Archivos Mensuales: octubre 2011

Códigos QR son la nueva amenaza de la seguridad informática

SANTIAGO.- Un estudio advierte que los códigos QR, utilizados masivamente por las empresas locales y usuarios de smartphone, son el nuevo medio que la industria de los hackers encontró para efectuar sus ataques y violar la seguridad y privacidad de las organizaciones, las personas y sus dispositivos móviles.

Andrés Pérez, gerente regional de Servicios de Seguridad y Conectividad IP de NovaRed empresa que elaboró el estudio, sostuvo que si bien el “código QR por sí sólo no es malware”, éstos son manipulados por los hackers que consiguen enviar al usuario hacia sitios con malware, con el objetivo de “tomar el control del teléfono celular de las personas que lo escanearon”.

El peligro que advierte el ejecutivo es que hoy, junto con que cualquier persona puede crear un código QR, los teléfonos celulares inteligentes son “empleados como un método transaccional; se está pagando a través de ellos, se ocupan servicios, se puede descontar plata de la cuenta telefónica y se está masificando el uso de éstos”.

El QR (Quick Response Barcode) es un código de barras bidimensional, que en su origen fue utilizado por la industria automotriz japonesa. La inclusión del software que lee códigos QR en teléfonos móviles permitió nuevos usos orientados al consumidor, que se manifiestan en comodidades como el dejar de tener que introducir datos de forma manual en los teléfonos.

Cómo atacan

Andrés Pérez explicó que para desencadenar el ataque, el hacker se vale de la curiosidad del usuario, quien como se ha visto,  escanea desde su celular la imagen del código: “Con eso te llevan a un sitio web de paso y ese sitio te redirige a un sitio final donde va a estar alojado el malware, el que se descarga al teléfono”.

El resultado, sostuvo el ejecutivo de NovaRed “es tomar el control del teléfono, hacer lo mismo que hace un botnet.  Instalan algo sin que la persona lo note y desde afuera toman el control y le dan ordenes al teléfono del tipo: “Si esta persona se conecta a su banco desde el teléfono, avísame”.

“Lo que hacen es hábilmente crear un código con trampa que  redirige a un sitio no válido o bien manipular el código QR para que te dirija a un sitio para descargar malware. El código QR por sí sólo no es malware”, continuó.

Cómo prevenir

“Cuando se  escanea un código QR nunca sabes si es que estás dirigiéndote a un sitio permitido o no”, afirmó el ejecutivo de NovaRed para poner el acento en que la educación y la prevención son la mejor manera de enfrentar esta nueva tendencia

Añadió que “desde el punto de vista de seguridad el código QR permite tener un medio distinto de propagación de ataques como el phishing o de sitios web para difundir malware que son muy difíciles de controlar a nivel personal y empresarial, debido a que están dirigidos específicamente a teléfonos móviles y muy pocos sistemas de seguridad están orientados a estos dispositivos, no existe una preocupación de tener un antivirus o firewall en estos equipos como sí lo hay en los PC y computadores personales”.

En el caso de los usuarios, la prevención debe tener en cuenta que hoy cualquier persona puede crear un código QR e imprimirlo no en una revista, sino que en un panfleto o afiche callejero.

Para las empresas, dijo el gerente regional de servicios de seguridad y conectividad IP de NovaRed, el consejo es “hacerse responsables de la integridad de las imágenes que está subiendo a sus páginas web”.

Dicha responsabilidad, afirmó, pasa “por contar con las herramientas para detectar si la imagen está siendo alterada y eso lo consigo con métodos que definen las características del archivo y que alertan cuando se está modificando”.

Pérez concluyó que, junto con las medidas de control, las empresas y los usuarios deben tener “claro que el código QR es un método alterable en el que traspaso información  y que al igual que los computadores, los dispositivos móviles deben ser considerados como sitios que deben ser altamente seguros”.

Vía Emol

De profesión… consultor de seguridad

En el entorno laboral los peligros, queramos o no, nos acechan constantemente. Éstos no son sólo caídas desde un andamio o escapes radiactivos. Muchos de ellos tienen que ver con el desempeño de las funciones y con el plano financiero. Por eso, la figura del profesional que ayuda a las empresas a identificar y evitar los riesgos adquiere más relevancia. El perfil de consultor de seguridad es muy amplio. Desde ingenieros hasta licenciados en Administración y Dirección de Empresas o en Derecho tienen un hueco en una profesión en alza.

[foto de la noticia]

A menudo no somos conscientes de las situaciones peligrosas que nos rodean. En el entorno laboral asociamos el riesgo a trabajos relacionados con el sector de la construcción, de la investigación o de la energía nuclear, este último aún presente por lo ocurrido en Japón el pasado marzo. Pero la seguridad en el trabajo va más allá del ámbito de la salud. Los riesgos pueden tener un impacto negativo en el desempeño de sus funciones y en el plano financiero.

