ProxyMe: ataques de Cache Poisoning

ProxyMe es una aplicación proxy desarrollada por nuestro compañero Manuel Fernández de Eleven Paths. Fue presentada durante el evento Arsenal del congreso de seguridad Black Hat, que se celebró entre los días 2 y 7 de agosto del 2014 en Las Vegas. Ya está disponible para su descarga con el código fuente desde https://code.google.com/p/proxyme/.

El plugin "CachePoison.dll" utiliza un ataque conocido como "Cache poisoning". Fundamentalmente, consiste en forzar a un usuario a que su navegador cachee determinado contenido, al que normalmente se le suele añadir código malicioso para que sea ejecutado por el cliente.

Para conseguir que el contenido sea cacheado (y se consiga una permanencia del código malicioso en el equipo cliente) es necesario realizar previamente un ataque de "man-in-the-middle". De esta tarea se encarga ProxyMe.

Contenido completo en fuente original Eleven Path 

cuidado con tus dispositivos

Algo que recuerdo en los momentos de under y desarrollo tecnológico fue en una charla donde nos explicaban la forma de crear tips de seguridad con hardware, en esa ocasión se hablo sobre lo paranoico que resulta llevar un dispositivo en el bolsillo o en su defecto perderlo. ¿Porque se comenta esto que pasaría si pierdo mi USB?. La respuesta es sencilla puedes entrar en mundo llamado "Juice-Jacking" te la pueden devolver pero en ella puede encontrar un malware o troyano para realizar infección de tu dispositivo.

Siempre es posible que nos encontremos con algún caso similar en el día ya que resulta que somos tan confiados con la información y pensamos que no es de interés tenerla protegida.

Recomendamos mantener muy bien la seguridad de los dispositivos cuando hagamos salidas a un sitio extraño para evitar pérdidas de datos confidenciales que nos pueden perjudicar la imagen.

¿Hacer Ping a todo el mundo en Internet?

Como todos sabemos Internet es un mundo que no ha unido y que sigue creciendo en red de ordenadores y dispositivos conectados, ¿Pero hay un problema para saber donde estan esos elementos que componen el diario vivir nuestro? Nuestro Amigo John Matherly, CEO de Shodan con un ingenio realizo un ping a todos los dispositivos en Internet y el resultado lo podemos observar en la siguiente Imagen:

Fuente: Shodan

Como se observa en la imagen, la mayoría de los dispositivos se concentran en los países desarrollados y áreas metropolitanas.

Con esta gran entrada les mostramos como estamos Interconectados.

Chrome 37 solventa 50 vulnerabilidades (actualización obligatoria)

Google ha publicado en el canal estable la nueva versión mayor de su navegador web Chrome 37 para sistemas Windows, Linux y Mac, cerrando 50 vulnerabilidades. 

Se trata de una de las mayores actualizaciones para el navegador web que Google ha publicado el último año. La vulnerabilidad parcheada más notable en esta versión es en realidad una mezcla de varios defectos que pueden utilizarse para escapar del sandbox de Chrome y ganar ejecución remota de código. 

La vulnerabilidad fue comunicada a Google por un investigador de seguridad bajo el programa de recompensas que mantiene e gigante de Internet. El investigador recibió 30.000 dólares, una de las cifras más altas que la firma ha dado fuera de las competiciones Pwnium.

Los fallos en el Sandbox en Chrome (y otros navegadores) son relativamente raros en estos días y son valorados muy positivamente por los investigadores y los atacantes. Los investigadores los consideran valiosas oportunidades de aprendizaje para que los atacantes puedan eludir las protecciones para ejecutar ataques dirigidos. 

Además de esta vulnerabilidad, Google ha resuelto hasta 50, incluyendo otras críticas. Actualización obligada desde el sitio web Chrome o si lo tienes instalado actualizarlo desde la pestaña "Herramientas-Información de Google Chrome".

Fuente: Muy Seguridad

CheckListLinux: análisis y hardening de RedHat

Luego de unos cuantos años, por requerimientos de mi trabajo, tuve que retomar un viejo proyecto CheckListLinux, el cual tiene como objetivo verificar el hardening de un servidor RedHat o alguno de sus derivados comparando su configuración con mejores prácticas de seguridad.

Cabe aclarar que debía cumplir con ciertas pautas ya establecidas. Por este motivo no utilice "Lynis" para la tarea.

El proyecto está desarrollado en PERL y cuenta con 41 scripts que pertenecen a las fases que son ejecutadas durante el análisis.

Las fases se dividen de la siguiente forma:

• Fase 0.0 -- Información del Equipo
• Fase 1.0 -- Información de los usuarios del sistema
• Fase 1.1 -- Comprobación de Usuarios/Grupos
• Fase 1.2 -- Verificar que no existan cuentas con password vacías
• Fase 1.3 -- Verificar que no existan usuarios con ID 0
• Fase 1.4 -- Verificación del archivo login.defs
• Fase 1.5 -- Últimos usuarios agregados
• Fase 1.6 -- Configuración PAM
• Fase 1.7 -- Últimos usuarios conectados
• Fase 1.8 -- Últimos comandos ejecutados por los usuarios
• Fase 1.9 -- Relaciones de confianza
• Fase 1.10 -- Usuarios con acceso al sistema
• Fase 1.11 -- Verificar que no existan usuarios con Grupo ID 0
• Fase 2.0 -- Eventos mediante Syslog - AUTHPRIV
• Fase 2.1 -- Eventos mediante Rsyslog - AUTHPRIV
• Fase 3.0 -- Verificar permisos en archivos y directorios
• Fase 3.1 -- Verificación de Sticky Bit
• Fase 3.2 -- Verificación de archivos con permisos de escritura para todos los usuarios
• Fase 3.3 -- Verificación de suid/gsid
• Fase 3.4 -- Verificación  de archivos sin usuario asignado y grupo
• Fase 4.0 -- Archivo de autenticación ftp
• Fase 5.0 -- Cierre de conexión automático
• Fase 6.0 -- Banner personalizado
• Fase 7.0 -- Verificación de la configuración del servicio ssh
• Fase 8.0 -- Verificación  de SeLinux
• Fase 9.0 -- Verificación  de IPTABLES
• Fase 10.0 -- Verificación  de Servicios
• Fase 11.0 -- Verificación  de Procesos
• Fase 12.0 -- Verificación  de Conexiones
• Fase 13.0 -- Verificación  de Hash de binarios
• Fase 14.0 -- Configuración de Sudoers
• Fase 15.0 -- Cron.Daily
• Fase 16.0 -- Versiones de softwares
• Fase 17.0 -- Configuración de Red
• Fase 17.1 -- Verificación de rutas
• Fase 17.2 -- Verificación configuración sysctl
• Fase 18.0 -- Verificar el nivel de inittab
• Fase 18.1 -- Verificar que no este activo ctrlaltdel en inittab
• Fase 19.0 -- Verificar configuración samba
• Fase 20.0 -- Verificar sincronización NTP

Comenzamos a describir el procedimiento de uso:

1. Descargamos la herramienta: https://github.com/marcositu/redhatchecklist
2. Luego debemos descomprimir el archivo "master.zip"
3. Personalizamos algunos parámetros buscados.
   
