Atacantes lograron eludir la autenticación multifactor

Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos). Pero los atacantes siempre se las ingenian, y esta vez lograron engañar a los usuarios para hacerse del código temporal (token) necesario para completar la autenticación multifactor. Un reporte publicado hace apenas algunas horas por Aministía Internacional muestra en detalle cómo se dieron estos ataques a cuentas de usuarios de Gmail y Yahoo, incluso a aquellos con autenticación multifactor habilitada. Las víctimas eran dirigidas a un sitio apócrifo, idéntico al de inicio de sesión de Gmail o de Yahoo, técnica conocida como phishing. Una vez que el usuario ingresaba su dirección de e-mail y contraseña, la misma infraestructura en la que el sitio falso estaba almacenada realizaba el intento de inicio de sesión en el servicio real. Si éste requeria la utilización de un factor adicional, lo notificaba al sitio apócrifo para que éste se lo requiriera al usuario. Una vez que la víctima ingresaba el token, el atacante obtenía acceso a la cuenta real. En algunos casos se detectó incluso que el atacante había generado …

Read moreAtacantes lograron eludir la autenticación multifactor

¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- violaciones de datos. Hoy vamos a hablar sobre el doble factor de autenticación, también conocido como two factor authentication, 2FA, o MFA -multi factor authentication-, por sus siglas en inglés. El concepto de doble factor de autenticación (aunque algunos lo llaman autenticación de dos pasos, pero eso lo vamos a hablar más adelante) dice que el usuario debe ser “desafiado” a utilizar dos mecanismos de autenticación entre los siguientes tres: Algo que sabés Algo que tenés Algo que sos Algo que sabés suele ser tu contraseña, y este es el primer factor de autenticación que usamos en todos lados. Algo que sos podría ser tu huella digital, reconocimiento facial, de retina, entre otros. Pero vamos a hablar del segundo mecanismo de autenticación más utilizado en el mundo: algo que tenés. Algo que tenés puede ser una tarjeta inteligente –smart card-, una llave de autenticación (como las YubiKey) o un token (físico o virtual). Para que …

Read more¿Cómo funciona la autenticación multifactor?

Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la vulnerabilidad afecta a aquellas redes que utilizan el protocolo WPA2 para cifrar las comunicaciones entre el router/AP y el dispositivo cliente (laptop, celular, etc). KRACK, acrónimo de “Key Reinstallation Attack” o “Ataque por reinstalación de clave”, es un ataque al protocolo WPA2, que fue descubierto este mismo año por el investigador Belga Mathy Vanhoef, y aprovecha una vulnerabilidad en el mecanismo de enlace de 4 vias (four-way handshake), que utilizan los routers Wi-Fi y los dispositivos cliente a la hora de establecer una conexión entre ellos. El protocolo WPA2 ejecuta el mecanismo de enlace de 4 vias cada vez que un cliente intenta “unirse” a una red Wi-Fi protegida, y lo utiliza para confirmar que tanto el cliente como el router/AP poseen la contraseña adecuada (pre-shared key o clave pre-compartida). Como resultado de la ejecución del mecanismo de enlace de 4 vias, se genera una clave de cifrado nueva que será utilizada para encriptar el tráfico intercambiado entre el cliente …

Read moreQué es KRACK, la vulnerabilidad de la que todos hablan

Almacenamiento en línea – ¿Cómo elegir?

Photo by Markus Spiske on Unsplash

La posibilidad de acceder a nuestros archivos desde cualquier parte del mundo, sin necesidad de una computadora y sin tener que poner atención en los riesgos que implica almacenar la información en pendrives o discos externos, es cada vez más deseada. Hoy en día existen cientos de compañías que ofrecen almacenamiento en línea o en la nube con ofertas de funcionalidades y precios muy variadas.

Resulta dificil decidir qué servicio elegir, pero a continuación les dejo una comparativa de los más populares y los factores a tener en cuenta a la hora de contratar:

OneDrive

Quien fuera recientemente renombrado tras un litigio comercial con una compañía británica, es propiedad de Microsoft y uno de los preferidos por los usuarios. Ofrece 15 GB de almacenamiento gratuito y una gran variedad de aplicaciones compatibles con las plataformas más populares del mercado.

Sus planes de pago comienzan en los 100 GB de almacenamiento por apenas 2 dólares al mes y se pueden combinar con otras suscripciones de la compañía. Por ejemplo, adquiriendo una suscripción de Office 365 Personal o Home Premium accedemos a 1 TB de almacenamiento adicional espacio de almacenamiento ilimitado.

Read moreAlmacenamiento en línea – ¿Cómo elegir?

Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Photo by Markus Spiske on Unsplash

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”

Read moreQué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Facebook ahora permite guardar páginas para leer más tarde

Photo by Markus Spiske on Unsplash

“Todos los días la gente encuentra cosas interesantes en Facebook que no tiene tiempo de leer en ese momento” asegura Daniel Giambalvo, Software Engineer de Facebook, en un comunicado de prensa en el que anunció la llegada de esta nueva funcionalidad a la red social.

Facebook está muy cerca de convertirse en una suerte de todo en uno para nuestra vida en línea. Desde hace pocos días permite a sus usuarios generar su propia lista de vínculos para leer más tarde, lugares para visitar, música para escuchar y películas para ver.

facebook-ahora-permite-guardar-paginas-para-leer-mas-tarde_003facebook-ahora-permite-guardar-paginas-para-leer-mas-tarde_004

Read moreFacebook ahora permite guardar páginas para leer más tarde

La guerra por la geolocalización

Photo by Markus Spiske on Unsplash

la-guerra-por-la-geolocalizacion_001Todavía recuerdo la conversación telefónica que tuvimos con @arieltorres, editor del suplemento Tecnología de Diario La Nación, allá por el año 2010, en la que debatimos acerca de la popularidad (y los riesgos) de Foursquare en Argentina. La nota completa está aquí.

En ese entonces eran pocos los servicios con características como las de Foursquare, quien permite compartir con otras personas nuestra ubicación geográfica. Mediante check-ins, podemos anunciar nuestra llegada a un bar, una cafetería, cine, teatro, una plazas y cualquier otro lugar en el que nos encontremos. Solos o con amigos.

A continuación encontrarán una guía para comprender las principales diferencias de las plataformas de geolocalización más populares.

Foursquare

Foursquare permite a los dueños de negocios crear o reclamar su lugar en la plataforma, publicar descuentos y promociones, y ofrecerlos a los usuarios de acuerdo al tipo de check-in (la primera vez que visita el lugar, la décima vez que lo hace, etc.). Es una herramienta de marketing excelente para cualquier tipo de negocio. En Argentina, Bakano Pizza fue uno de los pioneros en ofrecer beneficios a sus clientes con cada check-in.

La plataforma fue una de los pioneras en introducir el sistema “colaborativo”, en el que designa a los usuarios más expertos como Super Usuarios, otorgándoles algunos privilegios adicionales, entre ellos, la posibilidad de confirmar las ediciones de lugares sugeridas por el resto de los usuarios, unificar lugares duplicados y ejecutar otras acciones para “depurar” la base de Foursquare.

Tip: En 2010 fui designado como Super Usuario Nivel 3 de Foursquare, lo que me permite realizar cualquier tipo de acción sobre los lugares de la plataforma. ¿Sugerencias o reclamos? Dejame tu comentario con el link del lugar y un mail!

Facebook Places

En Agosto del 2010, con la llegada de Facebook Places, muchos temimos el final de Foursquare, quien no había tenido tiempo siquiera de llegar a la adolescencia.

