Publicado el Boletín 137 - 31/05/2009

Boletín 137 - 31/05/2009

Los temas tratados son:

1. Proteger la clave privada en un entorno de criptografía pública
2. Fuga de información: las empresas no aprenden
3. Segu-Info busca autores
4. Apoya a Segu-Kids, Juntos en la Red
   

Leer Boletín

Seguir leyendo »

De nuevo PDF, el enemigo de BlackBerry

Research In Motion (RIM) responsable de BlackBerry ha anunciado varias vulnerabilidades no especificadas en el proceso de archivos PDF. Esto podría permitir a un atacante remoto ejecutar código arbitrario en el servidor que aloja el servicio de proceso de archivos adjuntos, no en el terminal, como puede llegarse a pensar.

Los fallos se dan en el servicio de archivos adjuntos de BlackBerry Enterprise Server 5.x (para distintos servidores de correo) y BlackBerry Professional Software 4.x. Un atacante podría, a través de un archivo PDF especialmente manipulado, enviar un adjunto y al abrirlo en el dispositivo móvil, ejecutar código en el servidor que aloja el servicio de adjuntos.

RIM sufrió un problema parecido hace muy pocos meses. En realidad, todo software que procesara archivos PDF sufrió un grave problema de seguridad al procesar elementos JBIG2. La alerta comenzó con Adobe, pero poco a poco mucho software dedujo que sufría, si no el mismo, problemas de seguridad graves muy parecidos.

Se recomienda actualizar los servidores desde aquí

Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server

Fuente: Laboratorio Hispasec

Seguir leyendo »

Mantener a raya a los ciberespías

Para los detectives tradicionales, el problema era siempre conseguir la información. Para los ciberdetectives que buscan pruebas en la maraña de datos de Internet, el problema es diferente. "El Santo Grial es distinguir entre la información basura y la información valiosa", comenta Rafal Rohozinski, sociólogo de la Universidad de Cambridge involucrado en asuntos de seguridad informática.

Empezó hace ocho años y fue el cofundador de dos grupos, Information Warfare Monitor y Citizen Lab, ambos con sede en la Universidad de Toronto, junto con Ronald Deibert, un politólogo de dicha universidad. Los grupos persiguen ese objetivo y se esfuerzan por poner las herramientas de investigación normalmente reservadas a las agencias encargadas del cumplimiento de la ley y los investigadores de seguridad informática, al servicio de colectividades que no disponen de esos recursos. "Se nos ocurrió que a los grupos de la sociedad civil les faltaba capacidad para espiar", dice Deibert. Han conseguido algunos logros importantes. El año pasado, Nart Villeneuve, un investigador de relaciones internacionales de 34 años que trabaja para ambos grupos, descubrió que una de las mayores empresas de sistemas inalámbricos de China estaba utilizando una versión china del Skype para realizar escuchas, probablemente encargadas por las agencias policiales del Gobierno chino.

Contenido completo en El Pais

Seguir leyendo »

Informe: Hackers turcos ingresan a servidores del ejército de EEUU

Hackers instalados en Turquía penetraron en dos servidores Web del ejército de los EEUU y redirigieron tráfico de esos sitios Web a otras páginas incluyendo una con mensajes anti-americanos y anti-israelíes, según un informe de InformationWeek.
Los hackers, quienes son conocidos como el grupo "m0sted," irrumpieron en un servidor en la Planta de Municiones McAlester del ejército el 26 de enero y en un servidor en el Centro Trasatrlántico de Ingenieros del Cuerpo de Ejercito de los EEUU en Virgina, el 19 de septiembre de 2007, dice el informe.

Los investigadores creen que se usó un ataque de inyección SQL para explotar una vulnerabilidad en el servidor de base de datos Microsoft SQL para obtener acceso a los servidores.

No queda claro si se accedió a alguna información sensible, según dice el informe.

Se liberaron ordenes de allanamiento sobre Microsoft, Yahoo, Google, y otros ISP y proveedores de correo electrónico, mientras está en marcha una investigación criminal en el Departamento de Defensa, la Oficina General del Fiscal Militar del Ejercito de EEUU, y el CERT, informó InformationWeek.

El mismo grupo desfiguró el sitio web de las Naciones Unidas en el año 2007, usando también un ataque de inyección SQL.

Autor: Elinor Mills
Fuente: cnet
Traducción de Raúl Batista para Segu-Info

Seguir leyendo »

Gusano a través Twitter y Facebook

En las últimas horas un mensaje falso se ha comenzado a propagar en las redes Twitter y Facebook, anunciando un supuesto video pornográfico (que ya fue eliminado).
Al momento de escribir esto se podía ver muchos perfiles de usuarios portugueses/brasileros infectados.

El mensaje que se puede ver en Facebook es el siguiente:
El mensaje que se podía ver en Twitter (ya fue bloqueado) es el siguiente:
Best video: http://jus[ELIMINADO].ru/?video_id=24431
Como puede, en ambos casos se redirige al usuario a un sitio ruso, desde donde se puede descargar un gusano que roba credenciales de ambos servicios, para luego continuar la propagación de sí mismo a través del perfil correspondiente a ese usuario.

Es decir que se utiliza al usuario y se lo transforma en un spammer involuntario, motivo por el cual algunas cuentas de Twitter han sido bloqueadas temporalmente y serán devueltas cuando el problema finalice.

La página contenía el siguiente video, ya clausurado por YouTube:
Además en el código fuente, se podía ver el siguiente iframe, desde posiblemente se descargaba el malware.
Es obvio que mientras el usuario miraba el video, además se descargaba una nueva página "invisible" que infectaba al usuario. En el momento de escribir el presente, dicha página no se encuentra disponible.

La forma de funcionamiento y el comportamiento del gusano me hace suponer que se trata de una variante de Koobface, similar a la reportada hace meses aquí mismo y del cual se puede conocer más aquí.

Actualización 20:45: el iframe ya no aparece en la página mencionada, lo que indica que están actualizando la misma y podría cambiarse el código para intentar otro ataque.

Actualización 21:oo: probando la funcionalidad de Facebook que permite redirigir a los usuarios a través de un comando como el siguiente: http://www.facebook.com/l/;http://www.segu-info.com.ar/, no termino de entender el motivo de la existencia de la misma.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

L0phtcrack 6.0 liberado

Finalmente se publicado la herramienta para romper contraseñas "l0phtcrack" en su versión 6. Desde la página oficial se puede descargar una versión de evaluación. Este producto se distribuye con tres licencias distintas: profesional, administrador y consultor (ya sabíamos que los administradores y consultores no somos profesionales), con los siguientes aprecios: 295$, 595$ y 1195$ respectivamente.

La lista de "novedades" las podeís consultar en su ayuda: http://www.l0phtcrack.com/help/whats_new.html, de lo que destacaría el soporte para lenguajes distintos al inglés, soporte para contraseñas de Unix y una nueva interfaz ribbon o "de botón gordo" para los amigos.

Contenido completo en Security by Default

Seguir leyendo »

Un nuevo perfil de mirón: el 'voyeur digital'

El director del Observatorio Español de Internet, Francisco Canals, ha alertado de la "llegada masiva" del voyeurismo electrónico.
Se trata de un fenómeno que ha coincidido con el auge de la telefonía móvil en España.
El perfil de esta nueva tipología de voyeur es el de un joven de entre 14 y 21 años que hace las fotos por coleccionismo, diversión o autocomplacencia sexual.

Los dominios de Internet en España albergan medio millar de foros y páginas web en los que pueden verse más de 10.000 fotografías "robadas" de bañistas anónimos en bikini o top less, capturadas en las playas con teléfonos móviles por un nuevo perfil de mirón, el denominado voyeur digital.

El director del Observatorio Español de Internet, Francisco Canals, ha alertado este jueves de la "llegada masiva" al país del voyeurismo electrónico, un fenómeno que ha coincidido con el auge de la telefonía móvil en España, donde se calcula que existen unos 42 millones de estos aparatos, casi uno por habitante, la mitad de ellos dotados con cámara fotográfica.

Contenido completo en 20minutos

Seguir leyendo »

Sobre Firma Digital

A continuación dejo papers y presentaciones sobre el uso de la Firma Digital, su necesidad, sus problemas, ventajas, formas de implementación y conceptos de criptografía en los que basa su funcionamiento:

• Tutorial sobre Firma Digital de Lic. Jorge A. Guerra (2007)
• Firma digital y factura electrónica (2006)
• Concepto de Firma electrónica (2005)
• Firma electrónica vs Firma Digital Joel Gomez (2003)
• El Papel Digital de Juan F. Codagnone (2002)
• De la firma olográfica a la firma digital de Gladys Rodriguez (2000)
• Firma Digital: Legalidad en las transacciones comerciales electrónicas y su entorno (1999)
  

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Curso de seguridad para PyMEs

Teniendo en cuenta el papel relevante que ocupan las PyMEs en la región, y las brechas existentes en medidas de seguridad, ESET Latinoamérica pone al alcance de la comunidad un curso de seguridad para PyMEs, orientado específicamente a la mediana empresa: directores, gerentes, ejecutivos de sistemas, administradores de red, soporte técnico, responsables de Recursos Humanos y otros integrantes de las organizaciones, relacionados con la seguridad de la información en la empresa.

El curso abarca los aspectos más relevantes de la seguridad de la información para una organización, manteniendo a la vez una mirada amplia sobre la problemática, pero focalizada en los alcances de una mediana empresa. Todos los puntos sugeridos a lo largo del curso han sido pensados teniendo en cuenta las posibilidades medias de las

Ingresar al curso

Seguir leyendo »

Cartas intimidatorias de Software Libre (al boleo)

Al igual que sucedió hace unos meses con una Carta de intimación por descargas de archivos, en estos días han estado llegado cartas desde la "Asociación Civil" Software Legal a distintos lugares, como a un consorcio que ni siquiera tiene computadora, solicitando la presentación de licencias correspondiente al software utilizado, sin constatar previamente el uso de computadoras y sin importar la clase de software utilizado.

Sin entrar en caminos legales no creo que sea dificil darse cuenta que a parte de una estupidez, en esta carta solo se trata de intimidar, tal y como dicen en el grupo de Ciberderecho en donde me enteré de la noticia.

Cristian de la Redacción de Segu-Info

Seguir leyendo »

Borrar fotos desde las redes sociales

Un estudio de la Universidad de Cambridge asegura demostrar cómo Facebook o MySpace no eliminan inmediatamente las imágenes. De los 16 sitios web estudiados, en 7 seguían visibles tras 30 días. Flickr o Picassa son las páginas que más rápido las borran.

El "ataque de las fotos zombi". Así denominan un grupo de investigadores de Cambridge al hecho –por ellos comprobado- de que las imágenes de los usuarios de redes sociales de Internet permanecen en dichas páginas incluso después de que las fotos fueran borradas.

