15 de enero de 2020

Consecuencias de haber perdido otra década contra el cambio climático

A pesar de las advertencias científicas y de los eventos extremos cada vez más frecuentes, en los últimos 10 años no hemos hecho un esfuerzo real para reducir las emisiones. De hecho, hemos emitido aún más, lo que requerirá un esfuerzo sin precedentes para evitar aumentos de temperatura catastróficos
Hemos perdido otra década en la lucha contra el cambio climático.
A pesar de que los gases de efecto invernadero en la atmósfera están acercándose a niveles que podrían provocar un calentamiento catastrófico, las cantidades que emitimos son cada vez mayores. Es casi seguro que nuestro fracaso colectivo en el intento de reducirlas en los últimos 10 años va a acabar con el sueño de detener la subida de las temperaturas en 1,5 °C. De hecho, cada vez parece más difícil que logremos cambios a la velocidad y la escala suficientes para que el aumento no supere los 2 °C sobre niveles preindustriales.
Entre los muchos peligros que crecen drásticamente, ese medio grado de diferencia podría acabar con los arrecifes de coral de todo el mundo y exponer regularmente a casi el 40 % de la población mundial a alarmantes olas de calor.
Hay que reconocer que la humanidad ha mostrado tímidos signos de progreso. Los vehículos eléctricos y los recursos renovables por fin están despegando, y casi 200 países se comprometieron en 2016 a reducir sus emisiones en virtud del histórico Acuerdo climático de París (Francia). 
Pero algunos países ya van tarde con sus promesas, y Estados Unidos planea retirarse del Acuerdo por completo, en un momento en el que se requieren recortes mucho más profundos. Y a pesar de todo el impulso de las tecnologías de energía limpia, de momento, las renovables no han contribuido demasiado para eliminar centrales eléctricas, coches, fábricas y edificios que contaminan la atmósfera con más emisiones cada año.
Los gráficos que presentamos a continuación revelan cuánto terreno hemos perdido por el cambio climático durante los últimos 10 años.
El CO2 sigue aumentando
El cálculo que realmente importa en el cambio climático es el que refleja el aumento continuo de las emisiones globales.
Durante un tiempo, se generó una breve esperanza de que la contaminación por gases de efecto invernadero por fin se hubiera estancado. El dióxido de carbono de los combustibles fósiles, que representa aproximadamente el 90 % de las emisiones totales de las actividades humanas, se mantuvo en línea relativamente plana entre 2013 y 2016.
La mejora de la eficiencia energética, el aumento del uso de las energías renovables y el cambio del carbón al gas natural probablemente provocaron gran parte de esa situación, especialmente en economías ricas como Estados Unidos y la Unión Europea. Pero en los años posteriores, las emisiones empezaron a subir de nuevo, impulsadas en gran medida por el crecimiento económico y las crecientes demandas de energía de los países emergentes, liderados por China e India.
Las emisiones de los combustibles fósiles en 2019 subieron un estimado de 0,6 %, lo que supone una cifra récord de 37.000 millones de toneladas métricas, una cifra que refleja tres años consecutivos de aumento, según el informe de Global Carbon Project publicado a principios de diciembre.

Esta tendencia, junto a las emisiones adicionales por los cambios en el uso del suelo y por otras actividades humanas, se ha sumado al constante aumento de las concentraciones de dióxido de carbono en la atmósfera durante la década de 2010.

Llegar al nivel máximo
Resulta importante saber cuándo alcanzaremos el máximo nivel de emisiones. Cuanto más tiempo tardemos en llegar al pico, más contaminación tendremos que eliminar en los siguiente años si queremos evitar los umbrales peligrosos del calentamiento, como demuestran los gráficos a continuación. 

Si queremos tener alguna esperanza de limitar el calentamiento a 2 ˚C, tendremos que acelerar radicalmente la reducción de emisiones.
Además de los agresivos recortes de las emisiones, la mayoría de los modelos predictivos señalan que también tendremos que usar árboles, plantas y otros métodos para eliminar y almacenar grandes cantidades de dióxido de carbono de la atmósfera para quedarnos por debajo de este objetivo de temperatura. Pero conseguir estas llamadas "emisiones negativas" a una escala suficientemente grande será increíblemente caro y competirá directamente con otros usos cruciales del suelo, especialmente la agricultura, una actividad estratégica para alimentar a la creciente población mundial.
Los impactos ambientales
Las décadas de aumento de las emisiones siguieron provocando lo que los científicos llevan décadas advirtiendo que harían: calentar el planeta.
       A principios de diciembre, la Organización Meteorológica Mundial anunció que era probable que 2019 se convierta en el segundo o el tercer año más cálido jamás registrado, cerrando una "década de excepcional calor global". Las temperaturas medias de los anteriores períodos de cinco y 10 años seguramente también son las más altas registradas.

