La importancia de una contraseña robusta

La importancia del password como método de demostración está basado en los principios de la autenticación, que dictan el uso de al menos un factor para poder probar el reclamo de una cuenta. Este factor puede ser algo que el usuario tenga (Smartcard, hard token), algo que el usuario "sea" (voice recognition, face recognition, fingerprint) o algo que el usuario sepa, como un PIN o password. El principio básico de la seguridad informática se resume en el reclamo de una cuenta y en la demostración de que quien la está reclamando es el verdadero dueño de esa cuenta. Para ello existen diferentes soluciones de Identity Management o Secure Sign In, que ocupan diferentes métodos como Single Sign On, o One Time Password entre otros. La combinación de diferentes caracteres en una contraseña constituye un espacio clave, que se puede calcular con la siguiente fórmula: C^N(CN). Donde C es la cantidad de caracteres posibles utilizados, y N es la longitud de la contraseña.

Por ejemplo, una contraseña de 6 caracteres que usa solo letras minúsculas (26 letras posibles) se calcula como 26^6 (26*6), o 48,190,861,056 posibilidades. Cambiemos esto a una contraseña de 8 caracteres, siempre con minúsculas nada mas, y el valor es 26^8 (26*8), o alrededor de 43,436,029,431,808 posibilidades. Aunque parece una gran cantidad de posibilidades, existen herramientas para descifrar contraseñas que pueden probar más de 20 mil millones de contraseñas por segundo en computadoras de escritorio con un procesador de gráficos de alta gama. Un hacker podría descifrar una contraseña de 8 caracteres, ojo, solo utilizando caracteres en minúsculas, en menos de 40 minutos. Sin embargo, si usa los 94 caracteres imprimibles (26 mayúsculas, 26 minúsculas, 10 números y 32 caracteres especiales) con las mismas longitudes de contraseña de 6 y 8 caracteres, los valores cambian significativamente: 94^6 (94x6) son aproximadamente 389,086,556,515,584 de posibilidades, y 94^8 (94x8) es aproximadamente 4583958417828933632. La herramienta de descifrado de contraseñas que descifra una contraseña de longitud 6, en minúsculas, en 40 minutos le llevará, aproximadamente 7.3 años descifrar una contraseña de 10 caracteres con los cuatro tipos de caracteres posibles. Los expertos en seguridad a menudo mencionan que, si hace una contraseña demasiado compleja, la hace menos segura. Así como lo leyó. Más complejidad equivale a menos seguridad. Esto se debe a que los usuarios tienen problemas para recordar contraseñas demasiado complejas como 5>qiPlHsX* y es más probable que las escriban en algun lugar, un post-it pegado al monitor, por ejemplo. Una contraseña escrita en papel o almacenada en un archivo en la computadora de un usuario reduce significativamente la seguridad y mas bien deja una brecha abierta. En cambio, se recomienda a los usuarios usar frases clave. En lugar de cadenas de caracteres sin sentido, una frase de contraseña, que es una larga cadena de caracteres que tiene significado para el usuario. Algunos ejemplos de contraseñas fuertes podrian ser: iL0veMyJ0b+, 1L0veThi$G@me o Th1$15mYP@$$.

Hay que hacer hincapié que estos ejemplos incluyen los 4 tipos de caracteres: letras mayúsculas, minúsculas, uno o más números y uno o más caracteres especiales. Estas contraseñas también se conocen como frases de contraseña porque son una combinación de palabras que son más fáciles de recordar que una cadena sin sentido de caracteres como 4*eiRS @ <]. Las contraseñas seguras nunca incluyen palabras que se puedan adivinar fácilmente, como el nombre de un usuario, palabras en un diccionario (en cualquier idioma) o combinaciones consecutivas de teclas comunes como 123abc, abcdef, o qwerty. Esta es una adaptación de un texto encontrado en internet, en ingles, del que no pude encontrar la referencia, pero me pareció importante tropicalizar el texto y los ejemplos a unos que pudiéramos comprender.

Analisis del Correo: Irregularidades encontradas en su NIT Fiscal (Phishing)

Desde hace unos cuantos dias el correo con Subject: Irregularidades encontradas en su NIT Fiscal, ha estado llegando a muchas bandejas de entrada de muchos buzones de correos de los salvadoreños y salvadoreñas.

Este, hace referencia a un mail proveniente aparentemente del Ministerio de Hacienda de El Salvador.
Por que lo de aparentemente?

