Connect with us

Seguridad

El pendrive «asesino»

Publicado

en

En la informática todos los días surgen nuevas ideas y nuevos proyectos, que sumado al alto grado de emprendimiento que rodea al mundo tecnología,  todo se convierte en un fluir constante de novedades.

Pero también hay determinados proyectos, o ideas, que realmente tienen difícil identificar sus utilidad. Algunas de ellas más bien parecen variantes modernizados de funcionalidad «malware». Es el caso del pendrive «asesino» («killer USB»). La idea básica de este peculiar «pendrive» es la de sobrecargar sus condensadores al ser conectado al puerto correspondiente para terminar por descargar toda esa energía de golpe. Por si acaso falla, está constantemente repitiendo el acto de carga/sobrecarga hasta que se desconecta el dispositivo del conector «USB». Básicamente una sobrecarga de energía que deja «KO» a un equipo informático.

En realidad la idea original del producto era positiva y constructiva, era una herramienta para los fabricantes de equipos informáticos donde poder testear la fragilidad de sus dispositivos. De hecho se informa de que los equipos de Apple están protegidos contra este tipo de unidad de almacenamiento, porque es el único fabricante que tomó medidas para ello.

Pero a la vuelta de la esquina, existe el uso destructivo… una especie de «malware» de hardware que termina con el dispositivo simplemente por el hecho de conectarlo a un puerto «USB» cualquiera. En principio estaba destinado al uso positivo de los fabricantes, pero es importante anunciar que ha salido a la venta por un precio que ronda los 50 euros, y se ha agotado ¿lo han agotado los fabricantes o usuarios de la informática? Y si lo han agotado usuarios, ¿para qué finalidad lo han adquirido?

¿Cuál será el siguiente paso de los fabricantes? ¿Protegerán sus dispositivos contra este tipo de ataque de hardware?

Este tipo de dispositivos abren un nuevo frente en la seguridad informática, no solo hay que preocuparse de lo que tenemos dentro de los ordenadores y de lo que nos llega por Internet… también será necesario preocuparse de quién se acerca a nuestro equipo y qué conecta a nuestros puertos «USB».

 

Nacido en Asturias, y residente en el País Vasco desde el año 2005, soy Arquitecto de Software, y desarrollo mi labor profesional en Ingeniería de Software desde hace más de veinticinco años, tanto en el sector industrial (Ingeniería I+D) como en la administración pública. Hasta la fecha he publicado cinco libros en formato papel entre los años 2009 y 2019, y he ganado varios premios nacionales e internacionales con asuntos relacionados con Internet. También realizo una labor de recuperación de la historia de la informática, y en el año 2018 publiqué el libro Historia de la Informática Personal, donde profundizo en la historia de la informática clásica. En mi web personal se puede encontrar más información sobre mí (https://manuel-llaca.com).

Seguridad

Meltdown y Spectre, dos fallos de hardware que amenazan la seguridad informática global

Publicado

en

Meltdown

El comienzo del año 2018 ha sido catastrófico en lo que a la seguridad informática refiere. El pasado día 3 de Enero de 2018 se tuvo noticia oficial de dos fallos de seguridad llamados MeltDown y Spectre, vulnerabilidades descubiertas por personas del Google Project Zero, Cyberus Technology, y la Universidad de Tecnología de Graz. En realidad, estaba planificado comunicar oficialmente la existencia de los fallos el 9 de Enero de 2018, pero como algunos sitios de noticias comenzaron a informar sobre los cambios que se avecinaban en el núcleo de Linux, se adelantó seis días la comunicación oficial.

MeltDown permite la vulnerabilidad es evitar límites de seguridad que son aplicados por el hardware, siendo vulnerables datos privados como contraseñas u otros datos confidenciales.

El fallo de seguridad MeltDown es una vulnerabilidad que afecta prácticamente a la totalidad de los procesadores Intel fabricados desde el año 1995 —a excepción de los procesadores Atom e Itanium fabricados antes del año 2013—, aunque tampoco se descarta que pudiera afectar a otros procesadores como AMD o ARM. En resumen, lo que permite la vulnerabilidad es evitar límites de seguridad que son aplicados por el hardware, siendo vulnerables datos privados como contraseñas u otros datos confidenciales, porque MeltDown permitiría acceder a partes sensibles de la memoria. El fallo afecta a ordenadores personales y portátiles que incluyan a los procesadores detallados anteriormente.

