D铆a: 19 mayo, 2016

F5 va por seguridad, manejo y orquestaci贸n de aplicaciones

F5 presenta soluciones basadas en software que permiten a los clientes integrar de manera imperceptible servicios de disponibilidad y seguridad, simplificar el manejo de dispositivos y orquestar mejor la infraestructura de TI.

Las organizaciones en la actualidad, con el fin de reducir costos e incrementar la eficiencia, las organizaciones evolucionan hacia modelos de infraestructura m谩s din谩micos que combinan componentes f铆sicos, virtuales y de la nube. Dando soporte a esta transici贸n, las soluciones innovadoras y vers谩tiles de F5 dan a los clientes la posibilidad de aprovechar los beneficios que proporcionan las arquitecturas tradicionales de los centros de datos, de la nube e h铆brida.

Con el lanzamiento del software BIG-IP versi贸n 12.1, ofrece el nivel de programabilidad de F5 en arquitecturas tradicionales, de la nube e h铆bridas. La nueva tecnolog铆a iRulesLX de F5 marca un avance considerable, brindando la posibilidad de manipular e implementar de manera selectiva capacidades de servicio a trav茅s de Node.js, e incluye f谩cil acceso a m谩s de 250 000 paquetes Node.js de la comunidad.

Estas capacidades son especialmente importantes para proveer funcionalidad avanzada para aplicaciones Web que requieren rendimiento optimizado, escalabilidad y servicios 煤nicos de control del tr谩fico. Adem谩s, un nuevo complemento para el Eclipse Integrated Development Environment, el cual cuenta con el soporte com煤nmente de otros proveedores de tecnolog铆a empresarial ya sea CA, Google, IBM, Oracle, Red Hat y SAP, con ello se obtiene la r谩pida provisi贸n de c贸digo reutilizable que provee funcionalidad avanzada.

La firma a trav茅s de un comunicado destaca la compatibilidad con las nubes m谩s populares, adem谩s ofrecen soporte extendido para entornos AWS y Azure, incluyendo la integraci贸n con la auto escala AWS para escalar de forma din谩mica servicios de aplicaciones, activar/reservar alta disponibilidad en zonas de disponibilidad, y capacidades agregadas WAF de F5 para Azure Security Center.

La soluci贸n cuenta para los arquitectos y administradores de redes, F5 ha actualizado su soluci贸n BIG-IQ Centralized Management. La plataforma provee capacidades de visibilidad, reporte, licencias y manejo que simplifican las operaciones, ahora los clientes pueden manejar, actualizar y configurar de manera simult谩nea servicios hasta para 200 dispositivos f铆sicos y virtuales, y manejar hasta 5000 licencias de BIG-IP.

Finalmente F5 destaca la nueva plataforma iWorkflow, la cual acelera la implementaci贸n de aplicaciones permitiendo la orquestaci贸n de servicios de red, como el manejo y la seguridad del tr谩fico, es una soluci贸n para m煤ltiples usuarios para implementar pol铆ticas de entrega de aplicaciones con soluciones BIG-IP para dar soporte a diversos entornos de TI, incluyendo nubes h铆bridas.

Redacci贸n

Claves para mantener los datos seguros en la nube

Cada vez m谩s empresas contratan servicios en la nube debido a su rapidez y agilidad, sin embargo, las compa帽铆as deben buscar proveedores que garanticen la seguridad de sus datos.

Los servicios en la nube son cada vez m谩s usados por las empresas, tanto para almacenar datos como para agilizar sus procesos administrativos, sin embargo, alrededor de ellos a煤n existen m煤ltiples dudas sobre su seguridad. La raz贸n dentro de muchas es su funcionamiento, de acuerdo con una encuesta hecha por la consultora CyberArk a profesionales de las tecnolog铆as de la informaci贸n, el 53% dijo que los dirigentes de su empresa toman decisiones sin poner en consideraci贸n las implicaciones de seguridad.

