admin

Categorías

Coobis

fraude

La ciencia y la medicina tienen un problema ‘contaminación en publicaciones’

Actualidad Informática. La ciencia y la medicina tienen un problema 'contaminación  en publicaciones'. Rafael Barzanallana

La comunidad científica se enfrenta a un «problema de contaminación» en la publicación académica, que representa una seria amenaza para la «fiabilidad, utilidad y valor de la ciencia y la medicina», según uno de los principales especialistas en ética médica del.

Arthur L. Caplan, PhD, director de la División de Ética Médica en el Departamento de Salud de la Población del NYU Langone Medical Center, comparte estas y otras observaciones en un comentario editorial el tres de abril en la revista Mayo Clinic Proceedings.

«La contaminación de la ciencia y la medicina por plagio, fraude, y publicación depredadora está corroyendo la fiabilidad de la investigación», escribe el Dr. Caplan. «Sin embargo, ni los dirigentes ni los que se basan en la verdad de la ciencia y la medicina están haciendo sonar la alarma en voz alta o  movimientos para solucionar el problema con la energía adecuada.»

En su comentario, el Dr. Caplan describe varias causas de la contaminación de las publicaciones:

  • La proliferación de revistas que reclutan autores que pagar para ver sus artículos publicados. A pesar de tener deficiencias o sin revisión por pares, estos «editores depredadores» comprenden aproximadamente el 25 por ciento de todas las revistas de acceso abierto. «No sólo proporcionan oportunidades para que los inescrupulosos en el mundo académico y la industria rellenen sus currículo vitae  y bibliografías con artículos falsos y citas editoriales, también hacen que sea difícil para los que participan en la evaluación y promoción de los investigadores, discernir el valor de la basura», escribe el Dr. Caplan.
  • Mala conducta de investigación, como la falsificación o la fabricación de datos u ocultar violaciones graves. El catorce por ciento de los científicos informan que sus colegas falsifican los datos, y el 72 por ciento informa de otras prácticas cuestionables, según un estudio de 2009 publicado en la revista PLoS One .
  • El plagio, que de acuerdo con un artículo de 2010 en Nature, era «asombroso» y requiere a los editores gastar «enormes cantidades de tiempo» para comprobar lo que reciben.

Según el Dr. Caplan: «Todos estos factores contaminantes son en detrimento de la capacidad de los científicos y los médicos a confiar en lo que leen, devalúan la ciencia legítima, socavan la capacidad de reproducir los resultados legítimos, imponen costos enormes en el proceso de publicación, y toman un peaje en términos de discapacidad y muerte cuando las pruebas, los tratamientos y las intervenciones se basan en afirmaciones erróneas».

El Dr. Caplan propone una reunión nacional de líderes en ciencia y medicina para dirigir un reto constante para ir de forma proactiva y agresiva frente a  este problema de contaminación.

«La moneda de la ciencia es frágil, y permitir que los falsificadores, estafadores,  y tramposos para sigan operando con abandono en el ámbito editorial es inaceptable», afirma.

Fuente: PHYS.ORG

Ahorradores de energía eléctrica, pésima inversión

Actualidad Informática. Ahorradores de energía eléctrica, pésima inversión. Rafael BarzanallanaSe venden como un sencillo dispositivo que, con solo conectarlo a cualquier enchufe eléctrico conseguirá un ahorro en torno a un 20% de energía eléctrica en la factura.

La primera sospecha aparece cuando te das cuenta que este equipo lo puedes encontrar a la venta por 40€ en muchas tiendas online/físicas en España, pero a su vez lo encuentras en Ebay por poco más de 2€ con gastos de envío incluidos desde China.

En NERGIZA.COM han desmontado uno de estos dispositivos, con el siguiente resultado:

Vemos una pequeña placa electrónica que, al parecer, solo sirve para controlar los dos LEDs de señalización (¿señalización de que?) y un condensador de los que se suelen utilizar para aplicaciones electrónicas.

