Euskaltel sube la velocidad de Banda Ancha a todos sus clientes manteniendo los precios

• La red de fibra óptica de Euskaltel le permite realizar una nueva ofensiva en el mercado vasco de la Banda Ancha que incrementará su liderazgo.

• Todos sus productos de Banda Ancha duplican o triplican su velocidad manteniendo el precio actual.

• El operador vasco dispondrá en 2008 de 70 Mbps y de 200 megas para 2009.

• El precio de la Banda Ancha con Euskaltel es un 20% más barata que la del Estado. 26,5 euros/mes de Euskaltel, frente a la media española de 33 euros.

• Los precios de la Banda Ancha en Euskadi son más baratos que la media del Estado por efecto de Euskaltel.

Bilbao, 29 de noviembre de 2007. Euskaltel ha dado un nuevo salto cualitativo en su estrategia por incrementar su liderazgo en Banda Ancha y convertirse en el referente indiscutible en calidad, velocidad y precio del acceso a la Banda Ancha en el mercado vasco, apoyado en la capacidad que le ofrece su red de fibra óptica de última generación.

El Consejero Director General de Euskaltel, Alberto García Erauzkin, ha presentado esta mañana ante los medios de comunicación el nuevo posicionamiento de Euskaltel para favorecer y potenciar el acceso a Internet de alta velocidad de los hogares y empresas vascas, anunciando que Euskaltel aplicará de forma automática a todos sus clientes incrementos de velocidad en todos los productos de Banda Ancha que tiene en el mercado, manteniendo los precios actuales.

“Hemos apostado por esta nueva estrategia, amparados en nuestra posición de liderazgo en el mercado de Banda Ancha en Euskadi. Entendemos que el liderazgo debe ir más allá de una mera cuestión de cuotas de mercado y que debe trasladarse a la apuesta continua por que la sociedad vasca disponga de la mejor oferta de Banda Ancha, en calidad, velocidad y precio. Nosotros disponemos de las infraestructuras más avanzadas con nuestra red de fibra óptica, y ello nos permite innovar en la presentación de nuevos servicios y productos, de calidad, transparentes y sencillos”, ha señalado García Erauzkin.

Nuevo posicionamiento en Banda Ancha

El nuevo posicionamiento de Euskaltel se traducirá en el incremento de la velocidad de todos sus productos de Banda Ancha, duplicando e incluso triplicando la velocidad contratada por el usuario, manteniendo los precios.

En primer lugar, a partir de este momento, la velocidad mínima de conexión a Internet de alta velocidad con Euskaltel será de 1 Mega. Para ello, Euskaltel ha decidido incrementar de forma automática la velocidad de acceso a Internet de todos los clientes que actualmente disponían del acceso básico de 300 Kbps a 1 Mega, manteniendo el precio anterior, es decir, a 23 euros. Del mismo modo, el producto de prepago de Banda Ancha también pasará a establecer la velocidad de conexión a 1 Mega, manteniendo el precio de 4 horas a 5 euros.

Esta propuesta aplicará también a todos los nuevos clientes de Banda Ancha de Euskaltel, por lo que la oferta mínima de acceso a Internet de alta velocidad con Euskaltel será también de 1 Mbps.

Con este mismo propósito, los clientes de Euskaltel con 3 Megas de Banda Ancha, pasarán a disponer automáticamente de 6 Mb, al mismo precio, es decir, 39 euros.

Además, para los nuevos clientes que deseen contratar 12 Mbps existirá este producto a un precio de 49 euros.

Por otro lado, los clientes actuales de 12 Mb pasarán a disponer de 24 Mb a precio de los 12 Megas actuales, esto es, a 75 euros. Ello supone que los clientes que disponían de Banda Ancha a 24 Mb, pagarán a partir de ahora 75 euros. La migración de estos productos, fundamentalmente utilizados por empresas, ya se ha comenzado a realizar esta misma semana.

Estos incrementos de velocidad se aplicarán automáticamente a partir de este momento, y de forma escalonada durante los próximos meses, a todos los clientes de Banda Ancha de Euskaltel, que en este momento superan los 171.000, que suponen el 47,5% del total de usuarios de Internet de alta velocidad en la CAPV.

