Las técnicas de ingeniería social para vulnerar la seguridad y robar información

personal se vuelven cada vez más efectivas y exceden las tan conocidas

amenazas cibernéticas. Es fundamental promover la ciberseguridad y alertar sobre

otras formas de robo de datos.

El robo de información personal mediante técnicas de ingeniería social está relacionado en el imaginario de

las personas a los ciberataques populares como el caso de ‘phishing’, las falsas ofertas en internet o los regalos en las redes sociales. Sin embargo, existen muchas otras técnicas que son menos conocidas,

mediante las cuales los ciberdelincuentes pueden conseguir información sensible.

El ‘dumpster diving’, o recolección urbana pone nombre a una práctica muy común entre los

ciberdelincuentes, que se trata de obtener información personal y/o confidencial de la basura. Cuando esta

información, valiosa para las empresas y personas, es desechada como los documentos personales, correos

electrónicos impresos, contactos, número de cuentas y contraseñas, se corre el riesgo de que sean

recuperados por delincuentes de la red.

Para evitar este tipo de situaciones, las recomendaciones parten de tener cuidado al momento de descartar

información confidencial. Por eso, es fundamental la destrucción de todos los archivos que poseen

información sensible previo a su desecho.

El ‘trashing’ es una técnica muy similar, donde los ciberdelincuentes obtienen información personal de los

equipos y dispositivos que son descartados. En este caso, los datos que contienen estos equipos deben ser

borrados con antelación.

El ‘‘smishing’ es una modalidad de phishing que se realiza a través de mensajería como los SMS, WhatsApp

o mensajes privados en redes sociales. Este tipo de actos es una amenaza emergente y en crecimiento en el

mundo de la seguridad en línea. En este caso, se intenta obtener información privada mediante el envío de

vínculos. Son muy comunes las ofertas de promociones que solicitan información personal o que alientan a

hacer clic en enlaces. Una táctica muy común es informarle a los usuarios de teléfono que si no hacen clic en

el vínculo y especifican su información personal, se les comenzará a cobrar el servicio de forma diaria.

El ‘shoulder surfing’ es una práctica muy común para el robo de datos. En este caso, el ciberdelincuente

obtiene información mirando por encima de los hombros de las personas lo que teclea en la pantalla y así se

conocen contraseñas, PIN, patrones de desbloqueo. Es una táctica muy sencilla pero no menos eficaz. En

estos casos, el uso de filtros de pantalla ayudan a prevenir el fraude.

El vishing, por su parte, responde al uso de las llamadas telefónicas fraudulentas para conseguir información

financiera y/o útil para lograr el robo de identidad. Es una estafa que pretende suplantar la identidad del

afectado a través de VoIP (voice over IP), recreando una voz automatizada semejante a la de las entidades

bancarias. Es importante no proporcionar información personal por teléfono.

Consejos para proteger las operaciones diarias

Para BBVA Francés la información personal es un activo primordial que hay que proteger en todo momento y

lugar, pues los ciberdelincuentes se encuentran al acecho ante cualquier movimiento indiscreto por parte de

los clientes.

En estos casos, es importante:

En cajeros automáticos, tener a resguardo permanente la tarjeta de débito /crédito y solamente recibir

asesoramiento del personal de la organización. Además, tener cautela al ingresar el NIP (Número de

Identificación Personal) y no compartirlo con otras personas. Esta práctica evitará los fraudes realizados

antes, durante y después de la operación, incrementando la protección de información confidencial de

Al operar con tarjetas de crédito es fundamental supervisar con frecuencia el resumen de las cuentas

para reconocer todas las transacciones realizadas. Y en cuanto a los pagos, BBVA Francés pone a

disposición de los clientes con tarjetas Visa Signature LATAM Pass, Visa Platinum LATAM Pass,

Mastercard Black LATAM Pass y Mastercard Platinum, la tecnología ‘contactless’ que permite

simplificar los pagos sin necesidad de insertar la tarjeta en la terminal de venta.

El banco nunca solicitará todos los datos juntos de la tarjeta de coordenadas a través de ningún

medio. Solo se solicita completar dos coordenadas en cada operación que se realice.

Sea cuidadoso con la información que tira a la basura. Si usted va a tirar recibos, resúmenes o

comprobantes destrúyalos antes de arrojarlos a la basura.

No responda a ningún correo electrónico que pida información personal. Desconfíe de cualquier

entidad o persona que pregunte por sus claves o cualquier otra información que pueda ser considerada

confidencial. BBVA Francés nunca le solicitará sus claves o datos de su tarjeta de crédito por teléfono,

ni correo electrónico, ni sms.

Fuente: bbva.com

Cientos de miles de ordenadores ASUS se han visto comprometidos después que hackers hayan infectado el software de la compañía y utilizado los servidores de la marca para distribuir malware, según adelantó la firma de seguridad Kaspersky y medios como Motherboard y Techcrunch han confirmado.

