Autor: Jesús Amieiro

Google Chrome Canary incorpora la carga tardía o lazy loading

Publicado en por Jesús Amieiro

Google acaba de habilitar el soporte para la carga tardía (lazy loading) en la versión Canary de Chrome, la usada para probar nuevas funcionalidades.

Para acceder a la gestión de esta funcionalidad hay que escribir en la barra de direcciones:

chrome://flags/#enable-lazy-image-loading
chrome://flags/#enable-lazy-frame-loading

y habilitar ambas funcionalidades.

En las versiones actuales, Chrome carga toda la página cuando el usuario accede a una URL. Tras habilitar la carga tardía de imágenes y de frames, Chrome cargará todos los elementos visibles en la página, pero no cargará ni las imágenes ni los iframes que no estén visibles. Estos elementos se van cargando a medida que tengan que ir apareciendo en la página al ir haciendo scroll.

Esta funcionalidad fue diseñada inicialmente para Chrome para Android, pero también llega a la versión de escritorio. Los tests llevados a cabo por los ingenieros de Google indican una mejora en la velocidad de entre un 18% y un 35%.

Para aquellos webmasters que no quieran que en sus webs se lleve a cabo la carga tardía, Google está trabajando con el W3C en la definición de un nuevo atributo: lazyload.

<iframe src="https://www.example.com/a" lazyload="off"></iframe>

Biometría de comportamiento: los bancos y el comercio electrónico registra cómo escribes o tocas la pantalla

Publicado en por Jesús Amieiro

Ante las grandes fugas de contraseñas que se producen constantemente, los bancos y los comercios electrónicos están usando nuevas formas de autentificar a sus clientes. Una de ellas es la biometría del comportamiento, mediante la cual registran cómo sus clientes usan el teclado y el ratón en los equipos de escritorio o portátiles y cómo interaccionan con el dispositivo en el caso de los teléfonos móviles o de las tablets. Las siguientes veces que el cliente acceda a su negocio, además de seguir registrando esta información, la comparan con los datos antiguos para poder detectar posibles accesos fraudulentos.

Este tipo de sistemas registra datos tan variados como son el ángulo en el que se sostiene el teléfono, la presión que se aplica o la velocidad en el scroll en teléfonos y tablets o la velocidad con la que se teclea, las teclas usadas para introducir los caracteres numéricos o la rapidez con la que se mueve el ratón en equipos de escritorio o portátiles.

Esta tecnología plantea problemas de privacidad, ya que los usuarios casi nunca son conscientes de estar siendo registrados, así como falsos positivos, ya que no usamos el dispositivo de igual forma en el trabajo que tumbados en el sofá de nuestra casa. A pesar de esto, el nivel de exactitud es del 99%, según indican los fabricantes de este tipo de software.

 

 

Un complemento de Firefox con más de 220.000 instalaciones recopila el historial de navegación de los usuarios

Publicado en por Jesús Amieiro

Un complemento de Firefox, Web Security, que cuenta con más de 220.000 instalaciones, ha sido cazado enviando el historial de navegación de los usuarios a un servidor alemán. El envío de las URL a un servidor es algo normal en un complemento de seguridad, ya que se encarga de comprobar si cada URL se encuentra en una lista negra o no. Pero en un foro alemán han descubierto que este plugin recogía más información de la necesaria, no anonimizando la información, pudiendo perfilar al usuario con su historial de Internet.

El complemento, que había sido recomendado por Mozilla en su blog, ya ha sido retirado del portal de extensiones.

Un ataque permite falsificar las constantes vitales de pacientes hospitalizados

Publicado en por Jesús Amieiro

Un ataque presentado en la última DEF CON permite alterar y falsificar las constantes vitales tomadas por un equipo individual de monitorización que son enviadas a una estación central de monitorización.

El ataque se aprovecha de un fallo en el protocolo de comunicación Rwhat, que usa paquetes UDP sin cifrar y que ha permitido, mediante ingeniería inversa, conocer y reproducir la información enviada entre los dos dispositivos.

El ataque posee dos variantes. En la primera, que necesita acceso físico al monitor del paciente, este se sustituye por un aparato que se encarga de falsificar la información.

En la segunda variante, que necesita acceso a la red local del hospital, el dispositivo falso logra, mediante ARP spoofing, suplantar a la estación central, de tal forma que el monitor le envía la información al dispositivo falso, este la altera y se la envía a la estación central.

Los usos dañinos que puede tener este tipo de ataques son múltiples, desde diagnósticos y prescripciones incorrectas hasta prolongar la estancia del paciente en el hospital, con el incremento de las posibles facturas o la saturación de los hospitales.

Una vulnerabilidad en el protocolo de fax permite acceder a una red interna a través de una máquina de fax

Publicado en por Jesús Amieiro

En muchas empresas aún siguen existiendo máquinas de fax, aunque cada vez se usan más las máquinas multifunción, con las funcionalidades de escáner, fotocopiadora, impresora y fax. Estes dispositivos disponen de conexión telefónica y de conexión Ethernet.

Un grupo de investigadores ha encontrado un método para acceder a una red interna a través del envío de un fax malicioso que usa una vulnerabilidad en el protocolo de fax y que permite la descarga y ejecución de código arbitrario. Lo más curioso es que el ataque se realiza solo con una conexión telefónica, sin necesidad de acceso mediante Internet desde el atacante al atacado.