   • Modificar la línea "20" del archivo /libs/fase6.pl donde se encuentra la variable "$bannerpersona" con el valor "Cable" por algún string que se encuentra en el banner personalizado de su Compañía. 
   • Modificar la línea "29" del archivo /libs/fase7.pl donde se encuentra la variable "ListenAddress" con el valor 10.246 por las direcciones IP que deben estar configuradas. 
4. Luego, debemos copiar el archivo redhatchecklist.pl y el directorio /libs/ al servidor que será analizado.
5. Una vez que tenemos los archivos en nuestro servidor, ejecutamos la herramienta para comenzar con el análisis.
   [root@miserver]# perl redhatchecklist.pl
6. El último paso es copiar a nuestra computadora los 2 reportes HTML que nos generó la herramienta en la misma carpeta que tenemos los siguientes archivos y directorios:
   
   • /src/
   • /vendor/
   • demo.css
   • sprite.png

Si alguna persona quiere ayudarme a optimizar/organizar o reprogramar el "código" es bienvenida, como verán voluntad no me falto pero el código no es el mejor logrado.

Fuente: Marcositu

Malware aprovecha interés en el ébola para infectar equipos

Esto también se presenta con una presentación en la que supuestamente se dan consejos para evitar la propagación del brote, infectada con Trojan.Blueso, que a su vez instala el virus W32.Spyrat. Este programa es capaz de grabar lo que se teclea, grabar desde la cámara web, sacar capturas de pantalla, mover y borrar archivos, entre otras acciones perjudiciales.

Sabemos que la red está llena de programas maliciosos que se aprovechan de nuestra curiosidad para atacar. Así como la muerte de Robin Wiliams se convirtió en un pretexto para el malware, otro tema de interés mundial está siendo utilizado para engañar a los usuarios: el virus del ébola. 

La firma de seguridad Symantec ha identificado algunas de estas campañas maliciosas. En una de ellas, los atacantes mandan un correo electrónico que incluye como adjunto un supuesto reporte con medidas preventivas contra el virus del ébola. Quienes llegan a abrir el fichero, se topan con el programa Trojan.Zbot. 

Otra forma de propagación del malware es mediante phishing, con un supuesto correo de CNN en el que se incluye información "de último minuto" sobre la enfermedad. Incluye enlaces a "una historia no contada" sobre la epidemia, así como artículos sobre la transmisión del virus y las zonas más afectadas 

Si el usuario hace clic en cualquiera de las ligas, será dirigido a una página web en la que se le solicita ingresar su correo electrónico y contraseña. De este modo, los atacantes se hacen con esta información, mientras que el usuario es redirigido hacia un sitio de noticias para mantener el engaño. 

Así mismo, los delincuentes también se aprovechan de la buena voluntad de la gente, enviando correos en los que se afirma que la enfermedad ha sido curada y solicitan reenviar la información a todos los contactos. El correo contiene un adjunto infectado con el trojano Backdoor.Breut. 

Como siempre, la mejor herramienta es la información y la precaución, así que no abran correos no deseados o cuyo remitente sea desconocido; especialmente, si es alguno de estos casos. 

Fuente: FayerWayer

Hackstory: disponible el ebook

Hace un par de años, Mercè Molist (@mercemolist), su autora, inició una campaña de crowdfunding para financiar un proyecto que ya venía gestándose tiempo atrás: un lugar donde escribir la historia del underground hacker español, Hackstory.

Aquellos que nunca han pasado por allí están perdiendo una gran oportunidad para conocer o rememorar como nació y creció la escena española. Una edad dorada comparable a la de los videojuegos de los 80 e imprescindible para entender que combustible empujaba la curiosidad de algunos para saltarse los límites técnicos u otros límites de naturaleza diferente.

El libro hace un recorrido por toda la historia "antigua". Desde los comienzos en los 80, pasando por los primeros grupos, el idealismo que los unió en una gran comunidad o historias que rememoramos con un suspiro cuando nos hablan de fibra óptica y nos viene a la mente aquellos modems prehistóricos que emitían ruidos infernales y la tarifa plana que tanto se hizo rogar.

Puedes leer la obra desde la wiki del proyecto o descargar el epub. No lo dejes pasar, es nuestra historia.

Fuente: Hispasec

Vulneran Fuerza Área de Chile y filtran correos electrónicos de la institución

El jueves pasado el grupo de hackers Lulz Security Perú (@LulzSecPeru) anunció a través de su cuenta de Twitter que hackeó a la Fuerza Área de Chile (FACH) y "liberó" cientos de correos electrónicos.

Los correos son entre febrero y mayo del 2013 y contienen detalles de las negociaciones entre la institución y empresas de Israel y EE.UU., entre otros países. El hecho deja en evidencia una vulnerabilidad en la institución, aunque fuentes cercanas a la FACH sostienen que la información liberada no pone en riesgo la Seguridad Nacional. La acción es una ‘venganza cibernética’ por una acción cometida por hackers chilenos hace cinco años. La Fuerza Aérea designó a un fiscal para investigar los hechos.

El ataque evidenció una debilidad en el sistema de ciberseguridad de la FACH. La información corresponde a dos cuentas de correos electrónicos. La primera es del Departamento de Pasaportes y Visas y contiene datos privados (Rut, fechas de nacimiento, estado civil, entre otras) de funcionarios de la institución y de sus familiares. 

La segunda son los correos del Departamento de Administración de Contratos del Comando de Logística y contienen una serie de negociaciones y contratos de la FACH para la adquisición de misiles, sistemas de radares y aviones, entre otros productos. 

Consultados por el ataque, desde la FACH dicen que "efectivamente entre mayo y junio de 2013 se detectó que dos casillas de correo institucional fueron vulneradas, para lo cual se adoptaron inmediatamente las medidas de seguridad informática pertinentes". Además, aseguraron que "este hecho puntual, no significó una vulneración a la seguridad nacional, tras lo cual se han mantenido los máximos estándares en materia de seguridad informática". Finalmente, agregaron que los sistemas de correos funcionan con total normalidad, "bajo estrictos parámetros de fiscalización y los debidos resguardos de los sistemas de protección informática, que permiten alertarnos sobre acciones de esta naturaleza".

Los correos electrónicos del Comando de Logística son los que contienen más información sobre armamentos. Un ejemplo son las negociaciones entre la FACH y la empresa francesa Astrium para firmar un contrato que le permitiría a la primera acceder a los servicios satelitales que ofrece esa firma, los que serían utilizados en el proyecto SSOT, relacionado con el Centro de Operaciones Satelitales de la FACH.

Una de las negociaciones más llamativas de la FACH, y que deja expuesta el ataque de los hackers, es con Rafael Advanced Defense System Ltd. Esta empresa de origen israelí es la segunda compañía más grande de defensa de Israel. El 2013 registró ventas por más de US$ 2 mil millones y se especializa en la venta de sistemas avanzados de defensa. El actual presidente de la firma es Yitzhak Gat, general retirado de la Fuerza Aérea israelí, quien por años estuvo encargado de negociar las compras que hacía esa rama de las fuerzas armadas israelitas. Rafael es además el desarrollador de la "cúpula de hierro", sistema antimisiles que protege a Israel de ataques con cohetes, como los lanzados por Hamas. En Chile su representante legal es Virgilio Cartoni, el mercader de armas favorito del Ejército. 

