Conecta con nosotros

Noticias

Descubrir un fallo de seguridad en Outlook vale 24.000 dólares

Publicado el

microsoft-recompensa-investigador

Los fallos de seguridad en el correo electrónico pueden causar muchos quebraderos de cabeza. Cada cierto tiempo se descubre uno realmente grave, que en muchos casos puede desembocar en robo de información, envío de spam o pérdida completa del control del correo. Como la que descubrió este verano el experto en seguridad Wesley Wineberg en el sistema de autenticación de Live.com, que permite a un hacker conseguir el control de una cuenta de Outlook.

Wineberg, que tras su descubrimiento avisó a Microsoft del fallo sin darle más publicidad, ha recibido una recompensa de 24.000 dólares. Por su parte, Microsoft, que cuenta con un programa de recompensa a los que le comunican este tipo de problemas, ya ha resuelto el problema de seguridad.

Para demostrar la existencia del problema, Wineberg analizó el tipo de acceso que Outlook daba a otras apps, a través del popular sistema de autenticación OAuth. Con dicho sistema, para ganar acceso a determinados servicios y elementos de una aplicación o servicio, se pregunta a su propietario si desea que una app tenga permiso para hacerlo, y mientras que no se responde afirmativamente, no cuenta con permiso.

Mientras lo llevaba a cabo, descubrió que bastaba con crear una app con un mecanismo que permitiese saltarse este sistema de identificación para conseguir acceso a Outlook y engañar al usuario afectado para visitar una web para que esa app consiguiese acceso a todo lo almacenado en la cuenta, desde los mensajes de correo hasta las direcciones de la agenda.

En esencia, se trata de una vulnerabilidad bastante conocida entre los expertos en seguridad online (Cross-site request forgery, que quiere decir Petición de falsificación de sitios cruzados). Lo más habitual es que el ataque efectuado a través de este tipo de brecha de seguridad termina si el usuario legítimo del servicio se desconecta del mismo, pero en el caso de Outlook no es así, y los atacantes que la explotasen obtendrían acceso permanente a la cuenta.

Pero ese no es el único problema, ya que un atacante con cierta experiencia podría servirse de esta vulnerabilidad para generar un gusano convencional que ataca al email muy similar a los que solían aparecer en décadas pasadas. Con este tipo de gusano, tal como ha declarado Wineberg a Forbes, “después del ataque a la primera víctima, esta vulnerabilidad puede utilizarse para enviar un mensaje de correo electrónico a todos sus contactos, con un enlace que también pondría en peligro las cuentas de dichos usuarios.” Así, el gusano podría expandirse y atacar a nuevos usuarios que hagan clic en dicho link.

Wineberg, que descubrió la vulnerabilidad en su tiempo libre, no sabe durante cuánto tiempo habrá afectado a Outlook. Tampoco es consciente de que alguien haya tratado de utilizarla. De lo que sí está seguro, tal como afirma en un post en el blog de Synack, es de que “descubrimientos como este son los que muestran la utilidad de permitir a investigadores externos enviar las vulnerabilidades que descubran a las empresas antes de que los atacantes las usen contra ellas. Microsoft está mucho más adelantada que la mayoría de empresas en lo que se refiere a la seguridad, y aun así sigue estando expuesta a problemas como este. La experiencia de Synack demuestra que aparecen vulnerabilidades ocultas incluso en sistemas que, aparentemente, son seguros. Basta con que un equipo de expertos externos hagan pruebas en él”.

Noticias

Google actualiza G Suite para mejorar implementaciones y seguridad

Publicado el

G Suite

Google ha presentado una nueva actualización de G Suite que añade características interesantes para rastrear las implementaciones en cada negocio y la seguridad contra actividades sospechosas.

Microsoft y Google están librando una gran batalla para convencer a organizaciones y empresas de las ventajas de sus respectivos servicios de productividad y colaboración en la nube. Aunque Office 365 lidera el mercado, el G Suite (anteriormente conocido como Google Apps for Work) le pisa los talones y es usado masivamente en millones de empresas.

La nueva actualización incluye la característica Work Insights como mayor novedad. Con ella, las empresas podrán medir y comprender cómo y qué empleados adoptan las herramientas de G Suite para completar las tareasDespués de evaluar la información, los administradores sabrán qué herramientas están siendo adoptadas y por qué equipo, y también podrán identificar los que necesiten capacitación adicional con las aplicaciones. 

Google explica que este función será particularmente útil para las empresas que accedan a G Suite desde herramientas heredadas.

Otra de las novedades es una herramienta de investigación que los administradores pueden utilizar para aumentar la seguridad de su red mediante la identificación de actividad sospechosa en los dispositivos, eliminación de correos electrónicos maliciosos y también comprobar si el acceso a Google Drive se ha compartido externamente a no autorizados. En ese caso se podrán revocar los accesos. 

Google ha creado una interfaz de usuario sencillo para facilitar a los administradores la búsqueda de amenazas y asegura que esta herramienta permite a los administradores “tomar medidas escalando la respuesta a incidentes en todo el dominio con unos pocos clics”.

La herramienta de investigación de seguridad está disponible desde hoy para los clientes de G Suite Enterprise, mientras que Work Insights se encuentra disponible en fase beta para los usuarios de G Suite.

Más información | Google

Continuar leyendo

Noticias

Europa y el desafío de controlar a un gigante como Amazon

Publicado el

La Unión Europea tiene por delante un gran reto: hacer un seguimiento efectivo de Amazon para ver si es necesario o no llevar a cabo medidas concretas para evitar que acabe vulnerando la normativa europea de competencia.

No se trata de un problema que haya surgido a la ligera ni de una simple pataleta de sus competidores: Amazon es enorme, pero además compite con los vendedores que integra en su plataforma, lo que ha generado una importante polémica por los datos de esos comerciantes que almacena en su plataforma.

La clave en este sentido radica en comprobar si la firma de Jeff Bezos podría estar utilizando esos datos en beneficio propio, un tema complejo que de momento tiene mucho camino por delante antes de que la Comisión Europea pueda sacar una conclusión definitiva.

Margrethe Vestager, Comisaria Europea de Competencia, ha sido muy clara en este sentido:

“Estamos recopilando información sobre el tema. Hemos enviado cuestionarios a los participantes del mercado para comprender la situación en su totalidad”.

En resumen, están “interrogando” a comerciantes y empresas para comprender de verdad qué hace Amazon con sus datos. De sus conclusiones dependerá si acaban tomando medidas contra el gigante del canal minorista.

No es la primera vez que se da la voz de alarma por la posición que ostenta Amazon. En ocasiones anteriores se ha pedido a Europa un mayor control sobre sus actividades, y algunos han llegado incluso a hablar de la necesidad de que la empresa se “rompa” en varias partes para evitar que acabe vulnerando los principios básicos de la ley de competencia.

De momento solo podemos esperar a ver cómo evoluciona la investigación de la Unión Europea y qué medidas se acaban tomando en consecuencia. En casos de actuaciones contrarias a la libre competencia lo habitual suele ser una multa que puede llegar a un máximo del 10% de la facturación global de la empresa sancionada, pero si la situación lo requiere no se descarta que se acaben barajando medidas más graves.

Continuar leyendo

Noticias

Quip Slides, todo en un mismo lugar para los usuarios de Salesforce

Publicado el

Salesforce ha mejorado las prestaciones de su herrameinta Quip Collaboration Suite, reforzándola y haciéndola más práctica. Hasta ahora contaba con documentos, hojas de cálculo, chat. A partir de ahora, en un único espacio los equipos podrán colaborar y tomar decisiones de forma rápida y efectiva. Además, con una mayor capacidad de integración de Salesforce y de terceros con Box y Dropbox, se amplía el acceso a más datos y herramientas en tiempo real.

“La introducción de Quip Slides es un cambio de juego para nuestros clientes”, declaró Kevin Gibbs, co-fundador y CEO de Quip. “Quip fomenta una cultura de acción, gracias a la combinación de documentos, hojas de cálculo y ahora diapositivas con chat, datos en directo e inteligencia artificial, que permite a nuestros clientes trabajar más rápido y ser más productivos“.

Las experiencias de usuario final y de empleado exigen la misma tecnología, tan fácil de usar en el trabajo como la que utilizan en casa“, sostiene Wayne Kurtzman, director de Investigación de IDC.La incorporación de presentaciones, nuevas aplicaciones en directo y las integraciones más avanzadas de Salesforce consolidan un paso importante para ofrecer estas experiencias“.

El objetivo de Salesforce con Quip es que sus usuarios encuentren todo en una misma suite que se actualice en tiempo real, de forma que puedan trabajar mejor y más rápido. Las nuevas actualizaciones de Quip incluyen diapositivas, aplicaciones Live Apps de terceros adicionales e integraciones más profundas de Salesforce, lo que transforma el kit de colaboración.

Quip Slides permite a los equipos crear presentaciones interactivas. El 79% de las diapositivas creadas nunca se utilizan para grandes presentaciones, sino para reuniones internas, gestión de proyectos y formación. Quip Slides se diseñó teniendo esto en cuenta, con datos de Salesforce y de terceros, solicitudes interactivas de comentarios y opiniones impulsadas por inteligencia artificial (IA) para agilizar las tareas diarias. Ahora, con Quip Slides, los equipos pueden crear presentaciones haciendo uso de:

  • Colaboración en tiempo real: funciones de chat, coedición y comentarios incorporados que permiten crear slides y presentaciones de forma conjunta y más rápida.
  • Gráficos: los gráficos interactivos se conectan a los datos en tiempo real de las hojas de cálculo Quip (Quip Spreadsheets) y Salesforce Reports para mantener las diapositivas actualizadas, eliminando el trabajo de copiar y pegar, por ejemplo, los datos más recientes para cada reunión semanal.
  • Live data: Embebidos directamente en Quip, los datos de Salesforce y de terceros se presentan a través de Live Apps, presentando el contenido actualizado dentro de cualquier slide.
  • Sugerencias interactivas: las preguntas, las encuestas y las solicitudes de comentarios se pueden incluir en cualquier diapositiva, lo que permite a los equipos captar la atención de la audiencia, conocer el feedback y tomar decisiones de manera rápida e interactiva.
  • Engagement Insights: Sirve para aumentar y medir los datos de interacción, incluyendo quiénes han abierto la presentación, qué diapositivas tienen la mayor actividad y dónde disminuye la atención dentro de cualquier presentación. De este modo, los empleados pueden tomar decisiones más inteligentes y con más información. Además, la IA de Einstein ofrece recomendaciones sobre seguimiento a personas del equipo para impulsar la toma de decisiones.

Las Live Apps creadas por los partners permiten a los equipos integrar datos y funcionalidades de terceros en cualquier documento de Quip. Entre las nuevas aplicaciones Live creadas por partners, destacan:

  • App Box Files Viewer Live: permite a los usuarios insertar archivos y carpetas específicas de Box Files directamente en los documentos de Quip para acelerar la colaboración. Con la aplicación Box Files Viewer Live App los equipos pueden acceder y gestionar los archivos de proyectos clave insertados directamente en los documentos móviles de Quip.
  • Dropbox Live App: Ahora usuarios y equipos pueden insertar una carpeta de Dropbox directamente dentro de Quip para mantener el flujo de trabajo. Con Dropbox para Quip pueden navegar a través de carpetas y subcarpetas, con el fin de ver, abrir y descargar fácilmente cualquiera de los archivos dentro de Dropbox.

Las integraciones nativas entre Quip y Salesforce permiten a los equipos integrar documentos y hojas de cálculo directamente en Sales Cloud Lightning o Service Cloud Lightning Consoles. Así, los flujos de trabajo están optimizados, lo que permite tanto a los profesionales de ventas como a los agentes de servicio capturar notas, ideas y análisis sin transferir tareas entre aplicaciones o ventanas.

Imagen: Photo by Headway on Unsplash

Continuar leyendo

Top 5 cupones

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!