鈥淟a seguridad es uno de los aspectos cr铆ticos que las compa帽铆as deben analizar al momento de contratar tecnolog铆a y los proveedores de servicios en la nube tenemos est谩ndares de seguridad globales con los que debemos cumplir, eso implica realizar an谩lisis, certificaciones y seguir protocolos. Desde el contrato, un proveedor debe garantizarte que tu informaci贸n est谩 segura鈥, explic贸 Rossana Bobadilla, directora general de Concur M茅xico.

A continuaci贸n le compartimos algunos lineamientos que demuestran que una empresa en la nube es segura:

Experiencia t茅cnica

Un eficiente servicio requiere que en su equipo haya expertos en seguridad en la nube y que el proveedor brinde informaci贸n de calidad a sus clientes sobre su funcionamiento.

鈥淒esde la perspectiva del consumidor 鈥榚n la nube鈥 significa d贸nde la magia pasa, d贸nde los detalles de implementaci贸n permanecen ocultos. As铆 que no debe ser sorpresa que ese ambiente est茅 lleno de mitos y malentendidos鈥, se帽ala el analista David Mitchell Smith, en un estudio de la consultora Gartner.

Certificados de seguridad

Una de las mejores formas de garantizar que un proveedor guarda datos empresariales de forma segura es que se someta a certificaciones de agentes calificados. Algunas de estas certificaciones son:

  • SSAE 16. Se trata de una auditor铆a del conjunto de controles t茅cnicos y de negocio que tiene un proveedor en la nube. Hay est谩ndares formales para que durante su realizaci贸n no queden huecos y la propia revisora se somete a pruebas.
  • Payment Card Industry Data Security Standard (PCI-DSS). Si tu servicio en la nube maneja de alguna forma informaci贸n de tarjetas de cr茅dito, busca que tengan una certificaci贸n PCI, un est谩ndar que es muy exigente e incluye m谩s de 150 requerimientos, entre ellos tener una encriptaci贸n fuerte en el procesamiento simult谩neo de m煤ltiples tarjetas de cr茅dito.
  • Solo algunas firmas conocidas como QSA (Qualified Security Assessor) tienen permitido realizar evaluaciones de cumplimiento del est谩ndar PCI, para eso pasan a su vez por un proceso de certificaci贸n.
  • ISO 27001. La norma ISO 27001 es el est谩ndar internacional que certifica un adecuado sistema de gesti贸n de la seguridad de la informaci贸n que se maneja en una empresa.

Gracas a las certificaciones, los servicios calificados buscan los potenciales problemas que pueden afectar a la organizaci贸n y definen qu茅 es necesario hacer para evitar violaciones en la seguridad. Para obtenerlo, la compa帽铆a que realiza la auditoria debe estar acreditada y tambi茅n someterse a revisiones.

Pruebas de hacking 茅tico

Los proveedores necesitan evaluar sus plataformas para encontrar vulnerabilidades, busca a los que realicen pruebas de intrusi贸n. Estos ejercicios son simulaciones de ataques hostiles que detectan brechas en el sistema para poder repararlas. Quienes las realizan son conocidos como hackers 茅ticos.

Buena seguridad en sus centros de datos

Las compa帽铆as de servicios en la nube deben invertir en la seguridad de sus centros de datos, por lo que existe gran control para acceder a ellos y tienen prohibidas las visitas.

Confidencialidad y privacidad indicadas en contrato

Al elegir a un proveedor revisa que garantice la confidencialidad de tus datos y recolecte solo los necesarios para dar el servicio contratado.

鈥淐ada dato se debe cuidar de diferente forma dependiendo de su importancia. En Concur el dato m谩s sensible que manejamos son los n煤meros de tarjeta corporativa, de los que no poseemos c贸digos de seguridad pero que se cuidan de forma estricta鈥, asegur贸 Bobadilla.

Actualizaciones

La mayor铆a de los proveedores en la nube ofrecen a sus clientes actualizaciones sin costo, la constante mejora significa tambi茅n mayor seguridad.

