6 claves de la nueva política de privacidad de Google
(2.02.2012)
El buscador ha anunciado que, a partir del 1 de marzo, unificará
los términos de uso de 60 servicios y combinará los datos de los
usuarios para ofrecer una experiencia «a medida». Si el usuario decide
seguir utilizando Google tendrá que acatar sus nuevas normas, pero
¿sabemos cómo nos afectan? En esta
ocasión estamos viviendo una nueva vuelta de tuerca a las políticas de
privacidad y condiciones de uso, dos elementos que van inexorablemente
unidos en este caso al provocar una auténtica revolución en la cesión de
datos. Por ello, Google ha notificado a todos sus usuarios registrados
información sobre los cambios (si aún nos has recibido su bendito
e-mail, en breve aterrizará en alguna de tus bandejas).
En
definitiva, Google ha decidido suprimir las 60 variantes que existían de
su política de privacidad para generar unas condiciones únicas
aplicables a todos los que utilicen Google a partir del próximo 1 de
marzo. Es decir, el usuario está dando su conformidad por el mero hecho
de seguir utilizando los servicios de Google, aunque a partir de su
entrada en vigor deberá aceptarlas expresamente o bien cerrar sus
cuentas (en cuyo caso, los datos almacenados se volatilizan entre 9 y 18
meses después).
1.¿CuáleslaprimeraconsecuenciadeloscambiosenGoogle? 2.¿Aquiénesafectanloscambios? 3.¿QuédatoscederéaGoogle? 4. ¿Qué datos recopila el buscador de motu propio a partir de marzo? 5.¿CómoprotegeGooglemisdatos? 6. Contenidoscompartidos
La UE asegura que no bloqueará internet para proteger los derechos de autor
(23.1.2012)
La comisaria europea de Justicia, Viviane Reding, ha afirmado que la Unión Europea no contempla el bloqueo de internet como
una opción para proteger los derechos de autor, después del cierre de
la pagina web de almacenamiento y descarga de archivos Megaupload esta semana.
"Para Europa, el bloqueo de internet no es una opción",
declaró Reding en un discurso pronunciado durante una conferencia sobre
protección de datos en internet celebrado en Munich y difundido también
en Bruselas.
"La protección de los derechos de autor no puede ser utilizada como pretexto frente a la libertad en internet", añadió.
La comisaria evitó referirse expresamente al proyecto de ley estadounidense que pretende atajar la piratería en internet, conocido como SOPA - "Stop Online Piracy Act-",
que motivó esta semana un "apagón" de varias páginas web en señal de
protesta por su supuesta intención "censora", sobre el que la UE ya ha
manifestado sus críticas.
Sí declaró, no obstante, que "la libertad de expresión e
información son derechos fundamentales de los ciudadanos europeos
directamente vinculados con un internet libre".
El Ejecutivo comunitario tiene previsto presentar este miércoles su reforma de las reglas comunitarias de protección de datos para hacer el mercado digital más accesible, transparente y competitivo, según adelantó la comisaria.
"Usar WhatsApp es como enviar secretos con postales"
(17.1.2012)
Es la aplicación de moda. WhatsApp envía y recibe más de 11.500 mesnajes cada segundo a todo tipo de teléfonos inteligentes, ya sean iPhone, Android, Nokia o BlackBerry. Y lo hace totalmente gratis, lo que ha puesto al SMS entre la espada y la pared. Con su retirada de la tienda de aplicaciones de Apple, cobran fuerza las dudas sobre la seguridad en las comunicaciones de un programa instalado en millones de terminales.
"WhatsApp ha sido un poco desastre", afirma el coordinador de Antifraude de Hispasec,
Sergio de los Santos, que recuerda que la aplicación nació con "fallos
de principio" que ha tenido que ir corrigiendo en sucesivas versiones.
Por ejemplo, la falta de encriptación de los mensajes permite acceder al contenido de los mismos -números de teléfono y
conversaciones- a cualquier persona conectada a la misma red mediante un
programa conocido como sniffer. Es "hipersencillo", asegura De los Santos.
El segundo "agujero" es la autenticación, la confirmación de que todas las partes de la comunicación son quienes dicen ser. El pobre método escogido por la aplicación permite, según explica Sergio de los Santos, "secuestrar el número de teléfono" y enviar mensajes haciéndose pasar por otro usuario. Esta vulnerabilidad implica "graves problemas de robo de identidad", advierte David Barroso, experto en seguridad de Telefónica.
Teniendo en cuenta el histórico de fallos, De los Santos augura que la retirada de la aplicación se debe a un motivo fundado. "Esto tiene que ser grave", dice.
Las malas prácticas en las contraseñas empresariales
(11.1.2012)
Imperva ha llevado a cabo una
investigación sobre las diferentes técnicas que usan los hackers para
robar contraseñas, que es una continuación del estudio que realizó en
2009 sobre las malas prácticas en las contraseñas de usuario. Esta
segunda edición de las malas prácticas en las contraseñas empresariales analiza en detalle cómo las
empresas deben implementar sistemas de seguridad más robustos para
mitigar las cada vez más sofisticadas técnicas de los hackers para
hacerse con contraseñas. Así, recomienda seguir una serie de pasos para mitigar cualquier violación y robo de contraseñas:
• El uso de “passphrases” o “frases de paso”
• Exigir a las empresas políticas más firmes en lo referente a contraseñas
• Utilizar una forma especial de encriptación conocida como “salted digests” o “resumen aleatorio”
Fuente y ampliación de la noticia en http://www.computing.es/ ________________________________________________________________
ESET: Informe anual de Seguridad 2011
(4.1.2012)
El especialista en seguridad acaba de
publicar las conclusiones de su informe anual, un documento que analiza
todo el año 2011 desde la perspectiva de la seguridad, y que ha
concluido que las redes sociales y los dispositivos móviles han sido el
primer objetivo de los ciberdelincuentes durante el año pasado. También muestra una perspectiva de lo que
previsiblemente acontecerá en 2012.
Por otro lado, ESET ha elaborado un ranking con la distribución de amenazas más habituales,
entre los que figuran los ya conocidos Autorun, amenaza diseñada para
distribuirse a través de dispositivos USB; Conficker, uno de los
“sospechosos habituales” de los últimos años que se soluciona fácilmente
aplicando un parche de Microsoft; o PSW.OnLineGames.
Fuente y ampliación de la noticia en http://www.computing.es/ ________________________________________________________________
Los expertos prevén un 2012 lleno de ataques a móviles y a servicios sociales
(30.12.2011)
El 2012 continuará con la tendencia de ataques a plataformas móviles y otros de ingeniería social.
Se espera que sistemas como Android reciban nuevos y más sofisticados
ataques. En las previsiones también se contempla un aumento de los
ataques avanzados que durante 2011 han tenido como máximos exponentes a
Stuxnet y Duqu.
El portal Infosecurity ha entrevistado a 20 compañías de seguridad para
conocer qué ataques informáticos pueden marcar la tendencia en 2012.
Estas compañías, especializadas en 2011, han seguido la tendencia de
ataques en 2011 y tienen conocimientos de las tendencias de los
cibercriminales. Parte de su trabajo es anticiparse a los ataques, de
forma que su valoración y previsión es fundamental para intentar ofrecer
soluciones anticipadas a problemas esperados.
Empresas especializadas de seguridad han coincidido en que el malware móvil
es la principal amenaza prevista para 2012. Ya durante 2011 este tipo
de amenaza se ha desarrollado hasta convertirse en la auténtica
tendencia del año. El aumento de usuarios con conexión a Internet desde
el móvil, la popularización de los smartphones y los tablet, el consumo de redes sociales desde dispositivos móviles
y las precarias medidas de seguridad en los sistemas y navegación de
estos dispositivos son las principales causas que propician que los
hackers y cibercriminales quieran centrar sus esfuerzos en este tipo de
sistemas.
Fuente y ampliación de la noticia en http://www.csospain.es/ ________________________________________________________________
ISACA presenta un programa de evaluación de COBIT para ayudar a las empresas a asegurar sus procesos
(26.12.2011)
Durante últimos 15 años, empresas en todo el mundo han utilizando
COBIT para mejorar y evaluar sus procesos de TI. Sin embargo, hasta
ahora no existía un programa consistente para evaluar estos procesos.
El nuevo Programa de Evaluación de COBIT de ISACA ofrece consistencia y
confiabilidad para que los líderes de la empresa y de TI puedan
confiar tanto en los procesos de evaluación como en la calidad de los
resultados, al mismo tiempo que maximizan el valor de sus inversiones en
TI.
...
ISACA dio a conocer el Programa de Evaluación de COBIT
(COBIT Assessment Programme), que consta de tres partes y que está
basado en COBIT 4.1 e ISO/IEC 15504-2:2003 Tecnología de Información—Evaluación de procesos—Parte 2: Realizando una evaluación:
Modelo de Evaluación de Procesos de COBIT: Usando COBIT 4.1 Guía para Asesores de COBIT: Usando COBIT 4.1 Guía de Autoevaluación de COBIT: Usando COBIT 4.1
Un grupo de piratas informáticos ha utilizado un fallo de seguridad en el sistema operativo Windows
de Microsoft para infectar los ordenadores de los usuarios con el virus
‘Duqu’, virus considerado por algunos expertos en ciberseguridad como
la próxima gran amenaza cibernética.
“Estamos trabajando diligentemente para abordar esta cuestión y se dará a conocer una actualización de seguridad para los clientes”, aseguró Microsoft este martes en un breve comunicado.
Las noticias
sobre el virus ‘Duqu’ surgieron el pasado mes de octubre, cuando el
fabricante de software de seguridad Symantec Corp. afirmó que había
encontrado un virus misterioso que contenía un código similar a
‘Stuxnet’, un software malicioso que se cree que ha causado estragos en
el programa nuclear de Irán.
Google promueve centro de asesoramiento a familias
(24.10.2011)
Google ha presentado un nuevo Centro de Seguridad Familiar, un sitio web cuyo principal objetivo es informar a los padres sobre cómo proteger y educar a los jóvenes en el uso de Internet. Para este proyecto la compañía ha trabajado con las organizaciones: Protégeles, Save the Children, Fundación Alia2, UNICEF España y EU Kids Online.
El objetivo común ha sido concienciar sobre la necesidad de una red segura.
En los últimos años se ha incrementado la presencia de Internet en los hogares españoles, de los que el 55,9 por ciento, 9,5 millones,
están conectados a Internet según el ONTSI (Observatorio Nacional de las
Telecomunicaciones y de la Sociedad de la Información).
Se ha extendido además el uso de
las nuevas tecnologías entre los jóvenes y el 96,4 por ciento de los
adolescentes españoles tienen al menos un ordenador en el hogar y el 75 por ciento de los preadolescentes y adolescentes de entre 10 y
16 años señalan que Internet les gusta mucho o bastante más que otras
cosas.
Los menores españoles entre 9 y 16 años se conectaron por primera
vez a Internet con 9 años y el 58 por ciento de ellos utiliza Internet
todos los días, pasando una media de 71 minutos conectado.
Precisamente por ese incremento en el uso de Internet y las nuevas tecnologías desde edades cada vez más tempranas se
multiplican los riesgos a los que niños y adolescentes se pueden ver
expuestos: contenidos violentos, ciberacoso, pornografía, grooming,
acoso sexual, racismo, persuasión ideológica o autoagresión son algunos
ejemplos.
PwC: Encuesta Global de la Seguridad de la Información 2012
(14.10.2011)
PwC acaba de publicar los resultados de la Encuesta Global de la Seguridad de la Información 2012, que ha elaborado conjuntamente con las publicaciones CIO Magazine y CSO Magazine, y que recoge las respuestas de más de 9.600 ejecutivos -324 en España- y responsables de seguridad de la información y TI de 138 países de todo el mundo.
Una de las conclusiones más importantes, -y alarmantes-, es que el
57% de los entrevistados (el 62,5%, en España) ha reconocido que no
tiene definida una estrategia de seguridad para el uso que los empleados
hacen de sus dispositivos personales, entre los que se
incluyen los móviles o tablets y las redes sociales. Sin embargo, alegan
estar trabajando en la implementación de dichas estrategias a medida
que se está generalizando el uso de las tecnologías móviles y de la web
2.0.