Site	Type	CDN Operator	Revocation
Bebo	Social Networking	Bebo	Unrevoked
Blogger	Blogging	Google	36 hours
Facebook	Social Networking	Akamai	Unrevoked
Flickr	Photo Sharing	Yahoo	Immediate
Fotki	Photo Sharing	Fotki	<>
Friendster	Social Networking	Panther Express	6 days
hi5	Social Networking	Akamai	Unrevoked
LiveJournal	Blogging	LiveJournal	Immediate*
MySpace	Social Networking	Akamai	Unrevoked
Orkut	Social Networking	Google	Immediate
Photobucket	Photo Sharing	Photobucket	Immediate
Picasa	Photo Sharing	Google	5 hours
SkyRock	Blogging	Téléfun	Unrevoked
Tagged	Social Networking	Limelight	14 days
Windows Live Spaces	Social Networking	Microsoft	N/A (cookies)
Xanga	Blogging	Xanga	6 hours*

Para llegar a esta conclusión, los investigadores subieron 16 fotografías a sitios web como Facebook, MySpace o Flickr y posteriormente las eliminaron, guardando la dirección de URL con la que fueron dadas de alta. Treinta días después, en 7 de las 16 webs aún era posible verlas usando la dirección directa.

Los autores del trabajo de investigación concluyen que redes sociales como Facebook y MySpace no borran, pese a lo que aseguran, inmediatamente las imágenes compartidas con los usuarios. En cambio, Flickr o Picassa son más rápidos en cumplir con los deseos de intimidad de sus clientes.

Joseph Bonneau, uno de los estudiantes que participaron en la investigación, asegura que las conclusiones del mismo "demuestran cómo las redes sociales a menudo no aseguran la intimidad de los usuarios". Un punto de vista que niega un portavoz de Facebook citado por BBC, quien asegura que las imágenes desaparecen "inmediatamente".

Fuente: 20Minutos

Seguir leyendo »

La seguridad informática en las PyMEs

En estos días la empresa se ha difundido un estudio sobre la seguridad informática en la pyme. La verdad es que la empresa española no queda muy bien parada en el mismo ya que entre las principales conclusiones que nos ofrece es que las PyMEs españolas son las más infectadas por virus, sólo superadas por China. También nos indica que las infecciones suelen ser de poca importancia puesto que son una minoría las que tienen que parar su actividad por estos motivos. Por último, también indican como las PyMEs españolas se encuentran en el vagón de cola en cuanto a la inversión en seguridad.

Está claro que estos datos son ofrecidos por una empresa que se dedica a la seguridad informática y por lo tanto tiene que vender esto como si fuera de extrema gravedad. Hombre la situación no es la ideal, pero el caso es que con empresas de nuestro entorno tampoco estamos tan mal. Vamos a ver que datos nos ofrecen para compararlo con el entorno:

• El 64% de las empresas analizadas en España había sufrido alguna infección mientras que la media en Europa se sitúa en el 58%
• El 14% tuvieron que realizar un parón por este motivo. La media europea se sitúa en el 30%, lo cual indica que el grado de las infecciones suele ser bastante leve.
• Un 47% afirma haber perdido productividad y un 23% datos confidenciales. Estos datos se sitúan también por encima de la media europe que es un 36 y un 15% respectivamente.
• El problema no se encuentra en la falta de protección puesto que la inmensa mayoría de ellas cuenta con sistemas de protección adecuados, mientras que un 26 % opta por soluciones gratuitas.
• En 44% de las pymes de menos de 50 equipos el nivel de inversión es de menos de 300 euros al año, muy por debajo del nivel de inversión del entorno para empresas similare situadas en los 1000 euros.

Todos estos datos nos permiten situarnos respecto al entorno europeo en el cual nos movemos y nos señala que debemos mejorar muchos aspectos de la seguridad. Principalmente me parece interesante considerar como se pierde productividad por culpa de problemas de seguridad y como se pierden datos confidenciales. Estos son a mi modo de ver los datos más preocupantes de todos.

Se trata de establecer el nivel de seguridad adecuado para nuestra empresa, sobre todo tener en cuenta que disminución en ingresos podemos tener debido a problemas de software y como la productividad de nuestro negocio se puede ver afectada. Es en este punto donde podemos incidir más y si es posible contemplar una mayor inversión en seguridad para mejorar su eficacia. De todas formas como hemos visto la mayoría de las infecciones son leves y se pueden solucionar sin que afecten gravemente a la empresa.

Por otro lado es una cuestión en al que ya existe una cultura empresarial mayoritaria para tener algún sistema de seguridad en nuestra empresa. Siempre un estudio de una empresa de seguridad hay que ponerlos en cuarentena puesto que ellos son lo que nos venden los remedios. No sabemos si el muestreo del estudio es aleatorio o de empresas vinculadas de alguna manera con Panda con lo cual el rigor del mismo queda un poco mermado.

Fuente: Tecnología PyME

Seguir leyendo »

0 day en Microsoft DirectX

Microsoft ha reconocido en un aviso oficial una vulnerabilidad en DirectX sobre 2000, XP y 2003 que podría permitir a un atacante ejecutar código arbitrario. El fallo parece que se está aprovechando en estos momentos por atacantes, por lo que se convierte en un 0 day. Es explotable a través de archivos de QuickTime.

DirectX es una colección de APIs creadas para facilitar tareas relacionadas con la programación de juegos y multimedia en Windows. El kit de desarrollo de DirectX (SDK) y el EndUser Runtime se distribuyen gratuitamente por Microsoft y también adjunto a muchos programas que lo utilizan.

DirectX 7.x, 8.x y 9.x sobre Windows 2000, XP y 2003 sufre de una vulnerabilidad en la forma en la que DirectShow (en quartz.dll) maneja el formato QuickTime. Si la víctima abre un archivo QuickTime especialmente manipulado a través de cualquier vía (también a través el navegador), el atacante podría ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación.

Se recomienda tomar cualquiera de estas acciones:

a) Deshabilitar la interpretación de contenido QuickTime en quartz.dll borrando la rama HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A} del registro.

b) Modificar la ACL de quartz.dll eliminando los permisos NTFS

c) Desregistrando la librería (Regsvr32.exe /u %WINDIR%\system32\quartz.dll)

Más Información:
Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/971778.mspx

Nota de redacción Segu-info: Hay una solución pulsando un botón en la siguiente pagina: http://support.microsoft.com/kb/971778

Fuente: Hispasec

Seguir leyendo »

EE.UU. tendrá su ciber-zar

El presidente de Estados Unidos, Barack Obama, anunció un nuevo plan de seguridad informática en un intento de frenar los delitos cibernéticos y el robo de información confidencial.

El programa incluye el nombramiento de un responsable para la seguridad cibernética que ha sido calificado como "ciber-zar".

Obama manifestó que la protección informática debe ser una "prioridad nacional", por lo que Washington está considerando, además, la creación de un comando militar para hacer frente a una posible guerra cibernética.

"Hemos sólo comenzado a explorar la nueva generación de tecnologías que transformarán nuestras vidas de un modo que ni siquiera podemos imaginar", expresó el presidente, quien reconoció que "cada día dependemos más del ciberespacio".

"En consecuencia -agregó- un nuevo mundo nos espera; un mundo de mayor seguridad y potencialmente de más prosperidad si tratamos de alcanzarlas".

El nuevo responsable de seguridad informática coordinará el esfuerzo multimillonario para restringir el acceso a los sistemas electrónicos gubernamentales.

El mandatario aclaró que su gobierno no dictará los parámetros de seguridad para las compañías privadas y que en todo caso se mantendrá la privacidad de la red y no se supervisará el tráfico en internet.

Ofensiva

El pasado año, un informe de dos congresistas estadounidenses reclamó que la estrategia nacional de seguridad incluyera un aumento de la capacidad ofensiva en una guerra informática.

Según ellos, este incremento serviría de freno a aquellos que ya han declarado la guerra cibernética a Estados Unidos y a quienes intenten hacerlo en el futuro.

El especialista de la BBC en temas de seguridad Rob Watson dice que Estados Unidos es particularmente dependiente de su red informática, lo que lo hace vulnerable a ciber-ataques.

En 2007 -añade Watson- el Pentágono reportó casi 44.000 incidentes considerados como ataques cibernéticos llevados a cabo por militantes extranjeros, agencias de inteligencia y hackers individuales.

Fuente: BBC Mundo e Infobae

Seguir leyendo »

¿Que es el Black Hat SEO?

Cuando hablamos de métodos y técnicas que no son legales para posicionarse en los buscadores pero que sirven para adquirir una mejor posición en los resultados de los buscadores estamos hablando de Black Hat SEO, entre las características que más destacan el uso de esta técnica se encuentran algunas de las siguientes:

• Romper las reglas establecidas por los buscadores
• Afectar la experiencia de usuario de forma negativa debido a la aplicación de algunas de estas técnicas.
• Presentación de contenido alternado por algoritmos para generar contenido automático.

La línea que separa un posicionamiento web correcto y un posicionamiento web ilícito es muy delgada, se han tenido muchos debates sobre el tema e incluso en el congreso de ojo buscador alguno que otro exponente hablo sobre que había comenzado realizando posicionamiento web de forma ilegal, en la actualidad las técnicas aplicadas de “Black Hat SEO” en la mayoría de los casos solo son efectivas por un corto tiempo y suelen afectar de forma negativa la imagen de tu empresa y puedes ser penalizado por los buscadores hasta el punto de ser borrado totalmente lo que implicaría un perdida muy notable de tu trafico.

Las técnicas de posicionamiento web ilegales no son recomendadas por los profesionales de posicionamiento en los buscadores, y si usted las va a aplicar en su portal o ya las esta aplicando usted será responsable de los problemas negativos que esto pueda causar para su dominio en el futuro.

Los métodos que se expresan a continuación sirven para que usted tenga conocimiento de si esta o no realizando Black Hat SEO y de ser así podrás entender porque tu portal esta penalizado:

Cloaking: Esto sucede básicamente cuando a los buscadores se les muestra un contenido y a los buscadores se les muestra otro, usualmente la página que se le muestra a los buscadores esta optimizada de forma excesiva con contenido optimizado para las frases que se quiere posicionar.

El cloaking suele hacerse teniendo un programa que compara una lista de IP en donde tiene todas las IP de los buscadores y cuando esa dirección le pide información se le envía la página optimizada, de lo contrario envía la pagina normal. Otra forma de Cloaking que se hizo notar en España hace pocas semanas es la forma de Cloaking por medio de un redirect en el que se muestra por defecto una página con un redirect instantáneo a un portal que se encuentra en Flash (los buscadores no entienden flash), por lo que los buscadores no tienen acceso a esa parte y solo ven la página principal sin pasar al redirect.

