¿Se viene el adiós a las contraseñas?

Para tener más seguridad, dígales adiós a las contraseñas

Por Andrew Blackman para The Wall Street Journal.

El problema fundamental con las contraseñas radica en que tienen su máxima efectividad para proteger a una empresa cuando son largas, complicadas y se cambian con frecuencia. En otras palabras, cuando es menos probable que los empleados las recuerden.

Como consecuencia, las firmas de tecnología se apresuran a brindar soluciones que sean más seguras y convenientes. Muchas computadoras portátiles ahora vienen con lectores para huellas digitales incorporados. Los teléfonos inteligentes y otros aparatos, también están abriendo opciones biométricas como reconocimiento facial y de voz.

El año pasado Apple Inc. adquirió AuthenTec Inc., un desarrollador de tecnología de sensores de huellas digitales, y la semana pasada anunció que su nuevo iPhone tendrá un sensor para huellas digitales. Microsoft Corp. sostiene que su sistema operativo Windows 8.1, que se conocerá el mes próximo, está "optimizado para datos biométricos basados en huellas digitales". La comprobación de autenticidad por medio de datos biométricos se podrá usar para más fines dentro del sistema, dice la compañía.

Mientras tanto, Google Inc., PayPal Inc., Lenovo Group Ltd. y otras empresas unieron fuerzas en una organización conocida como la Alianza FIDO (siglas en inglés para Identidad rápida en línea), que busca crear estándares para la industria con datos biométricos y otras formas de la llamada autenticación fuerte.

Google también está experimentando con una nueva clase del dispositivo de hardware conocido como token, creado por la firma californiana Yubico Inc. Al igual que los token tradicionales que generan contraseñas numéricas al azar y que las empresas usan desde hace años, los aparatos de Yubico generan contraseñas temporales que son usados como segunda forma de autenticación de identidad.

Pero en lugar de tener que leer la contraseña del token y teclearla, los empleados pueden simplemente conectar el token a un puerto USB o apoyarlo sobre un aparato móvil con comunicación de campo cercano, una tecnología a través de la cual se comunican los aparatos electrónicos al hacer contacto físico.

Google está probando dispositivos token con sus empleados este año, y planea ofrecerlos a los consumidores a comienzos del año próximo como una forma de ingresar a Gmail y otras cuentas de Google con mayor seguridad.

Mayank Upadhyay, director de ingeniería de seguridad de Google, afirma que los token son fáciles de usar y tienen un sólido cifrado.

Otra opción nueva, de RSA, la división de seguridad de EMC Corp. EMC -0.38% y la creadora de los populares token SecurID, es la autenticación basada en el riesgo.

Esta tecnología analiza grandes cantidades de datos de usuarios de varios grupos en una empresa para establecer el comportamiento "normal" y luego le asigna calificaciones de riesgo a cada usuario. Si un empleado hace algo poco habitual, como conectarse desde otra ubicación, usar una computadora distinta o intentar acceder a un sistema distinto al habitual, la calificación de riesgo aumentará, y el empleado podría tener que ingresar información extra de autenticación, como por ejemplo verificar su identidad por teléfono.

Muchas personas prevén que el panorama de la seguridad cambie rápidamente a medida que más y más empleados llevan sus propios teléfonos inteligentes y otros aparatos al trabajo. Aunque la proliferación de estos aparatos suele considerarse una amenaza para la seguridad, algunos analistas sugieren que los aparatos móviles pueden mejorar la seguridad al facilitar el uso de la autenticación biométrica. La mayoría de los aparatos incluyen un micrófono y una cámara, y pueden también señalar la ubicación geográfica de un empleado.

De cara al futuro, investigadores de la Universidad de California en Berkeley estudian el uso de las ondas cerebrales como autenticación. En las pruebas, los sujetos usaron unos auriculares que midieron las señales de sus ondas cerebrales mientras se imaginaban que hacían una tarea en particular, y los investigadores pudieron distinguir entre personas distintas con 99% de precisión. En teoría, una tarea imaginada de este tipo podría convertirse en el "contrapensamiento" de un empleado.

La mayoría de los expertos prevé que las empresas usen una variedad de parámetros. El Hospital Saratoga, en el estado de Nueva York, por ejemplo, usa lectores de huellas digitales como una alternativa más segura que las contraseñas. Pero aunque solucionaron muchos de los problemas de seguridad del hospital, los lectores no funcionan para todos. Algunos trabajadores voluntarios de edad avanzada tienen problemas para mantener la mano quieta, y los lectores no funcionan cuando la gente tiene puestos guantes, o cuando sus manos están muy secas, indica Gary Moon, analista de seguridad del hospital. Además, algunos empleados se negaron a entregar sus huellas digitales.

Como consecuencia, señala Moon, el hospital aún usa contraseñas como sistema de seguridad de respaldo.

Las empresas necesitan acceso a una combinación de distintas tecnologías, sostiene Vance Bjorn, fundador de DigitalPersona Inc., con sede en California. "Una tecnología resuelve ciertos problemas, pero podría no ser la mezcla adecuada de seguridad, conveniencia, costo y facilidad de implementación para todo el mundo". / Por Andrew Blackman para The Wall Street Journal.-

---.---

Opinión personal: Trata sobre una problemática muy actual, y que no será fácil de resolver.

Aún me inclino por contraseñas largas, complicadas y que se cambien con frecuencia. Entiendo que el futuro pasa por la mediciones biométricas. Me da la impresión que primero apuntarán a datos biométricos basados en huellas digitales y aspectos faciales. Luego será el tema de la biometría ocular, con los escáneres de iris o de retina.

Los escáneres de iris están empezando a utilizarse en la seguridad de los aeropuertos, y algunos están probando esta tecnología como sustituta de los mostradores de facturación. En este caso, "nuestro ojo sería nuestro billete".

Los escáneres de retina son bastante invasivos y menos habituales, pero se siguen utilizando para restringir el acceso a instalaciones militares, laboratorios de investigación y otras áreas de alta seguridad.

Los token no me inspiran mucha confianza, al igual que los pen drives se pueden perder con facilidad.

La Misión [Suite Orquestal] - Ennio Morricone

Hermosos temas del filme "The Mission" (1986). Ennio Morricone, compositor, arreglos y dirección Roma Sinfonietta & Coro Polifónico. Es el final del Concerto all'Arena di VR, en 2002.

Visto en YouTube

The Mission (La Misión), una película británica de 1986 dirigida por Roland Joffé e interpretada por Robert De Niro, Jeremy Irons, Ray McAnally y Aidan Quinn en los papeles principales. "T como fuente de inspiración la intensa vida del sacerdote jesuita, misionero y escritor peruano Antonio Ruiz de Montoya (Lima, 1585 – Lima, 11 de abril de 1652), si bien desdobla su personalidad en dos personajes y sitúa el desarrollo en un tiempo posterior" (Wikipedia).

Ennio Morricone es un compositor y director de orquesta italiano, mundialmente conocido por haber compuesto la banda sonora de más de 500 películas y series de televisión.

Roadshow, se llama la operación de venta del famoso Empire State Building

Empire State Building, New York City, USA
Foto de Robert Young. Visto en Wikipedia.

Anuncian la venta del Empire State Building, el famoso rascacielos situado en la intersección de la Quinta Avenida y West 34th Street, en la ciudad de Nueva York, Estados Unidos. Fue diseñado por William F. Lamb, socio de la empresa de arquitectura Shreve, Lamb y Harmon.

"Los principales constructores fueron los Hermanos Starrett y Eken, y el proyecto fue financiado principalmente por John J. Raskob y Pierre S. du Pont. La empresa de construcción fue presidida por Alfred E. Smith, un ex gobernador de Nueva York. La excavación del sitio se inició el 22 de enero de 1930, y la construcción del propio edificio comenzó simbólicamente el 17 de marzo (día de San Patricio). En el proyecto participaron 3.400 trabajadores, en su mayoría inmigrantes procedentes de Europa, junto con cientos de trabajadores de Mohawk (expertos en hierro), muchos de ellos de la reserva de Kahnawake, cerca de Montreal. Según las cuentas oficiales, cinco trabajadores murieron durante la construcción. Los nietos del gobernador Smith cortaron la cinta el 1 de mayo de 1931" (Wikipedia).

La operación, iniciada por la sociedad de inversión de bienes raíces llamada Empire State Realty Trust, denominada "roadshow", comenzaría la semana próxima con convocatorias a inversores de todo el mundo. Y no pocos anticipan que promete ser una de las mayores operaciones de inmuebles de la historia de EE.UU..

Se ha informado que la familia Malkin, administradora del rascacielos, espera poder fijar el precio de las acciones del edificio en la bolsa en la primera semana de octubre. La venta del Empire State Building incluye, además de la torre de cemento de 102 pisos, otras 18 propiedades de los Malkin en Manhattan y sus alrededores.

Actualización 21/09/2013:

Atento a una aclaración que me ha realizado el amigo blogger Hugo Perini, es importante señalar que “roadshow” no es el nombre específico de la operación de venta del Empire State Building, sino que es un término que se aplica a cualquier ofrecimiento que se promociona en distintos lugares.

Melody Gardot en el Festival de Jazz à Juan 2010

Visto en YouTube

Melody Gardot en vivo en el Festival de Jazz à Juan 2010. Entiendo que se realizó en Juan-les-Pins, una ciudad en la comuna de Antibes, en el departamento de Alpes-Marítimos, en el sureste de Francia, en la Costa Azul. Está situado entre Niza y Cannes. Es un destino turístico popular entre los grandes de la jet-set internacional, con el casino, discotecas y playas, de arena de grano fino.

Participan en el concierto Melody Gardot, Charles Staab III, Charnett Moffett, Irwin Hall y Stephan Braun. El tracklist incluye los siguientes temas: Les etoiles; If the stars were mine; Deep within the corners of my mind; Love me like a river does; My one and only thrill; Who will comfort me, y Caravan.

Informan sobre la gestión de compra de antiguos aviones Mirage F1 a España

Un Mirage F1M del Ejército del Aire de España durante una exhibición en Kecskemét (Hungría) en 2010. Visto en Wikipedia.

El Ministerio de Defensa argentino solicita fondos para adquirir los Mirage F-1 del Ejército del Aire español
Publicado por defensa.com

(defensa.com) El Ministerio de Defensa argentino ha solicitado formalmente la suma de 1.217.264.000 pesos, equivalente a unos 160 millones de euros, para la adquisición de aviones Mirage F-1 ex Ejército del Aire español y que salieron de servicio meses atrás, después de décadas de operación. La perentoria necesidad de sustituir a los veteranos Mirage III de la Fuerza Aérea Argentina, completamente superados tecnológicamente y con miles de horas, más la posibilidad del cierre de la base que los alberga, la VI Brigada Aérea de Tandil, unido todo ello a que España tenía en venta sus aviones junto con todos los elementos de apoyo, léase motores, herramental, piezas de repuesto, etc. permiten concretar esta negociación, al punto que la semana próxima se desplazarían miembros del Ministerio de Defensa español para trabajar en la elaboración de los contratos pertinentes con la Fuerza Aérea y el Ministerio de Defensa argentino.

A pesar de algunos intentos desde Israel ofreciendo el Kfir en lugar de los cazas españoles, el 14 de septiembre entraba en el Congreso Nacional argentino el borrador de presupuesto 2014 para su estudio y posterior aprobación, figurando en él una partida económica para la compra de los Mirage F-1 a España. Todavía no se ha informado de cuantos aparatos y equipamiento integran el contrato y demás pormenores, solo fue anunciado el pedido de una partida presupuestaria a tal efecto. Este monto figura ya en el próximo presupuesto de defensa para el año 2014, como partida dineraria solicitada oficialmente.

Tras más de 35 años de servicio en el Ejército del Aire, el Mirage F-1 terminaba su vida operativa el pasado mes de junio. El Ministerio de Defensa está tratando de vender a terceros los ocho aparatos que aún prestaban servicio en el Ala 14, última unidad en la que ha volado este cazabombardero que fue durante muchos años un pilar básico en la defensa del espacio aéreo de soberanía española, sustituido ahora por los Eurofighter. Además de a Argentina, España habría hecho tentativas para colocar los aviones con otros dos países: Ecuador y Egipto, antes de que estallara la actual crisis que vive este último país. Tal como informábamos el pasado mes de junio, el lote total a la venta lo compondrían los ocho aparatos recién retirados del servicio en el Ejército del Aire español más otros cuatro que serían empleados para obtener repuestos. El casi centenar de unidades existentes a lo largo de su historia operativa en el Ejército del Aire ha volado en las Alas 11 de Manises (Valencia), 14 en Albacete y 46 en Gando (Gran Canaria). / defensa.com.

Post relacionados:

• Finalmente el Gobierno compraría los 16 cazabombarderos Mirage F1 ofrecidos por España. 30/09/2013.
• Sobre los Mirage F-1M españoles, que le quiere vender a Argentina. 13/09/2013.
• España quiere vender a Argentina sus Mirage F-1. 06/06/2013.

Microsoft publica parche temporal para Internet Explorer

Visto en Wikipedia

Microsoft ha publicado un parche temporal, como "Fix it" "CVE-2013-3893 MSHTML Shim Workaround" si bien esta solución solo sirve para versiones 32-bit del navegador. Visite http://support.microsoft.com/kb/2887505.

Se informa que el parche no pretende ser un sustituto de la actualización de seguridad, que seguramente se publicará posteriormente a través de un boletín en el ciclo habitual de actualizaciones.

El fallo, con CVE-2013-3893, "podría permitir la ejecución remota de código si un usuario accede a una web específicamente creada. La vulnerabilidad reside en el acceso por Internet Explorer a objetos en memoria que han sido eliminados o incorrectamente asignados por el motor de representación HTML (mshtml.dll) de IE. El exploit detectado por Microsoft está implementado totalmente en Javascript (no depende de Java, Flash, etc.) pero sí depende de una DLL de Office que no fue compilada con ASLR habilitado (Address Space Layout Randomization). El propósito de esta dll en el contexto del exploit es evitar ASLR mediante código ejecutable en una dirección en memoria conocida" (Hispasec).

Para usuarios avanzados y administradores de sistemas también se recomienda el uso de EMET (Enhanced Mitigation Experience Toolkit o kit de herramientas de experiencia de mitigación mejorada) para mitigar la explotación de la vulnerabilidad mediante la inclusión de capas de protección adicionales. EMET 3.0 y EMET 4.0 tienen soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad. En el aviso de seguridad de Microsoft se explican detalladamente los pasos para su adecuada configuración. Visite http://technet.microsoft.com/en-us/security/advisory/2887505.

Fuentes:

• Microsoft publica actualización de urgencia para Internet Explorer. Hispasec. 19/09/2013.
• Microsoft Security Advisory (2887505). Vulnerability in Internet Explorer Could Allow Remote Code Execution.
• CVE-2013-3893: Fix it workaround available.
• Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution.

Post relacionado:

• Detectan nueva vulnerabilidad en Internet Explorer que afecta a todas las versiones. 18/09/2013.

On silent wings - Tina Turner

Visto en YouTube

Anna Mae Bullock, nacida en Nutbush, Tennessee, el 26 de noviembre de 1939, es conocida artísticamente como Tina Turner. Interpreta éste buen tema, "on silent wings". Una canción de Tina con la voz invitada de Sting, Lanzada en abril de 1996 en apoyo del álbum Turner's Wildest Dreams.

"There was a time when I would have followed you
To the end of the earth"