Euskaltel dispondrá de 70 Megas en 2008 y 200 Megas en 2009

Esta nueva ofensiva de Euskaltel en precios y productos de Banda Ancha está sustentada en la capacidad tecnológica que le ofrece su red de fibra óptica de última generación, que permite al operador vasco estar en lo más alto de la pirámide de conectividad, frente a las tecnologías convencionales basadas en el ADSL a través del par de cobre tradicional.

Apoyados en la alta capacidad de esta red, el Consejero Director General de Euskaltel ha desvelado hoy que el operador vasco dispondrá para 2008 de velocidades de 70 Megas en Banda Ancha, velocidad que seguirá incrementándose hasta alcanzar los 200 Mb para el siguiente ejercicio, 2009.

No obstante, García Erauzkin ha recomendado a los usuarios que contraten los servicios de Banda Ancha que realmente utilicen y ha abogado por una contratación razonada de los productos de alta velocidad. “En los últimos años, dentro del mundo de Internet, se ha extendido la sensación de que la calidad de conexión a Internet va unida al anuncio de ofertas de grandes velocidades de acceso que, en la mayoría de las ocasiones, están alejadas de la realidad. Al disponer de la infraestructura adecuada, nosotros estamos en disposición de ofrecer las mayores velocidades del mercado con la garantía de la calidad de Euskaltel, y así lo entienden nuestros clientes que nos han convertido en el operador líder de Banda Ancha en Euskadi. Por tanto, recomendamos a los usuarios que no se dejen atraer por ofertas llamativas muy mediáticas, que nada les aporta en su uso cotidiano de Internet. Por ello, abogamos por la contratación de servicios transparentes en sus condiciones de calidad y precio, sencillos en su utilización y, en definitiva, cercanos a las necesidades reales de los usuarios”, ha remarcado.

Euskaltel realiza una inversión de 550 millones de euros en el período 2004-2010 (en 2004, en sólo cuatro años, Euskaltel alcanzó el liderazgo de Banda Ancha en la CAPV), con el objetivo de extender la Banda Ancha en todo el territorio de la CAPV, la Banda Ancha universal, mediante la implantación de diferentes tecnologías con las que el operador extiende Internet de alta velocidad a toda la geografía vasca. Por un lado, por medio de su red de fibra óptica de última generación, que hoy cuenta ya con 260.000 kilómetros desplegados en la CAPV; por otro, mediante la tecnología Wimax que permite ofrecer Banda Ancha inalámbrica para los municipios y zonas rurales de Euskadi que no tienen acceso a Internet; y, en tercer lugar, a través de la tecnología HSPA (High Speed Packed Acces), Internet de alta velocidad o Banda Ancha móvil.

Los mejores precios de Banda Ancha en Euskadi

La evolución de la factura media por la contratación de Internet de alta velocidad por parte de los clientes de Euskaltel – hogares y empresas -, se ha reducido en un 12% en los últimos 3 años, pasando de un gasto medio de 30 euros en 2004, a un gasto medio por cliente de Euskaltel de Banda Ancha del 26,5 en 2007. En este momento, Euskaltel tiene el liderazgo de Banda Ancha en la CAPV con el 47,5% del total, frente al 40% de Telefónica y el 12,5% de los operadores restantes.

En el caso de referenciarnos al conjunto de usuarios de Banda Ancha de la CAPV, esta media de gasto por Banda Ancha subiría a los 29,5 euros, por efecto de los precios del 52,5% restante.

Aún así, estos datos contrastan poderosamente con los del coste medio de la Banda Ancha en el Estado, actualmente de 33 euros, según datos extraídos del Informe de la CMT correspondiente al segundo trimestre de 2007. Es decir, la Banda Ancha por cable de Euskaltel – 26,5 euros/mes – es un 20% más barata que la Banda Ancha total del Estado, un 7% más barata que la Banda Ancha por cable del Estado, y un 21% más barata que la Banda Ancha por ADSL del Estado, donde Telefónica ostenta el 71% de la cuota entre los usuarios de ADSL.

