Análisis de Riesgos Tecnológico, en la vida cotidiana

Facebook sabe más acerca de tu vida personal que tú o de lo que probablemente crees. Como parte de las operaciones de publicidad cada vez más agresivas de la compañía , Facebook hace todo lo posible para realizar el seguimiento de usuarios a través de la web. La compañía compila una lista de detalles personales que incluye a los principales acontecimientos de la vida y los intereses generales de sus usuarios. Durante años, estos detalles han sido ocultados, pero la compañía finalmente ha dado una visión de cómo lo hace. Facebook publicó un nuevo portal "educativo" orientado a la configuración de preferencias de anuncios, para hacerlos "más fáciles" de entender. Estas herramientas revelan 98 tipos de datos personales que Facebook utiliza para apuntar y conocer al usuario. Estos datos luego son utilizados para vender publicidad . Hay un montón de características obvias que Facebook conoce sobre sus usuarios, como por ejemplo si se va a casar, s

Parece que no sólo RC4 debe morir definitivamente . Los investigadores han publicado investigaciones que indican que RC4 pronto podría tener la compañía de Triple-DES (3DES) y Blowfish de 64 bits. Los nuevos ataques permiten la recuperación de cookies de autenticación en el tráfico protegido 3DES en HTTPS y la recuperación de nombres de usuario y contraseñas en tráfico de OpenVPN a través de Blowfish. Investigadores Gaetan Leurent y Karthikeyan Bhargavan de Inria, Francia, presentarán formalmente su paper "On the Practical (In-)Security of 64-Bit Ciphers" en octubre en la Conferencia de ACM "Computer and Communications Security" en Austria. El ataque, llamado SWEET32 [ PDF ], es un ataque de colisión contra estos algoritmos de cifrado en modo CBC . Los investigadores dijeron que 3DES todavía es soportado por servidores HTTPS en el 1 o 2 por ciento del tráfico. "Los navegadores no han matado 3DES porque están esperando hasta que tenga menos uso

En la última conferencia Usenix Security 2016 , investigadores de Dropbox han presentado un estudio sobre la eficacia de los "medidores de fortaleza de contraseñas" en muchos formularios de registro de decenas aplicaciones web conocidas. Según el libro de Mark Burnett 2006 Perfect Passwords: Selection, Protection, Authentication , una de cada nueve personas tiene una contraseña que aparece en esta lista de 500 passwords conocidas .  Este año, Burnett realizó un nuevo estudio sobre 6 millones de contraseñas y encontró que un 99.8% aparecen en el top de 10.000 y el 91% en el top 1.000. La metodología y el sesgo es un condicionante de importante ya que estalista está conformada por contraseñas conocidas y en su mayoría provienen de los hashes ya crackeados. Estas son contraseñas muy fáciles de adivinar y un gran porcentaje son lo suficientemente predecible para ser susceptibles a un modesto ataque en línea. Por este motivo los medidores podrían ayudar y foment

Millones de datos de pacientes, en riesgo por los agujeros de seguridad informática Según la Oficina de Derechos Civiles de EE.UU., en 2015 se produjeron unos 253 agujeros de seguridad informática en el sector sanitario que afectaron a más de 500 personas con el robo de más de 112 millones de registros Dick Cheney , exvicepresidente de EE.UU., confesó en 2013 que los médicos decidieron deshabilitarle la comunicación inalámbrica de su marcapasos en 2007 por si alguien intentaba atentar con su vida mediante un ataque remoto. Justo en 2012, el famoso «hacker» Barnaby Jack demostró cómo manipular remotamente un marcapasos para que emitiese un shock eléctrico potencialmente mortal. Queda claro que la ciberdelincuencia no entiende de barreras. Según la Oficina de Derechos Civiles de EE.UU. , en 2015 se produjeron unos 253 agujeros de seguridad informática en el sector sanitario que afectaron a más de 500 personas con el robo de más de 112 millon

