miércoles, noviembre 24, 2010

CodeTwo Outlook AutoConfig

En las últimas versiones de MS Outlook y el sucesor de Outlook Express, es decir, Windows Live Mail la configuración de las cuentas de correo puede ser toda una aventura, ya que hay que meter todo tipo de datos.

Pero para evitar esto tenemos Outlook AutoConfig.

Esta pequeña aplicación para Windows simplemente nos pedirá nuestra dirección de correo y él solito hace el resto. 

Y vosotros que tenéis economato sus preguntareis.. ¿y como funciona? Pues tan simple como que al ponerle la cuenta de correo, el programa se dirige a su propia bbdd y consulta dichos parámetros.

Evidentemente no disponen de TODAS las configuraciones de TODOS los servidores de correo, pero a través de un formulario y una dirección de correo, podemos hacerles llegar nuestra configuración.

Outlook AutoConfig es gratuito y funciona con Windows a partir del 2000 y con Microsoft Outlook a partir del 98 y Windows Live Mail.

Todo esto es muy bonito pero tiene un inconveniente… ¿como está protegida dicha bbdd?

Es decir la gente “amablemente” va metiendo datos sobre los servidores de correo que utilizan ellos mismos, por lo que esta bbdd empieza a ser bastante golosa para todos aquellos amigos de lo ajeno. ¡¡ Ya no es necesario andar buscando los servidores smtp y pop, esta herramienta te los da !!!

Parece útil incluso para los fines no contemplados inicialmente por loe desarrolladores.

En fin estos señores también disponen de otras herramientas gratuitas para el Outlook:

  • Outlook Export: Para pasar datos a CSV
  • FolderSync Addin: Para sincronizar carpetas
  • Attach Unblocker: Para poder recibir ficheros bloqueados… por ejemplo mdb, exe, etc.
  • CatMan: Para compartir categorias
  • PST Ghostbuster: Para eliminas pst duplicados
  • NetCalendars: Para compartir calendarios

martes, noviembre 23, 2010

Como reducir los costes de impresión

Ahora que estoy enchufado a esto del ahorro, vamos a tratar otro sistema de ahorro de costes que está fuera de lo común y que prácticamente nadie se ha preocupado por tratar.

Si trabajas en una gran organización, este post puede ser muy interesante, puesto que se ahorrará mucha tinta y tóner.

En Printer.com ha hecho un estudio del consumo de toner y tinta con los dos modelos más popolares de impresoras en EEUU.

Canon Pixma MP 210 es la que se ha utilizado para el usuario doméstico y la Brother HL-2140 ha sido la elegida para el uso corporativo.

Las impresoras se han dejado en la configuración por defecto 600 dpi.

El resultado ha sido que cambiando el tipo de fuente cada impresora se ahorra entre 20$ y 80$ al año.

La tabla ce comparación de fuentes ha sido:

font-comparision-print-costs

Por tanto si utilizamos por defecto Century Gothic en vez de Tahoma nos ahorramos casi 100$ al año por impresora.

En un ejemplo real, la Universidad de Green Bay de Wisconsin ha cambiado la fuente por defecto del correo electrónico de Arial a Century Gothic y el resultado es que han consumido un 30% de tinta menos con un ahorro de 10.000$

different-font-typesSerif vs Sans Serif: Century Gothic y Times New Roman son los tipos de fuente que son más económicos seguidos por Calibri, Verdana, Arial y Sans Serif.

Las fuentes del tipo Serif tienen menos líneas horizontales entre la parte superior e inferior de los caracteres, además de ser más delgados, por lo que evidentemente cuando se imprimen consumen menos tinta/tóner.

Pero esto tiene un inconveniente y es que las fuentes que consumen menos tinta se leen peor en la pantalla es por ello es que en las nuevas versiones de los programas de Microsoft se utiliza Calibri y Cambria, en vez de Times new Roman y Arial. Microsoft nos dice que si las cosas se leen mejor en la pantalla el personal no las imprimirá por lo que el ahorro será mayor no solo en tinta, sino en papel.

Pero si tu organización tiene que imprimir ciertos documentos porque no le queda más remedio, por ejemplo, recetas e informes, ¿porque no cambiar el tipo de fuente?

