Norte de Portugal. Oporto

 (Abril 2012) Desde Chaves nos dirigimos en coche a Oporto, no sin antes habernos informado sobre los pagos en las autopistas, ya que aquí el sistema es el de unas cámaras que recogen la matricula y comprueban en la base de datos si estas registrado que has pagado. Estuvimos tiempo dudando si existía canal para pasar una multa a un español desde Portugal, pero por prudencia decidimos ir a comprarlo, pero al llegar al estanco nos dijeron que no hacia falta para extranjeros. A día de hoy tengo que decir que no he recibido ninguna multa, por lo que debía ser verdad. Aparcamos en una calle pequeña tras la catedral. Allí tomamos el tren que da una vuelta por la ciudad y te muestra los monumentos mas destacados.

 Oporto, que significa puerto, es la ciudad de los puentes, dominada por el rio Duero o Douro como lo llaman aquí. Su casco viejo esta declarado Patrimonio de la Humanidad por la Unesco. Después del paseo en tren nos decidimos a bajar andando hasta la orilla que es donde se concentra la zona más turística, hay un desnivel importante y con muchas escaleras, para comer. En una orilla todas las bodegas, algunas se puede visitar y te ofrecen catas de vinos y en la otra el casco antiguo y la zona de ocio. Paramos en Avo Maria en el paseo, una terraza como muchas de las que ahí. Comímos cosas típicas de Oporto animados por nuestros anfitriones. La verdad que estaba todo bueno, aunque por el sitio era algo caro. No podía faltar la compra de algún vino de la zona.

  Es una ciudad pequeña y acogedora por la que te puedes mover bien andando, pero decidimos subir en el tren cremallera para no volver a subir las escaleras que bajamos hasta la orilla del Duero con las enanas, no solo por ellas, sino por Hugo que ya nos acompañaba en la tripa de su mama. La entrada esta junto al puente Luiz I. Continuamos paseando por la parte alta de la ciudad, viendo sus calles y monumentos, a destacar La Torre de los Clérigos y nos dirigimos a cenar, aunque la sorpresa nos la llevamos durante la cena, porque había más jaleo del habitual en los bares y restaurantes. En sus sendos partidos el Oporto y el Benfica, eternos rivales, se jugaban el campeonato. Finalmente gano el Oporto por puntos y la gente tomo las calles, en un rio de coches tocando el claxon y personas con los colores de su equipo. Sin quererlo nos vimos envueltos en una noche especial para la gente de Oporto. Nos dirigimos al coche no sin antes capturar el regalo de  las vistas del rio y sus puentes de noche.

  Besitos para ellas y abracitos para ellos.

Formación gratis en la red

  Todos hemos oído hablar de la Harvard University, de Stanford o del MIT Massachusetts Institute of Technologyy muy pocos se plantearían tener la posibilidad de estudiar con ellos, aunque solo fuera algún tipo de curso, pues bien hoy día y gracias a la tecnología tenemos la oportunidad. Desde hace algún tiempo la mayoría de las universidades se están adaptando a la sociedad "conectada" de hoy y presentan cursos en la red, tanto de pago como gratuitos. Sí, gratuitos, se están forjando algunas joint venture con distintas universidades como edX creada entre el MIT y la universidad de Harvard entre otros que ofrecen una amplia oferta de cursos. Querían promover desde un principio el cambio de paradigma al que responden los nuevos cursos. “A lo mejor en el pasado liderar era dar con una solución, callarte cómo lo habías hecho y dar la campanada al ser el primero", dice Torres. "Hoy quien más comparte es el líder”.

Aquí podréis encontrar más información:

 http://en.wikipedia.org/wiki/EdX
http://blog.consultorartesano.com/2012/05/edx-educacion-online-abierta-para-incrementar-la-cifra-de-negocio.html
http://www.neoteo.com/edx-el-campus-virtual-de-harvard-y-mit

  A ellos se ha unido recientemente la UNED Universidad Nacional de Educación a Distancia, donde yo mismo estudié.

http://sociedad.elpais.com/sociedad/2012/10/28/actualidad/1351443827_604402.html

  Pero también Stanford dispone de una versión similar de, a día de hoy, 197 cursos gratuitos con Coursera y aquí tenéis una experiencia personal sobre ella.

http://blog.pixagora.com/2012/05/mi-experiencia-con-coursera-cap-i-nlp/

   Pero no solo podemos encontrar recursos universitarios sino que por ejemplo el Ministerio de Educación y Ciencia pone a vuestra disposición para secundaría y Bachillerato

http://recursos.cnice.mec.es/biosfera/profesor/1eso/1.htm

  Hay infinidad de opciones dentro de la red, aprovecharlas.

  Besitos para ellas y abracitos para ellos.

Norte de Portugal - Chaves

  Aunque este puente de Mayo (2012) prometía ser lluvioso, no podemos dejar de descubrir el fascinante mundo que hay mas allá de las puertas de casa con nuestra peque de 3 años y una barrigota prominente con nuestro futuro fichaje Hugo. Nos dirigimos a Chaves (llaves en portuges) al norte de Portugal y muy cerca de Verin (Galicia). Exactamente a 13 kilómetros, que los hicimos para sacar en el cajero español mas cercano. Aquí ubicamos nuestra base de operaciones, ya que tenemos el lujo de conocer la zona de mano de un "indígena" que además nos aloja en su casa, todo un lujo. El refrán dice que más vale tener amigos hasta en el infierno y nosotros tenemos uno de Portugal. Lo más sorprendente es que no podía esperar que este pueblecito (de unos 44.000 habitantes) tuviera tanto que ofrecer y mostrar. Hacía muchos años que no volvíamos por Portugal y la verdad es que no recordaba que se comiera tanto y tan bien. No se si lo da el norte, la cercanía con sus vecinos gallegos (que también son de buen comer), pero aquí la gente come, come y come. Y no es que se vea mucha gente obesa tampoco, es lo curioso. (uhmmm, será el agua).


  Del pueblo destacar el puente romano sobre el río Tamega construido por el emperador Trajano. De hecho a las gentes de Chaves se les llama Flaviense, ya que su nombre anteriormente Aquae Flaviae fue asignado por el emperador Vespesiano, primero de la familia Flavia, allá por el año 79. Esto nos da una idea la cantidad de vestigios romanos y de su influencia en la ciudad. No podéis perderos un paseo por su rivera y el cruzar de sus puentes, o por las piedras que asoman para los más valientes.

