Etiqueta | "seguridad"

Cómo mejorar los sistemas de defensa para controlar la seguridad informática

Partimos de una máxima. La mejor defensa es aquella que aun siendo robusta, es transparente para el usuario.

Sin embargo, no en todos los casos es posible alcanzarla, pero por supuesto una defensa en la que el usuario no pueda trabajar por su rigidez no es efectiva, porque se pierde el primer objetivo, la productividad.

La defensa perfecta o máxima es difícil de conseguir porque es muy cara. Pensemos en la seguridad de una casa. La máxima resultaría excesivamente cara. Es por ello que como en otros ámbitos de la vida se debe estudiar la relación coste/beneficio y rentabilidad/riesgo para tomar la mejor decisión y adaptarla así al sistema. Para ello, nos podemos basar en un conjunto de políticas y sistemas que mejoren la información para la toma de decisiones:

–Monitorizar la red: es una política basada en escuchar el tráfico de datos para poder intervenir en el menor tiempo posible ante un ataque. Esa monitorización de red se suele hacer con programas llamados sniffer.

–La política de directorio: se basa en un punto desde el cual se controla o dirige los accesos de una persona a diversos recursos. En la actualidad un usuario se identifica mediante usuario y clave al inicio, y luego quiere acceder a un conjunto de recursos atendiendo a un nivel de seguridad definido. Que dicha función se pueda hacer de una forma sencilla, es gracias a la política de directorios que lo definen y da acceso a los sitios.

Un directorio es una base de datos de usuarios o recursos con información de los mismos. Como la estructura de información es siempre la misma (usuarios y recursos en un sistema) se establece un modelo de datos en forma de árbol que permite una rápida localización de los mismos y un intercambio de éstos de una manera sencilla. Se define por tanto un conjunto de reglas, de protocolos para la transferencia de información y hablamos así de directorio activo. Existen un conjunto de estándares en directorio activo, como LDAP definido por Microsoft u OpenLDAP como proyecto abierto, pero no profundizaremos en ellos al no ser un ámbito de los fundamentos.

El principal sistema de defensa es la “clave”, y para determinar una correcta política de claves debemos definir:

–Tamaño de clave. Se debe exigir una longitud mínima, a tener obligatoriamente clave en todas las cuentas, a realizar combinaciones lógicas de letras y números, etcétera.

–Renovación de clave. Una clave es efectiva mientras no sea perenne. Debe ser obligatorio cambiarla con una periodicidad definida.

–Bloqueo de cuentas. Para evitar intentos masivos, debe ser bloqueada una vez superado el número de reintentos definidos. Por ejemplo cinco.

–Claves aleatorias. Es la mejor forma de realizar una clave pero dificulta enormemente su recordatorio. Puede ser utilizada como primera clave de usuario.

–Frases de paso. Es una buena opción para ayudar a recordar la contraseña y así poner claves más complejas en los sistemas.

Con los avances tecnológicos existen nuevas formas de identificación de seguridad. Son los conocidos como sistemas biométricos. Por ejemplo, acceder al sistema mediante huella digital, escáner de iris, etcétera. Cada vez son más habituales y empiezan a ser usados incluso por teléfonos móviles.

Fuente: esemanal.mx

Publicat a General, Gestión Documental

Estudiantes mantienen su encierro y piden a la UMA un compromiso para abrir las bibliotecas de Ciencias y Filosofía

Los estudiantes de la Universidad de Málaga persisten en su encierro en la Facultad de Ciencias para exigir la apertura de más bibliotecas en la época de exámenes porque, como sucede en estas últimas semanas, las que abren son insuficientes para el volumen de jóvenes que quieren utilizar sus servicios. Esta pasada madrugada han sido unos 70 los estudiantes que, convocados por la red Eureka, han pasado toda la noche en la biblioteca de Ciencias. Sus representantes aseguran que aún no han tenido contactos con el equipo de gobierno, pero desde Eureka sí les han hecho llegar sus principales reivindicaciones: la apertura de las bibliotecas de Ciencias y Filosofía y Letras para lo que resta de este periodo de exámenes (un par de semanas) y el compromiso de la UMA de que para los próximos habrá más espacios para el estudio.

Según el portavoz de la red Eureka, Benjamín Santiago, la protesta «ha sido todo un éxito», y han recibido multitud de mensajes de felicitaciones de sus compañeros de la UMA y de otras universidades. La noche, explicó, transcurrió con total normalidad. Casi un centenar de jóvenes se quedaron en la biblioteca cuando llegó el momento de cierre (20.30 horas). Y a partir de la medianoche quedaron unos 70 jóvenes, que han permanecido en las instalaciones hasta las 6 de la mañana, hora a la que llegan los empleados de la limpieza. Algunos jóvenes se mantuvieron despiertos toda la noche «a base de café», y otros durmieron en sacos o mantas que se habían llevado para la ocasión.

Los estudiantes agradecieron la actitud comprensiva y amable del personal de la biblioteca y de seguridad, que continuó con los estudiantes una vez los trabajadores terminaron su turno.