 

---

RESUMIENDO:

1Mb/150 – 23 € + 15,50 € (Alquiler línea) + IVA = 44.66 €
1Mb/150 + llamadas nacionales – 29€ + 15,50 € (Alquiler línea y 20 canales televisión) + IVA = 51,62 €

6MB/600 + llamadas nacionales – 39 € + IVA + 15,50 € (Alquiler línea y 20 canales televisión) + IVA = 63,22 €
12Mb/600 + llamadas nacionales – 49 € + 15,50 € (Alquiler línea y 20 canales televisión) + IVA = 74,82 €
24Mb/1Mb + llamadas nacionales – 75 € + 15,50 € (Alquiler línea y 20 canales televisión) + IVA = 104,98 €

La subida es progresiva, empieza a aplicarse ya pero no a todos a la vez. Es igual que con la subida a anterior.

Profesor Universitario hackea cuentas bancarias para demostrar fallos de seguridad

El académico y un grupo de alumnos utilizaron sus propias cuentas para probar los fallos en los sistemas de seguridad de los bancos. Los ataques informáticos se realizaron durante nueve meses y la principal técnica usada fue el “phishisng”.

Kjell Jørgen Hole, catedrático de la Universidad de Bergen (sur de Noruega) y sus estudiantes de doctorado han realizado ataques informáticos a bancos de este país que operan por Internet para demostrar los problemas de seguridad de estos sistemas, informó hoy la revista “Computer World”.

Durante 9 meses, Hole y su equipo sabotearon de forma continua el sistema de dos bancos donde tenían cuentas mediante el “phishing”, práctica que consiste en el envío masivo de mensajes electrónicos que fingen ser oficiales y que buscan hacerse con información del usuario, en este caso, con su identificador electrónico.

“La seguridad mediante autenticación es muy débil, hemos demostrado que es posible robar la identidad. Para ello, sólo hemos necesitado pensar como criminales y utilizar técnicas de ataque conocidas”, declaró Hole a la edición noruega de esta revista informática, que hoy publica la historia.

Hole, que trabaja en el Centro de Investigación para Teoría de los Códigos y Criptología de la Universidad de Bergen, señaló que había informado a la Oficina de Estandarización de Bancos (BSK) y a las propias entidades bancarias del déficit de seguridad desde el inicio de su investigación y que realizó los ataques porque no le hicieron caso.

Hole y su grupo, que utilizaron sólo sus propias cuentas, realizaron durante esos meses varias demostraciones ante expertos de seguridad para probar los fallos del sistema, a pesar de que las autoridades habían asegurado en marzo que el problema estaba solucionado.

Uno de sus estudiantes ideó además en sólo 100 horas de trabajo un código para sabotear las soluciones de los bancos digitales, según la revista.

Tanto el Centro Noruego para Seguridad en la Información (NorSIS) como la entidad encargada de emitir los identificadores y controlar la seguridad del sistema rechazaron los métodos de Hole por su supuesta falta de ética y avisaron de posibles acciones legales contra él y su equipo.

Seguridad 2008: Windows Vista y la Web 2.0 serán el blanco de los próximos ataques

Según un reciente estudio realizado por McAfee, que reúne las diez principales previsiones de seguridad para 2008, el número de ataques dirigidos contra Vista aumentará a medida que se incremente la cantidad de sus usuarios y una vez que se lance su primer Service Pack (SP1), en la primera mitad del año.

De acuerdo al informe, Windows Vista está listo para superar la barrera del 10% de penetración y, mientras vaya extendiéndose, los atacantes empezarán a buscar con mayor interés formas de burlar las defensas del último sistema operativo de Microsoft.

Asimismo, la firma de seguridad informática destacó que también serán presas codiciadas las aplicaciones P2P, las redes sociales, y las plataformas virtualizadas.

No obstante, McAfee prevé que las empresas suministradoras de seguridad aumentarán sus esfuerzos para mejorar las defensas de la virtualización, dado que muchos especialistas consideran que esta tecnología abre nuevos agujeros a menudo pasados por alto.

Por último, McAfee estimó que los ataques de phreaking –término que alude al hacking telefónico– y vishing –que aprovecha los protocolos de VoIP y la ingeniería social para conseguir información sensible de las víctimas–, aumentarán un 50% el año próximo.

Análisis pormenorizado del nuevo Canon e ingresos previstos

Con la alegría de conocer que la Asociación de Internautas, una vez tengamos acuerdo, presentará un recurso ante el Defensor del Pueblo para que estudie su constitucionalidad y, además, lo impugnarán ante la Comisión Europea, leemos en El Economista una descripción pormenorizada del nuevo canon.

De acuerdo con la tabla inicialmente aprobada (ver gráfico abajo), el Gobierno ha aceptado rebajar el canon que grava al CD y el DVD, pero, en cambio, impone una tasa a aparatos como el MP3, el teléfono móvil o la tarjeta de memoria USB del ordenador, además de subir la que pagan gran parte de las fotocopiadoras.

El gran negocio del typo-squatting

La compañía de seguridad informática McAfee reveló en un informe la cara oculta del negocio de registrar dominios semejantes a nombres populares.

Rapidez, dislexias o desconocimiento del nombre real son los grandes aliados del typo-squatting, un negocio que consiste en registrar nombres parecidos a las grandes marcas online.

Los que están en ese negocio buscan arduamente aquellos dominios que puedan teclear los usuarios erróneamente pensando que se dirigen a alguna de las grandes marcas o portales online.

Googe, yajoo, serían alguno de los ejemplos.

Según la firma de seguridad informática McAfee si antes los que registraban esos nombres buscaban rentabilizar la inversión ofreciendo productos o mostrando anuncios semejantes a la marca hoy esta práctica esta siendo sustituida por otras consistentes, principalmente, en obtener datos privados de los usuarios que equivocadamente acceden a esas direcciones.

La visita a alguno de esos lugares puede acarrear serios problemas al usuario. Las más sencillas incorporan cajas o formularios para recopilar datos sensibles. Otras extraen directamente las direcciones email de los visitantes a través del procesamiento de los logs del sitio fraudulento.

Más peligroso resultan aquellos que descargan códigos maliciosos al equipo y modifican algunos componentes del explorador, como la página de inicio, la dirección a la que se dirige cuando no se encuentra una URL o el buscador predeterminado.

Según MacAfee existen nada más y nada menos 1,9 millones de dominios basados en variaciones de 2.771 nombres populares. Seguramente, el número puede ser mucho mayor ya que la compañía de seguridad informática no reviso otras marcas con importancia local.

“Esta práctica lleva a los usuarios a sitios que no tenían intenciones de visitar y perjudica a las empresas legítimas”, comentó Jeff Green, vicepresidente senior de McAfee Avert Labs y Desarrollo de Productos. “El typo-squatting conduce a fraudes electrónicos y a ofertas como ‘hágase rico fácilmente’ y otros riesgos”.

El estudio destaca que el typo-squatting no es un fenómeno nuevo. Los casos de ciber-squatting presentados al sistema de arbitraje de World Intellectual Property Organization aumentaron 20% en 2005, 25% en 2006 y siguen incrementándose. A este crecimiento está contribuyendo la emergencia de nuevos dominios de alto nivel, herramientas de registro automático y la proliferación de sitios de portales de llegada, que facilitan la generación de ingresos por clic desde sitios con typo-squattering.

El informe también explica que muchos motores de búsqueda como Yahoo! y Google, ahora ofrecen en forma rutinaria alternativas para faltas de ortografía comunes, reduciendo la probabilidad de llegar a un sitio con errores por accidente. Además, el informe proporciona datos sobre empresas y organizaciones unidas en la batalla contra el typo-squatting malicioso, incluida Microsoft, que brinda una herramienta gratuita que permite a las personas interesadas encontrar y analizar squatters

Ya existe una versión beta del primer Service Pack para Vista

Según están informando diversos rotativos online durante estos días, Microsoft ha hecho llegar la versión beta del SP1 para Windows Vista a 15.000 betatesters seleccionados. Esto es lo que he podido averiguar.

No pocos expertos afirman que los sistemas operativos de Microsoft empiezan a aumentar su cuota de instalaciones en las empresas a partir del lanzamiento del primer service pack (SP por sus siglas en inglés), en el cual se corrigen los errores que pudieran dificultar el proceso de migración.