[Antes de seguir leyendo te recomiendo echar un vistazo a nuestro post sobre energía reactiva, sobre todo si no tienes claros los conceptos de energía/potencia reactiva, factor de potencia, etc…]

Los condensadores se suelen utilizar en el sector industrial para compensar la energía reactiva consumida y así ahorrar en la factura eléctrica, pero para el caso que nos ocupa debemos de que tener en cuenta dos cosas:

  1. En el sector doméstico no se factura la energía reactiva consumida, por lo tanto no vamos a ahorrar dinero instalando condensadores.
  2. Las baterías de condensadores industriales cuentan con complejos sistemas de control que hacen que su capacidad se adapte al factor de potencia en cada instante. El ahorrador de energía que analizamos no es más que un condensador de capacidad fija, que en unas ocasiones puede subir el factor de potencia y en otras bajarlo sin control alguno.

Respecto a medidas reales del supuesto ahorro de energía, todas son negativas, incluso aumenta el consumo. Ver datos reales en NERGIZA.COM.

En una vivienda no necesitamos compensar el consumo de reactiva, y aunque lo necesitásemos, este aparato no lo iba a conseguir, principalmente porque carece de control alguno de su capacidad.

El gran mérito de Ocularis en el caso Reticare

Actualidad Informática. El gran mérito de Ocularis en el caso Reticare. Rafael Barzanallana. UMU

Un jugoso negocio, una inversión en anuncios impresionante, una «investigación española», una doctora que se pasea por todos los medios de comunicación para vender un filtro que nos va a proteger, periodistas que necesitan noticias «científicas» todos los días y que amplifican la propaganda … todo eso es Reticare.

Y un excelente oftalmólogo, de larga tradición en la web con su proyecto divulgativo Ocularis, que desmonta una a una todas las afirmaciones de los vendedores para sacar el dinero a los incautos. Tras un primer artículo contundente: Reticare, mentiras y negocio

 Los ojos trabajan con luz, necesitan la luz para ejercer su función. Es un órgano que está expuesto a la radiación solar en todos los animales, incluidos nosotros. La evolución ha ido adaptando y modificando el órgano para que no se deteriore, como es fácil de suponer. No se ha demostrado que una exposición normal a la luz solar sea perjudicial, y no se ha demostrado que ninguna protección o barrera prevenga de enfermedades oculares. No se ha demostrado que se produzca un deterioro de la retina debido a la luz visible más energética (luz azul), y no se ha demostrado que filtrando esta luz azul prevengamos de daños en la retina. Por otra parte, la luz solar es más intensa y energética que la luz artificial que se originan en pantallas LED. Si con la dosis más alta los filtros no son útiles, con la dosis más baja, la plausibilidad es incluso menor.
La empresa contraataca y pretende censurar el artículo anterior. Reticare (II) Intentan censurar este blog  

Recientemente, la compañía que se lucra con Reticare se ha puesto en contacto conmigo. De manera, digamos, poco elegante, ha intentado obligarme a retirar el artículo que les dediqué, así como su difusión y comentarios relacionados a través de las redes sociales (principalmente Twitter y Facebook). Es una maniobra comprensible, ya que artículos como éste van directamente en contra de sus intereses comerciales. Lo que quizás sorprenda a alguno que haya comprado el filtro en cuestión, es que en su carta no intentaron avalar sus afirmaciones en base a estudios científicos; creo que se dieron cuenta que no había nada que hacer por esa vía. Pasaron de puntillas sobre ese particular (vamos, que para ellos lo relevante no era si lo del Reticare es verdad o mentira) y directamente intentaban meter miedo a través de sus abogados. A mi modo de ver, es una forma de censura, algo así como: “no me conviene que se divulguen tus razonamientos, así que te asusto para que no te expreses”.

