La seguridad, como todos sabemos, es muy importante en cualquier sistema operativo. En ocasiones podemos escuchar como algunos usuarios de Mac OS X dicen no utilizar ningún tipo de sistema de seguridad, ni siquiera en temas relacionados con contraseñas.

Esto no debería ser así, ya que aunque sí es cierto que el nivel de ataques bajo este sistema operativo puede ser menor en comparación con otras alternativas que existen, nunca viene mal utilizar un gestor de contraseñas e identidades para tener siempre nuestra información a buen recaudo.

1password, el rey de la gestión de contraseñas

En OS X, probablemente el software más utilizado para llevar a cabo este tipo de acciones es 1password. Esta aplicación, que es de pago, se ha ido convirtiendo con el paso de los años en el rey de la gestión de contraseñas en el ecosistema de Apple.

Aunque no es gratuita, su precio, $40 dólares, tampoco es tan exagerado como para convertirse en prohibitivo. De todas formas, en la web oficial de 1password podréis encontrar una versión de prueba a través de la cuál podréis comprobar todas las posibilidades que ofrece este gran gestor.

A diferencia de otros programas similares, 1password tiene una interfaz gráfica muy lograda que ayuda, y de qué manera, a organizar mejor nuestra información privada y también todas nuestras contraseñas. Una vez instalada la aplicación, lo primero que se nos pide es la creación de un Master Password para acceder toda la configuración del sistema.

Una vez dentro podemos ver que 1password permite no sólo almacenar claves de las páginas web y programas que más solemos usar, sino que existen también otras secciones que elevan aún más el grado de personalización.

La primera de estas secciones es la más común, la de Logins. En ella podremos almacenar de forma sencilla y agrupada todas las contraseñas de aquellas páginas en las que estamos registrados. Además de permitirnos el simple almacenamiento, 1password también incorpora un pequeño medidor que nos indica el nivel de seguridad que ofrece una contraseña que hayamos seleccionado.

Identities y Wallet son otras de las secciones principales de 1password. La primera de ellas sirve para tener controladas todas las identidades que usemos en Internet, evitándonos así los incómodos pasos para registrarnos en determinadas comunidades y webs, consiguiendo todo con un simple click.

En Wallet, por otro lado, es donde podremos almacenar toda la información bancaria relacionada. No tienen por qué ser simplemente tarjetas de crédito, sino que también tenemos opciones relacionadas con cuentas bancarias, pasaporte, seguridad social, etc etc. Y, como antes, permitiendo que con un sólo click tengamos toda esta información introducida en los formularios en el momento en el que la necesitemos.

Otras dos secciones de las disponibles están relacionadas entre sí, que son la de Software y Accounts. A través de ellas podremos añadir información sobre la clave de las aplicaciones que usemos normalmente en nuestros ordenadores. Esto además es útil en esos momentos en los que volvemos a instalar un programa y no recordamos la contraseña para poder validarlo.

La última parte destacable de 1password son los lugares desde los que tenemos acceso a la información que en ella guardamos. Por un lado, las extensiones para navegadores como Safari o Firefox (la de Chrome todavía no está lista) se convierten en imprescindibles. Con ellas y a través de un par de clicks podremos introducir rápidamente cualquier tipo de información en nuestro navegador y de forma totalmente segura.

Además de estas cómodas extensiones, no podía faltar alguna para nuestros móviles y que resultan tremendamente útiles en esos momentos en los que no estamos delante de un ordenador y no tenemos tampoco tiempo suficiente para andar buscando una contraseña en concreto. Para estas situaciones resulta imprescindible el uso de las apps disponibles para iOS y WebOS, que ya han sido analizadas por nuestros compañeros de Applesfera en su momento.

Es más, estas aplicaciones para iOS permiten desde la versión 3.3 de 1password la posibilidad de sincronizar las contraseñas automáticamente entre nuestro ordenador y nuestros dispositivos móviles. Para ello se integra Dropbox en el proceso, y lo cierto es que esta sincronización a través de la nube resulta muy cómoda.

Enlace | 1password

KeePassX, alternativa libre y gratuita

KeePassX es otra aplicación de gestión de contraseñas disponible para Mac OS X. A diferencia de 1password, es totalmente gratuita y de código libre bajo la licencia GPL. En principio, viene a cubrir las mismas necesidades que su hermano mayor, pero con un número de opciones mucho más limitada que en el caso anterior.