Falta de espacio

En las últimas semanas se suceden quejas de los estudiantes que acuden a las bibliotecas y no encuentran sitio porque ya están llenas. Una situación que se produce los fines de semana, sábados y domingos, cuando solo abren las que tienen horario especial por los exámenes. Protestas que ha canalizado la red Eureka, que integran organizaciones estudiantiles de distintos centros universitarios y que cuenta con una amplia mayoría en el claustro. Desde hace unas semanas llevan a cabo una campaña en redes sociales recogiendo las denuncias de los alumnos por la falta de espacios para poder estudiar. Sus quejas, denuncian, no han sido atendidas desde el equipo de gobierno, y por esto convocaron la acción de protesta de anoche. «Hemos hablado con el equipo de gobierno para intentar buscar una solución a este problema y la respuesta es que no es posible, a estas alturas de curso, abrir más espacios», señalan desde la asociación estudiantil.

En esta llamada a la movilización, aseguran que las medidas de fuerza no son estériles y, en este sentido, recuerdan el encierro que protagonizaron hace cinco años, en la biblioteca general, que entonces cerraba sus puertas a la medianoche. La presión de los estudiantes consiguió que la general abriera, en el periodo de exámenes, durante todo el día. Y después se sumaron nuevos espacios con horario ampliado. Pero para los estudiantes siguen siendo insuficientes, como prueban las colas que se forman los fines de semana para coger sitio en las bibliotecas de Informática y Telecomunicación o la general.

Horario especial

Desde mediados de enero y hasta mitad de febrero varias bibliotecas cuentan con un horario especial, ampliado, para facilitar a los universitarios un puesto de estudio. En concreto, abre todos los días, incluidos fines de semana y festivos, la biblioteca general y aulario Gerald Brenan, con horario ininterrumpido hasta las 7 de la mañana. Las de Informática y Económicas, hasta las 3 de la madrugada. Y Medicina, hasta la medianoche. En todos los casos, incluidos los fines de semana. También mantienen su horario habitual, de lunes a viernes, de 8,30 o 9 y hasta las 20.30 o 20,45, según el caso, las bibliotecas de cada facultad o escuela técnica.

Respecto a estas quejas, desde el Vicerrectorado de Estudiantes se puntualizó que los horarios extraordinarios se acordaron en una reunión el pasado 5 de diciembre, a la que asistieron cuatro representantes del consejo de estudiantes, con un acuerdo unánime, «valorando todos los presentes que supone un avance respecto a calendarios anteriores». La Universidad está recabando los datos reales de ocupación de las bibliotecas en horarios especiales para tener en cuenta lo que ha ocurrido en estas semanas en la programación del próximo periodo de horarios ampliados.Según la UMA, las plazas ofrecidas en horarios especiales (noches, fines de semana, días festivos) ascienden este curso a más de 2.500 (2.536), con un horario ampliado que en su conjunto se extiende nueve días más que el curso pasado (enero de 2018). Un servicio extraordinario que ha conllevado la realización de 30 nuevas contrataciones. Desde la UMA dicen «comprender que en momentos puntuales se puede producir una demanda inusual», pero añaden que la planificación no se puede improvisar ni atender a «circunstancias excepcionales de momentos concretos».

Fuente: diariosur.es

Publicat a General, Gestión Documental

Riesgos de los certificados SSL gratuitos modernos y registros DNS obsoletos

Los certificados SSL han sido adoptados por muchos sitios web, pero en los últimos cuatro años, la adopción de SSL ha crecido enormemente. Una de las principales razones de ese crecimiento gigante es el hecho de que Google y otras compañías como Let’s Encrypt alientan a los usuarios a proteger sus sitios web encriptando la información mediante un certificado SSL.

A pesar de haber existido durante más de dos décadas, los certificados SSL (HTTPS) comenzaron a crecer en popularidad en el 2014 y en el año 2018 se terminó convirtiéndose en uno de los temas de la seguridad más populares de todo Internet.

En la actualidad casi todos los usuarios quieren implementar un certificado SSL debido a que están en un principio creando un entorno seguro para sus visitantes, pero muchos ignoran los riesgos que pueden suponer los registros dns obsoletos.

Los origines del uso de los certificados SSL

En los últimos años, no era tan importante si tu sitio no estaba usando un certificado SSL. Solo los sitios web que operaban con tarjetas de crédito o que realizaban un procesamiento de datos confidenciales eran los únicos que debían usar certificados SSL. De hecho, nunca obtendría una certificación PCI válida para su tienda en línea si no instaló un certificado SSL.

En ese momento, los certificados SSL gratuitos no eran una opción, y la mayoría de los usuarios tenían que confiar en los populares proveedores de SSL, como las soluciones de Symantec, Trustwave o Comodo.

Antes del 2014, tener un sitio web con HTTPS era una tarea bastante complicada, ya que seguramente incluiría un certificado SSL caro, así como características de alojamiento adicionales para tener una IP dedicada, o el pago de certificados CDN SSL.

Pero los problemas de mover un sitio web a HTTPS no se notaban solo por el gasto económico que requiere. Realizar la configuración de una dirección IP dedicada para una web requería tiempo de propagación para los DNS, para que el administrador del sitio web pueda comenzar a generar los códigos de CSR para enviarlos a su proveedor de SSL. Una vez que los proveedores aprueben el SSL, le responderían con un código de CRT; el que finalmente instalaría en su sitio para tener la configuración SSL activa.

Hoy en día las cosas han cambiado, el SSL gratuito está disponible para todos, las IP dedicadas ya no son necesarias, y el proceso de instalación se puede realizar con unos pocos clics por personas que no tengan conocimientos técnicos en tan solo unos segundos.

La historia detrás de la adopción masiva de SSL

Desde principios de los años 90 hasta 2014, la adopción de SSL fue bastante lenta y solo fue utilizada por sitios web que trabajaban con información sensible como con las tarjetas de crédito o banca en línea.

