Tarjetas SIM con GPS y NFC

9 February 2010 publicado por Pedro Chas (Universidad Politécnica de Madrid)

Veo en GPS Business News  la interesante noticia de que  el operador móvil EMT  (se trata del operador móvil líder de Estonia,  perteneciente al Grupo  Telia Sonera)  acaba de completar con éxito las pruebas de una nueva tarjeta SIM  (producida por la empresa BlueSky Positioning)   que tiene la particularidad  (por  primera vez que yo sepa)  de equipar en la propia tarjeta SIM un receptor  GPS incluyendo la antena. 

 Esta nueva tecnología abre el camino a la utilización de servicios de localización  (cada vez mas populares de la mano de los iPhone y similares) en los teléfonos móviles convencionales, no dotados de serie con receptor GPS. 

 Otra de las aplicaciones potenciales de esta nueva tecnología  tiene relación con las nuevas obligaciones de envío de la posición del móvil para  prácticamente todas las llamadas de emergencia, que han sido incluidas en la directiva de la Unión Europea E-112.  Aunque no he podido validarlo aún,  parece que el plazo con que cuentan los operadores móviles para llevar a la práctica estas nuevas disposiciones es de 18 meses.    Esta nueva SIM con GPS  permitiría eventualmente el cumplimiento de la referida Directiva  sin tener que recurrir a un cambio  masivo de teléfonos móviles,  algo extremadamente caro y de muy difícil realización práctica. 

Por cierto que sería interesante  plantearse que nuevas  aplicaciones de localización tendrían sentido, sobre la base de que la totalidad del parque de terminales móviles contara con receptor GPS  (la tecnología parece abrirnos la puerta a este tipo de escenarios). 

Bien es verdad que, si hablamos de los teléfonos móviles de gama alta  (smart phones) la tendencia actual es que prácticamente todos los nuevos terminales  equipen de serie GPS  (el coste para un fabricante del  circuito integrado correspondiente a un receptor GPS de  última generación es actualmente de unos 3 US$).    De hecho uno de los temas que ha producido extrañeza  en relación con el nuevo iPAD de Apple es  que aún no esta claro  si  incluirá o no GPS  (parece que solo uno de los dos modelos de iPAD, el dotado con interfaz 3G además de WIFI,  lo incluirá) dada la tendencia actual a dar por descontado que cualquier nuevo terminal  móvil  esté dotado con esta capacidad  (salvo  los teléfonos de gama baja, que parecen ser el objetivo de esta nueva tarjeta SIM 

Otro tema  (quizá de mayor interés aún)   es  la referencia en la Web de BlueSky Positioning a que disponen de una tarjeta SIM  con GPS y con NFC  (near field communications).    La tecnología NFC  (que se traduce en enlaces por radio de muy corto alcance)  es la utilizada en los servicios de micropago por móvil  (p.e. autobús,  metro, …) que tanto éxito están teniendo ya hace unos años en países como Japón  y que  se espera  constituyan uno de los nuevos servicios móviles mas importantes en el próximo futuro. La principal barrera que existía hasta ahora en este sentido era  la prácticamente total ausencia de NFC en los teléfonos móviles actuales (salvo en países como Japón).  Las tarjetas SIM con NFC eliminarían esta barrera.

De todas formas no he encontrado ninguna referencia a pruebas piloto de tarjetas SIM con NFC en la Web de BlueSky Positioning, por lo que el estado real de disponibilidad de la misma no parece estar del todo claro. 

Wikileaks cerrado “temporalmente” … pero “parece” que ya con los fondos mínimos para seguir en actividad un año mas

8 February 2010 publicado por Pedro Chas (Universidad Politécnica de Madrid)

Veo en www.theregister.co.uk/2010/02/04/wikileaks_pledge_drive/ la (buena) noticia de que Wikileaks parece haber recaudado ya los 200K US$ que necesitaba para continuar sus operaciones durante el año 2010.

