SEGURIDAD Y AUDITORIA DE SISTEMAS

Es fácil entender por qué sus empleados quieren utilizar sus teléfonos inteligentes y las tabletas en el trabajo - tienen un sinnúmero fáciles de usar de aplicaciones, proporcionan acceso rápido al Internet, y permiten poder trabajar en cualquier momento y en cualquier lugar. Sin embargo, las empresas ahora están luchando para brindar apoyo a estos dispositivos, así como mantener la seguridad y el control sobre ellos. Lea este libro electrónico experto para entender a fondo la tendencia de BYOD y cómo afectará a su empresa. Los dispositivos móviles como las tabletas y teléfonos inteligentes o smartphones han llegado a ser cada vez más populares en el mercado empresarial. La combinación entre las aplicaciones de uso fácil, internet de banda ancha y las numerosas aplicaciones de Web y la nube hacen de estos aparatos una opción lógica para muchos empleados. adiferencia de otros elementos en la infraestructura de TI, la adopción del usuario final ha impulsado en gran medida el uso de l

El administrador de un sitio web o de una red se basa software de monitorización red/servidor que continuamente se puede mantener un ojo en el sistema y pueden detectar componentes lentos o defectuosos. Estas herramientas de supervisión pueden enviar automáticamente las actualizaciones o activar copias de seguridad en caso de interrupciones causadas por accidentes o sobrecargas del servidor, conexiones de red y otros factores. Por ejemplo, para averiguar el estado de un servidor web, el software de monitoreo de vez en cuando puede enviar una petición HTTP a buscar una página. Para los servidores de correo electrónico, un mensaje de prueba puede ser enviado a través de SMTP y traído por IMAP o POP3. En el caso de solicitar el estado de las fallas, el software de monitoreo puede enviar un mensaje de alarma al administrador de sistemas, a su vez en sistemas de conmutación por error para eliminar la problemática del servidor hasta que pueda ser corregida, o hacer otras acciones imperativa

La medida judicial se dictó contra Manuel Eduardo Castro Garcés, quien habría cometido el primer delito en agravio del ciudadano Bruno Miranda Febres y del Banco de Crédito del Perú (BCP), y en el segundo en perjuicio del Estado. La Segunda Fiscalía Provincial Penal de la Molina-Cieneguilla logró que el Poder Judicial (PJ) dicte, por primera vez y aplicación de la Ley 30096 promulgada en octubre, prisión preventiva por el presunto delito de fraude informático y falsedad genérica. La medida judicial se dictó contra Manuel Eduardo Castro Garcés, quien habría cometido el primer delito en agravio del ciudadano Bruno Miranda Febres y del Banco de Crédito del Perú (BCP), y en el segundo en perjuicio del Estado. Según la denuncia del fiscal provincial penal Juan Pablo Mamani Arapa, el procesado habría usado una tarjeta de crédito clonada del BCP, perteneciente a Miranda Febres, para retirar de 2 mil 400 soles. La transacción fue efectuada desde las cajas de atención del casino “Fhar

Si tienes un ordenador con una webcam incorporada en la pantalla, conocerás de sobra el funcionamiento: si una lucecita aparece encendida junto a la lente, significa que la cámara está funcionando. Si no, parece lógico pensar que no, aunque en el pasado se ha conocido la existencia de diversas vulnerabilidades que permiten “espiar” remotamente a algunos usuarios sin que la propia webcam avise de estar encendida. The Washington Post publicaba ayer un interesante reportaje en el que explicaban cómo el FBI estaba persiguiendo “electrónicamente” a un tipo que lleva meses realizando amenazas de bomba. Concretamente, explicaban que un equipo de “hackers” del FBI había diseñado un malware para que éste se instalara en el equipo del usuario objetivo cuando éste entrara a su cuenta de correo en Yahoo. Con este programa, afirman las fuentes del diario, las autoridades estadounidenses tienen acceso a una gran variedad de información almacenada en el equipo del sospechoso: ficheros, fotograf

