(CNNMoney) – Las compañías de tecnología exageran y mienten descaradamente para lograr que las personas adquieran sus productos. No le crean a este tipo de publicidad.
Desde un Wi-Fi superveloz hasta baterías inagotables, pasando por antenas de alta definición para tu televisor, estas son algunas de las peores mentiras que las compañías de tecnología suelen decir:
Velocidades de Internet inalámbrico
Su proveedor de servicios de Internet probablemente asegura que su conexión puede trabajar con velocidades de 15 y 20 megabits por segundo (esto es bastante rápido). Sin embargo, su router inalámbrico probablemente asegura poder transferir datos a un gigabit por segundo (eso es absurdamente rápido).
El hecho es que nunca verá velocidades de transmisión de gigabits por segundo, jamás (ni siquiera si es tan afortunado como para tener la el servicio ultra-rápido Google Fiber. La mayoría de los servicios de Internet, no pueden ofrecerle algo que se le acerque a esto.
¿Entonces, por qué promocionar estas velocidades increíbles? Mientras más rápido es el router, más grande es la distribución para todos los videos, canciones y juegos que un gran número de personas están transmitiendo en varios aparatos al mismo tiempo. Esto significa que más personas pueden estar conectadas al mismo tiempo, aún si la conexión no es tan rápida como lo esperaba.
Contraste del televisor

El índice de contraste del televisor mide la diferencia entre los colores más brillantes y los más oscuros que aparecen en la pantalla. Mientras más alto es el índice de contraste, los negros se ven más profundos, y los blancos, más brillantes.
A los fabricantes de televisores les encanta promocionar índices de contraste bastante altos. Sin embargo, el secreto mejor guardado del mundo de la televisión es que el índice de contraste dinámico es irrelevante. Todo lo que mide es cómo su televisor utiliza iluminación de fondo para aclarar u oscurecer una imagen.
El "índice de contraste nativo", el cual mide los colores negro y blanco en una única imagen iluminada de forma estándar, es el número que debemos tomar en cuenta.
Aún así, no hay ninguna manera estandarizada y confiable de medir la tasa de contraste. Eso significa que cada cifra de contraste que los fabricantes colocan en las cajas, incluyendo el índice de contraste nativo, utiliza diferentes criterios de prueba.
Esto ha llevado a ofrecer algunas tasas de contraste extrañas que nunca pudieron probarse. Algunos televisores en el mercado en realidad ofrecen una tasa de contraste de 1.000.000.000.000.000.000.000.000.000.000.000:1. Seamos realistas.
Cables A/V superiores

Claro, puede comprar esos lujosos cables HDMI chapados con oro de 24 quilates, los cuales aseguran ofrecer mejor calidad visual para su televisor. Sino, se puede ahorrar miles de dólares en cables de altavoz que pueden o no, acercarlo a la experiencia más pura de audio que se pueda imaginar.
El sentido común y sus órganos sensoriales le dirán que es una tontería. Sin embargo, como es casi imposible cuantificar el rendimiento de estos productos, los fabricantes alegremente se esconden en medio de la ambigüedad de todo esto, y cuentan sus fajos de billetes.
Duración de la batería

No es tanto que las compañías de tecnología mienten abiertamente acerca de la duración de la batería de sus productos, sino que las prueban en escenarios poco realistas, para alcanzar las cifras que promocionan.
¿Regularmente usa su computadora portátil con la red inalámbrica apagada? ¿Disfruta que la pantalla de su Tablet esté configurada para mostrar el 30% del brillo? ¿Tiene configurado su correo electrónico para que sólo se descargue una vez por hora en su teléfono inteligente? Así es, me imaginé que no era el caso.
Antenas HDTV

Atención a quienes cortan cables: No hay tal cosa como una antena HDTV. O dicho de otra forma, cualquier antena de televisor que haya usado, siempre, ha sido una antena HDTV. Sí, todas.
Espacio de almacenamiento

Cuando adquiere un nuevo teléfono inteligente, o una computadora, hay una cierta cantidad del espacio de almacenamiento al que no se puede acceder, el cual está reservado para el sistema operativo, controladores y cosas de ese tipo. Un iPhone 5 de 16 gigabytes, por ejemplo, en realidad tiene 13,8 GB de espacio de almacenamiento disponible.
Sin embargo, cuando Microsoft (MSFT, Fortune 500) empezó a poner Windows 8 en sus tablets el año pasado, y el Surface Pro tenía sólo 23 GB de espacio disponible, las especificaciones del espacio de almacenamiento de Microsoft se tornaron completamente absurdas.
Cámaras con ISO

ISO es un ajuste en las cámaras que le permite tomar fotos sin que salgan borrosas en situaciones en las que haya poca luz. La compensación es una capa adicional de ruido, o gránulos, a sus fotos.
Para vender a los consumidores cámaras con un rendimiento mejorado en situaciones de poca luz, algunas compañías inflan su tasa ISO para hacerle creer que tienen menos ruido en mayores configuraciones. ¿Le gusta la calidad de la imagen con ISO 3200? Igualmente podría ser una ISO 1600.
Índices de microchips

Samsung se vio en problemas la semana pasada, cuando el blog de tecnología AnandTech descubrió que el teléfono inteligente Galaxy S4 exageraba sus velocidades principales del procesador.
Samsung diseñó la unidad central del procesador del Galaxy S4 para que acelerara el poder del chip exclusivamente en algunas aplicaciones índices de prueba; todo con la intención de probar que era el teléfono Android más rápido de todos. Aunque en teoría el teléfono es capaz de alcanzar esas velocidades, Samsung normalmente restringe su poder de procesamiento (por una buena razón, de otra manera la batería del teléfono no llegaría ni al medio día).
Lo curioso es que Samsung no necesitaba exagerar sus índices, ya que es obvio que con el uso actual, el desempeño del teléfono únicamente tenía como rival al HTC One. Sin embargo, nos ayudó a recordar un punto importante: las velocidades del procesador significan poco en la vida real.

http://cnnespanol.cnn.com/2013/08/07/las-peores-mentiras-que-las-companias-de-tecnologia-te-dicen/

Investigadores desarrollan un nuevo sistema de grabado para la fabricación de procesadores más rápidos y eficientes, utilizando luz ultravioleta extrema.

En esta era donde la informática y la movilidad se han unido como nunca antes, los desarrolladores de procesadores deben pensar mucho más que en ofrecer el mayor potencial y la más alta frecuencia y rendimiento, deben pensar en gestión de energía, ahora más que nunca. En las más recientes generaciones de procesadores Intel, como la nueva Haswell, hemos notado una mejora increíble en la autonomía de la batería de computadores portátiles (destacando por ejemplo, el nuevo modelo de MacBook Air), y este resultado no se debe a una batería de mayor tamaño, sino a las nuevas arquitecturas de procesadores.

Los procesadores cada vez están reduciendo aún más su geometría (algo que ayuda a lograr mejor gestión de energía sin perder capacidad de rendimiento), actualmente por los 28nm e incluso 22nm. Sin embargo, para reducirla aún más, debe cambiar el proceso con el que son grabadas las "obleas" de procesadores, por uno mucho más exacto.

Actualmente, para este proceso de fabricación de chips capa por capa, se utiliza luz ultravioleta. Sin embargo, desarrolladores e investigadores de tecnología (de ASML) han anunciado un nuevo tipo de luz ultravioleta, el cual han llamado "luz ultravioleta extrema", y que permite alcanzar la precisión necesaria para fabricar procesadores de arquitectura incluso inferior a los 14 nanómetros.

Aún así,hay muchas faltas que superar para que la tecnología de la luz ultravioleta extrema sea viable para un gran fabricante, como Intel. Actualmente, ASML ha desarrollado un primer prototipo de sistema de grabado de chips mediante "EUV", luz ultravioleta extrema, y espera que para el año 2014 este modelo pueda producir luz con 250 vatios de poder, lo que permitiría fabricar hasta 125 "obleas de chips" por hora.

Pero Intel anunció que para poder implementar el sistema de luz ultravioleta extrema en sus líneas de producción, este debería producir luz con un potencial de al menos 1.000 vatios, por lo que aún falta mucho tiempo y un largo proceso de investigación y desarrollo para que la EUV se haga con un lugar entre los fabricantes más grandes de procesadores en el mundo.

En resumen, la ventaja de esta tecnología es que permitirá fabricar procesadores de una forma tan precisa, que la arquitectura de estos podrá reducirse mucho más y lograr mayor rendimiento por menor consumo de recursos. ¿Portátiles con autonomía de más de 24 horas en uso? Esa es la idea, y suena maravillosa.

http://alt1040.com/2013/08/luz-ultravioleta-extrema-procesadores

Ya ha pasado un año desde la aparición del llamado 'Ipad norcoreano', pero no teníamos detalles sobre él. Sin embargo, gracias a un viajero ahora sabemos que su pantalla es de 7 pulgadas; su cámara, de 2 megapíxeles; y no tiene acceso a Internet.

Todo sobre este tema

Nuevas tecnologías
Los 'hackers' del futuro podrán controlar todo su entorno
Manipular el cerebro con computadores ya no es ficción
El ADN podría almacenar todo el conocimiento de la humanidad
LEER MÁS »
El turista compró por 200 dólares la tableta Samjiyon en una tienda de regalos de un restaurante de la capital norcoreana. Tras sacarlo del país y después del análisis exhaustivo de los especialistas en tecnología, se sabe que el 'Ipad norcoreano' utiliza una versión del sistema operativo Android de Google.   