Como es sabido Wikileaks es un sitio Web que se ha hecho famoso, desde su aparición en diciembre del 2006, al publicar sin ningún tipo de censura y de forma totalmente anónima documentos altamente confidenciales, normalmente sobre temas muy embarazosos para compañías comerciales, gobiernos, importantes políticos, etc. Los documentos que publica proceden de informantes anónimos.

Esta difusión “incontrolada” de documentos confidenciales ha provocado que Wikileaks haya tenido que encarar ante los tribunales mas de 100 demandas, presentadas por instituciones o personas afectadas por alguno de los referidos documentos. Hasta el punto de que uno de los tipos de donación que Wikileaks solicita son horas de abogados en ejercicio.

Cuando hace ya unos días apareció la noticia del cierre temporal de Wikileaks debido a sus problemas económicos me resulto algo desalentador, al fin y al cabo se trata de una organización que ha tenido notables éxitos y que aporta un componente de autentica libertad de prensa y de difusión libre y anónima de información mas necesarios hoy que nunca. Tampoco se trataba de grandes cantidades de dinero, el presupuesto total anual de Wikileaks es de solo 600 K US$.

Por cierto que circulan rumores de que una de las causas principales de los problemas económicos de Wikileaks ha sido la filtración y publicación de una lista con los nombres de los principales donantes que tenia previamente esta organización.

Wikileaks ha estado solicitando donaciones afortunadamente parece que con éxito. La verdad no estaba yo inicialmente tan seguro de ello.

Hace unos pocos meses la organización responsable de la Wikipedia (Wikimedia Foundation,  wikimediafoundation.org) inicio también una campaña de donaciones (que aun continua) para que siguiera siendo posible el funcionamiento de la Wikipedia en los términos actuales (sin publicidad), parece que con bastante éxito.

Seguramente todos (o casi todos) deberíamos concienciarnos de que si queremos que sigan “vivos”  sitios Web tan destacados y tan útiles para la comunidad como Wikipedia o (en su ámbito particular) Wikileaks no queda mas remedio que alguien (todos nosotros) pongamos el dinero necesario,  porque hay cosas que es mucho mejor que no financie la publicidad ni (todavía menos) los gobiernos.

Esperemos que el caso de Wikileaks tenga un final feliz y que sirva además para que entendamos mejor el gran valor de los “muchos pocos” y  el  signo positivo que a veces tiene el anonimato en Internet. 

El Malware y el spam llegan a las redes sociales

8 February 2010 publicado por Pablo López F. Alemany Maura

Según un informe de Sophos el riesgo y la inseguridad en las redes sociales ha crecido en un 70%.

 

 

Era cuestión de tiempo que las redes sociales, tan de moda en la actualidad, se convirtiesen en objetivos de hackers y spammers. Facebook, twitter o MySpace son algunos ejemplos de redes sociales en las que están teniendo lugar estos ataques. Por ejemplo, según el informe de Sophos un 57% de los usuarios de redes sociales afirma haber recibido publicidad no deseada (spam), lo cuál supone un aumento del 70% respecto al pasado año, crecimiento que ha tenido en igual porcentaje el envío de malware a través de redes sociales que ya sufren un 36% de los usuarios de estas redes.

 

La encuesta en la que participaron 500 personas también recogió opiniones acerca de cuál era considerada la red social más insegura por los usuarios. Un 60% de los encuestados respondió Facebook, un 18% MySpace, 17% Twitter y un 4% Linkedin (probablemente WindowsLive no aparece porque no es popular, porque problemas de seguridad tiene) En el Informe señalan que no debemos olvidar que Facebook es la red social más grande del mundo y que mantener la seguridad de un site con 350 millones de usuarios no debe ser fácil, aunque algunos cambios pueden ayudar a hacer facebook más seguro, como por ejemplo los recientes cambios en la privacidad de facebook que han ayudado a muchos a no compartir sus datos con cualquier desconocido.

