EEUU. La armada de Estados Unidos busca proveedor de exploits zero-day

Según ThreatPost, la armada de Estados Unidos también está interesada en la explotación de vulnerabilidades zero-day y por ello publicó una oferta de trabajo (actualmente retirada) en la que se buscaba a un contratista que desarrollara este tipo de software y que fuera capaz de integrarlos en los sistemas de explotación más habituales.

En la oferta de trabajo se indicaba que el proveedor de exploits debería facilitar al gobierno una lista de vulnerabilidades 0-day (o con un máximo de 6 meses de antigüedad). Con esta lista el gobierno indicará los exploits, en formato binario, que se deben desarrollar. Durante el plazo de un año el contratista debe facilitar un total de 10 informes de vulnerabilidades y facilitar nuevos exploits como máximo cada 2 meses.

Entre otros, los principales objetivos para los que se quiere desarrollar exploits de día cero son Microsoft, Adobe, Java, EMC, Novell, IBM, Android, Apple, Cisco IOS, Linksys WRT y Linux.

Tanto el ejército como la armada y la marina ya no sólo se centran en conseguir las mejores armas, las más modernas y las más potentes, sino que cada vez utilizan más técnicas ofensivas digitales para poder recopilar la mayor cantidad de información posible sobre sus enemigos de la forma más discreta.

El uso de exploits siempre ha sido duramente criticado. La NSA pretende vigilar y proteger las redes americanas de posibles ataques, sin embargo sus espionajes van más allá y recopilan información de todo el mundo “como precaución”. También es complicado saber qué va a pasar una vez se cree un exploit ya que millones de usuarios de todo el mundo quedarán expuestos, las principales desarrolladoras no tendrán información del mismo y, quien sabe, igual el exploit (o la información para desarrollarlo) termina filtrado en la Deep Web y en manos de un pirata informáticos que también lo utilice para su propio beneficio.

Fuente: Redeszone.net

LASTPASS. El gestor de contaseñas hackeado.

 Desde el blog oficial de LastPass los responsables del servicio han emitido un comunicado en el que afirman haber sido víctimas de un hackeo en el que se han comprometido las claves maestras de los usuarios, es decir, que los piratas informáticos que han atacado los servidores podrían llegar a acceder a cualquier contraseña de cualquier usuario.

LastPass es una de las herramientas más utilizadas para la gestión de contraseñas es, un servicio que con sólo recordar una contraseña maestra podremos almacenar de forma “segura” todas nuestras contraseñas, pudiendo utilizar así claves complejas sin miedo a olvidarlas. Aunque esto a simple vista tiene numerosas ventajas también debemos de asumir un riesgo, y es que si alguien consigue nuestra contraseña maestra todos nuestros datos se verán comprometidos. Y esto es lo que al final ha ocurrido.

Intahistoria del ataque

• Todo empezó cuando los responsables de seguridad detectaron cierta actividad sospechosa en sus servidores. Analizando dicha actividad han podido darse cuenta de que un grupo de piratas informáticos han conseguido acceder a información privada de sus usuarios como los correos, las pistas para recordar las contraseñas e incluso a los hashes de las cuentas de LastPass.
• La empresa afirma que no se han filtrado las bases de datos cifradas con las claves y que el hecho de haber filtrado los hashes no compromete las cuentas de los usuarios ya que los hashes se blindan con un “salt” aleatorio y con 100.000 rondas de PBKDF2-SHA256 en el lado del servidor (más las rondas en el lado del cliente), lo que hace que sea prácticamente imposible descifrar un hash con un sistema informático actual, sin embargo para mayor seguridad recomiendan que todos los usuarios cambien sus contraseñas maestras para evitar posibles ataques dirigidos.

¿Qué alternativas a LastPass tenemos?

• Almacenar todos estos datos en la nube siempre conlleva una serie de riesgos, como ha sido el caso de LastPass. Si queremos que algo sea totalmente privado y lo más seguro posible debemos gestionarlo de forma local, sin que termine en un servidor controlado por terceras personas.
• Si somos del tipo de usuarios que preferimos recordar una contraseña maestra y con ella poder acceder a todas las demás debemos buscar una opción segura, privada y que sea de código abierto para asegurarnos que no tiene vulnerabilidades ni puertas traseras. Estamos hablando de KeePass.
• KeePass es un administrador de contraseñas gratuito, libre, multiplataforma y privado. Con él vamos a poder crear una base de datos con todas nuestras contraseñas para poder tenerlas todas agrupadas en un único lugar. Si queremos que la base de datos esté sincronizada con todos los dispositivos Keepass ofrece una serie de extensiones con las que subir nuestra base de datos a la nube y descargarla desde allí al resto de dispositivos.
• Como podemos ver, una alternativa muy similar a LastPass pero libre, gratuita y privada.

Fuente: RedesZone

TWITTER. Todos los tuits se guardan en un archivo del Congreso de EEUU desde 2010

Los últimos procesos electorales y, más en concreto, el caso del exconcejal de Cultura y Deporte del Ayuntamiento de Madrid, Guillermo Zapata, y los posteriores rumores de otros políticos y cargos públicos que han comenzado a limpiar sus cuentas de las redes sociales, han motivado un nuevo debate sobre la libertad de expresión y la idoneidad de eliminar contenido antiguo de sus cuentas.

