WordPress 4.7.1 Actualización de mantenimiento y seguridad

WordPress 4.7 se ha descargado ya más de 10 millones de veces desde su lanzamiento el 6 de diciembre de 2016, y estamos encantados de anunciar la disponibilidad inmediata de WordPress 4.7.1. Esta es una actualización de seguridad de todas las versiones anteriores y te animamos encarecidamente a actualizar tus sitios de inmediato.

Las versiones de WordPress 4.7 y anteriores están afectadas por ocho problemas de seguridad:

  1. Ejecución de código remoto en PHPMailer – No hay ningún problema específico que afecte a WordPress o a los principales plugins que hemos investigado pero, por precaución, hemos actualizado PHPMailer en esta versión Este problema lo informaron a PHPMailer Dawid Golunski y Paul Buonopane.
  2. La REST API exponía datos de usuario de todos los usuarios autores de una entrada o un tipo de contenido público. WordPress 4.7.1 limita esto solo a los tipos de contenido que se especifique que deban mostrarse en la REST API. Informaron Krogsgard y Chris Jean.
  3. Vulnerabilidad XSS a través del nombre del plugin o la cabecera de la versión en update-core.php. Informado por Dominik Schilling, del equipo de seguridad de WordPress.
  4. Vulnerabilidad CSRF al subir un archivo flash. Informado por Abdullah Hussam.
  5. Vulnerabilidad XSS mediante la retirada del nombre del tema. Informado por Mehmet Ince.
  6. La publicación por correo electrónico revisa mail.example.com si no han cambiado los ajustes por defecto. Informado por John Blackbourn, del equipo de seguridad de WordPress.
  7. Vulnerabilidad CSRF descubierta en e modo de accesibilidad de la edición de widgets. Informada por Ronnie Skansing.
  8. Seguridad criptográfica débil en la clave de activación de multisitio. Informado por Jack.

Gracias a todos los que han informado por practicar la revelación responsable.

Además de los anteriores problemas de seguridad, WordPress 4.7.1 soluciona 62 fallos desde la versión 4.7. Para más información revisa las notas de la versión o consulta la lista completa de cambios.

Descarga WordPress 4.7.1 o pásate por tu Escritorio → Actualizar y simplemente haz cic en “Actualizar ahora”. Los sitios compatibles con las actualizaciones automáticas en segundo plano ya se están actualizando solos a WordPress 4.7.1.

Gracias a todos los que han colaborado con la versión 4.7.1: Aaron D. Campbell, Aaron Jorbin, Adam Silverstein, Andrea Fercia, Andrew Ozz, bonger, Boone Gorges, Chandra Patel, David Herrera, David Shanske, Dion Hulse, Dominik Schilling (ocean90), DreamOn11, Edwin Cromley, Ella van Dorpe, Gary Pendergast, James Nylen, Jeff Bowen, Jeremy Felt, Jeremy Pry, Joe McGill, John Blackbourn, Keanan Koppenhaver, Konstantin Obenland, laurelfulford, Marin Atanasov, mattyrob, monikarao, Nate Reist, Nick Halsey, Nikhil Chavan, nullvariable, Payton Swick, Peter Wilson, Presskopp, Rachel Baker, Ryan McCue, Sanket Parmar, Sebastian Pisula, sfpt, shazahm1, Stanimir Stoyanov, Steven Word, szaqal21, timph, voldemortensen, vortfu y Weston Ruter.

puedes ver la publicación original aquí

Alimentando nuestro centro de datos en Chile con energía renovable

La planta solar El Romero en la Región de Atacama en Chile. 

El pasado diciembre anunciamos que en 2017 alcanzaríamos el 100% de energía renovable para nuestras operaciones globales, comprando de manera directa suficiente energía eólica y solar para igualar cada unidad de electricidad que consumimos. En América Latina nuestra primera compra de energía renovable fue El Romero, ubicado en la Región de Atacama en Chile, donde nos asociamos con la empresa española Acciona para abastecer las operaciones locales de Google con energía limpia producida por el sol de Atacama.