N. de P. Concur

HPE apuesta en seguridad de los datos para gobiernos y empresas globales

Hewlett Packard Enterprise (HPE) ha realizado el lanzamiento de SecureData, la nueva tecnolog铆a Hyper FPE ofrece un m茅todo probado de protecci贸n de datos en uso, est谩ticos y en movimiento de acuerdo con las normas NIST para organismos gubernamentales, empresas mundiales y organizaciones europeas que deben cumplir con los requisitos del Reglamento General de Protecci贸n de Datos (GDPR).

La firma destaca el encriptado o cifrado con preservaci贸n de formato y conjuntos de caracteres Unicode para datos en idiomas como alem谩n, franc茅s, espa帽ol, turco y m谩s. Con la irrupci贸n de la nube, el fen贸meno Big Data e Internet de las Cosas (IoT), la superficie de ataque se est谩 expandiendo r谩pidamente y esto hace que sea cr铆tico para las organizaciones adoptar un enfoque centrado en los datos para proteger su informaci贸n delicada.

Si se presenta una violaci贸n de los datos, un s贸lido cifrado y tokenizaci贸n (seguridad) har谩 que los datos perdidos sean in煤tiles para los atacantes y, por lo tanto, reducir谩 las ramificaciones financieras, operacionales y de reputaci贸n. IDC estima que el gasto total en software de seguridad para adecuarse al Reglamento General de Protecci贸n de Datos en Europa alcanzar谩 $81 millones de d贸lares en 2016, $1 335 millones de d贸lares en 2017 y $1 713 millones de d贸lares en 2018.

鈥淐on la disoluci贸n del per铆metro de la red, las organizaciones ahora est谩n siendo desafiadas a proteger aquello que buscan los atacantes en la actualidad: los datos鈥, afirm贸 Albert Biketi, vicepresidente y gerente general de HPE Security 鈥 Seguridad de Datos.

HPE SecureData con la tecnolog铆a Hyper FPE proporciona desempe帽o de cifrado acelerado en hasta 170% en escenarios conservadores, bas谩ndose en la tecnolog铆a FPE de alta velocidad actual, mientras se alinea con las necesidades de alto volumen de la pr贸xima generaci贸n de escenarios de Big Data, nube e Internet de las Cosas. Con esto se obtiene un s贸lido esquema de cifrado que permite modificaciones m铆nimas a la forma en que funcionan las aplicaciones y bases de datos existentes, lo que reduce significativamente la complejidad para los clientes.

Finalmente, para obtener una mejor optimizaci贸n y seguridad de los datos de las empresas, comercios y los procesadores de pagos enfrentan el desaf铆o de proteger datos delicados de alto valor, como informaci贸n de tarjetas de pago, y deben cumplir con las Normas de Seguridad de los Datos del Sector de Tarjetas de Pago (PCI DSS) y las leyes de privacidad de los datos que son m谩s estrictas que nunca.聽 Para ayudar a los clientes a enfrentar la complejidad y los costos crecientes, HPE SecureData con Hyper SST ofrece un enfoque de tokenizaci贸n optimizado patentado que maximiza la velocidad, la escalabilidad, la seguridad y la administraci贸n del proceso, duplicando efectivamente el desempe帽o de tokenizaci贸n potenciado de HPE SST que actualmente usa.

Redacci贸n

Los riesgos de seguridad en dispositivos m贸viles

驴Los fabricantes de dispositivos m贸viles deben decidir cu谩ndo cerrar vulnerabilidades en sus dispositivos? La Comisi贸n Federal de Comercio (FTC) y la Comisi贸n Federal de Comunicaciones (FCC) est谩n pidiendo en Estados Unidos a diferentes fabricantes la respuesta a esta y otras preguntas que les permita aclarar dichos cuestionamientos.

La investigaci贸n destaca que la protecci贸n de los dispositivos m贸viles contra el crimen cibern茅tico se est谩 fortaleciendo, la firma de seguridad G DATA tambi茅n ha hecho un llamado de atenci贸n sobre esta problem谩tica en diferentes ocasiones. Le acercamos diferentes factores que influyen en los riesgos de seguridad.