Podemos decir que simplemente es una forma para almacenar contraseñas y, aunque con una interfaz gráfica mucho menos lograda, es destacable lo sencillo que resulta su uso, sin demasiadas complicaciones para el usuario, cosa que se agradece.

Para guardar nuestros datos, utiliza el algoritmo estándar avanzado (AES) o algoritmo de cifrado Twofish de 256 bits. En todo caso también nos permite generar contraseñas de forma segura y fácil, totalmente personalizable.

Una vez que hayamos creado una cuenta en KeePassX, podemos copiar y pegar directamente los nombres de usuarios y contraseñas que vayamos necesitando en cada momento, en un proceso que resulta un pelín más complicado en comparación con 1password, pero eficiente de todas formas.

Pero además, para ahorrarnos el tener que estar copiando y pegando direcciones y contraseñas cuando no estamos utilizando nuestro ordenador habitual, KeePassX ofrece la posibilidad de almacenar nuestra base de datos en un archivo .KDB. Este archivo, además, podemos guardarlo en un FTP o enviarlo a través de DropBox para tenerlo disponible en cualquier momento, y por lo tanto también nuestra información de seguridad.

Enlace | KeePassX

Llaveros, una alternativa ya incluida en OS X

Llaveros es una aplicación que ya viene incluida dentro de OS X que viene a realizar las mismas funciones que hemos mencionado antes en el caso de 1password y KeePassX. La principal diferencia, en este caso, es que al venir de serie con el sistema operativo de nuestros Mac casi no es necesario realizar ningún tipo de configuración.

Su funcionamiento es muy sencillo. Seguro que muchas veces al instalar determinados programas o acceder a algunas páginas web os habéis encontrado con el típico mensaje de Llaveros en el que os pide si queréis almacenar vuestra contraseña de forma automática.

Todas estas contraseñas son accesibles desde la propia aplicación que podremos encontrar en nuestro sistema en la carpeta de Aplicaciones. Un problema y una diferencia con respecto a las anteriores alternativas es que no podemos hacer grupos de cuentas similares ni nada parecido, por lo que la ventana principal muestra tal número de cuentas y contraseñas y que alguno podría llegar a asustarse.

Ahora bien, como es una aplicación ya preinstalada, puede ser muy útil en aquellas ocasiones en las que sabemos que hemos utilizado una contraseña determinada (que puede ser de un programa, de una red, de WiFi, etc) en algún momento, pero ya no la recordamos. Buscando en el listado podremos encontrarla, ver esa contraseña, e incluso copiarla a portapapeles.

En Genbeta | 1password soportará en breve Google Chrome
En Applesfera | 1password Pro

Continuamos con el Especial Contraseñas Seguras en Genbeta. En el anterior artículo mi compañero Iván abría el especial con gestores de contraseñas en la nube, y hoy yo os traigo las aplicaciones correspondientes para Windows.

Estos programas se encargan de guardar de forma segura nuestras contraseñas, de forma que no las olvidemos, y además nos las mantendrán bien organizadas. Todos los programas cifran las contraseñas como mínimo con una contraseña maestra, para que sólo nosotros podamos acceder a ellas.

KeePass

KeePass es, para mí, la opción más robusta y segura de todas. La interfaz es sencilla y fácil de usar con varios grupos donde ordenar las contraseñas. Podemos modificar esos grupos a nuestro gusto, y si los grupos no nos gustan, siempre podemos usar el buscador para encontrar la contraseña que queramos.

La interfaz para añadir contraseñas también es cómoda de usar, tiene campos para nombre de usuario, contraseñas, URL del sitio y título de la contraseña. Nos da además una opción para generar contraseñas aleatorias, y podemos añadir etiquetas para identificarla.

Donde KeePass destaca más para mí es en la seguridad. Tiene 3 opciones para bloquear la base de datos, que podemos combinar a nuestro gusto. Una, la que más nos sonará, es una contraseña maestra. La segunda es un archivo de clave que habremos generado al crear la base de datos, y la tercera, una asociación a nuestra cuenta de usuario de Windows. Es decir, sólo podremos desbloquear las contraseñas si estamos en nuestro usuario de Windows.

También nos permite entrar en los sitios de forma segura. Una vez que estemos en la pantalla de login de un sitio, podemos hacer clic en la contraseña en KeePass y elegir la opción “AutoType”. De esta forma, KeePass introducirá los datos automáticamente, engañando a cualquier keylogger o espías del portapapeles.