Spamming Keywords: Este es un método que se utiliza mucho en Internet para tratar de posicionar pero para desgracia de los que utilizan esta técnica los buscadores están trabajando con expertos en el campo de la lingüística aplicada y la inteligencia artificial para determinar cuando un contenido no es semánticamente correcto, un ejemplo caro del uso de esta técnica es el siguiente “Viajar a España tan bueno que debe viajar a España, viajar a España en verano es mejor que viajar a España en invierno”, lo que busca el Keyword Spamming es meter tantas palabras claves como sea posible en el contenido que se tiene en la página, la técnica también la aplican en textos ocultos, meta tags, texto alterno (atl en imagenes), tags de comentarios, nombre de imágenes, etc.

La densidad que debe tener un artículo es por regla general entre el 3% y el 12%, no trate de superar esto en ninguna ocasión del 15%, los buscadores te pueden penalizar tu web por esta técnica así que mucho cuidado con esto, para analizar tu web puedes visitar Keyword Density.

Texto Oculto: esta técnica se hizo muy famosa y fue muy utilizada a principios del 2000, consiste en crear contenido oculto en la misma página se puede crear poniendo el texto del mismo color que el fondo de la página y así el usuario no puede ver el texto pero los buscadores sí y consideran que es contenido de la página.
Antes las personas utilizaban el fondo y el texto del mismo color o ponían el tamaño del texto a un tamaño tan pequeño que no se veía en la página web, en la actualidad las técnicas son más avanzadas, los spammers están usando CSS para ocultar el texto, también usan

y le agregan el atributo para que no se muestre el texto. Si esta usando esta técnica póngase inmediatamente a reparar su web por que los buscadores pueden leer esto fácilmente.

Páginas Traseras: Estas páginas son creadas en muchos casos de forma automática y no parecen pertenecer a la empresa que las genera, sin embargo lo que buscan es crear tanto contenido como sea posible para generar trafico o enlaces y apuntarlos a la página del cliente.

Contenido Duplicado: Esto se trata de crear varios portales con el mismo contenido o con contenido que es muy parecido, lo que más cambia en estas páginas duplicadas es los nombres con los que se realizan los enlaces, en donde más se ve el contenido duplicado es en los portales de viajes y programas de afiliados, antes el modelo de contenido duplicado más famoso eran las farmacias (afiliados para píldoras).

El problema real del contenido duplicado es que cualquier persona puede duplicar tu contenido y los buscadores NO distinguen cual es el propietario inicial de ese contenido, la forma de comprobar que nadie esta usando tu contenido es agregando tu texto entre comillas (“), ten mucho cuidado con que nadie este usando tu contenido por que aunque seas el dueño tu portal podría ser penalizado.

Cambio de Código: mediante este método se coloca en un dominio una página en texto plano sin absolutamente nada de código para posicionar ese portal y adquirir un buen pagerank y luego de obtener el posicionamiento entonces proceder a por el nuevo portal con toda la programación y optimización, esto no tarda mucho en ser detectado por que tan pronto el bot pasa de nuevo se analiza el portal como una web normal.

Intercambio de Enlaces con Portales no Relacionados: en la actualidad es imprescindible obtener enlaces y para ello se necesita crear una campaña de enlaces efectiva pero esto no se trata de intercambiar enlaces con cualquier portal, si intercambias enlaces con portales que están penalizados estos te puede llevar a perder las posiciones ganadas, se debe ser muy cuidadoso con los portales a los que se enlaza, un enlace es un voto de confianza desde tu portal hacia otro, al menos así lo ven los buscadores, no intercambies enlaces con ningún portal que este usando una técnica ilegal o que no este indexado en Google, algunos de los enlaces que no debes hacer son a los portales FFA, contenido adulto y portales de apuestas.

Granja de Enlaces: se pueden considerar como redes de portales web que se intercambian enlaces unas con otras con la única finalidad de incrementar la popularidad de los enlaces, las granjas de enlaces tratan de incrementar la medición de Google llamada pagerank.

Estas técnicas han resultados ser efectivas para muchas grandes empresas pero en la actualidad solo funcionan a corto plazo, es decir que los buscadores las detectan rápidamente, si tú tienes alguna experiencia o método de cloaking que quieras compartir sería un placer para todos los lectores aprender más sobre un tema que se mantiene detrás de las sombras.

Fuente: SEOtalk.es

Seguir leyendo »

Defacing al sitio oficial de la UCR en Internet

La página estuvo intervenida anoche por más de dos horas con una imagen de Perón y consignas políticas. La UCR hará la denuncia ante la Justicia.

"¿Ke les pasha, radikales? ¿Están nerviosos?" es el título de la página que pusieron en lugar de la del partido (www.ucr.org.ar), suscripta arriba "hacked by knet & Ricota". Entre frases políticas ("no queremos ser gobernados por golpistas") se mezclan otras irónicas ("Sí a la despenalización total de la marihuana") y hasta una contraria al Gobierno ("el clan K está a la venta, como Krónica y Klarín").

Contenido completo en Clarin

Seguir leyendo »

Las palabras más peligrosas para buscar en la Web

¿Cuál es la palabra clave más peligrosa de buscar en los motores de búsqueda públicos hoy en día? Es “screensavers” con un riesgo máximo de 59,1 por ciento, según un informe reciente de McAfee “Los términos de búsqueda más peligrosos de la Web“.

Después de buscar 2.658 palabras claves populares únicas y frases por 413.368 direcciones URL únicas, el estudio de McAfee concluye que canciones y cualquier cosa que incluya ‘free' tienen el porcentaje más alto de riesgo de exponer a los usuarios a malware y sitios web fraudulentos. Las investigación afirma también que la categoría con el perfil más seguro son los términos relacionados con la salud.
Aquí hay más hallazgos:

• Las categorías con el peor perfil de riesgo máximo fueron las palabras claves de canciones (26,3%) y las frases que incluyen la palabra “free” (21,3%). Si un consumidor llega al sitio más riesgoso de búsqueda para una búsqueda típica de canciones, uno de cada cuatro resultados podría resultar riesgoso.

• Las categorías con el peor perfil promedio de riesgo fueron también los sitios de canciones (5,1%) y los sitios “free” (7.3%)

• Las categorías con el perfil de seguridad más alto fueron los términos relacionados con la salud y búsquedas sobre la reciente crisis económica. El riesgo máximo en una sola página de consultas sobre economía fue de 3,5% y de sólo 0,5% en todos los resultados. De forma similar, hasta la peor página de búsquedas sobre salud tuvo solo 4% de riesgo y sólo el 0,4% de riesgo en total.

No es esta la primera vez que McAfee intenta contabilizar el porcentaje de riesgo de ciertos términos de búsqueda, ya lo hizo en estudios similares en 2006 y 2007. Y mientras que el estudio intenta aumentar la atencion sobre las prácticas maliciosas empleadas por los cibercriminales, tambien tiene el potencial de dejar a mucha gente con una falsa sensación de seguridad ya que el estudio apenas ataca superficalmente un problema muy dinámico.

Con los cibercriminales anticipando la naturaleza dinámica de la Web 2.0, ellos también, se adaadaptan dinámicamente al cambiante entorno. En el contexto del blackhat SEO [NT: Search Engine Optimization - técnicas no legales de posicionamiento en motores de búsqueda], como verdadera gente de mercadeo aplican prácticas básicas de venta masiva con palabras clave, que puede ser malinterpretado como sólo el uso de ciertas palabras clave.

En realidad, el mercadeo masivo desde la perspectiva de blackhat SEO implica una gran variedad de temas que usualmente consisten en cientos de miles de noticias/videos/ y blogs reunidos y agregados en un periodo reciente de tiempo, todos operados por el mismo grupo.
Por eso, el término de búsqueda "screensavers" o cualquier frase relacionada esta entre los cientos de miles de otras partes de una única campaña de malware.

En octubre de 2008, los cibercriminales aporvechandose de blackhat SEO con fines maliciosos, comenzaron la sdistribución de palabras clave en tiempo real en Google Trends para ocupar los primeros diez resultados con cientos de Windows Live Spaces sirviendo varientes de Zlob registrados automaticamente, como falsos codec. Este enfoque dinámico no solo mina cualquie lista estática de "las palabras más peligrosas para buscar", sino tambien, trae a más cibercriminales a las practicas básicas de campañas blackhat SEO basadas en eventos que sirven malware.

Por ejemplo, en un intento de secuestrar anticipadamente el tráfico de gente que busca del gusano XSS de Twitter StalkDaily/Mikeyy , las campañas blackhat SEO que usan palabras clave relacionadas comenzaron a aparecer en motores de búsqueda públicos sirviendo software tipo scareware. al menos eso es lo que apareció primero, ya que una investigación mucho más profunda reveló que palabras clave sobre Mikeyy son parte de una granja variada blackhat SEO. El mismo grupo Ucraniano se aprovechó de los rumores de la gripe porcina y lanzó otra campaña blackhat SEO a comienzos de mes, que consiste nuevamente en palabras clave relacionadas con la gripe porcina en medio de diversos conjuntos de temas que ellos generaron en cientos de dominios participantes.

Además, teniendo en cuenta el hecho que hoy en día los sitios web legítimos y comprometidos sirven más exploits y malware que los puramente maliciosos (77% de los sitios web que tienen código malicioso son sitios legítimos; Miles de sitios legítimos vulnerados con inyección SQL sirven exploits de IE; Más de 1,5 millones de páginas afectadas por un reciente ataque de inyección SQL; Gumblar - aproximadamente 17.000 sitios comprometidos) , un índice de los sitios web comprometidos podría minar cualquier lista estática de palabras clave de búsqueda basado en los diversos contenidos que proveen.

Asi que, ¿cuál es la palabra más peligrosa para buscar en la Web? Esa es una variable con la que juegan los cibercriminales en todo momento.

Autor: Dancho Danchev
Fuente: Blogs ZDNet
Traducción de Raúl Batista para Segu-Info

Seguir leyendo »

Un pirata informático proyecta una 'porno' en un puesto de préstamo de bicicletas

Una película "porno", esa era la peculiar información que presentaba el pasado miércoles la pantalla digital de una de las torres que sirven para controlar el préstamo de bicicletas en Zamora.

La película, en color aunque con un audio muy deficiente, estuvo durante más de una hora proyectándose en la pantalla del punto de información y control ante la atónita mirada de algunos vecinos, de varios policías municipales, y del concejal de Izquierda Unida en la capital, Francisco Guarido, que acudió a la zona alertado por un vecino.

La película, asegura el concejal, se veía con una "insospechada nitidez", a pesar de tratarse de una pantalla que apenas tiene otra función que controlar el alquiler de bicicletas.