 

¿Qué opinas tú? ¿Has visto un aumento de spam y malware en el último año? ¿qué red social consideras la más insegura?

 

 

Cuando falla la implementación

10 January 2010 publicado por Rodrigo Ros Gómez (Universidad Politécnica de Madrid)

Leo aquí un post de Sergio Hernando, que se hace eco de una notica aparecida hace un par de días: la vulneración de la seguridad de ciertos pendrives que estaban certificados con el nivel de certificación FIPS 140-2 (certificación, explicación de Wikipedia). Estos pendrives no estaban fabricados por cualquiera, sino que pertenecen a fabricantes destacados en este área.

¿Vulnerabilidad? ¿Algoritmos de cifrado rotos? No, de momento no.

La falla de seguridad no estaba en el algoritmo (AES de 256 bits  sigue siendo seguro), sino en la implementación del criptosistema. Más concretamente, en el proceso de autenticación (cuando el usuario introduce la contraseña para poder acceder al dispositivo de almacenamiento cifrado).  Se puede encontrar más sobre el fallo en el artículo de Bruce Schneier.

Como se menciona en los artículos citados, esto nos lleva a una pregunta. Es evidente que no todos los potenciales enemigos que puedan tener acceso a nuestros datos cifrados (imaginad cuantos pendrives, discos duros portátiles e incluso ordenadores portátiles se extravían o se dejan olvidados) tienen los conocimientos necesarios para explotar este tipo de fallas. Sin embargo, ¿cuan seguro resulta que un fabricante nos indique que su producto está certificado? ¿Deberían las certificaciones valorar la implementación? ¿Es ésta seguridad real? De nada nos sirve que nuestro software implemente algoritmos de cifrado realmente probados, si se dejan puertas abiertas para evitar estos procedimientos de cifrado.

Citando textualmente a Bruce Schneier (me quedo principalmente con la idea de que no hay que ceder a la cautivadora imagen del marketing): “The problem is that no one really understands what a FIPS 140-2 certification means. Instead they think something like: “This crypto thingy is certified, so it must be secure.” In fact, FIPS 104-2 Level 2 certification only means that certain good algorithms are used, and that there is some level of tamper resistance and tamper evidence. Marketing departments of security take advantage of this confusion — it’s not only FIPS 140, it’s all the security standards — and encourage their customers to equate conformance to the standard with security.”

Más sobre AES : especificación oficial,  explicación amena tipo cómic .

Actualización: Desde el blog de la Cátedra Telefónica de Telemedicina en la Universidad de la Laguna nos dan su visión sobre este tipo de problemas en el ámbito de la Sanidad.

Ransomware

10 December 2009 publicado por Rodrigo Ros Gómez (Universidad Politécnica de Madrid)

Al hilo de esta noticia, en la que se alerta de nuevas amenazas en el terreno de la seguridad informática, no estaría de más comentar el concepto de “Ransomware“.

El Ransomware es un tipo de malware, derivado de los desarrollos teóricos de Adam Young  y Moti Yung (artículo original, 1996). La idea básica era explorar los posibles usos de algoritmos criptográficos en materia de virus informáticos.  Aunque también había surgido algún que otro malware parecido antes (1989, un antecesor más rudimentario, en software distribuido en disquetes por correo postal), la eclosión vino después. Tras su prueba de concepto, empezaron a surgir distintos ejemplos de Ransomware que aprovechaban esas ideas.

La manera de actuar se puede resumir de manera muy sencilla: tras la infección del sistema informático, el malware toma el control y “extorsiona” . Esa extorsión suele consistir en bloquear el sistema (o el acceso a ciertas partes de él), y exigir al usuario un pago económico (vía telemática), a cambio de reestablecer la normalidad. Para ese bloqueo suele servirse de técnicas como encriptar los archivos del sistema para evitar el arranque, o encriptar los documentos personales del usuario.