KeePass es software libre, tiene una versión de instalación y otra portable, para llevar en tu pendrive, y además de la versión oficial para Windows, hay ports de terceros para casi todas las plataformas. Para empezar a usarlo sólo tendréis que crear la base de datos y empezar a almacenar contraseñas.

Sitio oficial | KeePass
Descarga | KeePass

LastPass Pocket

Aunque LastPass es un servicio de gestión de contraseñas muy útil y eficaz, su gestor para escritorio deja bastante que desear. LastPass Pocket es un pequeño programa que no necesita instalación, y que nos permite ver nuestras contraseñas online de LastPass o las alojadas en una base de datos local.

Lo malo es precisamente eso, que sólo nos permite ver. No podemos modificar ni añadir contraseñas ni grupos, sólo ver y copiar esos datos. La única utilidad que le veo a esta pequeña aplicación es tener una copia local en el ordenador o en un pendrive, para consultarla cuando no estemos online.

Sitio oficial | LastPass
Descarga | LastPass Pocket

JPasswords

JPasswords no es una solución muy compleja, pero creo que merece la pena ponerlo en esta lista. Nos permite guardar contraseñas en una base de datos cifrada, y organizarlos por grupos. No es muy elegante, pero es sencillo de usar.

Lo mejor de este programa es que al estar escrito en Java, lo podremos llevar en un pendrive y ejecutarlo en cualquier sistema operativo que tenga una máquina de Java instalada, lo que es bastante común. Lo malo, que sólo está disponible en inglés.

Sitio oficial | JPasswords
Descarga | JPasswords (formato JAR)

LoginControl

Al igual que el resto de programas, LoginControl permite almacenar las contraseñas en grupos, organizarlas, y cifrarlas con una contraseña maestra. Desde la interfaz podemos copiar los datos al portapapeles con las teclas de función (F1, F2, F3,...) y luego pegarlas en el navegador fácilmente.

Lo mejor de este programa es que también nos permite almacenar la pregunta y respuesta secretas, que muchos sitios dan como opción para recuperar la contraseña, y la dirección de correo que usamos para registrarnos. Por lo demás, LoginControl no destaca mucho. Está disponible en español y es gratuito.

Sitio oficial | LoginControl
Descarga | LoginControl 3.5

En esta lista, cada programa tiene sus peculiaridades, así que espero que todos los tipos de usuarios puedan encontrar aquí una solución. Y si no, siempre podéis compartir vuestro gestor de contraseñas favoritos en los comentarios. Por nuestra parte, nos despedimos hasta el siguiente artículo del Especial Contraseñas Seguras en Genbeta.

En Genbeta | Especial Contraseñas Seguras

Según el Informe de Secunia para el primer semestre de 2010, Apple es el fabricante con un mayor número de vulnerabilidades detectadas, desbancando a Oracle de esta dudosa posición de honor. Apple no copaba esta lista desde 2005.

El informe además hace hincapié en una amenaza que se está ignorando. La opinión general es que el sistema operativo es vulnerable y se culpa a Microsoft o Apple de crear “coladeros”, pero es en las aplicaciones de terceros donde se está detectando un mayor incremento de fallos críticos, y donde menos esfuerzos se llevan a cabo para corregirlo, tanto por sus fabricantes como por los propios usuarios.

Mientras que los sistemas automatizados de parcheo que ofrecen Microsoft, Apple, Google o Adobe se encargan de cerrar en plazos razonables sus fallos, muchos fabricantes no disponen de estas herramientas y requieren la acción del usuario para proteger el sistema. Un usuario de PC cierra el 35 por ciento de sus huecos con una única herramienta (Windows Update) pero necesita otras 13 o más para cerrar las del 65 por ciento restante, que se encuentran en software de terceros.

Las principales conclusiones del informe de Secunia son:

• Desde 2005, no se ha producido una tendencia significativa en el número total de vulnerabilidades en los más de 29.000 productos que Secunia analiza.
• Un grupo de diez fabricantes acapara el 38 por ciento de las vulnerabilidades reveladas. En este grupo están Apple, Oracle, Microsoft, HP, Adobe, IBM, VMware, Cisco, Google y Mozilla, por orden de “méritos”.
• De 2007 a 2009, el número de vulnerabilidades que afectan al usuario medio de PC ha pasado de 220 a 420, casi el doble. Considerando los datos del primer semestre de 2010, las previsiones indican que el número casi se doblará de nuevo a finales de 2010, llegando a las 760.
• Durante el primer semestre, se han detectado 380 vulnerabilidades. Esto representa el 89 por ciento de las detectadas durante todo 2009.

