Regulaciones en seguridad informática

Etek Reycom, proveedor latinoamericano de soluciones integrales de Seguridad de la Información presenta un análisis sobre las nuevas regulaciones en materia de Seguridad Informática, a fin de impulsar nuevos desarrollos.

La firma se propone así reforzar el concepto de que el uso responsable de la tecnología en las empresas, basado en el cumplimiento de una política de seguridad integral, es responsabilidad de todos los usuarios.

Según Laura Rodriguez Ocampo, Abogada de Professional Services de Etek Argentina, las tendencias indican que cada vez se pone más el acento en lo referido a protección de datos personales y privacidad, así como los temas relacionados con robo de identidad. En este sentido, desde fines de 2006 en Argentina ya es obligatorio implementar medidas de seguridad en el manejo de bases de datos con información personal.

Otro aspecto importante a considerar es la regulación de los llamados delitos informáticos. La reciente reforma al Código Penal del 4 de junio pasado se concretó a través de la ley 26.388.

“Esta ley se trata del primer avance de nuestro país en el sentido de castigar penalmente ciertos hechos que hasta el momento quedaban sin sanción por el vacío legal que representaban. Por lo cual es una reforma que además de resultar muy necesaria, nos acerca a las legislaciones de otros países en tal sentido”, comentó la ejecutiva.

Las principales reformas introducidas por la ley 26.388 consideran delitos a las siguientes acciones:

- Pornografía infantil por Internet u otros medios electrónicos (art. 128 CP)
- Violación, apoderamiento y desvío de comunicación electrónica (art. 153, párrafo 1º CP)
- Intercepción o captación de comunicaciones electrónicas o telecomunicaciones (art. 153, párrafo 2º CP)
- Acceso a un sistema o dato informático (artículo 153 bis CP)
- Publicación de una comunicación electrónica (artículo 155 CP)
- Acceso a un banco de datos personales (artículo 157 bis, párrafo 1º CP)
- Revelación de información registrada en un banco de datos personales (artículo 157 bis, párrafo 2º CP)
- Inserción de datos falsos en un archivo de datos personales (artículo 157 bis, párrafo 2º CP; anteriormente regulado en el artículo 117 bis, párrafo 1º, incorporado por la Ley de Hábeas Data)
- Fraude informático (artículo 173, inciso 16 CP)
- Daño o sabotaje informático (artículo 183 y 184, incisos 5º y 6º CP)

En otro orden, las organizaciones deberán considerar también su responsabilidad del uso de la tecnología en las empresas. Las decisiones judiciales en materia de uso de tecnología en ambientes de trabajo dan especial importancia a la presencia de una política de seguridad integral vivenciada por la empresa y sus dependientes, la concientización de usuarios, los procesos de clasificación de información, procesos disciplinarios ante incumplimientos a normas y procedimientos de Seguridad, entre otros que aseguran a las personas y los activos, y que al momento de un incidente de seguridad, dejan evidencia de previsión y diligencia de la organización.

Estos ordenamientos destacan que la relevancia de la seguridad de la información va más allá de lo técnico, y hace que se defina más como un proceso integral, que como acciones o productos aislados. La Política de Seguridad en una organización se identificará más con un servicio continuo que con un producto.

“Finalmente, podemos decir que una de las herramientas más adecuadas para el cumplimiento de requerimientos legales, podemos encontrarlo en la norma ISO/IEC 27001:2005. Este estándar certificable recoge las mejores prácticas en Seguridad Informática, cubriendo en sus objetivos de control la mayoría - si no la totalidad -, de los aspectos que cualquier organización debe prever al manejar sus activos en forma responsable. La implantación de un Sistema de Gestión de Seguridad de la Información (SGSI, en términos del estándar ISO) es y será en el mediano plazo el mejor instrumento para el adecuado cumplimiento legal”, agregó Rodriguez Ocampo.

Fuente: http://www.asteriscos.tv/noticia-tecnologia-559.html

Seguir leyendo...

AIX: Curso e-Learning sobre seguridad

IBM publica en su web un curso de e-Learning y guías de aprendizaje para AIX, para ayudarle a saber más acerca de la seguridad migración de AIX.

Este curso empieza explorando porqué la seguridad es un tema tan importante para los administradores de sistemas actuales, cómo IBM puede ayudarle a tratar las preocupaciones de seguridad y las características de seguridad ofrecidas por el sistema operativo AIX 5.3. El curso describe las ventajas, restricciones y utilizaciones de los valores de seguridad de nivel alto, medio, bajo y estándar de AIX Security Expert. Aprenderá cómo fortalecer un sistema durante la instalación, personalizar los valores de seguridad y aplicar una configuración de seguridad para varios sistemas.

Fuente: http://seguridad-informacion.blogspot.com/2008/11/aix-curso-e-learning-sobre-seguridad.html

Seguir leyendo...

Principios de Seguridad

En el marco de la Semana Internacional de la Seguridad Informática, Openware realizó una serie de artículos de concientización, destacando los principios de la seguridad informática. Acorde con el lema de la iniciativa, “dale valor a tu información”, estos están dirigidos a cualquier usuario de computadoras que quiera mantener su información segura.

Las temáticas de los principios y sus días de publicación son los que se presentan a continuación.

• Principio 1: “Cuida tu privacidad” (24/11/2008) - descargar
• Principio 2: “No brindes información indebida” (25/11/2008) - descargar
• Principio 3: “Usa contraseñas fuertes” (26/11/2008) - descargar
• Principio 4: “Protege el acceso al Home Banking” (27/11/2008) - descargar
• Principio 5: “No hables con extraños” (28/11/2008) - descargar

Todos los artículos serán publicados con licencias libres (Creative Commons).

Cualquier lector está invitado a difundir estos documentos y a distribuirlos entre sus seres cercanos, sean empleados de su organización, familiares y/o amigos.

Fuente: http://www.openware.biz/es/noticias/semana_internacional_de_la_seguridad_informatica_principios_de_seguridad_%E2%80%9Cdale_valor_tu_inf

Seguir leyendo...

Empieza el combate para SHA-3

El pasado 31 de octubre se terminó el plazo de presentación de algoritmos Hash para el nuevo estándar SHA-3. En total se han presentado unos 64 trabajos de los cuales la mitad son públicos y entre los que hay que citar, por curiosidad, la propuesta de un joven de 15 años y el nuevo MD-6 presentado el pasado mes de agosto.

En la fase preliminar de criptoanálisis ya se han roto 8 de los candidatos públicos (no tengo acceso a los candidatos privados) y si el calendario se cumple la proxima semana se darán a conocer los algoritmos que cumplen todos los requisitos de la competicion.
Para finales de febrero está prevista la presentación oficial justo después de la FSE y muy pronto, en 2012, tendremos el nuevo estándar SHA-3, eso si al menos uno consigue llegar a la final.

Eduardo Morrás
S21sec labs

Seguir leyendo...

Salvemos a Facebook

Sin palabras. Las malditas cadenas también invadieron las redes sociales.

La denuncia y el caso de Facebook vs ConnectU es real, pero de ahí a cerrar... y que tengamos que hacer una cadena para salvar Facebook hay un largo trecho.

Redacción de Segu-Info

Seguir leyendo...

La muerte se vende como cuchillos de cocina

Por Arturo Quirantes Sierra

Granada, 12 Noviembre 2008

Estimado Sr. de Otálora,

Me llamo Arturo Quirantes Sierra. Soy profesor de Física en la
Universidad de Granada, y dirijo extra-académicamente una web sobre
criptografía (www.cripto.es). Como aficionado a la cripto, he leído con
interés su artículo La muerte se escribe en PGP.
La he leído con interés, sí, pero también con algo de disgusto,
debo reconocerlo. En su artículo, plantea usted la criptografía como un
arma que permite a los criminales campar a sus anchas. Según ese mismo
razonamiento, deberían prohibirse los cuchillos de cocina, ya que hay
gente que los usa para matar a otra gente. También podríamos entregar
copia de nuestras llaves de casa a la policía, porque lo mismo los
criminales usan las cerraduras para impedir que alguien entre en su
casa. O más aún, seguro que en el piso de los etarras encontraron papel
higiénico, así que ¿por qué permitimos que el papel higiénico siga
vendiéndose legalmente?

La táctica que usted usa -criminalizar algo porque puede ser
usado por criminales- es muy antigua, y por desgracia eficaz. Pero no
hay más que ver los usos que se dan hoy día a la criptografía (desde las
conexiones seguras a páginas web, pasando por los teléfonos GSM o los
sistemas de apertura de puertas a distancias) para reconocer que, si
bien la criptografía puede ser usada mal, en general es una herramienta
muy útil en todos los niveles.

El primero de tales niveles es la protección de nuestra propia
privacidad. Si usted investiga un poco, encontrará mil y un ejemplos de
interceptaciones de comunicaciones ilegales, irregulares o poco ...
digamos ... restringidas. Precisamente PGP fue inventado a comienzos de
los años 90 en un esfuerzo por mantener algo de criptografía en manos
del público. En aquellos días, el gobierno norteamericano imponía
fuertes restricciones a la exportación de cripto, y parecía que la
propia criptografía civil iba a ser ilegalizada de un momento a otro
(como estuvo cerca de suceder). Es en ese contexto, el de la lucha de
los gobiernos por asegurarse comunicaciones fácilmente interceptables,
en el que nació PGP, y no en el de la guerra fría, como incorrectamente
afirma usted. Puede vd. leer sus propias palabras al respecto en
http://www.pgpi.org/doc/whypgp/es/ .

Percibo, por su parte, cierta animadversión contra Zimmermann,
el creador de PGP. Cuando afirma usted que que demandado y ganó, no
parece recordar que, en realidad, la demanda no tenía base alguna. Se le
culpaba de exportar el programa cuando a) muchas otras personas lo
habían hecho antes (en alguna ocasión legalmente), y b) nunca hubo la
menor evidencia en su contra.

En cuanto al párrafo:

“El creador del PGP, por contra, defiende un tipo de proyectos
más cercanos al anarquismo o el liberalismo más exacerbado. En este
sentido, en los escritos de Zimmermann se denuncian los intentos de la
Administración Bush por controlar el mayor número de sistemas de
comunicación entre ciudadanos. «Si la privacidad está fuera de la ley,
sólo los que están fuera de la ley tendrán privacidad», resume el
informático.”

no puedo estar más en desacuerdo. No tiene usted más que escarbar un
poco en algunos de los proyectos de interceptación más polémicos
(Echelon, la ley Patriot, las escuchas legalizadas por orden
presidencial) para caer en la cuenta de que protegernos contra nuestro
propio gobierno no es sólo tarea de paranoicos, sino que por el
contrario constituye una labor de buen gobierno y autoprotección. Por
otro lado, yo he participado en diversos proyectos legítimos que, por
uno u otro motivo, debían permanecer confidenciales en su momento, y le
aseguro que esa necesidad de protección es necesaria más allá de si es
un “proyecto cercano al anarquismo o el liberalismo más exacergado”,
como usted afirma. Por desgracia, es muy fácil etiquetar alegremente a
quienes queremos criticar que razonar sus motivaciones de modo
desapasionado.