La demostración de esta vulnerabilidad se llevó a cabo en una máquina de HP, fabricante que ya ha sacado parches para sus máquinas. Se espera que el resto de fabricantes hagan lo mismo, ya que es un ataque a una vulnerabilidad del protocolo, no a un fabricante o a un modelo concreto. Mientras tanto, este ataque se puede mitigar segmentando las redes internas o no conectando la máquina dedicada a fax a la red interna.

Microsoft y Amazon comienzan el despliegue de las primeras integraciones de Alexa y Cortana

Publicado en por Jesús Amieiro

A partir de hoy, Amazon y Microsoft comenzarán a implementar las primeras integraciones entre sus asistentes digitales, permitiendo a los usuarios activar Cortana en dispositivos Echo y usar Alexa en PC con Windows 10 y altavoces Harman Kardon Invoke.

El objetivo que buscan ambas compañías es tener sus asistentes digitales integrados con los dispositivos de la otra empresa, de tal forma que se lleven a cabo las tareas en el dispositivo que sea más conveniente. De esta forma, los usuarios de Cortana podrán usar Alexa para comprar en Amazon, gestiona sus pedidos o acceder a las múltiples funcionalidades de Alexa. Por su parte, los usuarios de Alexa podrán usar Cortana para navegar, gestionar su calendario o su correo electrónico.

Para llevar a cabo la integración, los usuarios tendrán que usar un asistente de configuración y en pocos pasos podrán usar la otra plataforma.

The Pirate Bay cumple 15 años

Publicado en por Jesús Amieiro

A pesar de todos los intentos por acabar con este portal, el famoso sitio «The Pirate Bay» acaba de cumplir 15 años. El portal fue fundado en 2003 por un grupo de hackers y activistas, agrupados bajo la asociación Piratbyrån, un movimiento contra los derechos de autor, la copia de la información y cultura libre, con una finalidad clara: llevar el intercambio de archivos a las masas.

El sitio ha pasado por muchos altibajos y situaciones complicadas, como el allanamiento de su centro de datos por parte de la policía sueca, que cerró el sitio y que llevó a sus fundadores a la cárcel.

Google podría añadir un arranque dual con Windows 10 en Chromebook

Publicado en por Jesús Amieiro

Google pretende añadir un arranque dual en los Chromebooks, que les podría permitir ejecutar Windows 10. El nombre de este arranque es «Campfire», en clara alusión a la función Boot Camp de Apple.

Google está intentando obtener la certificación de hardware de Microsoft para Windows 10 para permitir que su Pixelbook ejecute oficialmente el sistema operativo alternativo. Las referencias al Kit de certificación de hardware de Windows de Microsoft han aparecido en el código fuente de Chrome OS, por lo que la compatibilidad con el arranque dual podría llegará pronto a Pixelbook, aunque este no será el único Chromebook que tendrá esta funcionalidad.

La instalación de Windows 10 en un Chromebook requerirá almacenamiento adicional, por lo que no es probable que los dispositivos con 16 GB de almacenamiento puedan tener instalado Windows 10 con arranque dual. Tal y como sugieren los comentarios en del código fuente de Chromium, los dispositivos necesitarán tener al menos 40 GB de almacenamiento para permitir que Windows 10 use 30 GB y Chrome OS utilice 10 GB.

Facebook prohíbe la venta de todos los dispositivos Kodi, sean legales o no

Publicado en por Jesús Amieiro

Facebook acaba de prohibir la venta de dispositivos que puedan ser usados para piratear contenidos en streaming, entre los que se encuentran los dispositivos que traen instalado Kodi, un popular software multimedia, que mediante complementos de terceros permite el acceso a contenidos piratas.

Kodi es una plataforma neutral, pero los complementos de terceros permiten convertirlo en una potente herramienta de acceso a contenidos piratas, por lo que muchas veces se vincula la piratería con Kodi. Facebook ya había prohibido previamente la venta de dispositivos con estos complementos listos para su uso, pero ahora da un paso más prohibiendo cualquier dispositivo que traiga Kodi instalado, presumiendo que  va a ser usado con fines piratas.

Google rastrea tus movimientos tanto en Android como en iPhone, quieras o no

Publicado en por Jesús Amieiro

Una investigación de Associated Press acaba de descubrir que muchos servicios de Google en dispositivos Android e iPhones almacenan los datos de tu ubicación, incluso si has utilizado las configuraciones de privacidad para evitar el rastreo. Esta investigación ha sido ratificada por investigadores de informática de Princeton. El número de afectados es de unos dos mil millones de usuarios de dispositivos Android y de cientos de millones de usuarios de iPhones que en todo el mundo confían en Google para realizar búsquedas o para navegar mediante una aplicación de mapas.

Dejar habilitado el rastreo en aplicaciones como Google Maps te permite tener un historial de tu actividad, pero a cambio puede ser usado por la policía para determinar la ubicación de sospechosos. Pero aunque desactives el «Historial de Ubicaciones», parece ser que algunas aplicaciones de Google almacenan automáticamente los datos de ubicación temporal sin preguntar. Ejemplos de estos usos son la captura de la ubicación al abrir Google Maps, la ubicación usada por las aplicaciones que muestran el clima en la ubicación aproximada del dispositivo o búsquedas que se guardan con la ubicación de donde fueron hechas.