  Muy cerca de allí existen un parque infantil estupendo del que no tomé fotos para mi guía de parques infantiles del mundo y unas termas donde estos romanos disfrutaban y hoy los visitantes pueden hacerlo por un módico precio, eso sí puedes disfrutar gratis de las propiedades de su agua mesomineralizada y gasocarbonica, que brota a -73 º. Hay un sitio junto a las termas donde te ofrecen un vaso de agua que ya ha sido previamente enfriada. Tiene un sabor muy gaseoso, sin las burbujas típicas de las bebidas carbonatadas artificialmente, pero por algo las legiones venían aquí para beber su agua y recuperarse después de largas caminatas o duras batallas. Por cierto los menores de 12 años no deben beberla, según nos informaron. En el exterior hay una fuente  accesible las 24 horas, pero ojo que sale ardiendo, hay que dejarla enfriar un poco.

 

  También llama la atención de la ciudad que el "INEM" tenga coche de emergencia, (perdón por el chiste fácil), su pequeño parque de bomberos, su zona amurallada, aunque lo más divertido era perseguir a las palomas en sus plazas.

 

    En próximas entradas seguiremos contando nuestras aventuras por Lusitania. Besitos para ellas y abracitos para ellos, y en especial para nuestros anfitriones que nos organizaron unos días fantásticos.



Las expectativas sobre antivirus son realistas?

  Como es habitual Sergio nos deja una perla de las que te hacen reflexionar y cuestionarte sobre esa falsa sensación de seguridad, que algunos estiman como un riesgo importante en la seguridad.

  Besitos para ellas y abracitos para ellos.

 -------------------------------------------------------------------

  Hispasec - una-al-día                                  20/10/2012
  Todos los días una noticia de seguridad          www.hispasec.com
  Síguenos en Twitter: http://twitter.com/unaaldia
  Noticia en formato HTML: http://www.hispasec.com/unaaldia/5110
 -------------------------------------------------------------------

 Antivirus y el manejo de las expectativas

 -----------------------------------------

A una señora en Murcia que regenta un locutorio, le han realizado una transferencia de 2800 euros hacia la cuenta de un desconocido sin su consentimiento. El banco se niega a devolverle el dinero. Ha sido víctima de una variante de Citadel, el de la transferencia ficticia.

Entre lágrimas por haber perdido la recaudación del mes, nos pregunta

desesperada: "¿Pero cómo ha podido ocurrir? No lo entiendo, ¡tengo un antivirus! ¡No es pirata!"

Un bufete de arquitectos en Barcelona nos contacta. Desde su proveedor han detectado un tráfico muy sospechoso que proviene de la red interna.

Es probable que se esté filtrando información. Preocupados, se ponen en contacto con nosotros: "Estamos protegidos con un antivirus. Hemos analizado cada máquina incluso con otra marca y también nos dice que estamos limpios. ¿Qué demonios está pasando?".

Estos son solo dos ejemplos reales de nuestro día a día. En ambos casos, los forenses indicaron infecciones comunes en el sistema. Nada de amenazas dirigidas: malware común, del que infecta a millones de máquinas cada día. Se habían infectado a través de una vulnerabilidad en un plugin del navegador. En los dos casos se detectó el malware, y se eliminó. Y en los dos casos (y en cualquier forense realizado, en general), efectivamente disfrutaban de la protección de un antivirus reconocido, actualizado, activo y plenamente funcional que ofrecía todo tipo de protección.

¿Crisis antivirus?

Los antivirus comenzaron (y siguen) usando tecnología de firmas.

Mejoraron con la heurística, que se demostró insuficiente. Incorporaron incluso análisis de comportamiento y además, reconocimiento en la nube con millones de ficheros en listas blancas y negras de reputación en tiempo real. ¿El resultado? Además de estos ejemplos comunes en nuestro laboratorio, según el estudio del Observatorio de INTECO con el que colaboramos, los niveles de malware encontrado en unos 3000 usuarios analizados mensualmente en España rondan desde hace años el 50% de equipos que alojan al menos una muestra. De ellos, el 95% suele usar antivirus. No parece muy alentador. Pero el antivirus no está en crisis.

 

Las expectativas

 La pregunta de los usuarios es normal. Me han vendido un producto que no ha cumplido su función, por tanto, en su lógica, el producto es el culpable. Y efectivamente, el antivirus ha fallado... pero el problema reside realmente en las expectativas. Cuando se adquiere un producto, se espera que cumpla la función que promete y se crean por tanto unas expectativas que, una vez incumplidas, se sienten como deudas. Pero quizás nosotros mismos (ayudados, eso sí, por la publicidad y nuestra interiorización de sus mensajes) hemos generado esas expectativas exageradas.

 Depende de en qué plano nos movamos, estamos más expuestos a generar expectativas increíbles. Si bien no esperamos que al comprar determinada marca de desodorante, chicas espectaculares caigan a nuestros pies por el simple hecho de oler mejor y que un anuncio lo asegure, en el plano de la tecnología el usuario es más vulnerable en este aspecto: si la publicidad del antivirus dice que me protege, espero protección.

Protección total, y no a medias. Pero la realidad es diferente. Como hemos mencionado en otra ocasión, el antivirus es un chaleco antibalas... pero hoy en día, los atacantes han aprendido tanto a disparar a la cabeza, como a atravesar el material del que están hechos.

Si un coche cae por un barranco, explota y se consume en llamas, ningún testigo gritaría ante el cuerpo calcinado del conductor: "¡¿Pero si usaba un cinturón de seguridad, cómo ha podido ocurrir!?".

 

Un cambio en las expectativas

 Más que culpar a un producto, se debe generar un cambio de expectativas en el usuario medio. Los atacantes llevan ventaja. Desde (¿y para?) siempre. Actualmente, la fórmula por la que crean archivos únicos que solo funcionan en el equipo de la víctima, (cifrados exclusivamente para ese ordenador con criptografía simétrica basada en parámetros únicos del sistema), dificulta muchísimo tanto su detección, como la extrapolación a ningún tipo de lista para compartirla con otros usuarios. También complica el análisis, así que es más complejo crear una firma y que se detecten muestras similares. Para colmo, otros problemas más prosaicos como la escasez de personal en los laboratorios en épocas de crisis, ralentizan las investigaciones antivirus. Y aunque todo esto se solucionara, los atacantes seguirán con ventaja. Afrontémoslo.

 

El usuario debe aprender entonces a esperar lo que de verdad puede conseguir de cada tecnología. El corrector ortográfico de Word no se hace llamar "antierrores ortográficos", ni nos convierte automáticamente en un académico de la lengua. Solo nos ayuda a detectar fallos comunes.