Inteco lanza una nueva versión de la herramienta de seguridad Conan
(3.10.11)
El Instituto Nacional de Tecnologías de la Comunicación (Inteco), ha lanzado la versión 2011 de Conan, una herramienta de descarga gratuita que chequea la configuración de seguridad de los equipos y que desde su nacimiento, hace un año y medio, ha llegado a 21.795 usuarios y ha supuesto la realización de 63.000 análisis.
La nueva versión de Conan introduce “notables mejoras” que permiten un análisis más completo del equipo, un informe más exhaustivo y una mayor usabilidad. Además, permite al usuario ponerse en contacto con un técnico del Inteco para que valore personalmente los informes.
La herramienta Conan, una vez que analiza el equipo, emite un informe
inmediato del nivel de seguridad del ordenador para plataformas
Microsoft Windows y lo envía al usuario.
El caso DigiNotar sin embargo es todavía mucho más grave. Como resultado
del incidente ha acabado comprometida la Entidad Raíz de Certificación,
lo que supone que todos los certificados generados por dicha empresa
pasan a estar revocados. Esto, para una PKI es lo más grave que puede
suceder dado que anula todos los certificados expedidos y supone que
todos los navegadores coloquen este certificado raíz en la lista de
certificados revocados.
La Sociedad General de Autores y Editores (SGAE) no pagaba a los proveedores de contenidos de La Central Digital,
su tienda online donde vendía música y contenidos audiovisuales.
Predicar con el ejemplo en lo que respecta a "piratería" no parece que
fuese una de las máximas de la entidad.
El diario Público
ha sido el encargado de dar nuevas informaciones sobre el caso. Según
afirmó un empleado en varios correos electrónicos escritos al propio
Teddy Bautista, el modo de actuar dentro de la entidad distaba mucho de
lo que tanto pregonaba. En estos emails, Roberto, el empleado de la
entidad "muestra al señor Bautista su preocupación por la forma de
actuar que está teniendo Microgénesis en el desarrollo del proyecto La Central Digital", apunta el sumario de la Operación Saga.
"Fundamentalmente hace hincapié en el impago de Microgénesis a sus
proveedores de contenidos, llegando incluso a afirmar que van dos o tres
meses de impago a los proveedores", explica el texto.
Lo más inconcebible del caso es que las empresas tecnológicas de la SGAE, SDAE y Portal Latino,
no carecían de dinero para realizar los pagos. Ambas subcontrataban sus
actividades, incluyendo la tienda online La Central Digital, con
Microgénesis, cuya facturación superó los 6 millones de euros entre 2008 y 2009 a SDAE.
Fuente y más información en http://www.adslzone.net ________________________________________________________________
Escaner de vulnerabilidades en HTTPS
(6.09.2011)
Este servicio gratuito de SSL Labs ejecuta un análisis de la configuración SSL de un webserver.
La verificación inicial observa el certificado digital para comprobar
que es válido y de confianza. Luego se inspecciona la configuración del
servidor en tres categorías:
a. Protocolos utilizados
b. Intercambio de claves
c. Protocolos de cifrado
El marcador final es una combinación de los puntajes logrados en esas
categorías individuales y es un número entre 0 y 100. Debido a las
pequeñas diferencias entre algunas configuraciones, también se asigna
una letra, siendo A el mejor puntuado.
SonicWall ha publicado los resultados de un nuevo estudio sobre la inteligencia en ciber-seguridad cuyos datos han sido recopilados por la red GRID de SonicWall (Global
Response Intelligent Defense), que recoge y analiza miles de millones
de ciberamenazas globales dinámicas en tiempo real.
Una de las conclusiones más importantes es que los cibercriminales están poniendo su atención en penetrar en las redes y datos de las empresas a través de las aplicaciones y flujos de trabajo de los móviles.
“Los empleados que inocentemente entran a través de un dispositivo
móvil o un PC a sitios de citas que en realidad son sitios falsos, o
cliquean en ofertas de Facebook, como las de comida gratis en
McDonald’s, y que en realidad son estafas de click-jacking (desvío
engañoso a sitios ocultos), pueden tener un efecto catastrófico sobre la
seguridad de los datos, la continuidad de la empresa y su rentabilidad”, afirma Boris Yanovsky, vicepresidente de Ingeniería de Software en SonicWALL.
El próximo 13 de Septiembre se inicia en
Madrid el ciclo de jornadas teórico-prácticas de formación de IPv6,
como parte del plan del Gobierno Español para la transición al nuevo
Protocolo de Internet, firmado por el Consejo de Ministros el pasado 29
de Abril.
Este ciclo de jornadas, continuará en Barcelona, Valencia,
Santander, Bilbao, Logroño, Pamplona, León, Zaragoza, Mérida, Ceuta,
Murcia, Sevilla, Málaga, Las Palmas, Toledo, Palma de Mallorca, Santiago
de Compostela y Oviedo.
IPv6, la nueva versión del protocolo de
Internet, viene a resolver el agotamiento de direcciones del protocolo
actual, IPv4, y cualquier organización que no planifique con urgencia la
incorporación de IPv6 en sus servicios en-línea (páginas web,
aplicaciones electrónicas, etc.), podría incurrir en pocos meses, en
pérdidas para su negocio al no ser accesible por usuarios de Internet,
tanto desde España como desde otros puntos del planeta.
Las jornadas serán impartidas por Jordi
Palet, director técnico de Consulintel, reputado experto mundial en IPv6
y autor de numerosos documentos para su estandarización. Estas jornadas
son posibles gracias a la colaboración con el proyecto 6DEPLOY,
financiado por la Comisión Europea, en el que participa la empresa
Consulintel, dedicado precisamente a ayudar en la formación para el
despliegue de IPv6 en todo el mundo.
Detectado certificado digital fraudulento para sites de google
(29.08.2011)
Varios
investigadores de seguridad han detectado un certificado digital
fraudulento para google.com circulando por internet, que permite a los
atacantes hacerse pasar por cualquiera de los servicios de Google, sin
que los navegadores alertaran de ello.
El certificado fraudulento fue emitido el pasado 10 de julio por DigiNotar, una entidad certificadora (CA) afincada en Holanda. El certificado fraudulento es válido para los sites *.google.com, lo que otorga a sus dueños la capacidad de realizar ataques de forma transparente sobre los usuarios de Google que acceden a páginas controladas por los atacantes.
Esta es la segunda vez que se publica un ataque de este tipo, tras el ataque sufrido en marzo por Comodo,
que permitió la emisión de certificados fraudulentos de Google, Yahoo! y
Skype, entre otros. En ambos casos, los atacantes han comprometido la
infraestructura de certificación de las compañías, haciendo que estas
emitan certificados válidos para dominios comúnmente conocidos, y que
los solicitantes por supuesto no poseen.
INTECO lanza un video tutorial, orientando a los padres sobre el uso de videojuegos por los menores
(22.08.2011)
La práctica de los videojuegos es una de las preferidas por los
menores, su uso es muy habitual y mucho más extendido entre los niños
que entre las niñas.
Cuando el niño sale al campo de juego digital (Internet o
videojuegos) el papel de los padres debe ser equiparable a cuando salen a
jugar a la calle. Aunque existan algunas herramientas para el ordenador
que limitan que el niño pueda acceder a determinados lugares, esto es
una medida insuficiente. La supervisión, el establecimiento de reglas de
comportamiento y horarios, y sobre todo, el formar al niño en las
buenas prácticas que evitan comportamientos de riesgo, son
fundamentales, y parte de la responsabilidad de ser padres de hoy día, explica Ignacio González Ubierna, subdirector de Desarrollo Corporativo de INTECO.
Entre las amenazas a la privacidad de los menores, INTECO recuerda la
posibilidad de que los datos personales del menor facilitados en el
momento del registro sean cedidos por las páginas online de videojuegos,
sin consentimiento del titular. Además, las cookies y otros registros
sobre la actividad online del usuario, aún siendo legales, pueden ser
utilizados para recabar información personal del menor muy valiosa con
fines publicitarios o fraudulentos.
La guía de INTECO trata el ciberbullying o ciberacoso, tiene otro epígrafe dedicado al Grooming, conjunto de
estrategias que una persona adulta desarrolla para ganarse la confianza
del menor a través de Internet con el fin último engañar y de obtener
concesiones sexuales.
En la guía de INTECO se recomienda a los padres que se impliquen en
la compra de los videojuegos, revisando su catalogación de acuerdo con
los estándares más comunes (PEGI o ESRB).
Dentro del conjunto de boletines de seguridad de
agosto publicado el pasado martes por Microsoft, se cuenta el anuncio (en el boletín MS11-058) de dos
vulnerabilidades (la más grave de carácter crítico) en el servidor DNS
de Windows.
La vulnerabilidad más grave reside en la forma en que
el servidor DNS de Windows trata en memoria una consulta NAPTR
especialmente diseñada. Este problema podría permitir la ejecución
remota de código en sistemas Windows Server 2008.
Un segundo
problema consiste en una denegación de servicio debido a que el servidor
DNS gestiona de forma incorrecta un objeto en memoria no inicializado.
Esta vulnerabilidad afecta a Windows Server 2003 y 2008.Se
recomienda actualizar los sistemas afectados mediante Windows Update o
descargando los parches según plataforma desde la página del boletín de
seguridad: http://www.microsoft.com/spain/technet/security/bulletin/MS11-058.mspx
LinkedIn expone fotos y nombres de sus 100 millones de usuarios para mejorar la publicidad
(11.08.2011)
Linkedin, la red social de ámbito profesional y sin duda alejada en el tono y la práctica del resto, utiliza nuestra base de datos es decir, foto y nombre, para aplicarla a los anuncios en línea de manera predeterminada. Tu foto junto a la publicidad de una empresa o marca que estas siguiendo. Al
igual que Facebook, un cambio en sus políticas en el mes de junio
permite a la red social utilizar el avatar y nombre de cada uno de sus
usuarios para mejorar los porcentajes de clics en los anuncios en línea.
¿Cómo lo hace? Muy fácil, con la herramienta que lanzó en el mes, Social Advertising. ... Aquellos que no deseen formar parte de Social Advertising deberían seguir los siguientes pasos:
- Ir a la esquina superior derecha, a “configuración” - Desde “configuración” pinchamos sobre “cuenta”Desde “cuenta” seleccionamos “Manage Social Advertising” - Una vez dentro desactivamos la casilla donde pone “LinkedIn puede utilizar mi nombre, foto en social advertising”
Un fallo de seguridad en Android facilita el robo de datos bancarios del usuario
(10.08.2011)
¿Hasta
qué punto es seguro introducir datos bancarios desde Android? Un
reciente estudio ha descubierto que un fallo en el diseño del sistema
operativo de Google para dispositivos móviles podría ser utilizado por
estafadores para robar este tipo de datos de los usuarios.
Según hemos conocido a través de CNET,
un grupo de investigadores ha advertido de los riesgos de sufrir
phising utilizando terminales con Android. El informe señala que los
desarrolladores pueden crear aplicaciones en apariencia inofensivas pero que pueden mostrar un falso acceso a nuestra cuenta bancaria cuando pretendamos acceder a ella desde el dispositivo móvil.
Desde la firma Trustwave se explicó cómo los desarrolladores pueden crear aplicaciones que lancen estas pantallas falsas.
Aunque las aplicaciones que funcionan en segundo plano envían mensajes
de notificación mediante la barra superior, también es posible que estas
pasen a estar en primer plano. Esto resulta útil, por ejemplo, para
enviar una imagen de nuestro terminal a redes sociales, pero también
permite que una aplicación maliciosa reemplace la herramienta que ofrece
nuestro banco para hacer transacciones desde el móvil o para acceder a
nuestra cuenta.
Un virus troyano se distribuye a toda velocidad en el chat de Facebook
(9.08.2011)
Seguimos con Facebook.... El
troyano Win32/Delf.QCZ es muy peligroso pues está diseñado para
desactivar la protección antivirus de los ordenadores y que no haya sido
actualizada recientemente
El malware muestra un primer mensaje amistoso a los usuarios de Facebook, “Hi how are you”,
que viene de uno de los amigos que tengamos añadidos a nuestro perfil,
pero en realidad es un bot que es capaz de establecer este tipo de
comunicación de forma directa, incluso refiriéndose al usuario en la
conversación. Adicionalmente, publica en el chat del usuario un link a
un vídeo malicioso, incitándole a verlo. En el momento en que el usuario
hace clic en el link, comienza la supuesta descarga de un link para
instalar un reproductor de Flash, que realmente contiene el malware.
Anonymous amenaza con destruir Facebook el 5 de Noviembre
(8.08.2011)
En un comunicado en el mismo Facebook y un video en Youtube, Anonymous
ha dicho que esta red social es uno de los próximos objetivos. De hecho,
dio la fecha exacta: 5 de noviembre.
A continuación, un listado de puntos por los que Anonymous quiere destruir la “creación” de Mark Zuckerberg:
- Violación de privacidad de usuarios. - Facebook vende información privada de usuarios a agencias de gobiernos. - Facebook se queda con toda los datos del usuario incluso cuando cancela su cuenta. - El hecho de que se pueda cambiar la configuración de seguridad de cada usuario no implica que éste deje de ser espiado.
Por esta y más razones, Anonymous tiene planeado destruir Facebook. Sí,
utilizan la palabra “destruir”. ¿Será cierto? ¿Facebook estará tomando
en serio esta amenaza? ¿Qué hacer si uno es usuario de Facebook? Aún hay
tres meses para pensar la situación.
No estamos hablando de esteganografia,
ni de ninguna técnica compleja desarrollada por un experto en
tecnología. Hablamos de algo mucho más simple. Hablamos de la
información que algunos dispositivos, entre ellos buena parte de los smartphones,
almacenan sobre la geolocalización de las fotos tomadas sin que en
muchos casos seamos conscientes de ello. La almacenan en la información
oculta de las fotos que con determinado tipo de programas resulta
sencillo extraer (exif reader por ejemplo). Normalmente estos
dispositivos tienen una opción que nos permite configurar si se almacena
o no la posición con sus coordenadas en la información oculta de la
foto. En la Blackberry hay una opción denominada GeoTag, en las opciones
de la cámara, que cumple precisamente esta función.
Ejecución de comandos con privilegios de root en Barracuda NG Firewall
(13.06.2011)
Se ha publicado una vulnerabilidad que considerada
como crítica, que afecta a Barracuda NG Firewall y permitía ejecutar
código arbitrario con los privilegios de root.
Barracuda NG
Firewall es una familia de hardware y dispositivos virtuales diseñados
para la protección de la infraestructura de una red, mejorar su
conectividad y simplificar los operaciones administrativas de la red.
Un
error no especificado en NG Firewall y Phion Netfence, permitía a un
atacante remoto ejecutar comandos con privilegios de root. Para ello era
necesario que estos dispositivos tuvieran habilitado algún esquema de
autenticación externo como por ejemplo Active Directory y conocer el
nombre de una cuenta de administrador, no así su contraseña.
No
han trascendido más datos de la vulnerabilidad puesto que los
descubridores han llegado a un acuerdo con el fabricante por el que
tampoco harán público el código de la prueba de concepto que la
aprovecha.Las versiones vulnerables del producto son la Phion
Netfence 4.0.x, las anteriores a la 4.2.15 de Phion Netfence y aquellas
hasta la 5.0.2 de NG Firewall. Para todas estas el fabricante ya ha
publicado los parches que solucionan este fallo.
Microsoft Security Essentials, el antivirus más utilizado en el mundo
(11.06.2011)
Según un estudio realizado por OPSWAT en 43.000 ordenadores en todo el mundo desde el 23 de marzo al 15 de mayo de 2011, Microsoft Security Essentials, el antivirus gratuito de Microsoft, es el antivirus más usado en el mundo, con un 10,66% de cuota de uso.
Según OPSWAT, el segundo puesto de la clasificación es para Avira Antivir Personal, con un 10,18% de cuota de uso, seguido por Avast! Free Antivirus con un 8,66%. En cuanto a marcas, AVAST Software y AVG
Technologies logran la mayor cuota de uso teniendo en cuenta todos sus
productos, con un 12,37% cada una.
El tercer puesto en este caso es para
Avira, con un 12,29% de cuota, y el cuarto puesto para Microsoft, con
un 11,24% del mercado.
La última versión disponible de Microsoft Security Essentials es la 2.0, versión que salió a la luz a finales del 2010.
Adobe ha publicado una solución de seguridad que solventa un nuevo
fallo encontrado en Flash Player que estaba siendo aprovechado por los
ciberdelincuentes para atacar a los usuarios de Gmail a través de
enlaces maliciosos.
Una portavoz de Adobe ha confirmado que esta vulnerabilidad permitiría a los atacantes engañar a los usuarios del sistema de correo electrónico de Gmail
para que pincharan en un link malicioso de forma que cuando la víctima
iniciara sesión la dirección del ciberdelincuente se habría añadido a su
cuenta.
“Cuando el usuario inicia sesión en Gmail, esta nueva dirección de
envío (del atacante) ha sido añadido a la cuenta del usuario”, explica
Wiebke Lips, portavoz de Adobe.
Este tipo de ataques pueden afectar a cualquier servicio de correo basado en web por lo que es posible que Gmail no sea el único servicio vulnerable.
Además, la vulnerabilidad en Flash “podría ser utilizada para realizar acciones en nombre de un usuario en cualquier sitio web o proveedor de correo web”, advierten desde Adobe.
Por su parte Google ha actualizado Flash en Chrome, aunque por el momento no han confirmado que este fallo esté relacionado con los ataques recientemente lanzados contra usuarios de Gmail desde China. El parche de Flash Player está disponible para la versión 10.3.181.16 y
anteriores de Windows, Mac, Linux y Solaris, así como para la
10.3.185.22 y anteriores de Android.
Esta vulnerabilidad se ha descubierto apenas dos semanas después de que Adobe decidiera lanzar Flash Player 10.3 para acabar con todos los fallos.
Expertos en seguridad han descubierto un malware específicamente
diseñado para el navegador de Mozilla que hace creer al usuario que su
equipo está infectado para estafarle.
Este tipo de amenazas se conocen con el nombre de “scareware” y se aprovechan del miedo que provoca en los internautas la posibilidad de tener el equipo infectado para colarse entre sus programas e infectar el equipo.
Esta nueva amenaza trata de engañar a los usuarios de Firefox mostrándoles una falsa advertencia de seguridad
en la que les informan de que se ha encontrado malware en su equipo.
Acto seguido les proponen descargar un fantástico programa de seguridad
que promete eliminar todas las amenazas.
El objetivo de este malware es convencer al usuario para que acabe
registrando el programa para librarse de todas las infecciones previo pago de 80 dólares, según explica Chester Wisniewski, asesor de seguridad de Sophos.
Los expertos recomiendan una vez más no fiarse de los análisis de
seguridad que surgen de forma espontánea, ni siquiera si dicen ser tarea
de Firefox y recuerdan que este navegador no realiza este tipo de exámenes sino que se limita a avisar al usuario cuando la página que va a visitar puede ser maliciosa.
Los expertos en seguridad sospechan que los usuarios de Internet Explorer también podrían ser vulnerables a esta amenaza.
Libro-PDF: Esquema Nacional de Seguridad con Tecnología Microsoft
(26.05.11)
Microsoft Ibérica publica el libro "Esquema
Nacional de Seguridad con Tecnología Microsoft", también disponible en
formato PDF de forma gratuita. Es un trabajo eminentemente divulgativo,
dirigido a los responsables técnicos de las administraciones, encargados
de cumplir los requisitos y las recomendaciones del Esquema. Igualmente
se presenta como una importante guía práctica para todos aquellos que
estén involucrados en el diseño y despliegue de políticas de seguridad
con tecnologías Microsoft.
El Real Decreto 3/2010, de 8 de enero,
regula el Esquema Nacional de Seguridad (ENS) en el ámbito de la
administración electrónica, previsto en el artículo 42 de la Ley
11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
Servicios Públicos. El ENS tiene por objeto establecer la política de
seguridad en la utilización de medios electrónicos y está constituido
por principios básicos y requisitos mínimos que permitan una protección
adecuada de la información.
La versión PDF del mismo está disponible de forma gratuita para su descarga aquí.
phpMyAdmin 3.4.1 soluciona dos fallos de seguridad
(25.05.11)
Se ha publicado la nueva versión de phpMyAdmin que soluciona dos vulnerabilidades.
PhpMyAdmin
es una popular herramienta, escrita en PHP, para la administración de
MySQL a través de un navegador. Este software permite crear, modificar y
eliminar bases de datos, tablas, campos, administrar privilegios y, en
general, ejecutar cualquier sentencia SQL. Además está disponible en más
de 50 idiomas bajo licencia GPL.
Estos dos errores son ocasionados por no filtrar correctamente los parámetros recibidos en las peticiones web.
El
primero está identificado como CVE-2011-1940, y se trata de un fallo de
Cross Site Scripting a través del nombre de una tabla. Al mostrar el
nombre de la tabla en la aplicación, no se filtra correctamente el
texto, lo que permite inyectar código HTML y/o JavaScript.
El
segundo de los problemas solucionados, identificado como CVE-2011-1941,
permite generar una URL que redirija a cualquier lugar. Este error
permitiría a un atacante redirigir a quienes visitan el enlace hacia una
ubicación arbitraria, lo que permitiría su uso para ataques de phishing
o falsificación.
Responsabilidad penal de un Director de IT o de Seguridad Informática
(22.05.11)
La reforma del Código Penal no ha afectado al régimen de
responsabilidad penal de las personas físicas que existía antes del 23
de diciembre de 2010 (con excepción de la desaparición de la
responsabilidad solidaria y directa de la persona jurídica respecto a
las multas impuestas a las personas físicas de su organización).
Ello
significa que un Director de IT o de Seguridad Informática sólo será
responsable a título personal cuando sea autor del delito, es decir,
cuando haya realizado el hecho por sí solo, conjuntamente o por medio de
otro del que se haya servido como instrumento. Así lo establece el
artículo 28 del Código Penal.
Los
delitos tecnológicos no admiten otra forma de comisión que la dolosa.
Es decir, no pueden cometerse por imprudencia. Exigen una conducta
activa e intencional del sujeto, una voluntad deliberada de cometer el
delito
Por
ello, para que los directivos de un Departamento de IT o de un
Departamento de Seguridad Informática puedan ser declarados responsables
penales de un delito cometido por uno de sus subordinados, el nivel de
implicación del directivo en los hechos debe ser alto, a través de la
autoría directa o del conocimiento y la tolerancia dolosa de los actos
de sus subordinados.
La deliberada falta de control sobre riesgos
con un nivel de probabilidad medio o alto podría ser asimilada a
tolerancia dolosa, aunque será necesario analizar las circunstancias de
cada caso.
Un botón de 'no me gusta', nuevo gancho de 'malware' en Facebook
(17.05.11)
La última herramienta de los 'hackers' para conseguir extender su
malware ha sido la distribución de mensajes en los que se asegura a los
usuarios de Facebook que podrán insertar el botón 'no me gusta' entre sus
herramientas de la red social.
Los usuarios reciben un
mensaje en el que les invitan a hacer 'click' en un enlace para instalar
la opción 'no me gusta', pero en realidad están recibiendo 'malware'.
El botón 'no me gusta' no existe en Facebook, pero es una petición
que muchos usuarios han realizado. Pese a las peticiones, Facebook
no ha expresado que se haya planteado crear dicho botón.
Sophos informa a los usuarios de que el botón 'no me gusta' no es
un producto de Facebook y recomienda tener precaución a la hora de hacer
click en cualquier mensaje que proponga la instalación de 'no me
gusta'. La compañía de seguridad cuenta con una página en Facebook,
seguida por más de 80.000 personas, en la que los usuarios pueden estar
informados de las últimas amenazas en Facebook.
La recomendación es de no abrir ni hacer clic en el mismo y si ya es
demasiado tarde puedes consultar como eliminarlo en http://www.guapacho.net/
Un error en Facebook permite a anunciantes acceder a datos personales
(11.05.11)
La arquitectura de Facebook ha permitido por error a los anunciantes
tener acceso a perfiles, conversaciones, fotos y otros datos privados de
los miembros de la red social, según un informe de Symantec. La citada empresa de seguridad ha descubierto, y explica en una nota, que algunas aplicaciones de Facebook han filtrado fichas (código
de números y palabras que permite a los navegadores acceder a una
cuenta) con claves de seguridad que dan acceso a los perfiles y a la
lectura de mensajes. Afortunadamente, muchos de los anunciantes no han
advertido esta posibilidad que les hace capaces de acceder a información
privada, según la empresa. No hay evidencias de que alguien se haya
aprovechado de este fallo.
Denegación de servicio a través de consultas RRSIG en ISC BIND 9
(10.5.11)
El Internet Systems Consortium (ISC), patrocinador
del servidor DNS más usado, BIND, informa sobre una vulnerabilidad
encontrada en la versión 9 del producto. Aunque matiza que dicha
vulnerabilidad únicamente afecta a usuarios que utilicen la
característica RPZ.
Normalmente, los servidores de nombres
configurados para usar recursividad reenvían sus respuestas al servidor
que origina la respuesta. RPZ (Response Policy Zones) es un mecanismo
implementado por BIND 9.8.0 para modificar en los servidores de nombres
recursivos las respuestas de acuerdo a un conjunto de reglas definidas
local o remotamente (importadas de un servidor en el que se confíe).
Para
utilizar RPZ, BIND debe ser compilado con las opciones
"--enable-rpz-nsip" o "--enable-rpz-nsdname". Esto permite utilizar la
directiva "response-policy" en la configuración. Puede ser utilizado
para reemplazar el Resource Record Set (RRset). Se trata el conjunto de
todos los registros para un tipo concreto (A, MX, NS...) para un
dominio. Por ejemplo RRSIG es un registro de firma utilizado en DNSSEC.
Cuando
se utiliza RPZ, una consulta de tipo RRSIG para un nombre que haya sido
configurado a través de las políticas RPZ para que se reemplace su
RRset, hará que el servidor deje de responder.
Actualmente no se
conocen exploits que se aprovechen de esta vulnerabilidad aunque sí es
cierto que algunos validadores DNSSEC envían legítimamente consultas del
tipo RRSIG, pudiendo causar la denegación de servicio.
Como solución, ISC aconseja evitar el uso de RPZ para realizar reemplazos RRset.
A esta vulnerabilidad se le ha asignado el CVE-2011-1907.
Podcast y Video Podcast de Seguridad Informática en Español
(12.4.11)
No hace mucho era bastante difícil conseguir buena documentación en español sobre seguridad informática en estos formatos (Audio y Video) y poder aprovechar los tiempos muertos.
Pero ahora la situación es diferente y existen varios proyectos muy buenos en nuestro idioma cubriendo el vacío que existia, a continuación listaré solo algunos de ellos para que los agregues a tu lista y disfrutes de ellos en tu reproductor preferido.
Las 11 mejores aplicaciones de hacking y seguridad para Linux
(8.4.2011)
1. John the Ripper: herramienta para cracking de contraseñas.
2. Nmap: sin duda el mejor programa para se seguridad para redes.
3. Nessus: herramienta para encontrar y analizar vulnerabilidades de software,.
4. chkrootkit: básicamente es un shell script para permitir descubrir rootkits instalados en nuestro sistema.
5. Wireshark: sniffer de paquetes, se utiliza para analizar el tráfico de red.
6. netcat: herramienta que permite abrir puertos TCP/UDP en un equipo remoto
7. Kismet: sistema de detección de redes, sniffer de paquetes y de intrusión para redes inalámbricas 802.11.
8. hping: generador y analizador de paquetes para el protocolo TCP/IP.
9. Snort: es un NIPS: Network Prevention System y un NIDS: Network Intrusion Detetection, capaz de analizar redes IP.
10. tcpdump: herramienta de debugging que se ejecuta desde la línea de comandos.
11. Metasploit: esta herramienta que nos proporciona información sobre vulnerabilidades de seguridad y permite hacer pruebas de penetración contra sistemas remotos.
Los desastres informáticos les cuestan a las pymes 14.500 $ por día de caída
(6.4.2011)
Cuando un desastre que afecta a los sistemas informáticos ocasiona tiempos de caída en el funcionamiento del negocio, generalmente el impacto es superior en las pequeñas y medianas empresas (pymes). Según un reciente estudio, a este tipo de organizaciones les cuesta 14.500 dólares cada día de caída. Una de las principales conclusiones de este sondeo es que la mayoría de las pymes tienden a adoptar enfoques reactivos frente a los desastres. La mitad del total de empresas sondeadas ha puesto en marcha algún plan de recuperación ante desastres sólo después de haber sufrido una caída.
Por otra parte, según Symantec, un tercio de las pymes no considera que sus sistemas informáticos sean críticos para su negocio, cree que nunca sufrirá un desastre, considera que su preparación para tal circunstancia no es una de sus prioridades o dice carecer de un plan de recuperación por carecer de capacidades o personal cualificado para ello.
Cloud Computing: problemática jurídica con la LOPD 15/1999
(5.4.2011)
“Uno de los temas que en la actualidad está en boca de todos no es otro que el relativo al “Cloud Computing”.
La problemática en cuanto a protección de datos se refiere, es establecer en qué ubicación física concreta se van a alojar los datos personales tratados o alojados “en la nube”.
Para la Ley de Protección de Datos, es determinante esta apreciación ya que, dependiendo de que los datos se encuentren en España o en otro país, habrá que establecer si la cesión de esos datos constituye una “transferencia internacional de datos” o no, ya que las consecuencias legales de un tratamiento u otro, son diferentes.
Es importante resaltar que la transferencia internacional es sin duda alguna una de las situaciones más complicadas de regular jurídicamente en materia de protección de datos de carácter personal, al mismo tiempo que, junto con las cesiones de datos, una de las más críticas en lo que a sanciones corresponde.
Si los datos recabados son destinados a ser tratados en terceros países donde no exista un nivel de protección equiparable al de España, será necesario una autorización por parte del Directo de la Agencia Española de Protección de Datos (Plazo de 1 mes) o un consentimiento inequívoco por parte del afectado (Art. 34 LOPD).
Los programas obsoletos se acumulan en la mayoría de los ordenadores a medida que pasa el tiempo. No sólo ralentizan el ordenador y consumen recursos, sino que representan un riesgo para la seguridad del PC que no debería subestimarse.
Los cibercriminales saben de esta situación y a menudo utilizan sus brechas de seguridad para acceder al ordenador en el que están instalados y conseguir el control de esas máquinas o acceder a los datos personales almacenados. G Data ofrece una serie de consejos que ayudan a mantener el ordenador a punto y completan la seguridad proporcionada por cualquier solución antivirus:
- El sistema operativo y todos los programas instalados deberían estar correctamente actualizados,
- Limpieza regular del PC
- Borrar los archivos temporales
- Cookies, historial web y otros archivos relacionados con el uso de Internet deberían borrarse con cierta asiduidad
Las infecciones a través de anuncios incrustados en páginas legítimas no son ninguna novedad. Desde hace años, estas técnicas se ha venido usando con más o menos asiduidad. La última víctima ha sido una aplicación, Spotify, que durante un tiempo, ha mostrado a sus usuarios anuncios que intentaban infectar al usuario. Desde el punto de vista del atacante, esto cambia el modelo de infección y lo hace mucho más efectivo.
La única forma de protegerse es la de siempre: mantener el sistema actualizado y no usar cuentas con privilegios. Al haber utilizado una vulnerabilidad conocida en Java, el mantenerse actualizado protege al usuario. Si el atacante hubiese usado un fallo desconocido o no parcheado hasta el momento, estar actualizado no impediría la infección, por tanto es necesario al menos proteger al sistema no dando demasiados permisos a este tipo de programas.
CERT INTECO ha añadido dos nuevas herramientas a la sección de útiles gratuitos, en esta ocasión son dos programas de control parental.
Las herramientas que se han añadido son:
K9 Web Protecction.
Es una herramienta de control parental, cuyo funcionamiento está orientado a la supervisión de actividad de los menores en el ordenador, ofreciendo la posibilidad de solo registrar ciertas actividades, hasta restringir el uso del mismo.
Parental Control Bar
Barra de control parental que se instala en el navegador. Su uso es muy simple y se basa en listas blancas y negras (permitir siempre, denegar siempre), apoyado en las etiquetas ICRA. Es una herramienta más simple que la anterior, y que solo restringe la navegación. Al instalarla pide una dirección de correo, que se usará para el caso de pérdida de la clave, así que debemos usar una cuenta de correo funcional. Para desinstalar la aplicación es necesaria la clave.
Cómo proteger información confidencial mediante el cifrado de archivos con EFS
(28.3.2011)
Repaso al Sistema de Cifrado de archivos o carpetas incluido en los sistemas Windows bajo el nombre de EFS (Encryption File System).
La manera de proceder para cifrar información contenida en una partición NTFS no puede ser más sencilla y transparente para el usuario, que ni siquiera tiene que crear o recordar una contraseña para cifrar y descifrar los archivos.
Descripción de los pasos a seguir para cifrar el contenido de una carpeta y respuesta a preguntas tales como:
• ¿Están realmente cifrados los archivos?
• Si copiamos uno de estos archivos a un pendrive o lo enviamos por correo electrónico, ¿el archivo se copia o envía cifrado?
• ¿Cómo podrá entonces descifrarlo su destinatario?
La Unión Europea garantizará por ley el derecho al olvido en redes
sociales
(23.3.2011)
La vicepresidenta de la Comisión Europea y responsable de
Justicia, Viviane Reding, ha anunciado este miércoles que antes del verano
presentará una propuesta legislativa para proteger el derecho al olvido en las
redes sociales. El objetivo de esta iniciativa es que los usuarios puedan
exigir a empresas como Facebook que borren completamente sus datos personales o
fotos cuando se den de baja en el servicio.
Por ello, Bruselas exigirá una mayor transparencia a las
redes sociales, que estarán obligadas a informar a los usuarios sobre los datos
que recogerán, con qué objetivos, cómo pueden ser usados por terceras partes y
cuáles son los riesgos para que no pierdan el control sobre su información
personal.
La Responsabilidad Penal de las Personas Jurídicas en los
Delitos de Descubrimiento y Revelación de Secretos
(22.3.2011)
Con la nueva reforma del Código Penal, las personas
jurídicas pueden ser penalmente responsables de los delitos cometidos por sus
empleados, en aquellos posibles casos, que no se hubiesen adoptado sobre ellos,
el debido control atendiendo a las circunstancias concretas del caso.
La empresa, por tanto, deberá adoptar medidas de control,
técnicas, jurídicas y organizativas, sobre la base de su responsabilidad -in
vigilando sobre los trabajadores, encaminadas a impedir, obstaculizar o en su
caso reportar al órgano de control correspondiente, aquellas posibles conductas
constitutivas de delito llevadas a cabo por un empleado.
Es importante sacar a colación en toda esta materia, la
Sentencia del Tribunal Supremo de 26 de Septiembre de 2.007, de unificación de
doctrina, donde se ha manifestado que los medios de propiedad de la empresa,
entre ellos los equipos informáticos, cuentas de correo, redes de
comunicaciones, que se facilitan al trabajador, quedan dentro del ámbito de
vigilancia del empresario, pudiendo éste adoptar las medidas que estime más
oportunas para verificar el cumplimiento por parte del trabajador de sus
deberes y obligaciones.
Abriendo sistemas de control de acceso por tarjeta desde
Android
(17.3.2011)
La seguridad TIC, abarca mucho más que PCs y smartphones. Caribou
es una aplicación en Android capaz de abrir fácilmente cualquier sistema de
acceso con tarjeta basándose en una vulnerabilidad que afecta a los sistemas de
HID.
Simplemente necesitas conocer la dirección IP del
controlador y que éste sea accesible desde Internet cosa que, aunque parezca
mentira, sucede en muchos casos
Los temidos pantallazos azules son la máscara que Windows se pone
para decirnos que algo va mal. Aparentemente incomprensibles, estos
mensajes contienen información útil para resolver los conflictos de
hardware y software que aquejan al sistema. En el artículo siguiente se explica cómo leer un pantallazo azul con la
ayuda de herramientas especiales. Una vez identificado el problema,
podrás ponerte manos a la obra para resolverlo. Así, la próxima vez que
veas un pantallazo azul, ya no te sentirás tan indefenso como antes.
DNI electronico frente al Certificado CERES de la FNMT
(15.3.2011)
Además del DNI electrónico, existen varios certificados
digitales que pueden usarse en los trámites con la Administración electrónica: el
más común, el de la Fábrica Nacional de Moneda y Timbre.
Considerando los inconvenientes que el uso del DNI
electrónico genera en los trámites con la Administración, la mayoría de los
expertos en certificación electrónica utiliza -y aconseja utilizar- también
otros certificados que facilitan la experiencia con la administración
electrónica haciéndola más amigable. Entre la veintena de certificados
electrónicos vigentes en la actualidad en España, el más popular es el
certificado Ceres emitido por la Fábrica Nacional de Moneda y Timbre (FNMT).
Ventajas, diferencias e inconvenientes de cada uno…
Denuncias por no ocultar a los receptores de un correo
múltiple
(14.3.2011)
Las denuncias por el envío de correos electrónicos donde se
dejan a la vista los destinatarios se han duplicado en los últimos dos años. Hacienda y Bankinter entre los infractores.
La mayoría de sanciones fueron impuestas por "remitir
correos electrónicos revelando direcciones sin utilizar la copia oculta (CCO),
incurriendo en una vulneración del deber de secreto recogido en el artículo 10
de la ley orgánica de protección de datos". En este artículo se dispone
que "el responsable del fichero y quienes intervengan en cualquier fase
del tratamiento de los datos de carácter personal están obligados al secreto profesional
respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán
aun después de finalizar sus relaciones con el titular del fichero o, en su
caso, con el responsable del mismo". El correo electrónico se considera un dato personal desde
1999.
Según el equipo de investigación de WatchGuard el rápido
crecimiento de las amenazas en los entornos corporativos está en las
aplicaciones sociales basadas en la web.
Las aplicaciones más peligrosas son: Facebook Twitter
YouTube
LinkedIn
4chan
Chatroulete
El Gobierno ha introducido modificaciones en los artículos
43,44, 45, 46 y 49 de la LOPD (Ley Orgánica de Protección de Datos) . La AEPD
(Asociación Española de Protección de Datos) considera que las reformas
aportarán mayor seguridad jurídica y contribuirán a lograr una mayor precisión
en la aplicación de la Norma. Ayer 6 de marzo entró en vigor la Ley de Economía
Sostenible, tras su publicación en el BOE el sábado 5 de marzo, que incluye en su Disposición final quincuagésima
sexta la reforma los artículos 43,44, 45, 46 y 49 - referidos al régimen
sancionador- de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de
Datos de Carácter Personal. Gobierno LOPD
Las modificaciones aplicadas por el Gobierno en la LOPD se
centran sobre todo en la mejora de la tipificación de las infracciones,
vinculándolas a la vulneración de los principios específicos que garantizan la
protección de datos personales, y que- por ejemplo- permitirán que las cesiones
ilícitas de datos pasen a equipararse a otras infracciones graves como el
tratamiento de datos sin consentimiento, equilibrando bienes jurídicos
protegidos que están incluidos en la misma definición de “tratamiento de datos”.
Siempre se suele contar qué hacer para prevenir el malware o
cómo evitar ser víctimas de él pero …¿qué hay con aquellos que ya se infectaron?
Aquí se indican unas recomendaciones a seguir para recuperar
el control del sistema y asumir, identificar, eliminar la infección y prevenir
la reinfección
Test sobre el crimen cibernético: evalúe el riesgo que corre
(3.3.2011)
¿Qué es el crimen cibernético? En el Tratado sobre el crimen cibernético del Consejo Europeo se utiliza
el término "crimen cibernético" para referirse a delitos que abarcan
desde actividades criminales contra datos hasta las infracciones de
contenidos y de copyright [Krone, 2005]. No obstante, otros
[Zeviar-Geese, 1997-98] indican que dicha definición es más amplia y que
incluye actividades como el fraude, el acceso no autorizado, la
pornografía infantil y el cyberstalking (acoso en Internet). La
definición de crimen cibernético que se incluye en el manual de
Prevención y Control de los Crímenes Informáticos de las Naciones Unidas
engloba fraude, falsificación y acceso no autorizado [Naciones Unidas,
1995].
Test de 10 preguntas para comprobar sus conocimientos sobre el crimen cibernético
Enlaces relacionados con el mundo de la Seguridad Informática
(2.3.2011)
Exite un proyecto llamado pentest-bookmarks que recoge de una forma muy ordenada gran
cantidad de enlaces a blogs, herramientas, foros, etc relacionados con el mundo
de la seguridad informática.
Sólo tienes que descargar e importar este fichero en tu
navegador favorito y listo. Como podéis ver desde aquí, la lista es bastante
amplia.
Parchear un sistema es algo absolutamente necesario, tengas
el sistema que tengas y la plataforma hardware que tengas. No importa que tu
vecino tenga un Mac OS X o que tú tengas un Windows Phone, hay que parchear
todas las plataformas.
Aunque sea una tarea a veces tediosa y molesta y nos
obliguen a reiniciar el Sistema cuando menos te lo esperas.
¿Y por qué hay que parchear? Pues por algo tan sencillo como
que los sistemas software tienen vulnerabilidades que pueden ser aprovechadas
para comprometer la seguridad de tu equipo y la tuya personal.
Unos pequeños consejos para mantener el Sistema y las
aplicaciones siempre actualizadas…
Guía de practicas efectivas para desarrollo seguro
(28.2.2011)
Tener buenas prácticas de desarrollo seguro es una costumbre
que todo programador debería cultivar, pero todos sabemos que conocerlas y
ponerlas en prácticas no es una tarea fácil, es por eso que existen proyectos
como el “OWASP Secure Coding Practices Quick Reference Guide” que nos facilitan
un poco el trabajo proporcionándonos una guía de referencia a seguir para
garantizar que nuestro trabajo esta buen hecho.
La siguiente guía creada por SAFECode , el Foro de Seguridad
del Software para la Excelencia en el Código, nos ayuda en esta tarea ya que
cuenta con las practicas mas efectivas a día de hoy, para que nuestros
desarrollos sean mas seguros, son creadas por un grupo de fabricantes que
destacan por tener cierto éxito en la reducción de ataques contra su tecnología,
incluyendo EMC, Juniper Networks, SAP y Microsoft…. aunque Adobe Systems
también forma parte del grupo y sabemos que su fuerte no es la seguridad.
Nuevas técnicas de introducción de spyware mediante
incentivos económicos a empresas desarrolladoras.
Hace unos días atrás el mundo de la plataforma móvil de
Google (Android) se vio revolucionado. Esto sucedió debido a la declaración de uno
de los desarrolladores del popular juego Tanks Hero. Este juego, fue causa de
una disputa entre la ética y el spyware.
Mediante incentivos económicos, una empresa intentó
convencer a los desarrolladores de este videojuego que introdujeran dentro del
código del mismo un spyware.
Suponiendo, en el hipotético caso de que se hubiera
efectuado la modificación a la aplicación. Todos los usuarios que actualizaran
a la nueva versión de la misma, y que por confiar en ella no hubiera revisado
los permisos, podrían ver expuestos sus datos personales.
Cómo proteger información confidencial en un
pendrive
(24.2.2011)
Las capacidades actuales de los dispositivos USB de memoria, ya sean
pendrive’s o discos extraíbles, potencian su utilización tanto como
expansión de las capacidades de almacenamiento interno de equipos de
sobremesa (y especialmente de portátiles y netbooks) como de unidades de
backup.
¿Cómo podemos proteger información confidencial en estos dispositivos?
La solución pasa por cifrar cada uno de los archivos
clasificados como confidenciales antes de almacenarlos en el dispositivo
utilizando para ello programas basados bien en criptografía simétrica o de
llave privada/pública. Para ello podemos seguir dos enfoques:
1. Cifrado Individual de cada uno de los archivos a almacenar 2. Creación de un volumen protegido
En el blog de S21Sec nos dan una orientación de ambos métodos
Los usuarios de ordenadores han estado luchando contra
ataques de phishing durante bastante tiempo. De hecho, el phishing se ha vuelto
tan popular durante los últimos 5 años que ha llevado a tomar algunas medidas
serias para mantener a los usuarios a salvo. Si los navegadores de escritorio
más populares y las suites de seguridad tienen filtros de "phishing" muy
eficaces, no ocurre lo mismo con los teléfonos inteligentes, una categoría de
dispositivos que está ganando popularidad constantemente y facilitando el “e-banking”.
Cuando se trata de "phishing", la atención es la
clave. Una gran cantidad de delincuentes cibernéticos basan sus actividades
maliciosas en que nosotros estemos ocupados, o con prisa, o distraídos, o en
que somos demasiado crédulos. Añadiendo eso a la pequeña pantalla de nuestro
teléfono inteligente (que impide que el usuario vea entera la URL de la página
web solicitada) y a la falta de una solución antivirus o aplicación para el
navegador (como la mayoría de los navegadores móviles no están equipados con tecnologías
antiphishing ), tenemos un cóctel mortal.
Las actualizaciones del navegador no son suficiente protección sino van acompañadas de actualizaciones en los "complementos" de los navegadores.
El 80% de los navegadores son vulnerables. Estas cifras
vienen de escaneos reales de usuarios del servicio de "Qualitys’s
Browser Check", una utilidad gratuita de escaneo dirigida a clientes
liberada el año pasado.
El servicio basado en web es capaz de escanear
sistemas Windows, Mac y Linux en busca de problemas de seguridad,
incluso en el mismo navegador web o en 18 complementos comúnmente
usados, como son Adobe Flash y Windows Media Player.
El Gobierno de Estados Unidos ha cerrado por error 84.000
dominios que se vieron acusados de distribuir pornografía infantil. El problema
se produjo al bloquear un dominio de un proveedor de acceso, Free DNS, del que
dependían estos miles de subdominios.
Al cabo de unas horas, el dominio fue reabierto y progresivamente los
subdominios van recuperando su fisonomía habitual. Con todo, se calcula
que se tardará tres días en reestablecer la normalidad dada la cantidad
de sitios afectados
EE UU aprovecha su competencia en el control de los dominios de primer
nivel (como .com o .net) para anular el registro de los dominios de los
sitios sospechosos.
Estas actuaciones han reabierto la polémica sobre el control que puede
ejercer Estados Unidos sobre la gestión de los dominios en Internet. La
entidad que los regula, ICANN, sociedad sin ánimo de lucro que se rige
por las leyes de California, tiene esta competencia gracias a una cesión
del departamento de Comercio de Estados Unidos que, por razones
históricas del nacimiento de Internet, tiene el control de los mismos.
Primer protocolo de actuación escolar ante el ciberacoso
(18.2.2011)
El libro protocolo, primero de su género que se elabora en
España, fue presentado este lunes 14 de febrero, es el resultado del trabajo de
un conjunto de profesionales que, agrupados bajo el nombre de EMICI (Equipo
Multidisciplinar de Investigación del Ciberbullying), tratan de dar respuesta a
un problema que se manifiesta día a día en nuestra sociedad y, por ende, en las
aulas: la presencia de situaciones del ciberbullying o ciberacoso.
El ciberbullying es un fenómeno sigiloso de graves consecuencias que se
desarrolla por lo general fuera del alcance de la observación
tradicional pero que, no por ello, es menos lesivo que el bullying
tradicional. Requiere una respuesta tan contundente como proporcional y
acertada. La presente guía, en forma de protocolo, pretende aportar
pautas y procedimiento para una eficiente atención escolar de los
fenómenos de ciberbullying.
Muchos usuarios tienen dudas sobre el famoso 'modo incógnito' de Google Chrome.
La duda puede ser lógica al pensar que este modo, con un nombre tan
sugerente, oculta toda nuestra actividad con el navegador, lo cual es
una media verdad.
Tambien existen dudas sobre si se ocultan las páginas de navegación al proxy de mi empresa, o bien el proxy nos tiene "fichados" a pesar de navegar en modo incógnito...
La AGENCIA DEL CONOCIMIENTO obtiene la certificación ISO 27001
Uno de los socios de COSERI, la AGENCIA DEL CONOCIMIENTO ha obtenido la 'Certificación ISO 27001' de su
Sistema de Gestión de Seguridad de la Información, reforzando así su
apuesta por la calidad y la innovación.
Gracias a esta certificación, la Agencia del Conocimiento se posiciona
entre las primeras administraciones públicas a nivel nacional, en
conseguir dicha acreditación.
Casi siete meses después de su descubrimiento Stuxnet
continua dando que hablar.
