Día: 21 abril, 2016

Internet de la ropa y zapatos, lo nuevo en IoT

La startup de IoT, Evrythng, se asoció con la compañía de empaquetado Avery Dennison para dar a prendas de vestir y calzado nuevas identidades en el software de Evrythng justo cuando se están fabricando.

Las empresas tienen grandes esperanzas en la Janela Smart Products Platform, en donde ven el potencial de llegar a 10 mil millones de productos en los próximos tres años. El sistema podría poner una forma simple de IoT en las manos de millones de consumidores que ni siquiera compraban tecnología.

Evrythng y Avery Dennison no quieren convertir su ropa en celebridades en línea, quieren hacerla más útil. Lo que están haciendo puede hacer que sea más difícil falsificar los productos y cometer fraude en el mostrador de devolución de productos. Podría haber también algunas características entretenidas para los consumidores.

Cuando un zapato o una pieza de ropa sale de la línea de montaje, tendrá un marcador físico que coincida con una entrada específica en la plataforma Janela. Ese emparejamiento durará toda la vida del producto.

El sistema puede utilizar diferentes tipos de marcadores, incluyendo etiquetas RFID (radio frequency identification) que pueden leerse en el aire y etiquetas bidimensionales, como los códigos de barras, que las cámaras de los teléfonos inteligentes pueden leer.

Una pieza de ropa que puede explicarse por sí misma puede ser una bendición para los fabricantes de artículos muy falsificados. La OCDE estima el comercio global de bienes falsificados en 461 mil millones de dólares en el 2013. Presumiblemente, un producto “nacido” con una identidad única que se almacena en la nube puede ser más difícil de falsificar. Las marcas deportivas, que incluyen a los fabricantes de zapatillas muy codiciadas, están entre los mercados objetivo para el sistema.

Los minoristas también podrían reducir las devoluciones. La Federación Nacional de Minoristas de Estados Unidos estimó el año pasado que las devoluciones fraudulentas durante la temporada de vacaciones de fin de año costarían 22 mil millones de dólares. Con Janela, los productos llevarían datos con ellos acerca de dónde y cuándo se adquirieron, haciendo más difícil engañar con un artículo comprado.

Los beneficios para los consumidores son pequeños extras que podrían ser de utilidad. Las aplicaciones para teléfonos inteligentes podrían leer la etiqueta y decir al comprador la historia del producto, incluyendo donde se hizo, lo que está en él y cómo se distribuyó. Luego de comprar el producto, los propietarios podrían utilizar una aplicación para acceder a ofertas especiales y servicios asociados con él.

La plataforma Janela también podría ser utilizada para reordenar un producto, u otros relacionados con él, y en última instancia podría entregar información acerca de cómo volver a utilizar o cómo reciclar el producto.

Evrythng, con sede en Londres, fue fundada en el 2011 y ha atraído inversiones de empresas como Cisco Systems y Samsung.

 

-Stephen Lawson, IDG News Service.

Lecciones que debe aprender de The Hacking Team

En julio de 2015, la compañía italiana conocida como The Hacking Team fue hackeada. Se extrajeron más de 400GB de datos, mismos que se publicaron en el dominio público, incluyendo correos electrónicos, documentos de diseño, contratos legales, facturas y documentos similares.

Esta semana, un hacker anónimo publicó una guía a la cual tituló “Hack Back! – A DIY Guide”. En este documento el autor parece atribuirse  el ataque de 2015, expone sus razones y ofrece recomendaciones a otros individuos afines. Lo que esto nos ofrece es una idea de la cronología del ataque y con ella algunas lecciones objetivas para reducir la probabilidad y el impacto de ataques similares en el futuro.

Algunos de los puntos relevantes que se desprenden de este reporte son los siguientes:

Defensa a fondo. Se trató de un ataque dirigido y tenía la intención de entrar hasta el fondo. Este tipo de amenaza necesita enfrentarse preguntando ‘¿cuándo?’ y no solamente ‘¿sí?’ Una vez dentro de la red de la compañía, el hacker logró atravesar su infraestructura sin mucha dificultad. Proteger los mecanismos internos de una infraestructura organizacional es igualmente importante. Reducir los servicios dentro de la red de una compañía es esencial para reducir aquellos que están presentes en el mundo exterior.

