del titular, el código CVV y la fecha de expiración.
En una entrevista por correo electrónico, el investigador de NetLab comenta que no disponen de suficiente información para determinar como los atacantes infectaron los sitios web o qué vulnerabilidades explotaron para conseguir acceso. Se confirma únicamente que todos los sitios afectados funcionan sobre el CMS Magento.
Un detallado análisis del script malicioso revela que la información robada se envía a otro fichero también hospedado en el dominio magento-analytics.com, controlado por los atacantes.
La técnica usada por los atacantes no es nueva, es exactamente la misma que la empleada por el grupo de hacking Magecart. Sin embargo, los investigadores de NetLab no relacionan este caso con ninguno de los perpetrados por el grupo en cuestión.
Que aparezca el término Magento en el nombre del dominio no significa que haya relación con este popular software de comercio electrónico. Los atacantes más bien han querido usar esa palabra para camuflar sus actividades y confundir a los usuarios.
De acuerdo con los investigadores, el dominio malicioso fue registrado en Panamá, sin embargo durante estos meses la dirección IP ha ido cambiando de país; de Estados Unidos a Rusia y de Rusia a China.
Dado que los atacantes normalmente explotan vulnerabilidades conocidas para poder introducir scripts maliciosos, se recomiendan aplicar las últimas actualizaciones de seguridad disponibles, limitar los privilegios para sistemas críticos y securizar los servidores web.
Más información:
Fuente: Hispasec

WHATSAPP. Detecta un agujero de seguridad que permitió a hackers acceder a los teléfonos

La aplicación de mensajería instantánea WhatsApp, propiedad de Facebook, comunicado este lunes una vulnerabilidad en el sistema que permitió que piratas informáticos instalaran un software espía en algunos teléfonos y accedieran así a los datos contenidos en los dispositivos.
La compañía confirmó en un comunicado a la prensa la información que unas horas antes había publicado en exclusiva el Financial Times e instó a los 1.500 millones de usuarios que tiene en todo el mundo a "actualizar la aplicación a su última versión" y a mantener al día su sistema operativo como medida de "protección".
WhatsApp, que fue adquirida por Facebook en 2014, indicó que en estos momentos aún no puede precisar cuántas personas fueron afectadas, pero aseguró que las víctimas fueron elegidas "de forma específica", de manera que en principio no se trataría de un ataque a gran escala.
El spyware o software espía que se instalaba en los teléfonos "se asemeja" a la tecnología desarrollada por la empresa de ciberseguridad israelí NSO Group, lo que llevó a WhatsApp a situarla como principal sospechosa detrás del programa de espionaje.
Un parche lanzado este mismo lunes
La vulnerabilidad en el sistema, para la que la empresa sacó un parche este mismo lunes, fue detectada hace sólo unos días y por el momento se desconoce durante cuánto tiempo se estuvieron produciendo las actividades de espionaje.
Los hackers llevaban a cabo una llamada a través de WhatsApp al teléfono a cuyos datos deseaban acceder e, incluso en el caso de que la persona receptora no respondiese a la llamada, un programa de "spyware" se instalaba en los dispositivos.
En muchos casos la llamada desaparecía posteriormente del historial del aparato, de manera que, si no había visto la llamada entrar en su momento, el usuario afectado no llegaría a sospechar nada.
WhatsApp aseguró que nada más conocer que se habían producido los ataques avisó a organizaciones de derechos humanos (que se encontraban entre las víctimas del espionaje), a empresas de ciberseguridad y al Departamento de Justicia de Estados Unidos.
Que algunas de las organizaciones afectadas sean plataformas de defensa de los derechos humanos refuerza la hipótesis de la involucración por parte de NSO Group, ya que su software ha sido usado en el pasado para llevar ataques contra este tipo de entidades.
NSO Group, que opera de forma opaca y durante muchos años lo hizo en secreto, diseña software espía para sus clientes, entre los que se encuentran Gobiernos de todo el mundo, que lo usan para acceder a dispositivos móviles y obtener información.
El spyware tuvo capacidad para infectar a teléfonos con sistema operativo de Apple (iOS) o de Google (Androi
Fuente: EFE