    Políticos, activistas, actores, cantantes y demás personalidades públicas se han visto rodeadas de polémica en más de una ocasión por publicar mensajes que bien no supieron expresar adecuadamente dada la limitación de la red social, bien no utilizaron el filtro de la razón y escribieron sin pensar lo primero que se les pasó por la mente. Sea como fuera, las consecuencias de sus palabras acaban por pillarlos.

   Esas consecuencias pasan por la explicación, la disculpa e, incluso, la eliminación de los 'tuits' objeto de polémica. Resulta que hay empresas que se dedican a depurar el 'timeline' de sus clientes y programas que permiten hacerlo sin necesidad de recurrir a terceros, como TwitWipe, TweetDeleter o Tweeteraser.

   Sin embargo, todos los 'tuits' públicos que se comparten en Twitter pasan a formar parte de la Biblioteca del Congreso de Estados Unidos de manera permanente desde 2010, lo que significa que en realidad los 'tuits' no se eliminan pese a que algunos crean que pueden hacerlos desaparecer del escrutinio público.

   Ya en su día, Twitter mostró su interés en archivar los más de 55 millones de 'tuits' que se generaban al día -con fecha de 2010- en la red social, y, aunque algunos están protegidos, como matizó la compañía, "muchos de esos 'tuits' son creados con la intención de que estén disponibles públicamente".

   "Con los años, los 'tuits' se han convertido en parte significativa de los eventos globales alrededor del mundo, desde elecciones históricas hasta desastres devastadores", explicó Twitter en un comunicado. Por este motivo, la compañía donó los 'tuits' al archivo del Congreso estadounidenses, para su "preservación y búsqueda". Eso sí, los 'tuits' almacenados solo pueden usarse pasados seis meses de su inclusión en el archivo y nunca para fines comerciales.

Fuente: Europa Press

TWITTER. Red social favorita por empresas y agencias de comunicación

La encuesta Uso y Estrategia de Agencias de Comunicación en Redes Sociales 2015, presentada el jueves en el evento de co-working TICBeer celebrado en el IE Business School, ha querido responder a multiples cuestiones, como para qué utilizan las agencias las redes sociales a nivel interno, si hay equipos específicos dedicados a ello o si suponen un riesgo de seguridad añadido.

   La encuesta ha sido respondida por 23 de las más importantes agencias de comunicación especializadas en cuentas de tecnología de nuestro país: Hotwire, Everythink, 121press, Asesores de Comunicación y Relaciones Públicas, Noizze Media, Indie PR, Tinkle, Edelman, Precision, Ketchum, Text100, Atrevia, Ziran, Ogilvy, Globally, Coonic, Prisma Comunicación, LF Channel, Marco de Comunicación, FJ Comunications, Hill+Knowlton Strategies y Last Lap.

Las redes sociales para los clientes de agencias

• La red social más importante para los clientes de las agencias de comunicación es Twitter, con una demanda del 100%, y Facebook se encuentra muy cerca en segunda posición, con un 96%. Por su parte, un 39% de agencias reciben peticiones de sus clientes para trasladar su comunicación a Instagram. Por último, solo un 4% de las agencias encuestadas tienen clientes que consideran importante Pinterest, lo que deja claro que se trata de una red social menos masiva y para estrategias concretas. Ninguna de las agencias recibe peticiones para crear contenidos o compartir en Tumblr.
• Cabe destacar que la encuesta no contempla LinkedIn debido a que está orientada a la comunicación de productos e interacción con los consumidores y por ello no aparece en los resultados. En este sentido, un 39% de las agencias respondieron "otros", donde tendría cabida esta red profesional.
• ¿Qué buscan las empresas de las redes sociales? La demanda más habitual de los clientes es ganar seguidores (70% de los casos), seguida por dar visibilidad a sus productos (57%), interactuar con la comunidad (43%) y gestionar situaciones de crisis (26%). Una tarea pendiente de las empresas en redes sociales es la atención al cliente y prueba de ello es que sólo un 13% de las agencias reciben esta solicitud. Otra explicación podría ser que la empresa decida asumir esta labor directamente.
• No es conveniente saturar a los seguidores de cuentas de empresas con mensajes que inevitablemente pueden ser percibidos como promocionales. Por ello, un 59% de las agencias realizan menos de 5 publicaciones al día en cada cuenta en Twitter de un cliente, mientras que un 32 por ciento sube de esa cifra, aunque sin superar los 10 'tuits' publicados. Por su parte, un 5% de las agencias encuestadas no tiene una cadencia fija.
• Facebook es una red social en la que la información es mucho menos volátil que en Twitter y por ello el comportamiento de las agencias cambia, en cuanto a la gestión de las cuentas de sus clientes. De forma general, un mayor número de agencias prefieren publicar pocos contenidos (un 83% prefiere no superar nunca las 5 publicaciones diarias en Facebook). Por su parte, un 13% de las agencias no tiene una cadencia fija y se adapta a los acontecimientos.
• Al igual que ocurre en Facebook y Twitter, en Instagram tampoco se apuesta por la saturación y un 61% de las agencias realiza menos de 5 publicaciones en las cuentas de sus clientes al día. En el caso de Tumblr, en el caso de que se realice alguna acción puntual, la postura predominante es la de no seguir una cadencia fija, con un 57%.