Una de las primeras compañías que comenzó a ofrecer certificados SSL gratuitos fue Cloudflare, que anunció su SSL gratuito universal en 2014. En marzo del 2016, Google anunció su objetivo de una Internet segura, mostrando sus planes para hacer de Internet un lugar más seguro.

Let’s Encrypt nació más tarde por varias compañías que fundaron el Internet Security Research Group (ISRG). Este fue el primer paso para que los certificados SSL estén disponibles gratuitamente para todos.

Otras compañías como Comodo y cPanel se unieron para ofrecer certificados SSL gratuitos, haciendo que la configuración SSL sea aún más fácil y casi 100% automatizada.

Ahora que los certificados SSL gratuitos están disponibles para cualquier persona, la adopción se ha vuelto masiva para casi todos los propietarios de sitios web y proveedores de servicios basados en Internet

La mayoría de las grandes compañías de TI usan cifrados ssl ofreciendo una mejor seguridad para todos sus usuarios. Un buen ejemplo de esto es cómo Google comenzó a migrar casi todos sus servicios y plataforma (93~95% en este momento) para usar el cifrado SSL:

Además de ofrecer certificados SSL gratuitos, también ayudó a esta gran adopción de los certificados SSL fue la automatización de las validaciones de dominio en el proceso de instalación de SSL. La instalación de un SSL no es difícil en absoluto, pero requiere que el registrador/proveedor de SSL se asegure de ser el propietario del dominio antes de aprobar su certificado.

Los nuevos SSL gratuitos ofrecidos por empresas populares como Let’s Encrypt o Comodo funcionan de forma automática, lo que evita el proceso de espera eterno hasta que el registrador le envíe el código CRT para que pueda instalarlo en su sitio web.

En lugar de eso, usan procesos de validación de dominio automatizados que aceleran mucho la propiedad del dominio. Sin embargo, las recientes investigaciones de seguridad descubrieron nuevos riesgos de este tipo de validación de dominio cuando se combina especialmente con registros obsoletos del DNS.

Validaciones SSL basadas en dominio y registros DNS obsoletos

Investigadores de seguridad de TU Delft, UT Dallas y UC Santa Barbara publicaron un documento que muestra los riesgos de utilizar dominios SSL basados en la confianza lo puede permitir sufrir ataques dominios de adquisición explotando la reutilización de direcciones IP en los dos proveedores públicos más grandes de la nube en el mundo (Microsoft Azure y Amazon AWS). Los registros DNS obsoletos también son uno de los puntos clave en esta investigación.

¿Qué es un registro DNS obsoleto?

Un registro DNS obsoleto es solo un registro que señaló a una IP específica hace tiempo y que ahora mismo ya no dispone de la misma.

Supongamos que compra un servicio en la nube para la base de conocimientos en línea de su empresa definida en el subdominio: kb.suempresa.com, y lo señala a una IP predefinida como 123.123.23.23.

Al final, usted termina en el servicio en la nube que compró originalmente. Pero no elimina el registro DNS que creó para cd.domain.com. Ese es un registro DNS obsoleto es registro que aún existe para un servicio en la nube descontinuado.

Los atacantes pueden usar registros DNS obsoletos para generar nuevos vectores de ataque

Al escanear los registros DNS a través del historial de DNS, un atacante podría notar fácilmente los registros DNS obsoletos presentes en su nombre de dominio. Un atacante podría asignar direcciones IP a las que apuntan los registros DNS obsoletos, suplantar el servicio y luego instalar un certificado SSL validado.

Imagine que se despierta una mañana y descubre que el subdominio que usa como base de conocimientos (recuerde el ejemplo de cd.domain.com) que usaron sus clientes en el pasado ahora está en línea, funciona con un certificado HTTPS completo y probablemente se usa para realizar ataques maliciosos de phishing, malware o spamming.

En sus pruebas, los investigadores de seguridad encontraron que este tipo de ataques podrían ejecutar el ataque en menos de 70 segundos (tiempo más lento que la mayoría de la configuración TTL en registros DNS), permitiendo a los atacantes incluso interrumpir los servicios normales sin registros DNS obsoletos durante el tiempo de migración de un servicio a otro.

¿Hay alguna manera de mitigar este tipo de ataques?

La mejor forma de evitar la validación de este dominio y los ataques basados en registros obsoletos de DNS es introducir un nuevo método de autenticación en el proceso de validación de dominio.

Básicamente, la mitigación propuesta incluye el nuevo llamado “Desafío de validación de identificador resistente a adquisición de dominio” en el protocolo ACME (actualmente utilizado por Let’s Encrypt para automatizar el proceso de emisión de certificación SSL), específicamente al introducir la nueva fase de validación dentro de ACMEv2 RFC.

Una cosa buena de este nuevo método de mitigación es mantener el proceso de validación del dominio SSL lo más simple posible para el usuario final, que a menudo no es técnico.

En este caso, este cambio es 100% transparente, ya que no se necesita una solicitud de certificado adicional: la misma solicitud de certificado se utilizará en el proceso de emisión del certificado SSL.

¿Como funciona?

  1. El cliente envía una solicitud de certificado para el nombre de dominio, por ejemplo, coma una autoridad de certificación que valida el dominio.
  2. La autoridad de certificación verifica si ya existe un certificado SSL para el dominio o no.
  3. Quién solicita el SSL debe superar la comprobación de los DNS o basado en whois si un certificado anterior ya existe.
  4. Una vez que la URL ha sido verificada, la CA autorizará que se emita el certificado SSL.