El fallo de seguridad Spectre es más grave todavía que el MeltDown, porque si bien es otro fallo de hardware, el caso del Spectre afecta a los procesadores AMD y ARM, aparte de los fabricados por Intel, por lo que los equipos afectados alcanzarían también a «tablets» y «smartphones», además de los ordenadores de sobremesa y portátiles. En resumen, lo que permite la vulnerabilidad es permitir a un software acceder a otros programas, pudiendo «engañar» a otras aplicaciones de «software seguro» para que compartan datos.

En el caso de Spectre, no hay una reparación planteada por el momento, y la solución pasa por desarrollar software que pueda «frenar» más que «solucionar» las consecuencias directas de un ataque.

El camino para solucionar el grave fallo MeltDown pasa por desarrollar —vía software— parches en los sistemas operativos que permitan «tapar» la vulnerabilidad. Para los ordenadores con sistema operativo Windows y Linux existen parches oficiales disponibles para descargar… pero… para rematar el grave problema, desde diversas fuentes se ha estado afirmando que instalar esos parches podrían provocar la ralentización de los procesadores hasta en un 30%, información que se ha apurado a desmentir Intel. No obstante, según diversas fuentes, esa ralentización podría darse únicamente en los casos de usos para virtualización, en ordenadores de uso estándar en los hogares sería imperceptible. En el caso de Spectre, no hay una reparación planteada por el momento y la solución pasa por desarrollar software que pueda «frenar» más que «solucionar» las consecuencias directas de un ataque por medio de esa vulnerabilidad.

Hasta el momento de redactar este artículo, no se había detectado ningún ciberataque de carácter global que utilice alguna o las dos vulnerabilidades, pero también es cierto que los antivirus no pueden rastrear esos ataques, además de que ataques ejecutados en el pasado no hubieran dejado rastro alguno.

Muchos medios en Internet publicaron, por error, que la propia empresa Intel había subido un enlace de descarga de una utilidad para detectar si un ordenador es vulnerable o no a MeltDown y Spectre.

Durante las navidades, y en secreto al no ser pública todavía la noticia, fabricantes como, por ejemplo, Intel trabajaron mano a mano con desarrolladores de sistemas operativos para buscar las posibles soluciones para ambas vulnerabilidades. Además, muchos medios en Internet publicaron que la propia empresa Intel había subido un enlace de descarga de una utilidad (https://downloadcenter.intel.com/download/27150) para detectar si un ordenador es vulnerable o no a MeltDown y Spectre. Nosotros hemos ejecutado la aplicación de Intel en un ordenador con un microprocesador Intel i5-3330 del año 2013 y que, además, no tiene instalado todavia el parche de seguridad para Windows publicado el día 4 de Enero de 2018.

El resultado de la ejecución determinó que ese equipo NO es vulnerable, algo que nos deja con algo de desconcierto si hacemos caso a la noticia original que afirma que todos los procesadores Intel fabricados desde el año 1995 estarían afectados por el fallo de diseño de hardware; no supimos, inicialmente, como interpretar el dictamen de la aplicación de Intel que verifica la vulnerabilidad. Posteriormente, hemos investigado un poco y lo que cientos de páginas web están informando como una herramienta para detectar si un equipo es vulnerable mediante MeltDown y Spectre, en realidad, sirve para valorar otro tipo de vulnerabilidad relacionada con el Intel Management Engine. Así que, por el momento, no existe una herramienta oficial que valore las nuevas vulnerabilidades anunciadas el 3 de Enero de 2018, aunque en cientos de medios y páginas web se afirme lo contrario.

Todavía hay mucha información circulando por Internet pendiente de confirmación oficial, así como, según donde se mire, las vulnerabilidades se consideran más o menos graves.

