Movistar ofrecerá a sus clientes en Argentina un servicio de seguridad informática para teléfonos y computadoras

Con el gran avance que ha habido en el último tiempo en la telefonía celular, estos ya no sólo cumplen sus funciones tradicionales, sino que también cumplen funciones que habitualmente cumplían las computadoras. Los empresarios tienen en sus celulares una "oficina móvil". Por eso todo lo que tiene que ver con el tema de los celulares y la seguridad es un tema de mucha actualidad. En este marco, servicios como los que Movistar ofrecerá a sus clientes son muy valiosos.

Movistar lanzó tres servicios para proteger la información de smartphones, computadoras personales, notebooks y tabletas de sus clientes. La solución, desarrollados en conjunto con F-Secure, permite proteger a los equipos de ataques informáticos, localizar teléfonos móviles y borrar contenidos a distancia.

El servicio Seguridad Antirrobo Móvil permite localizar mediante GPS los dispositivos móviles perdidos, bloquearlo a distancia y evitar que su contenido sea utilizado por terceros. Además, la aplicación enviará un SMS de alerta a un teléfono pre configurado cuando se ingrese una tarjeta SIM distinta a la del cliente en el equipo. El servicio tendrá un costo mensual de 10 pesos argentinos.
El servicio Seguridad Total Móvil agrega al paquete anterior opciones de antivirus, firewall, antispyware y navegación segura, entre otros. En tanto, el servicio Seguridad Total PC incluye funcionalidades de antivirus, control parental y navegación. Ambos paquetes costarán 15 pesos mensuales.

Fuente http://www.telesemana.com/blog/2013/05/30/movistar-ofrecera-a-sus-clientes-un-servicio-de-seguridad-informatica-para-telefonos-y-computadoras-en-argentina/

GUÍA PARA MANEJAR SUS CONTRASEÑAS DE INTERNET

Facebook, Gmail, Skype, Linkedin, Instagram, Amazon. etcétera. Piense en cuántas cuentas activas tiene usted en Internet. Y por ende cuántas claves debe recordar.

La contraseña del sistema de la universidad, el correo de la oficina, la suscripción al periódico, Cuevana o el banco, que tiene más de una.

Un estudio de Microsoft estimó que el usuario promedio de Internet tiene unas 6,5 claves en la web. Y todas son compartidas con al menos otras cuatro plataformas más. Eso son 10 cuentas.

Pero el estudio concluyó que el promedio de los internautas tiene unas 25 cuentas que requieren de claves. Y que la media de los usuarios teclea unas 8 contraseñas al día.

¿Cuál es la mejor forma de tener el control absoluto sobre sus cuentas sin sacrificar seguridad?

1. Vieja escuela

La primera y más obvia forma de no olvidar las diferentes contraseñas es escribirlas, recomienda la experta en tecnología del diario The New York Times Riva Richmond.

Se suele pensar que esta es la estrategia más riesgosa, porque quien quiera que encuentre ese escrito tiene a un par de clicks de distancia el acceso a su cuenta bancaria, por ejemplo.

Otras opciones de guardar esa lista de claves es entregársela a una persona cercana o hacer un documento en el computador.

El profesor del London School of Economics Edgar Whitley, experto en seguridad de la información, le dice a BBC Mundo que usar lenguaje cifrado es una buena opción.

"Una forma es trasladar las letras una o dos posiciones en el alfabeto", comenta. "Cuando la clave es 'abc', uno pone 'bcd', por ejemplo".

2. Apoyo de las cuentas

Google, Facebook o Twitter tienen diferentes métodos para ayudarle al usuario a recordar su cuenta o resetearla con facilidad. El método más usado entre los servicios para verificar cuentas de usuarios que olvidaron su contraseña son las preguntar: dónde nació, cuál es el segundo nombre de su mamá o cómo se llama su primer profesor en colegio.

Whitley dice, sin embargo, que ese sistema no es ideal: "Son datos fáciles de conseguir para un hacker y mi ciudad favorita no es hoy la misma que la que será en 10 años".

Pero hay otros sistemas. La red social Facebook, por ejemplo, permite cambiar la contraseña sin tener que recordarla a través de un sistema de identificación de los amigos de uno que salen en determinadas fotos.

