Category: Seguridad Informática

‘ZombieLoad’, la vulnerabilidad que afecta a los procesadores Intel desde 2011 y que permite acceder a los datos privados de un PC

Posted on by Diana Lozada

Un nuevo ataque que aprovecha los fallos de diseño de los procesadores

ZombieLoad o ‘carga zombie’ recibe su nombre por la gran cantidad de datos que el procesador no puede entender o “procesar”, por lo que termina pidiendo ayuda al microcódigo para evitar un fallo. A día de hoy, las aplicaciones tienen la capacidad de ver sólo sus propios datos, pero lo que hace ZombieLoad es desbordar esta información más allá de la aplicación y sus “barreras”, lo que hace que todos los datos queden al descubierto y se puedan leer sin problemas por otra aplicación.

ZombieLoad es un ataque de canal lateral dirigido a los chips de Intel, que permite a los atacantes explotar eficazmente los defectos de diseño sin tener que instalar código malicioso. Si un atacante aprovecha esta vulnerabilidad, sería capaz de leer datos como contraseñas, credenciales de acceso, tokens de cuentas, mensajes privados, y cualquier dato que pase por el procesador.

Tras la pesadilla creada por Spectre, Meltdown y Foreshadow, ahora nos llega ‘ZombieLoad’, una recién descubierta vulnerabilidad que afecta, nuevamente, a los procesadores Intel. ZombieLoad explota un fallo en la ejecución especulativa, lo que hace que un atacante pueda tener acceso y robar información confidencial directamente del procesador.

De acuerdo a los investigadores, ZombieLoad puede afectar a casi todos los procesadores Intel fabricados desde 2011, y su diseño es muy similar a lo que vimos con Spectre y Meltdown, que aprovechaban un fallo que está presente en el diseño de la mayoría de los procesadores modernos.

¿Qué procesadores son afectados por ZombieLoad?

Los procesadores AMD y ARM quedan exentos de esta vulnerabilidad. En cuanto a Intel, casi todos sus microprocesadores fabricados desde 2011 son propensos a un ataque de ZombieLoad.

  • Intel Xeon
  • Intel Broadwell
  • Sandy Bridge
  • Skylake
  • Haswell
  • Kaby Lake
  • Coffee Lake
  • Whiskey Lake
  • Cascade Lake
  • Todos los procesadores Atom y Knights

Asimismo, hay que destacar que no sólo los ordenadores resultan afectados por ZombieLoad, ya que también los centros de datos son vulnerables a ataques. Al igual que Meltdown y Spectre, ZombieLoad se puede activar en máquinas virtuales, afectando así a compañías que tengan contratados servicios en la nube.

Daniel Gruss, uno de los investigadores que descubrió ZombieLoad, mencionó:

“ZombieLoad funciona igual que un PC, por lo que puede leer los datos del procesador. Este es un problema potencialmente importante en los entornos de nube donde las máquinas virtuales de los diferentes clientes se ejecutan en el mismo hardware de servidor. Es más fácil de explotar que Spectre, pero más difícil que Meltdown. Aunque hay que destacar que requiere un conjunto específico de habilidades y esfuerzos para echar a andar un ataque.”

Un punto importante es que ZombieLoad puede ser compilado en una aplicación o instalarse como malware, por lo que resultaría relativamente sencillo ejecutar un ataque.

Según los investigadores, hasta el momento no se han reportado ataques con ZombieLoad, pero la recomendación es instalar cuanto antes los parches que vayan lanzando las diversas compañías afectadas.

Así han respondido las compañías tecnológicas ante ZombieLoad

Hasta este momento, sólo Apple, Google y Microsoft han lanzado actualizaciones para mitigar posibles ataques con ZombieLoad.

Apple mencionó que el lunes lanzó una actualización para su operativo macOS que protege a todos sus ordenadores de escritorio y portátiles desde 2011 ante posibles ataques usando ZombieLoad. Esta actualización también protege a Safari y otras aplicaciones, y, aseguran, que los usuarios no verán afectado su rendimiento.

Los iPhone, iPad y Apple Watch no están en riesgo por ZombieLoad.

Google confirmó que la mayoría de sus dispositivos Android no se verán afectados por ZombieLoad, pero en cuanto a los dispositivos con procesadores Intel, como Chromebooks y algunas tablets, tendrán que ser parcheados una vez que el fabricante publique las actualizaciones.

En cuanto a Chrome y Chrome OS, la compañía afirma que están protegidos y no hay riesgo para el usuario promedio, pero se deberán instalar los parches para el dispositivo cuanto antes. Por otro lado, Google también mencionó que sus centros de datos ya están protegidos y sus clientes con servicios en la nube no corren ningún riesgo.

En el caso de Microsoft, se informó que han iniciado con el despliegue de actualizaciones y están actualmente trabajando con los fabricantes para desarrollar nuevos parches y formas de mitigar los ataques con ZombieLoad. Algunas actualizaciones de microcódigo estarán disponibles a través de Windows Update y su página web, pero siguen pendientes de aquellas que serán desplegadas por los fabricantes.

Por su parte, los clientes de Azure ya están protegidos, afirmó Microsoft.

Por último, Intel declaró a TechCrunch que los nuevos parches están dirigidos a actualizar el microcódigo de los procesadores y se espera una afectación en el rendimiento de entre 3% y 9%, por lo que, afirman, “es poco probable que se note en la mayoría de los casos”.

Desde Intel envían las siguientes declaraciones respecto a este caso:

“El muestreo de datos de microarquitectura (MDS) ya se aborda a nivel de hardware en muchos de nuestros recientes procesadores Intel Core de 8ª y 9ª Generación, así como en la familia de procesadores escalables Intel Xeon de 2ª Generación. Para otros productos afectados, la mitigación está disponible a través de las actualizaciones de microcódigo, junto con las actualizaciones correspondientes al sistema operativo y al software de hipervisor que están disponibles a partir de hoy. Hemos proporcionado más información en nuestro sitio web y seguimos alentando a todos a mantener sus sistemas actualizados, ya que es una de las mejores maneras para estar protegidos. Extendemos nuestro agradecimiento a los investigadores que trabajaron con nosotros y nuestros socios de la industria, por sus contribuciones a la divulgación coordinada de estos problemas”.

Fuente: xataka

Google introducirá mejoras en los controles de cookies en Chrome

Posted on by Diana Lozada

Google introducirá controles de cookies mejorados contra el seguimiento en línea en su navegador web Chrome, según el anuncio realizado en la conferencia anual con desarrolladores Google I/O 2019.

La privacidad cotiza al alza en la tecnología mundial y una vez conocidos escándalos tan bochornosos como los de Facebook, los usuarios están exigiendo ese derecho y como mínimo mayor control y transparencia de sus datos. Google es una compañía cuya mayor parte de ingresos dependen de esos datos, pero la realidad es que su funcionamiento tiene poco que ver con la red social.

Calificando el concepto de la privacidad como «uno de los temas más importantes de nuestro tiempo», Google ha prometido ser transparente sobre la recopilación de datos, no vender información personal y dar a los usuarios más control sobre la revisión, traslado y eliminación de datos.

Para ello, ha presentado varias iniciativas en el Google I/O 2019, comenzando por incluir características en sus dispositivos y servicios conectados al hogar como el Nest Hub Max para salvaguardar los datos y la privacidad del usuario.

Controles de cookies en Chrome

Otro de los anuncios controles de cookies mejorados contra el seguimiento en línea, mediante la característica SameSite Cookies que se implementarán en próximas versiones del navegador Chrome.

Las cookies, también conocidas como cookies HTTP o cookies de navegador, son pequeñas piezas de información que los sitios web almacenan en las computadoras, que juegan un papel importante en la experiencia en línea. Las cookies son creadas por un navegador web cuando un usuario carga un sitio web en particular, lo que ayuda a ese sitio a recordar información sobre su visita, inicio de sesión, idioma preferido, elementos del carrito de compras y otras configuraciones.

Sin embargo, las cookies también se están utilizando ampliamente para identificar a los usuarios y hacer un seguimiento de sus actividades no solo en el sitio que emitió la cookie, sino también en cualquier sitio de terceros que incluya un recurso compartido por el mismo sitio, por ejemplo, las cookies utilizadas para anuncios y publicidad comportamental.

Debido a que actualmente no existe una forma estándar de identificar o categorizar cómo los sitios web utilizan las cookies, se utilizan para diferentes propósitos y tienen el mismo aspecto que los navegadores, al eliminarlas te desconectarás de todos los sitios y se restablecerán tus preferencias en línea. Google tiene previsto mejorarlo con el atributo SameSite, que ofrece a los desarrolladores tres opciones diferentes para controlar el comportamiento, y más transparencia para los usuarios, revelando si una cookie del navegador es para el mismo sitio o para varios.

Cookies Chrome - Google introducirá mejoras en los controles de cookies en Chrome

El mecanismo facilitará a los usuarios del navegador Chrome bloquear o eliminar todas las cookies de terceros sin perder la información y la configuración de inicio de sesión. En una publicación detallada en su blog, Google explica el nuevo mecanismo que los desarrolladores de sitios web deberán seguir en los próximos meses para especificar explícitamente qué cookies pueden funcionar en todos los sitios web y se pueden usar para hacer un seguimiento de los usuarios.

Con el lanzamiento de Chrome 76, Google también permitirá que los usuarios establezcan el comportamiento predeterminado para que su navegador defina si debería aceptar o rechazar las cookies entre sitios cuando visita un sitio web.