Veamos, el remitente del correo es asistencia.dgii@mh.gob que a simple vista es de una de las tantas dependencias del Ministerio de Hacienda,  el dominio del remitente del correo es mh.gob, que no es el mismo que el dominio oficial del mh.gob.sv.
Exacto el sub dominio SV hace la "pequeña gran diferencia".
Tambien he podido ver que el remitente sea mh.gov.sv, de la misma forma es diferente al dominio del que es propietario dicha entidad.

Entrando al cuerpo del mensaje, podemos observar que lleva una advertencia sobre la declaracion del impuesto sobre la renta de la posible victima.

Ya en la parte inferior ofrecen dos enlaces en los cuales el usuario puede consultar su declaracion para poder realizar la correcion de su problema.

Estos enlaces redirigen a un conocidio share file, como lo es mega.co.nz

Ya dentro del sitio de almacenamiento de archivos podemos encontrar un archivo .RAR con un nombre muy sugestivo y creible, que nos puede convencer de que todo el aparataje montado es verdadero
.

Al descargar este archivo al equipo de la posible victima es muy probable que su antivirus no lo detecte pues va encapsulado en unarchivo .RAR y no todos los antivirus tienen la capacidad de analizar tan profundamente este tipo de amenazas.

Una vez descargado el archivo podemos ver algo muy curioso, el nombre del archivo tiene una extension .PDF pero si usted tiene la vista de los archivos tipo detalles, el Sistema Operativo identifica el archivo como un archivo tipo Scree Saver. Desde ahi podemos decir que ya no tiene logica este procedimiento.

Obviamente al hacer doble clic sobre el, se ejecuta el malware que maliciosamente ha sido oculto en este archivo.

A todo este metodo de engaño se le denomina: PHISHING o Suplantacion de Identidad y hacen que creamos que la forma en que nos envian un archivo adjunto provenga de un remitente confiable, en este caso el Ministerio de Hacienda.

En mi caso, al trabajar con todas las herramientas de McAfee (muy pronto Intel Security, pues fue comprado por INTEL) no podia quedarme hasta aca, y les comento lo siguiente:

El Virus Scan Enterprise de McAfee si detecto el archivo como una amenaza, solo que no lo puede identificar como un virus determinado.

Entonces, para estos casos hay una herramienta gratuita llamada GetSusp (GET SUSPICIOUS) y puede ser descargada de:
http://getsusp.mcafee.com/
y pueden ver como usarla en:
http://www.mcafee.com/us/downloads/free-tools/how-to-use-getsusp.aspx

Esta herramienta realiza un escaneo en su equipo tratando de obtener muestras de posibles amenazas o archivos sospechosos y los resultados son enviados de forma automatica a McAfee Labs para su analisis.

Pero eso no se queda hasta ahi, si el archivo no es identificado como un virus determinado, como en el caso de este, McAfee realiza un analisis exhautivo e incluso puede generar un Extra DAT (Vacuna o Archivo de Firmas) especifico para la amenaza presentada.

Este fue el caso para la muestra que subi de este archivo:

Se genero un Extra DAT y antes de las proximas 48 horas iba a ser añadido a las firmas globales para que fuera enviado de forma automatica a todos los usuarios de la suite McAfee.

Asi que si son usuarios del VirusScan de McAfee esten seguros que SI, estan protegidos.

Cualquier duda, consulta o comentario, siempre será un gusto.

Oscar Sanabria

"INSTALAR MICROSOFT OFFICE" en iPhone/iPad

Lo que muchos usuarios nos preguntamos al apenas adquirir un iDevice (dispositivo manufacturado por Apple), es si podemos tener Microsoft Office en la misma. La respuesta es: Si, aunque depende del punto de vista que se quiera ver.

Para poder "instalar" o, como lo veremos en las próxima lineas, tener el Microsoft Office en el iDevice vamos a ocupar una aplicación gratuita llamad CloudOn.

CloudOn como ya comentaba  es una aplicacion gratuita creada para iOS y tambien para Android, y puede ser instalada desde la App Store o el Google Play.

El truco de esta aplicacion es que no trabaja de forma local en el dispositivo, sino que en la instalacion configuramos un cliente CLOUD del que seamos usuarios (Google Drive, SkyDrive, DropBox... la app muestra las opciones que soporta), previo al registro de nuestra cuenta., para permitir la conexión de CloudOn y podamos almacenar en nuestra nube seleccionada.

El único detalle es que para poder ocupar CloudOn debemos estar conectados a internet permanentemente, ya que no almacena datos de forma local sino en la nube.

MEGAUPLOAD?? Ya no, hoy es MEGA!!

El Sábado 19 de Enero a las 11:48 se cumplió un año de la clausura de MEGAUPLOAD, un host de alojamiento de archivos (entiéndase como un storage o cloud storage) que usted, yo y muchos millones alrededor del mundo utilizamos mas de alguna vez para obtener alguna descarga.

Ese mismo 19 de Enero, a la misma hora, exactamente un año después, Kim Dot Com (kim.com) propietario del extinto MEGAUPLOAD, tras pasar muchos líos con la justicia, en especial el FBI, Lanzó la muy esperada plataforma MEGA (http://mega.co.nz/), sucesora del antiguo servicio de alojamiento de archivos, cumpliendo el mismo objetivo: Subir, compartir y descargar archivos.

Con una simple pero esperada frase: "Bienvenidos a mega.co.nz", Kim anuncio la apertura del nuevo servicio. La respuesta de los usuarios fue mucho mayor de lo que se esperaba, en los primeros 10 minutos de funcionamiento  habían saturado un ancho de banda de 10 Gbps (el promedio de una conexión en nuestro país es de 512 kbps - 1 Mbps), El funcionamiento en las primeras horas fue con mucha lentitud debido  a los mas de 100000 usuarios registrados en los primeros 60 minutos, sin duda alguna ha sido el lanzamiento de un servicio que ha crecido mas rápido en la historia del Internet.

Esta nueva herramienta permite un almacenaje de 50 GB de forma gratuita a los usuarios, lo que unido a la velocidad máxima de descarga, promete hacer de este servicio uno de los mayores servicios de almacenamiento disponibles en la Red. Habrá tres formas de pago: por 9.99 euros al mes, 500 GB y 1 TB de transferencia, un precio que se incrementará a  19.99 euros si multiplicamos por cuatro la descarga (2 TB con 4TB de transferencia) y 29,99 euros con 4 TB y 8 TB de transferencia.

Antes del lanzamiento de Mega, se hizo público lo que diferenciaría a este nuevo servicio de su antecesor (MEGAUPLOAD). Los archivos compartidos serán encriptados por el propio usuario antes de que lleguen a los servidores de MEGA, lo que hará que no sepa qué archivo ha subido ese usuario. La encriptación se hará de forma sencilla, a base de 'clics', y desencriptar los archivos a base de claves recibidas en el e-mail.

Como subir archivos a MEGA?

Antes de todo, Kim Dot Com "sugiere" ocupar como navegador al Chrome de Google, vaya usted a saber que alianza han creado estos monstruos del Internet. Si usted no ocupa Chrome, al nomas ingresar MEGA le recordara que su "oficial partner" es el navegador de Google. Y sinceramente es con el que mejor funciona.

Para comenzar hay que aclarar que no hay que instalar absolutamente nada en el computador, toda la infraestructura esta en la red como una IaaS (Infraestructure As a Service), simplemente hay que crear una cuenta de usuario y ya.

Una vez tengamos nuestra cuenta tenemos a nuestra disposición hasta 50 GB para almacenamiento.
Para subir archivos existen dos métodos.
Primero podemos optar por hacer clic sobre el botón en forma de nube que dice "Subir". Si utilizamos Chrome tendremos la ventaja de poder subir archivos individuales o carpetas completas.

Y la segunda forma es arrastrar los archivos desde su ubicación hacia la interfaz de MEGA.

Luego de escoger los archivos que se van a cargar veremos de forma inmediata una tabla de estadísticas en la parte inferior de la interfaz, donde podemos ver datos como, el tamaño, el tiempo de carga, tiempo restante, velocidad, etc.

No existe limite en el tamaño de los archivos que se pretenden subir, el limite es únicamente el tipo de cuenta, así pues, los mortales podemos cargar hasta 50 GB.

Con lo antes escrito queda claro que MEGA no viene a ser "otro servicio de storage", sino que quiere ser el "Servicio de Storage" con mas usuarios, mas conocido y de mejor reputación, para muestra su lema.
MÁS GRANDE, MÁS RAPIDO, MEJOR Y 100% SEGURO”.

PD. De los servicios de almacenamientos comerciales actualmente en linea, cual prefiere?
Escoja su respuesta en la encuesta de la derecha.

Instala un emulador de Android en tu PC

Diversificando un poco la temática,  el día de hoy vamos a instalar paso a paso un emulador de Android en nuestra PC (yo lo hice para Windows 7); Que vamos a lograr con ello?? Simplemente vamos a poder instalar aplicaciones (apps) para el sistema operativo Android en nuestro equipo y que estas sean 100% funcionales.

Comenzamos:

• Entramos en la siguiente url  http://www.bluestacks.com  Esto nos dirigirá a la pagina de descargas del emulador que vamos a ocupar (es 100% gratis) y damos clic en DOWNLOAD, la descarga comenzara de forma automática.

