FUGA DE INFORMACIÓN: Un problema cada vez más recurrente

Cada vez que se habla de un proceso de manejo de información, la parte más débil del proceso hace referencia siempre al factor humano. Sin embargo, en lo referente a protección de los datos, o su contraparte, la fuga de los mismos, existen un sinfín de casos en donde se observa que el factor humano en la cadena de procesos es el más crítico y es ahí en donde los expertos de seguridad intentan enfocar nuestros esfuerzos.

Cualquier persona que esté manejando información, lo hace a través de un dispositivo, ya sea para su procesamiento, almacenamiento o transporte. Siempre existen dispositivos involucrados en medio. Debido a esto, se pueden establecer cuáles son los puntos en donde los dispositivos también se convierten en riesgos al momento de manejar datos sensibles de la organización.

Notebooks, Pendrives y Smartphones

Según la discusión realizada ante la pregunta “¿Cuáles son los dispositivos con mayor potencial de fuga de información?”, los expertos del grupo de Security Chat & Beers (Charlas de Seguridad y Cervezas) pudieron llegar a la conclusión de que la respuesta depende directamente al tipo de información que el dispositivo maneja. Si se toma el caso de los datos sensibles que pudieran estar alojados dentro de los correos electrónicos, los teléfonos celulares inteligentes se llevan ampliamente el puesto número uno. En cambio, cuando los datos sensibles son, por ejemplo, hojas de cálculo, las notebooks son las que lideran el podio. Esto se debe a la comodidad que tiene uno u otro dispositivo a la hora de manejar los datos (no es muy cómodo manejar una planilla de Excel desde un Smartphone). En medio de esta disputa de primeros puestos, quedan los pendrives, los cuales tienen capacidades de almacenamiento astronómicas en un espacio tan chico que es demasiado fácil de extraviar. Inclusive, en materia de robo o extravío, los teléfonos celulares vuelven a tomar el primer puesto a nivel de fuga de información sensible, perdiendo el control de la información, muchas veces sin posibilidades de establecer una política de contraseñas fuerte en el dispositivo o capacidades de borrado remoto del mismo. Sin embargo, no se pierden de vista las notebooks, en donde la cantidad de información es mucho mayor que a la de cualquier Smartphone. Inclusive se han arrojado sobre la mesa casos de robo de equipos a nivel corporativos que distan mucho de ser meros robos al azar.

En vista de los usuarios

Las personas son independientes de los dispositivos que utilizan y en mayor parte, son responsables de la información que manejan en dichos dispositivos. En base a esta observación, los presentes en el Security Chat & Beers (SC&B) pudieron consensuar que la gran mayoría de las personas no puede percibir el valor real de la información que manejan. Esto puede deberse en parte al “acostumbramiento” que tienen las personas al nivel de información que manejan. Debido a esto, la información parece perder valor y cuando la pérdida ocurre, difícilmente sea debidamente reportada. Adicionalmente a esto, las empresas parecen no tener un procedimiento de cómo actuar ante la fuga de información que es ocasionada de forma involuntaria sumado al hecho que actualmente en Argentina no existe un marco legal que obligue a las empresas a hacer pública su perdida y el grado de alcance de la misma (cosa que sí es obligatoria en Estados Unidos).

Cuando el accidente no es accidente

La fuga de información se puede pensar de dos modos: forma intencionada o involuntaria. ¿Qué pasa cuando el robo es algo intencionado por las personas en las cuales se ha confiado el uso de esta información? El robo de la información es algo sumamente sutil, en donde sólo por el tipo de información es identificable el responsable de dicha fuga, hasta casos en donde resulta tan burdo el robo como que alguien abra a la fuerza un gabinete y robe el disco del mismo, obviamente robando también CPU y memorias para tratar de “disimular” el robo de información con un simple robo de equipamiento. Desde cámaras de vigilancia hasta software de inventariado surgieron como casos para tratar de entorpecer el robo de la información. Sin embargo, en este punto los pendrives se llevan el primer puesto en el robo de datos. Al parecer, el personal que no se encuentra muy contento con su trabajo, tiene ciertos recaudos a la hora de llevarse información, no lo harán a través del correo provisto por la empresa, ni tampoco a través de servicios Web (ya sean servicios como Dropbox o Webmails) por la conciencia que existe acerca de los métodos de control de contenidos en el correo corporativo y servicios perimetrales como pueden ser el FTP o HTTP.

Muchos de los administradores que estuvieron en la mesa de SC&B, luchan contra este tipo de fuga bloqueando los USBs de los equipos o implementando herramientas de DLP, pero ninguno de los presentes puede asegurar una eficacia del 100%. De esto también se trata la prevención de la fuga. Nadie en su sano juicio puede asegurar que el 100% de los intentos de fuga serán prevenidos, y tampoco nadie se pone como objetivo ese número, lo que sí tiene que ser un objetivo de los dueños de la información es la de tener una política de uso adecuada de la misma, la capacitación y concientización de los usuarios y la posibilidad de tener herramientas que le brinden información al menos de los intentos de robo de datos, de modo de poder tener al menos una buena cantidad de eventos y elementos forenses que permitan rápidamente enlazar un evento de fuga con un responsable directo.

Conclusiones

Es evidente que la fuga de información, o la falta de control sobre la exposición de los datos de las empresas, es un tópico sobre el cual hay mucho para hacer. Pero todos los expertos de SC&B estuvieron de acuerdo en que el primer paso para una eficaz política de prevención de fuga de información es indudablemente actuar sobre el individuo, realizando tareas de concientización del uso de la información. De esta manera se podría actuar sobre la percepción de las personas acerca del valor de la información y sobre todo sobre las responsabilidades sobre la misma.

Vía Diario de Cuyo

El cibercrimen aumentará por la crisis económica

La crisis económica incrementará el cibercrimen, la delincuencia especializada en el robo de datos para sustraer dinero que se ampara en el halo de invisibilidad de internet, según ha señalado el experto en seguridad informática Eddy Willems.

En su opinión, diariamente aparecen más de 70.000 nuevas muestras de software malicioso, creadas, en su mayoría, con fines económicos.

Willems, de la compañía tecnológica G Data y con más de 20 años de experiencia, ha remarcado que el cibercrimen está infravalorado, porque hoy en día el usuario no nota que se está produciendo un robo de datos de sus dispositivos, al contrario de lo que sucedía en el pasado que veía como un virus paralizaba el ordenador.

Según Willems, los cibercriminales actúan organizados en una suerte de pequeñas empresas en las que cada miembro trabaja en cadena para cometer el delito.

Estos delincuentes, ha apuntado, se aprovechan de la repercusión que tiene la actividad de los hacktivistas para actuar con impunidad. Los miembros de Anonymous o Lulzsec “no se dan cuenta de lo que hacen”: roban información y la publican como forma de obtener publicidad y reivindicar ciertas causas.

Sin embargo, señala, lo que consiguen es lanzar una cortina de humo de la que sacan tajada los peligrosos criminales, que actúan en silencio y escondidos detrás del jaleo que originan.

Además, ha recordado Willems, este tipo de organización transmite la idea de que atacar una web o publicar datos privados son actividades lícitas. “Algunos hacktivistas han sido detenidos pero estamos lejos de solucionar el problema porque existen muchas divisiones de este movimiento al que no para de sumarse gente”.

Eso sí, ha reconocido que la actividad de este movimiento está contribuyendo a extender la conciencia de los internautas respecto a los peligros de seguridad que les afectan.

El experto ha sostenido que son Estados Unidos y Europa los territorios más atacados por el cibercrimen, pero ha indicado que existen mayores problemas de seguridad en lugares como India y Oriente Próximo porque “no cuentan con tanta protección”.

Willems ha explicado que son los gobiernos quienes deben liderar la lucha contra la delincuencia en la red mediante tratados internacionales que castiguen a los criminales con independencia de su lugar de origen.

Vía RTVE

La seguridad y confidencialidad de la información es obligación de todos

Nos guste o no, tenemos que reconocer que nuestra información está en todas partes.

Los datos personales de nuestros clientes, proveedores, amigos y familia se andan paseando en emails, teléfonos inteligentes, tabletas electrónicas, laptops, tarjetas de memoria, usb drives y hasta en “la nube”; datos financieros y patrimoniales de empleados y clientes sufren la misma suerte, incluyendo hojas olvidadas en impresoras “públicas” por horas y la impresión en papel “reciclado”; nuestros nombres, teléfonos y direcciones desfilan por incontables mesas de recepción de restaurantes y ventanillas bancarias; y obviamente todo lo que hacemos en tanto en internet, como en nuestras computadoras y teléfonos, deja un rastro digital.

Independientemente de que los “convenios o contratos de confidencialidad” (NDA’s por sus siglas en inglés) no sólo existen, sino son ampliamente conocidos por la comunidad de negocios, éstos no son la única fuente ni la más importante de obligaciones de confidencialidad y seguridad de la información. De hecho, el único objetivo de un NDA es y debe ser la confidencialidad de la información; este instrumento no debe usarse como medio para buscar la “seguridad de la información” ni para satisfacer requisitos de otras leyes, como la de protección de datos personales.

La seguridad y confidencialidad de la información son dos cosas distintas; de hecho, desde una perspectiva práctica podríamos considerar a la seguridad como el género y a la confidencialidad como la especie. La madre de todas las tareas universitarias (Wikipedia) define a “Seguridad de la Información” como: todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.

Por otro lado, la confidencialidad de la información en su sentido positivo (punto de vista técnico) significa que “el acceso a la información únicamente se realice por personas que cuenten con la debida autorización”. En su sentido negativo (punto de vista legal), confidencialidad de la información significa que la misma no debe divulgarse o compartirse con terceros, sin autorización expresa de las partes involucradas.

Muchas leyes nos obligan a mantener la confidencialidad y/o seguridad de la información:

• Si eres profesionista, la Ley General de Profesiones te obliga a guardar estrictamente el secreto de los asuntos que tus clientes te confíen.

• Si eres empleado, la Ley Federal del Trabajo te obliga a guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurras directa o indirectamente, o de los cuales tengas conocimiento por razón del trabajo que desempeñas, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa.

• A toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, la Ley de la Propiedad Industrial lo obliga a abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.

• Si eres una persona física o moral y contratas a un trabajador que esté laborando o haya laborado, o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, la Ley de la Propiedad Industrial establece que serás responsable del pago de daños y perjuicios que le ocasione a dicha persona (física o moral).

• Si tienes una página web (incluyendo sitios móviles) en donde se realizan transacciones comerciales electrónicas, la Ley Federal de Protección al Consumidor te obliga a:

1. Utilizar la información proporcionada por el consumidor en forma confidencial, por lo que no podrás difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente.

2. Utilizar alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informarás a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos.

•  Si eres persona física o moral y tienes una base de datos o das tratamiento a  datos personales, tanto en el plano físico como electrónico, la Ley Federal de Protección de Datos Personales en Posesión de Particulares te obliga a establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.

La misma ley establece que:

• Si eres responsable o tercero que interviene en cualquier fase del tratamiento de datos personales, deberás guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.

• Si los datos personales son vulnerados (si se te pierden, si hay un acceso no autorizado, si te hackean), deberás informar de forma inmediata a los titulares de los datos, a fin de que ellos puedan tomar las medidas correspondientes a la defensa de sus derechos.

Espero que ahora nos quede claro una idea muy simple: ¡la seguridad y confidencialidad de la información es obligación de todos! No importa si tienes o no firmado un contrato o cláusula de confidencialidad, la ley te obliga en la mayoría de los casos a proteger la confidencialidad, disponibilidad e integridad de la información.

Joel Gómez  (Vía Merca20)

Mercadeo Engañoso

El 76% de las empresas españolas prohíbe a sus empleados acceder a las redes sociales

Más de la mitad de los empresarios piensa que a través de las redes sociales se puede atacar los equipos y datos sensibles de la empresa Además del acceso a las redes sociales, las empresas también limitan el intercambio de archivos entre compañeros, los juevos en línea y el ‘streaming’ de vídeo. Se trata de una estrategia para la protección de los archivos informáticos ante las amenazas de la Red.

El 76% de las empresas en España restringe el acceso a las redes sociales, pues consideran que los trabajadores pondrían en riesgo la productividad de las mismas. El bloqueo es incluso mayor que la media europea, que muestra que el 72% de las empresas se protege de esta manera de las amenazas para la seguridad informática que las redes sociales representan, junto con los servicios de intercambio de archivos.

Según los resultados de un estudio realizado por la compañía de seguridad Kaspersky, el 56% de los responsables de informática está en contra del uso de las redes sociales en la empresa.

Las redes sociales se han convertido recientemente en uno de los principales canales de distribución de virus, gracias a su popularidad y vulnerabilidad emergentes de estos recursos en línea. El peligro es más notable en Twitter, donde el código maligno puede surgir con la simple lectura de un mensaje infectado. De acuerdo con expertos de Kaspersky, las redes sociales están siendo blanco de numerosos ataques, por lo que la preocupación mostrada por las empresas en esta materia está plenamente justificada.

Redes como Facebook, Twitter, Likedin o Google+ ocupan el segudo lugar entre las actividades prohibidas con más asiduidad en la empresa, siguiendo al intercambio de archivos entre compañeros. En el tercer lugar, están restringidos los juegos en línea. Otras actividades que están restringidas frecuentemente son el acceso a algunos sitios web, el streaming de vídeo y los servicios de mensajería instantánea.