Para escribir bien y que no se cuelen errores en nuestros párrafos, es necesario usar otras "herramientas": entender la gramática y mejorarla con la lectura de calidad. Jamás se inventará el corrector que consiga eso por nosotros. Probablemente, el antivirus debería llamarse "detector (de algunos tipos) de malware" para reforzar la idea de que es necesaria otro tipo de protección adicional y rebajar las expectativas en este campo... pero probablemente los de marketing no estarían muy de acuerdo.

 ¿Y qué tipo de protección adicional es necesaria?

 Desde luego, superar el binomio clásico "antivirus y cortafuegos entrante" tan incompleto y obsoleto. Una buena medida es conocer y activar las opciones de seguridad de Windows, y otra muy interesante que ha aparecido últimamente, son los programas antiexploits. No me refiero a la detección de exploits que también intentan los antivirus (con éxito relativo, como ocurre con la detección de malware). Este tipo de software se preocupa del malware en otro plano: detectan las técnicas de intentos de explotación de vulnerabilidades que hacen que se instale el malware, no del malware en sí (para eso estaría el antivirus). Y dan buenos resultados. EMET, la herramienta de Microsoft es una buena prueba de ello, y personalmente estoy seguro de que acabará integrada de serie en futuras ediciones de Windows. ExploitShield es otro gran programa aparecido recientemente. Intenta impedir que los exploits lleguen a ejecutar código, basado en su comportamiento esencial. Es muy efectivo.

 Para hacernos una idea de que este es un problema que hay que atajar, de ese 50% de sistemas infectados del que hemos hablado, sí, un 95% usa antivirus... pero solo un 60% suele tener actualizados todos sus programas...

 

Por supuesto, si se popularizan los programas antiexploit, no serán la solución definitiva y tendrán que evolucionar... Pero parecen un buen camino, hoy. Desprendámonos de consejos obsoletos. Actualmente, los exploits y las vulnerabilidades en software no actualizado representan una buena parte del problema. No seamos víctimas de nuestras propias expectativas.

Opina sobre esta noticia:

http://unaaldia.hispasec.com/2012/10/antivirus-y-el-manejo-de-las.html#comments

Sergio de los Santos

ssantos@hispasec.com
Twitter: @ssantosv

Regla del 90-9-1 (Del libro Más allá de Google)

  Interesante perla desde Infonomia que es una propuesta generadora de innovación en nuestro pais, explotando la colaboración de la que tanto ha hablado el profesor Alfons Cornella uno de sus fundadores y promotores.

  Besitos para ellas y abracitos para ellos.

Regla del 90-9-1 (Del libro Más allá de Google)

Por Infonomia - 2009-02-18

En prácticamente todas las comunidades online, el 90% de los usuarios son lurkers, personas que leen y/u observan, pero que nunca contribuyen a la discusión, mientras que un 9% contribuyen de manera esporádica o mediante actividades sencillas, como emitir un voto, y el restante 1% son los usuarios que realmente participan activamente mediante sus contribuciones. Como señala Jakob Nielsen sobre estos últimos: “parece como si no tuvieran vidas, porque introducen comentarios sólo unos minutos después de que cualquier evento sobre el que escriban ocurra”. Los lurkers están en “shhhhhhilencio”. Son como la letra “h”, que se escribe en las palabras, y no participa en su pronunciación. Pero tal y como se señala en Wikipedia: “De acuerdo con la teoría de las comunidades de práctica, un lurker tiene una participación periférica legítima y se espera que, con el tiempo, pueda llegar a integrarse como un miembro activo de la comunidad”. La primera referencia a esta idea de “desigualdad en la participación” (participation inequality) se debe a Will Hill, de Bell Communications Research, en: Steve Whittaker, Loren Terveen, Will Hill, and Lynn Cherny (1998): “The dynamics of mass interaction ”, Proceedings of CSCW 98, the ACM Conference on Computer-Supported Cooperative Work (Seattle, WA, November 14-18, 1998), pp. 257-264. Aili McConnon en Business Week, InData, p. 40, IN, September, 2006 , ha generado una información visual muy interesante y complementaria. También en la columna “Participation Inequality: Encouraging More Users to Contribute ” del famoso boletín quincenal Alertbox de Jakob Nielsen del 9 de octubre de 2006. Un buen artículo donde Nielsen explica los aspectos negativos de esta desigualdad en la participación, y qué se puede hacer para evitarla (en la medida en la que sea posible).

Nielsen es una de las autoridades más respetadas en el ámbito mundial sobre usabilidad web, y cofundador de Nielsen Norman Group junto con Donald Norman , otro experto mundial en usabilidad. La dificultad de estimar estos datos es que un lurker, para serlo, no se puede reconocer online. Mientras que los valores del 9% y el 1% sí se pueden calcular de forma directa (por el número de comentaristas y por la frecuencia de sus comentarios), el 90% sólo se puede estimar de forma indirecta.
El Libro Más allá de Google es una iniciativa de Infonomia: un ejercicio de crowdsourcing o inteligencia colectiva, utilizando herramientas 2.0. Alfons Cornella propuso un problema (identificar patrones en la gestión de información y tecnologías, cada uno desde su experiencia personal); se utilizó un sistema 2.0(un blog dentro de Infonomia.com), y la gente ha participado, libremente, sin conocerse.


Descárgate el libro bajo licencia Creative Commons y aporta tus comentarios.

El Refugio del Alto del Rey

  29-10-12 Contra viento y marea o mejor dicho en contra de las previsiones meteorológicas que nos garantizaba un fin de semana pasado por agua, nos dirigimos hacia Condemios de Arriba cerca de donde esta el hotel Refugio del Alto del Rey donde habíamos reservado un grupo de amigos con niños. El camino lo hicimos desde el sur de Madrid por la A-2 y pasado Guadalajara nos desviamos hacia Jadraque y Atienza, de hay solo nos quedaban unos 24 Km para llegar. El hotel está a unos 2 kilómetros del pueblo y tardamos unas 2 horas y 20 minutos en total.

  Como faltaba gente tomamos una cerveza mientras esperábamos al resto del grupo y los monitores tomaban a los niños que llegaban para llevarlos al comedor. Lucia cenó increíblemente bien y creo que el resto también. Se los llevaron a ver una peli y entonces les tocaba el turno a los papas, que ya llevábamos alguna cerveza en el haber. Después de acostar a los enanos, seguimos las risas y las copas hasta las 2 de la mañana.