• Si estas ocupando Chrome, con CTRL+J podemos verificar que la descarga en efecto se esta realizando. Una vez descargada desde el control de descargas o la ruta donde ha sido descargado el ejecutable de nuestro emulador, hacemos doble clic para que comience el proceso.

• La primera pantalla del proceso es Aceptar los términos de la licencia del emulador (nada fuera de lo normal) y hacer clic en siguiente.

• Luego de esto comienza el proceso de validación de la firma digital del emulador (nada que nos interese), dependiendo de los recursos de tu computadora esto se puede llevar mas o menos tiempo, una vez finalizado hacer clic en siguiente.

• En este paso es donde al fin comienza la instalación del emulador en nuestro equipo y el ultimo antes de disfrutar de el. Es recomendable que las casillas estén marcadas.

• Antes de finalizar el proceso se ejecuta el emulador mostrando la pantalla siguiente.

• El proceso de instalación finaliza dando clic en el botón "FINALIZAR" del siguiente formulario.

• Una vez instalado el emulador podemos disfrutar de el tal cual fuera un dispositivo móvil (smartphone o tableta) con sistema operativo Android. Y claro que podemos descargar aplicaciones para el, en este caso estoy bajando el Whatsapp (Mensajero multimedia y multiplataforma) para después proceder a instalarlo.

Así finalizamos el proceso de instalación del emulador. En próximas publicaciones veremos la instalación y uso de algunas aplicaciones fundamentales para nuestros dispositivos.

Saludos

iPhone 5, iOS 6, Apple Maps... Son el principio del fin de Apple??

A actualizarnos un poco.

Que ha pasado en los últimos días.
El 12 de septiembre fue lanzado oficialmente el iPhone 5, el cual como siempre ha pasado fue develado poco a poco con adelantos de fotos y vídeos de sus principales características: Que una pantalla más grande, un procesador A6 como el de la nueva iPad, un conector más pequeño y al cual no le importa la posición en la que sea introducido, una cámara con nuevas funciones etc.

Y que decir del iOS 6 que paralelamente vio luz el mismo día. Con la novedad de Apple mapa el "El más potente servicio de mapas del momento" esto según el mismo Tim Cook, CEO de Apple y sucesor de Steve Jobs. Un asistente por voz SIRI en español (al fin un año después), un teclado en español (al fin en español, con la ñ incluida) etc.

Pero a pesar de todas estas novedades, todo el esfuerzo de la empresa de la manzanita; Como siempre se han presentado ciertos problemas tanto de software como de hardware así pues los mapas de Apple no han sido los esperados, han presentado fallas garrafales en cuanto a la cartografía y geografía (y como no si Google le lleva 7 años de ventaja en cuestión de mapas, ademas Cook ya reconocio los errores en una carta publica http://ow.ly/e5Ceq ), perdida de señal con el operador, fallas en la conexión wi fi, aumento del consumo de la batería  rayones y arañazos en la carcasa de acero con grafito anodizado (viniendo estos de la fabrica con caja sellada), problemas con la cámara, etc.

Y sus detractores (tanto Android Users como Anti Apple) se han dado a la tarea de sacar a relucir cada uno de sus defectos, y es normal, pues el merchandising ha hecho mas marcada esa diferencia entre Apple con las medas empresas... Siempre hay que tratar de vencer al mas grande.

Como usuario de Apple y iDevices actualizados a la versión iOS 6.0 les puedo mencionar que si hay errores en los mapas, he tenido ciertos problemas con la señal de mi operador, la batería y el wi fi han funcionado de lo mas normal. Pero que es lo bueno de usar un iDevice, que se siente la calidad del producto con solo tenerlo en las manos indiferentemente si es un iPod, una iPad o un iPhone, y que el dispositivo se lo transmite a su dueño (sus precios lo dicen todo).

Muchos van a decir que Steve Jobs (a casi un año de su muerte 05/10/2012) y Apple no inventaron nada... No inventaron el mp3, los smartphones o las tabletas... Pero nos hicieron pasar de un: Ahh yo tengo uno de estos, a, Yo no puedo vivir sin ninguno de estos!!

Como amante de la tecnología y usuario de Apple (iPod, iPhone, iPad), Android (Samsung Galaxy Tab 7) y Blackberry OS (Blackberry Torch) puedo decir con firmeza que los productos Apple están un peldaño arriba de los demás  y es que la esencia puede estar en que el iOS esta diseñado para funcionar con un iDevice y Android tiene que adaptarse a un sin numero de dispositivos que nunca son iguales.

