Windows Bounty Program: $250.000 de recompensa

microsoft-bug-bounty-program-windows

Microsoft pone en marcha el Windows Bounty Program, un programa que ofrece pagos de 500 dólares a $250.000 para las personas que encuentren fallos de seguridad en el ecosistema Windows.

El programa de recompensas de Microsoft por encontrar fallos en el software no es nuevo pero la compañía ha decidido ampliar su alcance y recompensas.

Los fallos deben ser reportados al correo secure@microsoft.com cumpliendo con las políticas de confidencialidad del programa.

El Windows Bounty Program incluye a Windows Insider Preview, Hyper-V, Mitigation Bypass, Windows Defender Application Guard y Microsoft Edge.

Cisco publica su reporte de seguridad MCR 2017

cisco_informe_seguridad

Cisco publicó su Informe de Ciberseguridad de mitad de año (MCR) 2017 en donde analiza la rápida evolución de las amenazas y la creciente magnitud de los ataques, llevando a los investigadores a pronosticar actividades maliciosas potenciales de “destrucción de servicios” (DeOS) que podrían eliminar las copias de seguridad y las redes de seguridad de las organizaciones, que son necesarias para restaurar los sistemas y datos después de sufrir un ataque. Con la llegada del Internet de las Cosas, las principales industrias están realizando más operaciones en línea, aumentando sus vulnerabilidades, la escala y el impacto potencial de los ataques.

Los recientes ataques como WannaCry y Nyetya han mostrado la rápida propagación y el amplio impacto de los ataques de tipo ransomware, que en realidad pueden llegar a ser más destructivos. Esto presagia lo que Cisco ha llamado ataques de “Destrucción de Servicios”, que pueden ser inmensamente más perjudiciales que los ataques tradicionales, dejando a las empresas sin ninguna opción a recuperarse.

El spyware y el adware, que a menudo son desechados por los profesionales de seguridad por considerarlos más molestias que potenciales daños, son formas de malware que persisten y traen riesgos a la empresa. La investigación de Cisco siguió a 300 compañías durante un período de cuatro meses y encontró que tres familias predominantes del spyware infectaron el 20% de la muestra. En un ambiente corporativo, el spyware puede robar información de usuarios y empresas, debilitar la postura de seguridad de los dispositivos y aumentar las infecciones de malware.

La evolución de ransomware, como el crecimiento de ransomware-como-servicio, facilitan a cualquier criminal llevar a cabo estos ataques, independientemente de sus habilidades. Ransomware ha estado ocupando los titulares durante meses y supuestamente aportó más de mil millones de dólares en 2016, pero esto puede estar distrayendo a algunas organizaciones que se enfrentan a una amenaza aún mayor. El compromiso comercial de correo electrónico (BEC), un ataque de ingeniería social en el que un correo electrónico diseñado para engañar a las organizaciones a transferir dinero al atacante, se está convirtiendo en un vector de amenazas altamente lucrativo. Entre octubre de 2013 y diciembre de 2016, US$ 5.3 mil millones fueron robados a través de BEC de acuerdo a The Internet Crime Complaint Center.

Para combatir los ataques cada vez más sofisticados de hoy en día, las organizaciones deben tomar una postura proactiva en sus esfuerzos de protección. Cisco Security recomienda:

• Mantener actualizada la infraestructura y las aplicaciones, para que los atacantes no puedan explotar las debilidades públicamente conocidas

• Combatir la complejidad a través de una defensa integrada. Limitar las inversiones aisladas.

• Involucrar a los principales líderes ejecutivos para asegurar una comprensión completa de los riesgos, las recompensas y las restricciones presupuestarias

• Examinar el entrenamiento de seguridad de los empleados con capacitación basada en funciones frente a una capacitación igual para todos.

• Equilibrar la defensa con una respuesta activa. No “ponga y olvide” los controles o procesos de seguridad.

El nuevo iPhone tendra reconocimiento de rostro en 3D

iphone_rostro_3d

El nuevo iPhone que prepara Apple tendrá reconocimiento de rostro en 3D en lugar del sensor de huella para reconocer a su dueño, según información de Mark Gurman, editor de Bloomberg.

Esto se une al nuevo rumor de que el sensor de huella desaparecerá en este nuevo modelo, dejando fuera el famoso Touch ID.

La autenticación por medio del rostro ya se utiliza actualmente en algunas apps, incluso algunos bancos se han atrevido a usarla pero no es muy eficiente porque al ponerle una foto la seguridad es fácilmente vulnerada, es por eso que Apple la quiere llevar más allá reconociendo el rostro en 3D, que ademas de ser seguro, no estorbaría en la pantalla y es más rápido y cómodo según los resultados de pruebas realizadas por la compañía.

Parece que Apple ha tenido serios problemas para concretar el diseño que tenían inicialmente para su nuevo smartphone estrella. Ya se habló que querían incorporar el touch ID en la pantalla y al final no pudieron porque dicha tecnología es muy nueva y no ha sido probada completamente, veremos como les va en los próximos meses porque ya se les está terminando el tiempo.

Apple tiene el gran desafío este año de sorprender a sus clientes con el nuevo iPhone, después de un par de año sin innovación interesante.