Durante tan peculiar proyección se sucedieron todo tipo de anécdotas delante del punto de alquiler de bicicletas. Se da la circunstancia que el primer agente de la Policía Municipal en llegar, alertada por el concejal de IU, fue una mujer, que apenas pudo reprimir la risa para transmitir a sus superiores la veracidad de lo denunciado por Guarido.

Después fueron llegando más agentes y vecinos. Algunos se escandalizaban, otros simplemente se quedaron a ver el "espectáculo". Entre las situaciones más hilarantes, la protagonizada por dos mujeres de avanzada edad que reconociendo en Guarido a un concejal de IU le recriminaron a gritos su condición de responsable institucional, como si hubiera sido el propio concejal el encargado de tan curiosa sesión cinematográfica.

Ante la imposibilidad de frenar la proyección, los policías municipales pusieron fin al espectáculo colocando un par de folios pegados con papel celofán sobre la pantalla.

Para Guarido, aunque la situación no pasa de ser una anécdota, sí es cierto que pone de manifiesto la fragilidad del sistema informático que controla estos puntos de préstamo de bicicletas, por lo que ha pedido que la empresa concesionaria refuerce las medidas de seguridad.

Fuente: El mundo

Seguir leyendo »

Una tómbola en Internet que nunca toca

Si recibe un mensaje de su banco en el que le ofrecen participar en una tómbola para ganar un coche último modelo o un televisor, tenga cuidado. Lo siguiente que le van a pedir es su número de cuenta, su clave de seguridad y sus datos personales. Y al final no va haber ni coche ni nada parecido. Lo más probable es que desplumen su cuenta.

Esto es lo que les ha pasado a 80 personas (32 de ellas en Madrid) desde septiembre de 2007. Los culpables: una banda de estafadores de nacionalidad rumana que consiguieron casi 600.000 euros por este método. Un total de 10 ladrones fueron detenidos por la Guardia Civil. Todos tienen entre 20 y 30 años, y algunos son expertos en diseño de páginas web o en informática.

El líder de la banda fue arrestado en La Junquera (Girona) cuando viajaba en un autobús hacia Rumania. A ese país, según las investigaciones de la Guardia Civil, había trasladado el dinero de la estafa utilizando envíos de correo. Los otros nueve integrantes fueron arrestados en Fuenlabrada y en Quintanar del Rey (Cuenca).

El truco usado por los delincuentes es el siguiente: los datos con los que la víctima se inscribe para el supuesto concurso se graban en páginas que simulan a las de los bancos y se dirigen luego, con un programa especial, a un correo electrónico de los miembros de la banda. Los ingeniosos estafadores no operaban con el método usual del phising, en el que los correos que se envían a las víctimas suplantan a las web de los bancos y les piden actualizar los datos, en esta ocasión los persuadian con rifas.

Fuentes de la investigación explicaron que esta red envió aproximadamente 10.000 correos electrónicos para intentar captar a posibles incautos. Cuando alguien caía en el fraude, guardaban la información con sus datos y esperaban a la madrugada para entrar en la página original del banco y transferir el dinero a otra cuenta. Algunas de las transacciones llegaron a los 13.000 euros.

Las transferencias las hacían desde dos ordenadores de una vivienda de Fuenlabrada a cuentas bancarias de mulas (personas que abrían una cuenta y que colaboraban con la banda). Después, no dejaban pasar ni 12 horas para que estas personas retiraran el dinero del banco. Los agentes identificaron a 60 mulas, la mayoría de origen rumano.

En otras ocasiones, con un lector y grabador de tarjetas magnéticas, clonaban la tarjeta del cliente y retiraban luego el dinero. "Casi siempre usaban cajeros que no tuvieran cámaras" para no ser identificados, explica uno de los investigadores.

Las investigaciones se iniciaron a raíz de las denuncias recibidas por la Guardia Civil en septiembre de 2007. Los agentes identificaron a un grupo de rumanos que residían en Quintanar del Rey (Cuenca), que resultaron ser las mulas que retiraban el dinero de las cuentas. Ellos les llevaron hasta los verdaderos responsables de la estafa.

Fuente: El Pais

Seguir leyendo »

Vulnerabilidad en Orange.fr expone los datos de 245,000 usuarios

La gente de HackersBlog ha publicado una breve entrada en la que comentan que el sitio web de la operadora móvil francesa, Orange.fr, tiene una gravísima vulnerabilidad de inyección SQL que deja expuesto los datos de más de 245,000 cuentas asociados al sitio. Entre los datos, se incluye el nombre y apellido de la persona registrada, correo electrónico, y su contraseña (sí, en texto plano).

El gran problema es que muchos usuarios suelen utilizar la misma contraseña para todos los servicios. Y en este caso, queda a la vista de cualquier atacante la contraseña y el correo electrónico de miles de usuarios. Muy grave.

El equipo de HackersBlogs ya ha dado aviso sobre este problema a la operadora, sin embargo, de momento no han recibido ninguna respuesta. Esperemos que los de Orange estén muy ocupados mejorando la seguridad de su sitio web.

Fuente: Open Security y Counter Measures

Seguir leyendo »

Las sencillas herramientas para mantener el control parental en Internet

Nota de Segu-Info: si desea conocer más detalles de estas herramientas ingrese a Segu-Kids.

Ver qué sitios visitan, con quiénes "chatean" y cuántas horas pasan frente al computador es fácil gracias a ciertos programas que permiten saber lo que hacen los hijos aún estando lejos de ellos.

Muchas veces se ha dicho que la única forma para proteger a los niños de los peligros de Internet (o de quienes pueden contactarlos por esta vía), es saber qué es lo que hacen y con quién hablan. Pero estar encima de ellos físicamente es difícil y para eso, la misma tecnología tiene la solución.

En Internet se pueden encontrar muchos programas de control parental que ayudan a los padres a saber qué es lo que están haciendo mientras están conectados, y los más comunes, dan acceso sólo a sitios determinados. Basta poner “control parental” en un buscador para encontrar cientos de programas que ofrecen diferentes soluciones.

Uno de los programas más utilizados por los niños y jóvenes en Chile para "chatear" (conversar en línea), es el MSN messenger de Microsoft. Según estadísticas de la empresa, en nuestro país hay 6 millones de usuarios activos de este programa, que tienen en promedio 138 contactos.

La solución ideada por Microsoft es Windows Live protección infantil, un programa que se opera en línea y permite monitorear en detalle la actividad de sus hijos, saber quiénes son sus contactos de messenger, aceptarlos, o eliminarlos, todo de forma online, lo que es la gran ventaja de este sistema, ya que registra los movimientos de la cuenta asociada aún cuando esté en computadores desconocidos, como los de un cyber-café.

El padre primero necesita tener una cuenta de messenger, y tiene que asociar o crear la cuenta de su hijo a partir de la suya, y así puede acceder a través de su propia cuenta, a una completa información de la actividad de su hijo en línea.

Gracias al programa se pueden obtener informes de actividad, mostrando todos los sitios que visitaron o intentaron visitar; se puede filtrar el contenido al que acceden, con un filtro personalizado para cada niño; y también se pueden administrar los contactos que el niño acepta en su messenger. El padre tiene el poder de aceptar, rechazar o eliminar a quienes no le parezcan adecuados para hablar online con su hijo.

De todas formas, es necesario tener acceso a la clave del hijo, por lo que los ejecutivos de Microsoft explican que está indicado para los niños que recién empiezan en este mundo, ya que es difícil que un adolescente de 17 años revele su clave para que le controlen la vida online.

Este programa se puede descargar de forma gratuita desde la página de Windows Live: http://download.live.com/familysafety

Manteniendo el control

Apple por su parte, también tiene un sistema similar. En su sistema operativo Mac OS X Leopard, viene incorporada una función de control parental. Si el niño posee un computador Apple con este sistema, el padre lo puede configurar para establecer filtros a ciertos sitios y contenidos, con palabras prohibidas y listas de páginas prohibidas o permitidas.

También tiene un sistema que limita el tiempo del niño frente al computador, con horarios determinados y un máximo de minutos que puede permanecer al día, diferenciando si es fin de semana o día hábil.

Otra característica es la de un completo registro de la actividad de los hijos, que incluye las páginas que visitaron, las aplicaciones que usaron y las personas con las que chatearon. Acceder a toda esta información es posible desde cualquier otro computador Mac que esté en red.

La empresa de seguridad informática McAfee anunció también que dentro de los próximos meses estará a la venta su software de protección familiar "McAfee Family Protection", que va en la misma dirección y permite entre otras cosas aprobar una lista de contactos de correo electrónico, filtrar categorías de contenidos y palabras clave específicas, establecer límites de tiempo y controlar la información personal que los usuarios publican en sitios de redes sociales.

Fuente: La Segunda

Seguir leyendo »

Microsoft presenta Bing, su nuevo buscador en Internet

La apuesta para competir con Google está diseñada con un enfoque en la experiencia del usuario y herramientas intuitivas. Ver video

Microsoft presentó hoy Bing.com, un nuevo motor de búsqueda para una mejor toma de decisiones, como primer paso hacia una nueva experiencia que permite tomar decisiones más organizadas a partir de la organización inteligente de los altos volúmenes de información disponibles en la Web.

Contenido completo en Infobae

Seguir leyendo »

El CISO dentro de la organización de la seguridad: perfil y retos

Disponer de un buen equipo para dar forma a la estrategia de seguridad de la compañía es donde el director de seguridad de la información ha de concentrar gran parte de sus esfuerzos. Pero ¿cómo dar con el mejor equipo?.

La crisis actual ha provocado que se empiecen a revisar tendencias en materia de organización de la seguridad, así como los equipos que dan forma a esa estrategia en la que la información se erige como el elemento más preciado y activo tanto para las empresas como para las instituciones. La figura del CISO (Chief Information Security Officer) cobra cada vez más fuerza, pero todavía queda pendiente definir con precisión cuáles han de ser sus funciones, retos o habilidades como parte del engranaje de la organización de la seguridad.

ISMS Forum Spain, asociación española para el fomento de la seguridad de la información, ha reunido en Madrid, en su V Jornada Internacional, a unos 250 profesionales del sector para analizar cómo las empresas del siglo XXI afrontan la organización de la seguridad de la información, elemento clave junto a un buen gobierno, junto a la gestión del riesgo y el cumplimiento normativo.

Construir un equipo correcto en materia de seguridad de la información es fundamental en estos momentos, tal y como ha señalado Ron Collette, autor de los libros ‘CISO Handbook’ y ‘CISO Soft Skills’, pero no es sencillo crear un patrón o perfil único que se adapte a cualquier organización. Existen varios factores influyentes a tener en cuenta a la hora de poner en marcha el equipo de trabajo, como el psicológico, el sociológico, el entorno y la tradición, pero no siempre son los indicadores más apropiados al tomar decisiones.