En términos de rendimiento, los expertos aseguran que este dispositivo es tan bueno como el de otras marcas. Su velocidad y su capacidad de respuesta casi puede competir con las principales tabletas. El arranque de los programas es bastante fluido, la cámara funciona tan rápido como en las principales tabletas del mundo y no hay un retraso notable al jugar a juegos como Angry Birds.

Pero no todo es igual


Hasta aquí todo es parecido a la típica tableta que se comercializa en casi todo el mundo. Pero un punto y aparte es cuando surge la pregunta de la conexión a Internet.  El Ipad Samjiyon no tiene ni Youtube ni tampoco Gmail. El dispositivo no se puede conectar a la Red.

En Corea del Norte se requiere una autorización del Gobierno para acceder a Internet sin limitaciones. La mayoría de los ciudadanos, por tanto, carece de esa opción y navega en una red doméstica, el 'jardín amurallado' conocido como 'Kwangmyong'.

Una muralla que no solo existe en Corea del Norte para entrar en Internet, sino también para conocer sus últimas novedades en cuanto a tecnología se refiere. Gracias al viajero, ya existe una radiografía del 'Ipad norcoreano'. 

http://actualidad.rt.com/actualidad/view/102353-ipad-norcoreano-samjiyon-tableta

¿Alguna vez se ha preguntado quién fabricó su celular? Si está hecho en China, las probabilidades de que esa persona siga viva son menores. Allí, la principal fábrica de dispositivos electrónicos del país registra el mayor número de suicidios al año.

Trabajan más de 12 horas seguidas, les obligan a obviar la hora del almuerzo, les restringen los permisos para ir al baño y, con suerte, descansan un día a la semana. Eso sí, Foxconn, como se llama este colosal recinto de producción, pone a la disposición de sus empleados piscinas y tiendas a un paso del lugar de trabajo. Pero pocos se benefician de ellas: están demasiado cansados.

Tian Yu era una de estas empleadas. Proveniente de una familia de escasos recursos económicos, se mudó a Shenzhen, una de las principales ciudades del sur de China, en busca de una vida mejor. Sin familia ni tiempo para hacer amigos, la depresión acabó ganando la batalla cuando en 2010 la empresa no le pagó un mes alegando un error administrativo. La joven se arrojó por la ventana. En ese entonces tenía 17 años. 

Ese mismo año, 14 trabajadores se suicidaron, todos ellos menores de 25 años. Otros cuatro lo intentaron sin éxito, según cifras publicadas recientemente por el diario británico 'The Guardian'.

En Foxcoon fabrican teléfonos inteligentes y tabletas de Samsung, Sony o Dell, pero gran parte de la producción corresponde a los pedidos de Apple. En 2010, sus 400.000 empleados ensamblaron 137.000 iPhones al día –unos 90 por minuto-.

La alta tasa de suicidios llevó al director general de Apple, Tim Cook, a pedir a la empresa asiática que mejorara las condiciones laborales de sus empleados. Sin embargo, su gesto no fue a más.

Tras su intento de suicidio, Tian Yu recibió una compensación económica para ayudarla a volver con su familia. Según su padre, la trataron “como si de mercancía se tratara”. Y un dato más: mientras que la joven cobraba al mes una cuarta parte de lo que cuesta en las tiendas un iPhone 5, el año pasado el sueldo de Cook superó los 4 millones de dólares.


http://actualidad.rt.com/sociedad/view/102253-vidas-costar-iphone-apple-explotacion

A veces, cuando los programadores informáticos escriben su código, cometen errores.
Las causas son las mismas que las de las erratas en el periodismo: cansancio, inexperiencia y, en muy raras ocasiones, malicia.
En los viejos tiempos de la programación, la revisión del código por otros miembros del departamento era una forma común de encontrar estos defectos antes de que llegaran a los sistemas de producción, algo muy similar a lo que ocurre cuando un editor de estilo de un diario corrige el texto de un corresponsal antes de enviarlo a la imprenta.
Pero en estos días, con presupuestos más ajustados y una intensa presión para que el producto esté listo para su fecha de lanzamiento, el código no se comprueba tan a fondo y aumenta la frecuencia de errores.
Antes de la llegada de internet no era un problema demasiado grave porque se podía frenar. Si el código tenía errores, tal vez el sistema de procesamiento de comandos de una computadora central podía caerse o el mostrador de reservas de una aerolínea podía quedarse sin funcionar toda una tarde.
Hoy en día, un error en un producto de software puede significar violaciones masivas de seguridad para los clientes y un desastre financiero y de reputación para un negocio.
Microsoft
Es algo que Bill Gates llegó a entender con algo de retraso. En una misiva, hoy famosa, que envió por email a todos los empleados a tiempo completo de Microsoft en 2002 hacía hincapié en un cambio fundamental en las prioridades.
"Ahora, cuando afrontemos una elección entre añadir una nueva característica (a cualquiera de los productos) o solucionar un problema de seguridad, escogeremos la seguridad", escribió.
Si uno les da a los fabricantes de software el beneficio de la duda, el énfasis en la seguridad en los últimos años es una respuesta diligente a la explosión del fraude en línea.
Una visión más crítica es que parece que los malos de la película siempre llevan la delantera y lo que hacen los buenos es tratar de ponerse al día.
Dinero en efectivo
Ahí es donde entran los cazadores de recompensas.
Mozilla, fabricante del navegador Firefox, fue el primero en iniciar un programa de estímulos por descubrir errores, en 2004.
Su premio en la actualidad es de US$3.000 y ha pagado unos US$40.000 al año desde entonces.
Su principal ganador es un estudiante de Alemania, que ha hecho unos US$30.000 gracias a una serie de descubrimientos.
Este año, el programador ruso Serguéi Glazunov se convirtió en la primera persona en reclamar la más generosa recompensa de Google, de US$3133,70, por encontrar un punto débil en su navegador Chrome.
Gravedad
Brian Rukowski, gerente de productos de Chrome, dijo que la compañía ha pagado hasta el momento más de US$50.000 en recompensas por errores. Por lo general, el monto depende de la gravedad de los errores encontrados.

