SEGURIDAD Y AUDITORIA DE SISTEMAS

Quien no se acuerda de la ya mítica frase "este mensaje se auto-destruirá en 30 segundos"... Uno de los grandes peligros de Internet es que, como nuevo sistema de comunicación, mucha gente aún no es completamente consciente de los peligros que conlleva poner enormes cantidades de información personal en servidores sobre los que no tenemos ningún control. Hoy por hoy existen infinidad de herramientas que de forma automática se dedican a recopilar información personal como por ejemplo MALTEGO o la FOCA, que explotan la red buscando información almacenada en servidores, caché, material no indexado, etc. Esto supone una grave amenaza a nuestra intimidad, pudiendo hacer pública información sensible. Sin darnos cuenta nosotros mismos vamos dejando miguitas de pan que un astuto enemigo puede ir recogiendo hasta llenar la cesta de nuestra desdicha... Ante esto no es descabellado pensar en una autopolítica de gestión de nuestra información y tomar medidas tales como cifrar mensa

Una vez más WhatsApp, y no son pocas las referencias que veo en el blog a esta aplicación. Esta vez unimos el débil proceso de loggin de los usuarios de WhatsApp con el uso de diferentes APIs de programación que permiten interactuar con el popular servicio. Como se indica en la página de WhatsAPI, WhatsApp utiliza una versión modificada de XMPP denominada FunXMPP. En el proceso de loggin se utiliza como JabberID el número de teléfono móvil junto con el código de país (en España 34) y como password se utiliza un MD5. En Android se utiliza el IMEI y en iOS MAC address del teléfono para calcular dicho MD5. WhatsApp nos permite validar si el par numero de móvil y password son correctos mediante una URL. En la imagen inferior se muestra un caso correcto. Las APIs permiten el envío y recepción de mensajes de WhatsApp desde un ordenador. Algunas además permiten también cambiar la foto del perfil de un usuario, su estado o la última hora de conexión, pero todavía no lo he podido proba

En el portal de la OSI se ha publicado la primera entrega de la serie «Asegurando tu Android», Ésta se dedica a proteger el dispositivo para que nadie pueda usarlo o acceder al contenido sin el permiso del propietario. En esta primera entrega de la serie «Asegurando tu Android» vamos a ver las medidas de seguridad que incorpora Android para evitar que un tercero con acceso físico a tu dispositivo pueda usarlo sin tu permiso. El acceso físico al dispositivo podría ocurrir bajo las siguientes situaciones: •Pérdida o robo del dispositivo •Dejar el dispositivo al alcance de otros y sin vigilancia Los riesgos principales de que un tercero tenga acceso físico al dispositivo sin tu consentimiento son: •Uso ilegítimo y robo de identidad. Contempla el uso de las funcionalidades de llamadas telefónicas, SMS (mensajes de texto), MMS (mensajes multimedia), mensajería instantánea (Whatsapp, viber), etc. •Esto implica que se podrían enviar y recibir comunicaciones como si se fuera el propi

Como experto en seguridad que soy, puedo afirmar que no existe una solución que te proteja al 100%. Antes o después ocurrirá un incidente, y cuando ocurra querrás estar seguro que posees los procedimientos, políticas y controles correctos para minimizar daños en caso de una posible inspección. De hecho, no es sancionable la pérdida de datos (los reguladores también saben que no existe una protección 100% segura), lo que acarrea una sanción es no tomar las medidas oportunas para protegernos. En caso de auditoría debes demostrar que estas gestionando el riesgo de una manera adecuada. El séptimo mandamiento de la protección de datos dice que debes tomar “las medidas organizativas y técnicas apropiadas” para proteger esos datos. Obviamente, estas medidas variarán dependiendo del tipo de datos, la naturaleza de la empresa, los recursos disponibles, etc. Pero aquí te presentamos 10 consejos para aplacar la ira de los reguladores. 1. Cifrado completo de disco duro La mayor parte de la

Por Sergio López Pese a que aún no ha salido al mercado, la nueva versión del sistema operativo de Research in Motion, Blackberry 10, obtuvo la máxima certificación de seguridad por parte del gobierno de Estados Unidos. El sistema operativo de la compañía canadiense consiguió la distinción FIPS 140-2, que le permite ser utilizada por funcionarios del gobierno para el envío de documentación oficial. La certificación es entregada por las autoridades de Estados Unidos y Canadá para garantizar el intercambio seguro de información. La ley prohíbe compartir datos gubernamentales por algún medio que no este autorizado. En tanto, Michael K. Brown, vicepresidente de seguridad para Blackberry, destacó la distinción y señaló que es una muestra del compromiso que tiene la marca con la seguridad de sus clientes. RIM es la única desarrolladora de sistemas operativos móviles que ha sido certificada por los gobiernos de mundo con respecto a la seguridad en el intercambio de archivos. Ni App