Collette ha resumido de forma muy simple los pasos que el CISO debe dar para formar un equipo que pueda asegurar el logro de la excelencia en su cometido. En primer lugar, hay que identificar el arquetipo de organización a la que se pertenece y definir los elementos que la componen. De ahí, es necesario concretar cuáles son los objetivos de seguridad que operaran en el programa que pongamos en marcha, bien sea operacional o no-operacional; centralizado o descentralizado; con áreas de responsabilidad lógica, física o de ambas; consultiva o autoritaria; y proactiva o reactiva.

Además, hay que tener en cuenta que existen diferentes estereotipos de profesionales de la seguridad a la hora de buscar el personal adecuado, según la postura que adopten frente a los problemas que surjan en la empresa, como el ‘arquitecto’ el ‘policía’, el ‘auditor’, el ‘hacker’ o el ‘burócrata’ y cada uno de estos roles está asociado a distintos atributos.

Las aptitudes de cada personalidad a la hora de trabajar pueden llegar ser más importantes que habilidades adquiridas a través de la formación, dependiendo del entorno de trabajo, aclara Collette, y muchas veces se pasan por alto.

Fuente: TechWeek

Seguir leyendo »

La seguridad va de mal en peor

Mercè Molist
"Hay millones de delitos informáticos que no se denuncian y los que sí, sólo el 9% acaban en detenciones", afirmó la investigadora Erin Kenneally en la reunión anual del Anti Phishing Working Group (APWG), celebrada la semana pasada en Barcelona. Y eso no es nada según el asesor de las Naciones Unidas, Raoul Chiesa: "Por suerte los terroristas aún no saben atacar las infraestructuras críticas, que están desprotegidas en todo el mundo".

El pesimismo y las descripciones apocalípticas sobre la inseguridad en Internet dominaron la reunión del APWG, que congregó a expertos internacionales de la industria, las universidades y las fuerzas de la ley. Una representante del Federal Bureau of Investigation (FBI), Donna Peterson, aseguró: "Estamos desbordados, hay demasiada información por investigar y no podemos ir a más velocidad. Han robado mi propia identidad tres veces en el pasado año".

El robo de identidad, sean contraseñas o datos bancarios, es la estrella de los fraudes en Internet que, según la empresa S21sec, se han doblado en un año. El 62% son casos de "phishing", que se está cebando en el Sistema de Nombres de Dominio: los criminales registran o secuestran dominios y los dan a ordenadores infectados bajo su control, que actúan como señuelo para que los incautos introduzcan datos bancarios. Al cambiar velozmente el dominio de una máquina a otra, dificultan mucho su localización.

Esta es una de las tretas que usa el gusano Conficker, el más mencionado en la reunión como ejemplo del auge del código malicioso, que dobla sus cifras cada año y sobrepasa en ritmo de crecimiento al "phishing". Panda Security detectó 20 millones de nuevos virus en 2008. Cambian muy rápido, tanto en su forma como en los mensajes de correo en los que viajan, las páginas web en las que se esconden y las direcciones IP de las mismas. Se necesitan meses para descifrar su código, cuando antes se hacía en días.

"Sólo hay que ver los millones de números de tarjetas de crédito a la venta en la red para darse cuenta de que afecta a mucha gente", afirmó Ero Carrera, de Hispasec Sistemas. Entre 30 y 40 grupos organizados que actúan como mafias dominan este mercado. La más conocida y perseguida, la ruso-ucraniana Russian Business Network, posiblemente autora de Conficker.

Hasta ahora se creía que las mafias tradicionales no estaban en el cibercrimen, pero Shinichi Tankyo, de Hitachi, desmontó este mito al afirmar que, a finales de 2008, fueron detenidos en Japón miembros de la Yakuza por una estafa de "phishing". "Les cogimos porque lo hicieron bastante mal, no estaban preparados, pero cada vez vemos más casos de crimen electrónico relacionados con la Yakuza", afirmó Tankyo.

El asesor de las Naciones Unidas Raoul Chiesa añadió otro vector: los terroristas. "Las infraestructuras nacionales críticas están desprotegidas en todo el mundo y los gobiernos no lo entienden. El mes pasado el jefe de ciberterrorismo norteamericano se quejaba de que no podía hacer su trabajo porque nadie le escucha", explicó Chiesa a "Ciberpaís".

Según el asesor, "los terroristas aún no se han dado cuenta del potencial de dejar a una ciudad sin agua o electricidad". Ejemplificó el peligro con acontecimientos recientes como unos paneles luminosos en las carreteras de Texas, que alguien manipuló para que emitiesen el mensaje "Zombies más adelante"; el cambio del trayecto de un tranvía en Polonia, hecho por un niño de 16 años, o la infección de aparatos médicos en hospitales de San Francisco por el gusano Conficker.

Chiesa seguró: "China ataca regularmente otros gobiernos" y le dio la razón el investigador Shishir Nagaraja, quien denunció los frecuentes ataques chinos contra la Oficina del Dalai Lama. El más crítico fue a finales de 2008: "Secuestraron un mensaje de correo legítimo que alguien mandaba a la oficina, pusieron un virus en el adjunto y lo reenviaron a quien iba dirigido, infectando así nuestras máquinas y robando información confidencial".

Nagaraja se quejó de que los gobiernos pequeños y ONGs no pueden defenderse ante estas amenazas porque "el coste no es asumible, necesitamos defensas más baratas. Lo que nos proponen las empresas es inútil. Sólo nos queda entrenar bien a los administradores y poner toda la información secreta "offline"".

¿HAY DEFENSA POSIBLE?

Antes, defender una red informática se basaba en proteger su perímetro frente a Internet, con la ayuda de cortafuegos, detectores de intrusos o antivirus. Hoy, los expertos coinciden en que el uso de aparatos móviles y sistemas interconectados ha hecho desaparecer el perímetro y sólo queda defender globalmente Internet.

Según Dean Turner, de Symantec, la solución sería modificar el comportamiento de los internautas: "Necesitamos escritorios seguros donde los usuarios no puedan equivocarse, controlar qué tipo de información envían, limitar sus movimientos y formarlos". En este sentido, Leonardo Amor, de Telefónica, recordó que su empresa ha bloqueado más de 250.000 ADSLs españoles por mandar spam y virus.

Ero Carrera, de Hispasec Sistemas, propuso modificaciones técnicas: "No hay que confiar en nada que venga de la web y usar cajas de arena o virtualización para todo lo que entre, de forma que no pueda afectar a las aplicaciones del sistema". Carrera recordó que "hay muy buenos ingenieros en países donde no hay industria y el cibercrimen es la forma de ganar dinero con lo que les gusta".

Para Toralv Dirro, de McAfee, "hay tanto dinero en juego que hay mil razones para pensar que seguirán. La solución sería que no fuese rentable, ¿pero cómo? Van a mucho más velocidad que nosotros, necesitamos la colaboración de gobiernos, fuerzas de la ley y fabricantes, ir todos a una".

La idea de un asalto coordinado contra el cibercrimen flotó a lo largo de toda la reunión, haciéndose más fuerte cuando hablaron los representantes de las fuerzas de las ley, quienes pidieron un acercamiento también de investigadores privados y públicos. Incluso hubo quien propuso la creación de brigadas especiales dedicadas a patrullar la web.

La mayoría de representantes de la ley denunciaron que tanto el intercambio de información entre ellos como las fórmulas para denunciar en línea son inefectivas y deben estandarizarse. Les cortó Donna Peterson, del FBI, al decir: "No poder compartir datos entre países es un impedimento para las investigaciones, pero es también una forma de proteger tus datos".

Copyright 2009 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Fuente: Mercè Molist

Seguir leyendo »

Falla de confidencialidad por aparato de traducción simultánea

Los casos de fallas en la confidencialidad de la información, debido al inapropiado manejo de tecnología, a veces exceden a las TI tradicionales.

El reciente caso de una “fuga” de información de una conferencia a puertas cerradas que tuvo el presidente de Venezuela con su par Brasileño y una delegación de empresarios, se debió al inapropiado manejo de los auriculares inalámbricos y micrófonos que se encontraban funcionando y distribuidos antes de tiempo:

...los aparatos de traducción simultánea que comenzaron a ser distribuidos para la
ceremonia final pasaron a transmitir la reunión reservada entre las dos
delegaciones.

Referencias:
http://www.perfil.com/contenidos/2009/05/26/noticia_0036.html
http://www.elretratodehoy.com.ar/ver_nota.asp?cod=4737

Raúl de la redacción de Segu-info

Seguir leyendo »

Los Casinos y Bingos apuestan a la tecnología RFID, ¿es una apuesta segura?

Los casinos en Estados Unidos y otras partes del mundo están implementando cada vez más los sistemas de monitoreo y seguimiento basado en RFID oculto dentro de las fichas, monedas y cartas de póker, con fines de prevención y seguridad.

Este sistema, les permitiría en principio, poder seguir los movimientos de las fichas, monedas y cartas de póker dentro de sus Salas de Juegos, permitiéndoles a los Operadores, saber que mesa o juego está siendo más utilizado en ese momento, o bien evitar o detectar a tiempo, la aparición de “Fichas Falsas, Monedas Falsas y/o Cartas de Póker Falsas” en sus salas, de manera ágil y precisa.

La detección y seguimiento por medio de dispositivos RFID no es para nada nueva en el mundo de la tecnología, pero tal vez si lo sea aplicada al Mundo de los Casinos y Bingos.

Así como este avance es aplicado cada vez más en el mundo del Gambling, también existen muchas formas de Hackear esta tecnología para utilizarla como medio de engaño o fraude de Ultima Generación.

Veamos un caso interesante

Los chips de las etiquetas rfid podrían portar virus, según un estudio:
Los chips podrían amenazar la privacidad y son vulnerables a los virus informáticos, dijeron científicos de una universidad holandesa.
Investigadores de la Free University de Ámsterdam han creado un chip de identidad por radio frecuencia (RFID) infectado con un virus para probar que los sistemas de RFID son vulnerables a pesar de la extremadamente baja capacidad de memoria de estos baratos chips.

El problema es que una etiqueta de RFID infectada, que se lee cuando pasa a través de un escáner o detector, pueda alterar la base de datos que procesa la información de las memorias, afirma el estudio desarrollado por Melanie Rieback, Bruno Crispo y Andrew Tanenbaum.

"Cualquiera que trabaje en la tecnología RFID ha asumido tácitamente que el mero acto de escanear una etiqueta RFID no puede modificar el software del programa de respaldo y por supuesto tampoco de una forma maliciosa. Desafortunadamente, están equivocados", declararon los científicos a un periódico.

"Una etiqueta RFID puede ser infectada con un virus y este virus puede infectar la base de datos de respaldo usada por el software RFID. Desde aquí se puede expandir a otras etiquetas RFID", declararon.

Como resultado, es posible que los criminales pudieran usar una etiqueta de RFID infectada para alterar un sistema de facturación o conteo de créditos, etc. con consecuencias potencialmente devastadoras.

