viernes, 29 de mayo de 2015

ONU: “El cifrado de información es un derecho humano que no debe ser socavado”

Cargando...
Edificio de la ONU en Nueva York © Leonard Zhukovsky vía Shutterstock. Imagen tomada de: DiarioTI 

La organización de Naciones Unidas ha publicado un informe donde indica que la libertad de expresión es un derecho humano y que el cifrado de datos debe ser permitido. Asimismo, recomienda a los gobiernos restringir la vigilancia electrónica masiva de los ciudadanos.

El informe insta a los gobiernos del mundo abstenerse del celo excesivo que aplican en su labor de vigilancia electrónica. El relator especial de la ONU, David Kaye, autor del documento, declaró al sitio The Intercept que el informe “constituye el primer intento de crear un marco jurídico para la seguridad digital”.

El documento, titulado “Informe del relator especial sobre la promoción y protección del derecho a la libertad de opinión y de expresión” (documento PDF de 17 páginas, en inglés), establece la postura de la ONU en materia de vigilancia masiva, sugiriendo que las redadas electrónicas organizadas por los gobiernos deben ser sometidas a evaluación y escrutinio, caso por caso.

El documento no es vinculante para los estados miembros de la ONU, pero si hace una serie de sugerencias que Kaye espera informen a los gobiernos y legisladores.

“El documento gravita en torno al marco legal que establecen las normativas de derechos humanos, y garantiza la libertad de expresión. Esperemos que los defensores de la libertad de expresión recurran al documento cuando deban litigar en tales causas”, declaró Kaye a la publicación.

El informe surge en momentos que los Estados Unidos y otros países buscan, por el contrario, ampliar el alcance de la vigilancia electrónica. El informe advierte contra tales propósitos señalando: “Los estados no deben restringir el cifrado y el anonimato, que facilitan, y a menudo hacen imposible, la libertad de opinión y de expresión. La vigilancia generalizada es innecesaria y desproporcionada. Los estados deben evitar todas las medidas que debilitan las garantías de las personas en el ciberespacio, como por ejemplo puertas traseras o estándares de cifrado vulnerables”.

Tomado de: Diario TI

El mensaje que hace que su iPhone se apague automáticamente

Cargando...
Apple. Foto: Reuters. Imagen tomada de: http://www.portafolio.co/

Si tiene un iPhone y recibe un mensaje con caracteres que le son extraños, texto en árabe por ejemplo, prepárese. Podría ser la próxima víctima.

No se trata de un virus, sino de un fallo técnico del sistema operativo iOS8 del iPhone relacionado con cómo se procesan y muestran los caracteres árabes en las notificaciones del teléfono.

Este problema permite que un usuario de un teléfono inteligente de Apple pueda forzar el apagado de un dispositivo similar mediante el envío de una cadena de mensajes.

Así lo reportaron varios medios especializados y la propia compañía reconoció la existencia de la vulnerabilidad a través de un comunicado.

"Estamos al tanto del problema del mensaje causado por una específica cadena de caracteres y proporcionaremos una solución a través de una actualización de software", informó Apple.

El error está relacionado con la aplicación Mensajes de iPhone, aunque iMore, una página web especializada autodenominada "el centro del universo iPhone", señala que también se da en otras apps de la compañía.

Error de notificaciones

Al parecer, el problema tiene que ver con el sistema de notificaciones en la pantalla del teléfono.

Normalmente, cuando recibe un mensaje en español, si es demasiado largo en la pantalla aparece un fragmento del texto seguido de puntos suspensivos.

Pero cuando los caracteres son no latinos, como los árabes, el teléfono se confunde al no saber dónde poner el símbolo de los puntos suspensivos.

Éste, al tratar de mostrar los caracteres sufre un bloqueo que termina causando un error en todo el sistema. Y, por consiguiente, el aparato se apaga sin previo aviso.

Con ello, un usuario de iPhone puede apagar remotamente el dispositivo de su vecino enviándole la cadena en cuestión.

Funciona sólo de iPhone a iPhone y el error se da en distintas versiones de iOS.

A la espera de que Apple actualice el software, los medios especializados proponen una solución para quienes reciban el SMS: acceder a la conversación y responder a quien hizo llegar la cadena de caracteres maligna. Y para que no vuelva a ocurrir, conviene desactivar la vista previa de los mensajes en la configuración del teléfono.

Si no, el aparato se reiniciará automáticamente.

Tomado de: Semana

miércoles, 27 de mayo de 2015

Encuesta mundial: Los empleados ignoran los riesgos cibernéticos mientras trabajan

Cargando...
Crimen Cibernético. Imagen tomada de: Grafvision © Shutterstock.com

Blue Coat Systems reveló el 26 de mayo los resultados de un estudio de investigación mundial en el que participaron 1580 encuestados de 11 países, que destacó una tendencia global de ignorar los riesgos cibernéticos en el trabajo por parte de los empleados. Los resultados de la encuesta demostraron que, a nivel mundial, los trabajadores visitan sitios web inapropiados cuando están en sus trabajos a pesar de ser plenamente conscientes de los riesgos que esto ocasiona a sus empresas.

La investigación, realizada por la empresa de investigación independiente Vanson Bourne, por encargo de Blue Coat, develó que las acciones de los empleados no son consecuentes con sus conocimientos reales sobre las amenazas cibernéticas. Además, este comportamiento puede exponer la información confidencial de la empresa y del individuo para utilización inmediata o futura por parte de terceros. Como ejemplo de ello, el informe cita el mercado negro en el que las identidades vulneradas de la empresa y del individuo se comercializan globalmente.

Una fuente de amenazas cibernéticas es la práctica de phishing. Los delincuentes cibernéticos realizan extensas y continuas investigaciones de los perfiles sociales de los empleados con el objetivo de encontrar información que puedan utilizar para atacar a las organizaciones. Por ejemplo, un atacante puede crear un correo electrónico aparentemente personalizado y dirigirlo al administrador de TI de una gran empresa utilizando información obtenida de perfiles de redes sociales, como el alma máter o el equipo preferido del destinatario. Dicho correo electrónico puede contener malware que se descarga cuando el destinatario hace clic en el enlace incluido en el texto.

La pornografía sigue siendo uno de los métodos más populares para ocultar malware o contenido malicioso. Si bien los trabajadores son conscientes de las amenazas que suponen los sitios con contenido para adultos, siguen visitando estos sitios potencialmente peligrosos. La encuesta de Blue Coat develó que China tiene el récord más alto (19 %) de visitas a sitios con contenido para adultos desde un dispositivo de trabajo, y la siguen de cerca México (10 %) y el Reino Unido (9 %).

Puntos destacados de la encuesta

La mayoría de los participantes de la encuesta mundial admitió que comprende las evidentes amenazas cibernéticas que supone la descarga de adjuntos de correos electrónicos que provienen de remitentes desconocidos, o el uso sin autorización de redes sociales y aplicaciones no aprobadas en redes corporativas; no obstante, aún sabiéndolo, no dejaron de correr el riesgo. También se develó lo siguiente:
  • Si bien el 65 % de todos los encuestados considera que utilizar una aplicación nueva sin el consentimiento del departamento de TI es un riesgo importante para la seguridad cibernética de la empresa, el 26 % admitió que lo hace.
  • En México, cerca de un tercio (30 %) de los encuestados reconoció que utiliza aplicaciones nuevas sin el permiso del departamento de TI, en comparación con el 26 % en Brasil.
  • En el trabajo aún se corren riesgos evidentes, como abrir correos electrónicos que provienen de remitentes no verificados. Entre los empleados mexicanos, casi la cuarta parte (24 %) abre adjuntos de correos electrónicos que provienen de remitentes no verificados, a pesar de que la vasta mayoría (71 %) lo considera un riesgo importante, mientras que entre las empresas brasileñas, el 76 % considera que la amenaza es un tanto más grave y solo el 16 % abre correos electrónicos no solicitados.
Cerca de dos de cinco empleados (41 %) utilizan sitios de redes sociales por cuestiones personales en el trabajo; esto supone un riesgo importante para las empresas, dado que los delincuentes cibernéticos ocultan el malware en enlaces abreviados y vulneran el tráfico cifrado para entregar cargas útiles.

Si bien a nivel mundial el seis por ciento de los encuestados admitió que ve contenido para adultos desde dispositivos de trabajo, México ocupó el primer lugar, dado que uno de cada diez empleados (10 %) admitió ver contenido para adultos en el trabajo, en comparación con Brasil y los EE. UU., que representaron el cinco por ciento cada uno.

“Mientras la mayoría de los empleados están conscientes de los riesgos cibernéticos, la mayoría no los toma en cuenta en la práctica¨, declaró Ignacio Conti, Gerente Regional para el Cono Sur en América Latina. “La tecnología orientada al consumidor de TI y las redes sociales ofrecen ventajas y desventajas a las empresas. Ya no es realista evitar que los empleados las utilicen, por lo tanto, las empresas deben encontrar maneras de admitir estas alternativas tecnológicas y a la vez mitigar los riesgos de seguridad” concluyó Conti.

Tomado de: Diario TI. 

martes, 26 de mayo de 2015

Tan sólo dos de cada diez personas reconocen correos fraudulentos

Cargando...
Phishing. Ilustración: PH Studio © Shutterstock.com. Imagen tomada de: DiarioTI.

Los piratas informáticos utilizan una técnica tan vieja como efectiva para robarle información a los usuarios de internet: el phishing. Se trata de enviar correos engañosos para que la persona abra vínculos desconocidos y entregue información personal como contraseñas y cuentas bancarias.

Recientemente la empresa Intel Security hizo una prueba, y los resultados fueron sorprendentes. Encuestó a más de 19.000 usuarios en todo el mundo para probar su conocimiento sobre este tipo de correos.

El resultado no pudo ser más negativo: el 97 % de las personas a nivel mundial no pueden identificar correctamente correos electrónicos de phishing. Por esto esta técnica sigue siendo una de las más utilizadas por los ciberdelincuentes para robar no sólo datos confidenciales sino ingresar a cuentas bancarias de las víctimas.

La prueba consistió en presentar diez correos electrónicos para que los encuestados identificaran cuáles de ellos habían sido diseñados para robar información personal y cuáles eran legítimos. De los aproximadamente 19,000 encuestados de 144 países, solo el 3 % fueron capaces de identificar correctamente cada ejemplo y el 80 % de todos los encuestados identificaron incorrectamente por lo menos uno de los correos electrónicos de phishing, que es todo lo que se necesita para ser víctima de un ataque. 

Los delincuentes usan correos electrónicos fraudulentos para lograr que los consumidores hagan clic en links a sitios web que han creado exclusivamente con el propósito de robar información. Engañan a los usuarios para que escriban sus nombres, direcciones, ID de usuario, contraseñas o información de tarjetas de crédito en sitios de internet que parecen pertenecer a empresas reales. 

En algunos casos, simplemente al hacer clic en el link proporcionado en el correo electrónico se descargará un programa malicioso automáticamente en el dispositivo del usuario, incluyendo los dispositivos móviles. Una vez instalado el malware, los hackers pueden robar fácilmente información de la víctima sin su conocimiento. 

A nivel mundial, el grupo de edades de 35 a 44 años se desempeñó mejor respondiendo un promedio de 68 % de preguntas con exactitud. Por otro lado, las mujeres menores de 18 años y mayores de 55 parecieron tener más dificultad para diferenciar los correos electrónicos legítimos de los falsos, identificando seis de cada diez mensajes correctamente. 

En general, los hombres dieron respuestas más acertadas que las mujeres, con un promedio de un 67 % frente a una tasa de 63 % para las mujeres. De 144 países representados en la encuesta, Estados Unidos se colocó en el número 27 de la lista en la capacidad para detectar phishing, con 68 % de precisión. 

Ocho recomendaciones

1. Mantenga actualizado su software de seguridad y navegadores.

2. Pase el cursor sobre los links para identificar falsificaciones obvias; asegúrese de que un link adjunto lo lleve a la página webexacta que pretende que debe ser. 

3. Tómese su tiempo y revise los correos electrónicos en relación a "banderas rojas" obvias: palabras mal escritas, dominios URL incorrectos, imágenes poco profesionales y sospechosas y remitentes desconocidos.

4. En lugar de hacer clic en un link incluido en un correo electrónico, visite el sitio web de la empresa que supuestamente envió el correo electrónico para asegurarse de que el anuncio esté también en su página web.

5. No haga clic en los links en cualquier correo electrónico enviado de remitentes desconocidos o sospechosos.

6. No envíe correos electrónicos que parezcan sospechosos a amigos o familiares ya que esto podría extender el ataque a más personas

7. No descargue contenido que su navegador o software de seguridad le alerte, puede ser malicioso.

8. No entregue información personal como su número de tarjeta de crédito, dirección o número de seguro social a un sitio o dirección de correo electrónico que piense puede ser sospechoso.

Tomado de: Semana

lunes, 25 de mayo de 2015

El Sector Petrolífero: nuevo foco de amenaza de los ciberatacantes

Cargando...
Ciberdelincuentes. Imagen tomada de: Diario TI.

La ciberdelincuencia ha crecido exponencialmente en el último año. Prácticamente, todos los sectores intentan poner freno y soluciones ante la posibilidad de ser atacados. Los grupos se organizan y se profesionalizan. Y la energía subyace como otro de los objetivos recientes. La amenaza no es algo ínfimo, puesto que una infraestructura crítica que sea víctima de un ciberataque (central eléctrica, cajeros automáticos) puede provocar un auténtico caos en la sociedad.

La firma de seguridad informática Panda Security ha desvelado en en el informe «Operación Oil Tanker: La Amenaza Fantasma» una serie de ataques dirigidos a diez compañías petroleras europeas dedicadas al transporte marítimo, entre ellas una española -aunque no se ha desvelado el nombre- que intentaban robar información confidencial y datos personales para cometer estafas nigerianas. Estos tradicionales fraudes a través de Internet se llevan a cabo por correo electrónico y consiste en embelesar a la persona receptora del mismo con una fortuna para intentar convencerla de un pago adelantado.

Estos casos que vinieron sucediendo desde agosto de 2013 hasta principios del pasado año, aunque no han trascendido hasta la fecha, tienen una particularidad ya que no utilizan ningún tipo de «malware» para infectar los ordenadores, si no que ejecuta archivos de forma recurrente y que, al día de hoy, «ningún sistema de antivirus es capaz de detectar». Una vez descubierta esta «amenaza fantasma» tenía un punto débil: la conexión FTP que se utilizaba para enviar las credenciales robadas. A través de esta conexión, PandaLabs pudo identificar tanto una dirección de correo electrónico como un nombre.

Los expertos creen que los «hackers» se han hecho con datos de diferentes compañías para fines lucrativos. Y es que este es un sector goloso al manejar mucho dinero. «Han utilizado herramientas que están disponibles para cualquier usuario en internet y utilizaban una serie de ficheros especializados con los que hacían las instrucciones. El ataque venía mediante un programa instalador enviado en un correo electrónico que engañaba a las víctimas», asegura al diario ABC Luis Corrons, director Técnico de Pandalabs en Panda Security.

Los expertos consideran que este robo de información es la primera fase de un proceso de estafa mayor. Las empresas afectadas, no obstante, no han denunciado a la autoridad competente por miedo a una posible repercusión.