Las redes sociales en la agencia (y viceversa)

• Las redes sociales tienen su propio lenguaje y un ritmo diferente a la habitual comunicación corporativa. Por ello, el 87% de las agencias encuestadas han decidido apostar por un departamento específico de 'social media'. En casi todos los casos (83%) ese mismo equipo se encarga de gestionar también las propias cuentas en redes sociales de las agencias de comunicación.
• Como empresas de comunicación que son, las agencias no están fuera de las redes sociales y disponen de sus propios perfiles y/o páginas. La penetración de estas redes sociales es similar, pero con algunas diferencias. Por ejemplo, el 87% de las agencias tienen página propia en Facebook, frente al 96% de sus clientes que lo demandan. Las agencias, más encaminadas a llegar a clientes y periodistas que a usuarios finales, apuestan más por la inmediatez de Twitter, donde todas tienen perfil. Además, un 39% tiene cuenta en Instagram, un 22% en Pinterest y un 17% en Tumblr.
• El principal objetivo para las agencias en sus perfiles redes sociales es dar a conocer su trabajo, con un 65% de los casos. Además, un 43% de las agencias también trata de dar a conocer otros valores que no quedan patentes en los resultados de esos trabajos y que sirven para medir la dedicación y el esfuerzo, como el tiempo dedicado o los procesos creativos. Las redes sociales también sirven a la agencia para mostrar una cara más humana, compartiendo información sobre sus empleados o fotos de su espacio de trabajo (48%).
• Resulta sorprendente, en este punto, que las agencias descuidan la interacción con los periodistas, ya que solo un 17% de ellas reconoce prestar atención a este aspecto.
• Por último, debido a la cada vez más habitual presencia de timos o ciberataques a través de redes sociales, un 61% por ciento de las agencias encuestadas considera que suponen un riesgo añadido a la seguridad y que "conviene tomar medidas".

Fuente: Europa Press

FALLO EN APP`s. Millones de datos, en riesgo por vulnerabilidad en aplicaciones móviles

Investigadores de seguridad han descubierto un fallo en el almacenamiento de miles de aplicaciones móviles, dejando la información personal de los usuarios, incluyendo contraseñas, direcciones, códigos de acceso y datos de ubicación, al alcance de los hackers.

Un equipo de investigadores alemanes encontró 56 millones de datos sin protección en las aplicaciones que estudiaron al detalle, que incluyeron juegos, redes sociales, servicios de mensajería, médicos y transferencias bancarias.

"En casi todas las categorías encontramos una aplicación que presenta dicha vulnerabilidad", dijo Siegfried Rasthofer, parte del equipo del Instituto Fraunhofer para la Tecnología de la Seguridad de la Información de la universidad de Darmstadt.

El líder del equipo Eric Bodden dijo que el número de datos afectados "podría alcanzar miles de millones".

El problema, dijo Bodden, está en el modo en que los desarrolladores -quienes escriben y venden las aplicaciones-autentifican a los usuarios cuando almacenan sus datos en bases online.

La mayoría de estas aplicaciones usan servicios como la web de Amazon o el análisis de Facebook para almacenar, compartir o hacer copias de los datos de los usuarios.

Aunque estos servicios ofrecen a los desarrolladores fórmulas para proteger los datos, la mayoría elige la opción por defecto, basada en una serie de letras y números incrustados en el código del software, que reciben el nombre de ficha.

Los atacantes, dice Bodden, pueden extraer y modificar fácilmente esas fichas en la aplicación, las cuales luego le dan acceso a datos privados de todos los usuarios que la aplicación guardó en el servidor.

Los investigadores dijeron que no habían encontrado pruebas de que esta falla hubiera sido aprovechada.

Fuente: Reuters

SYMANTEC ENDPOINT PROTECTION. Múltiples vulnerabilidades

Symantec ha confirmado tres vulnerabilidades en Symantec Endpoint Protection que podrían permitir a un usuario remoto autenticado realizar ataques de inyección SQL y a usuarios locales elevar sus privilegios en el sistema o crear condiciones de denegación de servicio.

 Endpoint Protection es una suite de seguridad que engloba protección antivirus y cortafuegos corporativo. Ofrece seguridad tanto para servidores, estaciones de trabajo o entornos virtuales. Es un producto multiplataforma que cuenta con una consola para su administración de forma remota.

