Osprey Packs ha sufrido una violación de datos. La compañía ha comenzado a notificar a los clientes de su sitio web Pro Deal de que sus datos personales pueden haber sido robados por los ciberdelincuentes.

Según la carta de notificación, los atacantes pueden haber accedido a nombres, números de teléfono, direcciones de correo electrónico, direcciones de facturación y envío, números de tarjetas de crédito y fechas de expiración.

Una investigación ha revelado que los atacantes utilizaron probablemente una pieza de malware para robar las credenciales de inicio de sesión para el sitio web Pro Deal.

El hackeo tuvo lugar el 9 de julio de 2013. Sin embargo, fue identificado apenas el 7 de agosto de 2013, después de que un cliente informó a Osprey Packs acerca de actividades no autorizadas en su tarjeta de crédito.

Otros clientes también han informado que identificaron intentos de transacciones fraudulentas.

La compañía afirma que ha implementado medidas adicionales de seguridad para prevenir futuros incidentes. Los clientes afectados han recibido instrucciones sobre cómo pueden protegerse, pero no disfrutarán de servicios gratuitos de protección de la identidad.

http://news.softpedia.es/Osprey-Packs-fue-hackeada-los-atacantes-robaron-informacion-de-tarjetas-de-credito-379608.html

Los hackers de Turk Hack Team han atacado y alterado nada menos que 350 sitios web de todo el mundo para celebrar el Día de la Victoria, una fiesta nacional destinada a conmemorar la victoria en la batalla de Dumlupinar, una de las batallas decisivas en la Guerra de Independencia Turca de 1922.

Según HackRead, los sitios web afectados pertenecen a diversas organizaciones de China, India, Estados Unidos, Irán, Brasil, México y otros países.

En el momento de escribir esto, algunos de los sitios afectados habían sido restaurados, pero otros todavía estaban alterados o habían sido desconectados. Una lista completa de réplicas de las desfiguraciones está disponible en este enlace.

A principios de este mes, el mismo grupo de hackers ha dañado más de 1.500 sitios web de todo el mundo en protesta contra la represión religiosa de China de los uigures musulmanes en el Turquestán Oriental.

http://news.softpedia.es/Hackers-turcos-celebran-el-quot-Dia-de-la-Victoria-quot-alterando-350-sitios-web-379577.html

El jueves, César Miralles era nombrado director general de Red.es, la entidad española encargada de promover el uso de las TIC. Hoy daba una entrevista en RTVE, y el titular me ha llamado muchísimo la atención.

“Apostaremos por el software libre como alternativa al de pago”

La iniciativa es muy loable, implantar el software libre en la administración es una asignatura pendiente desde hace mucho tiempo. Sin embargo, hay un ligero error de percepción en esa frase: contraponer el software libre al de pago.
 
Lo cierto es que, a pesar de que estemos acostumbrados a lo contrario, el software libre puede costarte dinero. Ya no estamos hablando sólo del coste de implantación (Linux no se instala él solito). Es perfectamente plausible pagar por una copia de un software libre. De hecho, ¿cómo creéis que Stallman se finació a sí mismo y a la FSF durante los primeros años del movimiento del software libre? Vendía copias de su software.

Para mí, como informático (o intento de ello), es importante hacer esta distinción. El desarrollo de software no es gratis. A pesar de que parezca que lo que hacemos es pulsar teclas al azar, con algún insulto ocasional al ordenador, es un asunto muy complejo. Plantear que el software libre tiene que ser gratis es un error de bulto y minusvalorar todo el trabajo que hacemos. Si bien es cierto que gran parte del software libre se publica de forma gratuita, no existe una dicotomía que nos haga elegir entre compartir el conocimiento del software para que otros lo estudien y mejoren, y ganar dinero con ese mismo software.

El negocio detrás del software libre se caracteriza por la oferta de servicios adicionales al software. Eso es lo que dicen. Esa frase debería comenzar con Ahora mismo. Hay otras formas de ganar dinero con el software libre más allá de dar soporte o de implantar el producto.

Por ejemplo, las tiendas de aplicaciones móviles facilitan muchísimo cobrar por software libre. Por ejemplo, distribuyes tu aplicación de pago en Play Store y al mismo tiempo mantienes el código fuente en Github con una licencia abierta. Se puede hacer (os lo digo por experiencia): juegas con la pereza de la gente. Es más fácil pagar uno, dos euros que bajar el código, compilarlo, pelearse con él para instalarlo y repetir el proceso con cada actualización. Está, por supuesto, el tema de la piratería, pero ese es un problema de valoración del software y no tanto de que sea libre o propietario.