• Un usuario típico de PC, con 50 programas instalados, tiene tres veces y media más vulnerabilidades en los 24 programas de terceras partes que en los 26 programas de Microsoft que tiene instalados. Se espera que esta diferencia pase a ser 4.4 veces a finales de año.

En cuanto al origen de los posibles ataques que tomen partido de las vulnerabilidades, Secunia estima que la principal vía es la remota con un 81 por ciento de media, mientras que las que sólo son utilizables desde la red local o el sistema local se reparten casi a partes iguales el 19 por ciento restante. La estimación es que estos porcentajes van a tener a mantenerse.

La mitad de las vulnerabilidades detectadas son consideradas como alta o moderadamente críticas, según la calificación de Secunia. El 33 por ciento fueron consideradas menos críticas, y sólo un 0.2 por ciento se llevó el premio gordo de “Extremadamente crítica”.

Resumiendo, y para aclarar el título del artículo… Analizando el top general de fallos, ¿un sistema Apple es más inseguro que uno de Microsoft? Pues no necesariamente, ya que esa estadística habla de número de vulnerabilidades, y no de lo críticas que son. Además, se suman las vulnerabilidades de todos los productos de ese fabricante: un fallo crítico en Quicktime podría afectar a Mac OS X y a Windows, por ejemplo.

Lo que sí indica es que no nos podemos fiar a ciegas de los productos de Apple por su fama de seguros. Hay que estar al día y no confiarse en el prestigio que el fabricante que sea pueda tener, no me refiero sólo a Apple: no hay nada más peligroso que la falsa sensación de seguridad.

Imagen original | Flickr de acaben
Sitio oficial | Secunia
Descarga (pdf) | Informe Secunia primer semestre 2010

Safari tiene un problema de seguridad, un agujero, a partir del cual algunos de nuestros datos personales podrían ser obtenidos sin nuestro permiso a través de webs malintencionadas y creadas para tal uso.

Según ha publicado Jeremiah Grossman, CEO de Whitehat security, este problema lleva presente ya varias semanas en varios navegadores, pero hasta ahora nadie se había percatado de la situación.

Todo el problema está relacionado con la opción de Autorelleno de formularios web, que en Safari viene activada por defecto y que todos podéis encontrar en el panel de preferencias del navegador y en la pestaña Autorelleno. Al tener activada esta opción, Safari acude a nuestra Agenda para obtener nuestros datos personales e introducirlos en los formularios de las páginas web.

Aunque no se haya visitado esa web en concreto anteriormente, el problema persiste, porque en este caso los datos no se recuerdan de otras veces en las que los hayamos introducido, sino que se hace una extracción directa de lo que hemos introducido en nuestra Agenda.

Así, una página que fuese creada con intenciones sospechosas, un formulario invisble y algún otro código JavaScript, podría acceder a los siguientes datos personales: nombre, empresa en la que trabajas, ciudad, país y dirección de email.

La demostración del fallo de seguridad

Para demostrar tal problema, Grossman ha puesto a disposición de los usuarios una web que simula dicho proceso y que enlazamos al final de esta misma entrada. Utilizando Safari y accediendo a dicha web, una vez que pulsamos start podremos ver que los datos son adivinados en pocos segundos y con gran exactitud. Si por alguna razón no estás cómodo con hacer la prueba tú mismo, puedes ver un vídeo que Grossman publicó en su propio blog en el que demuestra el proceso.

Este problema de autorellenado está presente en Safari (4 y 5) en su versión para Mac OS X, por lo tanto, los usuarios de Windows no tienen de qué preocuparse sobre este problema. Los usuarios de Chrome y Firefox también están a salvo por ahora.

Lo más grave de toda esta situación es, quizás, el hecho de que Grossman se puso en contacto con Apple hace ya un mes para transmitirle el problema, y al no recibir respuesta alguna o parche que solucionara esta situación, decidió hacerlo público para todo el mundo.

Hablábamos esta misma semana en Genbeta de los planes de Mozilla y Google para financiar, por decirlo de alguna manera, la búsqueda por parte de los propios usuarios de agujeros o bugs en sus sistemas. Decía en esa misma entrada que analistas de seguridad se encuentran muchas veces en un dilema, sobre si publicar lo encontrado o no, y en este caso Grossman ha tirado por la calle del medio.

No hace falta alarmarse, las posibilidades de encontrarse una web de este tipo no pueden ser muy altas, y menos en usuarios que conocen los entresijos de estos sistemas como algunos de los que nos leéis. De todas formas, y por seguridad, no estaría de más desactivar la casilla de Autorelleno de formularios web en vuestro Safari hasta nuevo aviso por parte de Apple.

Actualización: Los compañeros de AllThingsD recogen unas declaraciones oficiales de Apple en las que dicen que “nos tomamos muy en serio la seguridad y la privacidad. Conocemos los problemas de Safari y estamos trabajando en una solución”

Vía | Jeremiah Grossman
Enlace | Web para probar el fallo
En Genbeta | Mozilla y Google suben su oferta y pagan 3000 dólares a los que encuentren bugs importantes

A pesar de la tendencia creciente a unificar las identificaciones en diferentes servicios por medio de cosas como Oauth, Facebook connect y similares, con nuestra vida cada vez más en la nube se hace indispensable mantener a buen recaudo pero convenientemente accesibles la ristra de contraseñas que vamos insertando por ahí.

Es por ello que en Genbeta nos hemos animado a hacer un Especial contraseñas seguras, donde os hablaremos de diferentes soluciones, tanto online como offline, para mantener seguros vuestros datos. Y comenzamos este especial hablando de cinco herramientas gratuitas disponibles en la red, para que podáis acceder a ellas desde cualquier parte.

Seguridad en la nube

Hace tan sólo unos años, nadie se habría planteado dejar sus contraseñas en un ordenador que no fuera el suyo. Pero el imparable avance de Internet y la amplia variedad de dispositivos con conectividad terminó convirtiendo lo que era una posibilidad en una necesidad: acceder desde cualquier parte a nuestros datos de ingreso.

Reconozco que yo he sido de los reacios a usar servicios como los que voy a reseñar, hasta que un par de catástrofes domésticas me llevaron a darme cuenta de que usar un servicio fiable nos puede ser de mucha ayuda para evitar quebraderos de cabeza. Combinados con un respaldo local (por si las moscas se cayera la red en el momento menos indicado) resulta algo muy conveniente.

A la hora de elegir un servicio, debemos tener varios elementos en cuenta: que se acceda por https, que sea seguro y reconocido (no le vamos a confiar nuestras contraseñas a cualquiera) y que sea sencillo y rápido de utilizar. Creo que los sitios reseñados a continuación cumplen con esas características.

Passpack

Passpack es un servicio que ha mejorado y crecido desde que lo reseñamos hace tiempo. En realidad es un servicio de pago, pero cuenta con una opción gratuita que nos permite almacenar hasta 100 contraseñas. Entre sus características más destacadas está la posibilidad de dar acceso a otros usuarios (sólo uno, en el caso de la cuenta gratuita) con permisos para sólo ver o también para editar.

Como los otros servicios reseñados, nos permite acceder a los sitios desde su panel de control. Para ello, debemos instalar un bookmarklet en nuestro navegador. Su uso se reduce a tener abierta nuestra cuenta de Passpack, pichar en el sitio web y, una vez allí, pulsar en el bookmarklet: entraremos sin necesidad de escribir nada.

Tiene opciones de importación para archivos CSV y los procedentes de KeePass, Roboform, Clipperz y Password Plus. En cuanto a la exportación, se usan archivos de texto plano con valores separados por comas, tabulaciones o una tabla en HTML.

Enlace | Passpack

LastPass

LastPass provee de una gran variedad de funciones y es uno de los servicios más usados para la gestión de contraseñas. A diferencia de los anteriores, basa su relación con el usuario en el manejo de extensiones en el navegador para almacenar todas las contraseñas en la nube. Si algo le hace brillante a este servicio es que está disponible para una gran variedad de plataformas. Le tenemos para Windows, MacOS y Linux; para IE, Firefox, Safari y Chrome; y para los sistemas de smartphones más populares (IOS, Blackberry, Android, Symbian, etc.)

Con LastPass podemos gestionar nuestras contraseñas de diferentes formas: podemos asignar “identidades” diferentes para ver las contraseñas, compartir el acceso a una web con otros usuarios, rellenar formularios, cambiar contraseñas para varios sitios a la vez, etc. Provee funciones de importación desde una gran cantidad de servicios y formatos, pero la exportación sólo se realiza a un archivo CSV.

Enlace | LastPass

Clipperz

Clipperz es un proyecto libre que utiliza la licencia AGPL y del que ya hablamos al poco tiempo de salir. Desde entonces, se ha mantenido discreto, sin recibir mucha atención, pero creciendo en número de usuarios. El servicio es completamente gratuito y no tiene límite de contraseñas que podemos guardar.

Algo interesante en Clipperz es la forma en la que ingresamos a los sitios que hemos incluido: con un solo clic se abrirá una pestaña con la cuenta seleccionada ya registrada, sin necesidad de introducir ninguna información en el navegador ni utilizar ningún accesorio, excepto en la configuración inicial, donde tenemos que usar un bookmarklet que nos genera un código para que el servicio detecte los campos de ingreso.

Cuenta con opciones de importación, exportación y respaldo cifrado. Además, al ingresar nos informa de los datos del ordenador desde donde estamos entrando (IP, sistema operativo y navegador) y nos da esos mismos datos del ordenador desde el cual se hizo el último ingreso.

Enlace | Clipperz

Mitto

Mitto es un servicio que, frente a los dos anteriores, quizá sea el que está más verde. Viene con algunos de los servicios más populares predefinidos, aunque también podemos incluir cualquiera que queramos de manera manual.

Algo que me ha gustado es que, en el caso de cuentas que sirven para muchos servicios, como la de Google, podemos asociar varios de ellos a una sola cuenta, de manera que no tengamos que introducir, por ejemplo, la contraseña de Gmail, de Blogger, de YouTube, etc., sino que con ingresar la de Gmail ya podamos asociar con ella el resto de servicios.

En cuanto al ingreso desde Mitto, tiene un funcionamiento similar al de Passpack: por medio de un bookmarklet o una extensión (sólo para Firefox y Chrome) podemos ingresar a los sitios de manera automática siempre y cuando hayamos iniciado sesión en Mitto.

El mayor “pero” que le veo a Mitto es que no puede ni importar ni exportar las contraseñas, con lo que si queremos trasladarnos desde o a otro servicio, tendríamos que hacerlo completamente a mano, con su correspondiente pérdida de tiempo.

Enlace | Mitto

mySafeBox

No quería dejar de mencionar este sitio por el curioso sistema que emplea: en lugar de almacenar contraseñas, almacena recordatorios de contraseñas. Por ejemplo, si tu contraseña es doctorwho678901, en lugar de escribir esa palabra, escribes: diplomado extraterreste + númeroprimertelefono.

Esta lista de recordatorios se puede descargar en formato PDF o en un archivo de Excel. También es posible “importar” subiendo un archivo de este último tipo. Sin embargo, ni siquiera usa el protocolo HTTPS, con lo que no creo que sea el más fiable de este tipo de servicios.

A pesar de su simpleza y vulnerabilidad (en principio), plantea una aproximación diferente al problema de las contraseñas, recurriendo a la estimulación de la memoria en lugar del almacenamiento de datos común. Aunque, claro, podemos usarlo normalmente, pero yo no me fiaría mucho.

Enlace | mySafeBox

Durante un tiempo, muchas personas dedicadas al análisis de seguridad de software se han visto en una encrucijada. Si yo descubro un fallo de seguridad importante en una aplicación determinada, ¿debo comunicárselo a la compañía y esperar a que lo arreglen sin llevarme un duro, o mejor vendo ese conocimiento a una empresa que pueda aprovechar ese fallo en su propio interés?

Esto ha sido durante bastante tiempo la pregunta a la que se han enfrentado muchas de estas personas. Con el propósito de evitar de todas las formas posibles el llegar a esa situación, Mozilla y Google llevan ya tiempo trabajando en lo que se conoce como bug bounty: un sistema a través del cual aquella persona que encuentre un fallo de seguridad de este tipo podrá llevarse una buena suma de dinero.

Obviamente, descubrir este tipo de errores no está al alcance de todos ni tampoco se acepta cualquier tipo de problema como válido. En los principales blogs de ambas compañías se pueden encontrar amplia serie de requisitos que estos bugs deberán cumplir para que puedan ser considerados dentro de la categoría de Severity Security Bugs.