Detalle e Impacto de las vulnerabilidades

• El primero de los problemas, con CVE-2014-9229, podría permitir a un usuario autenticado realizar ataques de inyección SQL ciega sobre algunos scripts de la consola de administración. Por otra parte, una denegación de servicio local debido a una condición de bloquo mutuo ("deadlock") en 'sysplant.sys' que incluso impedirá reiniciarse al sistema, lo que hace necesario apagarlo y arrancarlo por hardware (CVE-2014-9228).
• Por último, una vulnerabilidad debido a inadecuadas restricciones en las rutas de carga de dlls podrá permitir la carga de dlls desde otros directorios. Un usuario local podrá situar una dll específicamente creada en alguno de los directorios afectados, de forma que posteriormente Endpoint Protection podrá cargar la dll maliciosa con privilegios del sistema (CVE-2014-9227).

Recomendación

• Symantec ha publicado Endpoint Protection (SEP) 12.1.6 que soluciona los problemas.
• Symantec Endpoint Protection Manager 12.1 RU6 está disponible desde Symantec File Connect.https://symantec.flexnetoperations.com/

Más información:

• Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager and Client Issues http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20150617_00

Fuente: Hispasec

ADOBE PHOTOSHOP Y BRIDGE . Actualizaciones de seguridad

Adobe ha publicado dos boletines de seguridad para corregir un total de cuatro vulnerabilidades en sus productos Adobe Photoshop CC y Adobe Bridge CC para las plataformas de Windows y Macintosh.

Detalle de los boletines de seguridad

•  Los boletines han sido identificados como APSB15-12 y APSB15-13. El primero relacionado con el popular Adobe Photoshop, está afectado por las cuatro vulnerabilidades corregidas, y el segundo, orientado a Adobe Bridge, que está afectado por tres de las cuatro vulnerabilidades anunciadas.
•  Las vulnerabilidades en cuestión han sido identificadas con los CVEs correlativos que abarcan desde el CVE-2015-3109 hasta el CVE-2015-3112 y han sido calificadas como críticas. Debido a que todas las vulnerabilidades podrían permitir la ejecución de código arbitrario en la máquina afectada.
•  La vulnerabilidad CVE-2015-3109, que solo afecta al producto Adobe Photoshop CC, ha sido descubierta por Jeremy Brown, un investigador de seguridad de Microsoft, y se debe a una corrupción de memoria.
•  Las tres vulnerabilidades restantes, CVE-2015-3110, CVE-2015-3111 y CVE-2015-3112 afectan a los dos productos mencionados y han sido descubiertas por el investigador Francis Provencher de Protek Research Labs. Podrían causar un desbordamiento de enteros, una corrupción de memoria y un desbordamiento de memoria intermedia respectivamente.

Recomendación

•  Adobe recomienda que el usuario actualice sus productos con la máxima brevedad posible por medio de los mecanismos de actualización de las aplicaciones.

Más información:

• Security update available for Adobe Photoshop CC https://helpx.adobe.com/security/products/photoshop/apsb15-12.html
• Security update available for Adobe Bridge CC https://helpx.adobe.com/security/products/bridge/apsb15-13.html

Fuente: Hispasec

CAJAS ROTAS, ARENA DERRAMADA

Investigadores de universidades estadounidenses y chinas, han publicado un interesante estudio en el que muestran los resultados de las pruebas a las que han sometido el modelo de aislamiento de procesos de Apple.

Los resultados son cuanto menos inquietantes, no solo por el hecho de la demostración en la que pudieron acceder al llavero del sistema y llevarse un buen botín, sino que fueron capaces de evadir el estricto proceso de aprobación de la App Store, publicando una aplicación que era capaz de romper el aislamiento entre aplicaciones y acceder, o abusar del acceso, a recursos privilegiados.

El modelo de seguridad basado en "sandbox" no es nuevo ni exclusivo de Apple, obviamente. Desde hace ya bastante tiempo se intuyó la necesidad de separar, más aun, los procesos, incluso aquellos que compartían privilegios y propietario. De esta forma se protegen de manera más granular los recursos propios de cada aplicación. El sistema, pensado en principio para limitar programas en etapas experimentales que pudieran desestabilizar el sistema, servía también para contener y aislar el impacto de un proceso malicioso, impidiendo o dificultando su "onda expansiva".

Como todo sistema, como todo producto que lleve la consigna de la seguridad va a ser objeto de revisión por parte de la comunidad. La evasión de sandboxes no es noticia. En cada edición de Pwn2Own podemos ver como caen sistemáticamente las sandbox de los navegadores, la de Android ha sido desencajada varias veces a través de múltiples tipos de vulnerabilidades. Pon una puerta acorazada con una cerradura de última tecnología y cuando te des la vuelta tendrás a un señor en camiseta negra con un PowerPoint explicándote como la abrió de manera trivial. Nada nuevo bajo el sol.

En esta ocasión, no solo ha sido la evasión de este modelo en los sistemas operativos, cada vez más convergentes, de Apple. Ya de por sí, el hecho de que una aplicación consiga acceder a los recursos de otra aplicación resulta grave, ver esa aplicación publicada en el App Store es un hecho que deshace el componente diferenciador de Apple respecto a los mercados de aplicaciones. El control de aquello que se publica. Esa es la confianza que deposita el usuario cuando se decide a descargar e instalar una aplicación.

Más información:

• Unauthorized Cross-App Resource Access on Mac OS X and iOS https://drive.google.com/file/d/0BxxXk1d3yyuZOFlsdkNMSGswSGs/view
• Una al día (18/06/2015) http://unaaldia.hispasec.com/2015/06/cajas-rotas-arena-derramada.html

Fuente: Hispasec

SAMSUNG GALAXY. Vulnerabilidad en el teclado SwiftKey que lleva instalados estos terminales

NowSecure ha publicado una noticia alertando de un problema de seguridad en el teclado SwiftKey, un teclado que viene instalado en los dispositivos Samsung Galaxy desde la versión S4.

 La vulnerabilidad fue descubierta por el investigador de seguridad Ryan Welton, investigador de seguridad de NowSecure, en diciembre del año pasado, cuando se informó a las compañías afectadas, Samsung y Google.

Detalle e Impacto de la vulnerabilidad

·       El problema se debe a que las peticiones que realiza la aplicación de teclado SwiftKey en busca de nuevas actualizaciones de diccionarios de lenguaje se realizan en texto plano a través de la red, peticiones que pueden ser falsificadas por medio de un ataque de hombre en el medio.

·      La vulnerabilidad en cuestión está identificada con el CVE-2015-2865 y calificada con un riesgo alto, puesto que este error puede ser explotado de forma remota para ejecutar código arbitrario con privilegios SYSTEM. Entre otros impactos, la compañía destaca las siguientes posibles acciones que un atacante podría tener en un dispositivo afectado:

1. Tener acceso a todos los sensores.
2. Instalar aplicaciones sin el consentimiento del usuario.
3. Recoger registros del sistema.
4. Recoger registros de las aplicaciones instaladas.
5. Acceder a cualquier archivo personal.

El investigador de seguridad ha publicado en su canal de YouTube un vídeo en el cual puede apreciarse como aprovecha la vulnerabilidad. https://www.youtube.com/watch?v=uvvejToiWrY

Recomendación

• Actualmente, ya existe una actualización en GooglePlay del teclado SwiftKey que corrige este error tan grave. Así mismo, en muchos dispositivos Samsung también se ha corregido la vulnerabilidad.

Más información:

• Samsung Keyboard Security Risk https://www.nowsecure.com/keyboard-vulnerability/
• SamsungKeyboardExploit (video)  https://www.youtube.com/watch?v=uvvejToiWrY
• Aplicación Teclado SwiftKey + Emoji  https://play.google.com/store/apps/details?id=com.touchtype.swiftkey

Fuente: Hispasec

TWITTER. Permitirá a usuarios seguir eventos en vivo y no solo a personas

 Twitter Inc comenzará a seleccionar tuits sobre eventos en vivo, dijo el servicio de mensajería instantánea, en momentos que planea grandes cambios para hacer más atractiva su sección de noticias en tiempo real.

Los cambios, en un plan llamado Project Lightning, permitirán a los usuarios seguir los eventos en vez de solo a personas y cargar de inmediato fotografías y videos que podrán ser compartidos en varios sitios de Internet, informó el jueves el sitio de noticias y entretenimiento Buzzfeed.

Un equipo de editores seleccionará los mensajes visualmente más atractivos y relevantes de, por ejemplo, una alfombra roja o un rodaje, y los presentará en un lugar para que los usuarios no se vean inundados con todos los tuits que son publicados, dijo Buzzfeed.

La aplicación de Twitter para teléfonos móviles mostrará eventos programados y noticias de último momento, Buzzfeed.

La portavoz de Twitter, Rachel Millner, confirmó el reporte, pero declinó hacer más comentarios.

Twitter ha tenido problemas con el crecimiento de usuarios. Aproximadamente 1.000 millones de personas han visitado el sitio, pero solo 302 millones son usuarios.

Fuente: Reuters

ITALIA. Bloqueo de 410 sitios de internet que vendían falsificaciones de artículos de lujo

 Autoridades italianas cerraron 410 sitios de internet que vendían falsificaciones de productos de lujo como bolsos de Prada y relojes Patek Philippe, y lanzaron redadas contra los falsificadores en todo el país, dijo el viernes la policía financiera.

La industria de la moda en Italia ha batallado mucho con falsificadores que hacen copias de baja calidad de ropa y accesorios de lujo, que al año aportan unos 60.000 millones de euros a su economía.

Un total de 15 personas a cargo de las páginas web cerradas están siendo investigadas, dijeron los fiscales en una rueda de prensa en Roma.

Hubo redadas en 11 ciudades, desde Milán al norte hasta Palermo, la principal ciudad en la isla sureña de Sicilia, como parte de una operación más amplia contra productos falsificados.

La falsificación tiene "efectos negativos obvios sobre la economía, en término de pérdida de empleos, evasión de impuestos, conexiones con el crimen organizado, explotación de menores, seguridad, salud y daño para los consumidores", dijo la policía en un comunicado.

En 2014, la policía financiera incautó productos falsificados por 3.000 millones de euros.