En los mails se revelan las negociaciones entre la FACH y Rafael por la compra de armamento estratégico de defensa, incluyendo hardwares y adaptadores para armamento utilizados por nuestro país. Además, se filtraron documentos que detallan los manuales que utiliza la FACH para algunos de sus armamentos y los acomodos que se hicieron a un escuadrón de aviones F-16 con la asesoría de la empresa israelí. 

Incluso, el intercambio de correos con uno de los ejecutivos de Rafael, Davidson Yoram, motivó un correo de advertencia para los chilenos de parte del Servicio de Inteligencia de la Fuerza Aérea, SIFA, por revelar información sensible para la institución en el contenido de los mails. 

Otra información es el intercambio comercial –addendum y detalles de contratos incluidos– con la empresa francesa Etienne Lacroix, que es proveedora de "chaff" y "flare" (señuelos antirradar). En los mails se puede conocer cuáles son los mecanismos utilizados por los aviones de la FACH para burlar la acción detectora de los radares, incluyendo los modelos y los agregados específicos de estos artefactos. 

Otras negociaciones que quedan en evidencia son aquellas con la estadounidense Cirrus Air Craft, Kaman y General Dynamics, esta última es especialista en productos aplicables para operaciones tácticas y estratégicas, como explican en su sitio web. Las negociaciones con estas tres empresas norteamericanas son por municiones, sistemas de bombas y misiles. Otro contrato es entre la FACH y la empresa europea MBDA para la compra de diez misiles Mistral M1B1. 

Además de las negociaciones detalladas con empresas de diferentes partes del mundo, los mails contienen bases de licitación, resoluciones y planes de entrenamiento. Un ejemplo son aquellos que dicta la española Indra, especialista en simuladores de vuelo.

Fuente: El Mostrador

El hombre que da la cara y responde sobre Bitcoin

En marzo, un jubilado desconcertado se encontró con un grupo de periodistas gritándole preguntas sobre monedas virtuales a la puerta de su casa en los suburbios de Temple City, California (EEUU). Newsweek había identificado a Dorian Nakamoto, de 64 años, como la persona que ideó Bitcoin, pero la historia, igual que otros intentos anteriores por desenmascarar al inventor, Satoshi Nakamoto, pronto se desmintió. Mientras, el que probablemente sea el mayor responsable de conseguir que la moneda aumente su valor hasta los 7.700 millones de dólares (unos 5.700 millones de euros), y quien más puede influir en su futuro, estaba tranquilamente a plena vista al otro extremo del país en Amherst, Massachusetts. 

Esa persona es Gavin Andresen, un respetable señor de 48 años elegido por el auténtico Satoshi Nakamoto, sea quien sea, como su sucesor a finales de 2010. Andresen se convirtió en el "gestor central", el desarrollador principal del código abierto que define las reglas de Bitcoin y proporciona el software necesario para usarlo. La bendición de Nakamoto unida a los años pasados por Andresen trabajando diligentemente a tiempo completo en el código de Bitcoin, le han dado un peso específico en los círculos relacionados con Bitcoin y cierta importancia fuera de ellos. La CIA y los legisladores de Washington (EEUU) han recurrido a él para que explique la moneda. Y fue Andresen quien ideó la Fundación Bitcoin, una institución sin ánimo de lucro creada en 2013, que es lo más parecido a una autoridad central en el mundo de Bitcoin.

Andresen tiene y mantiene más influencia que nadie sobre el código que decide cómo opera Bitcoin y, en última instancia, si será capaz de sobrevivir. Aunque la moneda no cuenta con un banco central, hacen falta cambios significativos en su diseño si se quiere que haya una adopción generalizada de la misma. Dependiendo de cómo ejerza su poder sobre Bitcoin, Andresen dará forma no sólo al destino de la moneda, sino también a las perspectivas de otras monedas virtuales. 

Contenido completo en fuente original Technology Review

Samsung hace el #IceBucketChallenge y se burla de Apple, Nokia y HTC

Samsung se unió a la campaña #IceBucketChallenge para recaudar fondos que ayuden a atender a personas con esclerosis lateral amiotrófica (ELA), y aprovechó para burlarse de sus competidores Apple, Nokia y HTC.

La división británica de la empresa tecnológica lanzó este viernes un video en su canal de YouTube en el que su celular Galaxy S5 hace el reto de la cubeta con hielo, es decir cae agua con hielo encima del teléfono, con lo que presume una de sus características, la resistencia al agua.

Sin embargo, usando el asistente de voz del Galaxy, la empresa reta a hacer lo mismo al iPhone 5S, última versión del celular de Apple; al One M8 de HTC, y al Lumia 930 de Nokia, aparatos que no cuentan con esta habilidad.

Además, en la descripción del video compartido en la red social Samsung invita a todos sus seguidores a unirse a la causa para enfrentar la ELA y hacer el #IceBucketChallenge.

Este reto es una campaña en las redes sociales que tiene como objetivo crear conciencia y recaudar fondos para luchar contra la enfermedad de Lou Gehrig, también llamada esclerosis lateral amiotrófica.

Deportistas, artistas, políticos y público en general han realizado el reto y se han sumado a la causa.

La idea es vaciar una cubeta de agua helada sobre la cabeza, y luego retar a uno o varios amigos, ya sea para hacer lo mismo o donar dinero a la Asociación ALS.

Source

Top 10: Las grandes rivalidades del mundo de los videojuegos

El videojuego ha sido siempre campo de batalla para grandes combates. Para ver cómo ilustres juegos competían uno contra otro por ser dominadores en su género, por ver a su personaje hacer que el rival se arrodille ante él. El último duelo que se avecina es el de Tomb Raider contra Uncharted, con Microsoft pensando que tener a Lara de manera exclusiva, y tempora, puede servir para que el bueno de Drake se quede prendado de sus encantos y no rinda como suele rendir.

Tomb Raider VS Uncharted

Comenzamos la lista con la pareja que la da existencia. Desde Microsoft confían en que Lara Croft sea su baluarte para luchar contra la todopoderosa saga Uncharted sin tener quizá en cuenta que Tomb Raider saldrá a la larga en consolas PlayStation. Caso curioso, pues Uncharted nació para modernizar Tomb Raider y ha sido finalmente Tomb Raider el que se ha hecho más Uncharted con el paso de los años.

Metroid VS Castlevania

Aventura y exploración en 2D se vivieron de gran manera en los 8 y 16 bits gracias a Nintendo y Konami. El término Metroidvania se acuñó gracias a estos dos juegos, auténticos mitos de las aventuras bidimensionales que lejos de ser simplemente un 'avanza y mata' fueron un ejemplo de la libertad y lo divertido que puede ser perderse por sus escenarios buscando una salida.

