PHP. Actualizaciones resuelven múltiples vulnerabilidades

PHP ha publicado las versiones 5.4.39, 5.5.23 y 5.6.7, que corrige múltiples fallos en distintos componentes del software, incluido el core, catalogados de Importancia:4 - Alta

Recursos afectados

1. Versiones de la rama 5.6 de PHP anteriores a la 5.6.7.
2. Versiones de la rama 5.5 de PHP anteriores a la 5.5.23.
3. Versiones de la rama 5.4 de PHP anteriores a la 5.4.39.

Detalle e Impacto de la vulnerabilidades

La actualización soluciona múltiples errores, entre los que destacan las siguientes vulnerabilidades:

• Uso de memoria ya liberada (Use After Free) en la función unserialize() que permite la ejecución de código de forma arbitraria. Esta vulnerabilidad tiene reservado el identificador CVE-2015-0231.
• Desbordamiento de pila en la extensión ERE que permite la ejecución de código de forma arbitraria mediante el envío de mensajes especialmente preparados. Esta vulnerabilidad tiene reservado el identificador CVE-2015-2305.
• Desbordamiento de enteros al abrir archivos ZIP con un alto número de entradas. Este desbordamiento provoca la escritura fuera de los limites de la pila y la parada de PHP. Esta vulnerabilidad tiene reservado el identificador CVE-2015-2331.

Recomendación

• Los sistemas con la rama 5.6 de PHP deben actualizar a la versión 5.6.7.
• Los sistemas con la rama 5.5 de PHP deben actualizar a la versión 5.5.23.
• Los sistemas con la rama 5.4 de PHP deben actualizar a la versión 5.4.39.

Más información

• PHP 5 ChangeLog http://php.net/ChangeLog-5.php

Fuente: INCIBE

WEBDAV NTLM. Elevación de privilegios local

Project Zero de Google ha publicado una prueba de concepto donde se demuestra una elevación de privilegios en instalaciones por defecto de Windows 7 y 8 a traves de WebDAV, catalogado de Importancia: 3 - Media

Recursos afectados

• Windows 8.1 Update
• Windows 7

Detalle e Impacto de la vulnerabilidades

• El servicio WebClient para WebDAV (el cual viene instalado por defecto) realiza autenticación NTLM cuando el servidor lo solicita, lo cual permite a un usuario local aprovechar esto para explotar un problema de reflexión de credenciales NTLM.

Recomendación

• Microsoft todavía no ha publicado ningún parche para esta vulnerabilidad.

Más información

• Local WebDAV NTLM Reflection Elevation of Privilege https://code.google.com/p/google-security-research/issues/detail?id=222

Fuente: INCIBE

FREAK. Casi el 10% de servidores poseen esta vulnerabilidad

A pesar de reducirse la cifra de forma considerable durante la última semana, la cifra de servidores que aún están afectados por esta vulnerabilidad sigue siendo muy alta, aunque el porcentaje pueda hacernos ver todo lo contrario. 

FREAK afecta a las claves RSA y en la actualidad casi más de dos millones de equipos aún siguen mostrando signos de debilidad ante este fallo de seguridad.

En el estudio realizado la pasada semana, de entre casi 23 millones de  direcciones IPv4 analizadas más de 2 millones ofrecieron resultados positivos ante una prueba que explotaba la vulnerabilidad FREAK. Aunque en este estudio se han centrado sobre todo en servidores, los investigadores también han querido destacar la importancia que supone la actualización del firmware de otros dispositivos de red, como por ejemplo los routers.

El módulo VPN de los routers afectado por FREAK

• El problema radica también en la reutilización de este módulo en varios dispositivos, algo que ha sucedido y que en la mayoría de las veces se ha hecho en el servicio mencionado con anterioridad. En una prueba se buscado la crackeo de una de estas claves y tras casi 7 horas el resultado fue satisfactorio, otorgando a los ciberdelincuentes unas ganancias teóricas de casi 100 euros.
• Evidentemente esta reutilización implica una reducción de costes, implicando un beneficio mayor. Sin embargo, de cara a la seguridad de los usuarios es un problema y así lo han demostrado estos investigadores.

Fuente: Softpedia

iOS y ANDROID. Unas 2.000 aplicaciones de estos SO. vulnerables a FREAK

Entre los más de dos millones de equipos aún vulnerables se encuentran las aplicaciones para dispositivos móviles iOS y Android, ya que estas también se encuentran afectadas por el fallo de seguridad.

Y es que de la misma forma que los servidores pueden poner en peligro los datos de los usuarios estas también permitirían la exposición de la información privada de los usuarios. Tras un estudio realizado entre 10.000 aplicaciones disponibles tanto en la Play Store como en la App Store, los expertos en seguridad han llegado a la conclusión de que 2.000 están afectadas por esta vulnerabilidad, invirtiendo apenas unas horas en romper el cifrado y suponiendo una inversión de apenas 94 euros en procesamiento.

Pero para encontrar la raiz del problema solo es necesario observar qué versión de OpenSSL han utilizado los desarrolladores, comprobando que todas las aplicaciones afectadas poseen una versión antigua y que evidentemente es vulnerable a este fallo de seguridad. Aunque de todas ellas es probable que muchas obtengan una solución, un número importante continuará utilizando la versión vulnerables, provocando que los datos de los usuarios queden expuestos en algún momento.