Premios a las mejores iniciativas TIC en el ámbito de sanidad

RECONOCIMIENTO A LA LABOR DE LOS PROFESIONALES INFORMÁTICOS

El Servicio Madrileño de Salud ha entregado los premios y las menciones específicas a los trabajos seleccionados de entre las 24 candidaturas presentadas en la primera edición de los 'Premios a las buenas prácticas e iniciativas innovadoras TIC en el ámbito sanitario' en un acto que ha tenido lugar en la Agencia Laín Entralgo.


Presidido por la Directora de Sistemas de Información Sanitaria, Zaida Sampedro, acompañada por el Director General de la Agencia Laín Entralgo, Amador Elena, en el acto se presentaron los proyectos finalistas y se entregaron los siguientes galardones: el primer premio al trabajo ti titulado "Incorporación de las Residencias de Ancianos en la Historia Clínica Electrónica" presentado por Inmaculada Fernández Gallardo (Atención Primaria); el segundo premio correspondió al titulado "Proyecto de Archivo de casos interesantes (ACI) en la UCR", una iniciativa de Carlos Benito Vicente (UCR).

Evento_premios_0097-800X533[1]Las cuatro menciones específicas han sido, al Proyecto más Innovador: "Sistema de Información para el tratamiento predictivo de pacientes críticos", presentado por Juan Luis Cruz Bermúdez (Hospital Puerta de Hierro Majadahonda); Proyecto con mayor capacidad de extensión a otros centros: "Proyecto de ahorro energético en el ámbito de las TIC", presentado por Tomás Isasia Infante (Atención Primaria).

El Mejor proyecto en el ámbito de la organización y gestión de la función TIC: Integración y Gestión Documental en la Historia Clínica Informatizada", presentado por Juan Manuel Martín Giner (Hospital de El Escorial); y el Mejor proyecto orientado a la Centralización de servicios: Proyecto e-SOAP, presentado por Julián Jiménez Carramiñana (DGSIS).

Los otros finalistas han sido los trabajos titulados "Recordatorio de citas en el Hospital de Henares" presentado por Santiago Borras Natividad y "Proyecto de integración de Imagen Digital generada en tención Primara" de Jesús Castellano Alarcón.

Evento_premios_0100_800X533[1]Acto de entrega de premios
El acto contó además con la presencia del director de la Escuela Politécnica de la Universidad Europea de Madrid, José Enrique Fernández del Río; del gerente del Servicio Regional de Bienestar Social, Américo Puente; del director de Formación y Relaciones Institucionales de ICM, José Estévez; del ex-director general de Informática de la Consejería de Sanidad, Fernando Bezares; de la directora Técnica de Sistemas de Información de la Gerencia Adjunta de Planificación y Calidad de la Dirección General de Atención Primaria, Montserrat Hernández; y del Subdirector General de Planificación, Pedro Pastor.

El objetivo de estos premios es reconocer y estimular la labor de los profesionales informáticos que desarrollan su trabajo en las Instituciones Sanitarias del Servicio Madrileño de Salud de la Comunidad de Madrid

viernes, noviembre 19, 2010

Instalando Android por WiFi en un iPhone 2G 3.1.x desde 0 en España

Android-2_2-on-iPhone Para todos aquellos quieran probarlo, solo comentar que es posible, pero que el rendimiento del teléfono (iPhone 2G) con Android no es una maravilla, he jugueteado un rato con él y va un poco lento.

Os voy a describir como lo he hecho, teniendo en cuenta que en España no existen terminales iPhone 2G oficiales.

Lo vamos a hacer en 3 pasos:

1º Descargar e instalar un Custom Firmware 3.1.3 en el iPhone 2G

2º Instalamos el repositorio de Cydia que contiene el BootLace

3º Modificamos y parcheamos el iOs para que permita Arranque dual e Instalamos Android

Vamos al grano:

PASO 1:

Lo primero que tenéis que hacer es descargar un firmware 3.1.3 con Cydia que ya esté hacktivado, si os bajáis la versión oficial, cuando restauréis el teléfono lo tendréis bloqueado y sin jailbreak, por lo que si si le instaláis este firmware ganáis algo de tiempo. Yo recomiendo instalar el Custom Firmware de http://www.whited00r.com que nos ofrece MMS, Tethering por USB y bluetooth, control por voz y otras muchas mejoras.

Cuando ya tengáis descargado el firmware lo instaláis desde iTunes, para ello:

  • Abrimos itunes.
  • Conectamos el iPhone y lo sincronizamos para poder recuperar con posterioridad los contactos, agenda, aplicaciones de la Apple Store…
  • Apretamos la tecla shift (en Windows) a la vez que Restaurar en iTunes. La tecla shift es representada por una flecha delineada apuntando hacia arriba (⇧) o apretamos la tecla Alt (para Mac) a la vez que restaurar en iTunes.
  • Saldrá una ventana para buscar el archivo descargado, los seleccionamos y empieza la restauración.

Cuando termine ya está en el Firmware 3.1.3 con el Jalbreak, liberado para cualquier operador y con otras pequeñas ventajas.

Ahora configuráis el teléfono para que se conecte a una WiFi  que puede ser la de Casa, la oficina, de la estación, del vecino… pero es necesario para que el BootLace funcione.

PASO 2:

Abrimos Cydia y añadimos el repositorio http://repo.neonkoala.co.uk/

Install-Android-on-iPhone-3G-2 

Pinchamos en Change y buscamos e instalamos BootLace

Install-Android-on-iPhone-3G-1

PASO 3:

Nos aparece un bonito icono en nuestra pantalla:

Install-Android-on-iPhone-3G-3

Lanzamos BootLace, y en este momento, aparece un cartelote en el que nos indica que esta Descargando el firmware, si este cartelote se queda durante más de 10 minutos… ¡¡¡ NO esta haciendo nada!!! tendremos que reiniciar el teléfono y volver a lanzar el BootLace.

Una vez lanzado el BootLace, te aparece un cartelote en elq ue te dice que se descarga el firmware, que parchea el firmware y cuando acaba de hacer todo esto se abre el programa.

Pinchamos en OpeniBoot y lo instalamos

Android-2_2-on-iPhone-4Android-2_2-on-iPhone-1 

Es recomendable que tengáis pinchado el iPhone al cargador, puesto que el proceso no tarda demasiado pero consume energía… y no conviene que se nos apague el teléfono en este momento. Cuando acaba de instalarse, en la ventana principal del BootLace, pinchamos en iDroid y luego en Install.

Android-2_2-on-iPhone-6 Android-2_2-on-iPhone-5

Al cabo de unos cuantos minutitos ya tenemos instalado el iDroid, por lo que ahora solo tenemos que presionar QuickBoot y luego Android para que el teléfono se reinicie y empiece a funcionar con Android.

IMG_0007

Como los teléfonos con Android suelen tener más botones físicos que el iPhone, al principio tardareis un rato en ver para que sirve cada uno de los botones del iPhone… reconozco que tardé 5 minutos en apagar el teléfono, puesto que en el iOs, presionas el botón de encendido durante un par de segundos y te aparece la barra para apagarlo… pero en iPhone + Android esto no es así…

En cuanto al funcionamiento del Android over iPgone 2G solo decir que hay muchas funciones que fallan y que el Android se estrella, tales como la cámara, el bluetooth, la ayuda… pero cuando tenga un rato más para jugar os lo pongo….

martes, noviembre 16, 2010

Wii vs Microsoft Kinetics vs PlayStation Move

La tendencia es la tendencia, los jugones queremos meternos dentro del juego, queremos ser el personaje de los videojuegos…. uno jugaba a tal o cual juego porque hasta cierto punto se sentía identificado o bien por la historia, o bien por el personaje o bien por la temática o ambas 3.

Si tenemos en cuenta que Wii ha sido la consola más vendida… ¿porque nos va a sorprender que Microsoft haya vendido un millón de Kinects en apenas 10 días y Sony tardó 30 días para vender un millón de Playstation Move

¿Kinect o Move son una revolución? … Pues si y no, Wii, fue la revolución. En estos momentos lo que si que son tendencias hacia donde debería ir la industria del videojuego. No queremos niños jugones obesos, queremos que las personas mayores se acerque al juego dentro de casa, de una forma diferente a la habitual.

A día de hoy todavía es un poco “extraño” jugar con el aire, especialmente en el contexto social actual con otras personas, en una sala en tu casa, y que normalmente no es muy grande.

Yo tengo Wii, compraré Move… e intentaré convencer a mi mujer para XBox y Kinetics…. al fin y al cabo soy un tecnómano y me gusta probar cosas.

lunes, noviembre 15, 2010

Web Application Security Scanner List (I)

La entrada siguiente viene dada por un tweet que leí el otro día de @aramosf y viene listar una serie de herramientas que podremos utilizar para escanear nuestros sitios web en busca de vulnerabilidades.(http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

De dicho listado solo voy a centrarme en las aplicaciones gratuitas o de código abierto, ¿por que?… pues porque son las únicas que podremos testear más o menos “a gusto”.

Para empezar vamos a poner los enlaces a las mismas así como la intro que pone cada uno en su página web, otro día pondremos el uso y disfrute de cada una.

Free / Open Source Tools

  • Grabber by Romain Gaucher
    • Grabber is a web application scanner. Basically it detects some kind of vulnerabilities in your website. Grabber is simple, not fast but portable and really adaptable. This software is designed to scan small websites such as personals, forums etc. absolutely not big application: it would take too long time and flood your network.
  • Grendel-Scan by David Byrne and Eric Duprey
    • Grendel-Scan is an open-source web application security testing tool. It has automated testing module for detecting common web application vulnerabilities, and features geared at aiding manual penetration tests. The only system requirement is Java 5; Windows, Linux and Macintosh builds are available.
  • Paros by Chinotec
    • "Paros" is a software for people who need to evaluate the security of their web applications. It is free of charge and completely written in Java. Through Paros's proxy nature, all HTTP and HTTPS data between server and client, including cookies and form fields, can be intercepted and modified.
  • Powerfuzzer by Marcin Kozlowski
    • Powerfuzzer is a highly automated and fully customizable web fuzzer (HTTP protocol based application fuzzer) based on many other Open Source fuzzers available and information gathered from numerous security resources and websites. It was designed to be user friendly, modern, effective and working.
  • SecurityQA Toolbar by iSEC Partners (versión Trial, hay que registrarse para descargarla)
    • The SecurityQA Toolbar is a testing product for web application security. During the QA phase of the SDLC, quality assurance groups can use the toolbar to perform security/regression testing. The toolbar allows both security and non-security professionals to test web applications. The product has been intuitively designed as a toolbar, allowing users to test each page of an application, similar to functional testing procedures used for large enterprise applications. The toolbar can execute several application security tests per page or per application, each resulting in an HTML report with identified security issues and mitigation strategies
  • Skipfish by Michal Zalewski
    • Skipfish: A fully automated, active web application security reconnaissance tool
  • W3AF by Andres Riancho
    • w3af is a Web Application Attack and Audit Framework. The project's goal is to create a framework to find and exploit web application vulnerabilities that is easy to use and extend.
  • Wapiti by Nicolas Surribas
    • Wapiti allows you to audit the security of your web applications.
      It performs "black-box" scans, i.e. it does not study the source code of the application but will scans the webpages of the deployed webapp, looking for scripts and forms where it can inject data. Once it gets this list, Wapiti acts like a fuzzer, injecting payloads to see if a script is vulnerable.
  • Watcher by Casaba Security
    • Watcher: Web security testing tool and passive vulnerability scanner
  • Websecurify by GNUCITIZEN
    • Websecurify is a powerful web application security testing environment designed from the ground up to provide the best combination of automatic and manual vulnerability testing technologies.

       

jueves, noviembre 11, 2010

FINALISTAS PREMIOS TIC EN SANIDAD

Hola buenos días,

en la mañana de hoy he recibido un correo en el que me nombran uno de los seis finalistas…

En relación  a tu participación en los PREMIOS A LAS “BUENAS PRÁCTICAS E INICIATIVAS INNOVADORAS TIC EN EL ÁMBITO SANITARIO” me complace comunicarte que el jurado ha decidido seleccionar, como uno de los seis finalistas, de un total de 25 propuestas, tu trabajo " Proyecto de ahorro energético en el ámbito de las TIC".

Espero defenderlo bien…

miércoles, noviembre 10, 2010

Instalando Android 2.2 Froyo en iPhone 2G y 3G por wiFi

Visto en: http://www.pcpro.co.uk/news/362686/hackers-install-android-onto-iphone-via-wi-fi

El temita es que por lo que leo es posible instalar Android 2.2 Froyo en un terminal iPhone…. y vosotros diréis… ¿pa que?… a los que yo os digo… pa divertirse, para mejorar el rendimiento del terminal que no anda fino de rendimiento con iOS 4.x.

“La novedá” es que ahora no hace falta pinchar el terminal al ordenador, ahora ya lo puedes hacer por WiFi…. gracias a Bootlace, disponible n el repo de Cydia: http://repo.neonkoala.co.uk

También se puede utilizar iPhoDroid para instalar Android OS en tu iPhone. Pero a pesar de que con el tiempo utilizar iPhoDroid se puede volver ridículamente fácil, aun necesitas un ordenador para ejecutarlo.

Por cierto sólo funciona en iPhone 2Gs (iOS 3.1.2 y 3.1.3) e iPhone 3Gs (iOS 3.1.2, 3.1.3, 4.0, 4.0.1, 4.0.2 y 4.1). Evidentemente la garantía del teléfono se va a freír monas….

jueves, noviembre 04, 2010

Más DropBox: La guía definitiva

La podéis encontrar en http://web.appstorm.net/roundups/data-management-roundups/the-ultimate-dropbox-toolkit-guide/

Nos explican trucos como estos:

Basic Tips List

Advanced Tips List
  1. Share Photo Galleries
  2. Consolidate Your iTunes Library
  3. Password Synchronization
  4. Create Your Own Digital Scrapbook
  5. Keep Your Firefox Profile in Sync
  6. Use Dropbox As Your Documents Folder
  7. Sync Your iTunes Library Across Multiple Computers
  8. Theft Recovery
  9. Home/Office Security
  10. Website/File Hosting and Sharing
  11. PHP Dropbox Uploader
  12. Multiple Dropbox Instances
  13. Making Dropbox Portable
  14. Sync Your iCal Calendar
  15. Using Dropbox & Eye-Fi for Instant Image Viewing
  16. Sync .torrent Files and Auto-Start Downloads
  17. Automatic Screenshot Sharing with Hazel [Mac]
  18. Sync XAMPP/MAMP Directories for Testing and Development
  19. Version Control
  20. OneNote Sync & Collaboration [Win]
  21. Synchronize Text Expansion Snippets
  22. Synchronize Design/Development Resources (Photoshop Presets, etc.)
  23. Shutdown, Restart or Sleep Your Computer with Hazel [Mac]
  24. Remotely Control Your Computer with Hazel [Mac]
  25. Public Link to Avatar For Quick Changes
  26. Synchronize Chat Logs
  27. File Edit Notifications with Growl
  28. Send Files to Dropbox via Email
  29. Sync Clipboard
  30. Sync Coda Books, Plugins & Site Previews

Como hacer backup de tus tweets con TweeTake

logo En uno de esos momentos en los que estoy un poco más relajado decidí probar un método de backup que había leído en Twitter esa misma mañana.

Es tan simple como:

- Entras en TweeTake.com 

- Pinchas en: Click here to sign in safely via Twitter.

- Te validas en Twitter

- Eliges que es lo que quieres hacer el backup: Followers, Friends, Favorites, Your Tweets, Direct Messages, Everything

- Eliges el formato de exportación: Excel-compatible (UTF-16) o UTF-8

- Pinchas en Get ‘em!

Después de un rato te genera un fichero (en mi caso elegí Excel) en el que puedes ver todo lo que has hecho en Twitter….

Como descargar ficheros de Dropbox marcados como públicos en vez de solo verlos en el navegador

Traducción libre de LifeHacker….

Todos sabéis que desde hace tiempo soy usuario del Dropbox un disco duro en la nube que te sincroniza carpetas con todos los ordenadores y teléfonos en los que lo instales. El problema es que algunas veces compartes ficheros para que se los descarguen tus amiguitos y estos no pueden puesto que se les abre directamente en el navegador.

La solución es tan simple como añadir ?dl=1 al final del enlace que mandas a tus amiguitos.

Ojo, esto solo funciona con ficheros que estén en tu carpeta pública que so tienen este aspecto:

- http://dl.dropbox.com/u/*******/TomateFrito.png

No funciona con los que son “asín”:

- https://www.dropbox.com/s/****************/Paspartus.ttf.

martes, noviembre 02, 2010

Porque los grupos bancarios no deberían compartir algoritmos + semillas y/o plataformas

Llevo mucho tiempo pensando en publicar este post, puesto que solo puedo hablar por experiencia propia y/o cercana de un par de grupos bancarios internacionales. El tema es que soy usuario de banca tanto tradicional como de internet, pero la de internet es la que más utilizo, por aquello de la profesión y que es más fácil y se pierde menos tiempo.

