The Information Systems and Computer Applications examination covers material that is usually taught in an introductory college-level business information systems course.

Archive for July, 2014

  De 0 a profesional de la seguridad en 2 meses

 
Es algo sistémico: siempre llegan al buzón de correo muchas preguntas relacionadas a cómo empezar en el mundo de la seguridad para dar el paso a la parte profesional.
 
En muchas ocasiones son estudiantes, gente que está cursando ingenierías tecnológicas, y también hay un nutrido grupo de personas que trabajan en informática (desarrollo / sys admin) que les apetece iniciarse en este apasionante mundo, con la esperanza de convertirlo en su profesión.
 
Sin duda hay mucha información en internet, muchos blogs, tutoriales, recursos, cursos y libros. Cada uno puede iniciarse como más se ajuste a su forma de mejorar sus ‘skills’, pero a mi particularmente me gusta seguir un método basado en libros. Creo que es el pilar sobre el que debería sustentarse toda formación. Un libro siempre va a estar ahí, es ‘consultable’ y se puede leer en modo diagonal (para luego incidir en temas específicos) o leerlo letra-por-letra.
 
Dado que Chema, a través de la editorial 0xWord, ofrece un montón de interesantes packs de libros, me voy a tirar al ruedo y voy a crear mi propio pack llamado: De 0 a profesional de la seguridad en 2 meses
 
Ahora que es verano y que a la gente le suele sobrar tiempo, es el momento ideal de aprovechar estos calurosos meses para dar un giro al expediente profesional. Asumiendo el criterio de 1 libro x 1 semana. 8 libros = 8 semanas = 2 meses
 
Los libros que he seleccionado son bajo criterio personal, los habrá mejores, los habrá distintos, incluso el orden puede variar según gustos, pero, esta es mi elección:
 
La base: Mucha gente cae una y otra vez en el error de empezar por libros de hacking e intentar dar el ‘super salto’ de la nada a un libro que hable de SQLI o exploiting. En mi humilde opinión es un fallo, aquí aplica el famoso ‘dal cela pulil cela‘, antes de llegar a lo divertido, conviene tener una formación de base sobre seguridad en sistemas operativos lo más extensa posible. Antes de romper: saber como está fortificado.

 
Para mi, el mejor libro sobre seguridad en Windows, todos los resortes, mecanismos y el conocimiento necesario sobre cómo funciona un sistema Windows
 
Una vez estés harto de claves de registro, políticas de seguridad y ventanas, tu siguiente paso es cambiar todo eso por la línea de comandos, una shell y dominar al indómito Linux
 
 
¿Te han gustado los sistemas operativos? Todavía te falta un paso más antes de saltar al pentesting: Las redes. Es asombroso la cantidad de personas que llegan a adquirir un nivel muy respetable en pentesting que luego flaquean mucho en temas de red. Por eso, es importante entender cómo funciona IPV4 y el que se presupone será su descendiente IPV6
 
 
Momento de empezar a sacar partido a los conocimientos que has adquirido y empezar a conocer herramientas para saber encontrar vulnerabilidades y explotarlas. Relájate, no es necesario que este libro lo termines en una semana, puedes dedicarle un poco más de tiempo. Lo merece
 
 
El libro con el que, sin duda, más te vas a divertir. ¿El motivo? básicamente que hoy día hay miles y miles de sitios con este tipo de vulnerabilidades, apuesta a que en tu futura actividad profesional vas a rellenar mil informes con este tipo de vulnerabilidades.
 
 
Una vez hayas terminado este libro, sentirás que se te han desbloqueado un montón de conocimientos que, hasta ese momento, pensabas que estaban reservados a un selecto grupo de personas. Ojo ! este libro requiere poner los 5 sentidos.
 
 
En este punto deberías tener un conocimiento técnico muy elevado, conoces y dominas la forma en la que un sistema puede ser vulnerable, tanto a nivel Web como a nivel interno. Has usado un buen número de herramientas, pero … como dice el anuncio: la potencia sin control no sirve de NADA. Y esto es 100% cierto en el mundo profesional. De nada vale tener un ninja si luego no es capaz de tener método y saber ser ordenado mentalmente para rematar un buen trabajo. Este libro te aportará orden mental y formas de presentar tu trabajo con estilo profesional.
 