La fase de transición del modelo de validación actual al nuevo no debería ser difícil para los proveedores de SSL actuales, ya que hay muchas validaciones ya utilizadas en las configuraciones actuales.

Reanudar: agregar la nueva capa de autenticación y mitigación no causaría ningún problema adicional, sino que ayudaría a prevenir nuevos problemas de seguridad.

Para un análisis completo y profundo de cómo funciona esta solución técnica, puede encontrarla en la investigación original, “Cloud Strife: Mitigating the Security Risks of Domain-Validated Certificates“, en el capítulo IV. MITIGATION (página 08).

Además de este nuevo desafío de autenticación, los autores sugieren recomendaciones generales de seguridad para propietarios de dominios y proveedores basados en la nube para reducir su exposición y la de sus clientes a problemas de DNS para evitar ataques de control de dominio como la asignación de direcciones IP y operaciones de liberación de direcciones IP, reforzando DNS seguridad, implementación de DNSSEC, entre otros.

Conclusión

Como puede ver, estos riesgos pueden reducirse adoptando nuevas tecnologías de mitigación por parte de los proveedores de SSL, pero también por la mayoría de los proveedores de Cloud necesitan seguir las mejores prácticas desde los servidores TCP/IP y DNS, así como cambiar los modelos de asignación de IP.

Fuente: tecnonucleous.com

Publicat a General, Gestión Documental

Seguridad Informática

Cómo mejorar los sistemas de defensa para controlar la seguridad informática

Partimos de una máxima. La mejor defensa es aquella que aun siendo robusta, es transparente para el usuario.

Sin embargo, no en todos los casos es posible alcanzarla, pero por supuesto una defensa en la que el usuario no pueda trabajar por su rigidez no es efectiva, porque se pierde el primer objetivo, la productividad.

La defensa perfecta o máxima es difícil de conseguir porque es muy cara. Pensemos en la seguridad de una casa. La máxima resultaría excesivamente cara. Es por ello que como en otros ámbitos de la vida se debe estudiar la relación coste/beneficio y rentabilidad/riesgo para tomar la mejor decisión y adaptarla así al sistema. Para ello, nos podemos basar en un conjunto de políticas y sistemas que mejoren la información para la toma de decisiones:

–Monitorizar la red: es una política basada en escuchar el tráfico de datos para poder intervenir en el menor tiempo posible ante un ataque. Esa monitorización de red se suele hacer con programas llamados sniffer.

–La política de directorio: se basa en un punto desde el cual se controla o dirige los accesos de una persona a diversos recursos. En la actualidad un usuario se identifica mediante usuario y clave al inicio, y luego quiere acceder a un conjunto de recursos atendiendo a un nivel de seguridad definido. Que dicha función se pueda hacer de una forma sencilla, es gracias a la política de directorios que lo definen y da acceso a los sitios.

Un directorio es una base de datos de usuarios o recursos con información de los mismos. Como la estructura de información es siempre la misma (usuarios y recursos en un sistema) se establece un modelo de datos en forma de árbol que permite una rápida localización de los mismos y un intercambio de éstos de una manera sencilla. Se define por tanto un conjunto de reglas, de protocolos para la transferencia de información y hablamos así de directorio activo. Existen un conjunto de estándares en directorio activo, como LDAP definido por Microsoft u OpenLDAP como proyecto abierto, pero no profundizaremos en ellos al no ser un ámbito de los fundamentos.

El principal sistema de defensa es la “clave”, y para determinar una correcta política de claves debemos definir:

–Tamaño de clave. Se debe exigir una longitud mínima, a tener obligatoriamente clave en todas las cuentas, a realizar combinaciones lógicas de letras y números, etcétera.

–Renovación de clave. Una clave es efectiva mientras no sea perenne. Debe ser obligatorio cambiarla con una periodicidad definida.

–Bloqueo de cuentas. Para evitar intentos masivos, debe ser bloqueada una vez superado el número de reintentos definidos. Por ejemplo cinco.

–Claves aleatorias. Es la mejor forma de realizar una clave pero dificulta enormemente su recordatorio. Puede ser utilizada como primera clave de usuario.

–Frases de paso. Es una buena opción para ayudar a recordar la contraseña y así poner claves más complejas en los sistemas.

Con los avances tecnológicos existen nuevas formas de identificación de seguridad. Son los conocidos como sistemas biométricos. Por ejemplo, acceder al sistema mediante huella digital, escáner de iris, etcétera. Cada vez son más habituales y empiezan a ser usados incluso por teléfonos móviles.

Fuente: esemanal.mx

Publicat a General, Gestión Documental

El PSN exige al Gobierno que informe sobre la custodia de datos

Los socialistas piden a la consejera Beaumont que explique la política de seguridad informática.

El PSN pedirá la comparecencia en el Parlamento de la consejera de Presidencia, Función Pública, Interior y Justicia del Gobierno foral, María José Beaumont, para que explique “la política de seguridad de la información, custodia de los datos y cumplimiento de la normativa al respecto”.

En un comunicado, los socialistas remarcan que “se han producido varios hechos este año que alertan de fallos en esta materia, pero además la Cámara de Comptos, en su Memoria de Cuentas Generales 2017, también advierte sobre el incumplimiento de la normativa sobre política de seguridad de información en varios Departamentos del Gobierno de Navarra, y hace recomendaciones para mejorar en este ámbito”. Aunque ninguno de estos hechos provocó ningún riesgo a la seguridad, ni fue un ataque premeditado tal y como ya se explicó en anteriores comparencias, el portavoz parlamentario sobre esta materia, el socialista Guzmán Garmendia, insistió en que sigue existiendo “importante agujero de seguridad”.