Los atacantes habrían infectado la herramienta ASUS Live Update para distribuir malware en al menos un millón de usuarios, según informan los investigadores de la firma de seguridad. Estos atacantes habrían instalado una puerta trasera en ese software y la habrían hecho pasar por la oficial después de utilizar el certificado de firma de la propia ASUS, utilizado para verificar que el código nuevo es legítimo.

ShadowHammer golpea a ASUS a través de su software de actualización

ShadowHammer es el nombre que ha puesto Kaspersky a este ataque, indicando una posible relación con ShadowPad, una investigación que ya mostraron en 2017.

¿Cómo lograron los hackers instalar una puerta trasera en el software de ASUS y pasar los controles? Según Kaspersky, los atacantes se habrían basado en una actualización de ASUS real fechada en 2015 y la habrían modificado ligeramente para enviarla en la segunda mitad de 2018.

El software ASUS Live Update se utiliza para renovar las aplicaciones oficiales de ASUS, así como actualizar la BIOS y los controladores del ordenador. Un software principal que habría permitido a los atacantes instalar todo tipo de aplicaciones.

En el caso del incidente con ASUS, según describe Motherboard, los atacantes aprovecharon esta puerta trasera en al menos unos 600 ordenadores para escanear direcciones MAC, conectarse con un servidor a distancia e instalar malware adicional en esas máquinas.

Desde otra firma de seguridad como es Symantec, se ha confirmado también este problema descrito como un ataque a la cadena de suministro del software de ASUS.

Según las estimaciones de Kaspersky, del millón de afectados la mayoría de usuarios estaría en Rusia. Aunque afectaría a una gran variedad de países, entre ellos España.

La mayoría de usuarios de ASUS no notarán ningún problema, ni en el corto ni en el largo plazo. Pero todavía no está claro que pasó con esos 600 ordenadores infectados donde los atacantes sí habrían aprovechado la puerta trasera.

Por el momento, se desconoce la identidad de los atacantes y cuáles son sus motivaciones.

Cómo saber si mi portátil ASUS está afectado

Si tienes un portátil ASUS, es posible que tu ordenador haya sido comprometido con el fallo en este software de actualización. La nueva versión Live Update 3.6.8 implementa según ASUS varios mecanismos de verificación de seguridad y un nuevo sistema de cifrado.

Respecto a los ordenadores que sí fueron infectados y atacados, Kaspersky ha creado una herramienta web donde se puede añadir la dirección MAC para comprobar si fue una de las que los hackers aprovecharon. La firma de seguridad ha creado esta herramienta no solo para ayudar a los usuarios, también para identificar qué tipo de víctima han sido elegidas por los atacantes e intentar descubrir alguna relación.

Otra opción es descargar la herramienta de diagnóstico que ofrece la propia ASUS, para comprobar los sistemas afectados.

Según Kaspersky, se notificó a ASUS de este problema el 31 de enero de 2019. En respuesta a esta situación, ASUS ha catalogado al problema como una Amenaza Persistente Avanzada (APT), un tipo de ataque llevado a cabo por un par de países y dirigido hacia organizaciones, no individuos.

ASUS confirma la existencia de este ataque y explica que su departamento de servicio al cliente ya se ha puesto en contacto con los usuarios afectados para ayudarles a eliminar los riesgos de seguridad asociados.

Fuente: .xataka.com

Un investigador de seguridad informática ha descubierto un error de seguridad crítico en TCPDF, una de las bibliotecas PHP más importantes para la creación de archivos PDF a partir de documentos HTML.

El investigador, apodado Polict, reveló a través de su blog que el fallo puede ser aprovechado por un hacker para ejecutar código de forma remota en sitios web y aplicaciones web que disponen del servicio de TCPDF, así como también controlar estos sistemas. Según ZDNet, la vulnerabilidad es básicamente una variación de un error descubierto por el experto en seguridad informática, Sam Thomas, de la firma Secarma Limited.

En 2018, Thomas detectó el error de deserialización que exponía las aplicaciones PHP, y posteriormente publicó un informe de investigación donde detalló los ataques contra las plataformas Typo3 CMS y WordPress, además de TCPDF.

La publicación de Polict afirma que el fallo puede ser explotado de dos formas. Una de ellas es a través de sitios web que permiten que los datos de los usuarios formen parte del proceso donde se generan los archivos PDF, como cuando se agregan números de facturas, nombres u otros datos. La segunda manera es a través de sitios web que incluyen bugs de secuencias de comandos entre sitios XSS, en los que un hacker puede inyectar malware dentro del código fuente HTML que posteriormente se enviará a TCPDF y se convertirá en un archivo PDF.

Según Polict, la clave detrás del ataque es suministrar información con el formato incorrecto a TCPDF. En definitiva, estos datos son modificados a un punto tal que propician que la biblioteca PHP llame al “phar: //”wrapper del servidor PHP, y posteriormente se aprovechan del procedimiento de serialización de PHP para ejecutar malware en el servidor subyacente.

Luego de que Thomas detectó la vulnerabilidad el año pasado, los administradores de TCPDF actualizaron la biblioteca a la versión 6.2.20, sin embargo, ZDNet afirma que los usuarios deben actualizarse a la versión 6.2.22 porque los desarrolladores introdujeron de forma accidental el error de Thomas al intentar lanzar el parche de seguridad del fallo notificado por Polict. En este sentido, la compañía reveló que con la versión 6.2.22 queda resuelto el problema.