Para gustos colores....

Saludos

outlook.com??

Nunca creíste en las cadenas que decían que Hotmail iba a llegar a su fin? Pues no eres el único. Somos millones los que entramos en esa lista. Microsoft acaba de anunciar un “nuevo” servicio de correo electrónico gratuito con “un cierto aire” a Gmail. Recordemos que aparte de Hotmail, Microsoft, cuenta con distintos dominios de correo como Live.com. Pero este lanzamiento de Outlook.com es una manera de “sugerir” u “ofrecer” al usuario (sin carácter obligatorio pero con una interfaz interesante que  muchos usuarios querrán en su momento ocupar) un cambio con aires de frescura, algo nuevo.  Así como lo dicen en el blog oficial de Microsoft:

“Creemos que ha llegado el momento de reinventar el correo electrónico. Así que hoy, hemos introducido una versión de prueba de Outlook.com. Nos dimos cuenta de que teníamos que dar un paso audaz, romper con el pasado y construir un servicio completamente nuevo desde el principio. Ya conocéis la aplicación Outlook de escritorio, una de las más populares del mundo para leer el correo electrónico y gestionar el calendario. Y es posible que hayáis utilizado la aplicación web Exchange Server que utilizan las empresas. Ahora, además de una aplicación de escritorio y otra web para empresas, estamos ofreciendo un servicio de Outlook como correo electrónico personal – Outlook.com.”

Microsoft espera que la transición de dominio sea paulatina, de la forma mas sencilla posible… Y no va a ser de forma automática (por el momento).

1.    Para acceder a la nueva interfaz se debe ingresar a Outlook.com e ingresar el correo Hotmail y contraseña.

2.    En vista del gran tráfico de usuarios por el cambio, usar Outlook.com puede ser lento por momentos. Con el pasar de las horas, todo se normalizará.

3.    El cambio de dominio no es automático. Si desea que su correo @hotmail se convierta en @outlook.com, debe configurar manualmente. Para ello se debe ingresar a “Opciones (es el ícono de una tuerca) > Más opciones de configuración de correo > Cambiar el nombre de tu dirección de correo electrónico (este proceso no es instantáneo, puede tardar de unos minutos a unas cuantas horas).

4.    El cambio puede ser de dominio y nombre. Ejemplo: si su correo era 12345@hotmail.com, puede convertirlo a 12345@outlook.com o a 54321@outlook.com sin problemas.

5.    Tras el cambio puede elegir si los correos a tu antigua dirección de correo irán a la bandeja de entrada o a una carpeta nueva. Si eliges la opción 2, todos tus mensajes recibidos migrarán al nuevo directorio.

6.    En dicha carpeta se almacenarán los nuevos mensajes que se envíen a tu anterior correo.

7.    Los mensajes que enviaste antes del cambio no estarán en la nueva carpeta, sino en sección de mensajes enviados.

8.    Si nunca tuviste una cuenta Hotmail pero quieres estar en la nueva plataforma, debes ingresar a: Outlook.com > Registrar ahora > Ingresar los datos requeridos.

9.    Durante el cambio de dominio y/o nombre del correo todos los contactos se mantendrán.

10. La integración de Outlook.com con Skydrive, el calendario y otras aplicaciones se habilitarán en las semanas siguientes.

De igual forma la multinacional no ha pensado solo en el acceso via pc, también hay alternativas para los dispositivos móviles, incluyendo iDevices (iPod, iPhone, iPad) que es lo que nos interesa.

Para acceder desde el iDevice la opción mas fácil es entrar a través del navegador a www.outlook.com , ingresamos la dirección de email y el password y listo, estamos ya dentro de nuestra cuenta. Cabe mencionar que ya esta adaptada la versión web móvil, pero también la podemos ocupar con la vista del PC.

Pero lo mas indicado es configurar la cuenta desde la aplicación mail de nuestro iDevice:

•    Vamos a Ajustes.

•     Bajamos hasta Correo, contactos, calendario.

•     Pulsamos en Añadir cuenta.

•     Seleccionamos Hotmail.

•     Rellenamos los campos con nuestra dirección de correo electrónico y el password.

•     Por último, seleccionamos los datos que queramos sincronizar.

Listo!! De esta manera configuramos correctamente la aplicación en nuestro dispositivo. A lo mejor no vamos a tener todas las funciones que implemente Microsoft en la web, pero recibiremos los correos de la forma acostumbrada, mas comoda y junto con todas las cuentas que tengamos configuradas.

 
Sigueme @NetoSb