Monitoreo yevaluación. Los registros de los firewalls pueden emitir una advertencia avanzada sobre estos tipos de ataques. Los mapas de redes, el análisis y la enumeración de puertos podrían ser contrarrestados por el firewall y los Dispositivos de Prevención de Intrusiones (IPS), pero no monitorear y evaluar los datos que producen es perder los Indicadores & Advertencias (I&Ws) que pudieran indicar que probablemente algo está por suceder.

Actualizaciones y parches. Sin duda, las actualizaciones y los parches son esenciales. El atacante pudo explotar una vulnerabilidad conocida dentro del sistema de gestión de redes Nagios. Lo que resulta interesante es que el atacante supo del sistema Nagios solo después de que “espiaron” a los administradores de sistemas, tal como se menciona más adelante.

Separe las redes pero ¡Conozca su red! Este ataque fue posible debido a que las redes de respaldo y de gestión que deberían haber estado separadas y no lo estaban. La separación de las redes operativas y de gestión es una técnica esencial para proteger a la infraestructura, especialmente cuando la red que gestiona requiere de privilegios administrativos. En este ataque, el adversario pudo interrogar y descargar las imágenes de respaldo del servidor de correo.

Hack-Back-A-DIY-GuideVigile y proteja a los privilegiados. Con frecuencia decimos que uno de los mayores desafíos es monitorear a quienes tienen cuentas privilegiadas. Muchas organizaciones, especialmente las de gobierno, requieren de acreditaciones de seguridad para protegerse contra la “amenaza interna”. Sin embargo, lo que este incidente nos enseña es que una vez dentro, los chicos malos van directo a los administradores de sistemas para monitorear sus actividades con el fin de conocer y entender mejor a la compañía y su infraestructura. Hay un ligero cambio de mentalidad aquí, ¿no deberíamos estar monitoreando a los usuarios privilegiados y a sus estaciones de trabajo? No por el hecho de que no confiemos en ellos, sino por su propia protección y para asegurarse de que tampoco sean vigilados por quienes husmean las redes, por key-loggers y otros personajes similares.

Monitoreando lo que sale. Una observación final es que se filtraron muchos datos. ¿Por qué nadie se dio cuenta? Esto ocurre con mucha frecuencia en los ataques donde la propiedad intelectual es el objetivo. La implementación de una solución de Prevención de Robo de Datos o de Pérdida de Datos (DTP/DLP) y el monitoreo, reducirán la probabilidad y el impacto potencial de este tipo de ataques.

 

Por Andy Settle, Jefe de Investigaciones Especiales de Forcepoint

La NASA probará un sistema de gestión de tráfico de drones

La NASA planea realizar esta semana una prueba de su sistema de control de tráfico aéreo, diseñado para drones cuando despeguen hasta 24 simultáneamente desde varios puntos de Estados Unidos. Si la prueba da resultados positivos, sería un gran avance como sistema de seguridad para este ámbito y favorecer su adopción en diversos sectores.

Este sistema de gestión del tráfico de aeronaves no tripuladas, llamado UTM, se considera un gran avance en este ámbito, si demuestra su capacidad para gestionar el vuelo sin tripulación, evitando colisiones en el aire con el resto de tráfico convencional y con otros drones.

UTM facilita a los operadores de drones contar con un plan de vuelo y la solicitud de autorización, de forma que se verifique que no entra en conflicto con otros vuelos.

La prueba de esta semana será controlada desde el Centro de Investigación Ames de la NASA, situado en Silicon Valley, donde se ha llevado a cabo gran parte del desarrollo del sistema UTM. Si el tiempo lo permite, hasta cuatro aviones no tripulados despegarán de cada una de las seis zonas de ensayo de la Administración Federal de Aviación (FAA), en Alaska, Dakota del Norte, Nevada, Nueva York, Virginia y Maryland. Si el tiempo lo permite habrá participación desde Texas.

Será la primera vez que la plataforma UTM de la NASA se pruebe en múltiples localizaciones y con vuelos coordinados.

La necesidad de contar con un sistema de este tipo se volvió a subrayar el pasado domingo, cuando el piloto de un avión de British Airways informó de que había colisionado con un avión no tripulado, cerca del aeropuerto londinense de Heathrow. Se encontraba a 518 metros de altura, siendo una altura por encima de la altitud de seguridad para volar de una aeronave tripulada en el espacio aéreo controlado, y no sufrió ningún daño.

IDG

Ciberseguridad para los sistemas de control industrial

Un nuevo informe de ABI Research, pone en alerta las nuevas tecnologías de ciberseguridad para los sistemas de control industrial que están surgiendo para garantizar el blindaje de la red, frente a amenazas inminentes y ataques externos.

Según ABI Research, la conectividad de las instalaciones industriales, que tradicionalmente han estado aisladas, representa un nuevo vector de ataque para los ciberdelincuentes, que tienen como objetivo sectores de infraestructuras críticas, como energía, agua, gestión de residuos, transporte, etc. “Los métodos actuales de protección no son preparados para mantener los sistemas de control industrial”, explica Michela Menting, directora de investigación de la firma.

Sobre este nuevo escenario de seguridad y conectividad, la recomendación es adoptar un enfoque de ciberseguridad centrado en la tecnología operacional (OT).

A medida que el mercado se adapta, los proveedores de sistemas de control industrial (ICS) están en riesgo, ya que necesitarán rediseñar sus sistemas con la seguridad digital en mente. Además en el estudio señala que las empresas de ciberseguridad tendrán crear nuevas soluciones para las configuraciones de tecnología operacional, ya que las existentes no son fácilmente configurables.

También existe la posibilidad de que las empresas no quieran migrar a esta nueva generación de soluciones por los costos de seguridad y porque los riesgos asociados a la conexión de sistemas ICS sean excesivamente altos para algunos operadores industriales.

Menting señala que “para avanzar, las empresas de seguridad tienen que entender que este mercado requiere nuevas soluciones y nuevas inversiones en investigación y desarrollo”. Finalmente puntualiza, “los vendedores de sistemas ICS deben incorporar la seguridad cibernética en el desarrollo de productos y la gestión del ciclo de vida. Los operadores industriales tienen que conciliar las diferencias entre seguridad TI y la gestión OT, promover la formación en seguridad y facilitar el diálogo entre ambos campos”.

Redacción

Informes estáticos a los cuadros de mando y ahora la analítica avanzada

Las soluciones de Business Intelligence (BI) han evolucionado desde los informes estáticos, los cuales indican lo que ha pasado, pasando a cuadros de mando interactivos que permiten entender el porqué de lo sucedido. Eso permite un mejor uso de los datos, pero ahora llega el momento de la analítica predictiva.

Las nuevas fuentes de Big Data, incluidos los dispositivos de Internet de las Cosas (IoT), hacen que las empresas evolucionen desde el análisis puramente reactivo a analíticas proactivas, con alertas y cuadros de mando en tiempo real. Gracias a ellos se ha avanzado hacia sistemas más proactivos, pero aun así se sigue en el terreno de lo ya ocurrido.

Es por ello que el área que más crecerá en los próximos años es la de analítica predictiva y otras tecnologías avanzadas, según Gartner, en su Cuadrante Mágico sobre el tema. En él estima que, en 2018, más de la mitad de todas las grandes organizaciones a nivel mundial utilizará analítica avanzada para competir.

Su uso será con el objetivo de calcular tendencias y posibilidades de futuro, predecir posibles resultados y hacer recomendaciones. Eso supera en mucho las meras consultas e informes actuales de herramientas de BI, como SQL Server Reporting Services, Business Objects o Tableau y abre un camino hacia métodos más sofisticados, como las estadísticas, la minería de datos descriptiva y predictiva, el aprendizaje automático, la simulación y la optimización, buscando tendencias y patrones en los datos que son, a menudo, una mezcla de información estructurada y no estructurada.