Hoy, estamos contentos de anunciar que los primeros rayos de sol del 2017 comenzaron a producir energía para la red eléctrica que alimenta nuestro centro de datos en Quilicura, Chile, así como nuestras oficinas en ese país. Con una superficie de captación solar de más de 1.5 millones de metros cuadrados — el equivalente a 211 campos de fútbol — El Romero es actualmente la planta fotovoltaica más grande de América Latina. Su localización en el Desierto de Atacama, uno de los puntos geográficos que más luz solar recibe en el mundo, le permitirá abastecer hasta 80 MW de energía limpia anualmente para Google.

El proyecto de El Romero es sólo un ejemplo de nuestro compromiso para lograr el desafío mayor y a largo plazo de suministrar energía a nuestras operaciones las 24 horas de los 365 días del año con energía limpia y cero emisiones de carbono. Si bien esto es sólo el comienzo, continuaremos nuestros esfuerzos a nivel mundial, centrándonos en hacer más compras regionales de energía renovable en los lugares en donde tenemos centros de datos y operaciones, así como en la promoción de políticas que habiliten a los consumidores de electricidad elegir su suministro de energía.

Para quienes quieran aprender más sobre la planta y su funcionamiento, ponemos hoy a disposición un tour en realidad virtual en Google Expediciones (tanto en español como en inglés), para ser utilizado con los visores de Cardboard y pensado para el aula. Esperamos con esto contribuir a que también las generaciones venideras comprendan el papel que las energías renovables pueden jugar en América Latina y en el mundo, para proteger el futuro de nuestro planeta.

Parte del tour virtual de El Romero en Google Expediciones. 

Publicado por Sam Arons, Líder de Ingeniería e Infraestructura, Google <!– INSTRUCTIONS Enter info below to be used in google.com/about site blog syndication. Leave elements empty if there is no valid data. Example: http://1.bp.blogspot.com/-mX0dxJxp8dg/Vo8MSdxypWI/AAAAAAAARsI/EjaFhvgAEgc/s1600/Beutler_Google_Giftwrap_-v2TW.png Emily Wood Managing Editor Google Ink–>
puedes ver la publicación original aquí

Eye Pyramid, el malware que pone en jaque a Italia

malware-panda-security

La policía de Estado italiana ha desarmado este martes una central de ciberespionaje creada por dos hermanos italianos con el objetivo de controlar instituciones y administraciones públicas, estudios profesionales, empresarios y políticos. Esta red accedía a la información confidencial de los sujetos instalando un virus en los ordenadores, robando datos sensibles para las finanzas y la seguridad del Estado.

Entre los afectados estarían los antiguos primeros ministros Matteo Renzi y Mario Monti, además del presidente del Banco Central Europeo, Mario Draghi, y otras personas poseedoras de información reservada. Alcaldes, cardenales, presidentes regionales, economistas, empresarios y policías completan la lista de víctimas.

Así funciona Eye Pyramid

La investigación ha sido bautizada como ‘Eye Pyramid (ojo piramidal), ya que así se llama el malware particularmente invasivo que ambos detenidos utilizaron para infiltrarse en los sistemas informáticos de las personalidades a las que espiaron.

Estas intromisiones se estarían realizando desde el año 2012, alcanzando a 18327 usuarios y con el robo de 1793 contraseñas a través de un keylogger. Estamos hablando de, aproximadamente, 87GB de datos en general. Un funcionamiento muy sencillo para las graves consecuencias en las que ha desembocado: el ciberdelincuente enviaba un correo electrónico, el destinatario lo abría y en ese preciso momento el software se instalaba en el aparato, permitiendo la navegación entre sus archivos secretos.

Las versiones anteriores del software malicioso (malware de origen desconocido, excepto algunas especulaciones que permitan vincular este proyecto a Sauron) se han utilizado probablemente en 2008, 2010, 2011 y 2014 en diversos spear phishing (campañas contra diversos objetivos, incluyendo los targets italianos atacados en esta ocasión).

En un mundo hiperconectado en el que la creciente tensión de la ciberguerra y del ciberespionaje se pone de manifiesto con acusaciones cruzadas entre las grandes potencias, principalmente Estados Unidos, Rusia y China; estos ataques cobran especial relevancia ante la posibilidad de poner en peligro la seguridad de un Estado.

