Etiqueta: Yahoo

Verizon completa la adquisición de Yahoo por 4.500 millones de dólares

Verizon completó la compra de Yahoo con el fin de combinarlo con su negocio de AOL para la creación de una nueva filial, Oath; la cual tendrá más de 50 marcas de medios y tecnología que involucrará a más de mil millones de personas en todo el mundo. La lista de Oath incluye HuffPost, Yahoo Sports, AOL.com, MAKERS, Tumblr, BUILD Studios, Yahoo Finance, Yahoo Mail y más, con la misión de construir marcas que le guste a la gente.

“El cierre de esta transacción representa un paso crítico en el crecimiento de la escala global necesaria para nuestra empresa de medios digitales. El conjunto de activos de Verizon y Oath -desde realidad virtual a inteligencia artificial y desde el 5G a Internet de las Cosas- creará nuevas y emocionantes formas de cautivar a audiencias en todo el mundo”, explica Marni Walden, presidente de Verizon de Medios y Telemática.

Tim Armstrong, ex director general de AOL, es ahora CEO de Oath. El profesional ha liderado equipos de planificación de integración desde que se anunció la transacción de Yahoo en julio de 2016, y Oath comienza hoy su operación como líder mundial en tecnología digital y móvil. “Estamos construyendo el futuro de las marcas usando tecnología de gran alcance, contenido confiable y datos diferenciados. Tenemos marcas de consumo dominantes en noticias, deportes, finanzas, tecnología, entretenimiento y estilo de vida, junto con nuestras plataformas de tecnología publicitaria. Ahora que el acuerdo está cerrado, estamos muy contentos de enfocarnos en ser la mejor compañía para los medios de comunicación de consumo y el mejor socio para nuestros socios de publicidad, contenido y editores”, cuenta Amstrong.

Armstrong también está liderando los esfuerzos para seguir construyendo las soluciones de tecnología de publicidad más avanzadas y abiertas de la industria con marcas como ONE de AOL y BrightRoll, que abarcan anuncios móviles, de video, de búsqueda, nativos y programáticos.

Finalmente, Marissa Mayer, presidenta de Yahoo, presentó su dimisión tras el cierre de la transacción, según el comunicado de Verizon. De hecho, el nuevo organigrama no le reservaba ninguna función ejecutiva.

Redacción

 

Malas prácticas del equipo de seguridad de Yahoo

Una nueva investigación interna ha revelado las malas prácticas de Yahoo a la hora de lidiar con la brecha de seguridad que sufrió en 2014 y que dejó al descubierto la información de unos 500 millones de cuentas.

La compañía sabía en ese momento que algo estaba fallando, pero su estrategia de respuesta fue errónea y tardía. Es más, quien sabe si fruto de este comportamiento no pudo evitar que más adelante se convirtió en el mayor ataque de la historia a una gran compañía. El pasado mes de diciembre tuvo que informar de otro robo que, esta vez, afectaba a 1,000 millones de perfiles.

Volviendo a la primera brecha, que la firma de Sunnyvale atribuye a un atacante que contaba con el respaldo del estado, salieron a la luz detalles de usuarios como correos electrónicos, contraseñas o números de teléfono. Casi dos años después, cuando Yahoo hizo público el incidente, se estableció un comité de investigación independiente.

Dicho grupo afirma en sus conclusiones que tras saber que alguien había hackeado ciertas cuentas, los directivos tomaron algunas medidas como notificar del hecho a ciertos usuarios o añadir nuevas características de seguridad. Sin embargo, algunos altos ejecutivos no supieron o no pudieron comprender el alcance que podría llegar a tener el incidente. De hecho, en diciembre de 2014 el equipo de seguridad de Yahoo sabía que se habían robado copias de archivos que contenían datos de los clientes. “Lo que no está claro es si esa información fue entendida y comunicada fuera del equipo de seguridad”, reza el documento. “No hubo omisión intencional de información, aunque el equipo legal de Yahoo tenía razones más que suficientes para investigar las infracciones y no lo hizo”.

Dos años más tarde, cuando se filtró que una base de datos robada de la compañía estaba supuestamente a la venta en el mercado negro, la organización se vio obligada a informar de lo ocurrido. “Como resultado, el incidente no fue debidamente investigado y analizado”. Además, y de acuerdo con el comité, parece que Yahoo todavía no sabe cómo fueron robados todos esos datos. Debido a esta brecha, la empresa se enfrenta a 43 demandas colectivas.