Read moreLa guerra por la geolocalización

Nuevas extensiones de dominio (TLDs) disponibles para pre-registración

Photo by Markus Spiske on Unsplash

La Corporación de Internet para Nombres y Números Asignados (ICANN, por sus siglas en inglés) dio a conocer días atrás el listado de las nuevas extensiones de dominio, en lo que será el primer acercamiento a la utilización de dominios genéricos (gTLD). Entre los nuevos dominios, que actualmente se encuentran en proceso de pre-registración, se destacan .careers, .ceo, .club, .build, .blog, .web, .guru, .technology, .moda, .education, .support y .sexy. La lista completa, disponible en la web oficial de la ICANN incluye dominios internacionalizados, como .我爱你 y .在线 (.TeQuiero y .EnLinea respectivamente, en chino). Algunas compañías, como Microsoft, han aplicado a la posesión y administración de los dominios .bing, .skype, .docs e incluso .microsoft. Google, por su parte, aplicó para el uso de .google, .android, .youtube y .tech. Además,solicitó los derechos para usar un ideograma japonés que significa “todos”. Apple, sin embargo, aplicó únicamente para el uso del dominio .apple. Estos dominios se encuentran en proceso de selección, junto a otros más de 1900 que pueden ser consultados aquí y que se espera comiencen a estar disponibles en los próximos meses. Algunos registradores autorizados por la ICANN, como GoDaddy y Network Solutions, ya están permitiendo a sus clientes pre-registrar los dominios liberados …

Read moreNuevas extensiones de dominio (TLDs) disponibles para pre-registración

Periódicos de todo el mundo, al costo de uno local

Photo by Markus Spiske on Unsplash

Hoy día son pocos los periódicos en papel que no publican sus noticias en la web (me arriesgaría a decir que casi ninguno, pero siempre queda algún rezagado).

Lo cierto es que si bien los sitios online de los periódicos nos mantienen informados al instante de las últimas noticias (práctica de la que el diario en papel no se puede dar el lujo, salvo ocasiones especiales en las que se imprime una tercera o cuarta edición), aún les falta esa magia que ofrecen las viejas hojas de papel.

En lo personal no existe día que pueda comenzar sin periódicos. De lunes a viernes suelo adentrarme en las noticias on-line, y los fines de semana y feriados recibo los diarios en papel a través de una suscripción. A pesar de la practicidad que brindan hoy los periódicos on-line, la diagramación de noticias, el último momento y la edición impresa, no hay formato que le gane al del diario en papel.

Para los anticuados como yo, existen las suscripciones digitales. En auge hace algún tiempo en el exterior, y comenzando a ganar terreno en la Argentina, empresas del rubro como LA NACION y Clarin brindan ahora sus ediciones en formato papel de manera digital logrando una gran cantidad de adeptos.

En el caso de LA NACION, por una módica suma que asciende a los $173 mensuales, se puede acceder al servicio Kiosco LA NACION, que permite ver el periódico en formato papel bajo la comodidad de nuestro navegador de internet. Existen otras alternativas, como adquirir solo un diario a la semana, un ejemplar específico o las revistas que ofrece el grupo.

Por su parte, Clarin

Read morePeriódicos de todo el mundo, al costo de uno local

SkyDrive, renovado y al ataque!

Photo by Markus Spiske on Unsplash

Ha sido tan grande la aceptación de Outlook.com, la nueva versión del cliente de correo electrónico gratuito de Microsoft, que los empleados del gigante de software con sede en Redmond no salen de su asombro.

Según información publicada recientemente, más de 10 millones de usuarios han migrado su correo electrónico basado en la web al nuevo Outlook.com, cifras para nada esperadas por Microsoft.

Pero esta no ha sido la gran noticia del día. SkyDrive, el servicio de almacenamiento de archivos en línea por excelencia, sufrió hace algunas horas una actualización estética y funcional.

Con un diseño renovado, y siguiendo los estándares de Outlook.com orientados a facilitar el uso desde dispositivos de pantalla táctil, el nuevo SkyDrive ofrece una pantalla principal con nuestras carpetas ordenadas en forma de “azulejos”.

Con esta actualización, SkyDrive incorporó un nuevo menú contextual que permitirá tomar las acciones que hasta ayer se hacían desde la barra lateral derecha, ahora desde el margen superior de la página.

Además, ahora podremos ordenar nuestros archivos por Nombre, Fecha de modificación, Fecha de Creación y Tamaño.

 

En relación a la búsqueda dentro de SkyDrive, otra de las características favoritas de los usuarios del servicio,

Read moreSkyDrive, renovado y al ataque!