Google, por su parte, tiene un sistema de verificación por medio del teléfono móvil que, según Whitley, es muy confiable, porque implica el uso de una tecnología de comunicación diferente a internet.

Pero si uno está en un país donde no tiene acceso al móvil, ese sistema no funciona. Y es frecuente que las páginas de los servicios requieran de verificación cuando uno entra en otro país.

3. Alta tecnología

La tercera y mejor forma de organizar las contraseñas es la más avanzada tecnológicamente.

En efecto, existen diferentes aplicaciones basadas en esa tecnología que ayudan a gerenciar las contraseñas y generar sistemas de seguridad.

"Un administrador de contraseñas protege los datos porque le permite utilizar contraseñas que son tan difíciles de descifrar como lo son de recordar", explica el blog especializado The Verge. "En lugar de una contraseña como "lumia920fan", el administrador sugiere algo en la línea de "50P3HofuvzDL"", asegura.

Y, a menos de que a uno le roben la computadora y la tableta, lo más probable es que sea imposible entrar a su cuenta de Gmail, por ejemplo, desde otro dispositivo que no sea el suyo.

1Password, por ejemplo, crea contraseñas fuertes y únicas, las recuerda y las resetea sin que uno se dé por enterado.

Su gran competidor es OneSafe, una aplicación para diferentes dispositivos que guarda contraseñas, así como documentos, fotos y cuentas de internet en el mismo dispositivo, sea este un iPad, Android o servidor de web.

Y aplicaciones como MSecure y Wolfram Password Generator proveen servicios similares -usualmente por un costo- de depósito y protección de contraseñas que no implican recordar la contraseña.

La tarea de gerenciar las contraseñas, en cualquier caso, es ardua. Pero, para muchos, necesaria

Fuente: http://www.lanacion.com.ar

Twitter lanzó nuevas medidas de seguridad para las cuentas de sus usuarios

El objetivo es impedir la intromisión de personas no autorizadas. Mirá el video.

Twitter agregó nuevas medidas de seguridad a las cuentas de sus usuarios en un esfuerzo por impedir la intromisión de personas no autorizadas.

El anuncio fue realizado este miércoles por la firma.

De esta manera, los usuarios podrán participar en un programa de verificación de su clave para ingresar al servicio. A aquellos que se inscriban, Twitter les enviará un código de seis dígitos en un mensaje de texto cada vez que ingresen a Twitter.com. Además de su nombre de usuario y su contraseña, los tuiteros también tendrán que escribir su código para poder acceder a sus cuentas.


Microsoft Corp., Google Inc. y Facebook Inc. ya permiten una verificación de dos etapas como opción.Twitter ha sido objeto de críticas por no contar con esta opción, especialmente después de las más recientes transgresiones en las cuentas de Twitter de importantes organizaciones de noticias y otras empresas.

FUENTE: http://www.lavoz.com.ar/noticias/tecnologia/twitter-lanzo-nuevas-medidas-seguridad-para-cuentas-sus-usuarios

SE FILTRAN DATOS POR IMPRESORAS

Al estar conectadas a la red empresarial, impresoras y telefonía por Internet (IP) representan un canal por el que la fuga de información confidencial y el espionaje ocurre, aunque es frecuentemente ignorado, coincidieron expertos.

Un estudio de Xerox y McAfee reveló que alrededor de 54% de los empleados no siempre sigue las políticas de seguridad informática de su empresa y 21% ni siquiera las conoce. El reporte destaca que 51% de esos empleados ha utilizado una impresora, copiadora o impresora multifuncional de la oficina con información confidencial de la organización.

“Hay un enorme riesgo, sobre todo por ser equipos menospreciados en términos de seguridad. Al interior de la organización se corre el riesgo de que la información quede dispersa y al alcance de áreas que no tendrían que tener acceso a ciertos datos. Externamente, es posible un hackeo o un mapeo de red que desencadene un robo de información”, detalló Héctor Méndez, consultor independiente de seguridad.

De acuerdo con el documento, poco más de la mitad de los empleados de una compañía considera que las computadoras suponen la mayor amenaza de seguridad, cifra muy elevada en comparación con 6% que considera que las impresoras multifuncionales representan un riesgo a la seguridad de la información de la empresa.
La telefonía IP también es menospreciada como una vía por la que el espionaje informático y el robo de secretos industriales puede convertirse en un problema. Recientemente, el estudiante de la Universidad de Columbia Ang Cui y su profesor, Salvatore Stolfo, descubrieron vulnerabilidades en teléfonos IP de Cisco que que facilitan comprometer su seguridad sin demasiado esfuerzo.

Israel López, gerente de producto de Xerox, dijo que es necesario controlar el acceso a las impresoras multifuncionales para garantizar la seguridad del flujo de los datos en cada etapa.

También se requiere adicionar capas de seguridad en la red de la organización y mantener actualizados los parches de software que liberan los fabricantes.

Fuente: zocalo.com.mx

Pasarela de pago Pasat 4B en Virtuemart 2

En el momento en el que realizamos la contratación del TPV virtual de Pasat 4B la entidad bancaria nos tendrá que proporcionar por un lado un número de comercio (con una estructura tipo PIXXXXXXX, cambiando las X por números) y un acceso a la administración del TPV, desde podremos gestionar los pagos que se han realizado, realizar devoluciones si así es necesario o configurar la pasarela de pago.

El primer paso será entrar en la configuración de los métodos de pago y crear un nuevo sistema de pago de tipo VM - Payment, 4B (el plugin deberá estar instalado y activado). Guardamos los cambios y volvemos a editar esta forma de pago. Pulsamos en la pestaña Configuración. Aquí deberemos introducir el código de comercio que nos ha proporcionado el banco en el campo correspondiente. Además podremos elegir entre trabajar con el entorno real o de pruebas. Es conveniente que comencemos con el entorno de pruebas para realizar algún pedido y comprobar si se conecta con la pasarela de pago y se actualizan los estados del pedido. Desde la propia entidad bancaria nos deberían poder proporcionar los datos de algunas tarjetas para poder hacer pruebas.

Además, existen otros parámetros para configurar como indicar el estado de pedido en función de como ha ido, el importe mínimo y máximo para el cual se puede utilizar o el posible sobrecoste que se aplica seleccionando este medio de pago.

El segundo paso consistirá en configurar una serie de datos en La pasarela de pago Pasat 4B que proporcionan algunas entidades como el Banco Santander permitirá a los usuarios realizar el pago de sus compras de forma directautilizando una tarjeta de crédito. Este sistema cuenta con la ventaja de que los administradores de la tienda tendrán una notificación inmediata sobre si el pago se ha realizado o no, por lo que podremos empezar antes a preparar el pedido. Además, la comisión que cobrará la entidad bancaria por utilizar este sistema de pago será menor que la aplicada con otros sistemas como Paypal que, aunque permiten también los pagos con tarjeta de crédito, cobran una comisión mayor sobre el total de la compra.

Para configurar este sistema de TPV virtual utilizaremos el plugin Pasarela de pago 4B para Virtuemart 2 de modulosdepago.es. El plugin ya viene incluido en todos nuestros Pack Tienda de Webempresa . Este plugin nos permitirá configurar de una forma muy sencilla nuestra pasarela de pago, sin más que añadir los códigos que nos haya proporcionado el banco. De esta forma no será necesario editar ningún archivo o agregar el código de integración de forma manual, lo que complicaría el proceso.

La configuración del TPV virtual de Pasat 4B. Para ello tendremos que entrar en la página de administración a través de la dirección https://tpv.4b.es/config e identificarnos con el usuario y contraseña que nos haya facilitado la entidad bancaria. Luego deberemos ir al apartado de configuración. Tendremos que introducir los siguientes datos:

URL que devuelve el desglose de la compra:http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_order.php

URL que graba el resultado en la BD del comercio (TRANSACCIONES AUTORIZADAS):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_return.php

URL que graba el resultado en la BD del comercio (TRANSACCIONES DENEGADAS):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_return.php

URL de continuación posterior a la página de recibo:http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php

URL de recibo (TRANSACCIÓN AUTORIZADA):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php

URL de recibo (TRANSACCIÓN DENEGADA):http://www.nombredenuestraweb.com/plugins/vmpayment/cuatrob/cuatrob_ZhenIT_recibo.php

En los datos anteriores hay que cambiar el texto www.nombredenuestraweb.com por la dirección (url) de nuestra web. Estos parámetros son necesarios para que la pasarela de pago pueda saber los datos del pedido que se va a pagar (número de pedido, importe, etc.) y para actualizar el estado del pedido tras el pago. Además, en la configuración del TPV virtual podremos elegir entre trabajar con el entorno real o el de pruebas.

Tendremos que acordarnos de cambiar en la configuración del nuevo método de pago con tarjeta de crédito en Virtuemart del estado de pruebas al real ya que, en caso contrario, no se cobrarán los pedidos. Con el entorno real también será conveniente realizar alguna prueba de compra para verificar que todo funciona correctamente. Desde la administración del TPV virtual podremos generar la devolución si queremos.

Hemos preparado un vídeo tutorial donde se explica con más detalle el proceso de configuración de la pasarela de pago Pasat 4By los distintos parámetros disponibles:

http://www.youtube.com/watch?feature=player_embedded&v=NLze0kTWOW

EL TELETRABAJO DESDE LA PERSPECTIVA DE LA SEGURIDAD INFORMÁTICA

Encontré este artículo referido al teletrabajo y su relación con la seguridad informática, y me pareció interesante, ya que esta modalidad de trabajo es cada vez más común en las empresas, debido al apoyo proporcionado por las nuevas TICs.  

Hoy a través de una computadora, un smartphone o una tablet y una conexión a Internet un empleado puede acceder remotamente a los recursos corporativos para compartir información, revisar el correo, ingresar a los sistemas y redes internas de la empresa, etc.

El artículo hace hincapié en los riesgos y problemas asociados a la seguridad informática, que implica esta modalidad. Así  por ejemplo, una conexión Wi-Fi insegura facilita que un tercero obtenga datos sensibles de la compañía y un código malicioso podría permitir que cibercriminales accedan a recursos importantes de la empresa.

Estos problemas se agravan si además la empresa implemente una política de “Trae tu propio dispositivo”, donde los empleados llevan sus propios dispositivos a su lugar de trabajo para tener acceso a recursos de la empresa y dificultan aún más la protección adecuada de los sistemas informáticos y representan un nuevo reto para la seguridad.

A los fines de poder aprovecha las ventajas del teletrabajo y mantener controlados los riesgos que implica, el articulo menciona algunos consejos para una correcta implementación:

• Política de seguridad: establecer medidas de control y protección que se vean reflejadas en la política de seguridad , y que sean de conocimiento para los empleados
• Regular conectividad: La conexión a Internet del empleado es el vínculo principal entre él y la empresa, por lo tanto, proteger el acceso a Internet correctamente es fundamental para evitar que terceros puedan acceder a recursos sensibles. Establecer una contraseña WPA/WPA2, cambiar la clave de acceso a la configuración del router, implementar redes VPN (Virtual Private Network o Red Privada Virtual) , entre otras medidas.
• Proteger computadoras y dispositivos: contar con una protección antivirus y firewall, instalar las actualizaciones, implementar contraseñas de bloqueo y realizar mantenimientos regulares.
• Contraseñas: Utilizar contraseñas fuertes a partir de 8 dígitos combinadas: Números, letras, símbolos.
• Intercambio de archivos: Si no utilizas una VPN, tratar de enviar los archivos cifrados o encriptados.
• Medidas de concientización: La educación es primordial en cualquier sistema de protección.
• Además hay que considerar si te trabaja desde la casa con red y equipos propios o con red y equipos de la empresa,  lo cual incidirá en el sistemas de seguridad que se implemente.

Si bien el teletrabajo presenta oportunidades y ventajas para las empresas y los empleados, el reto principal continúa siendo que las compañías puedan implementar y controlar esta metodología de la forma adecuada.

El artículo completo lo pueden leer en: http://blogs.infobae.com/teletrabajo/2013/05/18/el-teletrabajo-desde-la-perspectiva-de-la-seguridad-informatica/

Alerta por correos con phishing bancario

Desde el Instituto Nacional de Tecnologías de la Comunicación de España (INTECO) están alertando de una nueva oleada de correos electrónicos fraudulentos, que se hacen pasar por una entidad bancaria con el ánimo de engañar al usuario para que haga clic en un enlace que le redirige a una web maliciosa. Pero, ¿que es el phishing? Se trata de un conocido fraude, un delito encuadrado dentro del ámbito de las estafas cibernéticas, y que tiene como objetivo suplantar la identidad del banco para capturar las claves de usuario y sus datos bancarios.

