El phishing aumentó un 66% en sólo un mes

En diciembre de 2007, España se situó como tercer país del mundo receptor de este tipo de ataques.

A pesar de los múltiples avisos y recomendaciones que se hacen, los internautas siguen cayendo en las redes de los mensajes de phishing bancarios y, sus creadores, obteniendo grandes beneficios. Sólo así se explica el imparable ascenso que se registra cada mes de este tipo de correos estafa.

De hecho, según RSA, la división de seguridad de EMC, el pasado mes de diciembre aumentaron de forma drástica los ataques de phishing hasta alcanzar lo 13.013, un 66% más que en noviembre, en el que se registraron 7.833 ataques en todo el mundo.

En cuanto a entidades financieras objetivo de los hackers, también durante diciembre se registró un incremento del 17%, pasando de 159 entidades en noviembre, a 186 registradas en diciembre.

España, durante ese mes, se convirtió en el tercer país del mundo receptor de este tipo de mensajes, ya que el 7% del total de phishing fue enviado contra bancos españoles. En concreto, han sido 12 entidades víctimas de phishing con un total de 52 ataques, la mayoría de ellos procedentes de Estados Unidos.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1391

Seguir leyendo...

Identifican a un joven español de 23 años que estafó en más de 1000 euros a su madre por internet

Según el comunicado policial, las pesquisas comenzaron después de que la madre de J.A.T. interpusiera una denuncia por transacciones no realizadas.

La Policía comprobó a partir de esa denuncia que todas las operaciones habían sido realizadas a través de la red, pero al contactar con los administradores de dichas páginas 'se comprobó que ambas carecen de contacto o representación legal en España, encontrándose ubicadas en Suecia y Austria respectivamente', hecho que según la Delegación 'supuso una importante traba en la continuación de la investigación, pues no se podía obtener la información para identificar al autor de los hechos'.

Finalmente, fue el Servicio de Prevención del fraude el que aportó 'los datos técnicos y de registro de las conexiones', según los cuales los cargos 'se había efectuado desde el domicilio de la denunciante'. 'Esta circunstancia, sumada a otras que se habían recopilado durante la investigación, fue determinante para la identificación del hijo de la perjudicada como responsable de los cargos', concluyó la Policía Nacional.

Fuente: http://www.laregioninternacional.com/noticia/16851/Internet/robo/madre/

Seguir leyendo...

CAPTCHA de Yahoo Hackeado

Se puede decir de un modo sencillo que un sistema CAPTCHA⁽¹⁾ es esa casilla que encontramos en muchos blogs y servicios de registro para evitar recibir SPAM de sistemas atomatizados.

Uno de los mas populares y potentes es el de Yahoo, al menos lo era hasta ahora. Y es que un hacker ruso ha conseguido automatizar un sistema de saltarse esta restricción, consiguiendo un éxito del 35% de aciertos.

El sistema de Yahoo es de los mas seguros, pues utiliza valores alfanuméricos para mostrar los caracteres que el navegante debe introducir/reproducir y así demostrar que es un visitante real (humano) y no una máquina de registro automático de usuarios, envío de mensajes, etc.

El hacker dice haber avisado a Yahoo del problema de seguridad con el CAPTCHA, y estos dicen estar trabajando en mejoras en el sistema.

Este asunto no es menor, pues con el poder viral de la red pronto podemos estar frente a herramientas para newbies que les facilite el registro indiscriminado de direcciones de correo en foros y blogs para, de este modo, llenar la red de publicidad de Viagra u otros sistemas de alargamiento del pene, por poner un ejemplo.

Para terminar de complicar el asunto, el motor de reconocimiento está disponible para descarga en esta web, por lo que no va a ser difícil parar esta nueva amenaza.

Fuente: http://ciberprensa.com/2008/01/31/captcha-de-yahoo-hackeado/

Seguir leyendo...

Los hombres creen ser menos vulnerables a los ataques informáticos que las mujeres

En lo que se refiere a seguridad informática, todo el mundo cree ser un experto, y más que nadie, los hombres, según revela una encuesta elaborada por el fabricante de software de seguridad AVG. Eso sí, AVG busca con esta encuesta promocionar su software.


En la encuesta participaron 1.400 adultos de Gran Bretaña a los que se preguntó si eran conscientes de los riesgos que corrían al navegar por Internet. Los hombres se mostraron excepcionalmente confiados en su destreza para mantenerse seguros y sólo un 4 por ciento dijo que no sabían qué tipo de protección tenían instalada.

Pero la confianza no significa estar exento de peligros. Según la encuesta de AVG, un tercio de los usuarios (tanto hombres como mujeres) habían sufrido alguna forma de robo de identidad. Y cuando se les preguntó si cambiarían sus hábitos para que algo así no volviera a pasar, sólo el 20 por ciento dijo estar dispuesto a hacerlo.

Uno de los responsables de la encuesta en AVG afirma: “Tengo la sensación, tal vez porque soy un hombre, de que esta es una de esas cosas de género. Los hombres creen que tienen más control sobre las cosas que hacen”.

El problema, según AVG, es que los usuarios no tienen muchas opciones de reducir el riesgo, a menos que desconecten el ordenador del router. Bueno, esto tampoco es del todo cierto. La elección de la plataforma repercute directamente en los factores de riesgo. Y como finalmente viene a decir AVG, su software antivirus (que es gratuito), y su antispyware, también.

Fuente: http://www.theinquirer.es/2008/01/31/los_hombres_creen_ser_menos_vulnerables_a_los_ataques_informaticos_que_las_mujeres.html

Seguir leyendo...

España: Rastrear el contenido de los mails para personalizar los anuncios vulnera la privacidad

Esta semana, coincidiendo con la celebración el lunes del Día Europeo de la Protección de Datos, se ha conocido que la Agencia Española de Protección de Datos (AEPD) considera que los servicios de correo electrónico de Google, Microsoft y Yahoo! vulneran la legislación española.

La AEPD explica que dichos servicios escanean los correos de sus usuarios con varias finalidades, como prevenir virus informáticos en los ficheros adjuntos y filtrar los correos que se consideran spam. Sin embargo, no es lícito que las compañías rastreen el contenido de los mensajes para personalizar la publicidad en el correo.

Además, la Agencia recibió el año pasado las primeras reclamaciones por parte de personas que vieron vulnerados sus derechos por la inserción de imágenes en YouTube, o el intercambio de archivos a través de programas P2P, como el Emule. AEPD recibió en 2007 unas 900 demandas de tutela, casi el doble que en 2006, lo que evidencia una concienciación cada vez mayor sobre este asunto.
Las tutelas son gratuitas y se refieren al derecho de los ciudadanos a conocer la información personal que se encuentra en poder de entidades públicas, y eliminar o corregir los datos inexactos o irreales.

El 90% de las empresas que protagonizan las demandas de tutelas incumplimiento de la Ley Orgánica de Protección de Protección de Datos de Carácter Personal (LOPD) pertenecen al sector financiero y de las telecomunicaciones, básicamente por la inclusión indebida en ficheros de morosos y la obtención fraudulenta de información personal.
Estas empresas se exponen a sanciones que pueden alcanzar los 600.000 euros en los casos más graves y los 600 en los más leves. La AEPD impuso el año pasado más de 300 multas por vulnerar los derechos en materia de protección de datos.

Fuente: http://seguridad-informacion.blogspot.com/2008/01/espaa-rastrear-el-contenido-de-los.html

Seguir leyendo...

Argentina: Ley 26.343 reforma la ley de protección de datos personales (25.326)

El blanqueo legal de morosos: comentario a la ley 26.343 que reforma de la ley de protección de datos personales, Ley 25.326.

1. Introducción
A fines del año 2007 el Congreso aprobó la ley 26.343, que reforma la ley de protección de datos personales 25.326. La norma se publicó el 9 de enero de 2008 en el Boletín Oficial y entró en vigencia a los ocho días de su publicación. Mediante esta ley se incorpora un nuevo art. 47 a la ley 25.326 de Protección de los Datos Personales. El propósito de esta nota es comentar los antecedentes de la reforma, sus principales aspectos y cómo deberá ser interpretada en la práctica.

2. Antecedentes
Cuando a fines del año 2000 se sancionó la ley 25.326 de protección de datos personales, el Congreso incluyó un “blanqueo de morosos” en el art. 47 por el cual se buscaba “limpiar” los datos negativos de deudores existentes a la época de la sanción de la ley. Esa norma, muy criticada por la doctrina y generadora de una gran polémica , fue observada por el Poder Ejecutivo en ejercicio de la facultad prevista en el art. 83 de la Constitución Nacional y el Congreso nunca insistió.
Luego de la crisis del año 2001, se presentaron diversos proyectos de leyes tendientes a paliar la situación informativa de deudores de entidades financieras que aparecían en situación irregular, informados en bancos de datos de informes comerciales y en la base de datos del Banco Central. En el primer semestre del año 2006 existían mas de una veintena de proyectos de ley con tal finalidad en la cámara de diputados. Los proyectos se debatieron durante todo ese año, e incluso el PEN dictó una prórroga de sesiones a través del decreto 1670/06, que posibilitó que en la cámara baja se aprobara esa reforma en el mes de diciembre de aquel año.
Pero para poder ser tratado, el proyecto de reforma se desdobló en dos proyectos que recibieron aprobación el mismo día en la cámara baja. El primero obligaba a través de la modificación del art. 47 de la ley de 25.326, a eliminar de los registros de las empresas de riesgo crediticio a los morosos que se hubiesen endeudado durante la última crisis económica “siempre y cuando esas deudas hubieran sido canceladas o regularizadas al momento de entrada en vigencia de la presente ley o lo sean dentro de los 180 días posteriores a la misma”. Este es el proyecto convertido en ley que comentamos.
El segundo proyecto de reforma de la ley 25.326 , era una reforma muy amplia y controvertida del art. 26 de la ley 25.326 por la cual se introducían toda una serie de nuevos requisitos para incluir información en bancos de datos de informes comerciales y se encomendaba a la Dirección de Protección de datos personales (que a la fecha no cuenta con recursos suficientes para realizar todas las tareas que le encomienda el art. 29 de la ley 25.326) la creación de un registro de juicios finalizados. De aprobarse, constituirá una reforma integral de la regulación de informes comerciales, en especial del art. 26 de la ley 25.326 .

3. Principales aspectos de la ley 26.343
Como se señaló, la ley tiene un sólo artículo integrado por cuatro párrafos mediante el cual se incorpora un nuevo artículo 47 a la ley 25.326 con la siguiente redacción.

A continuación se comentan los aspectos salientes de la norma.
3.1. Sujetos que deben cumplir con la ley
La norma se aplica a los “bancos de datos destinados a prestar servicios de información crediticia”. La norma coincide con la terminología usada por el art. 26 de la ley 25326 (esta se refiere a “prestación de servicios de información crediticia”) pero su campo es mas amplio porque alcanza a todo aquel que vende informes comerciales .
La norma alcanza también a los bancos y entidades financieras que les informan estos datos, ya que éstos también también deberán cumplir con el mandato legal para que lo dispuesto por el Congreso sentido. Ello surge además del último párrafo del art. 47 que hace referencia a la obligación del acreedor de comunicar (a la empresa de informes comerciales o al BCRA) la cancelación o regularización de la obligación.
Como veremos, la norma también alcanza a las bases de datos que mantiene el BCRA pues en definitiva al haber creado esta base de datos, el BCRA actúa como una central de riesgos de carácter público o estatal.

3.2. Derechos de los titulares de datos frente a esta norma
La ley dispone, un tanto sobreabundantemente, que “toda persona que considerase que sus obligaciones canceladas o regularizadas están incluidas en lo prescripto en el presente artículo puede hacer uso de los derechos de acceso, rectificación y actualización en relación con lo establecido (en esta norma)”.
Está claro que si la norma se inserta en el art. 47 de la ley 25.326 tales derechos integraban el plexo de recursos que dispone el titular de los datos personales. Pero la aclaración ayuda al interprete a concluir que el incumplimiento de estas disposiciones dejará habilitada la acción de protección de datos personales prevista en el art. 33 de la ley 25.326.

3.3. Obligación de comunicar
La norma finaliza señalando que “Sin perjuicio de lo expuesto en los párrafos precedentes, el acreedor debe comunicar a todo archivo, registro o banco de datos al que hubiera cedido datos referentes al incumplimiento de la obligación original, su cancelación o regularización”.
Esta norma refuerza lo que decíamos al comienzo acerca de su aplicación a todo acreedor, incluidos bancos y entidades financieras. Es que no tiene ningún sentido que solo se imponga su cumplimiento a las empresas de informes comerciales y no a quienes le suministran los datos en cuestión. Por otra parte tampoco serviría a los propósitos de la ley que los bancos cesen de informar si el dato sigue figurando históricamente, por ende la norma impone una obligación activa dentro de los supuestos contemplados en el art. 47, que recae tanto sobre la entidad financiera como sobre la proveedora de informes comerciales. El acreedor debe comunicar a todos aquellos a quienes hubiera cedido datos referentes al incumplimiento de la obligación original su cancelación o regularización en los términos de esta ley y el receptor debe borrar la deuda histórica respectiva. No alcanza, como sostuvo algún fallo adecuadamente, con dejar de informar el dato negativo .

4. Conclusiones y sugerencias
La ley introduce una modificación de poca importancia en la ley de protección de datos personales. Hay muchas e importantes reformas pendientes respecto de la materia que deberían implementarse en nuestro país; y no todas requieren que se modifique la ley 25.326. Entre otras señalamos las reformas requeridas por la Unión Europea al aprobar a Argentina como país adecuado y otras que la práctica y aplicación diaria de la ley, que ya cumple siete años, requiere decididamente tanto en materia de fondo como la procesal. Estas reformas deberán hacerse con el consenso y participación de todos los interesados, porque en la sociedad de la información la protección de datos personales y la privacidad debería ser una política de estado. Por otra parte, como hemos señalado en otra ocasión , los temas sobre informes comerciales, si bien suelen ser los más abordados en nuestra doctrina y jurisprudencia, no son por ello los mas importantes dentro del amplio campo del Derecho de la Protección de los Datos Personales.

Fuente: http://seguridad-informacion.blogspot.com/2008/01/argentina-ley-26343-reforma-la-ley-de.html

Seguir leyendo...

Denegación de servicio a través del sistema de archivos minix en el kernel 2.6.x de Linux

Se ha encontrado una vulnerabilidad en el kernel de linux que podría permitir a un atacante local causar una denegación de servicio.

El fallo se debe a un error en el manejo de estructuras de datos corruptas en el sistema de archivos minix. Ésto podría ser explotado para hacer que el sistema deje de responder (denegación de servicio) si se monta una imagen especialmente manipulada.

La vulnerabilidad reside en todas las versiones anteriores a la 2.6.24.

En la nueva versión se han subsanado también otros problemas, pudiendo estar alguno de ellos relacionados con la seguridad.

El problema está corregido en la versión 2.6.24.

Fuente: http://www.rzw.com.ar/seguridad-informatica-4975.html

Seguir leyendo...

Mejoran exploit que afecta al kernel de Windows

El exploit para la vulnerabilidad que afecta al protocolo TCP/IP en Microsoft Windows, sigue dando que hablar. La vulnerabilidad se produce porque el kernel de Windows realiza una validación insuficiente cuando almacena el estado de las solicitudes IGMP que procesa TCP/IP.

TCP/IP es el conjunto de protocolos de comunicaciones que se usa para transmitir datos a través de las redes.

IGMP es el protocolo de administración de grupo de Internet, que se utiliza para la comunicación entre un solo emisor y múltiples receptores en una red (IPv4).

Hace una semana, publicábamos que Immunity Inc., la compañía creadora del software CANVAS, utilizado para pruebas de penetración, había actualizado su herramienta para hacer pruebas valiéndose de la vulnerabilidad mencionada.

Esta semana, una versión mejorada del exploit, demuestra que la vulnerabilidad es altamente explotable, a pesar de lo que afirma Microsoft. Aún así, Immunity reconoce que este nuevo exploit no es 100% confiable.

En una animación en Flash colgada en el sitio de Immunity, se puede apreciar el exploit en acción. Allí se puede comprobar como dos equipos con Windows XP SP2 sin el parche publicado en el boletín MS08-001, son comprometidos a pesar del firewall de Windows, activo en ambas máquinas, demostrando la posibilidad de ejecución remota de código.

Es posible que esta ejecución se realice en el contexto del kernel de Windows, lo que podría ser especialmente crítico en Windows Vista, ya que un usuario remoto podría introducir código aún a pesar de las restricciones para ejecutar comandos a ese nivel de forma local (aún siendo administrador del PC). Y además, sin ningún tipo de autenticación.

Lo cierto es que las posibilidades de sacar provecho de este problema para introducir troyanos y rootkits en los sistemas de los usuarios que no han instalado el parche del boletín MS08-001, aumentan enormemente.

Es muy probable que en los próximos días (o tal vez horas), alguien cree una forma de explotar esto por medio de un malware, comprometiendo a miles de equipos en pocos minutos.

Es de vital importancia que los usuarios de Windows Vista y Windows XP, actualicen a la brevedad su sistema instalando los últimos parches, especialmente el descrito en el boletín MS08-001.

Fuente: http://www.rzw.com.ar/seguridad-informatica-4974.html

Seguir leyendo...

Mozilla eleva nivel de alerta para fallo en Firefox

De acuerdo al blog de seguridad de Mozilla, la vulnerabilidad reportada hace unos días en Firefox (ver ), sería de gravedad alta.

Un atacante podría valerse de este agujero, para obtener información del equipo atacado, incluyendo las cookies y el historial del usuario actual.

Sin embargo, Firefox no es vulnerable por defecto. Solo están en riesgo los usuarios que hayan instalado ciertas extensiones que utilizan una estructura de directorio plana (las llamadas “flat”), en lugar de archivos .JAR.

Una lista parcial de estas extensiones puede verse en el siguiente enlace: https://bugzilla.mozilla.org/attachment.cgi?id=300181

Mozilla recomienda a los autores de estas extensiones realizar una actualización de las mismas, en un paquete .JAR.

Cómo anunciábamos hace unos días, el problema se produce por un error de filtrado en los caracteres utilizados para ciertos parámetros al manejarse el protocolo CHROME.

Este protocolo utiliza archivos escritos en XUL, un lenguaje XML creado para facilitar el desarrollo del navegador Mozilla.

La vulnerabilidad permite el acceso de un atacante a directores superiores, y a partir de allí, a partes sensibles del sistema.

Mozilla acelera la salida de su Firefox 2.0.0.12 para corregir este problema.

Fuente: http://www.rzw.com.ar/seguridad-informatica-4972.html

Seguir leyendo...

¿Con amigos así, quién necesita enemigos?

Viendo las cada vez más frecuentes noticias sobre dispositivos comprados en tiendas que estaban infectados por algún tipo de código malicioso (discos duros, iPODs, USB, GPS, ...) es la excusa perfecta que esperabamos los paranoicos para desconfiar cuando un amigo nos deja un USB, una cámara de fotos, cualquier dispositivo que se quiera conectar a nuestra máquina por alguno de sus interfaces. Pero imaginemos que estas Navidades nos han regalado uno de los regalos estrella de este año: un marco de fotos electrónico. ¿A quién se le va a ocurrir que al conectarlo a tu ordenador te va a poder infectar?

Parece que ha ocurrido en USA, pero no me atrevería a decir que no hubiera ocurrido en España.

¿Necesitaremos los usuarios una protección adiccional al igual que tenemos nuestros IPS de red para confiar en dispositivos externos? ¿Son suficientes las capas de seguridad que tenemos en nuestros sistemas? Hagamos una prueba. O es un nicho de mercado a explotar, o la verdad, no tiene sentido.

Más bien las preguntas tendrían que ser ¿quién de vosotros tiene aún el AutoRun activado? ¿tenemos que concienciar más a los usuarios?¿por qué los fabricantes en su procesos de calidad rara vez contemplan aspectos de seguridad?¿os habéis encontrado con algún caso parecido?

Fuente: http://blog.s21sec.com/2008/01/con-amigos-as-quin-necesita-enemigos.html

Seguir leyendo...

Hoy es el día internacional de 'cierra tu cuenta de MySpace'

Lo declaró un bloguero cansado del spam que genera el portal. MySpace se ha pronunciado al respecto.

Gracias a internet, hasta las propuestas más insólitas tienen posibilidades de salir adelante. El último caso está relacionado con la famosa red social MySpace.

Un bloguero llamado Simon Owens, cansado de las incomodidades que genera el citado portal, decidió declarar el 30 de enero como Día Internacional para Borrar tu Cuenta de MySpace.

Owens citaba algunas de las molestias que ocasiona el servicio, como correos falsos con el nombre de sus contactos, avisos anónimos de cumpleaños o el correo basura que se genera.

Aseguraba que desde el principio tuvo ganas de eliminar su cuenta de MySpace, pero que no lo hizo porque muchos de sus amigos aún no disponían de un sitio en Facebook.

La iniciativa ha tenido mucho éxito y ha sido recogida por multitud de blogs y medios. El asunto ha llevado incluso a una portavoz de MySpace a hacer declaraciones al respecto, minimizando la importancia del tema. Algo paradójico, puesto que si se tratase de algo irrelevante esas declaraciones serían innecesarias.

Fuente: http://www.20minutos.es/noticia/341499/0/borra/cuenta/myspace/

Seguir leyendo...

Sitios web verdaderos superan a los creados para robar información

El reporte de Websense Security Labs resume las amenazas de seguridad de la segunda mitad del 2007.

Informan que el número de sitios Web, cuya seguridad ha sido comprometida por los atacantes, ha superado al número de aquellos creados con ese propósito por los atacantes.

Los investigadores de Websense advierten a los usuarios de Internet tener cuidado cuando dan clic o visitan un sitio, incluso si es uno confiable y de sus favoritos. Estos sitios presentan un riesgo importante para las empresas, porque las medidas de seguridad tradicionales no están diseñadas para manejar estos ataques, y los atacantes usan técnicas avanzadas, como los resultados de las herramientas de búsqueda para conducir el tráfico a sitios infectados. Los atacantes saben que los sitios comprometidos con reputación buena; es decir, sitios que cuentan con un gran grupo de visitantes, junto con correos electrónicos señuelo más efectivos pueden mejorar la efectividad de los ataques.

Por ejemplo, el 27 de agosto de 2007, Websense descubrió un ataque lanzado dentro del portal de SIDA de Asia-Pacífico de las Naciones Unidas, que demuestra cómo los atacantes, en un intento por elevar el índice de infección, alteran la seguridad de sitios Web legítimos, en vez de crear un sitio nuevo. En este caso, cuando los visitantes abrían el sitio Web de las Naciones Unidas, los usuarios sin protección descargaban sin darse cuenta un Troyano que infectaba su computadora con código malicioso. Las víctimas se convirtieron en participantes sin conocimiento en una red informática que los atacantes pueden usar para futuros ataques maliciosos, presentando un riesgo para usuarios de computadoras personales y en empresas.

Dan Hubbard, Vicepresidente de Investigación sobre Seguridad de Websense, mencionó: “Más y más atacantes comprometen la seguridad de sitios Web legítimos para infectar a los visitantes con códigos, y así robar información o agregar las máquinas de éstos a redes informáticas. Además, están incrementando la complejidad de sus métodos de ataque y construyendo infraestructuras resistentes como vimos el año pasado con los ataques del storm worm (Troyano). Se cree que los atacantes continuarán con la creatividad, impulsarán las aplicaciones Web 2.0 y generarán contenido basado en el usuario para crear mayores problemas de seguridad para las empresas. Con esto en mente, las empresas necesitan asegurar su Red, las soluciones para seguridad de correo electrónico e información pueden proteger las vías que los hackers buscan explotar para obtener una ganancia financiera”.

El reporte muestra con claridad que los ataques basados en eventos y en Web 2.0 aumentaron en la segunda mitad de 2007. La combinación de amenazas con múltiples vectores de ataque evadieron las tecnologías de seguridad basadas en reconocimiento de firma, como el anti-virus. En la segunda mitad de 2007, Websense aprovechó su incomparable visión de la Web y el correo electrónico, e identificó y mitigó con éxito varios intentos y ataques de alto perfil en la Web, entre los que se encuentran:

Ataque basado en Web 2.0 dirigido a usuarios de MySpace y sus amigos – El 13 de septiembre de 2007, Websense fue el primero en encontrar el ataque Web 2.0 “Phast Phlux Phishing” en MySpace, sitio popular de red social. Después de que MySpace anunció el incremento en las medidas para proteger a los usuarios de amenazas en línea, la seguridad de muchos usuarios se vio comprometida por este engaño que robó la información confidencial de registro de los usuarios con propósitos maliciosos. Una vez infectados, los perfiles de las víctimas de MySpace diseminaron el ataque de manera viral a través de las “listas de amigos”. Aunque el dominio malicioso se originó en China, las computadoras personales de los navegadores de la Red, que sin querer participaron en este ataque, fueron los huéspedes más infectados.
Troyano diseñado para robar información en Halloween – El 29 de octubre de 2007, Websense fue el primero en encontrar información sobre un Troyano que robaba información en forma de una tarjeta de felicitación de Halloween de Yahoo!, lanzado dos días antes de la festividad. Los atacantes engañaron a los usuarios que no contaban con la protección de seguridad adecuada para Web, al bajar código malicioso diseñado para robar información financiera importante, como contraseñas, tarjetas e información bancaria en línea.

Troyano para robar información gubernamental – El 3 de diciembre de 2007, Websense descubrió una nueva variante de ataque de correo electrónico, similar a los ataques antes lanzados, que alegaban ser del Servicio Fiscal de Estados Unidos (IRS por sus siglas en inglés) y del Better Business Bureau [Buró de Mejores Negocios]. El mensaje del correo electrónico mencionaba que se había registrado una queja en el Departamento de Justicia de Estados Unidos contra la empresa del remitente, e informaba al lector que se anexaba una copia de la queja original. La “copia” anexa era un Troyano para robar información. Al momento del descubrimiento, ningún proveedor de anti-virus había detectado el código malicioso ni había protegido a los clientes.

Los investigadores de Websense Security Labs reunieron información sobre amenazas con la tecnología ThreatSeeker de Websense, que escanea más de 600 millones de sitios Web por semana en búsqueda de código malicioso, junto con Websense's Hosted Security Services, que escanean más de 350 millones de correos electrónicos por semana en búsqueda de amenazas de seguridad. Esta tecnología única ha ayudado al equipo de investigación de Websense a encontrar varios ataques de alto impacto en la Web. Websense envía al día un promedio de 80 actualizaciones de seguridad en tiempo real (Real-Time Security Updates) para proteger a más de 42 millones de empleados contra amenazas internas y externas de seguridad.

Puntos importantes adicionales del reporte de amenazas de seguridad de la segunda mitad de 2007

- Los atacantes intentaron perfeccionar la técnica de mezcla de amenazas: La segunda mitad del 2007 vio el uso de múltiples vectores de ataque para evadir la detección e incrementar la efectividad de los ataques. Por ejemplo, los autores de Storm Worm aumentaron su ataque al usar múltiples vectores, que incluyen: sistema de nombre de dominio (DNS por sus siglas en inglés), Web, semejante a semejante, encriptación y varias técnicas de evasión. Al usar varios vectores y técnicas dificultan la eliminación de los sitios maliciosos y evitan los brotes futuros.

- Además, Websense Security Labs observó que para comprometer la seguridad de sitios Web legítimos, los atacantes utilizaron en su mayoría spam para atraer a los usuarios a sitios Web maliciosos. De hecho, 65% de todos los correos no deseados contenían una liga a un sitio Web malicioso.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1385

Seguir leyendo...

Los especialistas en seguridad anonadados por el caso Société Générale

Ya conocéis la historia del bróker Kerviel Jérome, inculpado por el escalofriante fraude al segundo banco francés. Pero ¿cómo pudo una sola persona defraudar 4.900 millones de euros pirateando el sistema informático del banco?

Cómo logró el corredor de bolsa (presentado como un genio informático) burlar todos los procedimientos de control es un misterio sin resolver.

Stephan Roux, consultor de seguridad de la firma Sophos no se lo explica. “Que haya tenido acceso a todos los niveles me parece extraordinario”. “Dominar todos los sistemas no es técnicamente posible, dada la seguridad impuesta en el seno de un banco”, sobre todo a raíz del incidente de la Barings, arruinada en 1995 por el broker Nick Leeson, agrega

Supuestamente Kerviel, usurpó los códigos de acceso de operaciones de control cuando estuvo allí destinado antes de pasar como bróker de la firma. Pero ¿cómo pudo saber esas claves si se cambian regularmente?

François Paget, de McAfee, explica que una de las hipótesis sería utilizando “ingeniería social” aprovechando la ingenuidad de sus compañeros. Otra de las soluciones hubiera sido mediante caballos de troya capturando el tecleo de las contraseñas a distancia y otra detectando los fallos de seguridad para disfrazar las operaciones fraudulentas, explica Paget.

En todo caso, no se explican cómo no se siguieron los rastros dejados por el defraudador y como no fueron detectados por las auditorías a no ser “que otras personas hayan validado las transacciones”.

Fuente: http://www.theinquirer.es/2008/01/30/los_especialistas_en_seguridad_anonadados_por_el_caso_societe_generale.html

Seguir leyendo...

Otro caso de robo de identidad en Buenos Aires

Se trata de un hombre y una mujer detenidos en el barrio porteño de Caballito acusados de haber utilizado documentación falsa para engañar a empresas.

La detención se concretó ayer por la tarde en una heladería ubicada en la avenida Rivadavia y Florencio Balcarce, frente al Parque Rivadavia, donde los estafadores habían pactado una entrevista con una promotora de una empresa de tarjetas de crédito.

Los investigadores estaban alertados de maniobras similares cometidas por una mujer de 45 años y un hombre de 30, por lo que montó un operativo con personal encubierto de la división Defraudaciones y Estafas y logró sus detenciones.

Según la Policía, para obtener las tarjetas, es especial doradas, los apresados alteraban cédulas de identidad, DNI, y los comprobantes de sus ingresos, con lo que habrían adquirido mercaderías por una suma de alrededor 50.000 pesos.

Luego, con la tarjeta obtenida, se dedicaban a comprar en distintos comercios televisores y equipos de electrónica de última generación y material para peluquerías al por mayor, elementos que retiraban de los locales en un automóvil Fiat Siena color rojo, señalaron.

Tras las detenciones, la Policía por orden de la Justicia realizó seis allanamientos en distintos domicilios ubicados en los porteños barrios de Villa Soldati, Belgrano, Flores y Villa Lugano.

Fuente: http://www.infobae.com/contenidos/361492-100799-0-Presos-realizar-estafas-tarjetas-cr%E9dito

Seguir leyendo...

Ejecución remota de código en BitTorrent y uTorrent

BitTorrent y uTorrent, son propensos a una vulnerabilidad que permite a un atacante la ejecución remota de código. Son afectadas las versiones para Windows, Mac y Linux (estas últimas solo existen en BitTorrent).

El problema se debe a que la aplicación no realiza un correcto filtrado de la información enviada por el usuario.

Ambos son los clientes más populares utilizados para descarga de archivos P2P, utilizando el protocolo bittorrent, y fueron creados a partir del mismo código base.

Por defecto, los dos programas muestran una ventana con información detallada acerca del estado de la red y los rastreadores en uso, además de datos sobre otros clientes conectados, tales como el porcentaje de disponibilidad del torrent compartido, su dirección IP, país, velocidad, la cantidad de datos recibidos y enviados, y la versión del cliente.

Cuando el contenido de la ventana es visualizado por el usuario, estos datos (cadenas en formato unicode), son copiados a un búfer utilizado por la interfase gráfica.

Si esta cadena supera un determinado tamaño, puede sobrescribir información crítica, provocando el fallo del programa.

La explotación puede ser posible si un atacante se conecta a un puerto al azar abierto en el cliente, y envía datos manipulados para superar ciertos límites.

Cuando esta vulnerabilidad fue hecha pública, con prueba de concepto incluida, se pensaba que un ataque solo podría hacer que el programa dejara de responder, provocando una denegación de servicio. Información más reciente indica que la ejecución arbitraria de código con los mismos privilegios del usuario actual, es posible,

La vulnerabilidad afecta a los siguientes productos:

- BitTorrent 6.0 (y versiones anteriores)
- uTorrent 1.7.5 (y versiones anteriores)
- uTorrent 1.8-alpha-7834 (y versiones anteriores)

Se sabe que uTorrent 1.7.6, liberado inmediatamente después de haberse conocido la vulnerabilidad, corrige el problema.

También lo habría solucionado la versión 6.0.1 de BitTorrent, pero no ha sido confirmado al momento de publicarse esta alerta de seguridad.

Los usuarios de uTorrent pueden descargar la nueva versión desde el siguiente enlace:
download.utorrent.com/1.7.6/utorrent.exe

BitTorrent 6.0.1 está disponible en el siguiente enlace:
www.bittorrent.com/download?csrc=header

Fuente: http://www.laflecha.net/canales/seguridad/noticias/ejecucion-remota-de-codigo-en-bittorrent-y-utorrent?from=rss

Seguir leyendo...

Creyó que la despedirían – borró todo

Marie Lupe Cooley, de 41 años de edad y proveniente de Jacksonville, Florida, EE.UU., leyó una oferta de empleo en el periódico local. En el anuncio aparecía el número telefónico de su jefe, y todo indicaba que era el propio cargo de Cooley que estaba siendo ofertado.

Tal interpretación resultó ser incorrecta, pero presa de la ira, Marie Lupe se dirigió a la oficina de arquitectos donde trabajaba, buscando venganza. En el lugar, Cooley borró todos los datos de los sistemas de la empresa, incluyendo las copias de seguridad. Así, siete años de trabajo fueron borrados, incluyendo planos detallados e irremplazables. El valor estimado de los planos es de 2,5 millones de dólares.

“Se decidió a perjudicarlos a todos. Saboteó toda la empresa creyendo que sería despedida", comentó el sheriff Ken Jefferson a Fox News.

Aparte del gerente de la empresa, Cooley era la única persona que tenía pleno acceso a los archivos borrados. Por lo tanto, rápidamente quedó en evidencia quién había borrado el material.

Cooley ha sido denunciada bajo cargos de vandalismo grave. Los archivos, en cambio, fueron rescatados mediante software que incluso puede recuperar archivos borrados.

Cooley, esta vez sí, ha sido despedida.

Fuente: http://www.diarioti.com/gate/n.php?id=16501

Seguir leyendo...

Virus amenaza con matar a usuarios de redes P2P

En un mensaje de correo electrónico, el sujeto escribe: “Esta es una visita de Piro Virus. No uses P2P. Si no desistes, daré aviso a la policía". En otro e-mail, el sujeto escribe: “Oh, veo que nuevamente usas P2P... si no desistes en 0,5 segundos te mataré".

Para ilustrar su e-mail, el sujeto usó imagenes de caricaturas. Tales imágenes están protegidas por las leyes de propiedad intelectual, por lo que fue detenido.

Aunque el riesgo de ser asesinado por el programador era mínimo, lo cierto es que el virus estaba programado para dañar el PC eliminando datos.

El inculpado tiene 24 años de edad y proviene de Osaka, Japón.

Fuente: http://www.diarioti.com/gate/n.php?id=16502

Seguir leyendo...

Más seguridad para el protocolo HTTP

La especificación del protocolo HTTP tiene ya más de 8 años, y es ahora, cuando se empieza a trabajar en la seguridad asociada a este protocolo, con la creación de un borrador por parte del IETF. Security Requirements for HTTP.

Los problemas que van a tratar son los mecanismos de seguridad asociados al HTTP o la falta de ellos. :)

Entre otros podemos ver:

• Autenticación HTTP a través de claves de sesión en cookies y formularios HTML.
• Susceptibilidad de las cookies a todo tipo de ataques por parte de intermediarios y mirones.
• Autenticación básica, digest y otros esquemas basados en la capa de transporte.
  
• Esquemas de autenticación basados en tickets centralizados.
• Web Services. (protocolos basados en XML)
  
• Posible revisión del protocolo HTTP en un futuro.
  

Ya hablamos de esto anteriormente, la seguridad en la capa de transporte proporcionada a los protocolos de nivel más alto, como HTTP, o lo que es lo mismo, HTTPS, no es suficiente para los riesgos que existen actualmente en las aplicaciones web.

Este documento cubrirá los mecanismos de seguridad de HTTP como una combinación del transporte seguro y la autenticación de acceso. Su objetivo será concluir con un documento de "Recomendación de las mejores prácticas actuales de la seguridad HTTP".
Hay que ver que en la actualidad se trata únicamente de un borrador inicial y está incompleto. Pero al menos, son buenas noticias, ya que se está trabajando en ello para que tarde o temprano se empiece a implementar. Puede que no sea todo lo que necesitamos, pero al menos es más de lo que tenemos actualmente.

Emilio Casbas

Fuente: http://blog.s21sec.com/2008/01/ms-seguridad-para-el-protocolo-http.html

Seguir leyendo...

Troyanos bancarios rusos, marcando la diferencia

En alguna ocasión hemos comentado que en Hispasec diferenciamos dos grandes escuelas de creadores de troyanos bancarios, por un lado la escuela rusa y de países del este, por otro la escuela brasileña y latina. Aunque en ambos casos el fin es el mismo, los rusos suelen contar con unas técnicas e infraestructuras más profesionales. Veamos un ejemplo concreto accediendo al panel de control de un troyano activo con más de 20.000 usuarios infectados.