Hoy en día, el ciclo de vida de nuestro equipamiento informático es cada vez más corto, pero eso no quiere decir que los equipos que desechamos vayan directamente al vertedero. De hecho, hay muchas empresas u organismos que se encargan de gestionar ese tipo de material de forma que pueda ser convenientemente reutilizado: por ejemplo, Fundación Bip-Bip, Ordenadores Sin Fronteras (OSF) o Informática Abierta , entre otras. Así pues, en caso de que nos planteemos ceder nuestros equipos informáticos obsoletos, ¿qué pasaría con la información sensible que pudo estar almacenada en ellos? En principio, la eliminación o borrado de un archivo o soporte magnético completo mediante el propio sistema operativo simplemente eliminaría las referencias a dicho contenido pero no borraría la información propiamente dicha grabada en la superficie, que podría ser recuperada sin dificultad siempre que no hubiera sido parcial o totalmente sobrescrita por un nuevo archivo. Un borrado más serio podría

El presidente de los Estados Unidos, Barack Obama, confesó este miércoles que su equipo de seguridad no le permite tener un iPhone, pese a ser un admirador del fundador de Apple, Steve Jobs, por lo que se mantiene fiel a su Blackberry desde que llegó a la Casa Blanca. "No se me permite, por razones de seguridad, tener un iPhone", dijo el mandatario demócrata a un grupo de jóvenes que visitaron la Casa Blanca para un acto en defensa de la reforma sanitaria aprobada en 2010. Asimismo, Obama confesó que sus hijas, Sasha y Malia, sí tienen iPhone, y "parecen pasar mucho tiempo usándolo". No obstante, el presidente norteamericano sí tiene un iPad, otro producto Apple, con el que consulta los titulares y navega por Internet a menudo, según indicó en una entrevista con la revista Vanity Fair el año pasado. Aunque ni el presidente ni el servicio secreto han indicado por qué razón se les permite tener Blackberry y no un iPhone, la primera de esas marcas es reconoci

La metodología para la programación segura es un suplemento de la metodología de seguridad OSSTMM (Open Source Security Testing Methodology Manual) que facilita una serie de estándares en vistas al desarrollo de código que deberá encontrarse accesible en Internet. Por tanto se parte desde un principio con la idea de que este código debe estar preparado para sobrevivir en un entorno altamente hostil. El desarrollo de un programa que resuelva un problema dado es una tarea compleja, ya que es necesario tener en cuenta de manera simultánea muchos elementos. Por lo tanto, es indispensable usar una metodología de programación. Una metodología de programación es un conjunto o sistema de métodos, principios y reglas que permiten enfrentar de manera sistemática el desarrollo de un programa que resuelve un problema algorítmico. Estas metodologías generalmente se estructuran como una secuencia de pasos que parten de la definición del problema y culminan con un programa que lo resuelve. A

El editor en jefe de The Guardian, Alan Rusbridger, afirmó que el diario británico publicó solamente el uno por ciento de los 58.000 documentos filtrados por el ex técnico de la CIA, Edward Snowden, y acusó al gobierno de ese país de "intentos intimidatorios" de frenar las revelaciones sobre los programas masivos de espionaje. El periodista compareció hoy ante el Comité de Asuntos Interiores de la Cámara de los Comunes, donde comentó que las filtraciones de Snowden "son una historia aún en curso" y que el matutino hasta ahora publicó el uno por ciento de los 58.000 documentos. Si bien por cuestiones de seguridad no precisó dónde están los archivos obtenidos por el "topo", dijo que por lo menos hay cuatro copias en poder de The Guardian (en Londres), del diario estadounidense The Washington Post y de los periodistas que sacaron a la luz el escándalo, Glen Greenwald (en Río de Janeiro) y Laura Poitras (en Berlín). Rusbridger explicó que los archivos e

