El 91% de las empresas han sufrido algún ataque externo en el último año

El 91 por ciento de las empresas han visto sus sistema de seguridad comprometidos por algún tipo de amenaza externa durante los últimos 12 meses. El 31 por ciento de estos ataques se ha saldado con el robo de datos. La amenaza de seguridad más frecuente han sido los virus y un 30 por ciento de las empresas no utiliza ningún sistema de protección contra el malware, según los datos de Kaspersky.

La compañía de seguridad ha elaborado su encuesta Riesgos Globales a la Seguridad Informática [PDF] en colaboración con B2B International, una agencia internacional de investigación, especializada en investigaciones de mercado. En el sondeo han participado más de 1.300 profesionales del sector de 11 países diferentes, entre ellos España.

Según el estudio, la amenaza a la seguridad más frecuente se da en forma de virus, programas de espionaje (spyware) y programas maliciosos en general. El 31 por ciento de los ataques de software malicioso ha tenido como consecuencia algún tipo de pérdida de datos y un 10 por ciento de las empresas declara haber sufrido algún tipo de robo de información sensible sobre sus actividades.

Tan sólo un 70 por ciento de las empresas ha manifestado haber implantado sistemas de protección anti-malware, mientras que el 3 por ciento de las compañías ha declarado no disponer de protección alguna.

El nivel de implantación de sistemas anti-malware varía según el país: en los mercados emergentes tan sólo un 65 por ciento de las empresas ha adoptado soluciones de este tipo, mientras que la tasa de implantación en el Reino Unido y los EEUU alcanza el 92 por ciento y el 82 por ciento respectivamente. A pesar de ello, la mayoría de las empresas siguió siendo objeto de ataques a su integridad informática durante estos últimos 12 meses y casi un tercio de ellas perdió información empresarial.

"Esta actitud resulta sorprendente, sobre todo teniendo en cuenta que casi la mitad de las organizaciones consideran los ataques informáticos como una de las tres principales amenazas a las que se enfrentan: se otorga más prioridad a la estrategia informática que, incluso, a las estrategias financieras, de marketing y de recursos humanos", ha comentado el director de inteligencia de Kaspersky Lab, Alexander Erofeev, .

"La explicación más probable es la falta de inversión en seguridad informática". De hecho, el estudio demuestra que una de cada dos empresas considera que su presupuesto de seguridad es insuficiente, y estima que necesitarían en torno a un 25 por ciento más. Hoy por hoy, la inversión media en seguridad informática es de 8.055 dólares (5.561 euros) en pequeñas empresas, 83.200 dólares (57.446 euros) en empresas de tamaño medio y 3 millones de dólares (2,07 millones de euros) en grandes corporaciones.

Fuente: EuropaPress

Seguir leyendo...

Una empresa de seguridad actualiza el Facebook de sus clientes para evitar robos en verano

Una compañía de seguridad de Reino Unido ha lanzado una cobertura para sus clientes mediante la cual realizarán actualizaciones en sus perfiles de Facebook para que sus cuentas se mantengan activas y los ladrones no puedan comprobar su ausencia. Los clientes aprobarán las actualizaciones antes de irse de vacaciones y la compañía se encargará de su publicación.

A las clásicas recomendaciones de pedir a un vecino que retire el correo del buzón y que suba y baje las persianas, ahora está la necesidad de regular las redes sociales. Según informa el diario The Telegraph, la empresa Chelmsford ofrece a sus clientes un plan para gestionar sus redes sociales durante su ausencia.

La información de los usuarios en redes sociales puede ser muy valiosa para los ladrones ya que además de confirmar que los usuarios están de viaje, pueden llegar a saber incluso dónde está ubicada su residencia, facilitando que puedan llevar a cabo algún tipo de robo.

La iniciativa de Chelmsford pretende garantizar que no se levanten sospechas sobre la ausencia de los usuarios y es un servicio útil para todos aquellos que van a un destino donde no podrán conectarse a Internet y para los que quieren ir publicando sus fotografías.

Contenido completo en Europa Press

Seguir leyendo...

México: entrará en vigor en julio Ley de Datos Personales

La Secretaría de Economía (SE) presentó la guía práctica para generar el Aviso de Privacidad de la Ley Federal de Protección de Datos Personales.

La Directora de Economía Digital y Comercio Interior, Claudia Ivette García, recordó que las sanciones para las empresas que hagan mal uso de la información de sus clientes van de 200 a 320 mil días de salario mínimo.

Durante un seminario donde se dio a conocer la ley que entra en vigor el 6 de julio, la funcionaria señaló que esta disposición ayudará a la transparencia en el uso de datos personales y a la tranquilidad de usuarios.

Cabe mencionar que la violación de la ley puede representar penas corporales que van de tres a cinco años de prisión.

“Los responsables tienen que informar a los titulares respecto de la información que está recabando de ellos, y también los fines, a través de este elemento que hoy estamos señalando, que es el aviso de privacidad”, puntualizó la funcionaria.

Fuente: Azteca Noticias

Seguir leyendo...

Elementos para administración de Riesgos

Por Alejandro H. Morales T.

Para dar inicio a un proceso formal de identificación y cuantificación de riesgos debe procederse de una manera ordenada y sistemática, preparando el esquema general del trabajo. La primera necesidad es la de definir un conjunto de términos, los cuales van a ser utilizados en el transcurso de la labor y cuyo significado deberá ser comprendido y aceptado de manera unánime por las personas que participen en el trabajo. A continuación se presentan algunos de los términos de más común utilización en los procesos de cuantificación de riesgos.

La administración de riesgos implica:

1. Un sistema formal para:

• Identificar y/o anticipar, medir y controlar riesgos
• Registrar información
• Monitorear resultados

2. Administración económica: Adoptar medidas cuyo costo sea inferior a sus beneficios por medio de la reducción del costo de las pérdidas o la evitación de pérdidas catastróficas.

3. Establecer responsabilidades para la administración de los riesgos para proveer una defensa contra su eventual materialización.

Continuar leyendo parte I, II, III

Seguir leyendo...

Malasia busca cerrar sitios web de descargas ilegales

La Comisión de Comunicaciones y Multimedios de Malasia, un organismo rector, expresó el viernes su deseo de que los proveedores de Internet bloqueen 10 cibersitios que violan las leyes de derecho de autor.

Más de seis mil 500 personas desde entonces se han sumado a una página de Facebook que critica la postura del gobierno y algunos aseguran que las autoridades se han retractado de su compromiso de no censurar Internet.

La medida al parecer era acatada de manera errática por los proveedores de Internet en Malasia. La mayoría de los usuarios se quejaron el sábado de que no podían navegar en los sitios referidos aunque otros lo lograron el domingo. Algunos utilizaron rutas alternativas de acceso para sortear el bloqueo.

Los cibersitios bloqueados incluyen Pirate Bay, que tiene oficinas centrales en Suecia y ha enfrentado demandas de compañías de entretenimiento en Europa que lo implican en violaciones a los derechos de autor.

La Comisión de Multimedios defendió el bloqueo y afirmó que el Ministerio de Comercio Interior de Malasia solicitó la medida para obligar el cumplimiento de las normas sobre derechos de autor. La comisión rechazó que la medida fuera censura.

Contenido completo en Milenio

Seguir leyendo...

Anonymous lanzó ciberataque y suspenden el tratamiento de la Ley Pirata Argentina

El ataque a los sitios webs de el Senado argentino y de SADAIC comenzó el martes 08 de junio y fue en represalia por someter a votación un proyecto de ley que aplica un arancel adicional a los soportes de almacenamiento digital masivo (CD, USB, discos duros, reproductores, grabadoras, entre otros).

“Anonymous le muestra su total repudio dejando inoperativos los sitios web del Senado de la Nación Argentina”, relató en un comunicado difundido en la página de Facebook de Anonymous Iberoamérica.

La norma en discusión funciona a manera de compensar los derechos de autor y propiedad intelectual afectados por la piratería. Sin embargo, el grupo de hackers indica que transgrede el derecho a la presunción de inocencia porque supone que todos consumen “piratería y nos obliga a pagar como si fuéramos delincuentes por el legítimo uso de un insumo tecnológico”.

En el día de hoy, en horas de la tarde, ambos sitios han vuelto a funcionar normalmente.

Es importante destacar que el tratamiento del proyecto de copia privada (S-3732/10), conocido también como "Ley Pirata argentina", ha sido suspendido porque "Hemos escuchado la multiplicidad de voces contrarias a esta iniciativa que se plasmaron recientemente en el ciberespacio por eso se tomó la decisión de continuar debatiéndolo" según expreso (parte de prensa) el senador Pichetto, creador de la ley.

Fuentes consultadas RPP e Infobae

SoloE de la Redacción de Segu-Info

Seguir leyendo...

Controla los permisos en Android con Android WhisperCore

La empresa Whisper Systems, que ofrece software para gestionar la seguridad de Android, ha anunciado la salida de una nueva herramienta que permite a los usuarios ser más selectivos con los permisos que otorgan a una aplicación.