La respuesta en las redes sociales fue inmediata, manifestando el apoyo al autor, y en contra de estas maniobras cuando se denuncian con datos los fraudes científicos.
Ampliar en: El Supositorio

El caso “Reticare” como síntoma

Actualidad Informática. El caso “Reticare” como síntoma. Rafael Barzanallana. UMU

Reticare, es la marca de una lámina que, a cambio de un nada módico precio, supuestamente protege a los usuarios de dispositivos con pantallas iluminadas por LED (móviles táctiles, tabletas, etc.) de lo que la propia empresa vendedora califica como “luz tóxica“, unas malvadísimas radiaciones que por lo visto nos van a dejar a todos ciegos. Una afirmación que resulta tremendamente chocante, la verdad. Pero tranquilos: según nos explica también la empresa, el producto está avalado por los trabajos de investigación de un grupo de científicos de la Universidad Complutense de Madrid.

En fin, un aval científico tan impresionante como… bueno, digamos que poco consistente. Lo cuenta muy bien el prestigioso blog Ocularis en esta entrada, de la que reproduzco un par de párrafos:

Voy a intentar resumir tanto artículo con un párrafo. Los ojos trabajan con luz, necesitan la luz para ejercer su función. Es un órgano que está expuesto a la radiación solar en todos los animales, incluidos nosotros. La evolución ha ido adaptando y modificando el órgano para que no se deteriore, como es fácil de suponer. No se ha demostrado que una exposición normal a la luz solar sea perjudicial, y no se ha demostrado que ninguna protección o barrera prevenga de enfermedades oculares. No se ha demostrado que se produzca un deterioro de la retina debido a la luz visible más energética (luz azul), y no se ha demostrado que filtrando esta luz azul prevengamos de daños en la retina. Por otra parte, la luz solar es más intensa y energética que la luz artificial que se originan en pantallas LED. Si con la dosis más alta los filtros no son útiles, con la dosis más baja, la plausibilidad es incluso menor.
Profundizar en más explicaciones sería repetir lo mismo de lo que ya hablé en la serie de las lentes intraoculares amarillas. Pero también hay información en otras webs. Quien quiera leer más sobre el tema recomiendo dos artículos del blog La mentira está ahí fuera, una lectura muy recomendable. En el primero se contraponen las afirmaciones de los vendedores del Reticare con la evidencia científica. En el segundo hacen un análisis del estudio en el que se basa la comercialización del Reticare. El estudio, efectivamente, ofrece serias dudas metodológicas, dudas éticas sobre conflicto de intereses, y por su propio diseño no sirve para dar validez a ningún filtro. De hecho, no se puede hacer ninguna afirmación clínica ni práctica a partir de él.

Vamos, que la hipótesis de partida (lo de la peligrosidad de la “luz tóxica” de los dispositivos) es más que dudosa, y los estudios científicos ni parecen nada sólidos ni realmente tienen nada que ver con el dichoso filtro.

Por su parte, la empresa Reticare ha aportado nuevas evidencias científ… ah, no: ha intentado que Ocularis retire la entrada. Ya saben: a falta de argumentos científicos, exhiben su musculatura legal. Con lo feo que está eso de mandar una carta de un bufete de abogados en vez de un puñado de referencias a estudios serios o, no sé, una felicitación navideña…

En cualquier caso, les remito a las entradas de Ocularis o La mentira está ahí fuera (o a lo que cuenta hoy en Naukas el bueno de Arturo Quirantes) en cuanto a los fundamentos científicos (o más bien la falta de fundamentos científicos) de Reticare. Por mi parte la cuestión que me planteo es la de la participación de la Universidad Complutense. ¿Saben los responsables universitarios que se está empleando su aval de una forma tan… bueno, tan poco consistente? Si no lo saben, ¿es que no verifican, aunque sea mínimamente, quién y para qué emplea ese sello de calidad? Y, si lo saben, ¿no les importa ver su prestigio académico e investigador comprometido de esa manera?

El caso de Reticare y la Complutense no es único, pero sí sintomático. Y quizá va siendo ya hora de que alguien empiece a elaborar un diagnóstico y proponer una cura.