La cantidad que ofrece Google busca atraer a un tipo específico de personas. Rukowski explicó que, en un alfabeto alternativo al inglés usado por los hackers, el número 3133,70 representa la palabra "elite".
Además de ganar un poco de dinero y prestigio, es también una forma ideal para los programadores de mostrar sus habilidades. Para los realmente brillantes, el premio podría ser incluso una oferta de trabajo.
Chris Hofmann, director de proyectos especiales de Mozilla, dijo: "Estamos constantemente buscando contratar a participantes del programa de seguridad de recompensas por errores".
Es una opinión compartida por Brian Rukowksi de Google: "Hemos encontrado un par de personas que, bien informando fallos o simplemente trabajando en la propia fuente, parecían muy prometedoras y las hemos contratado".
Magia
Aaron Portnoy, de 25 años de edad, ha estado localizando errores desde que era apenas un adolescente.

Se dio cuenta de que podría ser una carrera potencialmente lucrativa cuando los cobradores de impuestos estadounidenses llamaron a su puerta, para preguntarle cómo había ganado US$60.000. Todavía no había cumplido los 20 años.
Él describe la sensación de buscar errores como "una experiencia estimulante. Es como si fuéramos magos con las computadoras".
Aunque se las arregló para obtener algunos ingresos, Portnoy sintió que la mayoría de los investigadores de seguridad no estaban recibiendo el reconocimiento que merecían de los fabricantes de software.
"Los proveedores simplemente añadían un 'gracias' en la versión revisada. En los últimos cuatro o cinco años hemos visto que un montón de investigadores no sienten que eso sea suficiente. Darles un pequeño agradecimiento, una miseria, no basta", dijo.
Al descubrir un hueco en el mercado, Portnoy convirtió este descontento en una oportunidad de negocios y en 2006 se unió a la empresa de software Tipping Point. El equipo que dirige tiene un objetivo simple.
"Buscábamos una manera de no sólo crear un modelo de negocios, sino también de premiar a los investigadores por su trabajo", señala.
¿Cómo funciona el modelo?
En lugar de notificar directamente a una compañía de software, un buscador de errores le informa a Tipping Point sobre su descubrimiento.
El equipo de Portnoy investiga y si la falla se verifica, se le pagan honorarios al investigador.
Se notifica al fabricante y se espera que empiece a trabajar en una solución permanente. Mientras tanto, Tipping Point crea una solución temporal que se envía a sus suscriptores de pago.
Tipping Point ahora forma parte de la empresa Hewlett-Packard y los cazadores de recompensas "Platino" del programa pueden obtener pagos únicos de US$20.000.

Concurso
En estos momentos, Portnoy ayuda a dirigir el concurso anual Pwn2Own.
En el evento, los programadores compiten por encontrar fallas en productos populares de software y hardware.
Este año, el programador irlandés Stephen Fewer ganó US$15.000 cuando logró hacer caer al Internet Explorer de Microsoft.
Para los fabricantes, Pwn2Own es una situación en la que nadie pierde. Es una buena manera de probar que sus productos están hechos a prueba de balas, si sobreviven al ataque. Por otro lado, si se viola su seguridad, tienen la ventaja de enterarse sobre una falla importante en un entorno controlado.