Hasta la fecha, al instalar una aplicación en Android el cliente tenía que aceptar las condiciones especificas que esta determinaba sobre el acceso a los datos de su teléfono, o en caso de que no estuviera de acuerdo con ello cancelar la instalación.

Para terminar con esto, desde Whisper Systems han lanzado la aplicación WhisperCore 0.5, que permite a los usuarios controlar exactamente que autorizaciones se otorga una aplicación antes de instalarla.

Además, el funcionamiento es relativamente sencillo, ya que básicamente, lo que hace la aplicación de Whisper Systems es crear un identificador que contiene información falsa para proteger la privacidad del usuario.

Asimismo, WhisperCore, que está disponible en versiones para Windows, Linux y MacOS X, puede proceder al cifrado del smartphone y ofrece también un firewall.

De todas formas, de momento cuenta con importantes limitaciones como son el hecho de que para instalarse se requiera tener el dispositivo desbloquedado y que sólo sea compatible con los modelos Nexus One y Nexus S.

En cualquier caso se espera que se unan otras marcas en el futuro y se pueda ir perfeccionando su funcionamiento en las próximas versiones.

Fuente: TheInquirer

Seguir leyendo...

San Luis busca que las historias clínicas sean digitales y estén en manos de los pacientes

El Ejecutivo puntano, como parte de su agenda digital, impulsa diferentes proyectos de ley que sustentan sus políticas. Y como parte de esas normativas, se presentó ante la Legislatura provincial el proyecto “Acceso de los habitantes a su historia clínica. Creación del sistema de historia clínica digital (HCD)”.

El propósito de esta legislación será regular un sistema de HCD que funcionará en toda la provincia. La normativa provincial se basará en la Ley Nacional 26.529 -Derechos del paciente en relación con profesionales en instituciones de la salud-, en su artículo 13. Con este nuevo proyecto, el Estado puntano hará efectivo el derecho a la salud de la ciudadanía, mediante la provisión, en todo lugar y en tiempo real, de sus datos y archivos médicos. A la vez, que apuntará a mejorar la eficiencia del sistema de salud en su totalidad, garantizando la confidencialidad y protección de los datos personales y clínicos de cada habitante.

En referencia a la ley nacional mencionada, Luciana Vera, asesora legal de la ULP y directora del Instituto de Firma Digital (IFD), señaló que prevé que la historia clínica esté en poder de la institución, y el paciente debe poder acceder a ella en un plazo de 48 horas. Al respecto, subrayó la diferencia con la normativa sanluiseña, que apunta a que la historia clínica esté en poder del propio paciente. “Al ser digital será al revés. La historia clínica será del paciente y será éste quien le permita al médico, o a una institución, acceder a esos datos”, aseveró.

Asimismo, agregó que actualmente los pacientes acceden a sus datos médicos solo cuando enfrentan juicios por mala praxis. “Antes, no la pueden conseguir, porque las instituciones se oponen por una cuestión de responsabilidad. Además, cuando se realiza una consulta médica, el profesional llena fichas que se guardan en una carpeta o elaboran una especie de historia clínica en sus recetarios. Lo mismo sucede con los resultados de los análisis”, detalló Vera.

El proyecto de ley presentado por la ULP y Progreso toma algunas pautas de la ley nacional; pero establece cuatro principios innovadores: accesibilidad, finalidad, veracidad y confidencialidad. El primer principio otorga el derecho a conocer los datos médicos, que sean explicados y rectificados en caso de ser erróneos. Además, la información deberá ser entendible para el paciente. Y en caso de que el profesional deba realizar una modificación, no podrá eliminar ningún dato; deberá realizar la corrección agregando el nuevo dato y tendrá que firmar digitalmente.

En cuanto al principio de finalidad considera que los datos de la HCD serán personales, confidenciales y sensibles, sólo podrán ser usados para asistencia y no podrán publicarse, salvo autorización del paciente; incluso podrán ser usados para términos estadísticos según la reglamentación vigente. En lo referido a la confidencialidad, se trata de que quienes administren la base de datos de salud traten a los datos de la HCD con absoluta reserva, salvo por una disposición judicial o autorización del paciente.

El hecho de que en San Luis la historia de salud de un paciente sea digital, le garantizará a cada persona el acceso a ella desde cualquier lugar en que se encuentre. “Se piensa que el instrumento de acceso sea la CIPE -Cédula de Identidad Provincial Electrónica- ya sea usando firma digital o con el certificado de autenticación, que es como una especie de contraseña. Además, el ciudadano podrá restringir o dar acceso a sus datos. También, se está pensando la manera en que otra persona- establecida por el paciente- pueda autorizar al médico el acceso a los datos, en caso de que el paciente no pueda dar su consentimiento”, aclaró Vera.

Fuente: Mercado

Seguir leyendo...

CloudFlare, una posible solución frente a ataques (D)DoS

Hace unos días comentábamos que LulzSec estrenaba página web. Probablemente viendo la que les venía encima han contratado un servicio muy interesante.
Se trata de CloudFlare, un servicio que gracias a su red trata de actuar como intermediario entre Internet y nuestra web para balancear carga, implementar su propio caché de información, filtrar ataques web, gestionar estadísticas y bloqueos de clientes, etc.

Aparte de las ventajas que proporciona en cuanto a rendimiento, ahorro de carga, seguridad y control, hay un punto que llama la atención.

Si por cualquier motivo el sitio web original deja de responder, cuando un cliente intente visitarlo CloudFlare mostrará de forma casi transparente al usuario la última copia del sitio de la que disponga. Y decimos casi transparente, porque en la parte superior nos mostrará un pequeño aviso informando de la situación.

Cuando el sitio original vuelva a responder se volverá a servir a los nuevos clientes. Es una opción realmente interesante de cara a protegernos de ataques de denegación de servicio, ya que el contenido seguirá siendo accesible por los clientes, incluidos bots de buscadores, que no nos penalizarán.

Un ejemplo de esta protección lo pudimos ver en la web de LulzSec, que no estuvo disponible durante un tiempo, pero se podía acceder igualmente a todo el contenido.

Según los creadores la configuración del servicio es realmente sencilla (menos de 5 minutos) y existen varios planes, uno de ellos gratuito, que se pueden ver aquí, junto a un video explicativo.

Fuente: SecuritybyDefault

Seguir leyendo...

Diseño de Programas y Controles Antifraude

Por C.P. José Luis Rojas de la Cruz y C.P. Ricardo Bernal de la Torre

Nunca, como hoy en día, en tiempos de aguda crisis económica en los que existe una gran preocupación por lograr el sustento de los negocios y limitados recursos para ejecutar las estrategias, se hace palpable el continuo dilema de la administración de la empresa: hacer lo mínimo indispensable por cumplir contra hacer lo necesario y correcto para lograr los objetivos.

Desde que se dio la primera gran depresión económica en 1929; pasando por los escándalos financieros de los años ochenta, que dieron origen al Marco de Referencia Integrado de Control Interno de COSO; las posteriores debacles financieras de NorCom, Enron y MCI WorldCom, que conmovieron al mundo inversionista; así como otros fraudes que se han ido develando en años subsecuentes y que promovieron directa e indirectamente la aparición del nuevo marco de COSO para la administración de riesgos empresariales, además de otras regulaciones de los mercados de valores y mejores prácticas de gobierno corporativo, contabilidad y control, ha sido evidente que no podemos confiar en la naturaleza humana y que siempre que se dé una combinación de factores como: oportunidad, racionalización e incentivos y presiones, la empresa estará expuesta a acciones de individuos o grupos que buscan obtener un beneficio para sí mismos, para un tercero o para la propia empresa, a costa de comportamientos que transgreden las barreras de lo ético, lo moral y las sanas prácticas de negocios.

Recordemos que J. Edgar Hoover, fundador del FBI, decía: “Dado un cierto momento, hay un determinado porcentaje de la población que no busca nada bueno”. Tal vez eso sea particularmente cierto en tiempos de crisis, cuando hay desesperación; es decir, falta de claridad en la forma de lograr que los negocios sobrevivan, por lo que en ocasiones se sucumbe ante la tentación de lograr un peso de manera rápida, pero no ética.

Contenido completo en fuente original Auditool

Seguir leyendo...

Condenadas dos adolescentes por suplantar a una compañera y crear un peril faso en Tuenti

La Audiencia Provincial de Segovia ha confirmado la Sentencia que dictó en el año 2008 el Juzgado de instrucción nº 4 de Segovia, condenando a dos jóvenes adolescentes a indemnizar a otra compañera con 12.400 euros por los daños morales ocasionados por suplantar su identidad en la red social Tuenti y utilizar dicho perfil para enemistarse y ser repudiada por el resto de sus compañeros.

Todo comenzó cuando a las dos condenadas se les ocurrió crear un perfil en Tuenti, haciéndose pasar por una compañera, y publicando su nombre, lugar de nacimiento y lugar donde estudió, y subiendo una fotografía de la suplantada.

Las adolescentes valiéndose de este falso perfil, procedían a hacer comentarios denigrantes de otros compañeros que habían colgado fotografías en la red.

Como es lógico, los compañeros, creyendo que dichos comentarios provenían de la denunciante, criticaron duramente a la chica, y provocó que estos le hicieran el vacío aislándola socialmente, retirándole incluso el saludo.

Es fundamental que los padres orienten y asesoren a sus hijos en el uso de Internet y en concreto de las redes sociales, ya que en este caso la sentencia condena al pago de una indemnización, sin embargo en otros casos similares (con la mayoría de edad) la condena podría ser de privación de libertad.

Contenido completo en Delitos Informáticos

Seguir leyendo...

Dinamarca quiere usuarios de Internet con nombres y apellidos

El Gobierno de Dinamarca quiere que los daneses se identifiquen a la hora de conectarse a Internet. El Ministerio de Justicia está elaborando una propuesta por la que los proveedores de servicio deberán proporcionar una identificación a los usuarios para conectarse a Internet para así poder intervenir en caso de delito. Hasta ahora es muy habitual utilizar las direcciones IP para tratar de vincular una actividad ilegal con un usuario.

La idea principal es que los servicios de inteligencia de la policía utilicen este tipo de información para casos de terrorismo, principalmente. Por el momento no se ha establecido la forma por la que cada usuario tendrá acceso Internet. El Ministerio de Justicia ha mencionado varias posibilidades de identificación como un código personal, a través de la firma electrónica o mediante SMS. El principal requisito es que un usuario de la red «no tendrá acceso a Internet hasta que la información sobre su identidad sea registrada y verificada», asegura el ministerio.

El pasado mes de febrero, un juez de la Corte Superior de Justicia británica criticó el sistema de identificación de usuarios a la hora de emitir denuncias por compartir archivos ilegales. El juez Colin Birss señaló que la identificación de una dirección IP no supone obligatoriamente que sea un usuario concreto el que ha cometido la infracción.

Contenido completo en ABC.es

Seguir leyendo...

Información expuesta en servidor de Ministerio de Economía (MECON) - Solucionado

La semana pasada un lector de Segu-Info nos reportó que ciertos directorios de uno de los servidores del Ministerio de Economía de Argentina (MECON) tenía archivos expuestos que revelaban direcciones correos electrónicos de lo que parecía ser una lista de correo de empresas.

Al momento de recibir la denuncia se podía ver que efectivamente cierta cantidad de archivos de texto y HTML podían ser listados. Por supuesto esta información se encontraba pública sin requerir ningún tipo de acceso o login previo:

Si se abría alguno de los archivos TXT se podían ver cientos de direcciones de correo electrónico de usuarios y empresas, que seguramente ya algunos spammers deben estar utilizando:

Desde Segu-Info inmediatamente procedimos a denunciar el caso a ArCERT (sin respuesta) y a la administración web del sitio, quienes amablemente nos ha respondido que el problema estaba siendo verificado y, en el día de hoy, hemos podido confirmar que la información ya no se encuentra en línea y si se intenta ingresar al directorio se solicita login.

Al parecer el mismo servidor y formulario de login ya tuvo un problema de inyección SQL hace un par de meses, tal y como se puede apreciar en esta búsqueda.

Si bien es una lástima que esto continúe sucediendo, tal y como explico en Viagra.gob.ar, también es muy positivo que los responsables respondan y solucionen los problemas.

¡Gracias M. por el reporte original!

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Actualización de CWE MITRE Top 25 sobre errores en aplicaciones

El SANS Top 25 de CWE MITRE es una lista de los errores más importantes y generalizadas que pueden conducir a graves vulnerabilidades en el software. Ellos a menudo son fáciles de encontrar y fácil de explotar. Son peligrosos porque frecuentemente se permite a los atacantes tomar control el software completamente, robar datos, o evitar que el software funcione.

Este Top 25 es una herramienta para la educación y sensibilización y para ayudar a los programadores a prevenir todos los tipos de vulnerabilidades que afectan a la industria del software, identificando y evitando los errores y demasiado frecuentes que se producen.

Por otro lado, los clientes puede utilizar esta lista para pedir un software más seguro a sus proveedores. Los investigadores de seguridad también la pueden utilizar para centrarse en un subconjunto limitado pero importante, de todas las debilidades de seguridad conocidas. Por último, los administradores de programas y directores de TI pueden utilizar la lista para medir el progreso en sus esfuerzos por asegurar su software.

La lista es el resultado de la colaboración entre el Instituto SANS (que acaba de actualizar su TOP 20), MITRE, y muchos de los mejores expertos de seguridad de software en los EE.UU. y Europa. MITRE mantiene el sitio web de CWE con el apoyo de Department of Homeland Security's National Cyber Security. La lista completa contiene datos de más de 800 errores de programación, errores de diseño y errores en la arquitectura que pueden dar lugar a vulnerabilidades explotables.

Este Top 25 de 2011 introduce mejoras a la lista del año pasado, pero el espíritu y los objetivos siguen siendo los mismos. Este año, el Top 25 fue priorizado con las aportaciones de más de 20 organizaciones diferentes y cada debilidad fue evaluada en base a la prevalencia, importancia, y la probabilidad de explotación. Se utiliza el sistema de puntuación de debilidades comunes (CWS) para anotar y clasificar los resultados finales.
El Top 25 también abarca un pequeño grupo de los más eficaces "Monster mitigations", que ayudan a los desarrolladores a reducir o eliminar grupos enteros de los 25 principales puntos débiles, así como muchas de las debilidades documentadas por CWE.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Actualización de Top 20 de SANS

El controles seguridad críticos actualizados por SANS (listado de actualizaciones) ya han comenzado a transformar la seguridad en las agencias gubernamentales y otras grandes empresas, centrando los gasto en los controles clave. Con estos cambios, el Top 20 se han transformado en el eje del plan de seguridad implementado por FISMA el 1 de junio pasado en todo el gobierno de EE.UU.

La implementación de herramientas y automatización de este Top 20 reduce radicalmente el costo de la seguridad y su eficacia. Los EE.UU. del Departamento de Estado ya ha demostrado más del 94% de reducción del riesgo de "medir" la seguridad a través de la automatización y medición rigurosa de los 20 controles.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Crackers robaron $2,7 millones a Citigroup

Esto ya es serio. No hablamos únicamente del robo de datos bancarios, confirmamos el uso fraudulento de la información para sustraer más de 2,7 millones de dólares de las arcas de Citigroup.

La comunidad cracker ha encontrado la forma de acceder a los números de tarjetas de crédito insertos por los clientes del grupo en su página web, pudiendo realizar cuantos cargos ilícitos han querido.

El banco, que supiese de la brecha a principios de mayo, ha reconocido el acceso a 360.000 cuentas de Estados Unidos. Aunque los crackers no han conseguido acceder al sistema de procesamiento crediticio principal, sí que se agenciaron números de tarjeta, nombres e información de contacto.

Tal y como ocurriese con Sony, Citigroup no informó al momento de la intrusión, notificándola a sus clientes el pasado 3 de junio. No ha sido hasta ahora cuando hemos conocido el número exacto de cuentas afectadas por robo (3.400) y la cantidad sustraída. Otra información sensible, como números de la Seguridad Social, fechas de nacimiento, o códigos de verificación de las tarjetas no se ha visto comprometidos.

¿Cuánto le va a costar la broma a la entidad? Expertos han evaluado los pagos correspondientes a notificaciones y nueva emisión de tarjetas al montante de 360.000 clientes y la cifra resultante asciende a 77 millones de dólares, o lo que es lo mismo, $214 por cuenta afectada.

Hasta ahora podíamos tomarnos el tema a risa, especulando cuál sería la próxima compañía en ver violadas sus bases de datos, pero cuando el resultado de este cibervandalismo supone pérdida monetaria real, directa para el consumidor, creo que hemos de decir basta. No tanto a los crackers, como a las propias empresas, que de una vez por todas deberían reformular sus infraestructuras hasta garantizar un mínimo de seguridad.

¿Cuántas no lo habrán hecho por suponerle un mayor coste que el de las pertinentes indemnizaciones?

Por supuesto, nada en este mundo es invulnerable, pero llegados a este punto podemos afirmar rotundamente que Internet ha dejado de ser segura y que poco o nada se está haciendo para dificultar las cosas a los criminales. Las puertas a nuestra información parecen estar abiertas de par en par.

Fuente: Alt1040

Seguir leyendo...

España: identifican a supuestos 'líderes' de Anonymous

Rastreos con 'nicks' falsos en salas de chats, escuchas telefónicas e incluso encuentros físicos durante la acampada de la Puerta del Sol del pasado mes sirvieron para identificar y posteriormente detener a los tres supuestos 'líderes' de Anonymous en España.

Las pruebas presentadas por el Grupo de seguridad Lógica de la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional, ampliamente reflejadas en el sumario al que ha tenido acceso el Navegante, permiten reconstruir los pasos que siguieron los investigadores para 'cazar' a los presuntos responsables de una gran variedad de ataques de denegación de servicio distribuido (DDoS, que consisten en lanzar masivamente peticiones desde muchos ordenadores para provocar el bloqueo por saturación de un sitio web).