Street of Rage VS Final Fight

Si SNES tenía Final Fight, el inmenso Final Fight, Sega respondió de la mejor forma posible con una secuela de Streets of Rage que a día de hoy sigue siendo difícil de superar en los llamados 'yo contra el barrio'. Muy de moda estaban a comienzos de los 90 esos 'beat 'm up' de scroll lateral con opción de moverse hacia arriba y hacia abajo en el escenario. Y Haggar y Axel fueron los dos luchadores que echaron el pulso más fuerte.

Call of Duty VS Battlefield

En plena época de los shooters bélicos, con poco modo campaña y una brutalidad de multijugador, CoD y Battlefield son los dos juegos que se reparten año tras año un pastel que va mengüando poco a poco. Con la saga de Activision estancada y buscando modernizarse, EA va a dar un cambio radical a Battlefield con Hardilne. Pero eso sí, este 2014 la batalla será menor pues la apuesto de Electronic Arts se retrasa hasta llegado 2015.

Street Fighter VS Mortal Kombat

Cuando Capcom revolucionó al mundo con los luchadores más hábiles del mundo en Street Fighter II, Mortal Kombat hizo lo propio al ofrecernos a los más sangrientos combatientes de la historia. Ryu contra Liu Kang, Ken contra Kung Lao, Guile contra Scorpion... de momento eso sólo es posible en nuestra imaginación, al menos hasta que llegué el deseado y de momento improbable crossover entre dos sagas rivales desde los 90.

Gran Turismo VS Forza Motorsport

Si se le pregunta a un usuario de PlayStation, dirá que Gran Turismo es mejor. Si se le pregunta a uno de Xbox, dirá que es mejor Forza. Y si es a un usuario de Nintendo, dirá que se queda con Mario Kart. La conducción pura de simulación vive una batalla constante entre las dos sagas más reales del volante... y ninguna parece tener una clara ventaja sobre la otra. Igualdad absoluta.

Ninja Gaiden VS Devil May Cry

Acción y desenfreno para dos juegos que se vieron las caras en la primera mitad de los 2000. Con Ryu Hayabusha volviendo con un juego de extrema dificultad, Dante hizo lo propio con una tercera entrega que se convirtió en un auténtico infierno para los menos hábiles. Ahora ambos viven en proceso de cambio, pues Itagaki se ha marchado de Team Ninja y Capcom dejó a la saga de Devil May Cry en manos de Ninja Theory, con el polémico pero espectacular DmC.

Resident Evil VS Silent Hill

El Survival Horror quiere volver a estar en lo más alto. Con Konami dejando a Kojima, a Del Toro y a Norman Reedus a cargo de Silent Hill, y con Capcom apostando por el pasado con una versión HD del primer Resident Evil, fue a mediados de los 90 cuando ambas sagas asustaron y bien a los gamers. Una, como Silent Hill, con más terror psicológico. La otra, por tensión constante y monstruos por doquier.

FIFA VS PES

La eterna batalla por el trono del fútbol ha sido igual que el deporte rey de verdad: cíclica. Con FIFA siendo dominador claro, PES llegó para acabar con su reinado y para terminar cayendo de nuevo ante el empuje de la saga de EA Sports. Muchos son los años en los que los 'fiferos' han sido ganadores, pero esta temporada pueden cambiar de nuevo las tornas.

Mario VS Sonic

Aunque ahora son muy amiguetes, con Sonic correteando en exclusiva por Nintendo y participando en torneos de lucha de la compañía, a comienzo de los 90 la rivalidad entre erizo y fontanero alcanzó cotas inimaginables. Los dos eran plataformas 2D, con el estilo propio de cada uno. Los dos nacieron para liderar a sus respectivas compañías y además, si uno hacía algo, el otro pronto seguía el mismo camino. Que Mario se montaba en un kart, pues Sonic también, que se iba de fiesta con Party, pues Sonic hacía lo propio en Shuffle... Mítico enfrentamiento que ambos ganaron para hacer grande a la industria.

Los hackers vuelven a atacar PSN

Tras el ataque de 2011, PSN vivía en paz... hasta ahora. Un grupo de hackers ha vuelto a atacar el servicio online de Sony mediante un DDos y además se están burlando de ello por Twitter. De momento no hay riesgo de robo de datos.

En paz vivían en PSN desde que aquel lejano y fatídico 2011 todo el servicio online de Sony resultó ser víctima de un brutal ataque hacker. En paz vivían... hasta ahora. Un nuevo grupo hacker ha atacado PlayStation Network provocando que muchos usuarios no puedan acceder al servicio en línea. De momento no hay peligro de robo de datos, pues el ataque se basa en DDoS.

No se trata de un ataque anónimo, y es que los autores de la obra, que responden al nombre de Lizard Squad, están jactándose de ello vía Twitter, llegando a decir que la empresa no hace el más mínimo gasto para con sus clientes a pesar de los beneficios que les reporta PSN.

Source

Podría ser una buena contraseña

La compañía de seguridad Trustwave, cuya sede central está en Chicago, Estados Unidos, acaba de publicar una investigación que viene a confirmar algo que, tarde o temprano, sabíamos que iba a ocurrir. Esto es, que las contraseñas de 8 caracteres que combinan mayúsculas, minúsculas, números y símbolos han dejado de ser robustas.

Pero a no desesperar. En el fondo no es una mala noticia. Trustwave también descubrió que hay contraseñas mucho más fáciles de recordar y que, a la vez, resisten mejor los ataques basados en la simple fuerza bruta del cómputo.

La causa del rápido deterioro de las contraseñas del tipo Qw34$!M7 está en el abrumador crecimiento del poder de cómputo, especialmente en las placas de video (o GPU, por Graphics Processor Unit), cuya especialización en crear escenarios de altísimo realismo las hace también muy aptas para quebrar contraseñas. En última instancia, se trata de lo mismo: cálculo. Una placa Radeon 7970 de AMD es capaz de calcular a cada segundo 17.300 millones de operaciones de hashing para contraseñas basadas en el protocolo de NT LAN Manager. Y cuesta 350 dólares.

Es posible que la frase "operaciones de hash para contraseñas de NT LAN Manager" no sólo no te diga nada, sino que además te produzca alguna sensación de vacío en el estómago. Pero que algo de 350 dólares haga 17.300 millones de lo que sea pone un poder de cómputo enorme en manos de casi cualquier persona.

(Dicho muy grosso modo, el motivo por el que las placas de video son tan buenas para esta clase de tareas es que no tienen 2 o 4 núcleos, como los microprocesadores convencionales, sino cientos y, eventualmente, miles, y cada núcleo puede hacer una operación aritmética por cada ciclo de reloj. Las operaciones de hashing es una clase de proceso que se beneficia del enorme paralelismo de los GPU.)

Más aún, estas placas de video pueden hacerse funcionar en paralelo, varias a la vez. Los investigadores de Trustwave usaron dos equipos para sus experimentos, uno con 2 Radeon 7970 y otro con 4. El costo total de ambas máquinas fue de 4500 dólares, incluyendo el resto del hardware (microprocesador, memoria RAM). Es decir, ya no hace falta ni una supercomputadora ni es necesario esperar que lleguen los chips cuánticos. Con menos de 5000 dólares, Trustwave logró quebrar en los primeros minutos el 54% de las 626.718 contraseñas que tenían por objeto descubrir. Luego, en el curso de escasos 31 días, consiguieron descubrir casi el 92% de las claves (576,533). Sólo se salvaron las que tenían muchos caracteres.