Todos estos incidentes se han revelado en un proceso delicado para la compañía como es el de fusión con Verizon. Finalmente, y a pesar de las reticencias, la compra se ha podido concluir, pero siempre bajo las demandas de la operadora.

Redacción

 

Los 10 errores de seguridad que marcaron a la industria en 2016

Los cibercriminales son cada vez más sofisticados y sus ataques cada vez más dirigidos, ESET, comparte el ranking de los 10 incidentes de seguridad más importantes de los últimos 12 meses.

Dentro de los incidentes más destacados del 2016, se encuentran:

  1. Ataque DDoS a Dyn

En octubre, potentes ataques DDoS, interrumpieron una gran cantidad de sitios web, incluyendo Twitter, Netflix, PayPal, Pinterest y PlayStation Network, entre otros. El grupo detrás del ataque logró comprometer miles de dispositivos conectados a la Internet de las Cosas (IoT). Los atacantes los transformaron en una botnet (Red de equipos infectados por códigos maliciosos y controlados por un atacante de modo imperceptible para el usuario) e inundaron de tráfico al proveedor de alojamiento DNS Dyn (recientemente adquirido por Oracle).

  1. Los clientes de Tesco Bank perdieron dinero real

Aproximadamente 40,000 cuentas de Tesco Bank fueron comprometidas en un ciberataque a principios de noviembre. La técnica usada no fue muy significativa; lo impactante fue que miles de clientes perdieron dinero físico que habían depositado en sus cuentas, algo raro en la era del cibercrimen, donde la mayoría del daño involucra datos y es imperceptible para algunas víctimas. El banco reportó que a cerca de 9 mil clientes les robaron montos que rondan los 763 dólares, y prometió restituirlos en el transcurso de 24 horas hábiles.

  1. LinkedIn, Tumblr y Myspace sin respiro

En junio, un cibercriminal bajo el apodo “Peace” se hizo conocido por publicar datos de millones de usuarios de LinkedIn, Tumblr y Myspace. Más de medio billón de contraseñas estuvieron disponibles en línea. Según Wired, el listado incluía 167 millones de cuentas de usuarios de LinkedIn, 360 millones de MySpace, 68 millones de Tumblr, 100 millones de la red social rusa VK y 71 millones de Twitter, sumando más de 800 millones de cuentas y creciendo. Entre los afectados hubo figuras conocidas como el CEO de Facebook Mark Zuckerberg, los cantantes Katy Perry y Drake y el cofundador de Twitter Biz Stone, entre otros.

  1. Yahoo sufre una masiva brecha de seguridad

En septiembre, Yahoo! fue víctima de lo que luego se describió como “la brecha más grande en la historia”. La compañía tuvo que admitir que a cerca de 500 millones de clientes les podrían haber robado sus datos, incluyendo información sensible como nombres, direcciones de correo electrónico, números de teléfono y contraseñas. Este no era la primera brecha de Yahoo en lo que concierne a ciberseguridad, ya que también había sido atacada en 2014.

  1. Yahoo sufre otra masiva brecha

Cuando se creía que Yahoo había sufrido la brecha más grande de la historia, los días 14 y 15 de diciembre sale a la luz un incidente sin precedentes. La misma compañía anunció esta vez que cerca mil millones de cuentas de usuarios podrían haber sido comprometidas. Bob Lord, jefe de seguridad de la información en Yahoo, dijo que este incidente ocurrió en agosto de 2013. La información robada incluye nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y contraseñas.

  1. Píxeles infectados en publicidades que parecen inofensivas

Los investigadores de ESET descubrieron un exploit kit llamado Stegano propagándose a través de publicidades maliciosas en populares sitios de noticias, con millones de visitantes cada día. Por lo menos desde principios de octubre de 2016, los atacantes habían estado apuntando a usuarios de Internet Explorer y escaneando sus computadoras en busca de vulnerabilidades en Flash Player para explotarlas. Los ataques entran en la categoría del malvertising, debido a que el código malicioso se distribuye a través de banners publicitarios maliciosos.

