En 22/4/2008 se llevó a cabo reunión conjunta entre las comisiones de Comunicaciones e Informática y de Legislación Penal, de la Cámara de Diputados de la Nación. Se analizo el proyecto de delitos informáticos con media sanción del Senado y se decidió aprobarlo.
En concreto el proyecto penaliza la pedofilia a través de Internet, la violación a la privacidad en sus mas diversas formas, la interceptación de correo electrónico, el daño informático, la estafa informática, la fabricación y distribución de virus, la interrupción de comunicaciones (incluyendo los ataques tipo DoS), la alteración de pruebas en soportes informáticos y las falsedades digitales. Es mas que esperado teniendo en cuenta que el código penal data de 1921!!!!
Aquí encontrarán un breve informe mío sobre el proyecto (PDF), que es válido para la versión final de la ley porque ésta no tendrá cambios aparentemente. A fines de mayo entonces habrá ley de delitos informáticos en la República Argentina. Vaya un agradecimiento para los numerosos congresistas, sus asesores, expertos, académicos, penalistas, empresas, y organizaciones que apoyaron el proyecto y su trámite.
Fuente:
http://www.delitosinformaticos.com.ar/blog/2008/04/22/avanza-el-proyecto-de-ley-de-delitos-informaticos/
lunes, 28 de abril de 2008
Vulnerabilidad explotada en Wordpress
Un agujero de seguridad recientemente descubierto podría permitir la alteración de contenidos en los blogs que usan Wordpress, permitiendo incluir en los mismos códigos maliciosos.
WordPress es un manejador de contenidos que es utilizado ampliamente para crear y actualizar blogs. Ha sido desarrollado en lenguaje PHP y MySQL. Gran parte de su popularidad se debe a su facilidad de uso y a los complementos (plugins) diseñados por terceros.
La vulnerabilidad ha sido reportada en el complemento WordPress Spreadsheet Plugin (wpSS), que permite manejar hojas de cálculo en el contenido y realizar búsquedas de datos mediante consultas SQL.
SQL (System Query Language) es un lenguaje de programación estructurado que está orientado a consultas de una base de datos. El mismo permite realizar consultas en forma rápida y fácil.
El fallo ocurre porque el sistema al realizar una búsqueda, no valida correctamente la entrada de datos, permitiendo la inclusión de comandos maliciosos en la misma (ataque de "inyección SQL").
Un atacante que se aproveche del mencionado fallo podría llegar a alterar el contenido, insertar, borrar o capturar datos del mismo.
Es vulnerable la versión 0.61 y probablemente también las anteriores. Se recomienda actualizar el complemento de hoja de cálculo a su nueva versión 0.62 que se encuentra actualizada para con un parche de seguridad que soluciona la vulnerabilidad reportada.
El crédito del descubrimiento de este fallo pertenece a "1ten0.0net1".
Pero además, los usuarios de Wordpress deben actualizarse a la nueva versión 2.5.1 que soluciona 70 fallos. Entre ellos hay una actualización de seguridad con carácter muy importante, especialmente si el blog permite la registración abierta.
Aclaramos que el complemento mencionado en este artículo no se encuentra incluido en el paquete de instalación de Wordpress, por lo que debe ser actualizado de forma independiente.
Temas relacionados
Blog del autor - Actualización de hoja de cálculo
http://timrohrer.com/blog/?page_id=71
WordPress 2.5.1
http://wordpress.org/development/2008/04/wordpress-251/
Fuente:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=992
http://blogs.eset-la.com/laboratorio/2008/04/16/blogs-wordpress-peligro/
WordPress es un manejador de contenidos que es utilizado ampliamente para crear y actualizar blogs. Ha sido desarrollado en lenguaje PHP y MySQL. Gran parte de su popularidad se debe a su facilidad de uso y a los complementos (plugins) diseñados por terceros.
La vulnerabilidad ha sido reportada en el complemento WordPress Spreadsheet Plugin (wpSS), que permite manejar hojas de cálculo en el contenido y realizar búsquedas de datos mediante consultas SQL.
SQL (System Query Language) es un lenguaje de programación estructurado que está orientado a consultas de una base de datos. El mismo permite realizar consultas en forma rápida y fácil.
El fallo ocurre porque el sistema al realizar una búsqueda, no valida correctamente la entrada de datos, permitiendo la inclusión de comandos maliciosos en la misma (ataque de "inyección SQL").
Un atacante que se aproveche del mencionado fallo podría llegar a alterar el contenido, insertar, borrar o capturar datos del mismo.
Es vulnerable la versión 0.61 y probablemente también las anteriores. Se recomienda actualizar el complemento de hoja de cálculo a su nueva versión 0.62 que se encuentra actualizada para con un parche de seguridad que soluciona la vulnerabilidad reportada.
El crédito del descubrimiento de este fallo pertenece a "1ten0.0net1".
Pero además, los usuarios de Wordpress deben actualizarse a la nueva versión 2.5.1 que soluciona 70 fallos. Entre ellos hay una actualización de seguridad con carácter muy importante, especialmente si el blog permite la registración abierta.
Aclaramos que el complemento mencionado en este artículo no se encuentra incluido en el paquete de instalación de Wordpress, por lo que debe ser actualizado de forma independiente.
Temas relacionados
Blog del autor - Actualización de hoja de cálculo
http://timrohrer.com/blog/?page_id=71
WordPress 2.5.1
http://wordpress.org/development/2008/04/wordpress-251/
Fuente:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=992
http://blogs.eset-la.com/laboratorio/2008/04/16/blogs-wordpress-peligro/
Hardware convertido en malware
Investigadores de la Universidad de Illinois probaron con éxito un nuevo tipo de ataque a los sistemas informáticos consistente en modificar las puertas lógicas de procesadores programables para que estos alberguen y ejecuten un backdoor.
Esto fue probado con éxito en un procesador programable LEON corriendo en Linux al inyectar una modificación en el firmware, cambiando una pequeña parte de las puertas lógicas que éste contiene (sólo 1341 de las más de un millón que posee el procesador).
Si bien este tipo de ataques requiere una gran organización y recursos, demuestra que existe una forma de vulnerar un equipo sin necesidad de explotar el software para acceder como un usuario legítimo. Estos procesadores reprogramables están basados en el modelo SPARC de Sun Microsystems y aún no son ampliamente utilizados, pero están orientados para servidores de gran desempeño.
Esta vulnerabilidad fue demostrada en el Usenix Workshop on Large-Scale Exploits and Emergent Threats el día 15 de abril, presentada por los investigadores Samuel T. King, Joseph Tucek, Anthony Cozzie, Chris Grier, Weihang Jiang, and Yuanyuan Zhou de la Universidad de Illinois en Urbana-Champaign, ganando el premio a la mejor presentación.
El paper que presentaron, en inglés.
Fuente: http://barrapunto.com/articles/08/04/27/0952210.shtml
Esto fue probado con éxito en un procesador programable LEON corriendo en Linux al inyectar una modificación en el firmware, cambiando una pequeña parte de las puertas lógicas que éste contiene (sólo 1341 de las más de un millón que posee el procesador).
Si bien este tipo de ataques requiere una gran organización y recursos, demuestra que existe una forma de vulnerar un equipo sin necesidad de explotar el software para acceder como un usuario legítimo. Estos procesadores reprogramables están basados en el modelo SPARC de Sun Microsystems y aún no son ampliamente utilizados, pero están orientados para servidores de gran desempeño.
Esta vulnerabilidad fue demostrada en el Usenix Workshop on Large-Scale Exploits and Emergent Threats el día 15 de abril, presentada por los investigadores Samuel T. King, Joseph Tucek, Anthony Cozzie, Chris Grier, Weihang Jiang, and Yuanyuan Zhou de la Universidad de Illinois en Urbana-Champaign, ganando el premio a la mejor presentación.
El paper que presentaron, en inglés.
Fuente: http://barrapunto.com/articles/08/04/27/0952210.shtml
Crece el mercado de seguridad de redes informáticas
Los factores son el aumento gradual de la vulnerabilidad de las redes y la brecha entre la demanda y la capacidad de los proveedores de dar soluciones.
Los crecientes ataques informáticos a nivel mundial, sumado a una mayor conciencia respecto a la necesidad de infraestructuras de seguridad completas y sólidas, incrementó en forma significativa la demanda de soluciones de seguridad de redes desde 2004 en América latina, de acuerdo a un informe privado.
Otro factor que impulsó este mercado ha sido el aumento del trabajo móvil, que requiere mejores soluciones de seguridad para proteger a las computadoras portátiles, teléfonos inteligentes y PDAs.
El análisis de la consultora Frost & Sullivan, "Mercados de Seguridad de Redes en América Latina", señala que el mercado obtuvo ingresos por 186,1 millones de dólares en 2007 y se estima que llegará a 598,4 millones de dólares en 2013.
Esta proyección resulta especialmente reveladora al considerar que la mayoría de los proveedores de seguridad de redes comenzó sus operaciones en América Latina a principios de 2000, y que la región comenzó a invertir significativamente en soluciones de seguridad recién en 2002.
"Algunos de los factores esenciales del mercado de seguridad de redes en América Latina son el crecimiento gradual de la vulnerabilidad de las redes, y la brecha entre la demanda y la capacidad de los proveedores de ofrecer soluciones adecuadas", señala Marcelo Kawanami, Gerente de Industria de Frost & Sullivan.
"A medida que la infraestructura de TI se hace más compleja, se necesitarán soluciones más robustas para asegurar su protección", agregó.
En el corto plazo, se espera que se fortalezcan dos tendencias actuales: el paso de soluciones IDS a IPS y el paso de IPSec VPN a soluciones SSL VPN. Ambos, IPS y SSL VPN, son tecnologías modernas y, por lo tanto, incluyen capacidades avanzadas.
Además, los paquetes que integran múltiples soluciones en un sólo producto están creciendo en popularidad y empujando el despliegue del mercado. En consonancia con la tendencia mundial, la mayoría de los proveedores de América Latina está desarrollando dispositivos de gestión unificada de amenazas (UTM, por sus siglas en inglés) como una forma de penetrar mejor en las pequeñas y medianas empresas que comienzan a interesarse por la seguridad de redes.