Confirmaron así que las contraseñas que combinan al azar cuatro campos de caracteres (mayúsculas, minúsculas, números y símbolos) ya no son invulnerables. En algo menos de 4 días, una sola Radeon 7970 pudo descifrar la clave N^a&$1nG.

Más importante todavía (ésta es la buena noticia), cuando probaron con GoodLuckGuessingThisPassword, una contraseña que usa palabras de un lenguaje natural, pero que tiene 28 caracteres, la misma placa de video necesitaría casi 18 años para quebrarla. No sé si está demás decirlo, pero por si acaso ahí va: por favor, no usen esta contraseña en particular; es sólo un ejemplo y resulta fácil de adivinar por medio de un ataque de inteligencia.

Contenido completo en fuente original La Nación 

Hackers atacan página de Facebook de Wendy Sulca

La página oficial de Facebook de la cantante Wendy Sulca fue interceptada por un grupo de Hackers que se identificaron como "D-M" y no sabe si guardan algún tipo de relación con el famosos grupo activista "Anonymous".

"Ayer por la noche hemos hackeado esta página. Somos Anonymous. Somos Legión. No perdonamos. No olvidamos. Esperadnos", escribió el grupo de hackers como publicación destacada en el Facebook de Wendy, y el mensaje fue firmado por una página de Facebook identificada como "D-M".

A través de su Twitter, la recordada cantante de "La Tetita" no dudó en expresarse y pedir ayuda al equipo de Facebook para recuperar su cuenta.

Cómo hackear GMail el 92% de las veces

Investigadores estadounidenses han descubierto un defecto que pueda explotarse a través de Android, Windows, iOS y otros sistemas operativos, y podría permitir atacar servicios populares como GMail y muchos otros. Los expertos en seguridad de la Universidad de California Riverside Bourns Facultad de Ingeniería y la Universidad de Michigan identificaron una debilidad que se cree que existe en varios sistemas operativos y que podría permitir una atacante robar datos sensibles a través de aplicaciones maliciosas.

La debilidad se puso a prueba a través en Android, pero los investigadores afirman el método podría ser utilizado a través de todas las plataformas porque el error radica en componentes compartidos en otros sistemas operativos: la capacidad de las aplicaciones para acceder a la memoria compartida de un dispositivo móvil. Sin embargo, no se han llevado a cabo pruebas en otros sistemas.

El ataque funciona cuando un usuario descarga una aplicación aparentemente inofensiva, como por ejemplo fondo de pantalla. Una vez instalado, los investigadores fueron capaces de explotar un canal lateral (side channel attack): la memoria compartida utilizada por un proceso, que puede ser accedida sin permisos o privilegios de las aplicaciones.

Los cambios dentro de la memoria compartida se monitorean, y estos cambios se correlacionan con lo que el equipo llama a un "activity transition event". En este ataque hay dos etapas: en primer lugar, el ataque debe llevarse a cabo en tiempo real, por ejemplo en el momento en que el usuario inicia SU sesión en GMail. En segundo lugar, hay que hacer que el hack sea indetectable para el usuario.

El método utilizado para explotar la falla fue un éxito en seis de siete aplicaciones probadas (82% al 92%). Entre las aplicaciones que se infiltraron con éxito estaban GMail, Chase Bank y H&R Block. La única aplicación que resultó difícil de atacar fue Amazon, con una tasa de éxito del 48 por ciento.

Zhiyun Qian, profesor asociado de la Universidad de California en Riverside, comentó: "Por diseño, Android permite que las aplicaciones puedan ser interceptadas y/o secuestradas. Pero la cosa es que hay que hacerlo en el momento adecuado para que el usuario no se dé cuenta".

Qian sugiere a los usuarios "no instalar aplicaciones no confiables", y para los desarrolladores, el investigador dice que un equilibrio más adecuado entre la seguridad y la funcionalidad debe ser inamovible.

El documento, Peeking into Your App without Actually Seeing It: UI State Inference and Novel Android Attacks [PDF] fue presentado ayer en el evento USENIX Security Symposium en San Diego y fue presentado con este video.

Fuente: ZDNet

¿Es delito el hacking ético?

Últimamente, y con cierta periodicidad, leemos en El Mundo artículos relacionados con Seguridad Informática y Hacking, de la mano de Mercè Molist, reconocida periodista focalizada en el sector desde hace muchos años, con iniciativas tan interesantes como la recopilación de la Historia del Hacking y sus protagonistas en el proyecto Hackstory.

La última de las entregas que he podido leer, y que ha generado gran controversia en listas de correo como RooteCon y NoConName, tiene que ver con una entrevista realizada a tres profesionales del derecho en “¿Es Delito el Hacking Ético? (II)”

El artículo, que habla por sí mismo, presenta tres visiones diferentes ante cómo enfocar el mismo problema, con más dureza en el caso de Ángel Vallejo, que considera que: “Quien quiera que le hagan un "pentest" (de "penetration testing", auditoría de seguridad) ya lo pedirá” e instando a que nadie meta la nariz donde no le llama, aunque se descubra la vulnerabilidad por “accidente", o aunque sea un servicio que utilizas y gestiona tus datos personales, y no te tiene que importar qué medidas de seguridad se han tenido en cuenta para su protección.

Me gustaría aportar mi opinión a lo que se indica en este artículo, de forma independiente a las valoraciones que he leído en ambas listas de correo.

Contenido completo en fuente original Security by Default

Se buscan especialistas en seguridad informática

Por el cargo, que está en niveles gerenciales, pagan cifras astronómicas, pero alrededor de este también se genera un gran estrés y elevado riesgo laboral. Compadézcanse del pobre jefe de seguridad de la información. La profesión apenas existía hace una generación.

Pero para combatir la creciente amenaza de las violaciones de seguridad en línea, las empresas y los Gobiernos están contratando ejecutivos cuya principal responsabilidad es hacer que los sistemas de datos sean seguros.

Cuando las cosas van mal –y es a menudo– estos ejecutivos esperan cargar con la culpa. "Somos como ovejas esperando a ser sacrificadas", dijo David Jordan, director de seguridad de la información para el condado de Arlington, en Virginia. "Todos sabemos nuestro destino cuando hay una violación significativa. Este trabajo no es para pusilánimes".

Hace una década, pocas organizaciones tenían un jefe especializado en seguridad de la información o CISO, como se les conoce. Ahora, más de la mitad de las empresas con 1.000 o más empleados cuentan con un ejecutivo de tiempo completo o de medio tiempo en el puesto, según un estudio realizado el año pasado por el Instituto

Empresas como VeriFone, el proveedor de sistemas de pagos electrónicos; Brown-Forman, la empresa de bebidas; las universidades de Carolina del Norte y Chicago; y advenedizos recientes como Fitbit están todos en busca de oficiales de seguridad dedicados. Neiman Marcus, que sufrió una violación importante el año pasado, está buscando también.