Fuente: muyseguridad

¿Cómo ver si están rastreando los correos electrónicos que recibes?

Posted on by Diana Lozada

Hace unos años, alguien que trabaja en relaciones públicas comentó sobre Streak, un servicio de seguimiento de correo electrónico que te permite saber cuándo alguien abrió el mensaje que enviaste; a veces con detalles sobre dónde ocurrió esa apertura e incluso en qué dispositivo estaba cuando lo leyó. Esa persona lo estaba usando para ver en qué momento los periodistas recibían los mensajes que les enviaba. Aunque no estaba particularmente interesado en espiar o si realmente el periodista estaba leyendo lo que le había enviado, es una buena idea para darle la vuela y usarlo en beneficio propio.

No siempre prestamos atención al lugar donde abrimos un correo electrónico, pero hay que admitir que es bueno saber que lo han leído y están eligiendo no responder en lugar de preguntarnos si se ha enviado a spam o a una cuenta de correo electrónico inactiva.

Ugly Email es una extensión de Chrome y Firefox que puede ayudar a saber si están haciendo seguimiento a los correos electrónicos.

Una vez instalado, muestra un icono con un ojo al lado de cualquier correo electrónico que esté usando el software de seguimiento. También bloquea esos rastreadores, por lo que sabrás que la intención del remitente era averiguar cuándo se abrió la nota.

info e1553632158655 - ¿Cómo ver si están rastreando los correos electrónicos que recibes?

 

 

 

 

 

 

Spoiler: es mucha gente.

Un desplazamiento rápido a través de la bandeja de recibidos descubrió que no solo se estaban rastreando los correos electrónicos de personas con trabajos gubernamentales, sino también los correos electrónicos que invitaban a participar en reuniones de Fitbit o páginas de vuelos.

La aplicación no bloquea todo, pero maneja una lista bastante sólida de muchas de ellas. Según la web de la compañía, ahora bloquea MailChimp, SendGrid, Drip, Streak, Mailgun, Bananatag, Yesware, TinyLetter, Postmark, Sidekick, Boomerang y otros 20.

Incluso si no estás muy preocupado por las personas que te rastrean, puede ser interesante ver quién está detrás.

Fuente: Gizmodo

Cómo liderar una empresa al estilo Google

Posted on by Diana Lozada

El proyecto Oxigen de Google utilizó la minería de datos a través de más de 10.000 encuestas entres sus empleados para averiguar los comportamientos de sus directivos. Los resultados de los mismos han dado lugar a una serie de herramientas para gerentes que ahora Google pone a disposición de todo el mundo de forma gratuita.

Al contrario de lo que podría parecer para algunos, los conocimientos técnicos y la experiencias tenían menos importancia que otras habilidades para liderar equipos. En base a estos resultados han desarrollado las herramientas de Google para gerentes .

  • Herramienta de encuestas para gerentes dado que recoger el feedback de forma anónima de los que trabajan con nosotros es fundamental para mejorar. La encuesta es corta, unas doce preguntas y se puede adaptar a cada organización.
  • Herramientas de formación para gerentes pensado para aprender todas las habilidades que un buen jefe de proyecto o de área debe tener para motivar a su equipo y llevar adelante con éxito la gestión del mismo. Todos los documentos se pueden descargar de forma gratuita y están en inglés.
  • Hoja de ruta de carrera, sería la guía para los gerentes que les ayudaría a saber como dirigir la conversación con sus empleados sobre su plan de carrera en la empresa.
  • La conciliación de vida laboral y personal de los empleados donde se incide en la importancia de prácticas sencillas para que los empleados dediquen tiempo a su familia, sin prolongar su jornada de trabajo, no respondiendo correos los fines de semana, etc.
  • Herramientas de reuniones, quizá una de las más útiles. Está orientada a hacer que las reuniones con los equipos de trabajo sean efectivas, proporcionando la retroalimentación y orientación necesarias para el equipo. Evitar que se prolonguen eternamente es clave.

Estas herramientas serán más o menos útiles dependiendo del tipo de pyme. En algunos casos tenemos mucho que aprender de una empresa como Google. Es cierto que no es fácil implantar el modelo de gestión de una empresa con miles de empleados a una pequeña pyme. Pero hay que recordar que también nació como una startup.

En cuestiones como recoger el feedback de forma anónima de los empleados o planificar su plan de carrera manteniendo conversaciones forma frecuente con ellos hay grandes diferencias. Aquí es rara la empresa, más todavía si es pequeña que utiliza estos métodos para mejorar la forma de dirigir sus equipos de trabajo.

Pero en otras cuestiones como la conciliación de vida personal y laboral creo que muchas empresas le llevan gran ventaja a la empresa del buscador. Existe una mayor conciencia por parte de empleados, a pesar del presentismo o de algunos workaholics, para desconectar como algo necesario y beneficioso a medio y largo plazo.

