Shared posts

30 Oct 11:05

El experimento del HoneyPot en Internet de @elevenpaths: SIP & SSH under attack

by noreply@blogger.com (Chema Alonso)
Nuestros compañeros de la unidad de ciberseguridad de ElevenPaths tienen siempre un oído en la red. Nuestro servicio de CyberThreats se basa precisamente en eso, en saber qué es lo que está pasando en Internet para poder ayudar a nuestros clientes a tener algo de anticipación ante las posibles amenazas y ataques.

Figura 1: El experimento del HoneyPot en Internet: SIP & SSH under attack

Entre las cosas que se hacen en la unidad, existen proyectos de HoneyPotting, es decir, de poner servidores falsos con herramientas de "deception" o engaño, que se dejan atacar para ver qué es lo que se está explotando o probando en Internet.  Los últimos resultados, solo como forma de hacer una actualización y puesta al día los han publicado en un informe que puedes obtener y leer en SlideShare.


Entre lo más destaco, es digno de resaltar los siguientes puntos que han publicado en el blog de ElevenPaths como resumen del informe total.
  • SIP es un protocolo muy abusado en la red. Se buscan servidores vulnerables para atacar o realizar ataques a través de ellos. La herramienta más utilizada para conseguirlo es SIP Vicious, detectable por su user-agent "friendly-scanner" y con el método OPTIONS. Las direcciones IP vienen principalmente de Francia. 
  • SSH, con más de 36.000 peticiones (2.560 direcciones únicas), es el protocolo del que más tráfico se ha recibido con diferencia. Estados Unidos lidera la lista de países de origen del tráfico SSH recibido. Le sigue China y a menor distancia Holanda, Vietnam, India, Francia y Rusia. 
  • En los ataques contra servidores SSH, no se está buscando un ataque por fuerza bruta que agote por completo un diccionario de contraseñas habituales. Lo que los atacantes de este servicio buscan es el servicio mal configurado o por defecto, probando un puñado de combinaciones de contraseñas y usuarios conocidos.
  • Los usuarios intentados más repetidos son ‘root’ y ‘admin’ son, con diferencia, seguidos a distancia por ‘user’ y ‘pi’, ‘test’, ‘ubnt’, ‘guest’ o ‘ftpuser’. 
  • El tráfico restante lo componen protocolos comunes: DNS, HTTP, SNMP y algunos curiosos para Internet como DHCP.
Llaman la atención los ataques a sistemas de VoIP, algo que en muchas empresas quizá no se le presta todavía la atención necesaria. De hecho, muchos de los ataques SIP están enunciados en el informe son ampliamente conocidos y están descritos al detalle en el libro que escribió José Luis Verdeguer a.k.a. "pepelux" sobre Hacking y Seguridad VoIP.

Figura 3: Ataque SIPvicious y huella en hnneypot

Otro de los puntos destacados ha sido la cantidad de ataques SSH de todo tipo, desde ataques de Default Passwords, ataques de fuerza bruta, y, como no, actividad que en algún caso pudiera ser incluso relativa a la pruebas con el bug de Libssh del que os hablamos en el blog de ElevenPaths. La recomendación es que si tienes un servicio SSH te leas este artículo de My SSH en Paranoid Mode donde te damos algunos consejos para poner medidas de protección extra contra este tipo de vulnerabilidades en el futuro. En el libro de Hardening GNU/Linux también tienes recomendaciones para fortificar el sistema completo en caso de ser un servidor basado en kernel Linux.

Figura 4: User_Agents bots SSH

Los User-Agents de los bots más utilizados los tenéis en una tabla, y en el informe podéis ver qué tecnologías de bots se utilizan más a menudo, destacando el uso de Python como lenguaje más utilizado.

Figura 5: Ataques de países por direcciones IP

Por último, desatar la "ciberparanoia", hemos analizado la procedencia de los ataques, y aunque la mayor parte de los ataques proceden de USA, si se clasifican por direcciones únicas, el gráfico pone a China en cabeza. Pero eso no quiere decir nada, o puede decir algo, o mucho, o solo es un intento de suplantar y simular algo...o quién sabe.

Figura 6: Security Innovation Day 2018

Si quieres saber más cosas, recuerda que el próximo 7 de Noviembre en Madrid tienes una cita con todo el equipo de ElevenPaths en nuestro evento por excelencia, el Security Innovation Day. Reserva tu plaza cuanto antes.

Saludos Malignos!
29 Oct 17:57

Cómo activar el modo sandbox de Windows Defender para hacer más seguro al antivirus de Microsoft

by Gabriela González

Cómo activar el modo sandbox de Windows Defender para hacer más seguro al antivirus de Microsoft

Windows Defender es el antivirus de Microsoft que viene integrado por defecto en Windows 10, en general es un buen producto si se le da una oportunidad, pero eso no quiere decir que haya estado libre de problemas.

Varios fallos críticos en su motor de protección han motivado a Microsoft a encontrar una solución que haga al antivirus más seguro y justamente eso es lo que han hecho ahora que tiene un modo sandbox.

Qué es el modo sandbox

Windows Defender ahora puede ejecutarse en un contenedor aislado, o cómo lo explican ellos mismos "en un entorno de ejecución de procesos restrictivo" sin afectar el nivel de seguridad que ya ofrecen.

Windows Defender fue diseñado para ejecutarse con privilegios elevados, pero ese diseño lo hace un candidato ideal para ataques. El antivirus de Microsoft es bueno, pero cuando la vulnerabilidad es él mismo, como ha pasado múltiples veces, es que queda en evidencia que necesita funcionar de otra manera.

Esa manera es el nuevo modo sandbox, una que aislará los procesos de Windows Defender del resto de Windows, para que un ataque a su motor de protección antimalware no deje expuesto a todo el sistema operativo.

Cómo activar el modo sandbox en Windows 10

Administrador Windows Powershell 2018 10 29 13 17 59

El modo sandbox está disponible ya mismo para los Insiders en cuyas versiones preliminares de Windows 10 se está empezando a implementar la función. Sin embargo, el resto de usuarios que tengan instalada cualquier versión desde la 1703 en adelantes, pueden activarlo desde ya siguiendo estás instrucciones:

  • Haz click derecho el en botón de inicio
  • Selecciona Windows PowerShell (Administrador)
  • Haz click en Sí en la ventana emergente
  • En la ventana de terminal escribe:
setx /M MP_FORCE_USE_SANDBOX 1
  • Presiona Enter y reinicia tu ordenador
Administrador De Tareas 2018 10 29 13 25 01

Para comprobar que el modo sandbox está funcionando solo tienes que abrir el Administrador de Tareas y buscar "MsMpEngCP.exe" en la lista de procesos. Una vez que se haya habilitado el sandboxing, deberás ver un proceso de contenido MsMpEngCP.exe ejecutándose junto con el servicio antimalware MsMpEng.exe.

También te recomendamos

Cómo descargar un ISO oficial de Windows 10 antes de la actualización de octubre, en caso de emergencia

Integra Chrome y Firefox con el Timeline de Windows 10 gracias a esta maravillosa extensión

¿De qué tienes miedo? 10 joyas ocultas, rarezas y exquisiteces para sufrir el terror en todas sus formas

-
La noticia Cómo activar el modo sandbox de Windows Defender para hacer más seguro al antivirus de Microsoft fue publicada originalmente en Genbeta por Gabriela González .

26 Oct 08:09

Ejecución remota de comandos a través de Cisco WebEx

by noreply@blogger.com (Francisco Salido)
Cisco ha informado de una grave vulnerabilidad detectada en su cliente de videoconferencias WebEx que permitiría a un atacante remoto ejecutar comandos arbitrarios con privilegios de sistema.



WebEx es un popular servicio que permite realizar reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc. así como realizar grabaciones de las mismas.

Los investigadores Ron Bowes y Jeff McJunkin descubrieron en un pentesting rutinario esta vulnerabilidad que han bautizado como "WebExec". El fallo se encuentra en el servicio 'WebexUpdateService' y se le ha asignado el código CVE-2018-15442.

Buscando alguna forma de elevar privilegios a través del cliente de WebEx, los investigadores descubrieron dos cosas. Una: que el directorio 'c:\ProgramData\WebEx\WebEx\Applications\' podía ser escrito y leído por cualquier usuario. Y dos: que el cliente de WebEx instala el servicio 'webexservice' que puede ser iniciado y detenido por cualquier usuario. Por lo tanto, sería trivial reemplazar el ejecutable por otro y conseguir ejecutar código arbitrario con privilegios de sistema.

Esta vulnerabilidad fue reportada a Cisco, quien publicó un parche el 5 de septiembre que implementaba una 'whitelist' de aplicaciones que podían ser ejecutadas desde ese directorio. 

Los investigadores siguieron buscando alguna forma de ejecutar código por ese medio. 

Tras hacer ingeniería inversa al ejecutable 'WebExService.exe', determinaron que a través del método 'software-update', un usuario sin privilegios podía ejecutar cualquier comando de la siguiente forma:

Esto lanzaría la calculadora con privilegios de sistema.

Notar que no podemos ejecutar directamente cmd.exe o powershell, pero nada nos impide ejecutarlos a través de wmic.exe o net.exe de la siguiente forma:
 Como vemos, con privilegios de administrador:
Hasta ahora sólo hemos conseguido la ejecución local de un comando arbitrario. 
Para conseguir la ejecución remota tenemos dos opciones:

Bien iniciar sesión en la máquina remota y ejecutar el comando anterior.

O bien, podemos crear un usuario local con las mismas credenciales y ejecutar el comando contra la máquina remota en el contexto de este nuevo usuario (con 'runas /user:newuser cmd.exe'):



La vulnerabilidad fue descubierta el 24 de julio de este año y divulgada de forma responsable a Cisco, quien publicó dos parches el 5 de septiembre y el 3 de octubre que limitaban los permisos de ejecución a ejecutables firmados por WebEx. 

Se recomienda actualizar cuanto antes a las versiones Cisco Webex Meetings Desktop App Release 33.6.0 y/o Cisco Webex Productivity Tools Release 33.0.5 o posteriores.