El trabajo se ha vuelto tan crucial, dicen los reclutadores, que las empresas tratan de endulzar el trato y ofrecen bonos y salarios que van de 188.000 a 1,2 millones de dólares, con ventajas como la posibilidad de trabajar desde casa y generoso tiempo libre, y la promesa de mayores presupuestos para comprar más protección para los sistemas porosos.

Aún así, se ve como un trabajo ingrato. Muchos directores de seguridad de la información que han participado en el estudio de Ponemon calificaron su posición como el más difícil en la organización. La mayoría de los encuestados dijeron que su trabajo era malo o el peor trabajo que habían tenido.

El trabajo es tan demandante que muchos terminan dejándolo –voluntariamente o no– después de dos años, mientras los directores ejecutivos se mantienen 10 años en promedio.

De todos los dolores de cabeza que los CISO enfrentan, uno de los más grandes es averiguar en cuáles productos de seguridad pueden confiar. También se quejan de que se ha vuelto casi imposible evaluar los productos de cara al miedo y la incesante comercialización.

Los oficiales de seguridad dicen que no hay una bala de plata cuando hay que defenderse de una posible violación. Es cuestión de colocar capas de las tecnologías más eficaces, contratar a los mejores y, a continuación, tener la esperanza de contar con buena suerte.

Los candidatos a un puesto de trabajo como oficial de seguridad de la información tienen el cuidado de sacar a colación directamente las conversaciones difíciles desde el inicio, dicen los reclutadores. Antes de aceptar una oferta, algunos quieren asegurarse de que la junta está de acuerdo en que las infracciones son inevitables y que tienen que destinar presupuesto suficiente para la tecnología de seguridad de la información. "Si usted sabe que va a ser sacrificado, querrá una razón suficiente para aceptar el trabajo", dijo el analista de seguridad de la firma de investigación de mercado Forrester John Kindervag. "Nadie habla de lo que le estamos haciendo a esta pobre gente. Estamos poniendo toda esta complejidad en sus hombros y después solo es ‘buena suerte’".

Los directores de seguridad de la información deben estar siempre un paso adelante de los criminales, verificar una creciente lista de cumplimientos y vigilar de cerca a los vendedores que diseminan la información y de empleados imprudentes que cargan datos sensibles a las cuentas de Dropbox e iPhones desbloqueados.

Deben ser expertos en crisis y comunicaciones y expertos en la tecnología más sofisticada, a pesar de que incluso las más brillantes nuevas trampas de seguridad pueden ser burladas. Además, se enfrentan a un ritmo acelerado de noticias sobre infracciones por piratería informática.

Fuente: The New York Times - Nicole Perlroth/San Francisco (EE. UU.) - Portofolio

Yo esperaba un buen reporte Pentest

Por Fausto Cepeda González

No me dedico a hacer pentest. Llegué a realizar algunos hace varios años y fueron internos, con alcances limitados. Tengo la certificación CEH pero no me pareció la gran cosa ni me creo hacker ni pentester por haberlo cursado exitosamente. También coordiné y contraté tres servicios de pentest, uno de ellos de muy alto nivel con hackers (en el buen sentido de la palabra, es decir, gente motivada a dominar la tecnología y con conocimientos muy profundos de TI).

Por lo tanto me siento con las credenciales suficientes para poder identificar tanto un buen ejercicio de pentest como un reporte con calidad de los hallazgos. En este artículo voy a abordar el segundo punto: el reporte. 

La idea de este artículo me la dio la revisión de un reporte de un pentest. Al irlo leyendo me surgieron algunas críticas del mismo las cuales les comparto.

Carece de tabla de hallazgos

Al final de cuentas, para darle seguimiento a lo que encontró el pentest es necesario entregar una lista de hallazgos, los cuales (a modo de checklist) se irán eliminando conforme la empresa los solucione. Es importante mencionar que a un nivel alto (directivo) le darán seguimiento a la solución de los hallazgos de un pentest por medio de una tabla que incluirá:

• nombre del hallazgo,
• descripción del mismo,
• fecha de solución y
• estatus actual o avance.

Es todo. Al alto nivel no le interesará realmente saber más para darle seguimiento a la solución de los hallazgos. Por lo tanto, el reporte de decenas de páginas está bien para tener el detalle técnico, pero si me das el listado de hallazgos me facilitarás la vida por dos cuestiones:

1. no tengo que hurgar y analizar en el reporte para armar la tabla de hallazgos que finalmente me pedirán y,
2. evitas que yo omita un hallazgo porque no está claramente identificado como tal en el reporte.

Creerás que exagero y que en todos los reportes de pentest se pueden identificar claramente los hallazgos. Pues no. Unos se ponen a escribir y escribir poniendo screenshots aquí y allá sin una división clara del texto en el documento. ¿Cuántos hallazgos hay y cuáles son? Como que el pentester fue escribiéndolo conforme le venían las ideas a la mente y pone todo como un gran bloque de texto, donde los hallazgos están inmersos en algún lugar. Se vuelve un juego de “Encuentra a Wally”. Una tabla de hallazgos solucionaría este problema.

Reporte ejecutivo de los hallazgos.

Por alguna razón muchos pentesters creen que todos hablan su lenguaje (y de paso, aquí quiero incluir a algunos de los encargados de seguridad en las empresas que también hablan con sus terminajos que pocos entienden). Cuando quieres explicarle a tus jefes los hallazgos, pides a los pentesters una presentación y/o resumen ejecutivo. Más de uno falla rotundamente.

Simplemente no pueden salirse de sus XSS, Cross-Site Request Forgery (CSRF), Unvalidated Redirects and Forwards y demás tecnicismos. En sus reportes y presentaciones no hay tablas. No hay impactos. Inexistentes los cuadros de riesgo donde se pueda ver rápidamente la vulnerabilidad, los diferentes perfiles del atacante que podría concretar el ataque, el riesgo y consecuencia. A los ejecutivos sinceramente no les interesa lo difícil que fue encontrar una debilidad, cuál fue el exploit de Metasploit usado (¡y peor aún, con lujo de detalles!) y que si el ataque evade el Enhanced Mitigation Experience Toolkit.

Lo que quieren saber son impactos, riesgos, dificultad para solucionar el hallazgo, facilidad para concretar el ataque, otras defensas que mitiguen el riesgo y soluciones viables a implementar y en qué plazo. No hables de árboles, coméntame del bosque.

Falta investigación de las propuestas de solución

En lo que casi todo pentester falla es al momento de proponerte una solución para el hallazgo. Por cierto, unos ni siquiera ponen esta sección de “soluciones” que porque no es parte del pentest. Es como si fueras al doctor y te dice que tienes varias enfermedades que detectó pero que no te puede decir qué hacer porque su trabajo acaba al momento de encontrarlas. En fin, regresemos al tema.

Decía que las soluciones de los pentesters muchas veces fallan porque si bien son buenos encontrando huecos de seguridad, son pésimos para proponer soluciones efectivas corporativas. Se ve que nunca han estado laborando en una empresa del lado de los administradores de TI. Inclusive a veces te ponen una liga que encontraron en internet, que al final de cuentas revisas y no tiene nada que ver con una solución empresarial, es para que la aplique un usuario casero.

