Archivos Mensuales: junio 2012

Las 25 contraseñas más utilizadas: ¿Cómo escoger una buena contraseña?

 Con los recientes ataques a Linked In, los hacker del gobierno y las miles de cuentas robadas en diferentes redes sociales y servicios de correo… Nos estamos preocupando más y más sobre nuestra seguridad en la web.
Nuestra primera preocupación siempre es sobre nuestras contraseñas o “passwords”. Siempre hemos recomendado por esta vía utilizar números, letras y signos en una sola clave, al igual que utilizar diferentes claves para diferentes servicios no vaya a ser que por mala suerte adivinen nuestra clave y pongamos una variedad de cuentas en manos de nuestro atacante.
Usualmente los usuarios utilizan contraseñas con palabras sencillas o números que van del 1 al 8. Por eso les dejo una lista de las 25 contraseñas más usadas que aparece en la lista 10,000 Top Passwords del consultor de seguridad Mark Burnett.
Más del 14% de los usuarios tienen contraseñas del top 10 y el 9.8% de los usuarios tienen la clave “123456″ y “12345678″.
Pero no todo se trata de tener una buena clave, debemos tomar en cuenta las preguntas de seguridad. En una reciente entrevista que leí en GQ, realizada al responsable de muchas de las fotos desnudas de celebridades de Hollywood que fueron filtradas a la web durante los últimos dos años (Ej: Scarlett Johannson), el hacker confiesa que entrar a las cuentas se le hacía muy fácil ya que mucha de las respuestas a las preguntas de seguridad (preguntas que aparecen luego de intentar entrar a una cuenta de correo) se encuentran en la web.

5 reglas para escoger una buena contraseña

Al momento de escoger una contraseña segura solo aplican pocas reglas:
1. Mezcla mayúsculas y minúsculas.
2. Utiliza por lo menos un número.
3. Agrega un signo de puntuación.
4. Escoge algo privado. Algo que solo tu conozcas.
5. Mientras más largo mejor (sí, chinazo).
Pueden probar la dificultad de su contraseña en este site de Microsoft que nos ayuda a crear un password seguro: Microsoft Password Checker

Las 25 contraseñas más utilizadas

  1. password
  2. 123456
  3. 12345678
  4. 1234
  5. qwerty
  6. 12345
  7. dragon
  8. pussy
  9. baseball
  10. football
  11. letmein
  12. monkey
  13. 696969
  14. abc123
  15. mustang
  16. michael
  17. shadow
  18. master
  19. jennifer
  20. 111111
  21. 2000
  22. jordan
  23. superman
  24. harley
  25. 1234567
Si tienen una de estas contraseñas, no dejen de seguir las 5 reglas anteriores y cambiarla lo antes posible.

Vía Cryptex

Anuncios

Los profesionales de TI de seguridad siguen temiendo al personal de su propia organización cuando se trata de violaciones de datos.

seguridad de datos

En la feria Infosecurity del mes pasado en Londres, 300 asistentes fueron encuestados acerca de sus temores sobre la violación de datos, y el 71 por ciento dijo que su propio personal es el que plantea la mayor amenaza para sus datos.

Ellos superan con creces la amenaza de los piratas informáticos (28 por ciento), los consultores y otros terceros (siete por ciento), y sólo el cinco por ciento citó los organismos gubernamentales nacionales o extranjeros.

Cuando se trata de gobiernos, el gobierno chino es el más temido, con los gobiernos de EE.UU. y Rusia muy por detrás, y el gobierno del Reino Unido ligeramente por detrás de estos dos.

Cuando se buscan formas de mejorar la seguridad, el 83 por ciento cree que la comunidad de código abierto podría colaborar mejor.

Barmak Meftah, director ejecutivo de la empresa de código abierto de protección de datos de sistemas, AlienVault, la que hizo la encuesta, dijo: “Reconocemos que el camino para vencer a los piratas informáticos es facilitar la colaboración entre todos los miembros de la comunidad de seguridad”.

“Sin embargo, el talento y las aportaciones de la comunidad de código abierto en particular, son fundamentales. Ellos están en la primera línea de la innovación y representan un universo muy diverso de organizaciones y geografías”.

El Reino Unido necesita a más personas jóvenes que ingresen a la profesión de “seguridad de las TI” si se quiere evitar una escasez de habilidades en un futuro próximo, de acuerdo con el representante especial del gobierno frente a las empresas de seguridad cibernética.

“Hay demasiadas personas mayores de 40 años que trabajan en esta área y no suficientes en sus veinte años”, dijo la baronesa Pauline Neville-Jones a los delegados de la conferencia ITEC en Londres la semana pasada.

Por Anthony Savvas, Computerworld Reino Unido

Vía PC World

¿Qué es ISO 22301?

El nombre completo de esta norma es ISO 22301:2012 Seguridad de la sociedad – Sistemas de gestión de la continuidad del negocio – Requisitos. Esta norma fue redactada por los principales especialistas en el tema y proporciona el mejor marco de referencia para gestionar la continuidad del negocio en una organización.
Relación con BS 25999-2
La ISO 22301 ha reemplazado a la 25999-2. Estas dos normas son bastante similares, pero la ISO 22301 puede ser considerada como una actualización de la BS 25999-2. Para conocer las diferencias entre ambas, por favor, consulte la infografía ISO 22301 vs. BS 25999-2.
¿Cuáles son los beneficios de la continuidad del negocio?
Si se implementa correctamente, la gestión de la continuidad del negocio disminuirá la posibilidad de ocurrencia de un incidente disruptivo y, en caso de producirse, la organización estará preparada para responder en forma adecuada y, de esa forma, reducir drásticamente el daño potencial de ese incidente.

¿Quién puede implementar esta norma?
Cualquier organización, grande o pequeña, con o sin fines de lucro, privada o pública. La norma está concebida de tal forma que es aplicable a cualquier tamaño o tipo de organización.

¿Cómo encaja la continuidad del negocio en la gestión general?
La continuidad del negocio es parte de la gestión general del riesgo en una compañía y tiene áreas superpuestas con la gestión de seguridad y tecnología de la información.

¿Qué es ISO 22301?

Vía Cryptex

Revelar tu contraseña de Facebook pone en riesgo tu Seguridad

En los últimos años las redes sociales han cambiado totalmente la forma de ver e interactuar con el mundo… incluso la forma de entrevistar y contratar a una persona por parte de una empresa. En el año 2009, la ciudad de Bozeman, Montana se encontraba ante el peor escándalo público que surgió cuando en los medios se dio a conocer la noticia de que los miembros del gabinete tenían la astucia de solicitar como requisito brindar acceso a las redes sociales de toda aquella persona que aplicaba a ocupar cualquier cargo en la administración.

 Esos eran los buenos tiempos.

 La cuestión una vez más llegó a la atención pública debido a que en las últimas semanas surgieron diversos reportajes en las noticias que comenzaron a indicar que cada vez más empleadores siguen ese ejemplo, y que el demandar las contraseñas de las redes sociales de los usuarios se está convirtiendo cada vez más en una práctica de contratación aceptada.

 En una historia, la Asociated Press ilustra esta creciente tendencia de gerentes que solicitan información de acceso a Facebook para evaluar a los empleados potenciales como parte de la entrevista. El artículo señala el caso particular de Justin Bassett, a quien en su entrevista de trabajo se le solicitó la información de acceso a su Facebook. A raíz de esta petición, Bassett abandonó la entrevista y sostuvo que él no quería trabajar para una empresa que cometiera tal atropello y esa clara violación a su privacidad. Pero no todos pueden darse ese lujo.

Del mismo modo, otra historia publicada en la revista PC Magazine ilustra una tendencia que se ha dado a conocer como la “navegación por encima del hombro”, la cual consiste en pedir a un empleado potencial iniciar su sesión de Facebook, mientras es observado por encima de su hombro al navegar y dar click en fotos, videos y actualizaciones de su estado en búsqueda de cualquier material comprometedor o potencialmente escandaloso.

 Facebook atendió a esta tendencia en un blog que subraya que, además de una serie de violaciones a la privacidad, los empleadores están en riesgo de una mayor responsabilidad legal por conocer la información personal del candidato (como lo es la edad de un usuario, su herencia, afinidades políticas, religiosas o alguna discapacidad), que podría involucrarlos en algún momento en una demanda por discriminación si el candidato no obtuviera el trabajo. En este sentido, Facebook mantiene en un blog que la solicitud de una contraseña de Facebook a empleados o candidatos a un empleo resulta en una violación flagrante de los términos establecidos por la red social y sus condiciones.

 Pero además de las numerosas ramificaciones legales (que son muchas), los empleados también se están sometiendo a un sin fin de problemas de seguridad mediante la entrega de las llaves de acceso a su reino de Facebook.

 En primer lugar, las reglas de seguridad dictan que si algún usuario no autorizado ha accedido a su contraseña de la cuenta, usted está obligado a cambiar de inmediato todas sus credenciales de inicio de sesión. Así que entonces, ¿por qué no hacer ese cambio cuando ha compartido los nombres de usuario de Facebook y acceso a un gerente de recursos humanos que no conoce y al que probablemente no le tiene plena confianza?

 Lo qué ha resultado de las discusiones populares es el hecho de que no no se deben revelar las contraseñas sensibles a nadie. Nunca. Eso incluye a su mamá, sus hijos, y desde luego, principalmente a personas desconocidas.

 Cuando los usuarios pierden sus contraseñas, desconocen de qué forma serán utilizadas, o quién va a acceder a su cuenta posteriormente. Quién puede decir si la persona de recursos humanos de la organización o el personal directivo se pondrán a husmear en su perfil de Facebook sólo por el gusto de hacerlo, incluso después de haber aceptado o declinado el trabajo. O es posible que alguien pueda publicar algo humillante o inadecuado en su muro. Después de todo, ellos cuentan con las contraseñas de inicio de sesión.

“Incluso si uno no acepta el trabajo, les ha dado la contraseña. Pueden incluso realmente cambiar su contraseña sin su conocimiento, o eliminar su cuenta “, comentó Axelle Aprville, analista e investigador senior de antivirus de Fortinet.

 Además, muchos usuarios tienen las mismas contraseñas para múltiples cuentas sensibles como su cuenta bancaria y Pay Pal, dijo Rob Ayoub, evangelista de seguridad de Fortinet.

 “Una vez que un usuario proporciona su contraseña a recursos humanos, la persona de recursos humanos podría tener acceso a muchos más datos sensibles. Claro, la respuesta es fácil  – uno debe cambiar la contraseña. Pero, ¿realmente los usuarios saben esto o piensan en ello?”, dijo Ayoub. “Esto también trae a colación el pensamiento de que tal vez deberíamos estar utilizando autenticación fuerte para acceder a sistemas tan íntimos y personales como Facebook.”

 “En el mejor de los casos donde la gente no reusa su contraseña, con frecuencia utilizan cierto tipo de lógica que ofrece pistas valiosas para iniciar sesión en otros sitios web”, agregó Apvrille de Fortinet. “Por ejemplo. Imaginen si mi contraseña de Facebook es “Facebook4ax, adivina cuál es mi contraseña para LinkedIn? No es tan difícil ‘Linkedin4ax. Para Gmail? ‘Gmail4ax. Para Twitter? ‘Twitter4ax,’ etc… usted sigue la lógica”.

 Mientras tanto, casi todas las cuentas de Facebook contienen una gran cantidad de información de identificación personal – edad, fecha de nacimiento, dirección, números de teléfono y los lugares que frecuenta –  que puede potencialmente ser utilizado en el robo de identidad. Al entregar la contraseña es como si entregara las llaves de su casa a su jefe y decir “No dude en consultar libremente mis estados de cuenta de la tarjeta de crédito y asegúrese de abrir todos mis diarios.”

 Y aunque la mayoría de los gerentes y el personal de recursos humanos son personas honestas (que por supuesto, lo son), no hay forma de determinar si la seguridad de la computadora que alberga la base de datos de credenciales de Facebook es robusta. Si el equipo o cualquier otra aplicación en la máquina contiene una vulnerabilidad de seguridad, cualquier información almacenada se encuentra en riesgo de caer en manos de hackers si el equipo llega a ser infectado con un botnet, o algún troyano que robe información o un keylogger.

 Con el fácil acceso a un botín de registros de login de Facebook, un botnet podría poner en riesgo el perfil de un usuario mediante un enlace infectado, y con ello pondría en riesgo a todos los contactos de la víctima. O los hackers simplemente por hacer la maldad podrían publicar las claves a través de Internet, junto con una nota sarcástica, como una especie de declaración política. Que no nos extrañe, las cosas más extrañas ya están sucedido.

La buena noticia es que la práctica de solicitar contraseñas de Facebook ha sido recibida con una fuerte reacción en contra que está creciendo cada vez más, a pesar de que recientemente algunos representantes gubernamentales se negaron a promover una ley que impida a las organizaciones a demandar sus logins a prospectos y futuros empleados.

 El hecho de que las encuestas muestran que una gran mayoría de usuarios se oponen fuertemente a estas prácticas de contratación, es prueba de que la cuestión de la privacidad del usuario no será derrotada sin pelear. Pero por ahora, eso es todo lo que podemos esperar.

Vía Fortinet

A %d blogueros les gusta esto: