El problema está en que el código PIN que se utiliza con esta herramienta se almacena (encriptado) en el propio teléfono, en lugar en el elemento seguro del NFC.

Por lo tanto, cualquier persona podría acceder al archivo encriptado si consigue el teléfono ‘rooteado’. Actualmente los únicos teléfonos que pueden utilizar Google Wallet son el Nexus S y el Samsung Galaxy Nexus (únicamente aquellos que tienen contrato con Sprint).

La compañía es consciente de este error, que le fue revelado por la firma de seguridad zvelo, pero, sin embargo, su solución supone cambiar la infraestructura de seguridad de Wallet.

En los dispositivos NFC, la información que ha de permanecer segura se almacena en lo que se conoce como Secure Element (SE). El acceso al SE está muy regulado, explican en zvelo. En el caso de Wallet, se necesita un código de 4 dígitos para iniciar la aplicación y si se introducen cinco contraseñas erróneas, Wallet se bloquea.

El problema está en que la aplicación almacena información, bajo el nombre de ‘metadatos’, que puede ser utilizada para descubrir el código PIN de Wallet.

Por ello, la compañía necesitaría trasladar la verificación del PIN al SE, algo para lo que necesita la aprobación de su fabricante. Además, hacer esto haría que los encargados de garantizar la seguridad del PIN fuesen los bancos, en lugar del buscador. Por lo tanto, actualmente la decisión han de tomarla las entidades bancarias.

Google

La idea de Google es llegar a aquellas personas que no se preocupan por la seguridad en redes sociales, al utilizar sus smartphones o al navegar por Internet.

Por ello, el buscador ha lanzado Good to Know acompañado de una campaña de publicidad que aparecerá en varios periódicos, revistas y medios en línea estadounidenses, así como en diversas estaciones de metro de Nueva York y Washington D.C.

De este modo, esperan que los usuarios se preocupen, por ejemplo, de bloquear sus smartphones con contraseñas o patrones. Y, en cualquier caso, recomiendan no almacenar información personal como datos bancarios o contraseñas para otros servicios en el teléfono (en mensajes y correos electrónicos, por ejemplo) y borrar todos los datos del dispositivo cuando se adquiera uno nuevo.

“La tecnología puede ser confusa y la industria normalmente no explica de forma suficientemente clara por qué la alfabetización digital es importante”, explica la compañía en su blog.

El portal está dividido en cuatro secciones: seguridad en línea, tu información en la Red, tu información en Google y cómo administrar tu información. En cada una de estas secciones se pueden encontrar otras subsecciones sobre diversos temas que van desde la seguridad al realizar compras online a la personalización de las búsquedas. Además, todos ellos están explicados de forma sencilla y, en muchos casos, acompañados de vídeos.

Facebook

Este tipo de iniciativas son muy comunes y, con ellas, compañías como Facebook o Google pretenden evitar que se publiquen fallos presentes en sus sistemas que puedan llegar a afectar a los usuarios.

La diferencia es que en  este caso la red social ha decidido que los pagos se realicen mediante una tarjeta de crédito especial. Uno de los primeros en recibirla fue Szymon Gruszecki, un investigador de seguridad polaco.

Sin embargo, Gruszecki no llegó usar la tarjeta porque vive en Polonia y suponía el pago de una cantidad bastante importante en materia de impuestos, por lo que Facebook le ingresa el dinero de otra forma, según explicó a Brian Krebs. No obstante, la ha guardado como recuerdo.

En cualquier caso, parece que el recibimiento de la tarjeta ha sido bueno. Charlie Miller, experto en seguridad especializado en productos de Apple, dijo en su cuenta de Twitter que, aunque no es “tan prestigiosa como la tarjeta de SVC, le parece “bastante guay”.

Por otro lado, desde Facebook exploran la posibilidad de dar nuevos usos a esta tarjeta. Así, por ejemplo, podría utilizarse para entrar en una fiesta privada de la compañía, según explicó el director del equipo de respuesta de seguridad de Facebook a Cnet.

Imagen: Tarjeta de Facebook. Krebs On Security.

Security Research Labs

De acuerdo con Security Research Labs, hay más de cuatro mil millones de dispositivos que utilizan GSM y “los estándares de seguridad de los mensajes de texto y voz son de 1990 y nunca han sido actualizados”.

La nueva vulnerabilidad descubierta permite que un hacker acceda al tráfico de la conexión entre un teléfono móvil y la red a la que se conecta. Según el New York Times, Karsten Nohl, director de Security Research Labs, ha asegurado que el procedimiento utilizado por la mayoría de compañías le permitió descifrar el algoritmo que encripta las transmisiones.

Con dicho algoritmo descubierto, es posible escuchar las conversaciones, interceptar los datos enviados y recibidos, mandar mensajes y realizar llamadas. El propio Nohl opina que con un simple parche de software se podría solucionar el fallo.

