Día: 19 mayo, 2016

F5 va por seguridad, manejo y orquestación de aplicaciones

F5 presenta soluciones basadas en software que permiten a los clientes integrar de manera imperceptible servicios de disponibilidad y seguridad, simplificar el manejo de dispositivos y orquestar mejor la infraestructura de TI.

Las organizaciones en la actualidad, con el fin de reducir costos e incrementar la eficiencia, las organizaciones evolucionan hacia modelos de infraestructura más dinámicos que combinan componentes físicos, virtuales y de la nube. Dando soporte a esta transición, las soluciones innovadoras y versátiles de F5 dan a los clientes la posibilidad de aprovechar los beneficios que proporcionan las arquitecturas tradicionales de los centros de datos, de la nube e híbrida.

Con el lanzamiento del software BIG-IP versión 12.1, ofrece el nivel de programabilidad de F5 en arquitecturas tradicionales, de la nube e híbridas. La nueva tecnología iRulesLX de F5 marca un avance considerable, brindando la posibilidad de manipular e implementar de manera selectiva capacidades de servicio a través de Node.js, e incluye fácil acceso a más de 250 000 paquetes Node.js de la comunidad.

Estas capacidades son especialmente importantes para proveer funcionalidad avanzada para aplicaciones Web que requieren rendimiento optimizado, escalabilidad y servicios únicos de control del tráfico. Además, un nuevo complemento para el Eclipse Integrated Development Environment, el cual cuenta con el soporte comúnmente de otros proveedores de tecnología empresarial ya sea CA, Google, IBM, Oracle, Red Hat y SAP, con ello se obtiene la rápida provisión de código reutilizable que provee funcionalidad avanzada.

La firma a través de un comunicado destaca la compatibilidad con las nubes más populares, además ofrecen soporte extendido para entornos AWS y Azure, incluyendo la integración con la auto escala AWS para escalar de forma dinámica servicios de aplicaciones, activar/reservar alta disponibilidad en zonas de disponibilidad, y capacidades agregadas WAF de F5 para Azure Security Center.

La solución cuenta para los arquitectos y administradores de redes, F5 ha actualizado su solución BIG-IQ Centralized Management. La plataforma provee capacidades de visibilidad, reporte, licencias y manejo que simplifican las operaciones, ahora los clientes pueden manejar, actualizar y configurar de manera simultánea servicios hasta para 200 dispositivos físicos y virtuales, y manejar hasta 5000 licencias de BIG-IP.

Finalmente F5 destaca la nueva plataforma iWorkflow, la cual acelera la implementación de aplicaciones permitiendo la orquestación de servicios de red, como el manejo y la seguridad del tráfico, es una solución para múltiples usuarios para implementar políticas de entrega de aplicaciones con soluciones BIG-IP para dar soporte a diversos entornos de TI, incluyendo nubes híbridas.

Redacción

Claves para mantener los datos seguros en la nube

Cada vez más empresas contratan servicios en la nube debido a su rapidez y agilidad, sin embargo, las compañías deben buscar proveedores que garanticen la seguridad de sus datos.

Los servicios en la nube son cada vez más usados por las empresas, tanto para almacenar datos como para agilizar sus procesos administrativos, sin embargo, alrededor de ellos aún existen múltiples dudas sobre su seguridad. La razón dentro de muchas es su funcionamiento, de acuerdo con una encuesta hecha por la consultora CyberArk a profesionales de las tecnologías de la información, el 53% dijo que los dirigentes de su empresa toman decisiones sin poner en consideración las implicaciones de seguridad.

“La seguridad es uno de los aspectos críticos que las compañías deben analizar al momento de contratar tecnología y los proveedores de servicios en la nube tenemos estándares de seguridad globales con los que debemos cumplir, eso implica realizar análisis, certificaciones y seguir protocolos. Desde el contrato, un proveedor debe garantizarte que tu información está segura”, explicó Rossana Bobadilla, directora general de Concur México.

A continuación le compartimos algunos lineamientos que demuestran que una empresa en la nube es segura:

Experiencia técnica

Un eficiente servicio requiere que en su equipo haya expertos en seguridad en la nube y que el proveedor brinde información de calidad a sus clientes sobre su funcionamiento.