Francisco Salido
fsalido@hispasec.com

Más información:


Technical Rundown of WebExec
https://blog.skullsecurity.org/2018/technical-rundown-of-webexec

WebExec FAQ
https://webexec.org/

Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181024-webex-injection
25 Oct 14:49

Cómo usar tu móvil como ratón y teclado para controlar tu PC o Mac

by José García Nieto

Cómo usar tu móvil como ratón y teclado para controlar tu PC o Mac

Puede que porque se te haya roto el teclado, puede que el ratón haya dejado de ir bien. Sea el motivo que sea, tanto Android como iOS te ofrecen la posibilidad de usar el móvil para sustituir a estos dos periféricos esenciales para navegar por la inmensa mayoría de sistemas de escritorio.

Para ello, simplemente necesitarás un smartphone Android con la versión 3.0 o superior o un iPhone, iPod o iPad con iOS 8.0 o superior (es decir, que tu móvil te valdrá casi con total seguridad), una aplicación instalada tanto en el smartphone como en el ordenador y, finalmente, que ambos dispositivos estén conectados a la misma red WiFi. La configuración lleva si acaso un par de minutos y puede sacarte de un apuro ante la rotura de tus periféricos. Vamos a ver cómo hacerlo.

Usar tu móvil como ratón y teclado, ¿por qué no?

Teclado

Lo primero que necesitas es instalar RemoteMouse en tu móvil. Es una app completamente gratuita, aunque se pueden aumentar las funciones pagando dos euros. Sea como sea, la versión básica es más que suficiente. Puedes descargarla desde Google Play y la App Store. Acto seguido, accede a la web del desarrollador y descarga e instala el cliente de escritorio. Este está disponible para Windows, Mac y Linux, así que elije el del sistema que uses.

La instalación no tiene ningún misterio. No instala nada ajeno al programa y se resume en pulsar "Siguiente"

Ahora abre la aplicación en el móvil y busca tu ordenador en la lista. Recuerda, es importante que ambos dispositivos estén conectados a la misma red. Cuando lo localices, pulsa sobre él y espera a que se conecte. No tarda nada. Cuando esté listo te aparecerán las instrucciones, que te resumimos aquí abajo:

  • Tocar la pantalla: clic izquierdo.
  • Dejar pulsada la pantalla: clic derecho.
  • Desplazamiento con dos dedos: scroll vertical u horizontal, según hacia dónde lo hagas.
  • Separar o juntar los dedos: zoom in y zoom out (solo en Mac).
  • Arrastrar con tres dedos: mover una ventana.

Ahora puedes usar tu dedo como si del ratón se tratase. En los ajustes de la app (que puedes desplegar pulsando sobre las cuatro rayitas de la parte superior izquierda) puedes activar el sensor de movimiento para que al mover el móvil se mueva el cursor, aunque es un poco incómodo.

Remote Mouse

Si pulsas sobre el botón de las pantalla que hay justo a su derecha accederás a los controles de potencia, que permiten apagar, reiniciar e hibernar el ordenador. El icono de las pestañas (cuarto por la izquierda) te mostrará los programas que tengas abiertos en el equipo para acceder directamente. El icono del teclado activa el teclado (valga la redundancia) y que es el que nos ha permitido escribir esta línea de texto. Justo a su derecha está la opción para activar el teclado numérico.

No hay ningún tipo de lag o retardo desde que pulsas hasta que el cursor se mueve, es inmediato. La aplicación funciona realmente bien y no hemos tenido ningún problema durante nuestras pruebas, más allá de que el móvil tiene que estar todo el rato encendido y eso consume mucha batería.

También te recomendamos

Estos proyectos te servirán de inspiración para dedicarte al sector de la realidad virtual

Copy Space: una app para sincronizar archivos y portapapeles entre Windows, Mac, Android y iOS

Cómo cambiar el aspecto del puntero del mouse en Windows 10

-
La noticia Cómo usar tu móvil como ratón y teclado para controlar tu PC o Mac fue publicada originalmente en Genbeta por José García Nieto .

25 Oct 10:03

Presentaciones con H5P

by Raquel Galán Guerrero
Trabajando con Moodle, me he encontrado con esta herramienta de creación de contenidos que me ha parecido muy interesante! H5P

https://h5p.org

Algunas características:
  • H5P es una herramienta de creación de contenido gratuito y de código abierto basado en JavaScript . 
  • H5P es una abreviatura de Paquete HTML5, y tiene como objetivo hacer que sea fácil para todos crear, compartir y reutilizar contenido interactivo de HTML5.
  • Tiene como objetivo hacer que sea fácil para todos crear, compartir y reutilizar contenido interactivo de HTML5.
  • Consiste en un editor de contenido basado en web, un sitio web para compartir distintos tipos de contenidos y complementos para los CMS existentes.
  • Actualmente existen cuatro integraciones de plataforma: DrupalWordPress, Tiki y Moodle.
Sencilla de utilizar ofrece multitud de tipos de contenidos, aquí explico cómo crear presentaciones de forma fácil, y qué mejor forma que utilizando la propia herramienta de presentación de H5P.


Nos vemos!
25 Oct 10:02

Bnext: Una cuenta sin banco y sin comisiones en tu teléfono

by Eder Ferreño

Bnext para Android

La banca móvil ha evolucionado de forma notable con el paso del tiempo. Ahora, es muy sencillo poder gestionar nuestra cuenta bancaria usando nuestro teléfono Android. Aunque ahora llega una aplicación que va a hacer las cosas mucho más simples, cómodas y te permitirá ahorrar dinero. Se trata de Bnext, que te va a permitir crear una cuenta sin banco desde tu teléfono con sencillos pasos, sin comisiones ni condiciones. Además, te devuelve las comisiones que otros te cobran y te regalan 10 € por registrarte y otros 10€ si invitas a un amigo y él también se registra. La alternativa perfecta a un banco.

La combinación perfecta para todos los usuarios. Una tarjeta que podrás usar en todo momento sin que importe el lugar en el que estás. Y la ausencia de comisiones hace que sea realmente ventajoso. Se acabó tener que pagar por servicios que tu banco tendría que darte de manera gratuita. Bnext llega para dar mucho que hablar.

¿Qué es Bnext?

Logo Bnext

Bnext es una aplicación que podemos instalar en nuestro teléfono Android. Gracias a ella vamos a poder crear nuestra propia cuenta, que vamos a gestionar de forma sencilla en la aplicación. Con esta cuenta en la app recibiremos además una tarjeta, con la que vamos a poder hacer pagos en tiendas o sacar dinero en cajeros en todos los bancos. Todo lo que hagas lo vas a poder controlar desde tu teléfono móvil.

Una tarjeta en la que vas a poder tener dinero ahorrado, pero podrás llevar a cabo multitud de acciones. Bnext permite enviar o recibir dinero de amigos de forma tan sencilla como mandar un Whatsapp. Si quieres hacer algo con tu dinero, te dan acceso a una gran selección de productos financieros, para que puedas llevar tus propios proyectos a cabo. Además, si tenemos dudas, hay disponible un chat para poder hablar con trabajadores en todo momento y consultar cualquier aspecto que nos genere dudas.

La ausencia de comisiones es una de las grandes ventajas de Bnext. No nos van a cobrar comisiones por usar la tarjeta. Además, con la tarjeta vamos a poder sacar dinero en cualquier cajero. Y si en dicho cajero se nos cobra una comisión, ellos nos van a devolver dicha comisión en todo momento. Así podremos sacar dinero en cualquier parte, en España, sin preocupación alguna.

Abrir una cuenta en Bnext es realmente sencillo, se tarda apenas cinco minutos en tenerlo todo listo. Por lo que no vais a tener problema alguno en este proceso. Además, la aplicación estrena ahora un nuevo diseño, que hace que el uso de la misma os vaya a resultar mucho más simple que antes.

Tarjeta Bnext

Bnext app

Cuando te haces de Bnext, descargándote la aplicación, debes solicitar la tarjeta para poder hacer pagos o sacar dinero en cajeros automáticos en toda España y en todo el mundo. Es una tarjeta VISA, lo que facilita su uso en todo tipo de situaciones y comercios, ya que VISA es aceptada en todo el mundo, lo que nos resulta de gran comodidad.

Se trata de una tarjeta prepago, por lo que vamos a cargar saldo en la misma para poder hacer compras o pagos de cualquier tipo. Esto evita que se gaste más dinero del que hay en la tarjeta.

Cuando abramos una cuenta con Bnext, vamos a tener que llevar ciertos pasos a cabo. Al tratarse de una aplicación fintech, el usuario tiene que enviar una foto del DNI por ambas caras. Se trata de un requisito legal que la empresa debe cumplir en todo momento, para evitar que se abran cuentas fraudulentas en su aplicación.

Llévate 10 euros de saldo extra en Bnext

Bnext tarjeta app

Con motivo del rediseño de su aplicación, desde Bnext traen una promoción especial para los usuarios. Si descargas la app, creas una cuenta, activas la tarjeta y cargas los 25€ de saldo necesarios, vas a obtener 10 euros gratis por parte de la empresa. Los podrás usar para lo que quieras, ya sean compras o sacar el dinero en un cajero. Puedes saber más sobre la aplicación y registrarte para descargarla en este enlace.

Si además invitas a un amigo y él también activa su tarjeta, los dos recibiréis otros 10€ gratis. Es decir, en total ganáis 20€ al activar.

Sin duda, una buena oportunidad para disfrutar de la mejor alternativa a la banca móvil del mercado. Te vas a olvidar de las comisiones y las complicaciones con Bnext. Eres tú el que decide si quiere cargar saldo en la tarjeta, no vas a tener que pagar nunca comisiones por nada de lo que hagas y la app para Android es realmente fácil y cómoda de usar.

Al pedir la tarjeta, el usuario va a tener que añadir 25 euros a dicha tarjeta, en forma de saldo. Aunque la propia empresa te va devolver este dinero luego. Lo podrás sacar luego en cajeros o pedirlo a la empresa, como ya hemos mencionado. Una de las grandes ventajas que Bnext ofrece es que la tarjeta está vinculada a la app pero no a tu cuenta bancaria.

