SEGURIDAD Y AUDITORIA DE SISTEMAS

Por:Sergio de los Santos ssantos@hispasec.com La seguridad, mi abuela... y billetes de 5 pesetas Mi padre fue obligado a hacer el servicio militar en Madrid, partiendo desde un pequeño pueblo de Málaga. Cuando era niño, mi abuela paterna me contó cómo le hacía llegar una pequeña cantidad de dinero a su hijo mientras él sufría "la mili" de los 60. Sus métodos, aunque simples y lógicos, me sorprendieron entonces. Hoy, en la era digital, lo que sorprende es que no se respeten las más mínimas medidas de seguridad con nuestros datos. Eran los 60. El servicio militar duraba casi dos años y la distancia entre el pueblo y Madrid era de más de 500 kilómetros. En la mili, a mi padre le pagan 35 pesetas mensuales (de las que se le descontaban siempre gastos en desperfectos ocasionados por otros en ventanas, mantas robadas...). Mi abuela, con enorme esfuerzo e ilusión, enviaba a mi padre desde el pueblo un billete de 5 pesetas cada semana con un método muy sencillo: Envolvía el billete

INTECO-CERT, fiel a su labor informativa, publica semestralmente un informe con las vulnerabilidades reportadas a NIST (National Institute of Standards and Technology) y traducidas al español. Por este motivo, acaba de ver la luz el «Informe de vulnerabilidades del segundo semestre de 2011» . En este informe se destaca la vulnerabilidad de permisos, privilegios y control de acceso (CWE=264), indicando las principales causas que la provocan, los tipos básicos y las principales medidas que los programadores pueden adoptar para tratar de evitarla o mitigarla. Asimismo, como parte del fomento de la cultura de seguridad, cabe destacar que en el apartado «Buenas prácticas» de este informe se hace hincapié en las actualizaciones del software de soporte para aplicaciones Java. Se describe el proceso de actualización de Java, resaltando el hecho de que no elimina la versión anterior, y se detalla la forma de comprobar las versiones que tenemos instaladas, así como la manera de eliminar las vers

INTECO-CERT presenta el informe “Análisis de tráfico con Wireshark” que pretende servir de apoyo a administradores y técnicos de seguridad a la hora de analizar tráfico para detectar problemas o ataques de red. Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones, incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente. En cualquier caso, conocer el origen del incidente es el primer paso para poder tomar las contramedidas necesarias y conseguir una correcta protección. En este punto, los analizadores de tráfico pueden resultar de gran utilidad para detectar, analizar y correlacionar tráfico identificando las amenazas de red para, posteriormente, l

El gobierno de Internet anunció en junio en Singapur la expansión de nombres de dominio. Se podrá registrar casi cualquier extensión como “.apple” o “.music”. Para tenerlos, habrá que pagar 185 mil dólares. Esta semana comienza la expansión de nombres de dominios. En contra de la voluntad de algunas grandes empresas, a partir del 12 de enero abril cualquier persona o empresa podrá registrar cualquier palabra como extensión de una página web. En la actualidad hay alrededor de 22 tipos de dominios de primer nivel como .com o .org, además de los códigos de países como .es para España. Las empresas creen que ya es suficiente y 40 grandes corporaciones, como por ejemplo Coca-Cola, se han quejado de que con la expansión del dominio se elevan los costes y aumenta el riesgo de fraude y suplantación (ver informe de amenazas en PDF) . Este podría suponer uno de los mayores cambios en internet desde su creación hace décadas, y estará coordinado por ICANN (Internet Corporation for Assigned Names a

La tendencia de que las empresas adopten tecnologías de consumo (conocida en inglés como consumerization) está aumentando rápidamente y eso supone un cambio en el funcionamiento y gestión de entornos corporativos y las aplicaciones empresariales. Las organizaciones tienen la oportunidad de aprovechar estas tecnologías para aumentar la productividad de sus empleados y no sólo la eficacia sino también la eficiencia su gestión, especialmente en ambientes de trabajo que requieren movilidad. Esta nueva situación puede suponer un reto para los responsables de TI ya que surge la necesidad de que haya nuevas políticas de seguridad y gestión de acceso. Un reciente estudio a 10.000 expertos en seguridad de Frost & Sullivan determinó que las amenazas que surgen de los dispositivos móviles, la nube, las redes sociales y las aplicaciones inseguras tienen un papel determinante en su percepción del riesgo. Según el estudio, el 70% de los encuestados defiende que aunque hay políticas de segurid

El pago de productos y servicios a través de dispositivos móviles es una realidad y es posible pensar que algún día las carteras tradicionales con efectivo y tarjetas de crédito quedarán en el olvido. Un nuevo reporte de ISACA, "Pagos Móviles: Cuestiones de Riesgo, Seguridad y Aseguramiento", examina esta creciente tendencia y ofrece una guía sobre el manejo de los riesgos y el aumento de la seguridad. Un estudio de Juniper Research reveló que el valor de los pagos móviles de productos digitales y físicos, de las transferencias monetarias y de otras transacciones alcanzará casi $630 mil millones de dólares en 2014. El reporte de Pagos Móviles, disponible para descargarse sin costo en el sitio de ISACA, una asociación mundial sin fines de lucro de profesionales de TI, identifica los beneficios para los consumidores entre los que destacan: la velocidad y la conveniencia de no llevar consigo efectivo ni tarjetas de crédito, la consolidación de varias tarjetas, y un mayor nivel d

Aunque es un término muy de moda últimamente, el cloud computing está presente en el concepto mismo de Internet. Por ello su historia es mucho más antigua de lo que se piensa. La siguiente infografía se remonta a los años 60 para contarnos los orígenes de la filosofía de la nube y concluye con lo que significa hoy esta tecnología. Esta infografía, recogida por CloudTweaks, ofrece la historia del cloud computing, así como algunos datos relevantes sobre el mercado en el que está inmerso. Cómo ha ido creciendo el valor de los servicios en la nube a través de los años, la demanda de puestos de trabajo relacionados con esta tecnología o las ventajas en productividad son algunos de los datos que se detallan Fuente: http://cloud.ticbeat.com/infografia-historia-cloud/

Ciberdelito. Obtuvieron claves de trabajadora enviándole virus informático. De ese modo, ingresaron a su cuenta. Una triste Navidad vivió Milagros Casazola Figueroa, de 39 años, quien desafortunadamente fue víctima de los 'ciberdelincuentes'. Estos le vaciaron su cuenta de ahorros transfiriendo S/. 1.900 luego de clonar la página web del Banco de Crédito (BCP). El hecho ocurrió cuando la asistenta social ingresó a banca por internet, en su computadora, el día 23 de diciembre a las 9:00 pm. En ese momento notó algunas irregularidades al tratar de ingresar su clave, no sabía que la web a la que había accedido estaba adulterada. "Aquella noche ingresé a la página web del BCP que tengo instalada en mi ordenador, no pude acceder para realizar mis transacciones, así que intenté con la clave de 6 dígitos y salió la pantalla de seguridad en la que me pedían que ingrese la clave digital. Luego salió la palabra cargando, algo que me pareció extraño. Pero como no logré acceder desi

Sophos ha hecho público un informe donde detalla las principales tendencias que caracterizaron el mercado de la seguridad durante el año 2011, siendo en líneas generales la proliferación de los ciberataques y la selección de nuevos objetivos algunas de las más destacadas. En concreto, el director de estrategias tecnológicas de Sophos y autor del informe, James Lyne, ha destacado que entre los nuevos objetivos de 2011 destaco principalmente entre los ataques de los ciberdelicuentes las amenazas a plataformas móviles. Desde Sophos han destacado la aparición de programas maliciosos para estos dispositivos, todavía ciertamente básicos y principalmente dirigidos a plataformas clave como Android. Sin embargo, la proliferación de estos ataques fue la confirmación de las previsiones que los expertos de seguridad habían realizado para esta industria. Por ello, hay que atender a las previsiones para 2012 para intentar estar preparados. “Los ataques a móviles son aún bastante simples, podríamos