Este gráfico, creado con datos de la Administración Nacional Oceánica y Atmosférica de EE. UU., destaca claramente el incremento de las temperaturas globales de la tierra por encima de la media del siglo XX. Y muestra un aumento especialmente pronunciado en los últimos 10 años.
Las temperaturas de los océanos también subieron y el agua más cálida se expande más. Ese fenómeno, junto a la aceleración en la pérdida de las capas de hielo y los glaciares, ha elevado aún más el nivel del mar, como señala este gráfico de datos satelitales de la NASA.
De hecho, la década de 2010 marca los impactos del cambio climático de forma inconfundible, al menos para cualquier observador objetivo. A medida que subieron las temperaturas, el hielo del Ártico se derritió mucho más rápido de lo que los modelos habían previsto. Los arrecifes de coral de todo el mundo sufrieron un blanqueo generalizado y devastador. Y regiones de todo el mundo lidiaron con algunas de las sequías, huracanes, olas de calor e incendios forestales más costosos, más mortales y más extremos de la historia registrada.
Dado que el dióxido de carbono tarda años en alcanzar su efecto de calentamiento total, y que aún tenemos que empezar a reducir las emisiones, queda claro que en la década que viene nos esperan peligros todavía más graves.
Fuente: MIT Technology Review

AUSTRALIA. La gravedad del incendio en cifras

El fuego ya ha generado más emisiones de efecto invernadero que los 116 países del mundo con menores emisiones en un año. Las llamas ya han devorado más de 10 millones de hectáreas del país y han acabado con la vida de 25 personas y de miles de millones de animales. Y la cosa va a peor
Los incendios forestales que azotan la costa este de Australia ya han emitido a la atmósfera alrededor de 400 millones de toneladas métricas de dióxido de carbono. Este volumen no hará más que intensificar el cambio climático que ya está  impulsando dichos incendios.
La cifra también supera a las emisiones totales anuales de los 116 países del mundo con menores emisiones, y nueve veces la cantidad producida durante la temporada de incendios en 2018 en California (EE. UU.) que también batió un récord. También añade unas tres cuartas partes de las emisiones de gases de efecto invernadero anuales de Australia, que este año se estaban estancando.
Pero, esos 400 millones de toneladas no son una cantidad nunca vista para este país en este momento del año. En Australia, los incendios forestales veraniegos son algo común. De hecho, su temporada de fuegos es cada vez más larga y su número de días con "riesgo muy alto de incendio" es cada vez mayor.
Durante las brutales temporadas de incendios australianos desde septiembre hasta principios de enero de 2011 y 2012 respectivamente, las emisiones asociadas a los incendios forestales del país superaron los 600 millones de toneladas, según el Servicio de Monitorización de la Atmósfera del programa Copérnico de la Unión Europea.
Emisiones de incendios forestales desde septiembre hasta principios de enero, en todo el país y en Nueva Gales del Sur.


