SEGURIDAD Y AUDITORIA DE SISTEMAS

Ya se empieza a hacer más común el concepto de CLOUD ENCRYPTION GATEWAY. La finalidad de esta solución es siempre proteger la información corporativa que haya en una cloud (pública, privada o híbrida), mediante técnicas de encriptación avanzadas. Se trata de mantener la privacidad y la confidencialidad de los datos corporativos ubicados en la nube, a la vez que se cumplen las normativas legales pertinentes dentro de cada país. El cifrado de la información se debería implementar de forma sencilla y sin que suponga inversión de esfuerzo técnico ni económico por parte del cliente. Si se pudiera implementar mediante una tecnología de clave pública, pero sin necesidad de utilizar certificados de seguridad, conseguiríamos aportar una seguridad bastante buena, pero sin complejidades. Además, el propietario de los datos a proteger debería ser quien tuviera posesión de estas claves de encriptación/desencriptación para que sea él el que de los permisos de acceso/desencriptación de la

No cabe duda de que en los últimos años hemos avanzado mucho en Seguridad de la Información. Poco a poco, entre las empresas comienza a implantarse la idea de que la seguridad es un ámbito al que hay que prestar una atención específica e independiente, más allá de lo que muchos consideran “los informáticos”. Sin embargo, si no es bueno caer en el catastrofismo, no debemos ser demasiado indulgentes: queda mucho camino por recorrer y los avances no siempre se producen a la velocidad a la que, afortunadamente para los delincuentes, serían recomendables o deseables. A diario se producen noticias de empresas u organizaciones con una fuerte inversión en seguridad cuya infraestructura tecnológica es vulnerada, lo que da una idea del desequilibrio de fuerzas existente. En esta línea, aun persisten muchos errores y creencias que podemos identificar como los diez errores típicos de las PYMEs en materia de seguridad y que marcan el camino a seguir estos próximos años. 1. Pensar que su inf

Este año las felicitaciones navideñas y el próspero año nuevo se quedaron en aguas de borrajas, aunque no por eso quiera decir ni mucho menos que los días de escribir algunas cosillas en el blog terminaron. Así que antes de comenzar, aunque vaya un mes tarde, espero que todos pasásemos unas felices navidades, y que este año sea próspero para todos. Dicho esto, ya el año pasado hice exactamente lo mismo para con los datos de 2011. Así que este año había que hacer lo mismo para el año 2012 que ya hemos dejado atrás. Los datos de nuevo están extraídos desde Secunia y el NIST Muchos pueden creer que no es importante estos datos, pero sinceramente al menos para mí, no como aficionado a la materia sino como usuario diario de estos software es de suma importancia, lo suficiente muchas veces como para ver si uso el software correcto, o a la hora de aconsejar a otros sobre que productos decantarse. Es algo que siempre me ha sorprendido enormemente, cualquier persona se escandaliza si ve una

Nota editorial: La comparativa entre MPLS vs. Tecnología Ethernet ayuda a los ingenieros IT a evaluar las ventajas e inconvenientes de MPLS y Ethernet en cuanto a conectividad WAN. Las dos opciones más populares de conexión en área ancha (WAN) son MPLS y Carrier Ethernet. Los servicios MPLS se refieren a la Capa 3 de los servicios MPLS de VPN, mientras que los servicios de Carrier Ethernet incluyen los servicios de LAN virtual privada (VPLS) Gigabit y metro Ethernet. Dependiendo de dónde (o con qué) quiera conectarse su empresa, ya sea una sucursal alejada de su sede o un sitio de copia de seguridad, algunos servicios WAN ofrecen opciones más beneficiosas que otras. En este artículo consideramos las ventajas de usar conectividad Ethernet sobre WAN. Para ayudar a las empresas a analizar las diferencias entre estas opciones, la siguiente tabla comparativa de MPLS y Ethernet ofrece un resumen de las ventajas e inconvenientes de cada conectividad WAN: MPLS y Ethernet para WAN Cost