¿Qué es un consultor de seguridad? Aunque los hay de todo tipo, informática, industrial, logística…, su función puede definirse como la del profesional que ayuda a las empresas a identificar y administrar los riesgos en todos los niveles de la organización. Entre otros servicios, estos profesionales llevan a cabo diagnósticos de seguridad, planes de gestión de emergencias, seguridad patrimonial y de la información, y protección de infraestructuras críticas como centrales nucleares o aeropuertos.

Formación
El perfil que se requiere para esta profesión es muy amplio. Desde Prosegur comentan que aunque fundamentalmente abarca ingenieros informáticos, industriales o de telecomunicaciones, también resulta muy interesante incorporar a licenciados en Administración y Dirección de Empresas, Económicas y Derecho.

La mayoría de las personas que desempeñan esta labor cuentan con la titulación de director de seguridad o han realizado algún master en gestión de riesgos corporativos y reputacionales, seguridad de la información o continuidad de negocio. Sin embargo, hay que tener en cuenta que para los proyectos de gestión de la seguridad en emergencias es imprescindible contar con la titulación de técnico superior en prevención de riesgos laborales.

Otros programas formativos muy valorados son aquellos relacionados con la protección contra incendios, seguridad en museos y patrimonio histórico, seguridad en cadenas logísticas y retail, transporte de mercancías peligrosas o seguridad aeroportuaria y marítima, y otras áreas de actividad empresarial que requieren de un enfoque y una visión más especializada.

Ser consultor de seguridad es una profesión en alza debido a distintos factores que están impulsando esta actividad. Fuentes de Prosegur afirman que “los nuevos modelos de ‘convergencia de seguridad’ (unión de los procedimientos de gestión de la seguridad física y la seguridad lógica en las empresas) demandan un experto capaz de definir procedimientos y políticas que integren la seguridad tradicional de los activos físicos de las organizaciones, con los sistemas de protección de los activos de información”.

Asimismo, no hay que olvidar que el Gobierno y otros organismos europeos impulsan nuevas normativas regulatorias relacionadas con la seguridad, como pueden ser la Ley Orgánica de Protección de Datos (LOPD), el esquema nacional de seguridad (ENS) o el Plan Nacional de Infraestructuras Críticas (PNPIC), que exigen a las empresas la contratación de consultores expertos que les ayuden en la definición y puesta en marcha de estas iniciativas.

Por último, la globalización fomenta cada vez más la creación de modelos de seguridad estandarizados para la misma empresa en aquellos países en los que desarrolla su actividad. Esto exige un conocimiento experto de distintas legislaciones, procedimientos autorizados y una visión de eficiencia tecnológica y operacional muy concisa.

Salidas profesionales
La industria de la seguridad cuenta con atractivas tasas de crecimiento en los últimos años y se prevé que entre 2012 y 2017 ese crecimiento sea del 8,5% anual. Aunque probablemente Estados Unidos va a mantener su posición como primer mercado del mundo, las previsiones indican que Brasil, China, India y Rusia representarán el 22% del crecimiento del mercado entre 2009 y 2014. Además, mercados de menor volumen como Israel, Singapur y Turquía experimentarán un aumento notable. España tampoco se queda atrás. Se estima que las normativas promovidas desde la Administración, impulsarán la contratación de este tipo de profesionales.

Vía Expansión

Las redes sociales y los dispositivos móviles, los nuevos riesgos de las empresas

Las redes sociales y los dispositivos móviles son los nuevos riesgos para la seguridad de la información de las empresas, según se desprende de la Encuesta Global de la Seguridad de la Información 2012, elaborada por PwC, CIO Magazine y CSO Magazine entre más de 9.600 ejecutivos, 324 en España, y responsables de seguridad de la información y TI de 138 países de todo el mundo.

Según este estudio, el 57% de los entrevistados reconoce que aún no dispone de una estrategia de seguridad para el uso que los trabajadores hacen de sus dispositivos personales, en los que se incluyen los móviles o tablets y las redes sociales.
Por su parte, los encuestados españoles muestran un desarrollo inferior en este ámbito, ya que el 62,5% afirma que no tiene estrategia al respecto. Sin embargo, las compañías están trabajando en la implementación de dichas estrategias a medida que se generaliza el uso de las tecnologías móviles y de la web 2.0 entre sus profesionales. Además, muchas empresas ya están creando guías de cómo sus empleados deben utilizar esas tecnologías.
Cloud computing
Respecto al cloud computing, la encuesta señala que, pese a la idea generalizada de que puede provocar problemas de seguridad, se están mejorando los sistemas de seguridad que implementa. Así lo expresa el 54% (45,8% en España) de los entrevistados frente al 23% (30,2% en España) que opina que la seguridad de esta tecnología se está debilitando.
El mayor riesgo asociado al uso del cloud radica en la incertidumbre que tienen las compañías a la hora de hacer cumplir al proveedor con los protocolos y políticas de seguridad, la dificultad en la auditoría, la problemática del control de privilegios de acceso o su difícil localización geográfica.

 

Vía Cryptex

A %d blogueros les gusta esto: