SEGURIDAD Y AUDITORIA DE SISTEMAS

La gente está en vilo debido a Heartbleed, un error de programación que inadvertidamente arrasó con la seguridad de muchos servicios de Internet. La revelación de esta semana sorprendió al mundo. Y los nuevos informes que llegan sobre Heartbleed solo parecen inspirar más preocupaciones, no menos. El desafortunado resultado es la circulación de una gran cantidad de información errónea. ¿Quiere unirse conmigo en una pequeña sesión de descrédito? Estos son algunos de los destacados que escuche esta semana, y por que no son ciertos. Mito 1: Heartbleed es un virus Esta falla de OpenSSL no es un virus. Es una falla, un simple error de programación en el protocolo de código abierto (open source) usado por muchos sitios web y otros servidores. Cuando funciona como debería, OpenSSL ayuda a asegurar que las comunicaciones por red estén protegidas de ser espiadas. (Un indicador que un sitio web puede estar usándolo es cuando hay un "HTTPS" en la dirección web). Así que es una fa

Todos hemos sentido alguna vez la tentación y curiosidad de saber qué conversaciones y con quién, tienen nuestros amigos, familiares o pareja en sus redes sociales, esto es así, nos encanta saltarnos la privacidad, y ya desde los tiempos del difunto MSN Messenger tratábamos con modos más que dudosos de “adivinar” la contraseña de nuestros contactos. Como no, ahora con WhatsApp pasa exactamente lo mismo, queremos cotillear, y para ello recurrimos a aplicaciones que supuestamente nos mostrarán las conversaciones de quién le digamos, y de eso vamos a tratar en este post. Hace unos días, la Policía Nacional (@policia) publicaba en su Twitter: twitpoliciawhatsapp Y esto a qué viene, diréis, pues resulta que en los últimos tiempos han surgido distintas aplicaciones que tratan de aprovecharse de las inquietudes de la gente, prometiendo ser capaces de obtener las conversaciones de nuestros contactos, cosa que como ya avisa el twit, es totalmente ILEGAL, y como ahora veremos, una ESTAFA

El sensor biométrico del Samsung Galaxy S5 fue una de las características destacadas del smartphone de la compañía surcoreana durante el último Congreso Mundial de Móviles. Y a pocos días de su lanzamiento comercial, el lector fue hackeado, tras el anuncio de los analistas de la firma alemana de seguridad informática Security Research Labs, quienes lograron activar diversas funciones y servicios mediante una copia de una huella dactilar. La Verdad El método empleado está basado en un molde elaborado con pegamento y un spray de grafito, y ya había sido utilizado por la misma empresa de seguridad para vulnerar la seguridad del iPhone 5S, que también está equipado con un sensor biométrico. En el video publicado por la compañía, Security Research Labs, se muestra cómo es posible realizar una copia de una huella dactilar, un proceso algo complejo y rudimentario, que ya era conocido de forma previa. “Este método se puede perfeccionar, y ante la latente posibilidad de una filtración de

2014.04.04 | Su laboratorio de investigación brinda consejos para el cuidado adecuado de la información personal. Según una encuesta realizada por ESET Latinoamérica el 77% de los consultados en la región perdió información de valor por no haber realizado un correcto respald. Frente a esta problemática y con el objetivo de colaborar en el resguardo de los archivos de los usuarios, el Laboratorio de Investigación brinda algunas recomendaciones y consejos: • Identificar la información de valor para definir qué archivos deben ser respaldados y cuáles pueden ser obviados. Se deben respaldar aquellos archivos que no puedan volver a obtenerse con facilidad. • Considerar las necesidades de cada usuario para definir qué tipo de respaldo realizar. Si se desea mantener una copia de seguridad de toda la computadora, se recomienda realizar un backup completo utilizando un software adecuado y realizar respaldos periódicos de los archivos nuevos y modificados. • Es importante establecer

Un informe técnico de Osterman Research {PDF} RESUMEN EJECUTIVO Las herramientas de medios sociales, correo electrónico e Internet son de uso generalizado en la gran mayoría de organizaciones. Por ejemplo, Osterman Research ha observado que un profesional en información típico pasa 153 minutos por día laboral en el correo electrónico y 51 minutos en los medios sociales, lo cual constituye el 42.5% de una jornada laboral normal de ocho horas, sin mencionar el uso personal y laboral de sitios web que se lleva a cabo diariamente. Por ende, la seguridad de todas estas herramientas debe ser de suma importancia para los responsables de la toma de decisiones debido a la importante oportunidad que estas representan en la introducción de software malicioso y otras amenazas. Por ejemplo, nuestra investigación encontró que solo durante los últimos 12 meses: • En el 74% de las organizaciones se infiltró software malicioso a través de la navegación por Internet. • El 64% ha sufrido una in