Son herramientas útiles que ya utilizan hoy los equipos de marketing y riesgos para tener una mayor visibilidad del negocio, los ciclos de vida de los clientes, las oportunidades de venta cruzada, la probabilidad de compra, o la calificación del crédito y la detección del fraude.

Sin embargo, Gartner cree que casi todas las unidades de negocio de una empresa se van a interesar  en estas herramientas, ya que son útiles en ámbitos de mantenimiento predictivo, en la predicción de la demanda y en la búsqueda de problemas de calidad o servicio, o a la hora de ayudar a tomar decisiones, por ejemplo.

Redacción

Retención de Datos y Privacidad: Una Perspectiva Costo-Beneficio

En México, la discusión en torno a la geolocalización y retención de datos personales de las comunicaciones ocupa un espacio importante en la agenda pública, más aún con la inclusión de disposiciones al respecto en la Ley Federal de Telecomunicaciones y Radiodifusión (artículos 189 y 190), las cuales derivaron en los Lineamientos en Materia de Colaboración con la Justicia elaborados por el IFT.

A pesar de lo anterior, la Suprema Corte de Justicia de la Nación (SCJN) está por resolver (según la temporalidad de la publicación de esta columna) un recurso de amparo en contra de las disposiciones mencionadas, sustentado en el argumento de que se provocarían daños considerables al derecho a la privacidad.

La discusión no se agota con la decisión de la Corte. Debemos acostumbrarnos a que este dilema sobre privacidad y seguridad en cuanto a la retención de datos continuará en diferentes formatos y plataformas tecnológicas, toda vez que es mayor el número y la adopción de dispositivos conectados en manos de los consumidores, que resultan en la interacción digital en diferentes dimensiones de la vida de los individuos (educativa, social, cultural y económica, entre muchas otras). Este contexto abre la puerta para reflexiones en términos de los costos y beneficios relativos a la intervención de las comunicaciones privadas.

Entre los costos a considerar, el primero que destaca por su obviedad, es aquel en que se incurriría por el simple hecho de retener datos, es decir, por el despliegue de infraestructura, creación de data centers, así como por el mantenimiento, resguardo y seguridad de los sistemas de la información.

Sin embargo, este costo físico-económico, por llamarle de alguna forma, es el de menor importancia. Ya que queda implícito el costo de la potencial incertidumbre por el uso incorrecto de toda la información retenida, equivalente en la dimensión digital al uso indebido de nuestras chequeras o tarjetas de crédito o al allanamiento ilegítimo de nuestros cajones y objetos personales, ya sea porque no se resguarda con la seguridad necesaria o porque no se utiliza con fines de aplicación del Estado de Derecho, sino como herramienta de extorsión o violación del derecho de la privacidad.

Pero entonces toma importancia dejar claro cuál es el beneficio o la justificación de incurrir en esos costos. La respuesta gira en torno al bienestar social derivado de la compartición de la información retenida y la geolocalización para efectos de seguridad pública. Esto no necesariamente significa contraponer al individuo y el beneficio social, ya que éste último es sólo la suma de los beneficios individuales.

Recientemente ha sido tema de amplia discusión el caso del FBI versus Apple en el desbloqueo de un iPhone. Europa y naciones asiáticas han echado mano también de las herramientas de geolocalización y retención de datos para combatir el terrorismo. Incluso, en México están sirviendo para identificar y perseguir a miembros y organizaciones del crimen organizado.

La consecución del beneficio social tiene como condición ‘sine qua non’ que la autoridad mexicana que requiera la información derivada de las comunicaciones cuente con la capacidad técnica, capital humano capacitado, equipamiento, parámetros éticos, así como un mecanismo de vigilancia y monitoreo, cuyo objetivo sea no desviar la atención hacia el aprovechamiento ilícito de la información de las comunicaciones privadas.