Gráfico: Emisiones por incendios forestales desde septiembre de 2019 hasta principios de enero de este año. A la izquierda, en todo el país; a la derecha, en Nueva Gales del Sur. Crédito: Servicio de Monitorización la de Atmósfera del programa Copérnico.
Pero las emisiones actuales sobrepasan, por mucho, los niveles típicos de la región de Nueva Gales del Sur, donde se están concentrando los incendios de este año. Según un comunicado del Servicio de Bomberos Rurales de la región, desde el 1 de junio se han quemado más de 5,2 millones de hectáreas en todo el estado.
El cambio climático no provoca los incendios forestales de forma directa. Pero el aumento de las temperaturas y la disminución de las lluvias secan los árboles, las plantas y el suelo, convirtiéndolos en combustible que amplifica los incendios cuando empiezan.
Un informe de 2018 de la Agencia Científica Nacional de Australia y de la Oficina de Meteorología concluyó que el cambio climático ha contribuido a agravar las condiciones de incendios de este país, señalando que la temperatura media ha aumentado más de 1 ˚C. 
A su vez, estos enormes incendios estimulan aún más el cambio climático. Cuando los árboles y las plantas arden, liberan el carbono que almacenan en sus troncos, hojas, ramas y raíces. Eso crea un círculo vicioso, ya que los mismos impactos del cambio climático lo empeoran aún más, lo que dificulta aún más nuestra capacidad de resolver este problema.
Hasta el momento, los incendios han tenido efectos devastadores en Australia:
·     El área total quemada en las últimas semanas supera los 10 millones de hectáreas. Eso está muy por encima de los devastadores incendios ocurridos en el Amazonas del año pasado, que quemaron casi siete millones de hectáreas. Y es casi 13 veces mayor que el área quemada durante la temporada de incendios de California en 2018, que fue la más mortal y destructiva en la historia de este estado.
·    Más de 25 personas han muerto y las autoridades han instado a cientos de miles de personas a evacuar. Decenas de miles más protestan por la mala gestión del desastre por parte del Gobierno.
·    Miles de hogares han sido destruidos y el humo ha cubierto más de 20 millones de kilómetros cuadrados.
·        Un profesor de la Universidad de Sídney (Australia) estima que más de 1.000 millones de animales han muerto en los incendios, según anteriores estimaciones de las poblaciones de mamíferos, aves y reptiles en las regiones afectadas.
En una entrevista con la Radio Nacional Pública, el profesor de ecología terrestre Chris Dickman afirmó: "Probablemente todo el mundo sepa que Australia tiene la tasa de extinción de mamíferos más alta del mundo. Los sucesos como este aceleran el proceso de extinción para una variedad de otras especies. Así que se trata de un momento muy triste".
Y, por si fuera poco, en los últimos días la situación se ha vuelto más peligrosa a causa de la reactivación del calor y el viento. Dos fuegos gigantes se fusionaron en un "mega incencio" en 600.000 hectáreas que atraviesan los estados Nueva Gales del Sur y Victoria.
Fuente: MIT Technology Review

2020 podría convertirse en el primer gran año de la geoingeniería

Por primera vez, el Gobierno de EE. UU. ha aprobado fondos para investigar este controvertido enfoque de alterar la dinámica planetaria para luchar contra el cambio climático. En total, los proyectos recibirán 1,25 billones de euros del presupuesto nacional
Por primera vez, el Gobierno de Estados Unidos ha aprobado fondos para investigar la geoingeniería, esa controvertida idea de que podríamos contrarrestar el cambio climático reflejando el calor fuera del planeta.
Los proyectos de ley aprobados, que supondrán una inversión 1,25 billones de euros, incluyen una disposición poco constatada que dedica una inversión mínima de 3,5 millones de euros para que la Administración Nacional Oceánica y Atmosférica de EE. UU. (NOAA por sus siglas en inglés) investigue y monitorice la estratosfera. El programa incluye valoraciones de las "intervenciones climáticas solares", incluidas las "propuestas para inyectar material [en la estratosfera] para influir en el clima".
Para permitir esta investigación, el congresista Jerry McNerney de California (EE.UU.) presentó recientemente un proyecto de ley que permitiría a la NOAA crear un programa oficial para llevar a cabo este proyecto de intervención climática. El texto completo del proyecto de ley aún no está disponible, y la oficina de McNerney todavía no ha respondido a las preguntas de MIT Technology Review. Pero los principales objetivos incluirían mejorar nuestra comprensión básica de la química estratosférica y valorar los posibles efectos y riesgos de la geoingeniería.
El Gobierno también otorgaría a la NOAA la autoridad de supervisión para revisar e informar sobre los experimentos propuestos por otros grupos de investigación, según la asesora en la investigación de Geoingeniería y directora ejecutiva de SilverLining, Kelly Wanser, que habló con la oficina de McNerney sobre los detalles del proyecto de ley.
Dado que la amenaza del cambio climático no para de crecer, cada vez más grupos de investigación académica está explorando distintos enfoques para enfriar el planeta, incluida la inyección de partículas reflectantes en la estratosfera o la pulverización de agua salada en el cielo para iluminar las nubes costeras (ver El polémico plan de Harvard para llevar la geoingeniería al mundo real).
Pero existe la preocupación de que tales herramientas tengan peligrosos efectos secundarios ambientales, y que incluso sugerirlas como soluciones reduzca la presión para reducir las emisiones de gases de efecto invernadero que impulsan el cambio climático.
En una declaración, McNerney señaló otros proyectos que ya están avanzando y afirmó que el Gobierno federal debería liderar este campo controvertido. Un equipo de investigadores de la Universidad de Harvard (EE. UU.) se ha estado preparando para realizar uno de los primeros experimentos al aire libre relacionados con la geoingeniería, al lanzar un globo que rociaría una pequeña cantidad de partículas en la estratosfera. Dado que cuando la institución inició el proyecto, todavía no había no ningún programa de investigación financiado por el Gobierno de EE. UU., uno de sus primeros pasos fue el de crear su propio comité asesor externo para garantizar que los investigadores trabajen para limitar los riesgos ambientales, busquen aportes externos y operen de manera transparente.
McNerney ya había presentado una ley que obligaba a la Academia Nacional de Ciencias de EE. UU. a proponer una agenda de investigación de geoingeniería y pautas de supervisión. A su vez, se creó un comité que publicará sus recomendaciones a lo largo de este año.
Dado que los recortes de emisiones por sí solos probablemente no puedan evitar los niveles peligrosos del cambio climático, la financiación pública para investigar la geoingeniería está "atrasada", escribió en un correo electrónico el investigador de leyes y políticas ambientales de la Universidad de California en Los Ángeles (EE. UU.) Jesse Reynold. El experto concluyó: "Necesitamos saber más sobre las capacidades, limitaciones y riesgos de la geoingeniería solar para que las futuras decisiones estén bien tomadas".
Fuente: MIT Technology Review