Un ejemplo de malware sería el Win32/RansomSMS.AH, que bloquea el acceso a Internet, y exige el envío de un sms a un número de teléfono situado en Rusia.

Estudio sobre seguridad de clientes de Twitter

29 November 2009 publicado por Rodrigo Ros Gómez (Universidad Politécnica de Madrid)

Inteco-CERT ha publicado un informe en el que analiza la seguridad de los principales clientes de Twitter para múltiples plataformas (Windows, Linux, MacOS, iPhone, Android y Blackberry). 

Los aspectos de seguridad en los que incide el estudio van desde métodos de autenticación entre el cliente y el servidor, hasta la gestión de contraseñas y los protocolos de cifrado de datos.

La conclusión a la que se llega es que, la mayoría de los clientes no usan la autenticación más avanzada que ofrece Twitter (OAuth), aunque generalmente sí se utilizan algoritmos de cifrado en las conexiones cliente-servidor. Es de destacar que la mayoría de usuarios de Twitter que optan por clientes de escritorio en lugar de por usar la web de Twitter, lo hacen sin conocer su legitimidad ni seguridad.

Con el avance de los servicios de Microblogging como Twitter, el robo de credenciales y su uso ilegítimo para suplantaciones de identidad cobra una nueva dimensión. En ocasiones, el usuario tiene un prestigio entre el resto de usuarios que sigue sus actualizaciones (como puede ser el caso de bloggers y gente famosa en el mundo de Internet, que hacen un extenso uso de éstos servicios para compartir ideas), que podría verse afectado si se suplanta su identidad.

El informe puede consultarse en la web de INTECO.

Publicación de contenidos digitales de la Jornada InternetNG

20 November 2009 publicado por Rodrigo Ros Gómez (Universidad Politécnica de Madrid)

 

Presentación de la Jornada
Haga click en la imagen para ver el video
D. Vicente San Miguel (GCTO Telefónica)
"Visión de la tecnología de un operador global"
Presentación de D. Vicente San Miguel

Haga click en la imagen para ver el video

D. Juan Quemada (director de la Cátedra InternetNG)

"Retos en las infraestructuras de Internet:
Cloud Computing e Internet Móvil"
Presentación de D. Juan Quemada

Haga click en la imagen para ver el video

Mesa redonda: "Banda Ancha y Movilidad en la Sociedad-Red". Moderador:  Sr. D. Jose Manuel Riera ( ETSIT). Ponentes: Sr. D. Cayetano Carbajo ( Telefónica), Sr D. Luis Jorge Romero (Telefónica), Sr. D. Julio Navío (Nokia Siemens) , Sr D. Tomás San Juan (Alcatel- Lucent) , Sr. D. Jose Antonio López (Ericsson) y Sr. D. José Luis Martín (Másteres GIOUPM).

Presentación de D. Cayetano Carbajo
Presentación de D. Julio Navío 
Presentación de D. Luis Jorge Romero
Presentación de D. Tomás San Juan 
Presentación de D. Jose Luis Martín

Haga click en la imagen para ver el video
Video: "El impacto de las TIC en la Sociedad", Jeffrey D. Sacks. Profesor de Economía y Director del Instituto de la Tierra de la Universidad de Columbia.
Haga click en la imagen para ver el video

Sesión: "Seguridad en la Sociedad-Red"Sr. D. José A. Mañas (Catedrático ETSIT), Sr. D. Manuel Carpio (Dtor. Seguridad de la Información y Prevención del Fraude, Telefónica, S.A),  y Sr. D. Luis Sainz (BBVA).
Presentación de D. Manuel Carpio

Haga click en la imagen para ver el video

Mesa redonda sobre Seguridad. Moderadores: Sr. D. José de la Peña/Sr. D. Luis Fernández (Directores de SIC, Seguridad en Información y Comunicaciones). Ponentes: Sr. D. José María Anguiano (Garrigues), Sr. D. Oscar Martínez (MITYC), Sr. D. Víctor Villagrá (ETSIT), Sr. D. Luis Sainz (BBVA), Sr. D. Manuel Carpio (Telefónica) y Sr. D. Fernando Velasco (URJC).
Presentación de D. Víctor Villagrá
Presentación de D. Óscar Martínez