Lanzamiento anual de smartphones de gama alta

Son muchos fabricantes de smartphones lanzan una nueva versi贸n todos los a帽os. Adem谩s, hay una gran cantidad de dispositivos de gama media y baja. Cuando los usuarios adquieren un nuevo dispositivo no tienen claro si esta actualizado o por cu谩nto tiempo se les proporcionar谩 actualizaciones de seguridad importantes. Al proporcionar actualizaciones relacionadas con la seguridad, cabe destacar que hay demasiadas variables globales y los proveedores tienen que adaptarse a las actualizaciones de seguridad de acuerdo a su versi贸n de Android, lo que se traduce en un retraso en la entrega de actualizaciones del sistema a los usuarios.

Google publica actualizaciones de manera regular

Conforme el desarrollador del sistema operativo Android, Google es un buen ejemplo, y c贸mo Microsoft tiene sus d铆as programados de actualizaciones, existe un conjunto de ciclo mensual para la publicaci贸n de las actualizaciones de seguridad. Sin embargo, a veces esto puede tomar semanas o meses para que dichas actualizaciones puedan llegar a la mayor铆a de los usuarios. Esto tiene serias implicaciones para la seguridad de los dispositivos. Las vulnerabilidades graves permanecen sin cerrar por un periodo considerable de tiempo y pueden ser explotados por los atacantes.

Riesgos de seguridad innecesarios para los usuarios

Esto representa un riesgo de seguridad innecesario para los usuarios, especialmente cuando se considera el papel importante que los smartphones y tablets juegan en la vida privada y laboral de las personas. De acuerdo con un estudio realizado por ING-DiBa, el 47% de los propietarios de Smartphone o tablets llevan a cabo transacciones bancarias desde su dispositivo. La seguridad integral es especialmente importante para la banca y compas en l铆nea, pero las empresas tienen tambi茅n un inter茅s en asegurar que los dispositivos m贸viles que se utilizan en sus negocios, un agujero de seguridad abierto para los atacantes puede ser explotado para conducir a un enorme da帽o comercial.

Es necesario un cambio en el pensamiento

Es importante que los fabricantes y desarrolladores de sistemas operativos trabajen y colaboren en conjunto. Los procesos y procedimientos deben ser definidos para entregar r谩pidamente cambios en todos los propietarios de tel茅fono. Los ciberdelincuentes durante mucho tiempo han estado atacando a los dispositivos m贸viles, utilizando c贸digo malicioso cada vez m谩s maduro o sofisticado. Por lo tanto, el r谩pido despliegue de cambios relacionados con la seguridad est谩 en los intereses de los desarrolladores, fabricantes y, sobre todo, a los usuarios.

Redacci贸n

Se llev贸 a cabo el Big Data & Analytics Executive Forum 2016

CIO M茅xico y Computerworld M茅xico realizaron el Big Data & Analytics Executive Forum 2016, que llev贸 por t铆tulo 鈥淎nte el alud de datos, control y aprovechamiento鈥 durante el cual los asistentes tuvieron la oportunidad de ampliar sus conocimientos en Big Data y Analytics. Conozca los pormenores del evento.

Gartner identifica nuevas oportunidades de crecimiento a la PC

La consultora se帽ala que el mercado de la PC registr贸 unas de sus peores tasas en el primer trimestre de 2016. El margen de explotaci贸n de los ultraport谩tiles de alta gama podr铆a crecer hasta un 25%.

El mercado de la PC est谩 a la baja, lo demuestran las cifras registradas en el primer trimestre del a帽o, aunque existen nuevas oportunidades para los proveedores de PC, seg煤n las predicciones de Gartner. El PC ha dejado de ser el dispositivo elegido por los usuarios para acceder a Internet y en los 煤ltimos cinco a帽os, los env铆os mundiales de PC tradicionales, ya sean de escritorio y port谩tiles, han ca铆do de 343 millones de unidades en 2012 a un estimado de 232 millones de unidades en 2016, seg煤n datos aportados por Meike Escherich, analista de Gartner. En cuanto a los ingresos, el mercado global de PC tambi茅n ha ca铆do de los 219 000 millones de d贸lares en 2012 a los 122 000 millones de d贸lares estimados para 2016.

Seg煤n los datos de Gartner, fabricantes como Acer, Fujitsu, Samsung, Sony y Toshiba han perdido un 10.5% de la cuota de mercado desde 2011 y otros como Dell, HP o Lenovo, aunque aumentaron su cuota de mercado en el primer trimestre de 2016, han registraron descensos a帽o tras a帽o. Por regiones, aunque los mercados est谩n cambiando, Estados Unidos, China, Alemania, Reino Unido y Jap贸n siguen ocupando los primeros puestos en t茅rminos de volumen, aunque los consumidores en estos mercados tambi茅n han reducido el n煤mero de PC por hogar.

Pese a las malas cifras, Gartner es optimista en sus previsiones ya que las PC a煤n pueden competir con tabletas y tel茅fonos en sectores donde estos no pueden llegar, con pantallas m谩s grandes, teclados ergon贸micos, mayor capacidad de almacenamiento y procesadores m谩s potentes. “Con un mercado sobresaturado y la ca铆da de los precios medios de venta (ASP), los vendedores de PC deben centrarse en la optimizaci贸n de la rentabilidad para sostener el crecimiento鈥, explic贸 Tracy Tsai, vicepresidenta de investigaci贸n de Gartner.

Desmarc谩ndose de la tendencia, el mercado de los ultram贸viles de alta gama podr铆a ser el 煤nico segmento del mercado que consiga beneficios este a帽o. Gartner estima que este sector podr铆a alcanzar los 34.5 millones de d贸lares, lo que significar铆a en crecimiento del 16% respecto a 2015. Para 2019, podr铆a ser el sector con mayor crecimiento en t茅rminos de facturaci贸n con 57.6 millones de d贸lares. El crecimiento de la demanda viene dado por la necesidad de reemplazar los antiguos equipos y la experiencia t谩ctil que proporcionan los llamados dos-en- uno (tabletas e h铆bridos). Seg煤n Gartner, los proveedores de estos dispositivos deben ajustar sus portfolios a mercados como Norte Am茅rica, Europa, China o Jap贸n, donde el segmento de los ultra m贸viles Premium sigue creciendo.

Finalmente, la consultora destaca los equipos de c贸mputo destinados para el gaming, sobre todo en la gama alta, en rango de precios de 1000 d贸lares o m谩s, Gartner aconseja a los proveedores centrarse en la rentabilidad a largo plazo. Adem谩s la consultora apunta al Internet of Things como uno de los mercados a los que deber铆an acercarse los proveedores de PC, aunque primero deber谩n identificar en qu茅 谩reas podr铆an ofrecer m谩s beneficios.

Redacci贸n

 

Google generaliza la inteligencia artificial y el aprendizaje autom谩tico

El gigante de internet destac贸 con Google Home y las aplicaciones Allo y Duo completan las funciones del nuevo asistente de voz de la compa帽铆a para ayudar en tareas cotidianas.

La Conferencia de Google para desarrolladores I/O 16 ha sido el escenario elegido por la compa帽铆a para presentar su nuevo asistente de la mano de Sundar Pichai, el consejero delegado. Basado en la inteligencia artificial (IA) y el aprendizaje autom谩tico (machine learning), el asistente puede mantener un di谩logo continuo con el usuario ya que es capaz de entender el mundo real y ayudar al usuario a realizar tareas tales como comprar entradas o encontrar un restaurante.

