SEGURIDAD Y AUDITORIA DE SISTEMAS

María Ramírez, experta en seguridad de Trend Micro, analiza los peligros de convertir los dispositivos móviles en terminales de pago. Publicado el 27 marzo 2013 por Redacción 0 Desde hace ya varios años existe el rumor, pero ahora parece que este rumor se hace realidad: los smartphones y tablets se convierten en terminales de pago mediante tarjetas de crédito/débito. Ya en 2005, Google hizo “sus pinitos”. Puso en marcha pruebas con tarjetas MasterCard, otra de prepago de Google y varias de regalo de comercios que se adhirieron a estos tests. Si la tienda cuenta con la preparación necesaria, sólo bastará con acercar el teléfono a un terminal concreto y confirmar el pago. El comercio podrá mostrar ofertas, regalos y otra información en el móvil del usuario y, además, este servicio sería gratis para los compradores. En el entorno de pruebas se demostró que este procedimiento es seguro y satisfactorio. La comunicación entre el teléfono y el terminal se hace vía NFC (Near Field Comm

Los ataques de tipo phishing llevan ya más de 10 años, pero en realidad no fue hasta 2003 que se popularizaron. Contra entidades españolas, quizás un poco más tarde. 10 años después, el phishing sigue funcionando prácticamente igual que cuando comenzó, e incluso algunas medidas para darle credibilidad intentadas durante esta última década, han sido descartadas por los atacantes en favor de lo sencillo... porque no merece la pena. Sigue siendo igual de efectivo. Más evolución Los casos de phishing más "evolucionados", realizan MiTM (hombre en el medio). Consiste en que la página falsa recoge el usuario y contraseña del usuario y los prueba contra la web real del banco. Si no son válidos muestra un mensaje de error. Esto da realismo al phishing, y aun hoy se sigue usando, aunque solo en los casos más sofisticados. Hacia 2007, a medida que las entidades bancarias implantaban las tarjetas de coordenadas, los phishing simplemente comenzaron a pedir todos los datos de la tar

El envío de correo es un sistema que, por definición, carece absolutamente de seguridad. Esto permite que, por ejemplo, sea tan sencillo falsificar un remitente de un email. Para solucionar esto, se han propuesto varios métodos que son como "parches" en el protocolo SMTP. Uno es "Sender Policy Framework" (SPF) que se considera una buena práctica contra la falsificación de correos en general y el phishing en particular. El phishing se suele basar en el envío de correos falsos, que dicen venir de la entidad bancaria. Para conseguir dar credibilidad a estos correos, los atacantes suelen, entre otros métodos, utilizar logotipos de entidad atacada o el envío desde direcciones pertenecientes al dominio de la entidad. Por ejemplo, es más probable que una potencial víctima del phishing dé más credibilidad a un correo que viene de soporte@banco.com, que si viene de soporte@gmail.com pidiendo las contraseñas de la que es cliente. SPF se basa en que un correo de un dominio

Google ha lanzado un nuevo servicio Webmasters help for hacked sites que ofrece ayuda a los propietarios de sitios web con la seguridad comprometida, con instrucciones para abordar la cuestión, artículos paso a paso y vídeos. Más allá de las instrucciones técnicas Webmasters help for hacked sites también permite a los usuarios saber por qué ha sucedido algo como esto y como evitar la temida etiqueta ‘Este sitio puede dañar tu equipo’ incluido en los resultados de búsqueda. El gigante de Internet ya ha publicado más de 80 minutos de vídeo en su canal Google Webmasters con múltiples consejos de seguridad y mantenimiento para evitar que tu sitio sea colocado en la lista negra. Uno de ellos como muestra: Ver en Youtube Fuente: Muy Seguridad

Leemos en Segu-Info que acaba de nacer un programa de radio por Internet dedicado a la seguridad informática y el hacking realizado desde España. Hablamos de Radio Security , que el pasado viernes 22 tuvo su primera emisión, que ya puede ser descargada en un archivo de audio, aunque los programas se repiten diariamente a las 00hs, 03hs, 18hs y 21hs de España. Si entras a cualquier otra hora encontrarás música. Se espera que en los próximos días los responsables del programa confirmen nuevos contenidos, entre los que podría haber cursos, seminarios y entrevistas con temáticas siempre enfocadas tanto en la seguridad personal como corporativa. Fuente: MuySeguridad

Para aquellos que ya estén dentro del sector de los centros de datos tal vez ya hayan oído hablar de este término, o más bien, de esta clasificación. A la hora de diseñar, planificar y construir un data center, existen multitud de aspectos que debemos tener en cuenta. No solo estamos hablando de cuestiones propias de la ingeniera (que son muchísimas). Estamos hablando de normativas, certificados y legislaciones que es necesario cumplir si queremos que este sistema realice correctamente su función y lo haga dentro de los parámetros adecuados. Si no se tienen conocimientos previos de ingeniería de sistemas o informática, a la hora de contratar un servicio de centro de datos o de hacerse hay varias cosas que se deben saber más allá de la oferta existente. Ya hablamos anteriormente del PUE, la medida de eficiencia energética de los data centers. Hoy queremos mostraros otro tipo de certificación que existe para este tipo de sistemas. Se trata del estandar ANSI/TIA-942 Telecommunicatio