WHATSAPP. Trabaja en una versión de su aplicación para Windows 10

WhatsApp está desarrollando una nueva aplicación UWP (Plataforma Universal de Windows) para Windows 10 con el objetivo de que se pueda acceder al programa desde cualquier dispositivo que utilice este sistema operativo.
Según WABetaInfo, plataforma especializada en analizar las nuevas actualizaciones beta de WhatsApp, el servicio de mensajería podría tener lista la nueva versión de la aplicación UWP para finales de este año.
Al tratarse de una aplicación nueva y reescrita en UWP, estará optimizada para todas aquellas plataformas que utilizan Windows 10, tanto en su versión de escritorio como para móviles, según WABetaInfo.
WhatsApp trabaja en el desarrollo de esta función tan solo días después de haber anunciado que retirará el soporte de su aplicación en el sistema operativo móvil Windows Phone el próximo 31 de diciembre.
Fuente: Europa Presss

ALEXA. La VP de McAfee nunca tendría uno en casa y recomienda alejarnos de los altavoces inteligentes

"Si vas a usar Alexa en tu hogar, quizá... desenchúfala cuando no vayas a estar en casa por un tiempo, o, si vas a hacer tus gastos, o si vas a tener una conversación sobre tu situación económica, quizá no deberías hacerlo en la habitación donde Alexa esté".
La vicepresidenta de la compañía de software de seguridad McAfee, Candace Worley, es tajante sobre los altavoces inteligentes en una entrevista con Business Insider España. Worley está de paso por España como parte de un viaje de negocios a nivel europeo, pero contesta a las preguntas de este medio sobre ciberseguridad de cara a las elecciones y a nivel doméstico, entrevistas de trabajo, y también habla sobre Alexa.
"Piensa en el tipo de cosas que no quieres que estos dispositivos, ya sea Alexa, o tu teléfono móvil, u otra cosa, tengan la oportunidad de oír. Y si no crees que esto [lo que vas a hablar] quieres que lo escuche el dispositivo que sea que tengas ahí, desenchúfalo y enchúfalo de nuevo cuando hayas terminado. Es una forma bastante fácil de solucionar el problema y aún así puedes usar esa tecnología", recomienda.
El debate sobre la seguridad y los altavoces inteligentes es recurrente a la hora de hablar sobre estos dispositivos, que por un lado responden a comandos de voz como "Alexa" o "ok, Google", dependiendo de la marca, para lo que analizan todos los sonidos que registran alrededor, pero por otro cuentan con la promesa de los vendedores de que no graban todo lo que escuchan (y, lo que graban, puede borrarse cuando lo desee el usuario).
En este contexto Worley asegura que jamás tendría un altavoz inteligente de Amazon en su hogar por el riesgo de seguridad que conlleva, y aunque también recomienda alejarnos de los móviles y otros dispositivos conectados a internet a la hora de hablar de temas importantes, diferencia el peligro que representan unos de los otros.
"He repasado bien todas mis aplicaciones y he limitado cuáles tienen acceso a mi micrófono, mi cámara, etcétera", señala, preguntada por si no nos exponemos igual llevando a diario el móvil encima, a menudo sin pensar en qué decimos cerca de él.
Leer más: La guerra de los altavoces inteligentes: el negocio multimillonario que enfrenta a Amazon, Google y Apple
En ese sentido, recomienda a los usuarios estudiar si las aplicaciones de los smartphones se dedican a lo que deberían.
"Creo que parte de lo que la gente tiene que hacer es ser consciente de qué están haciendo realmente las aplicaciones que tienen en sus móviles", indica.
Por otro lado, Worley quita peso a la marca a la que ha hecho referencia. "Soy una gran fan de Amazon, no estoy despreciando a Amazon y creo que Alexa es genial. Es una tecnología increíblemente poderosa", aclara Worley, aunque tiene ciertos reparos.
"Siempre que un dispositivo está conectado a la red existe la posibilidad de que alguien que no está autorizado tenga acceso al mismo", recuerda.
"Estoy segura de que Amazon lo ha hecho lo mejor que ha podido para ayudar a garantizar esa seguridad, pero es que incluso en empresas que consiguen herramientas de seguridad, que las configuran como deben y que las tienen activadas son hackeadas, porque hay gente que está constantamente buscando cómo conseguir la información que quieren, y siempre pueden encontrar la manera".
"Yo no tengo Alexa en casa. Como experta en seguridad, no puedo hacerlo"
La también máxima responsable de la estrategia técnica de McAfee asegura no tener el altavoz inteligente de Amazon en su hogar, y es tajante al respecto.
"Yo no tengo Alexa en casa. Como experta en seguridad, no puedo hacerlo", subraya. "No me gusta la idea de que algo en mi casa va a estar escuchando todo lo que digo. Ya es lo suficientemente malo que crea que mi móvil consigue hacerlo hasta cierto punto, ¿no?".
"Pero, ¿y lo cómodo que es? Eso me resulta increíblemente atractivo, aunque al mismo tiempo no puedo ignorar las implicaciones que tiene a nivel de seguridad".
En otras ocasiones, otros expertos han hablado a Business Insider España sobre los riesgos de los altavoces inteligentes, incidiendo en que no creen que estén siempre grabando todo lo que oyen, aunque sí podría suceder en caso de virus o fallo de seguridad, y coincidiendo también en que son una genial herramienta para llegar al centro de las vidas de los consumidores.
Fuente: Bussines Insider