Tal vez sea por esto que la compañía de Redmond parece estar apresurándose en finalizar el desarrollo del SP1 para Vista, del que de momento se dispone de una versión beta aunque cerrada solamente a 15.000 testeadores en todo el mundo. Para el futuro, Microsoft ha afirmado que sucesivas versiones llegarán a más público.

Según diversos de los afortunados testeadores de éste primer service pack (y cuyas opiniones han podido ser leídas en sus weblogs personales y en diversos sitios web), el principal objetivo de éste es la mejora de la seguridad del sistema operativo, un tema siempre candente y más con Microsoft.

Por ejemplo, a partir de ahora se utilizan ficheros firmados digitalmente en las conexiones a escritorios remotos mediante el protocolo RDP, lo que permite autentificar la fuente a la cual nos conectamos.

Además de la seguridad, Microsoft también ha mejorado el rendimiento de la computadora que ejecuta Vista, aumentando la velocidad a la que se ejecutan determinados procesos. En algunas opiniones, esto se nota especialmente en las aplicaciones que consumen más recursos del hardware, por lo que muy probablemente las mejoras se encuentren concretamente en la gestión de la memoria RAM y la memoria virtual en disco.

Las operaciones más cotidianas con una computadora también se han visto aceleradas, cómo pueden ser la copia de ficheros entre dos carpetas, o la simple carga del explorador de ficheros por primera vez en una sesión de trabajo.

La salida de la hibernación de la computadora, una funcionalidad muy utilizada en laptops y que había sido un punto arduamente criticado hasta ahora en Vista, también se ve mejorada en cuanto a la velocidad a la que se realiza.

Otras novedades del Service Pack 1 para Windows Vista son:

– BitLocker, el sistema de encriptación de discos, ahora puede trabajar en unidades que no sean aquella desde la que se arranca el mismo sistema, una limitación existente hasta ahora

– Añadido soporte para exFAT, sistema de ficheros basado en la popular FAT muy utilizado en dispositivos de almacenamiento flash

– Actualizado Internet Explorer 7 para que sea más rápido al cargar y más eficiente procesando código Javascript

– Mejora de la gestión de la batería en laptops

– Desaparece la Consola de Gestión de las Políticas de Grupo (GMPC por sus siglas en inglés, Group Management Policy Console) y el GPEdit (Group Policy editor) se vuelca más en las políticas de grupo local que en las globales para dar protagonismo a los administradores de sistemas y que definan las políticas de grupo desde el servidor

– En la versión de 64 bits del sistema, los programas dedicados a la seguridad ganan acceso a nuevas API’s que les permite mejorar la detección de malware

– Soporta Direct3D 10.1

Cómo fecha de publicación de la versión definitiva del SP1 para Windows Vista no se ha anunciado ninguna en concreto, pero la compañía de Redmond trabaja con la probabilidad de lanzarlo en algún momento del primer trimestre de 2008.

En cuanto a lo que se refiere a la forma de distribuirlo, lo más probable es que se empleen las mismas vías que con los service packs para Windows XP: cómo descarga desde Internet vía Windows Update, distribuyéndolo en CD o DVD de forma gratuita o pagando el usuario solamente los gastos de envío, y finalmente actualizando los DVD’s de instalación de Windows Vista para que incluyan éste primer service pack, de forma que al comprar el sistema en una tienda o adquirir una computadora con él ya instalado, también disponga del SP1.

«¿Por qué no te callas?» reclamo para troyano bancario

Era de esperar. Hace unas horas se ha realizado un envío masivo de un mensaje que invita a visualizar un supuesto vídeo en Youtube. El reclamo en esta ocasión es reproducir el célebre incidente entre el Rey de España y el Presidente de Venezuela.

 

Con el remitente "youtube@you-tube.com.mx" y el asunto "Esto causa sensacion", nos llega un mensaje de correo en HTML donde anuncia que YouTube Mexico presenta "El ¿Por qué no te callas? Del Rey, toda una revolución… ¡No te pierdas el vídeo!", incluyendo una imagen del momento del incidente y varios enlaces al supuesto vídeo.