Esto quiere decir que puedes recargar saldo en la tarjeta, de manera que la podrás usar para hacer pagos en comercios siempre que quieras. También la puedes usar para compras online. En tus compras, solo se podrá gastar el saldo que hay en la misma, nunca será posible gastar más de lo que hay. Esto es una medida que protege a los usuarios en caso de robo o pérdida de la tarjeta. Y al no estar vinculada a tu cuenta, nunca le va a pasar nada a tu dinero.

No dejes escapar esta oportunidad de tener la mejor aplicación de banca móvil en tu teléfono Android, además de poder llevarte 10 euros gratis de saldo para tu cuenta. Todo lo que tienes que hacer está en la en la propia web de Bnext. Descarga ya la nueva app rediseñada que ya disfrutan más de 90.000 usuarios activos.

25 Oct 09:33

Con esta herramienta he creado mi propia landing page personal con dominio personalizado y SSL

by José García Nieto

Con esta herramienta he creado mi propia landing page personal con dominio personalizado y SSL

Dicen que una de las mejores inversiones que puedes hacer en la vida es comprar un dominio con tu nombre. Nunca sabes cuándo lo vas a necesitar y, habiendo 7.000 millones de personas en el mundo, seguro que hay alguien que se llama como tú, por lo que cuanto antes te hagas con él, mejor. ¿Para qué puedes usarlo? Entre otras cosas, para crear una landing personal con la que tener presencia en Internet y aparecer cuando alguien busque tu nombre en Google.

Esto puedes hacerlo de varias formas. La más común es usar un WordPress con hosting de pago o una plataforma como About.me. Sin embargo, hay una nueva herramienta con poco más de una semana de vida que se llama Rebout.me que no solo es completamente gratuita, sino que permite añadir un dominio personalizado, enlaces a tus redes sociales y hasta diferentes páginas con texto, fotos y vídeos para darle al visitante más información sobre ti.

Una landing page gratuita con tu nombre (o lo que prefieras)

Landing Page

Para crear tu propia página simplemente debes acceder a la web y seleccionar "Start building online". El editor es completamente visual y no necesitaras conocimientos avanzados de programación ni nada por el estilo. Simplemente debes introducir tu nombre, una descripción personal y, si lo deseas, una llamada a la acción que se convertirá en un botón. Yo, por ejemplo, he puesto "¿Hablamos?" con mi enlace a Telegram.

Si pulsas sobre el botón "+" podrás añadir botones sociales para redirigir a tus contactos a tu Twitter, Facebook, Linkedin, Instagram, blog en Medium o portfolio. Estos aparecerán del color predominante de la red social y se animarán al pasar el ratón por encima, lo que le da un toque más interactivo.

Sobre Mi

Pulsando sobre el botón "+ Page" podrás añadir una página extra. Esto es útil para un apartado como "Mi trabajo" o "Sobre mí". En ella podrás escribir texto y formatearlo, añadir enlaces, fotos y vídeos. De esa forma, si alguien quiere ampliar información sobre tu perfil o ver los trabajos que has hecho previamente pueden hacerlo fácilmente. Puedes añadir tantas páginas como quieras.

Si pulsas sobre el botón "Background" podrás cambiar el fondo de pantalla. Por defecto es blanco, pero puedes subir una imagen, usar una imagen aleatoria según etiquetas (si escribes "tech" saldrán imágenes de tecnología, por ejemplo), un color plano, un vídeo de YouTube o Vimeo o un mapa con la localización de tu oficina, tu casa o tu ciudad.

Landing Page Personal El resultado final es algo parecido a esto.

Cuando la tengas lista, pulsa en "Save", elige un nombre de usario y guárdala. Por defecto, la dirección será rebout.me/usuario, pero la herramienta ofrece la posibilidad de configurar un dominio personalizado gratis que, de hacerlo durante las primeras 24 horas tras crear la página, va con certificado SSL gratuito incluido. Esto es imprescindible para que Google no marque la página como insegura y favorezca el posicionamiento en navegadores.

Tu propio dominio con SSL

Rebout

Para configurar el dominio, una vez hayas editado la página, tendrás que pulsar sobre tu foto de perfil e ir a "Settings". Una vez allí, accede a "Domain", introduce tu dominio personalizado y, en tu proveedor de dominio, guardar el registro CNAME y A que te ofrece Rebout.me. A título personal siempre suelo usar Namecheap, pero puedes usar otro como GoDaddy, Google o 1and1.

Cuando lo hayas hecho tendrás que esperar entre 24 y 48 horas a que los DNS se propaguen y apunten a tu página. En menos de un día tendrás el SSL activado. La plataforma apunta a la dirección HTTP, pero el desarrollador nos explicó que está actualizando la plataforma para que redirija automáticamente a la dirección HTTPS.

También te recomendamos

7 editores de vídeo online y gratuitos para hacer trabajos rápidos en tu navegador

Estos proyectos te servirán de inspiración para dedicarte al sector de la realidad virtual

Cómo ocultar Facebook, Reddit y otras webs (y que parezca que estás trabajando)

-
La noticia Con esta herramienta he creado mi propia landing page personal con dominio personalizado y SSL fue publicada originalmente en Genbeta por José García Nieto .

25 Oct 07:32

Another Windows 0-day flaw has been published on Twitter

by Peter Bright

SandboxEscaper, a researcher who back in August tweeted out a Windows privilege escalation bug, has published another unpatched Windows flaw on Twitter.

The new bug has some similarities to the previous bug. Windows services usually run with elevated privileges. Sometimes they perform actions on behalf of a user, and to do this they use a feature called impersonation. These services act as if they were using a particular user's set of privileges. After they've finished that action, they revert to their normal, privileged identity.

Both this bug and SandboxEscaper's previous bug depend on improper use of impersonation—specifically, the services in question (last time it was Task Scheduler, this time it's the "Data Sharing Service") revert their impersonation too quickly and end up performing some actions with elevated privileges when they should in fact have been impersonated. The last bug allowed one file to be written over another. In this case, it's a call to delete a file that is improperly impersonated, ultimately giving regular unprivileged users the ability to delete any file on the system, even those that they should have no access to.

Read 3 remaining paragraphs | Comments

22 Oct 09:51

Google cobrará hasta 40 dólares por incluir PlayStore en los móviles con Android vendidos en Europa

Google cobrará hasta 40 dólares por incluir PlayStore en los móviles con Android vendidos en Europa


Los fabricantes que quieran incluir acceso a la Play Store y otras aplicaciones de Google en los smartphones que vayan a vender en Europa deberán abonar hasta 40 dólares por unidad a la compañía, según revelan los documentos confidenciales a los que ha tenido acceso The Verge. Las tarifas, que varían en función del país y los píxeles por pulgada (ppp) del dispositivo, se aplicarán a todos los terminales que se activen en Europa a partir del 1 de febrero de 2019. Sin embargo, después de pagar la licencia los fabricantes tienen la opción de llegar a un acuerdo por separado con Google.… Leer noticia completa y comentarios »
18 Oct 11:52

Así es la Frite, la alternativa a Raspberry Pi más reciente

by Juan Antonio Pascual
concepto raspberry pi
Raspberry Pi tiene un nuevo competidor en el mercado. Se trata de la Frite, y sería el equivalente a la Raspberry Pi 3 Model B+. Eso sí, se diferencia de este último en el precio, que parte de los 9 euros. Descubre todas las prestaciones de este micro PC.
18 Oct 09:57

Ni el Pentágono cambia sus contraseñas, encuentran que la mayoría de los sistemas de armas de EEUU son fáciles de hackear

by Gabriela González

Ni el Pentágono cambia sus contraseñas, encuentran que la mayoría de los sistemas de armas de EEUU son fáciles de hackear

Las malas prácticas en ciberseguridad no se limitan a los usuarios que usan la misma contraseña en todas sus cuentas, o a servicios en linea que no utilizan conexiones cifradas. Lamentablemente a la hora de proteger sistemas críticos y peligrosos como los de armas, hasta el arsenal militar de los Estados Unidos tiene problemas.

La Oficina de Responsabilidad del Gobierno de la nación norteamericana acaba de encontrar múltiples vulnerabilidades críticas en casi todos los sistemas de armas probados entre el año 2012 y 2017, incluyendo todos los sistemas de misiles.

Un reporte de 50 páginas emitido por el Comité de Servicios Armados del Senado muestra hallazgos sumamente alarmantes y hasta un poco increíbles, como el hecho de que el mismo Pentágono no cambió las contraseñas por defectos en múltiples de sus sistemas, y una de las contraseñas que sí cambiaron fue adivinada en nueve segundos.

Varios equipos enviados por la Oficina de Responsabilidad del Gobierno dejaron en evidencia en varias ocasiones a los sistemas. Por ejemplo, entre solo dos personas pudieron ganar acceso inicial a los sistemas de armas en apenas una hora, y tomar el control total les tomó solo 24 horas.

Un equipo de dos personas pudo tomar control total de los sistemas de armas del Ejército de los Estados Unidos en apenas 24 horas

Muchos de los equipos fueron capaces de copiar, cambiar o borrar datos del sistema, uno incluso logró descargar 100 GB de información. El comité encargado del reporte explica que ni el Pentágono conoce la escala completa de las vulnerabilidades en sus sistemas de armas.

Varias de las vulnerabilidades son básicamente inaceptables, a pesar de que tome muchos años desarrollar sistemas de armas que están basados en otros mucho más antiguos, cosas como ni siquiera cambiar las contraseñas o actualizar el software de sistemas tan críticos, son más que alarmantes.

Foto de portada | U.S. DefenseImagery
Vía | BBC

También te recomendamos

La Casa Blanca elimina el cargo de coordinador de ciberseguridad

Trump ignora a los expertos en seguridad de la Casa Blanca y sigue tuiteando desde su teléfono sin ninguna precaución

Lavadora con función vapor: qué es y cómo debe utilizarse

-
La noticia Ni el Pentágono cambia sus contraseñas, encuentran que la mayoría de los sistemas de armas de EEUU son fáciles de hackear fue publicada originalmente en Genbeta por Gabriela González .