Éstos iban dirigidos contra sitios como los de la SGAE y el Ministerio de Cultura, el de la Junta Electoral Central y "planes" para tumbar las páginas web de determinados partidos políticos.

La Policía define a Anonymous como "una pluralidad de personas las cuáles actúan de forma anónima y de forma coordinada -a través de redes de servidores IRC, un tradicional servicio de chat-, generalmente hacia un objetivo acordado", sobre todo mediante DDoS -que consiste en "saturar una página web determinada dejándola inaccesible mediante un programa informático llamado LOIC".
Estos ataques fueron coordinados en determinados canales de chat, y la localización de uno de los servidores que daba servicio a estas salas fue clave a la hora de identificar a los supuestos responsables.

La Policía argumenta que debido a unas serie de ataques DDoS que se habían producido (o se iban a producir) en España, "y de otros que a nivel mundial se estaban produciendo bajo el nombre colectivo de Anonymous, como el efectuado a la multinacional Sony", algunos agentes decidieron interactuar en los chats para localizar a los 'responsables' en España.

Contenido completo en fuente original El Mundo

Seguir leyendo...

España: afirman que crece la creación y distribución de pornografía infantil online

La Fiscalía Superior alerta en su Memoria Anual correspondiente al año 2010 del aumento de la creación y distribución de pornografía infantil en la red, y advierte de los problemas que se encuentra a la hora de determinar la edad de los menores o de los "límites de la investigación policial" ante la concurrencia de los derechos fundamentales de los investigados.

Además, en la Memoria el Ministerio Público apunta las dificultades de diferenciar entre la mera posesión de material pornográfico y la posesión preordenada a la distribución a terceros. "Un importante acopio de material puede obedecer al comportamiento propio de un coleccionista y no de un distribuidor", señala en su informe.

Según la Superior, todas las Fiscalías Provinciales, afirman que las figuras delictivas relacionadas con la pornografía infantil se encuentran, hoy por hoy, en términos estadísticos, entre las más abundantes de las que se cometen en la Red. Así, la Fiscalía de Granada menciona 25 procedimientos por delitos de pornografía infantil, lo que supone una relativamente notable incremento respecto de las cifras del años anterior (19).

La Fiscalía de Almería menciona cinco procedimientos de este tipo, y la de Córdoba otros 5. Por su parte, la Fiscalía de Cádiz señala que se mantiene la línea ascendente de infracciones relacionadas con la creación y distribución de pornografía infantil, que alcanza la cifra de cuatro procedimientos incoados.

En general, según la estadística que aporta la Fiscalía de Granada, que es extrapolable al conjunto de Andalucía, respecto del año 2009 la criminalidad informática ha crecido un 35 por ciento, y desde el año 2007 prácticamente se ha cuadruplicado el número total de infracciones.

La tasa de crecimiento anual se sustenta sobre todo en base al aumento de los delitos de revelación de secretos, injurias y calumnias, pornografía, estafas y contra la propiedad intelectual, pero han descendido los delitos a través de las compras 'online'.

Fuente: El mundo

Seguir leyendo...

9 de cada 10 internautas considera erróneamente que un PC infectado es fácil de detectar

Los virus informáticos generan molestas ventanas y ralentizan o colapsan el ordenador o algunas de sus funciones, según el 93% de los encuestados por G Data en su estudio ‘¿Cómo perciben los usuarios los peligros de Internet?’. La realidad es justo la contraria.

Un estudio de G Data en 11 países diferentes [PDF] demuestra que la mayor parte de los internautas no tienen conciencia real de los peligros de Internet y mantiene como ciertas una serie de verdades obsoletas. Así, el 58% de los internautas españoles ignora que basta cargar una web adulterada para infectar el PC o sostiene, equivocadamente, que el correo electrónico es la principal vía de entrada de malware. Aquí van cinco de esos mitos que en los primeros años de Internet se instalaron en el acervo de creencias de buena parte de los internautas y que hoy en día continúan condicionando su forma de navegar

Mito 1. Un PC infectado ofrece síntomas claros de alojar malware (para el 93% de los internautas) 

El 93% de los internautas considera que un PC infectado es fácil de detectar para el propio usuario: se bloquea por completo, funciona más lento o genera indiscriminadamente ventanas emergentes o pop-ups. Sólo el 7% sostiene que en caso de contaminación no se percibiría nada extraño, que es precisamente lo que realmente sucede en la mayoría de los casos. Hace ya muchos años que los que empezaban a llamarse hackers dejaron de desarrollar virus como forma de notoriedad y demostración de sus habilidades informáticas. Hoy en día son “profesionales” cualificados cuyo objetivo es justo el contrario: pasar totalmente desapercibidos para hacerse con un suculento botín de datos personales que les dejarán pingües beneficios en los mercados negros de Internet y, en segundo lugar, añadir el PC de la víctima a alguna de las redes de zombis que se alquilan en Internet. Para conseguirlo, necesitan que la infección pase totalmente desapercibida para el usuario.

Seguir leyendo...

Wi-Fi (Wi-phishing): robo de información vía redes inalámbricas

Según un estudio publicado por Norton, el Wi-phishing (o Evil Twin), sustracción de datos personales a través de falsas redes públicas de acceso Wi-Fi, se convierte en una especial amenaza en verano, dado que aumentan las conexiones desde hoteles y establecimientos públicos.

Las redes inalámbricas públicas, que nos encontramos en hoteles, aeropuertos, cafeterías, restaurantes e incluso aparcamientos nos permiten estar conectados mientras viajamos en verano, pero también trae consigo más riesgo de ser víctimas de un ataque de Wi-phishing, de acuerdo a un informe publicado por Norton.

Las redes WiFi públicas son redes inalámbricas establecidas para ofrecer acceso compartido a Internet a múltiples usuarios, por lo que cualquier persona con un dispositivo inalámbrico dentro del alcance del punto de acceso del dispositivo puede conectarse a la red y utilizar Internet. Los propietarios de los establecimientos facilitan así el uso de Internet a sus clientes, pero para minimizar los requisitos de acceso y para evitar problemas de compatibilidad entre dispositivos y sistemas operativos, suelen inhabilitar gran parte de las funciones de seguridad en sus dispositivos y, por ello, los mensajes de texto privados, confidenciales y personales se transmiten sin protección ni codificación alguna a través de la Web.

Esto permite a los hackers capturar las contraseñas y los números de las tarjetas de crédito e incluso las comunicaciones que pudieran estar cifradas, mediante lo que se conoce como Wi-phishing. Frente al Wi-phishing los ciberdelincuentes pueden acceder a través de las redes inalámbricas a nuestra información confidencial gracias a la creación de un punto de acceso inalámbrico falso al que nos podemos conectar sin saber quien es el propietario real de la red, ya que suelen ser nombres muy parecidos al del hotel o restaurante donde se encuentra la víctima. Al intentar acceder a la red ficticia, se nos solicita un número de tarjeta de crédito y cierta información personal para poder conectarnos a Internet.

En cuanto a los teléfonos móviles, los virus elaborados para este tipo de sistemas operativos, especialmente para smartphones o agendas electrónicas, ya se están utilizando aunque todavía no sean muy habituales. Las actividades de phishing mediante mensajes de texto ya representan un gran problema. Pero Norton alerta de que el mayor peligro para nuestra información alojada en los dispositivos móviles no es más que la pérdida física o el robo, dos fenómenos muy habituales en fechas veraniegas, como las que están a punto de llegar.

Fuente: CSO España

Seguir leyendo...

Holanda anuncia su ley de neutralidad en la red

El holandés se ha convertido en el primer parlamento europeo en introducir la neutralidad de la red como parte de su legislación nacional, que prohíbe a los operadores cobrar una cuota extra por usar servicios de VoIP.

Holanda se encuentra en la fase final de la aprobación de una ley que prohibirá un Internet a dos niveles y que consagra el concepto de la neutralidad de la red como parte de su legislación nacional.

Este miércoles, el Parlamento holandés aprobaba la modificación de su ley de telecomunicaciones para impedir que los operadores móviles locales bloqueen o cobren tarifas más elevadas si se usan servicios de VoIP a través de las redes de telefonía móvil. El proyecto de ley ahora debe pasar el trámite del Senado.

La decisión holandesa se produce después de que en abril la Unión Europea anunciase la puesta en marcha de una investigación oficial sobre las técnicas utilizadas por los proveedores de servicios de Internet (ISPs) a la hora de gestionar el tráfico. Una investigación con la que Bruselas intenta asegurar que todos los ciudadanos y empresas europeas tengan el mismo derecho de acceso a un Internet abierto y neutral, “sin restricciones encubiertas y a las velocidades prometidas”, en palabras de Neelie Kroes, vicepresidenta de la Comisión Europea para la Agenda Digital.
Kroes pretende presentar públicamente los nombres de “los operadores que incurran en prácticas dudosas” a finales de año.

