Informa sobre enlaces engañosos, engaños mediante ingeniería social, robo de contraseñas, phising, diferencia entre hacker y los crackers y demás.
miércoles, 5 de junio de 2013
Criptología, algo tan importante como antigüo...
Historia
En el año 500 a.C. los griegos utilizaron un cilindro llamado "scytale" alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al enrollar el cuero nuevamente en un cilindro de igual diámetro. (Imagen ilustrativa)
Durante el Imperio Romano Julio Cesar empleo un sistema de cifrado consistente en sustituir la letra a encriptar por otra letra distanciada a tres posiciones más adelante. Durante su reinado, los mensajes de Julio Cesar nunca fueron desencriptados.
En el S. XII Roger Bacon y en el S. XV León Batista Alberti inventaron y publicaron sendos algoritmos de encriptación basados en modificaciones del método de Julio César.
Durante la segunda guerra mundial en un lugar llamado Bletchley Park (70 Km al norte de Londres) un grupo de científicos trabajaba en Enigma, la máquina encargada de cifrar los mensajes secretos alemanes.
En este grupo se encontraban tres matemáticos polacos llamados Marian Rejewski, Jerzy Rozycki, Henryk Zygalski y "un joven que se mordía siempre las pieles alrededor de las uñas, iba con ropa sin planchar y era más bien bajito. Este joven retraído se llamaba Alan Turing y había sido reclutado porque unos años antes había creado un ordenador binario. Probablemente poca gente en los servicios secretos ingleses sabía lo que era un ordenador (y mucho menos binario)... pero no cabía duda que sólo alguien realmente inteligente podía inventar algo así, cualquier cosa que eso fuese...
Era mucho más abstracto que todos sus antecesores y sólo utilizaba 0 y 1 como valores posibles de las variables de su álgebra." (1).
Sería Turing el encargado de descifrar el primer mensaje de Enigma y, cambiar el curso de la guerra, la historia y de... la Seguridad Informática actual.
martes, 4 de junio de 2013
Seguridad e-commerce: como protegerse y prevenir los ataques
Los
ciudadanos hoy son más digitales que nunca. La tecnología está al alcance de la
mano y a través de ella cualquier necesidad puede ser suplida. El uso de dispositivos móviles es
cada vez más frecuente y las redes son más rápidas. En este contexto el
comercio electrónico se ha fortalecido y han surgido grandes oportunidades
para que los comerciantes de todas las ramas puedan hacer negocios en
la web y los consumidores puedan adquirir nuevos servicios y productos.
Una
de las causas que frena el desarrollo del comercio electrónico son los
problemas de seguridad que aparecen atados al mismo. En los últimos
años las empresas han empezado a promocionar opciones de facturación
electrónica (e-factura) y de “carrito de compras”, impulsándolos como
formas para ahorrar tiempo y costos.
Pese
al desarrollo de la tecnología en materia de e-commerce, la inseguridad y la
falta de confianza que se generan en el consumidor final abren
una gran brecha entre el manejo de los datos personales y financieros, y
la calidad y destino que tenga el producto o servicio adquirido.
Dos
de las mayores amenazas a las que está expuesto el e-commerce, m-commerce y
hasta el tv-commerce son el 'Phishing' y el 'Spam', los cuales
generalmente buscan conseguir información confidencial de forma
fraudulenta (contraseñas, datos de cuentas personales, suscripciones,
correos electrónicos, códigos PIN, etc.).
Un
clásico ejemplo de estos fraudes informáticos se
presenta cuando el usuario recibe un correo electrónico que en
apariencia proviene de su banco, en el cual se le pide que inicie
sesión en una plataforma amigable y 'segura' (que a su vez parece provenir
de la misma entidad) a la cual ingresa, usando sus identificación,
contraseñas, información bancaria, etc. En este punto, los delincuentes ya
tienen acceso a la información y la posibilidad que el cliente sea víctima
de un delito aumenta.
Es
importante recordar que ninguna entidad
financiera solicita confirmación de datos a través de correos
electrónicos o similares, bajo ninguna circunstancia.
Por todo lo anterior, es normal que como
usuarios nos preguntemos antes de realizar una transacción online, si la
empresa que ofrece el producto o servicio corresponde realmente a una
organización confiable o si nuestra información está en riesgo. ¿Es
cierto que el que está detrás de esa web es quien dice ser?, ¿qué hacen
con la información personal y financiera que les facilito?
Lo primero que debemos tener claro, es que en los
procesos de e-commerce fraudulentos existen cuatro actores implícitos:
- El comprador que usa su
navegador para localizar el sitio de compra y el producto.
- El sitio web que es gestionado por
un usuario, el cual llamaremos comerciante.
- A su vez, el comerciante contrata
servicios de terceros para llevar a cabo una limpia y segura transacción,
quien es conocido como proveedor.
- El atacante es el último
jugador en acción, cuyo objetivo es explotar los
otros tres en el campo, para obtener beneficios de forma
ilegítima.
A partir de lo anterior, encontramos que existen
varios métodos de 'ataque' que podrían hacer vulnerable nuestras transacciones.
- Engañar al comprador. También
conocida como la técnica de ingeniería social en la
cual está implícita una vigilancia al comportamiento del
comprador. Un escenario común es el de registro de usuarios y contraseñas
en sitios de mayor interés especialmente bancos, redes sociales
y portales como e-bay o mercadolibre.
- Espiar el ordenador del comprador. Millones de
computadoras se enlazan a internet cada mes y los conocimientos de los
usuarios sobre vulnerabilidades suelen ser muy escasos. Las
empresas proveedoras de software y hardware en su afán por garantizar que
sus productos sean fáciles de instalar, desactivan
sus funciones de seguridad haciéndolos vulnerables. Esos vacíos
son aprovechados por los atacantes, quienes con ciertas técnicas de
escaneo de puertos detectan los puntos de entrada al computador,
accediendo así al sistema operativo, y a la información personal
y financiera del usuario.
- Fisgonear la red. En este esquema, el atacante controla los datos entre el ordenador del comprador y el servidor, interceptando los paquetes de datos que van de un servidor a otro, usando un software criptográfico para descifrarlos, permitiendo al atacante tener acceso a los datos que circulan online.
Sabiendo lo anterior, tenemos un punto de
partida para hacer nuestras transacciones virtuales de una forma segura y sin
riesgos, siguiendo unas sencillas recomendaciones:
- Tenga en cuenta que los portales o las páginas
en las que se va a realizar alguna transacción deben tener
instalado un certificado digital SSL, gracias al cual tenemos certeza
de estar en el sitio ‘oficial’ de la entidad. Esto lo sabremos porque al
entrar al sitio veremos que la dirección URL del
sitio cambiará de http:// a https:// (se
añadirá una “s” al protocolo que utiliza el cifrado SSL).
- Sospeche siempre de cualquier correo
electrónico con solicitudes urgentes de información financiera personal.
Evítelos por completo y en caso de tener dudas comuníquese con los canales
oficiales de su entidad bancaria, antes de registrar cualquier dato en
otro lugar.
- Procure que su contraseña, aparte de letras y
números, contenga caracteres especiales (*, ¿, &, etc.), los
cuales dificultan el trabajo de los delincuentes informáticos.
- Cuando conecte su equipo a una red asegúrese
tener activado el “Firewall”, con esto reduce posibles
vacíos de seguridad.
- No se puede estar seguro de que un correo
electrónico con contenidos financieros sea verídico a menos que
cuente con una firma digital (sistema encriptado de
registro de la identidad del emisor del contenido electrónico). Los
phisher suelen incluir contenidos tentadores o inquietantes (pero falsos)
en sus correos para que el usuario acceda de inmediato.
- No utilice los enlaces o links
incluidos en un mensaje de correo electrónico o en el chat para ir a
cualquier sitio web. Si sospecha que no es un link auténtico, ni
reconoce al remitente evite dar clic y póngase en contacto con la entidad remitente.
- Evite diligenciar formularios de encuestas o
suscripciones.
- Adquiera el hábito de revisar
la dirección URL. Los sitios de transacciones
electrónicas mantienen visible su nombre dentro de su URL para garantizar
la seguridad; lea siempre a dónde se está dirigiendo su información y en
caso de dudas cancele la transacción que esté realizando.
- Considere la instalación de un
navegador web con barra de herramientas que ayude a
proteger la información de los sitios fraudulentos. Internet
Explorer y Mozilla Firefox cuentan con estas herramientas.
- Inicie sesión regularmente con sus
cuentas en línea. Asegúrese de no dejar habilitado en su navegador la
opción de “recordar contraseña” por
defecto. Cualquiera podría tener acceso a los
datos y poner en riesgo su información.
- Asegúrese que su navegador web esté
actualizado para contar con los nuevos sistemas de seguridad.
Como resumen les dejo una entrevista, en un programa nacional (Banda 3.0), para proteger datos personales.
lunes, 3 de junio de 2013
RESGUARDAR LA SEGURIDAD INFORMÁTICA EN 2013
Hola Chicos! Encontré este artículo que me resultó muy interesante para proteger nuestros datos cuando no tenemos nuestras PC's y necesitamos acceder a nuestra información, y decidí compartirlo.
Recientes ataques a redes sociales han encendido alertas con respecto a proteger la información personal en internet. Existen diversas alternativas para impedir que extraños accedan a nuestra información, pero todas confluyen en una estrategia: la portabilidad de datos.
Durante la primera semana de febrero hemos sabido del robo de 250 mil contraseñas de Twitter. Mientras la red de microblogging ejecuta medidas para evitar nuevos hackeos, los usuarios pueden desarrollar sus propias estrategias para resguardar sus datos y realizar una navegación segura.
La principal medida que deben tomar los usuarios de Internet es evitar el uso de computadores desconocidos para acceder a sus cuentas personales, ya sea correo electrónico o redes sociales, y preferir los dispositivos propios, administrados según las disposiciones de seguridad que el propio usuario haya establecido.
Si no siempre es posible cargar con un dispositivo propio, una solución liviana y efectiva es tener un pendrive con urDrive, software que cuenta con navegador web y antivirus instalado. Este tipo de pendrives guarda las cookies y archivos temporales de Internet en su propia memoria, junto con las páginas favoritas y el historial de navegación, de manera de no dejar huellas en el computador que se está usando.
Los pendrives con urDrive también cuentan con un antivirus que realiza un escaneo completo para detectar virus, incluyendo spyware, worms y adware, revisa qué está pasando si hay desempeño lento, y se mantiene atento a los riesgos de exposición de identidad y datos.
El software urDrive viene precargado en los pendrives Kingston DT 101G2, DT 108 y DT 109, DT SE9 y DT G3.
Una tercera opción aún más segura es usar un pendrive con encriptación de hardware. Este tipo de dispositivos cuenta con un sistema de contraseñas personalizable para proteger la información. En caso de que un extraño intente acceder a la contraseña, al décimo intento el pendrive se reformatea automáticamente. El pendrive Kingston DT Locker+ G2 es ejemplo de esto.
Actualmente existen pendrives con capacidades crecientes, por lo que se están convirtiendo en una alternativa viable para mantener los datos protegidos de ojos intrusos. El más grande disponible es de Kingston y tiene 512GB, y durante 2013 saldrá al mercado uno de 1TB, también de Kingston, que ampliará la posibilidad de tener la información “donde mis ojos la vean”.
Fuente: http://enfoqueit.com/tecnologia/resguardar-la-seguridad-informatica-en-2013/
domingo, 2 de junio de 2013
Al incrementar la seguridad informática, desciende el confort del personal.
Encontré un artículo que me pareció interesante ya que se
refiere a la relación entre la seguridad informática y el personal de la
empresa.
El autor del artículo sostiene que existe una relación
inversa entre el nivel de seguridad y el confort del personal, es decir a mayor
seguridad menor es el confort.
La justa medida es un equilibrio que debe encontrar cada
empresa mediante prueba y error. Se suele partir de un nivel restrictivo y de
ahí escuchar a los usuarios para dosificarla. Cada firma debe conocer que
necesitan sus empleados para ejercer sus funciones e implementar mecanismos eficientes
para garantizar la seguridad informática.
En mi caso particular que no trabajo, no puedo opinar desde la experiencia, pero me parece que esto puede llegar a suceder porque tal vez las empresas hacen más foco en las amenazas internas es decir las que provienen de los propios empleados, y por esto ellos se sientes controlados en exceso y sufren la falta de confianza. Pero me parece más posible que esto ocurra porque los empleados no lleguen a comprender la importancia de la seguridad informática en la empresa y el importante rol que ellos desempeñan.
Por ello hay que generar conciencia entre los trabajadores
para que conozcan su responsabilidad, respecto a fortalecer la seguridad
informática de la empresa en que trabajan.
Smartphones y tabletas: Se multiplican peligrosamente los programas maliciosos que los infectan!!
En este escenario, Android resulta ser, por su amplia
variedad de aplicaciones y por la facilidad que existe para publicar en su
tienda virtual (Android Market), la plataforma más afectada. Sin embargo, los expertos han comprobado que
todos los celulares, sin importar su sistema operativo, están comenzando a ser
usados como 'agentes transmisores', es decir que, a través de sus sistemas de
almacenamiento (interno o tarjetas SD), los delincuentes infectan de
'carambola' a otras plataformas como Windows. Se han descubierto códigos
maliciosos que son instalados en celulares o tabletas, pero que no infectan a
esos aparatos, sino que se activan cuando el dispositivo se conecta mediante
USB a una red o a un PC, sus verdaderos objetivos.
Pese a que para algunos expertos los virus para celulares
y tabletas no son equiparables hoy, en términos de peligrosidad, a los de los
computadores, no hay duda de que en el mediano plazo comenzarán a causar más
daño. El robo de información personal y de negocios o el espionaje industrial
son algunas de las tendencias que veremos.
Algunas "apps" que protegen:
Para teléfonos que funcionan con Android, hay
aplicaciones como Play Store, AVG Antivirus, Avast Mobile y Lookout que, además
de ofrecer protección, incluyen opciones como la de hallar el equipo de manera
remota en caso de robo o pérdida.
Para los celulares iPhone, Blackberry y Nokia, los
expertos recomiendan buscar programas gratis o de pago de marcas reconocidas
como Norton y McAfee.
Algunos consejos para que minimice los riesgos de
infección:
1. NO al 'hackeo'. Desbloquear el teléfono para saltarse
las limitaciones del fabricante o el operador, con procesos como el 'jailbreak'
(para iPhone y iPad) o el 'root' (para Android) puede exponer al equipo a
infecciones de código malicioso.
2. OJO al conectarse. Las redes Wi-Fi públicas y abiertas
o un PC con dudosa reputación también pueden exponer su celular a virus, que
luego podrían meterse en su PC o su red doméstica.
3. Irónico: desconfíe de los antivirus. Así es, algunos
códigos malignos son 'disfrazados' de programas gratuitos de seguridad.
jueves, 30 de mayo de 2013
Movistar ofrecerá a sus clientes en Argentina un servicio de seguridad informática para teléfonos y computadoras
Con el gran avance que ha habido en el último tiempo en la telefonía celular, estos ya no sólo cumplen sus funciones tradicionales, sino que también cumplen funciones que habitualmente cumplían las computadoras. Los empresarios tienen en sus celulares una "oficina móvil". Por eso todo lo que tiene que ver con el tema de los celulares y la seguridad es un tema de mucha actualidad. En este marco, servicios como los que Movistar ofrecerá a sus clientes son muy valiosos.
Movistar lanzó tres servicios para proteger la información de
smartphones, computadoras personales, notebooks y tabletas de sus
clientes. La solución, desarrollados en conjunto con F-Secure, permite
proteger a los equipos de ataques informáticos, localizar teléfonos
móviles y borrar contenidos a distancia.
El servicio Seguridad Antirrobo Móvil permite localizar mediante GPS
los dispositivos móviles perdidos, bloquearlo a distancia y evitar que
su contenido sea utilizado por terceros. Además, la aplicación enviará
un SMS de alerta a un teléfono pre configurado cuando se ingrese una
tarjeta SIM distinta a la del cliente en el equipo. El servicio tendrá
un costo mensual de 10 pesos argentinos.El servicio Seguridad Total Móvil agrega al paquete anterior opciones de antivirus, firewall, antispyware y navegación segura, entre otros. En tanto, el servicio Seguridad Total PC incluye funcionalidades de antivirus, control parental y navegación. Ambos paquetes costarán 15 pesos mensuales.
Fuente http://www.telesemana.com/blog/2013/05/30/movistar-ofrecera-a-sus-clientes-un-servicio-de-seguridad-informatica-para-telefonos-y-computadoras-en-argentina/
miércoles, 29 de mayo de 2013
GUÍA PARA MANEJAR SUS CONTRASEÑAS DE INTERNET
Facebook, Gmail, Skype, Linkedin, Instagram, Amazon. etcétera. Piense en cuántas cuentas activas tiene usted en Internet. Y por ende cuántas claves debe recordar.
La contraseña del sistema de la universidad, el correo de la oficina, la suscripción al periódico, Cuevana o el banco, que tiene más de una.
Un estudio de Microsoft estimó que el usuario promedio de Internet tiene unas 6,5 claves en la web. Y todas son compartidas con al menos otras cuatro plataformas más. Eso son 10 cuentas.
Pero el estudio concluyó que el promedio de los internautas tiene unas 25 cuentas que requieren de claves. Y que la media de los usuarios teclea unas 8 contraseñas al día.
¿Cuál es la mejor forma de tener el control absoluto sobre sus cuentas sin sacrificar seguridad?
1. Vieja escuela
La primera y más obvia forma de no olvidar las diferentes contraseñas es escribirlas, recomienda la experta en tecnología del diario The New York Times Riva Richmond.
Se suele pensar que esta es la estrategia más riesgosa, porque quien quiera que encuentre ese escrito tiene a un par de clicks de distancia el acceso a su cuenta bancaria, por ejemplo.
Otras opciones de guardar esa lista de claves es entregársela a una persona cercana o hacer un documento en el computador.
El profesor del London School of Economics Edgar Whitley, experto en seguridad de la información, le dice a BBC Mundo que usar lenguaje cifrado es una buena opción.
"Una forma es trasladar las letras una o dos posiciones en el alfabeto", comenta. "Cuando la clave es 'abc', uno pone 'bcd', por ejemplo".
2. Apoyo de las cuentas
Google, Facebook o Twitter tienen diferentes métodos para ayudarle al usuario a recordar su cuenta o resetearla con facilidad. El método más usado entre los servicios para verificar cuentas de usuarios que olvidaron su contraseña son las preguntar: dónde nació, cuál es el segundo nombre de su mamá o cómo se llama su primer profesor en colegio.
Whitley dice, sin embargo, que ese sistema no es ideal: "Son datos fáciles de conseguir para un hacker y mi ciudad favorita no es hoy la misma que la que será en 10 años".
Pero hay otros sistemas. La red social Facebook, por ejemplo, permite cambiar la contraseña sin tener que recordarla a través de un sistema de identificación de los amigos de uno que salen en determinadas fotos.
Google, por su parte, tiene un sistema de verificación por medio del teléfono móvil que, según Whitley, es muy confiable, porque implica el uso de una tecnología de comunicación diferente a internet.
Pero si uno está en un país donde no tiene acceso al móvil, ese sistema no funciona. Y es frecuente que las páginas de los servicios requieran de verificación cuando uno entra en otro país.
3. Alta tecnología
La tercera y mejor forma de organizar las contraseñas es la más avanzada tecnológicamente.
En efecto, existen diferentes aplicaciones basadas en esa tecnología que ayudan a gerenciar las contraseñas y generar sistemas de seguridad.
"Un administrador de contraseñas protege los datos porque le permite utilizar contraseñas que son tan difíciles de descifrar como lo son de recordar", explica el blog especializado The Verge. "En lugar de una contraseña como "lumia920fan", el administrador sugiere algo en la línea de "50P3HofuvzDL"", asegura.
Y, a menos de que a uno le roben la computadora y la tableta, lo más probable es que sea imposible entrar a su cuenta de Gmail, por ejemplo, desde otro dispositivo que no sea el suyo.
La contraseña del sistema de la universidad, el correo de la oficina, la suscripción al periódico, Cuevana o el banco, que tiene más de una.
Un estudio de Microsoft estimó que el usuario promedio de Internet tiene unas 6,5 claves en la web. Y todas son compartidas con al menos otras cuatro plataformas más. Eso son 10 cuentas.
Pero el estudio concluyó que el promedio de los internautas tiene unas 25 cuentas que requieren de claves. Y que la media de los usuarios teclea unas 8 contraseñas al día.
¿Cuál es la mejor forma de tener el control absoluto sobre sus cuentas sin sacrificar seguridad?
1. Vieja escuela
La primera y más obvia forma de no olvidar las diferentes contraseñas es escribirlas, recomienda la experta en tecnología del diario The New York Times Riva Richmond.
Se suele pensar que esta es la estrategia más riesgosa, porque quien quiera que encuentre ese escrito tiene a un par de clicks de distancia el acceso a su cuenta bancaria, por ejemplo.
Otras opciones de guardar esa lista de claves es entregársela a una persona cercana o hacer un documento en el computador.
El profesor del London School of Economics Edgar Whitley, experto en seguridad de la información, le dice a BBC Mundo que usar lenguaje cifrado es una buena opción.
"Una forma es trasladar las letras una o dos posiciones en el alfabeto", comenta. "Cuando la clave es 'abc', uno pone 'bcd', por ejemplo".
2. Apoyo de las cuentas
Google, Facebook o Twitter tienen diferentes métodos para ayudarle al usuario a recordar su cuenta o resetearla con facilidad. El método más usado entre los servicios para verificar cuentas de usuarios que olvidaron su contraseña son las preguntar: dónde nació, cuál es el segundo nombre de su mamá o cómo se llama su primer profesor en colegio.
Whitley dice, sin embargo, que ese sistema no es ideal: "Son datos fáciles de conseguir para un hacker y mi ciudad favorita no es hoy la misma que la que será en 10 años".
Pero hay otros sistemas. La red social Facebook, por ejemplo, permite cambiar la contraseña sin tener que recordarla a través de un sistema de identificación de los amigos de uno que salen en determinadas fotos.
Google, por su parte, tiene un sistema de verificación por medio del teléfono móvil que, según Whitley, es muy confiable, porque implica el uso de una tecnología de comunicación diferente a internet.
Pero si uno está en un país donde no tiene acceso al móvil, ese sistema no funciona. Y es frecuente que las páginas de los servicios requieran de verificación cuando uno entra en otro país.
3. Alta tecnología
La tercera y mejor forma de organizar las contraseñas es la más avanzada tecnológicamente.
En efecto, existen diferentes aplicaciones basadas en esa tecnología que ayudan a gerenciar las contraseñas y generar sistemas de seguridad.
"Un administrador de contraseñas protege los datos porque le permite utilizar contraseñas que son tan difíciles de descifrar como lo son de recordar", explica el blog especializado The Verge. "En lugar de una contraseña como "lumia920fan", el administrador sugiere algo en la línea de "50P3HofuvzDL"", asegura.
Y, a menos de que a uno le roben la computadora y la tableta, lo más probable es que sea imposible entrar a su cuenta de Gmail, por ejemplo, desde otro dispositivo que no sea el suyo.
1Password, por ejemplo, crea contraseñas fuertes y únicas, las recuerda y las resetea sin que uno se dé por enterado.
Su gran competidor es OneSafe, una aplicación para diferentes dispositivos que guarda contraseñas, así como documentos, fotos y cuentas de internet en el mismo dispositivo, sea este un iPad, Android o servidor de web.
Y aplicaciones como MSecure y Wolfram Password Generator proveen servicios similares -usualmente por un costo- de depósito y protección de contraseñas que no implican recordar la contraseña.
La tarea de gerenciar las contraseñas, en cualquier caso, es ardua. Pero, para muchos, necesaria
Su gran competidor es OneSafe, una aplicación para diferentes dispositivos que guarda contraseñas, así como documentos, fotos y cuentas de internet en el mismo dispositivo, sea este un iPad, Android o servidor de web.
Y aplicaciones como MSecure y Wolfram Password Generator proveen servicios similares -usualmente por un costo- de depósito y protección de contraseñas que no implican recordar la contraseña.
La tarea de gerenciar las contraseñas, en cualquier caso, es ardua. Pero, para muchos, necesaria
Fuente: http://www.lanacion.com.ar
martes, 28 de mayo de 2013
Twitter lanzó nuevas medidas de seguridad para las cuentas de sus usuarios
El objetivo es impedir la intromisión de personas no autorizadas. Mirá el video.
Twitter agregó nuevas medidas de seguridad a las cuentas de sus usuarios en un esfuerzo por impedir la intromisión de personas no autorizadas.
El anuncio fue realizado este miércoles por la firma.
De esta manera, los usuarios podrán participar en un programa de verificación de su clave para ingresar al servicio. A aquellos que se inscriban, Twitter les enviará un código de seis dígitos en un mensaje de texto cada vez que ingresen a Twitter.com. Además de su nombre de usuario y su contraseña, los tuiteros también tendrán que escribir su código para poder acceder a sus cuentas.