18 Oct 09:54

Vulnerabilidad conocida en Mikrotik WinBox, más crítica de lo esperado.

by noreply@blogger.com (M. Salinas)

Este nuevo ataque desarrollado por Tenable Research, podría permitir a usuarios maliciosos hacerse con el control de los routers Mikrotik para desplegar malware en la red, minar criptomonedas, o evitar las restricciones configuradas en estos dispositivos.






La vulnerabilidad (CVE-2018-14847), publicada en Abril de este mismo año, fue calificada con severidad media. Sin embargo, investigadores de Tenable Research han liberado una nueva prueba de concepto basada en dicha vulnerabildad, utilizando una nueva técnica que permite evadir la autenticación de RouterOS y permitir la ejecución remota de código arbitrario.
Este fallo usa WinBox (pequeña utilidad gráfica para administrar RouterOS) como vector de ataque, aunque la vulnerabilidad es en sí misma, de RouterOS.


El funcionamiento de esta nueva prueba de concepto es simple; en primer lugar se obtienen las credenciales del usuario administrator del dispositivo para después escribir un fichero en el router (con ayuda de las credenciales extraidas) con el que finalmente el atacante puede conseguir acceso con los máximos privilegios (root).

Las versiones afectadas por esta vulnerabilidad son:
bugfix release: desde 6.30.1 hasta 6.40.7
current release: desde 6.29 hasta 6.42
RC release (Release Candidate): desde 6.29rc1 hasta 6.43rc3

Ya hablamos en anteriores entradas de las vulnerabilidades que continuamente amenazan a estos dispositivos, por lo que como siempre, se recomienda actualizar el sistema operativo de los routers afectados a la última versión disponible y adicionalmente, impedir la salida de los puertos de administración asociados a los componentes Webfig y Winbox.





M. Salinas
msalinas@hispasec.com

Más información:


Reporte de Vulnerabilidad Mikrotik:
https://blog.mikrotik.com/security/winbox-vulnerability.html

Prueba de concepto de Tenable Research:
https://github.com/tenable/routeros/tree/master/poc/bytheway

Código CVE asociado a esta vulnerabilidad:
https://www.cvedetails.com/cve/CVE-2018-14847/







18 Oct 09:28

Introducing the Raspberry Pi TV HAT

by Roger Thornton

Today we are excited to launch a new add-on board for your Raspberry Pi: the Raspberry Pi TV HAT, on sale now at $21.50.

A photograph of a Raspberry Pi a TV HAT with aerial lead connected Oct 2018

The TV HAT connects to the 40-pin GPIO header and to a suitable antenna, allowing your Raspberry Pi to receive DVB-T2 television broadcasts.

A photograph of a Raspberry Pi Zero W with TV HAT connected Oct 2018

Watch TV with your Raspberry Pi

With the board, you can receive and view television on a Raspberry Pi, or you can use your Pi as a server to stream television over a network to other devices. The TV HAT works with all 40-pin GPIO Raspberry Pi boards when running as a server. If you want to watch TV on the Pi itself, we recommend using a Pi 2, 3, or 3B+, as you may need more processing power for this.

A photograph of a Raspberry Pi 3 Model B+ with TV HAT connected Oct 2018

Stream television over your network

Viewing television is not restricted to Raspberry Pi computers: with a TV HAT connected to your network, you can view streams on any network-connected device. That includes other computers, mobile phones, and tablets. You can find instructions for setting up your TV HAT in our step-by-step guide.

A photograph of a Raspberry Pi 3 Model B+ with TV HAT connected Oct 2018 A photograph of a Raspberry Pi a TV HAT with aerial lead connected Oct 2018 A photograph of a Raspberry Pi Zero W with TV HAT connected Oct 2018

New HAT form factor

The Raspberry Pi TV HAT follows a new form factor of HAT (Hardware Attached on Top), which we are also announcing today. The TV HAT is a half-size HAT that matches the outline of Raspberry Pi Zero boards. A new HAT spec is available now. No features have changed electrically – this is a purely mechanical change.

Raspberry Pi TV HAT mechanical drawing Oct 2018

A mechanical drawing of a Raspberry Pi TV HAT, exemplifying the spec of the new HAT form factor. Click to embiggen.

The TV HAT has three bolt holes; we omitted the fourth so that the HAT can be placed on a large-size Pi without obstructing the display connector.

The board comes with a set of mechanical spacers, a 40-way header, and an aerial adaptor.

A photograph of a Raspberry Pi TV HAT Oct 2018

Licences

Digital Video Broadcast (DVB) is a widely adopted standard for transmitting broadcast television; see countries that have adopted the DVB standard here.

Initially, we will be offering the TV HAT in Europe only. Compliance work is already underway to open other DVB-T2 regions. If you purchase a TV HAT, you must have the appropriate licence or approval to receive broadcast television. You can find a list of licences for Europe here. If in doubt, please contact your local licensing body.

The Raspberry Pi TV HAT opens up some fantastic opportunities for people looking to embed a TV receiver into their networks. Head over to the TV HAT product page to find out where to get hold of yours. We can’t wait to see what you use it for!

The post Introducing the Raspberry Pi TV HAT appeared first on Raspberry Pi.

18 Oct 08:40

Otro bug de la última actualización de Windows 10 genera problemas con el brillo tras cada reinicio

by Antonio Sabán

Otro bug de la última actualización de Windows 10 genera problemas con el brillo tras cada reinicio

Windows 10 October 2018 Update quedará marcada durante mucho tiempo como la peor actualización que se recuerda de un sistema operativo moderno. Tanto que Microsoft tuvo que retirarla cuando comenzó a recibir quejas de que tras actualizar, el sistema estaba borrando archivos. Como sabemos, la cosa no quedó ahí. Microsoft también confirmó que las versiones 1803 y 1809 de Windows 10 hacen que el sonido deje de funcionar.

La noticia hoy es que en la versión 1809 también hay problemas con el brillo de la pantalla. Muchos usuarios están reportando en los foros de Microsoft que cuando se reinicia el ordenador, el brillo baja automáticamente al 0% o al 25%, algo perfectamente perceptible ya que puede significar pantalla casi en negro, hecho que se agrava si se pretende utilizar el ordenador en ambientes de mucha luminosidad.

A la espera de una actualización de octubre sin problemas

Microsoft sigue sin relanzar la Windows 10 October 2018 Update, y los usuarios que han informado de este problema indican que incluso cuando suben el brillo tras la bajada automática del sistema, un reinicio vuelve a producir un brillo atenuado en exceso en las pantallas. Según uno de los usuarios, podría deberse a que Microsoft estaría migrando el control de brillo del los ajustes de energía a los ajustes de pantalla, pero no ha llegado a añadir función a su nuevo hogar.

A diferencia del bug encontrado con los controladores de sonido, Microsoft aún no ha reconocido el problema, y la última actualización acumulativa no lo soluciona en los casos de los usuarios que se han quejado. Al final, parece que la actualización de octubre puede llegar, tal como se anticipó, en noviembre. Aunque no haya sido por los motivos inicialmente planeados por Microsoft.

Por este y por los otros casos, de momento parece mejor evitar a toda costa actualizar, incluso cuando se relance la actualización, pues si Microsoft no reconoce algunos bugs, podrían seguir presentes en esa y en futuras versiones, aunque el crítico, el del borrado de documentos, sí se solvente. La cosa no parece tener fin, y es que en algunos ordenadores HP, también se están dando pantallas azules de la muerte.

Vía | Softpedia

También te recomendamos

Se-Yeon “Geguri” Kim, la jugadora profesional de Overwatch que triunfa en Corea

Windows 10 no verifica si un equipo tiene el espacio necesario para actualizar, así que debes hacerlo tú mismo

El peor enemigo de Windows 10 es Windows Update

-
La noticia Otro bug de la última actualización de Windows 10 genera problemas con el brillo tras cada reinicio fue publicada originalmente en Genbeta por Antonio Sabán .

18 Oct 08:26

Esto es un problema, más del 60% de todas las webs en Internet usan una versión de PHP que estará muerta a final de 2018

by Gabriela González

Esto es un problema, más del 60% de todas las webs en Internet usan una versión de PHP que estará muerta a final de 2018

Básicamente, en 10 semanas tendremos a más de la mitad de los sitios web expuestos a potenciales problemas de seguridad, si después del año nuevo se encuentra alguna vulnerabilidad en PHP 5.x.

De acuerdo a las estadísticas de W3Techs, el 61.7% de todos los sitios web cuyo lenguaje de programación del lado del servidor conocemos, utilizan actualmente PHP 5.x, y PHP 5.6 dejará de tener soporte el 31 de diciembre de 2018, es decir que dejarán de recibir actualizaciones de seguridad para su servidor y para las tecnologías subyacentes.

Esto es un gran problema porque simplemente se expone a cientos de millones de sitios web a graves riesgos de seguridad, y si algo ha demostrado la historia reciente, podemos poner el simple ejemplo de HTTPS, es que hacer que la mayoría de la web se pase a la última versión de cualquier tecnología a tiempo, no es nunca una labor fácil.

Un problema para el ecosistema PHP

PhpPhp

PHP, explicado de la forma más simple, es un lenguaje de scripting que ayuda a las personas a hacer que las páginas web sean más interactivas al permitirles hacer más cosas. Es un lenguaje del lado del servidor diseñado para el desarrollo web, aunque también es usado como un lenguaje de programación general.

Por ejemplo, con PHP un sitio web puede hacer cosas como tener usuarios y contraseñas. Si un sitio web no está programado con lenguajes como PHP, no puede hacer la mayoría de las cosas a las que estamos acostumbrados aparte de mostrar texto, enlaces e imágenes de forma simple.

Aproximadamente el 78% de todos los sitios web (los que no ocultan sus tecnologías y se pueden cuantificar) utilizan alguna versión de PHP, pero la mayoría usa versiones viejas.

