Las empresas españolas en el grupo de cabeza europeo en cuanto a seguridad

Eurostat, oficina de estadística de la Unión Europea, publicó recientemente un estudio sobre las medidas de seguridad en empresas europeas y de manera notable tenemos que destacar un meritorio cuarto puesto por parte de España.

Según el estudio las empresas españolas ocupan el cuarto puesto dentro del ranking en el uso de sistemas de seguridad informática. El estudio (PDF) ha tenido en cuenta, por ejemplo, el uso de lo que se conoce como contraseñas fuertes, es decir de muchos caracteres alfanuméricos con símbolos, y dispositivos varios de identificación de usuarios.
El estudio ha tenido en cuenta los datos de 2009 y entonces el 63% de las empresas españolas emplearon en 2009 este tipo de soluciones, por encima de la media europea de un 50%. Los primeros puestos están ocupados por Italia 66%, Irlanda y Eslovenia ambas con un 64%.
Cierran la lista Eslovaquia 20%-, Hungría 24% y Rumanía 29%.
 
Fuente: Muy Seguridad

www.segu-info.com.ar

Usando la última vulnerabilidad de Internet Explorer con Metasploit

Como ya se sabe se encuentra in-the-wild un exploit para una vulnerabilidad 0-day para todas las versiones de Internet Explorer. A continuación detallo la utilización de este exploit al utilizarlo con Metasploit, quien ya ha publicado el código desde hace algunos días.

Lo primero que debe hacerse es actualizar la herramienta con msfupdate y se verá que se descarga el código del exploit mencionado: exploit/windows/browser/ms11_xxx_ie_css_import.rb (MS11-XXX indica que la actualización saldrá en algún momento del 2011).
A partir de ahora ya lo podremos utilizar con el comando use y también se deberá seleccionar el payload preferido, como puede ser alguna shell o meterpreter:

Luego se configuran los parámetros obligatorios del exploit y del payload seleccionado. En este caso la dirección del servidor y el localhost, que se corresponden con la IP de nuestro equipo atacante:

Se ejecuta el exploit normalmente y Metasploit nos entrega la URL a la cual la víctima deberá ingresar:

Si se utiliza alguna técnica de ingeniería social para convencerlo, la víctima terminará ingresando a la URL mencionada, explotando la vulnerabilidad, ocasionando una denegación de servicio en el explorador e inyectando un proceso en el mismo. En este caso, para la prueba se utilizó Internet Explorer 8.0:

Nota: al intentar este procedimiento sobre Internet Explorer 6.0 que también es vulnerable, sólo he logrado el cuelgue del navegador pero la inyección del proceso no se lleva a cabo. Por supuesto, si se realiza sobre un navegador distinto de Internet Explorer, no se obtiene ningún resultado.

Cuando el usuario abre la URL en su navegador, desde Metasploit podremos seguir dicho comportamiento y ver la inyección del proceso (llamado notepad.exe) en Internet Explorer:

A partir de ese momento ya se tiene activa la sesión en el equipo víctima, con los mismos permisos que el usuario afectado y por eso la permanente necesidad de utilizar el sistema con permisos restringidos, sobre todo si se trata de un entorno corporativo.

Si se observa los programas activos, efectivamente se ve el Internet Explorer con el proceso inyectado (en este caso notepad.exe con ID 4428):

Y a partir de este momento se puede utilizar la sesión establecida en el equipo víctima, por ejemplo para realizar un listado de archivos:

Hay que tener en cuenta que la mayoría de los antivirus ya detectan el exploit utilizado por Metasploit (el original) por lo que si el cliente ingresa a la URL con el antivirus habilitado es posible que se percate del ataque.

Más allá de ese detalle, Metasploit nos facilita mucho el trabajo de explotar una vulnerabilidad cualquiera y permite acceder a equipos que no han sido actualizados y, peor aún en este caso, cuando la actualización ni siquiera existe aún.

Cristian de la Redacción de Segu-Info

www.segu-info.com.ar

Pruebas de intrusión sobre aplicaciones

Las aplicaciones son hoy en día uno de los activos principales de cualquier empresa. Tanto si dan servicio a usuarios finales (por ejemplo aplicaciones de ebanking o ecommerce) como si se trata de aplicaciones corporativas (una intranet), las aplicaciones manejan información cuya confidencialidad, disponibilidad e integridad es fundamental para las empresas.

Las Auditorías de Seguridad sobre Aplicaciones se han vuelto imprescindibles para evaluar la seguridad de los desarrollos (propios o realizados por terceros). Estas auditorías o evaluaciones deben realizarse periódicamente y tendiendo en cuenta tanto la parte interna (accesos desde la red corporativa) como la parte externa (accesos con origen Internet) de los aplicativos.

Uno de las metodologías con más reconocimiento internacional a la hora de realizar auditorías de seguridad sobre aplicaciones es la OWASP Testing Guide que alcanza ya su tercera versión. La OWASP (Open Web Application Security Project) lanzó este proyecto con el objetivo de crear un marco que incluyera las mejores prácticas en el desarrollo de tests de intrusión en aplicaciones. La ultima versión (v3) de la Testing Guide fue publicada en Diciembre de 2008 y esta previsto que se la v4 de la guía se publicada en Enero de 2011.

A lo largo de más de 300 páginas, la OWASP Testing Guide hace un repaso de las principales técnicas de auditoría de seguridad en aplicaciones relacionando estas técnicas con las amenazas que sufren hoy en día de aplicativos. A grandes rasgos las pruebas de intrusión sobre aplicaciones desarrolladas en la OWASP Testing Guide son las siguientes:
1.- Recopilación de información
Esta primera fase de la Auditoria de Seguridad consiste en recopilar toda la información que se pueda sobre la aplicación cuya seguridad está siendo auditada.
Los tipos de análisis a realizar en este punto son los siguientes:

• Spiders, robots y crawlers:
• Reconocimiento mediante motores de búsqueda.
• Identificación de puntos de entrada de la aplicación.
• Pruebas de firmas de aplicaciones Web.
• Descubrimiento de aplicaciones.
• Análisis de código de error.

2.- Pruebas de gestión de configuración de la infraestructura
En esta etapa se realiza un análisis de la infraestructura tecnológica sobre la que se encuentra desplegada la Aplicación que se desea auditar.
Las pruebas a realizar en esta segunda etapa son las siguientes:

• Pruebas de SSL/TLS.
• Pruebas del receptor de escucha de la Base de Datos.
• Pruebas de gestión de configuración de la infraestructura.
• Pruebas de gestión de configuración de la aplicación.
• Gestión de extensiones de archivos.
• Archivos antiguos, copias de seguridad y sin referencias.
• Interfaces de administración de la infraestructura y de la aplicación.
• Métodos HTTP y XST.

3.- Comprobación del sistema de Autenticación
Comprobar el sistema de autenticación significa comprender como funciona el proceso de autenticación y usar esa información para eludir el mecanismo de autenticación.
Las pruebas que se realizan para evaluar el sistema de Autenticación son las siguientes

• Transmisión de credenciales a través de un canal cifrado.
• Enumeración de usuarios.
• Pruebas de fuerza bruta.
• Saltarse el sistema de Autenticación.
• Comprobar Sistemas de recordatorio/restauración de contraseñas vulnerables.
• Pruebas de gestión del Caché de Navegación y de salida de sesión.
• Pruebas de CAPTCHA.
• Múltiples factores de autenticación.
• Análisis de condiciones de carrera.

4.- Pruebas de gestión de sesión
Ataques a la gestión de sesiones de una aplicación pueden ser utilizados para obtener acceso a cuentas de usuario sin necesidad de proporcionar credenciales correctos.
Para validar una correcta gestión de sesiones, la OWASP Testing Guide propone las siguientes verificaciones:

• Pruebas para el esquema de gestión de sesiones.
• Pruebas para atributos de cookies.
• Pruebas para fijación de sesión.
• Pruebas para variables de sesión expuestas.
• Pruebas para CSRF

5.- Pruebas de Autorización
La Autorización es un proceso posterior a la Autenticación por lo tanto el auditor necesitará de credenciales para realizar las pruebas correspondientes a este módulo.
Se comprobará si es posible evadir la autorización de la aplicación, si existe una vulnerabilidad en el traspaso de rutas o si es posible realizar un escalado de privilegios.
Las pruebas a realizar para evaluar la seguridad del sistema de Autorización son las siguientes:

• Pruebas de path transversal.
• Pruebas para saltarse el esquema de autenticación.
• Pruebas de escalado de privilegios.

6.- Comprobación de la lógica del negocio
La principal técnica para detectar errores en la lógica de la aplicación es «pensar de forma no convencional»; por ejemplo, intentar saltarse uno de los 3 pasos del proceso de registro de una aplicación.
Las vulnerabilidades de este tipo pueden ser de las más graves de la aplicación y encontrarlas se basa únicamente en la habilidad y creatividad del auditor.

7.- Pruebas de validación de datos
La vulnerabilidad más común en las aplicaciones es la falta de validación de los parámetros introducidos por los usuarios. Esta vulnerabilidad provoca que usuarios malintencionados inyectan comandos o sentencias en vez de simples datos, con el peligro que esto conlleva para la normal ejecución de la aplicación.
Las pruebas de evaluación a realizar durante la comprobación de validación de datos en la aplicación auditada son las siguientes:

• Pruebas de cross site scripting.
• Inyección SQL.
• Inyección LDAP.
• Inyección ORM.
• Inyección XML.
• Inyección SSI.
• Inyección XPATH.
• Inyección IMAP/SMTP.
• Inyección de código.
• Inyección de comandos de sistema operativo.
• Pruebas de desbordamiento de buffer.
• Pruebas de vulnerabilidad incubada.
• * Pruebas de HTTP Splitting/Smuggling

8.- Pruebas de denegación de servicio
El objetivo fundamental de un ataque de denegación de servicio es lograr que la aplicación objeto del ataque se vea desbordada (ya sean sus funciones de red, su memoria, su espacio de disco, etc.) hasta conseguir que deje de funcionar adecuadamente.
Las pruebas de DoS que se tratan en la OWASP Testing Guide son las siguientes:

• Denegación de servicio mediante ataques SQL Wildcard.
• Bloqueando cuentas de usuarios.
• Desbordamiento de búfer.
• Reserva de Objetos Especificada por Usuarios.
• Pruebas de Escritura de Entradas Suministradas por Usuario a Disco.
• Fallar en la liberación de recursos.
• Pruebas de Almacenamiento Excesivo en la Sesión.

9.- Comprobación de servicios Web
Los servicios web suelen utilizar el protocolo HTTP junto con tecnologías como XLM, SOAP, WSDL y UDDI; por lo que las pruebas de seguridad sobre servicios web deben centrarse en las búsqueda e identificación de las vulnerabilidades en dichas tecnologías.
Las pruebas a realizar en esta fase de la auditoría son las siguientes:

• Obtención de información en Servicios Web.
• Pruebas de WSDL.
• Pruebas estructurales de XML.
• Comprobación de XML a nivel de contenido.
• Comprobación de parámetros HTTP GET/REST.
• Adjuntos SOAP maliciosos.
• Pruebas de repetición.

10.- Pruebas de AJAX
Las aplicaciones basadas en tecnologías AJAX han tenido una rápida expansión debido a la gran interactividad y facilidad de uso que proporcionan. Sin embargo, al aumentar la superficie de ataque y al procesar instrucciones tanto en el lado cliente como en el lado servidor, las vulnerabilidades de seguridad de las aplicaciones AJAX son tantas o incluso más que las de las aplicaciones desarrollados con otras tecnologías.

La OWASP Testing Guide v3.0 describe los siguientes temas:

• Vulnerabilidades AJAX.
• Como probar AJAX.

Fuente: Boletín Noviembre ISECAuditors

www.segu-info.com.ar

Glosario sobre Informática Forense

El Profesor Ing. Luis Enrique Arellano Gonzalez, desarrolló este glosario aplicado a los conceptos y principios de la informática forense. Las diferentes partes del artículo intitulado «Glosario sobre Informática Forense» dará a conocer desde principios básicos a definiciones necesarias para aquellos que están mejorando su carrera profesional en estas disciplinas.

Criminalística

La disciplina auxiliar del Derecho Penal que aplica los conocimientos, métodos y técnicas de investigación de las ciencias naturales en el examen del material sensible significativo relacionado con un presunto hecho delictivo, con el fin de determinar su existencia, o bien reconstruirlo, para señalar y precisar la intervención de uno o varios sujetos, llegando así a la verdad histórica del hecho. Su objeto de estudio es la prueba indiciaria.

• Leer primera parte en CXO
• Segunda parte
• Tercera parte
• Cuarta parte
• Quinta parte

www.segu-info.com.ar

Phishing a Nextel que descarga troyano

En el día de hoy nos han reportado un caso de phishing a Nextel en portugués y que finaliza con la descarga de un malware, un troyano bancario que roba usuarios y contraseñas.