Fuente: Reuters

CHINA. Debería dejar establecer unidades financieras a los bancos en Internet

 Los reguladores de China deberían redactar reglas claras que permitan a los bancos establecer unidades de finanzas por Internet para contener la creciente competencia de gigantes de tecnología que se han expandido al área bancaria, dijo un investigador del banco central citado por un diario estatal.

Yao Yudong, jefe de investigación financiera del banco central, dijo que los encargados de políticas deberían alentar a las instituciones financieras a ser más proactivas en áreas como el crédito entre ellos, pagos a terceras partes, financiamiento colectivo y comercio electrónico, permitiendo la creación de unidades de finanzas online, según lo citó el diario Economic Information.

Gigantes chinos como Alibaba Group Holding Ltd y Tencent Holdings Ltd están usando el auge de las finanzas por Internet para tratar de convertirse en redes financieras que proveen servicios que van desde pagos vía Internet y administración de cuentas hasta el comercio electrónico.

En cambio, los prestamistas chinos están restringidos por una regulación más rígida y se están quedando rezagados.

En marzo, el Banco Industrial y Comercial de China Ltd, el mayor prestamista del país por activos, lanzó su "e-ICBC", el primer negocio de finanzas por Internet de un banco chino.

La plataforma de comercio electrónico del prestamista ha acumulado 160.000 millones de yuanes (25.800 millones de dólares) en volumen de ventas desde que fue lanzado, hace más de un año, dijo ICBC esta semana.

La cifra es muy inferior si se la compara con el volumen bruto de comercio de 370.000 millones de dólares que anotó Alibaba sólo en 2014.

Fuente: Reuters

WIKIPEDIA. Premio Princesa de Asturias de Cooperación Internacional

 La enciclopedia digital de libre acceso Wikipedia recibió el miércoles el premio de Cooperación Internacional que otorga la Fundación Princesa de Asturias, el penúltimo de los galardones de 2015.

El jurado, reunido en la ciudad española de Oviedo, ha valorado positivamente el crecimiento de Wikipedia así como "el importante ejemplo de cooperación internacional, democrático, abierto y participativo en el que colaboran desinteresadamente miles de personas de todas las nacionalidades".

Esta enciclopedia digital se encuentra entre las 10 páginas web más visitadas del mundo y actualmente cuenta con 35 millones de artículos, publicados en 288 idiomas diferentes, "incluidas algunas lenguas indígenas, otras inventadas como el esperanto y otras muertas como el latín", según explicó la propia Fundación en una nota de prensa.

La edición de Wikipedia en castellano está, junto a otras 11, entre las que superan el millón de artículos.

Los miembros del jurado también hicieron hincapié en que Wikipedia "ha logrado poner al alcance de todo el mundo el conocimiento universal en una línea similar a la que logró el espíritu enciclopedista del siglo XVIII".

Se trata del séptimo de los ocho premios de 2015, que hasta el año pasado se llamaban Príncipe de Asturias. Estos galardones, dotados de 50.000 euros, se conceden desde 1981 y se entregan en una ceremonia celebrada en el Teatro Campoamor de Oviedo.

El próximo y último galardonado será el de Concordia, que se conocerá el próximo 2 de septiembre.

Fuente: Reuters

UBER. Abierto a ser regulado en el masivo mercado de la Ciudad de México

El servicio de transporte Uber está abierto a ser regulado en la Ciudad de México, dijo el miércoles una portavoz de la compañía, que busca cimentar su rápido crecimiento en una de los mercados más grandes del continente.

Uber llegó en 2013 a la capital de México y dice que ha crecido a alrededor de 300,000 usuarios. Pero al igual que en otras partes del mundo, la polémica aplicación se ha tenido que enfrentar con organizaciones de taxistas de la ciudad, que dicen que el servicio es ilegal y han protestado en las calles.

En respuesta, el Gobierno de la Ciudad de México lleva a cabo mesas redondas para discutir la mejor forma de regular aplicaciones como Uber y Cabify, que no se consideran taxis, sino que dicen ofrecer servicios de vehículos privados.

El miércoles, Ana Paula Blanco, directora de comunicaciones para América Latina de Uber, dijo que la compañía no tenía ningún problema con una mayor supervisión en la Ciudad de México, que tiene registrados unos 140,000 taxis.

"Que tengan en consideración esas cuatro cosas: beneficio social, economía, que considera una nueva opción de movilidad en la ciudad y que tenga al centro la innovación, que no vaya a cerrar la innovación", dijo Blanco a periodistas.

Dirigentes del sindicato de taxistas dijeron en la mesa redonda que aplicaciones como Uber infringían la ley y que su molestia giraba en torno a que sus conductores pagan menos impuestos a la ciudad y están sujetos a una menor prima de seguro.

Sin embargo, el Secretario de Transporte de la capital, Rufino León, dijo que el servicio que brinda estas aplicaciones no está fuera de la ley.

"Lo que hacen es establecer contratos privados con personas privadas a partir de los cuales prestan servicios que, reitero, no caen en la modalidad taxista", comentó Rufino, antes del debate.

Uber, que está valuada en más de 40,000 millones de dólares, se ha expandido rápidamente en todo el mundo, pero su rápido crecimiento la ha llevado a feroces enfrentamientos con empresas de taxis y reguladores.

Fuente: Reuters

NOKIA. El CEO de la compañía anuncia que volverá a teléfonos móviles

Nokia, que una vez fue el mayor fabricante mundial de teléfonos móviles, planea volver a diseñar y otorgar licencias de estos aparatos cuando en 2016 se lo permita el acuerdo con su socio Microsoft, dijo su presidente ejecutivo al medio alemán Manager Magazin.

"Buscaremos los socios adecuados", dijo Rajeev Suri en una entrevista publicada el jueves. "Microsoft fabrica teléfonos móviles. Nosotros simplemente los diseñaríamos y luego haríamos que la marca esté disponible para licencias", agregó.

La finlandesa Nokia vendió su negocio de telefonía a Microsoft en 2014, tras años de ventas en declive al no poder sostener el ritmo innovador impuesto por el iPhone de Apple.

Pero meses después lanzó una nueva tableta, fabricada bajo licencia por la taiwanesa Foxconn, con la intención de seguir con más dispositivos.

Varios analistas esperan que Microsoft amortice todo o parte de los 7.200 millones de dólares que pagó por la unidad de teléfonos móviles de Nokia, una operación que dejó a Microsoft con un negocio deficitario y apenas un 3 por ciento del mercado de "smartphones".

Nokia anunció en abril la compra de Alcatel-Lucent por 15.600 millones de euros (17.800 millones de dólares), en un intento por reforzar su negocio de equipos de redes que es ahora el puntal de la compañía.[nL2N0XC0NE]

También está vendiendo su negocio de mapas, que ha atraído el interés de las automotrices alemanas BMW, Audi y Mercedes Benz, así como de compañías de Silicon Valley y tecnológicas chinas.

Al ser preguntado si había algún oferente preferido para el negocio de mapas de alta definición HERE, Suri respondió a la revista que "cualquiera que pueda mejorar el negocio en el largo plazo es un buen comprador".

Fuente: Reuters

CUBA. Anuncio del primer acceso público a Internet por Wifi

 Cuba abrirá en las próximas semanas 35 zonas de navegación con tecnología Wifi, en la primera oferta de internet para la población en general, cuyo acceso está limitado principalmente al alquiler de tiempo en salas de propiedad estatal.

El monopolio de telecomunicaciones de Cuba (Etecsa) dijo también que reducirá el costo actual de navegar en la red desde 4,50 dólares a 2 dólares por hora, publicó el jueves el diario estatal Juventud Rebelde.

La isla caribeña tiene una de las tasas más bajas de conectividad a Internet del mundo, prácticamente sin servicio de banda ancha en las casas y con altas tarifas reservadas a extranjeros y para algunos profesionales a los cuales se les autoriza la conexión.

Según datos de la Unión Internacional de Telecomunicaciones, un organismo de la ONU con sede en Ginebra, sólo el 3,4 por ciento de los hogares cubanos están conectados y la mayoría de los cubanos residentes en la isla tienen acceso a una intranet, no a Internet.

Sin embargo, los funcionarios cubanos cada vez se muestran más comprometidos con un mejor acceso a Internet.

Al mismo tiempo, Estados Unidos ha promovido Internet en Cuba como parte de una reciente flexibilización del embargo económico que Washington aplica a La Habana.

El presidente de Estados Unidos, Barack Obama, ha incluido el tema de las telecomunicaciones como una de las prioridades gubernamentales en su nueva relación con Cuba, al permitir que compañías estadounidenses hagan negocios relacionados con Internet en la isla.

Las zonas de navegación con tecnología Wifi estarán disponibles en 35 sitios públicos, incluyendo cinco en La Habana, dijo el director de Comunicación de Etecsa, Luis Manuel Díaz, a Juventud Rebelde.

Cada zona de navegación será capaz de permitir la conexión de entre 50 y 100 usuarios simultáneamente con una velocidad a través de Wifi de un megabit por segundo para cada usuario, agregó.

Fuente: Reuters

SKYPE. Incorpora francés y alemán a su traductor de conversaciones en tiempo real

Skype Translator, es la tecnología de Microsoft para traducir idiomas que acaba de añadir el francés y el alemán.

   La traducción de idiomas hablados en tiempo real de Skype está llamada a romper las barreras de la comunicación en todo el mundo. Un usuario habla en un lado en un idioma y su interlocutor, que habla en otra lengua y no conoce la de quien le habla, lo entiende.

   Es una tecnología no solo sorprendente, sino increíblemente útil. Y Microsoft es consciente de ello. Por eso está trabajando a toda velocidad para que cada vez haya más idiomas disponibles y la traducción funcione mejor. De momento está disponible en fase 'beta' a través de la aplicación Skype Translator 'preview'.

   Skype Translator incluía hasta a hora inglés, italiano, mandarín y español y acaba de sumar a los idiomas hablados disponibles el francés y el alemán. Microsoft utilizó este último idioma en una versión muy temprana de desarrollo en mayo de 2014 para mostrar esta función en un evento y ya funcionaba de forma más que correcta. Además, Skype Translator incluye traucción para 50 idiomas escritos.

