Informa sobre enlaces engañosos, engaños mediante ingeniería social, robo de contraseñas, phising, diferencia entre hacker y los crackers y demás.
¿Cuantas veces entraste a tu mail, facebook, twiter, red link y te habian hackeado la cuenta? ¿Cuantas de esas veces necesitabas entrar urgente? Aca eso puede empezar a cambiar. Somos un pequeño grupo de estudiantes que quiere informarte y ayudarte a que empieces a tomar conciencia de los problemas que puede generar la inseguridad informática.
miércoles, 5 de junio de 2013
Criptología, algo tan importante como antigüo...
Historia
En el año 500 a.C. los griegos utilizaron un cilindro llamado "scytale" alrededor del cual enrollaban una tira de cuero. Al escribir un mensaje sobre el cuero y desenrollarlo se veía una lista de letras sin sentido. El mensaje correcto sólo podía leerse al enrollar el cuero nuevamente en un cilindro de igual diámetro. (Imagen ilustrativa)
Durante el Imperio Romano Julio Cesar empleo un sistema de cifrado consistente en sustituir la letra a encriptar por otra letra distanciada a tres posiciones más adelante. Durante su reinado, los mensajes de Julio Cesar nunca fueron desencriptados.
En el S. XII Roger Bacon y en el S. XV León Batista Alberti inventaron y publicaron sendos algoritmos de encriptación basados en modificaciones del método de Julio César.
Durante la segunda guerra mundial en un lugar llamado Bletchley Park (70 Km al norte de Londres) un grupo de científicos trabajaba en Enigma, la máquina encargada de cifrar los mensajes secretos alemanes.
En este grupo se encontraban tres matemáticos polacos llamados Marian Rejewski, Jerzy Rozycki, Henryk Zygalski y "un joven que se mordía siempre las pieles alrededor de las uñas, iba con ropa sin planchar y era más bien bajito. Este joven retraído se llamaba Alan Turing y había sido reclutado porque unos años antes había creado un ordenador binario. Probablemente poca gente en los servicios secretos ingleses sabía lo que era un ordenador (y mucho menos binario)... pero no cabía duda que sólo alguien realmente inteligente podía inventar algo así, cualquier cosa que eso fuese...
Era mucho más abstracto que todos sus antecesores y sólo utilizaba 0 y 1 como valores posibles de las variables de su álgebra." (1).
Sería Turing el encargado de descifrar el primer mensaje de Enigma y, cambiar el curso de la guerra, la historia y de... la Seguridad Informática actual.
martes, 4 de junio de 2013
Seguridad e-commerce: como protegerse y prevenir los ataques
Los
ciudadanos hoy son más digitales que nunca. La tecnología está al alcance de la
mano y a través de ella cualquier necesidad puede ser suplida. El uso de dispositivos móviles es
cada vez más frecuente y las redes son más rápidas. En este contexto el
comercio electrónico se ha fortalecido y han surgido grandes oportunidades
para que los comerciantes de todas las ramas puedan hacer negocios en
la web y los consumidores puedan adquirir nuevos servicios y productos.
Una
de las causas que frena el desarrollo del comercio electrónico son los
problemas de seguridad que aparecen atados al mismo. En los últimos
años las empresas han empezado a promocionar opciones de facturación
electrónica (e-factura) y de “carrito de compras”, impulsándolos como
formas para ahorrar tiempo y costos.
Pese
al desarrollo de la tecnología en materia de e-commerce, la inseguridad y la
falta de confianza que se generan en el consumidor final abren
una gran brecha entre el manejo de los datos personales y financieros, y
la calidad y destino que tenga el producto o servicio adquirido.
Dos
de las mayores amenazas a las que está expuesto el e-commerce, m-commerce y
hasta el tv-commerce son el 'Phishing' y el 'Spam', los cuales
generalmente buscan conseguir información confidencial de forma
fraudulenta (contraseñas, datos de cuentas personales, suscripciones,
correos electrónicos, códigos PIN, etc.).
Un
clásico ejemplo de estos fraudes informáticos se
presenta cuando el usuario recibe un correo electrónico que en
apariencia proviene de su banco, en el cual se le pide que inicie
sesión en una plataforma amigable y 'segura' (que a su vez parece provenir
de la misma entidad) a la cual ingresa, usando sus identificación,
contraseñas, información bancaria, etc. En este punto, los delincuentes ya
tienen acceso a la información y la posibilidad que el cliente sea víctima
de un delito aumenta.
Es
importante recordar que ninguna entidad
financiera solicita confirmación de datos a través de correos
electrónicos o similares, bajo ninguna circunstancia.
Por todo lo anterior, es normal que como
usuarios nos preguntemos antes de realizar una transacción online, si la
empresa que ofrece el producto o servicio corresponde realmente a una
organización confiable o si nuestra información está en riesgo. ¿Es
cierto que el que está detrás de esa web es quien dice ser?, ¿qué hacen
con la información personal y financiera que les facilito?
Lo primero que debemos tener claro, es que en los
procesos de e-commerce fraudulentos existen cuatro actores implícitos:
- El comprador que usa su
navegador para localizar el sitio de compra y el producto.
- El sitio web que es gestionado por
un usuario, el cual llamaremos comerciante.
- A su vez, el comerciante contrata
servicios de terceros para llevar a cabo una limpia y segura transacción,
quien es conocido como proveedor.
- El atacante es el último
jugador en acción, cuyo objetivo es explotar los
otros tres en el campo, para obtener beneficios de forma
ilegítima.
A partir de lo anterior, encontramos que existen
varios métodos de 'ataque' que podrían hacer vulnerable nuestras transacciones.
- Engañar al comprador. También
conocida como la técnica de ingeniería social en la
cual está implícita una vigilancia al comportamiento del
comprador. Un escenario común es el de registro de usuarios y contraseñas
en sitios de mayor interés especialmente bancos, redes sociales
y portales como e-bay o mercadolibre.
- Espiar el ordenador del comprador. Millones de
computadoras se enlazan a internet cada mes y los conocimientos de los
usuarios sobre vulnerabilidades suelen ser muy escasos. Las
empresas proveedoras de software y hardware en su afán por garantizar que
sus productos sean fáciles de instalar, desactivan
sus funciones de seguridad haciéndolos vulnerables. Esos vacíos
son aprovechados por los atacantes, quienes con ciertas técnicas de
escaneo de puertos detectan los puntos de entrada al computador,
accediendo así al sistema operativo, y a la información personal
y financiera del usuario.
- Fisgonear la red. En este esquema, el atacante controla los datos entre el ordenador del comprador y el servidor, interceptando los paquetes de datos que van de un servidor a otro, usando un software criptográfico para descifrarlos, permitiendo al atacante tener acceso a los datos que circulan online.
Sabiendo lo anterior, tenemos un punto de
partida para hacer nuestras transacciones virtuales de una forma segura y sin
riesgos, siguiendo unas sencillas recomendaciones:
- Tenga en cuenta que los portales o las páginas
en las que se va a realizar alguna transacción deben tener
instalado un certificado digital SSL, gracias al cual tenemos certeza
de estar en el sitio ‘oficial’ de la entidad. Esto lo sabremos porque al
entrar al sitio veremos que la dirección URL del
sitio cambiará de http:// a https:// (se
añadirá una “s” al protocolo que utiliza el cifrado SSL).
- Sospeche siempre de cualquier correo
electrónico con solicitudes urgentes de información financiera personal.
Evítelos por completo y en caso de tener dudas comuníquese con los canales
oficiales de su entidad bancaria, antes de registrar cualquier dato en
otro lugar.
- Procure que su contraseña, aparte de letras y
números, contenga caracteres especiales (*, ¿, &, etc.), los
cuales dificultan el trabajo de los delincuentes informáticos.
- Cuando conecte su equipo a una red asegúrese
tener activado el “Firewall”, con esto reduce posibles
vacíos de seguridad.
- No se puede estar seguro de que un correo
electrónico con contenidos financieros sea verídico a menos que
cuente con una firma digital (sistema encriptado de
registro de la identidad del emisor del contenido electrónico). Los
phisher suelen incluir contenidos tentadores o inquietantes (pero falsos)
en sus correos para que el usuario acceda de inmediato.
- No utilice los enlaces o links
incluidos en un mensaje de correo electrónico o en el chat para ir a
cualquier sitio web. Si sospecha que no es un link auténtico, ni
reconoce al remitente evite dar clic y póngase en contacto con la entidad remitente.
- Evite diligenciar formularios de encuestas o
suscripciones.
- Adquiera el hábito de revisar
la dirección URL. Los sitios de transacciones
electrónicas mantienen visible su nombre dentro de su URL para garantizar
la seguridad; lea siempre a dónde se está dirigiendo su información y en
caso de dudas cancele la transacción que esté realizando.
- Considere la instalación de un
navegador web con barra de herramientas que ayude a
proteger la información de los sitios fraudulentos. Internet
Explorer y Mozilla Firefox cuentan con estas herramientas.
- Inicie sesión regularmente con sus
cuentas en línea. Asegúrese de no dejar habilitado en su navegador la
opción de “recordar contraseña” por
defecto. Cualquiera podría tener acceso a los
datos y poner en riesgo su información.
- Asegúrese que su navegador web esté
actualizado para contar con los nuevos sistemas de seguridad.
Como resumen les dejo una entrevista, en un programa nacional (Banda 3.0), para proteger datos personales.
lunes, 3 de junio de 2013
RESGUARDAR LA SEGURIDAD INFORMÁTICA EN 2013
Hola Chicos! Encontré este artículo que me resultó muy interesante para proteger nuestros datos cuando no tenemos nuestras PC's y necesitamos acceder a nuestra información, y decidí compartirlo.
Recientes ataques a redes sociales han encendido alertas con respecto a proteger la información personal en internet. Existen diversas alternativas para impedir que extraños accedan a nuestra información, pero todas confluyen en una estrategia: la portabilidad de datos.
Durante la primera semana de febrero hemos sabido del robo de 250 mil contraseñas de Twitter. Mientras la red de microblogging ejecuta medidas para evitar nuevos hackeos, los usuarios pueden desarrollar sus propias estrategias para resguardar sus datos y realizar una navegación segura.
La principal medida que deben tomar los usuarios de Internet es evitar el uso de computadores desconocidos para acceder a sus cuentas personales, ya sea correo electrónico o redes sociales, y preferir los dispositivos propios, administrados según las disposiciones de seguridad que el propio usuario haya establecido.
Si no siempre es posible cargar con un dispositivo propio, una solución liviana y efectiva es tener un pendrive con urDrive, software que cuenta con navegador web y antivirus instalado. Este tipo de pendrives guarda las cookies y archivos temporales de Internet en su propia memoria, junto con las páginas favoritas y el historial de navegación, de manera de no dejar huellas en el computador que se está usando.
Los pendrives con urDrive también cuentan con un antivirus que realiza un escaneo completo para detectar virus, incluyendo spyware, worms y adware, revisa qué está pasando si hay desempeño lento, y se mantiene atento a los riesgos de exposición de identidad y datos.
El software urDrive viene precargado en los pendrives Kingston DT 101G2, DT 108 y DT 109, DT SE9 y DT G3.
Una tercera opción aún más segura es usar un pendrive con encriptación de hardware. Este tipo de dispositivos cuenta con un sistema de contraseñas personalizable para proteger la información. En caso de que un extraño intente acceder a la contraseña, al décimo intento el pendrive se reformatea automáticamente. El pendrive Kingston DT Locker+ G2 es ejemplo de esto.