 
Por último, pero no por ello menos importante, creo que es de alta relevancia que un buen profesional de la seguridad adquiera conocimientos de informática forense. Es una disciplina muy ‘CSI’, en la que se puede desarrollar un alto grado de creatividad.

Programas web de gestión de contraseñas: SUSPENSO

  Security By Default by José A. Guasch  

Listado de aplicaciones web de gestión de contraseñas analizadas


Migrando a la nube: bondades y peligros de la virtualización

 ESET Latinoamérica – Laboratorio by Denise Giusto Bilić 

La construcción de una arquitectura en la nube presupone una serie de nuevos factores a tener en cuenta. La esencia misma de la computación en la nube es la virtualización, que se utiliza para separar una única máquina física en múltiples máquinas virtuales de una manera eficiente. La virtualización es rentable, permitiendo la ejecución de numerosas máquinas virtuales en un mismo equipo físico, pudiendo arrendarse parte de los recursos de los servidores físicos a otros interesados.

Además ofrece portabilidad, ya que pueden moverse de un servidor físico a otro en cuestión de segundos y sin tiempo de inactividad, como así también crearse de manera rápida y fácil. Otra ventaja es la ubicación de las máquinas virtuales en un centro de datos: no importa dónde se encuentre nuestro CPD, las máquinas virtuales podrán copiarse entre centros de datos con facilidad.

Existen tres modelos básicos de servicios de cloud computingSaaS (Software as a Service),PaaS (Platform as a Service) y IaaS (Infrastructure as a Service), y tres modelos básicos de despliegue: público, comunitario y privado. Al modelar el sistema, tenemos que ser conscientes de quecon un mayor control sobre la nube, tendremos mayores posibilidades de aumentar su seguridad. Así, un modelo IaaS nos permitirá ajustar mejor la seguridad con respecto a un modelo SaaS, y lo mismo ocurrirá con una nube privada en comparación con una pública.

Mientras que el principal beneficio de la virtualización es la rentabilidad, la personalización del entorno aumenta el costo de implementación con la ventaja de una mayor seguridad. Todo aquello que no está bajo el control directo del cliente, debe ser administrado por el CSP (Cloud Service Provider). Cuando se trabaja con una nube pública, es el trabajo del CSP asegurar correctamente todos los aspectos de la infraestructura en la nube, ya que el cliente por lo general no tiene acceso a ella, pero en una nube privada tendremos que cuidar de esas implicaciones nosotros mismos.

Particularidades de los entornos virtualizados

Los entornos virtualizados más simples utilizan sólo una red en la que residen todas las máquinas virtuales, pero esto –como puede intuirse- no resulta muy seguro. Con el fin de limitar la posibilidad de propagación ante una inminente infección, las redes necesitan ser separadas adecuadamente en múltiples zonas desmilitarizadas con claras reglas de conectividad entre ellas.

Como clientes que intentamos migrar nuestros servicios a la nube, podemos solicitar al proveedor que cree una DMZ (zona desmilitarizada) para uso exclusivo de nuestras máquinas virtuales. O podemos ir un paso más allá y requerir equipos de red independientes, como switches dedicados a través de los cuales sólo fluya el tráfico destinado a nuestras propias máquinas virtuales. Podemos también solicitar al CSP que utilice VLAN tagging o trunking para nuestras máquinas virtuales –es decir que todos los paquetes destinados a y procedentes de nuestras propias máquinas virtuales tendrán un determinado ID de VLAN, de modo que sólo las interfaces de red en la misma VLAN serán capaces de recibir y procesar esos paquetes.

En segundo lugar, al contratar un servicio de entorno virtualizado, nuestras máquinas virtuales por lo general residen en un servidor físico común con máquinas virtuales de otros clientes. Entonces, una manera de aumentar la seguridad es alquilar el servidor físico completo para nuestro uso exclusivo, ya que las máquinas virtuales de otros inquilinos residirán en otro lugar.