No es la primera vez que este sector se coloca en el punto de mira de los ciberdelincuentes. En 2012 un ataque informático lanzado contra varias plataformas petrolíferas iraníes en el Golfo Pérsico provocó problemas temporales en la conexión de estas instalaciones, informaba la agencia de noticias iraní ISNA. Desde la República Islámica se alzó la voz acerca de que en ocasiones anteriores habían sufrido ataques informáticos contra los servidores de sus organismos públicos e instalaciones nucleares. Para ello, se utilizó como «arma» el gusano Stuxnet que en julio de 2010 causó importantes daños a la infraestructura nuclear iraní.

Aumento del cibercrimen

Y es que el cibercrimen se ha convertido en un «arma» rápida, accesible y capaz de provocar el caos en las ciudades. Según datos recogidos por la firma de seguridad Panda, el envío diario de «malware» ha crecido exponencialmente en el último trimestre.

El primer trimestre de 2015 comenzó con un notable aumento en la creación de malware. Si acabamos el año 2014 con una media de 205.000 nuevos ejemplares de «malware» al día, durante estos últimos tres meses la cifra ha aumentado hasta 225.000, con lo que la cantidad total de nuevas amenazas generadas durante este periodo supera los 20 millones. Los llamados «troyanos» son el tipo de malware más común, sumando un 72.75% de todas las muestras aparecidas durante este periodo. En segundo lugar -a gran distancia- están los clásicos virus, que alcanzan un 14.85%.

Tomado de: ABC.es

Descubren LogJam, una grave vulnerabilidad que intercepta datos cifrados

Cargando...
Protección de datos. Imagen tomada de: Vanguardia.com

La sombra de «Heartbleed» pasea de nuevo. Un grupo de investigadores formado por expertos en seguridad informática franceses y norteamericanos y centros universitarios, entre los que se encuentran ingenieros de Microsoft, han descubierto una grave vulnerabilidad que es capaz de interceptar datos cifrados.

Según el informe, la vulnerabilidad informática detectada en un algoritmo de los sistemas de cifrado utilizados permite espiar comunicaciones supuestamente seguras, recoge la cadena «BBC». De esta manera, decenas de miles de sitios web HTTPS, servidores de correo y otros servicios son vulnerables al espionaje debido a un defecto en los algoritmos criptográficos.

Proveedores de antivirus ya han sido alertados y preparan una solución al respecto. Los expertos creen que el 8% de las páginas que incluyen protocolos de seguridad HTTPS son «vulnerables», por lo que este icono situado en la barra de direcciones del navegador tampoco garantizaría a los usuarios comunicaciones totalmente privadas.

Este «bug» afecta a varios servicios de correo electrónico que utilizan el protocolo de cifrado Transport Layer Security (TLS) y, según los expertos, puede ocasionar posibles intromisiones ilegítimas. El fallo se beneficia de Diffie-Hellman, un protocolo criptográfico de establecimiento de claves entre partes que no han tenido contacto previo utilizando un canal inseguro y de manera anónima (no autentificada). Esta fue una de las primeras técnicas desarrolladas para permitir que dos o más partes crearan y compartieran una clave de cifrado. Este sistema es fundamental para otros protocolos informáticos como HTTPS, IPsec, SMTPS o SSH.

El informe asegura que los navegadores más populares como Chrome, Firefox, Safari o Internet Explorer son susceptibles de ser afectados por este «bug», por lo que empresas como Google o Microsoft ya trabajan en resolverlo. Pese a todo, diversos expertos aseguran que los usuarios no deben preocuparse al respecto, ya que para aprovecharse de la vulnerabilidad los «hackers» y el objetivo deben estar en la misma red.

Tomado de: ABC.es

viernes, 22 de mayo de 2015

La Ciberseguridad requiere sigilo, paciencia y recursos a nivel mundial

Cargando...
Neil Campbell, Gerente General de Seguridad del Grupo Dimension Data. Imagen tomada de: DiarioTI 

Se podría llegar a la corrección de los incidentes cibernéticos más rápidamente si las empresas, el gobierno y los sectores de las TIC y la seguridad compartiesen la información de manera más abierta y proactiva. El primer paso es supervisar todas las redes o, por lo menos, los puntos de exposición pública de los ciberdelincuentes de hoy en día.

Internet proporciona enormes ventajas a muchas economías. Sin embargo, al tiempo que impulsa la innovación y la productividad económica, también abre las puertas a nuevas amenazas. Por lo tanto, tenemos que ser capaces de controlarlas para poder aprovechar plenamente las ventajas. Ya no podemos permitirnos el lujo de optar por un enfoque de la seguridad fragmentado: es el momento de presentar un frente unido.

El crimen online es una industria establecida, extremadamente bien financiada y de dimensiones gigantescas. Los delincuentes están más centrados y organizados que nosotros, dedican meses e incluso años a obtener datos e información, y sus esfuerzos normalmente culminan en una explosión de actividad criminal dirigida que se desarrolla en un corto período de tiempo. A modo de ilustración, cita el caso de un ataque reciente a un grupo de 30 bancos a través del cual se consumó el robo de entre 300 y 1000 millones de dólares.

Los ciberdelincuentes habían acechado las redes de los bancos durante más de un año y habían obtenido un conocimiento profundo de los procesos y los sistemas. Como resultado, el ataque se ejecutó muy rápidamente y fue casi imposible de detectar. Los atacantes de hoy en día actúan con extremado sigilo y paciencia y cuentan con una cantidad de recursos sin precedentes. La recompensa que obtienen al ceñirse a este modus operandi es significativa. Un ladrón de bancos tradicional, de los que llevan una máscara y empuñan un arma, no se embolsaría más que una pequeña parte de lo que consiguen hoy en día los ciberdelincuentes.

En el discurso que pronunció en el Debate sobre el Estado de la Nación el pasado enero, el presidente Obama instó al Congreso a aprobar una amplia legislación para reforzar la seguridad cibernética en el gobierno y la industria privada estadounidenses, con el objetivo de contrarrestar la creciente amenaza de este tipo de infracciones informáticas sofisticadas. La declaración pública del presidente Obama, en el sentido que las medidas actuales son insuficientes y su promesa de destinar varios miles de millones de dólares a la mejora de la seguridad en Internet indican que hemos llegado a un punto de inflexión. “Es una llamada al cambio de la que no se puede hacer caso omiso.”

Simon Blanco, LOB Manager de Networking y Seguridad señala que en los últimos años se han implementado una serie de medidas para frenar esta ola de crimen online. Se han creado en todo el mundo equipos de respuesta a emergencias informáticas (CERT, del inglés Computer Emergency Response Team), copatrocinados por los gobiernos, los círculos académicos y el sector de la seguridad, para ayudar a las organizaciones y a los individuos a responder ante las emergencias de crimen online. Los organismos de seguridad pública juegan un papel activo en la “vigilancia” de Internet para proteger a las empresas y al gobierno. En las áreas de infraestructuras vitales, como las de los suministros eléctricos, de gas y de agua, los gobiernos han puesto en marcha auditorías y controles de seguridad obligatorios financiados.

Desde que el presidente Obama hiciese sus declaraciones, ha habido mucho debate sobre cómo las partes implicadas en el sector de la seguridad de las TIC pueden y deben desempeñar un papel en el avance de la guerra contra el crimen online. Hay quien piensa que los proveedores del sector tienen que ser más abiertos a la hora compartir sus datos, en lugar de tratar de convertirlos en oportunidades de venta. Si bien el sector ha establecido sus propios foros de debate, generalmente se centran en el intercambio de información sobre tipos específicos de datos, como el malware, y por lo tanto no son muy eficaces a la hora de crear un conjunto de datos unificado. Además, muchos proveedores no “limpian” los datos que comparten, lo que les resta utilidad.

Quizá el mayor defecto es que las personas que analizan los datos lo hacen desde un punto de vista técnico, en lugar de adoptar un enfoque político, social y técnico integrado”, añade Blanco.

Así pues, ¿cuáles son los siguientes pasos?

Rich Boyer, Arquitecto Jefe de Seguridad del NTT Innovation Institute Inc., cree que el sector necesita obtener una visión más clara con respecto a quiénes lanzan estos ataques y cómo lo hacen. “Tenemos que ser capaces de identificar la naturaleza del ataque, de dónde viene, dónde y cuándo tuvo lugar, qué movimientos ha realizado desde ese punto y qué es exactamente lo que querían los atacantes.”

La velocidad a la que se mueven los atacantes es otro reto importante. Los sofisticados ciberdelincuentes de hoy en día se mueven en las sombras, lanzan sus ataques rápidamente y, a continuación, desaparecen con la misma rapidez para reaparecer en otro lugar semanas o meses después. Boyer opina que el primer paso es supervisar todas las redes o, por lo menos, sus puntos de exposición pública.

“Tenemos que recopilar las detecciones de amenazas en un foro público que se actualice continuamente: esta es la única manera de llegar a ser más rápidos que los atacantes. Una vez esto sea una realidad, tendremos que controlar las conexiones a esos puntos de origen para rastrear a los atacantes hasta su guarida. Y, lo que es más importante, debemos contar con mecanismos (técnicos o legales) para evitar que los ciberdelincuentes reanuden sus actividades en otra parte. En este momento, nada de esto existe, por lo que los atacantes tienen total libertad para explotar los puntos débiles,” asegura Boyer.

Internet es un ‘oído’ colectivo: un grupo de multitud de redes individuales. A menos que colaboremos entre estas redes individuales sobre lo que vemos y lo que demuestran nuestras investigaciones, estamos poniendo en bandeja a los ciberdelincuentes aquello de “divide y vencerás”. Y, aunque todavía queda mucho camino por recorrer por parte de los gobiernos, el sector y las empresas, ya se han hecho valiosos avances en lo que a la inteligencia de amenazas se refiere. Una cosa es hacer una llamada a la acción, y otra muy diferente es realmente emprender acciones.

Por Neil Campbell, Gerente General de Seguridad del Grupo Dimension Data

Tomado de: Diario TI

martes, 19 de mayo de 2015

Apple y Google defienden ante Obama sistemas ‘antiespionaje’

Cargando...
Protección de datos. Imagen tomada de: Vanguardia.com

Cuarenta y ocho empresas del sector tecnológico, entre ellas Apple, Google, Facebook y Microsoft, le han pedido al presidente Barack Obama que los teléfonos inteligentes y los correos electrónicos de los ciudadanos se mantengan fuera del alcance del Gobierno estadounidense.

"El cifrado es la piedra angular de la seguridad de la moderna economía de la información", escribieron las compañías en una carta, que fue entregada la mañana del martes, y dada a conocer en primicia por el diarioWashington Post.

Apple causó revuelo el año pasado cuando cifró los iPhones de los clientes, dificultando la labor de las agencias de seguridad de obtener los datos del iPhone de un sospechoso. La contraseña de un iPhone es lo único que puede romper el cifrado, lo que significa que incluso si la policía tiene una orden judicial, aún necesita introducir el código de acceso para extraer lo que está en el teléfono.

Google permite a sus clientes cifrar sus teléfonos Android, pero no ha cumplido con su promesa de cifrar los dispositivos por defecto. Sin embargo, es una de muchas empresas que recientemente han comenzado a cifrar las comunicaciones en línea de clientes, incluyendo el correo electrónico.

El Gobierno de Obama se ha quejado abiertamente de las políticas de cifrado de las empresas tecnológicas, argumentando que constituyen un obstáculo para rastrear a terroristas y otros delincuentes, incluidos los pedófilos. El FBI ha presionado para que las empresas creen ‘puertas traseras’ en su software, lo que le daría a las agencias investigadoras un mecanismo para eludir el cifrado.

Pero, en la carta dirigida a Obama, las empresas de tecnología, expertos en políticas y organizaciones de derechos civiles le pidieron al presidente no apoyar ningún proyecto de ley que entregue a las fuerzas del orden una llave maestra para acceder a las comunicaciones de los clientes.

"Lo exhortamos a rechazar cualquier propuesta donde las empresas estadounidenses deliberadamente debiliten la seguridad de sus productos", dice la carta. "Solicitamos que la Casa Blanca se centre en cambio en el desarrollo de políticas que promuevan y no socaven la amplia adopción de la tecnología de cifrado potente. Estas políticas, a su vez ayudarán a promover y proteger la seguridad cibernética, el crecimiento económico y los derechos humanos, tanto aquí como en el extranjero."

La carta sugiere que proporcionar una puerta trasera a las comunicaciones dará lugar a amenazas en la seguridad y socavará los derechos de los ciudadanos y la aspiración de privacidad.

La Casa Blanca parece estar luchando una batalla perdida contra el cifrado. Las compañías tecnológicas están alineadas en su apoyo al cifrado, y el Congreso desechó la sugerencia del FBI de que debería dársele carta blanca o acceso irrestricto y discrecional a las comunicaciones de los ciudadanos con el fin de atrapar a los criminales.

La corriente comenzó a volverse en contra del espionaje gubernamental en 2013, después que Edward Snowden revelara por primera vez en qué grado la Agencia de Seguridad Nacional accede a nuestros correos electrónicos, registros telefónicos e interviene las conversaciones telefónicas y de video.

El cifrado de teléfonos y correos electrónicos es una respuesta contundente. Pero la verdad es que la policía puede obtener muy fácilmente una contraseña para romper el cifrado, incluso si el dueño de un smartphone no está dispuesto a entregar el código.

Un código de cuatro dígitos puede ser descifrado con sólo 10 mil intentos en promedio, según Matt Blaze, uno de los principales expertos en cifrado del país. Una computadora tardaría pocos segundos en lograrlo, dando acceso a la policía a pesar del cifrado.

Tomado de: CNN Expansión

viernes, 15 de mayo de 2015

Mañana finaliza la VII Encuesta Internacional de Seguridad de la Información - ACIS

Cargando...
Jornada de Seguridad Informática. ACIS 2015.

La Asociación Colombiana de Ingenieros de Sistemas - ACIS se encuentra realizando la VII Encuesta Internacional de Seguridad de la Información, con la cual se busca tener mejores referentes sobre el estado de la seguridad de la información en Latinoamérica, donde la experiencia y aporte de cada uno de las personas que trabajan en este campo es fundamental para hacer la diferencia en el ejercicio de proteger uno de los activos más críticos de las organizaciones: la información.

La participación de todas las personas involucradas con el campo de la seguridad de la información es fundamental para construir un conocimiento colectivo sobre el estado actual y cómo vamos a nivel de Latinoamérica.

La encuesta se cierra mañana 15 de mayo de 2015. 

Los resultados de la encuesta serán presentados durante la XV Jornada Internacional de Seguridad Informática - ACIS la cual se llevará a cabo los días 24 y 25 de Junio, en la Cámara de Comercio de Bogotá - Calle 67 No. 8 – 32.

Para diligenciar la encuesta ingrese a: https://es.surveymonkey.com/s/H3896T2

Nota: ACIS sorteará 3 inscripciones a la XV Jornada Internacional de Seguridad Informática que se realizará en Bogotá, Colombia, entre quienes contesten completamente la encuesta. Los ganadores asumen los costos de transporte, hotel y alimentación para asistir al evento. 

Tomado de: ACIS

La agencia de seguridad alemana envía millones de datos cada mes a la NSA

Cargando...
Protección de datos. Imagen tomada de: Vanguardia.com

Cada vez tenemos que aprendernos más siglas correspondientes a organismos que nos espían. Más allá de las estadounidenses CIA y NSA (el FBI sólo nos espiará cuando estemos en suelo de Estados Unidos de América) ya descubrimos que el GCHQ británico colabora con su contrapartida del otro lado del charco y ahora se suma a la fiesta el BND alemán, quien cada mes cumple con su “cuota” de información facilitada a la Agencia de Seguridad Nacional. 

El descubrimiento de la colaboración con la NSA de la agencia de inteligencia alemana BND (Bundes Nachrichten Dienst, Agencia Federal de Información) está suponiendo un auténtico dolor de cabeza para la canciller alemana Angela Merkel además de una forma muy severa ya que es un departamento que depende directamente de ella. Citando información confidencial, la publicación alemana Die Zeit informó de que más de 220 millones de unidades de metadatos son obtenidos a diario por el BND, siendo remitidos más de 1.300 millones de estos metadatos mensualmente a la NSA. 

Dichos datos incluyen información “en crudo” sobre llamadas telefónicas, envíos de mensajes de texto con detalles sobre los contactos de los usuarios y los horarios de actividad. En su gran mayoría se trata de comunicaciones efectuadas en emplazamientos donde actualmente se están desarrollando diversos conflictos. 

Desde el BND no han efectuado ninguna declaración pero fuentes cercanas a la inteligencia alemana han informado de que la pasada semana ya dieron por finalizados los trabajos de vigilancia al servicio de la NSA. Merkel, por su parte, ha defendido la colaboración de Alemania con la NSA para combatir el terrorismo.

Tomado de: TheInquirer

jueves, 14 de mayo de 2015

VENOM, un fallo de seguridad más peligroso que Heartbleed que compromete millones de servidores

Cada vez es más habitual utilizar servidores alquilados para realizar ciertas tareas, por ejemplo, almacenamiento de datos en la nube o computación. Esto se debe al bajo precio que supone alquilar un servidor en un centro de datos respecto a lo que costaría alquilarlo y mantenerlo personalmente, sin embargo un aspecto que no debemos olvidar es la seguridad de la información que procesamos ya que al igual que podemos acceder al servidor de forma remota otros usuarios no autorizados también podrán.

Heartbleed ha sido una de las peores vulnerabilidades a las que se han visto expuestos la mayor parte de los servidores de Internet. Esta fallo de seguridad en el módulo OpenSSL permitía recuperar información de la memoria del servidor de forma remota, incluso sin tener permiso de acceso al mismo.

Millones de servidores de todo el mundo se han visto expuestos a esta vulnerabilidad hace ya varios meses, sin embargo, hace algunas horas ha aparecido en la red un nuevo fallo de seguridad que probablemente suponga un peligro aún mayor para los servidores de todo el mundo: VENOM.

¿Qué es y cómo funciona VENOM?

VENOM es un acrónimo de Virtual Environment Neglected Operations Manipulation. Este fallo de seguridad lleva presente en los servidores más de 11 años y permite a un usuario que lo explote correctamente salir de los límites de una máquina virtual (en un centro de servidores, por ejemplo) y llegar a ejecutar código en la máquina real, acceder a otras máquinas virtuales del mismo servidor e incluso acceder a otras zonas de la red de datos.

A continuación dejamos un gráfico donde se explica cómo funciona la vulnerabilidad y un ejemplo de lo que podría pasar si se explotase en una red de servidores de una gran empresa.

Cargando...
Vulnerabilidad VENOM. Imagen tomada de: Redes Zone

El responsable directo de este fallo de seguridad es el controlador de “floppy” o “disquetes” que permite utilizar estos obsoletos dispositivos de almacenamiento en las máquinas virtuales. Una vez más, un software obsoleto que no debería estar presente en los servidores actuales ha sido el responsable de comprometer la seguridad de más del 95% de los servidores de todo el mundo.

¿Cómo protegerse de VENOM?

Los principales sistemas operativos que se han visto afectados por este fallo de seguridad son:
  • RHEL (Red Hat Enterprise Linux) 5.x/6.x/7.x
  • CentOS Linux 5.x/6.x/7.x
  • OpenStack 4 y 5 para RHEL 6
  • OpenStack 5 y 6 para RHEL 7
  • Red Hat Enterprise Virtualization 3
  • Debian y distribuciones basadas en ella.
  • SUSE Linux Enterprise Server 5, 6, 7, 10, 11, 12 (con sus respectivos Service Pack)
  • Ubuntu 12.04, 14.04, 14.10 y 15.04

Para solucionar este fallo de seguridad simplemente debemos instalar los parches de seguridad más recientes de nuestro sistema operativo tecleando el correspondiente comando (por ejemplo “sudo apt-get clean && sudo apt-get update && sudo apt-get upgrade” en el caso de Debian y Ubuntu) y actualizar si usamos VirtualBox a la última versión disponible (4.3). Cabe destacar que no es necesario reiniciar el servidor para solucionar este fallo de seguridad aunque sí habrá que reiniciar las máquinas virtuales en uso.

Este fallo de seguridad ha recibido el nombre de CVE-2015-3456. La vulnerabilidad sólo afecta a las máquinas virtuales creadas con QEMU, XEN, KVM y Citrix. Ni la virtualización de Microsoft Hyper-V ni la de VMWare ni BOCHS se han visto afectadas por VENOM.

Tomado de: RedesZone

miércoles, 13 de mayo de 2015

Quien mucho abarca poco aprieta: ¿Por qué la biometría no es el futuro?

Cargando...
Imagen: Biometría vía Shutterstock © Fotomay y fotografía de Tony Larks © ThreatMetrix. Imagen tomada de: DiarioTI

Recientemente, un evangelista jefe de PayPal dio una entrevista bastante controvertida con el Wall Street Journal. En la entrevista, parecía sugerir una alternativa radical a los sistemas de autenticación basados ​​en contraseñas: biometría generada por dispositivos ingeridos o incrustados debajo de la piel del usuario. En primer lugar, es cierto que las contraseñas no deben ser utilizadas por cualquier proveedor en línea que se tome en serio la seguridad. Y siempre es interesante escuchar nuevos enfoques sobre el tema de la autenticación de usuarios.

Sin embargo, las organizaciones necesitan una respuesta, aquí y ahora, al creciente problema del fraude en línea. La respuesta debe ser rápida, asequible, carente de fricción y precisa. Y bajo esos criterios, la biometría simplemente no está a la altura.

Entonces ¿por qué la tecnología biométrica no es la respuesta?

El problema con la biometría

En el papel, la perspectiva de la biometría, concebida como chips inalámbricos embebidos transmitiendo lecturas de electrocardiogramas, o cápsulas ingeribles capaces de detectar los niveles de glucosa, suena como una idea decente. Después de todo, las lecturas que transmiten deben ser únicas para esa persona – superando los problemas de falsos positivos y falsos negativos. LeBlanc incluso sugirió que las baterías para tales sistemas podrían ser alimentadas por el ácido estomacal. Por fin, un sistema no susceptible de hacking, basado en “identificación natural del cuerpo humano” que permitiría a los usuarios “asumir el control de su propia seguridad”. ¿Verdad?

Bueno, en realidad no.

El principal problema que muchas personas tienen con la biometría es que se basan en algo que debería quedar fuera del alcance de los hackers; es decir, ser imposible de simular o crackear. Pero ¿qué ocurre si los ciberdelincuentes encuentran la forma de hacerlo? – y es innegable que estamos frente a un grupo que hasta ahora ha probado su ingenio. Usted puede ser capaz de restablecer la contraseña con bastante facilidad después de un ataque de phishing, pero ¿qué pasa con su ritmo cardíaco? ¿O sus niveles de glucosa?

El siguiente obstáculo importante son los propios usuarios. La seguridad frente a la usabilidad constituye un equilibrio difícil, incluso en la mejor de las situaciones. ¿Cuánto más difícil va a ser para vender este tipo de sistemas de autenticación invasivos si el usuario básicamente está satisfecho con el nivel de seguridad que le proporciona un escáner de huellas digitales corriente o un sistema de código de acceso telefónico único?

