Heartbleed. Conoce este grave fallo en Seguridad y como nos afecta a todos

 

La web esta alerta el día de hoy, debido a la aparición de una nueva brecha de seguridad, denominada “Heartbleed”. Hoy, veremos de que se trata, y que es lo que podemos hacer para estar a salvo y evitar el robo de data / información.

Es, de hecho, uno de los problemas de seguridad más grandes que hemos visto en los últimos años. Bruce Schneier, experto en seguridad tecnológica, ha catalogado a lo sucedido como catastrófico.

 

¿Que es Hearbleed?

Es el nombre dado por investigadores a un “bug” o error en la web. El motivo del pánico, es que a través de este bug, cualquiera con los conocimientos necesarios puede entrar en servidores seguros corriendo ciertas versiones del protocolo OpenSSL, robándose las llaves de encriptacion, passwords e incluso contenido.

Conocen el pequeño candado que aparece cada vez que nos encontramos en un sitio seguro, como nuestro email, o de repente la cuenta bancaria? Este es el protocolo OpenSSL en acción. Y este es el que se ha visto comprometido ahora con este bug.

Una vez que el atacante se hace con las claves de encriptación, a menos que el servidor las cambie, es “Game Over”; en lugar de tener que entrar por la “puerta falsa”, por un agujero de seguridad, la persona con dichas llaves podría entrar por la puerta frontal.

Una vez que se obtiene acceso, el atacante puede robar data directamente de la memoria de los servidores. Así es, el atacante puede agarrar bloques de 64K de la memoria, sin dejar huella. Y este bug no es nuevo, ha estado en OpenSSL desde hace dos años.

El problema es que este bug no deja ningún tipo de rastro, por lo que es imposible, de momento, saber que páginas han sido afectadas. Se calcula, sin embargo, que medio millón de websites son vulnerables. Pueden obtener muchos más detalles sobre Heartbleed aquí

 

 

¿Que información puede ser robada por este ataque?

 

 

Prácticamente todo. Una vez que es obtienen las llaves de encriptación, es posible obtener:

  • Nombres de usuario
  • Contraseñas
  • Mensajes privados
  • Documentos críticos
  • Emails

Y todo, sin dejar huella alguna detrás del ataque. Es decir, no sólo hackers, sino centrales de inteligencia, entidades gubernamentales y demás, pueden haber estado leyendo nuestras comunicaciones e interacciones realizadas en varios de los websites afectados.

¿Qué websites se han visto afectadas?

 

 

Esto es quizás lo más alarmante. A la fecha, 627 de las top 10,000 páginas a nivel mundial sigue siendo vulnerable. OpenSSL es sumamente popular, y es usado en millones de páginas que quieren ofrecer cierta seguridad / encriptación de datos. El 66% de la web lo utiliza para proteger servidores de correo, de chat, redes privadas virtuales y más. Aquí una lista completa, pero encontrarán a muchas websites conocidas, como: Yahoo, Flickr, 500px, imgur, que aún son afectadas por el bug.

Algunas de las más populares páginas como Facebook, Google, Wikipedia o Amazon no están actualmente vulnerables, pero pudieron haberlo estado en algún momento en el pasado, pues lo peor, es que Heartbleed ha estado latente e indocumentado por más de dos años, así que no conocemos las magnitudes de la filtración de información causada por este bug.

¿Qué hacer al respecto?

 

 

Como usuarios de varios de los servicios afectados, debemos tener los siguientes pasos en consideración

  • No usar los servicios que aún no hayan sido parchados
  • Cambiar las contraseñas de los websites que consideremos más importantes, pero sólo si sabemos que el website no es vulnerable. De lo contrario, nuestro nuevo password igual podría verse comprometido.
  • Activar la verificación de dos pasos en los servicios que lo ofrezcan, empezando por Gmail. Este ataque es una clara demostración de que no podemos depender de una sola medida de seguridad, como un passwords. La verificación de dos pasos, que vimos en detalle aquí, añade un importante bloque de seguridad extra.

Aparte de esto, lamentablemente, no hay mucho que podamos hacer; todo depende de que los servicios y websites afectados parchen la vulnerabilidad de OpenSSL. Quieren saber si el website que frecuentan, o el suyo propio, esta afectado? Esta herramienta es capaz de informarnos .

<

p> 

Pero tenemos que asumir que parte de nuestra información privada, puede haber quedado expuesta.

 

Reemplazos para iGoogle: My Yahoo es una excelente alternativa al desaparecido servicio de Google

Screenshot 2013 11 01 15 23 55

Hoy, primero de noviembre, se marca la desaparición de otro servicio más del gigante de la búsqueda. Y si bien iGoogle – la página de inicio personalizable que Google lanzó en mayo del 2005 – no tenía tantos adeptos como, digamos, Google Reader, conozco a varias personas – entre ellas, mi padre – que extrañarán bastante el servicio.

Y es que se trataba de una manera sencilla de darle un vistazo a todo lo que resultaba relevante, para uno, en una sola pantalla de inicio; idea que estuvo bastante de moda durante el 2006 / 2008, donde varias compañías (cono Pageflakes, Netvibes, el mismo iGoogle) luchaban por convertirse en nuestra página de inicio. Era una manera sencilla para que cualuier persona, no sólo los geeks, pudiesen tener acceso a información, de manera centralizada, en un sólo lugar. Algo definitivamente mucho más sencillo que RSS.