Google Assistant es el nombre que ha recibido esta nueva herramienta que, adem谩s, es capaz de aprender de los patrones, las preferencias y los gustos del usuario para actuar en consecuencia. La IA y el aprendizaje autom谩tico est谩n cada vez m谩s presentes en las nuevas tecnolog铆as proporcionando una mejor experiencia de usuario, algo que Google no ha pasado por alto. Y es que como la propia compa帽铆a remarc贸, el mundo ha cambiado mucho desde que naciera Google hace 17 a帽os: 鈥渆n ese tiempo, hab铆a 300 millones de personas conectadas a trav茅s de computadoras. Hoy ese n煤mero asciende a 3 000 millones y la mayor铆a utiliza dispositivos m贸viles como forma principal de informarse, organizar su d铆a, trasladarse y mantenerse en contacto con familia y amigos鈥.

google-home

Pero el asistente no llega s贸lo. Google present贸 Google Home, un dispositivo con el que espera hacerse un hueco en los hogares. Se trata de un altavoz que se activa por voz que lleva el asistente por toda la casa. A trav茅s de Home se pueden realizar tareas cotidianas聽 como encender la tele o apagar la luz y recibir respuestas de Google a trav茅s de conversaciones con el dispositivo.

En la misma l铆nea, Google present贸 dos nuevas aplicaciones: Allo y Duo. Con Allo, el usuario podr谩 interactuar directamente con el asistente a trav茅s del chat. Tambi茅n servir谩 al usuario para hacer preguntas sobre su agenda o recibir sugerencias, todo a trav茅s del chat. La app incluye smart reply, que sugiere respuestas a mensajes basadas en el contexto. Por su parte, Duo es el asistente para llamadas de video. Entre otras cosas, incluye la funcionalidad Knock Knock que muestra un video en vivo de la persona que est谩 llamando, antes de responder a la llamada. Ambas aplicaciones se basan en el n煤mero telef贸nico, independientemente del sistema operativo que utilice.

Dentro de la conferencia, se le dio lugar a la siguiente versi贸n del sistema operativo m贸vil, destacando algunas novedades de Android N, contar谩 con mejor performance para gr谩ficos y efectos gracias a Vulkan, consumo de bater铆a y almacenamiento reducido, descarga de actualizaciones en background, notificaciones mejoradas y 72 nuevos emojis. Por el momento, el nuevo Android no tiene nombre y la compa帽铆a ha animado a los usuarios a enviar sus propuestas, siempre y cuando inicie con 鈥淣鈥 y sea un postre en el siguiente enlace.

google-vr-daydream

 

Google dio a conocer su nueva plataforma de realidad virtual para m贸viles, Daydream. A la plataforma, que estar谩 disponible en oto帽o, llegar谩n la mayor铆a de aplicaciones y juegos, incluidos los propios de Google. Los wearables tambi茅n tuvieron su espacio en la I/O con las primeras pinceladas de Wear 2.0, con apps independientes que funcionar谩n en el reloj inteligente incluso si est谩 lejos o apagado. En el apartado de aplicaciones se present贸 Android Instant Apps que dar谩 acceso directo a las aplicaciones sin necesidad de descargarlas.

Para los desarrolladores se lanzar谩 la expansi贸n de Firebase, una plataforma para que los desarrolladores puedan construir aplicaciones de alta calidad, hacer crecer su base de clientes y aumentar sus ingresos.

To帽i Herrero Alc谩ntara

 

Un hacker intenta vender 167 millones de registros de usuarios de LinkedIn

Los datos ofrecidos en la red contiene contrase帽as en formato hash de 117 millones de cuentas de LinkedIn y el robo podr铆a remontarse a 2012. Se recomienda cambiar la contrase帽a, sobre todo si se usa la misma para otros sitios, por ello durante esta semana la red social ha realizado la petici贸n de cambio de contrase帽a al intentar accesar.