Echo Dot Kids de Amazon, bajo investigación por presuntas violaciones a la privacidad de niños

Grupos de defensa de la infancia y la privacidad presentaron una queja ante la Comisión Federal de Comercio el jueves, alegando que los dispositivos Echo Dot Kids de Amazon registran y almacenan ilegalmente los datos de conversación de los niños pequeños.
En la queja, la coalición acusa a Amazon de almacenar ilegalmente datos de conversaciones con niños incluso después de que los padres intenten eliminarlos. De ser cierto, la práctica podría violar la Ley de protección de la privacidad en línea de los niños (COPPA), una de las únicas leyes de privacidad federales en los libros. COPPA impone ciertos requisitos de privacidad para los sitios web y servicios que están dirigidos a niños, incluida la obtención del consentimiento de los padres antes de que se recopile o almacene la información de un niño menor de 13 años.
Amazon niega que sus dispositivos estén en violación de la ley. "FreeTime en Alexa y Echo Dot Kids Edition cumplen con la Ley de Protección de la Privacidad en Línea de los Niños (COPPA)", dijo un portavoz de Amazon a The Verge .
Los dispositivos Echo Dot Kids de Amazon se lanzaron el año pasado como una versión para niños de los otros dispositivos Alexa de la compañía. Sin embargo, la presentación de FTC del jueves alega que el dispositivo activado por voz recopila y almacena las transcripciones de las conversaciones que los niños tienen con él, junto con información sobre el contenido con el que se involucran los usuarios jóvenes en el dispositivo.
"Amazon comercializa a Echo Dot Kids como un dispositivo para educar y entretener a los niños, pero el verdadero propósito es acumular un tesoro de datos confidenciales que se niega a renunciar incluso cuando los padres lo solicitan", Josh Golin, director ejecutivo de la Campaña. para una Infancia Libre de Comerciales (CCFC), la organización que encabezó este esfuerzo, dijo en un comunicado.
Un grupo bipartidista de legisladores también envió una carta a la FTC hoy solicitando que la agencia abra una investigación sobre el asunto. Los senadores Ed Markey (D-MA), Josh Hawley (R-MO), Richard Blumenthal (D-CT) y Dick Durbin (D-IL) dijeron: “Los niños son una población especialmente vulnerable. "Instamos a la Comisión a que tome todas las medidas necesarias para garantizar su privacidad, ya que los dispositivos 'Internet of Things' dirigidos a los consumidores jóvenes llegan al mercado, lo que incluye iniciar de inmediato una investigación sobre el cumplimiento con COPPA de Amazon Echo Dot Kids Edition".
La FTC recibió la carta, pero se negó a comentar.
Fuente: The Verge.com