Acceso a contenido cifrado utilizando FREAK tanto para iOS como Android

• Contraseñas, nombres de usuario, compras, mensajes y así hasta una larga lista de datos que pueden verse afectados por el fallo. En lo referido a la aplicaciones que lo poseen, desde FireEye destacan que la mayoría están relacionadas con la gestión de contenidos multimedia, redes sociales,  mensajería y compras. Todas ellas manejan información más o menos importante y en todas ellas se utilizan versiones de OpenSSL afectadas por el problema.
• También destacan que en el caso de iOS una gran parte de las aplicaciones han migrado a Apple Secure Transport, afectada en un primer momento pero que a día de hoy ya esta actualizada y libre de cualquier anomalía en la protección de los datos.
• Alertan sobre una tendencia que se repite y es cada vez más frecuente: la no actualización de las aplicaciones. Esto quiere decir que aunque la app pueda sufrir cambios y recibir mejoras, los módulos de los que hace uso y pertenecen a terceros no reciben ningún tipo de actualización, convirtiendo la aplicación en vulnerable.

Fuente: Softpedia

SERVIDORES. Disponible la vesión OpenSSH 6.8

Los responsables de OpenSSH han publicado una nueva actualización de esta herramienta, correspondiente a la versión 6.8, y se trata de una actualización de gran tamaño que incluye al mismo tiempo solución de errores detectados desde la versión anterior y nuevas funciones y características que mejoran el rendimiento y garantizan una mayor seguridad en las conexiones cliente-servidor.

OpenSSH es uno de los servidores más utilizados para establecer conexiones remotas a través del protocolo SSH. Este servidor se caracteriza por ser totalmente abierto y seguro (su naturaleza de código abierto garantiza que está libre de puertas traseras), aunque últimamente se han detectado algunas vulnerabilidades considerables que han obligado a los desarrolladores a actualizar la herramienta lo antes posible para evitar ataques masivos contra estos servidores.

Novedades del nuevo OpenSSH 6.8

Algunas de las novedades más relevantes que llegan con este nuevo lanzamiento son:

• Numerosos cambios internos del código para facilitar el uso de la herramienta como una librería.
• Cambios en las huellas digitales para ssh y sshd cambiando el algoritmo por defecto de MD5 a SHA256 y el formato hexadecimal a base64.
• Mejoras en la seguridad de los servidores al soportar la rotación de claves en el equipo host.
• Posibilidad de configurar el tipo de clave pública que se va a utilizar mediante la opción ‘HostbasedKeyType’
• Se eliminan los problemas al utilizar claves de diferentes longitudes.
• Se analizan los nombres de host como direcciones para evitar búsquedas innecesarias en el DNS.
• Posibilidad de recordar las claves públicas ya utilizadas y las bloquea para evitar conexiones de nuevo.
• Ahora las autenticaciones parciales no cuentan como fallo de autenticación.
• Fallos solucionados en la nueva actualización de OpenSSH 6.8

También se han solucionado una serie de errores y problemas detectados desde la versión anterior de esta herramienta de conexión remota segura como:

• Se ha mejorado la seguridad del ssh-keyscan para evitar que pueda verse vulnerado.
• Solucionado un problema al aplicar un cambio de configuración de puerto.
• Solucionado un problema al pasar direcciones entre el cliente y el servidor cuando la multiplexación estaba en uso.
• Solucionado un fallo de conversión de clave para los formatos diferentes a OpenSSH.
• Solucionado un fallo en KRL al trabajar con varios certificados a la vez.
• Corrección de errores en el manual de usuario.

También se han añadido algunos cambios menores en la versión portable de OpenSSH eliminando dependencias, mejorando la configuración del servidor y solucionando un problema al trabajar con direcciones IPv6.

Fuente: Web oficial de OpenSSH

VAULTCRYPT. El ransomware que utilizan GnuPG para cifrar los archivos

VaultCrypt es un nuevo ransomware que amenaza a los usuarios a través de Internet. 

A grandes rasgos el funcionamiento de este software malicioso es igual al de cualquier otro, es decir, llega a los usuarios a través de engaños o correos electrónicos no deseados y cuando se ejecuta cifra o “secuestra” los archivos de las víctimas, pidiendo posteriormente un rescate por ellos. Sin embargo, a nivel interno sí que cambian varias características de esta herramienta, que la hacen más peligrosa de lo que parece.

La naturaleza de este nuevo ransomware no es tan compleja como la de los conocidos CryptoLocker y CryptoWall, sin embargo, no por ello es menos peligroso. Este ransomware no muestra ningún tipo de mensaje al usuario de que sus archivos se han visto comprometidos hasta que intenta acceder a alguno de los archivos afectados. Durante el cifrado se utilizan claves de 1024 bits, que son completamente eliminadas del sistema y sobrescritas hasta 16 veces para evitar su recuperación.

Las secuencias del ransomware se ejecutan mediante un fichero de lotes de Windows junto con scripts VBS para las rutinas. La eliminación del malware y de las claves se realiza mediante la herramienta Microsoft SDelete.

Cifrar los archivos no es suficiente para los piratas informáticos, por lo que este malware también descarga de forma remota un troyano llamado ssl.exe que es utilizado para robar todo tipo de credenciales del sistema de la víctima y poder tener así también el control del sistema afectado.

Gracias a que los archivos originales no se eliminan de forma completa, es posible recuperar parte de ellos utilizando herramientas libres de análisis forense. De todas formas, la mejor opción para recuperar los archivos es restaurar una copia de seguridad previamente creada o, de no tenerla, aprender la lección ya que el pago del rescate (1 bitcoin) no garantiza que vayamos a recibir la clave de recuperación.

Fuente: Softpedia

LINUX MINT DEBIAN EDITION 2. Nuevo sabor de Linux basado en Debian

La compañía ha anunciado el lanzamiento de las primeras Release Candidate de su nuevo sistema operativo basado en Debian, LMDE 2, también llamado “Besty”. Este nuevo sistema operativo se basa en Debian 8.0 y viene por defecto con el kernel 3.16 de Linux y dos escritorios diferentes a elegir: MATE 1.8.1 o Cinnamon 2.4.6.