Toda la rama actual de las versiones 5.x de PHP son sumamente antiguas, PHP 5.6 se lanzó en agosto de 2014, su soporte activo terminó en 2017, hace casi dos años. Su soporte de seguridad se acaba, como ya dijimos, a finales de 2018. La versión más reciente es PHP 7.2, que fue lanzada en noviembre de 2017 y que tendrá soporte de seguridad hasta noviembre de 2020.

Captura De Pantalla 2018 10 17 A Las 12 20 01Captura De Pantalla 2018 10 17 A Las 12 20 01 En verde: soporte activo En naranja: solo actualizaciones de seguridad En rojo: sin soporte PHP.net

WordPress, uno de los sistemas de gestión de contenidos más usados y conocidos (más de un cuarto de todos los sitios web usan WordPress), recomienda en su página de requerimientos el uso de PHP 7.2, pero explican que siguen soportando PHP 5.2.4 y posteriores, a pesar de advertir que son versiones sin soporte y que podrían exponer tu sitio a vulnerabilidades de seguridad.

WordPress se niega a dejar de dar soporte a PHP 5.2, y para algunos el CMS es también parte del problema

Esto es especialmente problemático, y para el experto Scott Arciszewski, WordPress es la principal fuente de inercia en el ecosistema por negarse a eliminar el soporte para PHP 5.2.

La buena noticia al menos, es que PHP no ha tenido ninguna vulnerabilidad crítica en su historia reciente, y aunque eso le da paz mental a algunos, otros creen que ahora que muera el soporte de PHP 5.6 y siga siendo tan ampliamente utilizado, las vulnerabilidades empezarán a aparecer y a ser explotadas. Solo el tiempo nos dirá, pero lo responsable sin duda es actualizar.

También te recomendamos

Por qué es importante que actualicemos nuestro navegador antes de que termine junio

Casi 50.000 webs que usan WordPress infectadas con malware que mina criptomonedas

Se-Yeon “Geguri” Kim, la jugadora profesional de Overwatch que triunfa en Corea

-
La noticia Esto es un problema, más del 60% de todas las webs en Internet usan una versión de PHP que estará muerta a final de 2018 fue publicada originalmente en Genbeta por Gabriela González .

18 Oct 07:09

Intenté robar cosas en el supermercado del futuro y tengo una mala noticia: es imposible

by Eduardo Marín

Amazon Go es el supermercado del futuro, al menos según la compañía de Jeff Bezos, fundador del gigante de las compras por internet. Recientemente tuve la oportunidad de visitar una de estas tiendas y me hice la pregunta que muchos seguro se están haciendo: en un supermercado sin cajeros ni filas, ¿se puede robar?

Read more...

17 Oct 08:25

Cómo desbloquear tu PC con Windows con el sensor de huellas de tu móvil Android

by Manuel Ramírez

Desbloquear Windows con el sensor de huellas

Sí, puedes desbloquear tu PC con Windows al usar el sensor de huellas en tu móvil Android. Es decir, tienes en tu mano la opción de añadir esa forma de desbloqueo para usar el sensor de huellas que mismamente tienes en tu móvil y que sueles usar diariamente.

Para ello vamos a contar de la ayuda de una app llamada Remote Fingerprint Unlock que es la encargada de realizar toda la magia. Una característica que ha podido ser vista en Samsung Flow para desbloquear remotamente el PC o incluso con una app llamada Unified Remote, aunque con esta nueva todo se hace más fácil.

Una gran solución para desbloquear tu PC

Sensor de huellas

Hace dos años pudimos contar con un plugin de Tasker llamado AutoTools y una app conocida por Unified Remote que de manera conjuntamente permitía desbloquear remotamente el PC con el sensor de huellas de un móvil Android. El script que se usaba para Tasker se encargaba de utilizar Autotools para autentificar la huella dactilar, mientras que Unified Remote hacía lo suyo con las pulsaciones y gestos remotos para desbloquear el PC.

Todo este “rollo” permitía realizar la misma función que ahora consigue Remote Fingerprint Unlock, o mismamente Samsung Flow. El mismo desarrollador se preguntó cómo no podría una app de terceros hacer lo mismo que la de Samsung.

Los requisitos de Remote Fingerprint Unlock

Remote Fingerprint Unlock es compatible con las siguientes configuraciones del dispositivo.

  • Se necesita arquitecturas x86 o x64.
  • Las ediciones de Windows: Vista, 7, 8 o 10.
  • Android 6.0 o superior.

Hay que decir que tenemos dos versiones. Una gratuita y otra de pago. La gratuita permite desbloquear remotamente tanto cuentas Microsoft online y loca a través del sensor de huellas. Solamente puede ser activada en un PC con una cuenta para el desbloqueo y ofrece soporte a Wi-Fi Tethering.

Outlook

Por 1,69 euros tienes disponible la versión pro que elimna la publicidad, permite añadir múltiples PCs, múltiples cuentas y ofrece soporte a la función Wake-on-Lan de tu PC con Windows.

Por lo que podemos probar perfectamente si realmente estar desbloqueando el ordenador con el sensor de huellas es para nosotros. Ahora vamos con los pasos a seguir para configurar adecuadamente la solución.

Cómo desbloquear tu PC con el sensor de huellas

Huella digital

Configurar la app Remote Fingerprint Unlock es bastante sencillo. Solamente necesitamos descargarla a nuestro teléfono Android e instalar el módulo Windows Fingerprint Credential Module y seguir los distintos pasos para completar el proceso.

Queda ya bastante claro que necesitaremos una cuenta de Microsoft en nuestro ordenador para que todo funcione perfectamente. No es la misma cuenta que configuráis para iniciar sesión con la contraseña, sino que tendréis que vincular vuestro PC a una cuenta de Microsoft, ya sea de outlook o hotmail.

  • Descargamos e instalamos Remote Fingerprint Unlock:

Remote Fingerprint Unlock (Free, Google Play) →

  • Ahora es el momento de descargar e instalar Windows Fingerprint Credential Module en nuestro PC: descarga el programa.
  • Abrimos la app de Android y nos vamos a la sección de “Scan”.

Escanear

  • Comenzamos a escanear para encontrar nuestro PC con Windows.
  • Pulsamos en el PC que queremos configurar y le damos un nombre. Si tenemos la versión PRO de la app de Android podemos enviar un paquete Wake-on-LAN.
  • Ya añadido el PC, hemos de dirigirnos a la sección de Cuentas “Account”.
  • Pulsamos sobre “Add Account” e introducimos el nombre de usuario y la contraseña de la cuenta que queremos desbloquear remotamente.

Añadir cuenta

  • Justo después de añadir la cuenta con la que queremos desbloquear el PC, pulsamos en el nombre de la cuenta, para que aparezca “Selected” después del nombre. Si no realizamos este paso, encontraremos un mensaje de error que dirá que no hay ninguna cuenta por defecto seleccionada (no default account has been selected).
  • Ahora intentaremos desbloquear el PC. Tendremos que ver un nuevo usuario llamado “Fingerprint Unlock” y si el módulo está activo, veremos el mensaje indicándolo:

remote

  • Abrimos la app Remote Fingerprint Unlock para irnos a la sección “Unlock”.
  • Escaneamos la huella y nuestro PC con Windows se debería de desbloquear automáticamente.

Con esto ya tendremos desbloqueado el PC con Windows con el sensor de huellas. Una app que da un gran servicio y que recomendamos su uso si queréis desbloquear vuestro PC de otra forma. Os dejamos con el post en XDA Forums para que sigáis su desarrollo.

17 Oct 08:03

Crea una Infoweb con Google Sites.

by Franco Utrera
 Infoweb con Google Sites.
Diseñado por Freepik


Recientemente tuve la oportunidad de impartir una asignatura de Tecnología Educativa, para la Maestría en Desarrollo  Pedagógico que se imparte en la Universidad de Oriente, Campus Cancún.  Por lo regular acostumbro crear blogs  individuales con los estudiantes para que estos nos sirvan como portafolio de evidencias, sin embargo en esa ocasión necesitaba aprovechar más el tiempo y no podía dedicar toda una clase a exponer como crear un blog con blogger.

Fue así que recorde el Post de Juan Carlos donde nos hablaba sobre el nuevo diseño de Google Sites y lo bien que había quedado. Para serles Franco nunca me gusto la versión anterior de Google Sites, pero esta nueva versión sin duda me atrapo. ¡Gracias por el tip Juan Carlos!


Porque usar Google Sites.


La razón de elegir Google sites es una sola su Sencillez, sin duda Google ha creado un producto muy interesante que además de ser muy sencilla de usar en la construcción de sitios web, el conectarse con otros productos de Google como Google Drive y Youtube, le agregan un gran valor a este producto, sin duda alguna.

Google Sites cumplía con lo que requería una herramienta en línea sencilla que nos ayudará a usarla de forma muy rápida para enfocarnos en lo que requeríamos que es la generación de contenidos.

Infografía + página web = Infoweb.


Una vez que habíamos empezado a generar contenido como producto de las clases, pensé en ver herramientas para crear infografías en línea, una de los retos era ver si existan infografías que permitieran la inserción de enlaces, sin embargo por cuestiones de tiempo ya no hice la búsqueda.

Fue ahí donde una luz del cielo me ilumino💡 jejeje, y se me ocurrió porque no crear sitios web sencillos usando Google Sites como si fueran infografías.  Es decir el concepto de infografía llevado a la web, pero aprovechando recursos como video en línea, enlaces, entre muchos otros recursos.

Una de las grandes ventajas que tiene Google sites para hacer esto es el trabajo en bloques, puedes por ejemplo elegir un tema y presentarlo en bloques en el sitio web.  De esta manera el aprendizaje sería mucho mejor porque los estudiantes investigarían sobre los conceptos a presentar, extractarían la información que presentarían, elegirían como presentarla y estructuraría la información.

De esta manera aplicaríamos 3 de los 4 componentes del Aprendizaje 2.0 que Cristobal Cobo Hugo Pardo Kuklinski definieron en su libro Planeta Web 2.0

  • Aprender Buscando.
  • Aprender Haciendo.
  • Aprender Compartiendo.


Un ejemplo de Infoweb.


Después de lo anterior me puse a trabajar en una ilustración de la idea la cual a continuación te comparto, esta accesible en mapamentalonline.info en esta infoweb hablo sobre las herramientas para crear mapas mentales en línea.

Infoweb Mapa Mental Online


Para considerar una página como infoweb, debe tener las siguientes características.

  • Todo el contenido debe ser presentado en una sola página web.
  • Hablar de un tema en específico.
Una recomendación es la poder usar Bit.ly por ejemplo para acortar el enlace generado, desde mi punto de vista los enlaces que genera Google Sites no son muy fáciles de recordar.

Te dejo otros ejemplos de las Infowebs que desarrollaron mis alumnos en la clase de Tecnología educativa.


Reflexiones.


Las infowebs son simplemente una aplicación "diferente" a una página o sitio web, en lo poco que llevo probando esta idea, he visto como los estudiantes, asimilan muy bien la herramienta además de que me ha sorprendido el ver como buscan contenidos en las fuentes de información, sin duda por el momento la idea ha sido muy satisfactoria.

Que te parece si te animas a  crear tu propia infoweb sobre el tema que tu gustes y nos la compartes en tus comentarios, puedes agregar videos, presentaciones en línea y un sin fin de contenido que pueda enriquecer más la creación.

Por supuesto cualquier idea o propuesta siempre será bienvenida.


17 Oct 08:01

Trivial authentication bypass in libssh leaves servers wide open

by Dan Goodin
Trivial authentication bypass in libssh leaves servers wide open

Enlarge (credit: starwars.com)

There’s a four-year-old bug in the Secure Shell implementation known as libssh that makes it trivial for just about anyone to gain unfettered administrative control of a vulnerable server. While the authentication-bypass flaw represents a major security hole that should be patched immediately, it wasn’t immediately clear what sites or devices were vulnerable since neither the widely used OpenSSH nor Github’s implementation of libssh was affected.

The vulnerability, which was introduced in libssh version 0.6 released in 2014, makes it possible to log in by presenting a server with a SSH2_MSG_USERAUTH_SUCCESS message rather than the SSH2_MSG_USERAUTH_REQUEST message the server was expecting, according to an advisory published Tuesday. Exploits are the hacking equivalent of a Jedi mind trick, in which an adversary uses the Force to influence or confuse weaker-minded opponents. The last time the world saw an authentication-bypass bug with such serious consequences and requiring so little effort was 11 months ago, when Apple’s macOS let people log in as admin without entering a password.

The effects of malicious exploits, assuming there were any during the four-plus years the bug was active, are hard to fathom. In a worst-case scenario, attackers would be able to use exploits to gain complete control over vulnerable servers. The attackers could then steal encryption keys and user data, install rootkits and erase logs that recorded the unauthorized access. Anyone who has used a vulnerable version of libssh in server mode should consider conducting a thorough audit of their network immediately after updating.

Read 8 remaining paragraphs | Comments

16 Oct 21:58

Microsoft confirma que la nueva versión de Windows 10 tiene un bug que hace que el sonido deje de funcionar

by José García Nieto

Microsoft confirma que la nueva versión de Windows 10 tiene un bug que hace que el sonido deje de funcionar

La última actualización de Windows 10 no parece haberle salido del todo bien a Microsoft. Tras retirar la la Windows 10 October Update debido a que, al instalarla, el sistema borraba los archivos de los usuarios, hoy, la propia empresa ha confirmado en sus foros de la comunidad que han detectado un bug que hace que el sonido deje de funcionar.

Este fallo afecta a las versiones 1803 y 1809 y el culpable es un driver de Intel. Como informan en su foro, "a principios de esta semana, Intel lanzó involuntariamente la versión 9.21.00.3755 del driver para Intel Smart Sound Technology (ISST) y lo ofreció inadvertidamente a una gama de dispositivos que ejecutan Windows 10 versión 1803 o 1809". Aparentemente, este nuevo controlado anula el anterior driver y provoca que el sonido deje de funcionar.

La solución, por ahora, es desinstalarlo

Por el momento, desde Microsoft afirman estar trabajando con Intel para solucionar el problema y haber retirado el driver de Windows Update. Asimismo, recomiendan a los usuarios desinstalar el controlador de forma manual desde el administrador de dispositivos. Para ello, simplemente deben seguirse los siguientes pasos:

  1. Accede a "Panel de control".
  2. Localiza "Dispositivos e impresoras" y haz clic sobre "Administrador de dispositivos".
  3. Clica sobre "Ver" y elige "Dispositivos por conexión".
  4. Busca "Intel(R) Smart Sound Technology", haz clic derecho y selecciona "Propiedas.
  5. Accede a las pestaña "Controlador".
  6. Si la versión del driver es 9.21.00.3755, desinstálalo y reinicia el ordenador. Eso debería solucionar el problema.

Por el momento se desconoce el alcance e impacto de este fallo. Si bien es cierto que no son muchos los usuarios que instalaron la October Update, este bug afecta también a la April Update, que está instalada en casi un 90% de los equipos.

Vía | Softpedia

También te recomendamos

Windows 10 no verifica si un equipo tiene el espacio necesario para actualizar, así que debes hacerlo tú mismo

La Microsoft Store, esa tienda de apps que se encoge en lugar de crecer

Blackout, el modo Battle Royale de CoD lleva el realismo de la saga al ‘todos contra todos’

-
La noticia Microsoft confirma que la nueva versión de Windows 10 tiene un bug que hace que el sonido deje de funcionar fue publicada originalmente en Genbeta por José García Nieto .

16 Oct 21:40

Este hacker consiguió acceder a cientos de empresas con un truco absurdamente simple

by Matías S. Zavia

¿Conoces alguna empresa que use Slack, Yammer o Facebook Workplace para gestionar las comunicaciones de sus empleados? ¿Y alguna empresa que además de las anteriores tenga un sistema de soporte técnico basado en tickets, ya sea propio o gestionado por Zendesk, Kayako, Freshdesk o WHMCS? Pues ya tienes todo lo que…

Read more...

16 Oct 21:37

Un hacker está infiltrándose en miles de routers vulnerables y los está parcheando para que nadie más entre

by Cristian Rus

Un hacker está infiltrándose en miles de routers vulnerables y los está parcheando para que nadie más entre

Bajo el nombre de Alexey, un hacker aparentemente de Rusia, tiene como pasatiempo infiltrarse en routers vulnerables de todo el mundo. No para espiar a sus usuarios o infectarlos de malware, sino para parchearlos. Hasta el momento, asegura haber desinfectado y protegido más de 100.000 routers.

Meses atrás apareció una vulnerabilidad en los routers del fabricante MikroTik que permitía el acceso a ordenadores mediante el router. Mediante ello los atacantes podían por ejemplo espiar la información de los ordenadores conectados a esos routers o directamente insertar herramientas de minado de criptomonedas por ejemplo. A pesar de que hay un parche y formas de configurar el router para evitarlo, no todos los afectados lo han hecho. Alexey lo está haciendo por ellos.

RouterRouter

"Tu router tenía esta vulnerabilidad, te lo he arreglado para que nadie más entre"

Según informa ZDNet, Alexey se ha jactado de su hazaña en foros rusos. Comenta que tan sólo accede a los routers que no han sido parcheados aún por sus propietarios. El hacker explica que se ha infiltrado en más de 100.000 routers de MikroTik. Entra en ellos, agrega una serie de reglas de firewall para bloquear futuros accesos desde fuera de la red local y deja un mensaje. El mensaje explica la vulnerabilidad que tenía el router y deja un canal de Telegram donde los afectados pueden hacer preguntas al respecto.

Alexey indica que a pesar de haber parcheado más de 100.000 routers, tan sólo unas cincuenta personas le han contactado. No precisamente para darle las gracias, sino enfadados por haberse infiltrado en sus routers. Eso sí, alguno de ellos le ha agradecido el acto.

El hacker básicamente lo que ha hecho es parchear los routers para evitar infiltraciones malintencionadas. Pero es que además ha desinfectado varios de ellos, pues según se indica, ha entrado especialmente en aquellos que ya estaban infectados por algún malware. ¿Por qué? Era más sencillo hacerlo ya que los hackers que previamente habían entrado, no se habían complicado en bloquear la entrada a otros en el futuro. De este modo para él era realmente fácil entrar, limpiarlos y de paso poner una serie de reglas que eviten futuras entradas.

Ilegalidades con buenas intenciones

La pregunta del millón es cómo de ético es esta acción. Alexey, a pesar de que supuestamente no ha infectado los routers ni ha obtenido ninguna información de ellos, técnicamente ha cometido una ilegalidad. Infiltrarse en equipos ajenos sin permiso no es legal, por muy buenas que sean las intenciones. Sin embargo, también es cierto que gracias a esto muchos usuarios tienen su red asegurada.

RouterRouter

Depende desde la perspectiva que lo veamos, este "hackeo" a 100.000 routers de todo el mundo puede ser algo bueno o algo malo. Si lo extrapolamos, es como si alguien accede a nuestra casa para arreglar las cerraduras de la puerta porque él ha podido entrar fácilmente. Gracias por arreglarlas, pero has entrado en mi casa sin que te lo pida.

Vía | ZDNet
Imagen | Unsplash

También te recomendamos

Cómo bloquear el acceso a Internet a una aplicación con el firewall de Windows

Blackout, el modo Battle Royale de CoD lleva el realismo de la saga al ‘todos contra todos’

Cómo desactivar el firewall de Windows 10

-
La noticia Un hacker está infiltrándose en miles de routers vulnerables y los está parcheando para que nadie más entre fue publicada originalmente en Xataka por Cristian Rus .