Actualmente existen pendrives con capacidades crecientes, por lo que se están convirtiendo en una alternativa viable para mantener los datos protegidos de ojos intrusos. El más grande disponible es de Kingston y tiene 512GB, y durante 2013 saldrá al mercado uno de 1TB, también de Kingston, que ampliará la posibilidad de tener la información “donde mis ojos la vean”.
Fuente: http://enfoqueit.com/tecnologia/resguardar-la-seguridad-informatica-en-2013/
domingo, 2 de junio de 2013
Al incrementar la seguridad informática, desciende el confort del personal.
Encontré un artículo que me pareció interesante ya que se
refiere a la relación entre la seguridad informática y el personal de la
empresa.
El autor del artículo sostiene que existe una relación
inversa entre el nivel de seguridad y el confort del personal, es decir a mayor
seguridad menor es el confort.
La justa medida es un equilibrio que debe encontrar cada
empresa mediante prueba y error. Se suele partir de un nivel restrictivo y de
ahí escuchar a los usuarios para dosificarla. Cada firma debe conocer que
necesitan sus empleados para ejercer sus funciones e implementar mecanismos eficientes
para garantizar la seguridad informática.
En mi caso particular que no trabajo, no puedo opinar desde la experiencia, pero me parece que esto puede llegar a suceder porque tal vez las empresas hacen más foco en las amenazas internas es decir las que provienen de los propios empleados, y por esto ellos se sientes controlados en exceso y sufren la falta de confianza. Pero me parece más posible que esto ocurra porque los empleados no lleguen a comprender la importancia de la seguridad informática en la empresa y el importante rol que ellos desempeñan.
Por ello hay que generar conciencia entre los trabajadores
para que conozcan su responsabilidad, respecto a fortalecer la seguridad
informática de la empresa en que trabajan.
Smartphones y tabletas: Se multiplican peligrosamente los programas maliciosos que los infectan!!
En este escenario, Android resulta ser, por su amplia
variedad de aplicaciones y por la facilidad que existe para publicar en su
tienda virtual (Android Market), la plataforma más afectada. Sin embargo, los expertos han comprobado que
todos los celulares, sin importar su sistema operativo, están comenzando a ser
usados como 'agentes transmisores', es decir que, a través de sus sistemas de
almacenamiento (interno o tarjetas SD), los delincuentes infectan de
'carambola' a otras plataformas como Windows. Se han descubierto códigos
maliciosos que son instalados en celulares o tabletas, pero que no infectan a
esos aparatos, sino que se activan cuando el dispositivo se conecta mediante
USB a una red o a un PC, sus verdaderos objetivos.
Pese a que para algunos expertos los virus para celulares
y tabletas no son equiparables hoy, en términos de peligrosidad, a los de los
computadores, no hay duda de que en el mediano plazo comenzarán a causar más
daño. El robo de información personal y de negocios o el espionaje industrial
son algunas de las tendencias que veremos.
Algunas "apps" que protegen:
Para teléfonos que funcionan con Android, hay
aplicaciones como Play Store, AVG Antivirus, Avast Mobile y Lookout que, además
de ofrecer protección, incluyen opciones como la de hallar el equipo de manera
remota en caso de robo o pérdida.
Para los celulares iPhone, Blackberry y Nokia, los
expertos recomiendan buscar programas gratis o de pago de marcas reconocidas
como Norton y McAfee.
Algunos consejos para que minimice los riesgos de
infección:
1. NO al 'hackeo'. Desbloquear el teléfono para saltarse
las limitaciones del fabricante o el operador, con procesos como el 'jailbreak'
(para iPhone y iPad) o el 'root' (para Android) puede exponer al equipo a
infecciones de código malicioso.
2. OJO al conectarse. Las redes Wi-Fi públicas y abiertas
o un PC con dudosa reputación también pueden exponer su celular a virus, que
luego podrían meterse en su PC o su red doméstica.
3. Irónico: desconfíe de los antivirus. Así es, algunos
códigos malignos son 'disfrazados' de programas gratuitos de seguridad.
Suscribirse a:
Entradas (Atom)