EUROPA. En la cola de la carrera por la Inteligencia Artificial

La coordinación público-privada, la financiación y la abundancia de datos de China y EE. UU. contrasta con la falta de estrategia común del viejo continente. Pero su diversidad de talento y sus valores pueden convertirla en líder del desarrollo ético de la inteligencia artificial
En la carrera internacional por dominar la inteligencia artificial (IA), Estados Unidos ha dejado de mirar a China desde el retrovisor. La decidida apuesta del gigante asiático por convertirse en líder mundial de la "tecnología más poderosa del siglo XXI" ha provocado que las grandes tecnológicas estadounidenses deban conformarse con el segundo lugar. El peor resultado es para Europa, que se encuentra "por detrás de China y Estados Unidos tanto a nivel de publicaciones como de desarrollo industrial de esta tecnología", afirma el coordinador del máster universitario en Inteligencia Artificial de la Universidad Internacional Menéndez Pelayo (UIMP), José Antonio Gámez.
Pero aunque vaya a la cola en avances tecnológicos, hay un área estratégica en la que el viejo continente podría tener mucho que decir: la ética de la inteligencia artificial. Ante una tecnología capaz de crear una sociedad más injusta y desigualitaria si no se diseña bajo unos buenos pilares éticos, una estrategia paneuropea fundamentada en los valores de la UE se vuelve más necesaria que nunca (ver Google advierte: el verdadero peligro de la IA no son los robots asesinos sino los algoritmos sesgados y Los nuevos empleos de la IA podrían aumentar la desigualdad aún más).
Estados Unidos, cuna de las multinacionales de los datos, cuenta con un engranaje perfecto que conecta la iniciativa pública con la investigación en las universidades y la lleva a la actividad privada. Así lo afirmó el inversor y emprendedor en IA Fabian Westerheide durante su ponencia en el reciente AI Show celebrado en Madrid (España). "El sistema militar organiza un concurso que premia a los mejores coches autónomos, entonces las universidades ponen a sus investigadores a trabajar y cuando presentan sus iniciativas, llega Google y las compra", así describe Westerheide lo que parece una cadena de montaje sin fallos.
El país no solo ha conseguido que su máquina funcione a la perfección, además, cuenta con la mayor concentración de start-ups de inteligencia artificial del mundo: 1.393, según el paisaje del número de start-ups de IA presentes en los principales hubs tecnológicos del mundo elaborado por consultora alemana Roland Berger y el fondo de inversión Asgard. Ni siquiera sumando las europeas (769) y las chinas (383) se puede igualar el número de start-ups estadounidenses dedicadas a la IA.
Pero a pesar de sus buenos resultados, China ha adelantado a EE. UU. por la derecha. En 2017, según datos de CBInsights, cerca de la mitad de la financiación privada para la IA (48 %) acabó en Asia, adelantando, según Westerheide, por primera vez a Estados Unidos (38 %) y también al resto del mundo (13 %).
Más allá de la financiación, China también ha asumido el liderazgo "en cuanto a publicaciones", añade Gámez, y detalla: "Una búsqueda en Scimago devuelve unas 12.000 publicaciones chinas en 2017 y otras 9.000 de Estados Unidos". En contraste, aunque hay países europeos entre los 10 primeros de la lista, comparativamente sus cifras son mucho más bajas: Alemania  tiene 2.200 publicaciones, y Francia y España otras 1.600, respectivamente.
La importancia de los datos
"Para que los sistemas de aprendizaje profundo funcionen, necesitan millones de datos" y por ese motivo, Facebook y Google y en definitiva, Estados Unidos, han liderado "el desarrollo de IA para el procesamiento de grandes cantidades de datos mediante algoritmos de aprendizaje profundo", explica el fundador y director del Instituto de Investigación de Inteligencia Artificial del CSIC, Ramón López de Mántaras. Reconoce que "ellos [Google y Facebook] tienen los datos, los ordenadores de alta computación, y el talento". Y detalla que ese "talento se lo han llevado de las universidades pagando salarios que multiplicaban por cinco o por diez el de la academia. Tienen todas las ventajas imaginables".