  1. Ola de ataques contra la industria energética ucraniana

En enero, y tras reportar sobre los apagones energéticos de diciembre, el equipo de investigadores de ESET descubrió una nueva ola de ataques a empresas de distribución de electricidad en Ucrania. Se basaba en correos de phishing dirigido con archivos adjuntos maliciosos, que instaban a las víctimas a habilitar las macros. Probablemente se trate del primer caso en que un ataque de malware haya provocado un corte de energía eléctrica a gran escala.

  1. Cibercriminales apuntan a routers con contraseñas por defecto

En octubre, se alertó sobre ataques que apuntaban a routers de Brasil, aunque podrían ser localizados a cualquier otro país. Si bien estaban ocurriendo desde 2012, los riesgos que conllevan son mayores a medida que el número de equipos conectados aumenta. Se aprovecha el fácil acceso que brindan los usuarios al dejar las credenciales por defecto en sus routers, o bien en explotar vulnerabilidades en su firmware. Con acceso permitido al router, los atacantes pueden iniciar sesión y verificar la red en busca de otros dispositivos conectados, como Smart TVs, sistemas de control hogareño y heladeras inteligentes.

  1. Filtran información de empleados del Departamento de Justicia de Estados Unidos

En febrero, cibercriminales comprometieron la base de datos del Departamento de Justicia Estados Unidos. CNN reportó que los atacantes publicaron datos de 10 mil empleados del Departamento de Seguridad Nacional un día, y de 20 mil empleados del FBI al día siguiente. La información robada y filtrada incluye nombres, cargos, números de teléfono y direcciones de correo electrónico. El ataque demostró que las agencias gubernamentales pueden sufrir los mismos incidentes que las compañías.

  1. Votantes filipinos, pierden sus datos

En abril tuvo lugar uno de los ciberataques más impactantes del año. Un acceso no autorizado a la base de datos de la Comisión Filipina de Elecciones (COMELEC) resultó en la pérdida de información personal de todos los votantes en Filipinas, lo que equivale a 55 millones de personas aproximadamente. La información, supuestamente filtrada por Anonymous Philippines, fue puesta a disposición online por Lulzsec Pilipinas.

N.de P. ESET

Altaba será el nombre de la nueva compañía descendiente de Yahoo

Marissa Mayer deja la organización y seguido se realizaron los cambios, ahora la empresa operará como vehículo de inversión para las participaciones en Alibaba y Yahoo Japón. Por el momento, la actividad sigue su rumbo y los usuarios no notarán cambio alguno.

Marissa Mayer ya se está preparando para decir adiós a Yahoo, pero se resistirá a perder los valores y actividades de la marca. La compañía ha informado a la Comisión Nacional de Valores de los Estados Unidos de que todas sus acciones serán controladas por Verizon cuando se efectúe la compra. En cualquier caso, se trata de un movimiento que notarán más los accionistas de Yahoo que los propios usuarios para los que los cambios serán mínimos, al menos de momento y aunque el nombre de la firma pase a ser Altaba en los próximos meses.

La organización cuenta con dos activos muy importantes: una red mundial de portales de Internet y una participación del 15% en el gigante chino Alibaba. Además, se espera que Verizon fusione las actividades del portal de Yahoo con AOL, que compró en 2015. En julio, poco tiempo después de que se anunciara la operación Yahoo, Tim Armstrong, CEO de AOL, explicó que la marca Yahoo iba a permanecer con ellos por “mucho tiempo”, y que invertirían en ella. En esos momentos Armstrong apostaba por trabajar codo con codo con Mayer, la cual no quería dejar su puesto bajo ningún concepto.

Parece que lo que ha motivado esta marcha, han sido entonces las dos brechas de seguridad que ha revelado la empresa en los últimos meses y que han socavado la marca y la reputación del equipo directivo. Incluso, se llegó a especular con la marcha atrás de Verizon en el proceso de adquisición.

Una vez que Verizon asuma la marca, Altaba comenzará a operar como vehículo de inversión para las participaciones en Alibaba y Yahoo Japón, una compañía independiente de la cual Yahoo solo posee el 35.6%. La mayor parte de ésta pertenece a Softbank Group y a ARM.

Altaba tendrá que comenzar sus actividades con la renuncia de hasta seis miembros directivos, entre ellos Mayer. El pasado mes de diciembre Armstrong mostró su disposición a que Mayer continue en el cargo y comentó que espera que Marissa juegue un papel “importante” en el futuro de Yahoo. Por lo tanto, parece que con Yahoo no solo se va el nombre, sino que la directiva se lleva una gran parte.