Fuente: La lista de la vergüenza

Autor: Fernando Frías

Dispositivos de ahorro de energía. La mejor manera de ahorrar es no comprarlos

Actualidad Informática. Dispositivos de ahorro de energía. La mejor manera de ahorrar es no comprarlos. Rafael Barzanallana. UMU

La crisis económica, unida a las continuas subidas en la factura de la electricidad está llevando a muchas familias españolas al límite de sus posibilidades. Esta situación de desesperanza es el caldo de cultivo perfecto para la aparición de productos milagro, que le permitirán ahorrar entre un 50 y un 75% de lo que paga a las eléctricas, por supuesto, sin tener que reducir el consumo.

Productos como energy saver prog-ner-g u otros muchos, prometen importantes ahorros simplemente enchufando a la red de su casa un aparato con una misteriosa tecnología.  ¿Cómo lo consigue? Mejor dicho, ¿lo consigue?

La única manera legal de ahorrar energía es:

  1. sustituir las bombillas tradicionales por bombillas de bajo consumo o mejor LED.
  2. bajar el termostato de radiadores eléctricos y vigilar que no haya puntos de perdida de calor en ventanas, puertas, canales de ventilación de aire acondicionado etc
  3. apagar completamente los dispositivos que no se usa. Olvídese del stand-by. Hay dispositivos como las placas vitrocerámicas que tienen un alto consumo cuando están en stand by (es decir, siempre, a no ser que se incluya un interruptor en el circuito).
  4. Regular la temperatura de congelador y refrigerador. –16 y 6 grados son suficientes
  5. Encienda la lavadora y el lavavajillas solo cuando estén llenos.
  6. Olvídese de la secadora
  7. El aire acondicionado a 25 grados es suficiente
  8. Planche cuando tenga mucha ropa que planchar, empleando solo el tiempo necesario. No deje la plancha encendida mientras que va a hacer otra cosa.

La energía es la capacidad para realizar un trabajo. Se mide en Julios en el sistema internacional de unidades, pero por razones prácticas las eléctricas nos presentan el consumo de energía eléctrica en kwh. Es correcto porque la energía es el resultado de aplicar una potencia (Watio) durante un tiempo (hora):

E = P * t

Así, si usted tiene un radiador de 1000w y lo conecta durante una hora, en la factura de la luz se le cargará 1 kwh. Ningún aparato que conecte a la red eléctrica permitirá que el radiador consuma 1 kwh de energía tomando de la red eléctrica menos de esa energía, porque recordemos que la energía no puede crearse de la nada.

Los dispositivos conectados a la red eléctrica de corriente alterna (la que tenemos en casa) utilizan la energía de una manera peculiar. Parte de la energía es consumida realmente para producir un trabajo. Es la potencia activa, que se mide en watios y se representa por la letra P. La otra parte es la potencia reactiva, que surge cuando conectamos a la red motores eléctricos, cuyas bobinas almacenan temporalmente la energía en forma de campo magnético que son devueltos a la red en el siguiente ciclo. Se mide en voltio amperios reactivos (VAr) y se designa con la letra Q. La potencia aparente sería la resultante de ambas, y se mide en VoltioAmperios (VA).

Las eléctricas les cobra a las industrias por la potencia aparente y les instala las capacidades necesarias para acercar el factor de potencia lo más posible a la unidad, ya que si este factor de potencia es bajo, les obliga a poner tendido eléctrico más grueso, capaz de soportar intensidades de corriente más altas, para proporcionar una misma potencia efectiva en watios.

Si abrimos uno de estos dispositivos, comprobamos que efectivamente lo único que lleva dentro es un condensador.

Pero resulta que a los usuarios de tarifa de particulares se nos cobra solo por la potencia activa (los kW), por lo que al enchufar este aparato a la red solo le estamos produciendo ahorros a la compañía eléctrica. A nosotros no nos afecta en absoluto. Así que si quieres ahorrar, no te molestes en comprar estos aparatos. Habrás ahorrado 40 euros.

Fuente:  LA MENTIRA ESTÁ AHÍ FUERA

Interpol cierra más de diez mil sitios web de venta ilegal de medicamentos

Actualidad Informática. Interpol cierra más de diez mil sitios web de venta ilegal de medicamentos. Rafael Barzanallana. UMU

Localizar y acabar con la venta ilegal de medicamentos en internet es una de las misiones de Interpol. En el ciberespacio todo se vende más barato. Pero, a veces, a costa de nuestra propia salud.