También está, por supuesto, pagar a una empresa para que desarrolle características nuevas para un programa. Donde más posibilidades de éxito tendría es en el mundo de las empresas: pagas para que ese software de gestión de personal también tenga X función que necesitas para adaptarlo a tu empresa. En el mundo del usuario común es más difícil de llevar a cabo, aunque el crowdfunding podría ayudar (sitios como Bountysource se dedican a ello).

El software libre no es sólo cuestión de dinero

No quisiera acabar esta reflexión sin comentar que las declaraciones de César Miralles pueden dar a entender que la Administración debería implantar el software libre sólo por dinero. Podría decirse incluso que es una concepción equivocada: no hay que subestimar los costes de una migración de este estilo, la formación a los nuevos usuarios, el tiempo perdido… A largo plazo es posible que el software libre ahorre dinero, pero sólo si se gestiona bien.

Para mí, hay una cuestión más relevante para implantar el software libre en la Administración, una cuestión no práctica, sino más bien filosófica. Deberíamos fomentarlo para evitar depender de una única empresa y para que los ciudadanos tengamos más información sobre cómo funciona nuestra Administración; y porque es la forma de que los ciudadanos seamos “propietarios” de ese software por el que hemos pagado cuando se ha adaptado o creado para la ocasión.

 Más información | GNU Project – Vendiendo software libre http://www.gnu.org/philosophy/selling.html

http://www.genbeta.com/actualidad/software-libre-software-de-pago

Aquí tienes los 10 consejos de Karen X. Cheng para conseguir que tus vídeos sean virales. La exempleada de Microsoft decidió renunciar a su cargo en el desarrollo de Office para aprender a bailar en 365 días y lo consiguió. Cheng registraba en vídeos, que más tarde colgaba en Youtube, sus avances diarios . En un par de días se convirtió en un hit alcanzando los 2 millones de visitas.

http://www.youtube.com/watch?feature=player_embedded&v=daC2EPUh22w

1.Crear un plan de marketing: No se puede confiar en la suerte. Por eso es necesario desarrollar un plan de marketing que ayude a reforzar el proyecto.

2.Entender cómo un vídeo se convierte en viral. El primer día hay que publicarlo en Facebook y Twitter y resto de redes sociales. Es fundamental contar con tus amigos para que lo compartan y contactar con bloggers. Los bloggers que lo hayan visto en Reddit, web de marcadores sociales y agregador de noticias, escribirán artículos y lo subirán a blogs como Mashable, Jezebel o Huffington Post, cada uno de ellos cuenta con millones de lectores y suscriptores.

3.Lanzarlo lunes o martes: La gente entre en Youtube mientras trabaja, por eso publicarlo un lunes o martes permitirá tener toda la semana por delante. Olvidarse de las vacaciones.

4.Identificar a quien le puede interesar. Buscar sponsors que puedan estar interesados en una pieza del vídeo. Contactar con diferentes compañías para que compartan el vídeo.

5.Nada de esto importa si el vídeo no es bueno. Tus amigos no lo compartirán por mucho que se lo pidas si no tiene potencial. La clave está en que el vídeo transmita emociones.

6.Contar una historia: detrás de toda acción debe de haber una historia detrás que la acompañe. Cómo esa persona llegó hasta ahí, cómo ha cumplido un sueño y cómo ha mejorado con la práctica. Las historias logran atrapar a la gente.

7.El tiempo importa: lo primero que hace la gente antes de ver un vídeo es consultar cuánto dura. Hacerlo lo más corto posible sin perder la historia.

8.Escribir un título viral: es muy sencillo sólo tienes que completar esta frase:"Viste el vídeo de " (lo que rellena el espacio es tu título). "Here's a bad title: My Journey of Dance, a Year of Movement. Better: I Learned to Dance in a Year. Even better: Girl Learns to Dance in a Year. Best: Girl Learns to Dance in a Year (TIME LAPSE)."

9.¿Hasta dónde estarías dispuesto a llegar para conseguir visitas? Tienes que conocer tus límites porque una vez publicado no hay vuelta atrás.

10.Qué hacer cuando el vídeo ya sea viral. Ten claro que la gente criticará tu trabajo, pero tranquilo, eso significará que la gente habla de ti (en eso consiste). Eso sí, las críticas no te pueden afectar de un modo personal.

http://www.forbesmagazine.es/actualidad-noticia-detalle.php?codigo=294

Las empresas tecnológicas Microsoft y Google demandarán al Gobierno de Estados Unidos para preservar su derecho a revelar más información sobre las peticiones de datos de usuarios realizadas por la Agencia de Seguridad Nacional, según han anunciado este sábado.