En cuanto a las cantidades se refiere, que es parte de la curiosidad de este tipo de iniciativas, Mozilla subió hace escasos días su oferta hasta $3000 dólares, dependiendo de la importancia que desde la propia empresa le den a un bug en concreto.

Viendo este movimiento, y como no puede ser de otra forma, Google se ha apuntado al carro de las subidas en las últimas horas y ofrece ahora $3133.7 dólares. ¿La diferencia entre una cantidad y otra? 133,7, leet para el resto de los mortales. De todas formas, y dejando las bromas aparte, toda iniciativa que tenga como fin el mejorar la seguridad del software que usamos a diario será, en principio, bienvenida.

Vía | Mozilla Blog y Chromium Blog
Requisitos a cumplir por el bug | Mozilla Blog y Google’s Severity Guidelines for Security Issues

Microsoft acaba de lanzar una beta pública de Security Essentials 2.0, la nueva versión de su antivirus gratuito. En esta release tenemos múltiples cambios, desde retoques visuales a la interfaz, hasta nuevas funciones.

Dentro de las novedades más importantes se cuenta la integración con el Firewall de Windows, e integración con Internet Explorer para ofrecer mayor protección contra código malicioso en páginas web. También se ha actualizado completamente el “motor” anti-malware, con el fin de ofrecer mayor efectividad junto con un mejor rendimiento.

Además, MSE ahora protege frente al malware propagado a través de redes locales. Para hacer esto se toma ventaja de la “Windows Filtering Platform” (WFP) disponible en tanto en Vista como en Windows 7, pero no en XP. Por eso, esta nueva característica de MSE 2.0 no está disponible para los usuarios de Windows XP.

Fuera de eso, Security Essentials 2.0 es totalmente compatible con todas las versiones de Windows, de XP en adelante, y también viene en una versión especial de 64-bits. Nunca está demás recordar que no es buena idea dejar un programa en fase beta como antivirus predeterminado. Lo recomendable es desinstalar MSE 2.0 después de probarlo, para volver al antivirus estable que tengamos instalado.

Por último, les mencionamos que actualmente hay problemas con los links de descarga directa oficiales, así que lo recomendable es bajar MSE usando el gestor de descargas que ofrece Microsoft en el sitio de Microsoft Connect.

Vía | Windows Team Blog
Enlace | Microsoft Connect

Panda ha lanzado una nueva actualización de su antivirus en la nube que básicamente es una versión de corrección de errores y a la vez incluye unas cuantas mejoras en su comportamiento. La nueva versión de Panda Cloud Antivirus está por lo tanto centrada en la depuración de errores.

Han mejorado también las notificaciones de Panda Cloud y su comportamiento con otros programas como OpenOffice o VLC entre otros. La gran novedad para los usuarios con la versión gratuita es que ya no tendrán que versión nueva. Ahora el instalador de la nueva versión se encarga de ejecutar todo el proceso de actualización, lo cual es una pequeña pero importante ayuda y mejora a la hora de actualizarnos.

Lógicamente, los usuarios de la versión Pro que incluye algunas funcionalidades extra, se ahorran estos pasos y pueden actualizar directamente, sin necesidad de tener que descargar un nuevo instalador, sino que se actualizan de manera transparente para el usuario.

Más Información | Blog Panda Cloud
En Genbeta | Panda Cloud Antivirus, el antivirus gratis de Panda
En Tecnología Pyme | Panda y sus renovados productos Cloud Antivirus

Microsoft ha detectado ataques sobre una vulnerabilidad crítica en Windows Shell, y que afecta a todas las versiones de Windows XP, a Server 2003 y 2008, a Vista y a 7, tanto en versiones de 32 como de 64 bits, service packs incluidos. Esto la convierte en la primera vulnerabilidad grave y explotable que no será parcheada en Windows XP SP2, tras la retirada del soporte tanto para esta versión como para Vista RTM.

Si por el motivo que sea no has querido o no has podido instalar el SP3 en Windows XP (o el SP1 o SP2 en Vista), que sepas que tienes un sistema que sólo podrás proteger mediante trucos bastante incómodos. Aunque no aparece en la lista de Microsoft, hay que dar por hecho que Windows 2000 es vulnerable y no recibirá parche, al eliminarse su soporte por completo la semana pasada.

Aunque en la nota oficial afirman que la vulnerabilidad se está aprovechando usando pendrives infectados, también es posible explotarla a través de archivos compartidos por red o WebDAV.