Por qué gana el contexto

No estoy descartando el trabajo de PayPal, u otros, destinado a mejorar la verificación basada en contraseña. Pero demasiados interrogantes sobre la biometría persisten – incluso en los sistemas que están más cerca de la realidad que los escenarios hipotéticos esbozados por LeBlanc. Si su negocio está en el comercio electrónico, las redes sociales, banca, seguros u otro sector – en realidad necesita de autenticación de dos factores rápida, fiable y libre de fricciones.

La clave para las organizaciones de cara al futuro es encontrar sistemas que puedan trabajar en segundo plano, completamente invisibles para el usuario, comprobando cosas como la identidad del dispositivo, malware, y el uso de términos de referencia u otros métodos de ofuscación preferidos por los ciberdelincuentes. Estos sistemas deben tener la capacidad de hacer comprobaciones contrastando una serie de atributos únicos asociados con los hábitos de cada usuario individual, como por ejemplo lugares típicos, ID de usuario, direcciones de correo electrónico, números de teléfono, información de envío, etc, marcando transacciones sospechosas, incluso si la persona está utilizando credenciales válidas (pero robadas).

La biometría futurista siempre atrae los titulares. Pero el dinero inteligente ya está siendo gastado en la autenticación basada en el contexto, para reducir el fraude y mantener a los clientes contentos.

Por Tony Larks, Director, Communications, EMEA, ThreatMetrix

Tomado de: Diario TI

'Datos personales de 3.000 millones de personas, en riesgo': experto

Cargando...
Protección de datos. Imagen tomada de: Vanguardia.com

“Más de 3.000 millones de personas en el mundo no tienen certeza sobre la protección de la información que comparten en internet, donde reina la incertidumbre sobre el respeto de los derechos de las personas sobre sus datos personales (fotos, videos, texto, entre otros tipos de contenidos). La realidad del siglo XXI demanda cambios sustanciales para proteger los derechos de las personas”, recalca el investigador colombiano Nelson Remolina Angarita en su tesis doctoral.

Remolina es el primer colombiano ganador del premio de la Agencia Española de Protección de Datos. En la actualidad, cursa un doctorado en Ciencias Jurídicas en la Universidad Javeriana. Se llevó el galardón gracias a su tesis doctoral, centrada en el análisis jurídico de la recolección internacional de datos.

En concreto, Remolina analizó qué leyes existen en el mundo para proteger a los usuarios en caso de que se haga un uso indebido de la información que sobre ellos circula en internet. Con base en los resultados, estableció propuestas centradas en fomentar la educación de los usuarios digitales con respecto al tratamiento apropiado de sus datos personales.

“Vivimos en un nuevo mundo. Hasta hace pocos años, veníamos hablando de un mundo físico delimitado geográficamente. Ahora nos enfrentamos a un mundo virtual, sin fronteras y unido gracias a la tecnología. Frente a esa realidad, las respuestas jurídicas fallan”, asegura.

En entrevista con Tecnósfera, el investigador advirtió los retos que ha supuesto la expansión de internet para los cuerpos legislativos de las naciones: “Internet avanza rápidamente. El derecho y las autoridades nacionales de protección de datos personales afrontar el desafío de actuar a la misma velocidad de dicho fenómeno. No debemos rendirnos frente a las estrategias de los cibercriminales y su sigiloso caminar”, enfatiza.

Nelson Remolina Angarita es de Malaga, Santander. Es fundador y director del Observatorio Ciro Angarita Barón sobre la Protección de Datos Personales en Colombia, así como del Grupo de Estudios en Internet, Comercio Electrónico, Telecomunicaciones e Informática de la Universidad de los Andes.

¿Qué panorama arroja su investigación con respecto a la protección de datos personales?

3.000 millones de personas se encuentran en situación de riesgo con respecto a sus datos personales. El 77 por ciento de la población vive en países sin normas orientadas a la protección de datos. En Latinoamérica, el 50 por ciento de los Estados cuenta con regulación en ese sentido. Carecen de marco jurídico países como Brasil, Ecuador, Venezuela, Panamá, Honduras y Cuba.

Donde hay mejor regulación es en países asiáticos y africanos. No existe una norma general en gigantes como China e India, aunque sí cuenta con reglas sectoriales. Eso significa que protegen ciertos tipos de datos, como los referentes a comportamiento de pago y censos de población.

¿Cómo está Colombia en términos de protección de datos?

En Colombia contamos con varias normas. La más importante es la 1581 de 2012, reglamentada por el decreto 1377 de 2013. Contamos con leyes para proteger los datos.

Sin embargo, si un criminal hace uso indebido de la información personal de un usuario fuera del país, las autoridades colombianas ya no pueden hacer nada o muy poco.

Colombia forma parte de ese 40 por ciento de países con normas generales de protección de datos. No obstante, si el delito ocurre en el 60 por ciento de los Estados sin marco jurídico, nos quedamos sin armas. Esos países se llaman paraísos informáticos, así como hay paraísos fiscales.

Cabe destacar que Colombia es el único país del mundo que tiene explícitamente previsto el fenómeno de la recolección internacional de datos personales. En eso es pionero. Ello significa que somos conscientes de que este problema no solo atañe a un país concreto, su alcance es global.

Si a un usuario le roban sus datos en nuestro país, ¿qué contemplan, con exactitud, las leyes?

Tiene previsto que, quien recolecta datos, debe pedir autorización del usuario dueño de los mismos. Debe respetar los derechos del ciudadano a conocer, actualizar, rectificar y suprimir la información de la cual se hace uso.

Si el recolector no efectúa un tratamiento adecuado de los datos, el ciudadano puede presentar una queja o reclamo frente a quien los manejó. Todo eso en Colombia. Pero hoy, buena parte de lo que ocurre, acontece fuera de nuestro territorio.
Si la respuesta a la queja o reclamo no es satisfactoria, el afectado puede acudir ante la Superintendencia de Industria y Comercio para que investigue y potencialmente, si corrobora una irregularidad, establezca una sanción.

La sanción puede dar lugar a multas de 2.000 salarios mínimos legales mensuales.

¿Qué medidas se pueden tomar para reducir el impacto del uso indebido de datos?

Existe la necesidad urgente de educar desde los primeros años a los niños, las niñas y los adolescentes (nativos digitales) para que conozcan sus derechos, sepan los riesgos del ciberespacio e interactúen de manera segura exigiendo el respeto de sus derechos y respetando los derecho de los demás.

Estas redes por sí solas no son el problema pero, infortunadamente, algunas personas han encontrado en las mismas un escenario perfecto para realizar conductas indebidas. El acoso sexual (grooming), el acoso online (ciberbullying), los chantajes, la pornografía, las amenazas e invasiones de su privacidad están al orden del día.

Si queremos hacer algo por nuestros hijos y las futuras generaciones es crucial empezar a educarlos para que aprendan a vivir en una sociedad llena de tecnologías y con apetito por los datos personales. Es necesario incluir éste y otros temas en los programas académicos de los colegios y las escuelas del país para que nuestros niños tomen decisiones informadas respecto del uso de las tecnologías, de su información y la de los demás.

ÉDGAR MEDINA
Redacción Tecnósfera
@EdgarMed en Twitter

Tomado de: ElTiempo

China estaría desarrollando herramientas de ataque cibernético que desarticulan redes

Cargando...
China. Ilustración: Alexander Mak © Shutterstock.com. Imagen tomada de: Diario TI.

Según informe elaborado por el Departamento de Defensa de Estados Unidos (DoD), China estaría desarrollando peligrosas herramientas de ataque cibernético, que podrían desbaratar la infraestructura de redes de un país, a partir de datos extraídos mediante hacking de alto nivel.

La información ha sido publicada por el DoD en un informe titulado Panorama de seguridad relacionada con la República Popular China 2015 (documento PDF de 98 páginas, en inglés).