Redacción

 

Yahoo cambia de nombre y Marissa Mayer deja la dirección

Yahoo, una de las compañías con gran impacto en el mundo de la web años atrás, cambiará su nombre a Altaba una vez que se haya efectuado su venta a Verizon. Además, su consejo de administración quedará reducido de 11 a cinco miembros, dejando, como consecuencia, la salida de la compañía de su CEO, Marissa Mayer, y del cofundador David Filo.

Los cambios son parte del acuerdo firmado en julio de 2016 por el que Yahoo pasaba a formar parte de Verizon por 4,800 millones de dólares. Y, cuando se haya completado, Yahoo pasará a ser una empresa de inversión. Las principales participaciones de Altaba serán las del gigante chino de comercio electrónico Alibaba y del portal japonés Yahoo Japan.

El acuerdo con Verizon ha estado bajo interrogante después de las famosas brechas de seguridad que sufrió el portal, una de ellas la mayor jamás conocida.

IDG.es

¿Qué ocurrió este año en el mundo TIC? Parte 2

Mañana es el último día del año, un 2016 que nos ha dejado una serie de importantes avances, fusiones, e incluso tropezones dentro del sector TIC. En la primera parte de este recuento vimos la generación de Dell Technologies, aniversario de Linux, entre otros. Aquí le tenemos la segunda parte de este repaso a lo más destacado de lo que pudimos ser testigos este 2016.

Puede ver la primera parte haciendo clic aquí.

El peligro de incendio en los Galaxy Note 7

La noticia resultó tan impactante y extraña como perjudicial para Samsung. Varias baterías de los modelos Galaxy Note 7 de la compañía surcoreana se incendiaron y el aluvión de quejas, imágenes y mensajes de los usuarios afectados ha terminado con la decisión del fabricante de retirar el terminal del mercado. La organización no supo reaccionar a tiempo y encontrar el problema que hacía que los dispositivos se sobrecalentaran de tal manera.  Además, las presiones de operadores tan importantes como AT&T, T-Mobile y Verizon, que decidieron sustituir esos modelos por otros de gama similar, terminaron por enterrar al Galaxy Note 7, que ha pasado a la historia y no precisamente por sus prestaciones.

En su corto trayecto de vida, el dispositivo dejó un descenso en bolsa importante para la compañía, y un reguero de críticas y burlas que han impactado notoriamente en la imagen de la compañía. Incluso, en algunos vuelos nacionales e internacionales fueron prohibidos a bordo, tal es el caso de Aeromexico e Internet. Sin embargo, expertos afirman que la compañía surcoreana se reinventará. Veremos si en el 2017 el fabricante se saca algún as de la manga.

 

Microsoft se abre un perfil en Linkedin

El golpe de efecto de la tecnológica en el sector de las redes sociales de servicios le ha costado 23.260 millones de dólares. En el mes de junio, el gigante de Redmond anunciaba la compra de Linkedin  con el objetivo de vincular los datos de la red social en Office y otros servicios. Por ejemplo, habrá una relación más estrecha e

ntre las funciones de currículum en Word y Linkedin, de manera que los usuarios que redacten sus CV en Word puedan actualizar sus perfiles de la red social automáticamente.

Sin embargo, el proceso de fusión no ha sido para nada un camino fácil. Salesforce, que también estuvo en la carrera por adquirir Linkedin, intentó bloquear la transacción alegando motivos anticompetitivos. Finalmente, y tras una serie de concesiones que Microsoft ha hecho a sus competidores, la empresa tiene la luz verde para culminar la operación.

microsoft-linkedin-700x400

Apple y los favores fiscales en Irlanda

La Comisión Europea ha determinado que Irlanda otorgó ventajas fiscales indebidas a la tecnológica por valor de hasta 13,000 millones de euros. Según la UE, esta práctica es ilegal, ya que ha permitido a la compañía de la manzana pagar muchos menos impuestos que otras empresas. Irlanda deberá proceder ahora a la recuperación del montante.

 

Yahoo tiene un problema con la seguridad

Si para entrar en el ranking de las noticias más destacadas del año se trataba de romper hitos, Yahoo puede estar de enhorabuena. O no. La compañía ha sido la protagonista de la mayor fuga de datos de la historia. La información personal y credenciales de más de 1.000 millones de cuentas fueron robadas al buscador, con el agravante de que el incidente se produjo en agosto de 2013, lo que representa más de tres años con una brecha de tal magnitud abierta.