Linux Mint es un sistema operativo basado en Linux muy utilizado en los sistemas de escritorio debido a su sencillez de uso y alto rendimiento. Este sistema operativo dispone de dos versiones principales, la Linux Mint original, basada en Ubuntu y con un escritorio y unos ajustes específicos de la compañía y Linux Mint Debian Edition (LMDE), desarrollada para llevar el potencial de un sistema Debian puro a los usuarios de la forma más sencilla posible.

El software que viene por defecto con este sistema operativo (Gimp, VLC, Firefox, LibreOffice, etc) también ha sido actualizado a la versión más reciente de cada una de ellas. Con las aplicaciones por defecto de este sistema operativo un usuario puede hacer un uso convencional del sistema operativo sin tener que instalar ningún tipo de software adicional, por ejemplo, navegar por Internet, reproducir contenido multimedia y trabajos de ofimática. Para otras funciones es necesario instalar software adicional desde los repositorios de este sistema operativo o desde los paquetes previamente compilados para este sistema operativo libre. LMDE es totalmente compatible con todo el software desarrollado para la versión original del sistema libre.

Los responsables de Linux Mint no han hecho muchas más declaraciones sobre el lanzamiento de esta nueva versión ni han facilitado más novedades de las mencionadas anteriormente. Por el momento los usuarios que quieran probar este nuevo sistema operativo pueden hacerlo descargando las versiones Release Candidate desde su página web principal:

• LMDE2 Release Candidate MATE
• LMDE2 Release Candidate Cinnamon

Estas versiones nos van a permitir tener una pequeña toma de contacto con lo que va a ser la segunda versión de LMDE, aunque por el momento no se sabe la fecha exacta en la que el sistema operativo alcanzará su versión “estable”.

Fuente: La mirada del replicante

VULNERABILIDAD. Plugin Google Analytics de Yoast para WordPress afectado por ataques XSS

En esta ocasión es el complemento Google Analytics el que posee vulnerabilidades importantes. Expertos en seguridad han detectado que este es susceptible a sufrir ataques XSS, permitiendo que una tercera persona pueda ejecutar de forma remota código PHP en el servidor.

La ejecución de código en el lado sel servidor siempre resulta peligroso, y en esta ocasión no es una excepción, ya que permitiría por ejemplo la contraseña del administrador de la página, crear nuevos perfiles de usuarios con permisos totales o cualquier otras acción que podamos imaginar.

El ataque se puede realizar de forma satisfactoria siempre que exista en el sistema un usuario que esté en ese mismo momento logueado en el panel de control. Al igual que ocurrió con el anterior complemento, la reputación es un problema ya que el número de usuarios que posee una versión afectada por el problema asciende a más de un millón de sitios web.

La falta de una actualización para Google Analytics se puede convertir en un problema

• Hasta este momento no existe ningún reporte relacionado con este error, indicando que por el momento no existe una utilización por parte de los ciberdelincuentes, o al menos de forma masiva. La urgencia de una actualización es evidente y varios investigadores confían en una oleada de robos de perfiles de usuario de WordPress si no se consigue un parche.
• En lo referido a qué versión está afectada, se ha determinado que las versiones 5.2 y 5.3 están afectados, por lo tanto las anteriores es casi seguro que también lo estén. Sin embargo, la publicación de la 5.3.3 permite a los usuarios resolver el problema, instando a actualizar para evitar problemas de seguridad derivados de estos, ya que a día de hoy ya se han localizado manuales en diversos foros donde se explica cómo explotar la vulnerabilidad de forma correcta.

Fuente: Softpedia

LINUX. El soporte extendido de Ubuntu 10.04 termina el 30 de abril

A partir del 30 de abril, la versión 10.04, que generalmente es utilizada en servidores, quedará expuesta ante posibles amenazas y será objetivo de piratas informáticos que podrán llegar a hacerse con el control del sistema si se descubre alguna vulnerabilidad importante.

Ubuntu es un sistema operativo basado en Linux utilizado de forma masiva en servidores aunque algo escaso en sistemas de escritorio. Generalmente cada 6 meses se publican nuevas versiones de este sistema operativo que cuentan con un soporte de 9 meses, tras los cuales, los usuarios deben actualizar para seguir estando seguros, recibiendo actualizaciones y disfrutar de las novedades de estas versiones. Cada 2 años se lanza una nueva versión LTS que cuenta con 5 años de soporte garantizado.

Si un administrador de sistemas instaló en un equipo o un servidor Ubuntu Server 10.04 LTS, en poco más de un mes esta versión llegará al final de su ciclo de vida y quedará abandonada y sin recibir nuevas actualizaciones de seguridad, siendo vulnerable a posibles fallos de seguridad que puedan aparecer a partir de ese momento. Todos los usuarios que aún utilicen esta versión del sistema operativo libre deberán actualizar lo antes posible a alguna de las versiones LTS que aún cuentan con soporte (12.04 o 14.04) o a la versión más reciente de este sistema operativo, Ubuntu 14.10.

Para actualizar a una versión más reciente con soporte no es necesario formatear y re-configurar todo el servidor, simplemente debemos teclear desde el terminal:

• sudo apr-get update
• sudo apt-get upgrade
• sudo apt-get dist-upgrade

Si queremos actualizar a una versión concreta también podemos seguir las instrucciones que nos facilita Canonical.

Fuente: Redeszone.net

WPS. Los ataques al WPS (Wi-Fi Protected Setup) de forma offline ya son posibles

El WPS (Wi-Fi Protected Setup) de los dispositivos inalámbricos entre los que destacan routers y puntos de acceso, es una característica incorporada en el estándar 802.11N para facilitar la conexión de los clientes inalámbricos a estos equipos, sin necesidad de introducir largas contraseñas de acceso.

 WPS además permite sincronizar los equipos de forma automática durante 60 segundos con tan sólo presionar un botón en cada dispositivo (router o AP y cliente inalámbrico).

Años después se descubrió una grave vulnerabilidad que permitía crackear el código PIN del WPS, por lo que cualquier atacante ya no necesitaría crackear una contraseña WPA o WPA2 con muchos caracteres, sino que simplemente podría realizar un ataque de fuerza bruta contra el WPS que tiene tan sólo 8 dígitos. 

Ahora se ha descubierto un método para realizar ataques contra el WPS de los routers sin necesidad de que el router de la víctima esté encendido para realizar un ataque por fuerza bruta, de esta forma basta con capturar el intercambio de paquetes en un primer intento y posteriormente de manera offline crackear la contraseña. 

Este método será mucho más rápido que de forma “online” debido a que no habrá que probar cientos de PIN contra el router, por lo que ahorraremos mucho tiempo. Anteriormente se descubrió esta posibilidad en el WPS de equipos Broadcom pero parece ser que se ha descubierto un método para hacerlo en otros chipsets. 

Fuente: Redeszone.net

SYNKRON. Herramienta de copias de seguridad gratuita y multiplataforma

Es de vital importancia tener siempre una copia de seguridad a mano, por lo menos, de los datos más importantes (fotografías, documentos, etc) de manera que ante un desastre podamos recuperarlos sin mayor dificultad y sin tener que lamentarnos por la pérdida.

Para que un programa de gestión de copias de seguridad sea eficaz debe cumplir con una serie de características:

• Posibilidad de programar copias de seguridad y de crearlas manuales.
• Posibilidad de sincronizar directorios en una o dos direcciones.
• Filtros para incluir/excluir resultados.
• Debe sincronizar archivos en uso, no omitirlos.
• Posibilidad de soportar todo tipo de unidades (internas, externas, de red, etc) donde guardar los resultados.
• No debe tener límite de archivos ni de uso.

SYNKRON

• Es una aplicación gratuita y de código abierto que es compatible tanto con sistemas Windows como con Linux y Mac OS X que cumple con todas las características mencionadas anteriormente.
• El uso de Synkron es muy sencillo. Para realizar una copia de seguridad rápida y sencilla lo único que debemos hacer es seleccionar la carpeta de origen y la de destino en el programa y pulsar sobre el botón “Sincronizar” para que comience la copia. A partir de aquí podemos añadir más directorios para crear múltiples copias, programarlas, añadir archivos o excluirlos de las copias, etc. Synkron es una herramienta muy versátil, por lo que se adapta a las necesidades de la mayor parte de los usuarios sin complicar su uso diario.
• Los únicos puntos negativos de esta herramienta son la falta de una versión “portable“, la carencia de verificación de las copias (para asegurarnos de que se han realizado correctamente) y la ausencia de versionado (varias versiones de un único archivo), por lo demás es sin duda una de las herramientas más potentes, gratuitas y multiplataforma desarrolladas para crear y administrar copias de seguridad de nuestros archivos más importantes.

Descargas

• Podemos descargar la versión más reciente de esta herramienta desde su página web principal http://synkron.sourceforge.net/

Fuente: Redeszone.net

Spybot Search & Destroy 1.6.2 permite la escalada de privilegios

Expertos en seguridad han detectado que Spybot Search & Destroy.en  la versión 1.6.2  podría permitir la escalada de privilegios.

Aunque es una versión antigua (en la actualidad ya está disponible la 2.4) los expertos en seguridad que han descubierto el problema añaden que más versiones intermedias entre ambas podrían estar afectadas. La última disponible en un principio soluciona el problema de forma definitiva, instando a los usuarios poseedores de versiones anteriores a actualizar a la versión más actual del software.

Hablando del problema de seguridad, el servicio de Windows afectado por este es SBSDWSCService, asociado a la suite de seguridad tal y como cabía esperar, y sirviendo como ayuda a los ciberdelincuentes. Sin embargo, el uso de esta vulnerabilidad no resulta tan sencilla como parece.

Cómo explotar la vulnerabilidad en Spybot Search & Destroy

• Resulta fundamental conocer las credenciales de acceso de un usuario cualquiera del sistema, no es necesario que este sea administrador. Partiendo de este requisito, la aplicación posee un fallo de seguridad que permite utilizar un cuadro de texto, destinado en un principio a servir como campo de búsqueda, para introducir código en su interior. De esta forma, se puede configurar la ejecución de este código cada vez que la aplicación se utilice o durante por ejemplo la realización de un análisis.
• Recurriendo al proceso y a sus permisos de administrador los ciberdelincuentes podrían realizar descargas de archivos malware e instalaciones de forma totalmente remota sin que el usuario fuese consciente de este aspecto, algo que se puede solucionar, tal y como ya hemos dicho,  instalando la versión 2.4 de Spybot Search & Destroy.

Fuente: exploit-db

ESPAÑA. ¿Qué operadores poseen la mejor velocidad de subida con conexiones XDSL?

La velocidad de subida se han convertido en un problema para los usuarios, y ante la ausencia de cobertura FTTH, son muchos los que se preguntan cuál es le mejor conexión de cobre.

Sin embargo, determinar cuál sería la óptima resulta también bastante complicado y si antes comparábamos la fibra óptica como un bien escaso, ahora nos toca hablar del VDSL, una tecnología que posee mucha más presencia en las centrales, incluso de aquellas con menos de 5.000 habitantes pero que posee un gran problema: la distancia. Conforme nos alejamos de la central en lo referido a metros de cable, la calidad es mucho peor y la contratación se limita a aquellos usuarios que se encuentran a menos de de 1 kilómetro, dependiendo también de los valores de atenuación y ruido de la línea (en casos desfavorables podría rechazarse la instalación incluso a 500 metros de distancia).

Pasando a hablar de las modalidades ofertadas sobre ADSL2+, poco podemos decir, ya que la velocidad máxima ofrecida recurriendo a estas no separa los 800 Kbps, por lo tanto, contratar un servicio que use esta modulación es mantener la situación en la que nos encontramos con total seguridad en la actualidad.

Vodafone y Jazztel y sus conexiones VDSL

• El VDSL de la segunda ya es conocido por una amplia mayoría, ofreciendo 3 Mbps de subida, un alivio para muchos usuarios, sobre todo a la hora de subir vídeos a Youtube. Pasamos de un extremo a otros, ya que el VDSL de Vodafone (conocido como ADSL Turbo) no está muy promocionado en comparación al primero, sin embargo, ofrece 3,5 Mbps de subida
• Una velocidad que está lejos de los 10 Mbps que poseen las conexiones FTTH de Movistar pero que sirve para paliar las carencias sufridas hasta el momento. 
• Contratar ambas modalidades supone la inclusión de llamadas gratis a fijos y móviles, obteniendo un precio final de 42,23 euros en el caso de Jazztel y 35,20 euros en el caso de Vodafone.

Oceans VDSL: 3 Mbps de velocidad de subida

• De momento es el gran desconocido pero las primeras ofertas haciendo uso de NEBA llevan al menos un año disponible. Oceans es uno de las operadores que revende los servicios de Movistar recurriendo a NEBA, planteándose como una buena oportunidad si queremos contratar VDSL con más de 1 Mbps de subida, velocidad que ofrece Movistar a sus usuarios. El motivo por el que esta operadora ofrece 3 Mbps es porque revende la modalidad VDSL ofrecida por Movistar a empresas.
• Si queremos disponer de más de 1 Mbps de subida utilizando conexiones de cobre estas son sin lugar a dudas las mejores opciones, o al menos algunas.

Más información

• Comparativa ofertas ADSl, VDSL y FTTH   http://www.adslzone.net/comparativa.html

Fuente: Redeszone.net

FACEBOOK. Comprometidas fotos privadas de sus usuarios por vulnerabilidad del sistema

 Un investigador llamado Laxman Muthiyah ha descubierto una vulnerabilidad en Facebook que es capaz de mostrar nuestras fotos privadas. Aunque la mayoría de los usuarios de la red social no sean conscientes, Facebook tiene la capacidad de sincronizar las fotografías que guardamos en la galería de nuestro teléfono con la página de Zuckerberg.

   Estas imágenes se guardan en un álbum privado al que supuestamente sólo nosotros podemos acceder y en donde podemos elegir las fotos que queremos mostrar a nuestros amigos o las que es mejor que no conozcan la luz.

    No obstante y según informa este investigador en su propio blog personal, hay un fallo en el sistema que permite utilizar cualquier otra aplicación ajena a la red de Mark Zuckerberg para abrir nuestros álbumes privados. "El servicio de Facebook comprueba únicamente el propietario del token de acceso, pero no constata qué aplicación es la que hace la solicitud", ha explicado en su blog.

   De este modo, cualquier aplicación con el permiso "user_photos" sería capaz de leer las fotografías de nuestro móvil. Al parecer, el problema ya ha sido solucionado y Facebook ha pagado 10.000 dólares a este investigador por descubrir la vulnerabilidad.

   No es la primera vulnerabilidad que descubre Muthiyah y es que el pasado mes de febrero encontró un fallo que permitía borrar cualquier foto o álbum de los usuarios que se conectaran a través de su smartphone a la red social. Muthiyah comunicó rápidamente a Facebook el 'bug' y la compañía le respondió sólo dos horas después informándole de que ya había solucionado el fallo y ofreciéndole 12.500 dólares por haberlos ayudado.

Fuente: Europa Press

PYMES. Cada vez más alejados de la realidad móvil : El 78% cerece de alguna solución o aplicación móvil

Los dispositivos móviles han revolucionado el panorama del comercio electrónico hasta el punto de que han generado un nuevo concepto y fórmula de negocio a través del cual se canalizan estas operaciones: el mobile commerce, pero esta influencia de los dispositivos móviles entre los usuarios y el potencial de negocio para las empresas no está calando entre las pequeñas y medianas empresas (pymes).

Es lo que se desprende de un sondeo realizado este mismo mes por Endurance Internacional Group, en el que se subraya que a pesar de que las pymes reconocen el efecto que los dispositivos móviles pueden tener en sus respectivos balances por el momento no se han puesto las pilas para adherirlos a sus estrategias de marketing. Y es que el 78% de los encuestados señalaron que sus empresas no contaban con una app. Sin embargo, dentro de este porcentaje de encuestados, el 71% reconoció que contar con una solución móvil de estas características tendría un impacto positivo en su negocio.

Factores esgrimidos por las pymes para justificar la carencia de estas tecnologías

La falta de experiencia, tiempo y dinero se constituyen como los factores más determinantes en este sentido. Así, entre las empresas que dijeron que no contaban con una app, la mitad de ellas argumentó esta falta en el hecho de que no sabían cómo construir una.

En paralelo, una cuarta parte de los encuestados señalaron que se encontraban demasiado ocupados gestionando sus negocios como para desarrollar y mantener una aplicación móvil. Por su parte, aquellos que señalaron que el dinero les suponía un problema se contabilizaban también en torno al 25% de los encuestados. Estos dos indicados fueron aludidos también por un 37% de los preguntados, pues citaron al tiempo y a los recursos como sus principales retos a superar en el futuro en lo que a su estrategia online se refiere.

Ritmo lento de penetración

• Los resultados de esta investigación no son los únicos que constatan el "divorcio" que existe entre las pymes y el mobile commerce. Así, una investigación llevada a cabo por Xero y Zogby Analytics en diciembre de 2014 señaló como principal conclusión que únicamente el 20,9% de estas organizaciones utiliza apps de su negocio como estrategia de marketing.
• La cifra es algo superior a la experimentada el mes anterior, cuando una investigación de vCita señaló que solo el 10% de las pymes gestionaban su estrategia móvil a través de una aplicación de estas características. Un bajo porcentaje entre estos negocios que mueve a la reflexión en torno a la penetración de los dispositivos móviles y su escasa incidencia dentro de las organizaciones que más beneficiadas se pueden ver de este tipo de tecnología.

Buenas expectativas de futuro

• Sin embargo, a pesar de los bajos niveles registrados en la actualidad, las apps tienen visos de convertirse en una potente herramienta de marketing para este tipo de empresas. Así, la mayoría de las empresas (50%) encuestadas señaló que tenía en mente invertir en este tipo de tecnología en un plazo medio inferior a doce meses. Por su parte, el 22% dijo que empezaría a incorporar esta tecnología en el plazo de uno o dos años y el 14% que tardaría aún más, al menos dos o tres años. Del mismo modo, un 16% dijo que no tenía pensado incorporar una app a su negocio nunca.
• Una vez que esta apuesta se materialice, las pymes centrarán su inversión móvil en apps que cuenten con una variedad de características. Así, las respuestas mayoritarias de estas empresas pusieron de manifiesto que buscarían la compatibilidad entre los dispositivos móviles y las plataformas tradicionales. Del mismo modo, también se mostraron preocupados en sintonizar los contenidos entre ambos tipos de pantallas y canales de venta. Asimismo, solicitaron que estas apps sean fáciles de administrar y de personalizar por su propia cuenta.

Fuente: puromarketing.com

EL TIEMPO. Indicador más influyente en la tasa de conversión de un ecommerce

Un  informe publicado por la compañía ChartBeat hace referencia a la incidencia que tiene entre los ecommerces la evolución de su tasa de conversión.

En dicho informe se llega a la conclusión que si bien la mayoría de empresarios y emprendedores reconocen el valor del tiempo de exposición activa de los usuarios ante una página web o un contenido multimedia, estos no son realmente conscientes de hasta qué punto la cantidad de segundos que sus estrategias puedan lograr retener la atención de los internautas se traducirán en un aumento de sus ventas.

Ello se debe, subraya el informe "The Four Data Science Studies Brands Are Putting Their Money Behind", a que si las tiendas online conocieran la cantidad de tiempo que los usuarios están utilizando en ver sus contenidos, estas podrían determinar el grado de eficiencia de sus campañas. Pero no solo eso, ya que el documento agrega que saber de antemano esta cifra también les facilitaría conocer si un consumidor dado cuenta con probabilidades de volver a visitar su negocio online.

Del mismo modo, este documento revela que medir el tiempo que los usuarios activos pasan en un determinado comercio electrónico permite a sus responsables tener la capacidad de saber cuáles son las estrategias que generan tráfico web útil y rentable de aquellos esfuerzos en marketing que generan visitas que no se van a traducir en compras.

El estudio se ha focalizado en analizar el grado en que las métricas basadas en la atención hacia las marcas están ayudando a los ecommerces a alcanzar sus objetivos de marketing y señala además que existen otros indicadores sobre los que el tiempo influye directamente, y por extensión, en la tasa de conversión de las tiendas online. Unos factores en los que entran en juego la memoria de los receptores, el entendimiento del mensaje y la percepción global de la marca.

 De la memoria al entendimiento

• En este sentido, el aumento de la tasa de conversión, según ChartBeat, también viene determinado por la memoria de los usuarios y, en concreto, por el grado de recuerdo que pueden tener de la marca. Y es que según revela este estudio, el compromiso es mayor si los usuarios recuerdan una marca determinada.
• De hecho, e hilvanando este indicador con el tiempo de exposición de los internautas, el estudio revela que las campañas de registran mayor tasa de conversión es porque los usuarios están expuestos a mayor tiempo de exposición de los contenidos de la marca, ya que en un 79% de los casos manifestaron una mayor capacidad de recordar un ecommerce determinado.
• En paralelo, esta compañía establece una relación entre el tiempo de exposición y la mejor comprensión por parte de los usuarios de las ofertas y contenidos que las marcas les ofrecen en Internet. Un mayor entendimiento generado a través del tiempo que genera conciencia en el usuario sobre una marca dada, lo que le permite a esta poder diferenciarse del resto de empresas de la competencia.

Tiempo y percepción

• Por último, la investigación llevada a cabo por ChartsBeat sostiene que el tiempo de exposición de los usuarios también condiciona la percepción que estos tienen de una marca determinada. Así, se muestran convencidos de que a mayor cantidad de tiempo de exposición, mayores son las probabilidades de que un ecommerce tenga una percepción favorable por parte de los usuarios.
• En este sentido, señalan que el 48% de los usuarios que muestran una atención al contenido de una marca de más de un minuto de duración tienen una opinión favorable en torno a esa marca. Por el contrario, subrayan, solo el 33% de los usuarios que están menos de 15 segundos expuestos al mismo contenido señalaron tener una opinión favorable de la marca.
• Asociaciones que nuevamente destacan la importancia del tiempo a la hora de determinar la tasa de conversión de este tipo de iniciativas de comercio online y, por extensión, sus planes de futuro.

Fuente: puromarketing.com

TWITTER. Pretensiones de aumento de negocio vendiendo datos sobre los consumidores

Una de las principales fuentes de información sobre los consumidores en el día de hoy son las redes sociales.