En 1996, Brewstar Kahle era un ingeniero informático que había participado en el desarrollo de WAIS (el abuelo de la World Wide Web) y que ya había fundado y vendido a AOL una compañía tecnológica, y que en ese momento se disponía a iniciar otros dos proyectos (ambos inspirados en el nombre o en su función, en la Biblioteca de Alejandría): una empresa (Alexa Internet) y una organización sin ánimo de lucro: Internet Archive. Alexa es hoy día una subsidiaria de Amazon, y el principal ranking de visitas para webs de todo el mundo, pero cabe aventurar que en el futuro Internet Archive será considerado la gran aportación de Kahle: una biblioteca que, en resumen, intenta conservar una copia de todo el contenido de Internet, el archivo con mayor tasa de crecimiento de la historia de la Humanidad. Constantemente aparece y desaparece contenido en la Red, e Internet Archive procura -dentro de sus limitaciones- que el material desaparecido sea el menor posible, para poder dejar así un registro

(Actualización: Ya tenemos el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad aquí, recién salidos del horno. Real Decreto 3/2010 y 4/2010, respectivamente. Véase la página del BOE del 29 de enero para acceder a los PDFs) En este post y los siguientes de la serie vamos a ver cómo conseguir romper la seguridad de las tarjetas de proximidad RFID basadas en tecnología Mifare. Ello conllevará la lectura y modificación interna de sus datos e incluso el clonado de las mismas. La tecnología RFID (Identificación Mediante Radio Frecuencia), conforma, hoy en día, una solución extensamente utilizada en sistemas de pago en transportes públicos, controles de acceso a edificios u oficinas, pasaportes, monederos electrónicos o sistemas de control de encendido en automóviles entre otras aplicaciones. Existen diversas soluciones como Mifare, Keeloq o RFID EM4102, que permiten al portador interactuar de forma inalámbrica con los sistemas desplegados. La seguridad de este ti

l 15 de noviembre de 2012, la Fiscalía General de la CABA dictó la Resolución 501/12, a través de la cual, creó como prueba piloto por el término de un año, el Equipo Fiscal Especializado en Delitos y Contravenciones Informáticas, que actúa con competencia única en toda la Ciudad Autónoma de Buenos Aires, con el fin de investigar los delitos informáticos propiamente dichos, y aquellos que se cometen a través de internet que por su complejidad en la investigación o su dificultad en individualizar a los autores, merecen un tratamiento especializado. El trabajo realizado por la fiscalia y las operaciones contra los delitos informáticos se detallan en este informe "Cibercrime" [PDF] desarrollado por el equipo especializado de la ciudad. Fuente: SeguInfo

Empresa de seguridad descubre que los ciberdelincuentes sofisticaron sus tácticas para conseguir dinero en efectivo. ¡Descubre cómo operan! Después de realizar un estudio, la empresa de seguridad Symantec anunció que los ciberdelincuentes tienen una nueva forma de robar Cajeros Automáticos, usando como arma principal a los mensajes de textos (SMS). Esta información es la continuación de lo que Symantec publicó un blog sobre Ploutus, a finales del año 2013, donde se refería a la existencia de un nuevo malware para cajeros automáticos en México que permitía a los atacantes forzar los equipos para que entregaran dinero en efectivo usando un teclado externo conectado al cajero. Ahora, la más reciente investigación de Symantec sobre este tipo de amenazas encontró que una nueva variante de Ploutus permite a los ciberdelincuentes obtener dinero tras enviar un mensaje de texto al cajero automático comprometido, para luego dirigirse al mismo y recoger el dinero entregado por el equipo.

El nuevo reglamento de tarjetas de crédito y débito contempla una mayor protección al usuario, y permitirá un mejor monitoreo de las entidades financieras en la manipulación de cajeros automáticos, informó la SBS. De acuerdo al nuevo reglamento de tarjetas de crédito y débito de la Superintendencia de Banca, Seguros, y AFP (SBS), las entidades financieras deberán garantizar la entrega de los estados de cuenta al menos cinco días hábiles antes de la fecha máxima de pago, y notificar a los usuarios frente a acciones sospechosas de fraude en sus cuentas. Según la funcionaria de la SBS, María del Carmen Yuta, la normativa anterior solo establecía un plazo “prudencial”. Asimismo -agregó- la norma es facultativa respecto de los medios de notificación a los usuarios, en caso de operaciones sospechosas de fraude, dejando a las partes la posibilidad de elegir a aquellos que resulten más convenientes. Entre los métodos más eficaces para informar al usuario destacó: “Los más usuales son lo

19 de febrero de 2014.- EMC (NYSE:EMC) anunció hoy, de acuerdo con los datos de RSA, la División de Seguridad de EMC, las tendencias del cibercrimen en Latinoamérica, ya que en medida que evolucionan las amenazas financieras, desde ataques de robo de identidad hasta el malware de clonación en puntos de venta (POS) y troyanos bancarios sofisticados, también lo hacen las medidas de autenticación orientadas hacia la reducción del fraude y la disminución de pérdidas para los consumidores e instituciones financieras. En la actualidad, enfrentar las amenazas generadas en la red requiere una comprensión detallada del panorama del cibercrimen y una fuente de inteligencia capaz de proporcionar información valiosa sobre los riesgos que enfrenta cada organización. A menudo, los tipos y alcance de las amenazas en línea que experimentan los consumidores en una región determinada se relacionan con el nivel de la seguridad que emplean sus proveedores de servicios bancarios. Si no se eleva la segur