16 Oct 21:00

Usar el móvil como mando de presentaciones multimedia

by Informático de Guardia
A principio de curso me tocó presentar el proyecto TIC a los nuevos compañeros que se incorporaban al centro. Gracias a Google Slides y “cuatro” imágenes mal puestas logré montar algo medianamente decente pero, con los despistes tras las vacaciones y las tareas que me tenían dando saltos de un aula a otra olvidé por … Sigue leyendo Usar el móvil como mando de presentaciones multimedia
10 Oct 11:37

Espionaje chino mediante un puerto Ethernet: una gran operadora de EEUU también ha sido afectada, según Bloomberg

by Cristian Rus

Espionaje chino mediante un puerto Ethernet: una gran operadora de EEUU también ha sido afectada, según Bloomberg

La semana pasada el medio Bloomberg publicó lo que podría ser la noticia tecnológica del año, si es que se llega a demostrar. China lleva años espiando a las empresas más importantes del mundo a través de minúsculos chips integrados en servidores de Supermicro, indicaba la investigación. En una primera tanda se cargaba contra Amazon y Apple, clientes de Supermicro, ahora aseguran que una de las grandes operadoras de Estados Unidos también ha sido afectada.

Un intruso en el puerto Ethernet

El nuevo informe indica que una empresa de telecomunicaciones importante de Estados Unidos descubrió uno de estos chip espía en uno de sus servidores. Concretamente el informe apunta a que el chip se encontraba incorporado en el puerto Ethernet del servidor comprometido, lo que permitía a los hackers tener una puerta trasera para sacar información confidencial de la empresa de telecomunicaciones.

EthernetEthernet

¿Qué tipo de información se puede haber visto comprometida? Al parecer, ninguno de los técnicos que trabaja para la empresa ha podido saber con exactitud qué tipo de datos pasaban por ese chip para ser enviados al exterior. No obstante, es más probable que los datos que pudiesen ser interceptados de ese servidor sean propiedad intelectual de la empresa antes que información privada de clientes que usen la operadora.

Este servidor comprometido también fue fabricado por Supermicro, según la investigación que ha realizado Bloomberg. El fabricante de servidores ha sido proveedor durante años para las grandes tecnológicas de Estados Unidos, tanto Amazon, como Apple, como las principales operadoras. Bloomberg aseguró que habían hasta 30 empresas importantes del país afectadas por este chip integrado en los servidores de Supermicro.

Con una fuente que ya no es anónima, para despejar dudas

El informe inicial de Bloomberg se ha visto afectado por su uso de fuentes anónimas y su falta de detalles verificables de forma independiente. Además tanto Apple como Amazon rechazaron categóricamente y de forma tajante el informe, asegurando que ellos no habían conseguido evidencias de algo así en ninguna de sus auditorias. Para más inri, agencias de seguridad nacionales como la de Reino Unido corroboraban la versión de Apple y Amazon y uno de los contactos de Bloomberg explicó recientemente que no estaba cómodo con la historia, pues no estaba seguro de que fuese del todo exacta.

EthernetEthernet

Con todos estos inconvenientes la credibilidad de Bloomberg con esta investigación puede haberse visto menguada, por lo que para esta segunda tanda de acusaciones han decidido hacer pública una de sus fuentes. Yossi Appleboum, experto en seguridad, cofundador de Sepio Systems y ex oficial de la agencia de inteligencia israelí, proporcionó a Bloomberg pruebas y documentación. Es quien identificó primero la manipulación en el servidor comprometido de la empresa de telecomunicaciones. No obstante, se niega a nombrar cuál es la empresa afectada por un acuerdo de confidencialidad firmado con la misma, pero sí puede asegurar que la brecha de seguridad existió y fue descubierta en agosto de este año.

A pesar de las pruebas, es difícil no ser escéptico en este asunto. Las manipulaciones en la cadena de suministro de China son relativamente fáciles teniendo en cuenta todos los intermediarios que existen. Controlar esta cadena para evitar intrusos puede ser complicado para Supermicro o alguno de sus clientes. Pero también es cierto que los clientes, una vez compran los servidores, realizan auditorías exhaustivas para encontrar cualquier posible brecha o punto flaco.

La trama del espionaje chino a empresas estadounidenses no acaba aquí, lo más probable es que Bloomberg arroje más datos en los próximos días, y quizás alguna prueba factible también.

Vía | Bloomberg
Imagen | Unsplash

También te recomendamos

China se infiltró en Apple y Amazon para espiarlas usando un chip diminuto, según Bloomberg

Una app para espiar móviles de personas cercanas deja expuestas online fotos e información de miles de víctimas

Lavadora con función vapor: qué es y cómo debe utilizarse

-
La noticia Espionaje chino mediante un puerto Ethernet: una gran operadora de EEUU también ha sido afectada, según Bloomberg fue publicada originalmente en Xataka por Cristian Rus .

10 Oct 11:07

Google Assistant te dejará filtrar llamadas de desconocidos: contesta por ti y pregunta los motivos de la llamada

by Cristian Rus

Google Assistant te dejará filtrar llamadas de desconocidos: contesta por ti y pregunta los motivos de la llamada

En estos últimos meses hemos visto cómo Google parece estar empeñada en acabar con las llamadas telefónicas. Primero fue Google Duplex, el software de inteligencia artificial que habla como un humano y hace reservas en restaurantes por nosotros. Ahora es Screen Call, una nueva función de los teléfonos Pixel para saber quién nos llama y con qué motivo antes de contestar.

Screen Call es una nueva funcionalidad recién presentada con los nuevos Google Pixel 3. Mediante ella y gracias a la ayuda de Google Assitant podremos saber antes de contestar una llamara quién está al otro lado de la línea. Sí, esto ya lo sabíamos antes porque aparece el nombre del contacto. La novedad aquí es que será una conversación natural con Google Assistant y además nos escribirá por qué nos está llamando esa persona.

"Soy Google, dime quien eres y el motivo de la llamada"

Google Assistant no usa ningún algoritmo de inteligencia artificial que le permita adivinar por qué razón la otra persona está llamando, sino que hace uso de un método más directo. Cuando alguien nos llama, aparecerá un botón para ver en pantalla la llamada. Al pulsarlo Google Assistant iniciará la llamada pero en segundo plano. Se presentará a la otra persona y le indicará que es un software de detección de Google, que quiere que se presente y le diga el motivo por el que llama y que recibirá una copia de la conversación. Todo ello con la voz natural de Google.

Si la otra persona contesta a las dos peticiones de Google, en nuestro teléfono aparecerá una conversación con Google Assistant en la que nos escribirá quién ha llamado y por qué. De este modo, podremos aceptar o rechazar la llamada. Una función desde luego interesante para aquellas personas que reciben llamadas constantemente y no tienen tiempo para encargarse de todas, o para limitar un poco más el SPAM telefónico.

El problema aquí es que dependes de que la otra persona quiera contestar (y no mentir) a Google Assistant. De todos modos, es una función interesante que puede ahorrar muchas llamadas innecesarias o filtrarlas mejor. Falta por ver si esto funcionará en español y otros idiomas aparte del inglés también.

Screen CallScreen Call

Según ha indicado Google, esta nueva funcionalidad está disponible desde hoy mismo en el nuevo Pixel 3. El próximo mes llegará también al resto de teléfonos Pixel. Viendo que el proceso es similar al de otros servicios como Assistant, es probable que poco a poco llegue a nuevos teléfonos Android de otros fabricantes también, aunque no hay nada confirmado más allá de los Google Pixel.

Más información | Google

También te recomendamos

Lavadora con función vapor: qué es y cómo debe utilizarse

¿Qué son los enchufes inteligentes? Posibilidades y modelos destacados

LG integra Google Assistant en sus nuevos auriculares inalámbricos: la traducción a tiempo real en un clic

-
La noticia Google Assistant te dejará filtrar llamadas de desconocidos: contesta por ti y pregunta los motivos de la llamada fue publicada originalmente en Xataka por Cristian Rus .

10 Oct 08:08

Windows 10 October 2018 Update no longer deletes your data

by Peter Bright
Article intro image

Enlarge / Your precious documents, after installing the Windows 10 October 2018 Update. (credit: shaorang)

Microsoft has figured out why the Windows 10 October 2018 Update deleted data from some systems and produced a fixed version. The severity of the bug caused the company to cease distribution of the update last week; the fixed version is now being distributed to Windows Insiders for testing, ahead of a resumption of the wider rollout.

Microsoft is advising anyone affected by the bug to contact support. The bug caused files to be deleted, meaning that the only guaranteed way of restoring them is to retrieve them from a backup (if you have one). However, undeleted software can often recover recently deleted files, and Microsoft's support can apparently assist with this process at no cost for those bitten by the problem. In the meantime, the advice is to use affected PCs as little as possible; minimizing disk activity helps maximize the chance of a successful undeletion.

The software giant claims that only a small number of users were affected and lost data and has published an explanation of the problem.

Read 7 remaining paragraphs | Comments

09 Oct 15:38

Miles de sitios se van a romper con la llegada de Chrome 70, y es absolutamente culpa de ellos

by Gabriela González

Miles de sitios se van a romper con la llegada de Chrome 70, y es absolutamente culpa de ellos

Ha pasado más de un año desde que Google acusara a Symantec de crear miles de certificados de seguridad falsos. Pero esa historia no se quedó en meras acusaciones, sino que Google pasó a tomar medidas, como dejar de confiar en ellos, y este 16 de octubre, con la llegada de Chrome 70, se cierra la última etapa de este proceso.

Esto quiere decir que miles de sitios web que aún utilizan certificados de seguridad emitidos por Symanctec antes de junio de 2016, se van a romper. No van a ser bloqueados como tal por Chrome, pero se van a llenar de advertencias y ventanas emergentes que impiden la navegación como es usual, y que advierten al usuario de que no se trata de webs seguras.

Más de un año después

Esto no es un problema de Chrome 70, ni siquiera de los estándares modernos, ni de falta de tiempo para mudarse a ellos. Es un problema de una empresa (Symantec) que emitió certificados inválidos, y de un montón de administradores que no han hecho sus deberes en más de un año.

Y no son pocos, como muestra el investigador de seguridad Scott Helme, unos 1.139 sitios web dentro del millón más visitados según las clasificaciones de Alexa, aún conservan estos viejos certificados de seguridad.