Vamos a plantear una situación hipotética, pero creo que real en la mayoría de los casos, puesto que ¿cuantos de vosotros sólo tiene una cuenta bancaria?.Así que tenemos:

  • Un grupo bancario que tiene en propiedad varios bancos con diferentes nombres, se dedican tanto a la banca tradicional como a la online, cada uno con su marca comercial por separado.
  • Un usuario que posee una cuenta en un banco determinado.
  • El usuario posee varias tarjetas de esa cuenta de ese banco

Ahora bien, por diferentes motivos el usuario decide que va a abrir otra cuenta en otro banco del mismo grupo del que ya tiene la cuenta y que además va a solicitar una tarjeta de crédito para fundirse su dinero bien a gusto.

La pregunta es: ¿es este usuario capaz de adivinar cual va a ser el número secreto o PIN de la nueva tarjeta de su nueva cuenta en el nuevo banco del mismo grupo antes de abrir la carta y/o de que le llegue la tarjeta físicamente? y o lo que es peor… ¿es capaz un malo malísimo de averiguarlo?

Pues aunque parezca mentira… si lo va a poder saber... ¿por que?… puesto que para ahorrar costes, este grupo bancario, seguro que comparte infraestructuras, algoritmos e incluso personal técnico.. y si un algoritmo es bueno para un banco del grupo, ¿porque no lo va a ser para otro banco del mismo grupo? Esto provocará que el PIN que se genera por defecto y que mande este banco, va a ser el mismo que otro de su mismo grupo, por lo que podemos jugar a ser adivinos de PIN.

Pongo un ejemplo, a mi hermana le duplicaron la tarjeta del banco y le hicieron un cargo por algo menos de 600€, ella se dio cuenta y anuló la tarjeta, puso la correspondiente denuncia y pidió al banco que le emitiesen una nueva tarjeta nueva con una numeración diferente, y lo que pasó es que ANTES de recibir la nueva tarjeta física, activarla y cambiarle el PIN…. ¡¡ya tenía un nuevo cargo en su cuenta hecha con esta nueva tarjeta!!!!.. evidentemente, mi hermana ha dejado de trabajar no solo con ese banco sino con todo el grupo de bancos.

Pongo otro ejemplo, tienes una tarjeta de la que no te acuerdas del PIN y le pides al banco que te envíe un nuevo PIN… y mágicamente te enviará el mismo número que te facilito la primera vez que te emitió la tarjeta… si tenéis alguna tarjeta que no utilicéis, probadlo y veréis que sorpresa os lleváis (no ocurre en todos los bancos)

Es por ello, el título del post…

Creo que un grupo bancario si que debería compartir plataformas y algoritmos, pero NO DEBERÍA COMPARTIR las SEMILLAS que generan los PIN y/o las claves de FIRMA, o cambiar el método para que se introduzcan variables en las semillas y cada vez que te envían el PIN este no sea el mismo una y otra vez.

Otro día hablaré de los numeritos de confirmación que te envían al móvil para que realices una transferencia…

Visto en AURIATIC: Han entrado en mi Cuenta. ¿Cómo? Han usado XSS o JFK o PMI o algo así...

Fusilo esta entrada del Blog de Auriatic… que allí se lee regular…

 

Se publican multitud de noticias (y las que no se publican) sobre: encontrada vulnerabilidad XSS que permite robar la cuenta de Tuenti, el sonado caso de "Samy is my hero" en MySpace, donde logró 1 millón de amigos en unas horas, o twitter sufre un masivo ataque denominado Rainbow, etc. etc. etc.

Pero uno trata de transmitir lo que es XSS (no es una marca de leche, ni nada parecido) y resulta complicado. Así que ni corto ni perezoso yo también me lanzo a la aventura de explicarlo y cómo protegernos (siempre, con mucho cuidado).

XSS significa Cross Site Scripting (con este palabro, en el país de los ciegos seréis los reyes) y en esencia consiste en ejecutar código "malicioso" en tu navegador cuando visitas una página "fiable" que se encuentre infectada con, normalmente, el objeto de obtener tus credenciales. Sí, en los navegadores se ejecuta código, no es todo HTML lo que reluce. El hecho de que las páginas sean dinámicas: se cargue sólo una parte mediante peticiones AJAX, salga una ventana de pop-up diciendo que tu edad y talla de calcetines son datos obligatorios para continuar o que se puedan arrastrar y pegar cosas en la Web es gracias a código (el famoso JavaScript, entre otros, que nada tiene que ver con el lenguaje de programación Java, cuidado con los curriculums). Y como es lógico, este código no es visible para el usuario :-)

Código JavaScript

Librería de Google Analytics minimizada.

