WhatsApp: Esa droga que nos hace vulnerables

10 millones. Esa es la cifra de usuarios que utilizan actualmente WhatsApp sólo en España...Una monstruosidad.
WhatsApp  se ha convertido en una aplicación imprescindible para cualquier usuario de móvil ( cómo hace unos años Microsoft Messenger para ordenador ) e incluso justifica la adquisición de un smartphone para muchos.

Imágen de la aplicación en la App Store de iOS

Aparentemente, todo son ventajas para el usuario: Aplicación gratuíta( Excepto para los propietarios de un Iphone...sigh ), mensajes sms sin ningún coste a tus contactos que dispongan de él, facilidad de uso...Pero hay un "pero" muy importante: La seguridad y privacidad de nuestros datos y conversaciones brillan por su ausencia.

El problema nace en que no existe cifrado de datos en esta aplicación, así que todo viaje en texto "plano" y, por lo tanto, fácilmente captado desde cualquier dispositivo preparado para "cazar" nuestras conversaciones. WhatsApp utiliza el potente protocolo de comunicación XMPP para enviar los mensajes sin encriptar al servidor bin-short.whatsapp.net bajo el puerto 5222.

El problema provocó incluso que Apple decidiera retirar la aplicación de su App Store el pasado mes de enero, pero misteriosamente,  fue reincorparada unos días después, a pesar de contar con las mismas vulnerabilidades...

El blog de seguridad informática seginformatica.com hurgó en la herida el pasado mes de marzo desarrollando incluso una aplicación capaz de captar y transcribir esas conversaciones, de tal forma que, escaneando una red de público acceso, se tiene acceso directo a todas las conversaciones de los móviles  que estén conectados a ella...¡Houston, tenemos un problema!

La aplicación, por si a alguien le es útil para auditar la seguridad de las redes a las que se conectan sus dispositivos móviles ( no le deís un mal uso, ¡insensatos! ) se llama WhatsAppSniffer.

Imagen de la consola de control de whatsappsniffer

Y es que, investigando un poco,  cualquiera puede conseguir herramientas o aprender procedimientos que saquen a relucir los pecados de WhatsApp...Otro ejemplo es un script de Perl que permite conocer el status o frase identificativa de cualquier usuario de España, a parte de cifrar e identificar exactamente el número de clientes del servicio en cada momento...Y como comenta Alejandro Ramos en esta entrada al blog Securitybydefault.com , es tentadoramente sencillo...

Hay muchas más operaciones para burlar la escasa seguridad de WhatsApp, entre ellas registrar los ficheros de datos de la aplicación para recuperar todas las conversaciones, incluso las borradas...
Realmente, se puede sacar petróleo de los puntos débiles de la aplicación.

¿Y porqué los programadores de WhatsApp no ponen solución al problema?, os preguntaréis. Pues las malas lenguas defienden que para solucionar todas estas carencias de seguridad habría que reprogramar la aplicación desde 0,  o sea que las sucesivas actualizaciones sólo aplican parches sobre la marcha, pero no solucionan el problema de una aplicación

¿Y ahora qué? ¿Seguirás usando whatsapp con la misma despreocupación de siempre? Un consejo: Si en algo aprecias tu intimidad, evita conectarte a redes inalámbricas  públicas....

El panel EPS: una nueva forma de construir y abandonar el ladrillo

En estos convulsos tiempos en que ( por fin ) se da importancia a la sostenibilidad de los materiales de construcción y a la economización de procesos, hoy me gustaría escribir algunas líneas sobre un tipo de construcción un poco desconocido todavía en nuestro país: El panel modular EPS de poliestireno expandido.

Edificio ejecutado con panel EPS.

El panel modular no es otra cosa que una alma de poliestireno expandido ondulado (EPS), conocido popularmente como "forexpan", recubierto con una malla electrosoldada o armadura de acero, que sustituye al tradicional esqueleto de hormigón  y obra que tanto se ha  usado hasta ahora en la construcción.