Otras veces el pentester te manda a una liga con “las mejores prácticas”; un documento de cientos de hojas donde yo tengo que adivinar cuál práctica es la que soluciona el hallazgo. En general, mi punto es que los pentesters le dedican tiempo a encontrar huecos de seguridad pero no se sientan para explorar buenas soluciones que se puedan implementar en la vida real corporativa. Si creen que este no es su trabajo, ni me lo digan, sería una discusión infinita (y yo que estoy tratando de hacer que sus reportes salgan mejor).

Ausencia de claridad de las explicaciones

En el mundo de TI nos falla a muchos escribir con claridad. A veces pienso que es todo un arte perdido. Uno se encuentra con párrafos (¡y hasta páginas!) completos que es necesario volver a leer al menos dos veces para entender lo que quisieron decir. Tan fácil que es:

• incluir un resumen, tabla de hallazgos y conclusión (varias personas es lo único que leerán),
• ser directo y al grano,
• incorporar encabezados dentro del documento,
• sustituir texto con tablas, imágenes, gráficas o screenshots siempre que se pueda,
• usar bullets que son más fáciles de digerir que kilos de texto,
• cortar: asegurarse de que cada palabra y párrafo es realmente necesario tenerlo ahí,
• usar sujeto y predicado, en ese orden; concepto de primaria pero a veces olvidado,
• evitar el “se”: se recomienda, se bajará el riesgo, se hizo, se tendrá. En lugar del “se”, mejor identificar el quién siempre que se pueda,
• utilizar verbos en lugar de sustantivos “para la solución de “ -> “para solucionar”,
• poner siglas con su significado,
• usar forma positiva en lugar de la negativa: “no es improbable que se eliminen las debilidades por lo tanto no es recomendable parcharlas a menos de que haya certeza de que no se ha mitigado el riesgo previamente por haber evitado una solución no confiable”. WTF?
• leer el reporte al menos 3 veces buscando incoherencias, errores gramaticales y demás; y no dije 2 veces, dije 3,
• corregir faltas ortográficas, ¡por Dios!

Fuente: Search Data Center

iPhone 6 podría llegar a los 950 euros

Así es, los precios del nuevo iPhone 6 que Apple presentará aún este año (el 9 de septiembre): 950 euros para la versión de 5,5 pulgadas y 750 euros para el de 4,7.

Son fuentes de Telefónica, según movilzona, las que han filtrado los rangos que están negociando con Apple, precios en España, sin saber aún el coste en otras regiones.

De momento son rumores: especificaciones, tamaños, precios… aunque en caso de confirmarse parece que es un paso peligroso el que Apple quiere dar, ofreciendo precios enormes por un smartphone en un mercado en el que ya existen soluciones excelentes por muchísimo menos valor.

Recordemos que el iPhone 5s se vende hoy por 699 euros en su versión más básica, modelo que sería sustituido por la versión de 4,7 pulgadas del iPhone 6.

¿Está Colombia preparada para pagar casi 1000 euros por un iPhone?, esperemos que no sea solo tamaño lo que Apple ofrezca en esta ocasión, ya que en las últimas presentaciones se ha echado de menos el ingrediente de innovación que podría justificar un precio así.

Nuevo generador de favicons para web, móviles y Windows 8

Hay muchas aplicaciones creadas para facilitar la generación de un favicon para web, pequeño icono que aparece al lado de la url en el navegador. Solo hay que subir la imagen, editarla y salvarla como favicon.ico antes de subirla a la raíz del sitio.

De entre todas las opciones, vemos ahora una nueva alternativa que permite también crear iconos para dispositivos móviles y para Windows 8: realfavicongenerator.net, un generador de iconos adaptado al mundo móvil.

Se trata de una aplicación que, sin necesidad de registro, permite que subamos una imagen y seleccionemos el tipo de trabajo que vamos a realizar. En caso de editarlo para favicon, obtendremos el código HTML y las imágenes necesarias para incluirlo en nuestra web, trabajos que se verán de forma diferente en función del dispositivo desde donde estemos consultando la página.

Así es, la mayoría de los generadores de iconos solo crean un archivo que se ve bien desde el navegador de escritorio, pero no piensa en lo que ocurrirá cuando se visualice desde otras plataformas.

Este es un ejemplo de lo que ocurre cuando se usa otra opción y cuando se usa realfavicongenerator:

Posicionamiento en Redes Sociales

Buenos lectores en esta ocasión algo que quiero enseñarles y que me gustaría compartir con todos es una manera de ver el crecimiento de nuestra marca en redes sociales depende de varios factores muy importantes:

Nuestro trabajo de Posicionamiento en Redes Sociales esta básicamente definido en las siguientes etapas:

• Estudio del usuario (relacionado al consumo de la marca) y de sus hábitos de navegación en las diferentes redes sociales.
• Capacitación a nuestro personal. La empresa nos provee de todos los aspectos a tener cuenta sobre la imagen, sus clientes y sus productos y servicios.
• Se crean canales de contenidos, con noticias, información de productos y servicios, lanzamientos, etc.
• Se actualizan los contenidos periódicamente según las necesidades del cliente.
• Se moderan las visitas, usuarios y sus respuestas, se estudia esta información y se analizan las tendencias de consumo y opiniones.
• Reportes periódicos a convenir de todos los resultados. Nos referimos a cantidad de visitas, de usuarios y a curvas de opiniones.

Algunas de las redes más visitadas son: Facebook – Twitter – YouTube – Foros Yahoo, Windows Live, Google, etc.

Con esto les dejo unos Tips.

#IceBucketChallenge Una Labor Maravillosa

Una labor maravillosa de estrellas que se ha hecho viral por una causa que inició en 2012 hoy está teniendo un fuerte impulso gracias a celebridades y empresarios, y también las redes sociales.

El fundador de la Red Social Facebook Mark Zuckerberg no es el único en sumarse a la dinámica #IceBucketChallenge que consiste en tirarse agua helada sobre la cabeza para crear conciencia y recaudar fondos para la enfermedad de Lou Gehrig, mejor conocida como esclerosis lateral amiotrófica.

Al reto también se han sumado celebridades como Lady Gaga, Justin Bieber, Oprah, Justin Timberlake, Robert Downey Jr, Selena Gomez, Taylor Swift y deportistas como el basquetbolista Lebron James y el futbolista Cristiano Ronaldo, entre muchos otros.

El actor Charlie Sheen y el grupo Foo Fighters cumplieron con el reto de una manera muy peculiar. El primero usó dinero en lugar de agua helada y los músicos realizaron una parodia de la película Carrie.

12 consejos para sacarle el mayor provecho a tu iPhone

En septiembre Apple presentará la nueva versión de su teléfono inteligente y libera al público la octava versión del sistema operativo iOS.

Previo a su salida al mercado, te compartimos 12 consejos que te ayudarán a conocer las funciones poco conocidas del iPhone y iOS 7.

Cierra aplicaciones en segundos

Eres de los usuarios que tienden a abrir aplicaciones y nunca cerrarlas. Tarde o temprano mantenerlas corriendo 'en el fondo' puede llegar a afectar el rendimiento de la batería de tu teléfono e incluso la velocidad del equipo.

