Seguridad informática

Filtran documentos confidenciales que complican a Palestina

2011-01-26T13:44:00.000-08:00

Los negociadores palestinos aceptaron desde el principio de las negociaciones de paz con el Gobierno israelí de Ehud Olmert que solo una ínfima fracción de los cinco millones de refugiados de 1948 pudieran regresar a Israel, según los documentos divulgados la noche del lunes por la televisión qatarí Al Jazeera.

"Sería ilógico pedir a Israel que tome cinco millones, o un millón, porque eso implicaría el final de Israel. Han dicho 5.000 en cinco años. Ni siquiera cubre el reagrupamiento familiar y no es aceptable", afirma el dirigente palestino Mahmud Abas, citado en las actas de una reunión del 24 de marzo de 2009.

En una reunión del 16 de junio de 2009, el principal negociador palestino, Saeb Erakat, indicó que "Olmert aceptó mil refugiados por año durante los diez próximos años".

Según el diario británico The Guardian, al que Al Jazeera ha concedido el acceso a "más de 1.600" documentos que cubren las negociaciones de paz desde 1999 que la cadena empezó a revelar la noche del domingo, los responsables palestinos aceptaron una propuesta israelí de retorno únicamente de 10.000 refugiados.

En septiembre, Olmert había precisado qee "las cifras debatidas eran inferiores a 20.000, pero eso hubiera implicado el final del conflicto armado y la garantía de que los palestinos no reclamarían nada más".

En un correo electrónico interno, Ziyad Clot, miembro del departamento palestino de negociaciones, recuerda que "SE (Saeb Erakat) decidió comunicar nuestra posición sobre los refugiados muy pronto en el proceso de negociaciones con los israelíes", según los documentos.

"Paralelamente, AM (Abu Mazen, alias Mahmud Abas, NDLR) presentó una propuesta muy baja para el número de retornos a Israel solo una semanas antes del inicio del proceso", añade.

Por su parte, los palestinos acusaron al canal qatarí de información Al Jazeera de "crear confusión" y difundir "mentiras" al hacer públicos esos documentos que revelan la amplitud de las concesiones propuestas en 2008 para hacer la paz con Israel, que las consideró empero insuficientes.

"El objetivo de esto es crear confusión; vi personalmente lo que el canal ha difundido afirmando que son documentos palestinos, cuando son israelíes", declaró el presidente palestino Mahmud Abas en El Cairo, al terminar una reunión con el jefe de Estado egipcio, Hosni Mubarak.

"Lo que fue difundido fue deformado y sacado de su contexto, y contiene mentiras", dijo, por su parte, Saeb Erakat, principal negociador palestino.

"Vamos a examinarlos para revelar la verdad y si es necesario publicar todos los documentos del departamento encargado de las negociaciones, lo haremos", dijo.

Otro negociador palestino, Yaser Abed Rabbo, acusó al emir de Qatar, Hamad ben Jalifa al Thani, de haber dado "luz verde" a una "campaña" contra la Autoridad Palestina.

"Se trata de una decisión política tomada al más alto nivel político de Qatar", dijo, afirmando que "Al Jazeera cortó las citas y las montó como una película".

"Sabemos quién sacó los documentos. Es un empleado del departamento de negociaciones de la Organización de Liberación de Palestina" (OLP), sostuvo, saliendo al paso de las especulaciones de la prensa israelí que atribuían las infidencias al ex hombre fuerte de la franja de Gaza, Mohamad Dahlan, en conflicto con Abas.

El ministro palestino de Relaciones Exteriores Riyad al Maliki acusó asimismo a Al Jazeera de "ayudar a Israel a liquidar la Autoridad Palestina".

"Esos documentos secretos son graves y demuestran la implicación de la Autoridad del Fatah (el partido de Abas) en la tentativa de liquidación de la causa palestina, en particular sobre el tema de Jerusalén y de los refugiados", consideró Sami Abu Zuhri, portavoz del movimiento islamista Hamas en Gaza.

Los documentos publicados por el canal qatarí presentan a los negociadores palestinos dispuestos a renunciar "al barrio judío y a una parte del barrio armenio" de la Ciudad Vieja de Jerusalén, y a aceptar la anexión por Israel de la mayoría de los barrios colonizados por los judíos en la ciudad.

Afirman asimismo que los negociadores estaban dispuestos a conformarse con el retorno de 10.000 de los aproximadamente cinco millones de refugiados.

El coordinador especial de la ONU para el proceso de paz en Medio Oriente, Robert Serry, advirtió que los documentos filtrados dan una "impresión inexacta" de la situación y urgió "a ambas partes a mostrar su disposición para negociar una paz basada en una solución de dos Estados".

Para Washington, las revelaciones del canal árabe sobre las negociaciones de paz en Medio Oriente van a hacer la situación "más difícil".

"Nada de esto cambia nuestra visión de lo que está en juego y de lo que debe hacerse", dijo Philip Crowley, portavoz del departamento de Estado estadounidense.

Firefox 3.6.13 Disponible

2010-12-13T07:49:00.000-08:00

Firefox 3.6.13 es una nueva versión del popular navegador de la Fundación Mozilla que actualiza otra vez la versión anterior lanzada el 3 en Diciembre.

Esta versión corrige dos problemas de seguridad y estabilidad (lista de cambios) y como siempre se encuentra disponible para todos los sistemas operativos.

Hackean un automovil por U$S 1500

2010-08-19T20:41:00.002-07:00

Un equipo de investigadores de las universidades de Rutgers y South Carolina ha sido capaz de intervenir los sistemas de alerta de un automovil a través de sus sensores inalámbricos, enviando mensajes falsos de presión de los neumáticos y finalmente "freír" el ordenador de abordo.

Un sedán de lujo típico tiene a tres millas de cableado y cerca de 100 millones de líneas de código de software, aproximadamente 20 veces más que los utilizados en un F-35 Joint Strike Fighter. Experimentos anteriores al actual mostraron lo que podría hacerse con una conexión física a la computadora de un vehículo.

Este nuevo trabajo ha intentado un camino diferente: la suplantación de los sensores inalámbricos en las ruedas utilizadas por los sistemas de control de presión de neumáticos, necesarios en todos los nuevos vehículos de EE.UU. desde 2008.

Los investigadores observaron que les tomó varias horas para elaborar sus herramientas y crackear los monitores, pero que la tecnología actual para hacerlo cuesta unos 1.500 dólares.

Intel compra McAfee por 7.680 millones de dólares

2010-08-19T20:41:00.001-07:00

El número uno mundial de los semi-conductores, el estadounidense Intel, ha anunciado que comprará al grupo estadounidense de tecnologías de seguridad informática McAfee por 7.680 millones de dólares (6.000 millones de Euros).

Bajo los términos del acuerdo, Intel ha afirmado que pagará 48 dólares por acción en efectivo por McAfee. Según el comunicado de Intel, el fabricante de antivirus se convertirá en una filial dentro de su grupo de software y servicios.

La operación entre las dos empresas estadounidenses, que deberán aprobar los respectivos consejos de administración, supondrá que Intel pagará 48 dólares por cada acción de McAfee, que continuará funcionando como subsidiaria.

La compra permitirá "la cobinación de software y hardware de seguridad en una compañía para proteger mejor a los consumidores, empresas y administraciones a medida que miles de millones de dispositivos --y los servidores y redes que los gestionan-- entran en internet", asegura Intel, que recuerda que también ha hecho compras de compañías de juegos, gráficos y software interno, que después ha aprovechado para mejorar sus productos.

McAfee, fundada en 1987, produce antivirus y programas de seguridad a todos los niveles, desde móviles y ordenadores personales a grandes servidores. Intel copa el mercado de los ordenadores personales (tanto Windows c

Fuente: Expansión

Colisiones permiten alterar las firmas de los documentos PDF

2010-08-19T20:40:00.000-07:00

Una reciente investigación ha demostrado la posibilidad de que puedan alterarse las firmas digitales de los archivos PDF.

Siempre que hablamos de PDF nos acordamos de Adobe o Acrobat, pero el formato de archivo es un estándar ISO, concretamente el ISO 32000-1:2008, y son muchos los productos de software que lo implementan, desde lector PDF alternativos como Foxit a Microsoft Office o el mismísimo iPad de Apple. Todos ellos se basan en la especificación de una serie de reglas sobre cómo leer y escribir archivos PDF.

Por lo tanto, parte de esta especificación establece las reglas sobre cómo los archivos PDF se pueden firmar digitalmente para demostrar la prueba de una autoría. Pero una nueva investigación ha descubierto un fallo en esta especificación que hace que sea posible modificar un archivo firmado sin invalidar la firma. El análisis realizado por Florian Zumbiehl, que incluye una descripción del formato PDF, muestra dos archivos PDF con la misma firma digital pero contenidos diferentes.

El problema tiene que ver con la descripción en el archivo sobre dónde está la firma y qué secciones del archivo están firmadas por ella. El proceso es complicado pero podría llevar a la falsificación de documentos.

Fuente: ITEspresso y PCMag

Seguridad en Bluetooth

2010-08-19T20:38:00.000-07:00

El concepto de Bluetooth surge de la imperiosa necesidad de las grandes empresas de telecomunicaciones e informática, de desarrollar una interfaz abierta, que facilite la comunicación entre los diferentes equipos informáticos y telefónicos, aprovechando la capacidad y la movilidad de los dispositivos inalámbricos, para la total supresión de los cables de conexión, adoptando así un único estándar de conexión.

El Bluetooth Special Interest Group (SIG), una asociación comercial formada por líderes en telecomunicación, informática e industrias de red, es la encargada del desarrollo e introducción en el mercado de esta tecnología inalámbrica.

Los promotores de Bluetooth incluyen Agere, Ericsson, IBM, Intel, Microsoft, Motorola, Nokia y Toshiba, y centenares de compañías asociadas.

El nombre viene de Harald Bluetooth, un Vikingo y rey de Dinamarca a de los años 940 a 981, fue reconocido por su capacidad de ayudar a la gente a comunicarse. Durante su reinado unió Dinamarca y Noruega.

Contenido Completo en BlueHack

Nuevo Mac OS X DNS changer se propaga mediante ingenieria social

2009-08-13T07:30:00.001-07:00

rendMicro esta informando del 4to nuevo miembro descubierte recientemente de la familia de malware OSX_JAHLAV.

La última variante una vez más depende de la ingeniería social, esta ves se propaga como una actualizacion de QuickTime Player (QuickTimeUpdate.dmg) con un componente de cambio de DNS que habilita a los autores a redirigir y monitorear el tráfico de la víctima.

Más información sobre OSX_JAHLAV.D:

El Troyano contiene archivos que lo componen que son detectados como UNIX_JAHLAV.D y scripts ofuscados que son detectados como PERL_JAHLAV.F. El script Perl entonces descarga un archivo de un sitio malicioso y lo guarda como /tmp/{3 números aleatorios}, detectedo como UNIX_DNSCHAN.AA, el cual permite al usuario malicioso monitorear las actividades del usuario afectado. Esto tambien puede causar que el usuario sea redirigido a sitios de phishing o sitios de donde se puede descargar otro malware.

No solo los ciber-criminales comienzan a reconocer al segmento Mac OS X "no atendido", sino que también ya están tomando prestado los trucos del libro de jugadas de Microsoft Windows tal como las tácticas independientes del SO como los falsos codecs y los reproductores de video fraudulentos. ¿La ironía? Tanto el malware Mac OS X como para Windows están alojados en los mismos dominios, con copias de cada uno servidas segun el navegador detectado.

De falsos objetos ActiveX en sitios de adultos como “Macintosh Porn Tube”, a los falsos codecs y reproductores, estas tácticas han estado dominando el escenario de amenazas de Windows por años, y continuará así, simplemente porque funciona. Sin embargo, entre las principales ventajas que tiene un ciber-criminal codificando/generando malware dirigido al Mac OS X de Apple, está la percepción general de su invencibilidad al malware, un estado de falsa sensación de seguridad compartida entre una gran cantidad de gente.

Mientras tanto, Apple Inc. ya estpa ofreciendo consejos de seguridad declarando que "La Mac está diseñada con tecnología incorporada que provee de protección contra el software malicioso y amenazas de seguridad desde que se saca de la caja. Sin embargo, debido a que ningún sistema puede ser 100 por ciento inmune de toda amenaza, el software antivirus puede ofrecer proteccion adicional."

Tal como en campañas anteriores, el último OSX_JAHLAV.D presenta un mensaje ofensivo si detecta que investigadores de seguridad intentan evaluar. La pandilla claramente está motivada.

¿Qué piensa usted . está tomando impulso el malware Mac OS X o apenas estan arañando la superficie?

7 razones de seguridad para usar Windows 7

2009-08-10T20:42:00.001-07:00

Pensando en 7 razones de Seguridad para usar Windows 7, seleccioné las más importantes que iré publicando. La primera de ellas Bitlocker-to-go, que nos permite usar la tecnología de encripción Bitlocker en dispositivos de almacenamiento removible como pendrives o discos duros USB portátiles.

Esto nos ayuda a mantener la seguridad de nuestra información en caso de pérdida o robo del dispositivo. Lo único que cambia en términos de experiencia es que pedirá contraseña al insertar el dispositivo si así lo decidimos.

Buenas prácticas de programación en Twitter

2009-08-10T20:41:00.001-07:00

Twitter se ha convertido en un objetivo más visible para los usuarios malintencionados ya sea para difundir el spam o malware. Cualquiera que sean los motivos, las aplicaciones a través de su API pueden ser un objetivo.

Por eso han desarrollado una serie de buenas prácticas de programación a tener en cuenta cuando se desarrollan aplicaciones y pensadas para lograr una mayor seguridad en las aplicaciones. Algunos de los temas tratados son:

Password Retention
Input Validation
Unencrypted Communication (no SSL)
Exposed Debugging Information
Inadequate Testing
Not Letting People Help
Unfiltered Input, Unescaped Output
Cross-Site Scripting (XSS)
SQL Injection
Cross-Site Request Forgery (CSRF)
Lack of Rate Limiting
Lack of Information about Threats

Además mencionan que si deseas agregar algo a la lista o si encuentras un problema de seguridad en Twitter, simplemente debes escribirles.

Microsoft publicará nueve boletines de seguridad el próximo martes

2009-08-10T20:39:00.000-07:00

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan nueve boletines de seguridad. Ocho de las actualizaciones afectan a Windows en general y otra a Office, Visual Studio, ISA Server y BizTalk Server.

Si en julio se publicaron seis boletines dentro del ciclo habitual y otros dos fuera de ciclo, este mes Microsoft prevé publicar nueve actualizaciones el martes 11 de agosto. Cinco de los boletines se consideran críticos, y el resto importantes.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Por otra parte, Microsoft recuerda que el 1 de agosto de 2009 se finalizó de soporte de Office Update y de Office Update Inventory Tool, por lo que para la obtención de las actualizaciones de los productos de Office se recomienda la utilización de Microsoft Update.

Los parches anunciados están sujetos a cambios, en cualquier caso, con lo que no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Más Información:
Microsoft Security Bulletin Advance Notification for August 2009
http://www.microsoft.com/technet/security/bulletin/ms09-aug.mspx

Detienen a cuatro personas en Grecia en operación antipornografía infantil

2008-09-03T14:20:00.006-07:00

La policía griega ha arrestado a cuatro hombres, entre ellos un oficial de policía de alto rango de la ciudad de Salónica, dentro de una iniciativa internacional contra la pornografía infantil, dijeron las autoridades.

La policía, que cooperó con organismos oficiales de otros 75 países, registró quince casas en una acción en todo el país.

Los cuatro arrestados serán acusados de posesión y comercialización de pornografía infantil.

En mayo, la policía desarticuló una organización de este tipo que se cree que integraba una red europea y acusó a 21 personas de poseer y comerciar con material de pornografía de contenido fuerte en Internet.

El Gobierno conservador de Grecia aprobó en 2007 una ley que impone sentencias de hasta cadena perpetua relacionadas con la pornografía infantil.

Fuente: http://www.laflecha.net/canales/blackhats/noticias/detienen-a-cuatro-personas-en-grecia-en-operacion-antipornografia-infantil?_xm=rss

Microsoft cuestiona la política de privacidad de Google

2008-09-03T14:20:00.005-07:00

Según Microsoft, Google está totalmente rezagada en lo relativo a la protección de la privacidad de sus usuarios. Microsoft considera aventajar a Google en 10 años.

Microsoft dirige una vez más su mirada crítica a Google, esperando en esta oportunidad exponer uno de los puntos más vulnerables de su rival. En una entrevista, Microsoft critica la pasividad de Google respecto de la protección de la privacidad de sus usuarios.

A modo de ejemplo, menciona la función Street View de Google Maps, donde es posible reconocer a transeúntes gracias a la alta resolución de las imágenes satelitales.
El director de estrategias de privacidad de Microsoft, Peter Cullen, comenta en la entrevista que con gusto le mostraría a la gerencia de Google la forma de mejorar la privacidad de las personas.

“Google es una gran compañía y tiene algunos productos fantásticos. Pero en algunos conceptos considero que Google está 7 a 10 años detrás de nosotros" Comentó Peter Cullen a ZDnet.co.uk.

El ejecutivo comentó que Microsoft tiene cuarenta empleados dedicados a trabajar en jornada completa en la privacidad de los usuarios que usan los productos de la compañía. Aparte de ello, el gigante informático cuenta con 400 empleados que dedican parte de su jornada al tema.

“Google no tiene ningún empleado dedicado a tales tareas, al menos con base en lo que he podido leer", comentó Peter Cullen.

Cabe señalar que en mayo pasado, Google anunció que comenzaría a ocultar automáticamente los rostros de las personas fotografiadas mediante Street View, mediante un punto ensombrecido o difuso.

Fuente: http://www.diarioti.com/gate/n.php?id=19172

Incrementos notorios en el número de máquinas integradas en botnets

2008-09-03T14:20:00.003-07:00

Comentan en SANS que el número de máquinas zombie integradas en botnets se ha multiplicado por cuatro en los últimos 90 días. Las máquinas zombie son aquellas que pasan a formar parte de una red gobernada (botnet) por usuarios maliciosos (botmasters), sin el conocimiento del propietario de la máquina. La integración suele basarse en la instalación de componentes maliciosos para el control remoto, principalmente a través de malware, lo que permite a los botmasters disponer de miles de máquinas para todo tipo de actividades delictivas y fraudulentas: envío masivo de spam y scams, así como ataques distribuidos de denegación de servicio, como ejemplos más representativos.

Que se hayan cuadruplicado el número de máquinas integradas en estas redes es preocupante. Por sí mismo, es un dato que indica que las máquinas vulnerables han crecido mucho (ya que de otro modo, no estarían integradas en estas redes) y por otro lado indica que los botmasters están, tras un período más o menos estable, donde se habían censado del orden de 150.000 máquinas por bot de media, con picos de 200.000. Durante los últimos 90 días, la cuenta ha ascendido a prácticamente 500.000.

¿Quién o qué es responsable de este aumento? Sin duda, los culpables son los amigos de lo ajeno, ya que, aunque todas las máquinas del mundo fueran vulnerables, si no existieran redes de delitos tecnológicos organizadas ni usuarios malintencionados, no pasaría nada. Tampoco pasaría nada (o casi nada) si los usuarios fueran rápidos y diligentes gestionando la seguridad de sus máquinas, pero esto es entrar en un terreno utópico que a nada nos conduce.

Dejando a un lado a los principales responsables, se hace necesario investigar qué productos y/o plataformas han posibilitado, mediante las vulnerabilidades no corregidas y/o no advertidas, que los atacantes saquen tajada. En SANS ejemplifican este punto hablando de los incrementos en ataques de inyección SQL en servidores, pero a buen seguro, hay muchos más problemas de seguridad a los que podemos responsabilizar del aumento de máquinas zombie. La lista es demasiado larga para detallarla al completo, me temo.

Los datos que ha empleado SANS proceden de un estudio de Shadowserver Foundation. En la página de la fundación hay estadísticas y gráficos ampliados.

Fuente: http://www.sahw.com/wp/archivos/2008/09/03/incrementos-notorios-en-el-numero-de-maquinas-integradas-en-botnets/

Falsos antivirus entre las amenazas más propagadas

2008-09-03T14:20:00.001-07:00

Los códigos maliciosos más relevantes en este periodo estuvieron relacionados con el supuesto envío de medios de comunicación masivos como la CNN y a la utilización de falsos antivirus gratis para propagar malware.

ESET ha informado que el mes de agosto se ha caracterizado por diversas metodologías de ataque e infección entre las que destacan los falsos antivirus. Durante el mes también ha aumentado el uso de imágenes de famosas desnudas y de medios de comunicación reconocidos (como CNN y MSNBC) como gancho para redireccionar al usuario a sitios dañinos.

Los falsos antivirus, o ‘rogue’, son programas de seguridad falsos y gratuitos que intentan que el usuario los instale. Una vez instalados, solicitan el registro del usuario, con el objetivo de robar su información privada y de instalar posteriormente adware y spyware en su equipo. El rogue Antivirus XP 2008 fue la principal amenaza propagada durante este mes debido a la gran cantidad de técnicas utilizadas para llegar al usuario y por la diversidad de metodologías de ingeniería social utilizadas para engañarlo e infectarlo.

La técnica de propagación más común fue el envío de spam sobre publicidad de supuestos antivirus gratuitos o de falsas actualizaciones de seguridad, que tienen como fin que el usuario descargue un archivo ejecutable, que es, precisamente, el instalador del rogue. El segundo método más empleado es a través de sitios web con el mismo mensaje publicitario o con supuesto vídeos de famosas desnudas. Cuando el usuario intenta visualizarlos, se descarga un códec que termina siendo el malware en cuestión.

“La oferta de un supuesto antivirus que ha podido detectar un nuevo ejemplar de malware en nuestro equipo produce miedo en el usuario, que intentará arreglar esa falsa situación de peligro con muy malas consecuencias", explicó Fernando de la Cuadra, director de Educación de Ontinet.com.

Por otra parte, durante el mes de agosto se registró una gran propagación de malware a través de spam con falsas noticias de diversos medios de comunicación, entre los que se destacan CNN y MSNBC. Estos correos tienen el objetivo de engañar al usuario y que el mismo acceda a un sitio previamente vulnerado por el atacante y en donde se alojan supuestos vídeos. Al intentar visualizarlos, se descargan troyanos como Nuwar (también conocido como gusano de la tormenta) y Agent.ETH.

Finalmente, en agosto aparecieron nuevos casos de archivos no convencionales entre los creadores de malware, como los MP3, que llevan a la descarga de distintos códigos maliciosos. También se han popularizado los correos con enlaces a archivos de Adobe Flash (extensión .swf) para redirigir al usuario a sitios dañino.

Fuente: http://www.diarioti.com/gate/n.php?id=19156

Primera Vulnerabilidad en Google Chrome

2008-09-03T14:19:00.004-07:00

No ha pasado ni 24 horas desde que google anuncio oficialmente su navegador “Google Chrome” y ya ha sido detectada la primera Vulnerabilidad en este.

Google Chrome es vulnerable a “carpet bombing“, una vulnerabilidad descubierta por el investigador Aviv Raff en el motor web opensource Webkit (Base del navegador Google Chrome y Safari) que permite descargar automáticamente archivos cuando el usuario navega por una página maliciosa.

Raff ha publicado una prueba de concepto en la que se muestra como los usuarios de Chrome pueden ser engañados y con solo 2 clicks (obtenidos fácilmente con un poco de ingeniería social) descargaran y ejecutaran archivos .JAR sin ninguna advertencia del navegador.

Con este fallo empieza la historia de la seguridad en el Google Chrome, si quieres saber mas sobre este nuevo navegador de google, te recomiendo leer estos completos reviews realizados por arturogoga, puntogeek, genbeta, djar, etc… (toda la blogosfera habla de el, descargalo aquí…)

Fuente: http://www.dragonjar.org/primera-vulnerabilidad-en-google-chrome.xhtml

¿Una hacker se postula a vicepresidenta de los Estados Unidos?

2008-09-03T14:19:00.003-07:00

Se han estado divulgando rumores de que la candidata a vicepresidenta de los Estados Unidos Sarah Palin tiene tantos conocimientos de tecnología como un hacker.

Los rumores surgieron a raíz de un caso que sucedió en 2003. Se dice que la aliada del senador John McCain irrumpió en el ordenador del jefe del partido republicano Randy Ruedrich para buscar pruebas de una alianza ilícita entre Ruedrich y la Comisión de petróleo y gas de Alaska. Sin duda un acto noble por parte de Palin, pero ilícito, si es que lo realizó sin la autorización correspondiente.

Aunque Ruedrich trató de eliminar la evidencia de su ordenador, se dice que Palin fue capaz de ingresar a su equipo burlando el sistema de contraseñas y después utilizar sus sofisticados conocimientos de informática para recuperar los datos eliminados.

Poco tiempo después, Ruedrich admitió su culpa y pagó una multa de 12.000 dólares.

Por supuesto, los rumores pocas veces son completamente ciertos.

Es verdad que Palin ingresó al ordenador de Ruedrich para buscar evidencia de su culpabilidad, pero no lo hizo de una manera ilícita. Un agente del ministerio público le había ordenado que registrara la oficina y ordenador de Ruedrich en busca de evidencia que lo incrimine.

Además, Palin era la presidenta de la Comisión de petróleo y gas, y el equipo de Ruedrich era propiedad del estado, lo que le permitía ingresar al equipo del acusado bajo ciertas circunstancias.

Pero cuando Palin trató de registrar la oficina de Ruedrich, él ya había vaciado sus paredes y escritorio. También había tratado de borrar algunos documentos, pero los dejó en la papelera de reciclaje de su equipo.

Con la ayuda de un técnico, Palin logró prescindir de la contraseña de Ruedrich para entrar a su equipo (es probable que haya usado la contraseña del administrador) y sólo recuperó los datos que el acusado había dejado en la papelera de reciclaje.

Así que, aunque muchos estaban entusiasmados con la idea de tener a alguien que sepa de tecnología en la Casa Blanca, parece que Palin no es aquella persona.

Fuente: http://www.viruslist.com/sp/news?id=208274210

Google Chrome no supera el Acid3

2008-09-03T14:19:00.001-07:00

¿Es necesario un nuevo navegador cuando existen varios cientos? Quizás la respuesta dependa de quién sea el interrogado. Sin duda muchos usuarios no estamos del todo satisfechos con nuestro navegador predilecto, pero mucho me temo que "el navegador perfecto" no existirá nunca, y mucho menos un navegador que, además de "perfecto", convenza absolutamente a todos.

Lo que es seguro es que Google sí considera que debe existir un navegador que se ajuste al cien por cien a sus necesidades, algo que Firefox -su niño mimado- no parece poderle proporcionar (y menos aún en su versión 3.x, que al menos en Linux, y en mi opinión, representa un claro retroceso).

En todo caso, Google ha pillado a casi todo el mundo por sorpresa al anunciar (comic incluido) que hoy pondrá a disposición de los internautas de cien países una versión beta (hablamos de Google, of course) para Windows de su flamante navegador "Chrome", de código libre y con genes de Mozilla y WebKit.

La pista para realizar esta comprobación me la dio un directivo de Opera, quien al ser preguntado sobre la inminente presentación de Google Chrome afirmó que le parecía muy bien, "siempre que se ajustase a los estándares".

Pues bien; lo cierto es que al menos en mi Windows XP SP3, Chrome se embarulla con Acid3, el test que mide la compatibilidad de los navegadores con los estándares de la Web más dinámica e interactiva, obteniendo un pobre 78/100, muy alejado del 100/100 logrado hace unos meses por Epiphany con el mismo motor WebKit, y que apenas supera el 71/100 obtenido por Firefox en su Beta 5.

Fuente:
http://www.kriptopolis.org/google-chrome-no-supera-acid3
http://www.kriptopolis.org/google-chrome
http://google.dirson.com/post/4086-navegador-google-chrome-reinventar-rueda/

Localizar un portátil robado

2008-09-03T14:18:00.002-07:00

Toda ya incorporarse a la rutina laboral y por tanto, abrir de nuevo la publicación de post de seguridad. Y para volver del verano, me ha parecido interesante un nuevo servicio que he encontrado vía CanalPDA para localizar un portátil robado.

La seguridad en portátiles suele basarse en medidas preventivas para evitar la pérdida de datos o el acceso en caso de robo. Hasta la fecha, no había hallado herramientas que tratarán de recuperar el portátil en si mismo, aunque se que existen dispositivos hardware que permiten localizarlos.

Sin embargo, Adeona que es como se llama este servicio es abierto y gratuito, patrocinado por la Universidad de Washington, y permite realizar un seguimiento de la localización de un ordenador portátil perdido o robado.

Seguir leyendo

Fuentes:
http://seguridad-de-la-informacion.blogspot.com/2008/09/localizar-un-porttil-robado.html
http://www.canalpda.com/2008/07/18/7419-adeona+servicio+gratuito+localizacion+portatiles+perdidos+o+robados

Consejos para padres y jóvenes al navegar por la web

2008-09-03T14:18:00.001-07:00

Una empresa de seguridad informática elaboró una lista de consejos orientada a garantizar una navegación segura de los menores, evitando que los padres cierren la comunicación y obliguen a sus hijos a actuar a escondidas

Los padres, maestros y tutores que se hacen cargo de los jóvenes que son socialmente activos en línea deben primero establecer expectativas razonables. Prohibir a los jóvenes usar redes sociales puede obligarlos a hacerlo a escondidas y encontrarse en otro lugares (como computadoras en bibliotecas, teléfonos móviles o las computadoras de sus amigos) para seguir su vida social en línea. Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien.