Esquema de un muro con  núcleo de panel EPS

Una vez colocado ese panel según el proyecto, se revestirá a lado y lado con  hormigón proyectado, en un grosor variable según el del propio panel, pero que nunca será inferior a 3,5 cm.

Sección esquemática de un cerramiento de panel EPS

  

Y la pregunta del millón: ¿Cuáles son las ventajas del uso de este sistema frente al de obra tradicional? Pues bien, la primera es la economización de tiempo, pues la fase de estructura de la obra reduce sus plazos de forma espectacular, llegando a ser la mitad que una estructura de obra a la vieja usanza. Y ello, no nos engañemos, repercute en el coste final.

Otra gran baza a su favor es que consigue unas condiciones de  aislamiento térmico continuo superiores a la obra tradicional, sin puntos de fuga térmica en los cerramientos, con lo que el ahorro en climatización de una vivienda hecha con alma de panel es bastante notable...Y ello hace las casas prefabricadas  con este "modus operandi"  sean mucho más sostenibles energéticamente que una tradicional ( el ahorro, según el fabricante, llega a alcanzar más de 20KW-hora/m2 al año).

Vivienda en fase de estructuración de panel EPS.

Como es de suponer  la composición densa del alma del panel hace que los cerramientos presenten un buen aislamiento frente al ruido, cumpliendo las especificaciones del CTE - Documento Básico Protección frente al ruído ( Normativa viegente en España ).

Por último, otra característica beneficiosa del panel es que proporciona una aislamiento hidrófugo contínuo y sin puntos débiles de cara a la siempre temida humedad en la edificación.

En mi humilde opinión , este sistema es todavía desconocido en un país que necesita renovar sus hábitos y costumbres, especialmente en lo que a construcción se refiere.  

Como empresa de referencia en nuestro país, me parece adecuado citar a Provicsa casas prefabricadas

Facebook fagocita a Instagram...¿Y ahora qué?

Y, pillando por sorpresa a  propios y extraños, Facebook anunció la compra de Instagram, la aplicación que permite editar y modificar imágenes desde el smartphone,  el pasado lunes 9, en una operación por un valor de 1.000 millones de dólares más acciones.

Instagram, la última adquisición de Facebook

Las consecuencias de esta compra para los usuarios son ahora la incógnita, sobre todo en cuanto a privacidad se refiere. El interrogante que se ha extendido como la pólvora entre los users de Instagram ( un servidor se incluye ) es que pasará ahora con todas las imágenes subidas a esta aplicación y que pasan, talonario mediante, a manos de Facebook.

Y es que, si hacemos caso a las cifras que ha publicado Naked security, Instagram tiene 30 millones de usuarios hoy día, que apróximadamente pueden haber publicado unos 475 millones de fotos ( usando la media de 1,3 fotos díarias )...O sea, que el problema adquiere proporciones épicas.

Y la previsión es que el número de usuarios aumente de manera considerable tras la aparición de Instagram también para dispositivos Android el pasado día3 de abril ( antes sólo estaba disponible para dispositivos con iOS )...

Echando una ojeada  a las cláusulas de la política de privacidad de Instagram,  vemos que los temores en cuanto a privacidad  son totalmente fundados, ya que una cláusula advierte que Instagram puede cambiar su política de privacidad en cualquier momento y sin previo aviso a los usiarios. O sea, de forma unidireccional, por decreto ley.

Cláusula de la política de privacidad de Instagram que advierte sobre posibles variaciones sin pre-aviso.

En resumidas cuentas, Facebook tiene total libertad para modificar esta política según sus intereses...Lo que significa disponer de esos estimados 475 millones de fotografías de usuarios, a añadir  a la base fotográfica que ya tiene de su propia red social, con lo que pasa a ser el archivo más grande de imágenes privadas del planeta...Un auténtico "picture-monster", la verdad.