Google ha publicado una nueva versión de su navegador Chrome con la versión 27.0.1453.93, para todas las plataformas (Windows, Mac, Linux y Chrome Frame), que además de incluir nuevas funcionalidades y mejoras corrige 14 nuevas vulnerabilidades, 11 de ellas con un nivel de gravedad alto. Según el aviso de Google, las páginas se cargan ahora un 5% más rápido de media, se ha incluido la API chrome.syncFileSystem y se han mejorado la clasificación de predicciones y la corrección gramatical, así como mejoras fundamentales para las predicciones Omnibox. Las vulnerabilidades de gravedad alta residen en el uso de punteros después de ser liberados en SVG (CVE-2013-2837), en el cargador de medios (CVE-2013-2840 y CVE-2013-2846), en el tratamiento de recursos Pepper (CVE-2013-2841), en el tratamiento de widgets (CVE-2013-2842), en el tratamiento de voz (CVE-2013-2843), en resolución de estilos (CVE-2013-2844), en workers (CVE-2013-2847), problemas de seguridad en memoria en Web Audio (CVE-2

El hacker rumano Valentin Boanta, quien cumple una condena de cinco años por estar involucrado en robo de dinero de cajeros automáticos vía skimming, desarrolló desde prisión una tecnología para proteger a los ATM contra este tipo de ataques. Boanta, de 33 años, fue capturado en 2009 por suministrar a los ladrones con los skimmers que utilizaban para reunir información para clonar tarjetas bancarias y luego robar dinero de los cajeros. “Cuando me atraparon, me puse feliz. Esta liberación me abrió el camino para trabajar por el lado bueno”, dijo Boanta a Reuters. Skimming es el acto de copiar una tarjeta de crédito o débito mediante el escaneo de la banda magnética. Los ladrones luego utilizan estas tarjetas clonadas para retirar dinero de la cuenta bancaria del titular desde cajeros automáticos. Boanta suministraba, a la banda de delincuentes rumanos, con gadgets que ocultaban cualquier evidencia y que hacían que las tarjetas clonadas lucieran igual a las originales. Su inv

La aplicación Clueful para Android, estuvo disponible en App Store pero luego desapareció, nos sirve para conocer que hacen las aplicaciones que tenemos instaladas y funcionando en el teléfono móvil. En todo momento podemos monitorear nuestras aplicaciones y saber si comparten algún dato personal, y en ese caso desinstalarla o dejar de usarla. Las aplicaciones para móvil pueden realizar diferentes acciones: Acceder a nuestra agenda de contactos Conectar a Internet Conectar a redes sociales Activar el GPS Almacenar información de forma remota Con Clueful podemos saber exactamente que aplicación realiza cada acción y en todo caso cancelar el proceso en caso de que no hayamos dado nuestro permiso de forma consciente. Es cierto que muchas aplicaciones realizan uno o varios de estos procesos de forma simultánea, y por eso es importante saberlo para que no nos sorprenda saber que nuestra información está dando vueltas por la red. La compañía responsable de Clueful es

El troyano Android.Pincer.2 puede robar mensajes confidenciales o códigos para confirmar transacciones bancarias online y enviárselos a los ciberdelincuentes. El malware móvil crece y se multiplica. Ha sido descubierto un nuevo malware para Android que puede interceptar los mensajes de texto entrantes y enviárselos posteriormente a los ciberdelincuentes. Una vez instalado, este troyano puede ser utilizado para robar mensajes confidenciales o, lo que es más preocupante, para hacerse con los códigos que se utilizan para confirmar las transacciones bancarias en línea. Este malware, detectado como “Android.Pincer.2.origin” por la firma de seguridad rusa Doctor Web, es la segunda versión de la familia Android.Pincer, según esta compañía. Ambas amenazas se extienden como certificados de seguridad, lo que significa que deben ser instalados deliberadamente en un dispositivo Android por un usuario descuidado o engañado, según informa TNW. Al lanzar Android.Pincer.2.origin, el usuario ve

El volumen 14 del Microsoft Security Intelligence Report (SIRv14) [PDF] presenta en detalle perspectivas acerca de las vulnerabilidades de software, amenazas de código malicioso y software posiblemente no deseado en programas de software de Microsoft y de terceros. Microsoft ha elaborado estas perspectivas basándose en detallados análisis de tendencias realizados en los últimos años, haciendo hincapié en la segunda mitad de 2012. Las denuncias de vulnerabilidad del sector descendieron un 7,8% desde el 1S12, principalmente por la reducción de las denuncias de vulnerabilidad de las aplicaciones. A pesar de este descenso, las denuncias de vulnerabilidad crecieron un 20% en el 2S12 con respecto al 2S11, un año antes. Las vulnerabilidades de alta gravedad representaron el 30,9% de las denuncias totales del 2S12, frente al 38% del período anterior. Fuente: Microsoft