Según la Organización Mundial de la Salud, del cincuenta al ochenta por ciento de las medicinas ofertadas en la red son falsas.

Interpol ha realizado una macrorredada dentro de Pangea 6, una vasta operación en colaboración con un centenar de países.

“Esta operación ha permitido el cierre de más de diez mil sitios web ilegales de farmacias online y la incautación de casi diez millones de medicamentos”, asegura Alline Plançon, Jefe de la Unidad Criminal Farmacéutica.

Las farmacias virtuales atraen a los consumidores, inconscientes de sus peligros. Porque, ¿quién sabe qué meten dentro de esas pseudomedicinas?

“Las pruebas sugieren que los medicamentos falsos que hemos interceptado no contienen ingredientes activos, o sus dosis son muy bajas o sus ingredientes inadecuados”, asegura el especialista Athiqur Rahman Meah.

El diez por ciento de las medicinas existentes en el mundo son falsas. Los beneficios generados por su venta ascendieron a 58.000 millones de euros en 2010.

Vender medicamentos falsos resulta mucho más rentable que vender droga.
Con el tráfico de heroína, por cada mil euros invertidos se pueden obtener veinte mil de beneficio. Con el de medicamentos, 400000.

Según la Organización Mundial de la Sallud, en la mayoría de los países desarrollados, donde existen controles, la falsificación de medicamentos es escasa, menos del uno por ciento del mercado. Pero en otras regiones, como Sudamérica, Asia y, sobre todo, África, las medicinas falsas representan entre el veinte y el treinta por ciento.

Fuente:  euronews

Jazztel: Lo barato sale caro por la letra pequeña

El otro día me quedé de piedra al ver que ofertaban un ADSL en España por 7,95 euros. El encargado de semejante engaño era Jesús Vazquez en uno de sus estupendos anuncios de Jazztel, donde nos aseguran que tienen el mejor servicio técnico. Ya de primeras, no entiendo que alardeen de esto, pues lo ideal de un ADSL es que lo enchufes y punto, y no tengas más trato con la compañía que el que te cobren cada mes. Eso sería una señal de que instalar la conexión a Internet es fácil y sin problemas.

Pero lo que no me convenció fue el precio que daban. ¿8 leuros por un ADSL en España? Si lo normal es que te salga por 40 ó 50 euros. Y aquí es donde uno puede decir: “pues haber leído la letra pequeña”. Claro, y que te zurzan. Actualmente creo que no hay ninguna ley que ampare estas semi-estafas. Creo que hay mucha gente que no se entera de la copla con lo de contratar ADSL, está desorientada o no sabe qué hacer, no está acostumbrada a leer la letra pequeña, y de esta gente se aprovechan las compañías que ofrecen conexión a Internet.

Lo que no puedes hacer en un anuncio, es decir una parte del pago y obviar todo lo que hay detrás. No puedes terminar un anuncio diciendo que el ADSL vale 8 euros y quedarte tan tranquilo. Creo que el gobierno debería meter mano en esto, y cuidar que la publicidad dejase más claro todo lo que hay detrás, o sea, la letra pequeña.

jazztel condiciones legales

Pues bien, leyendo la verdadera oferta de Jazztel en su página, buscando la letra pequeña, cosa que no está en primer plano y uno se tiene que molestar en buscar, aquí está lo que debe pagar alguien realmente:

– Primero. La oferta es sólo online, así que si la contratas llamando por teléfono ¿qué precio te dan? ¿te liarán y no te dirán lo que te van a cobrar? ¿te harán creer que estás acogiéndote a la tarifa de 7,95 €?

– Segundo. La oferta dura sólo unos 19 días. ¿Habrá gente que contrate el servicio pasado el día 30 de junio creyendo que está bajo esa oferta aun? Aquí todo depende de la honradez de la compañía en que la operaria que te haga el contrato, te avise de lo que te va a cobrar con pelos y señales. Es una buena táctica realizar una campaña de marketing agresiva para una oferta de 19 días. ¿Habrá gente que se apuntará por inercia sin saber la fecha límite?