Los entornos social media permiten tomar el pulso de lo que están sintiendo, de lo que esperan y de sus pulsiones y son una rica fuente de información sobre el estado de los ciudadanos, que además se actualiza de forma automática y que está en todo momento a la última de lo que está ocurriendo. No hay más que ver qué ocurre cuando pasa algún suceso: lo primero que hacen los ciudadanos es ir a Twitter a ver qué está ocurriendo y a dar sus opiniones y experiencias sobre los hechos.

En el caso de Twitter, los consumidores han producido ya billones de tuits (billones españoles, trillones anglosajones: en definitiva mucha información), lo que ha permitido a la compañía acumular mucha información sobre cómo son los ciudadanos y lo que quieren. Y ahora esa información está en venta: cualquiera compañía puede usarla siempre que pase por caja.

El uso de la información que acumula Twitter en sus bases de datos es ahora mismo una parte muy reducida de lo que la red social factura cada año. En 2014, la venta de datos supuso solamente 70 millones para la multinacional (frente a unos ingresos de 1.300 millones de dólares). En el futuro, como adelanta The Guardian, que ha hablado sobre el negocio de la información con uno de los directivos de la compañía, la situación podría cambiar. Twitter quiere hacer más caja con la información.

Los usos de los datos

• Desde que Twitter ha empezado a hacer caja con los datos, la información se ha ido empleando para diferentes cosas. Los usos académicos suelen ser los que consiguen grandes titulares en los medios y han conseguido ya algunas conclusiones llamativas. Twitter ha ido cerrando acuerdos con algunas instituciones académicas para darles acceso a la información sin coste. Así se han estudiado cosas como por ejemplo los sentimientos que despiertan entre los consumidores los salarios de los jugadores de fútbol. Pero aunque esto consigue titulares y llamar la atención, en donde están los beneficios es en el uso de los datos con intereses comerciales.
• La información puede servir para vender anuncios más eficaces. Los datos de Twitter se cruzan con otras fuentes de información (como puede ser el establecer quién es quién empleando el mail para unir identidades en otros soportes) y puede crear anuncios personalizados. El ejemplo que pone Moody es el de una empresa de seguros que sabe que tu seguro del hogar está a punto de expirar: puede enviarte un tuit con ofertas adecuadas.
• Por otra parte, los datos de Twitter se integran con los servicios de otras compañías. La información que puede salir de la red social ha entrado a formar parte de los productos que ofrecen gigantes del software de gestión y de análisis como IBM, Oracle o Salesforce, que reempaquetan los datos y los sirven siguiendo los intereses de sus usuarios específicos.
• IBM acaba de hecho de presentar el producto en el que las empresas pueden acceder de una forma eficiente a los datos que maneja Twitter. Como explicaban en una nota de prensa, la idea es que las empresas puedan emplear este producto para tomar decisiones basándose en lo que está ocurriendo en Twitter. Así, por ejemplo, pueden crear aplicaciones sociales basadas en los datos, realizar análisis predictivos o tomar los datos de Twitter para responder a preguntas concretas sobre sus necesidades de negocio.
• Los datos permiten descubrir cosas sorprendentes, como por ejemplo que el mal tiempo tiene un efecto sobre las bajas en las empresas de telecomunicaciones (cuando hace mal tiempo los consumidores tienden a quejarse más de sus servicios) o que el cambio de empleados puede hacer que los clientes de siempre de los restaurantes dejen de ir a comer a ellos.

¿Cuánto cuesta acceder a esta información y tener acceso a los tuits?

• Si se toma el producto de IBM y lo que les cobra a las empresas por emplearlo cada mes, se puede tener una visión aproximada de por cuanto salen los datos. Acceder a los datos de Twitter cuesta aquí 2.000 dólares al mes.

Fuente: puromarketing.com

TWITTER e IBM. Lanzan servicio conjunto para analisis de datos en la red social

Ambas compañías han anunciado que han puesto a disponibilidad de sus usuarios el primer servicio en la nube que permite a profesionales y desarrolladores obtener información y sacar una visión en conjunto de su negocio a partir de los datos con los que cuenta la red social de microblogging más extendida del mundo.

Este nuevo servicio ha sido utilizado por una muestra de cien clientes en su fase de prueba. Durante la misma, han confirmado en un comunicado ambas empresas, se les ha permitido incorporar los datos objetivos de la plataforma social en sus procesos de tomas de decisiones futuras.

La decisión de IBM llega después de muchas habladurías en torno al lanzamiento de esta compañía de un servicio en la nube de las características del que ahora acaba de anunciar. No obstante, según explican sus propios responsables, la inclinación por Twitter se debe a que se trata de una fuente de información única en el mundo, ya que se ha configurado como la única plataforma de información conversacional, pública y en tiempo real, donde las personas de todo el mundo pueden hablar de todo tipo de temas.

Una argumentación, sin lugar a dudas, muy formal, pero que implica otras connotaciones. Entre ellas, señalan desde IBM, que lo importante en la era de la comunicación 2.0 no es solo escuchar las conversaciones que tienen los clientes de una determinada marca, sino discernir el ruido del contenido importante de estos.

Una tarea para la que IBM se ha sumergido en las redes sociales a través de Twitter, pues ayuda a las empresas a separar el ruido de la información realmente relevante. Para ello, esta compañía señala que a partir de ahora ayudará a conseguir a las empresas este objetivo enriqueciendo los datos de Twitter.

¿Cómo lo hará exactamente?

• En primer lugar procederá a realizar una combinación de los mismos con datos de otras fuentes públicas o de la misma empresa, como la información de las ventas o los catálogos de productos.
• A partir de ahí establecerá cuáles son las correlaciones de categorías que mejor resultados ofrecen a los usuarios de Twitter. Ello se debe, indican desde IBM, a que la mayoría de las decisiones de los negocios se basan en datos internos, tales como las ventas o las promociones. Unos indicadores a los que las empresas, gracias a ellos y a Twitter, pueden incorporar el feedback de los clientes.