Fuente: tekcrispy.com

La Consejería de Empleo, Universidades, Empresa y Medio Ambiente, a través de la Inspección de Consumo, ha inmovilizado 17.200 unidades de bolsas de agua caliente procedentes de China por riesgo de quemaduras para los consumidores.

Ya se está produciendo la retirada de los productos en todo el país, y posteriormente se destruirán todas las unidades en colaboración con el importador.

El laboratorio del Centro de Investigación y Control de la Calidad, dependiente del Ministerio de Sanidad, Consumo y Bienestar Social, analizó las muestras remitidas por los inspectores de la Comunidad y certificó que el material del que están formadas estas bolsas presenta un espesor inferior al obligatorio.

Dicho grosor llega a ser de 0,8 milímetros, mientras que la norma obliga a un mínimo de 1,4 milímetros, y esa deficiencia puede traducirse en roturas y daños para la salud de los usuarios.

Así, la bolsa puede deteriorarse con mayor facilidad, e incluso rasgarse, y su capacidad de aislamiento es inferior a la permitida.

En concreto, se trata de un modelo de la marca Gerimport, con la identificación de ‘Bolsa de agua con funda de 2 litros, lote 02/2018’. El importador, radicado en Murcia, está colaborando en la retirada de productos y deberá entregar a la Inspección de Consumo el certificado de destrucción de todas las unidades.

Ante la posibilidad de que otros importadores siguieran comercializando este modelo de bolsas en el resto de España, la Comunidad lo ha incluido en la red nacional de alerta de productos no alimentarios peligrosos, coordinada por Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (Aecosan).

De forma que se ha extendido a todas las comunidades autónomas la orden de retirada y prohibición de comercialización dictada por el director general de Comercio, Consumo y Simplificación Administrativa, Francisco Abril.

El análisis del producto no sólo reveló irregularidades en su composición, sino que también puso de manifiesto incumplimientos de etiquetado, ya que no se aporta su cliente información sobre el nombre o la marca del fabricante. Igualmente, en la etiqueta se especifica que la capacidad es de dos litros, cuando en realidad es de 1.900 mililitros.

Técnicos de la Inspección de Consumo visitaron la empresa importadora y notificaron a sus responsables la retirada de la venta de este modelo de bolsa. Los clientes del importador ya están procediendo a devolver las unidades con las que contaban, para la posterior destrucción.

Fuente: europapress.es

Una gestión documental adecuada es una de las principales metas que persiguen las empresas. El objetivo es implantar un sistema que permita realizar las operaciones de manera versátil, tener acceso a la información en el momento en el que se necesite y contar con un sólido sistema de seguridad, entre otros factores.

¿Sabías que entre un 10 y 15% de los recursos de las empresas se desaprovechan? Y la principal razón de ello es la falta de organización: se pierde mucho dinero en electricidad, en impresiones que no van a ninguna parte, en tinta, y especialmente tiempo buscando documentos importantes que podemos tener almacenados de manera sencilla con un buen software de gestión documental.

¿Por qué deberíamos trabajar en mejorar la gestión documental?

Ahorro

El ahorro de tiempo es el principal factor de una gestión documental adecuada, puedes localizar, modificar, enviar, personalizar y automatizar los procesos. Evitas pasar minutos tedioso buscando en interminables estanterías llenas de archivadores.

El hecho de encontrar algo cuando lo buscas supone un aumento de la agilidad en los procesos importante, lo que deriva en tener más tiempo para tareas más importantes, y en definitiva, un mejor aprovechamiento del tiempo de trabajo supone más beneficios para tu empresa.

Seguridad

Con un buen sistema de gestión documental no tendremos que preocuparnos por la integridad de nuestros datos personales. La seguridad en la nube limita los accesorios del usuario según se desee.

Estos permisos son revocables en cualquier momento: así, la información tan solo se podrá visualizar y modificar por aquellos usuarios que cuenten con las acreditaciones correspondientes.

Disponibilidad

Otra de las ventajas de este sistema es que la información estará disponible en todo momento (24 horas al día, 7 días de la semana). Para acceder a la misma tan solo hará falta contar con un dispositivo que tenga conexión a Internet.

No hará falta tener que sentarse delante de un ordenador de sobremesa, o de un ordenador portátil. Tampoco tendremos que estar buscando datos entre muchas hojas de papel física, ya que la búsqueda se simplificará con los mecanismos online. Esto es beneficioso para reuniones o para que los trabajadores en movilidad puedan disponer de cualquier tipo de documento en cualquier momento y lugar.

Mayor control sobre el consumo recursos

La única manera de saber si una empresa es o no eficiente es controlando los recursos que consume y, para ello, necesitaremos tener toda la información actualizada. Una buena interfaz de gestión documental nos dará acceso a estos consumos en tiempo real, para llevar un mayor control.

Reducción de espacio

Olvídate de tener que estar llenando los estantes con archivadores repletos de documentos que nunca se van a utilizar. Todo estará almacenado en discos duros en la Nube.