Haga click en la imagen para ver el video
Clausura de la Jornada
Haga click en la imagen para ver el video

Estudio : “Aplicaciones de las TIC en la educacion – Tendencias”

13 November 2009 publicado por Rodrigo Ros Gómez (Universidad Politécnica de Madrid)

Ya se ha publicado el estudio "Aplicaciones de las TIC en la Educación – Tendencias ", elaborado por Pedro Luis Chas Alonso y Antonio Fumero, investigadores de la Cátedra Telefónica de Internet de Nueva Generación en la ETSIT-UPM. Este estudio tiene como objetivo describir algunas de las que pueden considerarse principales tendencias en lo relativo a las aplicaciones de las TIC en la Educación, y puede ser descargado aquí .

Los Nuevos Retos de Internet: Movilidad y Cloud Computing

12 November 2009 publicado por Juan Quemada (Universidad Politécnica de Madrid)

La conferencia que he preparado para la Jornada Cátedras Telefonica en UPM titulada "Nuevos Retos de Internet: Movilidad y Cloud Computing" ha constituido una excelente oportunidad para reflexionar de nuevo sobre como esta evolucionando Internet, en este caso, sobre todo lo que afecta a la movilidad, que en el mundo anglosajón denominan "mobile Internet computing", que esta configurandose como un nuevo ecosistema en plena expansion. Los datos encontrados en este excelente post de TechCrunch que me paso Joaquin Salvachua indican que su expansión es incluso mas acelerada de lo que yo en un principio imaginaba.

En este nuevo paradigma la usabilidad de las aplicaciones en las pequeñas pantallas de nuestros telefonos móviles es la clave, por lo que el iPhone y el canal de distribución o comercialización de aplicaciones creado por Apple y conocido como Apple Store, se han convertido en los 2 motores de dicha expansion.

Me ha sido muy grato corroborar que la innovación de los usuarios que siempre ha existido en Internet, sigue existiendo en el ecosistema móvil gracias a la tienda online de aplicaciones de Apple que permite que cualquier persona distribuya sus aplicaciones a cualquier usuario de iPhone en cualquier lugar del mundo.

En el otro extremo de este ecosistema de aplicaciones tenemos la nube (cloud computing), que gracias al uso de Web services tipo REST como mecanismo de acceso, facilita enormemente el dieño de las nuevas aplicaciones. Curiosamente la mejor definición de cloud computing la encontre en Twitter y no en la wikipedia, donde @dexin lo definió como "accessing scalable computing resources via Web services over a network".

Para los que esteis interesados incluyo aqui las diapositivas de mi charla, donde despues de contextualizar el momento que vivimos dentro del marco de la revolución TIC, podeis encontrar a partir de la diapositiva 11 una seleccion de los datos que mas me han impactado.



Nuevos retos de Internet: Movilidad y Cloud Computing

View more presentations from Juan Quemada.

 

 

Consejos sobre privacidad en Redes Sociales

29 October 2009 publicado por Rodrigo Ros Gómez (Universidad Politécnica de Madrid)

En el momento actual, en el que proliferan las Redes Sociales, y el usuario medio tiene, usualmente, cuentas en varias de ellas, se hace necesario un control adecuado de la privacidad de los datos que se publican en ellas. La Oficina de Seguridad del Internauta (OSI), de Inteco, publica una serie de consejos, fáciles de seguir, para proteger la privacidad del usuario, y para prevenir hechos delictivos como el robo de identidad. También, medidas contra el bullying, que son importantes debido a la enorme facilidad de acceso que tienen los menores a las nuevas tecnologías.

Otros enlaces interesantes son los consejos al respecto de las propias redes sociales, como la de Facebook, o la de MySpace .