Advanced Persistent Threat o cómo prevenir la pesadilla cibernética

Este ataque, que no tiene precedentes en Italia, continuará siendo investigado y de él, afirma la policía, podrán conocerse conexiones con otros ataques cibernéticos similares realizados en otros países.

Proteger tus datos confidenciales y sensibles de las redes de las estructuras cibercriminales y de ataques cibernéticos de tipo APT, o amenazas persistentes avanzadas, es fundamental ante la profesionalización que están adquiriendo los ciberdelincuentes.

Las amenazas avanzadas no existen con una solución de ciberseguridad avanzada como es Adaptive Defense 360, la Plataforma que conecta inteligencia contextual con operaciones de defensa para adelantarse al comportamiento malicioso de las amenazas y a la fuga de información. De esta forma, puede accionar los sistemas de protección incluso antes de que el malware se ejecute.

Mejor prevenir que no tener que pensar que tu información robada ha caído en malas manos.

 

The post Eye Pyramid, el malware que pone en jaque a Italia appeared first on Panda Security Mediacenter.

puedes ver la publicación original aquí

Cinco propósitos de Año Nuevo que refuerzan la seguridad de tu empresa

propositos-panda-security

Después de hacer balance del año que se va, llega el momento de ponerse a otra tarea: la de establecer los propósitos para el que arranca. Como en cualquier otro ámbito, en materia de seguridad informática siempre queda alguna asignatura pendiente. Así lo demuestra el último informe ‘The State of Cybersecurity and Digital Trust 2016’ de Accenture, que revela que el 69 % de las empresas ha sufrido algún robo o intento de robo de datos durante el año recién terminado. El ‘malware’ y los ataques DDoS figuraban entre las mayores preocupaciones de los ejecutivos encuestados por la consultora.

Los responsables de las compañías tienen ahora doce meses por delante para mejorar su estrategia de seguridad y evitar esos temidos riesgos. Te sugerimos algunas pautas para mejorar la protección de los sistemas corporativos durante el 2017.

1- Únete al HTTPS

La mayoría de webs que se visitaron desde Firefox y Chrome en el 2016 utilizaban ya el protocolo de comunicación HTTPS. Cada vez son más las páginas y aplicaciones que usan  este método que garantiza la seguridad de las conexiones: identifica los equipos y cifra la información. Pero quedan algunos despistados. Por eso Apple obliga a los desarrolladores de ‘apps’ a aplicar este protocolo y Google señalará públicamente a los ‘sites’ que no lo usen. Es un buen momento para migrar tu web al HTTPS y asegurarte, además, de que las aplicaciones y webs que se visitan en tu empresa lo utilizan también.

2- Anticípate e investiga los riesgos

Los ciberataques han dejado de ser un problema que afecta únicamente a grandes agencias y corporaciones. Hoy en día pueden golpear a cualquier pequeña o mediana empresa, y los criminales usan estrategias y herramientas cada vez más sofisticadas. Y, como suele decirse, más vale prevenir que curar. Una de las primeras medidas para evitar sus acciones es adoptar un programa de prevención y detección precoz de amenazas, analizar habitualmente los sistemas en busca de anomalías y mantener al equipo de informáticos al día sobre las novedades.

3- Invierte en ciberseguridad

El informe de Accenture pone también de manifiesto que los presupuestos corporativos destinados a la ciberseguridad no son suficientes, según aseguran la mayoría de los empresarios consultados. La inversión en esta área influye no solo en el equipo de profesionales que contrata la compañía; los programas de formación para los trabajadores en materia de seguridad informática o la compra de ‘software’ especializado son actividades que también requieren una base económica.

4- Vigila la autenticación

2016 no ha sido el año de Yahoo: la empresa ha tenido que admitir la filtración de datos de más de 500 millones de usuarios. Este ataque, uno de los más sonados de los últimos meses, alerta sobre la necesidad de cuidar la seguridad de la información corporativa y revisar las contraseñas utilizadas en el seno de la empresa. Es importante elegir claves complejas, utilizar sistemas que requieran más de un ‘login’ y adoptar métodos de autenticación en varios pasos a la hora de acceder a las plataformas y los sistemas. El único camino para conseguirlo pasa por concienciar a toda la plantilla sobre la relevancia de estas medidas y los peligros de no ponerlas en práctica.