Stuxnet es un gusano informático que afecta a equipos
Windows y se trata del malware más sofisticado nunca visto.
Usa hasta cuatro vulnerabilidades tipo 0-day, desconocidas
previamente, cuando un malware que use solo una ya de por si es destacable. Además
para ocultarse ejecuta un rootkit a nivel de kernel firmado con certificados
robados a los fabricantes de hardware JMicron y Realtek, lo que implica que
previamente tuvo que realizarse un sofisticado ataque a estas empresas para
sustraer dicho material criptográfico.
Lo más sorprendente vino cuando se comprobó que Stuxnet
atacaba software de control industrial Siemens WinCC, e inyecta código
malicioso en un PLC, y además en una combinación exacta de dispositivos PLC y
configuración que coincide con la que usarían las centrifugadoras empleadas por
Irán en el enriquecimiento de uranio.
Entramos en la era de las ciber-armas: cuya verdadera
dimensión está aun por descubrirse. No se arriesga personal propio, se usa de
una forma limpia y sin daños colaterales importantes, y en definitiva una
relación riesgo/beneficio que supera cualquier operación militar clásica,
además de que políticamente y operativamente apenas implican riesgos
Uno de los riesgos mas preocupantes que nos podemos encontrar cuando
usamos un PC es que todas las pulsaciones realizadas sobre él sean
interceptadas y grabadas.
Los famosos Keyloggers resultan muy útiles para robar principalmente contraseñas
Existen un buen numero de programas 'Anti keyloggers', en el post siguiente ponen a prueba a tres de ellos
Malware (del inglés malicious software), también llamado
badware, software malicioso o software malintencionado es un tipo de software
que tiene como objetivo infiltrarse o dañar una computadora sin el
consentimiento de su propietario.
El término malware es muy utilizado por
profesionales de la informática para referirse a una variedad de software
hostil, intrusivo o molesto. El término virus informático es utilizado en
muchas ocasiones para referirse a todos los tipos de malware, incluyendo los
verdaderos virus.
El software es considerado malware en base a las intenciones
del autor a la hora de crearlo. El término malware incluye virus, gusanos,
troyanos, la mayoría de los rootkits, spyware, adware intrusivo, crimeware y
otros software maliciosos e indeseables.
Malware no es lo mismo que software defectuoso, este último
contiene bugs peligrosos pero no de forma intencionada.
Los
investigadores de seguridad de RSA han confirmado que el autor de SpyEye está
trabajando, mediante la fusión de las
características de SpyEye con las de Zeus (el
troyano más temido de los últimos tiempos), para realizar un “super troyano”.
En un
principio, SpyEye fue el mayor competidor de Zeus en el mercado negro e incluso
incluyó una opción para "matar a Zeus", pero posteriormente y desde
el año pasado han pasado a “fusionarse”.
Post de S21Sec donde se nos conciencia de la seguridad en
los dispositivos móviles en las empresas.
Ya hace años en el entorno empresarial, conviven con los
ordenadores, los móviles, smartphones... Estos dispositivos son realmente
computadoras que necesitan de todos los cuidados y las medidas de seguridad
necesarias.
Por ejemplo, el uso de antivirus en dispositivos móviles no
es una práctica muy extendida y sin embargo ya se empiezan a ver algunos
troyanos dedicados al robo de credenciales en estos dispositivos.
Necesitamos que las herramientas que tenemos para la
correcta gestión de parches, la aplicación de nuestra política de seguridad,
etc. puedan controlar de forma remota estos dispositivos, puesto que además de
la información confidencial que pueden contener, son una puerta clara de
entrada a nuestra organización.
Guía para el uso seguro del DNI electrónico en Internet
(8.2.2011)
Hace unos meses, el Instituto Nacional de
Tecnologías de la Comunicación (INTECO) y Anova IT Consulting (ANOVA),
publicaron la Guía para el uso seguro del DNI electrónico en Internet, con
la que pretenden mostrar la funcionalidad que aporta el DNI en su
versión electrónica para la realización de trámites administrativos y
comerciales a través de Internet.
El documento proporciona las claves para el funcionamiento y utilización del DNI electrónico y analiza la protección que brinda frente a ataques a través de la Red.
Por último, la guía explica cómo la firma electrónica o la certificación de documentos con DNIe aportan al usuario una garantía de identidad, ya que implican el cumplimiento de unos criterios de seguridad y privacidad.
Antes de usar el DNI electrónico en Internet no está de más echar un vistazo a la guía.
La seguridad de las comunicaciones móviles en entredicho.
El pasado 28 de diciembre, un
grupo de hackers lograron en directo romper la seguridad GSM 2G pinchando llamadas de teléfonos GSM, demostrando además que está al alcance de cualquiera con
ciertos conocimientos de programación y electrónica.
Y aunque las transmisiones de datos van por GPRS y/o GSM 3G, la
mayoría de nuestros teléfonos, para conversaciones y SMS aún siguen
usando la red 2G, ya que las operadores quieren dejar el 3G para los
datos y no sobrecargarlas.
Hispasec nos presenta un Kit
para creación de phishing.
No es nada noticiosa la existencia de kits de
creación de phishings y troyanos. Existen muchos. El que nos presentan contiene
una interfaz "especial" que facilita la creación de páginas falsas de
distintas entidades.
Nos debe servir para
concienciarnos de la importancia de la Seguridad Informática, viendo lo sencillo que resulta para cualquiera obtener la
infraestructura necesaria para montar una estafa de este tipo en Internet.
El Port Knocking es un mecanismo de autentificacion que básicamente consiste en realizar varios
intentos de conexión seguidos a ciertos puertos con un protocolo previamente
establecido para “avisar” al sistema de que somos nosotros y nos deje entrar o
ejecute algo que nosotros queramos
Si configuramos así adecuadamente nuestro sistema, podremos configurar nuestro firewall para que bloquee todo el trafico (menos el estrictamente necesario) y
con nuestro sistema de Port Knocking abrir los puertos de los servicios que
necesitemos, solo cuando haga falta y sin temor a perder el control del mismo.
Imprimir documentos confidenciales de forma segura
(2.2.2011)
Hoy sesión doble.
En primer lugar una información para imprimir documentos confidencialmente, porque ¿qué ocurre cuando necesitamos obtener una copia impresa de un documento confidencial y utilizamos para ello una impresora compartida ubicada lejos
de nuestro puesto de trabajo?.
Y en segundo lugar, un interesante informe de McAfee titulado "Una buena década para el cibercrimen" que repasa los últimos 10 años de innovación en malware y actividad criminal online.
Destacando:
1. Infección masiva de MyDoom 2. Gusano "I Love You" 3. Conficker 4. Gusano Stuxnet 5. Botnet Zeus
¿Tenemos una nueva vulnerabilidad en la seguridad
informática basada en el diseño y fabricación de microchips?
Antes sólo había algunas empresas muy especializadas en la
creación, diseño y fabricación de microchips (Intel, AMD, etc.) pero ahora casi
cualquier empresa puede fabricar su propio chip. Y además este proceso
involucra a miles de personas, países y empresas repartidas por todo el mundo.
Por ejemplo, todos los microchips (o la mayoría) incluidos
en marcas norteamericanas como DELL, HP, IBM, etc… están fabricados la mayoría
en China. ¿Qué pasaría si al gobierno chino se le ocurre introducir código
malicioso (un troyano por ejemplo) en alguno de estos chips?
Da igual que tengas un buen sistema operativo/software
extremadamente seguro, si el hardware tiene código malicioso, la cosa se
complica…
Dos interesantes post de SecuritybyDefault sobre las 'One
Time Password' es decir, contraseñas de un solo uso, habitualmente empleadas en
entornos con elevados requerimientos de seguridad.
Se trata de implementar un entorno tal, que requiera, cada
vez que se quiera acceder al sistema una contraseña nueva.
Es decir, en cada momento el servidor espera una contraseña
que va cambiando de forma. De tal forma que si esa contraseña fuera
interceptada, apenas serviría para un corto periodo de tiempo.
Un grupo de investigadores ha encontrado una forma más
rápida y barata de procesar SSL/TLS con hardware comercial, un desarrollo que
podría poner al alcance de más sitios web la posibilidad de combatir ciberamenazas.
La tecnología, denominada SSLShading, muestra cómo los
proxies basados en hardware commodity, puede proteger servidores web sin
ralentizar las transacciones
Informe
de vulnerabilidades y amenazas para iPhone e iPad
(27.1.2011)
INTECO-CERT
ha elaborado un informe sobre vulnerabilidades y amenazas en iPhone e iPad.
El
objetivo de este informe es analizar el estado de la seguridad de estos
dispositivos. Para ello se han identificado y analizado las vulnerabilidades y
principales ataques dirigidos, que los impactan, aportando enlaces de referencia
para su comprensión, mitigación y resolución, en caso de estar disponible.
El
informe también incluye buenas prácticas para la protección de estos dispositivos
Un grupo
de expertos han participado en una votación sobre cuáles han sido las 10 mejores técnicas de hacking web en el
2010.
Los
resultados serán presentados en detalle en la conferencia IT-Defense 2011 que
tendrá lugar en Alemania el próximo mes de febrero: Evercookie, Hacking de
autocompletar, HTTP POST DoS, JavaSnoop, …
Los usuarios de estos entornos también deben cuidar su
seguridad, y en entornos empresariales, estos sistemas deben estar obligatoriamente
incluidos en las Políticas de Seguridad de las empresas.
Se trata un poco de romper mitos tales como 'en Mac no hace
falta antivirus' o ‘los Mac están libres de malware’.
Interesante artículo sobre criptología de hace un mes en
Kriptopolis.
Julian Assange, el responsable de Wikileaks dispone de una
especie de “seguro de vida online”: un fichero público cifrado (llamado
INSURANCE) conteniendo al parecer más revelaciones comprometedoras de las ya
publicadas y cuya clave sería hecha pública si él llegara a tener un
"accidente".
El fichero está cifrado con AES-256. En el artículo se
preguntan sobre la idoneidad de esa decisión, profundizando en el algoritmo AES
y la robustez de sus diferentes versiones.
Desde PandaLabs se ha accedido a una extensa red de
cibercriminales. que a través de foros y más de 50 tiendas online venden todo
tipo de productos y servicios
A través de contactos personales con los ciberdelincuentes
se puede adquirir en el mercado negro datos personales bancarios (tarjetas y
credenciales para banca online) desde 2$ y hasta 700$, con garantía de un saldo
mínimo de 80.000$ en cuenta
Los hackers han diversificado negocio vendiendo además otros
productos: máquinas duplicadoras de tarjetas y cajeros automáticos falsos;
tarjetas bancarias ya duplicadas y garantizadas; realización de transferencias
bancarias para el blanqueo de dinero; falsas tiendas online, etc.
Y si lo que el usuario quiere es tener su propia tienda
online falsa para obtener de esta manera y de forma directa tanto datos de los
usuarios que piquen como el dinero de compras de productos, que nunca recibirán
el equipo de “diseño” de los vendedores ofrecen proyectos llave en mano que
incluyen el diseño y desarrollo de la tienda completa
El estudio hasta nos indica los precios de cada “producto”.
Seguridad
Informática en la última reforma del Código Penal
(20.1.2011)
En la última reforma del Código Penal, se aborda el castigar
formas injustas de acceder a un sistema informático ajeno, que no encajaban
dentro de ninguno de los delitos contemplados en la versión anterior.
Pero podría existir una problemática al no distinguir entre
hacking ético y no ético.
¿Podrían los expertos en seguridad informática, que hacen
investigación de campo en la Red estar vulnerando con su trabajo el nuevo Código
Penal
Autor: ENISE Destaca a su vez los pros y los contras de la seguridad y
resistencia de la comunidad, servicios de computación en nube privados y
públicos para los organismos públicos.
"El nuevo informe
presenta un modelo de toma de decisiones para la gestión senior que tiene como
fin determinar la
mejor solución en nube desde un punto de vista de seguridad y resistencia",
indicó Daniele Catteddu, autor del informe.
El informe detalla y explica los diferentes pasos del modelo de la toma de decisiones,
aplicando el modelo a cuatro servicios de muestras (servicios
electrónicos de salud, procedimientos electrónicos administrativos, e-mail y
aplicaciones de recursos humanos). El análisis y las conclusiones se basan
principalmente en tres escenarios, que describen la migración de la computación
en nube de la autoridad de salud, una administración local pública y la
creación de una infraestructura gubernamental en nube.