  Nos levantamos temprano, muy a pesar nuestro y gracias a las llamadas de Lucia y de Hugo. Nos arreglamos y salimos a desayunar sobre las 9:00. El desayuno es un poco más libre, aunque los niños tienen una mesa y los adultos otra. Se había discutido la noche anterior si hacer una salida para subir el Ocejón que andaba cerca, pero la lluvia nos desanima y tras el segundo cafetito y que nuestro amigo "Forrest Gump" volviera de correr, nos fuimos a dar un paseo por el monte, siguiendo el arroyo que hay junto al hotel. Adelantamos a los enanos que habían salido un rato antes con sus chubasqueros y paraguas. Nosotros llegamos hasta la pista forestal que baja al pueblo y subimos. Antes de comer los enanos se dieron un chapuzón en la piscina climatizada. Ellos comen mientras nosotros charlamos entretenidos. Después de la comida, los niños tienen una peli y los papas café e infusiones y más cháchara. La tarde nos da una tregua con la lluvia que unos aprovechamos para dar otro paseo hasta el pueblo y vuelta, y otros se quedan en la piscina. A estos se les corta el relax cuando entra la tropa de enanos a su baño. Luego cena y un poco de cine. Los enanos están agotados y pasan por delante nuestra como sino nos conocieran, y aunque esto duele un poco, su cara refleja que están emocionados y pasándoselo genial. Algunos cuentan que han cruzado en liana el rio, hablado con las hadas y los duendes del bosque, recogido setas, etc.

  El domingo se presenta más lluvioso, y los enanos se quedan haciendo talleres y bañándose en la piscina. Un reducido grupo nos decidimos a dar un paseo, y como el monte no deja de sorprenderme nunca, nos regaló unos Boletus pinicola de escandalo. Según nos dijeron en el refugio uno de ellos que encontraron Pilar y José era uno de los más grandes que se habían recogido en la zona. A la vuelta y emocionados por nuestras capturas pensamos en pedir que nos los hicieran en cocina, pero tenían preparadas unas raciones de setas, entre ellas las Barbudas de las que puedes encontrar gran cantidad de ejemplares alrededor del refugio y que tengo que decir que son muy suaves. Tras la comida y el café toca sacar maletas y prepararnos para la vuelta. Paco les regala a los enanos unos globos con formas para rematar y les enseña como usar unas hojas como tiritas.

  Al día siguiente lunes cuando levantamos a Lucia para ir al cole me pregunta que como se llamaba el monitor y que porque no vamos hoy con él tambien. Por la noche preparamos uno de los boletus a la plancha con un poco de ajo y muy ricos, pero hoy Eva me ha regalado un risoto con boletus y jamón para chuparse los dedos, siguiendo esta receta. Uhmmmmmm.

  Besitos para ellas y abracitos para ellos. Hasta la próxima.

La información os hará libres versus Infoxicación

  En esta era de las tecnologías de la información de la llamada Web 2.0 y las redes sociales he leído un artículo usado por el profesor Jorge Ramió de la UPM para el cierre de curso y como bien dice el profesor la información nos hará libres. En nuestros días el acceso a internet y la gran cantidad de información que alberga, marca una barrera similar a la que establece el alfabetismo y el analfabetismo. El poder llegar antes que otros a determinada información marca una diferencia social y profesional. Las decisiones personales o profesionales basadas en la mejor información posible tendrán más posibilidades de éxito. Pero por otro lado me ha hecho actualizar algunas reflexiones sobre un termino que empecé a leer hace bastantes años a alguien de ESADE de quien no recuerdo el nombre, todo ello mucho antes de la tan temida llegada del año 2000, "infoxicación". ¿Vivimos en un mundo que empieza a difuminar las barreras entre nuestra vida física y digital y donde somos infoxicados, nos abruman con términos que no entendemos, recibimos gran cantidad de información inútil y absurda que no nos aporta nada (Tuit: "Estoy desayunando")?. ?Como separar el grano de la paja?. Entre 1999 y 2002 se creó más información que en toda la historia hasta ese momento. Según los estudios de  Peter Lyman y Hal Varian se incrementa en un 30% anual. El tiempo es finito y uno de nuestro bienes más escasos, más que el dinero, debemos aprender a gestionarlo de la forma que más nos aporte a nosotros, y a los demás. El saber llegar a la información adecuada y deseada de entre toda la existente, y el ser capaz de organizar y filtrar la que recibimos diariamente, será lo que marque la diferencia. En próximas entregas haremos un resumen de algunos consejos para mejorar nuestra eficiencia en la gestión de la información.

  Ojo, en mi opinión el problema de la infoxicación no son las tecnologías, sino el uso que hacemos de ellas.

  Os animo a leer el artículo, no solo porque es entretenido y ameno, sino porque refleja en un lenguaje llano algunas verdades que irán cobrando más y más importancia en los próximos años.

  http://www.criptored.upm.es/guiateoria/gt_m001f1.htm o si preferís el video (desde el minuto 1 al minuto 16) http://www.youtube.com/watch?v=DItzYgW_kjc

  Podéis completar información sobre infoxicación o sobrecarga de información en
http://es.wikipedia.org/wiki/Sobrecarga_informativa pero no os perdáis este articulo publicado en agosto en El Pais http://www.psicoencuentro.com/noticia_de_psicologia.php?id=106&idioma=1.

  Besitos para ellas y abracitos para ellos.

La Berrea en el Parque Nacional de Cabañeros

  Salimos el viernes a las 19:00 para dirigirnos al EcoLodge en medio del Parque Nacional de Cabañeros con la intención de hacer algunas actividades y oir la Berrea. Tardamos 2 horas con la correspondiente parada que ha reclamado Hugo, nuestro bebe de 2 meses. Lucia, la mayor (que duro suena para una niña de 3 años) aprovechó para devorar la tortilla que llevábamos para cenar. El lodge aparece de repente en la carretera y la entrada es muy corta y empinada. Era mi regalo de cumpleaños, por cierto, muchas gracias, me encanto. Estuvimos en una cabaña en lo alto (6 metros sobre el suelo) que a Lucia le encanto. Están muy bien preparadas y tienen todo lo necesario, excepto cuna, aunque a Hugo no le importó dormir en su cuco. El agua es de manantial sin tratamiento pero potable y muy rica de sabor. El cielo esta plagado de estrellas y el sonido de la Berrea ameniza la noche. El entorno es muy bonito rodeados de encinas envueltas en barbas, como llaman aquí a este tipo de líquenes. Es muy de agradecer que en la cabaña nos dejen varios planos e información del parque, restaurantes y actividades para realizar por la zona.

  Nos levantamos temprano ya que habíamos reservado una excursión a caballo con Aventuras Cabañeros a través de la gente del EcoLodge, aunque solo pudimos ir Lucia y yo, ya que Eva debía quedarse con Hugo. Nos encontramos en El Robledo, aunque las cuadras las tenían en una aldea cercana. Son un ganadero y su hijo los que llevan el negocio, lo que nos explico la abuela encantada mientras esperábamos unos minutos. La verdad es que en estos sitios todo es muy cercano, nada que ver con las ciudades. Hacía mucho tiempo que no montaba, y la verdad es que me apetecía mucho. Lucia no solo no parecía tener miedo, sino que iba encantada. Montaría con el guía, Darío un chico encantador, que me pregunto si Lucia hablaba tanto siempre. Montamos yo a Marina y Lucia con Darío a Vega, dos yeguas muy tranquilas, que habían sido domadas con doma vaquera, por lo que lo primero fue explicarnos un poco como funcionaba el cambio de marcha, y la dirección. Hicimos un paseo de una hora y media, en el que probamos de todo, paso, trote, galope, cruce de ríos (el Bullaque y el Alcobilla) y donde Lucia y yo mismo disfrutamos como enanos.

   Después nos dirigimos a Horcajo de los Montes, paramos en el parque infantil, para que Lucia jugara un rato y nos fuimos a comer a La Almazara de Cabañeros que es un local museo del aceite muy bonito y aunque la comida no fue la mejor, porque parece que era un negocio recién iniciado, el servicio fue encantador y las patatas con conejo estaban ricas. Desde aquí y con la tripa llena y un calor de justicia, realizamos la ruta del Chorro de hora y media de ida, que hicimos en unas 2 horas. Salimos desde el centro de Horcajo de los Montes, pero esto añade unos 3 kilómetros a la ruta por un camino que tampoco es que merezca mucho la pena, es recomendable llevar el coche hasta el aparcamiento que hay al comienzo de la ruta. Desafortunadamente la ruta no está bien señalizada y estaba en obras en su tramo final, a lo que se añadía la escasez de agua, aunque como dice Lucia en todas nuestras rutas "la aventura es la aventura" y lo importante fue disfrutar de un paseo en familia.
Después un guía del parque nos recomienda la ruta del Boquerón de 2 horas ida y vuelta, aunque no nos dio tiempo a hacerla. Al terminar la ruta paramos en casa de un apicultor que habíamos visto al subir, para comprar algo de miel. Es una persona muy afable y hablamos con él del proceso de recogida, y selección de los tipos de miel. Lucia le dice que quiere ver la colmena que tiene en el patio, y él le pregunta que sino le dan miedo las abejas, a lo que ella contesta "No, que yo soy muy valiente". La verdad es que fue increíble verla rodeada de abejas y sin inmutarse. No se aprecian en la foto, pero hay decenas de abejas a su alrededor.


  A la vuelta paramos en el mirador de las cigüeñas para admirar el atardecer en el parque, donde entendemos porque le llaman el Serengeti español. Se pueden observar algunos grupos de ciervos aunque bastante lejos y los prismáticos se hacen imprescindibles. Nos acercamos a la casa de visitantes "Casa Palillos" en la entrada del parque y podemos observarles más de cerca. Nos informamos de unas rutas en 4x4 dentro del parque que no salen tan temprano como pensábamos y no son tan largas, ya que habíamos desistido de hacerla saliendo a las 7 de la mañana y con 3 horas de duración. Mucho para una niña. Finalmente reservamos a las 10:00 con una hora y media de duración.

  Aquí podéis encontrar una completa información sobre el parque. http://www.aventurascabaneros.com/PDF/GUIA%20INFORMACION%20PARQUE%20NACIONAL%20CABANEROS.PDF

 

  El domingo nos levantamos y tras recoger un poco y desayunar, nos dirigimos a "Casa Palillos" que son unos 10 minutos. Tenemos suerte y al final montamos en un todoterreno nosotros solos, como se circula muy despacio, al final llevamos a Hugo en brazos. La ruta es bonita, aunque a estas horas los animales están más relajados descansando, pero podemos observar muchos grupos de ciervos, Águila Imperial, Azor, Buitres Negros y Leonados, y hasta una pareja de Corzos nos sorprende al regreso.

  Besitos a ellas y abracitos a ellos y hasta nuestra próxima aventura.

Fecha de caducidad o de consumo preferente

  Cuanta comida termina en la basura porque no sabemos diferenciar estos dos términos en el etiquetado de los productos. Yo soy de los que mira las etiquetas de los productos que compra y consume, y creo que no solo es una practica saludable, y ecologica, sino que ademas ayuda a ahorrar, que viene bien en estos tiempos.

  La fecha de caducidad implica que una vez rebasada la fecha impresa en el producto, éste podría causar daños en nuestra salud. Si se ha alcanzado la fecha indicada, por tanto, ese producto no se debería ingerir.
  La fecha de consumo preferente indica que según el fabricante el producto ya no ofrece la plena calidad que debería ofrecer. Puede haber perdido alguna de sus cualidades o no ser enteramente satisfactorio. Esto quiere decir que pueden verse alteradas sus características organolépticas (olor, sabor,..). El producto podría consumirse pero nunca deberían vendernoslo con fecha posterior y por supuesto nosotros no deberiamos comprarlo.

   Ojo que dependiendo del producto es clave su almacenaje en casa, si requiere frio debe estar en la nevera, ademas de controlar las fechas, tambien influye en su durabilidad la apertura o no del producto. Hay productos que aguntan mucho en la nevera, pero que una vez abiertos deben consumirse en 2 o 3 días. 

  En cualquier caso hay que tener mucha precaución con los frescos en general (carnes, pescados, huevos, etc), en especial una vez abiertos o si no disponen de envasado al vacio.

  Tambien debemos fijarnos en las cremas, medicamentos, etc, que muchos de ellos llevan un etiquetado que indica los meses que permanecen con una calidad aceptable una vez abiertos. Podeis encontrar mas información sobre etiquetado http://es.wikipedia.org/wiki/Etiquetado_de_alimentos

  O noticias relacionadas

http://www.elmundo.es/elmundosalud/2011/05/06/nutricion/1304678977.html

http://www.diariodenavarra.es/noticias/navarra/mas_navarra/fecha_caducidad_seguridad_despilfarro_47004_2061.html

  Aqui encontrareis algunas claves para
http://www.consumer.es/seguridad-alimentaria/sociedad-y-consumo/2008/02/13/174523.php
http://www.consumer.es/seguridad-alimentaria/normativa-legal/2011/11/07/204531.php

  Y este texto que os transcribo me parecio interesante

Aprovechar la vida útil de los alimentos
La profesora titular de la UPNA del departamento de Tecnología de Alimentos, Iosune Cantalejo Díez, habla sobre cómo aprovechar al máximo la vida útil de los alimentos.
¿Hay que tirar a la basura un alimento cuando ha pasado la fecha de caducidad? Depende qué alimento sea y del peligro que entrañe. No todos los alimentos son iguales. Por ejemplo, en el caso de un yogur, si lo consumimos al día siguiente o varios días después de la fecha no nos va a causar un daño a la salud, pero notaremos que el yogur es más ácido. Así, llegaría un momento en que lo rechazaríamos fundamentalmente por el sabor.
¿En qué tipos de alimentos hay que ser especialmente escrupuloso a la hora de consumirlos antes de la fecha indicada?
Hay que ser exquisitos sobre todo en los alimentos crudos, como la carne y el pescado frescos. Ahí lo recomendable es ajustarse a la fecha y ser cuidadosos. En el caso de los huevos también hay que consumirlos antes. Y en las ensaladas de cuarta gama, las que se venden en bolsas, ya lavadas y listas para consumir. En general, en todos los que son muy perecederos.
¿Y en el resto de alimentos? Hablamos de alimentos procesados. En la mayoría de estos alimentos (conservas, leche UHT, galletas, chocolate, la miel, azúcar, legumbres., encurtidos....) tomarlos unos días después no supone, en principio, mayor problema.
¿Qué plazo hay para comerlos una vez pasada la fecha de caducidad? No hay una respuesta única. Depende del alimento, de cuánto tiempo ha pasado de la fecha. Cuanto más tiempo mayor pérdida de cualidades. Lo vamos detectar antes sensorialmente. Si se nota un olor, un sabor extraño... hay que tirarlo directamente. Mejor oler y ver antes que probar. El sentido común nos ayuda a decidir en cada caso.

  Como siempre besitos para ellas y abracitos para ellos

Ascenso a la Maliciosa por la cuerda de los Porrones

Altitud 2.227 metros.
Fecha: 30-09-12
Desnivel: algo mas de 1000 metros.
Tiempo subida 2 h 40 minutos. Bajada en unas 2 horas y 20 minutos mas o menos. Total tiempo acumulado con paradas 5 horas y 40 minutos.

  Como el fin de semana se presentó lluvioso y se canceló la subida al Espiguete, decidimos hacer una escapada de domingo a la Pedriza en la Sierra_de_Guadarrama y subir La_Maliciosa por la Cuerda_de_los_Porrones. Quedamos en el alto de Quebrantaherraduras (único cambio de rasante, después de la barrera de control de entrada a Canto Cochino) y pequeño aparcamiento donde dejamos los coches. Desde ahí mismo se inicia un sendero en la parte alta del aparcamiento que se adentra entre la sombra de los pinos. Más adelante cruzamos un estrecho paso entre  jaras que nos deja su olor impregnado en la nariz. Empieza uno de los primeros repechos, atravesamos dos pistas y seguimos por el sendero. Desde aquí podemos ver el embalse de Manzanares o Santillana.

  Durante el ascenso podemos ver lo que parece un buitre negro majestuoso ante nosotros.

  La peor parte llega a la falta del pico que presenta un desnivel importante y que subimos haciendo zig-zag. Es duro pero muy asequible subiendo a tu ritmo. Ninguna dificultad técnica y solo es ir un paso tras otro en pasos cortos. Siempre mirando a la cima y al grupo de gente que ya hay en ella.

    Las vistas espectaculares, estamos ante un mar de nubes. La verdad es que tenemos suerte porque hace algo de sol y algo de sombra, lo que hace al ruta muy agradable. Después de un largo descanso para comer algo y reponer fuerzas toca inmortalizar el momento son la foto sobre el punto geodésico.


  

 La bajada es larga pero muy cómoda, aunque nos cruzamos con tres autobuses llenos de gente de Pegaso que habían venido para hacer esta misma ruta ¡!!!!!!!!!.

 

 

  Finalmente y después de cambiarnos de calzado nos acercamos a Manzanares el Real a tomar nuestra merecida cerveza con su ración. Paramos en el famoso "Charca Verde" donde degustamos un exquisito rabo de toro, judiones y pimientos muy ricos, pero según los expertos los callos no son su especialidad. Tengo que decir que me sorprendieron con los postres ya que tenían Tiramisu y en vista de que estoy haciendo muy guía particular de "Tiramisus" pues lo probé y realmente no estaba nada mal, eso si el resto de postres no merecían la pena (tarta de zanahoria y 3 chocolates).

   Como siempre abracitos para ellos y besitos para ellas.

Fallo de seguridad en el Internet Explorer de Microsoft

Hola a todos,

  El pasado 18 de Septiembre se hizo público un grave agujero en las versiones activas de Internet Explorer, para todas las versiones de sistemas operativos. Normalmente cuando se descubre una  vulnerabilidad se dá un tiempo al fabricante para que la solucione, si se hace pública sin que exista parche se habla de un "Zero-Day" como es el caso. Lo que indica que es un grave el riesgo de seguridad. Ademas se sabe que está siendo utilizada.

  Lo primero de todo, siempre que recibáis un aviso de este tipo, debéis analizar cual es la fuente y contrastarla con otras antes de tomar ninguna actuación.
  http://tecnologia.elpais.com/tecnologia/2012/09/18/actualidad/1347955876_102489.html
  http://www.elmundo.es/elmundo/2012/09/20/navegante/1348127917.html

  Podéis encontrar información detallada en estas páginas, en el texto del final del blog de Hispasec, a los que por cierto felicito por su reciente asociación con Google, en las páginas oficiales tipo
https://www.osi.es/es/actualidad/avisos/2012/09/fallo-de-seguridad-en-el-navegador-internet-explorer o en el propio Microsoft.

  En muchas de ellas se recomendaba cambiar a otro explorador como Firefox o Chrome mientras Microsoft la solucionaba. Lo que no tiene en cuenta esta recomendación es la incapacidad de muchos usuarios para hacer esto, los costes que puede suponer para las empresas con gran cantidad de equipos y usuarios, donde no solo se debe sopesar el coste de distribución e instalación sino también el de formación y uso del nuevo navegador, que no tendrá una curva plana, sus incompatibilidades y el soporte a incidencias. De hecho basta cambiar a alguno de estos navegadores un rato y veremos que algunas de las paginas que habitualmente usamos no funcionan, o no lo hacen del todo. OJO, no quiero decir que el de Microsoft sea mejor, sino que no hay una solución perfecta.