El bug se encuentra en la gestión de los accesos directos (“shortcuts”) por parte de Windows, en concreto de los archivos donde se almacena la información relativa a dicho acceso (con extensión “.lnk”). Aparentemente, Windows comete un error al interpretar estos archivos, de tal forma que tan sólo hace falta que el usuario vea el contenido de la carpeta donde se almacena el acceso directo malicioso para aprovechar la vulnerabilidad. Ni siquiera es necesario ejecutar el acceso directo.

Debido a esto, tener desactivado el “autorun” y el “autoplay” no protege al usuario. Además, un rootkit que aproveche este fallo también evita todos los mecanismos de seguridad incluidos en Vista y 7, incluido el UAC (User Account Control).

Con la velocidad de reacción que le caracteriza, Microsoft aún no ha anunciado cuando resolverá el fallo, que suponemos no llegará hasta la próxima “fiesta del parche”, que toca el 10 de Agosto.

Mientras tanto, hay soluciones provisionales. Hay que evitar que Windows muestre los accesos directos, y también hay que desactivar el servicio WebClient. En ambos casos hay que trastear en sitios donde el usuario medio no debería ni mirar, con el engorro que supone además no disponer de accesos directos… teniendo que acudir directamente al ejecutable para abrir el programa que sea.

Gracias a Lesan por el chivatazo.

Vía | PC World
Sitio oficial | Microsoft
En Tecnología Pyme | Problema de seguridad con unidades extraíbles
En Genbeta | Microsoft dejará de dar soporte para Windows XP SP2 y Vista RTM

Uno de los problemas más graves que han afectado tanto a Messenger como a Windows Live en general son los ataques de phishing a sus usuarios. Estos se dan en el servicio de mensajería, a través del envío de enlaces falsos, y también en SkyDrive y los perfiles de Windows Live, mediante la publicación de dichos links fradulentos. Y ahora que las funciones sociales de Messenger van in-crecendo, las posibilidades para estos ataques aumentan.

Para intentar solucionar esto, Microsoft ha agregado la tecnología anti-phishing SmartScreen a Messenger, que analiza los links que visitamos y nos advierte en caso de que correspondan a sitios de seguridad dudosa (algo similar a lo que ya hace Facebook con los enlaces publicados allí). SmartScreen revisa cada enlace compartido a través de Windows Live (Messenger, Hotmail, SkyDrive, etc), y revisa su reputación en función de una base de datos que informa sobre su confiabilidad y cantidad de tráfico.

Si el sitio registra historial de fraudes vía phishing, se mostrará una pantalla de bloqueo en rojo que nos impedirá continuar, a menos que copiemos la URL y la peguemos en la barra de direcciones. Esto es algo que también hacen algunos navegadores (Chrome, Firefox, Internet Explorer), pero en este caso la protección es independiente del navegador: aunque usemos IE6, igual veremos la advertencia, ya que esta se genera por el hecho de hacer clic en el link desde algún sitio de Windows Live.

En caso de que el sitio sea confiable, se redirigirá automáticamente hacia el enlace original, y si no existe información sobre él (por ejemplo, es un blog con 10 visitas al mes) se mostrará una página intermedia, recordando al usuario “cuidar su contraseña” antes de continuar.

En lo personal creo que este filtro es una medida correcta, que será relativamente efectiva en cuanto a proteger a usuarios novatos (aquellas mismas personas a las que se le “instalan solas” decenas de barras de herramientas en el navegador). Sin embargo, para los usuarios medio-avanzados puede resultar un poco molesto. Es ahí donde sale a la luz el problema N°1 del filtro SmartScreen: no se puede desactivar.

Además, no estoy seguro de cuan útil sea la página de “Recuerda cuidar tu contraseña”, ya que es algo de perogrullo para la gran mayoría de las personas (no niego que a los más inexpertos les pueda servir). Si el filtro SmartScreen no ha encontrado riesgo en el enlace, ¿para qué hacer perder tiempo al usuario con una advertencia obvia?. En lo personal he encontrado muy molesto este sistema de seguridad, casi tanto o más que el tristemente famoso UAC de Windows Vista.

Esperemos que subsanen eso de aquí a la versión final de Messenger 2010. Basta con que agreguen una opción permitiendo desactivar SmartScreen a quien lo desee.

Más información | Inside Windows Live