El de la neutralidad de la red es un tema controvertido, que versa sobre si todo el tráfico de Internet debe ser tratado por igual independientemente de su tipo.

Mientras los usuarios consideran que se debe garantizar el acceso libre a todo el contenido, los operadores móviles defienden que es necesario restringir los servicios de datos intensivos en horas punta o cobrar un extra a quienes consumen gran ancho de banda con servicios como Skype. Además, compañías como Vodafone, T-Mobile y Royal KPN NV han advertido que será muy difícil ofrecer un servicio de calidad y que los precios pueden subir si se aprueban este tipo de leyes.

Fuente: eWeek Europe

Seguir leyendo...

Perú: beneficios de la Ley de Protección de Datos Personales

A través de esta nueva implementación, los usuarios tendrán la potestad de asegurarse qué pueden realizar las empresas tanto públicas como privadas con los bancos de datos que mantienen en su posesión.

El Congreso de la República aprobó la Ley de Protección de Datos Personales (N° 4079/2009-PE) [PDF], la cual busca salvaguardar la información que las empresas tenga sobre las personas.

De esta forma, los bancos de datos personales, tanto de las administraciones públicas como privadas, estarán obligados a ser modificados, cancelados o creados, según lo que establece la norma.

"Principalmente el usuario va a tener la potestad de indicar qué pueden hacer con sus datos, cómo la puede usar una empresa del sector público o privado y tener gestión de su estos", indicó Erick Iriarte, asociado principal de Iriarte Asociados y redactor del blog Lex Digital de RPP.com.pe.

Asimismo agregó que de esta forma se podrán mejorar los mecanismos de control y evitar que terceros puedan desprestigiarnos haciendo uso de la mala mercadotecnia o conseguir información principal comprándola en lugares como en centros comerciales especializados en tecnología del Centro de Lima.

Precauciones

"La norma no establece que no dejen de hacer actividades, lo único que establece es que haya un orden. En encuestas telefónicas, tendrá que solicitar permiso para obtener los datos", agregó.

De otro lado también indicó que, por ejemplo, información personal se puede obtener a través de la guía telefónica donde se encuentra una serie de números.

Frente al panorama, el especialista recomendó que debe existir una mayor cultura de protección a la información y que, puede que las empresas no la difundan, sin embargo, el usuario puede hacerlo a través de publicaciones en medios como las redes sociales, las cuales también se presentan como una fuente más de acceso por parte de terceros.

"Muchas veces son los usuarios los que deben tener cuidado con la información que brindan, si tu lo estás expresando públicamente, otra persona puede apropiarse de estos", advirtió Iriarte.

Por su parte, recomendó a las empresas que informen a sus clientes si van a requerir sus datos y que tengan una sección de aceptación de la emisión de estos.

"Muchas veces los términos y condiciones no son suficientes, un ‘checkbox’ (caja para marcar) también sirve", agregó.

Fuente: RPP

Seguir leyendo...

Facebook ficha al 'hacker' Geohot

Su acción más conocida es el desbloqueo de la PlayStation 3.- La compañía de la red social no ha confirmado la noticia.

George Hotz famoso por desbloquear el iPhone y, muy en particular, la PlayStation 3 ha fichado por Facebook. Geohot, el alias utilizado por Hotz, tras su nueva situación profesional habría renunciado a participar en un intento de desbloquear el iPad 2 ya que estaría más interesado en mantenerse en una posición discreta, fuera de la atención de los medios, dada su actual situación laboral.

Gabe Rivera, de Techmeme, ha confirmado las informaciones de Techunwrapped en un mensaje de Twitter que remite a la página de Geohot en Facebook donde el joven asegura que Facebook es un maravilloso lugar para trabajar. ¿Qué hará Geohot en Facebook? Los medios aseguran que su trabajo estaría relacionado con el lanzamiento de una aplicación de Facebook para iPad.

Sony persiguió inicialmente a Geohot por su acción sobre la consola. Un juez de San Francisco ordenó al joven que retirara cualquier información sobre sistemas de "pirateo" de la consola y entregara el material informático de que dispusiera relacionado con la citada herramienta a Sony. En su demanda, Sony se había acogido a la Digital Millennium Copyright Act (DMCA) que prohíbe el desbloqueo de las herramientas de protección de un sistema. El problema para Sony es que el programa de desbloqueo ha circulado ampliamente por Internet y ya está en muchas manos. Geohot publicó la solución para el desbloqueo después de que el fabricante de la consola retirara la posibilidad de usar en ella el sistema operativo abierto Linux. El conflicto, sin embargo, terminó bruscamente cuando Sony Computer Entertainment America (SCEA) y George 'Geohot' Hotz llegaron a un acuerdo en el que el hacker se comprometía a no publicar informaciones sobre cómo violar el sistema de seguridad de Playstation 3. "Sony se complace de dejar atrás este litigio", dijo el representante de SCEA Riley Russell. "Nuestra motivación para abrir este proceso era proteger nuestra propiedad intelectual. Creemos que el acuerdo y el mandato judicial logran este objetivo". Por su parte, George Hotz explicó que "nunca fue mi intención causar a los usuarios problemas o hacer que la piratería fuera más fácil". Para hacer frente a los gastos legales se había organizado una recogida de dinero. Cuando se cerró la batalla con Sony, Geohot donó 10.000 dólares sobrantes a Electronic Frontier Foundation.

La persecución de Sony contra Geohot había provocado la reacción de Anonymous que convocó ataques informáticos contra la empresa.

El fichaje de Facebook, no confirmado por la compañía, demuestra el creciente interés de las grandes empresas por hacerse con el conocimiento de estos jóvenes hackers. Más que combatirlos procuran integrarlos en sus filas. Una compañía que ha comprendido los beneficios de esta colaboración ha sido Microsoft que, en el caso de Kinect, ha fomentado la colaboración con ellos para encontrar aplicaciones del mando gestual más allá de la consola Xbox.

Fuente: El País

Seguir leyendo...

Diez consejos sobre privacidad en la Red para adultos y menores

La privacidad es una asignatura pendiente en Internet. En el especial caso de los menores y, además de los dispositivos que la tecnología pueda ofrecer, para evitar que sean víctimas de la Red, debe insistirse en la “precaución” como escudo por excelencia: evitar que se muestren sin límites en Internet, que tengan en cuenta el alcance que puede tener cualquier tipo de información que sea insertada en Internet. Como precauciones generales, debe insistirse en la “educación”

1. Como Internet retiene todo rastro de tráfico, toda la información que transporta puede ser rastreada.
2. Internet es un sistema de comunicación utilizado por personas: precaución y respeto por quien está al otro lado.
3. Internet se parece a la vida física más de lo que creemos, desconfía de lo que te haría desconfiar en la calle (por ejemplo, la imagen de una tienda o la personalidad de un desconocido).
4. Internet es información, para saber si es o no útil, si es o no verdad, siempre debe ser contrastada. Pide consejo a un adulto de confianza antes de actuar.
5. Internet dispone de todo lo que insertamos en sus redes, debemos evitar ofrecerle demasiada información sobre nosotros mismos, y ser conscientes de lo fácil que es perder el control sobre ello.
6. Internet no es ilegal, pero puede ser el escaparate de la comisión de un delito, presta atención a lo que te llega a través de sus redes y desconfía de lo que tenga un origen incierto.
7. Internet es paralela a la vida real, no ajena, lo que pasa suele tener un reflejo directo en el ámbito personal y físico de los implicados.
8. Internet permite manejar dinero sin necesidad de tocarlo, las transacciones que realices, que sean con permiso seguro del banco en que confías. Desconfía de los envíos de dinero que no pasan por una entidad bancaria o una administración pública estatal.
9. Internet pone a nuestra disposición más datos de los que podemos asumir y, al igual que ocurre en la vida real, necesitamos filtrar aquello que sobra para un desarrollo personal pleno, ya sea con el sentido común, ya lo sea con ayuda de dispositivos técnicos de filtrado.
10. Existen leyes que castigan las actividades ilícitas en Internet, y también hay leyes que protegen a sus usuarios de una mala utilización, especialmente cuando afecta a sus derechos fundamentales (intimidad, secreto de las comunicaciones, datos personales, libertad de expresión, etc.). Si eres víctima, denuncia.

Fuente: Asociación de Internautas

Seguir leyendo...

Se impone la "Tarjeta de Coordenadas" para reducir el fraude en operaciones bancarias

as principales entidades ya implementaron este "novedoso" sistema, que obliga a los usuarios al uso de una tarjeta cifrada para realizar transacciones, desde transferencias hasta pago de servicios. Cada banco tiene su sistema de entrega y se habilitan en cajeros. ¿Usted ya recibió la suya?

El avance de modalidades delictivas -que van desde proliferación de tarjetas mellizas para operar en cajeros hasta el robo de contraseñas en Internet- obligó a los bancos de primera línea a implementar nuevos mecanismos de control.

Desde hace ya un tiempo, el sistema financiero argentino comenzó a incentivar el uso de la banca online para reducir las salideras bancarias, un flagelo al que se vieron expuestos muchos argentinos.