China también destaca en cuanto a datos. Según Westerheide, el gigante tiene claro su objetivo y "ha trabajado en una estrategia que involucra a toda la sociedad, desde los gobiernos locales hasta el nivel nacional". Además, "China está recuperando muchos cerebros fuera del país con contratos millonarios", explica López de Mántaras. Por último, la vigilancia a la que el Gobierno de Xi Jinping somete a su población resulta en una recopilación de datos útiles para el desarrollo de la IA. No hay que olvidarse de Baidu, el Google chino que controla el 70 % del mercado online en su país de origen y que almacena los datos de búsqueda de una población de 1.300 millones de habitantes.
En el lado contrario de la balanza vuelve a estar Europa. López de Mántaras lamenta: "Falta homogeneidad porque no somos un único estado. Somos comparables en muchas cosas con Estados Unidos, pero no somos un solo país y existen burocracias muy diferentes que dificultan el trabajo. Europa tiene datos muy distintos".
Pero esta falta de homogeneidad se convierte en una oportunidad cuando se de talento. Todos los expertos consultados coinciden en que uno de los puntos fuertes de Europa frente a China y Estados Unidos es su diversidad, capaz de aportar puntos de vista diferentes.
CLAIRE, el inicio de una estrategia europea
Ver la carrera por liderar la inteligencia artificial desde el tercer lugar tiene sus ventajas. Así lo afirma el cofundador de la Confederación de Laboratorios de Investigación en Inteligencia Artificial en Europa (CLAIRE, por sus siglas en inglés) Holger Hoos. El experto detalla: "Estar por detrás nos permite observar cómo se está trabajando en otros lugares y tratar de hacerlo mejor en Europa. Estamos aprendiendo de las debilidades de China y Estados Unidos". Pero "quedarse detrás puede tener consecuencias indeseadas, como la fuga de cerebros o que la industria europea se convierta en dependiente de tecnología que se desarrolla en otros puntos del planeta", matiza.
Con el objetivo de evitar esas "consecuencias indeseadas", Hoos ha liderado la creación de este "movimiento base de la comunidad europea que trabaja en IA". El objetivo de CLAIRE es "conseguir la excelencia de la IA en Europa y ayudar a la Comisión Europea y a los gobiernos a conseguir los objetivos de la IA centrada en el individuo", comenta a este medio.
El responsable apuesta porque los valores democráticos que "se comparten en los países miembros de la Unión Europea" se apliquen a la investigación y el desarrollo de la IA made in Europe. Ramón López de Mántaras coincide con su colega y señala que la IA "es una tecnología que, si no se usa con criterio social y humanístico, no hará más que ampliar las desigualdades entre ricos y pobres".
CLAIRE se erige así como la respuesta común a la falta de coordinación europea, ya que "ningún país por su cuenta podría competir con China o Estados Unidos", asegura Hoos. CLAIRE busca "seguir el ejemplo de la Organización Europea para la Investigación Nuclear (CERN) para centralizar los recursos experimentales, los datos, servicios de computación y ponerlos a disposición de todos los centros de excelencia de distintos países".
De momento, la Comisión Europea ha presentado un documento en el que se compromete a aumentar la financiación en inteligencia artificial en 20.000 millones de euros. Sin embargo, esto no convence a los expertos, quienes consideran que Europa va demasiado despacio y está depositando todas sus apuestas en la "cultura de la subvención", lamenta López de Mántaras. En su opinión, "una asignatura pendiente de Europa es que el mayor peso de la investigación se paga con dinero público, mientras que en Estados Unidos y China, Facebook, Google y Baidu financian su investigación".
La coordinación estadounidense y el impulso de todos los actores públicos y privados chinos, dispuestos a liderar la IA en 2025, están llevando a Europa a una carrera en la que su única opción es hacer un sprint. Los países miembros cuentan con el talento y los valores éticos, pero cada vez es más necesaria una estrategia común en el viejo continente si se quiere tener voz y voto en el desarrollo de la IA.
Más información
Fuente: MIT Technology Review