La agencia concluye que las
nubes privadas y de comunidad parece que son las soluciones que mejor encajan
en las necesidades de las administraciones públicas si necesitan conseguir el
nivel más elevado de datos de gobierno. Si una infraestructura
de nube privada o de comunidad no llega a la masa crítica necesaria, la mayor
parte de los beneficios de resistencia y seguridad del modelo en nube no se
conseguirán.
El director ejecutivo, profesor Udo Helmbrecht, comentó: "La
nube pública ofrece un nivel muy elevado de disponibilidad de servicios,
consiguiendo además el coste más contenido. A pesar de ello, su adopción en la
actualidad debe limitarse a las aplicaciones no sensibles y no críticas, en el
contexto de la estrategia de adaptación en nube bien definida con una
estrategia de salida clara".
El informe lleva a cabo varias recomendaciones para los organismos
gubernamentales y públicos, incluyendo:
* Los gobiernos nacionales e
instituciones de la UE deberían investigar el concepto de una nueve de
gobierno de la UE. * La computación en nube pronto
servirá como una porción importante para los ciudadanos de la UE, PYMES y
administraciones públicas. Los gobiernos nacionales deberán preparar una estrategia de computación en nube
y estudiar el papel que la computación en nube desempeñará
para disfrutar de la protección de infraestructura de información vital
(CIIP). * Una estrategia nacional de
computación en nube deberá ocuparse de los efectos de la interoperabilidad e interdependencia
nacional/supranacional, fallos en cascada e incluir los proveedores en
nube dentro de los esquemas de información de los
artículos 4 y 13 de la nueva Telecom Framework Directive.
La web de Intypedia Project es un proyecto de CRIPTORED con
el apoyo de la Universidad Politécnica de Madrid, donde diferentes expertos en
la materia diseñan cada lección, con vídeos, explicando todos los apartados de
la seguridad de la información (sistemas de cifrado actuales, autenticación,
firma digital, seguridad en redes e Internet, malware, normativas, etc.
El proyecto persigue difundir conocimientos sobre esta
temática usando un lenguaje accesible por un amplio público
Google nos alertará cuando una web pueda tener su
seguridad comprometida
(18.1.11)
Hace unos días, salió la noticia de que Google incorporará
una nueva utilidad en su popular aplicación de búsquedas online.
Esta vez se
trata de una notificación que aparecerá junto a los resultados de nuestra
búsqueda en Google Search, que nos indicará si un sitio web ha sido manipulado
de manera ilegal, por ejemplo para añadir spam.
De este modo, en la pantalla de búsqueda veremos un enlace
del tipo “This site may be compromised”.
Iniciativa muy interesante por parte de Google, que podría ayudar a mejorar la
seguridad de la Red.
La Seguridad Informática con
los hijos es fundamental. Miles de chavales dejan sus fotos, sus opiniones, sus
quejas, sus citas en Facebook, Twitter, …
Así que muchos padres se han
abierto un perfil anónimo y piden ser “amigo” de sus hijos haciéndose pasar por
lo que no son.
Las redes sociales son como
asomarse a la ventana de la vida social de los hijos, algo que, probablemente,
de otra forma nunca hubieran logrado.
Muchos adolescentes se quejan
de que esta supone una invasión del que consideran su espacio virtual.
¿Fortalece las relaciones
familiares? ¿las perjudica?¿tiene derecho un padre a ello?... el debate está
servido
Desaparece sin explicación el 75% del Spam de Internet
(14.1.11)
Apenas
queda una cuarta parte de la cantidad mundial de correo basura (spam)
en comparación con lo que ocurría hace sólo medio año.
Nadie sabe el motivo real, la causa de este tema, pero lo
cierto es que se ha pasado de de los 200.000 millones de correos diarios a los
50.000 de navidad. Es posible que haya influido la operación policial en Rusia
contra este tipo de organizaciones.
En un
principio este descenso se debe a que uno de los principales botnets, redes infectadas y que
distribuyen spam, ha pasado
de ser el origen del 48% del mismo a sólo un 0,5% del mismo
Y tras repasar la Seguridad del 2010, una previsión de lo
que posiblemente nos espera para 2011.
Los aspectos a destacar en Seguridad Informática para este año:
* Creación de
malware * Ciberguerra * Ciberprotestas * Ingeniería social * Windows 7 * Móviles * Tablets * Mac * HTML5 * Amenazas cifradas
y rápidamente cambiantes
El buscador ha anunciado que, a partir del 1 de marzo, unificará
los términos de uso de 60 servicios y combinará los datos de los
usuarios para ofrecer una experiencia «a medida». Si el usuario decide
seguir utilizando Google tendrá que acatar sus nuevas normas, pero
¿sabemos cómo nos afectan?
La comisaria europea de Justicia, Viviane Reding, ha afirmado que la Unión Europea no contempla el bloqueo de internet como
una opción para proteger los derechos de autor, después del cierre de
la pagina web de almacenamiento y descarga de archivos Megaupload esta semana.
Es la aplicación de moda. WhatsApp envía y recibe más de 11.500 mesnajes cada segundo a todo tipo de teléfonos inteligentes, ya sean iPhone, Android, Nokia o BlackBerry. Y lo hace totalmente gratis, lo que ha puesto al SMS entre la espada y la pared. Con su retirada de la tienda de aplicaciones de Apple, cobran fuerza las dudas sobre la seguridad en las comunicaciones de un programa instalado en millones de terminales.
Imperva ha llevado a cabo una
investigación sobre las diferentes técnicas que usan los hackers para
robar contraseñas, que es una continuación del estudio que realizó en
2009 sobre las malas prácticas en las contraseñas de usuario. Esta
segunda edición de las malas prácticas en las contraseñas empresariales analiza en detalle cómo las
empresas deben implementar sistemas de seguridad más robustos para
mitigar las cada vez más sofisticadas técnicas de los hackers para
hacerse con contraseñas.
El especialista en seguridad acaba de
publicar las conclusiones de su informe anual, un documento que analiza
todo el año 2011 desde la perspectiva de la seguridad, y que ha
concluido que las redes sociales y los dispositivos móviles han sido el
primer objetivo de los ciberdelincuentes durante el año pasado. También muestra una perspectiva de lo que
previsiblemente acontecerá en 2012.
El 2012 continuará con la tendencia de ataques a plataformas móviles y otros de ingeniería social.
Se espera que sistemas como Android reciban nuevos y más sofisticados
ataques. En las previsiones también se contempla un aumento de los
ataques avanzados que durante 2011 han tenido como máximos exponentes a
Stuxnet y Duqu. 
Durante últimos 15 años, empresas en todo el mundo han utilizando
COBIT para mejorar y evaluar sus procesos de TI. Sin embargo, hasta
ahora no existía un programa consistente para evaluar estos procesos.
El nuevo Programa de Evaluación de COBIT de ISACA ofrece consistencia y
confiabilidad para que los líderes de la empresa y de TI puedan
confiar tanto en los procesos de evaluación como en la calidad de los
resultados, al mismo tiempo que maximizan el valor de sus inversiones en
TI. 
Un grupo de piratas informáticos ha utilizado un fallo de seguridad en el sistema operativo Windows
de Microsoft para infectar los ordenadores de los usuarios con el virus
‘Duqu’, virus considerado por algunos expertos en ciberseguridad como
la próxima gran amenaza cibernética.
“Estamos trabajando diligentemente para abordar esta cuestión y se dará a conocer una actualización de seguridad para los clientes”, aseguró Microsoft este martes en un breve comunicado.
Google ha presentado un nuevo Centro de Seguridad Familiar, un sitio web cuyo principal objetivo es informar a los padres sobre cómo proteger y educar a los jóvenes en el uso de Internet. Para este proyecto la compañía ha trabajado con las organizaciones: Protégeles, Save the Children, Fundación Alia2, UNICEF España y EU Kids Online.
PwC acaba de publicar los resultados de la Encuesta Global de la Seguridad de la Información 2012, que ha elaborado conjuntamente con las publicaciones CIO Magazine y CSO Magazine, y que recoge las respuestas de más de 9.600 ejecutivos -324 en España- y responsables de seguridad de la información y TI de 138 países de todo el mundo.
El Instituto Nacional de Tecnologías de la Comunicación (Inteco), ha lanzado la versión 2011 de Conan, una herramienta de descarga gratuita que chequea la configuración de seguridad de los equipos y que desde su nacimiento, hace un año y medio, ha llegado a 21.795 usuarios y ha supuesto la realización de 63.000 análisis.
La estrella de incidentes de seguridad de la semana pasada se la llevó
la PKI Diginotar. Aunque ya hay colgadas en la red múltiples
reflexiones, yo quiero añadir un par de puntos de vista más a
contemplar. Para el que no sepa de qué va el incidente, recomiendo leer
los post de "Security by default", 
La Sociedad General de Autores y Editores (SGAE) no pagaba a los proveedores de contenidos de La Central Digital,
su tienda online donde vendía música y contenidos audiovisuales.
Predicar con el ejemplo en lo que respecta a "piratería" no parece que
fuese una de las máximas de la entidad.
Este servicio gratuito de SSL Labs ejecuta un análisis de la configuración SSL de un webserver.
SonicWall ha publicado los resultados de un nuevo estudio sobre la inteligencia en ciber-seguridad cuyos datos han sido recopilados por la red GRID de SonicWall (Global
Response Intelligent Defense), que recoge y analiza miles de millones
de ciberamenazas globales dinámicas en tiempo real.
El próximo 13 de Septiembre se inicia en
Madrid el ciclo de jornadas teórico-prácticas de formación de IPv6,
como parte del plan del Gobierno Español para la transición al nuevo
Protocolo de Internet, firmado por el Consejo de Ministros el pasado 29
de Abril.
Varios
investigadores de seguridad han detectado un certificado digital
fraudulento para google.com circulando por internet, que permite a los
atacantes hacerse pasar por cualquiera de los servicios de Google, sin
que los navegadores alertaran de ello.
La práctica de los videojuegos es una de las preferidas por los
menores, su uso es muy habitual y mucho más extendido entre los niños
que entre las niñas.
Dentro del conjunto de boletines de seguridad de
agosto publicado el pasado martes por Microsoft, se cuenta el anuncio (en el boletín MS11-058) de dos
vulnerabilidades (la más grave de carácter crítico) en el servidor DNS
de Windows.
Linkedin, la red social de ámbito profesional y sin duda alejada en el tono y la práctica del resto, utiliza nuestra base de datos es decir, foto y nombre, para aplicarla a los anuncios en línea de manera predeterminada. Tu foto junto a la publicidad de una empresa o marca que estas siguiendo. Al
igual que Facebook, un cambio en sus políticas en el mes de junio
permite a la red social utilizar el avatar y nombre de cada uno de sus
usuarios para mejorar los porcentajes de clics en los anuncios en línea.
¿Cómo lo hace? Muy fácil, con la herramienta que lanzó en el mes, Social Advertising.
¿Hasta
qué punto es seguro introducir datos bancarios desde Android? Un
reciente estudio ha descubierto que un fallo en el diseño del sistema
operativo de Google para dispositivos móviles podría ser utilizado por
estafadores para robar este tipo de datos de los usuarios.
Seguimos con Facebook.... El
troyano Win32/Delf.QCZ es muy peligroso pues está diseñado para
desactivar la protección antivirus de los ordenadores y que no haya sido
actualizada recientemente
En un comunicado en el mismo Facebook y un video en Youtube, Anonymous
ha dicho que esta red social es uno de los próximos objetivos. De hecho,
dio la fecha exacta: 5 de noviembre.
No estamos hablando de esteganografia,
ni de ninguna técnica compleja desarrollada por un experto en
tecnología. Hablamos de algo mucho más simple. Hablamos de la
información que algunos dispositivos, entre ellos buena parte de los smartphones,
almacenan sobre la geolocalización de las fotos tomadas sin que en
muchos casos seamos conscientes de ello. La almacenan en la información
oculta de las fotos que con determinado tipo de programas resulta
sencillo extraer (exif reader por ejemplo). Normalmente estos
dispositivos tienen una opción que nos permite configurar si se almacena
o no la posición con sus coordenadas en la información oculta de la
foto. En la Blackberry hay una opción denominada GeoTag, en las opciones
de la cámara, que cumple precisamente esta función.
Se ha publicado una vulnerabilidad que considerada
como crítica, que afecta a Barracuda NG Firewall y permitía ejecutar
código arbitrario con los privilegios de root.
Según un estudio realizado por OPSWAT en 43.000 ordenadores en todo el mundo desde el 23 de marzo al 15 de mayo de 2011, Microsoft Security Essentials, el antivirus gratuito de Microsoft, es el antivirus más usado en el mundo, con un 10,66% de cuota de uso.
Adobe ha publicado una solución de seguridad que solventa un nuevo
fallo encontrado en Flash Player que estaba siendo aprovechado por los
ciberdelincuentes para atacar a los usuarios de Gmail a través de
enlaces maliciosos.
Expertos en seguridad han descubierto un malware específicamente
diseñado para el navegador de Mozilla que hace creer al usuario que su
equipo está infectado para estafarle.
Microsoft Ibérica publica el libro "Esquema
Nacional de Seguridad con Tecnología Microsoft", también disponible en
formato PDF de forma gratuita. Es un trabajo eminentemente divulgativo,
dirigido a los responsables técnicos de las administraciones, encargados
de cumplir los requisitos y las recomendaciones del Esquema. Igualmente
se presenta como una importante guía práctica para todos aquellos que
estén involucrados en el diseño y despliegue de políticas de seguridad
con tecnologías Microsoft.
Se ha publicado la nueva versión de phpMyAdmin que soluciona dos vulnerabilidades.
La reforma del Código Penal no ha afectado al régimen de
responsabilidad penal de las personas físicas que existía antes del 23
de diciembre de 2010 (con excepción de la desaparición de la
responsabilidad solidaria y directa de la persona jurídica respecto a
las multas impuestas a las personas físicas de su organización).
La última herramienta de los 'hackers' para conseguir extender su
malware ha sido la distribución de mensajes en los que se asegura a los
usuarios de Facebook que podrán insertar el botón 'no me gusta' entre sus
herramientas de la red social.
La arquitectura de Facebook ha permitido por error a los anunciantes
tener acceso a perfiles, conversaciones, fotos y otros datos privados de
los miembros de la red social, 
El Internet Systems Consortium (ISC), patrocinador
del servidor DNS más usado, BIND, informa sobre una vulnerabilidad
encontrada en la versión 9 del producto. Aunque matiza que dicha
vulnerabilidad únicamente afecta a usuarios que utilicen la
característica RPZ.
No hace mucho era bastante difícil conseguir buena documentación en español sobre seguridad informática en estos formatos (Audio y Video) y poder aprovechar los tiempos muertos.
1. John the Ripper: herramienta para cracking de contraseñas. 
Cuando un desastre que afecta a los sistemas informáticos ocasiona tiempos de caída en el funcionamiento del negocio, generalmente el impacto es superior en las pequeñas y medianas empresas (pymes). Según un reciente estudio, a este tipo de organizaciones les cuesta 14.500 dólares cada día de caída. Una de las principales conclusiones de este sondeo es que la mayoría de las pymes tienden a adoptar enfoques reactivos frente a los desastres. La mitad del total de empresas sondeadas ha puesto en marcha algún plan de recuperación ante desastres sólo después de haber sufrido una caída.
“Uno de los temas que en la actualidad está en boca de todos no es otro que el relativo al “Cloud Computing”.
Los programas obsoletos se acumulan en la mayoría de los ordenadores a medida que pasa el tiempo. No sólo ralentizan el ordenador y consumen recursos, sino que representan un riesgo para la seguridad del PC que no debería subestimarse.
Las infecciones a través de anuncios incrustados en páginas legítimas no son ninguna novedad. Desde hace años, estas técnicas se ha venido usando con más o menos asiduidad. La última víctima ha sido una aplicación, Spotify, que durante un tiempo, ha mostrado a sus usuarios anuncios que intentaban infectar al usuario. Desde el punto de vista del atacante, esto cambia el modelo de infección y lo hace mucho más efectivo.
CERT INTECO ha añadido dos nuevas herramientas a la sección de útiles gratuitos, en esta ocasión son dos programas de control parental.
Repaso al Sistema de Cifrado de archivos o carpetas incluido en los sistemas Windows bajo el nombre de EFS (Encryption File System).
La vicepresidenta de la Comisión Europea y responsable de
Justicia, Viviane Reding, ha anunciado este miércoles que antes del verano
presentará una propuesta legislativa para proteger el derecho al olvido en las
redes sociales. El objetivo de esta iniciativa es que los usuarios puedan
exigir a empresas como Facebook que borren completamente sus datos personales o
fotos cuando se den de baja en el servicio.
Con la nueva reforma del Código Penal, las personas
jurídicas pueden ser penalmente responsables de los delitos cometidos por sus
empleados, en aquellos posibles casos, que no se hubiesen adoptado sobre ellos,
el debido control atendiendo a las circunstancias concretas del caso.
La seguridad TIC, abarca mucho más que PCs y smartphones. Caribou
es una aplicación en Android capaz de abrir fácilmente cualquier sistema de
acceso con tarjeta basándose en una vulnerabilidad que afecta a los sistemas de
Los temidos pantallazos azules son la máscara que Windows se pone
para decirnos que algo va mal.
Además del DNI electrónico, existen varios certificados
digitales que pueden usarse en los trámites con la Administración electrónica: el
más común, el de la Fábrica Nacional de Moneda y Timbre.
Las denuncias por el envío de correos electrónicos donde se
dejan a la vista los destinatarios se han duplicado en los últimos dos años.
Según el equipo de investigación de WatchGuard el rápido
crecimiento de las amenazas en los entornos corporativos está en las
aplicaciones sociales basadas en la web.
El Gobierno ha introducido modificaciones en los artículos
43,44, 45, 46 y 49 de la LOPD (Ley Orgánica de Protección de Datos) . La AEPD
(Asociación Española de Protección de Datos) considera que las reformas
aportarán mayor seguridad jurídica y contribuirán a lograr una mayor precisión
en la aplicación de la Norma. Ayer 6 de marzo entró en vigor la Ley de Economía
Sostenible, tras su publicación en el BOE el sábado 5 de marzo, que incluye en su Disposición final quincuagésima
sexta la reforma los artículos 43,44, 45, 46 y 49 - referidos al régimen
sancionador- de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de
Datos de Carácter Personal. Gobierno LOPD
Siempre se suele contar qué hacer para prevenir el malware o
cómo evitar ser víctimas de él pero …¿qué hay con aquellos que ya se infectaron?
¿Qué es el 
Exite un proyecto llamado pentest-bookmarks que recoge de una forma muy ordenada gran
cantidad de enlaces a blogs, herramientas, foros, etc relacionados con el mundo
de la seguridad informática.
Parchear un sistema es algo absolutamente necesario, tengas
el sistema que tengas y la plataforma hardware que tengas. No importa que tu
vecino tenga un Mac OS X o que tú tengas un Windows Phone, hay que parchear
todas las plataformas. 
Tener buenas prácticas de desarrollo seguro es una costumbre
que todo programador debería cultivar, pero todos sabemos que conocerlas y
ponerlas en prácticas no es una tarea fácil, es por eso que existen proyectos
como el “OWASP Secure Coding Practices Quick Reference Guide” que nos facilitan
un poco el trabajo proporcionándonos una guía de referencia a seguir para
garantizar que nuestro trabajo esta buen hecho.
Nuevas técnicas de introducción de spyware mediante
incentivos económicos a empresas desarrolladoras.
Las capacidades actuales de los dispositivos USB de memoria, ya sean
pendrive’s o discos extraíbles, potencian su utilización tanto como
expansión de las capacidades de almacenamiento interno de equipos de
sobremesa (y especialmente de portátiles y netbooks) como de unidades de
backup.
Los usuarios de ordenadores han estado luchando contra
ataques de phishing durante bastante tiempo. De hecho, el phishing se ha vuelto
tan popular durante los últimos 5 años que ha llevado a tomar algunas medidas
serias para mantener a los usuarios a salvo. Si los navegadores de escritorio
más populares y las suites de seguridad tienen filtros de "phishing" muy
eficaces, no ocurre lo mismo con los teléfonos inteligentes, una categoría de
dispositivos que está ganando popularidad constantemente y facilitando el “e-banking”.
Las actualizaciones del navegador no son suficiente protección sino van acompañadas de actualizaciones en los "complementos" de los navegadores.
El Gobierno de Estados Unidos ha cerrado por error 84.000
dominios que se vieron acusados de distribuir pornografía infantil. El problema
se produjo al bloquear un dominio de un proveedor de acceso, Free DNS, del que
dependían estos miles de subdominios.
El libro 
Muchos usuarios tienen dudas sobre el famoso 'modo incógnito' de Google Chrome.
Casi siete meses después de su descubrimiento Stuxnet
continua dando que hablar.
Uno de los riesgos mas preocupantes que nos podemos encontrar cuando
usamos un PC es que todas las pulsaciones realizadas sobre él sean
interceptadas y grabadas.
Los
investigadores de seguridad de RSA han confirmado que el autor de SpyEye está
trabajando, mediante la fusión de las
características de SpyEye con las de Zeus (el
troyano más temido de los últimos tiempos), para realizar un “super troyano”.
Post de S21Sec donde se nos conciencia de la seguridad en
los dispositivos móviles en las empresas.
Trend
Micro publica una serie de consejos para que los usuarios puedan
navegar por Internet de forma más segura y protegerse ante posibles
amenazas:
Hace unos meses, el Instituto Nacional de
Tecnologías de la Comunicación (INTECO) y Anova IT Consulting (ANOVA),
publicaron la Guía para el uso seguro del DNI electrónico en Internet, con
la que pretenden mostrar la funcionalidad que aporta el DNI en su
versión electrónica para la realización de trámites administrativos y
comerciales a través de Internet.
La seguridad de las comunicaciones móviles en entredicho.
Hispasec nos presenta un Kit
para creación de 
El Port Knocking es un mecanismo de autentificacion que básicamente consiste en realizar varios
intentos de conexión seguidos a ciertos puertos con un protocolo previamente
establecido para “avisar” al sistema de que somos nosotros y nos deje entrar o
ejecute algo que nosotros queramos 
Hoy sesión doble.
Y en segundo lugar, un interesante informe de McAfee titulado "Una buena década para el cibercrimen" que repasa los últimos 10 años de innovación en malware y actividad criminal online.
¿Tenemos una nueva vulnerabilidad en la seguridad
informática basada en el diseño y fabricación de microchips?
Antes sólo había algunas empresas muy especializadas en la
creación, diseño y fabricación de microchips (Intel, AMD, etc.) pero ahora casi
cualquier empresa puede fabricar su propio chip. 
Dos interesantes post de SecuritybyDefault sobre las 'One
Time Password' es decir, contraseñas de un solo uso, habitualmente empleadas en
entornos con elevados requerimientos de seguridad.
Un grupo de investigadores ha encontrado una forma más
rápida y barata de procesar SSL/TLS con hardware comercial, un desarrollo que
podría poner al alcance de más sitios web la posibilidad de combatir ciberamenazas.
INTECO-CERT
ha elaborado un informe sobre vulnerabilidades y amenazas en iPhone e iPad.
Un grupo
de expertos han participado en una votación sobre cuáles han sido las 10 mejores técnicas de hacking web en el
2010.
Post sobre seguridad en Mac OSX de Apple.
Interesante artículo sobre criptología de hace un mes en
Kriptopolis.
Desde PandaLabs se ha accedido a una extensa red de
cibercriminales. que a través de foros y más de 50 tiendas online venden todo
tipo de productos y servicios
En la última reforma del Código Penal, se aborda el castigar
formas injustas de acceder a un sistema informático ajeno, que no encajaban
dentro de ninguno de los delitos contemplados en la versión anterior.
Autor: ENISE
La web de 
Hace unos días, salió la noticia de que Google incorporará
una nueva utilidad en su popular aplicación de búsquedas online. 
La Seguridad Informática con
los hijos es fundamental. Miles de chavales dejan sus fotos, sus opiniones, sus
quejas, sus citas en Facebook, Twitter, …
Consejos prácticos y medidas a tomar para poder realizar
nuestras compras en Internet de la manera
más segura posible, repasando entre otras cosas:
Hola a todos.