  En cualquier caso Microsoft dice haber resuelto el problema y ha publicado un parche acumulativo fuera de sus circuitos habituales de todos los martes. Es muy recomendable que aquellos que sigáis usando este navegador lo apliquéis. Para ello usar la página http://windowsupdate.microsoft.com/ o http://support.microsoft.com/kb/2744842. Podéis encontrar más información del parche en http://www.hispasec.com/unaaldia/5081.

   Como siempre la mejor seguridad la aporta el sentido común y si no ejecutamos enlaces desconocidos o sospechosos tendremos mucho ganado.

   Besitos para ellas y abracitos para ellos. 


*********************************************************************************

Grave vulnerabilidad sin parche en Internet Explorer está siendo  aprovechada por atacantes

 ----------------------------------------------------------------

Se ha descubierto un nuevo exploit que aprovecha una vulnerabilidad crítica en Internet Explorer. Permite la ejecución remota de código arbitrario y que está siendo usada por atacantes. Afecta a las versiones 7, 8 y 9 del navegador en todas las versiones del sistema operativo.

Se ha descubierto una vulnerabilidad en Internet Explorer, previamente desconocida y que está siendo aprovechada por atacantes. Uno de los datos más curiosos es cómo fue descubierto por el investigador Eric Romang (@eromang), y que indica que este 0-day podría estar relacionado por los mismos autores de la grave vulnerabilidad en Java de hace solo unas semanas. Después del descubrimiento del problema en Java, Eric Romang monitorizaba regularmente algunos de los servidores desde donde se sabía que se distribuía aquel exploit y relacionados con sus desarrolladores. El día 14 de septiembre detectó que se había creado nuevo directorio en uno de ellos donde se alojaba el código para aprovechar una nueva vulnerabilidad, que resultó ser esta de Internet Explorer.

El fallo permite la ejecución remota de código a través de una vulnerabilidad en la función execCommand utilizando referencias no válidas a puntero ya liberado (use-after-free). En el código del exploit esto se consigue mediante la creación de un objeto 'CMshtmlEd', su eliminación y posterior uso de la zona de memoria mediante CMshtmlEd::Exec. Una vez explotada la vulnerabilidad, se ejecuta el payload mediante la técnica del relleno de la memoria heap mediante NOPs (heap spray) y del propio shellcode para conseguir su ejecución. Elude DEP y ASLR con técnicas ROP y después carga un troyano del servidor malicioso.

En el siguiente vídeo se puede observar todo el proceso, llevado a cabo en un servidor comprometido donde se alojaban tanto el exploit de IE como el conocido RAT Poison Ivy, encargado de controlar a la potencial víctima.

http://youtu.be/_w8XCwdw5FI

El diagrama de flujo del ataque sería el siguiente:

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgm3k9h1chMeKILnVfyUQFLTeu9WdAtNnpfK6PIDKJMzoyFDEt1BbSd_hbcnapgqDw7c6aV4tQHTI4CIMpnHTGsuarslD9IGoN-Y175SVa8RTmuGuqcxghT0bARuJj_5cxtNOrdkIG-x9I/s1600/diagram.png

El exploit (Protect.html) inicialmente no era detectado por ninguna casa

antivirus:

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqsVqNJ9teTbygeTFixFwI3TMyR168i6sBGUkS7MJuTzDVxZFbcr3qlBIi3fmpiTBPt9TaxZA2Lt2iEt43XmwIsjOwjGS4FAMUn2rNks3qc1pTc2JKTwp7Qf2vb14Kk_7sD3p_HNrVecg/s1600/VT_nodetection.png

Aunque finalmente Microsoft ha actualizado sus definiciones de antivirus identificando la familia del exploit como Dufmoh.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWfsr0LmQoW09zO3WkCCg3gb_gz-ZMmKvre9AFBVAVs4CGn-lyNGjrG1oVt69cTgnu4IPhRbM4_x312BV_okZWWV84ajiEQav77MIECJU6Xgnzl4UYwsHca3Z79VTsAA931hADEBetiYk/s1600/Dufmoh_detection.png

Este 0-day está siendo ampliamente explotado tras la publicación del script para Metasploit. Aunque el módulo de Metasploit está creado para Internet Explorer 8, se podría modificar para otras versiones.

http://postimage.org/image/zf4qdbmuf

No existe parche o contramedida oficial por parte de Microsoft, por lo que se recomienda el uso de otros navegadores hasta que sea publicada una actualización. EMET correctamente configurado, podría permitir detener el vector de ataque.

Opina sobre esta noticia:

http://unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html#comments

Más información:

Zero-Day Season Is Really Not Over Yet

http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

IE execCommand fuction Use after free Vulnerability 0day en http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day_en/

metasploit: Microsoft Internet Explorer execCommand Use-After-Free Vulnerability http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

Mmm, Smells Like 0day

http://blog.beyondtrust.com/bid/89587/Mmm-Smells-Like-0day

New Internet Explorer zero day being exploited in the wild http://labs.alienvault.com/labs/index.php/2012/new-internet-explorer-zero-day-being-exploited-in-the-wild

Exploit:Win32/Dufmoh.B

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Exploit%3aWin32%2fDufmoh.B&threatid=2147663168

Microsoft Internet Explorer execCommand Use-After-Free Vulnerability http://dev.metasploit.com/redmine/projects/framework/repository/revisions/aac41e91fd38f99238971892d61ead4cfbedabb4/entry/modules/exploits/windows/browser/ie_execcommand_uaf.rb

2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265

https://www.virustotal.com/file/2a2e2efffa382663ba10c492f407dda8a686a777858692d073712d1cc9c5f265/analysis/1347710701/

Jose Mesa

jmesa@hispasec.com

Sergio de los Santos

ssantos@hispasec.com

@ssantosv

iOS6 Nuevo sistema operativo de Apple para IPhone, IPad e IPod

  Como últimamente está ocurriendo Apple aprovecha la presentación de un nuevo dispositivo para lanzar un salto en la versión del sistema operativo que junto a las Apps hace que la usabilidad de estos terminales sea una de las mejores.