GOOGLE. Corrige un fallo crítico con RCE en Android

La primera actualización de seguridad de Google de 2020 abordó siete errores de Android de alta y crítica severidad.
Google lanzó su primer Boletín de Seguridad de Android de 2020 parcheando un fallo crítico en su sistema operativo Android, que si se explota podría permitir a un atacante ejecutar código remotamente. En comparación con el recuento mensual del año pasado, el número de CVEs parcheados este mes fueron relativamente pocos.
La ejecución remota de código (RCE) fue una de las varias vulnerabilidades críticas y de alta gravedad que conformaron siete CVEs rastreados en total este mes. Qualcomm, cuyos chips se utilizan en dispositivos Android, también parcheó una mezcla de 29 vulnerabilidades de alta y media gravedad como parte del boletín de enero.
Google dijo que su vulnerabilidad crítica (CVE-2020-0002) existe en el marco de Android Media, que incluye soporte para la reproducción de una variedad de tipos de medios comunes, de modo que los usuarios puedan utilizar fácilmente audio, video e imágenes. Los sistemas operativos de Android 8.0, 8.1 y 9 están específicamente afectados por el fallo.
«El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el marco de Media que podría permitir a un atacante remoto que utilice un archivo especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado», según Google en el boletín.
También se corrigieron los fallos graves de elevación de privilegios (CVE-2020-0001, CVE-2020-0003) y el fallo de denegación de servicio (CVE-2020-0004) en el marco de Android, que «podría permitir a una aplicación local maliciosa eludir los requisitos de interacción del usuario para obtener acceso a permisos adicionales«.
Además, se descubrieron tres fallas de alta gravedad (CVE-2020-0006, CVE-2020-0007, CVE-2020-0008) en el sistema operativo Android que podrían «llevar a la divulgación de información remota sin necesidad de privilegios de ejecución adicionales».
Los detalles técnicos de cada uno de los CVEs son limitados, es decir, hasta que los teléfonos se parchean se reduce significativamente el riesgo de que esos errores sean explotados por hackers.
Se han parcheado 29 CVEs, todos de alta gravedad excepto uno crítico, relacionados con los componentes de Qualcomm que se utilizan en los dispositivos Android. El fallo de gravedad crítica existía en el «controlador rtlwifi» de Qualcomm Realtek (CVE-2019-17666) y podía conducir a la ejecución remota de código. El controlador «rtlwifi» es un componente de software que se utiliza para permitir que ciertos módulos Wi-Fi de Realtek, utilizados en dispositivos Linux, se comuniquen con el sistema operativo Linux.
Comunicaciones del fabricante
Los fabricantes de dispositivos Android suelen publicar sus propios parches para abordar las actualizaciones junto con el Boletín de seguridad de Google o después de él. Samsung dijo en un comunicado de mantenimiento de seguridad que está lanzando varios de los parches del boletín de seguridad de Android, incluido el CVE-2020-0002, para los principales modelos de Samsung.
Las correcciones para los dispositivos LG, Nokia y Pixel están por llegar, pero aún no han sido publicadas.
El boletín de seguridad es el primero del año para Google. En diciembre, la compañía publicó una actualización que elimina tres vulnerabilidades de gravedad crítica en su sistema operativo Android, una de las cuales podría resultar en una «denegación permanente de servicio» en los dispositivos móviles afectados si se explota. El Boletín de Seguridad de Android de diciembre de 2019 implementó correcciones para las vulnerabilidades críticas, de gravedad alta y media, relacionadas con 15 CVEs en total.
Más información
Fuente:Hispasec

Estudio muestra existencia compañías vulnerables a tácticas de secuestro de SIM

Varias operadoras de telefonía con tarjetas de prepago facilitaron secuestros de SIM sólo pasando un test de autenticación.
Un estudio de Princeton ha descubierto que cinco operadores de prepago de EE.UU. utilizan técnicas de autenticación que son vulnerables a tácticas de secuestro de SIM. Los investigadores crearon 10 cuentas de prepago en AT&T, T-Mobile, Tracfone, US Mobile y Verizon Wireless. Descubrieron que sólo necesitaban responder con éxito a una pregunta para verificar su identidad y conseguir que las compañías cambiaran su servicio a una tarjeta SIM que ya tenían. Ni siquiera importaba si los otros pasos de autenticación eran incorrectos.
Ese tipo de técnica de cambio de SIM podría ser utilizada por los atacantes para obtener el control del número de teléfono de la víctima. Luego pueden usar ese número para restablecer las contraseñas de la víctima y acceder, por ejemplo, a sus correos electrónicos y cuentas bancarias.
Para probar las medidas de seguridad de los operadores, llamaron a las compañías para solicitar un cambio de SIM y proporcionaron intencionadamente el número de PIN equivocado para forzar al representante de servicio al cliente a probar otro método de autenticación. Cuando se les pedía la fecha de nacimiento o el código postal de facturación del titular de la cuenta, decían que debían haber cometido un error al registrarse y proporcionado la información incorrecta.
El representante de servicio al cliente tendría entonces que pasar a un tercer tipo de método de autenticación, que es pedir sus dos llamadas más recientes. Fue a través de este método que los investigadores pudieron completar con éxito los intercambios de SIM. Y eso es alarmante, ya que los atacantes pueden engañar fácilmente a las víctimas para que llamen a números de teléfono aleatorios.
Además, los investigadores examinaron 140 sitios y servicios populares en línea que usan autenticación telefónica para ver lo que los atacantes pueden hacer con los números que secuestran. Pudieron restablecer fácilmente las contraseñas de 17 de esos servicios usando sólo las SIM secuestradas, ya que no se les hicieron preguntas adicionales de autenticación.
Los investigadores de Princeton proporcionaron una copia de sus hallazgos a los operadores el año pasado, y T-Mobile les notificó este mes que ya no utiliza los registros de llamadas como forma de autenticación.
Un portavoz de T-Mobile le entregó a Engadget la siguiente declaración por escrito: «Nos tomamos muy en serio la protección de las cuentas de nuestros clientes. Hemos implementado muchas salvaguardas y realizaremos mejoras continuas a medida que necesitemos responder a nuevos riesgos». Más recientemente, esto incluyó el cambio de nuestros procesos de autenticación en las cuentas de prepago de T-Mobile para evitar el uso de la información del registro de llamadas para la autenticación».
El vicepresidente ejecutivo de Verizon, Nick Ludlum, declaró: «Los operadores de telefonía móvil están comprometidos a proteger a los consumidores y a combatir los ataques de intercambio de SIM. Continuamente revisamos y actualizamos nuestras prácticas de ciberseguridad y desarrollamos nuevas protecciones para los consumidores. Todos tenemos un papel que desempeñar en la lucha contra el fraude y animamos a los consumidores a utilizar las herramientas destacadas en este estudio para salvaguardar su información personal».
En definitiva, esto nos demuestra una vez más que el eslabón más débil en cuanto a seguridad, es el humano. Esperamos que cuiden más los protocolos que los técnicos de soporte deben seguir en estos casos.
Más información:
Fuente: Hispasec

MICROSOFT. Boletín de seguridad de enero de 2020

La publicación de actualizaciones de seguridad de Microsoft correspondiente al mes de enero consta de 50 vulnerabilidades, 8 clasificadas como críticas y 42 como importantes, catalogada de Importancia: 5 - Crítica
Recursos afectados:
-       Microsoft Windows;
-       Internet Explorer;
-       Microsoft Office, Microsoft Office Services y Web Apps;
-       ASP.NET Core;
-       .NET Core;
-       .NET Framework;
-       OneDrive para Android;
-       Microsoft Dynamics;
Recomendación
     Instalar la actualización de seguridad correspondiente. En la página de información de la instalación de las mismas actualizaciones, se informa de los distintos métodos para llevarlas a cabo.
Detalle de la actualización:
Las vulnerabilidades publicadas se corresponden con los siguientes tipos:
1.   divulgación de información,
2.   escalada de privilegios,
3.   denegación de servicio,
4.   ejecución remota de código,
5.   omisión de característica de seguridad,
6.   suplantación de identidad.
Más información
Fuente: INCIBE

MOZILLA. Boletines de seguridad de enero de 2020 corrigen vulnerabilidad ‘zero day’

La segunda semana de 2020 ha traído varios boletines de seguridad de Mozilla que corrigen múltiples vulnerabilidades, entre ellas un ‘zero day’ que está siendo aprovechado ‘in the wild’.
Los Reyes Magos de Oriente han llegado este año cargados de boletines de seguridad por parte de Mozilla y, entre los días 7 y 10 de enero, se han publicado 4 boletines de seguridad para Firefox y Thunderbird: del MFSA 2020-01 al MFSA 2020-04.
Pero antes de detallar las vulnerabilidades corregidas en ellos, cabe destacar una de ellas por su criticidad. Se trata de una vulnerabilidad ‘zero day’ identificada como CVE-2019-17026 que está siendo explotada ‘in the wild’.
Mozilla fue alertada de este problema mediante un tweet (ya eliminado) por parte de la compañía china de ciberseguridad Qihoo 360. El fallo de seguridad consiste en una confusión de tipo en IonMonkey, el compilador JIT (Just-in-Time) del motor Javascript SpiderMonkey, relacionada con elementos ‘StoreElementHole’ y ‘FallibleStoreElement’ que podría permitir que un atacante se hiciese con el control del equipo afectado. Esta vulnerabilidad, descrita en los boletines MFSA 2020-03 y MFSA 2020-04, afecta tanto al navegador Mozilla Firefox como al gestor de correo Thunderbird.
En el resto de boletines se solucionan otras fallas de seguridad. Aquellas catalogadas como de alto impacto se detallan a continuación:
* CVE-2019-17015: una corrupción de memoria en el proceso padre durante la inicialización del nuevo proceso de contenido debido a la posibilidad de manipular un puntero. Este fallo que podría ser explotado para ejecutar código arbitrario, solo afecta a las versiones para Windows.
* CVE-2019-17016: un problema relacionado con la comprobación de código CSS al pegar una etiqueta <style> desde el portapapeles que podría causar la inyección y filtración de datos en determinados sitios web.
* CVE-2019-17017: una confusión de tipos en XPCVariant.cpp que podría ser explotado para ejecutar código arbitrario.
* CVE-2019-17024 y CVE-2019-17025: diversos errores de seguridad relacionados con la memoria que podrían ser explotado para ejecutar código arbitrario.
Existen otras 6 vulnerabilidades catalogadas como de impacto moderado o bajo cuyos identificadores se encuentran comprendidos entre el CVE-2019-17018 y CVE-2019-17023. Para una mayor información se recomienda consultar los boletines de Mozilla.
Todos los anteriores problemas de seguridad se han corregido con el lanzamiento de Firefox 72.0.1, Firefox ESR 68.4.1, y Thunderbird 68.4.1. Desde Hispasec recomendamos encarecidamente a los usuarios que actualicen sus instalaciones.
Más información:
Fuente: Hispasec

SAP. Actualización de seguridad de enero de 2020

SAP ha publicado varias actualizaciones de seguridad de diferentes productos en su comunicado mensual, catalogada de Importancia: 3 - Media
Recursos afectados:
1.   SAP Process Integration - Rest Adapter (SAP_XIAF), versiones - 7.31, 7.40, 7.50;
2.   SAP NetWeaver Internet Communication Manager, versiones:
a.   KRNL32NUC y KRNL32UC 7.21, 7.21EXT, 7.22 y 7.22EXT;
b.   KRNL64NUC y KRNL64UC 7.21, 7.21EXT, 7.22, 7.22EXT y 7.49;
c.    KERNEL 7.21, 7.22, 7.49 y 7.53;
3.   RTCISM, versión - 100;
4.   SAP Disclosure Management, versión - 10.1;
5.   Automated Note Search Tool (SAP Basis), versiones - 7.0, 7.01,7.02, 7.31, 7.4, 7.5, 7.51, 7.52, 7.53 y 7.54;
6.   SAP UI, versiones - 7.5, 7.51, 7.52, 7.53 y 7.54;
7.   SAP UI 700, versión - 2.0;
8.   SAP Leasing, versiones:
a.   (SAP_Appl) 6.18;
b.   (EA_Appl) 6.0, 6.02, 6.03, 6.04, 6.05, 6.06, 6.16 y 6.17;
Recomendación
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Detalle de actualización
SAP, en su comunicación mensual de parches de seguridad, ha emitido un total de 6 notas de seguridad y una actualización, siendo la actualización y 4 de las notas de severidad media y otra de las notas de severidad baja.
El tipo de vulnerabilidades publicadas se corresponde a los siguientes:
-       3 vulnerabilidades de falta de comprobación de autorización;
-       1 vulnerabilidad de suplantación de contenido;
-       1 vulnerabilidad de DoS (Denial of Service);
-       1 vulnerabilidad de XSS (Cross-Site Scripting);
-       1 vulnerabilidad de otro tipo.
Para estas vulnerabilidades se han reservado los siguientes identificadores: CVE-2020-6305, CVE-2020-6304, CVE-2020-6303, CVE-2020-6307, CVE-2019-0388 y CVE-2020-6306.
Más información
Fuente: INCIBE