Los correos suelen llevar como gancho un asunto llamativo para captar la atención del usuario. 

Uno de los mas famosos es el que afecta a BBVA y sus clientes; el procedimiento es el clásico correo electrónico que simula ser enviado por la entidad bancaria, y hacer creer al cliente que es una notificación de la entidad para verificar sus datos.
El asunto del correo trampa es: Renovación de tarjetas por motivos de seguridad!
Los datos obtenidos son enviados a: asia.europe1z@googlemail.com
Con el siguiente correo electrónico los ciber-delincuentes intentan por medio del uso de ingeniería social y realizar el engaño a los clientes del BBVA:

Si se pulsa sobre los enlaces del correo trampa, este nos enviara a una web que suplanta la imagen de la entidad bancaria BBVA y donde no solicita las claves bancarias:

Aunque muchos usuarios piensen que en este tipo de trampa es muy conocida, todavía hay miles de internautas y clientes de la banca online que caen y hacen clic; cada día son mejores las falsificaciones y los nombres del dominio son muy parecidos al verdadero usado por la entidad bancaria.
Es necesario estar muy atento, y seguir las siguientes recomendaciones para no ser victima del phishing:

No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
No contestes en ningún caso a estos correos.
Precaución al seguir enlaces en correos aunque sean de contactos conocidos.

Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
Si has recibido un correo de estas características, y has hecho clic en el enlace y has facilitado tu nombre de usuario y contraseña, modifica lo antes posible tu contraseña de acceso a tu banca online, y las de todos aquellos servicios en los que utilizases la misma contraseña. Recuerda: es muy importante gestionar de forma segura las contraseñas de acceso a los distintos servicios de Internet para evitar problemas.

Por otro lado, hay que tener en cuenta SIEMPRE los consejos que facilitan todos los bancos en su sección de seguridad:

Cierra todas las aplicaciones antes de acceder a la web del banco.
Escribe directamente la URL en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
Asegúrate que la web comienza por https://, para que los datos viajen cifrados por la red. Verifica la legitimidad del sitio web haciendo uso del navegador. Puede hacerse clic en el "candadito" que figura al costado izquierdo de la barra de dirección, y constatar de esa forma los certificados de seguridad.
No accedas al servicio de banca online de tu banco desde ordenadores públicos, no confiables o que estén conectados a redes wifi públicas.

MUY IMPORTANTE: ningún banco envía por correo electrónico solicitudes de datos personales de sus clientes. Si recibes un correo en este sentido, no facilites ningún dato y contacta inmediatamente con él.

Los delincuentes, cada vez más, se aprovechan de la ingeniería social para enviar correos fraudulentos para engañar a los usuarios. En esta ocasión, se trata de correos electrónicos que suplantan la identidad de un banco con el objetivo de que el usuario haga clic en un enlace que le lleva a un sitio web fraudulento. Generalmente, los correos de phishing tienen las mismas características: un asunto llamativo y un mensaje que incita, por alguna buena excusa, a hacer clic en un enlace, a descargar un fichero adjunto o facilitar datos personales y bancarios.

No es la primera vez, que se utiliza este tipo de fraude para estafar al usuario. El phishing bancario tiene como principal finalidad conseguir las claves personales de los clientes para perpetrar todo tipo de fraudes financieros. Pero además, los delincuentes lo aprovechan para:

acceder a tus cuentas de correo, redes sociales, etc.
suscribir tu número de teléfono móvil a servicios Premium SMS
suplantar tu identidad en Internet
enviarte correo basura (spam)
cometer otros fraudes en tu nombre, etc.

Mas información:
Guía rápida para reconocer páginas web falsas que simulan entidades bancarias.
Wikipedia, Phishing
Consejos para no ‘picar’ en el phishing
Informe de TVE sobre el phishing

Fuente

• http://www.osi.es/es/actualidad/avisos/2013/04/detectada-oleada-de-correos-con-phishing-bancario
• http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_no_tecnicos/detectada_oleada_correos_phishing_bancario_20130426
• http://muyseguridad.net/2013/04/27/alerta-por-oleada-de-phishing-bancario/

"Hackers roban 45 mdd alrededor del mundo"

Hola chicos! Para ampliar el tema de "Hackers" que desarrollé anteriormente ahora les dejo una noticia reciente que sirve para diferenciarlos mejor de los delincuentes.

Ciberdelincuentes ingresaron a una base de datos de tarjetas de débito y vaciaron diversos cajeros: los saqueos a cajeros automáticos ocurrieron en Japón, Rusia, Rumania, Egipto, Colombia y Canadá.

NUEVA YORK (AP)- Una red global de delincuentes informáticos robó 45 millones de dólares en unas cuantas horas tras ingresar en una base de datos de tarjetas de débito prepagadas y después vaciar cajeros automáticos en ciudades de distintos países, dijeron este jueves fiscales federales.

Siete personas fueron arrestadas en Estados Unidos en relación con el caso, que fiscales dijeron incluyó millares de robos a cajeros automáticos mediante tarjetas apócrifas que contenían información de bancos en el Medio Oriente.

Los defraudadores actuaron con asombrosa velocidad para saquear instituciones financieras en todo el mundo; trabajaron con células de secuaces, incluida una en Nueva York, dijo Loretta Lynch, fiscal federal de Brooklyn, Nueva York.

Lynch describió el atraco como "un robo bancario descomunal en el siglo XXI" perpetrado por ladrones audaces.

Uno de los detenidos fue captado en diversas cámaras de vigilancia; llevaba una mochila que se veía cada vez más llena de dinero, dijeron las autoridades. Otros de los arrestados se tomaron fotos de ellos mismos con grandes fajos de billetes en Manhattan.

He aquí cómo funcionaba el saqueo:
Los piratas cibernéticos ingresaron en bases de datos de bancos, eliminaron los límites de retiro de dinero en las tarjetas de débito prepagadas y crearon códigos de acceso. Otros cargaron la información en cualquier tarjeta de plástico dotada de banda magnética; una llave-tarjeta vieja de habitación en algún hotel o una tarjeta de crédito vencida funcionaban bien si tenía la información de la cuenta y los códigos correctos de acceso.
Después, una red de individuos se dispersaba para retirar rápidamente el dinero en diversas ciudades, dijeron las autoridades.

Los saqueos a los cajeros automáticos ocurrieron en Japón, Rusia, Rumania, Egipto, Colombia, Gran Bretaña, Sri Lanka, Canadá y otros países, en tanto que organismos policiales de más de una decena de naciones participaron en las investigaciones, dijeron fiscales.

Fuente: http://www.cnnexpansion.com/tecnologia/2013/05/09/hackers-roban-45-mdd-alrededor-del-mundo

¿Porqué tener cuidado con los METADATOS?

¿Qué son los metadatos? Según los términos de accesibilidad web, los metadatos son datos que cuentan con información básica e incluso avanzada de los datos que podemos encontrar dentro de documentos. Es aquella información que se crea automáticamente y que la computadora guarda en los documentos, imágenes, etc y que a través de ellos se pueden ver mucha más información de la que se cree sobre la persona que desarrolló el archivo.

En ellos se guarda información de cuando se creó y se modificó el archivo, el nombre de sus autores, la empresa registrada, la ubicación (si el dispositivo tiene GPS), el tipo de cámara, sistema operativo, la IP y mucho más. Todo dependerá del archivo que se analice.

Los metadatos pueden ser un riesgo a la seguridad y privacidad, el peligro aumenta cuando los documentos son subidos o compartidos por internet. Curiosamente a la gran mayoría de hackers o delincuentes informáticos les han localizado y detenido gracias o por culpa de estos metadatos, al no tener cuidado y subir una foto al twitter desde el móvil. Por otro lado, muchos hackers han perdido menos tiempo en atacar a un equipo al conocer el nombre de usuario que creó el documento y la IP.

Por otro lado, todos los elementos que forman los metadatos son importantes para poder posicionar bien un sitio web y garantizar una accesibilidad importante a cualquier desarrollo que tengan en mente, es por esta razón, que elegir y colocar bien los metadatos en el código es un proceso fundamental dentro de la creación de páginas web.