Sin embargo, el uso de sistemas de pago vía web -si bien evita el riesgo físico de un acto vandálico- no impide que muchos usuarios sufran "robos virtuales", perpetrados por los delincuentes informáticos.

Ante esta situación, las entidades avanzaron en una nueva instrumentación que, por estas horas, está tomando por sorpresa a muchos argentinos: el uso de "Tarjetas Coordenadas" para realizar transacciones en sus sistemas de Home Banking.

Contenido completo en fuente original iProfesional

Seguir leyendo...

El 40% de las organizaciones no revisa anualmente sus políticas de seguridad

Según un sondeo realizado por Fortinet, solo un 60% de las empresas revisa anualmente sus criterios de seguridad. Además, las nuevas tendencias obligan a una reformulación de estas políticas. El 16% de las empresas no han revisado sus políticas de seguridad en los últimos tres años

Fortinet ha desvelado los resultados de la investigación sobre las estrategias en seguridad TI realizada entre 300 medianas y grandes compañías en Europa, según informa Computerworld España. El estudio recoge las consultas realizadas a los responsables en materia de TI en empresas de España, Francia, Alemania, Italia, Países Bajos y Reino Unido y desvela la preocupación de los responsables de seguridad frente a la vulnerabilidad de las redes inalámbricas y el poder que tiene el usuario de dispositivos inteligentes en el entorno corporativo

En el informe se analizan los principales impulsores de los cambios estratégicos en el área de seguridad, entre los que se mantiene uno de los clásicos: la lucha frente a la sofisticación de los ataques y amenazas (25% de los consultados lo señalaron como el factor determinante) , seguido del cumplimiento de normativas (16%). Sin embargo, las nuevas tendencias pesan cada vez más en las decisiones de los CSO y se ven condicionados por fenómenos como el cloud computing (18%), la movilidad (16%) y la virtualización (13%), todas ellas señaladas como principales factores que influyen en la reevaluación de sus estrategias de seguridad TI.

Contenido completo en fuente original CSO España

Seguir leyendo...

¿RIP Lulzsec?

Finalmente luego de 50 días de ataques y publicación de información confidencial de decenas de empresas, Lulzsec ha dicho que "deja de navegar y que se unirá a Anonymous".

Lo que no mencionan en su Twitter es que dicha acción seguramente responde al descubrimiento de la identidad de su lider Sabu que se sabe fue un miembro disidente de Anonymous y que posteriormente comenzó a reclutar personas decididas a atacar distintas empresas y organizaciones internacionales. Además,esta posible desaparición del grupo también responda a que Sabu y otros miembros de Anonymous están siendo rastreados y su detención por parte de la ley no tardará en llegar.

LulSec ha emitido también un comunicado en referencia a la operación ejecutada donde brinda acceso a la información sustraída. "Un pequeño adelanto mientras trabajamos en nuestra siguiente publicación: ¿Interesado alguna vez en entrenamiento anti ciberterrorista?#AntiSec".

En lo que quizás sea su último anuncio dijeron "Nuestro planeado crucero de 50 días ha expirado, y ahora debemos navegar hacia la distancia, dejando detrás - esperamos - inspiración, temor, negación, felicidad, aprobación, desaprobación, burlas, vergüenza, consideración, envidia, odio e incluso amor" y cierran con este mensaje "Please make mirrors of material on the website, because we're not renewing the hosting. Goodbye".

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Publicado Boletín 173 de Segu-Info - 26/06/2011

En el día de la fecha hemos publicado nuestro boletín quincenal y los temas tratados son los siguientes:

1. Cómo evitar la fuga de información en las organizaciones
2. Beca para curso de Informática Forense
3. Segu-Info busca autores
4. Apoya a Segu-Kids, Juntos en la Red

A continuación se puede Leer el Boletín 173 o registrarse para recibirlo en su correo electrónico.

Seguir leyendo...

Sony despidió personal de seguridad justo antes del hackeo

Una demanda colectiva contra Sony ingresada en Estados Unidos dice que la empresa fue negligente respecto a su seguridad online, lo que permitió los múltiples hackeos que sufrió la compañía y que involucraron la pérdida de información de clientes, incluyendo números de tarjetas de crédito.
La demanda cita una serie de testigos confidenciales que aseguran que la seguridad de Sony era débil, agregando además que la compañía despidió a una parte de los encargados de este tema poco antes de los ataques.

“Sony estaba más preocupado de evitar que el servidor de desarrollo fuera hackeado que de proteger la información de los clientes. Quieren protegerse a sí mismos y no a la gente que usa sus servidores”, dice uno de los testigos citados en la demanda.

El documento señala que la japonesa incluso estaba recortando costos en esta área. Dos semanas antes del ataque, Sony despidió a 200 trabajadores de Sony Online Entertainment, “incluyendo una cantidad de empleados del Centro de Operaciones de Redes, que, de acuerdo al Testigo Confidencial 2, es el grupo responsable de preparar y responder a las violaciones de seguridad”.

Esto podría significar que algún empleado enojado colaboró con el hackeo, pero habrá que esperar  a ver si aparece alguna prueba al respecto.

La demanda también menciona que el presidente de Sony, Kazuo Hirai, dijo que tras los ataques las prácticas de seguridad de la empresa serán “puestas al nivel de los estándares de la industria o mejor”, lo que podría interpretarse como una admisión de que antes de los ataques la seguridad estaba por debajo de los estándares.

La demanda pide un castigo “ejemplar” para Sony si actuó de manera negligente en la protección de los datos de sus clientes, además de compensaciones justas para los afectados.

Fuente: FayerWayer

Seguir leyendo...

Publicación de vulnerabilidades en e-ducativa LMS

E-ducativa es una herramienta de e-learning para dictado de cursos a través de Internet. La compañia nació en la ciudad de Rosario (Argentina) y actualmente también comercializa sus productos en España, teniendo clientes de todo el mundo.

Lamentablemente en el día de hoy se ha publicado su código fuente y una herramienta de explotación de vulnerabilidades de SQL y XSS, que podrían ser utilizados en todos los sitios que utilizan e-learning como plataforma para sus cursos en línea.

Advertimos a todos los usuarios de esta plataforma sobre la existencia de dichas vulnerabilidades para que procedan a la corrección de las mismas. Para evitar ataques y mayores desastres Segu-Info no publicará los detalles ni los sitios desde donde se pueden descargar los exploits y herramientas.

¡Gracias @cortezcristian por el aviso!

Actualización 17:00: quienes originalmente habían publicado el código ahora dicen estar trabajando con los creadores de e-ducativa. ¿No deberían haberlo hecho antes?

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Europa quiere que la opción "do not track" sea un estándar para 2012

Incorpora en Firefox 4 y recientemente en la versión para Android de Firefox 5, ‘do not track’ permite a los usuarios decirle a las páginas web que no quieren que se les siga la pista en Internet.

Los miembros de la Unión Europea se ha propuesto convertir la opción do not track (DNT) en un estándar dentro de un año, de forma que los ciudadanos tengan un método para asegurar que las páginas web no recopilen información sobre sus hábitos navegación en Internet.

Ha sido Neelie Kroes, vicepresidenta de la Agenda Digital, quien en un encuentro en Bruselas ha dicho que las naciones necesitan generar el estándar "para asegurar la confianza en el mundo online".

Kroes ha pedido a las naciones a que autorregulen el estándar, pero al mismo tiempo asegura que si ve que no lo hacen les forzará a ello porque cree firmemente en que el estándar es vital para el futuro desarrollo de los negocios online.

"Si no veo un desarrollo rápido y satisfactorio no vacilaré en emplear todas las medidas disponibles para asegurar el derecho a la privacidad de los ciudadanos", ha dicho Kroes.

En el encuetnro en Bruselas Kroes ha dicho sentirse preocupada por lo que está ocurriendo: "brechas de datos que afectan a miles, sino millones de usuarios; redes sociales que incorporan nuevas características con ajustes por defecto muy abiertos; exposición y robo de identidad".

La opción ‘do not track’ ha sido incorporada recientemente en la versión de Firefox 5 para Android, aunque ya se incluyó en Firefox 4, un navegador que se ha hecho muy popular en los últimos, y con el que Mozilla ha conseguido superar a Internet Explorer en Europa.

Fuente: ITExpresso

Seguir leyendo...

Qué no hacer al gestionar incidentes de seguridad

Por Mariano del Rio

En los últimos tiempos se han presentado distintos incidentes de seguridad que han puesto al mundo en alerta, a las compañías involucradas en la mira y a los datos personales y la privacidad en jaque. Gigantes de la Tecnología y el Entretenimiento se han visto afectados, datos personales robados, tus gustos, intereses y hábitos al descubierto.

El objetivo de presente artículo es analizar distintas acciones que se han llevado a cabo en alguno de los incidentes de las empresas descritas, para identificar en base a estas experiencias, ¿qué cosas no debemos hacer si tenemos que gestionar un incidente de seguridad en nuestra Organización?