Seguir leyendo

Microsoft actualiza el Explorer 8 con más elementos de seguridad

2008-09-03T13:56:00.001-07:00

El gigante informático Microsoft lanzó hoy la versión beta 2 de Explorer 8, una actualización de su navegador de Internet que cuenta con más elementos para aumentar la seguridad y facilidad de uso de la red.

La nueva versión de Internet Explorer 8 aparece cinco meses después del primer test, llamado beta 1, aunque aún se desconoce cuándo estará disponible la versión definitiva del programa.
Con más del 75 por ciento del mercado, Explorer sigue siendo el navegador de Internet de referencia en todo el mundo, pero la creciente popularidad de otros competidores, especialmente Firefox de Mozilla, está obligando a Microsoft a realizar actualizaciones con más frecuencia.

La versión beta 2 de Explorer 8 ha sido diseñada pensando "en cómo hacer el navegador más rápido, más fácil y más seguro", explicó a Efe Enrique Murray-Campbell, gerente de producto regional de la compañía.
"El tiempo de uso de la tecnología aumenta y en América Latina, por ejemplo, los usuarios pasan ya una media de 40 horas al mes en Internet", dijo Murray-Cambell.
"Nos hemos preguntado cómo proporcionar una tecnología que haga más sencillo el acceso a la red", añadió el directivo, que añadió que la versión en español de la última actualización de Explorer, disponible hoy en inglés, chino y alemán, aparecerá en las próximas semanas.

Las principales novedades están, sobre todo, en los elementos para aumentar la seguridad, principalmente una herramienta llamada InPrivate Browsing y que algunos medios del sector han bautizado ya como "modo porno".

. InPrivate Browsing permite al internauta mantener en privado toda su actividad en la red, pues cuando se activa el ordenador no mantiene registros tras el fin de la sesión de las páginas visitadas, ventanas emergentes desplegadas u otros datos.
Esta herramienta ofrece diferentes opciones para poder, por ejemplo, navegar en privado sólo durante unas horas sin perder la información anterior.
. Otra novedad interesante es el InPrivate Blocking, para impedir que terceros, como anunciantes de una determinada página, sepan qué sitios hemos visitado en la red.
También destaca la actualización de Web Slices, con la que se pueden tomar "instantáneas" de una parte de una página.
Cada "instantánea" queda grabada en la barra de herramientas y se actualiza automáticamente, con lo que el internauta puede acceder a la información sin dejar lo que esté haciendo y tener que dirigirse a la página en concreto de nuevo.
. Microsoft ha actualizado también la herramienta Activities, ahora llamada Accelerators, que permite pinchar con el ratón sobre algunas palabras y obtener información adicional no disponible en ese sitio.
Si el internauta está leyendo, por ejemplo, un artículo sobre restaurantes en una ciudad determinada, puede pinchar en cada nombre y acceder a links previamente definidos, como mapas en la red para encontrar la ubicación del local, sin tener que abrir una nueva página.

Fuente: http://seguridad-informacion.blogspot.com/2008/09/microsoft-actualiza-el-explorer-8-con.html

Trend Micro publicó una guía de navegación segura para padres y chicos

2008-09-03T13:55:00.005-07:00

Debido a la creciente preocupación de los padres por las amenazas a las que se ven expuestos sus hijos mientras usan las diversas aplicaciones de Internet, la empresa Trend Micro decidió publicar una "Guía de navegación segura para padres y niños", que incluye una serie de tips y consejos para dialogar en familia.

En su sitio Web, la empresa publicó una serie de documentos para la familia
Cómo principal recomendación, la empresa propone a los padres no prohibir el uso de redes sociales, ya que podrían incentivarlos a utilizarlas en otros lugares (bibliotecas, teléfonos móviles o computadoras de sus amigos). "Una alternativa positiva es enseñarles cómo pensar de forma crítica sobre lo que están viendo, leyendo, escuchando y compartiendo en línea, y pedir ayuda cuando algo no parece bien".

Las siguientes son las medidas básicas que propone la corporación para que sean implementadas por los padres y los niños en conjunto

* Mantener la computadora en un área común.
* Acordar los límites de tiempo para el uso de Internet t dispositivos de comunicación
* Mantener actualizado el software de seguridad
* Acordar qué sitios pueden visitar los chicos (sobre todo los más chicos).
* Utilizar filtro de URL
* Bajar de Internet un servicio de reputación de sitios.
* Revisar el contenido y las políticas de seguridad de los sitios que los niños frecuentan.
* Hablar con los chicos sobre el ingreso de información personal online.
* Ignorar contactos no solicitados de gente que nunca han conocido.
* Correr un escaneo manual con el software de seguridad y chequear el historial del browser

Por otra parte, la empresa publicó una serie de sugerencias para que los jóvenes tengan presente en Internet:

* Utilizar un seudónimo o nombre de código en lugar del nombre real.
* Configurar los perfiles para que estén privados de modo que sólo la gente que se invite pueda ver lo que uno publica.
* No compartir dirección, teléfono u otra información personal en línea.
* Tener cuidado de compartir fotos provocativas o detalles íntimos en línea, incluso con la gente conocida.
* Mantener actualizado el software de seguridad.
* Leer “entre líneas”. Ser consciente que, si bien algunas personas son muy agradables en línea, otras actúan de forma amable porque están tratando de obtener algo.
* Evitar las reuniones a solas.

Para conocer más sobre la iniciativa de Trend Micro, puede ingresar en www.trendmicro.com/go/safety.

Fuente: http://www.canal-ar.com.ar/Noticias/Noticiamuestra.asp?Id=6339

CATPCHA, más roto que nunca

2008-09-03T13:55:00.003-07:00

Este sistema para tratar de proteger todo tipo de servicios web se ha convertido en un método inútil dada la gran cantidad de soluciones software para poder superar las barreras que impone. De hecho, superar la barrera se ha convertido casi en un deporte en la India.

En este país hay personas específicamente dedicadas a la investigación de estos sistemas y de cómo romper la seguridad que imponen, algo que les proporciona un buen fajo de billetes, más de lo que podrían ganar con sus trabajos convencionales.

El negocio de los ‘CAPTCHA-Crackers’ consiste en superar todos los tipos de CAPTCHAS que sean capaces de encontrar, algo que les proporciona más y más dinero a medida que van superando esas barreras. Muchos de los ataques se centran en MySpace, una web que sigue usando los CAPTCHAS sin que esto realmente tenga mucho sentido, puesto que está demostrado que los CAPTCHA están definitivamente acabados.

Fuente: http://www.theinquirer.es/2008/09/02/catpcha-mas-roto-que-nunca.html

El "secuestro" del portapapeles

2008-09-03T13:55:00.001-07:00

Desde finales del mes pasado, muchos usuarios están detectando un comportamiento extraño en su portapapeles. A la hora de copiar y pegar cualquier dato, encuentran que siempre aparece almacenada en este memoria una misma dirección de Internet, que no recuerdan haber copiado nunca. Copian algún dato en su "clipboard", y cuando van a pegarlo esa información ya ha sido modificada y en su lugar se memoriza una URL. No parecen estar infectados por malware, en cuanto se visita alguna web el problema reaparece... es solo que su portapapeles ha sido secuestrado.

Según se admite en una nota publicada por el Equipo de Respuesta ante Incidentes de Seguridad en Productos de Adobe (Adobe Product Security Incident Response Team) el problema está causado por una funcionalidad en Flash Player que podría ser aprovechada por un atacante remoto para "secuestrar" el portapapeles del sistema, forzando a que devuelva siempre una misma cadena.

El problema se debe a que por medio de la función "setClipboard" de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. La descripción se puede leer en la documentación de Adobe Flash citada a continuación: "El método System.setClipboard() permite a un archivo SWF reemplazar el contenido del portapapeles con una cadena de caracteres en texto claro. Esto no supone un riesgo de seguridad. Para proteger contra los riesgos que supone que contraseñas y otra información sensible sea cortada o copiada de los portapapeles, el método "getClipboard" de lectura desde el portapapeles no existe".

Si se crea un archivo SWF modificado que invoque a esta función repetidamente en bucle, cada cierto tiempo se actualizará el contenido del portapapeles para forzar que contenga la cadena elegida. Independientemente de la aplicación con la que se trabaje, siempre que se intente copiar y pegar algún dato, dará como resultado la misma cadena una y otra vez mientras el flash esté activo en una web que está siendo visitada.

El ataque (más molesto que peligroso) se está usando para secuestrar el portapapeles, pegando una URL que lleva a una página de un falso antivirus que resulta ser malware. En el caso concreto detectado en los últimos días, el código ActionScript malicioso venía incrustado en anuncios flash alojados en sitios legítimos que tienen un gran tráfico de visitas diarias, como Newsweek, Digg y MSNBC.

Este fallo no es realmente grave. Desde hace muchos años revive de vez en cuando la polémica (es una funcionalidad vs. es una vulnerabilidad) con respecto a un problema mucho más serio: El acceso al portapapeles por parte de funciones de Internet Explorer. Aunque este ataque flash en concreto es independiente del navegador, aun hoy día la configuración por defecto de la mayoría de sistemas con Internet Explorer 6 permite de forma transparente no solo modificar sino tener acceso al portapapeles. El objeto clipboardData (incorporado en la versión 5 de Internet Explorer) admite tres métodos para interactuar con los datos del clipboard, "getData" para capturar la información, "setData" para escribir, y "clearData" para borrar. Ya en 2005 Hispasec publicó una prueba de concepto disponible en el apartado de más información.

También este ataque a través de flash recuerda al que se puso de moda hace años, lo que se dio en llamar "secuestro del navegador" que consistía en la modificación persistente de la página de inicio de Internet Explorer. Mucho malware del momento era capaz de secuestrarla con más o menos destreza. Hoy en día es una práctica en desuso.

Para "liberar" el portapapeles y que vuelva a funcionar de forma normal, tan solo hace falta cerrar la pestaña del navegador con la que se está visitando en el sitio web susceptible de contener el flash especialmente manipulado.

Aviv Raff ha desarrollado una prueba de concepto que carga de forma persistente la cadena http://www.evil.com en el portapapeles, disponible desde http://raffon.net/research/flash/cb/test.html

Fuente: http://www.hispasec.com/unaaldia/3600

En Costa Rica, los bancos públicos ofrecen ‘armas’ contra el fraude electrónico

2008-09-03T13:54:00.004-07:00

Durante este mes y el próximo, los cuatro bancos públicos empezarán a ofrecer a sus clientes nuevas “armas” contra el fraude electrónico.

En el caso del Banco de Costa Rica (BCR) y Bancrédito, el uso de estos dispositivos será obligatorio a la hora de hacer transacciones por Internet y no tienen ningún costo.

En tanto, el Banco Popular y el Nacional ofrecerán mecanismos de seguridad optativos, es decir, el usuario decide si los adquiere o no.

El primero en disponer de estas herramientas en forma masiva será el Banco Nacional con el llamado Teclado Virtual, que aparecerá en la pantalla de ingreso de Internet Banking desde este viernes.

Esta herramienta forma parte de BN Identidad Virtual, un sistema de autenticación creado por el Banco para asegurar las transacciones electrónicas. Próximamente incluirá el Token Llavero, el Token Tarjeta y el Token Celular.

El Teclado Virtual es gratuito y optativo. Sin embargo, a quienes decidan no utilizarlo, el sistema les limitará automáticamente la inclusión de cuentas favoritas y deberán hacerlo en una agencia.

El Banco Popular informó de que esta semana pondrá a disposición de sus clientes el Token, el cual funciona como una cédula de identidad en formato electrónico.

El dispositivo incluye información del cliente y su firma digital. Tiene un costo de $35 de contado y $40 a dos meses plazo.

Los afiliados a Banca Fácil que deseen adquirir el Token deben solicitarlo al teléfono: 2202-2020.

Para todos. El BCR, con un registro mensual de alrededor de 3 millones de transacciones por Internet, exigirá a los usuarios de ese servicio la tarjeta Clave Dinámica.

El dispositivo es gratuito, pueden solicitarlo en cualquier agencia del BCR y su uso es obligatorio a partir del 17 de este mes.

Mario Rivera, gerente interino del BCR, dijo que la Clave Dinámica brinda protección adicional a las transacciones de los clientes mediante una segunda autenticación, “lo cual está muy acorde con lo establecido por el reciente Código de Autorregulación Bancaria presentada por la Cámara de Bancos”.

Dicha norma establece condiciones contractuales y mecanismos de seguridad que deben aplicar los bancos para proteger a sus clientes del robo electrónico.

Arnoldo Trejos, subgerente Comercial de Bancrédito, afirmó que están en proceso de adquisición de la Multiclave Bancrédito, cuyo uso será obligatorio para los clientes que lleven a cabo transacciones en línea.

“Este proceso se finiquitará en setiembre, por lo que procederemos a entregarla a nuestros clientes a partir de octubre”, agregó.

Los fraudes por Internet llevaron a 70 personas a presentar una demanda colectiva, ante el Tribunal Contencioso-Administrativo, contra los bancos Nacional, de Costa Rica y Popular. Entre todos perdieron ¢300 millones.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1923

Localizar un portátil robado

2008-09-03T13:54:00.003-07:00

Toca ya incorporarse a la rutina laboral y por tanto, abrir de nuevo la publicación de post de seguridad. Y para volver del verano, me ha parecido interesante un nuevo servicio que he encontrado vía CanalPDA para localizar un portátil robado.

La seguridad en portátiles suele basarse en medidas preventivas para evitar la pérdida de datos o el acceso en caso de robo. Hasta la fecha, no había hallado herramientas que tratarán de recuperar el portátil en si mismo, aunque se que existen dispositivos hardware que permiten localizarlos.

Sin embargo, Adeona que es como se llama este servicio es abierto y gratuito, patrocinado por la Universidad de Washington, y permite realizar un seguimiento de la localización de un ordenador portátil perdido o robado.

Yo ya lo tengo instalado en mi ordenador aunque espero no tener nunca que probarlo.A continuación os detallo la explicación de CanalPDA.
"A diferencia de otros servicios, éste es totalmente gratuito y se basa en protocolos abiertos y documentados. Además la aplicación realiza un notable esfuerzo para garantizar la privacidad de los datos, de forma que nadie excepto el propietario del ordenador pueda acceder a la información registrada.

El funcionamiento es muy simple. Hay que instalar en el ordenador un pequeño programa agente (disponible para Windows Vista y XP, Linux y Mac OS X; en este momento las descargas no funcionan). La instalación es muy rápida y solo nos pide donde hay que ubicar el programa y la contraseña de protección de acceso a los datos.

La instalación genera un archivo de configuración, denominado adeona-retrievecredentials.ost. Esta será nuestra llave, conjuntamente con la contraseña indicada durante la instalación, para poder acceder a los datos de localización del portátil.

Este servicio registra la información de la IP y otros datos básicos acerca la conexión con Internet.

Si alguna vez perdemos el ordenador, podemos utilizar el programa de recuperación. Nos pedirá que facilitemos el archivo adeona-retrievecredentials.ost generado durante la instalación, así como la contraseña. Con esta información recuperará de los servidores donde se almacenan los datos de conexiones, lo que nos permitirá recuperar la información de donde está conectado el equipo.

Un ejemplo de información de ubicación:

Retrieved location information:
update time: 07/16/2008,15:47 (RDT)
internal ip: 10.xxx.xx.x
external ip: xx.xxx.xxx.xx
access point: xxx
Nearby routers:
1 5.000ms 10.xx.xx.xx (could not resolve)
2 1.000ms 10.xx.xx.x (could not resolve)

Como podemos ver, además de la IP pública y la IP privada, también hay otros datos relativos a la configuración de la red donde está conectado el equipo.

Si el ordenador portátil utiliza el sistema operativo Mac OS X, además de la información, el cliente de Adeona también hace una foto del usuario con la webcam integrada... que también queda registrada :)"

Análisis de los ficheros de logs y blindaje del sistema

2008-09-03T13:54:00.001-07:00

Websecutity, con esta serie de artículos de esta última semana analizan los programas utilizados para hacer los sistemas más seguros y más fiables. Se pueden ver las distintas formas de realizar un análisis de ficheros de registro, cosa muy importante a la hora de ver si ha sucedido algún tipo de ataque al sistema.

Cristian

Yahoo! Lottery es un timo

2008-09-03T13:52:00.000-07:00

Ryan Knight, administrador del servicio de correo de Yahoo!, está advirtiendo a la gente de que no caigan en el timo que está circulando por la red. Dicho timo consta de un correo donde felicita por haber sido premiado en un sorteo de lotería ficticio con una cantidad de 275.000 libras esterlinas y nos piden unos datos personales para recibirlo.

Knight afirma que además este caso en particular de phising es más vulgar que otros casos ya que además de faltas gramaticales y de ortografía, en todo el email, al final dejan un correo de contacto de GMail, competencia directa con Yahoo! Mail.

Para finalizar el administrador de Yahoo! concluye con un par de consejos para todo usuario del servicio: nunca des datos personales, pues las empresas reales no los solicitarán nunca y evitar acceder a las webs oficiales a través de enlaces de dudosa procedencia encontrados en dichos emails, accediendo directamente desde el navegador y tecleando la dirección oficial.

Fuente:
http://www.theinquirer.es/2008/09/01/yahoo-afirma-que-los-correos-yahoo-lottery-son-spam.html
http://news.softpedia.com/news/Yahoo-Lottery-Hoax-Attempt-Raises-Laughs-92716.shtml

Enciclopedia online de amenazas internas

2008-08-24T22:32:00.005-07:00

Promisec ha lanzado una enciclopedia en línea de amenazas en seguridad de red interna. La enciclopedia, que puede ser vista por cualquier persona de forma gratuita, se actualiza continuamente con explicaciones detalladas de las últimas amenazas.

Además, el sitio contiene gráficos mensuales que muestran cómo la tendencia en los riesgos internos ha cambiado en los últimos años, consejos de seguridad internas y trucos, artículos sobre los últimos incidentes de seguridad interna, un panorama de las amenazas internas, y una amplia gama de otros recursos.

Fuente: http://www.iso27000.es/

El DNI electrónico gana presencia en el mundo y se acerca a la Argentina

2008-08-24T22:32:00.003-07:00

Catorce países de Europa utilizarán el recurso de manera masiva. Argentina ya está dando los primeros pasos para digitalizar algunas bases de datos.

Aunque a menor ritmo de lo que sucede en los principales países del mundo, la Argentina está dando sus primeros pasos en pos de implementar sistemas que, diseñados para asegurar la identidad de las personas, promuevan actividades remotas y fomenten prácticas sociales y económicas amparadas en un soporte electrónico.

Esta semana se conoció que el consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico en el Viejo Continente.

El consorcio tiene prevista una serie de pruebas que se extenderán durante tres años, período en el cual buscará garantizar la aceptación de los DNI en servicios de administración electrónica instalados en España, Bélgica, Estonia, Francia, Alemania, Italia, Austria, Luxemburgo, Países Bajos, Suecia, Portugal, Eslovenia, Reino Unido, e Islandia.

La iniciativa partirá de examinar cada uno de los desarrollos en materia de identificación electrónica más utilizados para, en el mediano plazo, acordar criterios comunes de desempeño y dispositivos que garanticen la validez de los documentos en cualquiera de las naciones que conforman el Stork.

Pero ¿qué sucede con una propuesta de este tipo pero ya en el plano local? Por el momento, los intentos no han superado la etapa de pruebas. Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.

"El año pasado se estuvo trabajando en un proyecto, que en realidad nunca pasó de la especificación, el cual tenía que ver con todo lo necesario, desde el punto de vista tecnológico, para identificar a los ciudadanos", explicó, a iProfesional.com, Martín Codini, director del área de Desarrollo de Negocios de Indra, la firma que desarrolló el DNI en España.

"Esto tiene que ver con los datos alfanuméricos de una persona, más todo lo que tiene que ver con la biometría. O sea, las características que identifican de manera unívoca a las personas", agregó.

Por su parte, Ricardo Caputo, gerente comercial de la misma empresa, sostuvo que el DNI electrónico "iba a ser una salida de la base única de identificación, una de las tantas en realidad, y que luego tranquilamente podía ser aplicada a los padrones electorales, entre otros usos".

Intento

Lo cierto es que, más allá de ese primer intento, la iniciativa poco a poco fue perdiendo fuerza. Al respecto, Adrián Giormenti, ejecutivo de la firma de desarrollo de soluciones para gobierno electrónico Giesecke & Devrient Group (GyD), señaló que "la intención de crear una base de datos electrónica salió a licitación, y fue ganada por la compañía NEC, pero después quedó demorada".

La posterior impugnación que llevaron a cabo las empresas que no se vieron beneficiadas habría sido el principal motivo por el cual, según parece, el proceso no siguió adelante. Y obligó al Ministerio del Interior a llamar a una nueva licitación, instancia que –ya con Cristina Fernández como presidenta– situaciones como el prolongado lockout agrario culminaron por frenar nuevamente.

"A finales del año pasado el ministerio, oficialmente, dio a entender que se tenía que llamar a una nueva licitación. Pero evidentemente el proyecto fue perdiendo protagonismo en la agenda por diversas cuestiones", dijo Giormenti.

Consultado sobre la situación actual en cuanto al manejo de bases de datos, el ejecutivo explicó que "hoy existe una gran cantidad de información que opera como compartimentos estancos".

"La policía tiene su base, la Ciudad de Buenos Aires emite la licencia de conducir y tiene su propia base. Entonces cada uno tiene su base, sin intercomunicar, y eso duplica el esfuerzo a la hora de la disponibilidad de datos", añadió.

Voz oficial

A fin de conocer en qué estado se encuentran los planes de identificación electrónica a nivel gubernamental, iProfesional.com dialogó con Mariano Ramírez, director general de Gestión Informática del Ministerio del Interior, quien sostuvo que "en este momento estamos orientados a mejorar los sistemas de documentación y gestión".

"La preocupación pasa por cambiar el modo en que se realizan los trámites; por modernizar lo que todavía se hace de manera manual. Tenemos el objetivo de concretar una base de datos única, pero lo cierto es que todavía muchas cosas se hacen en papel", comentó.

"Primero necesitamos contar con una base sólida de datos, concretar la digitalización de los datos, volver electrónicos muchos procesos... Nos falta desarrollar la plataforma tecnológica que nos coloque en ese camino", reconoció.

El funcionario ratificó la licitación obtenida por NEC el año pasado –que finalmente no fue anulada–, y explicó que la misma comprendió la provisión de equipamiento de hardware y software para la implementación de AFIS, un sistema que permite la identificación automática de huellas dactilares.

"Tenemos el sistema, pero todavía no lo pudimos utilizar. No cumplimos con la fase previa de reordenar los procesos y la documentación. Cuando contemos con la plataforma, recién ahí podremos usar el aparato, que en este momento está vacío", dijo.

Reconocimiento

Ramírez sostuvo que en el cronograma de metas "está establecido poner en marcha el sistema AFIS en el corto plazo" "El plan consiste en comenzar la recolección de huellas, aunque eso se haría de manera paulatina y por demanda", explicó.

También en breve la dependencia que encabeza el funcionario pondrá en marcha una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.

"Para ello estamos trabajando con personal propio y profesionales de la Universidad Tecnológica Nacional (UTN). Los centros serán alrededor de 25, y estarán ubicados en Capital Federal, algunas localidades de la provincia de Buenos Aires, y el resto de las principales ciudades del interior del país", aseveró Ramírez.

¿Eso nos acerca más al demorado DNI electrónico? "Si logramos hacer eficiente la plataforma de trámites en la que estamos trabajando, podemos decir que habremos plantado la primera semilla", comentó.

Y añadió: "Luego de eso, habrá que trabajar en la expansión de la firma digital y la posibilidad de insertar todos los datos de autenticación de una persona en un dispositivo. A partir de ahí se podrá plantear al DNI electrónico como una posibilidad concreta".

Procesos y costos

Con relación a los tiempos que demoraría una implementación de DNI electrónico en la escena nacional, y siempre con Europa como modelo a seguir, Adrián Giormenti comentó que "uno o dos años de pruebas piloto sería lo aconsejable".

Entre los usos más comunes del recurso el ejecutivo mencionó "las actividades de comercio electrónico, las transacciones bancarias por Internet, el pago electrónico y los trámites con los organismos estatales".

En cuando a los tiempos inherentes al reemplazo del documento tradicional por una solución digital, Giormenti dijo que "se trata de un proceso gradual".

"El paso se va dando de manera paulatina. Nunca se ve un cambio abrupto del DNI, y por citar un caso España comenzó a emitir el documento hace apenas dos años. Y hoy ya superaron los 5 millones de DNI emitidos", expresó.

¿Es costosa la migración de un documento a otro para el ciudadano común? "Por lo general, y como pasa en Europa, el DNI es subsidiado. Tiene un determinado precio al público bajo, a diferencia de lo que sucede con el pasaporte", sostuvo.

"Un DNI electrónico no puede ser demasiado caro en tanto estás obligando al ciudadano a tenerlo. Y sólo se requiere de un chip capaz de almacenar todos los datos e información que el usuario debe tener disponible para cualquier proceso", concluyó.

Puntos Importantes

* El consorcio Stork, integrado por 14 países de Europa, promoverá una implementación masiva del DNI electrónico a fin de profundizar la utilización de Internet para intercambios comerciales y el concepto de gobierno electrónico.
* Durante el 2007, en tiempos de Néstor Kirchner al frente del Ejecutivo, el Ministerio del Interior dio el primer paso hacia el DNI electrónico: llamó a licitación para la implementación de una base única de datos digitalizada.
* El Ministerio del Interior pondrá en marcha, en breve, una serie de centros digitales para la recopilación de datos, los que tendrán como principal finalidad impulsar la informatización de todos los trámites que los ciudadanos realizan, normalmente, en dependencias estatales.

Patricio Eleisegui
© iProfesional.com

Fuente:
http://www.infobaeprofesional.com/notas/70849-El-DNI-electronico-gana-presencia-en-el-mundo-y-se-acerca-a-la-Argentina.html

Video "Escritorio Limpio"

2008-08-24T22:32:00.001-07:00

El siguiente video fue realizado por alumnos del IUPFA (Instituto Universitario de la Policía Federal Argentina) de la carrera Licenciatura en Seguridad.

El equipo de trabajo se conformó por: Gonzalo Martinez, Leandro Dikenstein, Aurelio Fernández y Mariano Fenocchio. Profesores tutores: Ing. Oscar Schmitz y Lic. Marcelo Vallaud. Soporte técnico: Marcelo Martinez. Referencia contenidos: CXO Community.

En este trabajo muy bien logrado, observaremos el descuido y falta de protección sobre información confidencial y recursos informáticos, especialmente vinculados a la política de escritorios limpios, la cual hace referencia a almacenar papeles, CDs, DVDs y todo activo confidencial bajo condiciones de seguridad adecuadas, como ser armarios o cajones con llave, con el objetivo de preservar su confidencialidad e integridad.

Fuente: http://cxo-community.com.ar/index.php?option=com_content&task=view&id=1025&Itemid=1

Herramientas para el entrenamiento y simulación de phishing segmentado

2008-08-24T22:31:00.003-07:00

Repasando los feeds me he topado con un artículo de Xavi, en el que se habla de ataques phishing personalizados desde una perspectiva que, sin duda alguna, no es la tradicional.

Los ataques de este tipo, a los que yo prefiero llamar segmentados, como consecuencia del paralelismo más que evidente que existe entre la segmentación en marketing tradicional y los mecanismos para orientar los ataques de intento de robo de credenciales que comentamos, son responsables, según iDefense Labs, de al menos 15.000 ataques específicos contra víctimas corporativas en los últimos 15 meses. No es una cifra para tirarse de los pelos, al menos si contemplamos la tipología y montos derivados de la amalgama completa de fraudes que puede sufrir una organización, pero sí es una cifra que puede invitar a contemplar estrategias de mitigación.

Esta necesidad de promover técnicas de entrenamiento y concienciación provoca que con el paso del tiempo hayan aparecido herramientas que permiten gestionar y medir el grado de respuesta de una organización y sus integrantes ante ataques spear phishing, o de phishing segmentado. Primero fue PhishMe, una herramienta comercial dirigida al entrenamiento en este tipo de ataques, y ahora, muy recientemente, se ha anunciado la próxima liberación de Lunker, una herramienta con la misma finalidad, en formato de código abierto, que estará disponible para ser descargada y utilizada sin coste alguno.

Las herramientas de seguridad gozan de una peligrosa dualidad sobre la cual existe un eterno debate. Empleando el símil del cuchillo, podemos usarlo para cortar en rodajas un tomate, pero también podemos asestar una puñalada con él. En el caso de las herramientas de seguridad pasa exactamente igual, y el carácter imprimido al uso dependerá de quién las emplee y con qué finalidad. A buen seguro, la disponibilidad masiva de Lunker provocará que algunos usuarios, tentados con la idea de hacer dinero fácil, la usen para ejecutar ataques, aunque como es normal, existirán muchos usuarios que la emplearán para prevenir los incidentes dándole un uso adecuado.

En este debate, yo me posiciono en la parte que defiende la necesidad de que existan herramientas, aún con el riesgo de que pongan al alcance de los usuarios malintencionados medios para perpetrar un fraude. Si una organización ha utilizado una herramienta y se ha preparado y entrenado para mitigar el riesgo de fraude por robo de credenciales, no debería ser preocupante que un usuario malicioso emplee esa u otras herramientas para tratar de ejecutar un ataque. En caso de existir un buen entrenamiento y una correcta estrategia, los impactos deberían ser mínimos, ya que, al menos en mi juicio, el éxito de un ataque de phishing depende más del grado de conocimiento y la concienciación de las víctimas que de la calidad del mismo. Estoy firmemente convencido, y la experiencia así me lo ha demostrado, que el phishing, tradicional o vía troyanos, a través del conocimiento, la prudencia y la contemplación de unas medidas mínimas medidas de seguridad, no sólo puede ser mitigado, sino que puede anulado por completo. Por otro lado, los ataques siempre pueden ser lanzados sin la existencia de herramientas, cuyo riesgo potencial principal no es la ejecución en sí de las acciones maliciosas, sino, en todo caso, la facilitación de las mismas, y siempre dependiendo del caso.

Se prevé que Lunker se presente el mes que viene en la conferencia OWASP, y formará parte de la próxima versión de OWASP LiveCD. Los autores de Lunker han anunciado que estará igualmente disponible como herramienta standalone.

Fuente:
http://www.sahw.com/wp/archivos/2008/08/22/herramientas-para-el-entrenamiento-y-simulacion-de-phishing-segmentado-armas-de-doble-filo/

Dropping en el uso ilegítimo de medios de pago

2008-08-24T22:31:00.001-07:00

Publican en F-Secure un interesante artículo donde se puede aprender un poco más cómo funciona la maquinaria underground de los atacantes a la hora de blanquear capitales y/o efectuar compras ilegítimas mediante medios de pago (tarjetas en este caso) robados fraudulentamente.

Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.

Esta técnica funciona particularmente bien por varios motivos:

* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.

* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.

* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.

Consejos para evitar ser parte de una operación ilegítima de este tipo

El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de "como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada". Esta falsa creencia es la que alimenta que existan tramas como la descrita.

Fuente:
http://www.sahw.com/wp/archivos/2008/08/18/tecnicas-de-fraude-tecnologico-dropping-en-el-uso-ilegitimo-de-medios-de-pago/

Comprometidos servidores de Fedora y Red Hat

2008-08-24T22:30:00.005-07:00

Red Hat acaba de confirmar que varios de sus servidores resultaron comprometidos por un atacante la semana pasada. El intruso logró firmar varios paquetes de OpenSSH para diversas versiones de Red Hat Entreprise Linux. Los paquetes afectados ya han sido sustituidos, pero Red Hat provee a sus usuarios de un script para permitirles comprobar si disponen de una versión comprometida. La empresa sin embargo insiste en que quienes actualizan sus sistemas vía Red Hat Network no tienen en ningún caso de qué preocuparse.

En el caso de Fedora, uno de los servidores comprometidos (hospedados por Red Hat Inc) ha sido el que contenía la clave utilizada para firmar sus paquetes. Aunque el análisis forense del equipo ha demostrado que el intruso no pudo hacerse con la contraseña necesaria para desbloquear la clave de firma, en Fedora han procedido a sustituir la clave como medida de precaución. Fedora asegura que ningún paquete fue manipulado, pero aún así está procediendo a firmarlos con la nueva clave.

No es la primera vez que resultan comprometidos servidores de distribuciones Linux. Hace ahora justo un año, tanto Gentoo como Ubuntu sufrieron incidencias embarazosas similares...

Fuentes:
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat
http://rhn.redhat.com/errata/RHSA-2008-0855.html
http://www.redhat.com/security/data/openssh-blacklist.html
http://www.kriptopolis.org/comprometidos-servidores-fedora-redhat

Roban informe que pone en duda edades de gimnastas Chinas

2008-08-24T22:30:00.003-07:00

Un hacker publicó documentos del gobierno chino donde se muestra que dos medallistas de ese país en las barras asimétricas durante las olimpiadas de Beijing tendrían menos edad de la requerida para participar en las olimpiadas.

Este informa publicado por el Hacker identificado como Stryde.hax provocó que el Comité Olímpico Internacional solicite a la Federación Internacional de Gimnasia registros sobre la edad de las competidoras.

"Stryde.hax" publicó una supuesta lista con nombres, ciudades de origen y fechas de nacimiento de cientos de gimnastas chinas. El documento, titulado "Tabla de Registro Nacional de Gimnasia del 2006" está fechado el 20 de febrero del 20006 e incluye a dos miembros del equipo femenino de gimnasia chino.

He Kexin, ganadora del oro olímpico en barras asimétricas, y Yang Yilin, medallista de bronce en la misma prueba, tendrían 14 años según ese registro, mientras que para competir en las olimpiadas es necesario cumplir 16 el mismo año de los Juegos. Tang venció a su vez en la competencia individual y ambas fueron parte de el equipo chino que ganó la presea dorada por equipos.

Fuente:
http://mouse.tercera.cl/detail.asp?story=2008/08/22/18/37/06
http://strydehax.blogspot.com/2008/08/hack-olympics.html
http://strydehax.blogspot.com/2008/08/olympic-hacking-part-ii-lets-go-for.html

Presentaciones de Black Hat Las Vegas 2008

2008-08-24T22:30:00.001-07:00

Ya se encuentran disponibles las presentaciones de Black Hat Las Vegas 2008.
Que las disfruten.

Cristian

Reino Unido pierde los datos personales de miles de delincuentes

2008-08-24T22:29:00.000-07:00

El dispositivo informático extraviado contiene información de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales.

Un dispositivo informático con datos personales de 10.000 delincuentes reincidentes y de 84.000 presos internados en las cárceles de Inglaterra y Gales se ha extraviado en Reino Unido, en un nuevo caso de pérdida de documentos confidenciales, según ha confirmado el Ministerio del Interior británico. El dispositivo de memoria extraíble, de la empresa PA Consulting, guarda también datos de la Computadora Nacional de la Policía acerca de 30.000 personas condenadas por diversos delitos seis o más veces en este país durante el último año.

Una portavoz de Interior ya ha asegurado que se ha abierto una "investigación rigurosa" sobre el suceso y que se ha alertado a la Policía. Por su parte, la oposición conservadora ha criticado duramente al Gobierno porque no es el primer incidente de pérdida de información de este tipo que ocurre este año.

El portavoz de Interior del Partido Conservador, Dominic Grieve, ha señalado que "lo más escandaloso es que no es la primera vez que el Gobierno demuestra ser completamente incapaz de proteger la integridad de información altamente sensible, lo que le incapacita para encomendarle la protección de nuestra seguridad".

A finales de 2007, se perdieron los nombres y números de cuentas bancarias de 25 millones de personas beneficiarias de un subsidio infantil, contenidos en dos discos, así como los datos de más de 7.600 conductores de Irlanda del Norte y de tres millones de datos de estudiantes de conducción en EE UU.

El Ministerio de Defensa del Reino Unido, por su parte, admitió el pasado mes el robo o el extravío de 747 ordenadores portátiles que guardaban información de ese departamento durante los últimos cuatro años. Además, el Gobierno británico perdió en junio pasado documentos confidenciales en varios trenes de cercanías, algunos de ellos con datos sobre la red terrorista Al Qaeda y sobre Irak.

Fuente:
http://www.elpais.com/articulo/internacional/Reino/Unido/pierde/datos/personales/miles/delincuentes/elpepuint/20080822elpepuint_2/Tes

Los crackers golpean los principales sitios Web de Georgia

2008-08-12T00:57:00.006-07:00

Mientras las bombas rusas caen sobre los pueblos separatistas de la antigua república soviética de Georgia, los “mercenarios” digitales se dedican a asaltar las principales páginas web del país, dejando fuera de línea al sitio del Gobierno o al de Asuntos Exteriores de Georgia.

Según el seguimiento hecho por los expertos de seguridad, el sitio Web del Ministerio de Asuntos Exteriores de Georgia (mfa.gov.ge) fue atacado ayer y su página web sustituida con imágenes que comparaban al presidente de Georgia con un nazi. El sitio está en estos momentos caído de la red.

Otras páginas web georgianas, como la Caucasus Network Tbilisi (los servidores de Internet comerciales más importantes de Georgia) siguen siendo objeto de miles de ataques desde PCs infectados que están inundando la red de tal modo que casi resulta imposible acceder a ella.

Los ataques, en apariencia coordinados, mantienen el patrón de guerra cibernética que se viene manteniendo con otras ex – repúblicas soviéticas que han atraído la indignación del gobierno ruso por distintos motivos. El mes pasado, hubo un asalto similar contra el gobierno lituano. En abril de 2007, Estonia sufrió interrupciones en su infraestructura de información por los ataques de crackers rusos que se mostraban contrarios a la retirada de la estatua que conmemoraba la Segunda Guerra Mundial Soviética en el centro de Tallin, capital de Estonia.

Fuente:
http://www.theinquirer.es/2008/08/11/los-crackers-golpean-los-principales-sitios-web-de-georgia.html
http://voices.washingtonpost.com/securityfix/2008/08/georgian_web_sites_under_attac.html?nav=rss_blog

La seguridad de Vista ¿inútil?

2008-08-12T00:57:00.005-07:00

Dos expertos en seguridad han logrado superar las barreras de seguridad impuestas en el último sistema operativo de Microsoft, y han convertido en un juego de niños poder cargar cualquier contenido en el ordenador de la víctima. Los métodos de prevención de intrusiones tales como las tecnologías ASLR o DEP, así como los controles ActiveX y los programas en código .NET o Java quedan totalmente en ridículo ante estos ataques.

Mark Dowd de IBM Internet Security Systems (ISS) y Alexander Sotirov de VMware Inc. ofrecieron una conferencia en el famoso evento de seguridad Black Hat en el que desvelaron nuevos métodos para superar los mecanismos de seguridad impuestos en el último sistema operativo de Microsoft, Windows Vista. Gracias a dicha técnica es posible hacer que tecnologías como Data Execution Prevention (DEP) o Address Space Layout Randomization (ASLR) sean totalmente inútiles, al igual que los basados en controles ActiveX o programas en Java y .NET.

Seguir leyendo

Google Gadgets es un coladero para los ataques

2008-08-12T00:57:00.003-07:00

Los expertos reunidos en Black Hat creen que los usuarios de Google y sobre todo Gmail son más vulnerables a los ataques a través del “agujero” de Google Gadgets.
“El atacante puede instalar Google Gadgets; puede leer el historial de la víctima después de instalar un gadget malicioso en ciertas circunstancias; puede atacar a otros Google Gadgets; robar los nombres de usuario y contraseñas y mucho más”, explicó Robert Hansen, también conocido como RSnake, fundador de la consultora de seguridad SecTheory, y continuó: “de verdad que no hay límite cuando el navegador es controlado por el atacante. Y este hecho se magnifica porque la gente confía en Google como en un dominio seguro, haciendo que los ataques sean aún más fáciles”.

Hansen comentó que los usuarios más vulnerables son aquellos que utilizan Google y Gmail desde el servicio de correo electrónico basado en Web para registrarse. El ataque se produce a través de usuarios que añaden módulos intencionadamente; un usuario puede ser engañado para que añada un módulo malicioso a su página iGoogle. “Estos usuarios utilizan casi todos JavaScript y navegadores web normales, por lo que resulta difícil reconocerlos”, añadió.

Tom Stracener, analista de seguridad de Cenzic está de acuerdo. Las fórmulas son variadas y va extendiéndose conforme aumenta el número de personas que confían en el sitio de creación de página de inicio de Google, incluido las empresas.

Fuente:
http://www.theinquirer.es/2008/08/11/google-gadgets-es-un-coladero-para-los-ataques.html
http://www.infoworld.com/article/08/08/08/Google_Gadgets_an_open_door_for_attack_1.html

Análisis de riesgo gráfico

2008-08-12T00:57:00.001-07:00

Por Omar Alejandro Herrera Reyna

Hace ya unos 6 años publiqué un paper sobre una metodología gráfica de análisis de riesgos. Las referencias todavía están por ahí en Internet pero los sitios donde estaba almacenado el paper ya no parecen estar en línea, así que aquí dejo una liga y el abstract para quien le interese:

Graphical Risk Analysis (GRA): A Methodology To Aid In Modeling Systems For Information Security Risk analysis

Risk analysis for information security, as we know it today, is a difficult task involving experience and extensive knowledge of the environment being analyzed. There are already many methodologies out there but most fall in the category of what we call “check lists” or “questionnaires”.

I will present a methodology, “Graphical Risk Analysis” (GRA), that can aid in risk analysis activities for information security. The approach is based on well-known system security principles and uses diagrams to model the system at different abstract levels. The information security risk analyst can, with this approach, ensure that he/she understands the main business processes which the system environment supports, analyze in detail the critical parts of an information system that are most critical from a business perspective.

GRA intends to be a simple risk analysis methodology focused on availability and dependency of services and systems; although it is not intended to be an all inclusive solution, it will be useful in conjunction with other methodologies, in all information security risk analysis activities.

Fuente: http://candadodigital.blogspot.com/2008/08/papers-anlisis-de-riesgos-grfico.html

Vulnerabilidades en los procesadores Intel podrían comprometer el sistema

2008-08-12T00:56:00.001-07:00

El investigador ruso Kris Kaspersky planea demostrar en una conferencia de seguridad el próximo mes de octubre, vulnerabilidades de los procesadores de Intel que permitirían realizar ataques remotos y tomar el control del equipo, independientemente del sistema operativo que se esté utilizando.

El pasado viernes el especialista señaló que ha estado en comunicación con Intel desde hace un mes y la empresa está centrando su atención en 2 fallas críticas que permitirían ejecutar código arbitrario de forma remota, sin embargo el investigador asegura que existen otros errores no críticos y la empresa por el momento no tiene planes para solucionarlos.

Kaspersky (no la empresa de seguridad Kaspersky Lab) tiene previsto realizar una prueba de concepto y demostrar cómo utilizar código JavaScript o paquetes TCP/IP para efectuar ataques y comprometer los sistemas, sin importar la plataforma en que se basen. Para evitar el caos y los ataques masivos no revelará las partes críticas de su código, sin embargo presentará algunos fragmentos para explicar cómo funciona el ataque.

El especialista también comentó que los errores en los CPUs han contribuido a dañar los discos duros de los equipos sin que los usuarios pudieran detectarlo. De ser demostrados los errores descubiertos, todas las computadoras desde personales hasta servidores, podrían estar en peligro.

Según Kaspersky, "es posible solucionar la mayoría de los bugs e Intel ofrece soluciones para los principales proveedores de BIOS", es decir, el software que controla las funciones más básicas de una PC.

Fuente: http://www.rompecadenas.com.ar/articulos/2045.php

Entrevista a dos maestros de la industria antimalware

2008-08-05T23:20:00.001-07:00

Dos excelentes entrevista y videos realizados por IDG.
He tenido el placer de conocer y cenar con estos maestros de de la industria antivirus. Dos personas excelentes que son conscientes de todo lo que saben y lo comparten sin problemas.
Han trabajado como consultores en distintos lugares y actualmente su conocimiento es invalorable en las empresas en las que trabajan.

Por un lado David Perry Director mundial de formación de Trend Micro, desvela la evolución de los ataques informáticos, qué amenaza la seguridad en la Red y por el otro Larry Bridwell, vicepresidente de estrategias de seguridad global de AVG aporta sus comentarios sobre seguridad en la Red.

Cristian

Fuente:
http://www.idg.es/
http://www.xombra.com/

Mapeando ITIL v.3 y Cobit 4.1

2008-08-05T23:19:00.004-07:00

ISACA ha publicado el documento de mapeo entreITIL V3 y Cobit 4.1; es el resultado de un trabajo que era bastante complicado de hacer, ya que como en los demás documentos de mapeo, se intenta realizar un análisis de cómo se referencia cada uno de los objetivos de control detallados de Cobit en ITIL V3 y para poder hacer esto el equipo de trabajo debe tener grandes conocimientos de ambos extremos de la comparación.

En este estudio ha habido varias cosas que me han llamado la atención: lo primero es la evolución que ha habido en la metodología de realización de estos estudios: si miramos el documento de mapeo de ITIL V2 con Cobit 4.0 (fechado en Enero de 2007) veremos que el nivel de detalle al que se ha llegado en este nuevo análisis es mucho mayor y que ya no es tan absoluto como antes (en el de V2 se analizaba si un objetivo de control se cubre o no, booleano, blanco o negro); sin embargo, ahora hay una escala en la que se habla de cubrir "mucho, poco o nada" un objetivo de control.

Otro de los detalles que me ha parecido interesante es ver de forma gráfica la evolución de ITIL en cuanto al nivel de cobertura a las necesidades de un departamento IT. Si miramos los mapas de cobertura veremos que ITIL V2 cubría una pequeña parte de Cobit (sobre todo en la parte de Deliver and Support, como era de esperar) mientras que la cobertura de V3 es mucho más amplia.

Por último, me llamó la atención ese "agujero" que quedaba en DS... ¿qué pasaba con DS7, que no estaba cubierto?; así que me fui al manual de Cobit a buscar qué era el DS7 y me encontré con una gran sorpresa:

DS7 Educate and Train Users

Impresionante! Según este análisis, ITIL V3 no cubre en ningún aspecto la formación del usuario final. Y al menos por lo que yo he leído, es prácticamente cierto, salvo porque en alguna parte del Service Transition se habla de formar a los usuarios y en V2, en alguna parte de la Gestión de Versiones también se habla de la formación de usuarios. Pero desde luego no es algo a lo que se le preste una atención especial sino que se menciona "de pasada".

¡¡Qué gran carencia!! Visión de servicio? Tratar al usuario como a un cliente? Hacemos de todo para asegurar unos servicios de calidad y no nos acordamos de formar a los usuarios en el uso de los servicios?

Aquí me viene a la cabeza la definición de Mark Toomey sobre el Gobierno de TI y la nueva norma ISO 38500:

Las TIC son una herramienta del negocio. Es responsabilidad del Negocio determinar cómo, cuándo, dónde y porqué utilizará la herramienta y es responsabilidad de IT proporcionar la herramienta que satisfaga estas necesidades.

Pero no sólo estamos hablando de entregar una herramienta que satisfaga las necesidades, sino que también hemos de garantizar que quien ha de usar la herramienta sabrá sacar el máximo partido de ella; y no ya sólo por una visión egoísta del tema, en cuanto a que a medida que los usuarios estén más y mejor formados, menos problemas tendremos en IT (en soporte funcional, técnico o en peticiones, por ejemplo) sino que cuanto más y mejor estén formados los usuarios más partido podrán sacar de las herramientas que les proporcionemos y podrán aportar mayores eficiencias gracias al uso adecuado de las TIC.

Formar a los usuarios es una gran inversión, pero ITIL V3 se olvidó de ello.

Fuente:
www.gobiernotic.es/2008/08/mapping-itil-v3-with-cobit-41.html
http://seguridad-informacion.blogspot.com/2008/08/mapping-itil-v3-with-cobit-41.html
https://www.isaca.org/Template.cfm?Section=home&Template=/ContentManagement/ContentDisplay.cfm&ContentID=43999

OSSTMM 3.0 Lite publicado

2008-08-05T23:19:00.003-07:00

El paso 3 de agosto se publico la versión 3.0 Lite de OSSTMM (Open Source Security Testing Methodology Manual). El manual de 52 paginas tiene el titulo "Introduction and Sample to the Open Source Security Testing Methodology Manual"

El documento es una versión reducida del OSSTMM version 3.0, pero incluye "Data Networking tests" así como instrucciones sobre como implementarlo.

Table of Contents
- Introduction to the OSSTMM
- Compliance
- Security Test Types
- Methodology By Channel
- Testing Data Networks
- Security Test Audit Report (STAR)

Fuente: http://seguridad-informacion.blogspot.com/2008/08/osstmm-30-lite-publicly-released.html

Crackers contra Twitter

2008-08-05T23:19:00.001-07:00

La red de 'micro blogs' recibe el primer ataque documentado desde su creación.

Los delincuentes informáticos han puesto su punto de mira en las redes sociales, donde millones de internautas de todo el mundo comparten a diario millones de fotos, vídeos y experiencias. La última víctima ha sido el site de micro blogging Twitter.

Según informa la web de la BBC, un grupo de crackers brasileños estaría utilizando un perfil falso de Twitter para distribuir un virus del tipo gusano entre los usuarios del site.

Así, utilizando como gancho un inexistente vídeo de contenido pornográfico, los ciberdelincuentes remiten a los incautos twitteros a una página desde la que, supuestamente, se descargan una nueva versión del programa necesario para visualizar el vídeo (en este caso, Adobe Flash). Pero, en su lugar, se instala en el ordenador un virus programado para robar los datos del internauta. Este virus únicamente afecta a los usuarios de Windows.

El ataque, descubierto por la firma de seguridad en Internet Karspersky, es el primero documentado en la famosa red social.

El anuncio sigue a otros dos realizados por la misma firma sobre sendos virus diseñados para infectar a los usuarios de MySpace y Facebook, dos de las redes sociales más importantes del mundo. Según Karspersky, los gusanos convierten las máquinas infectadas en zombis al servicio de los crackers y cuyo cometido es mandar spam (correo electrónico no deseado), lanzar ataques de phising o, simplemente, robar datos personales.

"Desafortunadamente", asegura uno de los analistas de Karspersky, Alexander Gostev, "los usuarios confían demasiado en los mensajes que les envían sus contactos en las redes sociales, por lo que la probabilidad de que un usuario pinche en un enlace como estos es muy alta".

Fuente: http://www.elpais.com/articulo/internet/Crackers/Twitter/elpeputec/20080805elpepunet_9/Tes

Anuncian desbloqueo del iPhone 3G vía tarjeta SIM

2008-08-05T23:18:00.004-07:00

Aún no es posible usar el iPhone 3G con cualquier compañía, pero está claro que los señores hackers ya están trabajando en un software que solucione ese inconveniente. Mientras tanto, USB Fever, una compañía que vende accesorios para teléfonos celulares, ha anunciado que el 20 de agosto próximo comenzará a vender una tarjeta de desbloqueo SIM para el iPhone 3G, la cual te permitirá usar el celular de Apple con tu proveedor favorito.

La tarjeta en cuestión es muy delgada (0.10mm), lleva incorporado un microcontrolador; y se coloca entre la tarjeta SIM de tu compañía y el conector SIM del teléfono. Según USB Fever, esta es una manera muy sencilla de desbloquear el iPhone 3G, y sin riesgo de dañar el equipo o perder la garantía. ¿Cuanto? USD34.99. Pero claro, primero necesitas un conseguir el famoso teléfono.

Fuente:
http://www.usbfever.com/index_eproduct_view.php?products_id=624
http://www.fayerwayer.com/2008/08/anuncian-desbloqueo-del-iphone-3g-via-tarjeta-sim/

Guía de Seguridad de Windows Vista

2008-08-05T23:18:00.003-07:00

La guía de seguridad de Windows Vista es un recurso único para todo administrador o usuario avanzado que desee tener un entorno seguro. A día de hoy está disponible en Inglés la versión 1.2 y la puedes descargar del siguiente URL: Guía de Seguridad de Windows Vista.

Aquí tienes una breve descripción de los temas tocados en las 100 páginas que conforman esta guía.

Capítulo 1: Implementar la línea base de seguridad

Este capítulo está dedicado a los conceptos clave de la fortificación de una plataforma Windows. En él se analiza cual es proceso de creación de la llamda línea base de seguridad, es decir, los principios comunes que deben aplicarse a máquinas en stand-alone o clientes en entornos corporativos. En él se introduce la herrmiaent GPOAccelerator, para la edición de políticas en clientes Windows Vista.

Capítulo 2: Defensa contra el Malware.

En este capítulo de la guía se analizan las tecnologías que Windows Vista ofrece para luchar contra la inclusión de software no deseado dentro de la plataforma. Así como se dan recomendaciones de uso del sistema, se estudia el funcionamiento del Userr Account Control, de Windows Defender, la configuración y uso de Windows Firewall, el Windows Security Center, como funciona la Malicious Software Removal Tool o como se configuran las Software Restriction Policies. Especial atención se presta en este capítulo a la fortificación de Internet Explorer 7, dónde se anliza el Modo Protegido, la configuración de componentes Activex mediante ActiveX Ipt-in, la protección Cross-Domain Scripting Attack, como funciona la Security Status Bar y el Filtro Anti-Phising, la gestión de Add-ons, y otras opciones de seguridad que acompañan a IE7 como Binary Behavior Security Restriction, Consistent MIME Handling, Local Machine Zone Lockdown Security, MIME Sniffing Safety Feature, MK Protocol Security Restriction, Network Protocol Lockdown, Object Caching Protection, Protection From Zone Elevation, Restrict ActiveX Install, Restrict File Download o Scripted Windows Security Restrictions.

Capítulo 3: Protección de datos sensibles.

Este capítulo se centra en la protección de datos mediante el uso de BitLocker Drive Encryption, EFS (Encrypting File System), el suo de los Rights Management Services y la configuración del control de dispositivos. Un capítulo dedicado a los algoritmos y herramientas de cifrado en Windows Vista.

Capítulo 4: Compatibilidad de aplicaciones

En esta parte de la guía se trata uno de los temas más calientes en el uso de Windows Vista. Está centrado en la compatibilidad de aplicaciones que no es completa, debido al cambio en la arquitectura, con sistemas operativos anteriores. En este apartado de la guía se ven las comprobaciones de compatibilidad que deben hacerse, las temas importantes a tener en cuenta y las herramientas y recursos disponibles para lograr la máxima compatibilidad de aplicaciones en una migración de sistema operativo.

Capítulo 5: Seguridad Especializada - Funcionalmente Limitado

El último capítulo está dedicado a la fortificación de sistemas en entornos limitados. Así se tratan temas como la restricción de servicios, el acceso a datos, el acceso restrigido de red, como fortificar las conexiones mediante el filtrado de red, y como implementar políticas de seguridad utilizando la herramienta GPOAccelerator Tool

Más información (Vista-Técnica)

Descargar la guía de seguridad de Windows Vista

Fuente: http://www.dragonjar.org/guia-de-seguridad-de-windows-vista.xhtml

El robo de notebooks llega a 54% de los delitos que sufren las empresas

2008-08-05T23:18:00.001-07:00

El 71% de los atracos de portátiles tiene como sospechosos al propio personal interno de las compañías. Por cada unidad, las firmas pierden 61.000 dólares.

Un estudio realizado entre empresas internacionales, las compañías sufren importantes pérdidas de capital y de información con cada denuncia de robo o extravío de las notebooks con las que proveen a sus empleados.

En este contexto, la investigación mostró que el 71% de las denuncias recibidas tuvieron por sospechosos a personal interno, ya sea de empleados que están prontos a dejar sus puestos o de personal contratado a terceros y que realizan tareas desde las oficinas del cliente.

"Este dato justificaría que el 54% de los delitos que sufren las empresas estén vinculados al robo de notebooks, ya que cerca del 34% de los empleados guarda en ellas los usuarios y códigos de acceso a documentos clasificados, aplicaciones y datos sensibles de las empresas para las que trabajan", explica un comunicado de prensa de LoJack.

En este sentido, según el informe, "las empresas pierden un promedio de u$s61.000 por cada notebook que sus empleados denuncian como robada o perdida".

Escasa cobertura
"El principal problema que tienen las empresas es que no han desarrollado políticas que les permitan garantizar el resguardo de la información que manejan sus empleados, ya sea porque no existen políticas y una autoridad visibles en la materia o por falta de una eficiente inducción durante el proceso de capacitación del empleado", señala Carlos Mackinlay (h), Gerente General de LoJack Argentina.

"Hemos visto que en los casos donde la empresa no ha tomado medidas para prevenir el robo o implementar medidas para recuperar las notebooks, el 97% máquinas denunciadas jamás fue recuperado", dijo el ejecutivo.

Fuente: http://www.infobae.com/contenidos/395736-100918-0-El-robo-de-notebooks-llega-a-de-los-delitos-que-sufren-las-empresas

El Messenger demuestra la teoría de los seis grados

2008-08-05T23:17:00.003-07:00

Un estudio de Microsoft confirma que dos personas cualesquiera están separadas, como mucho, por seis eslabones.
La leyenda urbana dice que todos estamos relacionados con cualquier otra persona del planeta por no más de seis grados de separación y Microsoft acaba de demostrar que es cierto, aunque no son seis grados sino casi siete.

Un estudio de Microsoft, recogido este lunes por la prensa de Estados Unidos, corrobora que dos individuos cualesquiera están conectados entre sí por no más de 6,6 grados de separación, es decir, que son necesarios siete o menos intermediarios para relacionarlos.

Para demostrar que a nadie le separan más de siete pasos de George Clooney o Angelina Jolie, el gigante del software ha utilizado 30.000 millones de conversaciones electrónicas de 180 millones de usuarios de su servicio de mensajería instantánea Messenger.

El estudio, que usó datos de 2006, partió de la base que dos personas se conocían si habían intercambiado al menos un mensaje de texto.

Los investigadores descubrieron que cualquier par de usuarios estaba interconectado por una media de 6,6 eslabones, aunque en algunos casos eran necesarios hasta 29 para relacionar a dos personas.

"Esta es la primera vez que una red social a escala planetaria ha logrado validar la teoría de los seis grados de separación", señalan Eric Horvitz y Jure Leskovec, responsables del estudio, al diario The Washington Post.

Desde la década de los sesenta, diferentes investigadores han indagado en las interconexiones entre los seres humanos, intentando demostrar que, en realidad, la cadena entre un campesino en Camboya y un multimillonario estadounidense, por ejemplo, es más corta de lo que parece.

Curiosamente, casi todos los estudios llegaron a un número de interconexiones en torno al seis.

Con la llegada del correo electrónico y las redes sociales en Internet, la teoría de los "seis grados de separación" ganó en popularidad, inspirando la creación de varios juegos en la Red.

Fuente: http://www.elpais.com/articulo/internet/Messenger/demuestra/teoria/grados/elpeputec/20080804elpepunet_7/Tes

La Justicia aceptó que el empleado "infiel" difunda información

2008-08-05T23:17:00.001-07:00

El juez hizo lugar a una medida cautelar para que Arbizu pueda dar a conocer los datos que obtuvo en forma ilícita tras la relación laboral con JP Morgan.

La Justicia en lo Comercial rechazó un planteo de la banca estadounidense JP Morgan para prohibirle a un presunto empleado infiel, a su abogado y a todos los medios de comunicación, la difusión de bases de datos que habrían sido robadas y que contendrían información "confidencial y privilegiada" sobre sus clientes en Latinoamérica.

El juez en lo comercial Javier Cosentino aceptó parcialmente una medida cautelar pedida para que el supuesto empleado infiel, Hernán Arbizu, sospechado de una estafa del orden de los u$s2,7 millones, difunda públicamente esa información que habría "obtenido ilícitamente como consecuencia de la relación laboral que lo vinculara con el JP Morgan o la cartera de clientes de éste".

Sin embargo, la resolución advierte que esa prohibición "no debe afectar aquella información que eventualmente pudiera brindar el demandado en las acciones penales iniciadas en su contra", de modo tal que si fuera necesario para garantizar su derecho de defensa, la medida cautelar no tendría vigencia, según publicó DyN.

El juez Cosentino rechazó que la restricción informativa fuera aplicada al abogado de Arbizu, Pablo Argibay Molina, "y a cualquier persona y medio técnico de comunicación social que obtuvieren la información cuestionada".

"La acreditación de la conducta sindicada al demandado respecto del apoderamiento de dicha información y su entrega a medios masivos de difusión pública sólo puede, en esta instancia, basarse en circunstancias presuncionales pues, a diferencia de otras posibles afectaciones, ésta no se caracterizaría por una evidencia obvia", sostuvo el juez.

JP Morgan sostuvo que Arbizu habría robado bases de datos que contendrían información sobre los clientes de la banca en la región latinoamericana, por lo que "su eventual divulgación masiva podría traer como consecuencia el descrédito y la falta de confianza que constituyen para cualquier entidad financiera factores determinantes que inciden directamente en el regular desenvolvimiento dela entidad".

Al rechazar la cautelar contra el abogado y contra los medios de comunicación, el juez advirtió que "acceder a la prohibición con la amplitud requerida importaría un avasallamiento improcedente sobre derechos de terceros, que podrían ver restringido su derecho de información por causa ajena a su responsabilidad".

"La acción de informar ha de ser preservada al máximo a fin de garantizar el pleno ejercicio del derecho de información, que constituye al periodismo en reducto privilegiado para el pleno ejercicio de la libertad de expresión autónoma", resumió, citando jurisprudencia de la Corte.

Fuente:
http://www.infobaeprofesional.com/notas/70014-La-Justicia-acepto-que-el-empleado-infiel-difunda-informacion.html&cookie

Las amenazas online cuestan a los consumidores 8.500 millones de dólares

2008-08-05T23:16:00.000-07:00

Los problemas de seguridad llegan a ser uno de los principales motivos por lo que los usuarios se compran un nuevo ordenador.

En los últimos dos años los consumidores han perdido casi 8.500 millones de dólares gracias a los virus, spyware y ataques de phishing. Pero los problemas de seguridad han sido buenos para el negocio, ya que los consumidores han reemplazado 2,1 millones de equipos debido a infecciones de malware. Los datos de este curioso informe, publicado por Consumer Reports, proceden de una encuesta realizada a 2.071 hogares a través de Internet.

Entre otros datos notables destaca que uno de cada seis usuarios han sido víctimas del cibercrimen, frente al porcentaje de uno de cada cuatro del año anterior; el 19 por ciento de los que han respondido la encuesta afirman no tener antivirus en sus ordenadores; y un 75 por ciento dicen que no tienen una herramienta anti-phishing.

Consumer Report ha hecho una lista de lo que considera que son los siete errores online más comunes: no contar con un antivirus actualizado es el primero, seguido de acceder a sites financiero a través de enlaces que llegan a través de correos electrónicos; la descarga de software gratuito, o freeware es otros de los errores considerados por Consumer Report, además de asumir sin más que los Macs son más seguros que los PCs basados en Windows; pulsar las ventanas emergentes que afirman que tu ordenador está en riesgo y hacer compras online sin tomar precauciones extra son los dos últimos riesgos determinados por Consumer Report.

Fuente: http://www.identidadrobada.com/site/index.php?idSeccion=19&idNota=1860

España, número uno en Phishing

2008-08-05T23:15:00.000-07:00

Según un informa que dio a conocer IBM, los números respecto al phishing no son nada alentadores para el país ibérico: España resultó ser el país desde el que más se emitió este tipo de correo electrónico durante la primera mitad del año.

Recordemos que el phishing es la técnica de fraude online creada por los ciber-delincuentes que tiene como objetivo el robo de información personal del usuario, generalmente datos como número de cuentas bancarias o tarjetas de crédito, claves, etc.

Uno de los métodos más comunes es el de enviar e-mails que simulan provenir de bancos o entidades financieras reales y que, bajo la excusa de necesitar los datos personales para actualizar la base, renovar la tarjeta o alguna similar, piden la información personal a la víctima potencial, generalmente incluyendo un link falso en el cuerpo del mail al que se debe ingresar para cargar la información.

Pues bien, resulta ser que casi el 17% de este tipo de estafa provino de España, por lo que el país europeo quedó en primer lugar en la lista provista por IBM. Esto no significa que ese porcentaje haya sido creado ahí, pero sí que provino de servidores locales controlados en forma remota para este fin. Incluso se pudo ver que la mayoría de los links que incluyen en los correos se dirigen a servidores de Corea del Sur y los Estados Unidos (más del 50% entre los dos).

En cuanto al spam, también España está en uno de los primeros lugares: como emisor de correo basura, se encuentra en quinto puesto con casi 4% del total. Otro dato revelado en este informe es que en sólo el primer semestre, ya se registraron más de 3.500 vulnerabilidades, lo que representa un 5% más que en el mismo período del año anterior.

Fuente: http://www.rompecadenas.com.ar/articulos/2039.php

¿Pueden las empresas revisar el correo electrónico de sus empleados?

2008-07-31T21:04:00.002-07:00

Luego de la sanción de la Ley de Delitos Informáticos, expertos revelan si las firmas tienen control sobre esa herramienta informática. Advierten que si las compañías no adoptan políticas claras sobre el uso del mail pueden producirse reclamos.

La reciente sanción de la Ley sobre Delitos Informáticos (LDI) volvió a colocar en el centro de la escena un interrogante clave: ¿Es legítimo que las compañías, para preservar la confidencialidad de su información, accedan y controlen los mails corporativos de sus empleados?.

Los especialistas sostienen que uno de los activos más preciados de las empresas son sus intangibles. Valiosos bienes como patentes y diseños de invención, en muchas oportunidades, son vulnerados por "empleados infieles" quienes lucran traficando esa información.

En este contexto las empresas, en procura de proteger su información sensible, extreman los recaudos y llegan a monitorear los datos enviados por sus empleados a través de los correos electrónicos.

Sin embargo, esta facultad de control genera en muchas ocasiones conflictos legales, ya que los empleados argumentan que, al revisar sus mails, la empresa vulnera su esfera de intimidad y privacidad.

La situación se torna más compleja aún teniendo en cuenta la reciente sanción de la LDI, que arroja un nuevo ingrediente a la cuestión. Sucede que esa norma reprime el acceso indebido a las comunicaciones electrónicas, entre las que, obviamente, se encuentran los mails.

Dentro de este contexto, y analizado el marco normativo, los expertos señalan que están en pugna dos derechos: por un lado, el resguardo de la privacidad de las comunicaciones de los trabajadores y, por el otro, la facultad de control que tienen las compañías respecto de la información corporativa.

Frente a ello, y teniendo en cuenta las consecuencias y eventuales reclamos que pudieran derivarse de un control indebido o excesivo por parte de los empleadores, los expertos recomiendan que las empresas implementen una clara política de privacidad.

Política de privacidad
Pablo Palazzi, socio de Allende & Brea, argumentó que luego de la reciente sanción de la LDI las compañías deberán ser cuidadosas en el uso que hagan de la tecnología, ya que a partir de esa ley es delito interceptar un correo electrónico sin permiso.

“Por eso, las empresas deberán tener en práctica y comunicar internamente una adecuada política de privacidad que, en forma clara y definida, informe a sus empleados cuáles son los límites en el uso de las herramientas de la empresa y cuáles son las consecuencias”.

El especialista consideró que “es importante dejar claro si la empresa ejercerá un control sobre el correo electrónico del trabajador y de qué forma”.

Palazzi recalcó que si se adoptan estas previsiones y se comunican estas circunstancias al empleado, la empresa estará legitimada para realizar estos controles.

Autorización expresa
Diego Carbone, socio de Alesina & Asociados, consideró que si la empresa obtiene las autorizaciones respectivas del empleado, quedará a salvo de posteriores reclamos judiciales por parte de éstos.

“El trabajador puede autorizar una intrusión a su ámbito de reserva. De ese modo, si el empleador cuenta con una autorización escrita para que se le monitoree su correo electrónico, no habrá acceso ilegítimo ni violación a la privacidad y mucho menos la comisión de un delito”.

“Esa autorización debe ser expresa y escrita –puede ser volcada en el contrato de trabajo- no debiendo interpretarla concedida en caso de silencio, ni frente a una tecnología que de por sí no genere expectativa de privacidad”.

Sin embargo, el especialista advirtió que el uso indebido no autoriza directamente el despido. “Parte de la jurisprudencia entiende que resulta necesario previamente la imposición de otras sanciones y apercibimientos”, concluyó.

Divididos
Ricardo Sáenz, Fiscal de la cámara en lo Criminal y Correccional, dijo que la jurisprudencia se encuentra dividida respecto al criterio a adoptar en el caso de la revisión o control de los mails corporativos.

“Una parte de los jueces considera que si la empresa comunica al empleado que el correo institucional puede ser revisado y el trabajador presta su consentimiento, la compañía queda habilitada para controlar los mails e imponer sanciones en caso de un uso indebido”, afirmó.

Sin embargo, Sáenz aclaró que otro grupo de jueces consideran que la privacidad de los trabajadores no resulta un bien disponible y que, en consecuencia, el empleador no podrá revisar las comunicaciones electrónicas sin orden judicial”.

La cuestión a la luz de las sentencias
La sanción de la LDI es reciente y aún no existen pronunciamientos concretos que hayan fijado algún criterio respecto de si el control por parte del empleador de los mails de sus trabajadores resulta indebido, y en su caso, un delito.

Sin embargo, y desde otro ángulo, la cuestión ha sido resuelta por la justicia laboral, quién fijó determinadas pautas respecto de cómo, cuándo y en qué circunstancias pueden revisarse los correos electrónicos de los empleados, destacó Carbone.

Así, en las causas “Gimenez Victoria c/ Creae Sistemas S.A. s/ despido” y “Zitelli, Gustavo Martin c/ Fibertel S.A. s/ despido” se fijaron las siguientes pautas orientadoras:

El uso indebido del mail e internet por el empleado puede estar prohibido, así como la reserva de la propiedad de los correos corporativos en cabeza de la empresa.
Pero es necesario que haya políticas claras sobre el uso de esas herramientas desde el inicio de la relación laboral o bien a partir del momento en que se instrumenten.
Los empleados deben estar notificados fehacientemente de la política de la empresa sobre la utilización de las herramientas informáticas y el correo electrónico corporativo.
Para monitorear y controlar sus comunicaciones con el mail de la empresa y hasta sus llamadas telefónicas laborales sin afectar el derecho a la intimidad es necesario el consentimiento previo expreso del empleado autorizando al empleador.

Finalmente, concluyeron que el uso indebido no autoriza directamente el despido y que resulta necesario previamente la imposición de otras sanciones y apercibimientos al trabajador.

Fuente:
http://abogados.infobaeprofesional.com/notas/69731-Pueden-las-empresas-revisar-el-correo-electronico-de-sus-empleados.html?cookie

Jugando sucio, un análisis del malware en juegos en línea

2008-07-31T21:04:00.001-07:00

Por Cristian Borghello

Este artículo es un informe técnico acerca del funcionamiento de la familia de troyanos de Win32/PSW.OnLineGames que tiene como objetivo los usuarios y contraseñas de los gamers.

En el artículo jugando sucio se detalla la evolución y la metodología de este tipo de troyanos creados para robar usuarios y contraseñas de usuarios de juegos como Lineage, World of Warcraft, Second Life, entre otros. Además, se detallan una serie de consejos para prevenirse de esta amenaza.

Virtualización: ¿más seguridad o nuevos riesgos?

2008-07-31T21:03:00.000-07:00

Por Ralf Benzmüller, director del Laboratório de Seguridad de G DATA.

La virtualización está de moda, empezando porque no se trata de algo pasajero o transitorio, y siguiendo porque sus ventajas hablan por sí solas: consolidación de servidores, almacenamiento virtual, flexibilidad, ahorro de costes, integración de arquitecturas y un largo etcétera de posibilidades, entre las que destacan la gestión centralizada y simplificada de los sistemas y, finalmente, nuevas capacidades en materia de seguridad.

En paralelo, los creadores de malware también están al tanto de su creciente expansión y ya están volcando sus esfuerzos en aprovechar nuevas oportunidades para seguir en su incesante carrera destructiva, en la que la sorpresa y la pronta actuación son algunas de sus tristes señas de identidad. Al respecto, los cibercriminales ya han conseguido explotar la virtualización con nuevos y dañinos rootkits, una herramienta que se utiliza para esconder aplicaciones que atacan al sistema, como Blue Pill, un código malicioso que hace referencia a la píldora azul que se le ofrecía al protagonista del filme Matrix para seguir viviendo engañado bajo un mundo virtualizado, frente a la roja que le despertaba a la realidad.

Trasladada la metáfora al caso que nos atañe, el de la seguridad informática, Blue Pill se disfraza de falso sistema operativo y, utilizando técnicas de virtualización, consigue engañar al usuario de forma que éste sea incapaz de distinguir la realidad, de forma que no podría saber si se encuentra utilizando un sistema infectado que, además, ha sido específicamente diseñado para causar daño. El atacante, aprovechando la citada capacidad de virtualización de los nuevos procesadores de Intel y AMD, instala de forma remota una herramienta de este tipo, con lo que el usuario ni tan siquiera llega a ser consciente del peligro que corre.

En contraposición al dañino Blue Pill, surge la iniciativa Red Pill, que abanderando la corriente de los salvadores en la citada película de los hermanos Wachowski, tiene el objetivo de detectar si el sistema operativo que utilizamos está siendo ejecutado en un entorno virtual o real, para que el usuario pueda volver a tener la confianza de que todo marcha como debería. En esta tarea estamos actualmente involucrados los principales fabricantes de seguridad del mercado, y no es para menos.

Dejando atrás este inquietante asunto, conviene mirar la otra cara de la moneda: la de la virtualización como aliado en aras de una mayor seguridad. Con aplicaciones en Java y .Net ejecutadas ahora en entornos virtuales, el sistema queda menos expuesto a múltiples variantes de código malicioso, y a su vez el sistema operativo pone en marcha procesos en entornos virtualizados, mientras que otras aplicaciones de uso habitual como buscadores o correo electrónico también pueden correr en entornos virtuales.

De esta forma, los cambios en las aplicaciones o en las máquinas virtuales no afectarían al verdadero sistema principal, con lo que la capacidad de propagación del código dañino también sería virtual, y no real. Es lo que se conoce como “cajón de arena”, en referencia a aquellos entornos seguros en los que nuestros hijos pueden jugar sin miedo a hacerse daño al caer.

En definitiva, vemos cómo la virtualización en materia de seguridad puede presentar riesgos –como suele suceder con toda tecnología novedosa, y máxime con la industria del malware tratando de explorar permanentemente nuevos métodos con los que hacer daño-, pero sus ventajas se presentan como francamente interesantes para los gestores TI.

La revolución no ha hecho más que comenzar.
Fuente: http://www.financialtech-mag.com/000_estructura/index.php?ntt=10459&vn=1&sec=4&idb=163

Google dice que “la privacidad completa no existe”

2008-07-31T21:02:00.000-07:00

Es el argumento empleado por el gigante de Internet, en la presentación de su defensa en el caso de la demanda de la pareja de Pensilvania que acusó a su servicio Street View de invasión intencionada de su privacidad.

Como sabéis el servicio Street View integrado en Google Maps ofrece imágenes de calles de algunas de las principales ciudades de Estados Unidos (próximamente las europeas) a base de fotografías en 360 º. Una herramienta fantástica pero polémica desde sus inicios y que se suma a las acusaciones de invasión de la intimidad de otros servicios de Google.

Aunque la demanda de la pareja estadounidense, que dicen les ha ocasionado “sufrimiento mental y devaluación de sus bienes”, parece un intento oportunista de conseguir dinero fácil (piden 25.000 dólares por daños), pone en evidencia la política global de privacidad que emplea Google, acusado de intromisiones a la hora de recabar datos de ciudadanos e internautas y su posterior tratamiento.

Está por ver que el argumento empleado por Google indicando que con la tecnología actual de imágenes por satélite “la privacidad completa no existe ni siquiera en los desiertos”, sea suficiente para convencer a su señoría. Recordemos que aunque la demanda nos parezca absurda, la vivienda en cuestión está marcada claramente como propiedad privada y la vía en la que se encuentra en una zona restringida.

Es indudable que Google pone a disposición de los usuarios excelentes herramientas web pero a cambio, según sus críticos, la convierten en la compañía con más información de las actividades online de los internautas y la dotan de una capacidad sin precedentes para el espionaje de usuarios.

Fuente:
http://www.theinquirer.es/2008/07/31/google-dice-que-%E2%80%9Cla-privacidad-completa-no-existe%E2%80%9D.html

No hay delitos que no estén vinculados con la informática

2008-07-25T09:14:00.000-07:00

Abogados especializados en delitos de alta tecnología y un fiscal analizaron los alcances de la nueva ley que castiga los ilícitos informáticos.

No hay ninguna actividad delictiva que no tenga algún soporte o vinculación con las tecnologías de la información y la comunicación (TIC), según coincidieron los principales abogados del país especializados en delitos informáticos y un fiscal de cámara durante la conferencia organizada por Infobaeprofesional.com sobre la reciente reforma del Código Penal que incluyó las practicas dolosas que se realizan a través de computadoras, Internet y telefonía.

Aunque los expositores afirmaron que con la ley 26.388, sancionada en junio en el Congreso, la Argentina se encuentra en América latina a la vanguardia de la legislación de delitos informáticos, advirtieron que quedan varios “lagunas” pendientes por legislar, como por ejemplo los procedimientos legales para capturar y resguardar las pruebas digitales de estas actividades ilícitas.

Ante unos 200 participantes, que colmaron el Salón Pampa del hotel Sheraton Buenos Aires, el fiscal de la Nación Ricardo Sáenz, los abogados Pablo Palazzi (Estudio Allende Brea), Mauricio de Nuñez (del estudio homónimo) y Jorge Vega-Iracelay (director de Asuntos Legales de Microsoft Cono Sur), y Ezequiel Sallis (director de Root Secure) respondieron a los interrogantes planteados en la convocatoria de Infobaeprofesional.com acerca de los alcances de la denominada “ley de delitos informáticos” para las personas y las organizaciones estatales, judiciales y empresarias.

Coordinados por el abogado Daniel Monastersky (titular de Identidad Robada), los panelistas analizaron la nueva legislación, en la cual algunos de ellos, como De Núñez y Palazzi, participaron en su redacción.

El volumen del cibercrimen ya supera al del narcotráfico, según dijo Vega-Iracelay, citando informes periodísticos de 2007 en los Estados Unidos. A nivel mundial los delitos informáticos superaron los 106.000 millones de dólares.

¿Cuál es el marco legal en la Argentina para enfrentar a esta gigantesca actividad delictiva? “La tecnología va más rápida que las leyes”, respondió el fiscal Sáenz. “El delito va mucho más rápido que las regulaciones”, coincidió De Nuñez.

Tanto el funcionario judicial como De Nuñez coincidieron en señalar que “todos los delitos prácticamente pueden ser cometidos por medios informáticos”. “No hay delito que no esté vinculado a la informática”, afirmó De Nuñez. Sáenz sustentó estas afirmaciones con una experiencia cotidiana para él: señaló que en cualquier procedimiento policial por cualquier delito que sea, se secuestran los equipos informáticos que se encuentren en el lugar del operativo.

Ley necesaria

Ricardo Sáenz (foto superior), Fiscal General de la Cámara de Apelaciones en lo Criminal y Correccional dijo que “la sanción de la Ley de Delitos Informáticos era absolutamente necesaria” y que “ahora quedamos en el primer lugar en cuanto a este tipo de legislación en América Latina”.

El funcionario opinó que en la medida en que la actual ley brinda herramientas para investigar y perseguir este tipo de delitos habrá una mayor protección legal en beneficio de los usuarios de los servicios informáticos.

El fiscal precisó que la reciente reforma al Código Penal sólo reprime la comisión de delitos dolosos, es decir, aquellos producidos con la intención y voluntad de producir el daño.

“Por eso las empresas no deben preocuparse cuando deban intervenir los sistemas o acceder a comunicaciones, por ejemplo, para reparar sus sistemas o servidores. En este último caso hay una causa justificada que legitima el acceso e impide la comisión del posible delito”, afirmó.

En lo referente a la efectividad de la flamante ley, Sáenz puntualizó que los jueces y fiscales deberán capacitarse en lo relativo a los desafíos que implican las nuevas tecnologías, para que el magistrado no resulte cautivo de las opiniones de los peritos al momento de resolver los juicios.

“En este temática, y ante la falta de capacitación adecuada, se puede correr el peligro de que el técnico se convierta en el juez de la causa si éste no se capacita”, puntualizó.

El acceso indebido

Pablo Palazzi (en la foto superior), socio de Allende & Brea explicó que la nueva ley protege, en líneas generales, la violación de la comunicación electrónica y el acceso indebido al correo electrónico.

No sólo la norma tutela a los e-mails sino también reprime el acceso indebido de las comunicaciones por mensajería instantánea, los mensajes de texto y cualquier otra forma de comunicación desarrollada por las nuevas tecnologías.

El abogado recalcó que el presupuesto para que se haga efectivo la responsabilidad es la “intromisión indebida”; es decir que una persona sin permiso, derecho o autorización acceda a las comunicaciones electrónicas.

Por eso Palazzi recalcó que esa intromisión indebida no se produce cuando, por ejemplo, por razones de servicio el proveedor informa al usuario que desviará o eliminará mails basura de su cuenta y éste presta su consentimiento.

El letrado también agregó que la nueva norma reprime los daños informáticos, que se configuran cuando se produce una destrucción de archivos y comunicaciones, como así también cuando intencionalmente se distribuyen programas que causen daños en los sistemas informáticos.

La visión de Microsoft
Jorge Vega Iracelay (en la foto superior), Director de Asuntos Jurídicos y Corporativos de Microsoft recalcó que, a nivel mundial, el crimen cibernético es más lucrativo incluso que el tráfico de drogas, por eso aplaudió la sanción de la nueva ley.
Expresó que la reciente ley equiparó las comunicaciones electrónicas con la correspondencia epistolar en cuanto a la protección de la intimidad y confidencialidad.
El directivo confirmó que “la sanción de la ley es un gran avance y otorga seguridad jurídica al tipificar delitos que antes no tenían castigo”.
Vega Iracelay dijo que la normativa “tipifica con precisión las conductas delictivas que se comenten mediante el empleo de las nuevas tecnologías, llenando de esta manera las lagunas normativas”.

Responsabilidad empresaria

Mauricio De Nuñez (en la foto superior), titular de Mauricio de Nuñez & Asociados estableció que la ley pena aquellas conductas disvaliosas que se producen con el uso de las tecnologías informáticas.

El abogado destacó que, en principio, las empresas no tienen responsabilidad penal por los delitos informáticos y que esa responsabilidad, en todo caso, recaerá sobre aquellos empleados que cometan alguno de los ilícitos establecidos en la ley.

Sin embargo, advirtió que siempre pueden existir “complicidades” de las compañías, sobre todo, en cuestiones relacionadas con la falta de adopción de medidas de seguridad.

En este último supuesto, el letrado explicó que las empresas podrán quedar expuestas a acciones por daños y perjuicios si se llegara a demostrar la falta de recaudos que hubieran posibilitado que un empleado cometa algún delito informático.

Concientizar al usuario
Luego de los análisis legales, Sallis (en la foto superior)apuntó sobre el valor de la concientización de los usuarios en torno a las prácticas informáticas seguras. Apuntó que los delitos no se enfrentan sólo “con un parche de seguridad, si no que debe trabajarse a través de la educación de los usuarios”.
Al respecto, afirmó que “la efectividad de los controles técnicos, depende en gran medida de la colaboración del usuario”, y recomendó a las organizaciones revisar sus planes de seguridad y observar la prioridad que ocupa la educación de los usuarios de los sistemas.
Con ejemplos prácticos y reales, Sallis demostró cómo a través de la Open Source Intelligence (OSInt) (inteligencia de fuente abierta), se pueden obtener datos privados útiles para cometer toda clase delitos.
La Osint “es una disciplina útil para procesar información, esta relacionada con encontrar, seleccionar y adquirir información de fuentes publicas, para que ésta sea analizada y se pueda utilizar para acciones de inteligencia. Si bien esto puede solo parecer estar relacionado con esferas gubernamentales y militares, la disciplina de la inteligencia competitiva es el ejemplo de que esto también de aplica en el mundo de los negocios”, señaló el director de Root Secure.
De Nuñez coincidió con Sallis al afirmar que “no existe conciencia real del peligro” de los prácticas delictivas informáticas, y reafirmó la necesidad de generar programas de capacitación y concientización entre los usuarios de los sistemas para que resguarden sus datos.

Lea más sobre la nueva ley de delitos informáticos en esta nota.

César Dergarabedian y Matías Debarbieri
(©) Infobaeprofesional.com

Fuente:
http://www.infobaeprofesional.com/notas/69532-No-hay-delitos-que-no-esten-vinculados-con-la-informatica.html&cookie

Spammer condenado a 30 meses de prisión

2008-07-25T09:11:00.000-07:00

Parece que muchos spammer tienen los días contados (gracias a Dios); o, al menos, esto es lo que podría entreverse con las últimas decisiones judiciales que se han adoptado al respecto.

En la última, la Fiscalía Federal en Manhattan, dirigida por el juez Michael García, ha condenado a Adam Vitale (una persona con mucho tiempo libre), por participar en una trama que tenía el objetivo de mandar correo comercial no solicitado.

En concreto ha sido condenado a 30 meses de prisión, por enviar correo basura a más de 1,2 millones de usuarios del proveedor de acceso a internet AOL y ocultar la fuente de esos mensajes.

El caso se remonta a 2005, cuando Vitale junto a otra persona, descubrieron cómo enviar correo masivo al saltarse el filtro antispam de AOL.

Además, deberá abonar la cantidad de 183.304 dólares a AOL.

Fuente: http://techlosofy.com/spammer-condenado-a-30-meses-de-prisin/

Patente vs. Secreto Industrial

2008-07-17T02:00:00.001-07:00

Por ANDY RAMOS GIL DE LA HAZA

Las empresas, antes de comercializar las invenciones que desarrollen sus departamentos de investigación, deben proteger convenientemente dichas innovaciones para asegurarse no sólo la amortización de las cantidades ya desembolsadas, sino para obtener ingresos que permita seguir inventando.

Los principales mecanismos que los diferentes ordenamientos jurídicos ofrecen a los inventores son las patentes y el denominado secreto industrial ("trade secret"), estando la elección de uno u otro determinado por el tipo de invención y por la explotación comercial que tendrá en el mercado. Todas aquellas invenciones que sean novedosas, que impliquen una actividad inventiva y que sean susceptibles de aplicación indusrial, podrán ser protegidas mediante el procedimiento de patente, el cual otorga a su titular la capacidad de impedir a cualquier tercero que explote el objeto de su patente durante un plazo mínimo de 20 años.

Los concesores de una patente obtienen dicha exclusividad a cambio de que procuren la explotación de la patente y de que desvelen íntegramente a la oficina de patente correspondiente (cuyo registro es público) el funcionamiento de su invención. Como contras de este procedimiento están, entre otros, el carácter territorial de su protección y su duración limitada en el tiempo, lo que implicará que cualquier persona pueda explotar dicha patente una vez llegado el fin de la misma.

Por otro lado está el secreto industrial, procedimiento poco desarrollado en Europa pero de vital importancia en otros países de nuestro entorno como Estados Unidos o Japón y por el que las empresas pueden proteger determinados activos, aunque con una fuerza mucho menor que la de la patente.

La protección de una invención mediante secreto industrial no está sometido a procedimiento administrativo algo, así como tampoco está limitado a un plazo temporal como la patente, sino que su existencia durará durante el tiempo que el titular de la misma sea capaz de manterla en secreto, para lo cual es imprescindible que la empresa adopte una política interna de protección muy estricta. En contra, la empresa que opte por este procedimiento no podrá evitar que cualquier tercero explote en cualquier momento y por cualquier medio legítimo (ingeniería inversa, desarrollo independiente, etc.) una invención parecida a la suya.

Las empresas, a la hora de decidir si proteger una invención por un medio u otro, deben valorar los pros y contras de cada una de estas vías. Las patentes se conceden a través de un procedimiento costoso, relativamente lento y por un periodo limitado en el tiempo. El secreto industrial, por otro lado, puede ser una vía idónea para aquellas innovaciones que no cumplan los requisitos de patentabilidad, cuyo núcleo se pueda bilndar fácilmente de un procedimiento de ingeniería inversa, o cuando se desea una protección mayor de 20 años.

La mejor recomendación es ponerse siempre en manos de profesionales que le asesoren sobre la idoneidad de una u otra vía para cada caso en concreto.

Fuente:
http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad/Articulo_y_comentarios?postAction=getDetail&blogID=1000077536&articleID=1000140557

La utilización segura de la mensajería instantánea por parte de los adolescentes

2008-07-17T01:59:00.006-07:00

Internet es un medio de comunicación y relaciones sociales. Estos usos están especialmente extendidos entre los menores. Así, niños y adolescentes utilizan la Red no sólo para buscar información útil en sus tareas escolares sino también como forma de entretenimiento, para mantener el contacto con sus amigos, siendo la mensajería instantánea uno de los servicios más utilizados. Junto a los enormes beneficios que aporta el uso de estos servicios a los menores, debemos ser conscientes de la existencia de algunas amenazas. En este sentido, tanto padres, como educadores, pasando por las empresas prestadoras y las administraciones y cuerpos y fuerzas de seguridad, están preocupados por la relativa facilidad con la que, en ocasiones, los menores pueden toparse con personas desconocidas y/o con objetivos ilícitos o espurios mientras usan estos servicios de mensajería.

Dando respuesta a esta inquietud, en el siguiente artículo el Observatorio ofrece una serie de consejos que, sin duda, servirán de ayuda para que padres y tutores puedan vigilar y controlar el modo en que los menores establecen relaciones sociales y comunicativas a través de Internet.

Fuente:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulos/utilizacion_segura_mensajeria_instantanea_1

Subite a la gran comuna de bits

2008-07-17T01:59:00.005-07:00

Los sitios web conocidos como redes sociales constituyen un fenómeno mundial que de a poco se viste de celeste y blanco. Miles de personas se conectan a páginas que ofrecen comunicación instantánea, fotos, videos y más. Los navegantes lo utilizan para buscar amor, trabajo o difundir ideas. Y como el próximo domingo se festeja el día del amigo, es una excelente oportunidad para enlazar a estas redes cuya mayor virtud es recobrar las amistades del pasado y vincular a futuros camaradas.

Dos de los competidores internacionales más fuertes, MySpace y Facebook, comienzan a pisar fuerte en la Argentina. Actualmente, los contenidos que ofrecen están en español y, como sucede con el Messenger, la excusa para unirse a estas comunidades es la gran cantidad de amigos y conocidos que aparecen a toda hora del día.

En líneas generales brindan afiliación gratuita, es posible volcar la libreta de direcciones del e-mail, compartir fotos, subir videos, publicar noticias, promocionar eventos, impulsar un blog, dejar comentarios en otras páginas y participar de una cartelera comunal.

Estas redes operan sobre una especie de sistema operativo propio muy dinámico e intuitivo. Su funcionamiento se basa en la teoría de los seis grados de separación, según la cual todos los habitantes del planeta pueden ser vinculados a través de una cadena de no más de cinco intermediarios en común.

Así, cuando alguien visita el perfil de un conocido, se muestra en una barra lateral los contactos compartidos y, por afinidad u otras particularidades, sugiere gente que puede llegar a simpatizar. Para subir vecinos al barrio, hay que enviar una solicitud de amistad que puede ser aprobada, rechazada o postergada sin que nadie lo sepa.

Rumbo a lo desconocido. En cuanto a la interacción con desconocidos, es bastante accesible. Para sumar nuevos aliados, se pueden realizar búsquedas basadas en la ubicación geográfica, la orientación sexual, el estado civil, las tres instancias educativas (primaria, secundaria, universidad) y las preferencias musicales o literarias.

Una de las características más interesantes de estas redes es que aceptan miniaplicaciones de terceros que permiten enlazar las fotos de Flickr (una comunidad de intercambio de fotos), dar a conocer los gustos musicales, recomendar libros, series, películas o sitios.

El tema es que, para lograr un aceptable nivel de popularidad, hay que dedicarle bastante tiempo. Lo que incluye la elaboración de un perfil con fotos y otros datos personales, el intercambio de mensajes con otros participantes o sumarse a otros grupos afines.
Dentro de la categoría general, hay otras que empiezan a ganar espacio local: hi5 (www.hi5.com), Friendster (www.friendster.com), Orkut (www.orkut.com).

Existen también iniciativas de empresas por el día del amigo, como las de Fibertel (www.escuadronfibertel.com.ar), Movistar (www.amigosquebuscanamigos.com) y Arnet (diadelamigo.arnet.com.ar). Con videos, homenajes y toda clase de agasajos virtuales.
Negocios&emprendimientos. Pero no todo es farra en estas comunidades virtuales. Hay redes dedicadas a profesionales, como Xing (www.xing.com/econozco) o Linkedin (www.linkedin.com), que sirven para generar negocios, acceder a oportunidades de trabajo, conseguir proveedores de servicio y contactarse con otros colegas.

La clave del éxito está en completar a fondo el perfil de usuario, con toda la experiencia laboral. La información allí consignada funciona también como un currículum online que puede ser consultado por cualquiera de los miembros.

Estos sistemas son bastante celosos de la seguridad. En Linkedin, si durante una búsqueda aparece un posible contacto, para incorporarlo a la lista habrá que conocer el correo electrónico o solicitar a un intermediario que lo presente. La idea es que la conexión se realice con gente de confianza.

Fuente: http://www.clarin.com/suplementos/informatica/2008/07/16/f-01715800.htm

"Breaking the Bank": Consejos para programadores de aplicaciones financieras

2008-07-17T01:59:00.003-07:00

Breaking the Bank es un interesante documento que reúne consejos básicos muy útiles para los programadores de aplicaciones financieras a la hora de manejar números mediante diversos lenguajes de programación.

En general, el documento persigue obtener la máxima exactitud a la hora de realizar y procesar cálculos numéricos y para ello llama la atención sobre la posibilidad de generar vulnerabilidades, unas muy obvias y otras no tanto, al manejar de forma inocente o descuidada las diversas APIs.

El documento incluye abundantes ejemplos con código fuente de fácil comprensión y desvela los desastres que pueden fácilmente generarse con tan sólo elegir un tipo inadecuado de datos o realizar una conversión desafortunada entre los diferentes tipos.

Interesante para cualquier programador. Imprescindible para aquellos cuyos programas manejen "dineros".

Fuente: http://www.kriptopolis.org/breaking-the-bank

La red informática de San Francisco, bloqueada por un administrador

2008-07-17T01:59:00.001-07:00

El funcionario bloqueó todos los accesos al sistema excepto el suyo al saber que iba a ser despedido.

Un administrador de sistemas de San Francisco ha secuestrado la red informática de la ciudad californiana, lo que impide el acceso a una ingente cantidad de información vital para la administración de la ciudad.

Según informa el diario San Francisco Chronicle, Terry Childs, de 43 años, supo hace unos días que sus días en el Departamento de Tecnología del ayuntamiento de San Francisco habían llegado a su fin. Muy cabreado con su despido, decidió eliminar todos los perfiles del nivel administrador (que da acceso al control total del sistema) y mantener únicamente el suyo. El problema es que sólo él conoce la contraseña de acceso y se niega a revelarla.

Childs, que se encuentra bajo custodia policial desde el pasado domingo, ha trabajado para la ciudad durante cinco años, pero en los últimos meses su labor no había sido del agrado de sus superiores, quienes tenían decidido despedirle.

Las autoridades de San Francisco calculan en "millones de dólares" el costo que el cabreo de Childs puede suponer para la ciudad. Además, han mostrado su miedo a que el detenido cuente con un cómplice o colaborador que conozca la forma de acceder al sistema y pueda destruir cientos de miles de documentos valiosos para la administración de la ciudad.

Fuente: http://www.sfgate.com/cgi-bin/article.cgi?f=/c/a/2008/07/14/BAOS11P1M5.DTL

Relación entre spam y cibercrimen

2008-07-17T01:58:00.001-07:00

Con la puesta en marcha de Experimento Spam, McAfee ha demostrado no sólo evidencia el aumento de esta amenaza, sino también la conexión entre ésta y el cibercrimen. Así, aunque la finalidad el mismo era demostrar el peligro de navegar sin protección, lo cierto es que ha revelado otros datos interesantes.

El experimento se ha realizado entre 50 personas de 10 países que han navegado por la Red desde cuentas y dominios nuevos sin protección antispam durante un mes, período en el que recibieron más de 104.000 mensajes de correo electrónico no deseado, es decir, spam. De esta experiencia han extraído que los spammers están más activos que nunca, adaptándose tecnológicamente a los últimos avances y modificando sus estrategias de actuación con el fin de captar desde direcciones de correo y datos personales, a información bancaria e incluso dinero.

Además, también había mensajes que contenían virus y otras clases de malware, lo que demuestra que el delito y el spam están relacionados. De hecho, según los portavoces de McAfee, es una industria alrededor de la que viven desde personas dedicadas a localizar direcciones de mail, a empresas que permiten utilizar sus infraestructuras para hacer los envíos o hackers que alquilan sus redes zombies. Además, estos responsables ilustran con cifras el negocio que se esconde detrás de todo esto. “Aunque sólo el 2 por mil de la gente que recibe spam hiciera clic en él, ya habría negocio” y según datos de McAfee, el 0,5 por ciento del spam recibido a nivel mundial es contestado.

El Experimento Spam también ha servido para constatar el cambio que ha experimentado el spam, que ha pasado de campañas masivas a microcampañas más sofisticadas y personalizadas. Y aunque el mayor porcentaje de spam es en lengua inglesa, también ha aumentado la recepción de spam de habla no inglesa. En cuanto a los temas de estos mensajes de correo electrónico no deseados van desde los financieros, seguidos por los publicitarios y los de salud y medicina.

Por países, los participantes de España recibieron un total de 5.419 mensajes de correo electrónico no deseado, un volumen no excesivamente alto comparado con otros países. Pese a ello, un 4 por ciento de los mensajes fueron clasificados como phising. La categoría con más mensajes de correo electrónico no deseado recibidos fue salud y medicina, seguida por finanzas y por publicidad y temas de adultos. Además, el 6 por ciento del spam recibido era en castellano.

Fuente: http://www.idg.es/pcworldtech/McAfee_comprueba_la_relacion_entre_spam_y_cibercri/doc69901-seguridad.htm

Leyes blandas facilitan ciberestafas

2008-06-16T17:41:00.001-07:00

Manrique Gandaria / El Sol de México

Ciudad de México.- Hasta hace poco más de 10 años, el objetivo de un cibercriminal era hacer notar las fallas en los sistemas con el único fin de obtener notoriedad y fama. Hoy, el juego ha cambiado: el delito cibernético tiene de cabeza no sólo a los grandes consorcios financieros del mundo, sino incluso a los propios gobiernos, ya que estos cerebros financieros son contratados por líderes de las potencias para extraer la mayor cantidad de información posible, escuchar conversaciones privadas y así saber los movimientos del enemigo, por lo que a decir de José María Valdepeña, director de Seguridad para Latinoamérica de Microsoft, "estamos jugando a la defensiva".

En México la situación no dista de ser diferente. Aquí, los bancos, empresas financieras, corporativos y usuarios de la red son víctimas de bandas bien organizadas de delincuentes de la red que cada año logran ganancias ilícitas por el orden de los 700 millones de dólares, sin tomar en cuenta los 11 mil 600 millones de pesos anuales que se dejan de vender en la red debido al miedo que le da a la gente ser víctima de los ciberdelincuentes, esto de acuerdo con cifras aportadas por Marcos Navarro, gerente de Seguridad Digital de Microsoft, y Armando Novoa Foglio, de Navega Protegido por Internet.

Para atender estos delitos existe la Unidad de Delitos Cibernéticos de la Policía Federal Preventiva (PFP), la cual asegura que mensualmente se reciben en promedio 100 denuncias en contra de estafadores que actúan en la red.

No obstante, la ausencia de un marco legal adecuado, la falta de capacitación de los ministerios públicos y jueces para conocer de estos delitos, hace que los delincuentes se sustraigan a la acción de la ley, reconocen autoridades federales.

Aunque hay otros factores que contribuyen a que este delito se ataque sin éxito, como lo es la poca colaboración que hay entre la Policía Cibernética y autoridades de los estados, así lo dio a conocer Gustavo Caballero, coordinador de la Unidad de Investigación Cibernética de la Procuraduría General de Justicia del Distrito Federal (PGJDF), quien asegura que desde el año 2006 han tratado de entablar comunicación con la PFP, vía correo electrónico y telefónica, para intercambio de información y la respuesta ha sido "nula".

"Nos interesa mucho tener un acercamiento con la PFP, porque al no tener jurisdicciones ni estatales, federales ni internacionales, se requiere tener un acercamiento o apoyo para las investigaciones, porque posiblemente estamos investigando el mismo asunto sin saberlo", dijo en entrevista.

En entrevista, Valdepeña señala que el crimen cibernético a nivel mundial sigue subiendo y en Latinoamérica no es la excepción, "pero el rol del crimen cibernético se ha extrapolado. En los años 90 la intención era poner un virus y lograr la fama o darse a notar, no tenía detrás un fin económico; al pasar el tiempo el juego ha cambiado, ahora el cibercriminal tiene un lucro mucho más grande porque el número de transacciones a nivel mundial ha subido a unos niveles extraordinarios".

Director de Seguridad para Microsoft en Latinoamérica, Valdepeña sostiene la tesis de que ahora la intención del cibercriminal ya no es instalar virus a la máquina, sino que quiere entrar para tratar de extraer la mayor cantidad de información posible, "ya no ve lucro alguno en poner un virus en tu máquina para sólo hacer que truene".

ESPIA CIBERNETICO DE ALTAS ESFERAS

Aunque reconoce que los espías cibernéticos atacan mayormente a bancos y grandes consorcios, le preocupa el hecho de que estas mentes brillantes estén siendo contratadas por los gobiernos para espiar a otros gobiernos, para que les pasen información, intercepten comunicaciones, incluso que logren entrar a archivos confidenciales a nivel gubernamental. "Hace poco salió publicada en una revista que el crimen cibernético se ha vuelto gubernamental, por lo que el virus juega un segundo rol", agrega el especialista en seguridad informática.

No obstante, refiere que esta tendencia no va a parar, porque internet ha cambiado la forma en que hacemos nuestra vida de 15 años en adelante y, por desgracia, la parte financiera es la más afectada.

En este sentido, dijo que el cibercriminal es altamente adaptado, "si ponemos el nivel de seguridad alto, lo brinca y se vuelve más resistente, estamos jugando a la defensiva. Una de las cosas que proponemos es auditar; si no hay una auditoría de las transacciones que pasan, cómo vamos a enjuiciar a esta gente aunque veamos que se está cometiendo un crimen cibernético".

RED POCO CONFIABLE

Este delito toma mayor notoriedad cuando Marcos Navarro, gerente de Seguridad de Microsoft México, revela que anualmente bandas bien organizadas dedicadas a los fraudes cibernéticos, logran desfalcar a bancos, empresas, corporativos y usuarios de la red con poco más de 700 millones de dólares, lo que hace a la red poca confiable para realizar trasferencias o compras, y peligrosas para niños y adolescentes que a través de este medio son enganchados en la prostitución, tráfico de humanos y pedofilia.

Indicó que se debe adecuar la legislación mexicana a los tiempos que vivimos, ya que internet y los medios electrónicos son una extensión más de nuestra vida diaria, por lo que las penas por este tipo de estafas deben ser más altas.

Explicó que son múltiples los canales por lo que se puede fraguar un robo de información, desde un correo de mensajería instantánea por algún tipo de código que un hacker le instala a la máquina a través de la visita a una página, hasta descarga de música o fotografía, "realmente conforme uno como usuario haya tenido mucho más cultura del uso de internet, esos problemas se van a poder manejar de una mejor forma".

El gerente de Seguridad de Microsoft aseveró que el crimen organizado en México, comparado con América Latina, tiene las mismas características, salvo que aquí lo más común es la producción de páginas de pornografía infantil. La parte del turismo y pornografía infantil es un caso muy concreto para México.

En México -dijo- tenemos una cultura analfabetizada del internet, es decir, somos analfabetas porque nos vamos con la prueba y error hasta que le atinamos, de ahí que anualmente se pierdan alrededor de 700 millones de dólares por delitos cibernéticos, donde los más perjudicados son los bancos y empresas.

A este respecto, Armando Novoa Foglio, de Navega Protegido por Internet de Microsoft, informó que son 11 mil 600 millones de pesos los que dejan de venderse en la red porque la gente tiene miedo a ser asaltado vía electrónica por un ciberdelincuente.

Esta situación nos lleva a que la banca electrónica pierde ahorros por el orden de los 75 millones de pesos mensuales, ya que los usuarios no realizan con confianza sus movimientos en línea.

En términos llanos de un mercado potencial superior a los 38 millones de pesos, dijo, sólo se realizan operaciones por dos mil 384 millones de pesos al año.

Urgió la necesidad de hacer algo para blindar al cliente, ya que se prevé que en los próximos años, de los seis mil 600 millones de personas que hay en el planeta, uno de cada tres estará conectado en línea.

UNIDAD DE DELITOS CIBERNÉTICOS: VIRTUDES Y DEFECTOS

Desde la perspectiva de Marcos Navarro, la Unidad de Delitos Cibernéticos de la Policía Federal Preventiva (PFP) tiene un perfil muy avanzado en cuestión de conocimientos en criminalística de lo que está pasando en materia de internet y cómo perseguirlos.

Opinión que es apoyada por José María Valdepeña, quien afirma que las leyes en México deben ser más agresivas, deben ser más años los que purgue en prisión un ciberdelincuente y, sobre todo, haber una relación entre el daño que hace y, si es reincidente, haber una serie de pruebas.

Propuso que se suba a nivel de ley la privatización de la Data, para asegurar que los bancos y las instituciones comerciales mantengan esa data, que no sea vendida a otros organismos, para que el cliente se sienta seguro que ésta es protegida por su proveedor.

Reveló que a nivel Latinoamérica, las policías cibernéticas realizan un papel extraordinario, "pero creo que debe haber la parte de concientización y educación, debe ser uno de los pilares más fuertes de la policía cibernética en México".

No obstante, para Gustavo Caballero, coordinador de la Unidad de Investigación Cibernética de la PGJDF, la PFP se niega a colaborar con ellos, ya que desde el inicio de la unidad, en diciembre de 2006, "hemos tratado de entablar comunicación con la PFP, vía correo electrónico y telefónica, y no hemos tenido una respuesta, y nos interesa mucho porque al no tener jurisdicciones ni estatales, ni federales ni internacionales, se requiere tener un acercamiento o apoyo para las investigaciones, porque posiblemente estamos investigando el mismo asunto".

En entrevista, dijo que hace falta ese lazo de coordinación para organizar criterios e intercambiar información y actuar en conjunto. "Hay una legislación que es el convenio de colaboración, que en su décima mención dice que, en cuanto a delitos de tecnología de la información o de tecnología de punta, todas las entidades están obligadas a proporcionar información en cuanto a la investigación de este delito, situación que no ocurre con la PFP".

Por su parte, Armando Novoa Foglio, de Navega Protegido por Internet de Microsoft, indicó que en múltiples ocasiones han invitado a la Unidad de Delitos Cibernéticos de la PFP a los cursos sobre seguridad, y en algunos han asistido y en otras no, "y les hemos hecho saber que necesitamos mayor coordinación para atacar con mayor éxito estos problemas".

Cabe destacar que 2006 fue el último año que la Unidad de Delitos Cibernéticos de la Policía Federal dio a conocer un informe sobre estadísticas del delito cibernético en México, refiriendo que recibe en promedio 100 denuncias contra estafadores que actúan en la red y detectó mil 52 sitios de phishing (envío de correos electrónicos a nombre de bancos para obtener los datos de cuentahabientes), así como 11 sitios para la venta de sustancias ilícitas, en el que se ofertan sustancias ilegales en México y 60 comunidades de diversos portales que ofertan sustancias ilícitas.

En 2006, el jefe de Departamento de Delitos Cibernéticos de la PFP, Eduardo Cepeda, afirmó que cada mes se reciben en promedio 100 denuncias en contra de estafadores que actúan en la red, de ahí en fuera la Unidad de Delitos Cibernéticos no ha emitido informes de cómo se comporta la delincuencia organizada en México.

TIPOS DE ESTAFADORES DE LA RED

Por entidades, las autoridades han encontrado que Yucatán, Sinaloa, DF, Baja California y Estado de México son donde más se defrauda a través de la red, y el 75 por ciento son hombres de entre 18 y 30 años.

El phishing: Consiste en contactar al usuario mediante correo, haciéndose pasar como institución financiera a fin de obtener respuesta de sus datos, diciendo que clonaron su tarjeta, obtuvo un premio, actualización de datos o su cuenta ha sido congelada, para inducirlos a que introduzca sus datos personales.

El pharmig: Se le envía al usuario un vínculo de alguna institución financiera y, una vez que entra, es persuadido para que dé sus datos.

También está el craker: Delincuente que accede ilegalmente a sistemas informáticos para destruir información, modificar y causar daño.

El hacker: Especialista en entrar a sistemas ajenos sin permiso y mostrar la baja seguridad de los sistemas.

Existen otras modalidades como los ataques DNS, que consiste en saturar de información un servidor para que sea difícil acceder al sitio.

El sniffing: Fisgonea durante un proceso de comunicación para saber lo que otros escriben o dicen.

El scam: Envía correos no solicitados con propósitos fraudulentos que buscan convencer de hacer alguna acción.

Virus: Programa de ordenador que puede infectar otros programas o modificarlos.

Web page defecemen: Cambio o deformación de un sitio o página para crear molestias a su propietario.

De acuerdo con un informe elaborado por AOL y la Alianza para la Seguridad Cibernética, uno de cada cuatro internautas está expuesto a amenazas como mensajes electrónicos falsos para tratar de robar información.

DELINCUENTES FAMOSOS

Kevin, uno de los hackers más famosos del mundo, logró introducirse de manera ilegal a los sistemas de información de empresas como Motorota, Novell, Nokia y Sun Microsystems para realizar llamadas de larga distancia y obtener información secreta a través de archivos almacenados en servidores, por lo que fue condenado a tres años de prisión.

En Estados Unidos existen 50 estados que tipifican este delito como grave, mientras que en México, desde hace tres años el Código Penal incluye un artículo que castiga, entre otros delitos, la copia de software ilegal, el ataque a las comunicaciones, el robo de base de datos, obtención de códigos personales e información confidencial y fraude financiero; sin embargo, los castigos van de dos a tres años, no más.

Fuente: http://www.oem.com.mx/eloccidental/notas/n735337.htm

El retorno del virus extorsionador

2008-06-16T17:40:00.000-07:00

Un antiguo malware que ha sido actualizado, ha logrado nuevas víctimas, obteniendo alguna repercusión en medios de prensa. Las soluciones disponibles para quienes hayan caído en su trampa, son pocas y claras.

Esta amenaza difiere de otras existentes en Internet, porque no interfiere en el funcionamiento del ordenador, no borra archivos y tampoco espía al usuario para robar sus contraseñas.

Simplemente busca archivos de uso común y codifica la carpeta donde se encuentren, dejando una nota. La misma advierte que si se desean decodificar los ficheros, deberá depositarse una suma de dinero en una cuenta bancaria.

Según Mercè Molist, este tipo de amenazas está basada en el concepto de un antiguo criptovirus, cuya teoría surgió en 1996. En el año 2005 un malware que se valía de esas características fue liberado.

En su versión anterior el malware utilizaba un algoritmo sencillo, el cual permitía tras una breve investigación recuperar la información sin perder nada. La nueva versión ha sido diseñada para usar una codificación mucho más avanzada, basada en el algoritmo RSA 1024.

Los expertos afirman que precisarían cientos de ordenadores trabajando juntos durante meses para lograr descifrar la clave utilizada.

Agregan además que no sería provechoso ni práctico, debido a que al delincuente le toma solamente unos minutos generar varias claves y la decodificación consume demasiado tiempo para una sola clave.

"Haber realizado un respaldo frecuente de los datos más importantes de nuestro disco duro, es la salvación por si caemos en este desafortunado problema," agrega Albors.

Una vez que los archivos han sido codificados, las opciones que quedan son muy pocas, ya que los mismos no pueden ser abiertos o trabajados por las aplicaciones.

Si una víctima considera que sus datos son muy valiosos y quiere pagar el rescate, debería considerar si realmente vale el riesgo. No hay ninguna seguridad de que el delincuente envíe la clave real, o directamente tal vez no lo haga y solicite más dinero.

Pagar el rescate nunca es una opción recomendada, ya que se terminaría siendo una víctima constante de extorsión, además de otorgarle una victoria al delincuente.

Se recomienda contar con un antivirus actualizado, antes de procesar el respaldo o ingresar nuevos datos en el ordenador.

ESET NOD32 Antivirus detecta esta amenaza como Win32/Gpcode.AK desde la base de firmas 3168.

Temas relacionados
Un virus secuestra documentos a cambio de rescate Por Mercè Molist
http://www.vsantivirus.com/mm-criptovirus.htm

Fuente: http://www.enciclopediavirus.com/noticias/verNoticia.php?id=1014

formación en las fronteras de Estados Unidos

2008-05-02T19:52:00.001-07:00

La Association of Corporate Travel Executives (ACTE) ha emitido un comunicado dirigido a sus miembros en todo el mundo (y a todos los que viajan por negocios) aconsejando que limiten la información privada que transporten en sus dispositivos portátiles (ordenadores, teléfonos, BlackBerry, USB, iPods, etc...) cuando vayan a cruzar las fronteras de Estados Unidos.

En concreto, se aconseja eliminar de estos equipos cualquier dato personal, incluyendo fotos, datos financieros y emails que no se quiera que sean examinados por las autoridades de protección de fronteras. Se recomienda también realizar una copia remota de los datos empresariales antes de cruzar la frontera, para poder seguir disponiendo de los mismos en caso de que el dispositivo resulte incautado. ACTE insiste en que no recomienda a los viajeros que oculten datos, sino que adopten las medidas previas apropiadas para minimizar el impacto de su posible pérdida.

El aviso es consecuencia de la decisión adoptada en el Juzgado Federal de Apelaciones norteamericano el pasado 21 de abril, que otorga a los funcionarios de aduanas el derecho a examinar sin trabas, copiar información e incautar los portátiles de los viajeros sin necesidad siquiera de que exista sospecha razonable.

Para complicar aún más las cosas, no existe ningún procedimiento legalmente establecido acerca de los que las autoridades de fronteras pueden o deben hacer con los equipos requisados o los datos obtenidos.

Fuente: http://www.kriptopolis.org/advierten-riesgos-datos-fronteras-usa

Italia publica en Internet los datos fiscales de sus ciudadanos

2008-05-02T19:51:00.004-07:00

¿Preocupado por las frecuentes pérdidas de datos personales en manos de los gobiernos? Desde que Italia decidió ayer publicar en el sitio web de su administración todos los datos personales (nombre, dirección, fecha de nacimiento...) y fiscales (ingresos declarados e impuestos pagados) de los italianos en 2005 ya nada puede ser peor. El listón ha quedado demasiado alto.

Puesto que además no se requería identificación alguna, el sitio se saturó enseguida a causa de la enorme afluencia de curiosos que pretendían conocer los ingresos de famosos, conocidos y vecinos. Tampoco puede descartarse el interés que esos datos hayan podido despertar en mafiosos, posibles secuestradores, extorsionadores y demás ralea. Sin embargo algunos políticos italianos se manifestaron favorables a la medida, como Marco Pannella, líder histórico los Radicales, que manifestó no entender el problema, al tiempo que afirmó que la privacidad no es un concepto que le entusiasme. Por el contrario, representantes de las asociaciones de consumidores reclaman del Estado una indemnización de 1.000 euros para cada ciudadano, por haber violado su privacidad.

El final de este esperpento en honor de la "trasparenza" llegó de manos del Defensor italiano de la Privacidad, que ordenó el cierre cautelar del sitio...

Fuente: http://www.kriptopolis.org/italia-publica-datos-fiscales

Contra el monopolio intelectual

2008-05-02T19:51:00.003-07:00

Este último cuatrimestre hice un trabajo para la asignatura Economía Industrial I de la Universidad de Oviedo llamado “Contra el monopolio intelectual“. En realidad el título está sacado de un libro escrito por dos profesores de economía de la Universidad de St.Louis llamados Michele Boldrin y David K. Levine. El libro consta de 282 páginas divididas en 10 capítulos y lo podéis descargar de la página web de David de forma gratuita.

Mi trabajo es mucho más humilde y sólo pretende rescatar algunas de las ideas centrales del libro, traducirlas y darles un par de vueltas que me parecían interesantes. Son 23 páginas y podéis verlo directamente en Scribd o descargarlo a mayor calidad en PDF.

Por si os pica la curiosidad os pongo aquí un “resumen del resumen” de esta historia que prácticamente afecta a todo lo que nos rodea, incluído internet.

El debate sobre la propiedad intelectual está lleno de trampas y además, polarizado artificialmente. Desde mi punto de vista esta actitud de “o estás con nosotros o contra nosotros” viene más de los defensores acérrimos de la propiedad intelectual que de los que se oponen a ella. A muchos de los primeros les bastan tres o cuatro argumentos sensacionalistas y sin fondo para acabar con cualquier opositor a un modelo de protección que tiende al infinito: toda la vida del autor más 70 años después de su muerte para los derechos de explotación sobre una obra y 20 años para las patentes.

Los que critican este sistema sin embargo no se pueden juntar en un mismo saco aunque eso sea mucho más cómodo para las sociedades de autores y editores, para los políticos y para los medios de comunicación. No es lo mismo el Dominio Público que las Creative Commons, no es lo mismo defender la piratería que defender la copia privada, defender un nivel menor de protección que querer abolir cualquier tipo de protección.

Este debate en uno de esos “dos lados” artificialmente creados es el que más me ha llamado la atención siempre, precisamente porque me parece mucho más rico, serio, trabajado y para qué negarlo, mucho mas contracorriente. Cuando gente como Radiohead ofrece su disco gratis por internet, escritores como Paulo Coelho utilizan programas como el eMule para distribuir sus libros o directores como Michael Moore critican abiertamente las leyes del copyright qué menos que ir un paso más allá del “si descargas nos robas” y ver qué es lo que está pasando entre bastidores.

Una razón más para no polarizar el debate es que la mayoría de la gente tiene una actitud contradictoria. Cuando digo la mayoría, eso incluye a muchos apologistas de la propiedad intelectual. Porque parece que hay cierta tendencia a decir “yo quiero que se proteja mi obra y si alguien la quiere usar que pase por caja que sino se está aprovechando de mi esfuerzo” (o al menos eso intentan que sea “lo natural”). Sin embargo a todos nos encanta disfrutar de las obras de los demás sin pasar por caja. Vamos a Google Imágenes y copiamos fotos para nuestros fotologs, vamos a YouTube a ver vídeos que se han subido sin el permiso del autor original y bajamos series que no se han estrenado en España por el eMule.

Queremos disfrutar de la protección a los autores más que nadie pero al mismo tiempo queremos disfrutar de todos los beneficios que tiene infringirla. Todo a la vez no se puede, hay que elegir entre protección y difusión.

Como está bastante claro que copiar y hacer obras derivadas de otros autores nos genera mucha utilidad (en la mayoría de las ocasiones también a ellos) y que para la sociedad en su conjunto que una innovación como la máquina de vapor o la novena sinfonía de Beethoven se copie y distribuya es positivo, lo que hay que pensar es por qué la otra cara de la moneda, la protección, es positiva y necesaria.

Aquí es donde llegan como he dicho antes los argumentos de los apologistas del monopolio intelectual que hemos escuchado tantas veces en los últimos años y que podemos recitar casi de memoria:

Si el autor no cobra por su creación ¿de qué vivirá?
Si cualquiera puede acceder a la innovación del inovador ¿qué incentivos tendrá para llevarla a cabo?
Si la inversión en una película es enorme y luego la puedes comprar en la calle a 2 € ¿se morirá el cine?
Si no robas un bolso, ni un reloj ¿por qué robas las ideas de los demás?
etc…

Y aquí empiezan las trampas, sutiles pero suficientes para vender estas ideas en 5 minutos de televisión como bien apuntó David Bravo hace tiempo. Para desmontarlas hacen falta bastante más de 5 minutos. Hace falta un libro de 282 páginas como el que aquí comento y aún así no se desmontan todas, pero por lo menos se intuyen. Aprender a hacer trampas en el ajedrez lleva 5 minutos, aprender a jugar al ajedrez bien lleva mucho más tiempo.

La primera trampa y en la que prácticamente he centrado todo el trabajo es equiparar propiedad intelectual con monopolio intelectual. La segunda es hablar de ideas cuando en realidad lo que interesa son las copias de las ideas, no las ideas en sí mismas.

“Contra el monopolio intelectual” es un libro como su mismo nombre indica contra el monopolio, pero sin embargo es un libro a favor de la propiedad. Esto no debería sorprender a cualquier estudiante de economía. Nos pasamos la vida demostrando que la propiedad es buena, que genera incentivos para especializarse e intercambiar y dedicamos casi el mismo tiempo a demostrar que el monopolio es malo, que genera ineficiencias y produce cantidades inferior a las deseadas a un precio más alto.

La propiedad intelectual es el derecho a comerciar, vender y distribuir copias de tu idea.

El monopolio intectual es el derecho a ser el único que vende copias de esa idea y además a controlar lo que hace la gente con las copias de tu idea.

Lo primero no lo discuten ni Boldrin, ni Levine ni desde luego yo. Lo segundo en cambio lo discutimos nosotros tres y unos cuantos premios Nobel de Economía como Stigler. Es importante también destacar que no estamos hablando del plagio, un tema que en internet preocupa muchísimo y que por supuesto tampoco defendemos pero que es un tema más legal que económico que ya explicamos en el post sobre “El problema con las Creative Commnos y el plagio“.

Para que se vea mejor la diferencia entre monopolio y propiedad, lo que se defiende es que una película se pueda descargar del eMule o adquirir por otra vía distinta del autor original una vez comercializada no que uno vaya a los estudios y robe la cinta antes de que se haya estrenado en los cines. Lo que se defiende es que una vez que se inventa una máquina y se pone en funcionamiento, otras empresas puedan copiarla y hacer uso de la misma con mayor o menor facilidad no que otras empresas roben los planos de la caja fuerte del innovador original.

De lo que hablamos es de aumentar el número de oferentes del producto o dicho de otro modo, de incrementar la competencia en el mercado lo que bajará los precios y en muchos casos generará externalidades positivas como incrementos de productividad (como pasó con la máquina de vapor).

Las ideas y más concretamente las copias de las mismas (los planos, las partituras, los fotogramas, los manuscritos) merecen la misma protección que el resto de propiedades. Pero ni más ni menos. Otorgarles un monopolio a sus productores y no otorgárselo a otros merece una justificación potente y bien argumentada más allá del “nos estás robando” que como hemos visto no es de lo que se trata. Y si además ese monopolio está protegido por el estado y por la ley, y dura 70 años después de la muerte del autor, los argumentos deben volverse aplastantes.

No es así, son muy discutibles y el más serio de todos desarrollado por el gran economista Schumpeter y por otros como Arrow es que el monopolio fomenta la innovación. Curiosamente la palabra innovación no aparece tan a menudo en las bocas de los apologistas de la propiedad como cabría esperar (es su baza más fuerte). Por contra, la palabra dinero parece ser la que se lleva todo el protagonismo.

Lo que preocupa realmente es si caen los precios tanto que incluso algunas cosas se pueden adquirir gratis ¿de qué vivirán los creadores? En el punto 3 de mi trabajo y en el libro original a lo largo de varios capítulos (especialmente el tercero “How Competition Works”) se demuestra que efectivamente el creador ganará menos dinero en un sistema de competencia que en uno de monopolio (obvio) pero que podrá ganar el suficiente para desarrollar sus obras y vivir gracias sobretodo a que la copia original de la idea le pertenece a él y puede comercial con ella.

En los puntos 4 y 5 ya me centré por completo en el problema de la innovación o de forma más divulgativa en el problema de que una gran inversión no se llevará a cabo si los beneficios que se obtendrán de la misma no son extraordinarios. La justificación reside en hacer un análisis dinámico del problema en lugar de uno estático y en la presencia sobretodo de unos fuertes beneficios extraordinarios a corto plazo que junto con otros ingresos complementarios cubrirá la gran mayoría de estas inversiones iniciales.

En el punto 6 se trata el tema de la innovación como bien público que resultará más familiar a los que hayan estudiado economía y manejen el concepto de consumo no rival (un bien público en economía no es como se suele pensar un bien que sea bueno para todos). Básicamentre lo que se dice en el libro es que cuando hablamos de copias de ideas en lugar de ideas abstractas las características de bien público se diluyen y que en última instancia el problema de bien público es un problema de propiedad, no de monopolio.

En el punto 7 se habla de un concepto que está entre las líneas de todos los párrafos anteriores: la imitación. ¿Qué ocurre cuando no hay que pagar por una copia de la idea para tenerla sino que basta con mirar e imitar? Aquí las líneas de argumentación van en dos direcciones. Por un lado se aclara que la imitación no es tan mala como cabría pensar, en general tiene muchas más ventajas que inconvenientes y por otro que las situaciones en las que se da una imitación perfecta y gratuita son realmente escasas.

Con todo, quedan algunas puertas abiertas para la defensa del monopolio intelectual por lo que podemos acudir a la evidencia empírica para ver qué es lo que ha pasada con la innovación en diversos sectores. En el punto 8 hablo de cómo el número de libros per cápita registrados en Estados Unidos no parece haber aumentado mucho a pesar de una mayor protección y sobretodo hablo del fenómeno del software libre donde la protección no ha traído precisamente las innovaciones más relevantes.

Si os ha picado la curiosidad podéis ver todas estas ideas más desarrolladas en mi trabajo y por supuesto en el libro original, escrito por dos personas con las que aunque no estoy en todo de acuerdo, desmontan de forma brillante la mayoría de los dogmas existenes sobre la propiedad intelectual hasta llegar a la conclusión de que el monopolio intelectual es un mal innecesario.

Fuente: http://blog.faqoff.org/2008/02/08/contra-el-monopolio-intelectual/

Día Mundial de la "Propiedad Intelectual"

2008-05-02T19:51:00.001-07:00

Creado por la Organización Mundial de la Propiedad Intelectual (OMPI), institución que trabaja junto con diferentes órganos de Naciones Unidas para promover el reconocimiento de la creatividad de inventores, autores y artistas.

El 26 de abril ha sido “maldecido” como el día mundial de la Propiedad Intelectual y por supuesto no tenemos nada que celebrar.

Con mensajes como el de Georg W. Bush, llamando a profundizar los regímenes de patentes y copyrights en todo el mundo y felicitando a la oficina de patentes de los EEUU, seguro que el 26 de abril no será nuestro día.

Digo yo, ¿Por qué no reemplazamos esta jornada negra y llamamos a celebrar el día de la libertad intelectual! ?

Canal-ar me pidió un comentario al respecto, y les envié esto para complementar su cobertura de la jornada.

La libertad de las ideas

“Si la naturaleza ha creado algo menos susceptible de ser objeto de propiedad exclusiva, esa es la acción del poder del pensamiento que llamamos idea, algo que un individuo puede poseer de manera exclusiva mientras la mantenga guardada. Sin embargo, en el momento en que se divulga, se fuerza a si misma a convertirse en posesión de todos�? dijo Thomas Jefferson hace mucho.

En el Día Mundial de la “Propiedad Intelectual�? no tenemos nada que festejar, pues es un día de marketing para los interesados en hacernos creer que las ideas son pasibles de propiedad monopólica.

Debemos aprovechar este día para cuestionar el régimen anacrónico de monopolios sobre el conocimiento en el que actualmente vivimos y presentar formas novedosas, no restrictivas y liberadoras de promover la riqueza intelectual y el acceso al conocimiento que tanta falta nos hacen a los ciudadanos de los países en desarrollo.

Quienes trabajamos por la libertad de usuarios y desarrolladores de software evitamos el concepto de “propiedad intelectual�?[1] y queremos avanzar hacia organizaciones y políticas que fomenten la riqueza colectiva y la libertad de las ideas [2].

El movimiento de Software Libre ha demostrado con vigor que esto es posible y que existen formas socialmente justas y sustentables de promover la creatividad.

[1]http://www.gnu.org/philosophy/words-to-avoid.es.html#IntellectualProperty
[2]http://fsfeurope.org/documents/wiwo.es.html

Fuente:
http://www.bea.org.ar/?p=115
http://www.tucumanoticias.com.ar/noticia.asp?id=11298

Situación actual de la serie 27000

2008-05-02T19:50:00.003-07:00

La semana pasada tuvo lugar en Kyoto una reunión del Subcomité 27 de ISO para seguir avanzando en la elaboración de estandares de la serie 27000. En concreto el listado actual de normas que se encuentran en desarrollo y finalizadas son:

ISO/IEC 27000 - proporcionará una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.

ISO/IEC 27001:2005 - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI).Publicada en 2005.

ISO/IEC 27002:2005 - Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005).Publicada en 2005 y renombrada en 2007.

ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.

ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.

ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve a lo largo del año.

ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.

ISO/IEC 27007 será una guía para auditar SGSI.

ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.

ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.

ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051)

ISO/IEC 27031 estará centrada en la continuidad de negocio
ISO/IEC 27032 será una guía para la cyberseguridad.

ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.

ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.

ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.

Fuente: http://seguridad-de-la-informacion.blogspot.com/2008/04/situacin-actual-de-la-serie-27000.html

Adobe abre el formato SWF y FLV

2008-05-02T19:50:00.001-07:00

Adobe, en alianza con prácticamente todas las empresas que generan dispositivos de distribución de datos y entretenimiento móvil u hogareño, ha anunciado el Open Screen Project. Traducido del MKT Speak, este proyecto básicamente abre las especificaciones del formato SWF 9 y de los FLV, adicionalmente a eso, elimina las restricciones de licencia sobre el uso de los formatos. Permitiendo legalmente crear un Flash Player de código abierto, entre otras cosas.

Este anuncio es gigante. En una pequeña lista, Adobe especifica que el proyecto apunta a:

Remover las restricciones del formato SWF y el FLV/F4V.
Publicar el API de la capa para portar el Adobe Flash Player a dispositivos.
Publicar el protocolo Adobe Flash Cast y el protocolo AMF (Flash Cast, en síntesis, es un protocolo de transmisión de video en tiempo real para dispositivos móviles)
Remover los costos de licencia para dispositivos, haciendo completamente gratis las próximas versiones de Adobe AIR y Adobe Flash Player para estos dispositivos (Antes había que pagar para tener Flash metido en tu aparato... eso no sonó bien, pero no hay tiempo de reescribir).

Fuente: http://www.cristalab.com/blog/55634/adobe-abre-el-formato-swf-y-flv

Proyecto Ushuaia: experiencia de voto electrónico

2008-05-02T19:49:00.003-07:00

Experiencia Ushuaia: voto electrónico en las elecciones municipales del 26 de octubre de 2003

Ushuaia realizó el 26 de octubre sus elecciones municipales con la implementación de un sistema de voto electrónico, mediante el cual votó la totalidad de los ciudadanos empadronados en dicho Municipio. En este caso particular, y teniendo en cuenta tanto la tendencia mundial como el contexto socio-político local, se optó por un sistema de registro electrónico directo (RED).

Este sistema de registro en memoria propia del dispositivo de votación cuenta con una pantalla táctil (Touchscreen) mediante la cual el elector indica sus opciones, una tarjeta chip para habilitar el uso del dispositivo y un soporte de memoria (flash card) para registrar los votos; y, en un número y distribución aleatoria, una impresora que permitirá la emisión de un respaldo documental del sufragio así como una urna para contener los mismos (garantía de la integridad del sistema).

Leer documento completo
Documento en Gobierno Electrónico
Ver Diapositivas
Ver opinión Vía Libre
Voto electrónico en Vía Libre

Microsoft niega responsabilidades en ataques masivos

2008-05-02T19:49:00.001-07:00

Por Angela Ruiz
angela@videosoft.net.uy

En una entrada del blog del equipo de seguridad del centro de
respuestas de Microsoft, la compañía niega que los recientes
ataques de inyección de código SQL que han permitido que
miles de sitios se conviertan en potenciales peligros de
infección para los visitantes, se deban a fallos nuevos o
desconocidos en sus productos Internet Information Services o
Microsoft SQL Server.

Por el contrario, Bill Sisk, integrante del Microsoft
Security Response Center, dice que los ataques fueron
posibles debido a las malas prácticas de quienes son
responsables de dichos sitios.

Los ataques, que aún se están llevando a cabo, han afectado a
más de medio millón de páginas Web, comprometiéndolas de tal
forma, que las mismas son capaces de enviar malwares a
quienes las visitan.

La mayoría de los sitios comprometidos son muy populares. La
extensa lista incluye desde páginas de muchos organismos
gubernamentales, como los del gobierno británico, hasta el
sitio de las Naciones Unidas, entre muchos otros.

Lo único que se requiere para infectarse, es visitar una de
estas páginas sin tener las últimas versiones actualizadas
del sistema operativo, del navegador, o de otros programas
como reproductores multimedia, etc.

La presencia de un producto antivirus que pueda ser capaz de
reaccionar sin necesidad de una actualización de firmas,
mediante la detección avanzada de códigos maliciosos
utilizando técnicas heurísticas, es hoy día algo fundamental.

Si el usuario no tiene estas protecciones, mientras visualiza
las páginas comprometidas, un código en JavaScript es
inyectado y puede ser ejecutado si encuentra alguna de por lo
menos ocho vulnerabilidades conocidas en aplicaciones de
Windows.

Si tiene éxito, el archivo descarga otros malwares, desde
otros servidores maliciosos, los cuáles varían continuamente.

* Relacionados
Phishing que agrega malwares a su PC
http://www.vsantivirus.com/30-04-08.htm

Sitios populares con código malicioso, el gran problema
http://www.vsantivirus.com/24-04-08.htm

Blogs de Yahoo utilizados para spam
http://www.eset.com.uy/eset/?subaction=showfull&id=1208991932&n=2

Blogs de WordPress en peligro
http://www.eset.com.uy/eset/?subaction=showfull&id=1208390759&n=2

Riesgo elevado en la navegación por Internet
http://www.vsantivirus.com/21-04-08.htm

Servidor y cliente "colaboran" para infectar al usuario
http://www.eset.com.uy/eset/?subaction=showfull&id=1208648394&n=2

Sobre la importancia de las actualizaciones
http://www.eset.com.uy/eset/?subaction=showfull&id=1207955349&n=2

Los sitios demasiado populares también son peligrosos
http://www.eset.com.uy/eset/?subaction=showfull&id=1206400070&n=2

Spammers toman por asalto los blogs de Google Blogger
http://www.vsantivirus.com/26-04-08.htm

El captcha de Hotmail, vulnerado en 6 segundos
http://www.vsantivirus.com/16-04-08.htm

Los "spammers" asaltan el correo gratuito
http://www.vsantivirus.com/mm-captchasbroken.htm

¿Ha sido roto el captcha de Gmail?
http://www.vsantivirus.com/11-03-08.htm

Google detiene el uso de "Goolag Scanner"
http://www.vsantivirus.com/25-02-08.htm

Google, páginas de error 404 y malwares
http://www.vsantivirus.com/22-02-08.htm

Spammers rusos vulneran protección de Gmail
http://www.vsantivirus.com/vul-captcha-gmail.htm

Ataque generalizado a más de 10,000 sitios web
http://www.vsantivirus.com/18-03-08.htm

Antivirus falsos
http://www.eset.com.uy/eset/?subaction=showfull&id=1205197445&n=2

Fuente: http://www.vsantivirus.com/01-05-08.htm

La caída de Apache

2008-04-30T09:58:00.005-07:00

Por Mercè Molist

Una de las joyas más preciadas del "software" libre, el servidor web Apache, vive un serio declive según las estadísticas mensuales de la empresa Netcraft. Aunque sigue siendo el servidor web más presente en Internet, su cuota de mercado es hoy del 50%, cuando hace tres años era del 70%. Las distancias se acortan con su principal rival, el Microsoft Internet Information Server (IIS), que ha crecido un 16% en el mismo periodo.

La principal razón del declive de Apache es el éxito de sus "hijos", servidores web libres que en muchos casos son versiones del propio Apache y que empiezan a canibalizarlo. El más importante es el servidor web de Google, presente en 9 millones de ordenadores. A mediados del año pasado, los servidores Google empezaron a identificarse como tales en Internet y no como Apaches. Lo mismo sucedió con el servidor Tomcat, que ahora se contabiliza separadamente en las estadísticas.

En cuanto al ascenso del servidor de Microsoft, empezó a finales de 2006, cuando la empresa Go Daddy, que aloja millones de sitios web, los migró de Apache a IIS. A esto se añade el auge de redes sociales como Windows Live Spaces, MySpace y Blogger, que utilizan IIS y alojan millones de webs que aparecen en las estadísticas como administradas por el servidor de Microsoft.

Para mejorar la imagen de Apache, la consultora Pingdom ha realizado un estudio sobre el uso de servidores web desde otro punto de vista: cuáles están usando los 100 sitios más populares de Internet. La conclusión es que Apache, con el 49%, es el doble de popular que IIS, con el 20%.

Estadísticas de uso de servidores web en marzo de 2008. Netcraft.
http://news.netcraft.com/archives/2008/03/26/march_2008_web_server_survey.html

Estudio de Pingdom sobre los servidores en uso en los 100 sitios más populares de Internet:
http://royal.pingdom.com/?p=265

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

Inyección lateral de SQL en Oracle

2008-04-30T09:58:00.003-07:00

David Litchfield ha publicado los detalles técnicos de un nuevo tipo de ataque que puede proporcionar a un hacker acceso a la base de datos de Oracle. Denominado inyección lateral de SQL, este ataque podría utilizarse para ganar los privilegios de administrador de una base de datos en un servidor de Oracle para cambiar o borrar datos, e incluso instalar software.

Aunque este investigador ya había hablado de este tipo de ataques en la conferencia Black Hat Washington que tuvo lugar el pasado mes de febrero, no ha sido hasta ahora cuando ha publicado un artículo con los detalles técnicos. Según estos, en una inyección de SQL, los atacantes crean términos de búsqueda que trucan la base de datos con comandos SQL. Antes, expertos de seguridad pensaban que las inyecciones de SQL sólo podrían funcionar si el atacante imputaba caracteres introducidos en la base de datos, no obstante, Litchfield ha mostrado que el ataque puede funcionar utilizando nuevos tipos de datos, conocido como fechas y tipos de datos de números. Sin embargo, este experto apunta no saber con seguridad el alcance de estas vulnerabilidades, si bien sí puede causar un gran daño en algunos escenarios.

Tal y como apunta este investigador, “si utilizas Oracle y escribes tus propias aplicaciones, podrías estar escribiendo código vulnerable y eso es algo sobre lo que la gente debería preocuparse”.

Para protegerse contra estas vulnerabilidades, Litchfield aconseja que los programadores de bases de datos comprueben que todos los datos que procesan son legítimos y no han sido inyectados con comandos SQL.

Por su parte, desde Oracle han declinado hacer comentarios al respecto.

Fuente:
http://www.idg.es/pcworldtech/mostrarNoticia.asp?id=67277&seccion=actualidad
http://www.databasesecurity.com/dbsec/lateral-sql-injection.pdf

Top Ten de países con más ordenadores zombies

2008-04-30T09:58:00.001-07:00

Los criminales han puesto su mirada en Europa debido a sus veloces conexiones ADSL y el buen parqué de PCs.

Diario Ti: La mayor parte del ejército de ordenadores “zombie", utilizados por los cibercriminales para enviar spam o llevar a cabo ataques DDoS, se encuentra en Europa, según han descubierto recientemente los laboratorios de seguridad de G Data.

El análisis de las direcciones IP utilizadas, efectuado por el equipo G Data Outbreak Shield en el primer trimestre de 2008, arrojó datos sorprendentes: en términos de ordenadores zombie, Alemania e Italia encabezaron la lista mundial con el 20% del total de ordenadores implicados. España ocupa el noveno puesto, con el 5% del total. El número de “zombies" utilizados cada día ronda una media de 350.000, con picos de 700.000 PCs de este tipo enviando spam.

Las botnets constituyen la espina dorsal de la industria del e-crimen y causan pérdidas millonarias cada año a los operadores. El portfolio de servicios de estas redes del crimen está altamente diversificado y va desde el envío de spam y ataques DDoS hasta el phising, pharming, malware y el robo de datos. Los criminales online se aprovechan constantemente de los ordenadores que no se protegen adecuadamente, de forma que logran integrarlos en sus botnets.

Los países con buenas infraestructuras TI y conexiones ADSL rápidas están al frente de la lista de prioridades de los responsables de las botnets. Según se desprende de las investigaciones de los laboratorios de seguridad de G Data, no debe sorprender que los países de la Europa Occidental tomen la delantera en el número de zombies activos.

Top diez de países con más PCs zombie:

Alemania 10 %
Italia 10 %
Brasil 8 %
Turquía 8 %
China 6 %
Polonia 6 %
EE.UU 5 %
Rusia 5 %
España 5 %
India 4 %

En palabras de Ralf Benzmüller, responsables de los laboratorios de seguridad de G Data, “Los responsables de las botnets han puesto su mirada en Europa desde hace mucho, debido a sus veloces conexiones DSL, el buen parqué de PCs y, sobre todo, la gran parte de los mismos que no cuentan con protección alguna. El código malicioso es colocado preferentemente por sus desarrolladores en sitios web hackeados o falsificados. Basta tan sólo con entrar a estas webs para que el PC del visitante se transforme en zombie. Por desgracia, la utilización de cortafuegos y antivirus no está generalizada entre todos los usuarios, lo que facilita que los atacantes controlen un número elevado de PCs y que sus ataques tengan éxito con rapidez. Casi cada segundo, un usuario alemán navega por la red con una protección antivirus no actualizada, constituyendo de dicha forma una presa fácil".

Fuente: http://www.diarioti.com/gate/n.php?id=17417

¿Qué debes hacer si han hackeado tu sitio web?

2008-04-30T09:57:00.002-07:00

Por: Rebecca Steelman y Alvar López de Pedro, Equipo de calidad de búsqueda

Bueno, han hackeado tu sitio. Esto le sucede a muchos webmasters, incluso a pesar de todo el trabajo dedicado a evitar que este tipo de cosas ocurra. Evitarlo incluye mantener tu sitio actualizado con los últimos parches y software; crear una cuenta de Herramientas para webmasters de Google para ver qué contenido se ha indexado y vigilar tus archivos de registro para asegurarse de que no sucede nada sospechoso, etc. Hay más información en un texto que publicamos el año pasado, "Quick Security Checklist" en inglés.

Recuerda que no estás solo: Los sitios hackeados son cada vez más comunes. Si tu sitio ha sido hackeado puede que se vea infectado con software malicioso. Echa un vistazo al informe que ha publicado la ONG StopBadware.org sobre tendencias de badware en 2007 (Trends in Badware 2007, texto en inglés) para obtener un análisis exhaustivo de las amenazas y las tendencias del año pasado. Lee este post en el blog sobre seguridad en línea de Google que destaca el aumento del número de resultados de búsqueda que contienen alguna URL clasificada como maliciosa. Para informes técnicos más detallados sobre el análisis del malware en la web, consulta el documento The Ghost in the Browser (pdf) y este informe técnico (pdf en inglés) acerca de descargas involuntarias. Léelos y tendrás una mejor idea del problema. Éstos también incluyen algunos ejemplos reales de diferentes tipos de malware.

En cualquier caso, el primer paso debe ser contactar al proveedor de alojamiento web, si dispones de uno. A menudo ellos pueden hacerse cargo de los aspectos más técnicos. Muchos webmasters utilizan alojamiento compartido, que puede dificultar algunas de las cosas enumeradas a continuación. Los consejos marcados con un asterisco (*) son casos en los que los webmasters que utilizan alojamiento compartido probablemente necesitarán ayuda de su proveedor de alojamiento. En caso de que tengas control absoluto del servidor, recomendamos cubrir estos cuatro puntos básicos:

Sitio temporalmente fuera de servicio

* Pon el sitio fuera de servicio temporalmente, al menos hasta que sepas que has arreglado las cosas.
* Si no puedes ponerlo fuera de servicio temporalmente, haz que devuelva un código de estado 503 para evitar que se indexe.
* En las Herramientas para webmasters, utiliza la herramienta de solicitud de eliminación de URL para eliminar cualquier página hackeada o URL de los resultados de búsqueda que se hayan podido añadir. Esto evitará que se muestren páginas hackeadas a los usuarios.

Evaluación de los daños

* Es una buena idea saber qué buscaba el hacker.
o ¿Buscaba información delicada?
o ¿Quería hacerse con el control del sitio con otros propósitos?
* Busca cualquier archivo que se haya cargado o modificado en tu servidor web.
* Busca cualquier actividad sospechosa en los registros de tu servidor, como por ejemplo, intentos fallidos de inicio de sesión, historial de comandos (especialmente como raíz), cuentas de usuario desconocidas, etc.
* Determina el alcance del problema. ¿Tienes otros sitios que también puedan verse afectados?

Recuperación

* Lo mejor que puedes hacer aquí es una reinstalación completa del sistema operativo, realizada desde una fuente de confianza. Es la única manera de estar totalmente seguros de que se ha eliminado todo lo que el hacker haya podido hacer.
* Tras la reinstalación, utiliza la última copia de seguridad para recuperar tu sitio. Asegúrate de que la copia de seguridad esté limpia y libre de contenido hackeado.
* Instala las últimas versiones de parches de software. Esto incluye cosas como por ejemplo plataformas de weblogs, sistemas de gestión de contenido o cualquier otro tipo de software de terceros instalado.
* Cambia las contraseñas.

Recuperación de la presencia en línea

* Vuelve a poner tu sitio en línea.
* Si eres un usuario de las Herramientas para webmasters, inicia sesión en tu cuenta.
* Si tu sitio se ha marcado como malware, solicita una revisión para determinar si está limpio.
* Si has utilizado la herramienta de solicitud de eliminación de URL para URL que deseas tener indexadas, solicita que se reincluya tu contenido revocando la solicitud de eliminación.

Vigílalo todo, ya que el hacker podría querer volver.

Respuestas a otras preguntas que puede que te hagas:

P: ¿Es mejor tener mi sitio temporalmente fuera de servicio o usar robots.txt para evitar que se indexe?
R: Ponerlo temporalmente fuera de servicio es la mejor manera de hacerlo. Esto evita que se muestre malware o badware a los usuarios y evita que los hackers sigan abusando del sistema.

P: Una vez que haya solucionado esto, ¿cuál es la manera más rápida de volver a ser indexado?
R: La mejor manera, independientemente de si el sitio fue hackeado o no, es seguir las Directrices para webmasters, disponibles en el Centro de asistencia para webmasters.

P: He limpiado mi sitio pero, ¿a pesar de esto me penalizará Google si el hacker enlazó a malos vecindarios?
R: Intentaremos que esto no suceda. Hacemos todo lo posible para que los sitios buenos no se vean penalizados por acciones de hackers y spammers. Para estar seguros, elimina completamente cualquier enlace que los hackers hayan podido añadido.

P: ¿Qué pasa si esto ocurrió en mi computadora personal?
R: Todo lo de arriba sigue siendo aplicable. Pon especial atención a limpiarlo todo. De lo contrario, es probable que vuelva a ocurrir lo mismo. Lo ideal es una reinstalación completa del sistema operativo.

Recursos adicionales que puedes encontrar útiles:

* Si Google ha marcado tu sitio como malware, te avisaremos cuando visites las Herramientas para webmasters
* No te olvides del Grupo de asistencia para webmasters de Google. Está lleno de usuarios expertos, y también de Googlers. Para ver un buen ejemplo sobre el tema, lee este mensaje. También está el grupo de Stop Badware.
* Matt Cutts escribió en su blog consejos para proteger tu instalación de Wordpress ("Three tips to protect your WordPress installation", texto en inglés), y también tiene comentarios muy buenos.

No dudes en dejarnos cualquier otra recomendación que tengas en los comentarios del grupo de asistencia.

Fuente: http://googleamericalatinablog.blogspot.com/2008/04/qu-debes-hacer-si-han-hackeado-tu-sitio.html

Spammers, cómo generan el spam en Blogger

2008-04-30T09:57:00.001-07:00

En el blog del laboratorio de Websense han publicado de forma detallada el proceso automatizado que utilizan los spammers para burlar la captcha de Blogger y generar blogs spam. Muchos detalles técnicos se me escapan pero la idea general se entiende.

Diariamente miles de blogs y comentarios spam son generados de forma automática por robots, la mayoría de las veces estos nuevos sitios nos redireccionan hacia páginas que contienen diversos malwares. Google está al tanto de la situación y se encuentra en plena campaña de lucha para detectar splogs y eliminar los comentarios que los spammers generan, JMiur de Vagabundia me lo confirmó por e-mail hacia algunos días luego de descubrir que muchos de los comentarios eliminados por Blogger de forma automática y sin aviso al propietario del blog, efectivamente eran comentarios maliciosos generados por robots.

La técnica implementada por los spammers tiene grandes ventajas ya que evitan publicar directamente las URL de sus sitios que generalmente son detectados y bloqueados por los filtros anti-spam. Además no sólo están utilizando direcciones del tipo .blogspot.com, también aprovechan abreviadores de direcciones gratuitos como tinyurl.com.

Es recomendable que todos los usuarios de Blogger eliminen manualmente estos comentarios que se reciben para evitar que alguna visita desprevenida termine siendo la víctima de un spammer. La detección anti-spam de Google se mejora día a día pero no es 100% efectiva, el servicio es el más utilizado del mundo en lo que refiere a plataformas de blogs y controlarlo no debe ser sencillo, además como el juego del gato y el ratón los spammers siempre están mejorando sus técnicas de ataque para burlar los filtros de seguridad.

Fuente: http://spamloco.net/2008/04/spammers-como-generan-el-spam-en.html

COFEE para todos. Microsoft invita

2008-04-30T09:56:00.003-07:00

El único requisito para que Microsoft te invite a COFEE es que pertenezcas a un cuerpo policial de un país amigo.

COFEE (Computer Online Forensic Evidence Extractor) es un dispositivo USB que dispone de 150 comandos que facilitan la obtención de pruebas desde una máquina sospechosa de haber intervenido en un delito. Permite descifrar contraseñas, rastrear la actividad reciente en Internet y acceder a los datos almacenados en el ordenador, todo ello sin necesidad de incautarse de la máquina, ya que el análisis puede realizarse in situ.

Más de 2.000 policías de quince países disponen ya de este dispositivo, que Microsoft proporciona de forma gratuita.

Con tan pocos detalles resulta imposible determinar la utilidad práctica del dispositivo, puesto que disponiendo de acceso local a una máquina no tiene demasiado mérito acceder a ese tipo de datos. Supongo que lo único que hace es sistematizar y facilitar el acceso a individuos poco especializados...

Fuente:
http://www.kriptopolis.org/cofee-microsoft-invita
http://seattletimes.nwsource.com/html/microsoft/2004379751_msftlaw29.html
http://www.news.com/8301-10784_3-9930664-7.html

Los riesgos de participar en las redes sociales

2008-04-30T09:56:00.001-07:00

El boom de sitios como Facebook o MySpace puso en discusión el papel de la privacidad de los usuarios, que a veces no saben que pese a no participar de esos sitios también pueden tener problemas.

Consejos para manejarse con cuidado

Sarah Brown toma muchos recaudos cuando se sumerge en las redes contacto sociales de la internet.

No tiene una página en MySpace. Sí figura en Facebook, pero hace lo posible para que su sitio sea visto solo por la gente que conoce.

"No quiero tener que preocuparme de los escándalos y problemas que hay online", expresó Brown, quien estudia educación en el St. Joseph College de Connecticut. No quiere difundir su información personal y exponerse a que le roben su identidad o a que potenciales empleadores sepan cosas de ella que no deben saber. "Es una cuestión de sentido común", señaló.

Da la impresión de que lo tiene todo bajo control. ¿O no?

Resulta que incluso las personas tan cuidadosas como Brown le pueden entregar información personal a extraños sin siquiera darse cuenta. Lo hacen cada vez que bajan e instalan una "aplicación", como se llama a los miles de programas que ofrecen las redes de contacto social de internet, diseñados por terceros y que incluyen juegos, competencias, concursos de conocimientos y regalos virtuales.

Brown, por ejemplo, instaló una aplicación de los aficionados del equipo de hockey sobre hielo Boston Bruins y otra que le permite colocar carteles en su propia página y la de sus amigos. Todo esto es parte de un sistema por el cual la gente puede comunicarse a través de redes cibernéticas de contacto social, creando páginas sobre sí mismos, en las que difunden fotos y detalles de sus vidas y sus intereses.

La gente a veces piensa que esa información, que considera privada, puede verla solo los amigos o grupos específicos.

Las condiciones de uso

Pero eso no es así si se usan aplicaciones. En Facebook, por ejemplo, las aplicaciones solo pueden ser bajadas si el usuario hace click en un recuadro que autoriza a los programadores de esa aplicación "saber quien soy y acceso a mi información". En otras palabras, tienen acceso a todo, menos a la información de cómo contactar al usuario.

Sin pensarlo demasiado, casi 70 millones de personas de todo el mundo aceptaron esas condiciones y usan las aplicaciones para coquetear, jugar y relacionarse con otra gente a través de internet.

News Corp., la empresa matriz de MySpace, que recibe 117 millones de visitantes por mes, incorporó hace poco una plataforma de aplicaciones, que le da a los programadores acceso a la información de todo usuario que baja su programa. A diferencia de lo que ocurre con Facebook, no obstante, el usuario de MySpace no debe incluir su nombre en su página.

¿Qué hacen estos programadores con la información? A veces la usan para poner en contacto a usuarios con intereses parecidos. Otras, para difundir publicidad orientada a sectores específicos, tomando en cuenta cosas como la edad y el género.

Facebook y MySpace aseguran que son muy estrictos con los programadores y que se desvinculan de ellos si no cumplen con sus requisitos. Añaden que hay cierta información, como dirección de internet y teléfonos, que no suministran a nadie.

Muchos datos

Pero expertos que investigan temas relacionados con la seguridad del mundo digital opinan que hay demasiada información personal dando vueltas, y pocas garantías de que está bien resguardada. También dicen que las personas que frecuentan las redes de contacto social no saben cuál es el destino de la información que colocan en sus páginas y ni están al tanto de los riesgos que corren.

"Sospecho que hacen muchos clicks despreocupadamente, sin pensar lo que ello representa", declaró Mary Madden, investigadora del Pew Internet & American Life Project, que estudia todo lo relacionado con la privacidad de las personas. "Se difunde mucha información sin que el usuario sepa cuáles son las consecuencias".

Parte del peligro es que las aplicaciones de Facebook son creadas por cualquiera, desde compañías establecidas hasta individuos que saben diseñar programas. Estos programadores pueden estar en cualquier lugar del mundo, según Jayant Agarwalla, uno de los creadores de la popular aplicación Scrabulous, inspirada en el juego Scrabble.

Contactado mediante un correo electrónico, Agarwalla dijo que emplea datos demográficos para colocar avisos, que aparecen cuando alguien está jugando. El programador, quien vive en la India, destacó que la información es obtenida y usada en el momento y no es almacenada. "En mi humilde opinión, el usuario no tiene nada de que preocuparse", expresó.

Hay quienes opinan, sin embargo, que es como darle el número de su tarjeta de crédito a un desconocido que le ofrece mercancías por la internet.

Adrienne Felt, quien estudia computación en la Universidad de Virginia y usa Facebook, dice que investigó el fenómeno y llegó a la conclusión de que no se corren tantos riesgos, ya que los programadores son gente honorable, sin intenciones ocultas.

Indicó que la mayoría de los programadores que contactó no necesitan la información personal de los usuarios y no le dan uso alguno. Cuando lo hacen, es puramente para pasar avisos publicitarios.

Vigilancia

Al final de cuentas, no obstante, Felt admite que no hay nada que impida a un programador compaginar la información con datos disponibles al público y averiguar la identidad del usuario. La información, por otra parte, puede ser robada y dar lugar incluso al robo de identidad.

"La gente parece estar convencida de que, cuando usa internet, hay alguien vigilando, que se asegura de que todo está en orden. Y eso no es así", comentó.

En la práctica, de todos modos, el principal inconveniente son probablemente los avisos publicitarios destinados específicamente al usuario.

Jonathan Gaugler, un neoyorquino de 26 años, dice que, poco antes de casarse, comenzó a recibir avisos tipo "¿Se va a casar? Haga su lista de regalos con nosotros". Su novia recibió una invitación a donar óvulos a una clínica de fertilidad.

"Alucinante", expresó Gaugler.

Muchos piensan que los riesgos de las redes de contacto social son "bajos, y los beneficios altos", según Patricia Sánchez Abril, profesora de la Universidad de Miami que estudia las leyes sobre privacidad.

"Es la forma en que se comunica la gente ahora. Si uno no está allí, queda al margen", declaró.

Sánchez Abril destaca que las aplicaciones son uno de los riesgos de estas actividades. Otro, dijo, son los amigos con acceso a la información de uno, que pueden darle una difusión no deseada.

Fuente: http://www.infobae.com/contenidos/377498-100918-0-Los-riesgos-de-participar-en-las-redes-sociales

Defensa española bloquea los portales de ocio a los militares

2008-04-30T09:55:00.004-07:00

l Ministerio de Defensa ha restringido el acceso de la mayor parte del personal militar y civil del Departamento a páginas web deportivas y de ocio para impedir la saturación de la red registrada en algunas ocasiones en horario de trabajo, prohibición que se ha extendido también a los Cuarteles Generales de los Ejércitos de Tierra, Aire y Armada.

Según confirmaron fuentes de los cuatro instituciones mencionadas, la prohibición de acceso afecta a páginas 'web' como los diarios deportivos 'Marca' y 'As', la revista 'Interviú', diversos portales de compras y de subastas, como el sitio 'Ebay', especializado en compra-venta y subasta de todo tipo de artículos.

Las fuentes consultadas aseguraron que también se ha denegado el acceso a otras páginas relacionadas con actividades de extralaborales como portales en los que se 'cuelgan' anuncios de compra-venta de diferentes productos. La prohibición se extiende además a diversos foros y a las páginas personales o 'blogs'.

Precisamente, estos portales 'personales' y los foros son cada más utilizados por militares y civiles expertos en temática castrense para intercambiar conocimientos, análisis y opiniones sobre temas de defensa nacional e internacional.

El Ministerio de Defensa impone esta restricción de acceso a Internet desde hace varios días a personal militar y civil, al que informó por medio de una circular. La nota explica que la medida se adopta porque la red del Departamento que dirige Carme Chacón se ha visto colapsada en una determinada franja horaria, llegando a hacerse "en ocasiones" imposible la navegación por Internet.

La comunicación señala que se restringirá temporalmente en horario laboral la entrada en una serie de páginas, sin especificar todos los sitios prohibidos sino explicando las categorías de portales que no se podrán visitar a no ser que se tenga una autorización expresa.

Esta restricción idéntica se ha impuesto también desde el pasado lunes en los Cuarteles Generales de los Ejércitos de Tierra, Aire y Armada, en los que la consulta a páginas deportivas está censurada y sólo determinados niveles tienen acceso libre a la red durante el horario laboral.

Según confirmaron varios de los afectados por la medida, la entrada en sitios como las ediciones digitales de los diarios Marca y As, el portal Ebay.es y otras páginas web no está permitida para la mayor parte de los usuarios civiles y militares destinados en estos centros de mando.

Fuente: http://www.lavanguardia.es/lv24h/20080423/53457586291.html

Cuidado con tu portátil en las aduanas

2008-04-30T09:55:00.003-07:00

Las aduanas estadounidenses - cualquiera que las haya sufrido sabrá de qué hablo - han ido un paso más allá, y ahora es legal para sus cuerpos de seguridad cotillear en los contenidos de los portátiles con los que viajemos. La excusa: puede que llevemos pornografía infantil dentro.

La razón podría ser buena si fuera real, pero es como la eterna excusa del terrorismo bajo la cual las medidas de seguridad de muchas zonas y sobre todo de los viajes en avión es casi ridícula. Los que hemos pasado por la aduana estadounidense hemos aceptado con paciencia esas medidas, pero seguro que muchos de vosotros os preguntáis porqué no les tratan a los americanos aquí de la misma forma y los controles aduaneros en Europa son menos alarmantes, excepto en el Reino Unido, donde estas medidas también están muy de moda, lamentablemente.

La gota que colma el vaso llega con una sentencia que ha ratificado la legalidad de un proceso según el cual un policía de aduanas puede coger el portátil que lleves en tu viaje, abrirlo, encenderlo y pasarse un buen rato mirando en tu disco duro para ver si ve contenidos sospechosos, como por ejemplo pornografía infantil.

Es la última invasión de nuestra privacidad a la que uno debe someterse para viajar a estos países, y desde luego es una verguenza que tengamos que soportar tales actos de invasión de nuestros documentos, tanto personales como profesionales, en las aduanas.

Solución: cifra el disco duro de tu portátil.

Fuente:
http://www.theinquirer.es/2008/04/24/cuidado_con_tu_portatil_en_las_aduanas.html
http://arstechnica.com/news.ars/post/20080423-laptop-searches-at-the-border-no-reason-no-problem.html
http://www.news.com/8301-13578_3-9892897-38.html?tag=nefd.lede#fascism

Los usuarios de P2P no cuidan su privacidad

2008-04-30T09:55:00.001-07:00

En este estudio realizado utilizamos el famoso programa de intercambio (P2P) “Emule” al ser usado por la mayoría de los usuarios de programas de P2P, en este estudio también se contrastaron resultados con otros programas y el resultado fue idéntico.

El estudio se basa en buscar palabras claves, ver los resultados de búsqueda y por ultimo conseguir el objeto buscado para comprobar la veracidad del mismo, con todo estos datos se puede comprobar si el usuario de P2P "descuida" su privacidad.

Las palabras claves buscadas para el estudio fueron las siguientes;

- Factura / s
- Banco / s
- Caja
- Extracto / s
- Mis documentos
- Clave / s
- *.pwl (ficheros de claves)
- Backup
- Respaldo
- Caja Madrid
- Caixa
- Patagon
- Ing Direct
- Santander
- Banesto

Con este listado de palabras claves nos ponemos a trabajar en la búsqueda usando el Emule, el resultado fue extremadamente peligroso para la privacidad de estos usuarios.

Las imágenes son un pequeño ejemplo de lo hallado:

Una vez finalizada la búsqueda y filtrado de los ficheros no deseados nos ponemos a descargar los ficheros que nos interesan para comprobar su veracidad y ver hasta que punto pueden poner en peligro la privacidad del usuario.

De los ficheros obtenidos, omitimos algunos datos por seguridad, en ellos se encuentran claves bancarias, direcciones, curriculum, teléfonos, saldo disponible, deudas... etc.

Imágenes de algunos ficheros bajados:

El artículo demuestra que hay que poner “barreras” para que no “violen” nuestra privacidad y no ocurra que nuestra vida privada, cuentas bancarias, claves, estén a disposición de cualquier persona.

La privacidad en las comunicaciones es un derecho por el cual “continuamos” luchando, pero también depende de que el usuario no “regale” o “publique” su privacidad al mundo internauta.

Manual para Salvaguardar la intimidad en peer to peer (P2P)
http://seguridad.internautas.org/index.php?op=1&id=375

Cuida tu “privacidad” en programas P2P.
http://seguridad.internautas.org/html/1/441.html

Fuente:
http://www.internautas.org/html/2900.html
http://www.theinquirer.es/2008/04/25/llegan_a_emule_4000_historias_clinicas_de_abortos.html

Vinton Cerf habla sobre los orígenes de Internet

2008-04-30T09:54:00.001-07:00

El que es considerado como uno de los máximos responsables del nacimiento de Internet ha concedido una entrevista en la que descubre sus reflexiones sobre la creación de Internet. No fue una idea tipo “¡Eureka!”, afirma “el padre de Internet”.

“No tienes que ser joven para aprender nuevas tecnologías. Tan sólo tienes que sentirte joven”. Es una de las citas que publica la revista Esquire en una entrevista que le realizaron a Vinton Cerf en un reciente número, y en la cual el que es considerado como responsable del nacimiento de Internet explica que no se imaginaba Internet como es ahora, y que la idea tampoco surgió de la nada como un estallido de inspiración.

“No hubo un momento del tipo “¡ajá!”. No en el sentido en el que mucha gente le gustaría que lo hubiese habido. Ven Internet ahora y piensan, bueno, parece que hace 36 años alguien se imaginó cómo sería en 2008, y eso es lo que provocó y dirigió todo su proceso evolutivo. No pasó eso, qué va.”

En la entrevista, Vinton Cerf - ahora miembro del consejo de Google - suelta varias perlas tanto sobre temas tecnológicos (”En Silicon Valley, el fracaso da experiencia. Si fallas todo el tiempo, es diferente. Pero un fracaso es seña de experiencia, más que cualquier otra cosa”) como reflexiones generales (”Hay cinco palabras que debes recordar para tener éxito en tu matrimonio “Tienes toda la razón, cariño”).

Cerf reconoce no saber hacia dónde se dirige Internet: “Me gustaría saber cómo será Internet en 2050. Pensar sobre ello me hace querer tener 8 años”.

Fuente:
http://www.theinquirer.es/2008/04/28/vinton_cerf_habla_sobre_los_origenes_de_internet.html
http://www.esquire.com/features/what-ive-learned/vint-cerf-0508

Firefox triunfa en Europa

2008-04-30T09:49:00.000-07:00

Xiti ha publicado sus estadísticas de cuota de mercado para marzo y parece que Firefox ha sido el gran triunfador en Europa, tras obtener casi un 29 por ciento de penetración. IE ha perdido 2,5 puntos de porcentaje en los últimos seis meses.

El país europeo en el que más creció Firefox fue Andorra, donde su cuota de mercado pasó de 22,7 por ciento en febrero a 24,8 por ciento en marzo. Los tres países en los que Firefox es más utilizado son Finlandia, Polonia y Eslovenia, todos con un porcentaje de entre 43 y 46 por ciento.

Según Xiti, Internet Explorer ha perdido 2,5 puntos en los últimos seis meses. Opera y Safari han mejorado ligeramente sus cuotas de mercado alcanzando un 3,3 y un 2,3 por ciento respectivamente.

En lo que a cifras globales se refiere, Oceanía es la región donde Firefox tiene más penetración de todos los continentes, con un 31,2 por ciento como media. La más baja está en Asia, con un 17,2 por ciento. En algunos países de Asia, Firefox tiene problemas para competir con Maxthon, un navegador creado en China que utiliza el motor de renderización de Internet Explorer.

La gran sorpresa la dio América del Norte, donde Firefox redujo cuota de mercado (un punto en marzo).

Fuente:
http://www.theinquirer.es/2008/04/28/firefox_triunfa_en_europa3.html
http://arstechnica.com/news.ars/post/20080427-all-the-rage-in-europe-firefox-marketshare-climbs-higher.html
http://www.xitimonitor.com/fr-fr/barometre-des-navigateurs/firefox-mars-2008/index-1-1-3-127.html?xtor=11

El SP3 de Windows XP, disponible para el usuario final (RETRASADO)

2008-04-30T09:46:00.002-07:00

Microsoft ha comunicado que ha PARALIZADO LA LIBERACIÓN DEL SP3 debido a un “problema de compatibilidad” con la aplicación de la compañía Microsoft Dynamics Retail Management System (RMS) y XP-SP3. Sorpresón porque esta aplicación también es incompatible con el Vista SP1 que sin embargo se liberó en fechas anteriores. Microsoft dice que la solución está en fase de pruebas y que el SP3 estará disponible cuando este proceso se haya completado. Realmente increible que se suspenda un lanzamiento tan esperado por una aplicación usada mínimamente y sobre todo que no se haya comunicado antes este retraso.

El SP3 incluye todas las actualizaciones surgidas desde el SP2 e incluye unos 1.100 hotfixes y parches, además de nuevas características menores como el Network Access Protection.

Una descarga obligatoria para los clientes del sistema aunque solo sea por la actualización completa del mismo y la pequeña ganancia de rendimiento que están publicando las pruebas reportadas y la mayoría de opiniones de usuarios que ya lo han probado.

Por su parte Apple también ha actualizado Bootcamp, su utilidad de instalación de Windows en los Mac para solucionar problemas de compatibilidad con el SP3.

Curiosamente, esta gran actualización para el veterano XP llega dos meses antes de la finalización anunciada de su vida comercial. Aún así parece que le queda cuerda para rato ateniéndonos a la opinión de consumidores, fabricantes y empresas.

Descargar XP-SP3 final en españolFuente:
http://www.theinquirer.es/2008/04/29/el_sp3_de_windows_xp_disponible_para_el_usuario_final.html
http://www.theinquirer.es/2008/04/28/mejora_el_sp3_el_rendimiento_de_xp.html
http://blogs.zdnet.com/hardware/?p=1775&page=2
http://blogs.zdnet.com/hardware/?p=1772
http://www.theinquirer.es/2008/04/28/los_secretos_de_windows_xp_sp3.html

Educar en seguridad en Chile

2008-04-30T09:46:00.001-07:00

¿Qué es el CLCERT? Y ¿cómo se conformó?

El CLCERT es el Grupo de Respuesta a Incidentes de Seguridad Computacional ubicado en la Facultad de Ciencias Físicas y Matemáticas de la Universidad de Chile. Este grupo está compuesto por académicos e ingenieros de la misma universidad. Tiene como misión monitorear y analizar los problemas de seguridad de los sistemas computacionales en Chile, y reducir la cantidad de incidentes de seguridad perpetrados desde y hacia éstos. Para ello, CLCERT se constituye como un punto nacional de encuentro, contacto y coordinación entre instituciones y personas relacionadas del medio local. El origen del CLCERT a finales de 2001 está estrechamente ligado al del Laboratorio de Criptografía Aplicada y Seguridad (CASLab). Surge como una forma en que el CASLab se vincula con el medio local. El CASLab surge como un proyecto conjunto del Centro del Modelamiento Matemático (CMM) y el Departamento de Ciencias de la Computación (DCC), ambos de la Universidad de Chile. Actualmente el CASLab es una red virtual de investigadores con intereses en seguridad computacional y criptografía aplicada.

¿Qué es el “Challenge”? y ¿cuál es su objetivo?

El objetivo de este concurso es crear conciencia (“awareness”) sobre seguridad informática y evaluar el nivel técnico de nuestra comunidad local de expertos en seguridad. El concurso toma la forma de "challenge" o "desafío", donde el objetivo de cada participante es encontrar fallas de seguridad en la configuración y aplicaciones de una máquina específica, el servidor Challenge. Las fallas han sido instaladas a propósito por los organizadores. El objetivo de cada participante en este concurso es encontrar los pasos necesarios para utilizar dichas vulnerabilidades (o bien otras nuevas) y así lograr entrar en forma "no autorizada" al servidor. El concurso es auspiciado y patrocinado por Microsoft Chile, quien presta asesoría de tipo consultivo técnico en la planificación y operación del concurso. Sin embargo, tanto la operación concreta del concurso y servidor challenge, como la determinación de los ganadores son de exclusiva responsabilidad del CLCERT.

Seguir leyendo

Tercer número de HackHispano disponible

2008-04-30T09:45:00.000-07:00

La eZine de HACKHiSPANO es una revista digital descargable en PDF sobre seguridad informática y nuevas tecnologías desarrollada por el equipo HACKHiSPANO, sus colaboradores, y todos los miembros interesados de la comunidad.

Esta publicación, pretende ser una referencia en el mundo de la seguridad informática y las nuevas tecnologías, un mercado del que hoy en día dependen millones de personas. Todos estamos expuestos a nuevas amenazas a la seguridad, y a todos nos afecta una industria tecnológica, que avanza un ritmo frenético.

Porque nuestra ezine esta pensada para que el conocimiento sea libre y llegue a todos los usuarios.
Las noticias mas destacadas, las mejores guías y manuales sobre estos y muchos otros temas, que hoy día, nos interesan a todos.

HH eZine N3, Descargar (PDF)

> OLPC - One Laptop Per Child
> Maquinas Virtuales en nuestro PC
> Modificar código en tiempo de ejecución
> Api WIN32+ensamblador
> Procesos en un sistema
> Introdución a la api de windows (III parte)
> Configurar la red en Windows 2000/XP por consola
> Hackers, Una Cultura

Fuente: http://www.hackhispano.com/

Avanza el proyecto de ley de delitos informáticos

2008-04-28T22:57:00.000-07:00

En 22/4/2008 se llevó a cabo reunión conjunta entre las comisiones de Comunicaciones e Informática y de Legislación Penal, de la Cámara de Diputados de la Nación. Se analizo el proyecto de delitos informáticos con media sanción del Senado y se decidió aprobarlo.

En concreto el proyecto penaliza la pedofilia a través de Internet, la violación a la privacidad en sus mas diversas formas, la interceptación de correo electrónico, el daño informático, la estafa informática, la fabricación y distribución de virus, la interrupción de comunicaciones (incluyendo los ataques tipo DoS), la alteración de pruebas en soportes informáticos y las falsedades digitales. Es mas que esperado teniendo en cuenta que el código penal data de 1921!!!!

Aquí encontrarán un breve informe mío sobre el proyecto (PDF), que es válido para la versión final de la ley porque ésta no tendrá cambios aparentemente. A fines de mayo entonces habrá ley de delitos informáticos en la República Argentina. Vaya un agradecimiento para los numerosos congresistas, sus asesores, expertos, académicos, penalistas, empresas, y organizaciones que apoyaron el proyecto y su trámite.

Fuente:
http://www.delitosinformaticos.com.ar/blog/2008/04/22/avanza-el-proyecto-de-ley-de-delitos-informaticos/

Vulnerabilidad explotada en Wordpress

2008-04-28T22:56:00.000-07:00

Un agujero de seguridad recientemente descubierto podría permitir la alteración de contenidos en los blogs que usan Wordpress, permitiendo incluir en los mismos códigos maliciosos.

WordPress es un manejador de contenidos que es utilizado ampliamente para crear y actualizar blogs. Ha sido desarrollado en lenguaje PHP y MySQL. Gran parte de su popularidad se debe a su facilidad de uso y a los complementos (plugins) diseñados por terceros.

La vulnerabilidad ha sido reportada en el complemento WordPress Spreadsheet Plugin (wpSS), que permite manejar hojas de cálculo en el contenido y realizar búsquedas de datos mediante consultas SQL.

SQL (System Query Language) es un lenguaje de programación estructurado que está orientado a consultas de una base de datos. El mismo permite realizar consultas en forma rápida y fácil.

El fallo ocurre porque el sistema al realizar una búsqueda, no valida correctamente la entrada de datos, permitiendo la inclusión de comandos maliciosos en la misma (ataque de "inyección SQL").

Un atacante que se aproveche del mencionado fallo podría llegar a alterar el contenido, insertar, borrar o capturar datos del mismo.

Es vulnerable la versión 0.61 y probablemente también las anteriores. Se recomienda actualizar el complemento de hoja de cálculo a su nueva versión 0.62 que se encuentra actualizada para con un parche de seguridad que soluciona la vulnerabilidad reportada.

El crédito del descubrimiento de este fallo pertenece a "1ten0.0net1".

Pero además, los usuarios de Wordpress deben actualizarse a la nueva versión 2.5.1 que soluciona 70 fallos. Entre ellos hay una actualización de seguridad con carácter muy importante, especialmente si el blog permite la registración abierta.

Aclaramos que el complemento mencionado en este artículo no se encuentra incluido en el paquete de instalación de Wordpress, por lo que debe ser actualizado de forma independiente.

Temas relacionados
Blog del autor - Actualización de hoja de cálculo
http://timrohrer.com/blog/?page_id=71

WordPress 2.5.1
http://wordpress.org/development/2008/04/wordpress-251/

Fuente:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=992
http://blogs.eset-la.com/laboratorio/2008/04/16/blogs-wordpress-peligro/

Hardware convertido en malware

2008-04-28T22:55:00.001-07:00

Investigadores de la Universidad de Illinois probaron con éxito un nuevo tipo de ataque a los sistemas informáticos consistente en modificar las puertas lógicas de procesadores programables para que estos alberguen y ejecuten un backdoor.

Esto fue probado con éxito en un procesador programable LEON corriendo en Linux al inyectar una modificación en el firmware, cambiando una pequeña parte de las puertas lógicas que éste contiene (sólo 1341 de las más de un millón que posee el procesador).

Si bien este tipo de ataques requiere una gran organización y recursos, demuestra que existe una forma de vulnerar un equipo sin necesidad de explotar el software para acceder como un usuario legítimo. Estos procesadores reprogramables están basados en el modelo SPARC de Sun Microsystems y aún no son ampliamente utilizados, pero están orientados para servidores de gran desempeño.

Esta vulnerabilidad fue demostrada en el Usenix Workshop on Large-Scale Exploits and Emergent Threats el día 15 de abril, presentada por los investigadores Samuel T. King, Joseph Tucek, Anthony Cozzie, Chris Grier, Weihang Jiang, and Yuanyuan Zhou de la Universidad de Illinois en Urbana-Champaign, ganando el premio a la mejor presentación.

El paper que presentaron, en inglés.

Fuente: http://barrapunto.com/articles/08/04/27/0952210.shtml

Crece el mercado de seguridad de redes informáticas

2008-04-28T22:54:00.002-07:00

Los factores son el aumento gradual de la vulnerabilidad de las redes y la brecha entre la demanda y la capacidad de los proveedores de dar soluciones.

Los crecientes ataques informáticos a nivel mundial, sumado a una mayor conciencia respecto a la necesidad de infraestructuras de seguridad completas y sólidas, incrementó en forma significativa la demanda de soluciones de seguridad de redes desde 2004 en América latina, de acuerdo a un informe privado.

Otro factor que impulsó este mercado ha sido el aumento del trabajo móvil, que requiere mejores soluciones de seguridad para proteger a las computadoras portátiles, teléfonos inteligentes y PDAs.

El análisis de la consultora Frost & Sullivan, "Mercados de Seguridad de Redes en América Latina", señala que el mercado obtuvo ingresos por 186,1 millones de dólares en 2007 y se estima que llegará a 598,4 millones de dólares en 2013.

Esta proyección resulta especialmente reveladora al considerar que la mayoría de los proveedores de seguridad de redes comenzó sus operaciones en América Latina a principios de 2000, y que la región comenzó a invertir significativamente en soluciones de seguridad recién en 2002.

"Algunos de los factores esenciales del mercado de seguridad de redes en América Latina son el crecimiento gradual de la vulnerabilidad de las redes, y la brecha entre la demanda y la capacidad de los proveedores de ofrecer soluciones adecuadas", señala Marcelo Kawanami, Gerente de Industria de Frost & Sullivan.

"A medida que la infraestructura de TI se hace más compleja, se necesitarán soluciones más robustas para asegurar su protección", agregó.

En el corto plazo, se espera que se fortalezcan dos tendencias actuales: el paso de soluciones IDS a IPS y el paso de IPSec VPN a soluciones SSL VPN. Ambos, IPS y SSL VPN, son tecnologías modernas y, por lo tanto, incluyen capacidades avanzadas.

Además, los paquetes que integran múltiples soluciones en un sólo producto están creciendo en popularidad y empujando el despliegue del mercado. En consonancia con la tendencia mundial, la mayoría de los proveedores de América Latina está desarrollando dispositivos de gestión unificada de amenazas (UTM, por sus siglas en inglés) como una forma de penetrar mejor en las pequeñas y medianas empresas que comienzan a interesarse por la seguridad de redes.

"Es probable que el paisaje competitivo usual de la seguridad de redes global en América Latina sufra cambios considerables en los próximos años, sobre todo en el espacio de VPN SSL", advierte Kawanami. "Al mismo tiempo, el espacio competitivo actual está muy concentrado, con el 50 por ciento del mercado en manos de dos de los principales participantes", agregó.

Fuente:
http://www.infobaeprofesional.com/notas/65280-Crece-el-mercado-de-seguridad-de-redes-informaticas.html

El mecanismo UAC de Windows Vista, poco seguro

2008-04-28T22:54:00.001-07:00

Los desarrolladores de la pequeña utilidad iReboot han demostrado que el mecanismo de seguridad User Account Control que trata de ofrecer protección de privilegios en Windows Vista es un sistema poco eficiente y fácilmente hackeable.

Todo surgió a raíz de un problema con esta utilidad, que los desarrolladores no lograban hacer funcionar en Windows Vista porque la versión 1.0 entraba en conflicto con el mecanismo UAC que trata de proteger ciertas acciones del sistema operativo que sólo el administrador del sistema debería poder realizar.

La aplicación permite reiniciar el sistema operativo, pero además también nos permite seleccionar el sistema operativo con el cual queremos reiniciar nuestro PC. Tras investigar porqué la herramienta no se iniciaba automaticamente, sus desarrolladores se dieron cuenta que la culpa era de UAC, y se pusieron a resolver el problema. Fue en ese punto cuando descubrieron que el mecanismo de seguridad no era tan seguro como muchos podríamos pensar.

“Las limitaciones de seguridad recién implementadas en Windows Vista son como mucho artificiales, fáciles de sobrepasar, y que sólo dan la impresión de seguridad”, escribían los desarrolladores de iReboot en su blog.

Fuente:
http://www.theinquirer.es/2008/04/28/el_mecanismo_uac_de_windows_vista_poco_seguro.html
http://neosmart.net/blog/2008/ireboot-and-working-around-uac-limitations/
http://www.vsantivirus.com/29-04-08.htm

Estadísticas sobre Spam

2008-04-28T22:51:00.001-07:00

Según investigaciones de Sophos, durante el primer trimestre de 2008 el Spam ocupó el 92.3% del total de correos electrónicos que circulan por la red.

En cuanto a sitios web, se crea uno relativo al Spam cada 3 segundos, con un total de 23,300 por día. Los servicios más usados son los gratuitos, tales como Blogger o Geocities.
Por otro lado, los servicios de correo vía web también son utilizados por los spammers, violando su sistema de CAPTCHA que pretende distinguir humanos de robots. Entre ellos encontramos a Gmail, Hotmail, etc.

Raramente, el envío de Spam desde Estados Unidos decreció, llegando a un 15%. China, por su parte, aumentó de nivel, dado lo económico de sus dominios .cn.

Fuente: Blog Antivirus
http://www.net-security.org/secworld.php?id=6056

4.000 historias clínicas de abortos se filtran en la Red a través de eMule

2008-04-28T22:50:00.000-07:00

Protección de Datos sanciona con 150.000 euros a un centro médico de Bilbao.

Descargarse música o películas desde el ordenador del trabajo a través de un programa de intercambio de archivos puede tener efectos trágicos y no calculados, causados por quien quizá sólo pretendía meter en su MP3 una canción de David Bisbal. Un error de este tipo ha podido provocar que 11.300 historias clínicas, de ellas 4.000 de casos de aborto, acaben expuestos ante cualquier internauta.

El desconocimiento tecnológico de algún empleado de una clínica ginecológica pudo llevarle a poner a disposición del programa eMule (el más popular de intercambio de archivos entre particulares), y por lo tanto al alcance de millones de personas, todos estos datos, contenidos en una carpeta del disco duro de su ordenador. No se sabe con exactitud quién ha sido el culpable, ni las razones de la filtración, pero la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a la clínica, el centro médico Lasaitasuna, en Bilbao, con 150.000 euros. Todavía están en plazo para recurrir la resolución.

No es un caso único. Es el tercero que sanciona Protección de Datos, que tiene abiertos, además, otros 19 expedientes por asuntos similares. Éste es especialmente grave. Se trata de datos médicos ginecológicos y de urología y, en 4.000 casos, son historias clínicas relacionadas con interrupciones voluntarias del embarazo, extremadamente sensibles y cuya divulgación afecta a la intimidad de las mujeres. El centro médico ha declinado hacer declaraciones, pero sus responsables afirmaron ante la Agencia de Protección de Datos que desconocían cómo el fichero había acabado en Internet a la vista de cualquiera. No sabían si había sido el error de un empleado o algo premeditado por alguna persona.

La Policía Local de Ourense fue la que encontró las historias clínicas en el eMule. Estos agentes se han convertido en una especie de guardianes de la protección de datos en la Red. Ellos han sido quienes han dado la voz de alarma en todos los expedientes abiertos en Protección de Datos en 2007 por denuncias relacionadas con el hallazgo de ficheros con datos de carácter personal en redes p2p (peer to peer, o entre iguales).

Una vez conocido el problema, Protección de Datos abrió una inspección. En el centro médico bilbaíno encontraron un fichero de gestión de pacientes igual que el que se había hallado en Internet. En el mismo se podía acceder a datos de las consultas de ginecología, vasectomías e interrupciones de embarazo por aspiración y por píldora. Los registros aparecían asociados a pacientes y a su historia clínica.

La clínica implantó de inmediato en su sistema informático medidas de seguridad de nivel alto. Pero por la filtración de los datos ha sido sancionada por "infracción muy grave" con una multa de 150.000 euros. La sanción podía haber sido mayor -la Ley de Protección de Datos castiga este tipo de infracciones con multas de 300.000 a 600.000 euros-, pero se moderó por la colaboración mostrada por la titular del centro a lo largo del procedimiento, que desarrolló "una extensa actividad para evitar la comisión de infracciones en materia de protección de datos de carácter personal", según la resolución de la agencia.

"En este caso se trata de un error inexcusable de la clínica, que no tenía las medidas de seguridad necesarias para evitar que se produzca una gravísima filtración de estas características", explica el director de la Agencia de Protección de Datos, Artemi Rallo. "Pero hay que hacer un llamamiento global, lo más alto y claro posible, a todas las empresas, hospitales, bancos, guarderías, colegios, para que extremen las garantías y las cautelas y revisen sus sistemas. Hay que hacer una política activa de formación, información y concienciación. La sociedad de la información tiene ciertos riesgos que deben controlarse, y con estos casos quedan en evidencia las limitaciones de muchos ciudadanos a la hora de usar correctamente las herramientas tecnológicas", añade.

Los consejos de Protección de Datos para evitar estos casos son los siguientes: en primer lugar, que la empresa, centro o administración analice si es estrictamente necesario, por razón de los trabajos que se desempeñan, que sus equipos informáticos tengan un software de intercambio de archivos. Si no son necesarios, deben bloquearse. En segundo lugar, habría que establecer medidas adicionales de seguridad para limitar el acceso de los trabajadores a datos tan delicados como los relativos a salud o a los menores.

Protección de Datos ha abierto 21 expedientes en 2007 por filtraciones de datos personales a Internet. Uno de los ficheros encontrados contenía datos de los miembros y directivos de una comunidad religiosa; otro hablaba de solicitantes de adopciones internacionales; otro, de miembros de un sindicato. Cinco se referían a datos de clientes de la empresa, tres a historias clínicas filtradas a la Red y otras cinco a datos personales de recursos humanos.

"Las administraciones públicas, que son las que promueven la sociedad de la información, tienen que promover en paralelo políticas de concienciación y prevención", concluye Artemi Rallo. "Éstos son errores fatales que se pueden evitar con información suficiente. Los ciudadanos tienen que ser conscientes de que a las descargas en Internet las carga el diablo".

Fuente: http://www.elpais.com/articulo/sociedad/4000/historias/clinicas/abortos/filtran/Red/traves/eMule/elpepisoc/20080425elpepisoc_3/Tes

Compra un auto y regala tu información

2008-04-28T22:48:00.000-07:00

Gracias al reporte de Sara, comento una actividad que se viene dando en distintos países desde hace tiempo. Estafas en la venta de autos y otros productos.

Existe una red de estafadores que publican autos a precios increibles y al contactarte con ellos envian un correo con fotos de avisos publicados en Internet en forma normal como también los nombres de las personas reales. Hacen sus avisos tentadores, crean páginas falsas de empresas de comercio electrónico como MercadoLibre, DeRemate, MásOportunidades, DeAutos u empresas de envío de dinero logrando quedarse con el depósito.

A continuación un correo recibido de estas personas (los errores corren por cuenta del autor del correo y algunos datos ocultados):

RE: Peugeot 206 XTD 1.9 D Diesel 2006‏
De: Juan XXXX (peugeot_XXXX@yahoo.es)
Enviado: martes, 12 de febrero de 2008 07:38:26 p.m.
Para: Sara (saraXXXX@hotmail.com)

Hola,
Antes que nada gracias por su interés en mi coche.El costo total por el es 6000 US dolares.
El coche es como nuevo, funccionando totalmente, no tiene ningun daño o accidente ocultado, ha sido siempre garage guardado, tiene millas bajas.
El auto esta registrado en Argentina.Soy el unico dueno en el titulo de propriedad.Por ahora el coche se encuentra en Italia.Lo que pasa es que promovieron a mi esposa recientemente así que tuvimos que trasladarnos a Italia.Trajimos el coche con nosotros, deseando nationalizarlo aquí, pero no podríamos por que fuy registrado en un pais fuera de la Union Europeea y ahora ya no se puede registrar aqui.Ademas, hay un termino plazo cuando debo pagar el impuesto de importacion a Italia y primer de todo no tengo dinero y segun, no me sirve por que aun si lo pago no lo puedo registrar aqui.Esto es el razon por lo cual lo estoy vendiendo tan barato...ES UNA OPORTUNIDAD...ademas, no tengo una persona de confianza en Argentina para mandarlo a esta persona por que si fuera asi no lo estaria vendiendo tan barato.
En caso que te decides hacer el negocio la entrega se hace con una compania de entregas que se llama Lufthansa Cargo.Vendrá con todos los papeles necesarios (el titulo de propiedad original, la cedula verde original, el formulario 08 firmado por mi y por mi mujer ante un escribano de Argentina, la verificacion policial, el contracto de la venta firmado por mi ).
Los costos del envío y los impuestos del seguro del paquete serán pagados por mí.Mi esposa trabaja por el portador(la compania que va a traer el auto desde Italia a Argentina) y su patrón nos ayudará con el envío (como parte de sus ventajas de trabajo).No vas a pagar ningun impuesto de importacion por que el auto es Argentino.
La ultima cosa...es un negocio grande y los dos de nosotros necesitamos seguridad.Lo mejor que podemos hacer es usar un intermediario que nos puede asegurar la transaccion.Y creo que lo mejor intermediario que podemos usar es MercadoLibre.Para poder empezar la transaccion a traves de mercadolibre necesito algunos datos personales de tu parte : nombre y appelido, direccion, ciudad, cp, provincia, seudonimo de mercadolibre, numero de telefono.
Piensalo y lejame saber por favor lo antes posible!
PS: Si todavía tenes dudas me puedes llamar entre las 12:00s y las 17:00, hora de Argentina y te los aclaro : 003933394198XX.

Muchas páginas con este tipo de anuncios son comunicados a los diarios o al sitio involucrado para que se retire dicho aviso pero el el estafador publica otro inmediatamente, siguiendo con su actividad.

Desde aquí agradecemos este tipo de informes pero también recalcamos que nunca debe ofrecerse información privada y sobre todo si las condiciones de compra son sospechosas o hacen dudar de su veracidad. También, como usuarios, debemos considerar que si alguien "regala" algo no debe ser un regalo despues de todo y que nosotros también estamos siendo estafadores por intentar lograr un beneficio en donde nuestra ética indica actividades ilegales.

Cristian

Cuidado con las llaves de memoria USB

2008-04-28T09:41:00.000-07:00

Un estudio indica que las unidades flash USB son inseguras. Sin embargo, uno de los componentes más importantes de esta vulnerabilidad es el sentido común: se dejan olvidados los dispositivos y no se tiene conciencia de la facilidad con que la información puede ser leída por terceros. La solución, capacitación y educación del usuario.

La empresa de tecnología SanDisk Corporation anunció los resultados de un nuevo estudio que demuestra los riesgos del uso de unidades flash USB inseguras. La encuesta realizada a usuarios finales corporativos y gerentes IT reveló que los ejecutivos no están conscientes del grado en el que las unidades flash inseguras son utilizadas en sus organizaciones: El 77% de los usuarios finales corporativos encuestados han utilizado unidades de disco flash personales para propósitos laborales. Cuando se pidió estimar el porcentaje de la fuerza laboral que utiliza unidades flash, los directores de sistemas respondieron que es de un 35%.

Los usuarios revelaron que los archivos de datos que más probabilidad tenían de ser copiados a una unidad flash personal incluyen registros de clientes (25%), información financiera (17%), planes de negocio (15%), registros de empleados (13%), planes de mercadotecnia (13%) propiedad intelectual (6%) y código fuente (6%).

Los datos de la encuesta indicaron que la portabilidad de las unidades flash USB representa un riesgo importante de pérdida de datos. Aproximadamente uno de diez usuarios corporativos (12%) reportó haber encontrado una unidad flash en un lugar público. Además, cuando se les pidió elegir tres de las cosas que más probablemente harían si se encontraran una unidad flash en un lugar público el 55% de los encuestados afirmó que vería la información.

“La mayoría de los CIOs están conscientes de que las fugas de datos pueden derivarse en robo de identidad, compromiso de la propiedad intelectual y pérdida de secretos comerciales, así como daño a las actividades de relaciones públicas y las finanzas de las organizaciones”, aseguró Gil Mildworth, director de Mercadotecnia de la División Empresarial de SanDisk. “Nuestra encuesta demuestra que, si bien hay cierta conciencia de los riesgos potenciales involucrados con las unidades de disco flash USB, los ejecutivos de TI necesitan políticas, educación y soluciones tecnológicas más efectivas para reducir los riesgos. Sólo un esfuerzo que involucre la administración de dispositivos inteligentes, el monitoreo de datos y la aplicación centralizada de políticas reducirá considerablemente los riesgos, al tiempo de permitir a las organizaciones obtener los beneficios de productividad para realzar la movilidad”.

Políticas corporativas reactivas

Los resultados de la encuesta demostraron que si bien las organizaciones han dado los pasos para implementar políticas y educar a los usuarios sobre el uso adecuado de las unidades flash USB, sus acciones son principalmente reactivas.

De acuerdo con los ejecutivos de TI encuestados, más de dos terceras partes (67%) están implementando o han implementado políticas como resultado de una brecha de seguridad o fuga de datos en su organización. Además, sólo un poco más de la mitad (72%) de todos los participantes de TI han implementado una solución de seguridad de punto final.

La conciencia de las políticas corporativas sobre el uso de unidades flash USB varía entre los encuestados. Veinticinco por ciento de los usuarios finales no conocen todas las políticas de su organización respecto al uso de unidades flash, o saben que existen pero no las conocen a detalle.

Al mismo tiempo, casi la mitad (44%) de los usuarios finales reveló que sus organizaciones no tienen una política que prohíba copiar datos corporativos en las unidades flash USB personales. Otro 16% no sabía si había una política, mientras que el 40% reportó que su compañía tiene una política que prohíbe que los datos corporativos se guarden en unidades flash personales.

Las respuestas de los gerentes TI fueron consistentes con las de los usuarios finales. El 21% de los consultados describió el entendimiento de las políticas por parte de los empleados como sólo limitadas, mientras que el 33% fueron descritas como un entendimiento moderado, el 28% reportó tener buen entendimiento y 19% dijo tener un entendimiento completo.

Cuando se les preguntó sobre la capacitación, el 33 % de los directores de TI reportaron que sus empleados son capacitados una vez al año sobre las políticas respecto al uso de unidades flash USB; el 24% los capacita más de una vez al año; el 22% una vez cuando son contratados; el 17% sólo cuando es necesario y 3% no capacita.

Se requiere más educación para reducir los riesgos y costos potenciales

Cerca de 41% de los gerentes TI corporativos reportan que están por lo menos algo incómodos con el nivel de uso de unidades flash USB en sus organizaciones, lo que revela un nivel importante de riesgo potencial. Los usuarios corporativos validaron sus inquietudes al reportar que uno de cada cinco tiene de poco a ningún conocimiento de los riesgos implícitos con la transportación de datos corporativos en las unidades flash (21%), lo que revela un importante potencial de pérdida de datos.

Fuente: http://www.itpymes.com/ZonaT_vernota.htm?idxnota=72030

La privacidad y la inseguridad de la información: Dos conceptos convergentes.

2008-04-27T16:19:00.002-07:00

Luego de conocer la reciente noticia que la Ley de Habeas Data fue devuelta por la Corte Constitucional por vicios de forma, nuevamente se genera incertidumbre sobre el tema de la protección de datos y sus implicaciones en el manejo de los mismos dentro y fuera del país.

En este escenario y luego de revisar un documento de investigación de la firma Forrester Research, (http://www.forrester.com/Research/Document/Excerpt/0,7211,43846,00.html) donde se establece un clara distinción en lo que representa la seguridad de los datos y la privacidad de los mismos, es conveniente aclarar las mismas para comprender mejor este derecho constitucional que todo ciudadano frente a los registros de su información que puedan tener terceros.

El derecho constitucional de Hábeas Data consignado en el inciso primero del artículo 15 de la constitución política de Colombia, establece que “Todas las personas (…), tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. En este sentido, cada ciudadano tiene el derecho de solicitar su información particular consignada en medios informáticos para conocer, actualizar y rectificar la misma y asegurarse que ésta es utilizada conforme la autorización concedida para su uso.

Considerando lo anterior, los ciudadanos son los que deciden que se puede hacer con sus datos, con su información, pues en el contexto de una sociedad de la información, lo que nosotros somos o representamos, finalmente se materializa en un dato, en un registro. Queramos o no, la información fluye y muchas veces si nuestra autorización, por lo cual la inseguridad propia de los operadores de la misma, así como la falta de formalidad en una buena práctica de protección de la privacidad de la información, establecen un escenario donde no hay medidas que protejan al ciudadano, ahora en un contexto digital y global.

Para analizar esta problemática consideremos el documento denominado Guidelines on the protection of privacy and transborder flows of personal data (http://www.oecd.org/document/18/0,2340,es_2649_34255_1815186_1_1_1_1,00.html), emitido por la OECD en septiembre de 1980, como una iniciativa internacional que establece una serie de principios para la protección de la privacidad de los datos personales.

Principios de la privacidad: (Traducción tomada de: Remolina, N. (2002) Data protection: panorama nacional e internacional. En Internet, Comercio Electrónico y Telecomunicaciones. Universidad de los Andes – Legis, pág.129)

1. Transparencia y franqueza: Debe haber una práctica general de franqueza con las persona acerca de las políticas para el tratamiento de la información personal. Deben existir métodos disponibles para establecer la existencia y naturaleza de información personal y los principales propósitos de su uso.

2. Especificación de propósitos: El propósito para la colección de información personal debe ser especificado en el momento del registro de la misma.

3. Limitación de la colección: La colección de información personal debe ser obtenida por medio de métodos legales y justos, además con el conocimiento y consentimiento del sujeto.

4. Limitación de uso: La información personal no debe ser revelada para usos secundarios sin el consentimiento del sujeto o de la ley.

5. Participación individual: Se debe permitir a las personas inspeccionar y corregir su información personal.

6. Calidad: La información personal debe ser exacta, completa y actual, además debe ser pertinente al propósito para el cual fue adquirido.

7. Seguridad: La información personal debe ser protegida con una seguridad razonable, salvaguardándola contra riesgos como son entre otros, acceso no autorizado, pérdida, destrucción, modificación, uso o revelación.

8. Responsabilidad: En toda organización que trate datos personales debe haber responsables por el cumplimiento de las políticas de privacidad y protección de datos personales.

Luego de revisar estos principios de la privacidad, se hace claro que esta buena práctica internacional aún está por desarrollarse en nuestro país, adicionalmente las implicaciones de esta directriz internacional en los temas de administración de la inseguridad de la información, pone de manifiesto en cada organización la necesidad y obligación de manejar los datos personales de cada uno de sus clientes.

En razón con lo anterior, la inseguridad de la información no solamente es un aspecto técnico ni administrativo, sino una responsabilidad legal clara y formal que la Constitución le exige a todos aquellos que manejen datos personales, pues se exponen derechos conexos de los ciudadanos como el derecho a la información, la honra y el buen nombre y la intimidad, como los bienes jurídicamente tutelables más significativos en este contexto.

Por tanto, el manejo de la inseguridad de la información no está supeditado a las áreas de tecnologías de información o seguridad de la información, sino que es una responsabilidad particular y colectiva, que inicia con una custodia propia e indelegable por parte de nosotros sobre nuestra información y se extiende a las organizaciones y sus decisiones y actividades que sobre ella se detallen.

En este sentido, no es posible pensar que la inseguridad de la información no es algo que me afecte, pues cada vez que rellenamos una encuesta, ofrecemos nuestros datos en una llamada, diligenciamos un formulario en el web, nuestra información estará expuesta a la inseguridad jurídica propia de un ambiente digital y a la inseguridad informática inherente al mecanismo que se utilice.

Recuerde: “No podemos alcanzar mayores niveles de seguridad informática en Internet, sin una adecuada administración de la inseguridad jurídica”.

Fuente:http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450007284&random=6814

Escándalo por filtración de datos personales

2008-04-27T16:19:00.001-07:00

Desde varios post de este blog (véase por ejemplo Me da igual y Me sigue dando igual) se ha tratado de concienciar a todo el mundo de la importancia de seguir ciertas políticas de seguridad para mantener nuestros equipos y los datos que ahí guardamos a salvo de extraños. La ignorancia y la despreocupación sobre la seguridad de nuestro equipo y sobre la importancia de los datos que ahí puede haber guardados, se traslada muchas veces al ámbito del trabajo. Frente a la legislación actual que trata de proteger la privacidad en la gestión de los datos de carácter personal (véanse los post sobre LOPD en este mismo blog), siempre sigue habiendo personas, empresas, instituciones, que no ponen todo el énfasis que debieran en proteger los datos.

Hoy mismo se ha publicado una noticia en la que se informa de que más de 11.000 historias clínicas de pacientes, entre las que se incluyen 4.000 historias de casos de abortos, han podido ser filtradas desde una clínica de Bilbao. La noticia es especialmente preocupante ya que los datos fueron compartidos a través de la red P2P de emule, lo cual indica deficiencias graves de seguridad por parte del empleado/s (que utilizaron el emule en el trabajo sin preocuparse de lo seguro que podía ser) y también por parte de la clínica (que no se ha preocupado por la seguridad de su red informática). La clínica en cuestión ha sido sancionada con 150.000 euros por la agencia española de protección de datos (AEPD) lo cual obviamente ha hecho que tome conciencia del problema e implante medidas de seguridad estrictas en sus sistemas informáticos. No obstante, según la misma noticia, este no es un caso aislado. La agencia de protección de datos ha abierto 21 expedientes a lo largo de 2007 por filtraciones a Internet de datos personales sobre historias clínicas, datos personales de recursos humanos, solicitantes de adopciones internacionales, etc.

¿Está nuestra privacidad a salvo en la era de la información? .......

Guzmán Santafé
S21sec labs

Fuente: http://blog.s21sec.com/2008/04/escndalo-por-filtracin-de-datos.html