La virtualización en sí misma proporciona otra capa de defensa contra los atacantes, ya que cada máquina virtual está por sí misma aislada del resto. Por lo tanto, si un atacante es capaz de poner en peligro una máquina virtual, está operando en un entorno aislado. Aún más, la virtualización también proporciona la posibilidad de almacenar la copia corrupta de la máquina virtual para su posterior análisis forense.

Finalmente, cada máquina virtual necesitará su propio lugar de almacenamiento de datos, el cual normalmente reside en un servidor de almacenamiento externo y centralizado. Por lo tanto, los datos que pertenecen a cada máquina virtual se escriben en el mismo disco duro, accesible a través de la red. Con el fin de mejorar la seguridad, podemos contratar un servidor de almacenamiento de datos dedicado.

Aún más, cuando los datos de varias máquinas virtuales se almacenan en un servidor centralizado de datos, existe la posibilidad de que una máquina virtual pueda acceder a los datos de otra. Para evitar este problema, siempre podemos cifrar los datos que guardamos en el almacén de datos, para que incluso si otra máquina virtual puede leerlos, los mismos le resulten ilegibles.

Inquietudes al utilizar virtualización en la nube

Como ya vimos, la virtualización ofrece muchas ventajas, como la rentabilidadmayor tiempo de actividad, y una mejor recuperación de desastres. A pesar de estos beneficios, también deben tenerse en cuenta nuevos vectores de ataque.

  • Virtual Machine Monitor (VMM)

El VMM se utiliza para separar los sistemas operativos de las máquinas virtuales del hardware físico. Cuando añadimos una nueva máquina virtual sobre la máquina física, debemos asegurarnos de queel sistema operativo tiene las últimas actualizaciones de seguridad y el software ha sido debidamente actualizado.

Una vez que el atacante ha ganado acceso administrativo al sistema operativo invitado, puede continuar avanzando en búsqueda de vulnerabilidades existentes en el VMM –y explotándolas con éxito, puede obtener acceso completo a la máquina física. Aún más, una vez que el atacante tiene acceso al VMM, puede acceder fácilmente a todas las máquinas virtuales que se ejecutan en ese equipo físico.

Por ello destacamos la importancia de tener un VMM seguro. No necesita ser tan completo como un sistema operativo, pues se encarga sólo de un conjunto limitado de funciones; en consecuencia, también tiene un menor número de puntos de acceso susceptibles de ser atacados y explotados. El problema radica en que los VMMs son rara vez actualizados y, por consiguiente, una nueva vulnerabilidad de seguridad podría probablemente permanecer sin ser parcheada durante un largo periodo de tiempo.

Claro está que la actualización periódica del VMM es crucial. Puesto que presenta un número bajo de vulnerabilidades, deberemos actualizarlo pocas veces, pero es vital que esto se realice. No nos protege contra vulnerabilidades de tipo zero day, pero al menos sí de otras vulnerabilidades conocidas.

  • Asignación de recursos

Cuando un recurso determinado –como el almacenamiento externo o la memoria física- se asigna a una máquina virtual, la misma puede utilizarlo para almacenar sus datos. Si los recursos son posteriormente reasignados dado que la anterior ha dejado de requerirlos, la nueva máquina virtual podría leer los datos ajenos del disco duro o la memoria. Es entonces fundamental verificar la correcta eliminación de los datos almacenados en los recursos cuando estos se encuentran en transición de una máquina virtual a otra.

Al asignar memoria a una nueva máquina virtual, la memoria debe ser previamente llenada con ceros a fin de evitar exfiltración de datos. Lo mismo aplica a discos duros, ya que una nueva máquina virtual podría utilizar diferentes herramientas forenses para leer el contenido no estructurado del disco, cuyos datos podrían aún estar presentes incluso después de recrear las particiones.

  • Ataques a máquinas virtuales

Si un atacante obtiene acceso a una máquina virtual mediante la explotación de una vulnerabilidad en una de las aplicaciones que se ejecutan sobre la misma, puede luego utilizar la red para atacar otras aplicaciones que se ejecutan en diferentes máquinas virtuales. Si la máquina virtual se ejecuta en el mismo host físico que la máquina virtual comprometida, puede ser difícil de detectar este tipo de ataques. Para ello es necesario el control de tráfico entrante y saliente para cada máquina virtual en el mismo host físico.