Y, por si fuera poco, este no es el único caso que ha sufrido la compañía este año.  En el mes de septiembre la firma ya reportó otra incidencia que afectaba a 500 millones de cuentas y en la que entraban en juego datos bancarios sobre los usuarios. La (falta de) seguridad se ha cebado este año con Yahoo, justo cuando había sido anunciada su venta a Verizon por 4.830 millones de dólares. Ahora, la operación ha dado un vuelco es Verizon quien tiene la sartén por el mango y quién puede renegociar las condiciones de la fusión.

 

IDG.es

Los sitios webs más populares son vulnerables al spoofing

El spoofing se propaga por medio del correo electrónico, es una táctica muy común entre hackers y spammers en la cual se utiliza una dirección de correo falsa con fines maliciosos; estos mensajes pueden parecer provenientes de Google, de un banco, o incluso de un amigo si han llevado a cabo ingeniería social, pero siempre son correos falsos.

Los sistemas de autentificación han intentado solucionar este problema, pero la mayoría de las webs más importantes están fallando a la hora de utilizarlos de la forma correcta, lo cual abre la puerta al spoofing según explica la firma de seguridad sueca Detectify.

La empresa ha analizado los 500 principales sitios web del mundo, tomando el ranking de Alexa, y ha descubierto que 276 de la lista tienen dominios vulnerables al spoofing. De esos sitios, el 40% eran de noticias y medios, y un 16% eran empresas que ofrecían software como servicio.

Una forma común de intentar prevenir este tipo de ataques es mediante un sistema de validación llamado Sender Policy Framework, que básicamente crea un listado público advirtiendo de los servidores de correos que tienen permitido utilizar el dominio web. Idealmente, cualquier mensaje asociado al dominio se detecta como spam y es rechazado.

En la práctica, sin embargo, este sistema no puede ser suficiente en muchos casos. El SPF filtrará los correos de spam cuando los encuentre en la zona de ajustes, pero muchas de las webs implementan el sistema en un nivel mucho más suave, por lo cual, aunque se etiqueten y adviertan como correos spam, siguen siendo mandados al destinatario.

Las empresas a cargo de los dominios webs hacen esto para evitar perder ningún email legítimo que a lo mejor sea etiquetado erróneamente, según estima John Levine, consultor de infraestructura en correo electrónico. “Hay muchas formas de mandar un correo legítimamente, y el SOF solo puede computar algunas de ellas”, ha añadido.

Los proveedores de correos, como por ejemplo Gmail, también suelen marcar los correos sospechosos como spam, incluso aunque se utilice un SPF en su versión más débil según ha explicado Detectify.

Las empresas responsables de los diferentes dominios afectados no solían conocer su problema, o asumían que ya estaban protegidos suficientemente. Implementar un mejor sistema de validación puede ser complicado, y algunas empresas no lo marcan como una prioridad.

“Mucha gente piensa erróneamente que están protegidos al usar el SPF”, explica la compañía sueca de seguridad. Por ello, aconsejan utilizar un sistema de validación nuevo que se llama DMARC para prevenir el problema.

El sistema de validación DMARC, está siendo muy adoptado en la industria TI, incluyendo entre Yahoo y Google. Su protocolo está diseñado esencialmente para optimizar el proceso de detección de emails de spoofing, aunque aún no se conoce mucho. De hecho, según el estudio de Detectify, solo un 42% de las 500 empresas Top usan este sistema.

Aunque queda lejos de ser un sistema blindado, ha sido mucho más efectivo a la hora de prevenir ataques. Por ejemplo, muchos atacantes contra usuarios de Paypal han desistido del phishing como resultado de adoptar DMARC, según declaró Kaspersky Lab en 2015.

 

 

Twitter consideró comprar Yahoo

Es grande la lista de interesados para la compra de Yahoo, aunque las negociaciones nunca se han convertido en algo serio.

Twitter se habría planteado comprar Yahoo según ha publicado el New York Post, aunque no con buenos resultados. Por esta razón, el jefe ejecutivo de Twitter se reunió con Marissa Mayer, la CEO de Yahoo, con el fin de poder hablar sobre un trato hace varias semanas.