La misma tecnología podría usarse para inflingir daños en las bases de datos que usan los Casinos o Bingos.

"Esto es una llamada de atención. Pedimos a la industria de RFID que diseñen sistemas que sean seguros, las posibilidades de los buenos usos de los RFID son impresionantes... y los malos usos les pisan los talones ", dijo Tanenbaum en una entrevista telefónica.

Fuente: Zacarias Leone - www.zlssc.com

Seguir leyendo »

Juegos de seguridad en línea

El sitio AlertaenLínea.gov ofrece recomendaciones prácticas y juegos entre otras cosas para ayudarlo a protegerse contra el fraude en el Internet, mantener segura su computadora, y proteger su información personal.

¿Se siente preparado para un desafío? Pruebe sus conocimientos cibernéticos participando de una (o todas) las pruebas interactivas sobre spam, programas espías, phishing, P2P, etc.? Ingresar y jugar

Fuente: Cryptex

Seguir leyendo »

Desmantelan la ramificación española de una organización criminal rusa dedicada al phising

Capturaban datos bancarios y contraseñas a través de Internet y transferían los fondos de las víctimas a cuentas abiertas en entidades bancarias españolas, para posteriormente enviarlos físicamente a Moscú o San Petersburgo.

Han sido detenidas diez personas, entre las que se encuentran los responsables en nuestro país, e imputadas otras dos.

La trama actuaba a nivel global desde varios dominios de la Red y emitía falsos contratos de trabajo para captar colaboradores

Agentes de la Policía Nacional han desarticulado la vertiente en España de una organización criminal rusa dedicada al “phising”. Capturaban datos bancarios y contraseñas a través de Internet y transferían los fondos de las víctimas para enviarlos físicamente a Moscú o San Petersburgo. La trama actuaba a nivel global desde varios dominios de la Red y emitía falsos contratos de trabajo para captar colaboradores. Han sido detenidas diez personas, entre las que se encuentran los responsables en nuestro país, e imputadas otras dos. Se les imputa un total de 196 delitos entre estafas, blanqueo de capitales, y falsedades documentales, que habrían reportado 350.000 euros.

Envíos masivos de correos electrónicos

La investigación se inició en el verano del 2007, al tener conocimiento la Policía Nacional de la existencia en Internet de una campaña de correos masivos (SPAM) que incorporaban mensajes engañosos. Bajo la apariencia de ser una entidad bancaria, la organización se dirigía a los clientes de esa entidad para devolverles un capital cobrado injustamente. Su verdadero propósito era recabar información sobre datos bancarios, claves y contraseñas de los usuarios. Una vez obtenida esta información realizaban transferencias a las cuentas de sus colaboradores en todo el mundo. Los trasvases de dinero se realizaban generalmente de noche para evitar que los titulares de las cuentas se percatasen de estos movimientos.

Los agentes analizaron ese flujo de e-mails y las pesquisas posteriores permitieron desenmascarar las actividades ilícitas de esta organización delictiva que se asentaba en Rusia. Entre sus miembros se encontraban personas con elevados conocimientos sobre la utilización del “ciberespacio”, programas y aplicaciones informáticas.El modus operandi se dividía en diferentes etapas:

Captura de información on-line

En primer lugar la organización usaba programas para infectar ordenadores o espiar la línea de acceso a Internet, así conseguían datos sobre usuarios de banca. Entonces enviaban a estos usuarios correos electrónicos que aparentaban proceder de diversas entidades bancarias o financieras, e imitaban muy fielmente el diseño (logotipo, firma...) utilizado por la entidad real (Bank Web-Spoofing). En estos mensajes se argüían motivos como labores de seguridad, mantenimiento, mejora en el servicio, confirmación de identidad o cualquier otro, para solicitar los datos de la cuenta. Otra vía para obtener las claves era el uso de software espía (troyanos con Sniffers) para captar la información confidencial directamente cuando el cliente se conectaba a su banca online.

Máquinas zombis para acceder a las cuentas

Al objeto de no ser identificados mediante el rastro dejado en las conexiones para retirar el dinero de las cuentas, los miembros de la organización utilizaban ordenadores bien de establecimientos comerciales, bien otros ya infectados por los troyanos distribuidos. Esto dificultaba su localización, enmascaraba su rastro en Internet.

Reclutamiento de blanqueadores de capitales

Una vez disponía de las claves y contraseñas de acceso a las cuentas online de las víctimas, la organización necesitaba colaboradores o “muleros”, para que abrieran cuentas o para que en las suyas propias recibieran el dinero procedente de las transferencias ilícitas.

Estos eran captados a través de Internet con ofertas de trabajo y cuantiosas ganancias (alrededor del 10% de lo blanqueado). Su labor era simplemente abrir una cuenta y remitir físicamente los fondos que se les transfirieran a través de empresas de envío de dinero hasta Rusia, principalmente a Moscú y San Petesburgo, donde el dinero iba a parar a los responsables de la organización a nivel internacional. Para dar una apariencia de legalidad simulaban pertenecer a empresas multinacionales financieras, e incluso expedían falsos contratos de trabajo con el distintivo de la Unión Europea.

En otras ocasiones, integrantes de la organización viajaban a España por tiempo limitado, con el único fin de abrir cuentas bancarias receptoras de las transferencias, extraer el dinero, y regresar a su país. Se hospedaban en establecimientos de hostelería y viajaban con sus pasaportes del país de origen y un visado de estancia limitado, lo que dificultaba su localización. También falsificaban documentación para disponer de más filiaciones y abrir más cuentas con diferentes nombres.

Operativo coordinado en varias provincias

El disperso ámbito geográfico de las actividades ilícitas hizo que el operativo policial se extendiera a varias provincias donde se han llevado a cabo las detenciones. Los dos presuntos responsables de la organización en España fueron identificados y localizados en Oliva (Valencia), donde residían. El resto fueron arrestados en Barcelona (5), Cuenca (1) y Ciudad Real (2).

La operación ha sido desarrollada por agentes de la Brigada de Investigación Tecnológica de la Comisaría General de Policía Judicial, Sección de Investigaciones Tecnológicas de la UDEV de Cataluña, Grupos de delitos tecnológicos de UDEV Valencia y UDEV Las Palmas, Grupos de Policía Judicial de la Comisaría Provincial de Ciudad Real y de la Comisaría de Usera-Villaverde de Madrid.

Fuente: Policia Española

Seguir leyendo »

Firma digital en Argentina: un nuevo escenario

Por Alfredo Rodríguez
Channel Manager LATAM de Macroseguridad.org
ESPECIAL PARA GOBIERNO DIGITAL

La Ley de Firma Digital en Argentina ha atravezado un largo camino con idas y vueltas. Recién en este 2009 se ha comenzado a transitar por la Ley propiamente dicha, con todo lo que implica su aplicación. Al incorporarse las primeras Autoridades Certificantes operadas por los certificadores licenciados nacionales, todo el escenario ha cambiado literalmente. Las perspectivas, también.

Para hacer una pequeña introducción sobre la Ley de Firma Digital en Argentina (que comenzó allá por el año 1999) diré que ha sido un largo camino con idas y vueltas. Pero recién en este 2009 se ha comenzado a transitar por la Ley propiamente dicha con todo lo que implica su aplicación.

¿Y porque digo esto, acaso no teníamos la Ley 25.506 de Firma Digital?

Si se tenía, pero no estaba reglamentada. Lo que dice en la misma respecto de la equiparación de la firma holográfica con la Firma Digital, hasta el año pasado no existía más que en la enunciación dentro de la ley, hoy esto cambio literalmente al incorporar las primeras Autoridades Certificantes operadas por los certificadores licenciados nacionales.

Cabe aclarar que teníamos y seguimos teniendo “Firma Electrónica”, lo que cambia respecto de la Firma Digital es la inversión de la carga probatoria, o sea dicho de otro modo, si yo firmo digitalmente un documento (ej. un contrato) y luego desconozco la firma del mismo, la persona, empresa, etc, a la que yo le firme ese documento es quien tendrá que probar que el certificado digital usado en esa firma es mío. En el caso de la Firma Digital esto no es necesario, si yo firmé un documento electrónico, PDF, etc., con un Certificado emitido por una Autoridad Certificante operada por un certificador licenciado (en este caso por la ONTI), indiscutiblemente ese certificado es mío, la otra parte no tiene que demostrar absolutamente nada, eliminando toda posibilidad de “no repudio”.

El escenario de hoy al existir dos Autoridades Certificantes operadas por los certificadores licenciados nacionales por la ONTI (Oficina Nacional de Tecnologías Informáticas), como lo son AFIP y ANSES, les da a ambas organizaciones la potestad de emitir certificados digitales con peso de ley, de modo tal que aquel que firme con estos certificados será exactamente lo mismo que si lo hubiera firmado holgráficamente.

Este es el nuevo escenario que se presenta en Argentina, y hasta donde sabemos en una primera etapa se aplicara firma digital en la documentación y procesos internos y que luego intercambien funcionarios de gobierno, a partir de ese punto van a ir trasladando esta práctica a la parte privada. Cabe aclarar que Brasil, Colombia, Chile, disponen de hace unos años de esta tecnología, y se han sumado Ecuador, Uruguay, Perú, y Venezuela.

En países donde desde hace tiempo tienen aplicación de firma digital, el ciudadano común firma sus transacciones comerciales a través de la WEB, realiza transferencias bancarias, firma documentos, los notarios firman las escrituras de propietarios por la venta o compra de inmuebles, jueces que firman documentos desde su casa (por ej: sentencias), no obligando a que este presente en el juzgado al momento de firmar la misma, y así podríamos darnos cuenta que todos los procesos físicos que realizamos a diario también pueden ser realizados en forma virtual, con el consiguiente ahorro de papel por todos aquellos tramites que nos solicitan su presentación con fotocopias o impresiones adicionales, mismo proceso o peor aun entre los mismos organismos de gobierno. Como ejemplo, miremos el camino de un expediente judicial con fojas y fojas que lo componen, sus correspondientes fotocopias que lo engrosan aun mas, las notificaciones enviando a todos aquellos intervinientes en la causa, en fin el ahorro de espacio físico en el almacenamiento de la información, ahorro físico en inmuebles propios, alquileres de depósitos o lugares para guardar esa información en papel, con el cuidado del medio ambiente que involucra el uso limitado del mismo y obviamente, reducción en los espacios publicos en aquellos lugares que hoy deben atender con diferentes tramites a los ciudadanos.

¿Si la Firma Digital es tan práctica y aparentemente con tantos beneficios porque no se implemento antes?

Evidentemente la razón fundamental es que toda esta propuesta va de la mano de una infraestructura tecnológica muy importante, y de políticas de seguridad acordes a la magnitud de este proyecto, que no siempre están disponibles, sea por el momento político oportuno o por los fondos a destinar para llevarlo a cabo.