Fuente: Europa Press

QR. Uno de estos códigos de una botella de Heinz Ketchup dirige a una web porno

   Heinz Ketchup, la compañía que comercializa la popular salsa de tomate, se ha disculpado con un consumidor por un código QR de una promoción que en lugar de dirigir a contenido de la compañía lleva directamente a una web porno.

   Daniel Korell escaneó con su móvil el código QR que aparecía en uno de los frascos de ketchup de la compañía. Pero en lugar de encontrar con la promoción que anuncia la etiqueta, se abrió la web porno alemana Fundorado.

   La promoción que incluye el QR para obtener más información estuvo activa entre 2012 y 2014, siendo este último año cuando el sitio web expiró, quedando libre para nuevos dueños.

   La botella en la que Korell encontró el código no era nueva, según ha contado el medio The Local. El consumidor decidió escanear el código de una botella cuyo contenido fue gastado tiempo atrás y desde entonces había sido rellenada.

   Ante la sorpresa, Korell decidió escribir a Heinz Ketchup en su página de Facebook, para quejarse. "Incluso si la botella es una sobra, todavía está en muchas casas", ha escrito el consumidor, y ha añadido que "es incomprensible que no reservarais el dominio por uno o dos años. No cuesta un mundo".

   La compañía Heinz Ketchup ha pedido disculpas a Korell y dicho que le dejará crear su propia etiqueta. Además, le enviarán una botella de ketchup, de forma gratuita, con la etiqueta de su diseño.

Fuente: Europa Press

HAPPN. La apps de contactos que usa Spotify para ligar

   La aplicación de citas que permite a los usuarios encontrar a personas con las que se ha cruzado Happn, con 4 millones de usuarios, ha hecho público un acuerdo pionero con el servicio de streaming musical Spotify.

   Gracias a este acuerdo, por primera vez, una app global de citas integrará la API de Spotify en su plataforma para que los usuarios puedan utilizar la función de mensajería para enviar canciones a las personas con las que quieran salir, así como para añadir música a sus perfiles y así mostrar sus gustos.

   Aunque funcionará para todos los usuarios, tengan o no cuenta en el servicio de música, los abonados de Spotify Premium tendrán la posibilidad de escuchar canciones completas, mientras que los no abonados sólo podrán escuchar 30 segundos de cada canción.

   "La música es una forma de expresión muy potente que define nuestra personalidad", ha dicho el cofundador y consejero delegado de Happn, Didier Rappaport. "Estamos convencidos de que esta colaboración proporcionará a nuestros usuarios una oportunidad única de mostrarse como realmente son y de una forma mucho más emotiva que si sólo usaran texto y fotos".

   Por su parte, el director de marketing de Spotify para el sur de Europa, Franck Rossini, ha celebrado que este acuerdo va a permitir a sus usuarios "poner música al momento más importante en una relación: el del primer contacto".

   Happn nación en 2014 y actualmente está presente en más de 20 ciudades de todo el mundo y cuenta con unos 4 millones de usuarios. Esta app hiperlocalizada en tiempo real permite a los usuarios conocer a otras personas con las que se cruzan por casualidad.

Fuente: Europa Press

CISCO. Vulnerabilidades en múltiples de sus dispositivos

Se han descubierto diferentes vulnerabilidades en diferentes productos Cisco, catalogadas de Importancia: 4 - Alta

Recursos afectados

1. Cisco Unified Computing System Central Software 1.2 (1a)
2. Cisco Virtualization Experience Client 6000 Series Firmware 11.2 (27.4)
3. IOS 15.2M 15.2(4)M6

Detalle e Impacto de la vulnerabilidad

• Inyección de comandos en el CLI del UCS Central Software de Cisco: Esta vulnerabilidad permitiría a un usuario autenticado local la ejecución de comandos con privilegios de administrador en el SO sobre el que se instala. Se ha reservado el CVE-2015-4183 para esta vulnerabilidad.
• Inyección de comandos en el Cliente de Virtualization Experience 6125 de Cisco: Esta vulnerabilidad permitiría a un usuario autenticado local la ejecución de comandos con privilegios de administrador en el SO sobre el que se instala. Se ha reservado el CVE-2015-4186 para esta vulnerabilidad.
• Elevación de privilegios en el intérprete de scripts de TCL del IOS de Cisco: Que podría permitir a un usuario local autenticado la elevación de privilegios y ejecutar comandos de administración. Se ha reservado la CVE-2015-4185 para esta vulnerabilidad.

Recomendación

• Se han generado nuevas versiones para todo el software afectado.

Más información

• Cisco Virtualization Experience Client 6215 Devices Command Injection Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39347
• Cisco UCS Central Software Command-Line Interface Command Injection Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=39324
• Cisco IOS Software TCL Script Interpreter Privilege Escalation Vulnerabilityhttp://tools.cisco.com/security/center/viewAlert.x?alertId=39343

Fuente: INCIBE