Sobre este tema se hablará en profundidad en Charla gratuita "La fuga de información como desafío en las empresas", el próximo 30 de junio en ISACA.

Contenido completo en fuente original SecuritybyDefault

Seguir leyendo...

¿Cómo enfrentar el robo de datos y la fuga de información sensible?

Por Macarena Pereyra Rosas (*)

Días atrás nos sorprendíamos, nuevamente, con la violación de seguridad y el acceso indebido a los servidores de las compañías Sony y Citigroup, y del FMI (y otros organismos importantes de EE.UU.), por nombrar algunos casos de renombre. Los ataques, ejecutados por piratas informáticos que violaron y se colaron indebidamente en sus servidores, provocaron que quedaran expuestos secretos comerciales, datos personales e información sensible de miles de damnificados.

El ataque informático es uno de los tantos episodios que a diario se repiten y que redobla la apuesta sobre la necesidad de lograr una línea racional y jurídica que permita proteger todos los sistemas informáticos.

No obstante, algo debemos tener en claro: la ciberdelincuencia no guarda reparos ni admite excepciones, sólo lleva adelante su plan maestro y celebra el daño y sus posibles consecuencias. Que hayan ingresado a los servidores de aquellos amerita un cambio radical en las conductas de protección de datos de usuarios, empresas, organismos y estados.

En nuestro país acciones como las mencionadas al principio hubieran encuadrado dentro del acceso ilegítimo a un sistema o dato informático (hacking), ya que desde el dictado de la Ley 26.388 de Delitos Informáticos (LDI) se produjo un cambio sustancial en el tratamiento de estos temas.

El hackeo, en este caso, podría ser considerado como una instigación al delito e, incluso, una asociación ilícita, y esto es importante. El agravamiento de las penas se impone sustancial porque podría impactar en futuros casos. Ahora bien, las demás acciones cometidas, en principio, podrían encuadrar en las figuras de acceso ilegítimo a un sistema o banco de datos y en el delito de daños.

El acceso ilegítimo se encuentra regulado en el Art. 153 bis de nuestro Código Penal que sanciona el acceso no autorizado a un sistema o dato informático, permitiendo repeler la acción de entrar o acceder sin autorización, vulnerando barreras de protección establecidas. Para cometer este delito no es necesario que se configure un daño, sino que la mera intrusión sin autorización configura una conducta indebida.

Si, además de la intrusión, se produce una alteración, destrucción o inutilización de datos, documentos, programas o sistemas informáticos, se comete delito de daño. Evidentemente, las acciones desplegadas sobre sitios o servidores consistentes en insertar leyendas, contenidos o impidiendo su acceso, pueden configurar además de otros delitos, el de daño y acceso indebido.

Los jueces deben ver el encuadre de cada acción considerando para ello los contenidos y servicios de cada una de los damnificados. Claramente, a partir del dictado de la citada ley, la Justicia tiene herramientas para perseguir este tipo de acciones que atentan contra la comunidad en su conjunto, siendo fundamental que todos seamos conscientes de la magnitud de las mismas. A partir de ahora, la violación de la privacidad y la interrupción de servicios vía web, sea mediante el acceso indebido a un sistema o dato informático o la alteración de su contenido, tienen sanciones penales.

El hacking suele ser la puerta de entrada para el robo de datos, información o secretos comerciales de las empresas, de sus clientes, proveedores o personal. Y está visto que si golpearon a las puertas de Sony, Citigroup y el FMI, bien podrán, en un futuro, golpear a las nuestras.

Afortunadamente existen herramientas legales para hacer frente a estas amenazas. Pero, es muy importante que los usuarios y empresarios se concienticen que existen y que les permiten prevenir los diferentes daños; caso que estos se hayan producido adoptar correctivos para reducirlos.

(*)Socia de Carranza Torres & Asociados

Fuente: Ambito

Seguir leyendo...

OWASP Mantra Security Framework para análisis de aplicaciones web

OWASP Mantra Security Framework es una herramienta de seguridad gratuita y abierta con una colección de herramientas de hacking, add-ons y scripts basado en Firefox, diseñada para pruebas de penetración de aplicaciones web.

La intención es proporcionar una plataforma para realizar pruebas de penetración utilizando el poder del software de código abierto y especialmente los complementos menos conocidos y que normalmente no se utilizan o no son fáciles de incluir en cualquier escáner automático de vulnerabilidades.

Herramientas incluidas

+Information Gathering
- Whois
- Location Info
- Enumeration and Fingerprint
- Data Mining
+Editors
- Cert Viewer Plus
- Firebug
- JSView
+Network Utilities
- Protocols and applications
- Sniffers
- Password
+Miscellaneous
- Tweaks and Hacks
- Malware scanner
- Automation
- Others
+Application Auditing
- Hackbar
- JavaScript Deobfuscator
- RESTClient
- Tamper Data
- Live HTTP Headers
- RefControl
- User Agent Switcher
- Web Developer
- DOM Inspector
- Inspect This
- Formfox
- Exploit Me
- Cookies
+Proxy
- FoxyProxy Standard 2.22.6
- HttpFox

La herramientas puede descargarse e instalarse desde su sitio oficial en OWASP o utilizarse desde Backtrack 5.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Phishing a Bancomer (México) con datos robados desde 2009

Nos han reportado un caso de Phishing al Banco Bancomer de México en donde el delincuente ha creado el sitio falso sobre un dominio vulnerado y también ha almacenado los archivos con la información robada en el mismo servidor: http://popul[ELIMINADO]/.smileys/www.bancomer.com/bbva/mexiconet/Logon/App/auth/empresa/

El correo con el asunto "Es necesario activar el nuevo formato de Seguridad en Línea BBVA" que recibe el usuario es el siguiente:

Si el usuario ingresa al sitio falso verá la siguiente pantalla:

La misma ha sido construida con diferentes iframes alojados en distintos directorios del servidor vulnerable, tal y como se puede ver en el siguiente código fuente:

Si el usuario ingresa sus datos, los mismos son almacenados en dos archivos llamados loguitos.html y resultados.html que forman parte de uno de los directorios creados:

Es curioso observar que los primeros datos robados fueron almacenados allí durante 2009, lo cual puede indicar que el sitio falso se encontraba allí desde esa fecha o bien el delincuente copió un archivos viejo de prueba al servidor vulnerado. De todos modo esto indica que el delincuente se encuentra operando desde hace al menos dos años:

Luego de la denuncia de Segu-Info, el sitio fue bloqueado y posteriormente eliminado del servidor.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Guía para controlar un ataque de Denegación de Servicio

Los ataques de denegación de servicio (DoS) son uno de los ataques informáticos que hemos observado hace ya muchos años, y que aún siguen vigentes. En forma sencilla, consisten en un ataque hacia algún servicio informático (generalmente alojado en uno o varios servidores), con el ánimo de que este deje de funcionar. El ataque consiste en enviar determinados paquetes al objetivo, de forma tal de saturar los recursos que este puede procesar, y que así el servidor se vea en la necesidad de suspender la provisión del servicio. Como ataque derivado, aparecen los ataques de denegación de servicio distribuido (DDoS), donde el mismo es lanzado, no desde un sistema informático, sino desde múltiples nodos que realizan el ataque de forma simultánea.

Las redes botnets suelen ser utilizadas con estos fines, pudiendo lograr que todos los equipos zombis realicen el ataque contra el objetivo de forma simultánea, logrando mayor efectividad en el ataque. Asimismo, estos ataques están cada vez más asociados al hacktivismo, del cual ya hablamos en este mismo espacio. Un ejemplo de esto son los ataques contra la SGAE, o aquellos derivados contra PayPal, Visa y Mastercad a raíz del incidente de Wikileaks.

Es decir que, a pesar de su antigüedad, los ataques de denegación de servicio siguen vigentes, y es uno de los riesgos que las organizaciones deben considerar al momento de diseñar una estrategia de seguridad de la información. ¿Cómo controlar un ataque de denegación de servicio? Sobre este tema, hace unos días me encontré con esta interesante guía desarrollada por el CERT, titulada DDoS incident response (respuesta ante un incidente de DDoS), el cual recomiendo leer y tomar en cuenta para que la red de su empresa u organización esté preparada para enfrentar, si ocurriera, este tipo de ataque.

La guía considera seis pasos en el proceso de responder a un ataque de denegación de servicio. El primero de ellos, es la preparación. Aunque muchos habrán imaginado que la guía comenzaría cuando se detecta el incidente (segundo paso), la realidad es que para una correcta gestión de la seguridad, es necesario estar preparados, y es en esta etapa donde se recomienda, entre otras cosas, contar con un adecuado mapa de la red y conocimiento de la infraestructura, definir las personas a contactar ante la identificación del ataque y crear los procedimientos adecuados. Aunque sea redundante, estar preparados; y me animo a decir que este es el paso más importante.