Es por eso que empresas como Google participan activamente, según Brian Rukowski.
"En el último par de años a Chrome le ha ido muy bien. Hemos tenido la distinción de ser el único navegador que quedó en pie al final de la competición, así que ahora somos el blanco de todos y es un desafío que nos emociona", dijo.

http://www.bbc.co.uk/mundo/noticias/2011/06/110619_tecnologia_programacion_errores_hacker_recompensa_mt.shtml

La aplicación de chat para teléfonos inteligentes Whatsapp ofrece ahora la posibilidad de grabar y enviar mensajes de voz.
La medida le ayudará a competir contra Facebook Messenger, WeChat, Voxer y BBM de BlackBerry, que ya ofrecen esa función.
La empresa con sede en California anunció que 300 millones de personas usan la aplicación por lo menos una vez al mes.
Un analista dijo que la incorporación de los mensajes de voz le ayudará a la empresa a aumentar su popularidad en algunas partes del mundo en desarrollo.
"En el sudeste asiático, por ejemplo India y China, y partes de África, los mensajes de voz son muy populares como una alternativa a escribir en los teclados en inglés", le dijo a la BBC Neha Dharia, analista de la consultora de telecomunicaciones Ovum.
"También en los mercados donde la alfabetización es baja, a Whatsapp le va a ir mucho mejor con este servicio".
Whatsapp incorporará la nueva función a sus aplicaciones para iPhone, Android, Blackberry, Windows Phone y Nokia S40.
La aplicación aún carece de la capacidad de tener charlas interactivas de voz o conversaciones de vídeo, posible a través de Skype de Microsoft y las aplicaciones de BBM de Blackberry. Sin embargo, WhatsApp funciona en más plataformas.

http://www.bbc.co.uk/mundo/ultimas_noticias/2013/08/130807_ultnot_whatsapp_mensajes_voz_chat_rg.shtml

Cada vez son más insólitos los objetos que en nuestra vida diaria pueden ser objetivos potenciales de ataques informáticos. El último en unirse a la lista es el inodoro.
Por supuesto, no el inodoro tradicional que la mayoría de nosotros tenemos en casa, sino uno de lujo controlado con una aplicación de teléfono.
Expertos en seguridad afirman que este particular inodoro, conocido como Satis, y que tiene un precio de US$5.686, es vulnerable a ataques.
Inodoro automático
El inodoro Satis permite el tirado de cadena automático, así como controlar desde el teléfono cosas como un spray de agua, música y emisión de fragancias.
Lo fabrica la marca japonesa Lixil, y se controla con una aplicación de Android llamada My Satis.
Pero resulta que el programa que lo controla tiene fallas, y cualquier teléfono con la aplicación podría activar cualquier inodoro, señalan investigadores.
El inodoro usa bluetooth para recibir instrucciones a través de la aplicación, pero el problema es que la clave para cada modelo es la misma (cuatro ceros), lo que significa que no se puede resetear y que puede ser activada por cualquier teléfono con la applicación My Satis.
Según el reporte, elaborado por expertos en seguridad de la firma Trustwave's Spiderlabs, "un atacante podría simplemente descargar la aplicación de My Satis y usarlo para que el inodoro tire todo el rato de la cadena, lo que aumentaría el uso de agua y los costos para su dueño".
El inodoro poseído
"Los atacantes podrían hacer que la unidad se abra de forma inesperada, activar el bidé o las funciones de secado, causando incomodidad o molestia al usuario".

No obstante, el alcance limitado del bluetooth significa que cualquiera que desee llevar a cabo un ataque semejante necesitará estar bastante cerca del inodoro en cuestión, explica el experto Graham Cluley.
"Es fácil ver cómo un bromista podría hacer que sus vecinos piensen que su inodoro está poseído, mientras lanza agua y aire seco inesperadamente a su víctima, pero es difícil imaginar cuan seriamente se tomarían los cibercriminales este problema de seguridad", dijo a BBC.
"Aunque esta vulnerabilidad parece inofensiva, lo que está claro es que las empresas que fabrican elementos del hogar necesitan tener la seguridad en mente, tanto como lo hacen los fabricantes de computadoras".


http://www.bbc.co.uk/mundo/noticias/2013/08/130805_tecnologia_inodoro_pirateria_aa.shtml

Mozilla libera una actualización de Firefox para escritorio y para dispositivos Android, enfocada en hacerlo más social y dar más facilidad al usuario para compartir contenido.

No queda dudas de que Mozilla apuesta por completo por la comunidad de desarrolladores. En cada una de las últimas versiones de su popular navegador web, Firefox, vemos cómo implementan nuevas características en la base del navegador, en su código, como fue la llegada del soporte para motores de juego en 3D en la versión de Firefox 22. Hoy, ya está disponible Firefox 23, esta vez haciendo más énfasis en el usuario final directamente, al integrar nuevas funciones sociales que complementan las que ya existían, y que siguen convirtiendo a este navegador en toda una plataforma web, de servicios, aplicaciones y ecosistemas.

Mozilla desde sus inicios ha tenido como propósito el llevar la web a las personas de la forma más fácil y sencilla posible. Aún así, esto no significa que no ofrezca muchas más posibilidades que simplemente una ventana a páginas webs. Lo pudimos ver con la llegada del soporte a juegos 3D a través del protocolo WebRTC (de las mejores cosas que han implementado a Firefox), y también lo podemos ver incluso en Firefox OS, su sistema operativo para móviles, como nos lo comentó Jay Sullivan, COO de Mozilla.

En esta ocasión, Firefox 23 apuesta por lo social e integra mucho más los perfiles en redes sociales del usuario, como por ejemplo Facebook, permitiéndonos de una manera mucho más rápida y sencilla compartir contenido, todo esto gracias a la Social API que Mozilla presentó en la versión de Firefox 17, y que ha evolucionado mucho hasta ahora.

La gran ventaja de esto es que podemos integrar servicios como Facebook sin instalar ningún complemento, y compartir contenido de forma social directamente desde un pequeño botón que se ubicará en la misma barra del navegador, donde hace algunas versiones también integraron un botón de gestión de descargas (una idea tan maravillosa que no me canso de celebrar).

No solo esto, Mozilla renueva el logotipo de Firefox, simplificándolo y haciéndolo más minimalista, como prueba de la evolución que está experimentando la empresa y su principal producto en los últimos años.

En el caso de la versión para Android, también ha sido actualizada a Firefox 23 e incorpora distintas novedades muy atractivas, como que ahora los usuarios pueden seleccionar un motor de búsquedas predeterminado en las preferencias, mejoras en la función de "modo solo lectura" y mejoras en la interfaz y fluidez, entre otras.

http://alt1040.com/2013/08/mozilla-firefox-23

En el día de hoy ha corrido como la pólvora que Google Chrome presenta una grave vulnerabilidad a la hora de almacenar nuestras contraseñas ya que éstas están accesibles fácilmente y sin cifrar. Sin embargo, esto no es algo nuevo, está presente en Chrome desde hace muchos años y, realmente, no es una vulnerabilidad como tal.

El pasado mes de abril, cuando la cuenta en Twitter de Associated Press fue hackeada y la falsa noticia del atentado contra Obama hizo estremecer el Dow Jones, fueron muchas las voces que comentaron que Twitter debía tener un sistema de verificación en 2 pasos que al final terminó activando. Evidentemente, Twitter debía mejorar su seguridad pero, por supuesto, el usuarios también debe manejar sus contraseñas adecuadamente y evitar que su información de acceso quede expuesta y puedan, por ejemplo, suplantar su identidad. Nuestro navegador suele ser la puerta de acceso a muchos de los servicios que usamos a diario y, por supuesto, también exigimos que cuide especialmente la seguridad de nuestros datos; sin embargo, hoy son varios los medios que han publicado una grave vulnerabilidad en Chrome que expondría nuestras contraseñas al estar éstas accesibles desde el panel de configuración del navegador.

¿Por qué uso la palabra "supuesta" y no uso una afirmación? Si bien hoy podemos leer la noticia en muchos medios, la realidad es que hace muchos años (y en YouTube podemos encontrar tutoriales fechados en 2011) que Chrome nos permite acceder al listado de contraseñas que tenemos almacenadas en el navegador sin más que entrar en las opciones avanzadas de configuración y localizar "Administrar contraseñas guardadas".

Si pulsamos sobre esta opción (o bien entramos con la url de atajo chrome://settings/password) se abrirá una ventana en la que se listan todos los servicios cuya contraseña está almacenada junto al nombre de usuario que usamos en dicho servicio y la contraseña, aparentemente, oculta. Si pulsamos sobre cualquiera de las contraseñas guardadas aparece un botón "mostrar" que, tras pulsarlo, nos muestra en claro la contraseña guardada.

Este gesto tan simple es el que está generando el "revuelo del día" y si bien es cierto que es preocupante, es algo que está en Chrome "desde que Chrome existe" y, realmente, es un problema que arrastran muchos navegadores.
El pánico es exagerado

¿Es esto una vulnerabilidad? ¿Google Chrome presenta un agujero de seguridad? Honestamente, yo creo que no pero entiendo que muchos usuarios, desde su punto de vista, consideren que Chrome adolece de ciertas pautas seguras a la hora de tratar nuestras contraseñas.

Por muy buenas contraseñas que tengamos en servicios como Facebook o Gmail, que todas éstas estén apuntadas en un papel sobre nuestra mesa, en un documento de texto o estén accesibles desde el navegador, lógicamente, invalida el método. Precisamente, esto es lo que pasa cuando almacenamos una contraseña en el navegador; por muy segura que sea, está apuntada en un lugar de nuestro disco duro, un archivo de configuración al que se podría acceder desde el PC ya sea mirando en las opciones del navegador (como es el caso que nos ocupa) o editando archivos de configuración almacenados en el perfil del usuario.

