Skip to main content

Microsoft Azure estuvo a merced de los ciberdelincuentes

Un error de configuración de Microsoft Azure podría haberles abierto la puerta a delincuentes informáticos a máquinas virtuales y cubos de almacenamiento basados ​​en la nube.

La vulnerabilidad del servicio, catalogado por la firma de Redmond como “un conjunto completo y en expansión constante de servicios de informática en la nube”, fue revelado por Threatpost basándose en informes de CyberArk.

Recommended Videos

La investigación relacionó la falla con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure, según lo explicó Omer Tsarfati, investigador de seguridad informática.

Un manifiesto, explicó Threatpost, es un archivo de configuración JavaScript Object Notation (JSON), es decir, un formato liviano para almacenar y transportar datos enviados desde un servidor a una página en internet, que define la configuración que deben usar las aplicaciones web.

Durante su análisis, los expertos observaron «informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso».

Particularmente, los tokens de acceso son «objetos que describen el contexto de seguridad de un proceso o subproceso», según la definición de Microsoft. “La información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo», complementó Threatpost.

El mismo medio contó que CyberArk creó dos exploits de prueba de concepto (PoC) contra la vulnerabilidad con el objetivo de obtener el control de los tokens de acceso de los usuarios.

“Ambos aprovechan el error cometido por Microsoft en el código de manifiesto de su portal de Azure (…) El error provocó que Azure intentara conectarse a un nombre de host inexistente ‘urehubs’”, detalló.

De acuerdo con CyberArk, el error data del 6 de septiembre de 2019, pero Microsoft lo solucionó “involuntariamente” dos semanas más tarde como parte de una actualización regular de la plataforma.

“Con tres líneas de código, cerró la puerta a los hackers (…) Microsoft logró mitigar la vulnerabilidad al garantizar que la URL no sea solo la ruta, sino una URL válida completa», detalló la firma de seguridad informática.

Threatpost concluyó que los investigadores han enfatizado que la vulnerabilidad “sirve como un precedente de otros posibles errores en la nube”, motivo por el cual “las empresas deben mantenerse alerta cuando se trata de confiar en una infraestructura y la seguridad de terceros”.

“Los servicios en la nube son excelentes opciones para muchas empresas. Sin embargo, confiar en ‘la infraestructura de otra persona’ depende de las medidas de seguridad de un tercero, lo que puede ser una práctica arriesgada «, reflexionó Tsarfati.

Amazon Music Unlimited sube los precios de los planes individuales y familiares
Amazon Music

Amazon Music es la última compañía de streaming en anunciar un aumento de precios. En un correo electrónico enviado a los suscriptores, Amazon indicó que el precio de una suscripción individual a Amazon Music Unlimited aumentará un dólar en la primera fecha de facturación a partir del 5 de marzo de 2025.
Esto significa que los miembros Prime ahora pagarán $ 11 por mes (o $ 110 anuales) en lugar de $ 10, mientras que los no miembros Prime pagarán $ 12 en lugar de $ 11. El precio de las membresías familiares también aumentará en $ 3 por mes al mismo tiempo, lo que eleva la nueva tarifa de suscripción a $ 20 por mes (o $ 199 anuales).
Los cambios afectan a los suscriptores en los EE. UU., Canadá y el Reino Unido, aunque los canadienses verán aumentos mayores en su próxima factura: los planes individuales pasan de $ 10 a $ 11.54 (Prime) y de $ 11 a $ 12.60 (no Prime). El plan familiar canadiense pasa de $ 17 a $ 21, y también hay un aumento en el plan canadiense para un solo dispositivo de 30 centavos a $ 6.29.
Estas son las primeras subidas de precios de Amazon Music Unlimited desde 2023. La compañía no citó el aumento de los costos. En cambio, proporcionó la misma justificación que hace dos años: "Estamos actualizando el precio [...] para que podamos seguir ofreciéndoles nuevos contenidos y funciones".
Los nuevos precios ponen el precio no Prime de Amazon Music Unlimited a la par con la membresía Premium individual de Spotify, que aumentó en 2024 a $ 11 por mes. Este es también el mismo precio que cobran Tidal y Apple Music para los planes individuales.
Podría decirse que Amazon todavía ofrece uno de los mejores valores, especialmente a su precio de miembro Prime. El servicio tiene un tamaño de catálogo similar al de los otros reproductores y ofrece la mayoría de sus pistas en audio sin pérdidas y de alta resolución. También tiene una sólida colección de álbumes en el formato de audio espacial Dolby Atmos Music.
En 2024, añadió el servicio Audible de Amazon, que da a los suscriptores acceso a un audiolibro al mes como parte de su cuota.
Según el sitio de estadísticas Yaguara, Amazon Music tiene más de 80 millones de usuarios en todo el mundo, con 52,5 millones de usuarios que residen en Estados Unidos. Esto le da a Amazon Music una participación del 11.11% en el mercado global de transmisión de música.

Leer más
George R.R. Martin entrega adelantos claves de Un Caballero de los siete reinos
Un Caballero de los siete reinos

Una voz más que autorizada para todo lo que tiene que ver con el universo Game of Thrones es su creador, George R.R. Martin, quien ahora nos entregó un spoiler de lo que podemos esperar de la próxima serie "Un Caballero de los siete reinos".
En su blog personal, el autor declaró que le "encantan" los primeros seis episodios completos de A Knight of the Seven Kingdoms.

Ira [Parker] y su equipo terminaron la primera temporada hace meses, y pasaron directamente a la postproducción. Ya he visto los seis episodios (los dos últimos en borrador, es cierto), y me encantaron. Dunk y Egg siempre han sido mis favoritos, y los actores que encontramos para interpretarlos son simplemente increíbles. El resto del elenco también es excelente. Esperen hasta que se encuentren con la Tormenta de la Risa. y Tanselle Too-Tall.
Un Caballero de los Siete Reinos es una adaptación de "El Caballero del Seto", la primera de las novelas cortas que escribí sobre ellos. Es tan fiel como la adaptación que un hombre razonable podría esperar (y todos ustedes saben lo increíblemente razonable que soy en ese tema en particular). Los espectadores que buscan acción, y más acción, y solo acción... Bueno, es posible que este no te satisfaga. Aquí hay una gran escena de lucha, tan emocionante como cualquiera podría pedir, pero esta vez no hay dragones, ni grandes batallas, ni caminantes blancos... Esta es una pieza de carácter, y se centra en el deber y el honor, en la caballerosidad y todo lo que significa.

Leer más
Pebble, el padre de todos los relojes inteligentes regresa a la vida
Pebble

La persona detrás del reloj inteligente Pebble, que podría decirse que inició toda la locura de los relojes inteligentes cuando se lanzó en 2012, está regresando para construir el verdadero sucesor del mismo. En una publicación de blog en su sitio personal, Eric Migicovsky escribió: "¡Un pequeño equipo y yo estamos buceando de nuevo en el mundo del hardware para traer de vuelta a Pebble!"
Su anuncio se produce después de que Google lanzara el software original del reloj inteligente Pebble, PebbleOS, como código abierto, lo que permite a los propietarios entusiastas de Pebble adaptarlo más fácilmente para su uso con teléfonos inteligentes y sistemas modernos. Ya hay una base de fans saludable dedicada a mantener los relojes inteligentes y el software de Pebble en funcionamiento, y la biblioteca de código abierto ayudará a acelerar el proceso de hacer que los viejos relojes inteligentes de Pebble sean más utilizables hoy.
Migicovsky continuó explicando cuáles son sus planes para el nuevo reloj inteligente:
"El nuevo reloj que estamos construyendo tiene básicamente las mismas especificaciones y características que el Pebble, aunque también con algunas cosas nuevas y divertidas. Ejecuta PebbleOS de código abierto y es compatible con todas las aplicaciones y esferas de reloj de Pebble. Si tenías un Pebble y te encantaba, este es el reloj inteligente para ti".

También habló sobre el "conjunto básico de características" que quiere de un reloj inteligente, incluida una pantalla de papel electrónico siempre encendida para que se pueda ver a la luz del sol y no consuma tanta energía como un OLED o LCD, botones en la carcasa y una interfaz de usuario simple construida con software "hackeable". Menciona específicamente que quiere agregar la capacidad para que los desarrolladores construyan sus propias esferas de reloj para ello. Si bien estas características son su lista de deseos, es probable que todas lleguen a su nuevo reloj inteligente.
Migicovsky llama al proyecto un "reemplazo de Pebble", pero no es seguro que se use el nombre de Pebble. Pebble fue vendida a Fitbit, que a su vez fue comprada por Google, y aunque el software ahora es de código abierto, el nombre puede resultar más difícil de adquirir. Además de la posibilidad de que Google sea el propietario, hay otra compañía de relojes inteligentes que también lanza relojes inteligentes con el nombre de Pebble.
Todavía es temprano para el proyecto, y Migicovsky quiere completar las especificaciones del producto y el cronograma antes de discutir cómo podrá comprar uno. Termina diciendo que el nuevo reloj inteligente será exactamente como el Pebble, "en casi todos los sentidos", lo que seguramente complacerá a los muchos fanáticos del original. Si bien ciertamente habrá fanáticos esperando el nuevo Pebble, los relojes inteligentes han avanzado desde que Pebble sacudió las cosas entre 2012 y 2016. Ya sea un Casio G-Shock DW-H5600, un Withings ScanWatch 2 o un Apple Watch Series 10, la elección es mucho más amplia e inclusiva hoy en día.
Desde la desaparición de Pebble, Migicovsky fundó Beeper, una aplicación de mensajería universal que encontró una manera de poner iMessage en Android y evitar toda la pesadilla social de la burbuja azul / burbuja verde, sin ningún problema de seguridad tampoco. Beeper fue adquirida por Automattic, propietaria de WordPress, en 2024.

Leer más