INTEL. Nueva vulnerabilidad en procesadores de la firma

Los procesadores del fabricante Intel han resultado víctimas de una nueva vulnerabilidad, bautizada como ZombieLoad, que permiten utilizar la arquitectura de los procesadores para revivir y robar información de los dispositivos, como el historial de navegación y otra información sensible.
La vulnerabilidad ha sido descubierta a raíz de un estudio publicado por los investigadores Daniel Gruss, de la Universidad de Graz (Austria), y Jo Van Bulck, de la Universidad Católica de Lovaina (Bélgica), en el que definen un nuevo tipo de amenaza conocido como ataque por microarquitectura de muestreo de datos.
La nueva vulnerabilidad, que ha afectado a los procesadores Intel, se relaciona con los problemas de Meltdown y Spectre descubiertos a principios de 2018. El problema anula las protecciones del procesador y permite que aplicaciones en modo usuario sin privilegios roben del ordenador afectado la información procesada por la memoria en modo núcleo, según ha explicado Bitdefender en un comunicado.
ZombieLoad se encuentra presente en la mayor parte de los procesadores de Intel fabricados desde 2011, como recoge TechCrunch, dado que utilizan las extensiones de seguridad SGX, una arquitectura de software que gestiona los permisos del hardware del procesador.
"Pueden extraer claves de seguridad de la arquitectura de Intel, rompiendo en última instancia su confidencialidad y la atestación remota"
Aprovechándose de esta arquitectura, los atacantes "pueden extraer claves de seguridad de la arquitectura de Intel, rompiendo en última instancia su confidencialidad y la atestación remota", como explican los investigadores en el estudio.
Los investigadores explican que la vulnerabilidad de los procesadores propicia un ataque de canal paralelo, como ya sucedía con Meltdown, que se definen también como ataques de microarquitectura de muestreo de datos.
"ZombieLoad explota que la cola del búfer de datos es accesible por todas las CPUs lógicas de un núcleo físico y que no distingue entre procesos ni entre niveles de privilegio", aseguran los autores del estudio.
Al igual que sucedió con el ataque de Meltdown, la arquitectura de los procesadores de Intel permite a los potenciales atacantes acceder a valores, como el caché del chip, lo que permite obtener y filtrar información sensible del dispositivo afectado como su historial de navegación, 'reviviéndola' a través de técnicas de canal paralelo.
Google, Apple y Microsoft ya han lanzado parches
Varios fabricantes que utilizan en sus productos los procesadores de Intel, entre los que se encuentran Google, Apple y Amazon, ya han distribuido desde este martes parches de seguridad en sus equipos que eliminan la vulnerabilidad de ZombieLoad.
El parche desarrollado de Apple se orienta a la última versión de su sistema operativo de sobremesa, macOS Mojave 10.14.5, y no habría afectado a iOS ni al Apple Watch, mientras que en el caso de Google aseguran que la vulnerabilidad también se ha solucionado en sus productos.
Por su parte, Microsoft ha distribuido un parche para las últimas versiones de su sistema operativo de sobremesa Windows 10, a la vez que ha asegurado que los problemas afectarán también a los sistemas Android, Chrome, iOS y Linux.
Como ha declarado un portavoz de Intel a TechCrunch, estos parches de seguridad pueden ralentizar el rendimiento del procesador un 3%, y un impacto negativo del 9% en los entornos de centros de datos.
Fuente: El Economista.es

Reducida la complejidad del hash SHA-1

Hace 2 años Google ponía encima de la mesa el reloj de vida del cifrado SHA-1 demostrando su debilidad mediante un ataque por colisión (Entendemos colisión por dos flujos de datos distintos que comparten un mismo hash).
La semana pasada, mediante el estudio del ataque por colisión con prefijo elegido, se consiguió bajar aun más la complejidad que, en estos momentos, oscila entre 2^66,9 y 2^69,4. Para tener un baremo sobre el que trabajar, en 1995 se calculó que harían falta 2^80 combinaciones de media para llevar a cabo un ataque por fuerza bruta que buscase colisiones en prefijos idénticos, lo que sería muy laborioso, computacionalmente hablando, y menos práctico para un atacante ya que es el propio algoritmo el que decide los mensajes donde se encuentra la colisión.
Esta nueva técnica permite llevar a cabo ataques por colisión con unas premisas personalizadas, dejando atrás las colisiones «accidentales», lo que abre una nueva puerta a los atacantes para que puedan tener el control de los archivos que deseen duplicar o crear. Esto significa que un atacante podría falsificar cualquier fichero cifrado mediante SHA-1.
Cabe destacar que en 2005 se rompió el algoritmo SHA-1 de forma teórica y en 2017, académicos de Google, consiguieron el primer ataque de colisión SHA-1 exitoso del mundo, conocido como «SHAttered». Esta hazaña costó 110.000$.
Después de eso, tan solo 2 años más tarde, un equipo de investigadores de Francia y Singapur, apoyándose en el estudio de SHAttered, dio una nueva vuelta de tuerca al asunto y demostró de forma teórica un ataque por colisión con el prefijo elegido. Todo esto está recogido en este documento titulado: «Desde las colisiones a las colisiones con prefijo elegido en SHA-1«.
Es posible que pronto se vean los primeros ataques prácticos de colisión de prefijos elegidos en SHA-1, como pasó con MD5.
Más información:
·        Qué ha pasado con SHA-1 y el nuevo ataque. Una explicación sencillahttps://empresas.blogthinkbig.com/nuevo-ataque-sha-1-explicacion/
·        SHA-1 ha muerto, ataque de colisión con prefijo elegidohttps://blog.segu-info.com.ar/2019/05/sha-1-ha-muerto-ataque-de-colision-con.html
Fuente: Hispasec