Incluso instituciones gubernamentales como el Banco Federal de la India, la web del gobierno de Tel Aviv, la web de Ferrari, y muchos más, no han cambiados sus certificados a pesar de haber tenido más de un año para hacerlo.

De certificados digitales y confianza

SymanctecSymanctec

Si no entiendes qué quiere decir todo esto, explicado en cristiano, un certificado de seguridad digital es como un DNI que sirve para autenticar la identidad de un usuario o para cifrar las comunicaciones.

El navegador necesita confiar el el certificado digital de la conexión para asegurarse de que eres tú quien quiere entrar a una web, como por ejemplo, la de tu banco. Si el navegador no confía en el certificado de seguridad de una web, o la conexión no se lleva a cabo, o se te muestran múltiples alertas para evitar que continúes navegando así.

Desde Chrome 66, Google ya había dejado de confiar en parte de los certificados de Symantec, pero ahora cierra la última tanda, puesto que también incluye a marcas asociadas como Thawte, VeriSign, Equifax, GeoTrust and RapidSSL.

Los certificados de seguridad prueban la integridad del sitio web que estás visitando y aseguran que la página no ha sido modificada por un atacante. La mayoría de los sitios obtienen sus certificados de una autoridad certificadora, como Symantec.

Sin embargo, Google descubrió que estos permitían que organizaciones no confiables emitieran certificados sin las evaluaciones necesarias, y por lo tanto muchas organizaciones que ya tenían certificados tuvieron que pagar por certificados nuevos.

También te recomendamos

Google Chrome dejará de indicar que un sitio web HTTPS "es seguro" porque eso debe ser lo normal

Llega Chrome 66, una versión enfocada en seguridad y que activa por defecto una de las funciones que ayudaron a mitigar Spectre

Lavadora con función vapor: qué es y cómo debe utilizarse

-
La noticia Miles de sitios se van a romper con la llegada de Chrome 70, y es absolutamente culpa de ellos fue publicada originalmente en Genbeta por Gabriela González .

09 Oct 08:48

Google+ ha expuesto los datos de sus usuarios durante tres años, Alphabet cierra definitivamente la red social

by Cristian Rus

Google+ ha expuesto los datos de sus usuarios durante tres años, Alphabet cierra definitivamente la red social

Una vulnerabilidad en la abandonada red social de Google ha expuesto los datos personales de "cientos de miles de personas" que utilizaron la plataforma entre 2015 y marzo de 2018. Según ha revelado Wall Street Journal y Google ha hecho oficial. Al parecer, la compañía no reveló el problema porque no quería pasar por un escrutinio regulatorio.

La compañía del buscador no encontró evidencia de un mal uso de los datos. Datos a los que han podido acceder los desarrolladores mediante el uso de las APIs de la plataforma. Como parte de la respuesta al problema, Google va a cerrar de forma permanente la red social.

Project Strobe: la auditoría interna que ha encontrado la brecha de seguridad

Google+Google+

Tal y como ha anunciado la compañía justo en el momento de hacerse público el informe de WSJ, han tomado una serie de medidas al respecto. A principios de este año decidieron evaluar desde cero cómo funcionan sus APIs y la estructura y permisos que tienen terceros en ellas. Es decir, una especie de auditoría interna para analizar la seguridad y privacidad de sus productos y servicios.

Es así como descubrieron el error en la API de Google+. Este error permitía a las apps de terceros tener acceso a los campos de perfil que se compartían con el usuario, pero que no estaban marcados como públicos. Estos datos son por ejemplo el nombre, la fecha de cumpleaños, el género, la imagen de perfil... La lista completa es bastante larga, pero no incluye ningún dato relativamente sensible, como podría ser el contenido de mensajes privados, el contenido de GSuite o cuentas bancarias.

Google cree que este error está presente después del lanzamiento de Google+, como consecuencia de un cambio en el código de la red social y la API. También dicen que no creen que ningún desarrollador tuviese constancia del error ni que los datos de los usuarios se hayan usado con malas intenciones. A pesar de eso, hay que tener en cuenta que también hay 438 aplicaciones que han hecho uso de esta API en alrededor de unas 500.000 cuentas.

Las cuatro medidas de Google para paliar el problema

A pesar de la relativa poca gravedad del asunto según Google, lo primero que van a hacer es cerrar la red social. Debido a la brecha de seguridad y a la poca adopción que ha tenido como red social, han decidido cerrarla en un periodo de diez meses. Durante estos próximos diez meses se ofrecerán herramientas de migración y exportación de datos para que los usuarios puedan salir de la plataforma.

GoogleGoogle Los nuevos permisos de Google para apps de terceros ahora son individuales y más granulares para que terceros no tengan acceso a toda la información si sólo necesitan parte de ella.

Como segunda medida de seguridad, van a impulsar el uso de herramientas más granulares para ofrecer permisos a apps de terceros. Es decir, cuando una app de terceros en Android o en la web quiera tener acceso a la cuenta de Google, se le otorgará permisos más específicos y tan solo a determinadas áreas que el usuario escoja. De este modo se trata de conseguir que las apps no tengan acceso a toda la información del usuario cuando realmente sólo necesitan parte de ella.

Siguiendo con los permisos de uso, a partir de ahora el acceso a Gmail estará más restringido a determinadas apps. Es increíble que en pleno 2018 una app de cámara por ejemplo pudiese tener acceso a tus correos, pero efectivamente se ha podido. A partir de ahora Google asegura que tan sólo gestores de correo, gestores de almacenamiento en la nube y similares podrán acceder a los datos de Gmail del usuario.

GoogleGoogle

Por último y en relación a los permisos relacionados con los contactos, Google también limitará qué tipo de apps pueden tener acceso a los contactos, al historial de llamadas o a los SMS por ejemplo. En los próximos meses aseguran que añadirán más controles y limitaciones a los permisos de la cuenta de usuario.

Una brecha no anunciada que se salva del GDPR por la campana

Tal y como ha indicado la compañía, esta brecha de seguridad en el servicio de Google+ fue descubierta en marzo de 2018. No decidieron hacerla pública porque consideraban que no exponía información relevante del usuario. Sin embargo, de haberse descubierto un poco más tarde, lo habrían hecho público en cuestión de horas. ¿Por qué? GDPR.

iPhoneiPhone

La ley de protección de datos en Europa entró en vigencia justamente el pasado mes de mayo. Una de las medidas que toma esta ley es obligar a las empresas a hacer público y advertir a sus usuarios si su información privada se ha visto comprometida. De no hacerlo en un plazo de 72 horas tras ser descubierto el problema, deben pagar una multa de hasta el 4% de sus ingreso mundiales. Google parece ser que se salvó por cuestión de días antes de que la ley entrase en vigencia.

Más información | Google

También te recomendamos

Lavadora con función vapor: qué es y cómo debe utilizarse

Google sigue permitiendo a terceras partes que escaneen nuestros correos en Gmail

Así es como gana dinero Alphabet: el absoluto rey de la publicidad tiene un gran problema con el resto de productos y servicios

-
La noticia Google+ ha expuesto los datos de sus usuarios durante tres años, Alphabet cierra definitivamente la red social fue publicada originalmente en Xataka por Cristian Rus .

08 Oct 16:12

Veeam Backup: Exclusiones antivirus Windows Defender con GPO

by noreply@blogger.com (SYSADMIT .com)
08 Oct 07:40

Microsoft pone en pausa Windows 10 October 2018 Update: la actualización borraba ficheros en algunos casos

by Javier Pastor

Microsoft pone en pausa Windows 10 October 2018 Update: la actualización borraba ficheros en algunos casos

La última gran actualización de Windows 10 se ponía a disposición de los usuarios la pasada semana. Microsoft lanzaba Windows 10 October 2018 Update (Windows 10, versión 1809) con mejoras como la aplicación "Tu Teléfono", pero ahora dicha actualización ha sido retirada temporalmente.

La razón la encontramos en los problemas que algunos usuarios han detectado y que hacían que al aplicar la actualización "se borraran" todos los archivos de la carpeta "Mis Documentos" (en realidad solo desaparecían del explorador). Existían soluciones para remediar el problema, pero Microsoft ha decidido retirar el enlace de descarga y pausar la actualización hasta dar con la solución definitiva.

Habrá que esperar a la solución definitiva

Microsoft desactivó el enlace de descarga hace unos días, lo que provocó que los usuarios ya no podían acceder a la última versión de la imagen ISO para su instalación o actualización.

IssuesIssues

Eso ha venido acompañado de una pequeña modificación en la página de soporte en inglés del sistema operativo en el que se indica que "algunos usuarios aislados" habían detectado que les faltaban "algunos archivos", un mensaje algo impreciso dado que en realidad desaparecen todos los archivos de la carpeta "Mis Documentos":

Hemos pausado la implementación de la actualización de Windows 10 de octubre de 2018 (versión 1809) para todos los usuarios mientras investigamos informes aislados de usuarios que experimentan las falta de algunos archivos después de ejecutar la actualización.

Esos archivos se pueden descargar la aplicación Recuva de recuperación de archivos para tratar de restaurarlos, y esta es aparentemente la única forma de dar una opción a los usuarios afectados de momento. Como señalan nuestros compañeros de Xataka Windows, en Microsoft ya pasaron por problemas similares con la Windows 10 April 2018 Update, la pasada gran actualización del sistema operativo. Habrá que esperar a la resolución definitiva, así que si aún no has recibido la actualización, tendrás que tener algo de paciencia.

También te recomendamos

Pasión por la carne de Wagyu: cortes seleccionados en cuatro sencillas recetas

Microsoft resucita el concepto del 'thin client': Windows Virtual Desktop es un Windows 10 'en streaming'

iOS 12 disponible para descarga: todo sobre la instalación, mejoras y novedades para iPhone y iPad

-
La noticia Microsoft pone en pausa Windows 10 October 2018 Update: la actualización borraba ficheros en algunos casos fue publicada originalmente en Xataka por Javier Pastor .