Estas son las principales ventajas de contar con un sistema de gestión documental.

Fuente: getafecapital.com

Tras varios siglos, la doctrina militar se había mantenido sin apenas variaciones significativas. Una de las principales máximas consistía en atacar el primero. Quien así lo hiciera, disfrutaría de una ventaja inicial sustantiva que sería determinante en la evolución del conflicto. Este planteamiento cambia radicalmente en los años ochenta de la mano del norteamericano Robert McNamara, una de las mentes más agudas del siglo XX. Entre otras cosas, secretario de Defensa, presidente de Ford Motors,presidente del Banco Mundial y profesor de Economía en Harvard. Este hombre modificó las bases de la doctrina militar planteando lo que se denominó la destrucción mutua asegurada. Básicamente significaba que, independientemente de quien atacara primero, ambos contendientes estaban condenados a su destrucción mutua, a la desaparición de los dos. La explicación a este cambio tan drástico en la doctrina militar estaba en el desarrollo tecnológico vinculado al armamento nuclear y a los misiles balísticos intercontinentales. En un contexto de guerra fría, McNamara fue capaz de captar una realidad que había cambiado sustancialmente. Una recreación artística de lo que podría ser el día siguiente al holocausto final es la que nos ofrece la película Mad Max y sus escenarios apocalípticos de desolación, hambre y muerte. Por cierto, nótese que MAD coincide con las siglas de mutually assured destruction. No es una casualidad.

La caída de la URSS es también consecuencia de la iniciativa de defensa estratégica norteamericana. La antigua Unión Soviética estaba ya a punto de desintegración a principios de los años setenta. Gracias al fuerte incremento de los precios del petróleo que tuvieron lugar en esa década, y en la primera mitad de la siguiente, fue capaz de sobrevivir hasta principios de los noventa. Y aquí una coincidencia fatal. Por una parte, los precios del petróleo se reducen a la mitad y la URSS no es capaz de soportar el impulso tecnológico de la industria americana, que podría reducir sus arsenales nucleares a pura chatarra. A partir de aquí, el mundo ya no es el mismo que era. El siglo XXI arranca con la caída del muro de Berlín y con los sucesos de la plaza de Tiananmen a finales de los ochenta. Quizás un poco antes, con el discurso de Ronald Reagan en la puerta de Brandemburgo.

Actualmente estamos inmersos en la informática y su aplicación a los órdenes más diversos de nuestra existencia. Lo estamos viviendo día a día. Kodak y todo el complejo que giraba en torno a esta empresa ha desaparecido, los servicios de correos se reciclan en empresas de paquetería, la banca se transforma para poder sobrevivir, las cabinas telefónicas son un atractivo turístico y el pequeño comercio cae en la trampa de mostrar unos productos físicos que después se adquieren a través de Internet.

El cambio que la informática está introduciendo en nuestras vidas está todavía en estado embrionario. Un avance realmente importante en esta dirección es el que representan las tecnologías de quinta generación, abreviadamente el 5G. Sobre lo que disponemos ahora, esta nueva tecnología transmite datos en tiempo real sin esperas ni latencias. Al ser esto así, permitiría, por ejemplo, los automóviles de conducción autónoma, la robotización de una parte importante de las tareas humanas, la conexión de los distintos aparatos entre sí (el Internet de las cosas) y avances espectaculares en el mundo de la salud y de la inteligencia artificial. Y también, y esto es importante -quizás lo más importante-, avances determinantes en los terrenos militar y de defensa.

En el tablero del 5G solamente hay dos actores: los norteamericanos y los chinos. Los actores más tradicionales de la geopolítica mundial se han quedado atrás. Principalmente la actual Rusia y la Unión Europea: nada que aportar en esta situación. Solamente dos países disponen de la tecnología necesaria para poner en marcha las nuevas redes de comunicaciones. China a través de dos grandes empresas (Huawei y ZTE) y Estados Unidos a través del enorme conglomerado de empresas tecnológicas que dominan sus principales índices bursátiles. El complejo Silicon Valley.

Una pregunta que nos hacemos con frecuencia es por qué las autoridades norteamericanas encargadas de velar por la libre concurrencia en los mercados -las autoridades antitrust y de defensa del consumidor- han permitido que las empresas vinculadas a las nuevas tecnologías llegaran a ser conglomerados monopolistas de dimensiones tan gigantescas. La pregunta se basa en la larga tradición americana en limitar el desarrollo de monopolios y concentraciones empresariales que limitan la concurrencia en los mercados. Ya hace más de un siglo desde la aprobación de la Ley Sherman Antitrust. Esta legislación se aplicó, por ejemplo, para obligar a J. Rockefeller a trocear la gigantesca Standard Oil para recuperar la competencia en el mercado interior de petróleos y derivados.

Partimos de una máxima. La mejor defensa es aquella que aun siendo robusta, es transparente para el usuario.

Sin embargo, no en todos los casos es posible alcanzarla, pero por supuesto una defensa en la que el usuario no pueda trabajar por su rigidez no es efectiva, porque se pierde el primer objetivo, la productividad.

La defensa perfecta o máxima es difícil de conseguir porque es muy cara. Pensemos en la seguridad de una casa. La máxima resultaría excesivamente cara. Es por ello que como en otros ámbitos de la vida se debe estudiar la relación coste/beneficio y rentabilidad/riesgo para tomar la mejor decisión y adaptarla así al sistema. Para ello, nos podemos basar en un conjunto de políticas y sistemas que mejoren la información para la toma de decisiones:

–Monitorizar la red: es una política basada en escuchar el tráfico de datos para poder intervenir en el menor tiempo posible ante un ataque. Esa monitorización de red se suele hacer con programas llamados sniffer.

–La política de directorio: se basa en un punto desde el cual se controla o dirige los accesos de una persona a diversos recursos. En la actualidad un usuario se identifica mediante usuario y clave al inicio, y luego quiere acceder a un conjunto de recursos atendiendo a un nivel de seguridad definido. Que dicha función se pueda hacer de una forma sencilla, es gracias a la política de directorios que lo definen y da acceso a los sitios.

Un directorio es una base de datos de usuarios o recursos con información de los mismos. Como la estructura de información es siempre la misma (usuarios y recursos en un sistema) se establece un modelo de datos en forma de árbol que permite una rápida localización de los mismos y un intercambio de éstos de una manera sencilla. Se define por tanto un conjunto de reglas, de protocolos para la transferencia de información y hablamos así de directorio activo. Existen un conjunto de estándares en directorio activo, como LDAP definido por Microsoft u OpenLDAP como proyecto abierto, pero no profundizaremos en ellos al no ser un ámbito de los fundamentos.

El principal sistema de defensa es la “clave”, y para determinar una correcta política de claves debemos definir:

–Tamaño de clave. Se debe exigir una longitud mínima, a tener obligatoriamente clave en todas las cuentas, a realizar combinaciones lógicas de letras y números, etcétera.

–Renovación de clave. Una clave es efectiva mientras no sea perenne. Debe ser obligatorio cambiarla con una periodicidad definida.

–Bloqueo de cuentas. Para evitar intentos masivos, debe ser bloqueada una vez superado el número de reintentos definidos. Por ejemplo cinco.

–Claves aleatorias. Es la mejor forma de realizar una clave pero dificulta enormemente su recordatorio. Puede ser utilizada como primera clave de usuario.

–Frases de paso. Es una buena opción para ayudar a recordar la contraseña y así poner claves más complejas en los sistemas.

Con los avances tecnológicos existen nuevas formas de identificación de seguridad. Son los conocidos como sistemas biométricos. Por ejemplo, acceder al sistema mediante huella digital, escáner de iris, etcétera. Cada vez son más habituales y empiezan a ser usados incluso por teléfonos móviles.

Fuente: esemanal.mx

Los estudiantes de la Universidad de Málaga persisten en su encierro en la Facultad de Ciencias para exigir la apertura de más bibliotecas en la época de exámenes porque, como sucede en estas últimas semanas, las que abren son insuficientes para el volumen de jóvenes que quieren utilizar sus servicios. Esta pasada madrugada han sido unos 70 los estudiantes que, convocados por la red Eureka, han pasado toda la noche en la biblioteca de Ciencias. Sus representantes aseguran que aún no han tenido contactos con el equipo de gobierno, pero desde Eureka sí les han hecho llegar sus principales reivindicaciones: la apertura de las bibliotecas de Ciencias y Filosofía y Letras para lo que resta de este periodo de exámenes (un par de semanas) y el compromiso de la UMA de que para los próximos habrá más espacios para el estudio.

Según el portavoz de la red Eureka, Benjamín Santiago, la protesta «ha sido todo un éxito», y han recibido multitud de mensajes de felicitaciones de sus compañeros de la UMA y de otras universidades. La noche, explicó, transcurrió con total normalidad. Casi un centenar de jóvenes se quedaron en la biblioteca cuando llegó el momento de cierre (20.30 horas). Y a partir de la medianoche quedaron unos 70 jóvenes, que han permanecido en las instalaciones hasta las 6 de la mañana, hora a la que llegan los empleados de la limpieza. Algunos jóvenes se mantuvieron despiertos toda la noche «a base de café», y otros durmieron en sacos o mantas que se habían llevado para la ocasión.

Los estudiantes agradecieron la actitud comprensiva y amable del personal de la biblioteca y de seguridad, que continuó con los estudiantes una vez los trabajadores terminaron su turno.

Falta de espacio

En las últimas semanas se suceden quejas de los estudiantes que acuden a las bibliotecas y no encuentran sitio porque ya están llenas. Una situación que se produce los fines de semana, sábados y domingos, cuando solo abren las que tienen horario especial por los exámenes. Protestas que ha canalizado la red Eureka, que integran organizaciones estudiantiles de distintos centros universitarios y que cuenta con una amplia mayoría en el claustro. Desde hace unas semanas llevan a cabo una campaña en redes sociales recogiendo las denuncias de los alumnos por la falta de espacios para poder estudiar. Sus quejas, denuncian, no han sido atendidas desde el equipo de gobierno, y por esto convocaron la acción de protesta de anoche. «Hemos hablado con el equipo de gobierno para intentar buscar una solución a este problema y la respuesta es que no es posible, a estas alturas de curso, abrir más espacios», señalan desde la asociación estudiantil.