– Tercero. El alta no es gratis, te clavan 43,10 euros, aunque dicen que las altas online llevan un 50% de descuento. Pero a ver que me aclare… ¿al principio de todo no decían que la oferta era sólo para altas online? Si están especificando los precios de la oferta de 7,95 que anuncian y que es para altas online… ¿por qué especifican que el alta online lleva 50% de descuento si no existe la opción de alta que no sea online para tener esa de 7,95? Es un poco lioso de explicar, pero precisamente porque no tiene ni pies ni cabeza. Lo normal es que si la única alta posible para esa tarifa de 7,95 es online, digan que el precio del alta es 21,55 €, que es el 50% de 43,10 €.

– Cuarto. Todos los meses tienes que pagar 13,95 € de cuota de línea. O sea, por tener ese número de teléfono, les tienes que pagar esa cuota. Y ahora es donde también me pregunto porqué alardean de ahorrarse al año 200 € si ellos también tienen cuota mensual como Telefónica/Movistar de unos 14 euros aprox cada mes. Que yo sepa, las únicas compañías que conozco a las que no pagas todos los meses una cuota de línea, son Tele2 y Orange, a no ser que haya salido alguna nueva que lo haga también.

– Quinto. Pasada la promoción, tienes que pagar el precio normal de la línea. Vamos, que pasados unos meses, la promoción acaba y tienes que seguir pagando una cuota diferente. Si, esa que Jesús Vazquez no dice. Puede ser de 29,95 €, 25,95€ ó 21,95€, dependiendo de la velocidad que contrataste. Pero… ¿dónde especifica cuándo se acaba la promoción? He estado mirando y no lo veo. Ni letra pequeña ni nada, no aparece. ¿Serán tres meses? Posiblemente. He visto en otras ofertas que es hasta diciembre. De todas maneras, eso son 6 meses de pagar poco. Así que te ponen el caramelo en la boca de los 7,95 y luego tienes que amoquinar de 20 a 30 euros.

– Sexto. ¿Y qué hay del IVA? Pues nada, hay que saber que todo lo que tenga que ver con línea de ADSL, va sin IVA. así que tienes que sumar unos 5 euros por cada 30 euros contratados aprox.

– Séptimo. Así que tenemos que durante los primeros 6 meses, debes pagar 7,95 + 13,95 = 21,9 + 3,5 IVA aproximado = 25,4 €. Y no olvides que el alta te sale por 43,10 ó 21,55, cosa que aun no me ha quedado clara y depende de si haces el alta online o no.

– Octavo. Pasados los 6 primeros meses, contando que tengas una línea de 20 megas de velocidad, te sale la broma por 29,95 + 13,95 = 43,9 + 6 IVA aproximado = 49,9 €. ¡50 euros!

A ver, 25 euros, 50 euros… ¿dónde están los 7,95 € que dicen en la publicidad? Lo dicho, legalmente no será estafa, pero el estado debería hacer algo para obligar a no ir con tanta letra pequeña y decir las cosas bien claritas. La publicidad desleal debería estar penada. Así tendrían más cuidado con lo que dicen o dejan de decir ¿no?

Información completa en:  blogodisea

______________________

Enlaces relacionados:

–  Actualidad informática:  Jazztel

–  Apuntes Informática Aplicada a la Gestión Pública (GAP, UMU). Capitulo 8 Internet

En la Universidad de Cambridge logran saltarse la protección de las tarjetas con PIN

Han constatado la vulnerabilidad del proceso de verificación del código PIN en las tarjetas con un «chip» de identificación, habitual en las nuevas tarjetas de débito y crédito.

Se ha logrado usando una tarjeta robada y un controlador que se encargará de enviar el mensaje «PIN correcto» al lector de tarjetas.

El proceso se muestra en el siguiente vídeo

Fuente: BBC (en inglés)
______________________

Enlaces relacionados:

–  Métodos utilizados en el robo de datos de tarjetas bancarias

–  Los ladrones utilizan las tarjetas de crédito robadas para donar dinero

–  Nuevo fraude con tarjetas de crédito

–  Suplantar una identidad cuesta 10 dólares

Microsoft ganó 1505 millones de dólares con el “Vista Capable”

La presunta publicidad engañosa del ”preparado para Vista”, reportó a Microsoft 1505 millones de dólares, según un experto que ha testificado en el juicio que se celebra en Seattle.

A petición de los demandantes, es la primera vez que se pone una cifra encima de la mesa por los ingresos que Microsoft percibió por las licencias de los sistemas operativos vendidos con el “etiquetado para Vista”.

Ya conocéis sobradamente las acusaciones y el caso: Microsoft, ante el retraso de Windows Vista, creó una demanda artificial de ordenadores en la campaña navideña de 2006, catalogando como “Vista Capable” máquinas que con el XP preinstalado a duras penas pudieron actualizarse posteriormente a la versión más modesta de Vista “Home Basic”.

Uno de los motivos, según confirman los correos electrónicos revelados en la vista, fue satisfacer las exigencias de Intel, para que el gigante del chip vendiera entre otros productos placas base con el chip gráfico 915 integrado, a todas luces insuficiente para ejecutar las capacidades de Vista.

Ahora ya hay cifra concreta, que los demandantes utilizarán seguramente para solicitar las correspondientes indemnizaciones.

Fuente: TheInquirer


quinielas

Clickjacking a fondo y con ejemplos

Y es que en seguridad informática, todos los días suceden cosas graves, pero algunas, saltan a los medios populares, se convierten en “noticia” y perciben cierto protagonismo, como si otros problemas de seguridad, no fuesen igual de recientes y graves…pero vaya, esto es como cuando un caso de asesinato salta a la prensa amarillista: lo mismo.

El clickjacking no es un agujero de seguridad en si mismo, es una forma de darle la vuelta a las tecnologías que utilizamos hoy en día, para engañar al usuario y hacerle creer que ciertas cosas, son lo que realmente no son.

Este ataque consiste en cargar una página web externa dentro de un iframe invisible (con opacidad 0, por ejemplo) y poner debajo del iframe invisible (con menor z-index), elementos xhtml para que el usuario haga click, pero que realmente, tienen el iframe invisible encima, y es quien recibirá el click.

Dicho de otra forma, imaginaos un cristal (opacidad 0) con algo debajo, intentamos tocar con el dedo lo que hay debajo, pero tocamos el cristal, esto es lo mismo que sucede cuando ponemos un iframe con opacidad 0 (invisible) encima de ciertos elementos de nuestra web: el usuario irá a hacer click en nuestros elementos, pero hará click dentro del iframe.

Ahora imaginemos que cargamos en el iframe una página de noticias, como meneame, fresqui, o digg, lo volvemos transparente, y debajo metemos un botón que diga: haz click aquí, posicionándolo justo exactamente debajo de donde aparece el botón para votar a la noticia, dentro de la página de noticias.

Cuando el usuario haga click en nuestro botón, que está debajo del iframe transparente, justo donde está el botón para votar de la web de noticias que hay cargada dentro del iframe, hará click en el botón votar de la pagina que hay dentro del iframe.

Creo que lo mejor para acabar de entenderlo es una imagen:

Sin embargo, muchos de vosotros pensaréis: y para que tanta historia, si para simular el click de un usuario, podemos realizar la petición, cargando un iframe con la dirección de destino?…es decir, podemos realizar un ataque CSRF (Cross-site request forgery).

Para entrar bien a fondo en el tema del clickjacking, tenemos que comprender primero los ataques CSRF, ya que el clickjacking es una extensión de los CSRF (a mi modo de verlo :).

Un ataque CSRF consiste en que si en una web, digamos: http://www.example.com, hay una página de noticias, y para votar una noticia, digamos la noticia número 51, se usa un enlace tal como:

http://www.example.com/noticias.php?votar=51

Podríamos crear una página con un iframe invisible apuntando a esa dirección, y cuando el usuario entre a nuestra web, sin saberlo, votará la noticia 51.

