La firma israelí NSO Group y su spyware Pegasus han vuelto a ser tema de interés después de que se revelara que múltiples gobiernos han usado esta herramienta de forma sistemática para vigilar a opositores políticos, periodistas, activistas y empresarios. Amnistía Internacional mostró que lejos de disminuir su actividad ante las severas violaciones de los Derechos Humanos, los gobiernos incrementaron el uso de esta herramienta.

Ante esto, si queremos saber si nuestro dispositivo se encuentra comprometido tenemos la posibilidad de utilizar un software de verificación. Mobile Verification Toolkit (MVT) es un conjunto de herramientas de código abierto disponible en GitHub y diseñado para cualquier usuario que desee analizar la integridad de sus sistemas operativos móviles.

MVT está disponible tanto para sistemas iOS como para Android, aunque su uso en este último sistema operativo puede resultar dificultoso para los usuarios no iniciados en seguridad móvil. Por otra parte, el sistema iOS almacena registros relevantes por mucho más tiempo, por lo que para Amnistía Internacional resultó más fácil encontrar muestras de Pegasus en dispositivos iPhone. Sigue leyendo →

FlightGear es un simulador de vuelo de código abierto. Que además, soporta gran variedad de plataformas populares (Windows, Mac, Linux, etc.) y es desarrollado por voluntarios cualificados de todo el mundo. El código fuente de todo el proyecto está disponible y licenciado bajo la Licencia Pública General GNU (GPL).

Hace poco más de un mes, se anunció que una nueva versión estable del genial juego de simulación de vuelos de código abierto conocido como FlightGear había sido liberada. Esta nueva versión bajo el número «FlightGear 2020.3.12» incluye interesantes y útiles novedades.

Según la publicación oficial del lanzamiento de la versión 20.3.12, de fecha 03/02/2022, estás son las actuales novedades, que abarcan pequeñas correcciones de errores y mejoras en varias áreas: Sigue leyendo →

Google ha dado a conocer el lanzamiento de la nueva versión de su navegador web «Chrome 100», una versión que a simple vista pareciera cualquier otro lanzamiento normal, pero está en especial es la primera que consta de tres dígitos en lugar de dos y la cual es posible que haya problemas en el trabajo de algunos sitios que usan bibliotecas incorrectas para analizar el valor de User-Agent.

En caso de problemas, hay una configuración «chrome://flags##force-major-version-to-minor» para devolver la salida en la versión 99 del encabezado User-Agent cuando en realidad se usa la versión 100.
Chrome 100 está marcado como la última versión con contenido completo de User-Agent.

En la próxima versión, se menciona que se comenzará a eliminar la información del encabezado HTTP del agente de usuario y los parámetros de JavaScript navigator.userAgent, navigator.appVersion y navigator.platform. solo se dejará en el encabezado el nombre del navegador, la versión principal del navegador, la plataforma y el tipo de dispositivo (teléfono móvil, PC, tableta). Deberá utilizar la API de sugerencias de cliente del agente de usuario para obtener datos adicionales, como la versión exacta y los datos de la plataforma extendida.

Para los sitios que no tienen suficiente información nueva y que aún no están listos para cambiar a User Agent Client Hints, hasta mayo de 2023, se brinda la oportunidad de devolver el User-Agent completo. Sigue leyendo →

Linux es el sistema operativo que ofrece una respuesta más rápida cuando se detecta algún error de seguridad en el sistema operativo, frente a otros competidores como Apple o Microsoft. Esta es una de las conclusiones obtenidas por Project Zero, el equipo de investigación en ciberseguridad de Google, en su último informe, donde ha procedido al análisis de las correcciones de errores y vulnerabilidades de los que informaban a los fabricantes.

Según los datos de Google, entre enero de 2019 y diciembre de 2021, Project Zero informó de la presencia de un total de 376 problemas detectados en plataformas de diferentes empresas, como Apple, Microsoft, Adobe, Google, Oracle o Linux. El procedimiento llevado a cabo es el siguiente: una vez que un proveedor recibe un informe de error dentro de un plazo estándar, tiene 90 días para corregirlo y actualizarlo con un parche de seguridad.

Este proveedor también puede solicitar un plazo adicional, también denominado período de gracia, de 14 días, si confirma que planea publicar la corrección en la conclusión de esa prórroga. En base a estas circunstancias, desde Google han analizado con qué frecuencia los proveedores pueden cumplir con estos plazos y hallar la solución y lanzarla con un parche de seguridad en diferentes plataformas.

Según apunta Google en este informe, generalmente, los resultados obtenidos por este estudio muestran que casi todos los grandes proveedores consiguen cumplir sus objetivos antes de los 90 días. En este caso, la mayor parte de las correcciones durante los 14 días adicionales a lo largo de los meses analizados fueron llevadas a cabo por Apple y Microsoft. Por su parte, la plataforma Oracle superó la fecha límite de los 104 días en total. Sigue leyendo →

La distribución de Kali Linux es una de las más populares y utilizadas para realizar auditorías de seguridad informática o realizar pruebas en los equipos. Cada nueva versión incluye diferentes mejoras de rendimiento, herramientas y novedades. En esta ocasión vamos a hablar de Kali Linux 2022.1, la última versión que acaba de salir y la primera de las cuatro que suele lanzar cada año.

Uno de los principales cambios que ha incorporado esta distribución de Linux para hacking ético tiene que ver con el aspecto visual. Tiene fondos de pantalla actualizados y el tema GRUB. Además, incluye mejoras visuales para mejorar la legibilidad al copiar código, que era una de las demandas de los desarrolladores. Los navegadores Chromium y Firefox han tenido un cambio de imagen en la página de inicio.

Por otra parte, otro cambio también significativo es una amplia compatibilidad con SSH. Se trata de una distribución para realizar pruebas orientadas a la seguridad informática. Por tanto, en este caso conviene tener acceso a algoritmos y cifrados más antiguos y que puedan estar obsoletos. Por ello, Kali Linux 2022.1, a diferencia de otras distribuciones que deshabilitan esos algoritmos en SSH para evitar problemas, ofrece la posibilidad de ampliar las opciones. Sigue leyendo →

Se ha corregido una vulnerabilidad de severidad crítica que afecta a Log4j que podría permitir la ejecución remota de código. Log4j es una utilidad de registro de código abierto basada en Java, ampliamente utilizada por aplicaciones empresariales y servicios en la nube.

Apache es uno de los programas más utilizados por los servidores de Internet. Cuando visitamos cualquier página web es muy probable que estemos conectado con una máquina que tenga instalado el servidor de HTTP Apache. Y dentro de Apache tenemos un software que se encarga de la gestión y control de los archivos de registro o LOGs. Un software que se llama Log4j.

Log4j es una biblioteca de código abierto desarrollada en Java por la Apache Software Foundation que permite a los desarrolladores de software escribir mensajes de registro, cuyo propósito es dejar constancia de una determinada transacción en tiempo de ejecución. Log4j permite filtrar los mensajes en función de su importancia. La configuración de salida y granularidad de los mensajes es realizada en tiempo de ejecución mediante el uso de archivos de configuración externos. Sigue leyendo →