En el documento se indica: “China está utilizando sus capacidades de espionaje cibernético para recabar información de inteligencia sobre sectores diplomáticos, económicos, defensa e industriales, vinculados a los programas de seguridad nacional del país”, agregándose que “las operaciones ofensivas de China en el espacio cibernético podrían ser utilizadas posteriormente como parte de campañas de negación de acceso o negación de área, que tendrían por objetivo nodos críticos, con el fin de interrumpir el funcionamiento de las redes en regiones completas.

En el documento se indica que el Ejército Popular de Liberación y sus científicos postulan que la clave para alcanzar lo que denominan “superioridad en el ciberespacio”, radica en disuadir o detener a un adversario mediante el desarrollo y el empleo de capacidades ofensivas.

A juicio del Departamento de Defensa, las operaciones implementadas para alcanzar tal objetivo forman parte de una estrategia que consiste de tres elementos principales: “en primer lugar, permite la recolección de datos para operaciones de inteligencia, u operaciones potencialmente ofensivas. En segundo lugar, se pueden emplear para limitar la capacidad de respuesta de un adversario, o el tiempo de respuesta, al desbaratar logística, comunicaciones y actividades comerciales basadas en la red. En tercer lugar, pueden servir como un elemento multiplicador de fuerzas, al ser combinado con ataques cinéticos en tiempos de crisis o conflicto”.

Para sustentar la información, el informe pone de relieve una ola de ataques cibernéticos realizados en 2014 contra sistemas estadounidenses. “En un solo año, agentes vinculados al gobierno chino incursionaron exitosamente, alrededor de 20 veces, los sistemas de contratistas del sistema estadounidense de transportes”, se indica en el documento. Éstas inclusiones se habrían concentrado en el acceso a las redes, y a la extracción de información.


Tomado de: DiarioTI

martes, 12 de mayo de 2015

Cámara del ordenador: ¿por qué aconsejan taparla si no se usa?

Cargando
Espionaje de información. Imagen tomada de: Diario TI

Los métodos de espionaje que han salido a la luz desde el 'caso Snowden' ha dejado de manifiesto que cualquier medida contra estos es poca para preservar la intimidad. 

La cámara de vídeo del ordenador siempre es mejor tenerla tapada. Fiarse de que su LED no esté encendido es una mala idea, ya que la mayoría de las aplicaciones espías desactivan este indicador. La manera más sencilla de remediar parte del problema es cubrirla con una pegatina o un trozo de cinta adhesiva. Esta solución basada en "baja tecnología" es una de las más eficientes para bloquear de forma física la cámara de un dispositivo. Cualquier recurso basado en software no funcionaría. Desde Eroski Consumer repasan por qué es necesario tapar la cámara del equipo informático y tomar medidas también con su micrófono.

Los expertos que acuden a los congresos de seguridad informática saben de la facilidad con que ordenadores, tabletas y teléfonos móviles pueden ser vulnerados mediante todo tipo de técnicas. Una de las opciones al introducir software malicioso en un dispositivo electrónico es la de secuestrar el micrófono y la cámara del usuario para tomar fotografías y vídeos y escuchar conversaciones. Esto es algo que afecta a cualquier ordenador con independencia de su sistema operativo. También en Mac puede suceder. 

Además, son actividades mucho más comunes de lo que creemos. Y son llevadas a cabo tanto por parte de gobiernos "no necesariamente dictatoriales" como por delincuentes. No es ciencia ficción. En la actualidad, a los servicios de inteligencia les resulta más sencillo vulnerar el ordenador de un objetivo que entrar en un lugar e instalar micrófonos. 

Según los documentos filtrados por el exempleado de la NSA Edward Snowden, la agencia de seguridad norteamericana posee herramientas especializadas en capturar las cámaras web de los equipos informáticos. Para ello, dispone de una aplicación denominada GUMFISH que permite tomar el control de la cámara de cualquier usuario que ha sido infectado con un software malicioso. La NSA también cuenta con otra denominada CAPTIVATEDAUDIENCE para controlar el micrófono de cualquier equipo y grabar conversaciones. 

Muchas de las imágenes capturadas por estos programas muestran a sus usuarios desnudos. Por este motivo, la mayoría de los analistas se preguntan si gobiernos como el de Estados Unidos tienen fotos de las zonas íntimas de sus ciudadanos. 

Este tipo de tecnología se utiliza desde hace cerca de una década. En 2012, la empresa de seguridad Kaspersky ya localizó un virus capaz de poder espiar a los usuarios mediante la captura de vídeo y el micrófono del ordenador. 

En muchas ocasiones, este tipo de delincuentes extorsionan a sus víctimas para que les transfieran dinero de forma periódica como condición para no mostrar el material capturado a sus familiares y amigos cercanos. Cuando la víctima no paga, crean una cuenta en redes sociales similar a la del usuario e invitan a sus amigos y familiares. Después, liberan en ella el material sensible de la persona para desprestigiarla delante de sus círculos. En el caso de menores, la situación es aún más grave. 

La EFF, fundación norteamericana por la defensa de los derechos civiles en el entorno digital, comercializa unas pegatinas de poner y quitar para las cámaras de los ordenadores. El precio es de cinco dólares y parte del coste va destinado a financiar las actividades de la fundación. También es posible adquirir pegatinas similares en tiendas como Amazon o mercadillos virtuales. 

En realidad, tapar la cámara solo es una solución que impide la grabación de la cámara mientras la pegatina esté puesta. Sin embargo, en el momento en que el usuario emplee alguna aplicación de videoconferencia, sus conversaciones pueden ser escuchadas a distancia si antes ha sido infectado con algún tipo de malware. 

El micrófono, también 

No solo la cámara de vídeo de los dispositivos electrónicos es blanco de los ataques de delincuentes y gobiernos. El micrófono integrado en estos dispositivos, tanto en ordenadores como en teléfonos móviles, puede ser utilizado para grabar a distancia una conversación. 

Una de las soluciones es poner en silencio el volumen del micrófono. Sin embargo, esto no siempre funciona, aunque la propia NSA lo recomienda a sus agentes, dentro de algunos documentos de privacidad y seguridad desclasificados, para evitar ser ellos mismos espiados. 

Una opción más segura, como recomiendan en Wired, es insertar una clavija de un cable viejo o roto de un micrófono en la ranura de audio para bloquear su uso.

Tomado de: 20minutos

jueves, 7 de mayo de 2015

Nuevo método de seguridad en Internet más capaz de distinguir hombres y máquinas

Cargando...
Nirwan Ansari. Fuente: NJIT. Imagen tomada de: Tendencias 21.

Los bots o robots de Internet campan a sus anchas por la red, y no siempre con fines positivos. Sin embargo, los diseñadores de seguridad web siguen teniendo una ventaja sobre aquellos programas automatizados que se hacen pasar por personas. De momento, existen habilidades humanas demasiado complejas para que un robot las imite. 

Explorar esas debilidades es el eje principal de un equipo de investigadores del New Jersey Institute of Technology (NJIT), en Estados Unidos, para lo que ha desarrollado un nuevo método de seguridad en Internet capaz de distinguir al hombre de la máquina. 

El profesor de Ingeniería Eléctrica e Informática Nirwan Ansari y dos de sus antiguos alumnos, Amey Shevtekar y Christopher Neylan, han diseñado la que podría considerarse como la próxima generación de CAPTCHAs. Se denomina así por las siglas en inglés de Prueba de Turing pública y automática para diferenciar máquinas y humanos (Completely Automated Turing Test to tell Computers and Humans Apart), al sistema presente en infinidad de webs que somete al usuario de forma automática a una prueba que, por sus características, sólo puede ser superada con éxito por un humano. 