Para cerrar varias apps a la vez, oprime rápido dos veces botón del Home (el único que tiene el equipo en su pantalla). Esto ejecutará el administrador de aplicaciones, desliza tu dedo hasta ver la ventana de dos o tres apps, coloca un dedo en cada pantalla y deslízalo hacia arriba. Así perderás menos tiempo para cerrar apps en ejecución.

Nivelador digital

¿Quieres saber si el mueble donde pondrás tu pantalla está completamente horizontal o si el cuadro que vas a colocar está chueco? Olvídate de comprar un nivelador en la tlapalería, tu iPhone tiene uno integrado.

Accede a la aplicación de 'brújula', desliza tu dedo a la derecha y verás una pantalla que marca el porcentaje de inclinación del teléfono, cuando la superficie se encuentre en el grado cero la pantalla se iluminará de color verde.

Un pasito hacia atrás

Para muchos usuarios la única opción para volver a un pantalla anterior es mediante la famosa flecha incorporada en la esquina superior izquierda de la mayoría de las aplicaciones. Sin embargo, en apps como Mensajes, Correo Electrónico, Ajustes, Safari deslizar de la orilla izquierda hacia la derecha de la pantalla te permitirá regresar a la pantalla anterior de manera más ágil.

Que tus contactos vibren a tu gusto

Ya sabemos que le puedes poner tonos específicos a ciertos contactos, pero también puedes crear vibraciones particulares para cada persona o grupo de gente. La opción es particularmente útil si quieres conocer de antemano quién te llama sin necesidad de mirar la pantalla, simplemente con sentir la vibración.

Para hacerlo debes ir a Contactos, elegir el contacto al que deseas crear una vibración específica. Accede a la opción Vibración, navega hasta la parte baja de la pantalla y selecciona “Crea nueva vibración”. La opción te abrirá un panel en el que podrás crear ritmos de vibración, dependiendo de la velocidad o temporalidad con la que toques la pantalla.

Enfoca bien y claro

Si eres de los que captura muchas imágenes con el iPhone notarás que el teléfono está configurado bajo la opción de auto enfoque. Si deseas enfocar un objeto en particular basta con tocar la pantalla; sin embargo, en el momento en que muevas la mano o equipo el enfoque se perderá.

Si lo que buscas es capturar varias fotos sin que el teléfono pierda el enfoque debes mantener el dedo sobre la pantalla, hasta que el cuadro se mueva ligeramente dos veces, al quitar tu dedo notarás que se activa una barra amarilla con la leyenda “Bloqueo de AF/AE”.  Así aunque muevas el equipo el enfoque no se perderá.

Ojo con tu plan de datos

Si tu iPhone consume muy rápido tu paquete de datos, es posible que algunas aplicaciones tengan permiso a descargar datos de la red celular. Para tener un mejor control ve a Ajustes, Datos Móviles y navega hacia abajo para conocer las aplicaciones que tiene permiso a utilizar los megabytes de tu plan de datos.

Si eres un usuario cuyo plan es menor a 1GB recomendamos que aplicaciones como YouTube, Netflix, Spotify o Rdio sólo sean utilizadas vía enlaces Wi-Fi. Si de plano no pueden esperar y les urge el video pueden activar o desactivar está función en cualquier momento.

Caracteres especiales

Eres de los que escriben con puntos, comas y hasta guiones pero no sabes cómo sacar algunos signos especiales como el guión largo o el numeral de grados. En el teclado al mantener el dedo sobre las letras vocales podrás acceder a caracteres especiales que se usan en ciertos idiomas como la tilde invertida, diéresis y otro tipo de signos.

Además de las vocales, las teclas que ocultan detrás de signos o símbolos especiales son: los números (de hecho si deseas poner el símbolo de grados es con el cero),  las letras S, C, N, y los signos de interrogación, exclamación, guión, comilla simples y dobles, porcentaje, diagonal y euros.

Que no te digan “no me llego el mensaje”

Si tienes la duda o quieres saber a qué hora mandaste los mensajes de una de tus conversaciones. Basta con ir a la aplicación de Mensajes, entrar a la conversación, colocar tu dedo sobre cualquier de los globos de conversación y deslizarlo ligeramente hacia la izquierda, esto revelará una columna junto a los mensajes con la hora en la que fueron enviados.

En las entrañas de la privacidad

Si estás preocupado por la información que tu iPhone envía a Apple y a los desarrolladores de apps lo mejor es controlar los datos. Para hacerlo debes ir a Ajustes, Localización en este menú podrás activar o desactivar que apps envían o registran tu ubicación, si quieres ser más precavido aún, navegar hasta la parte de debajo de la pantalla para acceder a la opción “Servicios del sistema”.

Dentro de ese menú podrás conocer todas las funciones o servicios del iPhone que comparten información ubicación con Apple. Por ejemplo, si no deseas que Apple tenga registro de las búsquedas móviles que realizas en tu iPhone, simplemente desactiva esa opción.

iPhone te lee la mente… bueno la cara.

Teléfonos con Android como los Galaxy de Samsung o el mismo Fire Phone de Amazon tiene opciones para que el teléfono reaccione a los movimientos de mano del usuario. El iPhone y al igual que el de sus contrapartes son poco funcionales y están enfocados más usuarios con discapacidades o problemas motrices.

Aun así, si buscas configurar la opción deber ir a Ajustes, General, Accesibilidad y navegar a la opción de Control por Botón.

Dentro de ese menú deberás realizar dos pasos. El primero es configurar el movimiento. En el menú Botones selecciona Añadir nuevo botón, elige la fuente Cámara, elige Cabeza Izquierda o Derecha y define qué función quieres que ejecute el teléfono. Tu cabeza puede actuar como tu dedo, el botón de inicio o para abrir comandos como el Centro de Notificaciones o activar Siri.

Bloqueado permanente

Te equivocaste y le diste tu teléfono a alguien que no debías o con el que desear cortar comunicación. El iPhone se puede encargar por ti de bloquear todas sus llamadas, mensajes de texto o web o llamadas vía FaceTime.

Para bloquear el contacto debes ir a Ajustes, Mensajes y navegar hasta abajo donde encontrarás la opción Contactos bloqueados. Dentro de ese menú podrás agregar todos los contactos que  deseas bloquear. Si posteriormente te arrepientes de haber eliminado a esa persona de tu vida puedes quitarlo de la lista de contactos bloqueados.

Aclaramos esta opción únicamente evitará la comunicación con las aplicaciones del sistema. La persona aún podrá molestarte en aplicaciones como Whatsapp, Viber, Line y Telegram si deseas bloquear al contacto en esos servicios deberás ingresar a la opción de cada aplicación para realizar el proceso.

El Paparazzi

La cámara del iPhone 5s tiene una modalidad para capturar hasta 10 imágenes por segundo con su modo de Disparo Rápido o Burst Mode, al cual puedes acceder desde las opciones de la cámara.

Sin embargo, los otros modelos de iPhone también ofrecen una modalidad de disparo rápido, de hasta tres imágenes por segundo. Se puede activar de dos formas.

La primera sólo mantén oprimido el botón de la pantalla de cámara. La segundo y más oculta, es mantener oprimido el botón para bajar el volumen del teléfono. Ambas opciones realizan la misma función.

Fuente