Y si bien ahora Facebook se ha convertido en la fuente de noticias para la gran mayoría, existe todavía un número de personas que se niega a abandonar la conveniencia de un servicio como iGoogle. Para ello, estaremos presentándoles alternativas; no de porrazo, sino poco a poco, para que puedan ir probándolas.

La primera – y en mi opinión, la mejor, de momento – es My Yahoo. Así es. Yahoo. 

Screenshot 2013 11 01 15 28 12

Desde que Marissa Mayer  tomara las riendas de Yahoo, ha estado convirtiendo a la compañía, olvidada en los últimos años, en una empresa tecnológica que nuevamente está dando que hablar. Prueba de esto es el excelente rediseño de Flickr que ha atraído a muchos usuarios nuevos y antiguos al servicio; el rediseño de Yahoo mail que lo pone nuevamente como competencia frente a Gmail y ya no sólo como un repositorio de spam. Y ahora, ha hecho lo mismo con My Yahoo, una alternativa excelente a iGoogle, dado a que nos brinda una experiencia muy similar.

Screenshot 2013 11 01 15 32 12

Con My Yahoo, podemos añadir una revisión rápida de nuestras cuentas de correo (sí, incluyendo Gmail) para no tener que tener una pestaña abierta aparte. Además, podemos agregar diversas fuentes de noticias para poblar nuestras mañanas y tardes de información. Datos sobre el clima en un Widget bastante atractivo, y más.

 Screenshot 2013 11 01 15 32 45

Contamos también con diversas pestañas que podemos configurar a gusto, añadir fuentes a través de Feeds RSS, y mucho, mucho más. Carece aún de la cantidad de widgets que tenía iGoogle, pero por eso es justamente una esperiencia más centrada en recibir notificias; una suerte de RSS client para los demás, que también está integrado al clima y nuestro email.

 

Screenshot 2013 11 01 15 33 20

Y lo más importante? Es un digno reemplazo a iGoogle. Pueden probar My Yahoo desde aquí

Cómo configurar el acceso POP3 y IMAP en el nuevo correo de Yahoo!

Yahoo-Mail

Yahoo! acaba de celebrar su aniversario número 16 de su servicio de correo, es por eso que ha mostrado un nuevo y esperado rediseño a su servicio, esto ha hecho que muchas personas vuelvan a usar el servicio o a crear una cuenta nueva.

Pues si ya tienes tu nueva cuenta de Yahoo! y quieres configurarlo con alguna aplicación para descargar los correos, puedes hacer la configuración POP3 y hasta con IMAP, está funcionalidad antes era solo disponible para las cuentas pagadas, pero ahora está disponible para todos.

Si necesitas configurar tu nuevo correo de Yahoo! con Outlook o Thunderbird u otras cuentas de email

w640

La siguiente configuración es la oficial para POP y IMAP para Yahoo! mail, debes especificar tu nombre de usuario completo, es decir tu correo de Yahoo! que debe ser el específico, si es Yahoo.es o Yahoo.com.

POP3 servidor para recibir:

  • Server: pop.mail.yahoo.com
  • Port: 995
  • SSL: SSL/TLS

IMAP servidor para recibir:

  • Server : imap.mail.yahoo.com
  • Port: 993
  • SSL: SSL/TLS

Servidor de salida SMTP:

  • Server: smtp.mail.yahoo.com
  • Port: 465
  • SSL: SSL/TLS

Asegúrate de especificar bien cual es el puerto y activar el SSL y TLS en la configuración avanzada.

w640 (1)

Cuando termines de configurarlo podrás recibir tus correos de Yahoo! en tu computadora y leerlos sin necesidad de tener conexión a internet.

Yahoo Mail se rediseña con nuevo look, nuevas apps, vista de conversaciones, 1 Terabyte de almacenamiento

Screenshot 2013 10 08 15 35 16

Hoy martes, Yahoo ha lanzado un importante rediseño a su servicio de correo electrónico, tanto en la Web, como en su aplicación móvil para iOS y Android. Algo que resalta inmediatamente, es la gran similitud que tiene el nuevo aspecto de Yahoo Mail con Gmail; con un menú a la izquierda con nuestras carpetas, y una lista de correos a la derecha.  O al menos, con el Gmail antiguo, cuando teníamos una interfaz más sencilla que la actual (con diferentes pestañas en la parte superior).

Aquí un video:

 

 

Esta nueva versión trae la posibilidad de utilizar una imagen de Flickr en alta calidad como fondo, además de tener hasta un terabyte de almacenamiento gratuito en el servicio (gran diferencia frente a los 15 GBs dados por Gmail).

Otra gran mejora, es que Yahoo Mail también implementa un “Conversation View” que facilita seguir el hilo de las conversaciones, además de facilitar todo el proceso de añadir archivos adjuntos a correos.

En resumen, un interesante nuevo cambio de look para Yahoo Mail, y otro servicio que parece estar reviviendo, poco a poco, de sus cenizas. Pensábamos que Yahoo era una marca moribunda pero, desde que Marissa Mayer tomó las riendas como CEO de la empresa, no sólo parece una compañía nueva, de hecho nos recuerda bastante a todo el espíritu de una startup; atrevida, atractiva, y con rápidos cambios y mejoras. De hecho, nos recuerda un poco a lo que Google fue alguna vez, en su momento. 

Este rediseño de Yahoo Mail estará disponible hoy para todos en iOS, Android, Windows 8 y la Web.