Todo esto me hace pensar que en el momento que decidimos compartir una imagen personal en cada una de estas redes sociales o plataformas de comunicación, esta toma un camino de no retorno, y dejamos de poseer todos los derechos de propiedad intelectual sobre ella...Así que quizá sea mucho mejor que se conserve en nuestro disco duro de forma anónima y sólo para enseñarla a quién nosotros deseamos.

Porque, además, en el volátil mundo de internet,  todo es susceptible de cambiar de un día para el otro¿Que va a ser lo siguiente? ¿Google comprará Pinterest?..

Admitámoslo: Estamos a su merced.

Detección y solución del troyano Flashback en nuestros Mac

Aunque soy consciente de que esta entrada puede contribuir a desatar la psicosis y el pánico entre los usuarios de Mac, me parece información útil para evitar males mayores, así que allá vamos...

Como muchos de vosotros ya sabréis, el pasado jueves 5 la empresa rusa de seguridad informática Dr. Web informó sobre una amenaza en forma de troyano, conocido como Flashback,  con cifras: Mas de 600.000 Macs en todo el mundo podrían estar infectados.

Mapa de distribución de ordenadores Mac afectados por "Flashback"

El "modus operandi" de este malware consiste en aprovechar un punto débil en la seguridad del módulo de Java de Oracle para , mediante una aplicación que requiere aceptación por parte del usuario para ser instalada, acceder a la información personal  ( contraseñas de acceso a entidades bancarias incluídas ) de algunas aplicaciones, como por ejemplo, safari.


Bien, para curarnos en salud, lo mejor es utilizar un sencillo método que nos permitirá saber si nuestro Mac está infectado, ideado por el portal F-Secure , y que consiste en introducir unos comandos en el terminal.
Si, es un poco pesadete, pero creo que bastante recomendable ponerlo en práctica.

1.Una vez abierta la sesión del terminal ( dentro de "Aplicaciones", submenú "Utilidades") ,  introducimos esta línea de comando:

defaults read /Applications/Safari.app/Contents/Info LSEnvironment


2.Como resultado de ese comando, obtendremos una parrafada, y de ella debemos localizar en concreto la frase "DYLD_INSERT_LIBRARIES", y apuntar el valor siguiente. Si nos aparece este mensaje de error “The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist”, saltaremos al paso 6 de este proceso.

Con este mensaje de error, pasamos al paso 6

3.En caso de no tener mensaje de error, toca escribir esta línea de comando:

grep -a -o ‘ldpath[ -~]*’%(valor obtenido en el paso 2)% 

Y tomamos nota del valor que sigue a "__ldpath__".

 4. Introducimos los siguientes comandos en el Terminal (previamente nos aseguramos de que sólo haya una entrada, en el paso 2):

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment



sudo chmod 644 /Applications/Safari.app/Contents/Info.plist



5. Borramos los archivos obtenidos en los pasos 2  y 3.

6. Seguidamente, ejecutaremos este comando en el Terminal:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

 En el párrafo que resultará tendremos la primera respuesta para saber si estamos infectados o no: Si aparece el mensaje de error siguiente, querrá decir que nuestro ordenador está libre del troyano ( y terminaremos el proceso aquí):

“The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist”

Este es el bendito mensaje de error que demuestra que tenemos el Mac libre del troyano

 7.En caso contrario (os acompaño en el sentimiento), tendremos que escribir el siguiente comando:

 grep -a -o ‘ldpath[ -~]*’ (ruta obtenida en el paso anterior

 Tomaremos nota del valor que sigue a "__ldpath__".

 8. Introduciremos estos dos comandos en la consola del términal ( ánimo, que esto se acaba ya ): 

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES



launchctl unsetenv DYLD_INSERT_LIBRARIES

 9.Para acabar, borramos los archivos obtenidos en los pasos 6 y 7.

Si todo ha ido bien, tenemos nuestro Mac libre de "Flashback"...Pero eso sí, lo siguiente que debemos hacer es corregir el orígen del problema, o sea, instalar la actualización de seguridad java a través del módulo de actualizaciones de nuestro Mac, para cerrar definitivamente la puerta de entrada a estos molestos troyanos.