El texto del correo phishing es el siguiente:

Contrato N °89734975
________________________________________
Segue a segunda via do boleto referente ao mês de Dezembro.
http://www.nextel.com.br/IDNET/intranet/painel/arearestrita.asp?login=BOLETO29122010DEZEMBROVIA2
________________________________________
Atenciosamente,
Renan Vasconcelos Pierine
Dpto Financeiro – NEXTEL
http://www.nextel.com.br
7843-1245 – ID:13*10997
renan.vas@nextel.com.br

El correo se ve así:

Por supuesto que el enlace mostrado en el correo no es al que conduce realmente sino que el sitio falso se encuentra alojado en: http://%5BELIMINADO%5D1.177.2/boleto.html?id=http://www.nextel.com.br/IDNET/intranet/painel/arearestrita.asp?login=BOLETO29122010DEZEMBROVIA2
En donde claramente se puede ver que corresponde a una dirección IP y el sitio luce así:

Además ese sitio ha sido abusado por un grupo de atacantes de Albania como se puede ver en index.html:

No está a nuestro alcance determinar si hay relación entre los defacers del sitio y los delincuentes que pusieron la página de phishing y el troyano, pero tratándose de un servidor con fallas de seguridad nada impide que muchos grupos distintos abusen así de servidores en estas condiciones, con fallas de seguridad.

Desde Segu-Info ya hemos reportado el caso a Phishtank y Google SafeBrowsing para que procedan a su bloqueo. Por otro lado el archivo dañino nextel-boleto.exe es detectado por 17/43 antivirus en VirusTotal.

Raúl de la Redacción de Segu-Info

www.segu-info.com.ar

¿Dónde está nuestra información de estado?

Es difícil verificar la veracidad de esta información publicada en la revista Rolling Stone número 153, página 48, pero suponiendo que esta afirmación sea cierta…

Después nos quejamos cuando nos roban la identidad. ¿Quién dice que el ministro no utiliza esa costumbre de twittear en equipos públicos para enviar correos con información sensible del estado?
Seguramente sólo él pueda responder a esa pregunta o quizás algún día saldrá a decir que alguien le «hackeo» su Twitter o sus correos, cosa que ya ha pasado anteriormente con otras personalidades públicas.

En fin, tomen mis palabras como de quien viene: un paranoico.

Cristian de la Redacción de Segu-Info

www.segu-info.com.ar

Recomendaciones contra la última vulnerabilidad en Internet Explorer

Metasploit ha creado y hecho público un exploit que permite aprovechar una de las vulnerabilidades que Internet Explorer sufre en estos días y no ha corregido aún. En realidad ya existía un exploit público para este fallo, solo que ahora Microsoft lo ha reconocido. Ofrecemos algunas recomendaciones para mitigar el problema hasta que exista parche.

El día 8 de diciembre se hacía público un fallo en el procesamiento de Cascading Style Sheets (CSS) que permitía provocar una denegación de servicio (que Internet Explorer dejase de responder) de forma sencilla con sólo visitar una web. En principio, las denegaciones de servicio en navegadores no son del todo graves, sino más bien una incomodidad para el usuario. Además, son fáciles de provocar con JavaScript.

El problema con ciertas denegaciones de servicio es que a veces pueden ir más allá, y acabar en ejecución de código (no es la primera vez que ocurre). El hecho de que una aplicación deje de responder puede ser el indicio de que existe alguna forma de controlar el flujo de instrucciones. Si es así, el problema es muy grave. Y esto precisamente es lo que ocurrió el día 14. Algunos investigadores descubrieron cómo ir más allá y ejecutar código arbitrario en lo que parecía una simple denegación de servicio. Afectaba a Internet Explorer 6, 7 y 8.

Muy poco después, Nephi Johnson de breakingpointsystems.com, publicaba el código necesario para aprovechar la vulnerabilidad. El día 23 de diciembre el fallo se añade al popular Metasploit. La diferencia con respecto al anterior, es que ahora el exploit podía eludir DEP y ASLR en Vista y 7. Esto es relativamente sencillo últimamente, debido a la carga dinámica en Internet Explorer de librerías que no están marcadas para utilizar ASLR (en este caso mscorie.dll) y el uso de RoP (return oriented programming).

Ese mismo día Microsoft reconoce el fallo y comienza a trabajar en él para solucionarlo. No se tiene constancia de que esté siendo aprovechado por atacantes aún para instalar malware (aunque sin duda es lo más probable).

Damos algunas sugerencias para mitigar el fallo. En realidad, los consejos son válidos para intentar mitigar cualquier vulnerabilidad:Utilizar las zonas de seguridad de Internet Explorer. Si se eleva a «alta» el nivel de seguridad de la zona de Internet del navegador, se evitarían muchísimos de los ataques actuales. Esta posibilidad está disponible en las opciones del navegador. Si se tienen problemas para visualizar páginas legítimas, basta con añadirlas a la lista de confianza.

• Utilizar Enhanced Mitigation Experience Toolkit (EMET) de Microsoft. Esta herramienta permite que todas las DLL cargadas por un programa sean obligadas a usar ASLR. Esto quiere decir que serán colocadas en lugares aleatorios de la memoria y el exploit que intente apoyarse en ellas para funcionar, no lo hará.
• Ahora que están de moda las sandbox desde que Adobe la implementa en su lector, cabe recordar que existen programas que permiten «encapsular» en una sandbox otras aplicaciones. En concreto, por ejemplo sandboxie (gratuito) permite ejecutar el navegador dentro de un entorno virtual. Cualquier ataque no pasaría al entorno «real» del sistema.
• Existen aplicaciones como WehnTrus (gratuita) que permiten implementar ASLR en los sistemas operativos de Microsoft que no lo soportan, como Windows XP y 2003.

Fuente: Hispasec

www.segu-info.com.ar

Tool: NetworkScanViewer

NetworkScanViewer es una GUI aplicación diseñada para ayudar a ver los datos de scans de nessus (v4) y nmap (v5)s. Combina la funcionalidad de NessusViewer y NmapViewer.

 La aplicación carga el análisis de datos de nessus y XML nmap, hace algunas limpieza de datos y a continuación muestra los resultados en una lista, esta se puede reordenar, por lo que es fácil localizar la información en particular. También existe la posibilidad de filtrar la información como host, puerto, servicio, etc. También es posible excluir permanentemente secuencias de comandos que sólo generan ruido .

Características

• Data cleansing
• Export to CSV and XML
• Sortable data columns
• Data Filtering
• Script excluding

Requirimientos: Microsoft .NET Framework v4.0

Fuente: Cryptex

www.segu-info.com.ar

Skype lucha por recuperar su servicio y su reputación

4:18 p.m. | Actualización Skype dijo que ha estabilizado su servicio después de dos días de corte y dio detalles del reembolso a los usuarios. Los usuarios de Pay As You Go y Pre-Pay recibirán un voucher de crédito por e-mail que les dará aproximadamente unos 30 minutes de llamada gratis a cualquier parte del mundo, dijo la compañía. Mientras tanto, los suscriptores tendrán un crédito en los próximos días por una semana extra de servicio.

La causa del gran corte de Skype el pasado miércoles, el cual bloqueo a millones de usuarios de poder realizar llamadas telefónicas por Internet, aun no está clara, según Tony Bates, ejecutivo en jefe de Skype.

«Aún estamos escarbando para saber cual fue la causa inicial,» dijo Bates en una entrevista en la tarde del jueves. Se cual haya sido el problema, sin embargo, impidió que un gran número de usuarios de Windows pudieran realizar llamadas, generando ira a lo ancho del mundo y opacando la imagen de Skype como una compañía de telecomunicaciones importante de la era digital.

El colapso de Skype comenzó el miércoles por la mañana. Aunque la compañía aseguró a los usuario que el servicio sería recuperado en pocas horas, los problemas continuaron durante el jueves. «Tomó un poco más de lo que el equipo estimó inicialmente,» dijo Bates. Por la tarde del jueves, Bates dijo que Skype tenía de 17,6 millones a 20 millones de usuarios simultáneamente en linea, o cerca del 90 al 95 por ciento de lo normal. Algunos usuarios aun pueden estar teniendo problemas al realizar llamadas, reconoció, pero dijo que, es debido a que la compañía está tratando de recuperar el servicio de una forma controlada.

Los problemas de Skype están con los llamados “supernodos,” computadoras de su red de 124 millones de usuarios que sirven como directorios telefónicos y ayudan a conectar las llamadas. Por razones desconocidas, quedaron fuera de linea, dejando a las red en un caos. El Sr. Bates declinó en revelar cuantos supernodos existen. A los usuarios de Skype no se les informa cuando están alojando un supernodo. Así que dado los problemas con los supernodos, ¿está pensando Skype repensando su dependencia en ellos? Bates dijo que estos eran fundamentales en como opera Skype. De cualquier manera, los técnicos de Skype están creando nuevos nodos en servidores internos desplazando el espacio de servidor dedicado normalmente a la mensajería instantánea de Skype y las video conferencias de grupo. Como resultado, esos servicios puede que no se recuperen normalmente por algunos días.

El negocio de Skype, que depende de los usuarios que pagan por hacer llamadas a teléfonos fijos o celulares, recibirá el impacto porque queda cuestionada su confiabilidad. Bates, que ingresó a la compañía el mes pasado, está intentando hallar otras fuentes de ganancias tales como servicios corporativos y teléfonos móviles. Los clientes corporativos, incluso más que los consumidores, necesitan un sistema de telefonía que funcione siempre.

«Es difícil evaluar cual será el impacto,» agregó. Más tarde el jueves, dijo que Skype anunciaría detalles de un plan para compensar a los clientes pagos por la pérdida del servicio.

En agosto, Skype se presentó para una oferta pública inicial, la cual probablemente suceda el próximo año. Bates rehusó dar algún detalle del ofrecimiento propuesto. Sin embargo, la interrupción no deberá tener impacto material sobre las finanzas de la compañía, dijo.

Traducción: Raúl Batista – Segu.Info
Autor: Verne G. Kopytoff
Fuente: Bits – New York Times

www.segu-info.com.ar

El correo electrónico le deja su lugar a las redes sociales y al chat

Por Matt Richtel

Señales de que usted es anticuado. Todavía mira películas con el VCR, escucha discos de vinilo y toma retratos con una cámara que utiliza rollo de fotos.

Y disfruta usando el correo electrónico.

El avance del chat y los mensajes de texto entre los usuarios de Internet más jóvenes ha estado en ascenso desde hace años, pero ahora amenaza con eclipsar el correo electrónico, del mismo modo que este servicio ha superado a las llamadas telefónicas.

Compañías como Facebook están respondiendo con servicios de mensajería enfocados en la comunicación inmediata. El problema con el correo electrónico, dicen los jóvenes, es que involucra un proceso aburrido y prolongado de entrar en una cuenta, tipear una línea de tema y luego enviar el mensaje que podría no ser recibido o contestado en horas, sumado a los saludos formales o reglas de cortesía.

Lena Jenny, de 17 años, del último año de secundaria en Cupertino, California, dijo que enviar mensajes de texto -«texting» como se le dice en inglés- es tan rápido que «a veces tengo una respuesta antes de siquiera cerrar mi teléfono». El correo electrónico, agregó, le resulta demasiado aburrido.

En este contexto, Facebook está tratando de atraer a las Lena de este mundo. Está presentando un nuevo servicio de mensajería modernizado , que buscan que se parezca menos al correo electrónico y más al «texting».

La compañía decidió eliminar la línea de tema de los mensajes dado que sus investigaciones mostraron que lo más común es que se lo deje en blanco o que sea usado para un nada informativo «hola» o «yo».

Facebook también eliminó el campo «cc» (con copia) y el «bcc» (y con copia a otros). Y apretar la tecla de retorno puede enviar inmediatamente el mensaje, como en los mensajes de celular, en vez de crear un nuevo párrafo. Los cambios, dicen los ejecutivos de la compañía, dejan de lado formalidades que llevan tiempo y separan a los usuarios de lo que desean: conversación instantánea.

«El futuro de los mensajes es más en tiempo real, más dialogado y más informal», dijo Andrew Bosworth, director de ingeniería de Facebook, donde supervisa las herramientas de comunicaciones. «El medio no es el mensaje. El mensaje es el mensaje».

Las cifras dan testimonio de esta tendencia. El número total de visitantes individuales en Estados Unidos a sitios importantes de correo electrónico como Yahoo! Mail y Windows Live Hotmail viene cayendo sistemáticamente, según la compañía de investigaciones comScore. Tales visitas llegaron a su pico en noviembre de 2009 y desde entonces se deslizaron 6 por ciento; las visitas de chicos de entre 12 y 17 años cayeron alrededor del 18 por ciento. El único sitio que ha tenido un crecimiento importante en esa categoría ha sido Gmail, con un 10 por ciento de aumento desde el año pasado.

La baja del correo electrónico no refleja una caída en la comunicación digital, la gente simplemente gravitó hacia la mensajería instantánea, el texting y Facebook, que registra unos cuatro mil millones de mensajes diarios.

James Katz, el director del Centro de Estudios de Comunicaciones Móviles en la Rutgers University, dijo que no es la muerte del correo electrónico sino más bien una baja de calificación, gracias a que hay más opciones y matices diferentes entre herramientas de comunicación.

«Para ellos es molesto», dijo respecto de la relación de la generación más joven con el correo electrónico. «No se adecúa a su intensidad social», agregó el especialista.

Algunos, de forma predecible, rechazan la informalidad y las abreviaciones. Judith Kallos, que escribe un blog y libros acerca de la etiqueta en el correo electrónico, se queja de que cuanto más laxa, breve y menos gramatical es la escritura, menos profundos son los pensamientos y emociones que transmite.

«Vamos por un camino en el que perdemos nuestra capacidad de comunicación con la palabra escrita», dijo Kallos.

Mary Bird, de 65 años, de San Leandro, California, es otra tradicionalista, aunque renuente. «No quiero ser uno de esos mayores que castigan a los jóvenes por su forma de comunicación», dijo. «Pero se está perdiendo el arte del lenguaje, la belleza del lenguaje».

La hija de la señora Bird, Katie Bird Hunter, de 26 años, está del otro lado de la divisoria de las comunicaciones digitales y cree que sus padres han perdido contacto con la realidad.

«Aún usan AOL», dice, implicando con su tono que eso le resulta algo grosero.

Hunter dice que trata de comunicarse con sus amigos primero con texto, luego con mensajes instantáneos, luego con una llamada telefónica y luego con correo electrónico. «Y entonces, aunque probablemente no haría esto último, aparecerme por sus casas».

Al igual que mucha gente más joven, Hunter, que trabaja en la administración de una constructora en San Francisco, dice que el correo electrónico tiene su lugar, a saber en el trabajo y otros asuntos serios, como las compras online. Ella y otros dicen que siguen chequeando regularmente su correo electrónico, en parte porque sus padres, sus docentes y sus jefes lo usan.

David McDosell, director ejecutivo de manejo de productos para Yahoo! Mail, reconoció que la compañía está viendo un desplazamiento hacia otras herramientas, pero dijo que esto es menos un fenómeno generacional que situacional. Los quinceañeros, por ejemplo, tienen pocos motivos para enviar adosados documentos privados a un jefe o una institución financiera. Yahoo! ha agregado servicios como el de chat y mensajes de texto a su servicio de correo electrónico, para reflejar los cambios de hábitos, al igual que Gmail, que también ofrece llamadas telefónicas.

«El correo ahora es solo parte de Gmail», dijo Mike Nelson, un vocero de Google. «Es videoconferencia, texting, es MI, son llamadas telefónicas».

Katz, el profesor de Rutgers, dijo que el texting y las redes sociales se aproximan mejor a como se comunica la gente en persona, con frases breves donde las formalidades no importan. Con el tiempo, dijo, el correo electrónico seguirá cediendo terreno a formatos más rápidos, incluso entre la gente mayor.

Las tendencias cambiantes incluso han hecho sentir vieja y un poco fuera de contacto con la realidad a gente de poco más de veinte años, o al menos sienten que quedaron a mitad de camino.

Adam Horowitz, de 23 años, que trabaja como consultor de tecnología para una firma contable de New York, pasa todo el día comunicándose por correo electrónico en su oficina. Cuando se va, toma su teléfono y se comunica con amigos casi totalmente vía textos. Pero a veces se siente atrapado entre los dos recursos, como cuando intercambia textos con sus hermanos menores, de 12 y 19 años, que tienden a enviar mensajes aún más cortos y rápidos.

«Cuando me envían textos, son en un inglés entrecortado. No tengo idea de qué están diciendo», dijo Horowitz. «Puede ser que no complete mis frases, pero al menos uso puntuación para que se me entienda».

«Supongo que soy de la vieja escuela».

© NYT Traducción de Gabriel Zadunaisky

Fuente: LaNacion

www.segu-info.com.ar