“Desde la perspectiva del consumidor ‘en la nube’ significa dónde la magia pasa, dónde los detalles de implementación permanecen ocultos. Así que no debe ser sorpresa que ese ambiente esté lleno de mitos y malentendidos”, señala el analista David Mitchell Smith, en un estudio de la consultora Gartner.

Certificados de seguridad

Una de las mejores formas de garantizar que un proveedor guarda datos empresariales de forma segura es que se someta a certificaciones de agentes calificados. Algunas de estas certificaciones son:

  • SSAE 16. Se trata de una auditoría del conjunto de controles técnicos y de negocio que tiene un proveedor en la nube. Hay estándares formales para que durante su realización no queden huecos y la propia revisora se somete a pruebas.
  • Payment Card Industry Data Security Standard (PCI-DSS). Si tu servicio en la nube maneja de alguna forma información de tarjetas de crédito, busca que tengan una certificación PCI, un estándar que es muy exigente e incluye más de 150 requerimientos, entre ellos tener una encriptación fuerte en el procesamiento simultáneo de múltiples tarjetas de crédito.
  • Solo algunas firmas conocidas como QSA (Qualified Security Assessor) tienen permitido realizar evaluaciones de cumplimiento del estándar PCI, para eso pasan a su vez por un proceso de certificación.
  • ISO 27001. La norma ISO 27001 es el estándar internacional que certifica un adecuado sistema de gestión de la seguridad de la información que se maneja en una empresa.

Gracas a las certificaciones, los servicios calificados buscan los potenciales problemas que pueden afectar a la organización y definen qué es necesario hacer para evitar violaciones en la seguridad. Para obtenerlo, la compañía que realiza la auditoria debe estar acreditada y también someterse a revisiones.

Pruebas de hacking ético

Los proveedores necesitan evaluar sus plataformas para encontrar vulnerabilidades, busca a los que realicen pruebas de intrusión. Estos ejercicios son simulaciones de ataques hostiles que detectan brechas en el sistema para poder repararlas. Quienes las realizan son conocidos como hackers éticos.

Buena seguridad en sus centros de datos

Las compañías de servicios en la nube deben invertir en la seguridad de sus centros de datos, por lo que existe gran control para acceder a ellos y tienen prohibidas las visitas.

Confidencialidad y privacidad indicadas en contrato

Al elegir a un proveedor revisa que garantice la confidencialidad de tus datos y recolecte solo los necesarios para dar el servicio contratado.

“Cada dato se debe cuidar de diferente forma dependiendo de su importancia. En Concur el dato más sensible que manejamos son los números de tarjeta corporativa, de los que no poseemos códigos de seguridad pero que se cuidan de forma estricta”, aseguró Bobadilla.

Actualizaciones

La mayoría de los proveedores en la nube ofrecen a sus clientes actualizaciones sin costo, la constante mejora significa también mayor seguridad.

N. de P. Concur

HPE apuesta en seguridad de los datos para gobiernos y empresas globales

Hewlett Packard Enterprise (HPE) ha realizado el lanzamiento de SecureData, la nueva tecnología Hyper FPE ofrece un método probado de protección de datos en uso, estáticos y en movimiento de acuerdo con las normas NIST para organismos gubernamentales, empresas mundiales y organizaciones europeas que deben cumplir con los requisitos del Reglamento General de Protección de Datos (GDPR).

La firma destaca el encriptado o cifrado con preservación de formato y conjuntos de caracteres Unicode para datos en idiomas como alemán, francés, español, turco y más. Con la irrupción de la nube, el fenómeno Big Data e Internet de las Cosas (IoT), la superficie de ataque se está expandiendo rápidamente y esto hace que sea crítico para las organizaciones adoptar un enfoque centrado en los datos para proteger su información delicada.

Si se presenta una violación de los datos, un sólido cifrado y tokenización (seguridad) hará que los datos perdidos sean inútiles para los atacantes y, por lo tanto, reducirá las ramificaciones financieras, operacionales y de reputación. IDC estima que el gasto total en software de seguridad para adecuarse al Reglamento General de Protección de Datos en Europa alcanzará $81 millones de dólares en 2016, $1 335 millones de dólares en 2017 y $1 713 millones de dólares en 2018.