Inicialmente es la empresa Intel la que más «palos» está recibiendo a nivel mundial en Internet, pero el problema es mucho más serio y afecta a todo tipo de equipamientos informáticos portables y no portables, alcanzando a más de un fabricante de microprocesadores. Pero todavía hay mucha información circulando por Internet pendiente de confirmación oficial, así como, según donde se mire, las vulnerabilidades se consideran más o menos graves. Lo que está claro es que este tipo de vulnerabilidades no afectan por igual a un usuario doméstico, a un «data center», o a un «centro de virtualización»… como tampoco afecta por igual a los sistemas informáticos de las empresas que a los ordenadores domésticos.

Continuar leyendo...

Seguridad

Chema Alonso, jefe de datos de Telefónica, condecorado por la Guardia Civil

Publicado

en

Hace unos meses, concretamente en Junio de 2016, publicamos en este medio digital una entrevista que pudimos realizar a Chema Alonso, Doctor en Seguridad Informática por la Universidad Rey Juan Carlos de Madrid, Ingeniero Informático por la misma universidad, e Ingeniero Informático de Sistemas por la Universidad Politécnica de Madrid.

En la actualidad ocupa el cargo de  Jefe de Datos de la empresa «Telefónica» y, aunque es una persona muy mediática y conocida en España por sus continuas apariciones en todo tipo de medios de comunicación, en las últimas semanas ha contado con una presencia más importante —si cabe decir— en los medios debido a la ya famosa infección del virus «Wannacry» que saltó a la opinión pública el 12 de mayo pasado cuando fueron infectados ordenadores de las empresas Telefónica, Iberdrola, y Gas Natural. La infección, finalmente, tuvo un nivel de infección de ámbito mundial.

La Guardia Civil condecoró el pasado 16 de mayo al famoso «hacker» con la «medalla de distintivo blanco» por su colaboración con el Instituto Armado.

Recientemente, Chema Alonso ha vuelto a ser foco de la noticia; la Guardia Civil condecoró el pasado 16 de mayo al famoso «hacker» con la «medalla de distintivo blanco» por su colaboración con el Instituto Armado en los días de crisis provocados por el virus que tuvo una afectación a escala mundial.

Chema Alonso compró los derechos de Calico Electrónico, la serie cómica de animación flash emitida por Internet entre los años 2004 y 2015.

Chema Alonso fue consultor de seguridad desde 1999 hasta 2013 en Informática 64, una empresa de seguridad informática que fue co-fundada por él mismo. Cuenta con su propio «blog» denominado «El Otro Lado del Mal», que fue Premio Bitácoras en el año 2014. Como dato curioso comentar que Chema Alonso compró los derechos de Calico Electrónico, la serie cómica de animación flash emitida por Internet entre los años 2004 y 2015, la cual intentó revitalizar al buscar patrocinadores para su continuidad; pero, tristemente, la serie llegó a su fin el 1 de mayo de 2015 con la emisión, hasta la fecha, del último capítulo.

La Universidad Politécnica de Madrid también le nombró Embajador Honorífico de la Escuela Universitaria de Informática en el año 2012. Al espectacular «Curriculum Vitae» de Chema Alonso se suma ahora la inédita medalla a un «hacker» otorgada por la Guardia Civil, para premiar su labor prestada en beneficio de la seguridad informática. En ParcelaDigital no tenemos ninguna duda que Chema Alonso ha aportado, durante muchos años, un gran servicio por la seguridad informática de todos.

 

Continuar leyendo...
Advertisement

¡Suscríbete!

¡Suscríbete y recibe los artículos en tu email!

Si lo deseas, puedes suscribirte a ParcelaDigital.com y recibir en tu correo electrónico los artículos ¡Es gratis!



Premios Obtenidos



- Blog ganador del Premio Web Internacional OX en dos ocasiones (años 2016 y 2017) a la mejor web de Informática e Internet en Europa
- Ganador del Premio Blog del Día (19 de Octubre 2018)
- Dos veces finalista (3 primeros) en los Premios Buber Sariak a la Mejor Web del País Vasco (ediciones 2017 y 2018).

Advertisement

Historia de la Informática

Historia de la Informática Personal

Premios Web en español

Advertisement
premios web
Internethace 2 semanas

Sociedad de Internet, los primeros premios web «atemporales» en español

Hosting WordPress
Internethace 3 semanas

Ventajas de la contratación de un hosting WordPress

Desarrollo Web
Opiniónhace 1 mes

El desarrollo web y los gestores de contenidos

comercio electrónico
Internethace 2 meses

Internet y el comercio electrónico… ¿enemigo o aliado?