Actualizaciones para múltiples productos Apple

Apple ha publicado 6 boletines de seguridad que solucionan vulnerabilidades en los productos iOS, macOS, watchOS, tvOS, Apple TV Software y Safari. Entre todos los productos se corrigen 63 fallos de seguridad.
Resumen de actualizaciones y problemas solucionados:
·        El boletín para el sistema operativo para dispositivos móviles de Apple (iPad, iPhone, iPod, etc.), iOS 12.3, resuelve 40 vulnerabilidades relacionadas con múltiples componentes, entre los que se incluyen ‘AppleFileConduit’, ‘Contactos’, ‘CoreAudio’, ‘Mail’, ‘SQLite’, ‘sysdiagnose’, el kernel y ‘WebKit’ entre otros. Siete de los fallos permitirían la ejecución de código arbitrario explotando varios errores de validación y problemas en la gestión de la memoria (CVE-2019-8593, CVE-2019-8585, CVE-2019-8605, CVE-2019-8613, CVE-2019-8600, CVE-2019-8574, CVE-2019-6237, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8628). Algunos de los fallos también están presentes en Safari, watchOS y tvOs. De estas vulnerabilidades, dos permitirían la ejecución de código con privilegios de sistema (CVE-2019-8574 y CVE-2019-8593).
·     macOS Mojave 10.14.5 y los Security Update 2019-003 para Sierra y High Sierra. En este caso se solucionan 51 vulnerabilidades que afectan a múltiples componentes, que entre otros incluyen a ‘Accessibility Framework’, ‘AMD’, ‘Application Firewall’, ‘CoreAudio’, ‘DesktopServices’, ‘Disk Images’, ‘EFI’, ‘IOKit’, ‘Microcode’, el kernel y ‘Wi-Fi’ entre otros. Ocho de estas vulnerabilidades podrían permitir la ejecución de código arbitrario con privilegios de kernel (CVE-2019-8635, CVE-2019-8616, CVE-2019-8629, CVE-2018-4456, CVE-2019-8605, CVE-2019-8604, CVE-2019-8574, CVE-2019-8569).
·   Safari 12.1.1 cuenta con otro boletín que soluciona 21 vulnerabilidades debidas, en su mayoría, a problemas en ‘WebKit’, el motor de código abierto que es la base de este navegador. Veinte de estos errores permitirían la ejecución de código arbitrario a través de una página web especialmente manipulada (CVE-2019-6237, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8628).
·    El boletín para el sistema operativo de los relojes inteligentes de Apple, watchOS 5.2.1, soluciona 21 vulnerabilidades entre las que también se encuentran algunas que podrían permitir la ejecución de código arbitrario (CVE-2019-8593, CVE-2019-8585, CVE-2019-8605, CVE-2019-8613, CVE-2019-8600, CVE-2019-8574, CVE-2019-8583, CVE-2019-8601, CVE-2019-8622, CVE-2019-8623).
·     tvOS, el sistema operativo de los televisores de la marca, se actualiza a la versión 12.3, donde se corrigen 35 vulnerabilidades en múltiples componentes. Una de ellas permitiría elevar privilegios en el sistema (CVE-2019-8602) y/o la ejecución de código arbitrario (CVE-2019-8593, CVE-2019-8585, CVE-2019-8605, CVE-2019-8600, CVE-2019-8574, CVE-2019-6237, CVE-2019-8571, CVE-2019-8583, CVE-2019-8584, CVE-2019-8586, CVE-2019-8587, CVE-2019-8594, CVE-2019-8595, CVE-2019-8596, CVE-2019-8597, CVE-2019-8601, CVE-2019-8608, CVE-2019-8609, CVE-2019-8610, CVE-2019-8611, CVE-2019-8615, CVE-2019-8619, CVE-2019-8622, CVE-2019-8623, CVE-2019-8628).
·        Las versiones 7.3 del Software de Apple TV tiene tres vulnerabilidades en los componentes ‘Bluetooth’ y ‘Wi-Fi’ que permitirían la ejecución de código arbitrario (CVE-2017-14315, CVE-2017-9417, CVE-2017-6975)
Recomendación
Todas estas versiones que corrigen los problemas de seguridad publicados en los boletines se encuentran disponibles en la página oficial de Apple, así como a través de los canales habituales de actualización.
Más información:
Fuente: Hispasec