En esta llamada a la movilización, aseguran que las medidas de fuerza no son estériles y, en este sentido, recuerdan el encierro que protagonizaron hace cinco años, en la biblioteca general, que entonces cerraba sus puertas a la medianoche. La presión de los estudiantes consiguió que la general abriera, en el periodo de exámenes, durante todo el día. Y después se sumaron nuevos espacios con horario ampliado. Pero para los estudiantes siguen siendo insuficientes, como prueban las colas que se forman los fines de semana para coger sitio en las bibliotecas de Informática y Telecomunicación o la general.

Horario especial

Desde mediados de enero y hasta mitad de febrero varias bibliotecas cuentan con un horario especial, ampliado, para facilitar a los universitarios un puesto de estudio. En concreto, abre todos los días, incluidos fines de semana y festivos, la biblioteca general y aulario Gerald Brenan, con horario ininterrumpido hasta las 7 de la mañana. Las de Informática y Económicas, hasta las 3 de la madrugada. Y Medicina, hasta la medianoche. En todos los casos, incluidos los fines de semana. También mantienen su horario habitual, de lunes a viernes, de 8,30 o 9 y hasta las 20.30 o 20,45, según el caso, las bibliotecas de cada facultad o escuela técnica.

Respecto a estas quejas, desde el Vicerrectorado de Estudiantes se puntualizó que los horarios extraordinarios se acordaron en una reunión el pasado 5 de diciembre, a la que asistieron cuatro representantes del consejo de estudiantes, con un acuerdo unánime, «valorando todos los presentes que supone un avance respecto a calendarios anteriores». La Universidad está recabando los datos reales de ocupación de las bibliotecas en horarios especiales para tener en cuenta lo que ha ocurrido en estas semanas en la programación del próximo periodo de horarios ampliados.Según la UMA, las plazas ofrecidas en horarios especiales (noches, fines de semana, días festivos) ascienden este curso a más de 2.500 (2.536), con un horario ampliado que en su conjunto se extiende nueve días más que el curso pasado (enero de 2018). Un servicio extraordinario que ha conllevado la realización de 30 nuevas contrataciones. Desde la UMA dicen «comprender que en momentos puntuales se puede producir una demanda inusual», pero añaden que la planificación no se puede improvisar ni atender a «circunstancias excepcionales de momentos concretos».

Fuente: diariosur.es

Los certificados SSL han sido adoptados por muchos sitios web, pero en los últimos cuatro años, la adopción de SSL ha crecido enormemente. Una de las principales razones de ese crecimiento gigante es el hecho de que Google y otras compañías como Let’s Encrypt alientan a los usuarios a proteger sus sitios web encriptando la información mediante un certificado SSL.

A pesar de haber existido durante más de dos décadas, los certificados SSL (HTTPS) comenzaron a crecer en popularidad en el 2014 y en el año 2018 se terminó convirtiéndose en uno de los temas de la seguridad más populares de todo Internet.

En la actualidad casi todos los usuarios quieren implementar un certificado SSL debido a que están en un principio creando un entorno seguro para sus visitantes, pero muchos ignoran los riesgos que pueden suponer los registros dns obsoletos.

Los origines del uso de los certificados SSL

En los últimos años, no era tan importante si tu sitio no estaba usando un certificado SSL. Solo los sitios web que operaban con tarjetas de crédito o que realizaban un procesamiento de datos confidenciales eran los únicos que debían usar certificados SSL. De hecho, nunca obtendría una certificación PCI válida para su tienda en línea si no instaló un certificado SSL.

En ese momento, los certificados SSL gratuitos no eran una opción, y la mayoría de los usuarios tenían que confiar en los populares proveedores de SSL, como las soluciones de Symantec, Trustwave o Comodo.

Antes del 2014, tener un sitio web con HTTPS era una tarea bastante complicada, ya que seguramente incluiría un certificado SSL caro, así como características de alojamiento adicionales para tener una IP dedicada, o el pago de certificados CDN SSL.

Pero los problemas de mover un sitio web a HTTPS no se notaban solo por el gasto económico que requiere. Realizar la configuración de una dirección IP dedicada para una web requería tiempo de propagación para los DNS, para que el administrador del sitio web pueda comenzar a generar los códigos de CSR para enviarlos a su proveedor de SSL. Una vez que los proveedores aprueben el SSL, le responderían con un código de CRT; el que finalmente instalaría en su sitio para tener la configuración SSL activa.

Hoy en día las cosas han cambiado, el SSL gratuito está disponible para todos, las IP dedicadas ya no son necesarias, y el proceso de instalación se puede realizar con unos pocos clics por personas que no tengan conocimientos técnicos en tan solo unos segundos.

La historia detrás de la adopción masiva de SSL

Desde principios de los años 90 hasta 2014, la adopción de SSL fue bastante lenta y solo fue utilizada por sitios web que trabajaban con información sensible como con las tarjetas de crédito o banca en línea.

Una de las primeras compañías que comenzó a ofrecer certificados SSL gratuitos fue Cloudflare, que anunció su SSL gratuito universal en 2014. En marzo del 2016, Google anunció su objetivo de una Internet segura, mostrando sus planes para hacer de Internet un lugar más seguro.

Let’s Encrypt nació más tarde por varias compañías que fundaron el Internet Security Research Group (ISRG). Este fue el primer paso para que los certificados SSL estén disponibles gratuitamente para todos.

Otras compañías como Comodo y cPanel se unieron para ofrecer certificados SSL gratuitos, haciendo que la configuración SSL sea aún más fácil y casi 100% automatizada.

Ahora que los certificados SSL gratuitos están disponibles para cualquier persona, la adopción se ha vuelto masiva para casi todos los propietarios de sitios web y proveedores de servicios basados en Internet

La mayoría de las grandes compañías de TI usan cifrados ssl ofreciendo una mejor seguridad para todos sus usuarios. Un buen ejemplo de esto es cómo Google comenzó a migrar casi todos sus servicios y plataforma (93~95% en este momento) para usar el cifrado SSL:

Además de ofrecer certificados SSL gratuitos, también ayudó a esta gran adopción de los certificados SSL fue la automatización de las validaciones de dominio en el proceso de instalación de SSL. La instalación de un SSL no es difícil en absoluto, pero requiere que el registrador/proveedor de SSL se asegure de ser el propietario del dominio antes de aprobar su certificado.

Los nuevos SSL gratuitos ofrecidos por empresas populares como Let’s Encrypt o Comodo funcionan de forma automática, lo que evita el proceso de espera eterno hasta que el registrador le envíe el código CRT para que pueda instalarlo en su sitio web.

En lugar de eso, usan procesos de validación de dominio automatizados que aceleran mucho la propiedad del dominio. Sin embargo, las recientes investigaciones de seguridad descubrieron nuevos riesgos de este tipo de validación de dominio cuando se combina especialmente con registros obsoletos del DNS.

Validaciones SSL basadas en dominio y registros DNS obsoletos

Investigadores de seguridad de TU Delft, UT Dallas y UC Santa Barbara publicaron un documento que muestra los riesgos de utilizar dominios SSL basados en la confianza lo puede permitir sufrir ataques dominios de adquisición explotando la reutilización de direcciones IP en los dos proveedores públicos más grandes de la nube en el mundo (Microsoft Azure y Amazon AWS). Los registros DNS obsoletos también son uno de los puntos clave en esta investigación.

¿Qué es un registro DNS obsoleto?

Un registro DNS obsoleto es solo un registro que señaló a una IP específica hace tiempo y que ahora mismo ya no dispone de la misma.

Supongamos que compra un servicio en la nube para la base de conocimientos en línea de su empresa definida en el subdominio: kb.suempresa.com, y lo señala a una IP predefinida como 123.123.23.23.

Al final, usted termina en el servicio en la nube que compró originalmente. Pero no elimina el registro DNS que creó para cd.domain.com. Ese es un registro DNS obsoleto es registro que aún existe para un servicio en la nube descontinuado.

Los atacantes pueden usar registros DNS obsoletos para generar nuevos vectores de ataque

Al escanear los registros DNS a través del historial de DNS, un atacante podría notar fácilmente los registros DNS obsoletos presentes en su nombre de dominio. Un atacante podría asignar direcciones IP a las que apuntan los registros DNS obsoletos, suplantar el servicio y luego instalar un certificado SSL validado.

Imagine que se despierta una mañana y descubre que el subdominio que usa como base de conocimientos (recuerde el ejemplo de cd.domain.com) que usaron sus clientes en el pasado ahora está en línea, funciona con un certificado HTTPS completo y probablemente se usa para realizar ataques maliciosos de phishing, malware o spamming.

En sus pruebas, los investigadores de seguridad encontraron que este tipo de ataques podrían ejecutar el ataque en menos de 70 segundos (tiempo más lento que la mayoría de la configuración TTL en registros DNS), permitiendo a los atacantes incluso interrumpir los servicios normales sin registros DNS obsoletos durante el tiempo de migración de un servicio a otro.

¿Hay alguna manera de mitigar este tipo de ataques?

La mejor forma de evitar la validación de este dominio y los ataques basados en registros obsoletos de DNS es introducir un nuevo método de autenticación en el proceso de validación de dominio.

Básicamente, la mitigación propuesta incluye el nuevo llamado “Desafío de validación de identificador resistente a adquisición de dominio” en el protocolo ACME (actualmente utilizado por Let’s Encrypt para automatizar el proceso de emisión de certificación SSL), específicamente al introducir la nueva fase de validación dentro de ACMEv2 RFC.

Una cosa buena de este nuevo método de mitigación es mantener el proceso de validación del dominio SSL lo más simple posible para el usuario final, que a menudo no es técnico.

En este caso, este cambio es 100% transparente, ya que no se necesita una solicitud de certificado adicional: la misma solicitud de certificado se utilizará en el proceso de emisión del certificado SSL.

¿Como funciona?

1. El cliente envía una solicitud de certificado para el nombre de dominio, por ejemplo, coma una autoridad de certificación que valida el dominio.
2. La autoridad de certificación verifica si ya existe un certificado SSL para el dominio o no.
3. Quién solicita el SSL debe superar la comprobación de los DNS o basado en whois si un certificado anterior ya existe.
4. Una vez que la URL ha sido verificada, la CA autorizará que se emita el certificado SSL.

La fase de transición del modelo de validación actual al nuevo no debería ser difícil para los proveedores de SSL actuales, ya que hay muchas validaciones ya utilizadas en las configuraciones actuales.

Reanudar: agregar la nueva capa de autenticación y mitigación no causaría ningún problema adicional, sino que ayudaría a prevenir nuevos problemas de seguridad.

Para un análisis completo y profundo de cómo funciona esta solución técnica, puede encontrarla en la investigación original, “Cloud Strife: Mitigating the Security Risks of Domain-Validated Certificates“, en el capítulo IV. MITIGATION (página 08).

Además de este nuevo desafío de autenticación, los autores sugieren recomendaciones generales de seguridad para propietarios de dominios y proveedores basados en la nube para reducir su exposición y la de sus clientes a problemas de DNS para evitar ataques de control de dominio como la asignación de direcciones IP y operaciones de liberación de direcciones IP, reforzando DNS seguridad, implementación de DNSSEC, entre otros.

Conclusión

Como puede ver, estos riesgos pueden reducirse adoptando nuevas tecnologías de mitigación por parte de los proveedores de SSL, pero también por la mayoría de los proveedores de Cloud necesitan seguir las mejores prácticas desde los servidores TCP/IP y DNS, así como cambiar los modelos de asignación de IP.

Fuente: tecnonucleous.com

Cómo mejorar los sistemas de defensa para controlar la seguridad informática

Partimos de una máxima. La mejor defensa es aquella que aun siendo robusta, es transparente para el usuario.

Sin embargo, no en todos los casos es posible alcanzarla, pero por supuesto una defensa en la que el usuario no pueda trabajar por su rigidez no es efectiva, porque se pierde el primer objetivo, la productividad.

La defensa perfecta o máxima es difícil de conseguir porque es muy cara. Pensemos en la seguridad de una casa. La máxima resultaría excesivamente cara. Es por ello que como en otros ámbitos de la vida se debe estudiar la relación coste/beneficio y rentabilidad/riesgo para tomar la mejor decisión y adaptarla así al sistema. Para ello, nos podemos basar en un conjunto de políticas y sistemas que mejoren la información para la toma de decisiones:

–Monitorizar la red: es una política basada en escuchar el tráfico de datos para poder intervenir en el menor tiempo posible ante un ataque. Esa monitorización de red se suele hacer con programas llamados sniffer.

–La política de directorio: se basa en un punto desde el cual se controla o dirige los accesos de una persona a diversos recursos. En la actualidad un usuario se identifica mediante usuario y clave al inicio, y luego quiere acceder a un conjunto de recursos atendiendo a un nivel de seguridad definido. Que dicha función se pueda hacer de una forma sencilla, es gracias a la política de directorios que lo definen y da acceso a los sitios.

Un directorio es una base de datos de usuarios o recursos con información de los mismos. Como la estructura de información es siempre la misma (usuarios y recursos en un sistema) se establece un modelo de datos en forma de árbol que permite una rápida localización de los mismos y un intercambio de éstos de una manera sencilla. Se define por tanto un conjunto de reglas, de protocolos para la transferencia de información y hablamos así de directorio activo. Existen un conjunto de estándares en directorio activo, como LDAP definido por Microsoft u OpenLDAP como proyecto abierto, pero no profundizaremos en ellos al no ser un ámbito de los fundamentos.

El principal sistema de defensa es la “clave”, y para determinar una correcta política de claves debemos definir:

–Tamaño de clave. Se debe exigir una longitud mínima, a tener obligatoriamente clave en todas las cuentas, a realizar combinaciones lógicas de letras y números, etcétera.

–Renovación de clave. Una clave es efectiva mientras no sea perenne. Debe ser obligatorio cambiarla con una periodicidad definida.

–Bloqueo de cuentas. Para evitar intentos masivos, debe ser bloqueada una vez superado el número de reintentos definidos. Por ejemplo cinco.

–Claves aleatorias. Es la mejor forma de realizar una clave pero dificulta enormemente su recordatorio. Puede ser utilizada como primera clave de usuario.

–Frases de paso. Es una buena opción para ayudar a recordar la contraseña y así poner claves más complejas en los sistemas.

Con los avances tecnológicos existen nuevas formas de identificación de seguridad. Son los conocidos como sistemas biométricos. Por ejemplo, acceder al sistema mediante huella digital, escáner de iris, etcétera. Cada vez son más habituales y empiezan a ser usados incluso por teléfonos móviles.

Fuente: esemanal.mx