Si perdemos nuestro ordenador portátil o nos lo roban, toda la información contenida en el equipo es vulnerable salvo que tengamos cifrado el disco duro. Hiren's BootCD, un Live CD muy extendido entre técnicos de soporte IT, permite "saltar" la protección por contraseña de un sistema Windows sin mucho esfuerzo y, tras esto, acceder libremente al sistema con el usuario del propietario del equipo y si usa Chrome y guarda en el navegador sus contraseñas tendremos un gran botín y podremos suplantarle en Facebook, Twitter, entrar en sus servicios de banca online o en su correo corporativo.

En el caso que nos ocupa se habla de Google Chrome pero no es el único navegador que presenta un tratamiento similar de las contraseñas. En Firefox también podemos entrar en las opciones de seguridad y ver todas las contraseñas que tenemos guardadas. Por defecto, estas contraseñas están accesibles sin ningún tipo de protección pero, al menos, tenemos la opción de fijar una "contraseña maestra" que sea requerida cada vez que se va a usar una contraseña almacenada o queremos acceder a este listado (algo que también encontramos en Safari en OS X por citar otro ejemplo).

Algo tan cotidiano como llevarse los marcadores y contraseñas guardadas desde un navegador a otro (el paso típico cuando instalamos un navegador) es un proceso tan sencillo y tan "cómodo para el usuario" precisamente porque este tipo de datos se almacenan de esta forma tan laxa.


La seguridad es un concepto subjetivo

Creo que no digo nada nuevo al afirmar que la seguridad total no existe y, de hecho, la seguridad es un concepto muy subjetivo. Tanto es así, que muchos expertos definen la seguridad como una especie de "sensación de confort" o "confianza" en el uso de un servicio o un sistema. Dicho de otra forma, consideramos que algo es seguro cuando nos sentimos cómodos en su uso y consideramos que el riesgo de un acceso no autorizado o la pérdida de información es pequeña (aunque no siempre calculemos bien los riesgos).

Esta sensación de confianza en un servicio o en un sistema es una suma de factores: la seguridad de nuestro equipo (cifrado de archivos, uso de biometría en el arranque del sistema, etc), la seguridad de las herramientas que usamos y, por supuesto, la seguridad de los servicios a los que accedemos. De nada nos sirve, como comentaba al inicio, una contraseña muy segura si los otros dos pilares en los que nos apoyamos no son seguros (nuestro equipo o nuestro navegador) y aunque el navegador sea seguro, si alguien tiene acceso físico a nuestro PC casi seguro que podrá sacar datos.

Precisamente, tras armarse todo este revuelo, Justin Schuh (el responsable de seguridad de Chrome) ha abierto un hilo muy interesante en Y Combinator para intentar aclarar esta política de almacenamiento de contraseñas. Una respuesta, en mi opinión, muy honesta que, quizás, el usuario no está acostumbrado a recibir.

Para Schuh, no cifrar las contraseñas en el navegador no es un fallo de seguridad, es una llamada de atención a la necesidad de hacer el acceso a nuestro sistema mucho más seguro. Dicho de otra forma, no solo deberíamos preocuparnos por las contraseñas almacenadas en el navegador sino también por los documentos y archivos que alojamos en nuestro disco duro. Con nuestros archivos personales cifrados y con una contraseña fuerte de acceso a nuestro sistema, estaremos protegiendo también las contraseñas del navegador.

¿Y qué podemos hacer?

En mi opinión, la comodidad aumenta los riesgos y es algo que todos los usuarios deberíamos asumir y ser conscientes de ello. Sí, es muy cómodo llegar a un servicio y que el nombre de usuario y la contraseña ya estén escritos por ti pero, como podemos ver, ello entraña riesgos y la información está almacenada en "alguna parte" y es susceptible de ser accedida si alguien consigue acceso físico a nuestro ordenador.

Por tanto, aunque todo esto viene de largo y la supuesta vulnerabilidad no es nueva, más que cundir el pánico lo que tendríamos que hacer es reflexionar sobre la protección que damos a nuestros datos o al acceso a los servicios que usamos a diario. Usar contraseñas seguras es un buen paso, cambiarlas con frecuencia también pero, fundamental, también hay que recordarlas y depender menos de lo que almacena el navegador porque el día menos pensado nos puede pasar factura.

Explorar el cifrado de archivos en nuestro equipo tampoco es mala opción y, por supuesto, también hay buenos gestores de contraseñas que cifran la información y requieren, como en Firefox, una contraseña maestra.