Vía Cryptex

Sexting, Hoax o Grooming, los nuevos riesgos de Internet

El acceso a Internet y la constante expansión de las redes sociales han fomentado la aparición de nuevos términos que hacen referencia a prácticas y delitos como el robo de información bancaria o el acoso sexual que afectan desde a niños hasta a adultos.

Estos son algunos de los más frecuentes.

- Grooming: El fácil acceso a internet de la mayoría de los menores ha generado un nuevo tipo de delito, el ciberacoso o grooming. Los pederastas (o incluso también otros jóvenes) intentan acercarse a los menores para ganar su confianza y obtener información. Con estos datos pueden amenazarles con su difusión si no acceden a sus peticiones, que normalmente pasan por prácticas sexuales a través de la webcam. En España, este tipo de actuaciones constituye delito desde diciembre de 2010, pero sólo si el menor tiene menos de 13 años.

- Sexting. Este término se empleaba para definir la conducta de los adolescentes americanos que se fotografiaban con el móvil en poses eróticas y las enviaban a otros jóvenes. Actualmente ‘sexting’ también se emplea para referirse a la difusión por internet de este tipo de fotografías subidas de tono sin consentimiento de su propietario. La facilidad de acceder a datos privados y fotos de otros usuarios ha impulsado este tipo de práctica sobre todo entre los más jóvenes.

- Hoax: La posibilidad de difundir un bulo en cuestión de segundos es una realidad en la red de redes. En Internet se emplea el término hoax para la difusión de mensajes con contenido falso y atrayente. Puede tratarse de un email que alerta sobre virus incurables, cadenas de solidaridad o de la suerte, métodos para hacerse millonario, promesas de regalos de grandes compañías o incluso mensajes personales en las redes sociales provinientes de amigos.

- Phising: Es uno de los delitos más corrientes en la red y que más riesgos conlleva. El internauta recibe un email que aparentemente proviene de una fuente fiable. Normalmente, suele ser un correo electrónico que proviene de un banco y que mediante un link lleva al internauta a una web que tiene exactamente la misma apariencia que el portal de la entidad a la que imita, por lo que el usuario no dudará en introducir sus datos. Desde ese momento, el estafador cuenta con los datos bancarios del usuario y la posibilidad de utilizarlos a su antojo. Además de pérdidas económicas, es posible que el usuario pierda el acceso a sus propias cuentas. Comprobar que la web en la que se encuentra no tiene la dirección ‘https://’(con una s) o que no aparece un candado en la parte inferior derecha de la web, son algunos trucos que pueden alertarle de si se encuentra en una web segura. Además, las entidades bancarias no solicitan información confidencial a través de canales no seguros, como el correo electrónico.

- Pharming: Es una modalidad del phising más difícil de detectar y aún más peligrosa. Esta técnica consiste en modificar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa. Según alerta Panda Security, existen ejemplares de malware que aunque el usuario introduzca en el navegador el nombre de una página web legítima, redirigen el nombre de dominio a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario. A diferencia del phisinfg, el pharming permanece en el ordenador del usuario, a la espera de que este acceda a su servicio bancario.

- Smishing o Vishing. Si la vía para realizar el ataque de phising es el mensaje de texto, hablamos de smishing. Por su parte, en el vishing el usuario recibe una llamada telefónica que simula proceder de una entidad bancaria solicitándole que verifique una serie de datos.

 

Vía Cryptex

Prevéngase de los robos de información en la oficina

Proteger documentos y claves de acceso, así como restringir el acceso a su lugar de trabajo, son algunas acciones para asegurar la información mientras se está fuera de la oficina.

Según diversos estudios, los principales problemas de seguridad de la información, que afectan a las empresas, tienen que ver con fraudes corporativos y robo de información.
Para muchas empresas, los primeros días del año son épocas de reincorporarse a sus actividades, planear temas para el año y empezar a ejecutar acciones pendientes. Con el fin de evitar momentos de preocupación a causa de robos de información o problemas de seguridad interna al volver a la oficina, MaTTica, compañía líder en investigaciones digitales en América latina brinda algunas recomendaciones básicas de seguridad que todo ejecutivo debe tener en cuenta, sin importar si trabaja en una gran organización o en un negocio personal.

De acuerdo con Andrés Velásquez, presidente y fundador de MaTTica, se debe tener en cuenta:
1. Asegurarse de tener sus papeles en orden. Evitar dejar documentos sobre el escritorio o en cajones que no tengan llave, así como post-its con palabras clave, contraseñas o cualquier otra información sensible a la vista. De acuerdo con la Encuesta Global de Delitos Económicos 2011 de PWC, el tipo más común de delito económico sufrido por las empresas fue el robo o malversación de activos, con el 72%.

2. Guardar siempre las claves de acceso en un lugar seguro. Ello quiere decir que si se tiene en el computador, que sea en una aplicación encriptada; nunca anotarlas en papeles que guardará en la billetera o libreta de notas. Tampoco cargarlas en el teléfono celular, ni dictar a nadie la contraseña por teléfono y en lo posible, no enviarlas por correo electrónico.

3. Controlar quién tiene acceso a su lugar de trabajo, y tratar de limitarlo lo más que pueda. Es importante que la empresa tenga conocimiento de todo el personal que tiene acceso a sus instalaciones, ya que, según la encuesta de PwC, el 56% de los delitos económicos son cometidos por estafadores internos.

4. Evitar proporcionarle los datos personales a terceros. Es mejor pedir un acceso remoto seguro a la intranet de la empresa, que dejarle la contraseña de la computadora a un asistente, por más confiable que este sea. Recordar que muchos de los robos de información se deben a trabajos internos de empleados descontentos.

5. Asegurar el hardware, y la información que guarda en él. No está demás decir que debe tener una contraseña para entrar en su computador, así como esconderla información más sensible bajo otra contraseña o encriptación. Según el informe, el robo de información sigue siendo el fraude más común en América latina.

6. No ingresar a ningún enlace externo que le envíen por correo electrónico, por Twitter o por Facebook. Si bien muchas empresas tienen asegurado el correo electrónico corporativo para evitar que los empleados visiten páginas de redes sociales, vídeos o sitios inseguros, muchos usuarios cuentan con dispositivos móviles desde los cuales tienen acceso libre a internet, donde muchas veces guardan datos corporativos.

“Si bien es cierto que las empresas deben tener cuidado con los riesgos relacionados con el manejo de las tecnologías de la información, no hay que olvidar que muchos fraudes aún se perpetran a la manera antigua. Así que debemos tener passwords efectivos y sistemas seguros, y asegurarnos de no dejar los memos de la gerencia encima del escritorio ni documentos confidenciales que tengan estadísticas que comprometan su trabajo”, comentó Andrés Velásquez.

 

Vía Cryptex

Las 5 principales amenazas para la seguridad en 2012 segun Netasq

NETASQ ha hecho público un informe que hace referencia a las cinco principales amenazas para la seguridad en 2012, acompañado de consejos prácticos para hacerles frente. En esta época del año, es tradicional que los proveedores de seguridad miren sus respectivas bolas de cristal para elaborar predicciones en torno a las amenazas que se vivirán durante el año. En general, estos informes se basan en una extrapolación de las tendencias de ataques acontecidas en el último año (por ejemplo, la continúa explotación de vulnerabilidades Web 2.0), combinado con las tendencias del sector, más importantes (por ejemplo, la proliferación rápida de los dispositivos móviles en el lugar de trabajo). Por tanto, no se requiere de una habilidad especial para predecir que las amenazas basadas en Internet móvil se convertirán en un problema importante, tarde o temprano.

Principales peligros en 2012

1.- La Gestión de Vulnerabilidades continúa siendo la principal prioridad. Como punto de partida, es razonable suponer que todos los tipos de amenazas encontradas en el año 2011 continuarán produciéndose a lo largo de 2012. Y puesto que la gran mayoría de las infecciones de malware seguirán proviniendo de exploits conocidos para los que ya existen parches (XSS, inyección SQL, escalado (traversal) de directorio, etc.), la gestión de vulnerabilidades debe seguir siendo una de las primeras prioridades para todos los profesionales de la seguridad. Además de esta gestión de parches básicos, es importante recalcar que, durante 2011, un número preocupante de intrusiones en la red se produjo a causa de errores que podían haberse subsanado fácilmente como cortafuegos mal configurados o contraseñas débiles. Sirva como ejemplo citar una intromisión de alto perfil en Italia que se produjo tras adivinarse el nombre de usuario “admin” y la contraseña, que resultó ser el propio nombre de la empresa. Tal descuido en IT sería equivalente a “bloquear la puerta principal, dejando las ventanas abiertas”.

2. Ingeniería Social (Medios Sociales) Aunque la ingeniería social no es un concepto novedoso, el aumento exponencial en la adopción de las redes de comunicación social – tanto dentro como fuera de la empresa – ha incrementado dramáticamente su eficacia y uso. La respuesta a esto tiene que venir dada por una combinación de la adecuada formación de los usuarios y del control de aplicaciones en el perímetro de la red o en el firewall. Sin embargo, a medida que más empresas empiecen a explotar el potencial de las redes sociales para acciones de marketing y otros usos de negocio, el simple bloqueo de aplicaciones tales como Facebook tendrá que dar paso a un análisis más inteligente del flujo de datos con la detección de amenazas y la eliminación de estas sobre la marcha.

3. Los ataques dirigidos / Amenazas Persistentes Avanzadas / Hacktivismo

Además de las motivaciones financieras habituales – el robo directo de datos u obstrucción a la competencia – estamos viviendo un aumento en la piratería relacionada con el activismo político, a veces denominado hacktivismo. Ya sean patrocinados por diferentes gobiernos, o por la acción de grupos independientes, como Anonymous o Lulzsec, estos ataques han servido, no obstante, para incrementar la sensibilidad y concienciación de la seguridad informática. Ahora bien, todavía está por ver sí este aumento de la conciencia se equiparará con un incremento acorde de los presupuestos de seguridad. La otra consecuencia de esta creciente complejidad de las amenazas será una continua reducción en la efectividad de las firmas de ataque específicas. A pesar de los mejores esfuerzos de los investigadores de seguridad de todo el mundo, cualquier estrategia de defensa demasiado dependiente de la detección por firmas específicas está condenada a fallar.

4. Los primeros en adoptar IPv6 podrían tener problemas

En opinión de NETASQ, la adopción de IPv6 será mucho más lenta de lo que muchos están prediciendo y una de las razones para esto serán los problemas que experimentarán los primeros en adoptar la tecnología. Tal como se explica en un blog reciente de NETASQ (http://trial.netasq.com/Blog/bid/112217/IPv6-security-shall-we-wait-or-not), “la migración a IPv6, en lugar de traer la tan esperada seguridad inherente que se nos prometió, introducirá nuevas vulnerabilidades sí se realiza demasiado pronto”. Así, NETASQ aconseja a los clientes actuales esperar para realizar la migración a IPV6, por lo menos, durante el próximo año; y planificar durante ese tiempo una transición controlada una vez que la mayoría de los nuevos problemas tecnológicos de seguridad hayan sido identificados y mitigados.

5. SCADA (Supervisory Control and Data Acquisition- Control de Supervisión y Adquisición de Datos) 

 Los ataques se incrementarán Tanto Stuxnet como el igualmente devastador Duqu han causado estragos en todo el sector. No obstante, el sistema de control industrial conocido como SCADA, ha resultado ser especialmente vulnerable debido a su relativa antigüedad y a una capa de protección de seguridad bastante débil. Por su propia naturaleza como parte integral de muchos procesos industriales importantes tales como generación de energía, SCADA, no sólo ha sido un blanco fácil, sino también muy atractivo. Esta tendencia, por lo tanto, es posible que aumente durante 2012, por lo que los profesionales de seguridad responsables de estos sistemas harían bien en mantener sus sistemas de prevención de intrusiones actualizados, y, tal vez, mejorar sus defensas de seguridad perimetral para identificar estos ataques, según sea necesario.

Vía Cryptex

Latinos, sin hábitos en seguridad informática

  De acuerdo con un estudio de Kaspersky Lab, la delincuencia online trabajó a través de la propagación de malware durante 2011. En términos de su cantidad, Latinoamérica recibió un 22% más de ataques de malware que en 2010.

 Brasil alberga la mayor cantidad de los programas de código malicioso, con un 45,34 por ciento. Lo sigue República Dominicana con un 25,23% y Panamá con el 11,98 por ciento. Chile, por su parte, tiene el 1,26 por ciento.

 Los países en los que reside la mayor cantidad de víctimas de malware en 2011 son México, con un 33%, y Brasil, con 28%. Mientras que Chile abarca el 4% de los afectados por este problema.

 El medio más utilizado para la difusión de malware fue el correo electrónico. Su uso aumentó en un 42,5% con respecto a 2010.

 La web como el móvil del ataque se ubica en el segundo lugar, con un crecimiento, en comparación con 2010, de 27 por ciento, y finalmente, los dispositivos USB y las redes locales presentaron un aumento de 16,93 por ciento.

 

Vía Infobae

Las amenazas informáticas que enfrentaremos el 2012

Finaliza el 2011 y es habitual empezar a proyectar cuáles serán las tendencias que veremos el próximo año en materia tecnológica. Y uno de los sectores que se vislumbran más “movidos” es el de la seguridad informática.

Así como cada día nacen nuevos dispositivos que nos sorprenden por sus características y funcionalidades, todos los días los creadores de códigos maliciosos lanzan nuevos tipos de ataques y amenazas que buscan aprovechar brechas en programas y equipos, y como siempre, las a veces permisivas conductas de los usuarios.

En este sentido, tuvimos la oportunidad de asistir a una interesante conferencia sobre esta materia organizada por la compañía ESET en Buenos Aires, donde pudimos conocer cuáles serán las tendencias en seguridad informática para el 2012.

De acuerdo al informe “Tendencias 2012: el malware a los móviles”, elaborado por el Laboratorio de Investigación de ESET Latinoamérica, y dado a conocer en el evento, el próximo año los equipos móviles constituirán uno de los principales objetivos de los ciberatacantes, quienes continuarán desarrollando un gran número de ataques informáticos dirigidos especialmente a dispositivos con sistemas operativos Android. Asimismo, la evolución de las tecnologías de seguridad en los sistemas operativos de escritorio dará lugar a nuevas amenazas más complejas.

En ese sentido, de 41 nuevas variantes de códigos maliciosos para sistemas operativos Android analizadas por el Laboratorio de Investigación de ESET Latinoamérica, el 70% apareció durante el último semestre del 2011, constituyéndose como el período de mayor desarrollo de amenazas para esta plataforma en los últimos dos años. El crecimiento en la tasa de uso de dicha plataforma se presenta como uno de los principales motivos para que los cibercriminales dirijan sus esfuerzos en este sentido. Cabe señalar que según los datos arrojados por la consultora Gartner, a mediados del 2011, Android era el líder de plataformas móviles con más de 400 millones de dispositivos móviles en todo el mundo, creciendo a razón de 550 mil dispositivos por día.

Además, el aumento del impacto causado por el malware en equipos móviles se perfila también como una tendencia para el 2012 que tiene como caso testigo a DroidDream, amenaza que logró más de 250.000 descargas desde el Android Market. El caso obtuvo tanta repercusión que Google decidió desinstalar remotamente la aplicación de todos los sistemas infectados por dicho código malicioso. A su vez, todos los usuarios cuyo dispositivo móvil había sido comprometido fueron notificados a través de un correo electrónico.

“A pesar de las diferencias entre el mundo del móvil y el de los equipos de escritorio en cuanto a cantidad de dispositivos y de amenazas, hoy en día los creadores de aplicaciones maliciosas están encontrando en Android muchas de las características que años atrás encontraron en Windows XP. El crecimiento en el market share y la posibilidad de propagar códigos maliciosos en repositorios, oficiales o no, entre otras características, posicionarán a Android como el uno de los objetivos privilegiados de los desarrolladores de códigos maliciosos durante el 2012”, destacó Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

Por otra parte, la evolución de las tecnologías de seguridad en las plataformas de equipos de escritorio y el progresivo reemplazo de Windows XP por Windows 7 exigirá a los ciberatacantes el desarrollo de amenazas más complejas desde el punto de vista tecnológico. En la era de Windows XP, muchas amenazas únicamente sobrescribían una entrada de registro o escribían un archivo para hacer daño en el sistema, mientras que en la actualidad los nuevos códigos maliciosos deberán incorporar también funcionalidades destinadas a lograr la ejecución en el sistema, antes del daño propiamente dicho.

Por este motivo, para el 2012 aparecerán también más códigos maliciosos con capacidades de vulnerar los sistemas de firmado digital con los que cuentan los sistemas operativos más modernos.

“Más allá del crecimiento que se espera de amenazas más complejas desde el punto de vista tecnológico, también se ha verificado un gran desarrollo en la tendencia opuesta: códigos maliciosos extremadamente sencillos que apelan simplemente a la Ingeniería Social han proliferado durante el 2011 y continuarán propagándose durante el próximo año. Se trata, por ejemplo, de troyanos bancarios de la familia Qhost que al ejecutarse en el sistema, modifican un archivo de texto para que el atacante robe las credenciales bancarias de los usuarios”, agregó Bortnik.

En línea con esto, el panorama de amenazas presentado para el 2012 incluirá con menor frecuencia amenazas de alta complejidad y gran impacto junto con ataques sencillos y de fácil acceso para los desarrolladores, con un grado mayor de masividad. Por otra parte, pueden esperarse ataques generados localmente en Latinoamérica, especialmente de tipo hacktivista, es decir, ataques con fines ideológicos en lugar de económicos. A su vez, cabe esperar ataques a través de redes sociales y una alta tasa de propagación de troyanos bancarios, el tipo de códigos maliciosos más característico en nuestra región.

Si antes el objetivo era sólo el computador, la aparición de nuevos aparatos como netbooks, tablets y smartphones, ha modificado el target de los desarrolladores de código malicioso. A juicio de Bortnik “de una u otra forma todas las amenazas en materia de cibercrimen están relacionadas con las evoluciones tecnológicas del último tiempo”.

Y frente a este escenario, uno se pregunta si para el próximo año se espera que el usuario latinoamericano adquiera mayor conciencia para evitar ser afectado por ataques informáticos. La respuesta de Sebastián Bortnik es que “para las personas existen varias instancias de orientación y prevención, y la tecnología también ayuda en esa tarea, pero es vital que los usuarios sean conscientes de la necesidad de implementar las herramientas, saber configurarlas y actualizarlas. Yo no tengo duda de que los usuarios van a estar más atentos y conscientes el próximo año, pero esa conciencia debe ir más rápido de lo que evolucionan las amenazas. También es importante destacar que falta más información y llegar a más usuarios con los mensajes de prevención. Por mi experiencia diaria, no me cabe duda que la educación funciona, pero el desafío es ampliar el alcance de la educación en seguridad informática. Por ello, es fundamental el trabajo coordinado entre los investigadores, los medios, los docentes y los gobiernos”.

Vía Mundo en Línea

Decálogo de la seguridad en la nube

1)    No todas las nubes son iguales. Aunque el concepto es similar, no todas las nubes y servicios concebidos para la nube están diseñados y desarrollados de la misma forma. Es muy recomendable analizar todos los detalles de cualquier propuesta de un proveedor.

2)    Conoce dónde está y cómo es tu cloud. La nube no es etérea, sino que está ubicada en un sitio físico. Saber dónde está, poder acceder a ella o conocer a la gente que está detrás de la gestión evita muchos sustos en el futuro y facilita muchas de las operaciones del día a día. Es importante ofrecer a los clientes un entorno de cloud basado en un datacenter que cuenta con las máximas medidas de seguridad lógicas y físicas.

3)    La seguridad es un requisito, no un añadido. En cuestiones tan sensibles como la salvaguardia de documentación crítica de la empresa, resulta obvio que la seguridad no es una funcionalidad extra a añadir y negociar, sino que por defecto, un buen servicio en la nube debe garantizar el control, gestión y acceso a los datos y aplicaciones bajo estrictas normas de seguridad y acorde a los permisos establecidos por el cliente para interferir en su entorno cloud o en los diferentes niveles de opciones que haya configurado.

4)    Una buena seguridad cloud obliga a una buena seguridad in house. No hay que olvidar que en los proyectos de infraestructura y de servicios cloud, el compromiso de seguridad debe de ser doble. No tiene sentido exigir al proveedor entornos seguros de acceso y trabajo y descuidar las políticas internas de seguridad de la empresa.

5)    Las personas siguen siendo un elemento crítico. Las tecnologías hacen el trabajo, pero el diseño y aplicación de las medidas de seguridad las hacen las personas. Las economías de escala permiten a los proveedores de servicios en la nube contar con auténticos expertos de seguridad que aportan mucho valor y experiencia, sobre todo, teniendo en cuenta que históricamente muchos de los fallos de seguridad son por errores humanos.

6)    Recuerda que la seguridad es multiplataforma. El acceso a la nube es ubicuo y multiplataforma. Según las necesidades de cada empleado o departamento accederá a una hora u otra, desde una red fija o una red pública, o desde un dispositivo fijo –PC- o móvil –portátil, smartphone, tablet…-. Una buena política de seguridad no debe de descuidar ninguna de estas vías y proponer siempre la existencia de dos redes separadas, aquella que tiene conexión con el exterior, dotada de direccionamiento IP público, y una red privada con direccionamiento privado que es de uso exclusivamente interno.

7)    Apuesta por estándares de mercado. Siempre es más sencillo trabajar con tecnologías y productos estándares del mercado que acotarse a desarrollos muy específicos o de nicho. La migración e integración de equipos, o incluso la replicación de entornos y sistemas será más rápida y sencilla trabajando con estándares de mercado.

8)    Revisa el cumplimiento legal. Un buen proveedor de cloud no sólo debe ofrecer las máximas garantías de seguridad, sino que debe cumplir con las normativas legales en materia de protección de datos, como puede ser en España la LOPD para salvaguardar la confidencialidad y la seguridad de la información y que datos críticos de la compañía no circulen de un país a otro. Por eso es importante contar con personal cualificado que monitorice cualquier incidencia y que notifique y solucione en tiempo real cualquier infracción de seguridad.

9)    Exige garantías de alta disponibilidad y redundancia. Contar con nubes redundantes –datacenters en diversas localizaciones- no sólo garantiza la disponibilidad permanente del servicio en cuestiones de red, almacenamiento y nodos de computación, sino que añade un grado extra de seguridad a la hora de garantizar la pérdida de datos ante desastres.

10)  En seguridad y en cloud no te la juegues. En realidad las amenazas de seguridad en los entornos en la nube no son diferentes a los que existen en el modelo tradicional. Lo que sí que resulta crítico es la confianza y credibilidad que puede aportar una empresa un proveedor de este tipo de soluciones. Hay que tener en cuenta que la empresa está exponiendo información sensible a un tercero por lo que hay que tener absoluta garantía de que tanto en entornos de cloud pública, como privada o mixta se garantiza la gestión y administración de permisos y accesos; la seguridad física, lógica y monitorización 24 horas;  el cumplimiento con la LOPD para salvaguardar la confidencialidad y la seguridad de la información; y la garantía de disponibilidad de servicio.

Vía Acens

Hackers… ¿Qué sabemos de ellos?

Hace algunos días un presunto hacker turco amenazaba a varios medios franceses por sus supuestas críticas al Islam. Poco antes el colectivo Anonymous saltaba a las portadas enfrentándose a los cárteles de la droga y con un anunciado pero no consumado ataque a Facebook. Páginas del gobierno israelí fallaron a raíz de los que primero se consideró un ataque informático y luego se desmintió.

Éstas y muchas otras acciones han saltado a las portadas en los últimos días. Sin embargo estos casos descubiertos –o publicados- son sólo un mínimo porcentaje de todos los que realmente suceden en la red. La mayoría de ellos ni se revelan ni se descubren. ¿Somos conscientes de ello? ¿Cómo actuar ante este fenómeno?

¿Qué se considera un hacker?

Según lo entendemos hoy en día, el término hacker tiene es un concepto muy amplio e incluso ambiguo. Como norma general son expertos apasionados en la informática, sobre todo en lo que concierne a la seguridad de los sistemas.

Al igual que el guante de los ladrones, en este colectivo se distingue entre los de Sombrero Negro (Black Hats), que tienden a trabajar en el “lado oscuro” de la red abriendo accesos sin tener autorización para ello, y los de sombrero blanco (White Hats), responsables de la seguridad informática en los sistemas que se dedican a cerrar agujeros o solucionar fallos (ethical Hacking). Otros, denominados de Sombrero Gris (Grey Hats), pueden trabajar para ambos bandos.

Además de esta diferenciación, cabe distinguir entrecrackers (expertos en violar sistemas de seguridad informática) y hackers, más dirigidos a defender el software libre.

A lo largo de los años, la acción individual ha progresado en muchos casos hacia un fenómeno colectivo con lo que se denomina como “hacktivismo”, movimientos organizados en torno a redes anónimas que persiguen un objetivo común. Uno de los exponentes actuales más conocidos es la red Anonymous, tan en boga en estos días.

¿A qué tipo de datos pueden acceder los hackers?

Mientras navegamos en Internet muy pocas veces somos conscientes del rastro digital que dejamos. Buscadores, servidores de correo, administradores de anuncios, redes sociales y otros muchos servicios de Internet recolectan esta enorme cantidad de datos privados: dirección de IP, el número de tarjeta de crédito, el navegador o sistema operativo utilizado o las páginas vistas. Entre otras cosas, los utilizan para “adaptar” y dirigir el contenido al usuario.

Aunque sea el usuario quien voluntariamente deja estas pistas personales en la red (muchas veces aceptando cláusulas de privacidad), hay que tener en cuenta que todos estos datos son susceptibles de ser robados por cualquier persona con ciertos conocimientos sobre sistemas de seguridad. Es decir, también por hackers malignos. Exactamente igual que cualquier otro tipo de información digitalizada pertinente a una empresa que haya sido almacenada en sus sistemas.

Y si bien la legislación dirigida a regular este almacenamiento de datos trata de proteger al usuario, debido al continuo y rápido desarrollo de la red, a veces llega tarde o simplemente, no llega.

¿Cómo es el marco legal para el almacenamiento y uso indebido de datos en Alemania?

La legislación alemana regula los ataques, robo y utilización no autorizada de datos diferenciando entre dos tipos: datos personales como el número  de teléfono, la cuenta del banco, la dirección IP,  y datos anónimos como las cookies y similares. Para almacenar los primeros es necesaria la autorización del usuario, mientras que los segundos pueden ser almacenados sin autorización; por regla general, hasta un máximo de 90 días.

En cuanto a los ataques y uso indebido, como nos cuenta el abogado especializado en redes sociales y protección de datos Sebastian Dramburg (@dramburg en Twitter), el umbral de la legalidad se cruza simplemente cuando un usuario usa o recopila datos sin autorización. Por ejemplo, buscar direcciones de correo electrónico para enviar un boletín electrónico.