"Es probable que el paisaje competitivo usual de la seguridad de redes global en América Latina sufra cambios considerables en los próximos años, sobre todo en el espacio de VPN SSL", advierte Kawanami. "Al mismo tiempo, el espacio competitivo actual está muy concentrado, con el 50 por ciento del mercado en manos de dos de los principales participantes", agregó.
Fuente:
http://www.infobaeprofesional.com/notas/65280-Crece-el-mercado-de-seguridad-de-redes-informaticas.html
Los crecientes ataques informáticos a nivel mundial, sumado a una mayor conciencia respecto a la necesidad de infraestructuras de seguridad completas y sólidas, incrementó en forma significativa la demanda de soluciones de seguridad de redes desde 2004 en América latina, de acuerdo a un informe privado.
Otro factor que impulsó este mercado ha sido el aumento del trabajo móvil, que requiere mejores soluciones de seguridad para proteger a las computadoras portátiles, teléfonos inteligentes y PDAs.
El análisis de la consultora Frost & Sullivan, "Mercados de Seguridad de Redes en América Latina", señala que el mercado obtuvo ingresos por 186,1 millones de dólares en 2007 y se estima que llegará a 598,4 millones de dólares en 2013.
Esta proyección resulta especialmente reveladora al considerar que la mayoría de los proveedores de seguridad de redes comenzó sus operaciones en América Latina a principios de 2000, y que la región comenzó a invertir significativamente en soluciones de seguridad recién en 2002.
"Algunos de los factores esenciales del mercado de seguridad de redes en América Latina son el crecimiento gradual de la vulnerabilidad de las redes, y la brecha entre la demanda y la capacidad de los proveedores de ofrecer soluciones adecuadas", señala Marcelo Kawanami, Gerente de Industria de Frost & Sullivan.
"A medida que la infraestructura de TI se hace más compleja, se necesitarán soluciones más robustas para asegurar su protección", agregó.
En el corto plazo, se espera que se fortalezcan dos tendencias actuales: el paso de soluciones IDS a IPS y el paso de IPSec VPN a soluciones SSL VPN. Ambos, IPS y SSL VPN, son tecnologías modernas y, por lo tanto, incluyen capacidades avanzadas.
Además, los paquetes que integran múltiples soluciones en un sólo producto están creciendo en popularidad y empujando el despliegue del mercado. En consonancia con la tendencia mundial, la mayoría de los proveedores de América Latina está desarrollando dispositivos de gestión unificada de amenazas (UTM, por sus siglas en inglés) como una forma de penetrar mejor en las pequeñas y medianas empresas que comienzan a interesarse por la seguridad de redes.
"Es probable que el paisaje competitivo usual de la seguridad de redes global en América Latina sufra cambios considerables en los próximos años, sobre todo en el espacio de VPN SSL", advierte Kawanami. "Al mismo tiempo, el espacio competitivo actual está muy concentrado, con el 50 por ciento del mercado en manos de dos de los principales participantes", agregó.
Fuente:
http://www.infobaeprofesional.com/notas/65280-Crece-el-mercado-de-seguridad-de-redes-informaticas.html
El mecanismo UAC de Windows Vista, poco seguro
Los desarrolladores de la pequeña utilidad iReboot han demostrado que el mecanismo de seguridad User Account Control que trata de ofrecer protección de privilegios en Windows Vista es un sistema poco eficiente y fácilmente hackeable.
Todo surgió a raíz de un problema con esta utilidad, que los desarrolladores no lograban hacer funcionar en Windows Vista porque la versión 1.0 entraba en conflicto con el mecanismo UAC que trata de proteger ciertas acciones del sistema operativo que sólo el administrador del sistema debería poder realizar.
La aplicación permite reiniciar el sistema operativo, pero además también nos permite seleccionar el sistema operativo con el cual queremos reiniciar nuestro PC. Tras investigar porqué la herramienta no se iniciaba automaticamente, sus desarrolladores se dieron cuenta que la culpa era de UAC, y se pusieron a resolver el problema. Fue en ese punto cuando descubrieron que el mecanismo de seguridad no era tan seguro como muchos podríamos pensar.
“Las limitaciones de seguridad recién implementadas en Windows Vista son como mucho artificiales, fáciles de sobrepasar, y que sólo dan la impresión de seguridad”, escribían los desarrolladores de iReboot en su blog.
Fuente:
http://www.theinquirer.es/2008/04/28/el_mecanismo_uac_de_windows_vista_poco_seguro.html
http://neosmart.net/blog/2008/ireboot-and-working-around-uac-limitations/
http://www.vsantivirus.com/29-04-08.htm
Todo surgió a raíz de un problema con esta utilidad, que los desarrolladores no lograban hacer funcionar en Windows Vista porque la versión 1.0 entraba en conflicto con el mecanismo UAC que trata de proteger ciertas acciones del sistema operativo que sólo el administrador del sistema debería poder realizar.
La aplicación permite reiniciar el sistema operativo, pero además también nos permite seleccionar el sistema operativo con el cual queremos reiniciar nuestro PC. Tras investigar porqué la herramienta no se iniciaba automaticamente, sus desarrolladores se dieron cuenta que la culpa era de UAC, y se pusieron a resolver el problema. Fue en ese punto cuando descubrieron que el mecanismo de seguridad no era tan seguro como muchos podríamos pensar.