 
  Si quieres saber que novedades trae puedes consultar http://www.apple.com/es/ios/whats-new/
 o bien otro punto de vista. http://www.xataka.com/tablets/ios-6-y-sus-novedades

  Como ocurre con muchas cosas en tecnología hay que evitar ser los primeros en hacer la actualización, lo que demuestra los problemas que han surgido con la misma, y para evitar hacer de conejillo de indias en funcionalidades que pueden ser modas pasajeras. Recomendación espera al menos 2 o 3 meses desde el lanzamiento. Algunos de los problemas :
http://tecnologia.elpais.com/tecnologia/2012/09/19/actualidad/1348065405_331997.html
 
  Es cierto que estoy esperando desde hace un tiempo la funcionalidad de Siri en castellano, que ya  he probado en ingles, y lo cierto es que es mucho menos de lo que me esperaba. En cualquier caso y viendo la cantidad de tiempo que pierde mucha gente escribiendo mensajes, esta claro que el futuro tiene que acercar las funcionalidades de voz al gran público. Dictar mensajes, ejecutar operaciones solo con tu voz, o incluso hacer consultas sobre que restaurantes hay en la zona donde estas, son cosas que no tardaremos en hacer de forma rutinaria. Pero parece que desde Apple piden paciencia para que las cosas funcionen como esperamos http://tecnologia.elpais.com/tecnologia/2012/09/21/actualidad/1348195336_138588.html


  Un saludo

La seguridad de las tarjetas de crédito con chip en entredicho

  Como el tiempo siempre demuestra la seguridad absoluta no existe, y este tipo de hechos denotan dos cosas, que el cambio a chip no impide, aunque si reduce mucho el fraude, y que España es un lugar llamativo para los delincuentes.

  Un saludo

Un estudio desvela que es posible clonar tarjetas de crédito con chip

 ---------------------------------------------------------------------

Un grupo de investigadores de la universidad de Cambridge han descubierto una vulnerabilidad en el sistema de seguridad que llevan las tarjetas con chip. Según este método, se podría llegar a clonar una tarjeta de crédito y efectuar una transacción fraudulenta.

EMV es un estándar de interoperabilidad desarrollado por Europay, MasterCard y Visa en los años 90 para la autenticación de pagos mediante tarjetas de crédito y de débito. Este nuevo sistema se planteó para sustituir a las inseguras tarjetas con banda magnética, cuyo sistema de seguridad no era suficiente para impedir su clonación.

Desde hace varios años, las tarjetas están abandonando la insegura banda magnética en favor del chip incrustado que contiene información cifrada.

El acceso a la información requiere un código PIN secreto para que la operación se lleve a cabo correctamente. A grandes rasgos, el proceso a la hora de efectuar una transacción es el siguiente:

* Cuando un terminal o ATM (Automatic Teller Machine) quiere iniciar una transacción, este envía toda la información (cantidad, moneda, fecha,

etc...) a la tarjeta que se encuentra insertada, junto con un código llamado UN (Unpredictable Number) que el cajero o terminal genera al vuelo en el momento de la transacción.

* La tarjeta usa una clave de cifrado secreta, que se encuentra guardada en el chip, para generar un código que autoriza la petición (ARQC) a partir de los datos de la transacción y el UN facilitado por el terminal. El ARQC es enviado de vuelta al terminal.

* El ATM envía el código ARQC junto con el PIN cifrado y el UN en texto plano al banco de la tarjeta en cuestión.

* Por último, el banco descifra el ARQC y valida la información que contiene. También valida el UN que contiene el ARQC que el terminal ha enviado en texto plano. Si ambos coinciden, la transacción es válida y autorizada.

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiZQsKm8ijC8_H60RxItlH6sOO7Av6mhu-cDPVpLUXQGVnDBdck3hHK-L72b9f_ES6k5rOgApwaY8mr_uC0febEmirGXmG7b5i8RBZstv-gAvMBzVne9mTnM4yJpM5O5JauGnkwZYmzFIM/s1600/tarjetascredito-1.png

En particular, el caso que inició esta investigación fue el ocurrido a un cliente del banco HSBC por el que varias transacciones fraudulentas fueron realizadas a través de un terminal de Palma de Mallorca, el 29 de junio de 2011. Una vez conseguidos estos registros, fueron revisados y se pudo comprobar que unos de los campos que identifica la transacción, el UN, tenía poco de "unpredictable":

https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEji8sW6togRGUS7zNh4sp6dQmAsHIU2yhyphenhyphenhR8V8Fsi6vX4WXJGpg785-lcTCM_h3si3RhftVITzzv00CFPDTv9aJQAUbLx0jrUcud2YgXxp6_FJ5fN7wyTrWPSypKPbZOLh7Vy7Q96F-kM/s1600/tarjetascredito-2.png

En la mayoría de los casos analizados se comprobó que este valor era generado usando un algoritmo "aleatorio" bastante pobre (a veces, incluso contadores, dependiendo del terminal) permitiendo la posibilidad a un ataque de tipo "pre-play".

Un ejemplo de este tipo de ataques propuesto por estos investigadores es el siguiente:

* Un negocio "tapadera" controlado por los atacantes, podrían usar un terminal modificado para guardar la información de la tarjeta y el PIN que el cliente ha introducido para realizar un pago legal. A la vez que se realice esa transacción, se puede obligar a la tarjeta a generar otro código ARQC para una transacción con fecha futura y UN específico. El UN será un número que los atacantes saben que será generado por un modelo específico de terminal en el futuro.

Después de recibir el segundo código ARQC de la tarjeta, el atacante podrá crear una tarjeta clonada con la información de la tarjeta legítima y programarla con el código ARQC que contiene la información de la transacción futura. Por último, el atacante tendrá la posibilidad de efectuar una única transacción con esa tarjeta para la fecha que se fijó.

En resumen, se tendría un efecto similar al de clonación que existe hoy con las bandas magnéticas, pero con tarjetas protegidas con chip.

Los investigadores avisaron a los responsables de la pobre aleatoriedad de creación de los UN por parte de algunos terminales. Al parecer, no han recibido demasiada atención.

Terminan con una dura crítica hacia las entidades bancarias a las que acusan de conocer los riesgos que entraña este sistema de pago y aún así ocultarlos. Por su parte, la Financial Fraud Action (organización que se encarga de controlar el fraude financiero en Gran Bretaña) ha insistido en que en nunca dijeron que la eficacia de estas nuevas tarjetas fuese absoluta además de que, si bien es cierto que los atacantes puedan realizar operaciones fraudulentas, sería muy arriesgado.

Opina sobre esta noticia:

http://unaaldia.hispasec.com/2012/09/grave-vulnerabilidad-sin-parche-en.html#comments

Más información:

Chip and Skim: cloning EMV cards with the pre-play attack http://www.cl.cam.ac.uk/~rja14/Papers/unattack.pdf

Chip and pin 'weakness' exposed by Cambridge researchers

http://www.bbc.com/news/technology-19559124

Daniel Vaca

dvaca@hispasec.com