Debemos asegurarnos de que el software de virtualización puede diferenciar tráfico entrante y saliente de diferentes máquinas virtuales. Un esquema de monitoreo de tráfico incluye la duplicación de todo el tráfico de un puerto específico sobre un switch a otro puerto, con el objeto de analizar los datos con un IDS (Intrusion Detection System) o IPS (Intrusion Prevention System).

  • Ataques de migración

La migración consiste por lo general en transferir toda la máquina virtual a través de la red desde una máquina física a otra. Para un ataque exitoso, el atacante necesita tener acceso a la red en la que las migraciones se llevan a cabo, pudiendo leer o escribir la memoria. Cuando la comunicación no está cifrada, el atacante puede realizar un ataque Man In The Middle (MITM) para copiar todo el archivo VHD de la máquina virtual.

Es necesario desplegar un mecanismo para detección de ataque MITM, y además debiese garantizarse que las migraciones se realicen sobre canales de comunicación seguros como TLS.

En resumen…

La seguridad en entornos virtualizados en la nube no es imposible. Sólo debemos ser conscientes de las inquietudes de seguridad que rodean esta arquitectura y tomarnos el tiempo para hacerles frente de manera adecuada. Una vez que las medidas de mitigación han sido establecidas, restará entonces dedicarnos a ponerlas a prueba a fin de constatar que efectivamente hemos logrado construir un sistema seguro contra amenazas conocidas.

Créditos imagen: ©Tsahi Levent-Levi/Flickr
 

El post Migrando a la nube: bondades y peligros de la virtualización aparece primero en We Live Security en Español.

 
 

Cómo cuidar la batería de tus gadgets para extender su vida útil

 
Imagen de FastCo.

 

 

Las baterías son partes fundamentales, y su cuidado es algo que tomar muy en serio. Por ello, os damos unos sencillos trucos con los que podréis cuidarla y aumentar su vida útil.

Las baterías son una de las partes fundamentales de cualquier dispositivo electrónico. Son la fuente de energía gracias a la cual el resto de componentes internos pueden funcionar, por lo que un fallo en esta puede tener graves consecuencias en el resto del producto. Es por esto por lo que debemos prestarles atención y cuidar la batería de nuestros dispositivos, especialmente teniendo en cuenta su gran sensibilidad a diversos factores externos (como temperaturas, intensidades de corriente…).

Pero también es cierto que el cuidado de las baterías es algo que la gran mayoría de personas no tienen en consideración, bien porque desconocen esta necesidad o bien porque están confusos por los miles de consejos contradictorios que se han ido formando en los últimos años sobre este tema. No obstante, con estos simples consejos que os voy a indicar a continuación, cuidar la batería de tu smartphone, tablet o portátil será algo realmente sencillo, y, sin lugar a dudas, nuestra batería nos lo agradecerá eternamente.

  • Adiós a las cargas iniciales de 8 horas. Una creencia muy común (y que muchos vendedores de tecnología siguen comunicando a sus clientes tras la venta de un producto electrónico) es la necesidad de proporcionar una carga inicial de unas 8 horas a las baterías. Es un error. Con las baterías de litio, esa costumbre no solo es innecesaria, sino que perjudica (mínimamente, eso sí) a la salud de la batería. Así pues, nada de dar una carga inicial de 8 horas a nuestro gadget tras sacarlo de la caja.

  • No dejar conectado el cargador si ya se encuentra al 100% de carga. Probablemente todas las noches conecten su smartphone, tablet o portátil a la corriente eléctrica para cargar sus baterías. Es un hábito que un gran número de personas tienen. Pero, si deseamos cuidar la batería de nuestro gadget en cuestión, debemos deshacernos de este. Mantener el cargador conectado cuando la batería ya está al 100% de carga perjudica gravemente a la salud de la misma (obviamente, me refiero a hacerlo de forma continuada). En caso de que no podamos evitar dejar conectado nuestro dispositivo a la corriente eléctrica durante la noche, dejenlo apagado. Si se carga mientras está apagado, la batería no se resentirá tanto. No obstante, lo idóneo es desconectar el cargador cuando la carga sea máxima.

  • Evitar los porcentajes bajos de batería durante tiempos prolongados. Las baterías de litio adoran recibir carga y mantener electricidad, por lo que mantenerla en repetidas ocasiones a porcentajes bajos solo implicará una reducción de su vida útil y de su capacidad máxima. Lo recomendado es que nunca bajen del 5%-10% de carga.

cuidar la batería

  • No es necesario hacer ciclos completos de carga. Otra de las creencias populares dice que, para cuidar la batería de nuestro gadget, debemos hacer ciclos completos de carga. Es decir, esperar a que esta llegue a un porcentaje bajo y, en ese momento, conectarlo al cargador hasta que llegue al máximo de carga. Con las baterías de litio (que son las que incorporan el 99% de los gadgets de consumo), esto no es necesario. Podemos cargar desde el 20% hasta el 70%, por ejemplo, y esto no tendrá ningún impacto en la salud y en la vida útil de la batería.

  • Las calibraciones de batería son nuestras mejores amigas. La información que nos muestra nuestro dispositivo sobre la carga de la batería tiende a tener pequeñas variaciones con la realidad. Esas variaciones, con el tiempo, suelen aumentar, por lo que, cada cierto tiempo, es recomendable calibrar la batería de nuestro smartphone para que esos datos sigan siendo correctos y la autonomía que es capaz de proporcionar esa batería sea la mayor posible. ¿Cómo se hace? En la mayoría de casos, basta con descargar por completo la batería (hasta que el terminal se apague por completo) y conectar el cargador durante varias horas con el dispositivo apagado (hasta que esté cargado por completo) –no obstante, en función del dispositivo pueden haber pequeñas variaciones en este proceso–. Es cierto que este proceso se contradice con otros citados en este artículo, pero, como se suele decir, “una vez al año no hace daño”, pues lo realmente perjudicial es hacerlo de forma continuada.

  • No todos los cargadores son iguales. Aunque los puertos se están estandarizando en una gran cantidad de productos –gracias, microUSB–, los transformadores que se conectan a la corriente eléctrica no siempre tienen las mismas características. Lo recomendable es utilizar transformadores similares al que se adjunta con el producto, pues estos proporcionarán los valores de intensidad y voltaje para los que el gadget en cuestión ha sido diseñado. Si, por ejemplo, el transformador de nuestro cargador es de 5V y 2A, debemos buscar utilizar uno con los mismos valores si queremos cuidar la batería y la circuitería interna de nuestro gadget.

  • Si no la vas a necesitar, retira la batería. Las baterías están pensadas para que nuestros gadgets puedan funcionar lejos de los enchufes. Pero, si no vamos a estar lejos de un enchufe, se recomienda retirar la batería de nuestro gadget y mantenerlo conectado a la corriente eléctrica –generalmente, solo los ordenadores portátiles permiten hacer esto–. De esta forma, no estaremos dando uso a la batería y esta se conservará mejor.

cuidar la bateria

  • Si no vas a usar la batería durante un tiempo, mantenla al 40% de carga. Si sales de viaje durante un tiempo o, simplemente, vas a guardar tu gadget en el cajón, lo recomendable es que dejemos la batería con un 40% de carga aproximadamente. Ni al máximo, ni al mínimo. Lo idóneo es entre un 40% y un 60%. Por esta razón es por la que todos los dispositivos electrónicos, cuando los sacamos de la caja por primera vez, tienen aproximadamente esos porcentajes de carga.

  • La temperatura y la humedad, dos factores muy importantes. Las baterías son muy sensibles a las fuertes variaciones de temperatura y humedad en el ambiente, por lo que lo idóneo es que siempre las mantengamos en sus valores nominales, los cuales suelen venir indicados en la propia batería o en el manual de instrucciones. En principio no debemos preocuparnos por esto en nuestro día a día (salvo que vivamos en condiciones extremas de calor, frío o humedad), pero sí debemos evitar acciones como dejar nuestros gadgets expuestos a luz solar directa durante tiempos prolongados –muy habitual en verano, por cierto–.