Internet se ha convertido desde hace unos años en una herramienta fundamental en nuestra vida. Por medio de la red uno puede realizar cualquier tipo de gestión desde comprar cualquier tipo de producto, pasando por presentar unos impuestos o portales donde crear anuncios clasificados sobre servicios o productos que ofrecemos. Aunque cada vez son más los usuarios que utilizan Internet para realizar sus comprar, aún son muchos los que no se deciden a dar el paso por temor a sufrir algún tipo de estafa. Siguiendo unos simples consejos, podremos realizar nuestras comprar en la red sin miedo a sufrir algún tipo de problema. Veamos algunos de estos consejos. Compara en páginas web que sean seguras Tenemos que mirar que los comercios online hacen uso de certificados de seguridad que nos garantizará que la información que se maneja en esa página está totalmente cifrada. Esto lo podremos saber si la dirección web empieza por “https“. Elegir el método de pago más seguro Hoy en día

El port knocking (golpeo de puertos) es un mecanismo que permite abrir puertos a través de una serie predefinida de intentos de conexión a puertos que se encuentran cerrados. Veremos cómo definir y utilizar esta característica. El protocolo SSH suele utilizarse principalmente por administradores para ejecutar comandos de forma remota. Sin embargo, siempre existe el riesgo de exponer un tipo de servicio de estas características ya que suelen ser blanco de ataques. De esta manera, existe el port knocking como mecanismo adicional para la protección de este servicio o incluso otros. ¿Qué herramientas existen para implementar port knocking? Existen diversas herramientas para port knocking como por ejemplo fwknop, que utiliza autorización de paquetes única (single packet authorization) y permite implementar esta metodología de forma segura. Sin embargo, indagaremos sobre knockd, la cual es sumamente liviana aunque un poco más primitiva. Una vez instalado knockd es posible se deben co

El pasado fin de semana, Evernote vio comprometida la seguridad del servicio tras detectar una intrusión que habría tenido acceso a nuestros nombres de usuario, correos electrónicos y también a las contraseñas aunque, afortunadamente, éstas estaban cifradas. Como medida cautelar, Evernote decidió forzar el reseteo de las contraseñas de todos los usuarios del servicio y, entre las recomendaciones que hicieron, comentaron la importancia de no usar la misma clave en todos los servicios en los que nos registremos. Para muchos usuarios, no tener que recordar un amplio número de contraseñas es importante, máxime cuando cada vez son más los servicios disponibles en la red; sin embargo, a pesar de que nos facilitaría mucho las cosas ¿por qué no debemos usar la misma contraseña en todos los servicios que usamos? Para muchos usuarios, seguramente, la respuesta a esta pregunta es más que evidente y no necesiten ningún tipo de explicación; sin embargo, existe un buen número de usuarios que rep

Investigadores alemanes mostraron cómo es posible conseguir las claves criptográficas almacenadas en un dispositivo con sistema operativo Android, al congelarlo durante una hora. Este método que permite sobrepasar el sistema de encriptación de Google que posee el Android 4.0 Ice Cream Sandwich para revelar los datos ocultos del teléfono. Al sacar el smartphone del congelador, una vez que la temperatura se encuentra por debajo de -10 grados Celsius, revela datos previamente codificados, incluidos lista de contactos, historial de navegación y fotos. El equipo de investigadores desarrolló el software de Recuperación Forense de Teléfonos Perturbados (FROST, por sus siglas en inglés) que les permite copiar la información del dispositivo para analizarla en una computadora. “Presentamos FROST, un conjunto de herramientas que soporta la recuperación forense de teléfonos perturbados. Para ello llevamos a cabo ataques de arranque en frío contra smartphones Android y así recuperar las cl

El lanzamiento se produce cinco meses después del anuncio de disponibilidad general de IE 10 para Windows server 2012. No está del todo clara la razón de que la versión para Windows 7 sea lanzada con retraso, especialmente al considerarse que se trata de una edición algo más sencilla que la incorporada a Windows 8. En efecto, IE10 carece de dos de las novedades disponibles en la edición para Windows 8. En primer lugar, la versión para Windows 7 de Internet Explorer 10 no incluye un interfaz para Modern UI por la sencilla razón de que se trata de una función específica para Windows 8. En segundo lugar, Adobe flash Player no está incorporado en el navegador, sino debe ser instalado por separado, al igual que ocurría con las versiones precedentes de Internet Explorer. Aparte de esto, la mayoría de los demás componentes están incluidos. Básicamente, esta versión ofrece mejor rendimiento y mejor soporte para estándares web. Microsoft afirma que Internet Explorer 10 tiene mejor rendim

Las vulnerabilidades detectadas en muchos dispositivos HTC permiten la instalación de aplicaciones de terceros que podrían robar información personal. La Comisión Federal de Comercio estadounidense acusa a la compañía de no diseñar sus productos pensando en la seguridad. El malware para dispositivos móviles es una realidad que va en aumento, como se ha podido ver estos días en Mobile World Congress. Pero, si a los riesgos a los que se exponen los usuarios, se suma la existencia de vulnerabilidades en los dispositivos, el problema es aún mayor. Eso es lo que le ha sucedido a la compañía HTC, a la que la Comisión Federal de Comercio (FTC) estadounidense ha acusado de no corregir importantes vulnerabilidades detectadas en sus dispositivos, poniendo en riesgo la información sensible de millones de usuarios. "La compañía no diseñó sus productos pensando en la seguridad", afirma Lesley Fair, abogada de la Oficina de Protección al Consumidor de la FTC. “HTC no probó el softwar