He tenido la oportunidad de probar un móvil nuevo, aunque solo fue un ratito. Para poder “juguetear” con él, saqué la tarjeta SIM de mi antiguo móvil y la puse en el nuevo. Se supondría que el antiguo móvil quedaría “inutilizado”. Pues no. Ya hemos dicho muchas veces que un móvil no es más que un ordenador desde el que se pueden hacer llamadas. Y un ordenador como tal no necesita para nada una tarjeta SIM. Con el teléfono sin tarjeta SIM pude hacer muchas cosas, y todas preocupantes. ¿Twitter? Perfecto. ¿WhatsApp? Sin problemas. ¿Facebook? Como si nada. ¿LinkedIn? A tope. Es decir, ninguna de estas aplicaciones depende de la tarjeta SIM para funcionar, son únicamente programas de ordenador, no “programas de teléfono”. Desgraciadamente, el móvil que me habían dejado era solo para un rato, y el rato se acabó. Tuve que devolvérselo a su dueño (con gran dolor de mi corazón) y mi viejo móvil recuperó su tarjeta SIM. No hubo ningún cambio con la situación anterior, simplemente me

El informe pericial es el documento redactado por el perito informático, en el que se exponen las conclusiones obtenidas por el experto, tras la investigación de un caso de delito informático. El Informe pericial debe incluir: Los datos del cliente. Los objetivos de la investigación. La declaración previa del perito informático, en la que se establecen los principios de profesionalidad, veracidad e independencia. Documentación sobre el proceso de adquisición de pruebas. Detalle de las acciones que el perito informático lleva a cabo durante la investigación. Resultados de la investigación informática y conclusiones. La elaboración del informe consta a su vez de tres fases: 1.Fase de adquisición de las pruebas: Recogida de todos elementos que van a intervenir en la investigación. Es importante que el proceso de intervención de los equipos informáticos se lleve a cabo con todas las garantías para las partes. La documentación del proceso de adquisición de las pruebas es una in

Estudios, Guías, Normas y Acuerdos A lo largo de las jornadas de búsqueda de información en la web, en ocasiones se encuentran estudios, ensayos, documentos y guías que pueden ser interesantes tenerlas a mano para consultarlas y poderlas leer en cualquier momento, éste es el objetivo de esta sección, ser un espacio en el que puedan quedar recogidos. Asimismo se expresa el reconocimiento y autoría de cada uno de estos trabajos a su propio autor/es de los mismos, por lo que en ningún caso, desde este espacio, se pretente tener o compartir ningún vínculo creativo, artístico, intelectual, de autoría ni de opinión con los documentos que en este apartado quedan accesibles, mostrados y recopilados. _______________________________________________________________ >>> ESTUDIOS, INFORMES, ENSAYOS, GUIAS <<< ACTA – Anti-Counterfeiting Trade Agreement, Acuerdo internacional, Diciembre 2010 (PDF en Inglés). Business Plan (Plan de Negocio) por Enric Bello, para UAB (A

La adopción del concepto BYOD (Bring Your Own Device) en América Latina es algo que aún está a medio camino. Al menos así se demuestra en la más reciente encuesta de riesgos realizada por ISACA a nivel internacional, y en donde las respuestas de los participantes de México y América Latina dejan ver que la consumerización, o el uso de dispositivos personales para fines de trabajo, no es del todo aceptado. De acuerdo con la encuesta, poco más de la mitad de los respondientes en América Latina (52%) considera que los riesgos de utilizar dispositivos móviles para transportar datos corporativos son mayores que los beneficios que se podrían obtener. En México, esta cifra es un poco mayor (57%). Sin embargo, cabe resaltar que 44% de las respuestas de los encuestados latinoamericanos indican que su organización no cuenta con políticas de seguridad para la gestión de los dispositivos móviles. En México, el número de compañías que no cuenta con políticas de seguridad aumenta a 47%, lo c