Ana Nayra Gorrín
Entrevistashace 2 meses

Ana Nayra Gorrin, bloguera y escritora de novela actual.

Zaltair
Misceláneahace 2 meses

Historia de una broma: El ordenador Zaltair-150 y el lenguaje BAZIC de Steve Wozniak

Marta Lobo
Entrevistashace 2 meses

Marta Lobo, autora de romántica y bloguera

industria doméstica
Hardwarehace 2 meses

La industria doméstica de Apple y el mito del nacimiento en un garaje

ordenador para casa
Opiniónhace 2 meses

¿Qué ordenador compro para casa?

Asistentes virtuales
Softwarehace 3 meses

Una historia sobre los asistentes virtuales de voz

Ventamatic
Historiahace 3 meses

Ventamatic, pionera en el desarrollo de la informática personal en España

bromas informáticas
Misceláneahace 3 meses

Aquellas bromas informáticas de los noventa…

Historia de la Informática Personal
Historiahace 3 meses

Historia de la Informática Personal: Segunda edición del libro

tópicos olvidados
Misceláneahace 3 meses

Diez tópicos de la informática clásica en el olvido

Bugaboo
Leyendashace 3 meses

Bugaboo, el primer videojuego español y un hito en la historia del software

Microsoft
Softwarehace 4 meses

El importante papel que jugó Microsoft en la década de los setenta

Leyendashace 4 meses

Factor-S, un miniordenador 100% español

TRS-80
Leyendashace 4 meses

Tandy Radio Shack TRS-80

Commodore Amiga 500
Leyendashace 4 meses

Commodore Amiga 500, un gran ordenador entre el dominio de la arquitectura PC

IBM PS/2
Leyendashace 4 meses

IBM PS/2, el equipo con el que IBM intentó recuperar el dominio del mundo PC

blogs de informática
Internethace 7 meses

Los mejores blogs de informática (en español)

tópicos olvidados
Misceláneahace 3 meses

Diez tópicos de la informática clásica en el olvido

Datos curiosos sobre informática
Misceláneahace 2 años

Curiosidades de la informática (I)

lenguajes de programación
Opiniónhace 3 años

La evolución de los Lenguajes de Programación

programas de utilidad
Softwarehace 6 meses

Lista de 18 programas de utilidad (y gratuitos) para ordenadores PC

bromas informáticas
Misceláneahace 3 meses

Aquellas bromas informáticas de los noventa…

Fortran
Historiahace 2 años

Fortran, el primer lenguaje de programación de alto nivel y el inicio de los compiladores

Arrakis
Internethace 2 años

Arrakis, un proveedor de Internet de éxito en los años noventa

BASIC
Historiahace 2 años

BASIC, el lenguaje de programación más famoso

PortalProgramas
Internethace 3 años

PortalProgramas… la mejor web de descarga de software

actualizar ordenador
Hardwarehace 1 año

¿Comprar nuevo o actualizar ordenador? Mostramos un caso real

Bugaboo
Leyendashace 3 meses

Bugaboo, el primer videojuego español y un hito en la historia del software

Historiahace 3 años

La máquina Z3 de Konrad Zuse

El Rincón del Vago
Internethace 2 años

El Rincón del Vago, la web de los apuntes

Historiahace 2 años

DEC, la serie PDP, y el primer miniordenador de la historia de la informática

Harbour
Softwarehace 2 años

El compilador Harbour… un renacer para el Clipper

Zaltair
Misceláneahace 2 meses

Historia de una broma: El ordenador Zaltair-150 y el lenguaje BAZIC de Steve Wozniak

ordenador para casa
Opiniónhace 2 meses

¿Qué ordenador compro para casa?

Commodore Amiga 500
Leyendashace 4 meses

Commodore Amiga 500, un gran ordenador entre el dominio de la arquitectura PC

Historia de la Informática Personal
Historiahace 3 meses

Historia de la Informática Personal: Segunda edición del libro