Sin embargo, esta posibilidad no ha durado mucho tiempo ya que Twitter ha roto las negociaciones poco después. La venta del negocio clave de Yahoo, centrado en Internet, se lanzó en diciembre del año pasado, después de intentar encontrar una solución fiscal eficiente a la venta de un 15.4% de inversión en la empresa de e-commerce Alibaba.com.

Cabe destacar que estos intentos fueron en vano. El valor de la inversión, que varía entre 20 000 y 30 000 millones de dólares a día de hoy, excede por mucho el valor del resto de Yahoo; su propio negocio de Internet, su punto fuerte, tiene solo un valor que oscila entre los 4 000 y los 8 000 millones de dólares según estimaciones externas.

Twitter contaba con 3 600 millones de dólares a final del primer semestre en líquido, por lo que la compra de esa sección del negocio de Yahoo no sería una idea descabellada. Sin embargo, la empresa de microblogging no está interesada de manera formal, ya que se ha tratado más de un tanteo que de un plan real. Durante la reunión que mantuvo la CEO Mayer y el jefe ejecutivo de Twitter no tomó parte Jack Dorsey, quién es el CEO de Twitter.

“Que no se presente el CEO en una reunión de este tipo hace dudar que se tome en serio la compra”, ha comentado una fuente cercana al Post. Según esa misma fuente, se trataba de una mera especulación. Ambas empresas han dado la misma respuesta a las publicaciones de la prensa: “No hacemos comentarios sobre rumores y especulaciones”.

Alibaba no es la única inversión de Yahoo, también posee un tercio de la joint venutre Yahoo Japan junto con la empresa japonesa de Internet Softbank (que también era inversora en Alibaba). Esta parte del negocio de Yahoo tiene un valor aproximado de 8 000 millones de dólares.

No parece que Softwbank vaya a ser uno de los interesados en comprar Yahoo, porque aunque es una compañía interesada en empresas americanas, en la actualidad no posee lo suficiente para invertir. De hecho hace dos semanas vendió su parte invertida en Alibaba.

Muy pocas empresa han llegado a tratar de negociar seriamente por la compra de Yahoo, aunque sí que ha tenido una larga lista de pretendientes informales, entre los que se encuentran Alphabet matriz de Google o AT&T, por mencionar un ejemplo.

Redacción

 

Google, Yahoo y Microsoft publican nuevo estándar de seguridad de email

El objetivo del nuevo mecanismo SMTP (Strict Transport Security es) asegurar que el tráfico de correo electrónico cifrado no es vulnerable a los ataques man-in-the-middle.

Los ingenieros de algunos de los mayores proveedores de servicios de correo electrónico de todo el mundo se han unido para mejorar la seguridad del tráfico de correo electrónico que atraviesa  Internet.

Ideado por los ingenieros de Google, Microsoft, Yahoo, Comcast, LinkedIn y 1 & 1 Mail & Media Development & Technology, el SMTP Strict Transport Security es un nuevo mecanismo que permite a los proveedores de correo electrónico definir políticas y normas para el establecimiento de comunicaciones por correo electrónico cifrados.

El nuevo mecanismo se define en un borrador, el cual fue publicado la semana pasada para su consideración como un estándar de Internet Engineering Task Force (IETF).

El Protocolo simple de transferencia de correo (SMTP), que se utiliza para transferir mensajes de correo electrónico entre clientes de correo electrónico y servidores, así como de un proveedor a otro, se remonta a 1982 y no se construyó con ninguna opción de cifrado.

En 2002, gracias a esta razón, ay una extensión llamada STARTTLS fue añadida al protocolo como una manera de incluir TLS (Transport Layer Security) con conexiones SMTP. Por desgracia, durante la década siguiente, no fue adoptado ampliamente la extensión, y el tráfico de correo electrónico intercambiados entre los servidores permaneció en gran parte sin cifrar.

Eso cambió después de 2013, cuando el exempleado  de la Agencia de Seguridad Nacional de Estados Unidos. Edward Snowden filtró documentos secretos que revelaron la vigilancia generalizada de las comunicaciones de Internet por las agencias de inteligencia de la Unión Americana, Reino Unido y otros países.

En mayo de 2014, Facebook, que envía miles de millones de mensajes de correo electrónico de notificación a los usuarios todos los días, hizo una prueba y se encontró que el 58% de los mensajes de correo electrónico pasa a través de una conexión cifrada con STARTTLS. En agosto de ese mismo año, la tasa aumentó a 95%.