Las habituales advertencias que piden el apagado completo de los dispositivos electrónicos podrían quedar sin efecto tras una serie de evaluaciones que realizan las autoridades aeronáticas de EE.UU. y el Reino Unido Con el auge de tabletas, libros electrónicos, computadoras portátiles y celulares inteligentes, cada vez son más los dispositivos que debemos desconectar cuando llega la hora de aterrizar o despegar en un avión. La razón que siempre se nos da es que las ondas electromagnéticas de estas tecnologías pueden interferir con los mandos del avión y causar un accidente. Sin embargo, la Autoridad de Aviación de Estados Unidos (FAA por sus siglas en inglés) está tratando de revisar los estudios que argumentan esta medida, lo que podría cambiar en un futuro las normas respecto a este tipo de aparatos. ¿Personal sí y pasajeros no? La decisión de la FAA se debió sobre todo a las quejas del periodista tecnológico del diario The New York Times , Nick Bilton, quien lleva casi un

A estas alturas, cualquier administrador de sistemas que se precie tiene más que claro que la protección de las estaciones de trabajo (tanto sobremesa como portátiles) como los servidores es esencial para mantener a salvo la información confidencial de una empresa. Se invierte mucho dinero y esfuerzo (con un éxito relativo, viendo las continuas filtraciones publicadas por grupos hacktivistas) en evitar que estos sistemas se infecten o que sean accesibles por usuarios no autorizados que puedan comprometer la seguridad. Cuando nos movemos al territorio de dispositivos móviles como Smartphones o tablets, aún hay muchos administradores que dudan o no disponen de los recursos suficientes para llevar a cabo una gestión eficaz de la seguridad en ese campo. Pero si hablamos de otro tipo de dispositivos presentes en la mayoría de empresas, como puedan ser las impresoras de red, el panorama es aun más desalentador. En anteriores ocasiones ya hemos comentado la dudosa seguridad de la que disp

Coincidiendo con su actualización de seguridad los segundos martes de mes, Microsoft lanzará mañana seis boletines de seguridad para solucionar un total de 19 vulnerabilidades en sus diferentes productos, entre ellos Windows 8. Cuatro de los boletines se han calificado como críticos, uno es ‘importante’ y otro es ‘moderado’. Windows 8 y Windows RT recibirán su primera actualización de seguridad. Los parches están diseñados para impedir la ejecución remota de código, lo que significa que solucionarán vulnerabilidades en el sistema operativo que permitiría que alguien pudiera ejecutar código malicioso en el ordenador de manera remota. Además de solucionar fallos en Windows 8, el resto de boletines incluye parches para otras versiones de Windows, incluidas XP, Vista y Windows 7, además de Server 2003, 2008 y 2012. Otros productos de Microsoft, como Internet Explorer 9, así como Microsoft Office 2003, 2007 y 2010 para PC y Office 2008 y 2011 para Mac, también tienen un hueco en los bol

La empresa de seguridad informática BitDefender ha llevado a cabo un minucioso test al sistema operativo de Microsoft, enfrentándolo contra las principales amenazas de malware presentes en internet. En total, se emplearon las 385 muestras de malware más populares del mercado en los últimos seis meses, y los resultados mostraron que solo 61 de ellas acabaron infectando al sistema operativo. Se trata de un porcentaje del 15,84 por ciento, lo que implica que aunque no parece un número exagerado, no es conveniente desactivar la solución de seguridad Windows Defender, que viene incluida por defecto en Windows 8, si se quiere evitar riesgos. Prueba de ello es que en las pruebas que fueron realizadas sin esa protección antivirus, el número de positivos por culpa del malware subía hasta el 60,78 por ciento. En cualquier caso, teniendo en cuenta que Windows 8 acaba de nacer, lo normal es que vayan apareciendo nuevas amenazas de malware específicamente diseñadas para ese sistema y los r

U n investigador demostró lo sencillo que es acceder a agentes externos a los dispositivos que monitorean del corazón. El hecho de que un hacker ingrese a tu computadora y acabe con tu reputación ya es suficientemente atemorizante. Sin embargo, el daño que puede provocarle a tu cuerpo es aún peor. Una reciente investigación demuestra que los marcapasos pueden ser interferidos por atacantes, quienes pueden mandar ondas eléctricas letales a sus portadores, para entender esto, es importante saber: ¿Qué es lo que hace un marcapasos exactamente? Un marcapasos es un dispositivo eléctrico que ayuda a controlar los latidos irregulares del corazón mediante impulsos eléctricos. Es del tamaño de un reloj de bolsillo y es colocado debajo de la piel cerca del corazón. ¿Se hackear con facilidad? No fácilmente, sin embargo es 100% posible, mencionó Barnay Jack, Director de Investigación en Seguridad para la compañía IO Active. En una conferencia reciente, Jack utilizó una computadora port