En el caso de ataques a empresas, el código penal alemán no contempla un delito explícito como “hackeo”. Pero sí lo regula sobre la base a artículos referentes a fraudes informáticos o manejo indebido de datos. Si además del mero robo, el tráfico de datos le supone pérdidas o daños a la empresa, no sólo entraría en juego la responsabilidad penal sino también la responsabilidad civil a la hora de indemnizar a la empresa.

 

Autor: Jose A. Gayarre

Editor: Rosa Muñoz Lima

Vía DW-World

Códigos QR son la nueva amenaza de la seguridad informática

SANTIAGO.- Un estudio advierte que los códigos QR, utilizados masivamente por las empresas locales y usuarios de smartphone, son el nuevo medio que la industria de los hackers encontró para efectuar sus ataques y violar la seguridad y privacidad de las organizaciones, las personas y sus dispositivos móviles.

Andrés Pérez, gerente regional de Servicios de Seguridad y Conectividad IP de NovaRed empresa que elaboró el estudio, sostuvo que si bien el “código QR por sí sólo no es malware”, éstos son manipulados por los hackers que consiguen enviar al usuario hacia sitios con malware, con el objetivo de “tomar el control del teléfono celular de las personas que lo escanearon”.

El peligro que advierte el ejecutivo es que hoy, junto con que cualquier persona puede crear un código QR, los teléfonos celulares inteligentes son “empleados como un método transaccional; se está pagando a través de ellos, se ocupan servicios, se puede descontar plata de la cuenta telefónica y se está masificando el uso de éstos”.

El QR (Quick Response Barcode) es un código de barras bidimensional, que en su origen fue utilizado por la industria automotriz japonesa. La inclusión del software que lee códigos QR en teléfonos móviles permitió nuevos usos orientados al consumidor, que se manifiestan en comodidades como el dejar de tener que introducir datos de forma manual en los teléfonos.

Cómo atacan

Andrés Pérez explicó que para desencadenar el ataque, el hacker se vale de la curiosidad del usuario, quien como se ha visto,  escanea desde su celular la imagen del código: “Con eso te llevan a un sitio web de paso y ese sitio te redirige a un sitio final donde va a estar alojado el malware, el que se descarga al teléfono”.

El resultado, sostuvo el ejecutivo de NovaRed “es tomar el control del teléfono, hacer lo mismo que hace un botnet.  Instalan algo sin que la persona lo note y desde afuera toman el control y le dan ordenes al teléfono del tipo: “Si esta persona se conecta a su banco desde el teléfono, avísame”.

“Lo que hacen es hábilmente crear un código con trampa que  redirige a un sitio no válido o bien manipular el código QR para que te dirija a un sitio para descargar malware. El código QR por sí sólo no es malware”, continuó.

Cómo prevenir

“Cuando se  escanea un código QR nunca sabes si es que estás dirigiéndote a un sitio permitido o no”, afirmó el ejecutivo de NovaRed para poner el acento en que la educación y la prevención son la mejor manera de enfrentar esta nueva tendencia

Añadió que “desde el punto de vista de seguridad el código QR permite tener un medio distinto de propagación de ataques como el phishing o de sitios web para difundir malware que son muy difíciles de controlar a nivel personal y empresarial, debido a que están dirigidos específicamente a teléfonos móviles y muy pocos sistemas de seguridad están orientados a estos dispositivos, no existe una preocupación de tener un antivirus o firewall en estos equipos como sí lo hay en los PC y computadores personales”.

En el caso de los usuarios, la prevención debe tener en cuenta que hoy cualquier persona puede crear un código QR e imprimirlo no en una revista, sino que en un panfleto o afiche callejero.

Para las empresas, dijo el gerente regional de servicios de seguridad y conectividad IP de NovaRed, el consejo es “hacerse responsables de la integridad de las imágenes que está subiendo a sus páginas web”.

Dicha responsabilidad, afirmó, pasa “por contar con las herramientas para detectar si la imagen está siendo alterada y eso lo consigo con métodos que definen las características del archivo y que alertan cuando se está modificando”.

Pérez concluyó que, junto con las medidas de control, las empresas y los usuarios deben tener “claro que el código QR es un método alterable en el que traspaso información  y que al igual que los computadores, los dispositivos móviles deben ser considerados como sitios que deben ser altamente seguros”.

Vía Emol

De profesión… consultor de seguridad

En el entorno laboral los peligros, queramos o no, nos acechan constantemente. Éstos no son sólo caídas desde un andamio o escapes radiactivos. Muchos de ellos tienen que ver con el desempeño de las funciones y con el plano financiero. Por eso, la figura del profesional que ayuda a las empresas a identificar y evitar los riesgos adquiere más relevancia. El perfil de consultor de seguridad es muy amplio. Desde ingenieros hasta licenciados en Administración y Dirección de Empresas o en Derecho tienen un hueco en una profesión en alza.

A menudo no somos conscientes de las situaciones peligrosas que nos rodean. En el entorno laboral asociamos el riesgo a trabajos relacionados con el sector de la construcción, de la investigación o de la energía nuclear, este último aún presente por lo ocurrido en Japón el pasado marzo. Pero la seguridad en el trabajo va más allá del ámbito de la salud. Los riesgos pueden tener un impacto negativo en el desempeño de sus funciones y en el plano financiero.

¿Qué es un consultor de seguridad? Aunque los hay de todo tipo, informática, industrial, logística…, su función puede definirse como la del profesional que ayuda a las empresas a identificar y administrar los riesgos en todos los niveles de la organización. Entre otros servicios, estos profesionales llevan a cabo diagnósticos de seguridad, planes de gestión de emergencias, seguridad patrimonial y de la información, y protección de infraestructuras críticas como centrales nucleares o aeropuertos.

Formación
El perfil que se requiere para esta profesión es muy amplio. Desde Prosegur comentan que aunque fundamentalmente abarca ingenieros informáticos, industriales o de telecomunicaciones, también resulta muy interesante incorporar a licenciados en Administración y Dirección de Empresas, Económicas y Derecho.

La mayoría de las personas que desempeñan esta labor cuentan con la titulación de director de seguridad o han realizado algún master en gestión de riesgos corporativos y reputacionales, seguridad de la información o continuidad de negocio. Sin embargo, hay que tener en cuenta que para los proyectos de gestión de la seguridad en emergencias es imprescindible contar con la titulación de técnico superior en prevención de riesgos laborales.

Otros programas formativos muy valorados son aquellos relacionados con la protección contra incendios, seguridad en museos y patrimonio histórico, seguridad en cadenas logísticas y retail, transporte de mercancías peligrosas o seguridad aeroportuaria y marítima, y otras áreas de actividad empresarial que requieren de un enfoque y una visión más especializada.

Ser consultor de seguridad es una profesión en alza debido a distintos factores que están impulsando esta actividad. Fuentes de Prosegur afirman que “los nuevos modelos de ‘convergencia de seguridad’ (unión de los procedimientos de gestión de la seguridad física y la seguridad lógica en las empresas) demandan un experto capaz de definir procedimientos y políticas que integren la seguridad tradicional de los activos físicos de las organizaciones, con los sistemas de protección de los activos de información”.

Asimismo, no hay que olvidar que el Gobierno y otros organismos europeos impulsan nuevas normativas regulatorias relacionadas con la seguridad, como pueden ser la Ley Orgánica de Protección de Datos (LOPD), el esquema nacional de seguridad (ENS) o el Plan Nacional de Infraestructuras Críticas (PNPIC), que exigen a las empresas la contratación de consultores expertos que les ayuden en la definición y puesta en marcha de estas iniciativas.

Por último, la globalización fomenta cada vez más la creación de modelos de seguridad estandarizados para la misma empresa en aquellos países en los que desarrolla su actividad. Esto exige un conocimiento experto de distintas legislaciones, procedimientos autorizados y una visión de eficiencia tecnológica y operacional muy concisa.

Salidas profesionales
La industria de la seguridad cuenta con atractivas tasas de crecimiento en los últimos años y se prevé que entre 2012 y 2017 ese crecimiento sea del 8,5% anual. Aunque probablemente Estados Unidos va a mantener su posición como primer mercado del mundo, las previsiones indican que Brasil, China, India y Rusia representarán el 22% del crecimiento del mercado entre 2009 y 2014. Además, mercados de menor volumen como Israel, Singapur y Turquía experimentarán un aumento notable. España tampoco se queda atrás. Se estima que las normativas promovidas desde la Administración, impulsarán la contratación de este tipo de profesionales.

Vía Expansión

Diséñate una contraseña invencible

No es recomendable utilizar la misma contraseña en distintos sitios web. “Es como tener la misma llave para tu coche, tu casa, tu oficina”, remarca Michael Barrett, jefe de seguridad de la información en línea para pagos de servicio en PayPal, una filial de eBay Inc. Foto wordpress.com

Por Rolando Lino Mina

Si, lo más fácil es elegir como contraseña el clásico “12345678″, mi fecha de nacimiento –o el de algún ser querido- o tal vez cualquier otra cosa obvia que no me plantee algún tipo de exigencia mental. Sin embargo, cuando se trata de pensar en la seguridad, es mejor poner a trabajar ambos lóbulos del cerebro, para tener una llave que ningún cerrajero logre adivinar. Aquí una lista de claves para hacer contraseñas completamente invencibles.

Para comenzar, no es recomendable utilizar la misma contraseña en distintos sitios web. “Es como tener la misma llave para tu coche, tu casa, tu oficina”, remarca Michael Barrett, jefe de seguridad de la información en línea para pagos de servicio en PayPal, una filial de eBay Inc.

Barrett aconseja tener una contraseña para Facebook, y otra distinta para el correo electrónico. Incluso, aconseja tener una tercera para manejar cuentas bancarias y hasta una cuarta para realizar sus compras en línea. Una quinta cuenta sería necesaria para los registros ocasionales, y también para sitios en los que no confíe.

PayPal ha dicho que, de acuerdo con sus registros, un usuario llega a utilizar uno o máximo dos contraseñas para controlar alrededor de 25 cuentas. Otro estudio, en este caso elaborado por PC Tools el año pasado mostró, dejó claro que el 28 por ciento de las personas entre 18 a 38 años de edad usan contraseñas fáciles de adivinar, como el nombre de un ser querido o una mascota. Otras contraseñas que se adivinan fácilmente son palabras obvias como “contraseña”, “123456″ o “enter”.

“Si sueles emplear alguna de estas contraseñas, por favor cámbiala”, remarca Brandon Sterne, administrador de seguridad de Mozilla Corp., creadora del navegador Firefox.

Es importante saber que muchas personas han comenzado a cuidar la complejidad de sus contraseñas, hasta que llegan a ser hackeados, según revela Dave Cole, director general de PC Tools. Él y otros expertos de seguridad recomiendan a las personas cambiar o rotar sus contraseñas cuando menos un par de veces al año.

Un método sencillo para elaborar una contraseña compleja es el siguiente. Tome una frase memorable, y memorice la primera letra de cada palabra. “Ser o no ser, esa es la cuestión”, podría funcionar como “sonseelc”. Si la contraseña que resulta excede los ocho caracteres, casi podremos sentirnos completamente seguros.

Una contraseña elaborada que se crea a partir de una frase, puede ser todavía mejorada agregándole caracteres. También puede alternar mayúsculas con minúsculas para hacerlas todavía menos adivinables.

Pero no pierda de vista que por más compleja que sea una contraseña, siempre debe procurar tener al menos dos, distribuidas entre todos los sitios en que necesite emplearlas. Claro que podemos tomar muy en serio la sugerencia de Barret, para crear hasta cinco distintas.

Otro recurso empleado por quienes quisieran robar nuestras contraseñas, es el de instalar un malware que reporte a un tercero lo que uno escribe. Esto se evita manteniendo al día el antivirus, el antispyware y evitando descargar archivos de sitios que no conozcamos.

También es posible hacer pequeños cambios a una sola contraseña –que sea de difícil deducción- como agregarle números o letras, y cambiarlos con frecuencia. También procure que sus datos personales, como el nombre y fecha de nacimiento de sus hijos, no aparezcan de manera pública en las redes sociales, porque lo único que harían sería facilitarle las cosas a un hacker.

Vía e-consulta

Top 5 errores de seguridad en el mundo IT

Lo cierto es que ya estamos acostumbrados -y casi inmunizados- a los clásicos listados de errores típicos en materia de seguridad: No parchear sistemas, no realizar una buena monitorización etc etc …

Es difícil aportar algo nuevo a esta clase de ‘rankings’, no obstante he encontrado este artículo de Network World en el que se aborda la problemática desde un punto de vista de enfoque que me ha gustado bastante. Me tomo la licencia de transcribir el artículo con mi propia interpretación

Error 1: Pensar que la mentalidad empresarial de la organización es la misma que hace cinco años 

Hace cinco años el tipo de dispositivos que accedían a una red corporativa se limitaban a los equipos plataformados de la compañía, sean equipos de sobremesa o portátiles.

Actualmente eso no es así, cada vez más se imponen los ‘smartphones’ como elementos empresariales, y ahora asistimos a la moda de los tablets. En definitiva, un montón de nuevos equipos que ni de lejos han sido diseñados para ejercer sobre ellos el tipo de control que se puede tener sobre el típico equipo Windows dentro de un dominio.

Sumemos a este escenario la cantidad de aplicaciones ‘Cloud’ de uso ampliamente difundido, y tenemos un escenario bastante complejo de gestionar que requiere una estrategia mucho mas moderna.

Error 2: No saber establecer las relaciones correctas entre el equipo de seguridad y el resto de áreas IT

El ya clásico tira-y-afloja entre la división de seguridad y el resto de departamentos. Para cualquiera que haya trabajado en una empresa IT le sonarán altamente familiares las discusiones entre lo que quiere el grupo de desarrollo, los plazos del grupo de marketing, el coste que impone el grupo financiero y las objeciones del equipo de seguridad.