Fuente: Pymes y autónomos

¿De qué se trata el servicio de Consultoría?

Posted on by info

Muchas empresas ofrecen en su portafolio de servicios el de onsultoría pero muy pocos entienden de qué se trata y hasta dónde llega este servicio al momento de contratartlo. Hoy te contamos qué es el servicio de Consultoría.

¿Qué es la consultoría?

El servicio de consutltoría es un servicio al que recurren las empresas buscando solucionar uno o más problemas en específico. Según Ribeiro (p.7), citando a otros autores, expone que la consultoría es:

La ayuda que presta un experto para resolver un problema empresarial, basándose en su experiencia, habilidad y oficio.

El servicio prestado por una persona o personas independientes y calificadas en la identificación e investigación de problemas relacionados con políticas, organización, procedimientos y métodos; recomendación de medidas apropiadas y prestación de asistencia en la aplicación de dichas recomendaciones.

Por su parte, Quijano (p.49) indica que la consultoría es un tipo de relación de ayuda establecida entre diferentes actores -el consultor y la organización- basada por un lado sobre los conocimientos, las habilidades y las acciones del consultor, y por otro sobre el conocimiento, la colaboración y la necesidad de la empresa-cliente.
Objetivo

Block (p.20) afirma que la meta o producto final de cualquier actividad de consultoría se denomina intervención y que esta se produce en dos variantes:

En un nivel, una intervención es cualquier cambio de índole estructural, política o de procedimiento en la línea de organización: un nuevo conjunto de medidas remunerativas, un nuevo proceso de información, un nuevo programa de seguridad.
El segundo tipo de intervención es el resultado final por el cual una o muchas personas en la línea de organización han aprendido algo nuevo. Quizás hayan aprendido qué normas dominan las reuniones de su staff, qué hacer para mantener a personal de un nivel más bajo en una posición altamente dependiente en la torna de decisiones, cómo comprometer a las personas de un modo más directo para fijar metas o cómo proceder para mejorar las evaluaciones del desempeño.

Ribeiro (p.51) apunta que la consultoría opera sobre la capacidad de aumentar la efectividad organizacional.

Características

Garzón (p.141) formula que los lineamientos generales de la consultoría son los siguientes:

Es un servicio independiente. Se caracteriza por la imparcialidad del consultor, que es un rasgo fundamental de su papel. Esta independencia significa al mismo tiempo una relación muy compleja con las organizaciones clientes y con las personas que trabajan en ellas. El consultor no tiene autoridad directa para tomar decisiones y ejecutarlas. Pero esto no debe considerarse una debilidad si el consultor sabe actuar como promotor de cambio y dedicarse a su función, sin por ello dejar de ser independiente. Por consiguiente, debe asegurar la máxima participación del cliente en todo lo que hace de modo que el éxito final se logre en virtud del esfuerzo de ambos.

Es, esencialmente, un servicio consultivo. No se contrata a los consultores para dirigir organizaciones o para tomar decisiones en nombre de directores en problemas. Su papel es actuar como asesores, con responsabilidad por la calidad e integridad de su consejo; los clientes asumen las responsabilidades que resulten de la aceptación de dicho consejo. No solo se trata de dar el consejo adecuado, sino de darlo de manera adecuada y en el momento apropiado. Esta es la cualidad fundamental del consultor. El cliente, por su parte, debe ser capaz de aceptar y utilizar esa ayuda del consultor.

Proporciona conocimientos y capacidades profesionales para resolver problemas prácticos. Una persona llega a ser consultor de empresas en el pleno sentido del término después de haber acumulado una masa considerable de conocimientos sobre los diversos problemas y situaciones que afectan a las empresas y adquirido la capacidad necesaria para identificarlos, hallar la información pertinente, analizar y sintetizar, elegir entre posibles soluciones, comunicarse con personas, etc. Cierto es que los dirigentes de las empresas también tienen que poseer estas capacidades. Lo que distingue a los consultores es que pasan por muchas organizaciones y que la experiencia adquirida en las tareas pasadas pueden tener aplicación en las empresas en las que se realizan nuevas tareas. Además, los consultores profesionales se mantienen al tanto de los progresos en los métodos y técnicas, señalan estos progresos a sus clientes y contribuyen a su aplicación.

No proporciona soluciones milagrosas. Sería un error suponer que, una vez contratado el consultor, las dificultades desaparecen. La consultoría es un trabajo difícil basado en el análisis de hechos concretos y en la búsqueda de soluciones originales pero factibles. El empeño decidido de la dirección de la empresa en resolver los problemas de ésta y la cooperación entre cliente y consultor son por lo menos tan importantes para el resultado final como la calidad del consejo del consultor.

Fuente: Gestiopolis