El sistema GSM es utilizado en la mayoría de países, incluyendo Europa y Latinoamérica. Security Research Labs asegura en su página web que su proyecto de seguridad desarrolla herramientas para probar las posibles vulnerabilidades en las redes GSM.

Imagen Wikipedia

Hoy en día viajar en avión es una actividad rutinaria para miles de personas en todo el mundo, todos sabemos de memoria que hay dos puertas de emergencia adelante, dos en medio y dos atrás, que en caso de despresurización de la cabina caerán mascarillas del techo y que los aparatos electrónicos deben apagarse durante el despegue y el aterrizaje.

Evidentemente la seguridad aérea es muy importante y si nos dicen que apaguemos los iPods y los ordenadores porque pueden interferir con el buen funcionamiento de los aparatos de navegación, los apagamos. Pero el hecho de que los pilotos puedan utilizar tablets, y que incluso los vayan a utilizar como sustituto a las cartas de navegación tradicionales, pone en cuestión los motivos de prohibición de dispositivos eléctricos durante el despegue y aterrizaje.

Nick Bilton del blog especializado en tecnología del New York Times, Bits, ha realizado una serie de consultas a EMT Labs, CSI Telecommunications, Boeing y a la propia F.A.A. obteniendo respuestas contradictorias.

El motivo de las prohibiciones son las emisiones eléctricas que produce cualquier dispositivo, y aunque hay consenso en el hecho de que las emisiones de un aparato electrónico de uso personal (tablets, iPods, ereaders, etc.) son tan bajas que son incapaces de generar ninguna interferencia, según la F.A.A. los problemas vienen cuando se usan 100 o 200 dispositivos al mismo tiempo. Los expertos consultados por Bilton no están de acuerdo y aseguran que dos dispositivos no emiten el doble que uno, y que incluso las emisiones se reducen a medida que aumentan los aparatos funcionando en un espacio cercano.

La realidad es que normalmente no significa un gran problema esperar 20 minutos para volver a encender el tablet u ordenador y continuar trabajando, leyendo, etc., pero en un mundo en el que los dispositivos móviles se están convirtiendo en una herramienta fundamental, llama la atención que justamente en los aviones, cuyo uso continuo y masificado es un fiel reflejo de nuestros tiempos, se tenga una precaución tan, aparentemente, exagerada.

En el caso de las capacidades celulares de los móviles y tablets, la posibilidad de que las señales interfieran en las comunicaciones del avión es menos cuestionada, sin embargo el hecho de que la Comisión Europea haya permitido su uso en todos los vuelos europeos, dejando la decisión a las compañías aéreas, refuerza las posiciones que critican estas medidas de seguridad.

Imagen Iberia

Microsoft

Los teclados de dispositivos táctiles suponen un problema a la hora de introducir contraseñas, ya que en muchas ocasiones es necesario incluir caracteres especiales o letras mayúsculas, lo que complica el proceso en estos teclados, más limitados.

Por lo tanto, se buscan alternativas que funcionen con estos dispositivos. Una de las más comunes es la introducción de claves numéricas, como ocurre en los teléfonos y tabletas de Apple. Sin embargo, esto también puede suponer un problema, ya que se suele recurrir a una serie de contraseñas comunes (las más sencillas de introducir o recordar).

Así, Microsoft ha decidido apostar por un nuevo tipo de claves en Windows 8: las imágenes. O, para ser más precisos, los gestos sobre imágenes.

(Haz clic en la imagen para ampliar)

Cuando un usuario elige la imagen que utilizará, explica la compañía en su blog, el software la divide con una ‘rejilla’ sobre la que se dibujarán los gestos. Así, los puntos individuales se situarán según sus coordenadas, determinadas por su posición en la rejilla. De este modo, si se traza una línea, se almacenan las posiciones de comienzo y de final, así como el orden en que se pulsaron (para establecer la dirección).

Por otro lado, para los círculos se calcula el centro de los mismos, el radio y la dirección, mientras que en el caso de una pulsación simple, se registran sus coordenadas.

Después, cuando un usuario trata de registrarse, se comparan los datos almacenados con los gestos realizados. Finalmente, el software decide si la contraseña se ha introducido correctamente en función del porcentaje de errores. No obstante, si un gesto no es correcto (por ejemplo, se traza una línea en lugar de un círculo) o si el orden en que se realizan es distinto, la autentificación siempre fallará.

Este software de monitorización fue descubierto a principios de mes por un investigador de seguridad, Trevor Eckhart. Después, compañías como Apple aseguraron que lo eliminarían de sus dispositivos con una actualización del sistema operativo, mientras que el presidente ejecutivo de Google, Eric Schmidt, lo criticó duramente en una conferencia.

Paralelamente, surgieron aplicaciones para que los usuarios pudieran saber si sus teléfonos contenían el programa de Carrier IQ, que, en teoría, era utilizado para que las compañías telefónicas pudiesen mejorar la experiencia de los usuarios con la información obtenida.

Ahora, el Gobierno estadounidense se ha reunido con ejecutivos de Carrier IQ. Un portavoz de la compañía explicó a The Washington Post que cooperan con agencias federales, a las que proporcionan información sobre su servicio. No obstante, aseguró que no tenía conocimiento de una investigación oficial.

Anteriormente, Carrier IQ había publicado un documento (PDF) en el que explicaba que el almacenamiento de datos como las pulsaciones de teclas o los SMS se debió a un error.

Por otro lado, el FBI ha asegurado que nunca ha pedido este tipo de información directamente a la compañía, según recoge ComputerWorld. El director de la organización, Robert Mueller, negó esta posibilidad después de que la agencia se negase a proporcionar información sobre sus prácticas, lo que disparó las especulaciones. No obstante, Mueller explicó que la información que obtienen de las compañías telefónicas puede haber sido recogida mediante este software.

Google

Google anunció recientemente que se habían alcanzado los 10.000 millones de descargas en el Android Market. Sin embargo, también ha aumentado la presencia de aplicaciones maliciosas en la tienda. Por ello, la compañía ha tenido que retirar varias aplicaciones que engañaban a los usuarios para que se suscribieran a servicios premium de mensajes de texto.

Este tipo de fraude, conocido como RuFraud, está cada vez más presente en tiendas alternativas para dispositivos liberados, aunque hasta hace unas semanas no llegó con fuerza a la tienda oficial de aplicaciones de Android, cuando aparecieron las nueve primeras apps.

Las aplicaciones tenían temáticas diversas, desde servicios de fondos de pantalla a descargadores de aplicaciones populares. Las apps explicaban en sus términos de servicio de servicio que podrían suponer costes, pero lo hacían de forma oculta.

En cualquier caso, una vez instaladas aparecía una pantalla en la que había que pulsar un icono para continuar. Según explica el blog de la compañía de seguridad Lookout, era en este momento cuando los usuarios se suscribían, sin saberlo, al servicio de SMS.

En Lokout aseguran que la respuesta de Google fue rápida, por lo que sólo se vieron afectados unos pocos usuarios. No obstante, después, se subieron 13 nuevas aplicaciones que sí pudieron alcanzar a un número mayor de personas  antes de ser eliminadas (se estima que se produjeron unas 14.000 descargas).

El fallo se activa al recibir un determinado SMS en un teléfono con Windows Phone (parece afectar a diferentes versiones de Mango). Una vez que se abre, el dispositivo se reinicia y no es posible acceder a la aplicación de mensajería (al tratar de hacerlo vuelve a la pantalla principal).

Además, también puede afectar a algunos usuarios desde la aplicación de Facebook si un contacto publica un determinado mensaje en la red social. Si este contacto aparece destacado en el teléfono (es decir, se ven sus actualizaciones de forma automática), el dispositivo se bloqueará. No obstante, en este caso se puede solucionar si se reinicia el teléfono y se eliminan las actualizaciones automáticas de esa persona antes de que vuelva a bloquearse.

Este problema fue descubierto por Khaled Salameh, quien informó del mismo a WinRumors. Ahora, están trabajando con Microsoft para solucionar el fallo, para el que, por el momento, no hay solución, aparte de formatear el teléfono afectado.

El fallo ya ha sido solucionado, pero la imagen de la compañía ha sido bastante dañada. Facebook se enorgullece de sus medidas de seguridad, pero últimamente ha sufrido diversos ataques. Uno de los más sonados fue el que hizo que apareciesen imágenes pornográficas, causado por un fallo en un navegador.

En este caso el culpable fue un bug en la herramienta que permite denunciar contenido inapropiado. Curiosamente, no fue encontrado por expertos en seguridad, sino por un usuario de un foro de culturismo.

Este usuario publicó un tema en el foro en el que explicaba los pasos que había que seguir para poder acceder a las imágenes privadas. Únicamente era necesario denunciar a un usuario por publicar imágenes pornográficas o con desnudez y, después, la red social mostraba más imágenes para que se reportasen las que debían ser eliminadas.

Además, para ver estas imágenes a tamaño completo sólo hacía falta hacer introducir un pequeño cambio en la URL. De este modo, unos usuarios pudieron crear una página con varias fotos del fundador de Facebook, Mark Zuckerberg.

Cuando descubrió el error, la compañía deshabilitó el sistema de denuncia de imágenes y emitió un comunicado, recogido por Zdnet, en el que explicaba que el fallo fue resultado de un reciente cambio en el código. Asimismo, recordaron que no se podían ver todas las fotos de los usuarios, sino únicamente una pequeña cantidad de las mismas.