Tener muy clara y definida la ‘cadena de decisión’ es clave.

Error 3: No comprender que la virtualización requiere nuevas estrategias de seguridad

Es obvio que según se van integrando las tecnologías de virtualización el enfoque debe cambiar. Se ha puesto muy de moda el introducir servicios ya paquetizados en formato vmware -por ejemplo- que supuestamente son ‘plug&play’, pero en lo que pocas veces se piensa es en como se parchean estos equipos y como se gestiona su seguridad

Error 4: No estar preparados para una fuga de datos

Probablemente siempre se tiene claro que documentos son considerados sensibles dentro de una organización pero ¿y si aparecen fuera de la organización? Tener mecanismos para identificar accesos a documentos y disponer de una trazabilidad al respecto es clave

Error 5: Complacencia con los proveedores

Muy típico en España, una vez la organización establece su red clientelar de ‘partners’ pocas veces existe un espíritu crítico para revisar lo que nos están vendiendo. Hay que tener claro que la solución ofertada por un proveedor X no tiene porque ser la mas correcta aunque en anteriores ocasiones nos haya suministrado aplicaciones interesantes.

Hay que mantenerse alerta y al tanto de lo que hay en el mercado de una forma global, no solo a través de los ojos de nuestros partners.

 

Vía Cryptex

Precauciones al conectarse a un Wi-Fi público

BUENOS AIRES.- Con más de 10 millones de puntos de acceso Wi-Fi pagos o gratuitos alrededor del mundo, los usuarios pueden conectarse a Internet desde casi cualquier lugar, desde plazas hasta aeropuertos. Sin embargo, es importante tomar conciencia de los riesgos que representan este tipo de conexiones para la seguridad de la información.

Las redes inalámbricas presentan riesgos para la seguridad de los usuarios como el sniffing, la fuga de información, la interceptación de accesos por medio de una red gemela.

De acuerdo a los descubrimientos de Online Security Brand Tracker, un proyecto global de investigación encargado por ESET y desarrollado por InSites Consulting entre Abril y Mayo de este año, casi la mitad de los usuarios de Internet alrededor del mundo se conectan a Internet por medio de dispositivos portátiles.

Las notebooks son las más populares, con los 41% de los resultados, seguidas en segundo lugar por las netbooks (3%). Completan el podio de utilización los smartphones (2%) y las tablets (1%).

“Utilizar una conexión gratis en un lugar que no frecuentamos, como un aeropuerto, puede parecer un modo eficaz de resolver tareas diarias cuando contamos con poco tiempo para buscar alternativas más seguras. Sin embargo, puede tener un alto costo: las credenciales de acceso y el tráfico de la red puede ser espiado y capturado y la información que está siendo transmitida, robada”, aseguró Cameron Camp, investigador de ESET.

Resulta importante ser especialmente precavido cuando se trata de una red inalámbrica cuyo nombre no reconoce o se asemeja cercanamente al de una oficial. Lo mismo ocurre en aquellos casos de redes donde no es necesaria una contraseña para lograr el acceso.

“El truco ocurre por medio de una tecnología proxy, que intercepta captura y almacena una copia de las comunicaciones Wi-Fi en el equipo del ciberatacante, enviando luego la información a la red inalámbrica correcta. Esto ralentizará el tráfico del equipo levemente, pero en el caso de conexiones muy congestionadas es díficil saber si estamos siendo víctimas de un ataque o simplemente hay demasiados usuarios conectados al mismo tiempo, agregó Cameron Camp.

Por otro lado, es fundamental asegurarse que el envío de datos se realice por medio de conexiones de protocolo seguro como https. También es recomendable utilizar una red privada virtual (VPN, del inglés Virtual Private Network) de modo que los datos circulen de manera cifrada y el atacante no pueda tener acceso a los mismos.

Además, ESET Smart Security 5 ofrece una útil característica para “redes fuera del hogar” que alerta al usuario cuando se conecta a un Wi-Fi público, de modo de ofrecerle la protección necesaria. Para probar el producto en su versión Release Candidate puede visitar: http://www.eset-la.com/landing/eset-smart-security-5-beta

Entre las amenazas informáticas que puede propagarse por medio de una conexión Wi-Fi podemos mencionar:

• Sniffing: Software o hardware que puede capturar y guardar el tráfico de una red.

• Fuga de información: los cibercriminales pueden modificar el tráfico de la red de modo de obtener datos confidenciales, como credenciales bancarias.

• Interceptación de accesos por medio de una red gemela: configuración de redes para simular una conexión Wi-Fi segura.

• Intentos de ataque 0-day a sistemas operativos y aplicaciones: ataques a través de exploits previamente desconocidos.

 

Vía La Tribuna

Los 10 mandamientos de la seguridad

La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony, han ubicado al tema de la fuga de información entre los más discutidos y controversiales. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.

Con el primordial objetivo de contribuir con la educación e información, los especialistas de ESET han elaborado los 10 mandamientos de la seguridad corporativa. Éstos son los principios básicos que deben regir la protección de la información en las empresas:

• 1. Definirás una política de seguridad.
• 2. Utilizarás tecnologías de seguridad.
• 3. Educarás a tus usuarios.
• 4. Controlarás el acceso físico a la información.
• 5. Actualizarás tu software.
• 6. No utilizarás a IT como tu equipo de Seguridad Informática.
• 7. No usarás usuarios administrativos.
• 8. No invertirás dinero en seguridad sin un plan adecuado.
• 9. No terminarás un proyecto en seguridad.
• 10. No subestimarás a la seguridad de la información.

Vía Cryptex

Libro Hacking Etico de Carlos Tori

Hacking Etico, es un libro de seguridad informática que cuenta con 328 páginas redactados con un lenguaje simple y ordenado.

Actualmente se encuentra agotado en Argentina, por ese motivo y otros, el autor decidió liberarlo para que los lectores pudieran apreciar la obra de modo libre sin pagar y a su vez, pudiéndola distribuir sin restricciones.

En cuanto a su contenido, aquí puede leer el temario completo.

Su ISBN es 978-987-05-4364-0 y todos sus derechos están registrados, como tambien su material.

Actualmente el autor, se encuentra redactando su 2do libro acerca del tema.

Descargar Hacking Etico

Contenido:
Capítulo 1: Hacking Ético
Capítulo 2: Recabar información
Capítulo 3: Ingeniería Social
Capitulo 4: Fuerza Bruta
Capitulo 5: Aplicación Web
Capitulo 6: Inyección de código SQL
Capitulo 7: Servidores Windows
Capitulo 8: Servidores Linux
Capitulo 9: Algunos conceptos finales

 

Vía Cryptex

Vishing el nuevo fraude financiero

Una llamada para avisar que tu tarjeta se usa sin tu consentimiento puede significar una estafa. Imagina esta situación. Estás en casa viendo una película cuando recibes una llamada para avisarte que se realizaron cargos no autorizados a tu tarjeta bancaria, te dan un número telefónico para que corrobores tus datos y cuando marcas te contesta una grabación pidiendo que marques tu número de tarjeta, fecha de vencimiento y código de seguridad… Antes de hacerlo debes tener cuidado, ya que te convertirías en una víctima de fraude.

En un comunicado, la Comisión Nacionacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) de México, advirtió que existe una nueva modalidad de fraude para el robo de datos conocida como “Vishing”, un término que combina ‘voz’ y ‘phishing’. La práctica consiste en un protocolo de voz e ingeniería social para obtener información de una persona que pudiera ser estafada.  Los cibercriminales utilizan un sistema de mensajes pregrabados o una persona que llama para solicitar, en muchos casos, información financiera personal.

Recuerden que los bancos y las tarjetas de crédito jamás envían correos ni realizan llamadas telefónicas solicitando números de tarjeta, ni confirmación o actualización de datos.

Vía Alta Densidad

Hackers, la nueva amenaza mundial

LONDRES.- En materia de combate, a la tierra, el mar y el espacio aéreo se les acaba de agregar otra dimensión: el ciberespacio. Y hay quienes aseguran que la lucha en este terreno puede terminar en un Armageddon.

Las principales potencias militares del mundo están preparándose para evitar ese escenario, conscientes de las debilidades no sólo de su sistema militar, sino de todo el complejo de infraestructuras públicas, cada vez más dependiente de la informatización. Esa vulnerabilidad ha sido puesta últimamente en evidencia por los ataques emprendidos contra el Fondo Monetario Internacional, varias firmas contratistas de Defensa de los Estados Unidos y otras cruciales para las comunicaciones y la economía, como Google y Sony .

En Washington, Leon Panetta, actual director de la CIA y firme candidato a suceder al secretario de Defensa norteamericano, Robert Gates, sostuvo que el próximo Pearl Harbor -el evento que determinó la entrada definitiva de los Estados Unidos en la Segunda Guerra Mundial- es probable que sea un ciberataque, que dañará gravemente los sistemas de seguridad y financieros de Estados Unidos.

Ante el Senado, Leon Panetta advirtió que esta hipótesis llevará a Washington a tomar “tanto medidas defensivas como agresivas” para responder eficazmente al desafío.

“Este es el momento de un cambio histórico -destacó el jefe de la inteligencia norteamericana-. Ya no estamos en la Guerra Fría. Ahora se trata de la Guerra de Tempestad [ Blizzard War , en inglés], es decir, de una tormenta de ciberataques basada en la velocidad e intensidad con la que se desarrolla la tecnología y con la que surgen nuevas potencias a lo largo del mundo.”

El ministro de Defensa chino , Geng Yansheng, admitió recientemente que su país cuenta con una unidad de 30 “cibercomandos” destinados a entrenar al Ejército Popular de Liberación en la defensa de su infraestructura.

Con el nombre de “Ejército Azul”, estos comandos ya han realizado varios simulacros durante los cuales respondieron a bombardeos masivos de virus y correos electrónicos basura, así como a la infiltración de códigos en sus redes de comunicaciones lanzados en “misiones secretas”, con el fin de robar información sobre el movimiento de sus tropas.

El Pentágono está construyendo su propio modelo en escala de Internet para llevar a cabo ensayos similares.

Ante su encargo, la universidad Johns Hopkins, en Baltimore, y la empresa Lockheed Martin -blanco reciente de un muy real ataque cibernético- trabajan en prototipos de “polígonos virtuales”, destinados a simular ataques de potencias extranjeras y de piratas informáticos.

Con un costo de 500 millones de dólares, el proyecto forma parte de un plan para crear un Polígono Nacional Cibernético, supervisado por la Agencia de Investigación Avanzada en Proyectos de Defensa (Darpa, por sus siglas en inglés).

Iniciativas como éstas, sin embargo, toman tiempo y bien pueden quedar retrasadas ante los permanentes avances en tecnología.

El creciente uso de la telecomunicación móvil y de la “computación en la nube” [ cloud computing , en inglés], que elimina la necesidad de contar con archivos físicos para almacenar información, duplicaría los riesgos.

“La verdad es que no hemos hecho lo suficiente y que estamos en esta materia sumándonos al juego bastante tarde”, admitió hace poco el contraalmirante Mike Brown, directivo del Departamento de Seguridad Interior norteamericano.

El diario The Wall Street Journal, en tanto, dice haber leído 12 páginas, de un total de 30, de un documento clasificado con el cual el Pentágono se apresta a declarar como “acto de guerra” todo sabotaje cibernético ordenado por otros Estados, pero no así los emprendidos por grupos terroristas, criminales o simples bromistas.

Otra Convención de Ginebra

De esta forma, el gobierno norteamericano buscaría enmarcar su respuesta bélica en las leyes internacionales de conflicto armado.

Pero esta política puede crear sus propios problemas porque establecer la fuente real de un ataque cibernético es notoriamente difícil.

Los hackers saben cómo utilizar computadoras en forma remota de modo de hacer parecer que la ofensiva tuvo origen en un lugar cuando en realidad lo tuvo en otro.

Un buen ejemplo es el del virus Stuxnet, que penetró hace unos meses en el sistema del programa nuclear iraní y demoró su progreso, se estima, en por lo menos dos años.

El origen tanto del virus como de su plataforma de lanzamiento es incierto, por más que por su sofisticación los expertos estiman que detrás debe encontrarse algún gobierno.

Estados Unidos e Israel son en este caso los principales sospechosos. China y Rusia también son frecuentemente acusadas de “ciberintrusismo”, algo que tanto Pekín como Moscú niegan terminantemente.

Alexander Klimburg, un experto del Instituto Austríaco de Relaciones Internacionales a quien el Parlamento Europeo encargó la elaboración de un informe sobre el tema, sostiene que toda represalia, ya sea militar o económica, debe ser puesta en manos de organismos internacionales.

Similar es la posición del EastWest Institute. En una conferencia a la que asistieron el primer ministro británico, David Cameron; la canciller alemana, Angela Merkel; la secretaria de Estado norteamericana, Hillary Clinton, y su par ruso, Sergei Lavrov, la organización creada en 1980 para facilitar el diálogo Este-Oeste propuso la redacción de una “Convención de Ginebra cibernética”, capaz de establecer términos legales multilaterales de combate en el mundo virtual.

Sin jerarquías

A estas consideraciones les escapan los hackers aficionados.

En España, la policía anunció recientemente la detención de la cúpula de Anonymous, un grupo de internautas anarquistas especializado en ataques de denegación de servicio (DOS) en supuesta defensa de la libertad de expresión.

Ellos fueron los autores de los ataques contra PayPal, MasterCard y Visa, realizados luego de que las tres empresas decidieran retirar su apoyo al fundador de WikiLeaks, Julian Assange.

La noticia del arresto de “jefes” de la organización en distintas ciudades europeas provocó sonrisas porque Anonymous es un movimiento descentralizado que se jacta, justamente, de no contar con una estructura jerárquica.

Hay hackers, además, que ni siquiera tienen una causa para defender.

Lulz Security, el grupo que reivindicó ataques contra los sitios web de la CIA, el Senado norteamericano, el FBI y la multinacional Sony, dice haberlo hecho todo para entretener.

“A ustedes les divierte ver cómo se desencadenan estos líos y nosotros nos divertimos causándolos”, aseguró en un comunicado la organización cuyo nombre deriva de la frase ” laugh out loud ” (reírse a carcajadas, en inglés).

Los que van riéndose todo el camino al banco, en tanto, son los dueños de las empresas aseguradoras.

Por más que sólo un 5% de los ataques emprendidos hasta ahora ha causado daños multimillonarios, las actividades de los hackers lograron triplicar el número de pólizas antipiratería vendidas a multinacionales desesperadas por cubrirse de sus nefastas consecuencias.

PENAS MAS DURAS PARA LOS PIRATAS

WASHINGTON (Reuters).- La Casa Blanca reclamó sentencias más duras por el ingreso ilegal a las redes de computación privadas y gubernamentales, incluso antes de que los hackers de Lulzsec atacaran los sitios web de la CIA y el Senado. El mes pasado, el gobierno del presidente Barack Obama presionó al Congreso para que aumentara a 20 años de cárcel (el doble de la existente) la pena máxima por poner en riesgo la seguridad nacional. Todavía la propuesta no se convirtió en ley.

LOS BLANCOS

• 18/4/2011
  PlayStation
  Hackers robaron datos de 77 millones de cuentas de usuarios de los servicios en red de PlayStation

• 7/5/2011
  Fox Networks
  El grupo Lulzsec hackeó la Web del show The X Factor y publicó los datos de los participantes

• 10/5/2011
  Citigroup
  Ciberpiratas accedieron a los datos de 360.000 titulares de tarjetas de crédito de Estados Unidos.

• 21/5/2011
  Lockheed Martin
  El proveedor de material tecnológico de defensa del gobierno de EE.UU. sufrió un ciberataque.

• 30/5/2011
  PBS
  El grupo Lulzsec hackeó la Web de la cadena de televisión norteamericana y publicó datos falsos.

• 1/6/2011
  Google
  Hackers chinos intentaron robar las claves de cientos de dueños de correos electrónicos.

• 9/6/2011
  Turquía
  El grupo Anonymous atacó varios sitios Web del gobierno en protesta por la censura en Internet.

• 12/6/2011
  FMI
  El organismo fue víctima de un sofisticado ciberataque, cuyas dimensiones se desconocen.

• 13/6/2011
  El Capitolio
  El sitio web del Senado de EE.UU. también fue víctima de los ataques del grupo Lulzsec.

• 15/6/2011
  La CIA
  El sitio de la CIA colapsó el miércoles pasado debido a un ataque de los activistas de Lulzsec.

OTRAS EMPRESAS EN LA MIRA

• Sonybmg

• Nintendo

• Infragard-Atlanta

• Bethesda Game Studio

• Gobierno de Malasia

• RSA

LOS ATACANTES

ANONYMOUS
Es la red internacional de hackers más conocida de Europa. No tiene líderes y su símbolo es la máscara de la película V de Venganza.

LUIZ SECURITY
Lulzsec es un grupo nuevo de hackers que comenzó a publicar sus actividades el mes pasado. Sus ataques están motivados por la diversión y no tanto por la política, y su objetivo es “reírse de la seguridad” de los sitios web.

CIBERPIRATAS CHINOS
China es el principal país sospechoso de ciberataques en el mundo. Google denuncia al gigante asiático desde 2009, pero Pekín niega sistemáticamente cualquier relación con estas actividades.

Vía La Nación

Llegó la ciberguerra

Más de 30% de las empresas del país han reportado robo de información electrónica. Si eso no basta, el gusano que puso en jaque a las plantas nucleares de Irán también se paseó por acá. ¿Qué pasa en las computadoras de Venezuela? Por Joseph Poliszuk

Una guerra cibernética. En eso insistieron las autoridades iraníes cuando el año pasado reportaron un virus que saboteó algunas de sus instalaciones nucleares. Un código malicioso burló sus fronteras quién sabe a través de qué pent drive infectado. Así empezó la crónica del ya célebre gusano Stuxnet, cuyo escándalo obvió el detalle de que también infectó algunas computadoras venezolanas.

Faltan detalles sobre la ubicación precisa o las instituciones y personas afectadas dentro del país. Sin embargo, el mapa que la empresa de antivirus Kaspersky armó a partir de entonces -para monitorear la epidemia- da cuenta de que aun sin visa ni pasaporte, la pesadilla de Irán también se posó de este lado del mundo en algunas máquinas de Ecuador y Venezuela.

No se trata de un ataque masivo. A diferencia del caso iraní, los reportes indican que el gusano sólo pudo infectar poco más de 1.000 computadoras conectadas a los servidores del país. La anécdota sirve, de cualquier manera, para advertir que las epidemias digitales ni siquiera pasan por extranjería. Y son muchas…

Aumentan los virus

El último estudio de Kaspersky abre los ojos de los venezolanos. De acuerdo con sus técnicos, los virus y otros códigos maliciosos que circulan por las computadoras y servidores registrados en el país se han multiplicado más de tres veces en menos de dos años.

Cerca de 1,5 millones de amenazas electrónicas circularon en 2009 por los equipos y dominios registrados en las direcciones IP de Venezuela; la cifra llegó en 2010 hasta más de 5 millones y la tendencia sigue aumentando. “Tan solo en los tres primeros meses de 2011 hemos registrado más crímenes cibernéticos que en todo el año 2009″, alerta el director de Análisis e Investigación Global del Laboratorio de Kaspersky para América Latina, Dmitry Bestuzhev.

Aunque las cifras varían de acuerdo con los laboratorios de cada antivirus, en Kaspersky reportan el peor panorama. Advierten incluso de un fenómeno meramente venezolano: en lo que va de año los criminales informáticos han preferido atacar blancos nacionales por encima de Argentina, Colombia y otros países en los que hay más habitantes conectados en red.

“Venezuela no es uno de los países más grandes de América latina; sin embargo, en el primer semestre de 2011 está pasando después de Brasil y México al tercer lugar de los más atacados por los criminales cibernéticos”, aseguró Bestuzhev el mes pasado de visita por Caracas, en una rueda de prensa que Kaspersky organizó para advertir el fenómeno.

A diferencia del informe de Kaspersky, el panorama que vislumbran otras empresas de antivirus como Panda y Symantec es más optimista para los venezolanos. Sus estudios encuentran más códigos maliciosos en las direcciones IP de países como Argentina y Colombia que en las de la República Bolivariana de Venezuela.

Una parte de esas mediciones tiene que depender de la penetración de mercado que cada marca consigue en diferentes regiones, por eso es que no hay cifras únicas. Pero al margen de los números, el director de Ingeniería de Symantec para América latina, Nicolás Severino, recuerda que en el mundo globalizado los gusanos informáticos no discriminan fronteras.

Epidemias importadas

Si en el siglo XIX Julio Verne predijo un mundo conectado con trenes subterráneos y telefaxes, le faltó pensar en Internet: como si se tratara de ciencia-ficción, una serie de códigos maliciosos han ido perfeccionando mecanismos para robar datos bancarios, espiar información privilegiada o controlar algunos sistemas operativos por vía remota. El FlyStudio, por ejemplo, es uno de los más comunes que deambularon en 2010 por las computadoras criollas.

Cada una de las empresas de antivirus monitorea en tiempo real las amenazas que reportan sus sistemas de protección. Por medio de esa y otras vías es posible llegar a precisar las direcciones donde se reportan los incidentes. Kaspersky precisa de esa forma que el FlyStudio, un gusano importado desde China, afectó varias computadoras del país.

Esta no es la única amenaza que el año pasado burló los sistemas venezolanos. Ni siquiera la más común, pero Bestuzhev la destaca sobre otras porque principalmente se encontró en computadoras de Rusia, Turquía, Colombia y Venezuela. “Quiere decir que puede tratarse de un ataque dirigido”, señala. “Este gusano tiene una funcionalidad de ‘back door’ o puerta trasera, que permite dar acceso remoto no autorizado en las máquinas afectadas”.

En esa onda también se encuentra el Spy-MSIL, que hizo de Venezuela casi su único hábitat. Aunque apenas ha contagiado poco más de 700 computadores, la gran mayoría se observa en las direcciones IP del país.

Se trata probablemente de un ataque interno desde y contra sistemas nacionales y, en especial, con fines mercantiles. El código fuente muestra que ese troyano intercepta los movimientos del mouse y los golpes de teclado, lo que hace suponer que fue creado para robar claves de cuentas bancarias.

Tema tabú

Oficialmente, en Venezuela no hay reportes que precisen las pérdidas económicas que han causado algunos códigos maliciosos. Es un tema tabú; ningún banco o empresa quiere que sus clientes se enteren de sus vulnerabilidades. De cualquier forma, Venezuela no es ajena a los delitos electrónicos del resto del mundo.

Todas las empresas del país han sido víctimas alguna vez de un problema informático. La firma PWC lleva siete años estudiando el fenómeno a nivel nacional y su última encuesta, que está por salir a la calle, indica que 90% de una muestra de 346 compañías tuvo al menos un virus a lo largo del año pasado . Y peor aún, 34% sufrió algún robo de información.

“Este tipo de situaciones está sucediendo en el país”, señala Rogelio Martínez, director general de la empresa Electronic Services Venezuela, desde donde ha atendido varios ataques registrados en empresas de servicios, entidades financieras y hasta algunos entes del Estado.

Uno de los casos más emblemáticos ocurrió hace dos años en un banco nacional. El nombre de la entidad prefiere mantenerlo en reserva, pero el caso engrosa la lista de millones de máquinas que fueron afectadas a nivel mundial por el gusano Conficker, el mismo que algunos especialistas llegaron a comparar con el propio Sida.

Como siempre, una computadora infectada y luego otra. En menos de una semana fueron 1.700 las máquinas que el banco registró fuera de servicio. Cuando se prendieron las alarmas, el famoso Conficker ya había paralizado casi un edificio completo. “Logró poner el sistema muy lento”, recuerda Martínez. “Más que robar dinero pareciera que estaban tratando de tomar la capacidad de cómputo de la empresa”.

Pdvsa en la mira

En ciertos círculos de especialistas informáticos advierten que además de las centrales nucleares de Irán, el Stuxnet se llevó por delante algunos sistemas de Pdvsa. Las empresas de antivirus, sin embargo, se reservan la identidad de los afectados de esa y otras epidemias.

Casi todos los cibercrímenes venezolanos no pasan del boca a boca. El ex fiscal del Ministerio Público, Jesús Ramón Rodríguez, especializado en delitos informáticos, señala que muy pocos llegan a tribunales.

Nadie quiere exponer el nombre de su empresa. Aun así, cada vez son más los delitos informáticos; lo ha visto Rodríguez desde la dirección de la empresa Juristelseg, donde ha atendido casos que van desde empleados que encontraron fotos personales circulando por las empresas donde trabajan, hasta nóminas del Estado en las que aparecieron tres ceros de más en las quincenas de algunos de sus empleados.

Como caminar de noche

Sólo el año pasado, la empresa de antivirus Symantec encontró más de 286 millones de nuevos códigos maliciosos en todo el mundo. ¿A dónde nos lleva todo esto? El director de Ingeniería de esa empresa para América latina, Nicolás Severino, cree que lo más importante es que los usuarios se eduquen y traten de entender la lógica de los ataques cibernéticos: “La gente debe conocer lo que está pasando, el objetivo no es alarmar ni tomar un tono amarillista con el tema”.

Nadie camina solo a medianoche por las calles de Caracas. El mundo virtual obedece a la misma lógica. Un buen antivirus no es suficiente, los expertos llaman a tomar previsiones como instalar programas originales y actualizar sus nuevas versiones.

También recomiendan vigilar y limpiar las memorias extraíbles de los teléfonos inteligentes, tabletas y cámaras. Si las plantas nucleares de Irán fueron contaminadas con un pent drive, cualquiera puede repetir el mismo caso.

La mitad de las empresas venezolanas ni siquiera tienen políticas definidas sobre el tema. La última encuesta de la firma PWC advierte que sólo 7% de ellas tienen estrategias bien definidas. Por eso, Roberto Sánchez indica en nombre de PWC que “antes que adecuar la tecnología y los equipos, hace falta capacitar al personal”.

La normativa de la Superintendencia de Bancos obliga a hacer pruebas de seguridad en los sistemas financieros. El Cicpc y el Ministerio de Ciencia y Tecnología también tienen divisiones abocadas al tema. Aun así, en Venezuela falta mucho para proteger la soberanía digital.

Pasó en Irán, también puede pasar de este lado del planeta. Como en la guerra fría, ya hay quienes anuncian el principio de una ciberguera. Aunque el término tenga un poco de fábula, es hora de hacer algo. “El paradigma de antes buscaba evitar que algún virus ingresara, pero hoy en día está enfocado en que lo bueno no salga”, concluye Severino.