Por ejemplo la conectividad es un factor importante, ya que como ejemplo, si nuestros juzgados no disponen de Internet difícilmente podamos enviar un mail firmado digitalmente, o adjuntar un archivo firmado de una causa.

Si bien en este momento en Argentina existen en diferentes instituciones de gobierno aplicaciones en producción haciendo uso de la Firma Digital, desde firma de expedientes judiciales, notificación electrónica, correos, documentos electrónicos de intercambio entre funcionarios, memorándum, etc., las mismas están en la mayoría de los casos sin seguridad.

El elemento de seguridad es vital en todo tipo de proyecto pero en este caso de uso de Firma Digital se deben extremar aun más las medidas de seguridad, ya que estamos hablando de la identidad digital de una persona, en definitiva de su DNI virtual para que se entienda bien.

Por eso es que al momento de almacenar ese certificado digital (Firma Digital) se debe extremar todas las medidas. Hubo países que en sus inicios de uso de esta tecnología, guardaban su firma digital (certificado Digital) en un diskette, CD, Pendrive, o mismo en la PC o notebook, Argentina no es la excepción a la regla.

Estamos en presencia de uno de los errores más graves y comunes que se comete y que puede hacer peligrar el uso de este tipo de tecnología.

Porque digo esto y a su vez realizo una pregunta: ¿Ud. dejaría sobre su escritorio un cheque firmado en blanco?

Estoy seguro de que no, porque en este mundo físico, conocemos cuales serian las consecuencias que nos traería eso, pero ¿en un mundo virtual seria lo mismo?

Exactamente igual, con una ley de firma digital que me dice que tengo las mismas responsabilidades que con la firma manuscrita como podría dejar mi “firma” “digital” en un diskette, CD o pendrive… donde cualquiera que lo posea será el verdadero dueño de la información contenida en ese dispositivo, y con solo conectarlo funciona, y esa persona NO AUTORIZADA puede firmar en mi nombre.

Como se ve claramente es grave no tener control sobre esta situación, y por esta razón es que para tener seguridad en este mundo virtual, aparecen las smartcards, los Token como ePass token USB, y los BioPass, justamente para que estos dispositivos criptográficos tan complejos en su infraestructura, y a su vez tan sencillos de integrar y de usar, brinden la seguridad de que cualquier persona AUTORIZADA pueda disponer del uso de su propia firma.

Las perspectivas de lo expuesto son muy buenas y casi me atrevo a decir que este es un camino únicamente de “ida”, esto fundamentado en las exigencias propias al momento de intercambio de información con otros países (sobre todo en Latino America), por el problema del excesivo uso de papel, por el ahorro en tiempos de ejecución de los procesos internos y externos, correos físicos para enviar documentación, cartas, intimaciones, todas con su correspondiente costo, espacios físicos, etc.

Por eso el poner en marcha y usar esta infraestructura tecnológica nos depara un futuro más que interesante, eso si, fundamental cuidar la seguridad. Si esta se ve comprometida el sistema pierde credibilidad y peligra su éxito.

En Argentina desde los últimos dos años han aparecido aplicaciones diversas en PKI (según sus siglas en ingles Public Key Infrastructure ) traducido es el uso de certificados digitales, para utilizarse en procesos como “timbrado” (hoy contamos con soluciones de Timbre digital), Firma digital de cualquier tipo de documentos electrónicos, como ser un Word, Excel, txt, archivos de imágenes, etc., lo cual nos permite interactuar en un mundo virtual con validación cierta de aquello que se realiza vía Internet o por desarrollos de software, CRMs, etc.

El lograr incorporar el uso de certificados digitales a los procesos nos beneficiará en la comodidad de usar nuestro tiempo sin malgastarlo en largas filas a la hora de presentar una declaración jurada, o pagar un impuesto que vence hoy, o para la autorización de un paciente que debe ser atendido en un lugar donde su historia clínica no está físicamente.

Ante nosotros se abre un sin fin de posibilidades de usos pero reitero, si ese certificado - que nos permite hacer tantas cosas con Firma digital, como autenticar usuarios, tanto en un ingreso lógico a la red interna , como a un aplicativo Web, a un sitio (homebanking), o a una VPN - no esta almacenado en forma segura, nuestra infraestructura PKI peligra, dicho de otro modo, nuestra identidad digital puede ser vulnerada, mal usada, experimentar la usurpación de identidad también conocida como identidad robada para vaya a saber que fin, phishing, etc.

Como se desprende de lo antes dicho, así como el adelanto tecnológico nos permite hacer muchas cosas que hasta hace poco podían ser impensadas, este nuevo camino debe ser transitado con seguridad, y como el hilo se corta por lo más delgado, aquellos que estamos en sistemas debemos tener la responsabilidad de proteger a los usuarios, sean ciudadanos comunes o funcionarios de gobierno, de modo tal que sepan que su identidad digital esta a buen resguardo, en definitiva en una smartcard, un token como ePass token USB o la solución mas completa en seguridad del mercado como lo es el BioPass 3000.

Estos dispositivos (ePass) tienen gran aceptación en toda la región ya que sus instaladores están en castellano, tienen licenciamiento perpetuo pensado justamente para grandes cantidades de usuarios, lo cual baja el ROI de cualquier proyecto. Con la incorporación de este tipo de dispositivos en el uso y aplicación de la Firma Digital, aquellos que quieran robar la identidad digital de una persona no lo podrán hacer, de otro modo si no se aplica esta tecnología hoy disponible y accesible, (al menos en el caso de ePass), nadie desde los administradores de sistemas, o responsables de los mismos, podrán garantizar nada.

Fuente: Gobierno Digital

Seguir leyendo »

La desaparición de datos íntimos pone en jaque al Ejército británico

Relaciones extra matrimoniales, consumo de drogas o el uso de prostitutas son algunos de los secretos militares que ha puesto en alerta a la Fuerza Aérea Real británica (RAF, en sus siglas en inglés). Según publica el diario 'The Guardian', tres discos duros con esta 'delicada' información desaparecieron el pasado mes de septiembre y ahora se teme que los 500 militares afectados puedan sufrir algún tipo de chantaje.

La desparación se produjo en el cuartel de la RAF de Innsworth, en Gloucestershire. Los archivos que fueron sustraidos no estaban encriptados por lo que es relativamente fácil acceder a la información. La RAF informó del robo dos semanas después, aunque en aquella ocasión sólo explicaron que la información sustraída era detalles y direcciones de 50.000 militares. Ahora se sabe que la información iba mucho más allá que direcciones y nombres.

La gravedad de la posible pérdida o robo y la naturaleza de la información se han conocido gracias a un memorándum interno obtenido por un ex oficial.

En la nota se aclara que la información sustraída contiene detalles sobre las condenas penales, las investigaciones, las deudas, los informes médicos, el uso de drogas, de prostitutas... de cerca de 500 soldados pertenecientes a la RAF.

"Estos datos proporcionan una excelente lista de objetivos para los servicios de inteligencia extranjeros, los periodistas de investigación y chantajistas", añade el comunicado de Defensa.

Además, explican que si la información relativa a la vida privada del personal de la RAF, "sobre todo de algunos oficiales superiores", se convierte en dominio público, "la reputación del servicio se vea empañada".

El autor del memorándum, un comandante de la Fuerza Aérea no identificado, expresaba en éste su preocupación ante la posibilidad de que, al no revelar el contenido exacto de la información desaparecida, pudiese acusarse eventualmente a la Royal Air Force de "encubrimiento".

Según el periódico británico 'Mail on Sunday' la información robada implica a pilotos, personal de tierra, técnicos de mantenimiento y funcionarios públicos. Al parecer, el Ministerio de Defensa no anunció en un primer momento a los afectados del robo, aunque ahora todos los implicados ya son conscientes de que datos muy personales de sus vidas están desaparecidos.

Fuente: El Mundo

Seguir leyendo »

Métricas de seguridad del Center for Internet Security

he Center for Internet Security (CIS) tiene diversos proyectos en marcha. Uno de ellos es la definición de unas métricas de seguridad reutilizables por organizaciones y particulares, ya que la obtención del documento Consensus Metric Definitions, que recoge la definición de las mismas, es gratuita.

Un poco de teoría sobre métricas de seguridad ...

Que nadie se asuste con las métricas, ya que son de lo más sencillas de comprender. La dificultad cuando se emplean métricas de seguridad estriba en saber qué vamos a medir, cómo y para qué lo queremos someter a medición. Las métricas, en su amplia mayoría, son muy simples, pero que nadie se frote las manos: son herramientas que requieren, además de su definición inicial, la objetivación necesaria para poder extraer de ellas las pautas de actuación precisas y adecuadas.

Un ejemplo clásico dentro de la seguridad aplicativa, presente en el Consensus Metric Definitions, es el porcentaje de aplicaciones críticas (PAC), y es tan simple de obtener como calcular el porcentaje que representan, dentro del total de aplicaciones, aquellas que se consideran críticas para el negocio.

PAC = (Número de aplicaciones críticas / Total aplicaciones ) * 100

Muchos dirán que vaya simpleza. Nada más lejos de la realidad:

• ¿Qué convierte a una aplicación en crítica?
• ¿Qué objetivación asociaremos a los distintos porcentajes obtenidos?
• ¿Qué decisiones deben emanar de los porcentajes?
• ¿Qué programas específicos de seguridad serán de aplicación en cada banda porcentual?

Métricas: representaciones sencillas de estrategias complejas

Al final, como podéis imaginar, esta es una métrica sobre la que no hay datos experimentales suficientes como para obtener un consenso pleno sobre los objetivos que deben derivar del porcentaje de aplicaciones críticas. Preguntas como las anteriores pueden surgir cientos, y finalmente, lo más aconsejable es que se actúe en función a la estrategia de TI de la empresa. Lo que inicialmente parece muy simple (un porcentaje) finalmente tendrá una traducción estratégica con un componente de dificultad notorio, ya que lo que es crítico o no para el negocio, y cómo se espera se actúe en estos casos, es algo muy subjetivo y variable.

Ejemplos de lo anterior se nos pueden ocurrir muchos. Para una notaría, una aplicación en línea de gestión documental puede ser crítica, ya que su negocio depende directamente de la documentación recibida y generada, que además está sujeta a una estricta legislación, mientras que, por ejemplo, la gestión documental que los usuarios de Terra Giga puedan realizar no parece ser el alma mater de Terra, y aunque es importante y relevante custodiar adecuadamente los documentos de los usuarios, esta aplicación, probablemente, no será crítica a la hora de sustentar las operaciones del citado proveedor.