Posteriormente, como ya se dijo, viene el paso de la identificación: detectar el ataque, determinar el alcance del mismo y, no menos importante, involucrar a las partes involucradas. Y este es, a mi criterio, un aspecto fundamental: ¿cuánto tarda el gerente de una empresa en enterarse de este incidente? Aunque muchas veces las comunicaciones suelen realizarse luego de haber controlado la situación, es recomendable involucrar a las personas correctas en esta etapa, donde luego será necesario hacer un análisis de la situación, y del ataque en particular.

Posteriormente, viene la etapa de contención. Esta, consiste en trabajar sobre los dispositivos de red, para lograr que el tráfico malicioso no afecte el funcionamiento del servicio, ya sea bloqueando o redirigiendo los paquetes del ataque, o bien buscando nuevos canales de comunicación entre el servicio y sus usuarios.

La cuarta etapa, consiste en la remediación: aún controlada la situación, es necesario detener el ataque de denegación de servicio. Cuánto más rápido se llegue a esta etapa, menor será el impacto (especialmente económico) del ataque. En esta etapa, es probable que se deba involucrar el proveedor de ISP, por lo que es recomendable saber cuál es el procedimiento para ello (primera etapa). El documento del CERT también aconseja, en caso de tener suficiente información, considerar involucrar a las fuerzas de seguridad en función de lo que determinen los departamentos legales de la empresa.

El ante último paso, la recuperación, consiste en volver el servicio al estado original. Si se realizaron direcciones de tráfico o cambios en las configuraciones durante el ataque, una vez que este ha terminado es necesario volver todo al estado original. Es importante estar seguro al momento de estar estos pasos, ya que si no se hicieron las etapas anteriores cuidadosamente, es probable que vuelvan a aparecer falencias en el servicio.

Finalmente, el sexto y último paso consiste en el post-ataque, etapa donde se debe analizar lo ocurrido y, entre otras acciones, se debe:

• Documentar los detalles del incidente.
• Discutir lecciones aprendidas y verificar si se pudiera haber evitado o controlado mejor el incidente.
• Volver a la etapa uno y prepararse mejor en caso de una nueva ocurrencia del ataque.

Es una realidad: la mayoría de los lectores que tengan alguna responsabilidad sobre la seguridad de una red, no estarán trabajando en una organización que reciba cotidianamente ataques de denegación de servicio. Más bien, podríamos decir que suelen ser excepcionales, y aquí radica un aspecto fundamental: ¿estamos preparados para enfrentar ataques no frecuentes? Independientemente de cuándo ocurran, es en ese momento donde las empresas suelen arrepentirse de no estar listas para enfrentar la situación, por lo que, si está a su alcance, les recomiendo descargar la guía y dedicarle unas horas a la etapa número uno: prepararse. Como también indica el propio documento, recuerden, si se encuentran ante este ataque contra su organización, “siga los pasos de la guía, tome nota y no entre en pánico”.

Fuente: ESET Latinoamérica

Seguir leyendo...

LulzSec atacó el sitio del gobierno brasileño

Ayer miércoles el grupo LulzSecBrazil atacó las páginas de la Presidencia de la República de Brasil y según informa oGlobo fue el ataque más grande sufrido por la red informática del gobierno brasileño. Según el Servicio Federal de Procesamiento de Datos (Serpro), el ataque DDoS, que no causó daños a la información disponible en las páginas, partió de servidores situados en Italia pero desde Segu-Info hemos podido comprobar que el grupo hoy ya publicó información en su portal.

La acción fue reivindicada por el grupo LulzSecBrazil grupo, que tendría vínculos con LulzSec, responsables de los recientes ataques contra las compañías de videojuegos como Sony y Nintendo, los EE.UU. las cadenas de televisión Fox y PBS, y las agencias del gobierno de EE.UU. como la CIA (agencia de inteligencia de EE.UU.) y FBI (policía federal), y el servicio británico de salud pública, el NHS.

El Secretario de Prensa de la Presidencia emitió un comunicado oficial diciendo que el Gobierno Federal de Procesamiento de Datos (Serpro) detectó y bloqueó el intento de ataque a las páginas de la Presidencia de la República y el Portal de Rentas.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Informe de DLP: Prevención de fuga de información

La mayoría de las empresas utiliza salvaguardas para controlar la información sensitiva. Sin embargo, a menudo estos controles no son permanentes y se administran en diferentes puntos de la empresa con diferentes niveles de diligencia y eficacia. El resultado es que a pesar de sus esfuerzos, en empresas a todo lo largo y ancho del mundo se producen fugas de grandes volúmenes de información sensitiva. Estas fugas generan un riesgo considerable para las empresas, sus clientes y socios comerciales, y tienen el potencial de ejercer un impacto negativo sobre la reputación del negocio, su cumplimiento, ventajas competitivas, finanzas, confianza de los clientes y socios comerciales.

La preocupación por esta necesidad de tener un mejor control y proteger información sensitiva ha dado lugar a un nuevo conjunto de soluciones dirigidas a mejorar la capacidad de una empresa para proteger sus activos de información. Estas soluciones son variadas en cuanto a sus capacidades y metodologías, pero, en conjunto, se han ubicado dentro de una categoría conocida como prevención de fuga de datos (DLP). Si bien todavía es una tecnología joven, la DLP se está adoptando cada vez más y un número creciente de productos está siendo lanzado al mercado. En un estudio de TheInfoPro publicado a principios de este año, la DLP se calificó como una primera prioridad para los presupuestos de seguridad de las empresas.

Este informe de ISACA [PDF] ofrece una visión general de la DLP y explora los beneficios, riesgos y razones para que una empresa la utilice. Asimismo, analiza factores importantes que se deben considerar al seleccionar y desplegar una solución de DLP. Finalmente, examina consideraciones sobre aseguramiento y gobierno relacionadas con la puesta en funcionamiento de una solución de DLP.

Cabe mencionar que si bien las soluciones de DLP tienen la capacidad de interceptar algunos intentos maliciosos o delictivos de robo de información, la tecnología todavía no está suficientemente desarrollada para impedir métodos más sofisticados de robo de datos. Afortunadamente, el consenso general es que estos casos constituyen una parte muy pequeña del riesgo general de la fuga de datos. En un informe publicado en marzo de 2009 por el Instituto Ponemon, se estima que 88 por ciento de los incidentes relacionados con fuga de datos fueron debidos a negligencia por parte de los usuarios y 12 por ciento se debió a intentos maliciosos. No obstante, este bajo porcentaje puede ser algo engañoso, pues normalmente un porcentaje mucho mayor de robos maliciosos de datos que de pérdidas accidentales conducirá a acciones adversas.

Fuente: ISACA

Seguir leyendo...

DOM Snitch, extensión de Chrome para analizar código fuente

Google ha lanzado una herramienta de código abierto llamada DOM Snitch que indica qué software de una página web podría ser peligroso ejecutar en un navegador.

El software es una extensión experimental en Chrome que examina cómo se ejecuta el código de una página web para ver si los comandos llevarían a un ataque Cross-Site Scripting o de otro tipo utilizado para colar malware en el equipo a través del navegador.

DOM Snitch "permite a los navegadores y testers identificar prácticas inseguras", ha dicho Radoslav Vasilev, ingeniero de seguridad en Google, en el blog de la compañía, donde asegura que para hacer esto se han adoptado "varios métodos para interceptar llamadas Java Script a la infraestructura del navegador claves y potencialmente peligrosas, como document.write o HTMLElement.innerHTML (entre otros)".

Vasilev asegura que una vez que una llamada de JavaScript ha sido interceptada DOM Snitch evalúa si esto conllevará un ataque Cross-Site Scripting, modificaciones inseguras u otros problemas.

El lanzamiento de DOM Snitch se enmarca en la estrategia de Google de mejorar la seguridad de Chrome. Otros productos de seguridad de código abierto de la compañía son Skipfish y Ratproxy, que permite a los usuarios comprobar la seguridad de las aplicaciones web.

Fuente: ITExpresso

Seguir leyendo...

Pérdidas de Sony luego de la fuga de información

Sony ya sabe que perderá varios miles de millones de dólares en este año fiscal. Originalmente, Sony planeaba ganar 857 millones de dólares este año, pero sus problemas recientes, inevitablemente, van a costarle miles de millones de dólares a la empresa. La última estimación es U$S 3,7 mil millones (sin incluir juicios).

"Con base en información actualmente disponible, los costos actualmente conocidos asociados a los accesos no autorizados a la red, se estima en aproximadamente U$S 171,4 millones en el año fiscal que termina el 13 de marzo 2012", según Sony. Esta cifra no incluye los honorarios de abogados (y los juicios posibles) en relación con las acciones colectivas y numerosas demandas individuales presentadas contra la compañía. Sony reconoce que podría perder más dinero si las víctimas de la violación de los datos se convierten en víctimas de robo de identidad o de fraude al consumidor.

Irónicamente, el reciente terremoto en Japón costará a la compañía mucho menos que la violación de datos. ¿Cuánto? Sony dice que el terremoto tendrá un costo de la empresa de aproximadamente U$S 208 millones.

Fuente: Consumer

Seguir leyendo...