“Con la disolución del perímetro de la red, las organizaciones ahora están siendo desafiadas a proteger aquello que buscan los atacantes en la actualidad: los datos”, afirmó Albert Biketi, vicepresidente y gerente general de HPE Security – Seguridad de Datos.

HPE SecureData con la tecnología Hyper FPE proporciona desempeño de cifrado acelerado en hasta 170% en escenarios conservadores, basándose en la tecnología FPE de alta velocidad actual, mientras se alinea con las necesidades de alto volumen de la próxima generación de escenarios de Big Data, nube e Internet de las Cosas. Con esto se obtiene un sólido esquema de cifrado que permite modificaciones mínimas a la forma en que funcionan las aplicaciones y bases de datos existentes, lo que reduce significativamente la complejidad para los clientes.

Finalmente, para obtener una mejor optimización y seguridad de los datos de las empresas, comercios y los procesadores de pagos enfrentan el desafío de proteger datos delicados de alto valor, como información de tarjetas de pago, y deben cumplir con las Normas de Seguridad de los Datos del Sector de Tarjetas de Pago (PCI DSS) y las leyes de privacidad de los datos que son más estrictas que nunca.  Para ayudar a los clientes a enfrentar la complejidad y los costos crecientes, HPE SecureData con Hyper SST ofrece un enfoque de tokenización optimizado patentado que maximiza la velocidad, la escalabilidad, la seguridad y la administración del proceso, duplicando efectivamente el desempeño de tokenización potenciado de HPE SST que actualmente usa.

Redacción

Los riesgos de seguridad en dispositivos móviles

¿Los fabricantes de dispositivos móviles deben decidir cuándo cerrar vulnerabilidades en sus dispositivos? La Comisión Federal de Comercio (FTC) y la Comisión Federal de Comunicaciones (FCC) están pidiendo en Estados Unidos a diferentes fabricantes la respuesta a esta y otras preguntas que les permita aclarar dichos cuestionamientos.

La investigación destaca que la protección de los dispositivos móviles contra el crimen cibernético se está fortaleciendo, la firma de seguridad G DATA también ha hecho un llamado de atención sobre esta problemática en diferentes ocasiones. Le acercamos diferentes factores que influyen en los riesgos de seguridad.

Lanzamiento anual de smartphones de gama alta

Son muchos fabricantes de smartphones lanzan una nueva versión todos los años. Además, hay una gran cantidad de dispositivos de gama media y baja. Cuando los usuarios adquieren un nuevo dispositivo no tienen claro si esta actualizado o por cuánto tiempo se les proporcionará actualizaciones de seguridad importantes. Al proporcionar actualizaciones relacionadas con la seguridad, cabe destacar que hay demasiadas variables globales y los proveedores tienen que adaptarse a las actualizaciones de seguridad de acuerdo a su versión de Android, lo que se traduce en un retraso en la entrega de actualizaciones del sistema a los usuarios.

Google publica actualizaciones de manera regular

Conforme el desarrollador del sistema operativo Android, Google es un buen ejemplo, y cómo Microsoft tiene sus días programados de actualizaciones, existe un conjunto de ciclo mensual para la publicación de las actualizaciones de seguridad. Sin embargo, a veces esto puede tomar semanas o meses para que dichas actualizaciones puedan llegar a la mayoría de los usuarios. Esto tiene serias implicaciones para la seguridad de los dispositivos. Las vulnerabilidades graves permanecen sin cerrar por un periodo considerable de tiempo y pueden ser explotados por los atacantes.

Riesgos de seguridad innecesarios para los usuarios

Esto representa un riesgo de seguridad innecesario para los usuarios, especialmente cuando se considera el papel importante que los smartphones y tablets juegan en la vida privada y laboral de las personas. De acuerdo con un estudio realizado por ING-DiBa, el 47% de los propietarios de Smartphone o tablets llevan a cabo transacciones bancarias desde su dispositivo. La seguridad integral es especialmente importante para la banca y compas en línea, pero las empresas tienen también un interés en asegurar que los dispositivos móviles que se utilizan en sus negocios, un agujero de seguridad abierto para los atacantes puede ser explotado para conducir a un enorme daño comercial.

Es necesario un cambio en el pensamiento

Es importante que los fabricantes y desarrolladores de sistemas operativos trabajen y colaboren en conjunto. Los procesos y procedimientos deben ser definidos para entregar rápidamente cambios en todos los propietarios de teléfono. Los ciberdelincuentes durante mucho tiempo han estado atacando a los dispositivos móviles, utilizando código malicioso cada vez más maduro o sofisticado. Por lo tanto, el rápido despliegue de cambios relacionados con la seguridad está en los intereses de los desarrolladores, fabricantes y, sobre todo, a los usuarios.

Redacción

Se llevó a cabo el Big Data & Analytics Executive Forum 2016

CIO México y Computerworld México realizaron el Big Data & Analytics Executive Forum 2016, que llevó por título “Ante el alud de datos, control y aprovechamiento” durante el cual los asistentes tuvieron la oportunidad de ampliar sus conocimientos en Big Data y Analytics. Conozca los pormenores del evento.

Gartner identifica nuevas oportunidades de crecimiento a la PC

La consultora señala que el mercado de la PC registró unas de sus peores tasas en el primer trimestre de 2016. El margen de explotación de los ultraportátiles de alta gama podría crecer hasta un 25%.

El mercado de la PC está a la baja, lo demuestran las cifras registradas en el primer trimestre del año, aunque existen nuevas oportunidades para los proveedores de PC, según las predicciones de Gartner. El PC ha dejado de ser el dispositivo elegido por los usuarios para acceder a Internet y en los últimos cinco años, los envíos mundiales de PC tradicionales, ya sean de escritorio y portátiles, han caído de 343 millones de unidades en 2012 a un estimado de 232 millones de unidades en 2016, según datos aportados por Meike Escherich, analista de Gartner. En cuanto a los ingresos, el mercado global de PC también ha caído de los 219 000 millones de dólares en 2012 a los 122 000 millones de dólares estimados para 2016.

Según los datos de Gartner, fabricantes como Acer, Fujitsu, Samsung, Sony y Toshiba han perdido un 10.5% de la cuota de mercado desde 2011 y otros como Dell, HP o Lenovo, aunque aumentaron su cuota de mercado en el primer trimestre de 2016, han registraron descensos año tras año. Por regiones, aunque los mercados están cambiando, Estados Unidos, China, Alemania, Reino Unido y Japón siguen ocupando los primeros puestos en términos de volumen, aunque los consumidores en estos mercados también han reducido el número de PC por hogar.

Pese a las malas cifras, Gartner es optimista en sus previsiones ya que las PC aún pueden competir con tabletas y teléfonos en sectores donde estos no pueden llegar, con pantallas más grandes, teclados ergonómicos, mayor capacidad de almacenamiento y procesadores más potentes. “Con un mercado sobresaturado y la caída de los precios medios de venta (ASP), los vendedores de PC deben centrarse en la optimización de la rentabilidad para sostener el crecimiento”, explicó Tracy Tsai, vicepresidenta de investigación de Gartner.

Desmarcándose de la tendencia, el mercado de los ultramóviles de alta gama podría ser el único segmento del mercado que consiga beneficios este año. Gartner estima que este sector podría alcanzar los 34.5 millones de dólares, lo que significaría en crecimiento del 16% respecto a 2015. Para 2019, podría ser el sector con mayor crecimiento en términos de facturación con 57.6 millones de dólares. El crecimiento de la demanda viene dado por la necesidad de reemplazar los antiguos equipos y la experiencia táctil que proporcionan los llamados dos-en- uno (tabletas e híbridos). Según Gartner, los proveedores de estos dispositivos deben ajustar sus portfolios a mercados como Norte América, Europa, China o Japón, donde el segmento de los ultra móviles Premium sigue creciendo.