Desarrollo en el campo de computación cuántica promete cambios en los ordenadores convencionales. Empresas como IBM ya posibilitan el acceso al modelo a través de la nube De acuerdo con  Vern Brownell , presidente y CEO de D-Wave , empresa cuyo sistema cuántico ya está en su segunda generación, los recursos exigidos por la computación clásica están en el límite de provisión. “Estamos en el inicio de la Era Cuántica”, afirmó. Lanzado hace 17 años, D-Wave lanzó el llamado “primer ordenador cuántico comercialmente disponible en todo el mundo”. Desde el 2010, cuando empezaron las ventas, la empresa duplicó el número de qubits (bits cuánticos) a cada año en sus máquinas. Actualmente, el sistema posee más de mil qubits. Los bits usados por ordenadores tradicionales representan datos en códigos de 0s o 1s. En la computación cuántica, los qubits pueden tener además de los códigos binarios, es decir, 0 y 1, un estado conocido como superposición que permite nuevos niveles de desempeño y

En el marco de la conferencia anual “Black Hat USA”, en Las Vegas, Estados Unidos, Ivan Krstic, experto en seguridad de Apple anuncio la llegada del programa que premiará a los investigadores o instituciones que detecten vulnerabilidades en los sistemas de seguridad de Apple. Se trata de uno de los programas más esperados por los especialistas de seguridad. Durante años, Apple se había negado a pagar por los informes de errores. A partir del primero de septiembre los especialistas de seguridad podrán realizar sus reportes. El programa de recompensas de Apple dará hasta $200 mil dólares en efectivo a los investigadores que descubran vulnerabilidades en sus productos. El programa no será abierto al público en general, explicó Krstic. Solo se podrá acceder previa invitación de la empresa. Sin embargo, los de Cupertino se dijeron abiertos a recibir retroalimentación de investigadores no vinculados a un organismo invitado, y que de tratarse de

Cisco ha publicado siete boletines de seguridad para solucionar otras tantas vulnerabilidades en múltiples productos que podrían permitir a atacantes provocar condiciones de denegación de servicio, ejecutar código arbitrario, inyectar comandos Shell o acceder a routers sin autorización. Los productos afectados son routers RV110W, RV130W, RV215W, RV180 VPN y RV180W Wireless-N Multifunction VPN, Cisco Unified Communications Manager IM and Presence Service, Cisco TelePresence Video Communication Server Expressway y Cisco Prime Infrastructure. Routers Cisco RV110W, RV130W y RV215W El primer problema , con CVE-2016-6397, se debe una vez más a la inclusión de una contraseña estática por defecto , esto puede permitir a un atacante remoto autenticarse en el dispositivo. Esta vez la cuenta afectada es la cuenta por defecto a la que además se le asignan permisos de root. Este problema afecta a los siguientes productos:  RV110W Wireless-N VPN Firewall RV130W Wireless-N Mu

cSploit es una herramienta de código abierto (GPL) para test de penetración y análisis de red para Android, que tiene como objetivo ser  un kit de herramientas profesional completo y avanzado, para que expertos en seguridad informática lleven a cabo las evaluaciones de seguridad de red desde un dispositivo móvil. cSploit es capaz de: Enumerar las máquinas locales conectadas a la red. Encontrar vulnerabilidades. Encontrar exploits para dichas vulnerabilidades. Utilizar esos exploits para obtener acceso al objetivo. Mostrar contraseñas en vulnerabilidades Wifi. Instalar puertas traseras de acceso a sistemas. Gracias al nuevo núcleo, cSploit es mas fácil de transportar. Básicamente se puede ejecutar en cualquier sistema basado en UNIX, pero por ahora sólo es compatible con Android. En un futuro el autor esta considerando trabajar en: iOS, OS X, GTK + y QT. Entre sus características destaca: Puede generar un mapa de la red local. Realiza técnicas de Fingerpr