En suma, aprovechar los beneficios sociales de vigilar las comunicaciones privadas no basta con que la autoridad cuente con una certificación legal para retener datos o geolocalizar, sino que además debe ser sujeto a un escrutinio público y experto. Toca a las autoridades profesionalizarse y generar la confianza necesaria entre la población, para que esta última se encuentre convencida de asumir los costos en privacidad de que el gobierno requiera datos derivados de las comunicaciones, así como la geolocalización.

 Por: Ernesto Piedras
@ernestopiedras

HPE presenta solución de computación para PyMEs

Hewlett Packard Enterprise (HPE) presentó una nueva plataforma de computación para pequeñas y medianas empresas (PyMEs), también está dirigida para instituciones educativas y oficinas que se administren a través de la nube: HPE ProLiant Easy Connect Managed Hybrid.

Con dicha solución, basada en una suscripción proporciona a los clientes un servidor en las instalaciones que brinda seguridad, rendimiento y control con la flexibilidad de la nube.

“Las pequeñas empresas quieren enfocarse en hacer crecer su negocio principal y no gastar sus limitados recursos en implementar y administrar TI”, dijo McLeod Glass, vicepresidente y gerente general de soluciones para PyMEs y servidores en torre de HPE. “Esta nueva solución va por las necesidades específicas de las pequeñas y medianas empresas, que consiste en brindar soluciones innovadoras que sean fáciles de vender para nuestros socios y fáciles de usar para nuestros clientes”.

El producto presentado por HPE es la primera oferta del portafolio Easy Connect, la cual está dedicada a facilitar la implementación y la administración de TI en las pequeñas empresas. Esta nueva solución híbrida administrada consta de cómputo,  almacenamiento y redes fuertemente integradas junto con un software de virtualización y gestión de la nube de Zynstra. Esta solución está preconfigurada para ser instalada en minutos, para que se puedan comenzar a manejar cargas de trabajos empresariales rápidamente, tanto en las instalaciones como en la nube.

Las organizaciones puede elegir que herramientas instalar, cuenta con opciones como Microsoft Office 365 y Microsoft Azure se administran en forma remota. El software de virtualización y gestión de la nube y el mantenimiento, los parches y las actualizaciones automatizados, eliminan la necesidad del costoso personal de TI en las instalaciones.

Además, HP ProLiant Easy Connect incluye servicios de ruptura/reparación y les da a las pequeñas empresas la oportunidad de aprovechar un modelo por suscripción como alternativa a pagar los costos iniciales de la licencia  del software.

Por otra parte, HPE presentó el servidor HPE ProLiant ML10 Gen9 con el procesador Intel Xeon E3-1200 v5, diseñado como un servidor accesible, silencioso y compacto que se adapta a las necesidades de las pequeñas empresas. Dendtro del catálogo que HPE ofrece,  está ProLiant que mejora el rendimiento, la seguridad y el costo total de propiedad para los clientes pequeños y medianos. Estas nuevas opciones, junto con las actualizaciones para admitir los nuevos procesadores Intel Xeon E5-2600, convierten a los servidores HPE ProLiant en la opción ideal para satisfacer las necesidades de las pequeñas y medianas empresas.

Redacción

Video: ¿Cómo administrar el crecimiento de los datos sin exceder el presupuesto?

En esta conversación con CIO México, Víctor Ávila, Solution Consultant de Hitachi Data Systems (HDS), describe una estrategia básica mediante la cual usted puede contar con la infraestructura adecuada para el futuro, al tiempo que administra y gobierna la información durante todo su ciclo de vida.

Ingresos de apps se duplicarán en 2020, superando el crecimiento de las descargas

Los ingresos que se generarán por aplicaciones para 2020 a nivel global se multiplicarán por 2.2 en los próximos cinco años, pasando de 36 000 a 79 000 millones de dólares de 2020, según la firma Ovum. Se prevé que su crecimiento supere las descargas, las cuales se multiplicarán en 1.8 dentro del mismo plazo, y recaudarán de 211 000 a 378 000 millones.