Tres tipos de servicios de análisis

• Así, IBM ha lanzado un total de tres servicios a partir de los cuales poder mejorar los análisis de datos de las empresas. El primero de ellos busca crear aplicaciones sociales. Es decir, permite a los desarrolladores y empresarios buscar, explorar y bucear en el contenido de Twitter a través del servicio Insight for Twitter que suministra la plataforma Bluemix.
• Del mismo modo, el servicio de IBM permite cruzar análisis predictivos complejos con los datos que Twitter le proporciona. Lo hace de manera fácil: automatizando los pasos de custodia de la información y mediante el storytelling visual. Ello permite dar a los profesionales de un negocio la capacidad de incluir los datos de cualquier producto o servicio con el fin de identificar patrones ocultos y relaciones para acelerar la comprensión sobre los comportamientos de la audiencia.
• Finalmente, la tercera función que permite realizar IBM es quizá la más relevante: la simplificación de los datos de Twitter. Para ello lleva a cabo algunas configuraciones, tales como BigInsights en Cloud. A través de la misma los usuarios de Twitter pueden combinar la información de esta red social con la oferta de Hadoop as a Service Enterprise.
• Por el momento, son más de 4.000 los profesionales de IBM que tienen acceso a tal información y se encuentran facultados para enriquecerla analíticamente bien a través de las soluciones industriales de la compañía, bien por medio de los servicios de la nube. Una alianza que tiene visos de contar con mucho futuro por delante.

Fuente: puromarketing.com

WIKIPEDIA. Demandará a la NSA por el servicio de vigilancia masiva

Wikimedia Foundation, la organización sin fines de lucro que mantiene la enciclopedia online Wikipedia, presentará una demanda contra la Agencia de Seguridad Nacional y el Departamento de Justicia de Estados Unidos, retando así al programa de vigilancia masiva del gobierno.

La demanda, que se prevé sea presentada el martes, alega que el servicio de vigilancia masiva de la agencia sobre el tráfico de internet en Estados Unidos -también llamado vigilancia Upstream- viola la primera enmienda de la Constitución, que protege la libertad de prensa y asociación, y la cuarta, que va contra búsquedas e incautaciones inaceptables.

El programa Upstream de la Agencia de Seguridad Nacional (NSA, por su sigla en inglés) captura las comunicaciones con "personas no estadounidenses" con el objetivo de obtener información de inteligencia extranjera.

"Al golpear la columna vertebral de internet, la NSA está presionando a la columna vertebral de la democracia", dijo la directora ejecutiva de Wikimedia Foundation, Lila Tretikov, en una nota publicada en su página web.

"Wikipedia está basada en las libertades de expresión, investigación e información. Al violar la privacidad de los usuarios, la NSA está amenazando la libertad intelectual, que es el valor central para crear y entender el conocimiento", añadió.

Las prácticas actuales de la NSA exceden la autoridad que le otorgó en 2008 la ley vigilancia de inteligencia extranjera, dijo Wikimedia.

"Estamos pidiendo al tribunal que ordene el fin de la vigilancia de la NSA sobre el tráfico de internet", escribió el fundador de Wikipedia, Jimmy Wales, en un artículo de opinión en el diario New York Times.

Wikimedia y otras ocho organizaciones que han presentado la demanda, incluidas Human Rights Watch y Amnistía Internacional, estarán representadas por la Unión Estadounidense por las Libertades Civiles.

Fuente: Reuters

BLACKPHONE 2. El smartphone a prueba de cazarecompensas.

La compañía de seguridad cibernética Silent Circle se ha propuesto acabar para siempre con el hackeo en el terreno smartphone con Blackphone 2, un teléfono ultra-seguro que es, en palabras de la compañía, "a prueba de la NSA (Agencia de Seguridad Nacional de EE.UU.)". Cualquiera que quiera hacerse con él lo tiene fácil ya que se encuentra ya disponible a un precio de venta de 649 dólares.

   Este nuevo teléfono sigue la estela marcada por su hermano mayor, Blackphone, en cuyo desarrollo participó la compañía española Geeksphone. Esta segunda generación comparte la estética básica del anterior modelo aunque cuenta con una pantalla Full HD de 5,5 pulgadas.

   El Blackphone 2 funciona con una versión modificada y más segura de Android llamada PrivatOS que ya estaba presente en su predecesor y que es compatible con todas las 'apps' disponibles para el sistema de Google. PrivatOS, asegura Silent Circle, es fácil de manejar y permite al usuario elegir los ajustes de privacidad del teléfono de acuerdo a sus necesidades específicas para cada 'app' o información (contactos, fotos, localización, etc.). Además, en caso de robo o pérdida puede bloquearse de manera remota.

   Por otra parte, este terminal cuenta con sus propias aplicaciones a prueba de espías indeseados como Silent Phone (para hacer llamadas cifradas), Silent Text (para mensajes) y Silent Contact (que protege los datos de los contactos). Estas herramientas también pueden descargarse en cualquier dispositivo Android.

   El nuevo smartphone de Silent Cicle cuenta con la posibilidad de crear diferentes 'espacios' o perfiles para distintos usuarios dentro del mismo sistema operativo. Eso sí, cada cuenta estaría aislada de las otras, por lo que cuando se cambia de 'espacio' es como si se usara un teléfono completamente diferente.

   Para asegurarse de que el Blackphone 2 siempre esté libre de vulnerabilidades, la tecnológica ha decidido crear un programa de recompensas que pagará a cada hacker un mínimo de 128 dólares cada vez que descubra un 'bug'. Asimismo, Silent Circle ha prometido arreglar estos fallos en menos de 48 horas desde que se conozca su existencia (72 horas si se trata de un error severo).

Fuente: Europa Press