  • Evitar las fuentes de energía inestables. Y con esto no me refiero a la corriente eléctrica como tal (pues suele ser estable, salvo fallos en la red eléctrica). Hablo fuentes de energía como baterías portátiles o cargadores solares. ¿Ven esa batería externa portátil ultrabarata con miles de mAh de capacidad que ha creado una marca totalmente desconocida? Aparentemente parece una buena idea, pero es muy probable que los componentes internos de dicha batería no puedan proporcionar una corriente eléctrica estable, algo que perjudica tanto a la batería del gadget como al resto de la circuitería interna del mismo. Así pues, eviten este tipo de fuentes o, al menos, asegurense de la calidad de las mismas.

  • Regular el consumo y el uso de la batería. Aunque parezca obvio, si reducimos el consumo de nuestro gadget (reduciendo el brillo, las conexiones que no empleamos y demás), la batería tardará más en agotarse y, con el paso del tiempo, la habremos cargado un menor número de veces. Este menor número de cargas, con el paso del tiempo, también implica una mayor vida útil, pues el desgaste de la batería es menor que si la estamos cargando y descargando constantemente.

Aunque a priori pueden parecer muchos consejos y difíciles de seguir, la realidad es que es realmente sencillo incorporarlos en nuestra rutina. Los primeros días, obviamente, nos costará un poco seguirlos, pero con el tiempo se convertirán en unos hábitos que nos agradecerán tanto nuestra batería como nuestro propio bolsillo.

 


Las dos últimas graves vulnerabilidades en plugins de WordPress

 
 
WordPress se caracteriza por ser uno de los gestores de contenidos con menos vulnerabilidades tanto en su core como en sus plugins o añadidos. Eso si, por su gran difusión, en el momento que aparece una, el impacto puede ser alto afectando a millones de instalaciones por todo el mundo. 
 
Además, un problema añadido es ya no solo la instalación indiscriminada deplugins por parte de los administradores (los cuales añaden una capa de posibles vectores de ataques), si no que cada vez más los temas utilizados incluyen a su vez herramientas de gestión de imágenes o recursos o pequeñas mini-aplicaciones que, en caso de descubrir una vulnerabilidad, afectarían a todos los que dispongan del theme instalado (y no necesariamente implantado) por el simple hecho de tener sus ficheros accesibles.
 
En la última semana, han surgido dos vulnerabilidades graves en ficheros y plugins que podrían comprometer el sistema dónde se ubique el blog, permitiendo en tanto ejecución remota de código como la subida de ficheros sin necesidad de estar autenticado.
 
WordPress TimThumb 2.8.13 WebShot – Remote Code Execution
 
No es la primera vez que se descubre una vulnerabilidad en el script de gestión y redimensionamiento de imagenes TimThumb. Hace unos años se descubrió (de una forma accidentada tras  el compromiso de un servidor con WordPress) que existía un fallo en el script al validar los dominios desde donde se permitía la subida de ficheros de imágenes al servidor a través de la aplicación. Entre estos dominios se encontraban los de blogger.com, picassa.com, wordpress.com, etc. Si uno conseguía crearse un subdominio dentro de un dominio controlado que incluyese dichas palabras (por ejemplo, blogger.com.miservidor.com), el script aceptaría la carga remota del fichero y se subiría al servidor.
 
Pues bien, TimThumb vuelve a sufrir una grave vulnerabilidad (sobretodo en caso de tener habilitada la funcionalidad WEBSHOT) pero esta vez de ejecución de comandos, tal y como se reportó en primer lugar en la lista de Full-Disclosure (como ya vimos en losúltimos enlaces de la SECmana):
 
Ejecución de comandos a través del script TimThumb de WordPress con WEBSHOT
 
Sección de código vulnerable cuyo final consiste en la ejecución de comandos que se introduzcan como parámetro
 
Remote File Upload Vulnerability in WordPress MailPoet Plugin (wysija-newsletters)
 
Un miembro del equipo de seguridad de Sucuri (Marc-Alexandre Montpas) ha descubierto una grave vulnerabilidad en el plugin MailPoet (utilizado para el envío y gestión de respuestas en newsletters desde WordPress), descargado por más de 1’75 millones según las estadísticas de su página en Plugins WordPress.org:
 
Página del plugin MailPoet en WordPress.org
 
No se sabe mucha información técnica por el momento acerca de esta vulnerabilidad, ya que debido a su gravedad han decidido únicamente avisar al desarrollador y publicar el aviso de actualización urgente a todos los usuarios. Lo que si han comentado en el post del blog de Sucuri es que se recomienda a todos los desarrolladores de plugins queNUNCA se utilicen as funciones admin_init() is_admin() como método de autenticación para la realización de tareas importantes de gestión.
 
La actualización de este plugin se publicó el 1 de Julio, y los desarrolladores de MailPoet únicamente han comentado lo siguiente en su Changelog:

Fragmento de los cambios tras actualización del plugin a la versión 2.6.7 el 1 de Julio
 

Cómo compartir Wi-Fi en Android L de forma segura

ESET Latinoamérica – Laboratorio by Sabrina Pagnotta

De seguro alguna vez te pasó: tus amigos van a tu casa y te piden la contraseña de tu red Wi-Fi para tener nuevamente sus dispositivos conectados a Internet. Tal vez tú seas un entusiasta de la seguridad y no te sientas cómodo entregando tu contraseña abiertamente, por lo que esta noticia va a ser de tu interés: en Android L, la próxima actualización del sistema operativo de Google, se podrá almacenar la clave codificada en una etiqueta NFC y compartirla sin que nadie la vea.

Las etiquetas inteligentes (o NFC tags en inglés) son una especie de stickers que poseen un chip con tecnología NFC (Near Field Communication) integrado, lo que permite utilizarlas para intercambiar datos como música o fotos a una corta distancia y con alta frecuencia, en forma inalámbrica. Dependiendo de cómo se programa la etiqueta, puede cambiar varios ajustes o aplicaciones de lanzamiento y realizar ciertas acciones con sólo acercar el teléfono. Para ello, la tag necesita una pequeña cantidad de energía que toma de los teléfonos inteligentes y envía y almacena la información.

Muchas son las posibilidades que ofrece el uso de etiquetas inteligentes, aunque poco han sido explotadas. De todas formas, los nuevos smartphones ya vienen con soporte NFC integrado ya que su fácil programación y reducido costo lo están permitiendo.

Ahora bien, como te anticipábamos más arriba, la nueva versión Android L permitirá compartir la contraseña de una red Wi-Fi sin que nadie la vea, en forma codificada a través de una etiqueta NFC -siempre y cuando los invitados tengan esa tecnología en sus dispositivos. HTC, Samsung y Sony ya han elaborado equipos con chips NFC que pueden leer códigos de otros teléfonos, o de stickers, posters y carteles, de forma similar a como se escanea un código QR.

Compartiendo Wi-Fi en forma segura

android-l

Android L, lanzado esta semana para desarrolladores y disponible para el publico el próximo verano, ofrece una forma fácil de codificar la clave para compartirla: una vez visualizada la red, al desplegar las opciones asociadas a ella aparecerá “escribir a etiqueta NFC”. Luego, es necesario ingresar la contraseña y quedará codificada para que cualquier invitado que posea un dispositivo con NFC toque la etiqueta y se una a la red Wi-Fi.

Las siguientes capturas publicadas por Android Police muestran el proceso:

android-l
En versiones actuales de Android, hacer esto requerirá un poco más de esfuerzo y aplicaciones de terceros.

Sin dudas, podemos ver cómo la tecnología NFC será útil a la hora de mantener las buenas prácticas de seguridad en dispositivos móviles. No te olvides de leer nuestra nueva Guía de seguridad en Android, que te brinda los mejores consejos para proteger tu equipo y tu información.

Créditos imagen: ©wetwebwork/Flickr

El post Cómo compartir Wi-Fi en Android L de forma segura aparece primero en We Live Security en Español.