Eso es un típico ejemplo de CSRF.

Sin embargo, cuando ese tipo de ataques empezó a popularizarse, muchos sitios web, como meneame, fresqui, etc empezaron a agregar números de control a las peticiones, es decir, para realizar acciones en la web, las peticiones deben incluir un número aleatorio que te dan cuando cargas la página, de esta forma, sin ese número, no puedes hacer una petición como la anterior y votar una noticia, además, el número de control cambia por cada petición que haces.

Con esta técnica, parecía que los CSRF habían muerto, y ahí es donde aparece el clickjacking, podemos crear una web, y utilizar lo explicado arriba, para inducir a un usuario a hacer click en un botón, que realmente tiene encima, de forma invisible, un botón de otra web.

De esta forma, los números de control son enviados por el javascript de la página original, y todo sucede de forma normal.

Cabe decir, después de toda esta explicación, que existen alguna páginas que no son vulnerables a este ataque, como por ejemplo meneame, ya que no permite que cargues la web dentro de un iframe, lo mismo pasa con gmail, entre otras.

Aunque a mi me gusta hacer los experimentos con meneame, contactar con Ricardo antes de publicar nada, para que lo arregle, y entonces hacer el artículo, esta vez no puedo, por que meneame no es vulnerable a clickjacking, así que voy a hacer el experimento con fresqui.

He creado una página que utilizando las técnicas de clickjacking, crea un botón, que de pulsarlo, estarías votando esta noticia de fresqui:

http://tec.fresqui.com/cientificos-descubren-que-el-sol-no-es-una-esfera-perfecta

El ejemplo, lo podéis ver aquí, y solo funciona en firefox (paso de internet explorer :):

http://eyeideas.es/clickjacking.html

Como se puede ver en el código, hay una función javascript:

function initBoton() {
var obj = document.getElementById(”boton”);
var myWidth = 0, myHeight = 0;
if( typeof( window.innerWidth ) == ‘number’ ) {
//Non-IE
myWidth = window.innerWidth;
myHeight = window.innerHeight;
} else if( document.documentElement && ( document.documentElement.clientWidth || document.documentElement.clientHeight ) ) {
//IE 6+ in ’standards compliant mode’
myWidth = document.documentElement.clientWidth;
myHeight = document.documentElement.clientHeight;
} else if( document.body && ( document.body.clientWidth || document.body.clientHeight ) ) {
//IE 4 compatible
myWidth = document.body.clientWidth;
myHeight = document.body.clientHeight;
}
var finalW = myWidth-910;
finalW = finalW/2;
//910-722 = 188 (mas tamaño…238)
finalW = finalW + 248;
obj.style.position=’absolute’;
obj.style.right=finalW+’px’;
obj.style.top=’244px’;
obj.style.display=’block’;
}

Que de forma un poco sucia, posiciona el botón rojo justo debajo del botón para votar la noticia en fresqui.

El iframe es algo así:

<iframe src=”http://tec.fresqui.com/cientificos-descubren-que-el-sol-no-es-una-esfera-perfecta” style=”opacity:0;position:absolute;top:0px;left:0px;width:99%;height:95%;margin:0px;padding:0px;z-index:100;”></iframe>

Como conclusión, decir que el ataque no es tan peligroso como lo pintan, aunque tiene su potencial impacto en la seguridad del usuario.

Por cierto, el ejemplo no se lo bien que irá en otras resoluciones y tal, he intentado hacerlo bastante portable, pero no lo he probado en otro sistema mas que el mio, es una simple prueba de concepto.

Fuente: Desvaríos informáticos

Related Posts with Thumbnails

Calendario

octubre 2024
L M X J V S D
« Nov    
 123456
78910111213
14151617181920
21222324252627
28293031  

Spam

Otros enlaces

  • Enlaces

    Este blog no tiene ninguna relación con ellos, ni los recomienda.


  • Paperblog

    autobus las palmas aeropuerto cetona de frambuesa