"Ambos estamos preocupados con la continuada reticencia del Gobierno de permitirnos publicar los datos suficientes relacionados con las órdenes que emanan de la Ley de Vigilancia de Inteligencia Extranjera (FISA, por sus siglas en inglés)", el mecanismo que utilizaba la Agencia de Seguridad Nacional, señala el vicepresidente ejecutivo de Microsoft, Brad Smith, en el blog corporativo.

Microsoft y Google presentaron la demanda en junio con el fin de "mantener el derecho de poder desvelar información adicional" al público sobre estas peticiones del Gobierno estadounidense. El comunicado, sin embargo, no aclara cuándo formalizará dicha demanda.

Las negociaciones que han mantenido con el Departamento de Justicia en las últimas semanas han fracasado tras acordar en hasta seis ocasiones la prórroga del plazo para responder a las demandas interpuestas, según Smith, que se ha mostrado "decepcionado" por la falta de una respuesta de la Administración estadounidense a las demandas interpuestas.

El derecho de hablar libremente

"Continuaremos en el proceso de litigio con la esperanza de que los tribunales mantengan nuestro derecho de hablar más libremente", subraya el vicepresidente de Microsoft. "Nuestra esperanza es que los tribunales y el Congreso garanticen que nuestras salvaguardias constitucionales prevalezcan", añade.

El exanalista de la CIA Edward Snowden entregó documentos a los diarios anglosajones The Guardian y The Washington Post que confirmaban el acceso de la Agencia de Seguridad Nacional a datos personales con el beneplácito de las empresas tecnológicas, que hasta ahora han negado haber proporcionado un "acceso directo" a sus sistemas.

La FISA obstaculiza la difusión de la cantidad de peticiones realizadas por las autoridades, si bien el Gobierno estadounidense anunció esta semana que cuantificará las solicitudes realizadas durante los últimos doce meses.

Una medida que ha sido aplaudida por el vicepresidente de Microsoft, aunque enfatiza en su blog que "el público se merece y la Constitución garantiza más que este primer paso". Smith aboga por diferenciar entre peticiones de metadatos, información asociada o contenido textual a nivel personal, como podría llegar a ser, de un correo electrónico.

http://www.20minutos.es/noticia/1907285/0/google-microsoft/demanda/gobierno-estados-unidos/#xtor=AD-15&xts=467263

El telescopio espacial Hubble ha captado una impactante imagen de una gran nube de polvo y gas interestelar que recuerda a una oruga.

En realidad se trata de 'IRAS 20324+4057', el embrión de una futura estrella que aún se encuentra en proceso de formación, bombardeada por chorros de radiación ultravioleta proveniente de estrellas ultrabrillantes que esculpen la espectacular estructura de la oruga.

La 'oruga cósmica' se encuentra a 15 años luz de distancia y está dentro de las 65 estrellas más calientes y brillantes hasta ahora conocidas, clasificadas como estrellas de tipo 'O', según la información de la NASA.

Esta estrella ultrabrillante, junto con otros 500 astros menos brillantes, componen la asociación 'Cygnus OB2'. En conjunto, se cree que la asociación tiene una masa 30.000 mayor que la de nuestro Sol.

http://www.20minutos.es/noticia/1907848/0/telescopio-hubble/oruga-cosmica/embrion-estrella/#xtor=AD-15&xts=467263

Journal of Adolescent Health publicaba en febrero de 2009 un estudio que vinculaba la adicción a Internet con la violencia adolescente. Y es que, según este documento, los jóvenes que pasan mucho tiempo conectados a la red serían más propensos a tener conductas agresivas.

El problema surge cuando una persona que ya posee conductas o pensamientos violentos decide defenderlos a través del anonimato que brinda la red. El pasado miércoles, Twitter decidía suspender un perfil que había aparecido en su web escasas horas antes con el nombre de @muerenpocas. La persona que creó esa cuenta enaltecía el maltrato expresando, a través de su biografía, que "apoyaba a los maltratadores" ya que "ninguna mujer es maltratada sin ningún motivo".

Con tuits como "está disminuyendo la cifra de muertes por maltratos, no podemos permitir que ésto siga ocurriendo" y con una foto de la ex mujer de Chiquetete, Raquel Bollo, con la cara vendada tras sufrir un accidente doméstico, el aberrante perfil de Twitter causó un gran revuelo en Internet y, gracias a ello, la cuenta fue suspendida rápidamente.

LEER MAS: http://www.publico.es/464832/violencia-y-machismo-bajo-el-anonimato-de-las-redes-sociales

Las redes de anuncios online se podrían estar usando para enrolar a millones de usuarios inconscientes para llevar a cabo ataques a otros sitios web. según una demostración llevada a cabo este mes en la Conferencia de seguridad Black Hat celebrada en Las Vegas.

Los investigadores Jeremiah Grossman y Matt Johansen de WhiteHat Security escenificaron un ataque sobre un servidor Web de prueba simplemente pagando a dos redes de anuncios en línea para que mostraran anuncios traicioneros en páginas visitadas por cientos de miles de personas. Los anuncios incluían un sencillo código en javascript que hace que el navegador que carga el anuncio también acceda repetidas veces a una imagen en el servidor de prueba.
 
El servidor de prueba víctima de la demostración no tardó mucho en tener problemas debido a la sobrecarga sobrevenida. Durante la primera hora de la prueba, en la que solo se gastaron 2 dólares (un euro y medio aproximadamente) en anuncios, más de 130.000 conexiones de navegadores inundaron el servidor, que no tardó mucho más en descolgarse bajo la carga creciente de visitas.
 
javascript es un lenguaje de programación común que se usa en sitios web y anuncios para todo, desde crear características interactivas, hasta para hacer un seguimiento de cuándo la gente descarga o interactúa con una página. Aunque algunas redes de anuncios no permiten que se inserte javascript en los anuncios, muchas otras sí lo permiten porque es un lenguaje de uso muy frecuente. Las redes que sí permiten javascript no lo inspeccionan demasiado de cerca, explica Johansen, y en cualquier caso sería improbable que notaran algo sospechoso en su código.
 
"No pirateamos a nadie; aprovechamos el funcionamiento normal de la Web para atacar a nuestro propio servidor", explicó Johansen. "Simplemente nos dedicamos a descargar imágenes lo más rápido posible".
 
El servidor de prueba no estaba protegido por las herramientas especializadas que usan algunos sitios para defenderse de los denominados ataques de negación de servicio. Sin embargo, Johansen sostiene que el bajo coste de este tipo de ataques y el alcance de las redes en línea sugiere que sería fácil escalarlo. "No cuesta tanto dinero hacer daño de verdad a sitios reales en Internet".
 
Johansen y Grossman trabajan ahora en una demostración más audaz: usar el mismo enfoque para emplearlo como mano de obra para descifrar contraseñas encriptadas como las que se suelen robar de servicios en línea en ataques como el que sufrió LinkedIn a principios de este año. El código javascript se puede usar para trabajar sobre contraseñas, y Johansen afirma que sería fácil introducir ese código en un anuncio y conseguir que los usuarios web llevaran a cabo el trabajo necesario sin ser conscientes de ello.
 
Johansen señala que tomando el coste típico de los anuncios en línea -unos 50 centavos de dólar (unos 37 céntimos de euro) por 1.000 visitas- con 500 dólares (unos 370 euros) tienes bastante para conseguir un millón de contribuyentes. La pareja de investigadores planea probar el ataque contra servidores Web más potentes que sí tienen instaladas protecciones contra ataques de negación de servicio.
 
Grossman explica que la pregunta más difícil que plantea la técnica no es cómo resolverla, sino quién es culpable de la vulnerabilidad. Al contrario que la mayoría de los nuevos ataques presentados en Black Hat, no se hace posible por un fallo de una única persona en la tecnología de la empresa. Tanto las redes de anuncios como los diseñadores de los navegadores y los protocolos web permiten este tipo de ataque, afirmó.
 
"¿De quién es el problema? Realmente no lo sabemos". Los usuarios engañados por un ataque de este tipo se pueden apartar de este follón usando software para bloquear anuncios y javascript, explica Grossman.
 
Jeff Debrosse, director de investigación en seguridad en la empresa de seguridad en línea Websense, se mostró menos ambiguo respecto a quién debería enfrentarse al tema. "Quienes deben poner remedio a esta posibilidad son las redes de anuncios", afirmó, señalando que esta nueva investigación demuestra que las redes de anuncios que bloquean el código a medida tienen razón al hacerlo.
 
Como los ataques hacen un uso de características de diseño legítimas de la Web, las medidas de seguridad existentes podrían tenerlo muy difícil para detectarlos, explica Debrosse. "El código javascript solo se ejecuta en el momento de verse el anuncio", comenta. "Si una herramienta de seguridad visita el URL cuando no está sirviendo el contenido, lo más probable es que marque el sitio como limpio".

http://www.laflecha.net/canales/blackhats/noticias/ocultando-malware-en-los-anuncios-online-para-lanzar-ciberataques

Gracias a un pequeño artilugio que se conecta al puerto USB de nuestro ordenador, podremos volver a disfrutar de los viejos cartuchos de juegos clásicos que tenemos en casa. Retrode es el nombre del invento que nos permitirá volver a jugar a muchos de los juegos míticos de Super Nintendo, MegaDrive, Master System, Nintendo 64 y varias consolas más gracias a sus adaptadores.

SmartZona, nuestro portal especializado en electrónica de consumo y lifestyle, nos revela la existencia de Retrode, un pequeño dispositivo que se conecta a nuestro ordenador y nos permite utilizar los cartuchos de muchas de las consolas clásicas. Es una de las pocas formas legales de volver a jugar a los juegos de antaño, salvo utilizando la consola original, ya que las roms que encontramos por Internet no son completamente legales.

Retrode se conecta al puerto UBS del ordenador y es compatible con Windows, Mac y Linux. Una vez hayamos conectado el dispositivo e introducido un cartucho de juego, Retrode creará una copia de seguridad legal en el ordenador, con la posibilidad de recuperar incluso las partidas guardadas. Una vez creada la Rom, esta puede utilizarse con cualquiera de los emuladores que encontramos en el mercado.

http://smartzona.es/wp-content/uploads/2013/09/retrode-1.jpg

En principio, el dispositivo permite utilizar los cartuchos de Super Nintendo y Mega Drive, aunque existe la posibilidad de adquirir adaptadores de muchas consolas. Entre los adaptadores destacan el de Nintendo 64, GameBoy y Master System. Además dispone de puertos para poder jugar hasta cuatro personas al mismo tiempo con los mandos originales de la consola, ya que dispone de puertos especiales.

http://smartzona.es/wp-content/uploads/2013/09/retrode-2.jpg

Retrode se puede conseguir desde su página web y existen dos versiones de 65 euros y otra de 100 euros, más estilizada y con un mejor diseño. También podremos comprar los diferentes adaptadores que nos permiten ampliar las posibilidades del dispositivo. ¿Qué os parece Retrode, el dispositivo que nos permite jugar a nuestros juegos clásicos?

http://www.adslzone.net/article12456-retrode-vuelve-a-disfrutar-de-mejores-videojuegos-de-las-consolas-clasicas.html

Tres presentaciones llevadas a cabo durante la conferencia de seguridad informática Black Hat en Las Vegas (EE.UU.) este mes de agosto revelaron vulnerabilidades en los sistemas de control utilizados para administrar la infraestructura de energía, como por ejemplo las tuberías del gas. Los resultados se añaden a otros anteriores y vienen a decir que estos sistemas siguen siendo peligrosamente susceptibles ante ataques informáticos que podrían tener consecuencias devastadoras, y aunque los investigadores han propuesto correcciones para cada defecto que han identificado, advierten que, en su conjunto, la infraestructura industrial sigue siendo lamentablemente vulnerable.

Las vulnerabilidades se suman a una creciente lista de problemas identificados gracias a un reciente aumento en la investigación sobre la seguridad de los sistemas industriales. Los progresos para corregir estos problemas de seguridad han ido muy lentos, debido en parte al mal diseño de los sistemas existentes, y en parte a la falta de incentivos para corregir los errores rápidamente.
 
El jueves se programó una demostración durante la que se pulverizó agua al público procedente de un componente de una réplica de una planta de agua al que se había forzado para estar por encima de su presión normal. Otra mostró cómo los sensores inalámbricos normalmente utilizados para supervisar las temperaturas y presiones de oleoductos y otros equipos industriales podrían manipularse para dar lecturas falsas que engañen a los controladores automáticos u operadores humanos para que tomen acciones que provoquen daños. Una tercera charla explicará con detalle los fallos de la tecnología inalámbrica utilizada en 50 millones de contadores de energía en Europa, que permiten espiar el uso de energía en el hogar o en las empresas e incluso imponer apagones.
 
Las autoridades estadounidenses han advertido con frecuencia que las vulnerabilidades en los sistemas de control industrial podrían permitir ataques dañinos a la infraestructura pública que resultarían en cortes de energía, daños ambientales o incluso la pérdida de vidas.
 
Todos los ataques que se mencionaron el jueves requieren muchos menos recursos y habilidades que los que se requirieron para el ataque más conocido a un sistema industrial, la operación Stuxnet de Estados Unidos, y apoyada por Israel, contra el programa nuclear de Irán.
 
"Hemos hecho demostraciones de varias situaciones que provocarían una crisis catastrófica, como la explosión de una tubería o el desbordamiento de un tanque, y al mismo tiempo hemos enviado una imagen de la situación completamente diferente al controlador", afirma Brian Meixell desde Cimation, una empresa de seguridad de Texas (EE.UU.), que llevó el componente de la réplica de la planta de agua para demostrar las vulnerabilidades descubiertas.
 
Junto a su colega Eric Forner, Meixell se aprovechó de un protocolo llamado Dbus que se ha utilizado para el control de equipos industriales desde la década de los 70 y todavía se utiliza ampliamente hoy día, a menudo en dispositivos conectados directamente a Internet. Diversos escáneres de direcciones IP públicas han revelado que al menos 90.000 dispositivos de control industrial están en línea y son vulnerables a este tipo de ataque, afirma Forner. Dbus no tiene claro por qué nadie de los que lo usan dentro de la industria ha tenido como prioridad hacer que sea seguro, afirma Meixell.
 
Lucas Apa, investigador de IOActive, afirma que esta actitud también es la base del fallo que él y su colega Carlos Mario Penagos encontraron en sensores inalámbricos usados para supervisar la infraestructura de petróleo, agua, energía nuclear y gas natural. Los tres principales proveedores de esos sensores los han diseñado para que puedan dar lecturas falsas, o incluso ser cerrados con un transmisor de radio de 40 millas (64 kilómetros) de alcance relativamente barato, afirma Penagos. "Podemos mostrar el cierre total de la planta", afirma.
 
Ese problema, y ​​el descubierto por el equipo de Cimation, es ahora conocido por las empresas que fabrican los equipos, y también por las empresas industriales y de infraestructura que los compran, gracias a un programa de intercambio de datos administrado por el Departamento de Seguridad Nacional de EE.UU.. Ese programa, llamado ICS-CERT (siglas en inglés de Industrial Control System Cyber Emergency Response Team), comparte datos de reciente publicación sobre vulnerabilidades con las empresas afectadas y los operadores industriales.
 
Sin embargo, solo porque ICS-CERT ponga de relieve un problema no significa que se arregle rápidamente.
 
Apa asegura que espera que muchos sensores sigan siendo vulnerables a su ataque inalámbrico a pesar de la acción del ICS-CERT, puesto que arreglarlos requiere conectarse físicamente con los sensores para actualizar su software. "Puesto que los dispositivos se utilizan en zonas de riesgo, puede ser muy difícil acceder a ellos", afirma, y algunas compañías tienen cientos de sensores o incluso más.
 
Sameer Bhalotra, exdirector de seguridad cibernética en la Casa Blanca durante la administración Obama y ahora director de operaciones de la empresa de seguridad web Impermium, señaló a MIT Technology Review que aunque el ICS-CERT funciona bien, no acelera el progreso en materia de seguridad industrial. Por el contrario, empresas de software como Microsoft se han convertido en expertas en poner parches a las vulnerabilidades rápidamente, hasta el punto de que hoy día es raro encontrar grandes defectos, asegura Bhalotra. Las compañías que fabrican equipos y software de control industrial nunca han tenido que preocuparse mucho por la seguridad, por lo que no son capaces de generar parches rápidamente, o hacer cambios de diseño importantes. "Hoy día no se está llevando a cabo nada bien organizado", afirma. "Las compañías tendrán que mejorar y ser más rápidas a la hora de poner parches, y eso va a llevar tiempo".
 
Una razón por la que el proceso es tan lento es la falta de incentivos claros, explica Bhalotra. La ley actual no hace que los operadores de energía o los fabricantes de sistemas de control sean responsables de las consecuencias de la falta de seguridad, como los daños causados por una explosión o un apagón prolongado. Solo la introducción de una nueva legislación para aclarar la cuestión de la responsabilidad hará que probablemente se acelere la evolución de la seguridad de los sistemas de control industrial, afirma Bhalotra.

http://www.laflecha.net/canales/blackhats/noticias/piratear-sistemas-industriales-para-provocar-danos-fisicos-es-cada-vez-mas-facil