Con la ayuda de los metadatos, pueden acceder más rápidamente al contenido web de su sitio, ya que se indexará con mayor facilidad dentro de los buscadores web, haciendo mucho más visible su sitio a los visitantes que navegan a través de internet.

Precisamente, tanto si eres hacker o como si eres un fan de evitar esparcir tus datos por la web, este breve tutorial introductorio a los metadatos les servirá de gran ayuda en el camino de la seguridad informática.

Con esto comprenderán la importancia que tiene saber borrar estos datos, que a simple vista no se ven pero que están escondidos detrás de los archivos.

A continuación les dejo un video de Chema Alonso, quien es un hacker que trabaja para compañías buscando vulnerabilidades en sus sistemas. En la presentación muestra antecedentes internacionales sobre los problemas que acarrean los metadatos, hace una explicación práctica sobre qué son y la forma de eliminarlos.

Fuente:
http://blogs.peru21.pe/atajosweb/2012/10/cuando-los-archivos-revelan-tu-privacidad.html

http://openmindinside.wordpress.com/2013/01/16/tutorial-metadatos-en-imagenes-de-linux/

http://www.youtube.com/watch?v=y9gTqW5HB8Q
http://culturacion.com/2011/11/cual-es-la-importancia-de-los-metadatos/

El HOMBRE EN MEDIO es un tipo de ataque informatico muy comun, conocelo y toma tus precauciones

Básicamente, el ataque del Hombre en Medio (Man in the Middle) sucede cuando alguna persona maliciosa se pone en la mitad del camino entre nuestra computadora y los servicios de internet que utilizamos, pudiendo esta leer toda la información que recibimos o enviamos e incluso modificarla.

El ataque del Hombre en Medio es uno de los más poderosos ataques informáticos de los que podemos llegar a ser víctimas, para nuestra mala fortuna también es uno de los más fáciles de ejecutar.

Les pondré algunos ejemplos de cómo funciona esto:
Uno de los métodos más comunes ocurre cuando alguien con acceso físico a la misma red a la que nos conectamos, ejecuta una herramienta que primeramente envía información a las tablas ARP de nuestra maquina, estas tablas son las que relacionan la dirección de Internet de los Equipos con su Identidad de Hardware (esto último es algo como un numero de serie único). Ocasionando con esto que nuestra maquina asuma que la maquina del atacante es el equipo que nos da acceso a Internet, una vez que la ruta de tráfico desde y hacia internet tiene como punto intermedio la maquina del atacante, esta herramienta comienza a mostrar en una ventana con un Navegador de Internet modificado las páginas Web que estamos visitando, además de esto ofrece la posibilidad al atacante de modificar las respuestas antes que estas lleguen a nuestras maquinas.
Una variante de la anterior es cuando el atacante después de atacar las tablas ARP de nuestra maquina ejecuta un olfateador (Sniffer) de trafico de internet, almacenando toda la información que nuestra navegación en Internet genere, pudiendo ser que esta herramienta en automático revise el flujo de información en búsqueda de de nombres de Usuario o Contraseñas.
Algunas variantes más simples pueden ejecutarse modificando la información de conexión a Internet de Nuestro Internet Explorer, FireFox, Chrome, Safari, etc. Estableciendo la información de un servidor proxy el cual se utilizara para enviar y recibir la información de Páginas Web. Siendo que este proxy puede almacenar la información o bien buscar en automático por información delicada.

En el caso del ataque a nuestras tablas ARP, cuando un ataque de esta naturaleza sucede el sistema operativo comenzara a alertarnos diciendo que la dirección IP de nuestra maquina ya se encuentra en uso por otro equipo en la red.

Una manera de mitigar el problema es utilizando sitios seguros en lo posible (HTTPS), y acostumbrarnos a leer la información de los certificados de seguridad que nos ofrecen las conexiones seguras, validando que la información que estos contengan sea congruente para el sitio que estamos visitando, por lo regular cuando somos víctimas de un ataque de este tipo, los navegadores muestran un mensaje de alerta indicándonos que existe algún tipo de problema con los certificados, cuando esto suceda detengámonos a leer la información del certificado y solo en caso de que este sea congruente continuar con nuestra navegación a internet.

Seamos cuidadosos y no pasemos por alto los mensajes de alerta.