 

Una captura de pantalla del mensaje puede observarse en:
http://blog.hispasec.com/laboratorio/257

 

Una vez el usuario pincha en alguno de sus enlaces, en vez del vídeo, comienza la descarga del ejecutable "ultimovideo.exe". En el momento inicial de la distribución, este malware era detectado por 10 motores antivirus tal y como se puede apreciar en el siguiente informe de
VirusTotal:
http://www.virustotal.com/resultado.html?e755c2e0709e9b90aa7f01043a7bf559

 

Las detecciones de los antivirus son genéricas o por heurísticas, no se han publicado aun firmas de detección específicas, de ahí que el nombre dado por los antivirus no ofrezca muchas pistas sobre la funcionalidad del troyano.

 

Un análisis rápido en el laboratorio de Hispasec revela que el troyano va dirigido a capturar las credenciales de acceso de los clientes del servicio BancaNet de la entidad Banamex.

 

El método que utiliza el troyano no está basado en keyloggers ni en la captura de los datos transmitidos a través del navegador, sino que crea un formulario/aplicación de autenticación con una pequeña ventana que se superpone justo encima del navegador, tapando el formulario legítimo. De
esta forma el troyano recoge directamente los datos introducidos por el usuario y se los envía al atacante por e-mail.

 

Cómo suele ser costumbre, recomendar a los usuarios que no visualicen los mensajes de spam y, mucho menos, visitar los enlaces que incluyen, por muy sugerentes que puedan ser los reclamos.

Pharming y phishing aprovecha vulnerabilidad de routers ADSL

Durante el fin de semana se ha detectado un nuevo ataque de phishing que, como novedad, modifica la configuración DNS de algunos modelos de routers ADSL. El resultado es un ataque transparente, no es detectado por ningún antivirus, y perenne, llevará a los usuarios a una web falsa cada vez que introduzcan en su navegador la dirección correcta de la entidad bancaria.

El ataque, como muchos otros de phishing tradicional, ha sido lanzado a través de spam. Los usuarios reciben un mensaje de correo electrónico que invita a pinchar en un enlace para visitar una postal virtual. Si el usuario visita la página podrá observar una animación flash inofensiva, si bien esa misma página estará intentando al mismo tiempo modificar la configuración de su router de conexión a Internet.

En concreto, la página web incluye en su código HTML llamadas a direcciones internas, relativas a direcciones IP con las que suelen estar configurados por defecto el interfaz LAN de los routers. Ese rango de direcciones, por ejemplo 192.168.x.x ó 172.16.x.x, son direcciones privadas que no están accesibles desde Internet, y que suelen utilizarse para conectar el ordenador con el router ADSL. Pero el código de la página web, al ejecutarse en el navegador del usuario, puede hacer referencias a esas IPs privadas.

Las URLs que el ataque esconde en la página web están construidas para inyectar nuevas entradas en el DNS de determinados dispositivos, en concreto en los routers/gateways de 2wire modelos 1701HG, 1800HW y 2701. Estos modelos, instalados por operadores de telefonía en México, permitirían este tipo de inyecciones DNS desde el interfaz LAN sin necesidad de autenticación previa. El ataque detectado se dirige a la entidad Banamex.

A efectos prácticos, una vez llevado a cabo el ataque, cada vez que el usuario intente visitar la web de Banamex el router resolverá a una IP diferente, y en el navegador aparecerá una web falsa de phishing que le solicitará el usuario, password de accceso y la clave dinámica Netkey del token. Todo ello pese a que en todo momento el usuario visualizará en su navegador el dominio correcto de Banamex, si bien no el https de servidor seguro. Una vez la información es capturada, los atacantes podrán hacerse pasar por la víctima y realizar transacciones en su nombre.

La novedad de este ataque de pharming (adultera la resolución DNS) y phishing (una web falsa pide las credenciales), es que el dispositivo atacado es el router ADSL y el sistema del usuario sólo hace de puente para llevar a cabo el ataque. Por tanto es un ataque multiplataforma en lo que respecta al sistema operativo del usuario (ya sea Windows, Linux, Mac, etc), y todo depende de si el modelo de router ADSL es vulnerable.