Fuente: noticiasdenavarra.com

Publicat a General, Gestión Documental

‘DarkVishnya’: cuando un pincho USB se carga la seguridad de varias redes bancarias

Un pequeño dispositivo enchufado a un ordenador puede ser suficiente para comprometer una red bancaria. Es lo que ha sucedido en al menos ocho entidades financieras en varios países del este de Europa, según un informe de la compañía rusa de seguridad informática Kaspersky Lab. Nuevamente, la ingeniería social y la proliferación de dispositivos cada vez más pequeños y potentes fueron las claves para el éxito de este ciberataque.

Los daños, valorados en “decenas de millones de dólares”, tuvieron como denominador común la existencia de dispositivos físicos instalados en ordenadores con acceso a las redes internas de las entidades. “En algunos casos, se localizaron en la oficina central, en otros, en una oficina regional, e incluso a veces el alguna oficina ubicada en otro país”, dice el informe.

Los ataques, que han sido agrupados bajo la denominación de “DarkVishnya”, tuvieron lugar gracias a que una o varias personas instalaron dispositivos enchufados directamente a las redes de los bancos. Estos aparatos pudieron ser bien un netbook o portátil pequeño y barato, bien una Raspberry Pi, o bien un Bash Bunny, un dispositivo con apariencia de pincho USB diseñado específicamente para cargar ‘software’ malicioso en un ordenador.

La existencia de estos dispositivos físicos en los sistemas de los bancos fue descubierta por un dato clave: existía una diferencia entre el número de máquinas conectadas al sistema y el número de autorizaciones. Es decir, había más máquinas que permisos. Incluso en algunos casos tuvieron que rastrear para dar con algún dispositivo malicioso siguiendo los cables, comentó uno de los investigadores de la firma, Sergey Golovanov, en declaraciones a CyberScoop.

En todos los casos, el ‘modus operandi’ parecía ser siempre el mismo. En primer lugar, alguien tenía que ir en persona a la oficina o edificio del banco para conectar el dispositivo a la red local. Los investigadores creen que los ciberintrusos se hicieron pasar por mensajeros o incluso por solicitantes de empleo. Una vez dentro, lograron conectar los dispositivos en puertos USB accesibles, por ejemplo, en un terminal en una de las salas de reuniones. La idea es que pudiese confundirse con el entorno y quedar camuflado.

Una vez ‘enganchado’ el dispositivo, los intrusos podían escanear la red local para obtener acceso a las carpetas compartidas públicas, servidores web y cualquier otro recurso abierto. En este caso, el objetivo era recopilar información sobre la red, los servidores y los puestos de trabajo que se utilizaban para realizar pagos.

Tal y como explica a Público Dani Creus, analista senior de ciberseguridad de Kaspersky, “este dispositivo comienza a mapear la red que está en su mismo ámbito, de modo que abre una puerta trasera y van buscando en esa red otros puntos vulnerables, en lo que llamamos movimiento lateral: saltar de máquina en máquina hasta encontrar aquélla que sea más jugosa para los atacantes”.

De este modo, los atacantes utilizaron de forma remota los dispositivos plantados para buscar datos abiertamente disponibles relacionados con credenciales de inicio de sesión y pagos, según el informe. Y pusieron en marcha técnicas evasivas para ocultar su presencia en las redes de los bancos. Aparentemente, utilizaron una forma de ejecutar comandos sin usar archivos que pudieran activar ‘software’ defensivo, además de disfrazar sus dispositivos para que se vieran como ordenadores “desconocidos”, unidades flash externas y hasta teclados.

Un ataque con este tipo de vector —un dispositivo físico que se enchufa a una red interna—, en principio, es algo de entrada complejo por la sencilla razón de que el ciberatacante tiene que ir físicamente a plantar el apartao elegido. “Siempre hay un riesgo”, apunta Creus, “pero es más probable que se dé un ataque por otras vías, tipo ‘phishing’ (mediante un correo electrónico falso) o a través de alguna vulnerabilidad en el sistema ‘online’ que teniendo acceso directo a una infraestructura bancaria”.

No obstante, algunos de los más conocidos ataques potencialmente muy destructivos contra infraestructuras críticas (como el caso del gusano Stuxnet, que comenzó su infección de un modo similar), o más recientemente Olympic Destroyer, contra los servidores de la organización de los Juegos Olimpicos de invierno de Pyeongchang 2018 (Corea del Sur), evidencian la posibilidad de que este tipo de vector de infección es perfectamente factible, especialmente en aquellos sistemas aislados y que no tengan salida directa a la red.

“Eso sí, todo dependerá del control físico de acceso que tenga la compañía o la entidad objetivo del ataque, y de lo bueno que sea el atacante en ingeniería social” [es decir, en engañar a la víctima], recuerda Creus. Y ése es, precisamente, el principal punto débil para este ataque.

“No sé si yo consideraría esta vía como el vector de contagio más peligroso, ya que tenemos más evidencias de que hay más ataques por correo electrónico”, comenta el experto, que añade: “Sí es verdad que, a la hora de investigar, es más complicado de gestionar, ya que buscar el ‘paciente cero’ de la infección, el origen, es más difícil si se produce desde un dispositivo que, en principio, no está inventariado y no sabemos donde está”.

Fuente: publico.es

Publicat a General, Gestión Documental

El país latino con más “ransomware” y otros 6 clics tecnológicos en América

Estas son las principales noticias tecnológicas de la semana en América:

Colombia lidera este año casos de ciberextorsión en Latinoamérica

La firma de ciberseguridad ESET reveló en su Foro de Seguridad Informática en Sao Paulo que Colombia ha sido durante 2018 el país de Latinoamérica con el mayor número de casos de ciberextorsiones o “ransomware”. El país suramericano registra el 28 % de las detecciones en la región, seguido por Perú (17 %), México (15 %), Brasil (11 %), Argentina (9 %), Chile, Ecuador y Venezuela (4 %).

2.NEUTRALIDAD DE LA RED

Supremo de EE.UU. da victoria a la neutralidad de red

El Supremo de EE.UU. rechazó pronunciarse esta semana en el caso sobre las normas que protegían internet como servicio público, aprobadas por el expresidente Barack Obama, dando así la espalda al Gobierno de Donald Trump, que ha buscado que estas regulaciones sean revertidas. El alto tribunal decidió no abordar la disputa acerca de la neutralidad de la red, sobre la que el fallo que prevalece es el de una corte de apelaciones menor que había decidido respaldarla.

3.FACEBOOK ELECCIONES

Facebook cierra 115 cuentas antes de elecciones en EE.UU.

La red social Facebook cerró 115 cuentas de su plataforma y de Instagram en víspera de las elecciones de mitad de mandato en Estados Unidos por sospechas de que están vinculadas a piratas informáticos rusos. La firma indicó que bloqueó las páginas después de recibir un aviso de las autoridades según el cual esas cuentas (30 de Facebook y 85 de Instagram) podrían haber sido controladas por miembros de la Agencia de Investigación de Internet.

4.WHATSAPP NOVEDADES

Whatsapp estrena 60 emoticonos

La plataforma de chat Whatsapp puso a disposición de sus millones de usuarios en el mundo 60 emoticonos inéditos, que incluyen, entre otros, una cara conmovida, una acalorada y otra congelada, además de animales como una langosta, un canguro y un mapache. En esta nueva biblioteca de emojis aparecerá también, según la aplicación, unos dientes, diferentes zapatos y hasta una caja de herramientas.

5.AUTOS NOVEDADES

Volkswagen desarrolla un sistema cuántico de gestión de tráfico

La firma alemana Volkswagen desarrolló por primera vez un sistema de gestión de tráfico en un ordenador cuántico, que permitiría una mejor utilización de flotas de vehículos para transporte público y que podría convertirse en uno de sus servicios comerciales. El sistema utiliza datos anónimos de movimiento, transmitidos por teléfonos móviles o vehículos, “para calcular las acumulaciones de tráfico y el número de personas” con algoritmos complejos.

6.BILL GATES

Bill Gates presenta un novedoso inodoro que funciona sin agua

El fundador de Microsoft, Bill Gates, presentó en China su apuesta para hacer frente a la crisis mundial de saneamiento: un retrete que no necesita agua ni conectarse a ningún sistema de depuración para funcionar y que transforma los desechos humanos en fertilizantes. El multimillonario mostró este novedoso modelo en una exhibición que se celebra en Pekín para “reinventar los inodoros” y acelerar su adopción y comercialización.

7.GOOGLE INTELIGENCIA ARTIFICIAL

Google lanza desafío para premiar a las ONG que usen IA

El gigante tecnológico Google puso en marcha un “desafío” para premiar, con acceso a becas por 25 millones de dólares, a las ONG, corporaciones e instituciones académicas de todo el mundo que estén desarrollando proyectos que usen la Inteligencia Artificial (IA) con un fin social. A través de Google.org, la compañía estadounidense abrió la convocatoria al “Google Impact Challenge para IA”.

Fuente: eldiario.es

Publicat a General, Gestión Documental

Un tercio de los españoles ha sido víctima de ciberataques

Al menos un tercio de los españoles ha sido víctima de ciberataques, cifra que sitúa a España como el tercer país que sufre más ataques online tras Estados Unidos y Reino Unido, según el estudio Norton Cyber Security Insights Report 2018, realizado por la empresa Norton, de seguridad informática. Estos ataques representan pérdidas de 2,1 mil millones de euros para los españoles, según este estudio. Asimismo, solo en el primer trimestre de este año, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 9.000 incidencias cibernéticas sufridas por ciudadanos y organizaciones. En este contexto de creciente manipulación digital, robo masivo de datos, fraudes online y de ataques virtuales aleatorios, desde el 2012 la Unión Europea designó octubre como el mes europeo de la Ciberseguridad.

Al menos un tercio de los españoles ha sido víctima ciberataques, cifra que sitúa a España como el tercer país que sufre más ataques online tras Estados Unidos y Reino Unido

“Esta decisión obedece al aumento constante de la ciberdelincuencia, pero también a las escasas medidas de protección y seguridad que adopta un alto porcentaje de usuarios digitales”, recuerdan los expertos legales de DAS Seguros.

En efecto, la Unión Europea lideró esta iniciativa debido a la falta de concienciación de internautas y empresas. Como demuestra un informe reciente de Avast, otra de las grandes compañías de seguridad digital, dos de cada cinco españoles nunca han accedido a la interfaz de administración de su router para cambiar la contraseña que viene por defecto. Según los técnicos, esto deja millones routers en una situación de alto riesgo de sufrir agresiones para controlar los dispositivos, robar contraseñas o apoderarse de información sensible.

Por el lado de las empresas, una encuesta global a CIOs (Chief Information Officer) de Harvey Nash y KPMG, demostró que solo uno de cada cinco responsables de informática afirma estar bien preparado para un ciberataque, a pesar de que un 77% de los encuestados se muestra “muy preocupado” por la ciberdelincuencia organizada.

“Para resguardarnos de un ciberataque, la clave está en contar con mecanismos de protección que garanticen la seguridad de la información, ya sea personal, financiera o profesional”, explican los expertos legales de DAS.

¿Qué podemos hacer para protegernos? 

La ciberseguridad se basa en tres pilares: tecnologías, personas y procesos. En primer lugar, la tecnología sería aplicable a través de antivirus, barreras y cortafuegos en los sistemas operativos. En segundo lugar, es de vital importancia concienciar a las personas de la cultura de la ciberseguridad. Como informan desde INCIBE, esta educación puede ahorrar graves problemas reputacionales y económicos a las empresas. En tercer lugar, los procesos informáticos de las empresas deben ser revisados con regularidad, para evitar riesgos potenciales y proteger adecuadamente los intereses personales y corporativos.

En resumen, desde DAS Seguros se enfatiza la importancia de adherirse al lema de la Unión Europea a este respecto: “la ciberseguridad, una responsabilidad compartida”. En caso de los particulares, más allá del robo de información, los internautas se enfrentan a la suplantación de identidad, o phishing (especialmente a través del correo electrónico). Para las empresas, la ciberseguridad es de capital importancia en aspectos como la protección de datos personales, la reputación corporativa, el fraude online, la destrucción de documentos confidenciales o el mantenimiento de la imagen online. “La aplicación de buenas prácticas de seguridad cibernética se ha convertido en algo fundamental para reducir el riesgo global de particulares y empresas a un ciberataque”, aseveran desde DAS.

Fuente: revistabyte.es

Publicat a General, Gestión Documental

Sandboxing y Big data, el futuro de la seguridad informática para empresas está en la nube

Los sistemas Cloud computing o computación en la nube han llegado para quedarse y permiten la integración de herramientas y servicios de seguridad a nivel global.

Estos sistemas de computación en la nube han resultado ser un excelente laboratorio de pruebas en los que crear entornos con los que detectar y neutralizar ciberamenazas reales que, de otro modo, terminarían en una brecha de seguridad y cuantiosas pérdidas para las empresas.

La computación en la nube, junto al Big data y otras técnicas de procesado de datos en la nube se han convertido en un importante aliado en la lucha contra las ciberamenazas.

ESETel mayor fabricante de software de seguridad de la Unión Europea ha anunciado el lanzamiento para este mes de tres nuevos productos en los que se implementan soluciones de sandboxing, Big data y computación en la nube poniéndolos al servicio de la seguridad informática para empresas.

¿Qué es sandbox o sandboxing?

El término Sandbox o Sandboxing es, tal y como indica su nombre, un “cajón de arena” como los que utilizan los niños para jugar manteniendo separado el entorno de juego con arena, del resto del espacio.

En un entorno virtual, un sandbox está lejos de ser un juego de niños y consiste en virtualizar entornos de redes empresariales que sirven de cebo para todo tipo malware, pero con la ventaja de encontrarse en un entorno aislado y controlado en lugar de en una red empresarial real.

En este entorno controlado se libera un archivo sospechoso para comprobar si realmente es dañino. Si el malware se activa y comienza a atacar, el entorno controlado del sandbox permite estudiar y analizar su funcionamiento y tácticas de ataque permitiendo aprender de ellas.

Después, en un entorno empresarial real, se utilizan técnicas de Machine Learning para adelantarse a ese comportamiento malicioso y neutralizarlo incluso antes de que el malware se active. Así, los sistemas de seguridad informática mejoran su eficiencia minimizando el riesgo de producirse daños o pérdida de información de las empresas por ataques informáticos.

Nube y ciberseguridad, trabajando mano a mano

Una de las claves en la estrategia de empresas de seguridad informática es la integración de las ventajas de la computación en la nube en la defensa de las redes empresariales.

ESET lo ha conseguido en sus servicios ESET Dynamic Threat DefenseESET Threat Intelligence y ESET Cloud Administrator, con los que logra implementar servicios de sandboxing, Big data y Cloud computing en sus productos para la protección de endpoints empresariales.

El primero de ellos, ESET Dynamic Threat Defense, proporciona una capa de seguridad adicional a las soluciones de protección para endpoints de ESET, previniendo las amenazas zero-day para las que todavía no existe una herramienta de protección enviando el archivo sospechoso a un sandbox en la nube donde se ejecuta analizando su comportamiento para “aprender” a neutralizarlo mediante machine learning.

Una de las principales ventajas de utilizar un sandbox en la nube es que permite ahorrar recursos locales de los equipos al analizar las amenazas en un entorno aislado y seguro fuera de la red empresarial. Además, un sandbox en la nube permite aprender del comportamiento evasivo de las amenazas para reforzar la seguridad informática de la empresa en el futuro.

Lo mejor de todo ello es que, al hacerlo en la nube, no es necesario implementar un sandbox en todos y cada uno de los equipos o invertir en más hardware.

El Big data llega al terreno de la ciberseguridad de ESET de la mano de su producto ESET Threat Intelligence con el que la empresa de seguridad europea consigue reforzar la protección de las redes empresariales adelantándose a los riesgos de ataque con medidas preventivas a la medida de cada perfil de empresa.

El nuevo producto de ESET para los endpoints empresariales actúa a modo de biblioteca de virus en la nube que procesa una enorme cantidad de información sobre ataques dirigidos, amenazas avanzadas persistentes (APT), ataques zero-day y actividad de botnets.

Así te protege ESET Internet Security 2018

Con todos esos datos procesándose y actualizándose en tiempo real mediante técnicas de Big data, ESET Threat Intelligence permite estructurar la información proponiendo a cada empresa medidas de defensa proactiva específicas y personalizadas para adelantarse y mejorar su capacidad de respuesta ante un ataque.

Control centralizado de la seguridad de la empresa en la nube

La última implementación de ESET con las tecnologías de computación en la nube será muy bien recibida por los departamentos de TI de las empresas. ESET Cloud Administrator proporciona un completo panel de control para la seguridad informática de las empresas.

La nube permite mejorar la gestión de la seguridad de los endpoints empresariales proporcionando un completo panel de control remoto para el departamento de TI.

Con el panel web remoto de ESET Cloud Administrator, el departamento de TI de la empresa puede reducir su carga de trabajo al automatizar la limpieza y actualizaciones de los servidores sin necesidad de interactuar con el usuario. Esto reduce drásticamente el tiempo que el departamento de TI debe dedicar a estas tareas de mantenimiento.

Además, la gestión remota de los endpoints permite realizar análisis de amenazas y configuración de todos los equipos de la empresa desde una sola consola remota, lo cual supone un importante ahorro en inversión en hardware y en tiempo, eliminando la necesidad de inmovilización de los endpoints móviles por este motivo.

Fuente: computerhoy.com

Publicat a General, Gestión Documental

La entrada en vigor del nuevo RGPD será para nosotros un trampolín para alcanzar nuevas metas

Tras dos años desde la entrada en vigor del Reglamento General de Protección de Datos, el pasado 25 de mayo fue el día de su aplicación por parte de las empresas y autónomos. El nuevo RGPD viene a derogar la directiva Europea 95/46/CE y trae consigo importantes cambios en cuanto a endurecimiento de sanciones o nuevas figuras como el Delegado Protección de Datos.

¿Están las pymes y autónomos preparados para cumplir con el Reglamento General de Protección de Datos?

Tras casi 20 años de vigencia de la LOPD, y un gran esfuerzo por parte del sector en intentar concienciar de la importancia de la protección de datos de carácter personal, según estudios se estima que únicamente el 54% de las empresas cumplen adecuadamente la normativa vigente. Para facilitar la adaptación a la nueva normativa, la AEPD ha elaborado una hoja de ruta para que las pymes y autónomos cumplan con el nuevo Reglamento General de Protección de Datos (RGPD).

¿A qué sanciones se enfrentan con su incumplimiento?

El artículo 83 del RGPD 679/2016 de 27 de abril de 2016 establece las condiciones generales para la imposición de multas administrativas. Las sanciones económicas pasan a ser más considerables que las que establecía la LOPD (15/99). El apartado 5 y 6 del artículo 83 determina que las sanciones llegarán a ser 20 millones de Euros o del 4% de la facturación de la empresa, optándose por la de mayor cuantía.

Las sanciones operativas determinan la prohibición de recabar nuevos datos personales.

¿Qué garantías tienen los clientes a partir de ahora y cómo pueden defender la protección de datos frente a las empresas?

Con la entrada en vigor el nuevo RGPD las empresas tiene la obligación de recabar los datos de una forma más legibles y más entendibles, y adecuar los formularios para que sean más entendibles a los consumidores, con menos tecnicismos y más directos. Además, esta nueva normativa obliga al consentimiento expreso e inequívoco, no siendo válido el consentimiento tácito.

Adecuar los mecanismos y procedimientos para poder ejercer sus derechos que con el Real Decreto 1720/2007 con el que se aprueba el Reglamento de desarrollo de la ley Orgánica 15/1999 de 13 de diciembre son derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) y ahora se añaden los siguientes derechos olvido, portabilidad, limitación del tratamiento y principio de transparencia.

¿Cómo aborda esta nueva normativa y qué transmite a sus clientes?

La nueva normativa no deja lugar a dudas que hay que destruir de forma segura y con carácter de irrecomponible todos aquellos soportes, tanto en papel como informáticos, que contengan datos de carácter personal. También se deben aplicar medidas de seguridad en el resto de procesos, como son el transporte, la guarda y custodia y una adecuada gestión del residuo generado, siendo responsables con el medio ambiente.

El ámbito de la Protección de Datos no deja de adaptarse a los retos de la actualidad, ¿qué pasos quedan por dar para garantizar la seguridad de los clientes?

Con la entrada en vigor del nuevo RGPD y el DPD, llevar una Evaluación de Impacto en Protección de Datos controlando los riesgos también identificara las amenazas y ciclo de vida de los datos. Es de suma importancia aplicar la Protección de Datos en la sociedad de la información, cobrando gran relevancia en la actualidad diversos delitos cometidos en la red. Para evitar este tipo de actuaciones, es fundamental que se implanten protocolos de seguridad en relación con nuestros datos de carácter personal por parte de las empresas y también los usuarios deben ser más conscientes de la importancia de proteger y hacer un buen uso de sus propios datos personales.

Fuente: laverdad.es

Publicat a General, Gestión Documental

Calendario

febrero 2019
L M X J V S D
« Ene    
 123
45678910
11121314151617
18192021222324
25262728