Un hacker ha intentado vender una base de datos que contiene registros de cuentas de 167 millones de usuarios de LinkedIn. El anuncio se public贸 en un sitio web del mercado oscuro llamado TheRealDeal por un usuario que ped铆a 5 bitcoins, unos 2 200 d贸lares, por el conjunto de datos que supuestamente conten铆an ID de usuarios, direcciones de correo electr贸nico y contrase帽as SHA1 de 167 370 940 usuarios. Seg煤n el anuncio de la venta, el volcado no cubr铆a la base de datos completa de LinekdIn. De hecho, LinkedIn afirma que su sitio web tiene m谩s de 433 millones de miembros registrados.

Triy Hunt, creador de Have I been pwned?, un sitio web que permite a los usuarios comprobar si han sido afectados por filtraciones de datos conocidas, considera que es muy probable que la fuga sea ver铆dica. 脡l ha tenido acceso a alrededor de un mill贸n de registros del conjunto de datos. 鈥淗e visto un subconjunto de esos datos y puedo verificar que es real鈥, explica Hunt.

LinkedIn ya sufri贸 una brecha de datos en 2012, que dio como resultado que los registros de seis millones y medio de usuarios y las contrase帽as se publicaran online. Es muy posible que esa brecha de 2012 fuera m谩s grande de lo que se pensaba y el resto de datos robados est茅n saliendo a la luz ahora. Por el momento, Linkedin no se ha pronunciado al respecto a pesar de s贸lo pedir el cambio de la contrase帽a sin especificar la causa.

Los intentos de ponerse en contacto con el vendedor fracasaron, pero los administradores de LeakedSource, un sitio web de indexaci贸n de fugas de datos, afirman tener tambi茅n una copia del conjunto de datos y creen que estos registros provienen de la brecha de 2012.

Contrase帽as hash

Las contrase帽as fueron almacenadas en SHA1 sin salt, explicaron los administradores de LeakedSource en su blog. 鈥淓so no es lo que proponen los est谩ndares de Internet. S贸lo 117 millones de cuentas tienen contrase帽as y suponemos que el resto de usuarios se registraron a trav茅s de Facebook o algo similar鈥. Las mejores pr谩cticas de seguridad exigen que las contrase帽as se almacenen en formato hash dentro de las bases de datos. El hashing es una operaci贸n unidireccional que genera representaciones criptogr谩ficas 煤nicas y verificables de una cadena llamada hash. El hashing es la forma m谩s utilizada para validar contrase帽as porque la ejecuci贸n de una contrase帽a con el mismo proceso de hashing, siempre va a dar como resultado el mismo hash, lo que permite la comparaci贸n con una almacenada previamente en la base de datos.

La conversi贸n de un hash a la contrase帽a original deber铆a ser imposible, por lo que es m谩s seguro almacenar hashes en lugar de contrase帽as de texto sin formato. Sin embargo, existen antiguas funciones de hashing, como el MD5 y el SHA1, que son vulnerables a varias t茅cnicas de crackeo y no deber铆an ser usadas. Cuando 6.5 millones de contrase帽as hash de LinkedIn se filtraron en 2012, los hackers lograron desencriptar un 60% de ellas. Lo mismo puede pasar con estos 117 millones de nuevos hashes, por lo que no se puede considerar que est茅n a salvo.

Peor a煤n, es posible que muchos de estos usuarios de LinkedIn que se vieron afectados por la filtraci贸n, no hayan cambiado sus contrase帽as desde 2012. Hunt ha podido verificar este punto porque al menos un suscriptor de HIBP ten铆a su contrase帽a hash y direcci贸n de correo en el nuevo conjunto de datos que ahora ha salido a la venta.

Gran parte de los afectados por esta fuga son propensos a utilizar las mismas contrase帽as en m煤ltiples sitios de la web, seg煤n coment贸 Hunt. Se ha recomendado a los usuarios de LinkedIn que no hayan cambiado sus contrase帽as durante mucho tiempo, que lo hagan lo antes posible. Tambi茅n se recomienda activar la verificaci贸n en dos pasos de LinkedIn y si se utiliza la misma contrase帽a para otros sitios web, tambi茅n se deber铆a cambiar.

Lucian Constantin