Microsoft Corp., Google Inc. y Facebook Inc. ya permiten una verificación de dos etapas como opción.Twitter ha sido objeto de críticas por no contar con esta opción, especialmente después de las más recientes transgresiones en las cuentas de Twitter de importantes organizaciones de noticias y otras empresas.
El anuncio fue realizado este miércoles por la firma.
De esta manera, los usuarios podrán participar en un programa de verificación de su clave para ingresar al servicio. A aquellos que se inscriban, Twitter les enviará un código de seis dígitos en un mensaje de texto cada vez que ingresen a Twitter.com. Además de su nombre de usuario y su contraseña, los tuiteros también tendrán que escribir su código para poder acceder a sus cuentas.
Microsoft Corp., Google Inc. y Facebook Inc. ya permiten una verificación de dos etapas como opción.Twitter ha sido objeto de críticas por no contar con esta opción, especialmente después de las más recientes transgresiones en las cuentas de Twitter de importantes organizaciones de noticias y otras empresas.
SE FILTRAN DATOS POR IMPRESORAS
Al estar conectadas a la red empresarial, impresoras y telefonía por Internet (IP) representan un canal por el que la fuga de información confidencial y el espionaje ocurre, aunque es frecuentemente ignorado, coincidieron expertos.
Un estudio de Xerox y McAfee reveló que alrededor de 54% de los empleados no siempre sigue las políticas de seguridad informática de su empresa y 21% ni siquiera las conoce. El reporte destaca que 51% de esos empleados ha utilizado una impresora, copiadora o impresora multifuncional de la oficina con información confidencial de la organización.
“Hay un enorme riesgo, sobre todo por ser equipos menospreciados en términos de seguridad. Al interior de la organización se corre el riesgo de que la información quede dispersa y al alcance de áreas que no tendrían que tener acceso a ciertos datos. Externamente, es posible un hackeo o un mapeo de red que desencadene un robo de información”, detalló Héctor Méndez, consultor independiente de seguridad.
De acuerdo con el documento, poco más de la mitad de los empleados de una compañía considera que las computadoras suponen la mayor amenaza de seguridad, cifra muy elevada en comparación con 6% que considera que las impresoras multifuncionales representan un riesgo a la seguridad de la información de la empresa.
La telefonía IP también es menospreciada como una vía por la que el espionaje informático y el robo de secretos industriales puede convertirse en un problema. Recientemente, el estudiante de la Universidad de Columbia Ang Cui y su profesor, Salvatore Stolfo, descubrieron vulnerabilidades en teléfonos IP de Cisco que que facilitan comprometer su seguridad sin demasiado esfuerzo.
Israel López, gerente de producto de Xerox, dijo que es necesario controlar el acceso a las impresoras multifuncionales para garantizar la seguridad del flujo de los datos en cada etapa.
También se requiere adicionar capas de seguridad en la red de la organización y mantener actualizados los parches de software que liberan los fabricantes.
Fuente: zocalo.com.mx
lunes, 20 de mayo de 2013
Pasarela de pago Pasat 4B en Virtuemart 2
En el momento en el que realizamos la contratación del TPV virtual de Pasat 4B la entidad bancaria nos tendrá que proporcionar por un lado un número de comercio (con una estructura tipo PIXXXXXXX, cambiando las X por números) y un acceso a la administración del TPV, desde podremos gestionar los pagos que se han realizado, realizar devoluciones si así es necesario o configurar la pasarela de pago.
El primer paso será entrar en la configuración de los métodos de pago y crear un nuevo sistema de pago de tipo VM - Payment, 4B (el plugin deberá estar instalado y activado). Guardamos los cambios y volvemos a editar esta forma de pago. Pulsamos en la pestaña Configuración. Aquí deberemos introducir el código de comercio que nos ha proporcionado el banco en el campo correspondiente. Además podremos elegir entre trabajar con el entorno real o de pruebas. Es conveniente que comencemos con el entorno de pruebas para realizar algún pedido y comprobar si se conecta con la pasarela de pago y se actualizan los estados del pedido. Desde la propia entidad bancaria nos deberían poder proporcionar los datos de algunas tarjetas para poder hacer pruebas.
Además, existen otros parámetros para configurar como indicar el estado de pedido en función de como ha ido, el importe mínimo y máximo para el cual se puede utilizar o el posible sobrecoste que se aplica seleccionando este medio de pago.
El segundo paso consistirá en configurar una serie de datos en La pasarela de pago Pasat 4B que proporcionan algunas entidades como el Banco Santander permitirá a los usuarios realizar el pago de sus compras de forma directautilizando una tarjeta de crédito. Este sistema cuenta con la ventaja de que los administradores de la tienda tendrán una notificación inmediata sobre si el pago se ha realizado o no, por lo que podremos empezar antes a preparar el pedido. Además, la comisión que cobrará la entidad bancaria por utilizar este sistema de pago será menor que la aplicada con otros sistemas como Paypal que, aunque permiten también los pagos con tarjeta de crédito, cobran una comisión mayor sobre el total de la compra.
Para configurar este sistema de TPV virtual utilizaremos el plugin Pasarela de pago 4B para Virtuemart 2 de modulosdepago.es. El plugin ya viene incluido en todos nuestros Pack Tienda de Webempresa . Este plugin nos permitirá configurar de una forma muy sencilla nuestra pasarela de pago, sin más que añadir los códigos que nos haya proporcionado el banco. De esta forma no será necesario editar ningún archivo o agregar el código de integración de forma manual, lo que complicaría el proceso.
La configuración del TPV virtual de Pasat 4B. Para ello tendremos que entrar en la página de administración a través de la dirección https://tpv.4b.es/config e identificarnos con el usuario y contraseña que nos haya facilitado la entidad bancaria. Luego deberemos ir al apartado de configuración. Tendremos que introducir los siguientes datos:
URL que devuelve el desglose de la compra:http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_order.php
URL que graba el resultado en la BD del comercio (TRANSACCIONES AUTORIZADAS):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_return.php
URL que graba el resultado en la BD del comercio (TRANSACCIONES DENEGADAS):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_return.php
URL de continuación posterior a la página de recibo:http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php
URL de recibo (TRANSACCIÓN AUTORIZADA):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php
URL de recibo (TRANSACCIÓN DENEGADA):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php
En los datos anteriores hay que cambiar el texto www.nombredenuestraweb.com por la dirección (url) de nuestra web. Estos parámetros son necesarios para que la pasarela de pago pueda saber los datos del pedido que se va a pagar (número de pedido, importe, etc.) y para actualizar el estado del pedido tras el pago. Además, en la configuración del TPV virtual podremos elegir entre trabajar con el entorno real o el de pruebas.
Tendremos que acordarnos de cambiar en la configuración del nuevo método de pago con tarjeta de crédito en Virtuemart del estado de pruebas al real ya que, en caso contrario, no se cobrarán los pedidos. Con el entorno real también será conveniente realizar alguna prueba de compra para verificar que todo funciona correctamente. Desde la administración del TPV virtual podremos generar la devolución si queremos.
Hemos preparado un vídeo tutorial donde se explica con más detalle el proceso de configuración de la pasarela de pago Pasat 4By los distintos parámetros disponibles:
http://www.youtube.com/watch?feature=player_embedded&v=NLze0kTWOW
El primer paso será entrar en la configuración de los métodos de pago y crear un nuevo sistema de pago de tipo VM - Payment, 4B (el plugin deberá estar instalado y activado). Guardamos los cambios y volvemos a editar esta forma de pago. Pulsamos en la pestaña Configuración. Aquí deberemos introducir el código de comercio que nos ha proporcionado el banco en el campo correspondiente. Además podremos elegir entre trabajar con el entorno real o de pruebas. Es conveniente que comencemos con el entorno de pruebas para realizar algún pedido y comprobar si se conecta con la pasarela de pago y se actualizan los estados del pedido. Desde la propia entidad bancaria nos deberían poder proporcionar los datos de algunas tarjetas para poder hacer pruebas.
Además, existen otros parámetros para configurar como indicar el estado de pedido en función de como ha ido, el importe mínimo y máximo para el cual se puede utilizar o el posible sobrecoste que se aplica seleccionando este medio de pago.