Un análisis del impacto al negocio (BIA) es central en el desarrollo de los planes de continuidad de negocios (BC) y de recuperación de desastres (DR). Un BIA es una exposición de las necesidades de recuperación, una jerarquía de prioridades y una propuesta de valor para soportar las inversiones de la alta gerencia en respaldo de datos, instalaciones alternas, duplicación de equipos y otros recursos. Demuestra las vulnerabilidades de una organización, así como lo que hay que hacer antes de un desastre para cumplir los requerimientos del negocio, y lo que se puede diferir hasta que ocurra un desastre. Desafortunadamente, mucha gente que realiza BIAs comete errores. Lo sé por experiencia: He conducido más de cien análisis de impacto al negocio, y he cometido cada error posible. Así que he recopilado las diez principales cosas que debe tener en cuenta y que debe evitar cuando realice su análisis de impacto en el negocio. Lista de verificación de los 10 errores más comunes para el análi

James Howell olvidó que había almacenado las monedas virtuales en ese disco. James Howell recorrió un vertedero en el sur de Gales, buscando un disco duro que botó a la basura y que ahora vale más de USD$8 millones. El disco contiene 7.500 bitcoins, la moneda virtual que superó los USD$1.000 hace pocos días. Si no hubiese cerrado ya el concurso, esto iba seguro a Fail del año. Pero, ¿cómo terminó este disco en la basura? Howell minó bitcoin con su computadora en 2009. Un día derramó una bebida sobre el equipo, así que lo desmanteló y salvó las piezas que se podían usar, entre ellas, el disco duro. Algunas cosas las vendió, y el disco lo guardó en un cajón. Cuatro años después, Howell realizó una limpieza de la oficina, y descubrió de nuevo el disco, que no había usado desde el incidente de 2009. "Pensé que había sacado todas las cosas, así que lo tiré a la basura", dijo a la BBC. Más tarde se acordaría de qué es lo que había en ese disco. "Escuché historias sobr

El 7 de noviembre sale la versión 3.0 de PCI DSS. El PCI SSC ha empezado a distribuir los borradores de la norma entre los QSAs (Qualified Security Assessors) y he aquí las primeras conclusiones sobre el borrador. Esta nueva versión viene con una profunda revisión de todos los requisitos, derivada de la necesidad de ir evolucionando y perfeccionando la filosofía del estándar con el paso del tiempo, pero, en ningún caso, desdice o invalida requisitos de la versión anterior y la estructura de los 12 requerimientos sigue siendo la misma. Aunque se han incluido varios requisitos (alrededor de 30 nuevos), se puede decir que la nueva versión requiere un esfuerzo extra por parte de las organizaciones en la parte documental. El PCI SSC da por hecho que la red se segmenta, que se recogen logs de todos los componentes, que los sistemas son bastionados, etc., pero la parte documental y procedimental no está correctamente desarrollado o implantado, y en este aspecto se centran la mayoría de los

El informe de McAfee sobre las amenazas del tercer trimestre del año identifica malware para Android que evita la validación de aplicaciones. Diario TI 26/11/13 10:28:55 McAfee Labs ha publicado McAfee Labs Threats Report: Third Quarter 2013, su informe de amenazas correspondiente al tercer trimestre de 2013, que encontró nuevos esfuerzos por eludir la validación de la firma digital en aplicaciones para dispositivos basados ​​en Android. Los laboratorios de McAfee han identificado una nueva familia de malware para móviles que permite evitar la validación con firma digital de aplicaciones en dispositivos Android, lo que ha contribuido a que el malware se haya incrementado un 30% en Android. Al mismo tiempo, el malware tradicional con firma digital creció un 50% hasta alcanzar más de 1,5 millones de muestras. Menos sorprendente, pero por ello no menos peligroso fue el incremento del spam en un 125%. Según Vincent Weafer, senior vicepresidente de McAfee Labs, “los esfuerzos para elu