La seguridad es una inversión en la que, la verdad, creo que vale la pena dedicar un poco de esfuerzo.

http://alt1040.com/2013/08/vulnerabilidad-de-contrasenas-de-google-chrome?utm_source=self&utm_medium=nav&utm_campaign=lo+ultimo+single

Encontró una forma de entrar. Un hueco en la cerca. Una grieta en la armadura. La aguja en el pajar.
Pero, ¿y ahora qué? ¿Hace lo correcto? ¿Le dice al dueño que vulneró su seguridad, le ayuda a arreglarlo y obtiene una amistosa palmada en la espalda?
¿O toma la nueva arma y la vende a los malandros por miles de millones de dólares?
Ojos que no ven, dice la filosofía, corazón que no siente. Si no lo sabe, no le afecta. Eso, claro, a menos de que sea una poderosa compañía de tecnología con potenciales vulnerabilidades a su seguridad que le pueden costar su vida.
Puede ser el pedazo de un código mal escrito, o una consecuencia imprevista del lanzamiento de una nueva aplicación.
Los sistemas de las compañías, pues, son muy vulnerables, y están cada vez más urgidas de saber todos y cada uno de los detalles de los huecos a su seguridad antes de que otros los encuentren.
Y ahora, están dispuestas a pagar mucho dinero a quienes encuentren el bug.

Mentalidad de criminal

Las recompensas están diseñadas para tentar a los hackers que están en un conflicto ético a que se abstengan del mercado negro y se conviertan en una ayuda para los equipos de seguridad de las empresas de tecnología.
El esquema más reciente, creado por Microsoft, no tiene comparación con los que vinieron antes. Si usted puede encontrar un error grave, y una manera de arreglarlo, tendrá alrededor de US$150.000 en su bolsillo.
"En realidad se trata de buscarles a los hackers que quieren hacer las cosas bien, una manera de hacer algo de dinero", dice Katie Moussouris, estratega de seguridad de Microsoft.
clic Lea también: Entre al mundo de un "hacker" ético
Según ella, el reto es crear "nuevas e interesantes maneras de atraer a estos investigadores antes de que vayan a otros compradores".
Y para quienes tienen una mentalidad de criminal, en efecto, hay una gran demanda.
"La industria del hackeo, la industria del hackeo criminal, es en realidad la actividad criminal más grande en el mundo", dice Oliver Crofton, un investigador de seguridad que protege a las personas de negocios importantes de intentos de hackers.
"Genera más dinero para los criminales que cualquier otro tipo de tráfico de drogas o armas (...) Es una industria enorme".

Con una simple búsqueda en Google, el experto le muestra a la BBC lo fácil que es encontrar mercados para quienes tienen vulnerabilidades a la venta. Y eso es antes de adentrarnos en la web oscura y los servicios de navegación anónima.
"Al igual que cualquier transacción comercial, es una negociación", dice Crofton.
"[Miras] qué beneficio trae para un tercero que quería utilizar esa vulnerabilidad para determinar el precio".
Por estos días, los precios rondan las "decenas de miles de dólares y hacia arriba", dice.
¿Por la "emoción"?
Uno de los recompensados más famosos de los últimos tiempos por haber encontrado un bug es el británico Jack Whitton, un hacker de "sombrero blanco", como les dicen a los hackers buenos.
Encontró lo que un experto de seguridad describe como un "agujero abierto" que usaba una falla en el sistema de mensajes de Facebook para exponer los teléfonos de los usuarios.
Le dijo a Facebook, y le pagaron US$20.000.
De este modo, Whitton se unió a un centenar de hackers "buenos" que le han ayudado a Facebook a mantener su sistema seguro. La compañía los tiene en una lista de las personas a las que agradece en el portal.
Para muchos, este reconocimiento es suficiente.
"Hay mucha gente por ahí que están motivados principalmente por la emoción técnica de encontrar algo en el mundo de la seguridad que es desconocido, como descubrir una nueva criatura o una nueva planta para los biólogos", dice Richard Allan, director de la política para Europa, Oriente Medio y África de Facebook.
¿Por la recompenza?
Ahora bien, la forma como los hackers les informan a las compañías de la vulnerabilidad tiene sus trucos: debe ser inmediata, no durante un rescate.
"Debemos tener muy claro que la divulgación responsable, como opera en Facebook y otras empresas, significa que el individuo debe revelar la vulnerabilidad tan pronto tenga conocimiento de ella, sin tener que preocuparse acerca de la recompensa. Son dos cosas diferentes".
"La divulgación responsable significa: 'Yo voy a decirle a la empresa afectada, a fin de que sean capaces de tapar el hueco. Si me dan un premio estoy encantado, pero no es condicional'".
Pero para Robert Kugler, un adolescente alemán que ha ganado más de US$7.000 en recompensas por errores, la promesa de dinero es un elemento importante si las empresas como Facebook quieren demostrar que toman en serio su seguridad.
"No es sólo 15 minutos de trabajo duro. Usted tiene que invertir muchas horas trabajando en ello para recibir el pago", le dice a la BBC.
"Si no le pagas a la gente, no van poder gastarse su tiempo buscando bugs para ti".

http://www.bbc.co.uk/mundo/noticias/2013/08/130807_tecnologia_hackers_bug_dp.shtml