El mercado de las aplicaciones móviles crecerá más, en los próximos cuatro años, que en sus ocho años de existencia, alcanzará cifras récord de evolución. La facturación generada entre 2016 y 2020 será más del triple que la alcanzada entre 2008 y 2015. Otra cosa serán las aplicaciones descargadas, que sufrirán una marcada desaceleración en los mercados donde los smartphones han alcanzado la madurez, por estar más cerca la saturación del mercado.

“Además, se pondrá mayor énfasis en la calidad de la descarga que en la cantidad”, subraya Guillermo Escofet, analista de Ovum y autor del informe. “Los ingresos seguirán creciendo porque las personas pasamos más tiempo en las aplicaciones y se intensifica el gasto in-app”, añade el experto.

Los países emergentes serán protagonistas de esta evolución, de forma más aguda se reflejará en zonas menos desarrolladas, pero con tasas de crecimiento más pronunciadas en los próximos cinco años, tanto en descargas como ingresos.

China será el gran protagonista de estos emergentes, por ser el país más poblado del mundo y el mayor mercado de teléfonos inteligentes. Además, “China terminará siendo el país de mayor recaudación, ayudado por su enorme industria de juegos móviles”, concluye el experto.

NetworkWorld

 

Oracle lanza 136 parches de seguridad para una amplia gama de productos

La firma adopta el nuevo sistema de clasificación de vulnerabilidad CVSS 3.0, dónde su prioridad será el mayor número de errores clasificados como graves y críticos.

Oracle ha lanzado una nueva actualización de seguridad trimestral que contiene 136 correcciones de errores en una gran variedad de productos incluyendo Oracle Database Server, E-Bussiness Suite, Fusion Middleware, Oracle Sun Products, Java y MySQL. El mayor cambio que se tiene a esta adopción por parte de Oracle de Common Vulnerability Scoring System (CVSS) es en su versión 3.0, la cual refleja con mayor precisión que la versión CVSS 2.0 el impacto de los errores. Esta actualización utiliza las calificaciones de vulnerabilidades tanto de la versión 3.0 como de la 2.0, proporcionando la posibilidad de comparar cómo la nueva calificación podría afectar a la priorización de los parches de Oracle en las empresas. Uno de los cambios más importantes es que hay cinco vulnerabilidades que tienen la máxima puntuación, un 10 basándose en la escala de la versión CVSS 2.0, pero ninguna utilizando la calificación de la versión CVSS 3.0.

A pesar de esto, no hay errores con una puntuación de 10, el número de errores en una CPU considerada crítico basándose en la puntuación de CVSS 3.0 es 17, en comparación a las 9 de  la versión CVSS 2.0. Lo mismo sucede con los errores marcados como de alta gravedad, que serían 25 según la versión CVSS 3.0 y tan sólo 12 utilizando la CVSS 2.0. El número de errores de baja gravedad también descendió de las 28 de la versión CVSS 2.0 a tan sólo 10 con la CVSS 3.0. Estos datos demuestran que, en general, la versión CVSS 3.0 aumenta lo severo del nivel de gravedad de las vulnerabilidades en comparación a la CVSS 2.0.

“En primer lugar, me alegra ver estos cambios en el sistema de puntuación, ya que existían muchas discusiones acerca de la calidad de la versión 2.0 de CVSS”, explicó Alexander Polyakov, CTO de ERPScan, firma especializada en inteligencia de vulnerabilidades. “Por ejemplo, los proveedores podían calificar los problemas detectados en sus productos como de gravedad menor (ya sea intencional o no), por errores en el sistema de puntuación. Ahora con la reciente actualización el sistema es más preciso y se han resuelto muchos inconvenientes que afectaban a la versión anterior”.

Los productos de Oracle que tienen vulnerabilidades puntuadas como altas (señaladas con puntuaciones entre 7 y 8 según la escala del CVSS3) y críticas (entre 9 y 10) son: Oracle Database Server, Oracle Fusion Middleware, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Supply Chain Products Suite, Oracle PeopleSoft Products, Oracle Financial Services Software, Oracle Java SE, Oracle Sun Systems Products, Oracle Virtualization, Oracle MySQL y Oracle Berkeley DB.

Lucian Constantin