Con JavaScript además de lo anterior, también se pueden obtener/manipular los datos necesarios para conseguir la sesión (cookies de sesión) de la persona que está visualizando la página Web en ese momento, de modo que si yo introdujera esos datos (cookies de sesión) en mi navegador, podría suplantar a la otra persona (parece magia cuando lo ves e impacta. Una charla de concienciación no vendría mal al respecto: colegios, AMPAs, empresas, etc.)

Bien, al lío, normalmente, perdón, en ocasiones, los sitios Web, cuando uno interactúa, por ejemplo: escribiendo en el estado de alguien, mandando un mensaje, etc. etc. validan los datos que se introducen de modo que se eviten posibles ataques de JavaScript. Por ejemplo, si fuéramos malpensados y con unos mínimos conocimientos sobre JavaScript, podría tratar de incluir cierto código JavaScript en ese mensaje que vamos a introducir (este es sólo una de las formas de realizar este ataque) para así robar la sesión del usuario que visualice dicho comentario y ya que estamos, infectar al resto de sus contactos.

Pues bien, cuando la Web es vulnerable, estamos perdidos, ¿qué medidas podemos tomar?

  1. Navegar por sitios reconocidos, diréis, pero si Facebook, Tuenti, etc. están infectados ¿qué hacemos? seguir leyendo.

  2. No fiarse de notificaciones en otros idiomas (por suerte, en nuestro caso, el inglés es el idioma más utilizado con lo que ya hay un punto para distinguir), aunque provengan de contactos conocidos y no abrirlas. ¿De cuándo nuestro amigo Manolo habla inglés? ¿Y si tengo un amigo extranjero? seguir leyendo

  3. Utilizar Firefox o navegadores Mozilla (SeaMonkey, etc.), donde podemos instalar la extensión NoScript, esta extensión bloquea la ejecución de JavaScript. Funciona a las mil maravillas, pero (en mi opinión) es para usuarios avanzados (no valdría para mi madre internauta). Dado que hay que configurarla y no es sencillo. Es similar a los firewalls personales, digamos se hace a modo de "aprendizaje", donde vas indicando qué URLs tienen permitido la ejecución de JavaScript y qué URLs no. ¿Y si utilizo otros navegadores?

  4. Si utilizas Google Chrome, puedes instalar la extensión NotScripts que trata de hacer algo similar a la extensión NoScript de Firefox.

  5. Internet Explorer 8 (pensábais que nunca llegaría) introdujo una nueva característica: filtro XSS que hace mucho más difícil explotar los ataques XSS de tipo 1 (no persistentes o reflejados), esto es, cuando se reutilizan datos de la petición en la respuesta del servidor. Por ejemplo, cuando realizamos una búsqueda (Google, Yahoo, etc.) de una cadena, esa misma cadena se suele mostrar en la página de resultados obtenidos y si esa cadena es maliciosa y no protegida, pues ya está el pastel montado. Este filtro revisa las peticiones/respuestas a través del navegador. Cuando determina que ha existe un posible ataque de XSS en la respuesta del servidor (recordad que vuelve a mostrar datos), lo neutraliza y modifica la visualización en el navegador de usuario notificándoselo. Posteriormente, Giorgio Maone, el desarrollador de NoScript demostró que esta funcionalidad presentaba problemas de seguridad. Esta característica puede ser deshabilitada por mediante la cabecera HTTP X-XSS-Proteccion: 0 (esto ya suena a chino, ¿verdad? Lo podéis obviar). Google deshabilita esta característica, lo que cede el control total para protegernos sobre estos ataques a, en este caso, Google.

  6. Safari (no soy usuario), pero existe una extensión para Safari 5 llamada Javascript Blacklist, que bloquea la ejecución de Javascript según los dominios seleccionados.

  7. Después de toda esta lista, sólo me queda decir: "que Dios te pille confesado" :-)

Espero que os sirva de utilidad y que tengáis cuidado por dónde naveguéis.