5- Diseña un plan de respuesta

Además de prever las amenazas, conviene desarrollar un plan de acción por si estas se convierten en realidad. Debe tratarse de un proyecto cuidadosamente elaborado por la empresa, en el que figuren todas las posibilidades: de ataques DDoS o ‘ransomware’ a la desaparición de algún portátil de la compañía. Este tipo de documentos establecen los protocolos de respuesta para lidiar con filtraciones de datos y otros sucesos, designan a los responsables que se harán cargo de su gestión dentro de la organización y qué medidas deben tomarse, entre otras disposiciones.

Las de este artículo son solo algunas sugerencias, porque la lista puede alargarse según los puntos flacos de cada empresa. Revisar los fallos cometidos en seguridad el 2016 servirá para mejorar el año que viene y, por supuesto, no olvides proteger tu parque informático y no bajar la guardia.

The post Cinco propósitos de Año Nuevo que refuerzan la seguridad de tu empresa appeared first on Panda Security Mediacenter.

puedes ver la publicación original aquí

Nuestro continuo compromiso con su privacidad en Windows 10

Por: Terry Myerson, Vicepresidente Ejecutivo del Grupo de Windows y Dispositivos.

En Microsoft, estamos comprometidos de manera profunda con proteger la privacidad de nuestros clientes. Esto incluye brindar opciones claras y herramientas sencillas de utilizar que les otorguen el control sobre cómo su información es recolectada y utilizada. La confianza es un pilar muy importante para nuestra visión de un Cómputo Más Personal, y trabajamos duro para garantizar que Windows 10 es el Windows más seguro hasta el momento, y que es un producto que aman y en el que confían.

Muchos de ustedes han pedido tener más control de sus datos, un mayor entendimiento sobre cómo los datos son recolectados, y los beneficios que esto trae para tener una experiencia más personalizada. Con base en sus opiniones, hemos lanzado dos nuevas experiencias para ayudarlos a asegurar que están en control de su privacidad.

Primero, hoy hemos lanzado un nuevo tablero de privacidad basado en la web para puedan ver y controlar sus datos de actividad de Microsoft que incluyen ubicación, búsqueda, exploración, y datos de Cortana Notebook a través de múltiples servicios de Microsoft. Segundo, hemos introducido en Windows 10 una nueva experiencia de configuración de privacidad, tras simplificar los niveles de datos de Diagnóstico, y después reducir los datos recolectados en el nivel Básico. Estos cambios de Windows 10 serán presentados pronto en una versión de Windows Insider para recibir retroalimentación al principio, para después lanzarlo a todo mundo cuando Windows 10 Creators Update esté disponible.

También reconocemos que las organizaciones tienen distintas necesidades a las de las personas en cuanto a temas de privacidad. Pueden aprender más acerca de lo que hacemos para ayudar a los profesionales de TI a manejar los datos de telemetría y privacidad dentro de sus organizaciones aquí.

El tablero de privacidad de Microsoft presenta nuevas maneras para revisar y gestionar la actividad de los datos

Hemos escuchado que ustedes quieren mejores maneras para poder ver y gestionar la actividad de los datos recolectados por los servicios de Microsoft. Hoy, hemos dado un paso hacia adelante en apoyar nuestro principio de transparencia sobre privacidad con la presentación de un nuevo tablero de privacidad de Microsoft en la web, que les permite ver y controlar la actividad de sus datos de manera sencilla.

Cuando inician sesión en su cuenta de Microsoft, pueden ir a account.microsoft.com/privacy para revisar y limpiar datos como su historial de navegación, historial de búsqueda, actividad de ubicación y Cortana’s Notebook, todo en un solo lugar. Este es nuestro primer paso para expandir las herramientas que les dan visibilidad y control sobre sus datos que abarcan productos de Microsoft, y vamos a continuar con funcionalidades y categorías de datos adicionales en el transcurso de los días.

 Los cambios de privacidad llegarán pronto para Creators Update

Hemos escuchado sus opiniones y compartido la manera en la que protegemos su privacidad justo después de lanzar Windows 10. Este compromiso continúa para volver lo más sencillo posible para que ustedes que puedan tomar decisiones informadas en torno a su privacidad con Windows 10. Con esto en mente, en Creators Update, hemos realizado algunos cambios tras simplificar los ajustes de privacidad y mejorar la manera en la que presentamos a ustedes dichos ajustes.

Primero, vamos a presentar una nueva experiencia de configuración para que puedan elegir los ajustes que más se acomoden a sus necesidades. Esta experiencia, que reemplaza Express Settings previos, lucirá un poco diferente de acuerdo a la versión de Windows que usen. Si se van a mover de Windows 7 o Windows 8, o van a hacer una instalación fresca de Windows 10, la nueva experiencia les mostrará de manera clara, ajustes simples pero importantes, y ustedes tendrán que escoger cuáles van a utilizar antes de poder avanzar con la instalación. Si ya utilizan Windows 10, vamos a enviar notificaciones para pedirles que escojan sus ajustes de privacidad. Vamos a presentar este proceso en una próxima versión de Windows Insider, pronto.

Segundo, vamos a simplificar nuestra recolección de datos de Diagnóstico de tres niveles a dos: Básico y Completo. Si antes seleccionaron el nivel Enhanced (Mejorado), tendrán la opción de escoger ‘Básico o Completo’ con Creators Update.

Tercero, logramos reducir los datos recolectados en el nivel Básico. Esto incluye datos que son vitales para la operación de Windows. Nosotros usamos estos datos para ayudar a mantener seguros a Windows y las aplicaciones, actualizar y hacer que funcionen de manera apropiada cuando ustedes permitan que Microsoft conozca las capacidades de su dispositivo, lo que se ha instalado, y si Windows opera de manera correcta. Esta opción también incluye reportes básicos de fallas para ser enviados a Microsoft.

Abajo pueden ver la nueva experiencia de ajustes de privacidad que será presentada para los Windows Insiders en una próxima versión. Hemos hecho que esta nueva experiencia pueda ser utilizada con la voz para proveer una mayor accesibilidad para los clientes. Los datos de voz permanecen en el dispositivo como parte de este nuevo proceso de configuración.

Los diseños de interfaz de usuario presentados a Windows Insiders están sujetos a cambios antes de la disponibilidad general.

Mientras eligen sus opciones en esta nueva experiencia de configuración, vamos a compartir información adicional acerca del impacto que provoca cada decisión en su experiencia de Windows, como se muestra a continuación.

Los diseños de interfaz de usuario presentados a Windows Insiders están sujetos a cambios antes de la disponibilidad general.

Los diseños de interfaz de usuario presentados a Windows Insiders están sujetos a cambios antes de la disponibilidad general.

Como siempre, los clientes pueden revisar todos los ajustes de privacidad, con estos incluidos, y realizar cambios en cualquier momento desde Configuración.

Ver más allá

Cuando se trata de su privacidad, siempre nos esforzamos para tomar decisiones fáciles de entender mientras que también proveemos una clara visibilidad y control sobre sus datos. Creemos que encontrar el balance correcto es una de nuestras tareas más importantes en cuanto a la entrega de las grandes experiencias personalizadas que aman y en las que confían.

Hoy, hemos dado otro paso hacia adelante en nuestra jornada para realizar cambios enfocados en sus comentarios y ayudar a hacer que su experiencia con Windows y otros productos de Microsoft sea mejor y más rica. Queremos que estén informados y que tengan el control de sus datos, lo cual es la razón de nuestro duro trabajo en estos ajustes y controles. Y sin importar cuáles son sus opciones sobre la recolección de datos, nosotros no vamos a utilizar los contenidos de email, conversaciones, archivos o imágenes para enviarles publicidad.

Juntos, estamos en un camino dirigido por la tecnología conforme dispositivos, Internet, y las cosas inteligentes a nuestro alrededor, cambian la manera en la que nos comunicamos, jugamos y realizamos nuestras actividades. En Microsoft, una parte clave de esta jornada es involucrarnos con nuestros clientes, escuchar sus opiniones y generar nuevas ideas. Gracias a todos ustedes por sus comentarios y por favor, no dejen de compartir aquí lo que piensan.

Terry

puedes ver la publicación original aquí