Un grupo de investigadores de la universidad de Cambridge han descubierto una vulnerabilidad en el sistema de seguridad que llevan las tarjetas con chip. Según este método, se podría llegar a clonar una tarjeta de crédito y efectuar una transacción fraudulenta. EMV es un estándar de interoperabilidad desarrollado por Europay, MasterCard y Visa en los años 90 para la autenticación de pagos mediante tarjetas de crédito y de débito. Este nuevo sistema se planteó para sustituir a las inseguras tarjetas con banda magnética, cuyo sistema de seguridad no era suficiente para impedir su clonación. Desde hace varios años, las tarjetas están abandonando la insegura banda magnética en favor del chip incrustado que contiene información cifrada. El acceso a la información requiere un código PIN secreto para que la operación se lleve a cabo correctamente. A grandes rasgos, el proceso a la hora de efectuar una transacción es el siguiente: a) Cuando un terminal o ATM (Automatic Teller Machine) qu

Especial desde Valencia, (ESPAÑA) La firma de seguridad S2 Grupo ha presentado la segunda edición de su informe sobre ‘Protección de infraestructuras críticas’, que evalúa el nivel de vulnerabilidad de este tipo de sistemas en España. Mediante una simulación en su centro de operaciones, la compañía ha mostrado cómo puede producirse un ataque de estas características y de qué manera es bloqueado, si se disponen de los servicios adecuados. Las infraestructuras críticas son aquellas que prestan un servicio esencial al ciudadano. En España existen más de 3.500 y, aunque la lista es secreta, hay algunas que son fácilmente deducibles. La red de electricidad, la de agua potable, la industria nuclear o entornos concretos del Ministerio del Interior tienen este carácter que impone la necesidad de mantenerlos altamente protegidos. Anteriormente la actividad de una infraestructura crítica, como puede ser un proceso industrial, estaba aislada. Sin embargo, la conexión de estos sistemas a Int

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, a través de la Oficina de Seguridad del Internauta (OSI) y del portal Menores OSI, presenta la primera edición de la « Guía de actuación contra el ciberacoso » para padres y educadores, un documento que pretende acercar a los usuarios no sólo cómo detectar el fenómeno, sino también cómo actuar ante esta situación. La edición de esta guía es una de las iniciativas contempladas en la organización del “Mes de la Seguridad Cibernética” organizado a nivel europeo por la Agencia Europea de Seguridad de las Redes y la Información (ENISA), y coordinado en España por INTECO. El hecho de que los menores de nuestro tiempo, los llamados «nativos digitales», viven en las nuevas tecnologías es una realidad incontestable. Esta capacidad de acceso a múltiples fuentes de información, la posibilidad de estar hiperconectados con sus compañeros y todas las ventajas que trae esta realidad, no ha impedido la aparición de riesgos. Ante est

Introducción La delincuencia organizada cada vez más tiene en los medios electrónicos elementos para materializar acciones criminales, maximizando sus logros y minimizando sus posibles consecuencias. En este sentido, la persecución de criminales a través de internet, se ha convertido en la nueva frontera de la investigación criminal, que busca desarrollar y evolucionar el pensamiento de los criminalistas y fortalecer las competencias técnicas requeridas para identificar, procesar y condenar este nuevo tipo de conductas punibles. En este sentido, se advierte que los nuevos delincuentes informáticos se pasean sin control por internet, desafiando tanto la competencia de los administradores de sistemas (en la explotación de la inseguridad de la información), como el sistema de administración de Justicia (poco entendimiento de la delincuencia informática), toda vez que sus acciones, no son rápidamente analizadas e investigadas para proferir un fallo, situación que anima este tipo de comp

Lo mejor es combinar letras, números y símbolos. Hay aplicaciones para organizarlas. El mundo tecnológico está lleno de contrasentidos . Así, varios manuales de seguridad online señalan que cuanto más compleja y larga sea la contraseña, menos posibilidades tendrá de ser violada, pero también de ser recordada. Pensando en la protección, es más efectivo emplear una contraseña bastante larga, de letras mayúsculas y minúsculas, que una combinación corta de símbolos y números, aunque esta última parezca más difícil de razonar. La regla básica y el sentido común sugieren no usar datos que se asocien a la persona . Jamás incluir el propio nombres ni de familiares, tampoco poner números que tengan que ver con la persona, como año de nacimiento, terminación de teléfono, dirección o fechas. Una buena estrategia –apunta Leonardo Granda, ingeniero de sistemas de Symantec– es “si combina letras mayúsculas con minúsculas, números y caracteres especiales, como ‘&’ o ‘$’, aumenta la compl