Por violar el régimen de protección de datos personales (Hábeas Data), la Superintendencia de Industria y Comercio (SIC), sancionó en primera instancia a Experian Computec S.A., administradora de la central de riesgos DataCrédito, con una multa de $412.650.000, equivalente a setecientos salarios mínimos legales mensuales vigentes (700 Smlmv). Por medio de la Resolución No. 62.016 del 25 de octubre de 2013, la SIC, a través de Dirección de Investigación de Protección de Datos Personales, la sanción se impuso como resultado de una investigación en la que se determinó que Experian Computec S.A., violó los deberes legales de circulación restringida y seguridad de la información crediticia de los ciudadanos reportados en DataCrédito. Dentro de la actuación administrativa, se determinó que la empresa de referencia, asignaba perfiles de usuario y claves de acceso a DataCrédito a sus ejecutivos de venta, quienes al momento de ofrecer sus servicios a potenciales clientes, accedían de form

Un experimento muestra todo lo que podés averiguar sobre las personas que te rodean sólo mirando su actividad pública en Twitter, Facebook, Foursquare o Instagram Desde hace un par de meses, todas las semanas se destapa un nuevo escándalo de espionaje o atentados contra la privacidad en Internet. Nadie niega que esos hechos no sean graves y demanden una atención especial por parte de las autoridades. Sin embargo, no hace falta tender una red de espionaje para exponer la baja importancia que los usuarios de las redes sociales le dan a su privacidad. Para dejar en claro este punto, el humorista estadounidense Jack Vale realizó un social media experiment (un experimento en base a redes sociales) para ver qué tanto podía averiguar de la gente que estaba a su alrededor a partir de sus perfiles públicos en las principales redes sociales. Usando los sistemas de geolocalización que proveen Twitter, Google, Facebook e Instagram (y que muchos usuarios activan sin pensarlo dos veces), Vale

Destinada a operadores de infraestructuras críticas, la guía tiene como fin fundamental introducir los procedimientos y herramientas esenciales para mejorar la seguridad de los sistemas informáticos que componen las infraestructuras críticas. Pese a su criticidad, los sistemas industriales también son vulnerables ante ataques basados en ingeniería social, explotación de vulnerabilidades, zero-days y las cada vez más frecuentes APTs (Advanced Persistent Threats). En la guía se indican normas de buenas prácticas para proteger equipos individuales y el acceso a servicios, como la limitación de los privilegios y servicios a los mínimos necesarios, implantación de políticas de actualización o creación de snapshots con las configuraciones de seguridad. Incluyendo, por supuesto, la necesidad de incorporar medidas antimalware y procedimientos de backup robustos. Además, se hace énfasis en la especial atención requerida en los entornos legacy y en los equipos móviles. También introduce la

El protocolo es recomendado por la Electronic Frontier Foundation y en Twitter ya adelantaron que ralentizará un poco el servicio. En vista de las recientes revelaciones del espionaje de las agencias de seguridad norteamericanas sobre prácticamente casi toda la industria tecnológica, Twitter anunció que su servicio cambiará sus estándares de cifrado utilizando un nuevo protocolo de seguridad. Este protocolo, recomendado por muchos expertos en el área como la EFF (Electronic Frontier Foundation), es conocido como Perfect Forward Secrecy. La EFF explica el funcionamiento de la siguiente forma: Con el cifrado estándar HTTPS la llave (o clave) para desencriptar la información está almacenada en el servidor, lo que significa que una agencia de seguridad como la NSA puede capturar toda la información y simplemente esperar hasta que llegue el día que obtenga la llave para descifrar toda esta información. Sin embargo, el protocolo Perfect Forward Secrecy (que se implementaría encima d

En seis meses se extenderán al resto del mundo y a otros 158 idiomas El anuncio se produce justo antes de la Cumbre sobre seguridad en Internet Las principales compañías de motores de búsqueda, Google y Microsoft, han acordado medidas para que sea más difícil encontrar imágenes de abuso infantil en Internet. Para ello, nada menos que 100.000 términos de búsqueda ahora no producirán ningún resultado, y dará lugar a advertencias de que las imágenes de abuso infantil son ilegales. Las restricciones se aplicarán inicialmente en los países de habla inglesa, pero en un plazo de seis meses se extenderán al resto del mundo y a otros 158 idiomas. En declaraciones al 'The Daily Mail', el primer ministro británico, David Cameron, ha calificado de "avance significativo" la medida tomada por Google y Microsoft -que primero se habían negado a censurar los contenidos- y recordó que, si estas empresas "incumplen sus compromisos", introducirá legislación para obliga