Hay un problema, sin embargo: a diferencia de HTTPS (conocido como HTTP Seguro), STARTTLS permite lo que se conoce como cifrado oportunista. No valida los certificados digitales presentados por los servidores de correo electrónico, bajo el supuesto de que, incluso si la identidad del servidor no se puede verificar, cifrar el tráfico es mejor que nada. Esto significa que las conexiones STARTTLS son vulnerables a los ataques man-in-the-middle, donde un hacker en una posición de interceptar el tráfico podría presentar el remitente de correo electrónico con cualquier certificado, incluso un firmado por uno mismo, y será aceptado, lo que permite para el tráfico a ser descifrados. Además, las conexiones STARTTLS son vulnerables a los llamados ataques de versiones anteriores de cifrado, donde se extrae simplemente el cifrado.

La nueva propuesta de SMTP Strict Transport Security (SMTP STS) aborda estas dos cuestiones. Se ofrece a los proveedores de correo electrónico de los medios para informar a los clientes de que TLS que está disponible y se debe utilizar. También les dice cómo el certificado presentado debe ser validado y lo que debería ocurrir si una conexión TLS no se puede ser negociada con seguridad.

Estas políticas  SMTP STS se definen a través de los registros DNS especiales añadidos al nombre de dominio del servidor de correo electrónico. El protocolo proporciona mecanismos para que los clientes validen automáticamente estas políticas e informen sobre cualquier fallo. Los servidores también pueden informar a los clientes para esconder sus políticas SMTP STS durante un período específico de tiempo, con el fin de evitar que los atacantes man-in-the-middle puedan usar políticas fraudulentas cuando intentan conectarse.

El protocolo propuesto es similar al HTTP Strict Transport Security (HSTS), que está destinado a prevenir los ataques de HTTPS escondiendo la política HTTPS de un dominio localmente en el navegador. Lo hace, sin embargo, suponiendo que la primera conexión de un cliente particular hacia el servidor se realizó sin ser interceptado; de lo contrario, una política fraudulenta podría haber sido escondida.

Datos publicados por Google, señala que el 83% de los mensajes de correo electrónico enviados por los usuarios de Gmail a otros proveedores de correo electrónico de todo el mundo están cifrados, pero sólo el 69% de los correos electrónicos entrantes de otros proveedores se reciben por más de un canal cifrado.

También hay grandes discrepancias en el cifrado de correo electrónico entre las regiones del mundo, con proveedores de correo electrónico en Asia y África la situación es mucho peor que la de los proveedores en Europa y Estados Unidos.

Lucian Constantin

 

Yahoo podría vender su negocio central de Internet

La compañía está estudiando la venta de su negocio central que mantiene en internet, después de que un inversionista afirmara que la organización estaba considerando desprenderse de sus divisiones más importantes relacionadas con las búsquedas publicitarias.

Yahoo se había planteado previamente dividir las acciones que mantiene con Alibaba, por más de 30 000 millones de dólares, a través de un spinn off con Aabaco Holdings; pero de momento se mantiene a la espera a causa de la incertidumbre que podría generar la operación en forma de potenciales implicaciones a nivel impositivo. El consejo de administración de Yahoo se está planteando la venta de su negocio en internet cuando se reúnan esta semana, de acuerdo con un artículo publicado por el Wall Street Journal.

En una carta dirigida a Maynard J. Webb, Chairman del consejo de administración de Yahoo, y a su CEO, Marissa Mayer, Jeffrey C. Smith, el cual es inversionista y miembro de valor del comité de dirección de Yahoo,  expresaba que la spinn off con Aabaco no era la mejor alternativa, impulsando en su lugar a que se considere la venta del negocio central de Yahoo, centrado en la búsqueda y exposición de anuncios. En cuanto a la venta de las acciones de Alibaba, Smith señalaba que lo mejor era seguir manteniendo la participación en el negocio del gigante asiático de ventas por internet, así como a Yahoo Japan dentro del centro del negocio de la organización.

Finalmente, el inversionista amenazó con iniciar acciones que, según aseguró: “van  a generar grandes cambios en el comité de dirección de la compañía, si algunos de sus miembros continúa tomando decisiones adversas que destruyen el valor de los accionistas”.

-Marga Verdú