• Para proteger las computadoras, hay que actualizar los programas y aplicaciones de cada sistema operativo. Muchos de los virus que se reportaron el año pasado fueron filtrados por versiones viejas de Adobe Reader, Flash Player y Java.
• Los expertos llaman a desconfiar de los links abreviados que hay en Twitter y otras redes sociales. Varios virus del 2010 se transmitieron así.
• Para comprobar que una página es segura basta con buscar el certificado de seguridad que se ve con un pequeño candado amarillo junto a la dirección electrónica o en la esquina inferior derecha.
• Es preferible comprar directamente en las tiendas virtuales que desde sitios relacionados.
• Los teléfonos celulares también están expuestos a gusanos informáticos. El mercado ya ofrece antivirus para estos dispositivos.
• Cualquier archivo importante debe ser respaldado y guardado con claves.

 

Vía El Universal

Guía fácil antifraude digital

1- No proporciones datos bancarios a nadie que te llame por teléfono.
2- Pide detalles sobre la identidad de quien te llama. Si la voz del otro lado del teléfono no puede acreditar quién o qué empresa te habla, asume que ese representante no es legítimo.
3- Aunque presionen, no te sientas obligado a proporcionar información por teléfono.
4- Ante cualquier sospecha ponte en contacto con tu banco y verifica las condiciones de la supuesta oferta inusual que recibiste.
5- No hagas clic en enlaces sospechosos que hayas recibido por correo electrónico.
6- No los envíes por correo electrónico tu número de cuenta, contraseñas, números de seguridad o dirección. Las instituciones financieras no los solicitan por este medio.
7- Sospecha de las ofertas de sorteos a los que no te suscribiste, más aún si para participar en ellos te solicitan proporcionar información.
8- Duda de las ofertas relámpago en las que te pidan anticipos.
9- Evita el uso de computadoras públicas o cybercafés para realizar operaciones financieras.
10- Cambia con frecuencia tus contraseñas.
11- Actualiza el antivirus y las herramientas antispyware con regularidad.
12- Recuerda que tu seguridad digital depende de las medidas y precauciones que tú mismo tomes.

 

Vía Alta Densidad

El Rol de los usuarios

Proteja su información

De manera general, puede considerarse secreto comercial o información no divulgada toda información comercial, confidencial, que confiera a una empresa una ventaja competitiva.

Ejemplos específicos de información de esta naturaleza, sin que se limiten a estos, son los siguientes: planos, prototipos, archivos o similares; procesos de fabricación, estadísticas de manufactura o similares; contabilidad y cualquier otra información financiera de la compañía, incluyendo salarios, estados financieros, estado de cartera, historial de ventas, etc.; estrategias y planes de mercadeo; listas de precios; listas de clientes, listas de proveedores, etc.

Se trata a su vez de una categoría de la propiedad intelectual que presenta como grandes ventajas, el no tener un periodo de expiración para su protección (en tanto la información se mantenga secreta) y el no tener que recurrir a una solicitud de registro y su correspondiente pago de tasas y honorarios, para que esta se considere efectivamente protegida.

Su empleo en contratos y cláusulas de confidencialidad, en el marco de relaciones laborales, comerciales y de transferencia de tecnología, resulta cada vez más frecuente. Empero, existe una errónea y arraigada creencia que reduce a su mera mención en una cláusula o contrato, el deber del titular de mantenerla secreta.

Se desconoce por tanto, que la Ley 7975 de Información no Divulgada impone en su artículo 2.b) un deber de diligencia que obliga a su titular a adoptar “medidas razonables y proporcionales para mantenerla secreta”.

Es recomendable entonces que el titular tome las siguientes medidas a lo interno de la empresa, tendientes a garantizar un adecuado ambiente de confidencialidad.

Controle el Acceso

De manera general, toda la información debe mantenerse fuera del alcance de cualquier persona, incluyendo aquellos vinculados a la compañía, mientras la persona no la necesite para efectuar su trabajo, o no esté autorizado para acceder a esta.

La regla general es que la información es accesible solamente mientras sea necesaria. Cualquier persona que esté en posesión de información confidencial propiedad de la empresa debe considerarse responsable de su custodia debida.

Toda la información en curso que en general se crea o trabaja en medio electrónico o magnético, debe ser accesible solamente por las personas autorizadas en cada departamento o área de trabajo. Cualquiera que sea la forma o lugar para guardar dicha información, todos las computadoras deben tener claves de acceso personalizadas para proceder a su utilización.

Manéjela

Un segundo paso es documentarla. Se debe materializar en un documento la información de interés, incluyendo fotografías de esta si es aplicable (caso de prototipos), la descripción de la forma cómo se llegó a ella, qué ventaja competitiva o económica le representa a la empresa, qué medidas se han tomado para mantenerla confidencial o secreta y, por último, cuáles personas, cuándo y de qué manera, han tenido acceso a dicha información.

El tercer paso es marcarla: Toda la información debe marcarse para identificar su carácter confidencial. En cada archivo con cualquier tipo de documentos, deberá registrarse quiénes han tenido acceso a ellos. Esto permite que aquellos que tienen acceso a la información, con permiso o sin él, estén al tanto de su carácter reservado.

Contratos hablan

Todos los funcionarios, proveedores y visitantes de la empresa deben firmar contratos de confidencialidad.

Estos acuerdos deben indicar que toda la información a la cual tengan acceso, por motivos directos o indirectos de su posición laboral, o por cualquier otra vía (como puede ser una falla en la seguridad de la información) tiene carácter reservado y, por lo tanto, el empleado se compromete a no diseminarla o utilizarla de ninguna manera sin expresa autorización de la empresa.

Estos acuerdos deben ser parte integral de los contratos laborales o de cualquier forma de vinculación o relación contractual con la empresa.

Los acuerdos deben actualizarse en el momento que se modifique cualquier situación, como puede ser que una persona pase de un área de trabajo a otra dentro y se sepa que esta tendrá acceso a nueva información confidencial específica.

Anticipe litigios

Es conveniente tener procedimientos frente a eventuales litigios. En cada unidad comercial o planta de producción de la empresa se deben establecer procedimientos específicos para la recuperación de información que pueda ser utilizada como prueba en una eventual acción legal.

Estos procedimientos deben incluir la posibilidad de crear y localizar copias de seguridad (backup ) de todos y cada uno de los archivos, así como la formulación de criterios para determinar qué información debe ser además impresa físicamente.

Elabore un manual

Crearun manual interno de confidencialidad es conveniente:

Reglas: Es recomendable elaborar un documento que proporcione reglas claras a los funcionarios de todos los niveles.

Responsabilidades: Es conveniente definir los deberes de cada colaborador sobre el manejo de la información y el acceso a la misma.

Fuente Néstor Morera.  – www.elfinancierocr.com

Vía Cryptex

Virus que simula el botón “No me gusta” amenaza a los usuarios de Facebook

El Mercurio de Chile (GDA). Con más de 600 millones de usuarios activos, una de las herramientas más populares de Facebook es la opción de etiquetar con la alternativa “Me gusta” comentarios, imágenes o enlaces publicados por los usuarios. Pero hace algunos días, se detectó una aplicación que busca engañar a los internautas proponiéndoles que activaran una aplicación para habilitar la opción “No me gusta”.

Según la firma de seguridad Sophos, esta supuesta nueva herramienta es una amenaza que se está expandiendo por la red social Facebook a través de mensajes en los que se informa a los usuarios que por fin el nuevo botón está habilitado y se les invita a probarlo.

Se trata de una aplicación que cuando se activa, envía spam a los contactos y podría ser capaz de acceder a información privada de las cuentas de los usuarios.

La estafa comienza cuando se hace clic en el enlace. En ese momento, se abre la supuesta aplicación para tener el nuevo botón y le pide que copie y pegue un código en la barra del navegador.

Si el usuario de la red social sigue las instrucciones, se empieza a difundir la amenaza, ya que automáticamente se publicará en el muro del afectado el mismo mensaje, de forma que sus contactos se convierten en posibles víctimas.

Además, la aplicación pedirá al usuario que facilite su número de teléfono u otros datos personales para poder acceder al botón, cuando en realidad se está inscribiendo en servicios fraudulentos.

Vía La Nación

Seguridad en la información, una tarea de todas las empresas

El concepto de “consciencia” sobre el cuidado de la información es una tarea que debe ser emprendida por usuarios y organizaciones indistintamente al ramo que pertenezcan y/o funciones particulares que cada individuo emprenda.

Esta consciencia es un proceso que deberá ser correctamente planificado, tendrá que ser consistente es decir, que se despliegue las 24 horas y requiere el compromiso de todos los involucrados desde el presidente o director, pasando por los mandos medios y nivel ejecutivo, hasta los usuarios finales que hacen uso de la Internet.

Ya que la información es considerada como unos de los activos principales en las organizaciones, ésta debe estar debidamente protegida; para ello existen numerosos recursos técnicos y metodológicos que se engloban dentro del término “Seguridad de la Información”, la cual se encarga –entre otras cosas- de reducir o eliminar una amplia gama de amenazas e incidentes de seguridad de carácter fortuito (Incendio, destrucción, inundación) y de carácter deliberado (Que incluye fraude, robo de identidad, phishing, spam, vandalismo, sabotaje, espionaje, etcétera).

 En la actualidad no sólo basta adquirir tecnologías y capacitar al personal para hacer frente a estas amenazas, es preciso lograr el nivel de protección necesario. Entonces para que la estrategia de seguridad esté completa deberá crecer de una colección de tecnologías dispares a un proceso de negocio efectivo.

 Con un adecuado programa de concientización es posible garantizar que los usuarios tengan el conocimiento suficiente y transmitan la importancia de proteger la información mediante mejores prácticas y métodos comúnmente aceptados a nivel mundial. Una vez establecido el programa, el nivel de seguridad aumenta en las organizaciones y se minimizan los incidentes que se presentaban anteriormente por desconocimiento o malas prácticas sobre el cuidado de la información.

 Es por ello que los departamentos de TI deben emprender un esfuerzo muy grande para educar a todos los empleados con el objetivo de que comprendan la importancia de proteger la información y hagan parte de una nueva cultura que cohesione los valores corporativos con las buenas prácticas de seguridad.

 La responsabilidad de este desafío recae en la cabeza principal de la organización desde la junta directiva y su presidente, para escalarla luego hacia vicepresidencias y gerencias y llegar a los encargados del recurso humano, el área de auditoría y el área de tecnologías de información.

 Estamos pues ante un reto de proporciones grandes: Por un lado empoderar a cada uno de los usuarios y concientizarlos sobre el rol que cumplen en la seguridad de información y por otro disponer de todos los recursos tecnológicos para que este desafío se traduzca en una reducción de las amenazas y una optimización de los procesos productivos.

Vía Mundo de Hoy

¿Están a salvo nuestros datos en internet?

Cada día más y más personas usan internet y van dejando un rastro de información personal que almacenan en distintos servicios en la red.

Al comprar en línea, abrir una cuenta en una red social, o jugar videojuegos, las personas tienen que registrarse en las páginas dejando en ellas al menos su nombre y dirección de correo electrónico.

En algunos casos también se guarda la dirección e información de tarjetas de crédito o débito.

Pero el reciente robo de datos personales de hasta 77 millones de usuarios de PlayStation Network pone en la mira la seguridad de la información en la nube, como se le conoce genéricamente a los datos y aplicaciones que se almacenan en servidores de internet y no en la computadora del usuario.

Pero ¿qué tan seguro es guardar esta información en internet?

La mayoría de las empresas que trabajan en la nube (Google, Apple, Microsoft, Amazon, etc) han invertido una gran cantidad de recursos para asegurarse de que la información de sus usuarios no se vea comprometida.

De hecho aunque han tenido alguno que otro problema, ésto ha sido la excepción y no la regla.

Sin embargo, el caso de Sony parece encender una alarma diferente. El robo de datos en PlayStation Network podría ser la falla de seguridad más grande en la historia, según le dijo Alan Paller director de investigación del Instituto SANS a la agencia de noticias Reuters.

Los usuarios de PlayStation Network tienen que registrar su dirección y datos de tarjetas bancarias si desean comprar juegos en línea o jugar contra otros usuarios en el mundo. Al registrar los datos en la red, implícitamente asumen que pueden confiar en Sony.

La empresa japonesa no ha dado detalles sobre el ataque del que dice fue objeto, pero la mayoría de los analistas de seguridad informática han mostrado su sorpresa ante el hecho de que compañía no estuviera preparada para un ataque de esta magnitud.

Riesgos y beneficios
Sony no es la única empresa que ha sufrido este tipo de ataques o que ha sufrido fallas en el servicio. Hace unos días Amazon experimentó una caída en sus servidores de alojamiento que dejó sin servicio a varias páginas que utilizan su herramienta.

Como resultado la empresa perdió el 0,7% de la información que almacena en una de las regiones del mundo en la que presta el servicio.

Imperva, una empresa de seguridad informática, identificó los ataques de hackers a servicios en la nube como una de las diez principales amenazas digitales para el 2011.

La compañía le dijo a BBC Mundo que ante el aumento de este tipo de almacenamiento de datos estos “se convertirán en blancos muy atractivos para los hackers en especial los más populares que tendrán una gran riqueza de datos, por lo que tendrán que reforzar su seguridad en gran medida”.

La empresa de análisis de tecnología, Forrester, también ha dicho que las “preocupaciones por la seguridad son una de las razones más prominentes por las que que algunas organizaciones no han adoptado los servicios en la nube”.

“Forrester espera ver emerger a un gran número de servicios seguros y confiables en la nube en los próximos cinco años lo que ayudará a reforzar este campo”, señaló su analista Jonathan Penn.