Finalmente, la consultora destaca los equipos de cómputo destinados para el gaming, sobre todo en la gama alta, en rango de precios de 1000 dólares o más, Gartner aconseja a los proveedores centrarse en la rentabilidad a largo plazo. Además la consultora apunta al Internet of Things como uno de los mercados a los que deberían acercarse los proveedores de PC, aunque primero deberán identificar en qué áreas podrían ofrecer más beneficios.

Redacción

 

Google generaliza la inteligencia artificial y el aprendizaje automático

El gigante de internet destacó con Google Home y las aplicaciones Allo y Duo completan las funciones del nuevo asistente de voz de la compañía para ayudar en tareas cotidianas.

La Conferencia de Google para desarrolladores I/O 16 ha sido el escenario elegido por la compañía para presentar su nuevo asistente de la mano de Sundar Pichai, el consejero delegado. Basado en la inteligencia artificial (IA) y el aprendizaje automático (machine learning), el asistente puede mantener un diálogo continuo con el usuario ya que es capaz de entender el mundo real y ayudar al usuario a realizar tareas tales como comprar entradas o encontrar un restaurante.

Google Assistant es el nombre que ha recibido esta nueva herramienta que, además, es capaz de aprender de los patrones, las preferencias y los gustos del usuario para actuar en consecuencia. La IA y el aprendizaje automático están cada vez más presentes en las nuevas tecnologías proporcionando una mejor experiencia de usuario, algo que Google no ha pasado por alto. Y es que como la propia compañía remarcó, el mundo ha cambiado mucho desde que naciera Google hace 17 años: “en ese tiempo, había 300 millones de personas conectadas a través de computadoras. Hoy ese número asciende a 3 000 millones y la mayoría utiliza dispositivos móviles como forma principal de informarse, organizar su día, trasladarse y mantenerse en contacto con familia y amigos”.

google-home

Pero el asistente no llega sólo. Google presentó Google Home, un dispositivo con el que espera hacerse un hueco en los hogares. Se trata de un altavoz que se activa por voz que lleva el asistente por toda la casa. A través de Home se pueden realizar tareas cotidianas  como encender la tele o apagar la luz y recibir respuestas de Google a través de conversaciones con el dispositivo.

En la misma línea, Google presentó dos nuevas aplicaciones: Allo y Duo. Con Allo, el usuario podrá interactuar directamente con el asistente a través del chat. También servirá al usuario para hacer preguntas sobre su agenda o recibir sugerencias, todo a través del chat. La app incluye smart reply, que sugiere respuestas a mensajes basadas en el contexto. Por su parte, Duo es el asistente para llamadas de video. Entre otras cosas, incluye la funcionalidad Knock Knock que muestra un video en vivo de la persona que está llamando, antes de responder a la llamada. Ambas aplicaciones se basan en el número telefónico, independientemente del sistema operativo que utilice.

Dentro de la conferencia, se le dio lugar a la siguiente versión del sistema operativo móvil, destacando algunas novedades de Android N, contará con mejor performance para gráficos y efectos gracias a Vulkan, consumo de batería y almacenamiento reducido, descarga de actualizaciones en background, notificaciones mejoradas y 72 nuevos emojis. Por el momento, el nuevo Android no tiene nombre y la compañía ha animado a los usuarios a enviar sus propuestas, siempre y cuando inicie con “N” y sea un postre en el siguiente enlace.

google-vr-daydream

 

Google dio a conocer su nueva plataforma de realidad virtual para móviles, Daydream. A la plataforma, que estará disponible en otoño, llegarán la mayoría de aplicaciones y juegos, incluidos los propios de Google. Los wearables también tuvieron su espacio en la I/O con las primeras pinceladas de Wear 2.0, con apps independientes que funcionarán en el reloj inteligente incluso si está lejos o apagado. En el apartado de aplicaciones se presentó Android Instant Apps que dará acceso directo a las aplicaciones sin necesidad de descargarlas.

Para los desarrolladores se lanzará la expansión de Firebase, una plataforma para que los desarrolladores puedan construir aplicaciones de alta calidad, hacer crecer su base de clientes y aumentar sus ingresos.