La Agencia Nacional de Seguridad estadounidense (NSA) acaba de desclasificar una versión del manual de entrenamiento utilizado para enseñar a los miembros de la NSA a cómo utilizar Internet para propósitos de investigación. Este libro de más de 600 páginas fue escrito por Robyn Winder y Charlie Speight y se publicó por parte del Center for Figital Content de NSA en 2007. Descargar Fuente: Muy Computer

Hoy el mundo celebra el Día de la Internet, red de comunicación que revolucionó el mundo. Los lectores de EL DEBER nos contaron la vía crucis que viven con su conexión. Antes de la aparición de la Internet la vida de los terrestres era diferente. Este cambio llegó en 1969 y con ello revolucionó el mundo de la comunicación. Ahora la vida se simplifica y complica con la aparición de las tabletas, teléfonos inteligentes, computadores portátiles y de escritorio o con un televisor conectado a la Internet. ¿Concibes tu vida sin estás tecnologías de la información y la comunicación? Con seguridad que ya forman parte de tus actividades diarias y estilo de vida, pero ¿la conexión a la Internet es igual en Bolivia que en el resto del mundo? La respuesta inmediata es: no. Un informe de la Comisión Económica para América Latina y el Caribe (Cepal) señala que nuestro país tiene el servicio más caro y la conexión más lenta de toda Latinoamérica. En ese sentido, le pedimos a los lectores de E

Nos aproximamos a un mundo sin secretos, o al menos en el que los conocimientos y la información que un día se mantuvieron ocultos son revelados sin complejos. A continuación te ofrecemos en flamante PDF el manual que utiliza la Agencia Nacional de Seguridad de Estados Unidos para desentrañar toda la información que está disponible en Internet. Son más de 600 páginas que si te las estudias bien ya podrás hacer como Neo en matrix y decir “ya sé espiar en la Red”. Ahora podrás sentirte como un espía de las películas o las series de televisión, de esos que son capaces de desentrañar la Red, pues no otra es la misión de esta voluminosa y útil guía para encontrar en Internet la información que pulula por las casi infinitas páginas y recursos alojados en servidores de todo el mundo. “Untangling the Web: an introduction to Internet research” ha sido desclasificado ahora aunque su fecha original de publicación fue 2007, por lo que es posible que si lo repasas a fondo encuentres algunos c

Hace poco que hablábamos de una nueva distribución Linux dirigida a la auditoría profesional de seguridad informática, Kali Linux, heredera de la más conocida BackTrack, y hoy toca hacerlo de Bugtraq 2, ‘la viuda negra’. Bugtraq es una distribución GNU/Linux desarrollada ex profeso para servir como potente herramienta en auditorías de seguridad, análisis forense, pruebas de penetración y demás parafernalia relacionada con la seguridad informática. Si quieres saber más sobre este lanzamiento, en La mirada del replicante de nuevo publicaban hace unos meses un avance de la versión beta de Bugtraq del que rescatamos la siguiente lista de características: Anonimato e investigación: Osiris, Proxys, Web Domain, Geolocalización, Investigaciones, Host redirección, borrado de logs. Enumeración: Fingerprint y reconocimiento Mapping: IPV6, análisis de puertos, VPN Auditoría Web: Bases de datos, analítica web, panel finders, spiders Detección de vulnerabilidades Pentesting: exploi

A principios de septiembre tenía que escribir un artículo para presentarlo como propuesta para la certificación GOLD GCIA de GIAC (SANS). Este documento tenía que estar relacionado con el tráfico de red y la detección de intrusos, orientado al análisis forense. Del conjunto de distintas ideas que tenía en mente, pensé en las veces que me había encontrado con un registro (log) de un servidor Web, en el que se requería emplear expresiones regulares usando listas blancas y negras de patrones que identificasen de entre todas las entradas del registro cuáles podían identificar un incidente de seguridad. Adicionalmente a las listas negras y blancas, tenemos una serie de herramientas de detección de intrusos a nivel de sistema, donde dado un registro de un servidor es capaz de detectar alertas a partir de unas reglas previamente creadas. Un ejemplo de estas herramientas fue expuesto con anterioridad por José Luis Chica donde se empleó la herramienta OSSEC. Teniendo en cuenta estos motor