¿Para qué robar información?
Los hackers que roban datos personales pueden utilizarlos para un sinnúmero de fines como el robo de identidad, mediante el cual, al conocer los datos privados de una persona, los criminales pueden aplicar para un crédito en su nombre.

Las direcciones también pueden utilizarse para saber en qué domicilio existe equipo tecnológico con el propósito de robarlo. Pero sobretodo se usan para enviar correos electrónicos al usuario afectado, amigos y familiares con objeto de robar información bancaria o contraseñas de acceso a otros servicios.

Si la información de tarjetas de crédito también se ve comprometida entonces ésta puede utilizarse para realizar transacciones sin el consentimiento del usuario.

Pero también es importante resaltar que es muy importante que los usuarios tengan una adecuada “educación digital” y utilicen distintas contraseñas para diferentes servicios y no sólo una para todos.

Cuando el servicio involucra información bancaria o datos como la dirección postal es importante que la contraseña que se utilice sea lo más fuerte posible usando una combinación de letras, números, símbolos y mayúsculas.

Lo que parece cierto es que, a partir de ahora, las empresas comenzarán a invertir más recursos en la seguridad de estos servicios para evitar que les ocurra lo mismo que a PlayStation.

Algunas tendrán éxito y otras no. Este podría ser el año en el que la seguridad en la nube se ponga a prueba y las compañías que demuestren que están a la vanguardia podrían ser las más exitosas.

Vía Semana

La tercerización de la Seguridad de Información

El Outsourcing y la Seguridad de Información

El Outsourcing puede entenderse como la transferencia de la propiedad de un proceso de negocio a un proveedor o el uso de recursos externos a la empresa para realizar actividades tradicionalmente ejecutadas por personal y con recursos internos.  Aunque en un contexto globalizado, esta estrategia ha demostrado proveer esquemas de optimización y ahorro en muchas áreas del negocio, no es usual que las organizaciones consideren tercerizar procesos relacionados con la Seguridad de Información. La razón nace de la esencia misma de la Seguridad de Información y su aparente contraposición con lo que representa la incorporación de un tercero a estos procesos:

El objetivo principal de la seguridad de la información consiste en el fortalecimiento de tres principios clave: confidencialidad, integridad y disponibilidad. El primero de estos principios es el que más ocupa a los CISO de las organizaciones, y el que pareciera no ser consistente con un proceso de tercerización. Los otros principios no dejan de ser importantes, y en el cumplimiento de los tres es donde los costos sugieren un enfoque práctico.

En el ciclo de vida de la seguridad de información, existen un conjunto de actividades que requieren personal con niveles de especialización, tecnología y procesos claramente definidos. Imaginemos el número de personas y especializaciones para realizar los siguientes procesos:

1.Planificación estratégica del CISO
2.Seguimiento de los planes de acción
3.Diseño e implementación de procedimientos de gestión
4.Evaluaciones periódicas de seguridad y controles
5.Monitoreo de eventos
6.Respuesta a incidentes
7.Investigación de incidentes
8.Gestión de requerimientos por parte de los usuarios, incluyendo definición de usuarios
9.Implantación de controles de seguridad

Estructurado de esta manera, comienza a visualizarse que la Seguridad de Información es un conjunto de actividades que agrupadas de manera apropiada pueden ser delegadas o subcontratadas. Adicionalmente se identifican actividades que no deberían recaer en el mismo personal, como es el caso de los numerales 7 y 8, 2 y 3, 4 y 6 o 4 y 9, ya que su cúmulo afecta la efectividad de algunos controles establecidos.

Entonces, ¿tercerizamos o no?
La decisión de tercerizar la Seguridad de Información es compleja. Hay mucho en juego, por lo que la reacción más común es la indecisión:
-Los beneficios prometidos por el outosourcing de seguridad son atractivos: El potencial para aumentan significativamente la seguridad sin tener que contratar media docena de personas o gastar una fortuna es imposible de ignorar.
-Los posibles riesgos son considerables: La dependencia de otra empresa y malas experiencias con otras áreas de outsourcing de TI, muestran que la selección de la empresa de outsourcing equivocado puede tener impactos considerables.

Para variar, esta decisión pasa por un análisis de cada caso de los riesgos y de los beneficios, pero en todos los casos el proveedor es un factor crítico en el análisis. Es por esto que si la decisión es tercerizar se debe establecer un proceso de selección de estrategias y  actores.

Ventajas del Outsourcing de Seguridad de Información
-Reducción de costos de personal: Para lograr desarrollar una gestión de seguridad  de información sólida e integral, es necesario el concierto de gran variedad de conocimientos y habilidades, que usualmente se traduce en un equipo altamente entrenado y que en consecuencia requiere una alta remuneración.
-Permite a la empresa responder con rapidez a los cambios del entorno: En una empresa  de outsourcing, el  negocio principal es la seguridad, por lo que puede y debe dedicar recursos a la actualización y seguimiento del mercado en todo lo relacionado a riesgos y seguridad. Esta inversión se traslada en beneficio a sus clientes, con un impacto financiero inferior para el cliente.
-Incremento en la calidad del servicio: La calidad del servicio relacionado con la gestión de seguridad estará regida por acuerdos de servicio formalmente definidos y estos niveles deberán estar garantizados.
-Actualización tecnológica: Permite a la empresa emprender actualizaciones tecnológicas y estar a la vanguardia sin la necesidad de formar al personal de la organización para manejar los riesgos asociados.
-Optimización del uso de recursos: Permite la aplicación del talento y los recursos de la organización a las áreas claves del negocio.
-Aumento de la flexibilidad de la organización y disminución de sus costos fijos.
-Actualización de activos de información: Los activos de información relacionados con la gestión de la seguridad no requieren de inversión por parte de la empresa para que sean actualizados

Principales consideraciones  para el Outsourcing de Seguridad de Información
-Dependencia del proveedor: Queda en manos del proveedor la capacidad de respuesta ante la innovación.
-Expectativas insatisfechas: El costo ahorrado con el uso de outsourcing puede que no sea el esperado.
-Compromiso con el proveedor: Alto costo en el cambio de suplidor en caso de que el seleccionado no resulte satisfactorio.
-Incorporación de riesgos: Con la incorporación de un nuevo actor en los procesos del negocio, existen nuevos riesgos que se deben atender.
-Incorporación de nuevos roles y responsabilidades: Se requiere la creación de nuevos roles en la organización para que coordine y gestiones la interrelación con el proveedor

Tercerizando la Seguridad de Información
El primer paso para la tercerización de la Seguridad de Información es determinar exactamente qué se va a tercerizar y qué permanece internamente. Esto permitirá establecer el alcance de la tercerización y definir los requerimientos hacia el proveedor. A esto debe añadirse una investigación del proveedor que debe considerar lo siguiente:
-Situación financiera del proveedor
-Reputación
-Tamaño
-Costos de implantación y mantenimiento
-Ubicación
-Respaldo internacional

El otro elemento a determinar es el nivel de tercerización de las actividades de Seguridad de Información, y la estrategia de tercerización. Sobre este último podemos determinar esquemas de autoservicio o de total delegación, y realizar un esquema parcial o progresivo de transferencia hacia un outsourcing. Un ejemplo de delegación progresiva, bajo lineamientos de garantizar la segregación de funciones, reteniendo funciones claves sería la siguiente secuencia:
1.Monitoreo de eventos
2.Investigación de incidentes
3.Evaluaciones periódicas de seguridad y controles
4.Seguimiento a los planes de acción
5.Diseño e implementación de procedimientos de gestión
6.Respuesta a incidentes
7.Implantación de controles de seguridad
8.Gestión de requerimientos por parte de los usuarios, considerando en primera instancia un esquema de service-desk que asegure la ejecución de las actividades por parte del personal de seguridad de la empresa

Finalmente, es importante destacar que aún cuando la gestión de Seguridad esté tercerizada, este proceso forma parte de los procesos del negocio y como tal debe ser tratado, considerando su revisión recurrente, evaluación y mejora continua. Este último aspecto debe formar parte del acuerdo formal con el proveedor, en función de asegurar una reducción progresiva de los costos o un incremento constante de los beneficios de tercerizar total o parcialmente la Función de Seguridad de Información.

Roberto Sánchez V.  – @robersv (*)

Via ComputerWorld

(*) El autor es Socio de PwC Espiñeira, Sheldon y Asociados. @PwC_Venezuela

¿Sabe cuáles son las aplicaciones web más peligrosas?

Existen muchas razones para explicar por qué las aplicaciones para medios sociales pueden poner en riesgo a empresas de cualquier tamaño. Entre ellas, WatchGuard destaca las siguientes:

• Pérdida de productividad: Varias entidades de investigación han informado que en Estados Unidos se pierden miles de millones de dólares al año a causa de una menor productividad como resultado del tiempo que se pierde en los sitios de medios sociales. Aunque los sites de medios sociales se pueden utilizar para colaborar y enriquecer las comunicaciones, los administradores de TI a menudo carecen de la capacidad para gestionar y controlar las aplicaciones web de productividad del negocio frente a las aplicaciones web de juegos.
• Pérdida de datos: La mayoría de los estados de EEUU están promulgando leyes de divulgación obligatoria de brechas de datos, esto hace que las empresas estén aumentando su preocupación sobre la fuga de datos, ya sea de forma accidental o intencionada. Sin embargo, los atributos que hacen que los medios sociales sean medios de comunicación excepcionales también hacen de ellos potenciales sitios de riesgo para la información y la pérdida de privacidad. Teniendo la capacidad de controlar las aplicaciones, los administradores reducen los riesgos de pérdida de datos accidental o aquellas que están asociadas a acciones maliciosas.
• Malware y Vectores de Ataque: WatchGuard prevé que las redes sociales se alzarán como el principal vector de malware en los próximos años por tres razones:

1. Los sitios de medios sociales generan una cultura de confianza. El punto fuerte de los medios de sociales está en la capacidad para interactuar con los demás. Por lo general, interactuar con otra gente considerada como “amigos”, implica confianza. Mientras tanto, las páginas de medios sociales no cuentan con medios técnicos para validar que las personas con las que estás interactuando son realmente quienes dicen ser. Este entorno de confianza crea el escenario ideal para ser utilizado por la ingeniería social.
2. Los medios sociales tienen muchas vulnerabilidades técnicas. Mientras que las tecnologías Web 2.0 proporcionan muchos beneficios, también albergan muchas vulnerabilidades de seguridad. La complejidad de las aplicaciones Web 2.0 puede conllevar código imperfecto que introduce en sitios de redes sociales muchas vulnerabilidades de aplicaciones Web, como ataques de inyección SQL o cross-site scripting (XSS). Además, todo el concepto de permitir que un usuario que no es de confianza pueda promocionar contenido en tu página web entra en conflicto con los paradigmas tradicionales de seguridad. En pocas palabras, esto significa que los sitios de medios sociales son más propensos a padecer vulnerabilidades web que las páginas web menos complejas e interactivas.
3. Enormemente popular. Según la firma analista online Compete, Facebook es el segundo destino Web más popular después de Google. Muchas otras redes sociales, como Twitter y YouTube, le siguen de cerca. Los atacantes se sienten atraídos por esta popularidad porque saben que significa que pueden conseguir “retorno de la inversión” de sus ataques.

Las aplicaciones más peligrosas

Por estas razones, las siguientes aplicaciones se considera que entrañan más riesgos según una investigación de WatchGuard:

Facebook: es sin duda el medio social más peligroso actualmente, en gran medida debido a su popularidad. Con más de 500 millones de usuarios, Facebook ofrece un terreno fértil de ataque para los hackers. Si a esto se añaden potenciales cuestiones técnicas, como una aplicación API abierta cuestionable, ya se tiene una receta para el desastre.

Twitter: Alguien puede suponer que en 140 caracteres se puede hacer muy poco daño, pero esto es una suposición incorrecta. En algunos casos, los mensajes cortos de Twitter permiten nuevas vulnerabilidades como los acortadores de URLs. Mientras estas fórmulas pueden ayudar a ahorrar espacio en los posts de Twitter, también permiten a los hackers esconder links maliciosos. A esto se suma que Twitter sufre muchas vulnerabilidades relacionadas con la API y la Web 2.0 que permiten a los usuarios atacar e incluso propagar gusanos entre sus usuarios.

YouTube: Al tratarse de uno de los sites de vídeos online más populares, los delincuentes se sienten atraídos por YouTube. Los hackers a menudo crean páginas web maliciosas enmascaradas como páginas de vídeo de YouTube. Además, los atacantes usan el spam en la sección de comentarios de vídeos de YouTube con links maliciosos.

LinkedIn: LinkedIn tiene más peso que otros medios sociales dada su orientación profesional y de negocio. Así, se convierte en un blanco más atractivo para los atacantes, pues goza de altos niveles de confianza. Como la mayoría de los usuarios aprovechan LinkedIn para entablar relaciones de negocio o entrar en procesos de selección de puestos de trabajo, tienden a publicar información más confidencial y potencialmente sensible en esta red social.

4chan: es un conocido mural de imágenes, un medio social donde los usuarios envían imágenes y comentarios. 4chan se ha visto envuelto en varios ataques de Internet atribuidos a “anonymous”, que es el único nombre de usuario que todos los usuarios de esta red pueden obtener. Algunos de los murales de 4chan pueden contener imágenes de las peores depravaciones encontradas en Internet. Muchos hackers difunden su malware a través de los foros de 4chan.

Chatroulette: es un sitio con gran potencial que permite a los usuarios que tengan una webcam conectarse y chatear con gente al azar. La naturaleza de este sistema webcam anónimo le convierte en un objetivo potencial para los depredadores de Internet.

Vía TechWeek