La responsabilidad en la prevención del ataque, teniendo en cuenta que no podemos luchar contra la candidez de los usuarios, se podría establecer en primer lugar en el router ADSL, que debería requerir siempre autenticación para realizar cambios en su configuración.

En un segundo término tendríamos a los antivirus y navegadores. En el caso de los antivirus la detección de este tipo de ataque sería un valor añadido más que una responsabilidad, ya que no se trata de un malware que afecte directamente al sistema. No obstante, algunos antivirus suelen ampliar su cobertura más allá del malware tradicional, ofreciendo protección ante determinados exploits. La detección de este tipo de ataque sería una de esas ocasiones donde poder marcar la diferencia con la competencia ofreciendo una protección superior.

En cuanto a los navegadores, no sería descabellado pedir que las páginas webs visualizadas desde Internet no pudieran referenciar direcciones privadas, si bien por defecto Internet Explorer, Firefox u Opera lo permiten de forma transparente.

Todos los detalles del ataque, incluyendo capturas de pantalla del correo electrónico donde se distribuye, la web de la postal virtual, detalles de las URLs de ataque y páginas de phishing, pueden ser consultadas en el blog del laboratorio de Hispasec:

http://blog.hispasec.com/laboratorio/255

La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no pinchar ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto). Instalar una solución de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores puntualmente actualizados.

También es importante estar al día de los fraudes online más comunes (saber que es un phishing, comprobar el https antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido común y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrónica.

Boletines de seguridad de Microsoft en noviembre

Tal y como adelantamos, esta semana Microsoft ha publicado dos boletines de seguridad (MS07-061 y MS07-062) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft el primero de ellos presenta un nivel de gravedad "crítico", mientras que el segundo se clasifica como "importante".

* MS07-061: Catalogado como "crítico" resuelve una vulnerabilidad en la shell de Windows al manejar uris especialmente manipulados. Un atacante podría aprovechar esto para ejecutar código arbitrario. Microsoft sólo ha identificado formas de explotar la vulnerabilidad en sistemas que usen Internet Explorer 7, sin embargo el problema está presente en el Shell32.dll, incluido en todas las versiones soportadas de Windows XP y Windows Server 2003.

* MS07-062: Se trata de una actualización "importante" que soluciona una vulnerabilidad en el servidor DNS de Windows. Afecta a Windows 2000 Server SP4 y Windows Server 2003 SP2.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Más Información:

Microsoft Security Bulletin MS07-061 – Critical Vulnerability in Windows URI Handling Could Allow Remote Code Execution (943460)
http://www.microsoft.com/technet/security/bulletin/MS07-061.mspx

Microsoft Security Bulletin MS07-062 – Important Vulnerability in DNS Could Allow Spoofing (941672)
http://www.microsoft.com/technet/security/bulletin/MS07-062.mspx

Microsoft publicará dos boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad, ambos dedicados a su sistema operativo Windows Si en octubre fueron seis boletines de seguridad que salieron a la luz (aunque en un principio se anunciaron siete), este mes Microsoft prevé publicar dos actualizaciones el día 13 de noviembre. Uno de los dedicados a Windows (que parecen afectar a toda la gama de versiones) alcanzan la categoría de "crítico" (ejecución remota de código) y el otro de "importante", al parecer relacionado con la falsificación.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.

Además, se publicarán tres actualización de alta prioridad no relacionadas con la seguridad.

A mediados de octubre se anunció una vulnerabilidad de escalada de privilegios en Microsoft Windows 2003 y XP, de la que apareció exploit público aprovechándola. Se debe a un fallo la hora de comprobar el establecimiento de la memoria intermedia en, al menos, un controlador instalado por defecto, secdrv.sys, de la que es responsable la compañía Macrovision. Un atacante local podría aprovechar esto para ejecutar código arbitrario en el espacio de memoria del kernel y por tanto, conseguir completos privilegios sobre el sistema.

Hace sólo unos días, Macrovisión ha publicado una actualización para su controlador secdrv.sys, disponible para la descarga desde:

http://www.macrovision.com/webdocuments/Downloads/SECDRVSYS.zip

y se supone que Microsoft propondrá además la descarga y actualización desde sus sistemas.