Center for Internet Security Consensus Metric Definitions

En el documento Consensus Metric Definitions encontraréis métricas para los siguientes ámbitos:

• Seguridad aplicativa
• Gestión del cambio y de la configuración
• Correlación financiera de partidas de TI
• Gestión de incidentes
• Gestión de parches (no tipificada como gestión del cambio)
• Gestión de vulnerabilidades (podría ser parte de la gestión del cambio, si bien está considerada aparte)

Consensus Metric Definitions (PDF 83 páginas, 1,31 MB) se puede descargar, previo registro y sin coste alguno.

Fuente: Sergio Hernando

Seguir leyendo »

Microsoft bloqueó el acceso de los cubanos al Messenger

La empresa se justificó aludiendo a la obligación de someterse al embargo que rige contra la isla. Pero no precisó porqué tomó la determinación ahora, teniendo en cuenta que el programa lleva activo desde 1999. La medida también afectó a Irán, Corea del Norte, Siria y Sudán

El gigante del software Microsoft bloqueó su servicio de mensajería instantánea MSN Messenger en Cuba y otros países embargados por EE.UU., aludiendo a su obligación de someterse a la legislación estadounidense, según informó hoy la empresa. El bloqueo de MSN Messenger, conocido también Windows Live Messenger, afecta a países como Cuba, Irán, Corea del Norte, Siria y Sudán con los que EE.UU. mantiene una restricción comercial.

En un comunicado difundido hoy, Microsoft señaló que, al igual que muchas otras compañías, "está limitada en cuanto a los productos y servicios que puede ofrecer a aquellas personas de países sometidos a embargo, en cumplimiento de la legislación del Gobierno de EE.UU". "Microsoft es una entre varias grandes empresas de Internet que han tomado medidas para cumplir con su obligación de no hacer negocios con mercados en la lista de sanciones de EE.UU.", añade la nota.

Microsoft "ha cortado Windows Live Messenger IM para los usuarios de países embargados por EE.UU. y no ofrecerá más servicio en tu país", informaba hoy el servicio técnico de Windows Live a las personas que hoy intentaban acceder a Messenger en esas naciones.

Un portavoz de Microsoft consultado por la agencia española EFE destacó que el bloqueo no afecta al servicio de correo electrónico gratuito Hotmail, que sigue estando disponible en Cuba y el resto de los países embargados por EE.UU.

"La diferencia reside en las herramientas descargables frente a los servicios online", explicó. MSN Messenger requiere la descarga de una aplicación en el ordenador del usuario, mientras que Hotmail está basado completamente en la red.

El portavoz no precisó por qué la compañía ha tomado esta medida precisamente ahora, pese a que MSN Messenger lleva activo desde 1999 y el embargo estadounidense a países como Cuba se remonta a la década de

Fuente: Clarin

Seguir leyendo »

El gran juicio: contra el negocio de la "piratería" on line en España

Las discográficas le reclaman 13 millones de euros en daños. ¿Su «pecado»? Haber creado un eficacísimo programa para bajar canciones de la red. Con el juicio contra Pablo Soto, que comienza el martes, el acoso a las descargas alcanza su clímax.

Hasta el pasado 5 de junio, la vida de Pablo Soto parecía sacada del cajón de un guionista de Hollywood. Era la historia de un chaval sin estudios que, a golpe de talento, se había convertido en uno de los diseñadores de software más admirados del mundo. Ese día, sin embargo, Pablo descubrió que el mundo no funciona igual que las películas con «happy end» incorporado. Sin aviso previo, se topó con una demanda de trece millones de euros a cargo de la industria del disco, que le acusaba de estar hundiendo el sector con sus popularísimos programas de intercambio de música.

Un año después, el asunto está a punto de llegar a los tribunales. Para muchos, se trata del juicio contra la «piratería» más importante de nuestra historia: una especie de «caso Napster» a la española. De ahí que las multinacionales se hayan volcado: si ganan la demanda, supondría un punto de inflexión en la lucha contra el trapicheo de canciones on-line. Y, a su vez, el caso ha convertido a Soto, de 29 años, en el ídolo de los militantes de la «cultura libre», que denuncian que las «majors» del disco se ceban con él para achantar al resto.

No soy un héroe

Desde su modesta oficina madrileña, Pablo asegura que nunca tuvo vocación de héroe. Para él, su pulso con la industria discográfica es una secuela inesperada de su pasión por el software. Ya lo demostró con sólo ocho años, cuando diseñó un programa de gestión de clientes para su tío, que entonces trabajaba en el Banco Hipotecario. En aquella época, sólo una cosa igualaba su pericia con las maquinitas: su capacidad para catear exámenes. De ahí que, con sólo 16 años, dejara los estudios y se pusiera a trabajar: primero como camarero y, al cabo de un par de meses, como informático en diversas empresas.

En sus ratos libres, Pablo se puso a hurgar en una tecnología que empezaba a despuntar a finales de los 90: el P2P. Este sistema permite que los usuarios intercambien todo tipo de archivos (canciones, vídeos, fotos...) a través de la red. Su primera criatura fue Blubster, un sencillo programa que, en cuestión de semanas, se convirtió en un «hit» entre los internautas. «De repente, me llamó un amigo y me dijo: “Oye, Pablo, que llevas tres millones de descargas”», recuerda Soto, el pequeño de ocho hermanos. «Imagínate: tenía 20 años y era algo que hacía en ratos sueltos».

El éxito le animó a montar su propia empresa y lanzar diversas variantes del programa, como Piolet o Manolito. Y el crecimiento fue espectacular: ya lleva 25 millones de descargas de su software. En cualquier momento del día, entre 70.000 y 250.000 inter- nautas están usando uno de sus programas. Estas cifras le permitieron codearse con gigantes del p2p como Emule, Kazaa o Audiogalaxy. Para sus «fans» era I+D en estado puro, pero no para las multinacionales del disco, que contrataron un detective y, tras acumular pruebas, presentaron una demanda sin precedentes.
En un escrito de más de cien páginas, los demandantes le acusan de «una conducta parasitaria» para aprovecharse de obras ajenas. Según ellos, el programador incitó a sus usuarios a intercambiar archivos protegidos por derechos de autor usando su software. Y, para reparar estos daños, exigieron 13 millones de euros: la cantidad que habrían facturado si cada uno de los usuarios hubiese comprado una canción de su propiedad.

Un dilema jurídico

El caso plantea un intrigante dilema jurídico: si el creador de un programa debe responsabilizarse del uso que le den sus clientes. Para los abogados de Soto, la respuesta es evidente: es como «empapelar» al fabricante de un cuchillo con el que se comete un asesinato. Además, recuerdan que el p2p tiene aplicaciones que no vulneran la propiedad intelectual:por ejemplo, cada vez más empresas lo usan para transmitir datos de forma rápida y segura.
Mientras, las discográficas responden con una analogía similar: «Aquí el demandado vendería armas a quien no tiene licencia para usarlas», explica Antonio Guisasola, presidente de Promusicae, la asociación que representa a la industria del disco. «Se lucra con ello y queda probado que, al menos en nueve de cada diez casos, el arma se utiliza para cometer un crimen. ¿Debemos permitirle que siga vendiendo y desplace la responsabilidad a sus clientes?».

Hemorragia de ingresos

En el fondo, la demanda refleja el choque inevitable entre dos formas de entender el negocio musical. En el modelo tradicional, las discográficas ofrecían cuatro servicios a los músicos: detectar nuevos talentos, grabar sus discos, llevarlos a las tiendas y controlar su promoción. Todo esto cuesta mucho dinero, así que la hemorragia de ingresos del p2p amenaza su supervivencia: según ellos, el año pasado se descargaron 2.000 millones de canciones de forma ilegal. «Es importante que la gente tome conciencia de la importancia de pagar por la música grabada para que siga existiendo», argumenta Guisasola.

Frente a esto, está el patrón que defiende Pablo Soto, que también es músico y tiene su propia compañía: Blubster Records. Por primera vez, los artistas pueden prescindir de los servicios de las discográficas tradicionales. Gracias a las nuevas tecnologías, los músicos se dan a conocer y promocionan sus propios lanzamientos. El p2p les sirve para distribuir su música, una forma de promoción de su gran fuente de ingresos: el directo. «El problema de las discográficas es que la tecnología las vuelve irrelevantes», dice Soto. «Me acusan de arruinar a los músicos, pero quienes realmente les matan de hambre son quienes les fuerzan a firmar contratos leoninos».
A partir de este martes, el juez deberá analizar los méritos de ambas partes. La batalla se prevé feroz: lo más probable es que el caso llegue al Tribunal Supremo y la sentencia definitiva tarde años. Hasta entonces, Soto vivirá instalado en la incertidumbre. Desde que recibió la demanda, está volcado en ganar el caso. Por eso, ha tenido que paralizar sus proyectos y despedir a cuatro de sus ocho empleados. «Imagina que cuatro multinacionales contratan al mejor despacho de abogados y te piden 13 millones de euros: aunque sepas que tienes razón, esa noche no duermes», explica uno de sus abogados, Javier de la Cueva.

La presión se nota en el fatigado rostro de Soto, que padece distrofia muscular. Dice que no ha buscado esta batalla: sería más feliz en su cuarto, tramando nuevos programas. Pero el destino lo ha querido así y lo asume sin quejarse. «Es un trago desagradable, pero lo acepto porque es una batalla importante», asegura. «Gracias a internet, las discográficas no podrán convencernos de que Bisbal o Ramoncín son la verdadera cultura popular».

El precedente de agujero.com

La incertidumbre es máxima ante el juicio de Pablo Soto: nunca antes se había empleado la vía civil contra las descargas en nuestro país. Así, la sentencia sentará un precedente muy valioso para los casos que vayan llegando a los tribunales. El único precedente se produjo esta semana, cuando un juzgado de Barcelona rechazó tomar medidas cautelares contra la página Agujero.com, demandada por la SGAE por contener enlaces a material protegido. No se trata de una sentencia definitiva sobre el fondo del asunto, pero sí un indicio de que quizá la vía civil tampoco sea la salvación que buscan desde hace años los defensores de los derechos de autor.

La maraña legal de las descargas

- La demanda contra Pablo Soto es la primera que llega a juicio en España por la vía civil. Hasta ahora, los detractores del P2P se habían centrado en la vía penal sin excesivo éxito.
- Según los tribunales, intercambiar archivos es legal, siempre que no exista ánimo de lucro. Éste fue el detalle que permitió el sobreseimiento de las denuncias contra páginas de enlaces como Sharemula.
- La única condena por lucrarse por el p2p se produjo el mes pasado. El administrador de InfoPSP aceptó una condena de seis meses de cárcel por ofrecer enlaces a contenidos protegidos. Así, evitó una demanda civil como la que ahora afronta Soto.
- La vía civil es la gran esperanza de los enemigos del p2p. Por eso, la demanda contra Soto resulta tan importante.

Fuente: La Razon

Seguir leyendo »