Toñi Herrero Alcántara

 

Un hacker intenta vender 167 millones de registros de usuarios de LinkedIn

Los datos ofrecidos en la red contiene contraseñas en formato hash de 117 millones de cuentas de LinkedIn y el robo podría remontarse a 2012. Se recomienda cambiar la contraseña, sobre todo si se usa la misma para otros sitios, por ello durante esta semana la red social ha realizado la petición de cambio de contraseña al intentar accesar.

Un hacker ha intentado vender una base de datos que contiene registros de cuentas de 167 millones de usuarios de LinkedIn. El anuncio se publicó en un sitio web del mercado oscuro llamado TheRealDeal por un usuario que pedía 5 bitcoins, unos 2 200 dólares, por el conjunto de datos que supuestamente contenían ID de usuarios, direcciones de correo electrónico y contraseñas SHA1 de 167 370 940 usuarios. Según el anuncio de la venta, el volcado no cubría la base de datos completa de LinekdIn. De hecho, LinkedIn afirma que su sitio web tiene más de 433 millones de miembros registrados.

Triy Hunt, creador de Have I been pwned?, un sitio web que permite a los usuarios comprobar si han sido afectados por filtraciones de datos conocidas, considera que es muy probable que la fuga sea verídica. Él ha tenido acceso a alrededor de un millón de registros del conjunto de datos. “He visto un subconjunto de esos datos y puedo verificar que es real”, explica Hunt.

LinkedIn ya sufrió una brecha de datos en 2012, que dio como resultado que los registros de seis millones y medio de usuarios y las contraseñas se publicaran online. Es muy posible que esa brecha de 2012 fuera más grande de lo que se pensaba y el resto de datos robados estén saliendo a la luz ahora. Por el momento, Linkedin no se ha pronunciado al respecto a pesar de sólo pedir el cambio de la contraseña sin especificar la causa.

Los intentos de ponerse en contacto con el vendedor fracasaron, pero los administradores de LeakedSource, un sitio web de indexación de fugas de datos, afirman tener también una copia del conjunto de datos y creen que estos registros provienen de la brecha de 2012.

Contraseñas hash

Las contraseñas fueron almacenadas en SHA1 sin salt, explicaron los administradores de LeakedSource en su blog. “Eso no es lo que proponen los estándares de Internet. Sólo 117 millones de cuentas tienen contraseñas y suponemos que el resto de usuarios se registraron a través de Facebook o algo similar”. Las mejores prácticas de seguridad exigen que las contraseñas se almacenen en formato hash dentro de las bases de datos. El hashing es una operación unidireccional que genera representaciones criptográficas únicas y verificables de una cadena llamada hash. El hashing es la forma más utilizada para validar contraseñas porque la ejecución de una contraseña con el mismo proceso de hashing, siempre va a dar como resultado el mismo hash, lo que permite la comparación con una almacenada previamente en la base de datos.

La conversión de un hash a la contraseña original debería ser imposible, por lo que es más seguro almacenar hashes en lugar de contraseñas de texto sin formato. Sin embargo, existen antiguas funciones de hashing, como el MD5 y el SHA1, que son vulnerables a varias técnicas de crackeo y no deberían ser usadas. Cuando 6.5 millones de contraseñas hash de LinkedIn se filtraron en 2012, los hackers lograron desencriptar un 60% de ellas. Lo mismo puede pasar con estos 117 millones de nuevos hashes, por lo que no se puede considerar que estén a salvo.

Peor aún, es posible que muchos de estos usuarios de LinkedIn que se vieron afectados por la filtración, no hayan cambiado sus contraseñas desde 2012. Hunt ha podido verificar este punto porque al menos un suscriptor de HIBP tenía su contraseña hash y dirección de correo en el nuevo conjunto de datos que ahora ha salido a la venta.

Gran parte de los afectados por esta fuga son propensos a utilizar las mismas contraseñas en múltiples sitios de la web, según comentó Hunt. Se ha recomendado a los usuarios de LinkedIn que no hayan cambiado sus contraseñas durante mucho tiempo, que lo hagan lo antes posible. También se recomienda activar la verificación en dos pasos de LinkedIn y si se utiliza la misma contraseña para otros sitios web, también se debería cambiar.

Lucian Constantin