El segundo paso consistirá en configurar una serie de datos en La pasarela de pago Pasat 4B que proporcionan algunas entidades como el Banco Santander permitirá a los usuarios realizar el pago de sus compras de forma directautilizando una tarjeta de crédito. Este sistema cuenta con la ventaja de que los administradores de la tienda tendrán una notificación inmediata sobre si el pago se ha realizado o no, por lo que podremos empezar antes a preparar el pedido. Además, la comisión que cobrará la entidad bancaria por utilizar este sistema de pago será menor que la aplicada con otros sistemas como Paypal que, aunque permiten también los pagos con tarjeta de crédito, cobran una comisión mayor sobre el total de la compra.
Para configurar este sistema de TPV virtual utilizaremos el plugin Pasarela de pago 4B para Virtuemart 2 de modulosdepago.es. El plugin ya viene incluido en todos nuestros Pack Tienda de Webempresa . Este plugin nos permitirá configurar de una forma muy sencilla nuestra pasarela de pago, sin más que añadir los códigos que nos haya proporcionado el banco. De esta forma no será necesario editar ningún archivo o agregar el código de integración de forma manual, lo que complicaría el proceso.
La configuración del TPV virtual de Pasat 4B. Para ello tendremos que entrar en la página de administración a través de la dirección https://tpv.4b.es/config e identificarnos con el usuario y contraseña que nos haya facilitado la entidad bancaria. Luego deberemos ir al apartado de configuración. Tendremos que introducir los siguientes datos:
URL que devuelve el desglose de la compra:http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_order.php
URL que graba el resultado en la BD del comercio (TRANSACCIONES AUTORIZADAS):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_return.php
URL que graba el resultado en la BD del comercio (TRANSACCIONES DENEGADAS):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_return.php
URL de continuación posterior a la página de recibo:http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php
URL de recibo (TRANSACCIÓN AUTORIZADA):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php
URL de recibo (TRANSACCIÓN DENEGADA):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php
En los datos anteriores hay que cambiar el texto www.nombredenuestraweb.com por la dirección (url) de nuestra web. Estos parámetros son necesarios para que la pasarela de pago pueda saber los datos del pedido que se va a pagar (número de pedido, importe, etc.) y para actualizar el estado del pedido tras el pago. Además, en la configuración del TPV virtual podremos elegir entre trabajar con el entorno real o el de pruebas.
Tendremos que acordarnos de cambiar en la configuración del nuevo método de pago con tarjeta de crédito en Virtuemart del estado de pruebas al real ya que, en caso contrario, no se cobrarán los pedidos. Con el entorno real también será conveniente realizar alguna prueba de compra para verificar que todo funciona correctamente. Desde la administración del TPV virtual podremos generar la devolución si queremos.
Hemos preparado un vídeo tutorial donde se explica con más detalle el proceso de configuración de la pasarela de pago Pasat 4By los distintos parámetros disponibles:
http://www.youtube.com/watch?feature=player_embedded&v=NLze0kTWOW
domingo, 19 de mayo de 2013
EL TELETRABAJO DESDE LA PERSPECTIVA DE LA SEGURIDAD INFORMÁTICA
El artículo hace hincapié
en los riesgos y problemas asociados a la seguridad informática, que implica
esta modalidad. Así por ejemplo, una conexión Wi-Fi insegura facilita que un
tercero obtenga datos sensibles de la compañía y un código malicioso podría
permitir que cibercriminales accedan a recursos importantes de la empresa.
Estos problemas se
agravan si además la empresa implemente una política de “Trae tu propio
dispositivo”, donde los empleados llevan sus propios dispositivos a su lugar de
trabajo para tener acceso a recursos de la empresa y dificultan aún más la
protección adecuada de los sistemas informáticos y representan un nuevo reto
para la seguridad.
A los fines de
poder aprovecha las ventajas del teletrabajo y mantener controlados los riesgos
que implica, el articulo menciona algunos consejos para una correcta
implementación:
- Política de seguridad: establecer medidas de control y protección que se vean reflejadas en la política de seguridad , y que sean de conocimiento para los empleados
- Regular conectividad: La conexión a Internet del empleado es el vínculo principal entre él y la empresa, por lo tanto, proteger el acceso a Internet correctamente es fundamental para evitar que terceros puedan acceder a recursos sensibles. Establecer una contraseña WPA/WPA2, cambiar la clave de acceso a la configuración del router, implementar redes VPN (Virtual Private Network o Red Privada Virtual) , entre otras medidas.
- Proteger computadoras y dispositivos: contar con una protección antivirus y firewall, instalar las actualizaciones, implementar contraseñas de bloqueo y realizar mantenimientos regulares.
- Contraseñas: Utilizar contraseñas fuertes a partir de 8 dígitos combinadas: Números, letras, símbolos.
- Intercambio de archivos: Si no utilizas una VPN, tratar de enviar los archivos cifrados o encriptados.
- Medidas de concientización: La educación es primordial en cualquier sistema de protección.
- Además hay que considerar si te trabaja desde la casa con red y equipos propios o con red y equipos de la empresa, lo cual incidirá en el sistemas de seguridad que se implemente.
Si bien el
teletrabajo presenta oportunidades y ventajas para las empresas y los
empleados, el reto principal continúa siendo que las compañías puedan
implementar y controlar esta metodología de la forma adecuada.
El artículo completo lo pueden leer en: http://blogs.infobae.com/teletrabajo/2013/05/18/el-teletrabajo-desde-la-perspectiva-de-la-seguridad-informatica/
El artículo completo lo pueden leer en: http://blogs.infobae.com/teletrabajo/2013/05/18/el-teletrabajo-desde-la-perspectiva-de-la-seguridad-informatica/
miércoles, 15 de mayo de 2013
Alerta por correos con phishing bancario
Desde el Instituto Nacional de Tecnologías de la Comunicación de España (INTECO) están alertando de una nueva oleada de correos electrónicos fraudulentos, que se hacen pasar por una entidad bancaria con el ánimo de engañar al usuario para que haga clic en un enlace que le redirige a una web maliciosa. Pero, ¿que es el phishing? Se trata de un conocido fraude, un delito encuadrado dentro del ámbito de las estafas cibernéticas, y que tiene como objetivo suplantar la identidad del banco para capturar las claves de usuario y sus datos bancarios.
Los correos suelen llevar como gancho un asunto llamativo para captar la atención del usuario.
Los correos suelen llevar como gancho un asunto llamativo para captar la atención del usuario.
El asunto del correo trampa es: Renovación de tarjetas por motivos de seguridad!
Los datos obtenidos son enviados a: asia.europe1z@googlemail.com
Con el siguiente correo electrónico los ciber-delincuentes intentan por medio del uso de ingeniería social y realizar el engaño a los clientes del BBVA:
Aunque muchos usuarios piensen que en este tipo de trampa es muy conocida, todavía hay miles de internautas y clientes de la banca online que caen y hacen clic; cada día son mejores las falsificaciones y los nombres del dominio son muy parecidos al verdadero usado por la entidad bancaria.
Es necesario estar muy atento, y seguir las siguientes recomendaciones para no ser victima del phishing:
Es necesario estar muy atento, y seguir las siguientes recomendaciones para no ser victima del phishing:
No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
No contestes en ningún caso a estos correos.
Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
No contestes en ningún caso a estos correos.
Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
Si has recibido un correo de estas características, y has hecho clic en el enlace y has facilitado tu nombre de usuario y contraseña, modifica lo antes posible tu contraseña de acceso a tu banca online, y las de todos aquellos servicios en los que utilizases la misma contraseña. Recuerda: es muy importante gestionar de forma segura las contraseñas de acceso a los distintos servicios de Internet para evitar problemas.
Por otro lado, hay que tener en cuenta SIEMPRE los consejos que facilitan todos los bancos en su sección de seguridad:
Cierra todas las aplicaciones antes de acceder a la web del banco.
Escribe directamente la URL en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
Asegúrate que la web comienza por https://, para que los datos viajen cifrados por la red. Verifica la legitimidad del sitio web haciendo uso del navegador. Puede hacerse clic en el "candadito" que figura al costado izquierdo de la barra de dirección, y constatar de esa forma los certificados de seguridad.
No accedas al servicio de banca online de tu banco desde ordenadores públicos, no confiables o que estén conectados a redes wifi públicas.
MUY IMPORTANTE: ningún banco envía por correo electrónico solicitudes de datos personales de sus clientes. Si recibes un correo en este sentido, no facilites ningún dato y contacta inmediatamente con él.