ECB (Electronic codebook) es otro de los magníficos ejercicios de PentesterLab en el que podemos aprender a robar cookies que usan cifrado ECB o por bloques, de forma débil, del cual nos podríamos a provechar para suplantar la identidad de otro usuario. El ejercicio es de iniciación y todo lo que se requieren son conocimientos básicos de PHP y HTTP, además de un software de virtualización (VirtaulBox o VMPlayer por ejemplo). Como de costumbre te puedes descargar la máquina virtual para 32 ó 64 bits además del PDF que nos guía a través del ejercicio. Mas Informacion: CyberHades

César Morán López es el Auditor Interno de Grupo Comercial Control (GCC) y reporta directamente a la Dirección General de este grupo comercial, que abarca las tiendas departamentales Del Sol y Woolworth, las Boutiques Locura, así como los restaurantes Noreste Grill y Café W. Morán, quien se define a sí mismo como “los ojos de los dueños” sobre los procesos operativos, es responsable de la implementación del Sistema de Monitoreo Continuo en diversas tiendas y los dos centros de distribución de GCC. Este sistema permitió al grupo una reducción de casi 80% en gastos operativos y fugas económicas relacionadas con la gestión de inventarios, distribución y almacenamiento de productos, así como la disminución de fraudes y un ahorro radical en el pago de cuotas improcedentes al IMSS, que ahora se mantienen por debajo del 0.01%. César cuenta con 14 años de experiencia en el terreno de auditoría. Estudió contaduría pública y de ahí la necesidad lo movió hacia el área de TI. “Toda la inform

La empresa Symantec ha publicado dos libros blancos de seguridad correspondientes a "guías sobre protección de sitios web" y "cómo funciona el software malicioso". La guía de cómo funciona el malware [PDF] dice que casi un cuarto de los responsables informáticos no saben hasta qué punto es seguro su sitio web. Sin embargo, y dado que la cantidad de ataques bloqueados al día ha pasado de 190.370 en 2011 a 247.350 en 2012, resulta fundamental que las empresas sepan qué papel desempeña su sitio web en la distribución de software malicioso entre sus clientes y el resto de la comunidad web. El software malicioso puede tener distintos fines: registrar pulsaciones de teclas, filtrar datos, bloquear dispositivos o usar sistemas infectados para propagar el software malicioso entre más víctimas. Como propietario de un sitio web, no solo tiene la obligación de proteger su negocio y a sus clientes, sino también de garantizar la seguridad en Internet. Piense en el efect

La empresa de marketing basada en Irlanda LoyaltyBuild ha sufrido una violación de datos que resultó en el compromiso de información de múltiples empresas. El equipo de inspección confirmó que la magnitud de la infracción alcanza a 1,12 millones de clientes de los cuales se ha robado nombre, dirección, teléfono número y correo electrónico. Las empresas afectadas han estado tomando medidas y revisando las cuentas para reportar cualquier actividad inusual o comunicación no solicitada con los clientes afectados. Además han comenzado a enviarles avisos sobre la violación de datos. LoyaltyBuild ha declarado que la violación del sistema fue descubierta el 25 de octubew, y que han estado trabajando todo el día con sus expertos en seguridad para llegar al fondo del asunto. Un reportero de Irish Examiner Mike Harris plantea que debido a que los datos comprometidos eran históricos, es probable que no todos los datos estuvieran actualizados. Fuente: Segu-Info