Normalmente se trata de sencillas combinaciones de números y letras distorsionadas, pero el equipo del NJIT plantea reemplazarlas por animaciones de vídeo. Según explica en un comunicado, el nuevo método, patentado recientemente, se basa en la capacidad humana para procesar imágenes que aparecen rápidamente en una animación. De hecho, el estándar en cine establece que un espectador es capaz de percibir 24 fotogramas por segundo, ya que el cerebro retiene durante aproximadamente cuatro centésimas de segundo cada imagen. 

A ello se suma la tendencia humana a interpretar los colores de forma diferente, como pasó recientemente con la imagen viral de The dress y el debate sobre si era blanco a azul. Esto se debe a que el cerebro interpreta el color en función de su contexto, como por ejemplo los colores cercanos, la luz o las sombras. En definitiva, otro obstáculo adicional para los ordenadores.

Inteligencia visual y contraste 

“Los CAPTCHAs estáticos actuales pueden ser fácilmente vulnerados, por lo que pretendíamos conseguir una prueba más sólida explotando nuestra compleja inteligencia visual”, explica Ansari. De esta forma, el nuevo método no funciona capturando un fotograma o combinándolos todos, sino que necesita de la capacidad humana única para conectar las imágenes. 

A ello se le suma un color de contraste para que sea aún más difícil de interpretar para los robots. El resultado es una prueba fácil de superar para una persona, que simplemente debe identificar el texto que aparece en el pequeño vídeo, pero complicada para una máquina que tiene que extraer el significado. 

Los investigadores mantienen además que la nueva prueba fue diseñada para simplificar el acceso a sitios web, así como otros puntos de acceso y transacciones vulnerables, y salvaguardarlos frente a ataques e intrusiones. "Con el fin de hacer frente a los atacantes más sofisticados, los CAPTCHAs son cada vez más difíciles de resolver para los humanos”, admite Ansari, de ahí que propongan un sistema “de texto simple y, por lo tanto, fácil de reconocer".

Desafío 

Esta nueva tecnología CAPTCHA le ha valido a Ansari para conseguir su vigesimoquinta patente desde el año 2000, cuando recibió la primera por un algoritmo para controlar la congestión en interruptores ATM (interruptores a modo de transferencia asíncrona), con los que dar soporte a velocidades moderadas, por ejemplo de ADSL. 

En los últimos años, el profesor se ha convertido en un destacado experto en “comunicaciones verdes", cuyo objetivo es transformar la infraestructura de comunicaciones de EEUU en otra más fiable y eficiente energéticamente. 

"Irónicamente, los avances en la creación de redes tecnologías aumenta la rápida propagación de gusanos y bots, lo que agrava las amenazas a la integridad de la Internet", señala. 

Mientras tanto, los mismos robots se vuelven cada vez más sofisticados, impulsados por profesionales motivados por incentivos financieros y el ciberterrorismo. “Nunca habrá un sistema perfecto, por lo que tendremos que continuar estando al día para jugar a policías y ladrones", añade Ansari.

Tomado de: Tendencias21

miércoles, 6 de mayo de 2015

Detectan vínculo entre el desempeño financiero y la capacidad para hacer frente a las ciberamenazas

Cargando...
Fotografía de Ignacio Conti © Blue Coat Systems Tomado de: DiarioTI

Blue Coat Systems reveló hoy los resultados de un estudio global de investigación independiente realizado por Vanson Bourne que muestra un fuerte vínculo entre el desempeño financiero y la capacidad para hacer frente a crecientes amenazas cibernéticas.

La investigación de Blue Coat, tomo una muestra de 1.580 encuestados de 11 diferentes países, y encontró que las organizaciones que hacen de la seguridad cibernética una prioridad están mejor preparadas para hacer importantes decisiones empresariales que conllevan riesgos. Si bien la mayoría de los encuestados creían que sus organizaciones alentaban a la toma de riesgos y nuevas ideas, el acercamiento a la seguridad de TI varía según el país [Tabla1].

- La toma de riesgos fue aceptada por tener un impacto positivo en el rendimiento del negocio en un 66 por ciento de los encuestados a nivel mundial. En América Latina, hubo un fuerte sentimiento de que la toma de riesgos tiene una influencia positiva en los negocios, con un 79 por ciento de encuestados en México y 77 por ciento de encuestados en Brasil.

- Las preocupaciones acerca de la seguridad de TI y el riesgo están frenando el potencial de muchas organizaciones, de acuerdo con el 58 por ciento de los encuestados en Brasil, y el 54 por ciento en México.

- La encuesta encontró que las personas que tienen estas preocupaciones están en mejor posición para obtener beneficios claros del negocio. Entre las empresas de alto crecimiento de ingresos superior al 20 por ciento, 93 por ciento de los encuestados citaron la seguridad informática como una clave para el logro de sus objetivos de negocio.

TABLA 1: Beneficios de fomentar el Riesgo y los efectos de la falta de seguridad de TI
2015 Crecimiento  del Producto Interno Bruto (PIB)Tomar  Riesgos tiene una influencia positiva en el  rendimiento del negocioMi empresa  alienta la experimentación y el ensayo de nuevas ideasRiesgos de  seguridad de TI impiden probar nuevas ideas
Brasil1.4%*77%76%58%
México3.5%*79%81%54%
EE.UU3.1%*75%83%60%
Reino Unido2.7%*44%50%62%
Alemania1.2%*54%55%52%
Francia0.9%*54%61%36%
[Fuente: The Economist 01 2015 * y encuesta Vanson Bourne para Blue Coat]

Ignacio Conti, Regional Manager SoLA de Blue Coat Systems, comentó: “Las empresas saben instintivamente que el éxito viene de la toma de riesgos, pero hoy en día la seguridad de TI es el freno de muchas organizaciones. Esta investigación muestra las empresas que hacen inversión en seguridad de TI prosperan, mientras que las que no lo hacen, se quedan atrás. El objetivo de Blue Coat es ayudar a las empresas a analizar los riesgos y tomar decisiones que les ayuden a crecer”.

Que los equipos de TI se perciban como un riesgo adverso puede ser el resultado de que los profesionales de TI entiendan los riesgos mejor que su línea de colegas de negocios. Esto puede ser un problema que afecta al crecimiento de un negocio. De hecho, el 60 por ciento de los encuestados creen que sus equipos de TI tienen menos probabilidades de permitir la toma de riesgos que sus colegas de negocios.

Los países de América Latina fueron bastante promedio en este sentido, con el 49 por ciento de México y el 63 por ciento de los encuestados de Brasil creen que sus políticas de TI frenan la toma de riesgos. [TABLA 2]

A pesar de la clara correlación entre las empresas que invirtieron fuertemente en TI y el crecimiento de sus ingresos, hay una amplia gama de respuestas cuando se trata de medidas prácticas que ayuden a mitigar los riesgos que conlleva la nueva tecnología. Sólo el 52 por ciento de todas las organizaciones entrevistadas siempre realiza un análisis de riesgos antes de la adopción de nuevas aplicaciones. Brasil y México llevan a cabo análisis de riesgo solamente la mitad del tiempo, 61 y 47 por ciento de las veces, respectivamente. [TABLA2]

TABLA 2: el personal de TI y análisis de riesgo frenan la toma de riesgos
Crecimiento del  Producto Interno Bruto (PIB)TI retiene la  evaluación de riesgosRealizan  análisis de riesgos
Brasil1.4%63%61%
México3.5%49%47%
EE.UU3.1%58%55%
Reino Unido2.7%66%59%
Alemania1.2%67%37%
Francia0.9%66%41%
[Fuente: The Economist enero 2015 y Vanson Bourne encuesta de Blue Coat]

Continuó, “La gestión del equilibrio entre el riesgo y el rendimiento financiero es clave para el éxito del negocio. Las soluciones de Blue Coat ayudan a las empresas a desarrollar análisis de riesgos precisos para que puedan tomar las decisiones correctas, sopesar sus riesgos con precisión para ser mucho más exitosos”.

Tomado de: DiarioTI