Los delincuentes, cada vez más, se aprovechan de la ingeniería social para enviar correos fraudulentos para engañar a los usuarios. En esta ocasión, se trata de correos electrónicos que suplantan la identidad de un banco con el objetivo de que el usuario haga clic en un enlace que le lleva a un sitio web fraudulento. Generalmente, los correos de phishing tienen las mismas características: un asunto llamativo y un mensaje que incita, por alguna buena excusa, a hacer clic en un enlace, a descargar un fichero adjunto o facilitar datos personales y bancarios.
No es la primera vez, que se utiliza este tipo de fraude para estafar al usuario. El phishing bancario tiene como principal finalidad conseguir las claves personales de los clientes para perpetrar todo tipo de fraudes financieros. Pero además, los delincuentes lo aprovechan para:
acceder a tus cuentas de correo, redes sociales, etc.
suscribir tu número de teléfono móvil a servicios Premium SMS
suplantar tu identidad en Internet
enviarte correo basura (spam)
cometer otros fraudes en tu nombre, etc.
Mas información:
Guía rápida para reconocer páginas web falsas que simulan entidades bancarias.
Wikipedia, Phishing
Consejos para no ‘picar’ en el phishing
Informe de TVE sobre el phishing
Si has recibido un correo de estas características, y has hecho clic en el enlace y has facilitado tu nombre de usuario y contraseña, modifica lo antes posible tu contraseña de acceso a tu banca online, y las de todos aquellos servicios en los que utilizases la misma contraseña. Recuerda: es muy importante gestionar de forma segura las contraseñas de acceso a los distintos servicios de Internet para evitar problemas.
Por otro lado, hay que tener en cuenta SIEMPRE los consejos que facilitan todos los bancos en su sección de seguridad:
Cierra todas las aplicaciones antes de acceder a la web del banco.
Escribe directamente la URL en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
Asegúrate que la web comienza por https://, para que los datos viajen cifrados por la red. Verifica la legitimidad del sitio web haciendo uso del navegador. Puede hacerse clic en el "candadito" que figura al costado izquierdo de la barra de dirección, y constatar de esa forma los certificados de seguridad.
No accedas al servicio de banca online de tu banco desde ordenadores públicos, no confiables o que estén conectados a redes wifi públicas.
MUY IMPORTANTE: ningún banco envía por correo electrónico solicitudes de datos personales de sus clientes. Si recibes un correo en este sentido, no facilites ningún dato y contacta inmediatamente con él.
Los delincuentes, cada vez más, se aprovechan de la ingeniería social para enviar correos fraudulentos para engañar a los usuarios. En esta ocasión, se trata de correos electrónicos que suplantan la identidad de un banco con el objetivo de que el usuario haga clic en un enlace que le lleva a un sitio web fraudulento. Generalmente, los correos de phishing tienen las mismas características: un asunto llamativo y un mensaje que incita, por alguna buena excusa, a hacer clic en un enlace, a descargar un fichero adjunto o facilitar datos personales y bancarios.
No es la primera vez, que se utiliza este tipo de fraude para estafar al usuario. El phishing bancario tiene como principal finalidad conseguir las claves personales de los clientes para perpetrar todo tipo de fraudes financieros. Pero además, los delincuentes lo aprovechan para:
acceder a tus cuentas de correo, redes sociales, etc.
suscribir tu número de teléfono móvil a servicios Premium SMS
suplantar tu identidad en Internet
enviarte correo basura (spam)
cometer otros fraudes en tu nombre, etc.
Mas información:
Guía rápida para reconocer páginas web falsas que simulan entidades bancarias.
Wikipedia, Phishing
Consejos para no ‘picar’ en el phishing
Informe de TVE sobre el phishing
Fuente
- http://www.osi.es/es/actualidad/avisos/2013/04/detectada-oleada-de-correos-con-phishing-bancario
- http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/detectada_oleada_correos_phishing_bancario_20130426
- http://muyseguridad.net/2013/04/27/alerta-por-oleada-de-phishing-bancario/
viernes, 10 de mayo de 2013
"Hackers roban 45 mdd alrededor del mundo"
Hola chicos! Para ampliar el tema de "Hackers" que desarrollé anteriormente ahora les dejo una noticia reciente que sirve para diferenciarlos mejor de los delincuentes.
Ciberdelincuentes ingresaron a una base de datos de tarjetas de débito y vaciaron diversos cajeros: los saqueos a cajeros automáticos ocurrieron en Japón, Rusia, Rumania, Egipto, Colombia y Canadá.
NUEVA YORK (AP)- Una red global de delincuentes informáticos robó 45 millones de dólares en unas cuantas horas tras ingresar en una base de datos de tarjetas de débito prepagadas y después vaciar cajeros automáticos en ciudades de distintos países, dijeron este jueves fiscales federales.
Ciberdelincuentes ingresaron a una base de datos de tarjetas de débito y vaciaron diversos cajeros: los saqueos a cajeros automáticos ocurrieron en Japón, Rusia, Rumania, Egipto, Colombia y Canadá.
NUEVA YORK (AP)- Una red global de delincuentes informáticos robó 45 millones de dólares en unas cuantas horas tras ingresar en una base de datos de tarjetas de débito prepagadas y después vaciar cajeros automáticos en ciudades de distintos países, dijeron este jueves fiscales federales.
Siete personas fueron arrestadas en Estados Unidos en relación con el caso, que fiscales dijeron incluyó millares de robos a cajeros automáticos mediante tarjetas apócrifas que contenían información de bancos en el Medio Oriente.
Los defraudadores actuaron con asombrosa velocidad para saquear instituciones financieras en todo el mundo; trabajaron con células de secuaces, incluida una en Nueva York, dijo Loretta Lynch, fiscal federal de Brooklyn, Nueva York.
Lynch describió el atraco como "un robo bancario descomunal en el siglo XXI" perpetrado por ladrones audaces.
Uno de los detenidos fue captado en diversas cámaras de vigilancia; llevaba una mochila que se veía cada vez más llena de dinero, dijeron las autoridades. Otros de los arrestados se tomaron fotos de ellos mismos con grandes fajos de billetes en Manhattan.
He aquí cómo funcionaba el saqueo:
Los piratas cibernéticos ingresaron en bases de datos de bancos, eliminaron los límites de retiro de dinero en las tarjetas de débito prepagadas y crearon códigos de acceso. Otros cargaron la información en cualquier tarjeta de plástico dotada de banda magnética; una llave-tarjeta vieja de habitación en algún hotel o una tarjeta de crédito vencida funcionaban bien si tenía la información de la cuenta y los códigos correctos de acceso.
Después, una red de individuos se dispersaba para retirar rápidamente el dinero en diversas ciudades, dijeron las autoridades.
Los saqueos a los cajeros automáticos ocurrieron en Japón, Rusia, Rumania, Egipto, Colombia, Gran Bretaña, Sri Lanka, Canadá y otros países, en tanto que organismos policiales de más de una decena de naciones participaron en las investigaciones, dijeron fiscales.
Lynch describió el atraco como "un robo bancario descomunal en el siglo XXI" perpetrado por ladrones audaces.
Uno de los detenidos fue captado en diversas cámaras de vigilancia; llevaba una mochila que se veía cada vez más llena de dinero, dijeron las autoridades. Otros de los arrestados se tomaron fotos de ellos mismos con grandes fajos de billetes en Manhattan.
He aquí cómo funcionaba el saqueo:
Los piratas cibernéticos ingresaron en bases de datos de bancos, eliminaron los límites de retiro de dinero en las tarjetas de débito prepagadas y crearon códigos de acceso. Otros cargaron la información en cualquier tarjeta de plástico dotada de banda magnética; una llave-tarjeta vieja de habitación en algún hotel o una tarjeta de crédito vencida funcionaban bien si tenía la información de la cuenta y los códigos correctos de acceso.
Después, una red de individuos se dispersaba para retirar rápidamente el dinero en diversas ciudades, dijeron las autoridades.
Los saqueos a los cajeros automáticos ocurrieron en Japón, Rusia, Rumania, Egipto, Colombia, Gran Bretaña, Sri Lanka, Canadá y otros países, en tanto que organismos policiales de más de una decena de naciones participaron en las investigaciones, dijeron fiscales.
jueves, 9 de mayo de 2013
¿Porqué tener cuidado con los METADATOS?
¿Qué son los metadatos? Según los términos de accesibilidad web, los metadatos son datos que cuentan con información básica e incluso avanzada de los datos que podemos encontrar dentro de documentos. Es aquella información que se crea automáticamente y que la computadora guarda en los documentos, imágenes, etc y que a través de ellos se pueden ver mucha más información de la que se cree sobre la persona que desarrolló el archivo.
En ellos se guarda información de cuando se creó y se modificó el archivo, el nombre de sus autores, la empresa registrada, la ubicación (si el dispositivo tiene GPS), el tipo de cámara, sistema operativo, la IP y mucho más. Todo dependerá del archivo que se analice.
Los metadatos pueden ser un riesgo a la seguridad y privacidad, el peligro aumenta cuando los documentos son subidos o compartidos por internet. Curiosamente a la gran mayoría de hackers o delincuentes informáticos les han localizado y detenido gracias o por culpa de estos metadatos, al no tener cuidado y subir una foto al twitter desde el móvil. Por otro lado, muchos hackers han perdido menos tiempo en atacar a un equipo al conocer el nombre de usuario que creó el documento y la IP.
Por otro lado, todos los elementos que forman los metadatos son importantes para poder posicionar bien un sitio web y garantizar una accesibilidad importante a cualquier desarrollo que tengan en mente, es por esta razón, que elegir y colocar bien los metadatos en el código es un proceso fundamental dentro de la creación de páginas web.
Con la ayuda de los metadatos, pueden acceder más rápidamente al contenido web de su sitio, ya que se indexará con mayor facilidad dentro de los buscadores web, haciendo mucho más visible su sitio a los visitantes que navegan a través de internet.
Precisamente, tanto si eres hacker o como si eres un fan de evitar esparcir tus datos por la web, este breve tutorial introductorio a los metadatos les servirá de gran ayuda en el camino de la seguridad informática.
Con esto comprenderán la importancia que tiene saber borrar estos datos, que a simple vista no se ven pero que están escondidos detrás de los archivos.
A continuación les dejo un video de Chema Alonso, quien es un hacker que trabaja para compañías buscando vulnerabilidades en sus sistemas. En la presentación muestra antecedentes internacionales sobre los problemas que acarrean los metadatos, hace una explicación práctica sobre qué son y la forma de eliminarlos.
Fuente:
http://blogs.peru21.pe/atajosweb/2012/10/cuando-los-archivos-revelan-tu-privacidad.html
http://openmindinside.wordpress.com/2013/01/16/tutorial-metadatos-en-imagenes-de-linux/
http://www.youtube.com/watch?v=y9gTqW5HB8Q
http://culturacion.com/2011/11/cual-es-la-importancia-de-los-metadatos/
Los metadatos pueden ser un riesgo a la seguridad y privacidad, el peligro aumenta cuando los documentos son subidos o compartidos por internet. Curiosamente a la gran mayoría de hackers o delincuentes informáticos les han localizado y detenido gracias o por culpa de estos metadatos, al no tener cuidado y subir una foto al twitter desde el móvil. Por otro lado, muchos hackers han perdido menos tiempo en atacar a un equipo al conocer el nombre de usuario que creó el documento y la IP.
Por otro lado, todos los elementos que forman los metadatos son importantes para poder posicionar bien un sitio web y garantizar una accesibilidad importante a cualquier desarrollo que tengan en mente, es por esta razón, que elegir y colocar bien los metadatos en el código es un proceso fundamental dentro de la creación de páginas web.
Con la ayuda de los metadatos, pueden acceder más rápidamente al contenido web de su sitio, ya que se indexará con mayor facilidad dentro de los buscadores web, haciendo mucho más visible su sitio a los visitantes que navegan a través de internet.
Precisamente, tanto si eres hacker o como si eres un fan de evitar esparcir tus datos por la web, este breve tutorial introductorio a los metadatos les servirá de gran ayuda en el camino de la seguridad informática.
Con esto comprenderán la importancia que tiene saber borrar estos datos, que a simple vista no se ven pero que están escondidos detrás de los archivos.
A continuación les dejo un video de Chema Alonso, quien es un hacker que trabaja para compañías buscando vulnerabilidades en sus sistemas. En la presentación muestra antecedentes internacionales sobre los problemas que acarrean los metadatos, hace una explicación práctica sobre qué son y la forma de eliminarlos.
Fuente:
http://blogs.peru21.pe/atajosweb/2012/10/cuando-los-archivos-revelan-tu-privacidad.html
http://openmindinside.wordpress.com/2013/01/16/tutorial-metadatos-en-imagenes-de-linux/
http://www.youtube.com/watch?v=y9gTqW5HB8Q
http://culturacion.com/2011/11/cual-es-la-importancia-de-los-metadatos/
lunes, 6 de mayo de 2013
El HOMBRE EN MEDIO es un tipo de ataque informatico muy comun, conocelo y toma tus precauciones
Básicamente, el ataque del Hombre en Medio (Man in the Middle) sucede cuando alguna persona maliciosa se pone en la mitad del camino entre nuestra computadora y los servicios de internet que utilizamos, pudiendo esta leer toda la información que recibimos o enviamos e incluso modificarla.
El ataque del Hombre en Medio es uno de los más poderosos ataques informáticos de los que podemos llegar a ser víctimas, para nuestra mala fortuna también es uno de los más fáciles de ejecutar.
Les pondré algunos ejemplos de cómo funciona esto:
Uno de los métodos más comunes ocurre cuando alguien con acceso físico a la misma red a la que nos conectamos, ejecuta una herramienta que primeramente envía información a las tablas ARP de nuestra maquina, estas tablas son las que relacionan la dirección de Internet de los Equipos con su Identidad de Hardware (esto último es algo como un numero de serie único). Ocasionando con esto que nuestra maquina asuma que la maquina del atacante es el equipo que nos da acceso a Internet, una vez que la ruta de tráfico desde y hacia internet tiene como punto intermedio la maquina del atacante, esta herramienta comienza a mostrar en una ventana con un Navegador de Internet modificado las páginas Web que estamos visitando, además de esto ofrece la posibilidad al atacante de modificar las respuestas antes que estas lleguen a nuestras maquinas.
Una variante de la anterior es cuando el atacante después de atacar las tablas ARP de nuestra maquina ejecuta un olfateador (Sniffer) de trafico de internet, almacenando toda la información que nuestra navegación en Internet genere, pudiendo ser que esta herramienta en automático revise el flujo de información en búsqueda de de nombres de Usuario o Contraseñas.
Algunas variantes más simples pueden ejecutarse modificando la información de conexión a Internet de Nuestro Internet Explorer, FireFox, Chrome, Safari, etc. Estableciendo la información de un servidor proxy el cual se utilizara para enviar y recibir la información de Páginas Web. Siendo que este proxy puede almacenar la información o bien buscar en automático por información delicada.
En el caso del ataque a nuestras tablas ARP, cuando un ataque de esta naturaleza sucede el sistema operativo comenzara a alertarnos diciendo que la dirección IP de nuestra maquina ya se encuentra en uso por otro equipo en la red.
Una manera de mitigar el problema es utilizando sitios seguros en lo posible (HTTPS), y acostumbrarnos a leer la información de los certificados de seguridad que nos ofrecen las conexiones seguras, validando que la información que estos contengan sea congruente para el sitio que estamos visitando, por lo regular cuando somos víctimas de un ataque de este tipo, los navegadores muestran un mensaje de alerta indicándonos que existe algún tipo de problema con los certificados, cuando esto suceda detengámonos a leer la información del certificado y solo en caso de que este sea congruente continuar con nuestra navegación a internet.
Seamos cuidadosos y no pasemos por alto los mensajes de alerta.
El ataque del Hombre en Medio es uno de los más poderosos ataques informáticos de los que podemos llegar a ser víctimas, para nuestra mala fortuna también es uno de los más fáciles de ejecutar.
Les pondré algunos ejemplos de cómo funciona esto:
Uno de los métodos más comunes ocurre cuando alguien con acceso físico a la misma red a la que nos conectamos, ejecuta una herramienta que primeramente envía información a las tablas ARP de nuestra maquina, estas tablas son las que relacionan la dirección de Internet de los Equipos con su Identidad de Hardware (esto último es algo como un numero de serie único). Ocasionando con esto que nuestra maquina asuma que la maquina del atacante es el equipo que nos da acceso a Internet, una vez que la ruta de tráfico desde y hacia internet tiene como punto intermedio la maquina del atacante, esta herramienta comienza a mostrar en una ventana con un Navegador de Internet modificado las páginas Web que estamos visitando, además de esto ofrece la posibilidad al atacante de modificar las respuestas antes que estas lleguen a nuestras maquinas.
Una variante de la anterior es cuando el atacante después de atacar las tablas ARP de nuestra maquina ejecuta un olfateador (Sniffer) de trafico de internet, almacenando toda la información que nuestra navegación en Internet genere, pudiendo ser que esta herramienta en automático revise el flujo de información en búsqueda de de nombres de Usuario o Contraseñas.
Algunas variantes más simples pueden ejecutarse modificando la información de conexión a Internet de Nuestro Internet Explorer, FireFox, Chrome, Safari, etc. Estableciendo la información de un servidor proxy el cual se utilizara para enviar y recibir la información de Páginas Web. Siendo que este proxy puede almacenar la información o bien buscar en automático por información delicada.
En el caso del ataque a nuestras tablas ARP, cuando un ataque de esta naturaleza sucede el sistema operativo comenzara a alertarnos diciendo que la dirección IP de nuestra maquina ya se encuentra en uso por otro equipo en la red.
Una manera de mitigar el problema es utilizando sitios seguros en lo posible (HTTPS), y acostumbrarnos a leer la información de los certificados de seguridad que nos ofrecen las conexiones seguras, validando que la información que estos contengan sea congruente para el sitio que estamos visitando, por lo regular cuando somos víctimas de un ataque de este tipo, los navegadores muestran un mensaje de alerta indicándonos que existe algún tipo de problema con los certificados, cuando esto suceda detengámonos a leer la información del certificado y solo en caso de que este sea congruente continuar con nuestra navegación a internet.
Seamos cuidadosos y no pasemos por alto los mensajes de alerta.
lunes, 22 de abril de 2013
El debate sobre la protección de la privacidad en EEUU
La Cámara de Representantes ha aprobado este jueves una ley que autoriza a las empresas a compartir información con el Gobierno sobre las amenazas a sus sistemas informáticos, pese a la advertencia de la Casa Blanca de que vetará la legislación por no garantizar de manera adecuada la protección de la privacidad de los datos de los ciudadanos. La controversia en torno a la norma, respaldada por las grandes compañías y que cuenta con la tenaz oposición de las organizaciones de derechos civiles, es una muestra del debate sobre el delicado equilibrio entre la seguridad y la privacidad en el ámbito digital.
La Ley de Protección y Comunicación de Ciberinteligencia, conocida como CISPA, permite al Gobierno que pueda compartir información secreta con el sector privado para ayudarle a incrementar la seguridad de sus redes ante posibles ataques y, a cambio, facilita a las empresas el intercambio de sus datos sobre ciberataques con la Administración, sin tener que responder legalmente por violaciones de la privacidad de sus titulares, si se demuestra que lo hicieron de buena fe.
La CISPA cuenta con el respaldo de grandes compañías que quieren mayores garantías para protegerse de manera más rápida y eficaz de los ataques a sus sistemas perpetrados por piratas informáticos. Los grupos de derechos civiles han calificado a la legislación como un “desastre para la privacidad” y aseguran que facilita al Gobierno el acceso a los datos personales de los particulares, debilitando la protección de los datos y las políticas de privacidad a las que las propias compañías se comprometen en Internet. Los opositores a la norma censuran que el texto no recoja la obligación de las empresas de advertir sobre la posibilidad de que sus datos sean compartidos con la Administración.
La falta de garantías más contundentes sobre la protección de la privacidad de los datos del consumidor es lo que hace recelar a la Casa Blanca. En un comunicado emitido el martes pasado, la Administración señalaba que “los ciudadanos tienen el derecho a saber que las empresas van a ser responsables -y que no se les va a garantizar la inmunidad- por no cumplir de manera adecuada su obligación de salvaguardar la información personal”. El Gobierno advirtió en el documento que “o se mejoraba el actual contenido de la norma o, si se presentaba tal y como se encuentra en esos momentos, los asesores del presidente recomendarán que la vete”.
La Ley de Protección y Comunicación de Ciberinteligencia, conocida como CISPA, permite al Gobierno que pueda compartir información secreta con el sector privado para ayudarle a incrementar la seguridad de sus redes ante posibles ataques y, a cambio, facilita a las empresas el intercambio de sus datos sobre ciberataques con la Administración, sin tener que responder legalmente por violaciones de la privacidad de sus titulares, si se demuestra que lo hicieron de buena fe.
La CISPA cuenta con el respaldo de grandes compañías que quieren mayores garantías para protegerse de manera más rápida y eficaz de los ataques a sus sistemas perpetrados por piratas informáticos. Los grupos de derechos civiles han calificado a la legislación como un “desastre para la privacidad” y aseguran que facilita al Gobierno el acceso a los datos personales de los particulares, debilitando la protección de los datos y las políticas de privacidad a las que las propias compañías se comprometen en Internet. Los opositores a la norma censuran que el texto no recoja la obligación de las empresas de advertir sobre la posibilidad de que sus datos sean compartidos con la Administración.
La falta de garantías más contundentes sobre la protección de la privacidad de los datos del consumidor es lo que hace recelar a la Casa Blanca. En un comunicado emitido el martes pasado, la Administración señalaba que “los ciudadanos tienen el derecho a saber que las empresas van a ser responsables -y que no se les va a garantizar la inmunidad- por no cumplir de manera adecuada su obligación de salvaguardar la información personal”. El Gobierno advirtió en el documento que “o se mejoraba el actual contenido de la norma o, si se presentaba tal y como se encuentra en esos momentos, los asesores del presidente recomendarán que la vete”.
Una versión muy similar de la norma que el jueves se votó en la Cámara - 288 a favor y 127 en contra- se aprobó el año pasado, de nuevo a pesar de la amenaza de veto por parte de la Casa Blanca. Entonces, la ley no llegó al Senado y, en esta ocasión, parece que el texto legal correrá la misma suerte, ya que la cámara Alta está centrada en otros temas, como la reforma migratoria o el control de armas, y varios senadores se encuentran trabajando en una legislación paralela.
Los ataques informáticos se han convertido en una de las principales amenazas para la seguridad nacional y la economía estadounidense. Por primera vez, el espionaje informático ha desbancado al terrorismo de la cabeza de la lista de principales riesgos a los que se enfrenta EE UU, según el último informe presentado al Congreso por las principales agencias de seguridad e inteligencia del país, el pasado mes de marzo. El Pentágono acaba de crear un Comando Cibernético del Pentágono que dispone de 13 unidades especiales de programadores y expertos informáticos para desarrollar contraofensivas en países extranjeros en el caso de que las principales redes informáticas de EE UU se vean atacadas. En febrero, una publicación vinculó directamente a una unidad del Ejército chino con los ataques reiterados a las redes informáticas de un buen número de compañías del país y la Casa Blanca se refirió a esa denuncia como “un serio desafío”.
En su discurso sobre el estado de la Unión, Obama anunció la aprobación de una orden ejecutiva que obliga al Gobierno a advertir a las empresas privadas sobre el riesgo de ataques informáticos, pero no viceversa. En su alocución, el presidente fue muy claro en la necesidad de proteger “la seguridad nacional y la privacidad”.
FUENTE: Diario El País (España)
http://internacional.elpais.com/internacional/2013/04/19/actualidad/1366326110_386808.html
Los ataques informáticos se han convertido en una de las principales amenazas para la seguridad nacional y la economía estadounidense. Por primera vez, el espionaje informático ha desbancado al terrorismo de la cabeza de la lista de principales riesgos a los que se enfrenta EE UU, según el último informe presentado al Congreso por las principales agencias de seguridad e inteligencia del país, el pasado mes de marzo. El Pentágono acaba de crear un Comando Cibernético del Pentágono que dispone de 13 unidades especiales de programadores y expertos informáticos para desarrollar contraofensivas en países extranjeros en el caso de que las principales redes informáticas de EE UU se vean atacadas. En febrero, una publicación vinculó directamente a una unidad del Ejército chino con los ataques reiterados a las redes informáticas de un buen número de compañías del país y la Casa Blanca se refirió a esa denuncia como “un serio desafío”.
En su discurso sobre el estado de la Unión, Obama anunció la aprobación de una orden ejecutiva que obliga al Gobierno a advertir a las empresas privadas sobre el riesgo de ataques informáticos, pero no viceversa. En su alocución, el presidente fue muy claro en la necesidad de proteger “la seguridad nacional y la privacidad”.
FUENTE: Diario El País (España)
http://internacional.elpais.com/internacional/2013/04/19/actualidad/1366326110_386808.html
Suscribirse a:
Entradas (Atom)