Facebook y Microsoft ofrecen una recompensa de hasta $5,000 dólares para aquellos “hackers buenos” que encuentren un agujero de seguridad en la World Wide Web. Aunque el fabricante de Windows ya ofrece sus propios premios en dinero para quien encuentre una falla de seguridad, una recompensa multiempresa es una idea novedosa. La iniciativa llamada “Bug Bounty” (recompensa por fallas), que patrocinan ambas empresas, reta a los interesados a encontrar fallas en plataformas web críticas como OpenSSL, PHP, Perl y Apache. Incluso, se convoca a hackear el propio internet; es decir, encontrar un error que afecte a una amplica gama de productos y usuarios. “Si el público es demostrablemente más seguro, como resultado de su contribución a la seguridad en internet, nos gustaría ser los primeros en reconocer su trabajo y decir ‘gracias’ con algo de dinero para usted o su organización sin fines de lucro favorita”, explica la página de The Internet Bug Bounty. La recompensa varía dependiend

El foro del sitio de noticias, información y rumores sobre MAC, MacRumors ha sido atacado y se han comprometido 860.106 cuentas de usuarios, los cuales eran mantenidos en una versión sin actualizar de vBulletin. Los mensajes de correo electrónico y los hash MD5 de las contraseñas fueron potencialmente comprometidos por lo que se sugiere a los usuarios cambiar sus contraseñas inmediatamente en Macrumors y en todos los otros lugares donde la hayan utilizado. Utilizar MD5 con o sin sal es un medio insuficiente para proteger contraseñas almacenadas. Incluso en 2012, el autor original del algoritmo de hash MD5 ha declarado públicamente que ya no se considera seguro para usar en sitios web comerciales. El propietario de Macrumors , Arnold Kim, se disculpó por la intrusión y dijo que esto ocurrió porque se obtuvo acceso a una cuenta de moderador, que luego permitió escalar privilegios con el objetivo de robar las credenciales de inicio de sesión de los usuarios. Al parecer, se utilizó

Esta gran lista de servicios y productos de seguridad informática ha sido recopilada durante varios años y se actualiza continuamente. El propósito de la lista es proporcionar una completa documentación de los productos de seguridad disponibles así como comentarios comparativos y sugerencias personales de los autores de la lista. Casi todos los productos de esta lista son casi exclusivamente libres, con algunas pocas excepciones que corresponden a soluciones gratuitas con licencias de por vida o productos comerciales de mérito excepcional. La lista es mantenida por editores voluntarios & J_L. Mejores herramientas de seguridad ( click aquí para la lista completa ) 1. Introduction / Keys / What's New 2. Realtime Protection 3. Scanners 4. Malware Removal Tools 5. Online Scanners 6. Firewalls 7. HIPS 8. System Hardening-HIPS 9. System Hardening 10. Sandboxing / Virtualization 11. Vulnerability Scanning 12. Browser Security 13. IP-Blocking/Hardening 14. Privacy

Se instala en los hoteles cuando viaja al exterior. Allí ingresa para eludir posibles cámaras de videos o micrófonos. Cuando el presidente Barack Obama viaja al extranjero, su personal empaca libros de instrucciones, regalos para los dignatarios extranjeros y algo que se relaciona más con el salir de campamento que con la diplomacia: una carpa. Aun cuando Obama viaje a países aliados, sus asistentes rápidamente arman una carpa de seguridad –con paredes impenetrables y dispositivos de ruido en su interior– en una habitación de hotel cercana a su suite. Cuando el presidente tiene que leer un documento confidencial o mantener una conversación sensible, entra a la carpa para protegerse de las cámaras de video secretas y los dispositivos de escucha. Los agentes de seguridad de los Estados Unidos exigen que sus jefes –no sólo el presidente sino también los miembros del Congreso, los diplomáticos, los funcionarios y los militares– tomen esas precauciones cuando viajan al exterior porque

En el mes de Septiembre Jhon Jairo Hernández Hernández (aka Dinosaurio) ha sido contactado por la Dirección de Operación Bancaria para brindar una conferencia en el marco del "VII CONGRESO DE PREVENCION DEL FRAUDE Y SEGURIDAD" y en este caso se ha explayado sobre sus investigaciones forenses encaminadas a resolver fraudes bancarios. Fuente: SeguInfo