“Las limitaciones de seguridad recién implementadas en Windows Vista son como mucho artificiales, fáciles de sobrepasar, y que sólo dan la impresión de seguridad”, escribían los desarrolladores de iReboot en su blog.
Fuente:
http://www.theinquirer.es/2008/04/28/el_mecanismo_uac_de_windows_vista_poco_seguro.html
http://neosmart.net/blog/2008/ireboot-and-working-around-uac-limitations/
http://www.vsantivirus.com/29-04-08.htm
Estadísticas sobre Spam
Según investigaciones de Sophos, durante el primer trimestre de 2008 el Spam ocupó el 92.3% del total de correos electrónicos que circulan por la red.
En cuanto a sitios web, se crea uno relativo al Spam cada 3 segundos, con un total de 23,300 por día. Los servicios más usados son los gratuitos, tales como Blogger o Geocities.
Por otro lado, los servicios de correo vía web también son utilizados por los spammers, violando su sistema de CAPTCHA que pretende distinguir humanos de robots. Entre ellos encontramos a Gmail, Hotmail, etc.
Raramente, el envío de Spam desde Estados Unidos decreció, llegando a un 15%. China, por su parte, aumentó de nivel, dado lo económico de sus dominios .cn.
Fuente: Blog Antivirus
http://www.net-security.org/secworld.php?id=6056
En cuanto a sitios web, se crea uno relativo al Spam cada 3 segundos, con un total de 23,300 por día. Los servicios más usados son los gratuitos, tales como Blogger o Geocities.
Por otro lado, los servicios de correo vía web también son utilizados por los spammers, violando su sistema de CAPTCHA que pretende distinguir humanos de robots. Entre ellos encontramos a Gmail, Hotmail, etc.
Raramente, el envío de Spam desde Estados Unidos decreció, llegando a un 15%. China, por su parte, aumentó de nivel, dado lo económico de sus dominios .cn.
Fuente: Blog Antivirus
http://www.net-security.org/secworld.php?id=6056
4.000 historias clínicas de abortos se filtran en la Red a través de eMule
Protección de Datos sanciona con 150.000 euros a un centro médico de Bilbao.
Descargarse música o películas desde el ordenador del trabajo a través de un programa de intercambio de archivos puede tener efectos trágicos y no calculados, causados por quien quizá sólo pretendía meter en su MP3 una canción de David Bisbal. Un error de este tipo ha podido provocar que 11.300 historias clínicas, de ellas 4.000 de casos de aborto, acaben expuestos ante cualquier internauta.
El desconocimiento tecnológico de algún empleado de una clínica ginecológica pudo llevarle a poner a disposición del programa eMule (el más popular de intercambio de archivos entre particulares), y por lo tanto al alcance de millones de personas, todos estos datos, contenidos en una carpeta del disco duro de su ordenador. No se sabe con exactitud quién ha sido el culpable, ni las razones de la filtración, pero la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a la clínica, el centro médico Lasaitasuna, en Bilbao, con 150.000 euros. Todavía están en plazo para recurrir la resolución.
No es un caso único. Es el tercero que sanciona Protección de Datos, que tiene abiertos, además, otros 19 expedientes por asuntos similares. Éste es especialmente grave. Se trata de datos médicos ginecológicos y de urología y, en 4.000 casos, son historias clínicas relacionadas con interrupciones voluntarias del embarazo, extremadamente sensibles y cuya divulgación afecta a la intimidad de las mujeres. El centro médico ha declinado hacer declaraciones, pero sus responsables afirmaron ante la Agencia de Protección de Datos que desconocían cómo el fichero había acabado en Internet a la vista de cualquiera. No sabían si había sido el error de un empleado o algo premeditado por alguna persona.
La Policía Local de Ourense fue la que encontró las historias clínicas en el eMule. Estos agentes se han convertido en una especie de guardianes de la protección de datos en la Red. Ellos han sido quienes han dado la voz de alarma en todos los expedientes abiertos en Protección de Datos en 2007 por denuncias relacionadas con el hallazgo de ficheros con datos de carácter personal en redes p2p (peer to peer, o entre iguales).
Una vez conocido el problema, Protección de Datos abrió una inspección. En el centro médico bilbaíno encontraron un fichero de gestión de pacientes igual que el que se había hallado en Internet. En el mismo se podía acceder a datos de las consultas de ginecología, vasectomías e interrupciones de embarazo por aspiración y por píldora. Los registros aparecían asociados a pacientes y a su historia clínica.
La clínica implantó de inmediato en su sistema informático medidas de seguridad de nivel alto. Pero por la filtración de los datos ha sido sancionada por "infracción muy grave" con una multa de 150.000 euros. La sanción podía haber sido mayor -la Ley de Protección de Datos castiga este tipo de infracciones con multas de 300.000 a 600.000 euros-, pero se moderó por la colaboración mostrada por la titular del centro a lo largo del procedimiento, que desarrolló "una extensa actividad para evitar la comisión de infracciones en materia de protección de datos de carácter personal", según la resolución de la agencia.
"En este caso se trata de un error inexcusable de la clínica, que no tenía las medidas de seguridad necesarias para evitar que se produzca una gravísima filtración de estas características", explica el director de la Agencia de Protección de Datos, Artemi Rallo. "Pero hay que hacer un llamamiento global, lo más alto y claro posible, a todas las empresas, hospitales, bancos, guarderías, colegios, para que extremen las garantías y las cautelas y revisen sus sistemas. Hay que hacer una política activa de formación, información y concienciación. La sociedad de la información tiene ciertos riesgos que deben controlarse, y con estos casos quedan en evidencia las limitaciones de muchos ciudadanos a la hora de usar correctamente las herramientas tecnológicas", añade.
Los consejos de Protección de Datos para evitar estos casos son los siguientes: en primer lugar, que la empresa, centro o administración analice si es estrictamente necesario, por razón de los trabajos que se desempeñan, que sus equipos informáticos tengan un software de intercambio de archivos. Si no son necesarios, deben bloquearse. En segundo lugar, habría que establecer medidas adicionales de seguridad para limitar el acceso de los trabajadores a datos tan delicados como los relativos a salud o a los menores.
Protección de Datos ha abierto 21 expedientes en 2007 por filtraciones de datos personales a Internet. Uno de los ficheros encontrados contenía datos de los miembros y directivos de una comunidad religiosa; otro hablaba de solicitantes de adopciones internacionales; otro, de miembros de un sindicato. Cinco se referían a datos de clientes de la empresa, tres a historias clínicas filtradas a la Red y otras cinco a datos personales de recursos humanos.
"Las administraciones públicas, que son las que promueven la sociedad de la información, tienen que promover en paralelo políticas de concienciación y prevención", concluye Artemi Rallo. "Éstos son errores fatales que se pueden evitar con información suficiente. Los ciudadanos tienen que ser conscientes de que a las descargas en Internet las carga el diablo".
Fuente: http://www.elpais.com/articulo/sociedad/4000/historias/clinicas/abortos/filtran/Red/traves/eMule/elpepisoc/20080425elpepisoc_3/Tes
Descargarse música o películas desde el ordenador del trabajo a través de un programa de intercambio de archivos puede tener efectos trágicos y no calculados, causados por quien quizá sólo pretendía meter en su MP3 una canción de David Bisbal. Un error de este tipo ha podido provocar que 11.300 historias clínicas, de ellas 4.000 de casos de aborto, acaben expuestos ante cualquier internauta.
El desconocimiento tecnológico de algún empleado de una clínica ginecológica pudo llevarle a poner a disposición del programa eMule (el más popular de intercambio de archivos entre particulares), y por lo tanto al alcance de millones de personas, todos estos datos, contenidos en una carpeta del disco duro de su ordenador. No se sabe con exactitud quién ha sido el culpable, ni las razones de la filtración, pero la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a la clínica, el centro médico Lasaitasuna, en Bilbao, con 150.000 euros. Todavía están en plazo para recurrir la resolución.
No es un caso único. Es el tercero que sanciona Protección de Datos, que tiene abiertos, además, otros 19 expedientes por asuntos similares. Éste es especialmente grave. Se trata de datos médicos ginecológicos y de urología y, en 4.000 casos, son historias clínicas relacionadas con interrupciones voluntarias del embarazo, extremadamente sensibles y cuya divulgación afecta a la intimidad de las mujeres. El centro médico ha declinado hacer declaraciones, pero sus responsables afirmaron ante la Agencia de Protección de Datos que desconocían cómo el fichero había acabado en Internet a la vista de cualquiera. No sabían si había sido el error de un empleado o algo premeditado por alguna persona.
La Policía Local de Ourense fue la que encontró las historias clínicas en el eMule. Estos agentes se han convertido en una especie de guardianes de la protección de datos en la Red. Ellos han sido quienes han dado la voz de alarma en todos los expedientes abiertos en Protección de Datos en 2007 por denuncias relacionadas con el hallazgo de ficheros con datos de carácter personal en redes p2p (peer to peer, o entre iguales).
Una vez conocido el problema, Protección de Datos abrió una inspección. En el centro médico bilbaíno encontraron un fichero de gestión de pacientes igual que el que se había hallado en Internet. En el mismo se podía acceder a datos de las consultas de ginecología, vasectomías e interrupciones de embarazo por aspiración y por píldora. Los registros aparecían asociados a pacientes y a su historia clínica.
La clínica implantó de inmediato en su sistema informático medidas de seguridad de nivel alto. Pero por la filtración de los datos ha sido sancionada por "infracción muy grave" con una multa de 150.000 euros. La sanción podía haber sido mayor -la Ley de Protección de Datos castiga este tipo de infracciones con multas de 300.000 a 600.000 euros-, pero se moderó por la colaboración mostrada por la titular del centro a lo largo del procedimiento, que desarrolló "una extensa actividad para evitar la comisión de infracciones en materia de protección de datos de carácter personal", según la resolución de la agencia.
"En este caso se trata de un error inexcusable de la clínica, que no tenía las medidas de seguridad necesarias para evitar que se produzca una gravísima filtración de estas características", explica el director de la Agencia de Protección de Datos, Artemi Rallo. "Pero hay que hacer un llamamiento global, lo más alto y claro posible, a todas las empresas, hospitales, bancos, guarderías, colegios, para que extremen las garantías y las cautelas y revisen sus sistemas. Hay que hacer una política activa de formación, información y concienciación. La sociedad de la información tiene ciertos riesgos que deben controlarse, y con estos casos quedan en evidencia las limitaciones de muchos ciudadanos a la hora de usar correctamente las herramientas tecnológicas", añade.
Los consejos de Protección de Datos para evitar estos casos son los siguientes: en primer lugar, que la empresa, centro o administración analice si es estrictamente necesario, por razón de los trabajos que se desempeñan, que sus equipos informáticos tengan un software de intercambio de archivos. Si no son necesarios, deben bloquearse. En segundo lugar, habría que establecer medidas adicionales de seguridad para limitar el acceso de los trabajadores a datos tan delicados como los relativos a salud o a los menores.
Protección de Datos ha abierto 21 expedientes en 2007 por filtraciones de datos personales a Internet. Uno de los ficheros encontrados contenía datos de los miembros y directivos de una comunidad religiosa; otro hablaba de solicitantes de adopciones internacionales; otro, de miembros de un sindicato. Cinco se referían a datos de clientes de la empresa, tres a historias clínicas filtradas a la Red y otras cinco a datos personales de recursos humanos.
"Las administraciones públicas, que son las que promueven la sociedad de la información, tienen que promover en paralelo políticas de concienciación y prevención", concluye Artemi Rallo. "Éstos son errores fatales que se pueden evitar con información suficiente. Los ciudadanos tienen que ser conscientes de que a las descargas en Internet las carga el diablo".
Fuente: http://www.elpais.com/articulo/sociedad/4000/historias/clinicas/abortos/filtran/Red/traves/eMule/elpepisoc/20080425elpepisoc_3/Tes
Compra un auto y regala tu información
Gracias al reporte de Sara, comento una actividad que se viene dando en distintos países desde hace tiempo. Estafas en la venta de autos y otros productos.
Existe una red de estafadores que publican autos a precios increibles y al contactarte con ellos envian un correo con fotos de avisos publicados en Internet en forma normal como también los nombres de las personas reales. Hacen sus avisos tentadores, crean páginas falsas de empresas de comercio electrónico como MercadoLibre, DeRemate, MásOportunidades, DeAutos u empresas de envío de dinero logrando quedarse con el depósito.
A continuación un correo recibido de estas personas (los errores corren por cuenta del autor del correo y algunos datos ocultados):
RE: Peugeot 206 XTD 1.9 D Diesel 2006Muchas páginas con este tipo de anuncios son comunicados a los diarios o al sitio involucrado para que se retire dicho aviso pero el el estafador publica otro inmediatamente, siguiendo con su actividad.
De: Juan XXXX (peugeot_XXXX@yahoo.es)
Enviado: martes, 12 de febrero de 2008 07:38:26 p.m.
Para: Sara (saraXXXX@hotmail.com)
Hola,
Antes que nada gracias por su interés en mi coche.El costo total por el es 6000 US dolares.
El coche es como nuevo, funccionando totalmente, no tiene ningun daño o accidente ocultado, ha sido siempre garage guardado, tiene millas bajas.
El auto esta registrado en Argentina.Soy el unico dueno en el titulo de propriedad.Por ahora el coche se encuentra en Italia.Lo que pasa es que promovieron a mi esposa recientemente así que tuvimos que trasladarnos a Italia.Trajimos el coche con nosotros, deseando nationalizarlo aquí, pero no podríamos por que fuy registrado en un pais fuera de la Union Europeea y ahora ya no se puede registrar aqui.Ademas, hay un termino plazo cuando debo pagar el impuesto de importacion a Italia y primer de todo no tengo dinero y segun, no me sirve por que aun si lo pago no lo puedo registrar aqui.Esto es el razon por lo cual lo estoy vendiendo tan barato...ES UNA OPORTUNIDAD...ademas, no tengo una persona de confianza en Argentina para mandarlo a esta persona por que si fuera asi no lo estaria vendiendo tan barato.
En caso que te decides hacer el negocio la entrega se hace con una compania de entregas que se llama Lufthansa Cargo.Vendrá con todos los papeles necesarios (el titulo de propiedad original, la cedula verde original, el formulario 08 firmado por mi y por mi mujer ante un escribano de Argentina, la verificacion policial, el contracto de la venta firmado por mi ).
Los costos del envío y los impuestos del seguro del paquete serán pagados por mí.Mi esposa trabaja por el portador(la compania que va a traer el auto desde Italia a Argentina) y su patrón nos ayudará con el envío (como parte de sus ventajas de trabajo).No vas a pagar ningun impuesto de importacion por que el auto es Argentino.
La ultima cosa...es un negocio grande y los dos de nosotros necesitamos seguridad.Lo mejor que podemos hacer es usar un intermediario que nos puede asegurar la transaccion.Y creo que lo mejor intermediario que podemos usar es MercadoLibre.Para poder empezar la transaccion a traves de mercadolibre necesito algunos datos personales de tu parte : nombre y appelido, direccion, ciudad, cp, provincia, seudonimo de mercadolibre, numero de telefono.
Piensalo y lejame saber por favor lo antes posible!
PS: Si todavía tenes dudas me puedes llamar entre las 12:00s y las 17:00, hora de Argentina y te los aclaro : 003933394198XX.
Desde aquí agradecemos este tipo de informes pero también recalcamos que nunca debe ofrecerse información privada y sobre todo si las condiciones de compra son sospechosas o hacen dudar de su veracidad. También, como usuarios, debemos considerar que si alguien "regala" algo no debe ser un regalo despues de todo y que nosotros también estamos siendo estafadores por intentar lograr un beneficio en donde nuestra ética indica actividades ilegales.
Cristian
Cuidado con las llaves de memoria USB
Un estudio indica que las unidades flash USB son inseguras. Sin embargo, uno de los componentes más importantes de esta vulnerabilidad es el sentido común: se dejan olvidados los dispositivos y no se tiene conciencia de la facilidad con que la información puede ser leída por terceros. La solución, capacitación y educación del usuario.
La empresa de tecnología SanDisk Corporation anunció los resultados de un nuevo estudio que demuestra los riesgos del uso de unidades flash USB inseguras. La encuesta realizada a usuarios finales corporativos y gerentes IT reveló que los ejecutivos no están conscientes del grado en el que las unidades flash inseguras son utilizadas en sus organizaciones: El 77% de los usuarios finales corporativos encuestados han utilizado unidades de disco flash personales para propósitos laborales. Cuando se pidió estimar el porcentaje de la fuerza laboral que utiliza unidades flash, los directores de sistemas respondieron que es de un 35%.
Los usuarios revelaron que los archivos de datos que más probabilidad tenían de ser copiados a una unidad flash personal incluyen registros de clientes (25%), información financiera (17%), planes de negocio (15%), registros de empleados (13%), planes de mercadotecnia (13%) propiedad intelectual (6%) y código fuente (6%).
Los datos de la encuesta indicaron que la portabilidad de las unidades flash USB representa un riesgo importante de pérdida de datos. Aproximadamente uno de diez usuarios corporativos (12%) reportó haber encontrado una unidad flash en un lugar público. Además, cuando se les pidió elegir tres de las cosas que más probablemente harían si se encontraran una unidad flash en un lugar público el 55% de los encuestados afirmó que vería la información.
“La mayoría de los CIOs están conscientes de que las fugas de datos pueden derivarse en robo de identidad, compromiso de la propiedad intelectual y pérdida de secretos comerciales, así como daño a las actividades de relaciones públicas y las finanzas de las organizaciones”, aseguró Gil Mildworth, director de Mercadotecnia de la División Empresarial de SanDisk. “Nuestra encuesta demuestra que, si bien hay cierta conciencia de los riesgos potenciales involucrados con las unidades de disco flash USB, los ejecutivos de TI necesitan políticas, educación y soluciones tecnológicas más efectivas para reducir los riesgos. Sólo un esfuerzo que involucre la administración de dispositivos inteligentes, el monitoreo de datos y la aplicación centralizada de políticas reducirá considerablemente los riesgos, al tiempo de permitir a las organizaciones obtener los beneficios de productividad para realzar la movilidad”.
Políticas corporativas reactivas
Los resultados de la encuesta demostraron que si bien las organizaciones han dado los pasos para implementar políticas y educar a los usuarios sobre el uso adecuado de las unidades flash USB, sus acciones son principalmente reactivas.
De acuerdo con los ejecutivos de TI encuestados, más de dos terceras partes (67%) están implementando o han implementado políticas como resultado de una brecha de seguridad o fuga de datos en su organización. Además, sólo un poco más de la mitad (72%) de todos los participantes de TI han implementado una solución de seguridad de punto final.
La conciencia de las políticas corporativas sobre el uso de unidades flash USB varía entre los encuestados. Veinticinco por ciento de los usuarios finales no conocen todas las políticas de su organización respecto al uso de unidades flash, o saben que existen pero no las conocen a detalle.
Al mismo tiempo, casi la mitad (44%) de los usuarios finales reveló que sus organizaciones no tienen una política que prohíba copiar datos corporativos en las unidades flash USB personales. Otro 16% no sabía si había una política, mientras que el 40% reportó que su compañía tiene una política que prohíbe que los datos corporativos se guarden en unidades flash personales.
Las respuestas de los gerentes TI fueron consistentes con las de los usuarios finales. El 21% de los consultados describió el entendimiento de las políticas por parte de los empleados como sólo limitadas, mientras que el 33% fueron descritas como un entendimiento moderado, el 28% reportó tener buen entendimiento y 19% dijo tener un entendimiento completo.
Cuando se les preguntó sobre la capacitación, el 33 % de los directores de TI reportaron que sus empleados son capacitados una vez al año sobre las políticas respecto al uso de unidades flash USB; el 24% los capacita más de una vez al año; el 22% una vez cuando son contratados; el 17% sólo cuando es necesario y 3% no capacita.
Se requiere más educación para reducir los riesgos y costos potenciales
Cerca de 41% de los gerentes TI corporativos reportan que están por lo menos algo incómodos con el nivel de uso de unidades flash USB en sus organizaciones, lo que revela un nivel importante de riesgo potencial. Los usuarios corporativos validaron sus inquietudes al reportar que uno de cada cinco tiene de poco a ningún conocimiento de los riesgos implícitos con la transportación de datos corporativos en las unidades flash (21%), lo que revela un importante potencial de pérdida de datos.
Fuente: http://www.itpymes.com/ZonaT_vernota.htm?idxnota=72030
La empresa de tecnología SanDisk Corporation anunció los resultados de un nuevo estudio que demuestra los riesgos del uso de unidades flash USB inseguras. La encuesta realizada a usuarios finales corporativos y gerentes IT reveló que los ejecutivos no están conscientes del grado en el que las unidades flash inseguras son utilizadas en sus organizaciones: El 77% de los usuarios finales corporativos encuestados han utilizado unidades de disco flash personales para propósitos laborales. Cuando se pidió estimar el porcentaje de la fuerza laboral que utiliza unidades flash, los directores de sistemas respondieron que es de un 35%.
Los usuarios revelaron que los archivos de datos que más probabilidad tenían de ser copiados a una unidad flash personal incluyen registros de clientes (25%), información financiera (17%), planes de negocio (15%), registros de empleados (13%), planes de mercadotecnia (13%) propiedad intelectual (6%) y código fuente (6%).
Los datos de la encuesta indicaron que la portabilidad de las unidades flash USB representa un riesgo importante de pérdida de datos. Aproximadamente uno de diez usuarios corporativos (12%) reportó haber encontrado una unidad flash en un lugar público. Además, cuando se les pidió elegir tres de las cosas que más probablemente harían si se encontraran una unidad flash en un lugar público el 55% de los encuestados afirmó que vería la información.
“La mayoría de los CIOs están conscientes de que las fugas de datos pueden derivarse en robo de identidad, compromiso de la propiedad intelectual y pérdida de secretos comerciales, así como daño a las actividades de relaciones públicas y las finanzas de las organizaciones”, aseguró Gil Mildworth, director de Mercadotecnia de la División Empresarial de SanDisk. “Nuestra encuesta demuestra que, si bien hay cierta conciencia de los riesgos potenciales involucrados con las unidades de disco flash USB, los ejecutivos de TI necesitan políticas, educación y soluciones tecnológicas más efectivas para reducir los riesgos. Sólo un esfuerzo que involucre la administración de dispositivos inteligentes, el monitoreo de datos y la aplicación centralizada de políticas reducirá considerablemente los riesgos, al tiempo de permitir a las organizaciones obtener los beneficios de productividad para realzar la movilidad”.
Políticas corporativas reactivas
Los resultados de la encuesta demostraron que si bien las organizaciones han dado los pasos para implementar políticas y educar a los usuarios sobre el uso adecuado de las unidades flash USB, sus acciones son principalmente reactivas.
De acuerdo con los ejecutivos de TI encuestados, más de dos terceras partes (67%) están implementando o han implementado políticas como resultado de una brecha de seguridad o fuga de datos en su organización. Además, sólo un poco más de la mitad (72%) de todos los participantes de TI han implementado una solución de seguridad de punto final.
La conciencia de las políticas corporativas sobre el uso de unidades flash USB varía entre los encuestados. Veinticinco por ciento de los usuarios finales no conocen todas las políticas de su organización respecto al uso de unidades flash, o saben que existen pero no las conocen a detalle.
Al mismo tiempo, casi la mitad (44%) de los usuarios finales reveló que sus organizaciones no tienen una política que prohíba copiar datos corporativos en las unidades flash USB personales. Otro 16% no sabía si había una política, mientras que el 40% reportó que su compañía tiene una política que prohíbe que los datos corporativos se guarden en unidades flash personales.
Las respuestas de los gerentes TI fueron consistentes con las de los usuarios finales. El 21% de los consultados describió el entendimiento de las políticas por parte de los empleados como sólo limitadas, mientras que el 33% fueron descritas como un entendimiento moderado, el 28% reportó tener buen entendimiento y 19% dijo tener un entendimiento completo.
Cuando se les preguntó sobre la capacitación, el 33 % de los directores de TI reportaron que sus empleados son capacitados una vez al año sobre las políticas respecto al uso de unidades flash USB; el 24% los capacita más de una vez al año; el 22% una vez cuando son contratados; el 17% sólo cuando es necesario y 3% no capacita.
Se requiere más educación para reducir los riesgos y costos potenciales
Cerca de 41% de los gerentes TI corporativos reportan que están por lo menos algo incómodos con el nivel de uso de unidades flash USB en sus organizaciones, lo que revela un nivel importante de riesgo potencial. Los usuarios corporativos validaron sus inquietudes al reportar que uno de cada cinco tiene de poco a ningún conocimiento de los riesgos implícitos con la transportación de datos corporativos en las unidades flash (21%), lo que revela un importante potencial de pérdida de datos.
Fuente: http://www.itpymes.com/ZonaT_vernota.htm?idxnota=72030
Suscribirse a:
Entradas (Atom)