En Rusia y países del éste se producen los troyanos bancarios más profesionales, alcanzando las estafas más importantes cuantitativamente hablando, tanto por importes económicos como por número de usuarios afectados.

Parte del éxito está basado en su técnica de propagación e infección. Esta escuela suele utilizar la distribución por web aprovechando vulnerabilidades de los navegadores más utilizados y otro software de uso común, como reproductores multimedia o utilidades de compresión.

En el mercado ruso underground pueden conseguirse kits que permiten instalar toda la infraestructura necesaria para realizar la distribución, infección y gestión de los sistemas troyanizados. Por ejemplo, con MPACK, los atacantes pueden crear webs que aprovechan vulnerabilidades de Windows, Internet Explorer, Firefox, Opera, QuickTime y WinZip.

Detalle del manual en ruso de MPACK, donde se detallan las vulnerabilidades explotadas:

Los atacantes sitúan el código que explota las vulnerabilidades en sitios webs diseñados para la ocasión o ya existentes. En el caso de los sitios webs diseñados para la ocasión utilizan el spam para promocionarlos, e invitar a usuarios incautos a que los visiten con cualquier excusa (por ejemplo visualizar contenidos eróticos o algún otro tema que pueda resultar potencialmente atractivo). En otras ocasiones aprovechan debilidades en servidores webs existentes para incrustar el código malicioso en ellos, de forma que la infección puede producirse al visitar un sitio web "normal" y legítimo.

A efectos prácticos, si un usuario visita una web con alguna versión no actualizada de Windows, de su navegador, o de algún otro software vulnerable y aprovechado por los atacantes, automáticamente y de forma transparente se le instalará el troyano bancario en su sistema.

La escuela brasileña no suelen aprovechar vulnerabilidades en la distribución e infección. En su lugar suelen acudir a la ingeniería social, incitan a que el usuario ejecute el troyano mediante algún engaño, por ejemplo haciéndole creer que va a abrir una foto.

La programación del troyano también difiere entre la escuela rusa y brasileña, ya que los primeros suelen decantarse por técnicas de "man in the browser", lo que les permite inyectar y capturar datos en la comunicación entre el servidor de la entidad bancaria y el navegador del usuario. Mientras que los rusos suelen hacer este ataque a través de un BHO o similar e interactuar directamente con el código HTML de la sesión, los brasileños se suelen decantar por una técnica más primitiva pero igual de efectiva, superponer ventanas en el navegador que simulan el formulario de autenticación.

El resultado es el mismo, en ambos casos pueden solicitar al usuario que introduzcan sus claves de operaciones o de la tarjeta de coordenadas en la propia web de la entidad, apareciendo la dirección del banco totalmente legítima en el navegador y pese a estar conectado con una sesión segura (https y candadito).

Una vez consiguen las claves del usuario, el troyano las envía a los atacantes. Los troyanos rusos suelen utilizar peticiones HTTP con ofuscación/cifrado para enviar los datos capturados a una base de datos centralizada en un servidor web del atacante, donde mantienen toda la información de los equipos infectados, pudiendo hace estadísticas, consultas, filtros, enviar nuevas instrucciones a los troyanos, etc. Un auténtico panel de control remoto con gestión de datos centralizada.

Por contra, la mayoría de troyanos brasileños utilizan el envío por e-mail de las credenciales capturadas en claro, normalmente a alguna cuenta gratuita del atacante (Gmail es el servicio más utilizado). En otras ocasiones también suben los contenidos de los logs en ficheros .txt a algún servidor FTP. Como se aprecia la gestión de los datos robados suele ser más primitiva y manual por parte de los brasileños y latinos, además no permiten enviar comandos a los sistemas infectados para que lleven a cabo otras acciones.

A continuación vamos a ver algunas capturas de uno de los paneles de control de uno de los troyanos rusos que Hispasec ha analizado en las últimas horas. Este tipo de accesos es usual y cotidiano por parte de las empresas del sector de la seguridad, a diario se acceden y/o clausuran sitios similares, aprovechando descuidos en la configuración o vulnerabilidades en la infraestructura de los atacantes.

En esta ocasión, en el momento del acceso al panel de control, el troyano había logrado infectar a más de 20.000 sistemas, entre ellos más de 2.000 españoles, y el log de datos capturados supera los 15 gigabytes.

Estadísticas de infección por países:

Estadísticas por tramo horario de sistemas infectados conectados:

Parte del listado de direcciones de bancos que monitoriza:

Detalle de la configuración de inyección HTML en el caso del BBVA
para incrustar un campo solicitando la clave de transferencias:

Filtro para hacer búsquedas concretas:

Resultado de una búsqueda de usuarios de entidades alemanas:

Fuente: http://www.hispasec.com/unaaldia/3383

Seguir leyendo...

Los troyanos de nueva generación superan las barreras de seguridad de los bancos

La proliferación de troyanos de nueva generación son un grave peligro para los usuarios, advierte la Asociación de Internautas. Un número importante de estos son capaces de “saltarse” las protecciones de las páginas seguras de las entidades financieras.

La Asociación de Internautas ha emitido una alerta sobre una nueva y peligrosa amenaza de ‘phising’ (robo de datos bancarios por internet) y tachó al mismo tiempo de ‘obsoletas y anticuadas’ las recomendaciones de la banca para evitar que los delincuentes se hagan con las claves de sus clientes.

El presidente de la asociación, Víctor Domingo, declaró a Efe que los troyanos de nueva generación (programa malicioso que recaba información en ordenadores ajenos) son capaces de hacerse con cualquier dato de los usuarios atacados, incluso si éstos introducen sus claves en páginas webs de bancos con alta seguridad.

A su juicio, las recomendaciones de los bancos, como no hacer caso de mensajes con enlaces que piden las claves, ya no sirven para que los clientes de las entidades estén seguros, puesto que los usuarios no saben si tienen instalado un troyano en su ordenador que puede robar las claves secretas cuando acceden a la página web oficial de la entidad bancaria.

Domingo aconsejó tener actualizado el antivirus utilizado, algo que no asegura al cien por cien estar fuera de peligro, e instalar en el ordenador antiespías para destruir los troyanos.

Además, esos programas convierten a los ordenadores en ‘PC zombis’ para enviar correo no deseado malicioso desde los ordenadores de las víctimas. Ya hay entre 15.000 y 20.000 ordenadores ‘zombis’ en España, según Domingo.

La Asociación de Internautas informó hoy de que algunos de los principales bancos españoles son víctimas actualmente de esos nuevos troyanos, según los datos a los que han tenido acceso los técnicos del colectivo desde diciembre.

Tras dos meses de estudio, la comisión de seguridad de la asociación ha sacado a la luz varios servidores que contienen troyanos contra Caja Madrid, La Caixa, Openbank, Banco Santander, Banesto, Banco Popular (éste no funciona, según Internautas) y el sistema de pagos por internet Paypal, además de haber descubierto adónde van los datos obtenidos.

Víctor Domingo aseguró que al mismo tiempo que han hecho pública la información, que incluye algunos de los datos que reciben los delincuentes, han denunciado ante las fuerzas de seguridad la información obtenida.

Domingo aprovechó para quejarse por la descoordinación de las fuerzas de seguridad en los distintos países donde se opera (entre ellos, algunos de la antigua Unión Soviética) y abogó por la creación de juzgados especializados para defender a los usuarios afectados por este tipo de robos.

Fuente: http://www.noticiasdot.com/wp2/2008/01/29/los-troyanos-de-nueva-generacion-superan-las-barreras-de-seguridad-de-los-bancos/

Seguir leyendo...

Seis mitos sobre ITIL

ITIL se centra en la unificación de personas, procesos y tecnologías a través de un set de mejores practicas comprensivas, consistentes y coherentes de Administración de Servicios TI. La meta final es la de optimizar la línea superior del negocio, no solo establecer un marco de trabajo. Pero varios mitos y concepciones erróneas puede limitar seriamente el valor que entrega ITIL:

Mito: ITIL es solo para los técnicos.
Realidad: ITIL sirve para todo el negocio.

El tiempo y recursos requeridos para implementar satisfactoriamente ITIL, combinado con la necesidad crítica de soportar cambios organizacionales y de comportamiento, requiere de la aceptación por parte de la administración de TI y de lideres del negocio.

Si una iniciativa ITIL es considerada solo para TI o es clasificada como un proyecto de TI, puede que solo haya solo un poco de compromiso compartido.

Recuerde que ITIL es el camino a un fin, no un fin por si mismo, y el objetivo es mejorar el valor de IT que brinda a la empresa, tal como reducir costos y permitir el crecimiento del negocio.

Las metas deben ser acordadas a través de un activo y continuo dialogo entre TI y el área de negocios.

Mito: ITIL es solo sobre personas y procesos.
Realidad: La tecnología juega un papel importante.

ITIL describe que se necesita hacer para mejorar el servicio al negocio, no como hacerlo. Muchos consultores de ITIL y de administración de servicios que ayudan a las compañías a construir planes de ITIL, por lo general se enfocan enteramente en procesos de mejora y en cuestiones organizativas. Adquirir eficientes ganancias tangibles requiere de la automatización de componentes apropiados de procesos de ITIL (usualmente procedimientos repetitivos y flujos de trabajo) a través de la tecnología.

Para incrementas las chances de éxito, busque consultores quienes sean hábiles en elementos esenciales de ITIL (personas, procesos y tecnología) y quienes tengan un acercamiento pragmático a este y una base con buenos resultados en proyectos de adopción de ITIL.

Mito: ITIL es la única respuesta.
Realidad: ITIL complementa otros marcos de trabajo de mejores practicas.

Mientras que ITIL define las mejores practicas de la administración de servicios, es todavía esencialmente un marco de trabajo operacional de TI que no intenta dirigir la administración de activos financieros, gobierno de TI y áreas relacionadas. ITIL no administra suficientemente seguridad de TI.

Así como las empresas evalúan y mejoran sus procesos como parte de una implementación de ITIL, deberían considerar suplementar ITIL con otras mejores practicas, como ISO 17799/BS7799 para seguridad y COBIT para gobierno de TI.

Mito: La mayor inversión es en educación.
Realidad: La educación es solo un requerimiento para el éxito.

Muchas organizaciones suelen invertir significantes sumas de dinero y tiempo para entrenar un alto porcentaje de su fuerza de trabajo de TI en los principios básicos y avanzados de ITIL. Lo que se suelen pasar por alto es la oportunidad de unificar al personal del negocio y de TI en equipos prácticos enfocados en programas de capacitación que se concentren menos en la descripción de ITIL y mas en el valor que ITIL dará a la organización.

También recuerde que la adopción inicial de esos programas de capacitación no solo construirán conciencia y soporte para un proyecto compartido entre el negocio y TI, sino que también ayudarán a obtener el compromiso de la dirección de la empresa, necesario para manejar lo que es un ejercicio efectivo en cambios organizacionales.

Mito: Tome un paso a la vez.
Realidad: Trate de mejorar varios procesos simultáneamente.

Muchas empresas eligen concentrarse en un solo proceso de ITIL, tal como Administración de Incidentes. Pero por naturaleza los procesos de ITIL están relacionados mutuamente y son dependientes entre ellos. Así que si Ud. quiere reducir el número de incidentes, necesita encontrar rápidamente la causa raíz del problema. Para reducir el número de problemas, deberá considerar la Administración de Cambios.

Las organizaciones que van muy lejos con un solo proceso antes de considerar procesos relacionados gastan una significante suma de dinero y tiempo redefiniendo constantemente el proceso inicial a medida que se implementan otros.

El mejor modo de mejorar el servicio es simultáneamente trabajar en la mejora de dos o tres áreas de procesos.

Mito: Solo elija soluciones compatibles de ITIL.
Realidad: Ninguna solución de la tecnología es intrínsecamente compatible.

Muchas empresas creen que solo deben elegir herramientas que están certificadas y son compatibles con ITIL. Sin embargo, ya que ITIL no provee requerimientos funcionales para las soluciones tecnológicas, la compatibilidad de ITIL en un contexto de soluciones de la tecnología es imposible. De hecho, la Oficina de Comercio del Gobierno de U.K., los dueños de ITIL, explícitamente advierte sobre los proveedores que hablan sobre compatibilidades.

Esta claro que ITIL se esta convirtiendo en un estándar de facto en la administración de servicios, y el lente con el cual la entrega de Servicios de TI será medida. Siempre recuerde, que el objetivo es el mejorar el servicio y no solo aplicar un marco de trabajo. Identifique soluciones, métodos y socios que puedan entregar un valor real al negocio a través de la administración de servicios de TI.

Fuente: http://kutharos.wordpress.com/2007/12/26/seis-mitos-sobre-itil/

Seguir leyendo...

Delincuentes aprovechan la muerte del actor Heath Ledger para propagar malware

Delincuentes aprovechan la muerte del actor Heath Ledger para propagar malware

Los analistas de Trend Micro advierten que la búsqueda de información sobre el actor Heath Ledger puede comprometer la seguridad de los usuarios.

La muerte del actor, protagonista de la película Brokeback Mountain, causó una gran conmoción entre los fanáticos de Hollywood… y también mucha curiosidad. Muchos usuarios ingresan en los buscadores de Internet para informarse sobre la vida y muerte del actor.

Los criminales virtuales han aprendido a aprovechar la popularidad de este tipo de noticias. Por eso, pocas horas después de que se anunciara la muerte del actor, los buscadores empezaban a mostrar sitios diseñados para infectar a quienes iniciaran una búsqueda con las palabras “Heath” y “Ledger”.

Para aumentar el número de visitantes, los criminales ponen sus sitios entre los resultados más relevantes de la búsqueda.

Los sitios dirigen al usuario a otras páginas que le piden que descargue un programa malicioso que se disfraza de la última versión de Active X. Este es sólo el principio de una serie de ataques que resultan en la infección del ordenador del usuario.

No es la primera vez que los cibercriminales aprovechan las noticias más impactantes del momento para atacar a los usuarios desprevenidos. Hace poco utilizaron el asesinato de la ex primer ministro de Pakistán, Benazir Bhutto para difundir programas maliciosos.

Fuente: http://www.viruslist.com/sp/news?id=208274090

Seguir leyendo...

Soporte papel: el gran arrinconado en la seguridad de la información.

En prácticamente todas las empresas actualmente podemos encontrar la aplicación de controles para el acceso a la información en soporte magnético, es decir, a la información que reside en archivos y ficheros informáticos. La funcionalidad relacionada con el control de acceso está `presente en prácticamente todos los sistemas operativos, aplicaciones, programas de gestión de BDD, etc.

La automatización en la gestión de accesos viene facilitada por la existencia de software específico pensado para realizar dicha labor como, por ejemplo, las aplicaciones de gestión de identidades.

En el “mundo físico” no obstante la realidad es bastante distinta: el control de acceso a la documentación es soporte papel debe realizarse mediante la aplicación de controles físicos, lo cual dificulta tanto la aplicación de los controles como la continuidad en el tiempo de la aplicación de las medidas que se apliquen. Otro de los inconvenientes del soporte papel es la dificultad de controlar la trazabilidad de un documento, es decir, el circuito que sigue desde su creación hasta su archivo definitivo y los posteriores accesos para su consulta una vez archivado: un documento que es extraído del archivo y no devuelto o que es fotocopiado, con lo cual se generan múltiples copias en soporte papel sobre las que también se deberá controlar su trazabilidad y circuito de distribución.

El marco legal vigente, en mi modesta opinión, ofrece motivos suficientes que justifican la aplicación de mecanismos de salvaguarda para proteger la información en soporte papel. Dentro de este marco legal podríamos destacar:

• La ley de competencia desleal: dónde se establece que se considera desleal la divulgación o explotación, sin autorización del titular, de secretos industriales o de cualquier otra especie de secretos empresariales a los que se haya tenido acceso legítima o ilegítimamente.
• El propio código penal: en el artículo 197 se establecen penas de prisión al que, con el fin de descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento se apodere de sus papeles, cartas o cualesquiera otros documentos (...).
• El nuevo reglamento de seguridad de la LOPD: que establece las medidas que las empresas deberán aplicar a los datos en soporte papel.

Una vez vistas las dificultades principales veamos las alternativas posibles para superar estos inconvenientes. Veamos, pues, qué controles podemos aplicar sobre el soporte papel:

1. Política específica de tratamiento de documentos confidenciales: No presuponer que el número de personas que acceden a documentos confidenciales en soporte papel es acotado o reducido, siempre existe el riesgo de divulgación no autorizada. Se deberá elaborar, aprobar, difundir e implantar una política dirigida especialmente a establecer las directrices para el tratamiento de los documentos en soporte papel que contenga información confidencial. Esto nos lleva de forma natural al siguiente punto.....
2. Identificación de los documentos con información confidencial: Este punto es bastante más sencillo de los que pueda parecer: Fácilmente podemos intuir los departamentos dónde existen documentos confidenciales (Dirección General, RRHH, área Jurídica). Si no conocemos qué es importante (confidencial), no sabremos qué es lo que tenemos que proteger. Una vez identificada la documentación con requisitos de confidencialidad el siguiente control seria disponer de.....
3. Metodología de clasificación y almacenamiento de los documentos confidenciales: En este punto juega un papel clave una interpretación libre del concepto “oficina sin papeles”: escanear los documentos y almacenarlos digitalmente aprovechando así, por un lado, la automatización de los controles de acceso del “mundo digital” y, por otro, disponiendo de una copia de seguridad.
4. Disponer de contenedores específicos para la destrucción de documentos confidenciales: Dichos contenedores sería recomendable que estuvieran cerrados con llave evitando que queden abierto pues, en ese caso, serían equivalentes a una papelera convencional.
5. Disponer de destructoras de papel (trituradoras) que garanticen la imposibilidad de recuperar la información. Estas destructoras pueden ser personales, departamentales o compartidas por varios departamentos de la empresa.
6. Externalizar el servicio de destrucción de documentos en soporte papel: En este caso es aconsejable que se establezcan cláusulas orientadas a garantizar la confidencialidad durante la recogida y transporte de los documentos, establecer contractualmente el tamaño del residuo una vez destruidos los documentos y, como e todo contrato de externalización de servicios, tener potestad auditora sobre el prestador.
7. Incluir cláusulas de confidencialidad con la empresa de limpieza: El personal de limpieza accede a aquellas áreas o zonas restringidas al resto del personal de la empresa, por ejemplo, el despacho del Director General en cuyo escritorio está el Plan Estratégico de negocio o el acuerdo de fusión con la competencia.....
8. Revisión continua de la aplicación de los controles: El seguimiento continuo es lo que nos dará garantías que las iniciativas anteriores no se afrontan de forma puntual, ayudando así a crear la concienciación necesaria en todo el staff.

Joan Ayerbe
Manager de Consultoría, CISM.

Fuente: http://blog.s21sec.com/2008/01/soporte-papel-el-gran-arrinconado-en-la_28.html

Seguir leyendo...

Tienda en línea engaña a estafadores

Dos sujetos compraron diverso hardware desde una tienda en línea usando números de tarjetas de crédito robadas. Sin embargo, el paquete que recibieron por correo tenía un hardware muy distinto al que esperaban recibir.

La tienda en línea Komplet, de Noruega, no se deja engañar. Después de varios años en el negocio conocen los trucos usados por los estafadores en línea.

"Hardware"

Por lo mismo, dos estafadores de ese país se llevaron una desagradable sorpresa después de usar las tarjetas de crédito de otras personas para comprar productos por valor de 17.000 euros.

Los empleados de Komplet detectaron el intento de fraude y colocaron ladrillos en el paquete despachado a los estafadores.

El resultado fue que los sujetos fueron detenidos por la policía al intentar retirar el paquete desde la oficina de correos.

Los inculpados, de 30 y 35 años de edad, fueron sentenciados a 5 y 6 meses de cárcel, respectivamente.

Fuente: http://www.diarioti.com/gate/n.php?id=16484

Seguir leyendo...

Gusanos utilizan San Valentín para propagarse

PandaLabs ha detectado dos nuevos gusanos, Nuwar.OL y Valentin.E, que están empleando temas relacionados con San Valentín para propagarse.

“Todos los años asistimos a la aparición de diversos ejemplares de malware que emplean la cercanía de San Valentín como cebo para atraer a los usuarios", explica Luis Corrons, Director Técnico de PandaLabs, que añade: “el hecho de que insistan año tras año demuestra que los ciber-delincuentes obtienen un beneficio de este tipo de cebo y que mucha gente sigue cayendo en la trampa".

El primero de estos gusanos, Nuwar.OL, llega a través de correo electrónico con asuntos como “I Love You Soo Much", “Inside My Heart" o" You… In My Dreams", entre otros. El texto del correo incluye un link a un sitio web desde el que se producirá la descarga del código malicioso. Esa página es muy sencilla y presenta la forma de una postal romántica, con una gran imagen de un corazón rosa.

Una vez ha infectado un equipo, este gusano comenzará a enviar gran cantidad de correos electrónicos como los ya vistos a otros contactos del usuario, con la intención de propagarse. Esto, además, provoca un gran tráfico de red y la consecuente ralentización del equipo.

Muy similar es el caso de Valentin.E. Al igual que el gusano de la familia Nuwar, este ejemplar se propaga por correo electrónico con asuntos como “Searching for true Love" o “True Love". Los correos llevan adjunto un archivo con el nombre “friends4u". Si el usuario abre ese archivo, se estará descargando una copia del gusano.

Una vez en el equipo, el código malicioso aparece como un archivo .scr. Si el usuario lo ejecuta, Valentin.E, con el fin de engañarlo, mostrará un nuevo fondo de pantalla al usuario, pero, a la vez, estará realizando varias copias de sí mismo en el equipo.

Desde el equipo infectado, el gusano comenzará a enviar mails que contengan copias de sí mismo, para propagarse e intentar infecta a más usuarios.

“Ambos casos son ejemplos claros de técnicas de ingeniería social para distribuir malware. Se emplean asuntos atractivos –supuestas tarjetas de San Valentín, fondos de pantalla románticos, etc.- para incitar a los usuarios a ejecutar el archivo o seguir el link que conducen a la descarga del malware en el ordenador", afirma Luis corrons.

Fuente: http://www.diarioti.com/gate/n.php?id=16477

Seguir leyendo...

¿Port Knocking... ofuscación o capa de seguridad?

El objeto de este artículo es recordar el concepto de "Port Knocking" y sus implicaciones de seguridad para en un posterior artículo reflexionar sobre "Single Packet Authorization" (SPA). "Port Knocking" no es un ingenio nuevo, lleva con nosotros desde 2003, pero es un tema recurrente en listas de correo y discusiones sobre seguridad.

¿Qué es "Port Knocking"?

Todos hemos visto películas en las que alguien golpea cierta secuencia en la puerta de una taberna y si la secuencia era correcta el tabernero abre una rendija para solicitar una clave verbal. Si la secuencia de llamada no era correcta, ninguna medida se toma y el interesado cree que la taberna se halla cerrada. El concepto de "Port Knocking" es exactamente análogo.

En informática, este concepto consiste en enviar paquetes a ciertos puertos en un orden específico con el fin de abrir un puerto en concreto. Este último puerto se halla cerrado por un cortafuegos siempre y cuando no se realice el barrido de puertos siguiendo la secuencia particular. De esta forma, si un atacante efectúa un escaneo del sistema, el puerto aparecerá cerrado aun estando el servicio asociado a él en funcionamiento, el cortafuegos hace un simple DROP si no se ha efectuado la secuencia de barrido previa.

Tomemos como ejemplo un demonio sshd escuchando en el puerto 22/TCP. Elegimos como secuencia de barrido la sucesión 43, 6540 y 82. El puerto 22 se abrirá si, y solo si, un usuario inicializa conexiones TCP hacia los puertos 43, 6540 y 82 en ese orden exacto. En caso contrario el usuario recibirá como respuesta un RST/ACK cuando intenta comenzar una conexión hacia el puerto 22.

Si la secuencia correcta de inicializaciones ha sido efectuada, el puerto 22 se abrirá durante un lapso de tiempo determinado y únicamente para la IP que completó la secuencia previa. Una vez el puerto 22 se halle abierto, se pueden llevar a cabo medidas adicionales de autenticación.

Polémica

Muchos son los que defienden que "Port Knocking" no es una capa de seguridad sino una medida de ofuscación ("security by obscurity"). Lo cierto es que hay argumentos a favor y en contra de ambas afirmaciones.

Acudiendo a las definiciones clásicas de los tipos de autenticación (algo que sabes, algo que eres y algo que tienes), este mecanismo se encuadraría en el primer conjunto. Ahora bien, si un atacante conociera la existencia de esta medida y fuera capaz de escuchar el tráfico (en lado cliente o servidor), esta medida de seguridad sería tan débil como las contraseñas que viajan en claro.

Por tanto, como muchas otras técnicas, se trata de una línea de defensa que de manera aislada puede resultar muy débil, pero que junto con medidas adicionales puede proporcionar un nivel de robustez aceptable.

Consideraciones de seguridad

* Un atacante siempre podría intentar un ataque por fuerza bruta con el fin de descubrir la secuencia de puertos correcta, no obstante este ataque sería fácilmente detectado teniendo en cuenta su naturaleza ruidosa. Para una secuencia de 3 puertos, si el ataque recorre el rango de puertos 1 a 65535, esto implica que el ataque sería del orden de 655.353 tentativas, teniendo una esperanza de la mitad de este valor. Por tanto, como media, serían necesarios unos 140 billones de paquetes hasta conseguir la apertura del puerto deseado. Obviamente, esto se puede complicar mucho más incrementando el número de puertos de la secuencia.

* Si un atacante ha conseguido la secuencia de puertos, nada le impide hacer un "replay" de la secuencia capturada contra el servidor para así abrir el puerto. Sería por tanto interesante que la secuencia mutara con el tiempo, que se hiciera algún tipo de Hash con información adicional (temporal, etc.) o alguna otra medida para impedir los ataques por "replay". No obstante ello implicaría sincronización cliente-servidor y/o involucrar otros campos de los paquetes que no fueran tan sólo los 16bits del puerto destino en la cabecera TCP. Como consecuencia de estas modificaciones, la medida se hace difícilmente escalable en situaciones donde hay un gran número de clientes.

* Mucho más sencillo es hacer una denegación de servicio. Debido al lapso existente entre cada inicialización de conexión en la secuencia, un atacante puede simular y enviar paquetes para interrumpir la secuencia que está construyendo un usuario legítimo. Así, nada impide a un atacante el emplear herramientas como hping para forjar paquetes con la dirección IP de un usuario legítimo y enviar un flujo continuo hacia puertos aleatorios de la máquina servidor para que dicho usuario legítimo jamás sea capaz de completar una secuencia válida.

* Por último en esta lista no exhaustiva de reflexiones, para un observador del tráfico de red, un "Port Knocking" es indistinguible de un escaneo de puertos. Muchos IDS detectan los escaneos de puertos y algunos no tienen forma de diferenciar lo que es un "Port Knocking" de lo que es un escaneo. Si el umbral de paquetes para alertar de un escaneo de puertos es lo suficientemente bajo, el "port knocking" podría introducir ruido no deseado en los logs del IDS.

Aplicaciones

* Imaginemos que deseamos correr un servidor SSH para compartir archivos con nuestros amigos. No deseamos que gusanos, automatismos y usuarios maliciosos encuentren el puerto del servidor SSH abierto en sus escaneos de reconocimiento para posteriormente lanzar un ataque por fuerza bruta que consume recursos y podría dar lugar a una intrusión. En este caso podríamos emplear "port knocking" para evitar "automatismos tontos". Obviamente, tras el "Port Knocking" deberíamos tener como mínimo una autenticación por usuario/contraseña, y además, deseablemente, autenticación basada en algún algoritmo de clave pública.

* Una aplicación más oscura, y probablemente más popular, del "Port Knocking" es como método de ocultación de puertas traseras (ejemplo: cd00r.c). Muchos atacantes, tras haber instalado una puerta trasera en una víctima, la camuflan mediante "Port Knocking", de esta forma cualquiera que intente detectar anomalías basadas en la apertura de nuevos puertos difícilmente detectará la intrusión. Así, los servicios basados en herramientas como Nesus para detectar alteraciones en ciertas redes presentan una gran punto débil ante dichos ingenios y los profesionales de la seguridad no deberían tomar sus resultados como verdades absolutas.

Conclusión

"Port knocking" se basa en la comunicación de información en las cabeceras de los paquetes, lo cual limita severamente la cantidad de información que puede ser transmitida, y por tanto, su fortaleza como capa de seguridad. En una futura reflexión analizaremos otras técnicas como "Single Packet Authorization" (SPA), que presenta grandes ventajas sobre el mecanismo aquí estudiado.

Fuente: http://www.hispasec.com/unaaldia/3382

Seguir leyendo...

España: Nuevo intento de phishing a la Agencia Tributaria

La Agencia Tributaria ha sido nuevamente objeto de 'phishing' -intento de fraude por Internet- usando su nombre y el de su director, Luis Pedroche, con la intención de defraudar a los contribuyentes, a los que se solicita sus datos personales y número de cuenta para recibir una supuesta devolución fiscal de 490 euros.

Bajo una resolución ficticia de la Agencia Tributaria por la que se aprueban las directrices generales del Plan General de Control Tributario 2006, el correo electrónico, señala que, según los "cálculos anuales pasados" de la actividad fiscal, la Agencia Tributaria ha determinado que al receptor del correo le corresponde una "devolución fiscal desde 490 euros".

El documento añade que en un plazo de entre seis y nueve días se recibirá la citada devolución, pero antes incluye un enlace a la página web de la Agencia Tributaria, que ha sido modificada para que el contribuyente incluya sus datos personales. El correo fraudulento, que está firmado por el director de la Agencia Tributaria, Luis Pedroche, tiene fecha del 25 de enero.

Este nuevo intento de 'phising' se une al del pasado 11 de enero, cuando la Agencia Tributaria detectó un importante envío de comunicaciones por correo electrónico, en el que se utilizaba también de forma fraudulenta su nombre, su imagen y el nombre del director general, Luis Pedroche.

En aquella ocasión, el correo hacía referencia a una resolución inexistente de 4 de enero de 2008 por la cual se aprobaba una devolución en la que el receptor del e-mail salía beneficiado. Para poder disponer del dinero, había que acceder a un enlace en la dirección interpuesta secure.aeats.info, donde se pedían los datos de las cuentas corrientes.

Fuente: http://www.laflecha.net/canales/seguridad/noticias/nuevo-intento-de-phishing-a-la-agencia-tributaria?from=rss

Seguir leyendo...

Expertos aconsejan sobre seguridad en Linux

Muy esclarecedor un artículo publicado en Linux.com, donde varios destacados expertos en software libre comentan cómo aseguran sus propios equipos.

Como siempre, hay de todo en la viña del señor, desde Linus Torvalds y su aproximación "dura" (doble cortafuegos, políticas estrictas...), a Andrew Morton (que se encargue de todo el router y crucemos los dedos), pasando por los que van "sobraos", como Ted Ts'o, quien afirma saber tanto del tema que dice no necesitar ni cortafuegos (como Rutkowska ;).

Y muy aprovechables los sabios consejos de Fyodor, el creador de Nmap, dirigidos a evitar el exceso de confianza de los usuarios de Linux: "Los ataques por e-mail y vía Web son con frecuencia multiplataforma. Los usuarios de Linux son tan vulnerables como los de Windows al phishing y otras formas avanzadas de fraude"...

A resaltar también otra afirmación de Ted Ts'o: "OpenOffice ha hecho tan buen trabajo replicando las aplicaciones de Microsoft Office que es posible abrir un documento o un fichero y resultar infectado".

También me parece muy saludable la conclusión del autor del artículo:

Linux no es un sistema a prueba de balas y su equipo no es seguro sólo por ejecutar Linux. Déjese guiar por el buen sentido. Para la mayoría de nosotros, eso significa situar el equipo detrás de un cortafuegos y aplicar regularmente los parches de seguridad. Para otros, habría que adoptar medidas defensivas adicionales.

Fuente:
http://www.kriptopolis.org/expertos-aconsejan-seguridad-linux
http://www.linux.com/feature/124994

Seguir leyendo...

La infección masiva surgió en servidores Apache

Por Angela Ruiz
[email protected]

De acuerdo a una nota de prensa liberada por la empresa de seguridad Finjan, servidores web comprometidos, están infectando a miles de visitantes diariamente, con un malware que convierte a sus equipos en máquinas zombis, formando parte de una red de robots (botnet), controlada por organizaciones criminales.

Otros expertos confirman esta información, aunque con diferentes estimaciones en cuánto a cantidad de sitios afectados.

Todos los reportes coinciden en que los servidores comprometidos se ejecutan en Linux y utilizan Apache como software.

El exploit implica la inyección de un rootkit que sustituye múltiples archivos en el servidor. Los siguientes binarios parecen ser los comprometidos:

/sbin/ifconfig
/sbin/fsck
/sbin/route
/bin/basename
/bin/cat
/bin/mount
/bin/touch

El rootkit renombra estos archivos, y los sustituye por versiones infectadas, quedando a la espera del próximo reinicio del servidor. Cuando ello ocurre, el rootkit llama a los binarios infectados.

El resultado, es que ciertos archivos en el servidor quedarán ocultos, y un código en JavaScript será enviado a los visitantes del sitio.

El código en JavaScript es creado de forma dinámica, y suele tener un nombre al azar de cinco caracteres (Ej: 'cbolw.js'). Ello no ocurre en todas las sesiones, haciendo más difícil su identificación.

El JavaScript intenta explotar múltiples vulnerabilidades en Windows, QuickTime y Yahoo! Messenger. Son afectados aquellos usuarios que no han aplicado las últimas actualizaciones de Microsoft, ni tienen las últimas versiones del software involucrado.

Mark Cox del equipo de seguridad de Apache Software Foundation, dice que no hay detalles precisos sobre como los atacantes pueden obtener acceso de root a los servidores comprometidos, "además de que no hay evidencias que este ataque se deba a alguna vulnerabilidad no corregida en el servidor Apache."

Una misma opinión parece tener Red Hat, el mayor proveedor de Linux. "En este momento, no hemos tenido acceso a todos los equipos afectados, y por lo tanto, no podemos dar una orientación sobre las herramientas que puedan detectar al rootkit."

Los fabricantes de cPanel, una popular herramienta utilizada por las empresas de alojamiento web que permite a sus clientes administrar sus sitios, ha publicado una nota de seguridad describiendo lo que el rootkit hace después de instalado, y sugiere algunos procedimientos para comprobar si un servidor está comprometido.

Según cPanel, si no se puede crear un directorio cuyo nombre comience por un número, es probable que su sitio esté infectado.

Otras técnicas son descriptas en el siguiente enlace:

Random JS Toolkit
http://www.cpanel.net/security/notes/random_js_toolkit.html

Uno de los mayores misterios hasta el momento, es como llegó el rootkit a los servidores infectados. En ausencia de cualquier evidencia forense sobre los allanamientos, lo más lógico sería pensar que los autores del malware consiguieron acceder a los servidores utilizando contraseñas de root robadas.

Las primeras víctimas conocidas, de acuerdo a información publicada anteriormente, fueron los sitios de alojamiento web administrados por grandes empresas, los que dan acceso a miles de sitios Web, los cuáles a su vez, son visitados por cientos de miles de navegantes diariamente.

Los usuarios que mantengan su software actualizado (incluyendo el sistema operativo), tienen menos probabilidades de convertirse en víctimas.

Más información:
Finjan Uncovers Insidious New Variant of Crimeware Toolkit Infecting More Than 10,000 US Websites in December
http://www.finjan.com/Pressrelease.aspx?PressLan=1819&id=1820

Random JS Toolkit
http://www.cpanel.net/security/notes/random_js_toolkit.html

Mystery infestation strikes Linux/Apache Web sites
http://www.linux.com/feature/125548

Relacionados:
El 80% de los sitios maliciosos son legítimos
http://www.vsantivirus.com/24-01-08.htm

Extraña infección masiva causa gran cantidad de tráfico
http://www.vsantivirus.com/15-01-08.htm

ESET informa sobre la aparición de miles de sitios con scripts dañinos para propagar malware
http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1199823658&n=2

¿Actualizar o no actualizar?
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=943

Masivo ataques a sitios web
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=941

Nuwar con amor
http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200583897&n=2

Malware simula ser Flash Player
http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200095656&n=2

Fuente: http://www.vsantivirus.com/28-01-08.htm

Seguir leyendo...

Compañía antipiratería tendrá que parar el espionaje a los usuarios de redes P2P

Las autoridades suizas han acusado a la firma Logistep de violación de la privacidad, dándole un plazo de 30 días para que detenga el rastreo y espionaje a los usuarios de las redes de intercambio de archivos o de lo contrario será llevada ante un tribunal federal.

Logistep lleva años espiando a los usuarios de los P2P en toda Europa y vendiendo los datos a las Sociedades de autores que la usan para amenazar a los internautas con emprender acciones legales para obtener indemnizaciones.

Centenares de internautas del Reino Unido fueron acusados hace un año de compartir juegos como Two Worlds, Dream Pinball o Colin McRae, aunque tras las amenazas iniciales por correo electrónico no se ha interpuesto ninguna denuncia contra ellos.

Para el comisario de protección de datos, Logistep rastrea y espía ilegalmente a los usuarios, algo totalmente prohibido por las leyes suizas que garantizan el secreto de las comunicaciones, permitiendo su intervención solo en causas penales y tras la preceptiva autorización judicial.

Esta noticia llega al tiempo que la que la Unión Europea afirmó que las direcciones IP deben considerarse información personal y por lo tanto privada. Un primer paso para acabar con el presunto uso ilícito de la información personal de los usuarios que gigantes como Google llevan a cabo.

Fuente:
http://torrentfreak.com/anti-piracy-company-breaches-privacy-080123/
http://www.theinquirer.es/2008/01/26/compania_antipirateria_tendra_que_parar_el_espionaje_a_los_usuarios_de_redes_p2p.html

Seguir leyendo...

Jérôme Kerviel: De estafador a estrella en Internet

El presunto autor del fraude de Société Générale se convierte en uno de los términos más buscados en la red.

Jérôme Kerviel se ha hecho famoso. Ayer Société Générale, el segundo banco francés por capitalización, le acusaba como autor del mayor fraude bancario de la historia: la compañía denunciaba pérdidas de 4.900 millones de euros.

Hoy su fotografía está en la mayoría de los periódicos del mundo. Aunque él permanece en paradero desconocido, en 24 horas le han salido amigos y fans por las redes sociales más conocidas de internet. Muchos le consideran un ejemplo a seguir, otros le elevan a la categoría de héroe.

El nombre de este operador de bolsa, de 31 años y que no cobraba más de 100.000 euros anuales, fue ayer el 26º término más buscado en Google, según el Financial Times. Nada más conocerse el escándalo EL PAÍS encontró 23 páginas relacionadas. Hoy ya son más de 27.000 referencias.

No han pasado ni 24 horas para que los usuarios hayan credao la entrada en Wikipedia de Jérôme Kerviel. Primero llegó la versión en francés, que creo el usuario Grimlock a las 21:14 de ayer. Le han seguido las versiones en inglés, en holandés, en francés, en alemán y en español. En todas ellas se lee su fecha de nacimiento, el 11 de enero de 1977, su formación académica, estudió un master de Managment en Operaciones Financieras de Mercados en la Universidad Lumière de Lyon 2, o su carrera profesional.

El propio Jérôme Kerviel tenía una cuenta en la red de Facebook, la web que premiaron los internautas como el portal de socialización más innovador de 2007. En ella aparecía que tenía 11 amigos, horas más tarde descendieron a cuatro, según el Financial Times. Eso sí ahora en esta web se pueden encontrar seis perfiles con su nombre. Es difícil saber cuál es el auténtico.

En esta misma red social se han creado varios grupos relacionados con el operador de bolsa. Uno lleva en el título que "debería ser premiado con el Premio Nobel de Economía", y tiene más de 60 miembros. Mensajes de apoyo como "¡Jérôme te quiero! Espero que estés en Baleares" o "¡Felicidades y buena suerte! Estoy seguro de que tienes millones de fans en el mundo" aparecen en otro grupo de Facebook, "Jérôme Kerviel fanclub" que supera los 200 miembros.

Mientras los internautas usan la noticia para crear webs, los analistas se cuestionan que un único hombre haya sido el único culpable de la estafa. Y entretanto, Kerviel se convierte en uno de los hombres más buscados del momento.

Fuente: http://www.elpais.com/articulo/economia/estafador/estrella/web/elpepueco/20080125elpepueco_10/Tes

Seguir leyendo...

La cara oculta de Facebook

Robbie Harbour, Ryan Raisch y Eric Gustafson tienen tres cosas en común. Son estadounidenses, viven en Bozeman, un pueblo del Estado de Montana, y forman parte del network homónimo en la red social online Facebook. En su comunidad real, que no llega a los 30.000 habitantes, trabajan, estudian, acuden al centro comercial para hacer la compra o van al cine con sus amigos. Pero es en la comunidad virtual, que agrupa a más de 8.000 residentes en ese pueblo y sus alrededores, donde a diario intercambian información sobre su vida, gustos y aficiones.

Sabemos, por ejemplo, que Gustafson cumplió 22 años el pasado 8 de enero, que es un físico recién licenciado en busca de trabajo; que tiene una "orientación política liberal", le gustan las películas de David Lynch y se relaciona con 35 personas. Pero sería suficiente seguir su vida virtual durante una semana para conocerle casi como su madre.

Y es que los más de 59 millones de usuarios de Facebook, nacida en 2004 de la mano de Mark Zuckerberg, un estudiante que quería crear una especie de anuario del colegio, corren el riesgo de estar siendo espiados o estudiados. Porque el sentido de este lugar de encuentro virtual es precisamente el intercambio de experiencias reales. Muy pocos mienten o se registran bajo nombre falso. Así lo hace también la mayoría de sus más de 220.000 usuarios españoles. ¿Es de Madrid y desea hacer amigos? ¿Estudió en la Universidad de Granada en 1982 y quiere localizar a sus antiguos compañeros? Facebook pretende ser una "herramienta para descubrir a la gente que nos rodea".

A la hora de crear un perfil, los usuarios pueden agregar, bajo su responsabilidad, información personal detallada, desde un currículum vitae hasta sus hábitos alimenticios. Pero así pueden también empezar los problemas. Porque los datos que se suelen considerar confidenciales se convierten de repente en información pública. Si se considera, además, que esos hábitos pueden marcar unas pautas, por ejemplo, en el comportamiento de la población universitaria, se convierten también en material sociológico muy valioso.

"Facebook no tiene la obligación de adaptar su política de privacidad a la ley española porque no procesa los datos en España", explica el abogado Alonso Hurtado, del estudio X-Novo. Lo mismo ocurre en otros países, por lo que los expertos coinciden en que el portal puede ser utilizado como una herramienta de segmentación para eficaces campañas de marketing e incluso para tesis académicas. No es ciencia-ficción. Hace unas semanas, unos investigadores de la Universidad de California, en Los Ángeles, y de Harvard empezaron a estudiar una clase de alumnos de primero de carrera a través de esta web para "analizar la información que dan de sí mismos y cómo se relacionan entre ellos", en palabras de Nicholas Christakis, un miembro del equipo. Sólo hay un detalle atípico: los estudiantes no saben que están siendo observados. En Facebook aseguran que no hay ninguna cláusula que prohíba estudios sociológicos. Porque el único límite de privacidad lo imponen los usuarios.

Es verdad. Pese a que darse de baja puede resultar largo y aparatoso, esos mismos usuarios -que en España incluyen a representantes políticos como Rajoy y Llamazares- deciden en qué grupo quieren entrar a formar parte y qué tipo de información compartir. En cualquier caso, para Arturo Paniagua, miembro de Hipertextual, compañía editora de blogs, "Facebook sitúa siempre a sus usuarios demográficamente y geográficamente". ¿Estamos ante el enésimo Gran Hermano de la Red? De momento, algunas asociaciones estadounidenses de internautas se han rebelado contra los gestores del portal, valorado en 8.750 millones de euros. En diciembre, más de 60.000 usuarios exigieron que la empresa retirara un sistema publicitario con el que compartía datos de sus compras. Acto seguido, Facebook anunció que pedirá el consentimiento de cada perfil antes de hacer pública esa información. "Por eso", destaca Paniagua, "es importante leer siempre la letra pequeña. El usuario medio no lo suele hacer y acaba picando". Como en la vida real.

Fuente: http://www.elpais.com/articulo/sociedad/cara/oculta/Facebook/elpepisoc/20080127elpepisoc_5/Tes

Seguir leyendo...

Entrevista a Martin Hellman

Por Mercè Molist

Martin E. Hellman es un simpático profesor semi-jubilado de 62 años que explica, con orgullo friki: "Uso un Mac porque no hay ordenador que funcione mejor". Le pillamos en Madrid, en una jornada de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información. No le han invitado por maquero, no, sino porque inventó, junto con Whitfield Diffie y Ralph Merkle, la criptografía de clave pública. "A ese hombre, deberían darle un Nobel", nos dice por enésima vez el director de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación. Pero, en la rueda de prensa que ofrece el viejo profesor, sólo estamos 3 tristes periodistas. Y es que la criptografía no es "cool". ¿O sí?

-Lo más revolucionario hoy en su campo es la criptografía cuántica. ¿Qué le parece?

-Es una idea muy inteligente y excitante, pero dicen que hasta dentro de 10 años no tendremos que empezar a preocuparnos por esto. Y quizá en 10 o 20 años más no tendrá éxito. Lo que debe preocuparnos ahora es la información, como los datos médicos, que debería ser secreta durante muchos años.

-¿Me está diciendo que la criptografía cuántica romperá las cosas que estamos cifrando?

-Sí. Ahora empieza, es embriónico, aún no es un problema.

-¿Pero lo será?

-Por eso estamos pensando en algoritmos para que no pase.

-Confío en que los encuentren porque sería un descalabro mundial, podría usarse para el mal...

-Estamos pensando en usar dos niveles de criptografía: la de clave pública y la convencional, la simétrica, y combinarlas. Si la criptografía cuántica puede romper la de clave pública, aún estamos protegidos por la otra. Usando ambos sistemas y combinando claves, dentro de 30 años, en principio, lo que hoy hemos cifrado podrá seguir siendo seguro.

-Es una idea bonita.

-Sí. Y cara, por lo que sólo puede usarse para información realmente valiosa. Pero es lo que hay.

-¿Utiliza usted cifrado, por ejemplo Pretty Good Privacy (PGP), en su correo electrónico?

-Jaja, me has pillado. No y la razón es que no está integrado en mi programa de correo. El cifrado, para que sea útil, debe ser automático, que lo uses sin darte cuenta. El problema es que hay muy poca gente usando PGP en su correo y no hay presión para integrarlo totalmente. Trabajar con ordenadores no es fácil para la gente normal y PGP se les convierte en un problema más. La criptografía debería estar dentro del programa, de una forma integrada, automática y transparente.

-Criptografía es sinónimo de privacidad...

-Y autenticación...

-Pero hoy tenemos poca privacidad. Empresas y gobiernos la atacan constantemente y la gente, como usted dice, no parece muy preocupada.

-Deberían estarlo más, es cierto, Pero tampoco puedes esperar que una persona "normal" esté educada en este sentido. La solución es que los vendedores hagan mejores productos.

-Pero no los hacen.

-Y es terrible. En muchos casos la criptografía no es cara, sólo poner un poco más de código en el programa, pero no lo hacen porque a la gente no le preocupa. Lo harían si, dentro de seis meses, hubiese un gran desastre y viesen que podría haberse evitado usando cifrado. Entonces, todos lo usarían.

-Es que las empresas no protegen ni su propia información. Ves estos sistemas de anticopia, Digital Rights Management (DRM), con códigos que se rompen cada día...

-El problema es que muchos son diseñados por gente que no entiende de criptografía. El DRM de BlueRay, por ejemplo, rompieron una parte pero hay otra, que diseñó Paul Kocher, muy muy buena: Self Protecting Digital Content (SPDC). Es una técnica muy inteligente, el sistema está en el DVD, no en el reproductor, y es muy difícil de romper. Incluso si alguien descubre cómo funciona, tienen otro preparado. De esta forma pueden caer algunos DVDs, pero los más valiosos siempre están protegidos. Es un juego de ajedrez constante.

-Del ratón y el gato.

-Sí. La industria suele dedicarse a cambiar cada dos por tres los diseños de sus sistemas. Pero en este caso el mismo jugador sigue jugando y protegiendo los nuevos discos, no tienes que cambiar todos los reproductores porque el cambio es sólo en el DVD. No digo que sea el sistema perfecto, pero será muy bueno con el tiempo.

-Personalmente no estoy a favor de proteger con DRM la información, que creo debería ser libre.

-Sí, como consumidor tampoco me gusta, pero como criptólogo es una buena idea.

-Volvamos otra vez a la concepción que tiene la gente de la criptografía como algo esotérico...

-Mira: Internet es horriblemente insegura, está diseñada para serlo. Al principio pertenecía a los militares que, entre otros usos, tenían una aplicación militar en mente: comunicarse en caso de guerra nuclear.

-Creía que esto era una leyenda urbana...

-No, no. Es cierto. Los militares decían que debía haber un sistema de comunicaciones que sobreviviese en una guerra nuclear, incluso si un nodo era destruído. Debía ser un sistema autoorganizado sin control central.

-Sí.

-Por tanto, la red se diseñó para ser fiable, pero no en términos de privacidad porque, en el mundo militar, el cifrado se entiende de un punto a otro punto: yo cifro aquí, en mi terminal, la información corre por una red insegura y abierta, protegida por el cifrado, y cuando llega a tu terminal la descifras. No necesitas una red segura en medio. Así, las redes abiertas son diseñadas para ser inseguras, Internet también. Y aquí vamos a tu pregunta.

-¿Qué le importa la criptografía a la gente normal?

-Cuando doy una charla a gente no técnica suelo preguntarles: ¿Cuántos de ustedes usan cifrado? Nadie levanta la mano. Después pregunto: ¿Cuántos han comprado en Internet con tarjeta de crédito? Y todo el mundo la levanta. Entonces les digo: Pues ustedes han usado cifrado, pero no lo saben porque es automático y transparente.

-Exacto.

-Y es así cómo debe funcionar el cifrado: que la gente no deba hacer nada especial. En Internet tenemos un sistema, llamado SSL (Secure Sockets Layer). En 1994, Tahar Al-Gamal, jefe de investigación en Netscape, me mandó un mail porque estaba trabajando en criptografía y necesitaba ayuda. Le sugerí dos estudiantes míos, uno era Paul Kocher. Al-Gamal lo contrató como consultor y Kocher diseñó la versión 3 de SSL. La 2 tenía muchos agujeros de seguridad, pero la que diseñó Paul es la misma que se está usando hoy, con muy pocos cambios. Cuando la gente compra algo en Internet, SSL 3 está protegiendo su información con criptografía de clave pública, que inventé con Whitfield Diffie y Ralph Merkle.

-¿Cómo llegaron a esta idea revolucionaria?

-Merkle estudiaba en Berkeley y llegó a ello por sí mismo, independientemente de nosotros. Diffie y yo estábamos en Stanford. Tuvimos esta idea entendiendo algo muy sencillo: hay un problema en el mundo militar y es que necesitas un código muy seguro para trabajar, pero si cae en manos del enemigo también puede usarlo y es igualmente muy fuerte. Por tanto, tienes un problema.

-Sí.

-Pero si pones una trampa, no. Imagina que tienes un millón de llaves y sabes que una abre la puerta: quien tenga el conocimiento de esta llave podrá abrirla, pero el resto no. Un "código-puerta trasera" sería esto: una vulnerabilidad que está escondida, de forma que si mis oponentes intentan usar este código yo conozco la vulnerabilidad y puedo romper sus transmisiones, pero cuando yo lo uso, ellos no conocen el agujero. Nos dimos cuenta de esto antes de llegar a la criptografía de clave pública, que fue sólo un paso más. La gente suele decirme: ¿Cómo pensasteis en algo tan revolucionario? Y les contesto: ¿Cómo nadie lo había pensado antes?

-¿El gobierno norteamericano les presionó para que no trabajasen en esto?

-Mientras investigábamos, no. Pero cuando lo publicamos, sí. La comunidad de inteligencia nos estuvo molestando bastante. La National Security Agency (NSA) intentó clasificar nuestro trabajo, argumentando que las investigaciones en ciertas áreas, entre ellas la criptografía, eran "clasificables por defecto". Aunque nosotros no habíamos tenido acceso a información clasificada para nuestras investigaciones, el resultado debía ser clasificado.

-Pues vaya.

-Entonces, en los años 70, la NSA se dedicaba a atacar a la gente de las universidades como yo, pero no lo hacía abiertamente. Había un chiste sobre la NSA que decía que sus siglas significaban "No Such Agency" o "Never Say Anything". Ibas a conferencias y veías a gente de la NSA o de la CIA, pero su tarjeta nunca ponía los nombres de estas agencias, como ahora, sino Departamento de Defensa, y sabías que era la NSA, o US Government, y sabías que era la CIA.

-Jaja.

-No vinieron directamente a mí para decirme que estaba violando la ley. Una persona envió una carta amenazante a la universidad. La mandó desde la dirección de su casa. También nos envió una copia de la ley, donde ponía que podíamos ir 10 años a la cárcel y pagar 50.000 dólares de multa.

-¿Y qué hicieron?

-La universidad decidió asumir mi defensa. El abogado me dijo que lo veía como un caso de libertad de expresión y así lo defendería. Si nos declaraban culpables, apelaría las veces que hicieran falta pero, si perdíamos todas las apelaciones, dijo: Primero, no podremos ir a prisión por tí y, segundo, no podremos pagar tu fianza porque, si te han declarado culpable, la universidad no puede pagar la fianza de alguien que ha violado la ley.

-¡Qué peligro!

-También me dijo que en breve teníamos un simposio en la universidad y dos estudiantes, Steve Pohlig y Ralph Merkle, presentarían unas investigaciones que podrían exigirnos que fuesen clasificadas. Me recomendó que fuese yo, el profesor, quien las presentase, ya que la universidad podía defenderme a mí pero no a los estudiantes. Se lo comenté a los chicos pero ellos dijeron que no importaba, que presentarían sus investigaciones desafiando la ley. La cosa cambió cuando hablaron con sus padres.

-Jeje.

-Acabé presentando yo sus investigaciones, explicando que eran obra de los estudiantes, para que tuviesen su merecido reconocimiento, y el por qué no habían podido presentarlas ellos. Fue un gran drama y, al final, llamó más la atención esto que las propias investigaciones.

-¿Hubo juicio?

-No.

-¿La NSA nunca le pidió que trabajase para ellos?

-Antes de inventar la criptografía de clave pública, vino gente de la NSA a ofrecerme trabajo, pero les dije que no porque me gustaba publicar mis investigaciones, no que fuesen clasificadas. En nuestra área, en el momento en que entras en contacto con información clasificada estás vendido. Por eso mi respuesta fue no. En aquellos tiempos, los 70, tenía la imagen de que la NSA eran los malos, Darth Vader, y yo era Luke Skywalker.

-Muy bueno.

-Pero, en los 80, hubo diversos terremotos en mi vida personal y me di cuenta de que mi percepción subjetiva de las cosas no era la verdad absoluta. Uno de estos terremotos fue mi matrimonio: mi esposa es una mujer, desde mi punto de vista tiene algunas ideas locas y esas cosas... Así, este y otros temas me hicieron ver que la forma como yo veía el mundo no tenía porqué ser necesariamente la verdad.

-Cierto.

-En muchas ocasiones, tienes la diatriba: ¿Esto es A o es B? Mi mujer es una especialista en esto, lo que ella llama "La gran y". Lo que parece ser una oposición, muchas veces no lo es. No es A o B sino A y B. ¿Debo publicar mis investigaciones o debo ayudar a proteger a la gente, protegiendo cierta información?

-¿Y la respuesta es?

-El mundo es un sitio peligroso. En nuestros países tenemos libertades que el resto no tiene. No estoy de acuerdo con todo lo que hace mi gobierno, pero le estoy agradecido por algunas cosas, como protegerme, que yo pueda publicar mis investigaciones y, además, pueda quejarme de lo que no me parece bien. Los atentados terroristas como el 11-S o el 11-M son horribles pero, ¿cuántos más han evitado los gobiernos y sus servicios de inteligencia? Así que yo y la universidad hemos tenido relación con gente de la NSA, pero nunca trabajamos para ellos.

-¿Cuál es la aplicación de su invento que le gusta más?

-(Un largo silencio, parece que nunca se lo hayan preguntado). Lo más usado es SSL 3, por supuesto me gusta porque así la gente puede comprar cosas por Internet. También me gusta la idea de las firmas digitales, aunque de momento no está siendo muy usada.

-Ciertamente.

-En el mundo militar y la industria, sí, pero no ha llegado masivamente al público. Otra aplicación interesante, que no está siendo usada aún, es sólo una idea: en un centro de investigación nuclear del gobierno de los Estados Unidos, Sandia National Laboratories, en México, hay un hombre, Gus Simmons, que trabaja en armas y en control de las mismas. A finales de los 70 surgió un problema: Estados Unidos y Rusia querían firmar un tratado de control de sus armas nucleares y no se ponían de acuerdo. La idea era poner sensores en los centros que tenían armas y que la información de estos sensores se enviase a ambos bandos. Pero los Estados Unidos no confiaban en los soviéticos, les creían capaces de inyectar datos falsos para que un movimiento enemigo pareciese un terremoto.

-Ajá.

-Y los rusos tenían otro problema: les preocupaba que les enviásemos datos distintos de los producidos por los sensores y que ellos no pudieran comprobarlo. ¿Quién les aseguraba que les enviábamos los buenos? Gus Simmons, en Sandia, les dijo que esto podía arreglarlo la criptografía de clave pública. Como tendrían la clave pública, los rusos podrían comprobar los datos que les llegaban y ver que no les estábamos engañando con información falsa. Y los americanos podían estar seguros de que nadie había inyectado datos falsos porque el cifrado, además de dar privacidad, da autenticación, actuando como un sello de seguridad. Esta es mi aplicación favorita, me encanta, aunque al final nunca se llevó a cabo. Lo que habían planteado como un problema técnico no era tal, en realidad era político y militar y de la forma como pensamos, como siempre.

-Desde los 80, usted trabaja también para evitar el mal uso de la tecnología, para la paz.

-Bueno, más bien diría que trabajo para la supervivencia de la raza humana. La paz es una utopía. Estoy preocupado por diversos temas, como la degradación del medio ambiente, pero el más peligroso son las armas nucleares. Empecé a preocuparme por eso en los 80, cuando Estados Unidos y Rusia peleaban como niños y un solo error podía haber provocado grandes daños.

-Ahora hay más países jugando con esto.

-Sí, la proliferación nuclear. Y además la guerra fría acabó sólo temporalmente. Si las relaciones entre EEUU y Rusia vuelven a ir mal, cosa muy probable, tendríamos otra vez algo parecido a una guerra fría.

-Brrr...

-La cuestión es: las armas nucleares que aún existen, ¿cuántos años seguirán funcionando y cuántos pueden pasar antes de que haya un accidente? Si hablamos de probabilidades, podemos decir que hay una probabilidad entre 1.000 cada año de que haya un accidente. En una década, es una probabilidad entre 100. Si hay una probabilidad entre 100 de que mueras haciendo deporte, no harás deporte, porque es demasiado. Y aquí no hablamos de una muerte individual, sino de la muerte de una civilización.

-¿De verdad es tan probable?

-Si no hemos resuelto este problema en 50 años y además más países se unen a esta proliferación, el terrorismo nuclear podría ser la chispa que encendiese una gran guerra. No sería la primera vez: en Sarajevo, en 1914, un terrorista con una bomba empezó una guerra mundial. Es demasiado arriesgado, pero la gente no está preocupada por esto.

-¿Qué propone usted?

-El primer paso es que la población reconozca que es un riesgo y presione a sus gobiernos. Imagina que España es atacada, cuando es un país que ni tan sólo tiene armas nucleares. Los países pequeños que no tienen este armamento corren igualmente un riesgo y deberían ser los primeros en presionar para que acabe esta carrera.

-¿Y cómo conscienciar a la gente?

-Con el boca a boca. Lo primero, que estoy intentando, es conseguir una masa crítica, crear un mecanismo viral para que esto se difunda. En los 80 no teníamos Internet a nivel masivo. Hoy sí y podemos difundir este mensaje. Hay muchas formas. Una, por ejemplo, puede ser que cuando te encuentras con alguien y te dice: -¿Qué tal estás? Respondes: -Pues te sonará raro pero he empezado a preocuparme en serio por la guerra nuclear.

-Entiendo. Es lo que está usted haciendo ahora conmigo.

-Y la persona puede que se sienta interesada a su vez. O no. No pasa nada. No hay por qué discutir ni intentar convencerla, no tienes por qué volverte odioso. En realidad, encuentras a mucha gente interesada. Es asombroso, cuando les hablo de esto, cuánta gente tiene un profundo miedo y entendimiento sobre ello.

-¿Cómo piensa usar Internet para este fin?

-Poniendo en marcha un sitio web con un contador o algo parecido, que muestre la gente que se suma a esto. Las personas necesitamos ver un progreso, sólo así mantenemos la esperanza. Otra clave es que lo que la gente deba hacer tenga un coste mínimo: se lo cuentas a alguien y, si le interesa, bien. Si no, no luchas contra él. Si conseguimos difundirlo de una forma viral, crecerá exponencialmente, los medios lo cubrirán, más gente lo oirá y, por fin, los políticos se implicarán. Como dijo un político francés del siglo XIX: "Tengo que seguirlos, porque soy su líder".

Copyright 2007 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Fuente: http://ww2.grn.es/merce/2007/hellman.html

Seguir leyendo...