En otro orden de cosas, tomarla con PGP es absurdo, entre otras
cosas porque los protocolos criptográficos están disponibles a
cualquiera. Un informático con dos dedos de frente (e incluso con uno)
puede tomar las instrucciones de esos algoritmos y convertirlos en
líneas de código, muy fácilmente. Borremos PGP, y aún dispondremos de
centenares de programas de encriptación para usarlos libremente.

También me gustaría expresarle mi convencimiento de que, incluso
usando PGP, los mensajes cifrados pueden ser en ocasiones recuperados.
No mediante el desciframiento directo. Pero la policía dispone de
herramientas forenses muy poderosas, que exploran el disco duro en busca
de información residual como archivos borrados (¿sabía usted que un
archivo borrado realmente sigue en el disco duro y puede ser recuperado
fácilmente?) o contraseñas guardadas en memoria caché, así como listas
de diccionario y otros procedimientos sofisticados para intentar
averiguar la clave. Se pueden insertar troyanos que capturen las
contraseñas, o bien “olfatearlas” a distancia. No basta con PGP para
proteger un mensaje en un ordenador, del mismo modo que una puerta
blindada no basta para proteger una ventana que tiene una ventana
abierta. Y usted, como periodista, debiera haberse informado mejor al
respecto.

Finalmente, su comentario:

“Según un experto de las Fuerzas de Seguridad, para que el
empleo del PGP sea eficaz en una organización, es necesario que en algún
nivel de la estructura exista una persona que controla todas las llaves.
«Sin un administrador de las claves, es muy fácil que se pierdan
documentos al olvidar una contraseña. Para que el método sea eficiente»,
continúa el experto, «el sistema tiene que tener una memoria única que
controle todas las informaciones para evitar que una parte importante de
la información se destruya».”

me resulta sencillamente increíble. Si hay algo que caracteriza PGP es
su carácter descentralizado. No hace falta ninguna persona o autoridad
central que cree o administre claves. Es cómodo, pero no imprescindible.
Usted y yo podríamos crear nuestras claves, intercambiarlas y
comunicarnos en modo seguro durante años. Yo lo hago. Y no necesito que
nadie controle mis claves. De hecho, PGP incorpora un funcionalidad que
permite, mediante una clave de descifrado adicional, descifrar mensajes
incluso si el dueño no está disponible.

Resumiendo: ni PGP es invencible en un entorno real, ni es una
herramienta imprescindible, ni es usado exclusivamente (ni siquiera
aproximadamente) por los malos. Muy por el contrario, le recomiendo su
uso, porque seguro que en más de una ocasión habrá necesitado disponer
de comunicaciones y almacenamiento de datos confidencial y seguro.

Por lo demás, estoy a su disposición para cualquier aclaración o
asesoramiento que vd. desee. Puede encontrarme en [email protected],
y en la web www.cripto.es

Cordialmente,

Arturo Quirantes Sierra

Boletín ENIGMA
Boletín del Taller de Criptografía de Arturo Quirantes
http://www.cripto.es

Seguir leyendo...

Manual para la persecución de delitos contra la Propiedad Intelectual

Miembros del grupo de expertos en las fases de investigación, persecución y enjuiciamiento de los delitos contra la propiedad intelectual pertenecientes a los Ministerios de Cultura, Justicia, Interior, la Agencia estatal de la Administración Tributaria, Cuerpos y Fuerzas de Seguridad, Fiscalía general del Estado, Judicatura, entidades de gestión de derechos de propiedad intelectual y la Federación española de municipios y provincias han elaborado un Manual que nace con la vocación de desarrollar el Plan Integral del Gobierno para la disminución y la eliminación de las actividades vulneradoras de la propiedad intelectual.

Desde una perspectiva teórica y con recomendaciones prácticas, el Manual hace referencia a los siguientes aspectos:

• datos estadísticos oficiales sobre piratería en nuestro país.
• efectos nocivos de la piratería en la sociedad española.
• procedimiento que se siguen para la persecución de los delitos contra la propiedad intelectual.
• propuesta de catálogo de buenas prácticas para ayudar a mejorar la eficacia y coordinación de las actuaciones de la Administración de Justicia y de las Fuerzas y Cuerpos de Seguridad.

Su principal objetivo es el de informar, sensibilizar y concienciar a la sociedad, siendo sus destinatarios naturales los agentes públicos con responsabilidades en esta materia: fuerzas y cuerpos de seguridad, jueces y fiscales.

Sin perjuicio de lo anterior, es de lectura recomendada para todos los interesados en la materia que desean profundizar en cómo se persiguen, en la actualidad, los delitos que se cometen relacionados con la propiedad intelectual.

Fuente:
http://www.miguelangelmata.com/2008/11/20/manual-para-la-persecucion-de-delitos-contra-la-propiedad-intelectual/
http://www.miguelangelmata.com/wp-content/uploads/2008/11/manual_buenas_practicas.pdf

Seguir leyendo...

Microsoft advierte contra nuevo gusano para Windows (Conficker)

El 23 de octubre, Microsoft solucionó una vulnerabilidad crítica presente en RPC bajo Windows, sin esperar el próximo parche mensual, programado para el segundo martes de diciembre. La compañía tuvo buenas razones para acelerar la publicación del parche debido a que se ha detectado un gusano que aprovecha precisamente tal vulnerabilidad, incluso estando ya solucionada. El riesgo radica en que numerosos usuarios no han instalado la actualización, por lo que sus sistemas siguen siendo vulnerables.

El gusano Conficker.A ya ha infectado una red corporativa en Estados Unidos, y también se han detectado incidencias en Europa, Asia y Sudamérica.

El gusano en cuestión ejecuta un servicio similar a un servidor web en la computadora infectada, usándolo para descargar e instalar nuevo código maligno. Una curiosidad es que, luego de instalarse, el gusano descarga la actualización de Microsoft que corrige el agujero de seguridad que el mismo gusano acaba de explotar. Claro está, no actúa movido por la generosidad, sino más bien por un intento de dejar fuera a otros gusanos de RPC.

Protegerse contra el gusano es relativamente fácil. Aparte de la instalación del parche de Microsoft es imprescindible tener activada constantemente un cortafuegos.

En su sitio Malware Protection Center, Microsoft presentará una descripción detallada del gusano del procedimiento para proteger el sistema.

Por ahora la mayoría de los Antivirus detectan la amenaza pero por favor parchee de inmediato y filtre el puerto 445.

Fuente:
http://diarioti.com/gate/n.php?id=20496
http://blogs.eset-la.com/laboratorio/2008/11/29/gusanoconficker-parchee-inmediatamente/
http://blogs.zdnet.com/security/?p=2228
http://www.virustotal.com/analisis/9ddb07d1fdceeaf299c7288627e27d1b
http://www.heise-online.co.uk/security/Windows-worm-infection-accelerates--/news/112077
http://news.cnet.com/8301-1009_3-10109080-83.html
http://blogs.technet.com/mmpc/archive/2008/11/25/more-ms08-067-exploits.aspx
http://www.avertlabs.com/research/blog/index.php/2008/11/25/further-067-woes/
http://blog.trendmicro.com/ms08-067-vulnerability-botnets-reloaded/
http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?ID=75911
http://isc.sans.org/diary.html?storyid=5401
http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A
http://www.symantec.com/security_response/writeup.jsp?docid=2008-112203-2408-99&tabid=2
http://www.razorman.net/noticias-de-informatica/eliminar-gusano-win32-conficker.a.html
http://foros.zonavirus.com/intrusion-por-ip-de-gusano-conficker-si-no-se-tiene-ms08-067-t26913.html

Seguir leyendo...

Análisis de riesgos orientado a procesos

Todos los involucrados en seguridad nos topamos con algún tipo de análisis de riesgos tarde o temprano, y a pesar de que hay muchas metodologías disponibles sigue siendo una de las tareas más difíciles de realizar.

La principal dificultad radica en la naturaleza subjetiva de este tipo de análisis, pero hoy en día me parece que tenemos las herramientas necesarias para modificar nuestros procesos y producir resultados razonablemente precisos, que puedan ser utilizados por el negocio para la toma de decisiones.

Tipos de análisis

Tradicionalmente se habla de 2 tipos de análisis de riesgos: cuantitativos y cualitativos. En un principio las metodologías que surgieron trataron de ser cuantitativas (es decir, calificaban el impacto de los riesgos con un número, típicamente dinero). Sin embargo, pronto las empresas y los profesionales de seguridad se dieron cuenta que no todo es cuantificable y la asignación de valores era asignada en muchos casos de forma totalmente arbitraria.

Surge entonces el análisis cualitativo, que básicamente califica dentro de una escala el riesgo (ej. alto, medio, bajo). Este enfoque acepta la naturaleza subjetiva de algunas amenazas y logra establecer prioridades con base en la opinión de un especialista y la aplicación de algunos criterios generales. Sin embargo, el problema de la falta de información de costo/beneficio en inversiones de seguridad para la toma de decisiones aún persiste; una calificación cualitativa no es suficiente en estos casos. ¿Cuánto es aceptable invertir para mitigar un riesgo medio o uno alto? ¿Todos los riesgos calificados de la misma manera cuestan lo mismo a la empresa?

Por esta razón existe en la actualidad una tendencia en buscar algún tipo de análisis de riesgos que cuantitativo que de alguna manera cubra estas necesidades. Para lograr este objetivo podemos aprovechar un recurso que hoy en día es más fácil de obtener: la información histórica de eventos en el negocio y/o el aprendizaje que ha resultado de dichos eventos.

Seguir leyendo

Seguir leyendo...

Madre quiere la pena máxima en caso de Cyberbullying

Se puede ampliar esta noticia en Segu-Kids, Seguridad para menores en la red.

La madre de una niña que se suicidó a la edad de 13 años, luego de ser sometida a una broma por Internet; dijo el último viernes que solicitará la pena máxima para la mujer culpable en el caso de cyberbullying.

La mujer demandada, Lori Drew, de 49 años, de O'Fallon; fue condenada el miércoles en la Corte Federal en Los Angeles por los cargos de delito menor de acceso a un ordenador sin autorización. Más tarde su abogado dijo que espera que un juez desestime los cargos en su contra.

Tina Meier, la madre de Megan Meier, la niña que se suicidó; dice que pedirá que la señora Drew sea condenada con la pena máxima de tres años de prisión y una multa 300.000 dólares.

La señora Meier dijo que estaba agradecido que los fiscales federales en California presentaron una denuncia luego de que los funcionarios de Missouri no lo hicieran. MySpace, una red social que a través de ella fueron enviados los mensajes en este caso, tiene su sede en Los Angeles.

La señora Meier está trabajando con un grupo para contar la historia de Megan, en un esfuerzo por proteger a los menores del cyberbullying.

Fuente: http://www.nytimes.com/2008/11/29/us/29internet.html?_r=1

Publicado originalmente en "The New York Times" y traducido para Segu-Info por Sebastián.

Cyberbulling en Segu-Kids

Seguir leyendo...

Porcentaje de uso de navegadores

Hacía mucho que no verificaba el detalle del uso de navegadores en los sitios de Segu-Info y me alegraron los resultados, así que los comparto.

Sitio Segu-Info:

Internet Explorer: 63,09%
Firefox: 32,64%
Chrome: 1,52%
Opera: 1,38%

Blog de Segu-Info:

Internet Explorer: 59,32%
Firefox: 35,23%
Opera: 2,21%
Chrome: 1,57%

Sitio Segu-Kids:

Internet Explorer: 54,37%
Firefox: 40,33%
Opera: 1,70%
Chrome: 1,41%

Promedio de los 3 sitios:

Internet Explorer: 58,92
Firefox: 36,06
Opera: 1,76
Chrome: 1,50

Así, las estadísiticas coinciden con el gráfico publicado por XITI, que representan las cuotas medias de visitas en Europa de los diferentes navegadores correspondientes a la semana del 22 al 28 de septiembre de 2008. Google Chrome registra así una cuota media de visitas en Europa del 1,07 % y ocupa el 5º puesto por detrás de Safari (2,55 %), Opera (4,24 %), Mozilla Firefox (31,42 %) e Internet Explorer (60,12 %).

Redacción de Segu-Info

Seguir leyendo...

Una madre puede ir presa por hacerse pasar por un adolescente en MySpace

Una mujer estadounidense fue declarada culpable de usurpar la identidad de un tercero a través de Internet; la usuaria de la red social llevó al suicidio a una niña de 13 años; el juicio es histórico.

LOS ANGELES (AFP). - Una madre estadounidense de 49 años fue hallada culpable el miércoles del delito de fraude informático al hacerse pasar por un adolescente y hacer bromas de mal gusto en un grupo del sitio de socialización MySpace que terminó en el suicidio de una niña de 13 años, amiga de su hija.

Por este caso ahora calificado como el primer juicio en Estados Unidos por fraude informático, Lori Drew, oriunda de Missouri (centro norte), podría ser condenada a tres años de cárcel en una audiencia fijada para el 29 de diciembre.

Drew fue hallada culpable de tres delitos menores por acceso a computadoras, pero los miembros del jurado de un tribunal federal de Los Angeles no lograron un acuerdo para presentar un cargo más grave como conspiración.

Esta madre de familia formaba parte de un grupo de adultos en este sitio de socialización en Internet y se hizo pasar por un joven de 16 años llamado "Josh" que comenzó a coquetear en línea con una niña de 13 años, a quien luego rechazó de una forma brutal: enviándole varios correos electrónicos apuntando las cosas que no le gustaban de ella, entre otras mofándose de características físicas.

Poco después la niña se ahorcó, en octubre de 2006.

El fiscal federal Thomas O´Brien dijo durante el juicio que Drew llevó a cabo su "juego" incluso sabiendo que se trataba de una adolescente vulnerable, porque la misma madre de la joven se lo habría contado cuando eran vecinas.

"La acusada sabía que (la niña) Megan Meier era depresiva, suicida y con problemas mentales", apuntó O´Brien. Sin embargo, Drew estableció un juego para "avergonzarla, humillarla, burlarse y herirla".

Drew pudo haber parado su juego en cualquier momento y lo hizo, denunció el fiscal acusador.

"El único adulto de verdad en todo esto -Lori Drew-, dejó que siguiera la broma", agregó O´Brien.

Mientras tanto, el abogado defensor de Drew, Dean Steward, reiteró que su clienta no debía ser acusado por la muerte de Meier.

"Esto es un fraude informático y un caso de abuso... pero no un caso de homicidio", dijo el abogado defensor.

"Fue un caso profundamente trágico para todo el mundo, sobre todo para Megan Meier", pero Steward aseguró al jurado que su cliente no era responsable por un correo electrónico enviado por "Josh" en el cual se le decía a Meiert que el mundo estaría mejor sin ella.

Drew, señalada como la mujer que se hizo pasar por el joven, empezó a ser procesada este mes bajo los cargos de asociación de estafa y de haber violado los términos de uso de MySpace, pero el perito legal supuso varios obstáculos en cuanto a cómo presentar cargos contra un tipo de intimidación en Internet.

El caso fue presentado por la fiscalía federal en Los Angeles (California, oeste) porque la empresa MySpace está ubicada en esta zona.

Según medios locales, la adolescente que se suicidó conocía a la hija de Lori Drew, porque eran vecinas en Missouri (centro de Estados Unidos) antes de haberse peleado.

Lori Drew y sus cómplices utilizaron este sitio para "torturar, acosar, humillar y perturbar" a la joven, según señaló el acta de acusación.

Fuente: http://www.lanacion.com.ar/nota.asp?nota_id=1075332&pid=5443427&toi=6264

Seguir leyendo...

Tutorial: Seguridad Física COMO

Seguridad Física COMO es un tutorial dedicado a la Seguridad Física de Sistemas, que intenta clarificar términos y técnicas en este área de la Seguridad Informática.

El tutorial trata sobre la seguridad física de los sistemas informáticos (ordenadores, hardware de red, dispositivos electrónicos, etc), de todo elentorno que los rodea en el lugar donde se hallan ubicados (edificio, sistemas eléctricos, conducciones de gas y agua, seguridad de las cerraduras, etc) y de las personas que están encargadas de su vigilancia o de la vigilancia del acceso a estos sistemas informáticos (administradores, personal externo, vigilantes, etc). Todo este entorno configura la Seguridad Física que vamos a tener en un sistema y es por tanto imprescindible tener en cuenta todos estos aspectos para conseguir una seguridad física aceptable.

Acceso al tutorial

Seguir leyendo...

¿Porqué concientizar a los usuarios en la seguridad de su información y privacidad?

¿Porque me tiene que interesar la seguridad informática? ¿Contra quién tengo que resguardarme cuando uso mi computadora? ¿Quién va a querer espiar lo que estoy haciendo? Estas, y otras muchas más, son las preguntas que se hacen los usuarios -no avanzados y no técnicos- a la hora de planteárseles la necesidad de aplicar buenas prácticas de seguridad. Sobre todo hoy en día, que internet juega un papel muy importante en nuestras vidas y nos brinda una gran cantidad de servicios. A continuación, algunos conceptos y consejos.

El 24 de noviembre comenzó la Semana de la seguridad informática, en el marco del Día internacional de la seguridad informática -que se celebra el 30 de noviembre- y se extenderá hasta el 1 de diciembre.
Como actividad de este evento se programaron charlas en varias provincias del país, y Entre Ríos no fue la excepción. Así, el 25 de noviembre se realizó -en el salón del Colegio de ingenieros especialistas de Entre Ríos (Cieer)- la 4º Jornada de seguridad informática -organizada por Cieer-, donde se brindaron dos disertaciones realizadas por especialistas en el tema. Uno de ellos, Fernando Gont, experto en seguridad informática, dialogó con puntoCyT.

Cuando hablamos de seguridad informática, muchos creen que nos referimos a verdaderos especialistas y técnicos que han finalizado una carrera afín que les permita llevar a la práctica este tema. Pero en este artículo nos vamos a centrar en las precauciones que los usuarios deben tener en cuenta para resguardar la privacidad de su información, es decir, su seguridad informática.

Para mantener esa información segura y resguardada de acceso ilegítimo, hay un montón de mecanismos. Pero también hay otro montón más de formas mediante la cual esa información puede ser vulnerada, el tema es cumplir con los objetivos.

Por este motivo nos acercamos a charlar con Fernando Gont, quien con claros términos -y ejemplificando cada uno de ello-, nos explicó esos raros conceptos y nos dio varios consejos para tomar en el uso cotidiano de la PC, y considerando la penetración de internet en nuestras vidas.
Seguramente mas de uno ha pagado sus impuestos mediante Home Banking a través de internet, o chequeado su cuenta, incluso halla realizado inversiones a través de la web, o comprado artículos, o lo que fuera. Estas son algunas de las prácticas habituales de las cuales debemos estar resguardados.

Seguir leyendo

Seguir leyendo...

Piden regular acceso a niños a cafés Internet

Se puede ampliar esta noticia en Segu-Kids, Seguridad para menores en la red.

México.- (Ivonne Reyes Campos - Rumbo de Méjico) La fracción parlamentaria del PRI en la Cámara de Diputados pidió a la Comisión Federal de Telecomunicaciones (Cofetel) emprender una campaña nacional que regule el acceso en los cafés Internet a niños y adolescentes, debido a que en México operan redes de tratantes de blancas y de pornografía infantil que están captando a niños y jóvenes mexicanos a través de este medio.

Edmundo Ramírez Martínez, diputado del Revolucionario Institucional, indicó que de acuerdo con datos de la Agencia Federal de Investigación (AFI), la pornografía es usada frecuentemente para “captar o reclutar” a menores de edad, no sólo con fines de abuso y explotación sexual, sino para introducirlos en el consumo y tráfico de drogas. Indicó que en la actualidad no hay ninguna regulación en materia de internet, y que las computadoras no tienen ninguna restricción para los menores de edad para ingresar en esos establecimientos a páginas de adultos o cuyo contenido puede afectar su desarrollo emocional.

"No se trata de impedir que los menores utilicen los llamados café Internet", agregó el legislador del tricolor, "sino que establezcan normas mínimas de vigilancia por parte de los propietarios y se instalen programas de protección para que no puedan ingresar a sitios peligrosos o que puedan ser un engancho para redes de explotación sexual".

Manifestó que con esas normas mínimas, los propios municipios pueden revisar el cumplimiento de los mismos y verificar que el acceso a los menores se encuentra vigilado, para evitar que sean víctimas de las redes de explotación sexual o que no ingresen a sitios de adultos.

Asimismo, propuso que la SEP, realice una campaña en las escuelas públicas y privadas del país sobre los riesgos que corren los menores al acceder a páginas y sitios de la Internet.

Fuente: http://nopornoinfantil.blogspot.com/2008/05/piden-regular-acceso-nios-cafs-internet.html

Seguir leyendo...

El FBI infecta con un troyano a un sospechoso

La eterna polémica entre lo legal y lo ilegal en la lucha contra el crimen, tiene como protagonista de esta semana la noticia de que el FBI utilizó recientemente un nuevo tipo de software espía para investigar amenazas de bombas a una escuela secundaria.

De acuerdo a las leyes vigentes en Estados Unidos, los agentes federales obtuvieron una orden judicial, para enviar el pasado 12 de junio, un spyware a una cuenta de MySpace sospechosa de ser utilizada para el envío de falsas amenazas de bombas. Una vez implantado, el software envió información de la computadora del sospechoso al FBI, incluyendo un registro de las conexiones salientes.

El propio FBI llama a este software, CIPAV, siglas de Computer and Internet Protocol Address Verifier, o verificador de la dirección IP.

Con las pruebas obtenidas, el sospechoso, un joven de 15 años llamado Josh Glazebrook, antiguo estudiante de la secundaria amenazada, fue finalmente condenado a 90 días de detención en la prisión para menores, después de haber firmado una declaración de culpabilidad por enviar las amenazas de bombas y otros cargos.

Si bien existen aún muchas especulaciones sobre la manera en que el FBI habría enviado el software espía, este caso parece ser el primero en revelar que en la práctica, esta técnica es realmente utilizada.

En 2001, el FBI ni negaba ni confirmaba la existencia de su propio caballo de Troya, creado con la excusa de combatir al terrorismo. El troyano, conocido en ese entonces como Magic Lantern (Linterna Mágica), sería enviado a cualquier sospechoso, como un adjunto a un mensaje aparentemente inocente.

Ante la prensa, el organismo declaró que no era nada nuevo que la organización estuviera trabajando con especialistas de la industria de la seguridad, para crear una herramienta que fuera eficaz en combatir tanto al terrorismo, como a otros actos delictivos. Y aunque no debería ser una sorpresa, “tampoco era apropiado que se revelaran las tecnologías que específicamente serían usadas,” explicó un vocero.

Desde entonces, el FBI nada ha dicho sobre Linterna Mágica. En otros dos casos en que se sabe que los investigadores utilizaron un software espía para obtener pruebas, en realidad se trató de keylogers (registradores de lo que se escribe en el teclado), implantados por agentes directamente en los equipos, no mediante su envío electrónico.

El caso actual es diferente, ya que se envío un troyano a una cuenta de MySpace. En la declaración jurada de la orden de allanamiento presentada a un tribunal, el FBI indica que los detalles del uso de este software “son confidenciales.”

“La naturaleza exacta de los comandos, procesos, capacidades, y la configuración del software, está clasificada como una técnica de investigación especialmente sensible. [...] Su revelación probablemente pondría en peligro otras investigaciones en curso y/o el uso futuro de dicha técnica”, dice la declaración.

Las referencias, parecen apuntar a que se trata de un software específico para Microsoft Windows. Otros datos enviados al FBI, incluyen “el tipo de sistema operativo instalado y su número de serie, el nombre del usuario conectado, y las direcciones de las páginas web a las que la computadora estuvo previamente conectada,” afirma la misma declaración.

CIPAV sería instalado “a través de un programa de mensajería electrónica de una cuenta controlada por el FBI”, lo que probablemente significa un correo electrónico o de mensajería instantánea. “Luego, durante unos 60 días, se registran las direcciones IP visitadas, pero no el contenido de las comunicaciones.”

Lo curioso, y preocupante, es que este tipo de acción involucra alguna clase de infección, y por lo tanto, debería eludir las defensas de un programa antivirus o antispyware para poder ejecutarse. En la declaración jurada del FBI no se hace mención alguna al software antivirus.

Una posibilidad manejada por algunos, es que el FBI haya convencido a todas las empresas de programas de seguridad para pasar por alto a CIPAV, y para no alertar a los usuarios de su presencia. Sin embargo, esto es fácil descartarlo, ya que claramente perjudicaría a las propias compañías y a su confianza con el público, y por lo tanto a sus ventas.

La política general en este sentido para cualquier empresa de seguridad, es que si algo quiere instalarse sin conocimiento del usuario, es un malware, y debe ser detectado. Además, muchas compañías están en países a los que una ley federal no puede afectar.

Otra teoría más plausible, es que el FBI haya descubierto (o pagado a alguien para hacerlo), vulnerabilidades desconocidas en Windows que permitirían a CIPAV instalarse.

De todos modos, la polémica de lo legal y lo ilegal para combatir el crimen informático, ha vuelto a ponerse en juego.

Fuente: http://www.gratisprogramas.org/descargar-warez/el-fbi-infecta-con-un-troyano-a-un-sospechoso/

Seguir leyendo...

Manual de Prácticas de Seguridad Informática (MAPSI -v.3.9)

Por Omar Alejandro Herrera Reyna

Hace ya tiempo que publiqué la primera versión de este manual en Virusprot.

La liga para la versión más reciente al manual está aquí: MAPSI v.3.9 (es del 2005, ~ 17 MB). Por cierto, van a necesitar Linux Knoppix (una versión de Linux que corre desde un CD o DVD), si es su primer contacto con Linux también les puede servir para aprender (sobre todo porque no tienen que modificar nada en el disco duro de su equipo).

Ya tiene algunas prácticas que están un poco desactualizadas pero aún pueden encontrar cosas de utilidad en diversos temas de seguridad de la información. Espero actualizar el documento en algún momento agregando algunas prácticas y complementando otras, pero no les puedo prometer que sea pronto (de hecho ya debo un par de segundas partes de artículos que publiqué anteriormente).

Seguir leyendo

Seguir leyendo...

Gran Bretaña tiene un plan para controlar la pérdida de datos confidenciales

El secretario de Justicia del Reino Unido, Jack Straw, ha realizado un plan para controlar y castigar con mayor severidad la pérdida de datos confidenciales en agencias gubernamentales.

Los planes de Straw otorgan a Richard Thomas, Delegado de Informática, la autoridad para realizar una serie de acciones que eviten que continúe la pérdida de datos en la región.

Esto incluye el poder de exigir el pago de multas substanciosas a las entidades que no cumplan con las reglas del Acta de Protección de Datos.

Aunque todavía no se ha definido el rango de dinero a pagar en estas multas, se estima que, en el peor de los casos, las empresas culpables deberán pagar millones de libras como castigo.

La nueva medida sancionaría a empresas que pierdan datos tanto de forma intencional como accidental.

Asimismo, este proyecto propone que la oficina del Delegado de Informática tenga la libertad de visitar agencias públicas para verificar el estado de sus bases de datos sin tener que pedir autorización previa.

Thomas había llamado a la implementación de reglas más estrictas desde noviembre del año pasado, cuando se perdieron los datos de los benficiarios del Child Benefit (subsidio a la infancia). Tuvo que pasar más de un año y un sinnúmero de incidentes más para que se hiciera algo al respecto.

“Los cambios que proponemos hoy, aumentarán la capacidad del Delegado de Informática de hacer cumplir las reglas del Acta de Protección de Datos, y mejorará la transparencia y contabilidad de las organizaciones que manejan información personal”, dijo Straw.

“Con el desarrollo de nuevas tecnologías, el almacenamiento y distribución segura de información personal por parte de tanto el sector público como privado, se ha vuelto una prioridad”, agregó Straw.

Fuente: http://www.viruslist.com/sp/news?id=208274260

Seguir leyendo...

El calvario de abandonar una red social (darse de baja)

Por ANTONIO DELGADO (SOITU.ES)

Las redes sociales y los sitios para buscar pareja o nuevos amigos son adorados por los internautas españoles. Según datos de la consultora Comscore el 70,7% de los internautas españoles visitó una red social el pasado mes de septiembre. Pero una vez pasado el enamoramiento inicial con el sitio, llega la cruda realidad: darse de baja en ellos es mucho más complicado que encontrar a alguien te que invite a darte de alta.

Cada sitio tiene su propia forma de darse de baja, aunque suele ser complicado encontrar el botón que te haga olvidarlo para siempre. Para comenzar el proceso lo fundamental es armarse de paciencia e ir directo a la sección de "configuración" o "perfil". Entre las numerosas opciones (cambio de contraseña, de datos personales...) suele situarse un diminuto enlace escondido en la parte inferior de la ventana. Ahí es donde se puede dar de baja la cuenta. Pero no vale con despedirse a la francesa. A veces es necesario dar explicaciones y detallar los motivos por los que hemos decidido dejar de forma parte de la red.

Los usuarios españoles tienen una serie de derechos sobre sus datos personales, entre ellos el derecho a la cancelación y rectificación de sus datos, según la legislación vigente de la LOPD. Esta legislación está supervisada por la Agencia de Protección de Datos, el organismo encargado de su control frente a empresas, particulares y la propia administración. Pero el problema se encuentra en que la mayoría de los servicios de la Web 2.0 se encuentran situados fuera de nuestras fronteras, y por tanto, su legislación puede variar de la española y las directivas de la Unión Europea.

En la práctica, el tiempo necesario para hacer efectiva la decisión también es variable. Sitios como Flickr, YouTube o Twitter permiten borrarse de forma sencilla e inmediata. Sin embargo, en otros como Yahoo!, si un usuario se da de baja, la cuenta no se desactiva hasta pasados ¡90 días!

¿Desactivar o dar de baja?

Los afortunados que encuentren el botón deberán enfrentarse a una decisión terminológica importante. En muchos lugares, los indecisos pueden aplazar la baja permanente y bloquear durante un tiempo el perfil. Así, si uno se arrepiente siempre puede volver a formar parte del club. Por tanto, no es lo mismo "desactivar la cuenta" que "darla de baja definitivamente". En muchas redes sociales, el botón de la baja irreversible no se encuentra en el perfil del usuario, sino dentro de la letra pequeña, en el apartado en el que los abogados explican la política de privacidad del sitio o incluso dentro de las preguntas frecuentes (FAQ).

Por ejemplo, Facebook dispone de un botón para dar desactivar la cuenta fácilmente en la pestaña de "configuración". Sin embargo, esta opción no te borra de la base de datos de Facebook. Tras las quejas de los usuarios a principios de este año, Facebook habilitó un botón —escondido entre las FAQ— que permite desaparecer para siempre. Para hacerlo más fácil, puedes visitar un grupo dentro de Facebook, "How to permanently delete your Facebook account", que facilita el famoso link de acceso directo al botón, así como algunos 'tips' para largarse con estilo.

En la española Tuenti, sin embargo, darse de baja significa ser eliminado por completo de la base de datos. Según Ícaro Moyano, director de Comunicación de Tuenti "no guardamos nada ya que si el usuario quiere desvincularse de nosotros lo honesto es que no quede rastro de su paso, tal y como nos lo ha solicitado".

Una de las redes sociales más utilizadas en Latinoamérica, Sonico , permite darse de baja, pero no del todo. La cuenta se puede reactivar en cualquier momento insertando el e-mail y contraseña habituales. Pero para que Sonico borre todos tus datos, hay que enviar un e-mail a [email protected] y así ejercer el derecho a la cancelación de los datos que la empresa pudiera almacenar.

Dating: Vete... sin que te devolvamos el dinero

En los sitos de citas por internet ('dating') suele ser complicado encontrar la forma de desactivar la cuenta. Match, permite a sus usuarios desactivar la cuenta al momento. Sin embargo, la suscripción no se cancela hasta que finaliza el bono de acceso 'Premium' ya pagado. Una vez pasado este tiempo, los datos de acceso (como nombre de usuario, contraseña y dirección de e-mail) son guardados durante un año, "por si el usuario quiere volver a reactivar la cuenta".

En Meetic, si un usuario 'Premium' que ha adquirido un bono de acceso se da de baja, pierde los días o meses no consumidos, y no puede reclamar a la empresa por este concepto.

En Be2 la baja es mucho más fácil y el 'nick' elegido por el usuario queda bloqueado por seguridad para que no pueda ser utilizado por ningún otro. Algo lógico teniendo en cuenta las posibles suplantaciones de identidad que pueden darse en unas redes donde muy pocos se presentan con su nombre real.

En los sitios "para adultos" como AdultFriendFinder —viejo conocido por sus intensivas campañas de publicidad— es posible eliminar la cuenta tan sólo con introducir de nuevo la contraseña. Sin embargo, no indican la fecha efectiva del abandono, sino que el perfil se dará de baja "cuando se actualice la base de datos".

Pero no todo es a través de formularios. En el sitio de ligues friend Scout 24 la baja del servicio 'Premium' hay que realizarla mediante e-mail, enviando a la dirección [email protected] un código personalizado indicado en la web al solicitar la baja, además del nick utilizado. Si en 24 horas no estás fuera, debes escribir a [email protected]

El último recurso

Y si a pesar de todo sigues sin poder darte de baja de ese sitio del que quieres salir corriendo, hemos encontrado un lugar (Darsedebaja.net) donde aparecen instrucciones muy precisas sobre cómo borrar todas tus cuentas de un plumazo. Aunque sólo incluye una decena de sitios.

Y tú, ¿has intentado desaparecer sin dejar rastro? Compártelo con nosotros en los comentarios.

Fuente:
http://www.soitu.es/soitu/2008/11/24/vidadigital/1227540449_714597.html
http://www.darsedebaja.net/

Seguir leyendo...

El antivirus que lo detecta todo

No es broma, las nuevas estrategias en la detección de código malicioso apuntan a ese objetivo que puede sonar utópico. No quiere decir que nos estemos acercando al antivirus perfecto, sino que los nuevos enfoques de las soluciones de seguridad intentan identificar tanto al malware como a los ficheros legítimos, tratan de clasificar todo.

Si nuestro ordenador fuera una discoteca el antivirus sería el portero, el encargado de decidir quién puede pasar y quién no a divertirse en nuestro local. Dependiendo de lo exclusiva que sea nuestra discoteca, la dirección podría haber ordenado al portero que siguiera una de las siguientes estrategias:

(1) sólo dejar pasar a las personas VIP y conocidas según una lista (lista blanca).

(2) no dejar pasar a aquellas personas reconocidas como problemáticas (lista negra).

Con la estrategia (1) nuestra discoteca sería demasiado elitista, ya que no permitiría entrar a gente nueva o desconocida hasta que no hubiera sido dado de alta en la lista blanca. Un verdadero incordio y no sería operativo. En el caso (2) nuestro local estaría más animado y evitaríamos a los individuos peligrosos reconocidos, que en un principio no eran demasiados, así que la dirección de la discoteca apostó por esta opción.

Seguir leyendo

Seguir leyendo...

Campaña Nacional Juana Azurduy en los billetes de $100

Para aquellos que hayan recibido en las últimas horas un correo con el asunto
"¡Bajate la planilla y adherí juntando nuevas firmas!" o "¡Súmate a la "Campaña Nacional Juana Azurduy en los billetes de $100", se trata de una cadena de correos que como excepción la noticia es real.

Luego de verificar llamando por teléfono a número que figura en el correo pude constatar el que correo es real y el Proyecto de Ley presentado por la Diputada Nacional Cecilia Merchan efectivamente existe.
Tal y como dice el correo se intenta reemplazar la cara de Julio Argentino Roca (un asesino que mató miles de indígenas porque "impedían el tráfico" y que posteriormente fuera presidente argentino dos veces) que aparecen en los billetes de $100 argentinos, por la de Juana Azurduy, tratando de revalorizar el patriotismo argentino.
El correo también tiene un enlace al dominio libresdelsur, desde donde se puede bajar una planilla para firmar apoyando la campaña.

Luego de hablar con la oficina que lleva adelante el proyecto, ellos afirman desconocer la existencia de la cadena y que no fueron los originarios de la misma.

Si bien todo lo descripto en el correo es real, lamentablemente el medio no es el idoneo para realizar este tipo de campañas y, si se hace común recibir este tipo de correos, no tardará en aparecer uno falso que termine descargando un malware o realice otro tipo de ataque. A estar atentos.

Redacción de Segu-Info

Seguir leyendo...

Roban datos de 97.000 empleados de Starbucks

Según LaptopTheft.org habría sido robada una notebook conteniendo datos personales de aproximadamente 97.000 empleados de la cadena Starbucks. El caso salió a la luz luego de que fuese publicado un memo interno enviado por Russell Walker, VP de Seguridad, a los empleados de la compañía.

En el memo se hace saber que información como nombre, dirección y números de la seguridad social se encuentran entre los datos robados, poniendo en alto riesgo la seguridad financiera de los trabajadores; por lo que la empresa ha logrado un acuerdo con Equifax ofreciéndoles de manera gratuita el servicio de control crediticio por el próximo año.

De acuerdo a lo dicho por Russell Walker, la empresa estaría en proceso de implementar soluciones cifrado para salvaguardar la información de sus empleados y socios, y prevenir daños mayores en caso de ocurrir otro robo parecido.

Fuentes:
http://www.martinaberastegue.com/privacidad/roban-datos-97000-empleados-starbucks.html

Seguir leyendo...

Dónde están los 100 mayores superordenadores del planeta

La mayor potencia de supercomputación se concentra en los Estados Unidos; después están Francia, Alemania y Japón. El gráfico muestra el número de superordenadores y el tamaño de los círculos su potencia en teraflops. Es una infografía original del New York Times, titulada Mapping the World’s Fastest Supercomputers.

Seguir leyendo

Seguir leyendo...

El 'spam' se toma un respiro para volver con la misma fuerzaEl 'spam' se toma un respiro para volver con la misma fuerza

El 'spam' se toma un respiro para volver con la misma fuerza.

El spam ha vuelto. La caída de los servidores de la empresa californiana McColo provocó hace dos semanas que los niveles de correos basura se redujesen a nivel mundial hasta un tercio del total. Sin embargo, los expertos están constatando que estos índices vuelven a remontar.

Los expertos del sector aún no tienen muy claro el grado en el que el spam ha retomado su protagonismo, pero la mayoría cree que los niveles de hace dos semanas se alcanzarán muy pronto.

En total unos 450.000 ordenadores infectados han sido divisados intentando conectarse a los servidores de McColo. Por su parte, la empresa de seguridad IronPort Systems considera que por ahora, el spam se mantiene por debajo de la mitad de la caída de dichos servidores. Mientras que otra empresa especializada en el sector, Messagelabs, baraja datos que también hablan de un incremento en las últimas semanas.

El motivo por el que los niveles de spam se redujeron hace unas semanas se debe a que los servidores de esta empresa californiana daban cobijo a botnets, robots que ejecutan de manera automática el envío de spam.

Fuente: http://www.elpais.com/articulo/internet/spam/toma/respiro/volver/misma/fuerza/elpeputec/20081126elpepunet_7/Tes

Seguir leyendo...

Solicitan cinco años por difundir pornografía infantil

Se puede ampliar esta noticia en Segu-Kids, Seguridad para menores en la red.

Solicitan cinco años por difundir pornografía infantil. El acusado se valía de internet e intercambiaba los vídeos pedófilos.

Castellón - España.- (Yolanda Tena - El Mediterráneo) El fiscal pide una pena de cárcel de cinco años para P.H.M., al estar acusado de un delito de difusión de pornografía infantil, así como de corrupción de menores. Será juzgado mañana en la sede de la Audiencia. Según el escrito del Ministerio Público, el imputado fue arrestado el día 13 de diciembre del 2006 por miembros de la Unidad de Delincuencia Organizada y Violenta del Cuerpo Nacional de Policía de Castellón en el marco de una operación asignada por un juzgado de Madrid al Grupo Segundo de Protección del Menor de la Brigada de Insvestigación Tecnológica.

Las pesquisas policiales constataron que el acusado se había descargado en su ordenador personal y compartía con otros usuarios de internet, a través de la aplicación informática Emule, un archivo de vídeo de contenido pedófilo que estaba titulado con el nombre Gay preteen boy party home video, 12,5 mpg.

Menores de 13 años
En este vídeo, según el fiscal, "aparecían menores, alguno de ellos sin alcanzar los trece años, manteniendo relaciones sexuales". Unas imágenes que, para la Fiscalía, el acusado había guardado en su ordenador junto con otras de idéntico contenido para satisfacer "sus lúbricos deseos".
Asimismo, en la entrada y registro que practicaron los agentes policiales en el domicilio del imputado, encontraron en el disco duro de su ordenador personal otros 76 archivos de imágenes con fotografías de menores con un claro contenido sexual, y otros 51 archivos de vídeo en los que aparecían también menores en el mismo contexto.
Según el fiscal encargado del caso, el fin de estos archivos digitales intervenidos era la "excitación del acusado y de otros usuarios de la red", pues, si bien 41 de estos archivos estaban cifrados, los 7 restantes estaban a disposición de los internautas.

Fuente: http://nopornoinfantil.blogspot.com/2008/05/solicitan-cinco-aos-por-difundir.html

Seguir leyendo...

Apple recomienda oficialmente el uso de antivirus

Apple acaba de publicar un artículo en su base de datos y conocimiento titulado “Mac OS: utilidades Antivirus” en el cual recomiendan a los usuarios de Mac OS usar programas antivirus.:

"Apple apoya el amplio uso de aplicaciones antivirus para que los programadores de virus tengan más de una aplicación en la que enfocarse, lo que hace el proceso de diseñar virus más difícil."

Después menciona tres programas antivirus incluyendo Intego VirusBarrier X5, Symantec Norton Anti-Virus 11y MacAfee VirusScan.

En abril se publicó un artículo titulado Apple aprueba el uso de software antivirus y de seguridad en los Macs después de denotar una nota en su sitio al respecto.

Después fue removida la entrada, pero puedes verla en el Internet Archive.

¿Por qué la recomendación?

En los exitosos anuncios “Get a Mac” de Apple, la firma hace muy claro que sus ordenadores no sufren de los problemas de virus y malware que plagan a los sistemas Windows. Uno necesita preguntarse porque ahora promueven el uso de programas antivirus. Quizás Apple acepta que ningún sistema es 100% seguro y que los usuarios deben de hacer su parte para proteger sus ordenadores.

Fuente:
http://www.faq-mac.com/noticias/33327/apple-recomienda-oficialmente-uso-antivirus
http://switchtoamac.com/site/apple-officially-recommends-antivirus-software.html

Seguir leyendo...

A pesar de la crisis, hay optimismo en el sector tecnológico

Más del 35% de las empresas de la región consideran que la crisis financiera terminará antes de la primera mitad del 2009. Una encuesta reveló además cuáles serán los principales efectos en el sector

De acuerdo al último estudio presentado por IDC, el aumento de las inversiones en TI a nivel mundial durante 2009 se desaceleraría por causa de la crisis financiera global.

Por ende, IDC modificó sus proyecciones para 2009, siendo la expectativa de crecimiento de inversión de TI a nivel mundial un 2,6%, en los EEUU de 0,9% y en América Latina 7,8 por ciento.

De acuerdo con las expectativas de crecimiento económico poscrisis presentado por el FMI en su ultimo informe, el crecimiento del PBI para Latinoamérica sería 3,2 % para 2009.

Así, IDC redujo su expectativa de crecimiento en gastos en TI para la región se reducirían del 13,7%, antes de la crisis, al 7,8% bajo el nuevo escenario de crisis.

El área más afectada en la región sería la de servidores, con un crecimiento negativo del -2,1% en 2009 versus 2008, seguido por el de impresoras con un 1,7% y almacenamiento y redes con un crecimiento estimado en 2,8 por ciento.

IDC realizó un esfuerzo global de rectificación de sus escenarios de crecimiento que incluyó investigación primaria entre empresas y consumidores de la región, así como el trabajo de consenso de sus más de 100 analistas en siete países.

Para la investigación se encuestaron 164 empresas de la Argentina, Brasil y México. La mayoría de ellas consideraron que la crisis, que tuvo inicio en los EEUUm tendrá un efecto negativo en sus propios mercados, siendo México el país más perjudicado de la región.

Antes de la crisis, el 37% de las organizaciones que participó de la encuesta consideraba que las inversiones en TI serían más altas el año próximo que en el 2008, el 52% pensaba que se mantendrían iguales, y sólo el 12% expresó que serían menores.

En la actualidad, las empresas participantes comentan que el 23% piensa que las inversiones superarán las de 2008, el 46% considera que se mantendrán estables y el 32% restante cree que serán menores a 2008.

Las áreas que más se verán afectadas por un menor crecimiento serán:
* Hardware: nuevas PCs, servidores y equipos de redes
* Servicios: consultoría, desarrollo de aplicaciones a la medida y capacitación
* Software: aplicaciones específicas de industria
* Actividades TI: desarrollo de aplicaciones

Asimismo, el 30% de las compañías consultadas cree que se reducirán los gastos en nuevos proyectos, seguidos por la renovación y adquisición de PC.

Sin embargo, las empresas son optimistas y más del 35% considera que la crisis terminará en la primera mitad de 2009, mientras que el 30% imagina que finalizará en la segunda mitad del año.

Finalmente, la mayoría de los consumidores opinan que el conflicto financiero mundial culminará en la segunda mitad de 2009.

Fuente: http://www.infobae.com/contenidos/416318-100918-0-A-pesar-de-la-crisis,-hay-optimismo-en-el-sector-tecnol%C3%B3gico

Seguir leyendo...

Los negocios IT más afectados por la recesión

Casi nadie se atreve a negarlo: la recesión está a la vuelta de la esquina y golpeará los negocios en 2009. Los analistas de mercado coinciden en que las empresas recortarán drásticamente sus gastos durante el año que viene. Así, los sectores más afectados por la desaceleración serán las ventas de PC´s, portátiles y servidores. Otro negocio con grandes interrogantes será el de almacenamiento: las empresas ajustarán sus inversiones en este apartado, pese al buen ritmo de crecimiento mostrado en los últimos años. Pero las mayores preocupaciones vienen del lado del software y los servicios TI, un área que ha crecido de la mano del sector financiero, el más golpeado por la crisis.

A pesar de que la crisis financiera -ahora de carácter global y extendida a casi todos los segmentos de mercado- todavía no ha afectado a la inversión de las empresas usuarias de tecnología, parece que pronto lo hará. Según los datos de Gartner, el gasto mundial en TI pasará del 5,8 por ciento estimado para 2009 al 2,3 por ciento, sin registrar una desaceleración apreciable en el último trimestre de 2008.

Por su parte, Forrester estima que la inversión TI global pasará del 8 por ciento inicial al 4 por ciento en 2009, lo que significa un crecimiento plano con respecto al presente ejercicio.

La principal diferencia entre la crisis Puntocom y la actual es que las tecnologías están mucho más integradas en el día a día de las compañías usuarias, por lo que las decisiones de compra se sopesan todavía más.

Según las consultoras, las compras de PCs, portátiles y servidores serán las primeras en resentirse. De hecho, PCs y portátiles ya han experimentado una ligera desaceleración en términos de ingresos, a pesar de haber crecido en unidades un 15% global durante el tercer trimestre de 2008.

En segundo lugar, las empresas ajustarán sus inversiones en almacenamiento, un apartado que normalmente crece de manera casi automática al multiplicarse año a año la cantidad de información digital que se debe almacenar.

Pero quizá los datos más preocupantes en las reducciones de inversión TI vendrán de la mano del software y los servicios TI, cuyos signos de desaceleración ya se han dejado notar en las bolsas mundiales.

Dado que la crisis tiene un origen financiero, los CIOs de los bancos de inversión, bancos comerciales y cajas de ahorro serán los primeros en apretarse el cinturón durante 2009, recortando drásticamente su inversión no sólo en equipamiento TI, sino principalmente en servicios: consultoría y desarrollo de software.

En este sentido, Gartner acaba de reducir sus previsiones de inversión en servicios TI para 2009 desde un 7% de incremento (estimación realizada en agosto) hasta el 0,2%, generando un gasto mundial de 815.000 millones de dólares en servicios TI.

Es probable que ni siquiera se salve la tercerización. Aunque las crisis suelen reforzar los negocios de externalización por facilitar ajustes de costos a sus clientes, algunos analistas piensan que los recortes también afectarán al outsourcing.

La buena noticia es que esta crisis de presupuestos no será tan dura como las experimentadas en 2001 o en 2003. Así, el gasto mundial en TI cayó en todo el mundo entre un 10 y un 15 por ciento desde 1998 hasta 2001, mientras en el período 2001 a 2003 los recortes se retractaron un 3 por ciento. Por el contrario, la desaceleración en 2009 se limitará a un crecimiento plano en comparación con 2008.

Manual para afrontar la crisis

Como respuesta, las principales compañías de servicios TI han comenzado a diversificar su oferta en un doble sentido. Por un lado, centrarán su oferta en las economías menos afectadas por la crisis. Por otro, se alejarán del sector financiero para acercarse a otros segmentos más saneados.

Según IDC, un 20 por ciento de los ingresos mundiales en TI se generan en el sector financiero, mientras industria concentra el 22 por ciento y la Administración Pública un 18 por ciento.

Economías

Las economías más afectadas por la reducción de los presupuestos serán las más desarrolladas (Estados Unidos y Europa), ya que concentran un volumen más importante de empresas financieras. Pero los recortes se notarán también, con menor intensidad, en economías emergentes como Rusia o Brasil, reforzando la idea de una crisis de carácter global.

Las economías emergentes tampoco quedarán indemnes y, al igual que ha sucedido con el contagio de la crisis de crédito, el resto de sectores -y no sólo finanzas- reducirán su inversión en consultoría y desarrollo de software.

Fuente:
http://www.techlatina.com/2008/10/cules-sern-los-negocios-it-ms-afectados.html
http://www.itsitio.com

Seguir leyendo...

La seguridad, una de las áreas menos afectadas por la crisis financiera

¿Cuáles áreas de la TI continuarán consiguiendo fondos a pesar de la desaceleración de las inversiones de TI?

La respuesta no parece fácil. Sin embargo, como una forma de obtener algunos indicios, el sitio Infoworld reunió a un grupo de CIOs expertos y llamó a consultoras como Forrester, Gartner e IDC para que brinden sus proyecciones.

A partir de todas estas opiniones se elaboró una lista de las 5 áreas que tienden a ser “inmunes” a la crisis financiera:

1. Almacenamiento: discos y software de administración
A medida que crecen las cantidades de datos, las regulaciones hacen que las compañías tengan que almacenar ese enorme cúmulo de información por tiempos cada vez más largos.

Por ello, IDC estima que la inversión en almacenamiento de discos se duplicará cada dos años, por lo menos hasta 2012. A su vez, las herramientas de administración de almacenamiento, destinadas a hacer un mejor uso del hardware, tenderán a seguir creciendo. Así, parece evidente que las tecnologías como la deduplicación de datos y la virtualización de almacenamiento seguirán manteniendo su inversión a pesar de las crisis.

2. Business intelligence: análisis de nichos
Todos los analistas consultados por Infoworld coinciden en que a medida que crecen los datos, también aumenta la necesidad de obtener “insights” útiles a partir de toda esa información.

De esta manera, se espera que los CIOs seguirán invirtiendo en inteligencia general de negocios, pero se destinarán mayor cantidad de recursos hacia los análisis más enfocados. Tal como lo dicen todos los manuales de marketing, siempre es más costoso conseguir clientes nuevos que retener los actuales. Por ello, la inversión en tecnologías que mejoren el “insight” y la retención de clientes seguirán siendo clave en las grandes empresas.

3. Virtualización: optimizando recursos
Según los analistas, la virtualización continuará en alza gracias a su capacidad de optimizar las inversiones en hardware de las compañías.
Pero no todo está relacionado con los costos. La virtualización también permite ganar en eficiencia con respecto a los recursos de servidores almacenamiento en el largo plazo.

En síntesis, las ventajas de las virtualización son especialmente valiosas en tiempos de crisis: ahorros de energía y de refrigeración, optimización de tiempos de administración, uso más eficiente del capital y aumento de la flexibilidad.

4. Seguridad
No resulta ninguna sorpresa saber que las consultoras como IDC afirman que la seguridad es la preocupación número uno de la TI, especialmente cuando aumenta la cantidad de recursos que se comparten a través de Internet.

De esta manera, haya crisis o no, ninguna compañía quiere arriesgarse aparecer en la primera plana de los diarios porque sus datos fueron hackeados. Por ello, resulta lógico que las empresas no disminuirán sus inversiones en firewalls, tecnologías para asegurar puntos de acceso encriptación de datos para dispositivos móviles y PCs remotas. Así, todos los analistas coinciden en que las herramientas para administrar y evitar accesos indeseados seguirán siendo críticas y por lo tanto seguirán recibiendo fondos.

5. Cloud computing: soluciones de negocio
Los analistas de Forrester, Gartner e IDC conluyen que ciertas piezas de cloud computing seguirán expandiéndose y acelerándose gracias a la crisis financiera. Así, ICD predice que Cloud Computing se llevará hasta el 10% de todo el gasto de TI en 2012, lo que representa un importante incremento desde el 4% actual.

Según el artículo de Infoworld, algunos de los usos de Cloud Computing que más crecerán están relacionados directamente con soluciones de negocios, como automatización de fuerza de ventas, productividad y software para campañas de marketing. Por otro lado, algunos de los servicios de Cloud Computing más relevantes para los CIOs estarán vinculados con el e-mail, el almacenamiento y algunas aplicaciones “livianas” ligadas a la productividad.

Fuente: http://www.infoworld.com/

Seguir leyendo...

Un hombre abusa de la hija de su pareja y publica las imágenes en internet

Se puede ampliar esta noticia en Segu-Kids, Seguridad para menores en la red.

Un hombre abusa de la hija de su pareja y publica las imágenes en internet. La niña tiene tan sólo 10 años de edad.

Cantabria - España.- (Agencia EFE) La Audiencia Provincial de Cantabria juzgará a un hombre, L.M.G.M, acusado de abusar de la hija de su compañera sentimental y de difundir las imágenes por Internet y para quien la fiscalía pide en total diez años de prisión. En concreto, el fiscal pedirá tres años de prisión por un delito de abuso sexual y otros siete por un delito de corrupción de menores.

En su escrito, el fiscal relata que el acusado compartía domicilio con su pareja sentimental y con la hija de ésta, de diez años de edad, delante de la cual se desnudó en distintas ocasiones, además de desnudarla a ella de cintura para abajo. Además de ello, le realizó tocamientos en la zona vaginal, sentándola sobre él y poniendo la mano de la menor sobre su pene, llegando a eyacular al menos en una ocasión sobre la menor.

Posteriormente, desde el ordenador del domicilio, difundió a través de Internet imágenes, obtenidas a través de una webcam, en las que se le veía realizando tocamientos a la menor y a ésta sentada sobre él y tocando su pene, que había colocado en la entrepierna de la niña.

Además de los diez años de prisión por abuso sexual y corrupción de menores, la fiscalía pide que se prohíba al acusado aproximarse al domicilio de la víctima y a su centro escolar a una distancia inferior a 300 metros por un tiempo de 10 años, período durante el cual tampoco podrá comunicarse con ella por ningún medio. Además, y en concepto de daños morales, reclama una indemnización de 80.000 euros.
La defensa, por su parte, muestra su disconformidad con el relato de los hechos de la fiscalía y sostiene que el acusado sólo cometió el delito de abuso sexual, y no el de corrupción de menores, y pide su libre absolución y su internamiento en un centro psiquiátrico. Por ello ha pedido un informe sobre su estado mental, que se emitirá en la vista.

Fuente: http://nopornoinfantil.blogspot.com/2008/05/un-hombre-abusa-de-la-hija-de-su-pareja.html

Seguir leyendo...

Top Spam Botnets

Me encuentro con un interesante artículo de SecureWorks que hace referencia al “Top” de botnets más grandes y que más spam generan.

La primera de ellas es Srizbi, de la que ya hablé en este blog hace unos meses. Según dicho estudio, Srizbi (perteneciente a la RBN), dispone de unas 315.000 máquinas bajo su control; toda una plataforma para el envío de spam que generaría unos 60 billones de mensajes de spam al día. A destacar también que casi todas usan un sistema de control con cifrado, ya sea HTTP o mediante algún otro protocolo.

Ciertamente, las botnets son las mayores emisoras de spam a día de hoy. Para poder mitigar su impacto, sería interesante que los ISPs de conectividad, como está haciendo Telefónica desde hace tiempo, empiecen a cortar el tráfico SMTP de salida desde sus redes dinámicas y residenciales. Otros ISPs están pensando en aplicar medidas similares dado el excelente resultado que esta medida está dando. Esperemos que sea así pronto.

Fuente: http://blog.splitcc.net/2008/04/28/top-spam-botnets/

Seguir leyendo...

Ofrecen un millón de dólares por delatar a hackers

Empresa afectada por intento de extorsión contraataca ofreciendo una recompensa de un millón de dólares por información que permita detener y procesar a los extorsionadores.

La empresa estadounidense Express Scripts, que basa su negocio en la gestión de medicinas distribuidas bajo receta médica, se ve enfrentada a un serio problema de seguridad. Un grupo de hackers asegura haberse apropiado de toda su base de datos, que contiene los datos personales y recetas médicas de millones de personas.

Para sustentar su amenaza, los intrusos presentaron datos personales de 75 de los clientes de la empresa, amenazando con publicar no sólo tal información, sino la base de datos completa, a menos que Express Scripts les pague una fuerte suma de "rescate de los datos". La eventual publicación de la base de datos afectaría sobremanera la credibilidad de Express Scripts y, con ello, su negocio.

Sin embargo, en lugar de ceder ante la extorsión, la empresa ha contraatacado ofreciendo una recompensa de un millón de dólares por información que lleve a la detención y procesamiento de los intrusos.

Se desconoce el procedimiento empleado por los hackers para apropiarse de la información. Considerando que tampoco han hecho efectiva su amenaza, es probable también que se trate de un intento infundado de intimidación y extorsión.

Express Scripts gestiona 50 millones de recetas médicas al año.

Fuentes:
http://www.diarioti.com/gate/n.php?id=20408
http://www.darknet.org.uk/2008/11/express-scripts-offers-1million-reward-for-cyber-extortionists/
http://www.theregister.co.uk/2008/11/13/express_scripts_extortion/
http://phx.corporate-ir.net/phoenix.zhtml?c=69641&p=irol-newsArticle&ID=1223389

Seguir leyendo...

Escrow scam

Existen denuncias de páginas alojadas con una web fraudulenta de escrow. El timo en cuestión consiste en algo parecido al phishing, en el que la víctima accede al contenido web pensando que es una empresa de escrow seria.

¿A qué se dedican las empresas de escrow? Pues en esta web lo explican perfectamente; consiste en un servicio de intermediarios en compras de productos por Internet, en la que es la empresa quien hace realmente el pago al vendedor una vez que tú hayas recibido el producto, para evitar cualquier engaño. El proceso es el siguiente:

Paso 1: Condiciones y datos requeridos

Para utilizar Escrow! hace falta registrarse. Ningún problema. El registro es fácil y gratuito!
Si ya está registrado, introduzca su e-mail y su password y entre en la página de sus transacciones.
Para comprar o vender un objeto, haga click en “Nueva Transacción” y cumplimente los campos requeridos.
Para ver el estado de una transacción en curso o para introducir nuevos datos en una transacción en particular, pulse el número de identificación que aparece en la lista de sus transacciones.
Espués de que tanto Comprador como Vendedor se hayan puesto de acuerdo acerca de los términos de la transacción, se pedirá al Comprador el pago a Escrow!

Paso 2: el Comprador paga a Escrow!

El Comprador puede pagar a Escrow! con tarjeta de crédito, giro postal, cheque de importe fijo o transferencia bancaria. El dinero recibido por Escrow! se transfiere a una cuenta sin intereses.

Para saber el coste del servicio click aquí y le sugerimos leer las Faq financieras

Paso 3: el Vendedor envía la mercancía

Una vez que Escrow! haya recibido el pago, pedirá al Vendedor la expedición de la mercancía al Comprador. Por razones de seguridad, nunca no se enviará por e-mail información alguna acerca de la dirección de envío. Toda información deberá ser obtenida entrando en la página de la transacción.

Paso 4: el Comprador aprueba la compra

Después de haber recibido la mercancía, el Comprador dispone del Período de Inspección para evaluar su compra*. Entonces, si ésta es de su agrado, autoriza la transacción a Escrow!

Paso 5: el Vendedor recibe el pago

Escrow! paga al Vendedor. Le recordamos al Cliente que los gastos por el envío y aceptación del dinero son a cargo del destinatario, para mayor información sobre los mismos pueden consultar la página de las preguntas financieras FAQ o mandar un correo electrónico al Servicio Cliente.

Es buena idea…el problema es cuando caes en la trampa de una empresa de escrow falsa.

Fuente: http://blog.splitcc.net/2008/04/18/escrow-scam/

Seguir leyendo...

Tensa calma tras la desaparición de McColo

Ya han pasado 13 días desde que comentábamos la desaparición de McColo en la red de redes. En diversos medios se han comentado la pronunciada bajada de mensajes de spam recibidos por distintos ISPs.

Por ejemplo, SpamCop muestra las estadísticas en su web del último mes:

Si por ejemplo miramos los mensajes recibidos (contando los rechazados por RBLs y otros motivos y los procesados), lo vemos claramente.

Y si vemos la relación de correo legítimo (en verde) con el correo calificado como spam (en rojo), de los mensajes analizados por la pasarela antispam (una vez pasada la conversación SMTP), también es percibida:

Por tanto, seguimos con esa tranquilidad…pero como comentaba en el título de este post, da la sensación de ser una “tensa calma” ya que seguramente en unos días veamos el resurgir de mensajes no solicitados para volverse a establecer en los umbrales que teníamos meses anteriores o incluso más, debido a la campaña de navidad que realizarán (y más con la “crisis”).

Fuente: http://blog.splitcc.net/2008/11/25/tensa-calma-tras-la-desaparicion-de-mccolo/

Seguir leyendo...

Las tarjetas de crédito son el producto más solicitado por los ciberdelincuentes

Symantec ha presentado su Informe sobre la Economía Sumergida en Internet, del que se desprende que el valor total de los bienes anunciados en los servidores de economía sumergida se sitúa en 276 millones de dólares durante un período de 12 meses. Entre estos bienes se encuentran las tarjetas de crédito, que representaron el 31% de los anuncios detectados; datos de cuentas bancarias, con un 20%; e información de spam y phishing, con un 19%.

La información sobre las tarjetas de crédito es la más anunciada y la más solicitada en los servidores de economía sumergida, según Symantec, llegando a pagarse entre 0,10 y 25 dólares por cada tarjeta de crédito. Por su parte, la información de cuentas bancarias puede llegar a venderse por hasta 1.000 dólares, especialmente porque tiene un gran potencial para hacer pagos, y estos se pueden realizar a gran velocidad. Según el informe, se puede retirar efectivo de las cuentas bancarias desde ubicaciones imposibles de trazar en menos de 15 minutos.

Entre los “bienes” comercializados en estas redes de economía sumergida se encuentra también el software, encabezado por los juegos, que representan el 49% de los programas detectados. Según los datos proporcionados por Symantec, el valor total aproximado de los archivos ilegales registrados en estas redes se sitúa en 83,4 millones de dólares. Estados Unidos encabeza el ranking por el número de archivos ilegales detectados en sus redes, con un 15% del total, seguida de Reino Unido, con un 7%, y Canadá, que representa el 6% de los archivos. España ocupa el quinto puesto de esta lista, con un 5% de los archivos piratas.

Entre otros datos, el Informe pone de manifiesto la madurez de este tipo de actividades ilegales, que proliferan en decenas de miles de servidores en Internet, que Symantec ha detectado y monitorizado a través de su Red Global de Inteligencia desde julio de 2007 hasta junio de 2008. Por zonas geográficas la más activa es Norteamérica, con un 45% de los servidores detectados. Le sigue la zona de EMEA, con un 38%, y Asia-Pacífico, con un 12%. Dentro del área EMEA destaca Rumanía, con un 13% de los servidores de economía sumergida detectados. Estos servidores tienen un ciclo de vida inferior a seis meses, lo que obstaculiza su detección y seguimiento. Asimismo, los ciberdelincuentes utilizan para sus comunicaciones canales IRC que renuevan constantemente, haciendo casi imposible su seguimiento.

Los delincuentes actúan tanto de forma independiente como en grupos organizados, pero todos tienen un objetivo común, el económico. Según Symantec, el funcionamiento de estas redes de economía sumergida es autosuficiente, ya que tanto se venden las herramientas para cometer el robo de información como la propia información una vez robada.

Fuente: http://seguridad-informacion.blogspot.com/2008/11/las-tarjetas-de-crdito-son-el-producto.html

Seguir leyendo...

Guía del CIO sobre Seguridad Móvil en BlackBerry

Las empresas y organizaciones gubernamentales de hoy en día fomentan cada vez más el uso de dispositivos móviles (inalámbricos) por parte de sus empleados. Los ejecutivos, gerentes, contratistas, proveedores y otros empleados corporativos se conectan con sus dispositivos inalámbricos a los servidores corporativos de correo electrónico: los equipos de ventas necesitan tener acceso a la información de los clientes y de los pedidos almacenada en los sistemas CRM de la compañía; los técnicos de campo necesitan recibir e interactuar con la información de servicio; y los gerentes necesitan acceder de manera oportuna a datos empresariales críticos que residen en sus sistemas de inteligencia de negocios. En todas las organizaciones, los usuarios buscan mejorar su productividad por medio del acceso a datos corporativos desde dispositivos móviles.

Al mismo tiempo, las empresas y organizaciones gubernamentales generalmente subestiman los riesgos potenciales en materia de seguridad asociados con el uso de dispositivos inalámbricos. Las organizaciones necesitan administrar la seguridad de los dispositivos inalámbricos de la misma manera en que administran la seguridad de los componentes fijos que integran la red de área local (LAN) corporativa, como por ejemplo, servidores, computadoras de escritorio y computadoras portátiles. Las organizaciones pueden establecer una infraestructura general para la seguridad en la que se incluyan dispositivos inalámbricos por medio de la instalación de funcionalidades de seguridad en los dispositivos y de la implementación de políticas de seguridad adecuadas. Si bien la implementación de soluciones de seguridad es fundamental, el único desafío al que se enfrentan aquellas personas encargadas de la seguridad inalámbrica es el impacto directo que tienen las medidas de seguridad en la experiencia del usuario. Crear un entorno seguro en un dispositivo móvil generalmente requiere que el dispositivo cuente con mayor capacidad de procesamiento, almacenamiento y duración de la batería. Esto significa que, a medida que el dispositivo se vuelve más seguro, también exige mucho más a sus recursos, lo que afecta su rendimiento.

El presente documento analiza seis aspectos clave de la seguridad en la informática móvil que el departamento de IT debe tener en cuenta al momento de evaluar una solución inalámbrica.

Descargar documento desde BlackBerry

Fuente: http://seguridad-informacion.blogspot.com/2008/11/gua-del-cio-sobre-seguridad-mvil.html

Seguir leyendo...

Mercado negro de datos de tarjeta de crédito llega a $5.300 millones

Por Carlos Cordero Pérez

La información robada de las tarjetas de crédito generaría $5.300 millones al año en beneficios para los ciberdelincuentes, en el llamado mercado negro de Internet.

Esa cifra incluiría los ingresos por el robo de datos, su venta y su posterior uso fraudulento, según el Report on the Underground Economy publicado este 24 de noviembre por la firma de seguridad informática Symantec Corp , cuya investigación cubrió el periodo entre el 1 de junio del 2007 y el 30 de junio del 2008.

Según el informe los datos de cada tarjetas de crédito se venden entre $0,10 y $25.

El reporte indica también que la información sobre cuentas bancarias es vendida entre $10 y $1.000, con un valor potencial cercano a los $1.700 millones.

Entre los datos que se comercializan se incluye información confidencial de los tarjetabientes y número de las tarjetas o de las cuentas.

El informe también reveló que el mercado negro incluye actividades como producción y envío de mensajes no deseados o spam , sitios fraudulentos ( phishing ), robo de identidad y aplicaciones maliciosas, entre otras.

Symantec reveló que descubrió en ese periodo 69.130 anuncios distintos y 44 millones de mensajes ofreciendo los datos hurtados en mercado negro.

Asimismo que el 45% de los servidores que hospedan los sitios del los delincuentes informáticos se ubican en América del Norte y un 38% en Europa, Medio Oriente y África.

Solo el 12% de esos servidores estaban en Asia Pacífico y el 5% en América Latina.

Fuente: http://www.elfinancierocr.com/edactual/tecnologia1788745.html

Seguir leyendo...

Avanza el caso judicial por un suicidio ligado a una red social

La muerte de una adolescente de Missouri podría haber sido evitada si ella no hubiera sido atormentada online por una madre que vivía a pocas casas de distancia, dijeron los fiscales, quienes describieron la muerte de la chica como una tragedia
El jurado comenzará a deliberar el martes en el caso federal contra Lori Drew, una mujer de Missouri que está acusada de hacerse pasar por un adolescente en el sitio de contactos sociales MySpace para molestar y humillar a Megan Meier, de 13 años, quien posteriormente se suicidó.

Los fiscales dijeron al jurado que Drew, su hija y una empleada adolescente crearon el perfil como parte de un plan para avergonzar públicamente a Meier y para vengarse de ella por decir cosas malas acerca de la hija de Drew.

"La tragedia en este caso no es sólo el suicido de Megan Meier", dijo el fiscal Thomas O'Brien en sus argumentos finales a los jurados.

"Es el hecho de que fue tan fácil de prevenir. Si Lori Drew, de 47 años, estaba tan molesta por que Megan Meier dijo que su hija era fea o una lesbiana, debería haber ido a su casa y haber hablado con su madre, y no estaríamos aquí", declaró O'Brien.

El abogado de Drew, H. Dean Steward, también describió la muerte de Meier como una tragedia, pero recordó a los jurados que Drew no está acusada de homicidio en la muerte de Meier.

"Por favor, no agreguen más a esta tragedia", declaró Steward. "Este ha sido un caso muy lamentable y han habido demasiadas lágrimas. No agreguen más aceptando el caso del gobierno", agregó.

Drew, que actualmente tiene 49 años, está acusada por conspiración para acceder a computadoras protegidas sin autorización para obtener información con el propósito de infligir angustia emocional a Megan Meier.

Por estos cargos podría enfrentar un máximo de 20 años en una prisión federal si es hallada culpable de todos los casos.

El juicio comenzó el miércoles pasado, y los jurados escucharon el testimonio de la hija adolescente de Drew y de Ashley Grills, una joven que era empleada de Drew y envió un mensaje final a Meier el día de su suicido de octubre del 2006 que decía en parte: "El mundo sería un lugar mucho mejor sin tí".

Grills no fue acusada y testificó después de llegar a un acuerdo con la Fiscalía.

Drew no testificó en su propia defensa. Pero Tina Meier, la madre de la chica muerta, declaró que Drew sabía que su hija tomaba medicamentos para combatir su depresión.

Fuente: http://www.infobae.com/contenidos/417198-100918-0-Avanza-el-caso-judicial-por-un-suicidio-ligado-a-una-red-social

Seguir leyendo...

Descubren vulnerabilidad en el kernel de Windows Vista

La compañía austriaca de seguridad Phion reveló una vulnerabilidad en el núcleo de Vista que puede producir un desbordamiento de buffer colgando el sistema, o que puede ser explotado para inyectar código malicioso y comprometer la seguridad del equipo cliente.

La vulnerabilidad se encuentra en el sistema de red cuando se envían solicitudes a la API “iphlpapi.dll”. El error está comprobado en Vista Ultimate y Enterprise y según los investigadores “es muy probable que afecte al resto de versiones de 32 y 64 bits”. Windows Xp no está afectado, según explican.

El exploit puede ser usado para apagar la computadora o provocar la pérdida de conectividad de la Red usando ataques de denegación de servicio (DoS). Aunque se necesitan permisos de administrador para aprovechar la vulnerabilidad, la misma podría ser explotada mediante envío de paquetes DHCP sin permisos de administración, según explican desde el grupo de seguridad austriaco, que informó que llevaban trabajando desde el mes pasado con responsables del “Microsoft Security Response Center” para “ubicar, clasificar y corregir la vulnerabilidad”.

Una solución que en principio no llegará hasta la publicación del segundo paquete de servicio de Windows Vista, aunque no se conoce que la vulnerabilidad haya sido explotada.

Fuente: http://www.rzw.com.ar/seguridad-informatica-5336.html

Seguir leyendo...

Es el presidente (y un amigo en Facebook)

La última aplicación de las redes sociales: la campaña política.

En febrero de 2007, un amigo llamó a Marc Andreessen, uno de los fundadores de Netscape y miembro de la junta directiva de Facebook, y le preguntó si quería reunirse con un hombre con una idea que de primeras sonaba absurda.

Siempre dispuesto a encontrar novedades, Andreessen se dirigió al aeropuerto de San Francisco una noche para escucharlo. Joven miembro de una enorme y potente organización con un currículum breve pero impresionante, estaba a punto de dirigir fuerzas mucho más poderosas en una batalla por el liderazgo.

Se preguntaba si las redes de contactos sociales, con su increíble capacidad comunicativa y el rapidísimo desarrollo de su base de datos, podrían ayudarle a superar las abrumadoras dificultades a las que se enfrentaba.

"Era como un tipo que trabaja en un garaje y empieza a pensar en enfrentarse a los peces gordos del sector", recuerda Andreessen. "Estaba claro que era muy listo y emprendedor, una persona que veía el mundo y el status quo como algo maleable". Y parece ser que el presidente electo Barack Obama estaba en lo cierto.

Como muchos innovadores de la Red, el equipo de la campaña de Obama no ha inventado nada nuevo. En vez de eso, a través de la agrupación de aplicaciones de redes sociales bajo la bandera de un movimiento, generó un potencial inesperado para recaudar fondos, organizarse por zonas, luchar contra las campañas difamatorias y conseguir los votos ayudaron a derrocar al aparato de los Clinton y acto seguido a John McCain y los republicanos.

Como consecuencia de ello, cuando Obama tome posesión no sólo tendrá una base política sino también una base de datos, millones de nombres de partidarios a los que se puede contactar casi de inmediato. Y existen muchas razones para pensar que Obama usará esa red de contactos. El mensaje de correo electrónico que dirigió a sus partidarios la noche de las elecciones incluía esta frase: "Tenemos mucho trabajo por delante para volver a poner nuestro país por buen camino, y pronto volveré a escribiros para decir qué es lo siguiente que tenemos que hacer". La nueva Administración está ya funcionando en Internet en change.gov.

"Otros políticos que he conocido siempre se impresionan con la web y se sorprenden cuando ven sus posibilidades", explica Andreessen, "pero de alguna manera su interés se termina en saber la cantidad de dinero que se puede recaudar". Obama, por el contrario, "fue el primer político con el que traté capaz de entender que la tecnología es un regalo y que se puede usar de forma diferente".

La yuxtaposición de una campaña abierta a través de redes sociales y de un cargo histórico imperial tendrá grandes implicaciones. Los grupos de interés especial y los miembros de grupos de presión se las verán ahora con un ambiente de transparencia y con un presidente que nada les debe. La prensa tendrá que vérselas con una Administración que puede exponer claramente sus argumentos a su base sin necesidad de usar la televisión.

Y mientras que mucha gente piensa que Obama es un regalo para el Partido Demócrata, en realidad podría acelerar su desaparición. Los partidos políticos ofrecen una marca, trabajadores para la campaña, dinero y relaciones, todo lo que Obama ya tiene.

Todos los partidarios de Obama que intercambiaron información personal suya por una entrada para un mitin o un correo electrónico sobre quien iba a ser su vicepresidente, o se han registrado en Facebook o en MyBarackObama, ahora pueden recibir correos colectivos . Y en vez de los interminables sondeos , la Casa Blanca de Obama podrá utilizar la web para conocer la opinión de los votantes.

La conversación que ha mantenido Obama con el electorado durante 21 meses entra ahora en una nueva fase. La gente que ha trabajado para que resultara elegido siente que les pertenece.

"Cualquier político que no se percate de que estamos en una era pospartidista con una nueva ecología política, en la que conectar mentes similares y crear un movimiento es mucho más sencillo, no durará mucho tiempo", dice Andrew Rasiej, fundador del Foro de Democracia Personal, una conferencia anual sobre la confluencia de la política y la economía. "Sí, hemos conocido al Gran Hermano, ése que siempre nos está observando. Y el Gran Hermano somos nosotros".

Fuente: http://www.elpais.com/articulo/internet/presidente/amigo/Facebook/elpeputec/20081122elpepunet_2/Tes

Seguir leyendo...