AÑO 7 - Nº 04 - ABR 11





Entrevista

¿Cuál es el costo total de protección?

Por Juan Ospina

NOLA Country Manager

Kaspersky Lab - Colombia
 


Extracto Conferencia en Medellín - Colombia 6 de abril de 2011

 

Envíanos tu comentario: contactos@infosecurityvip.com

 

 

EDICIONES ANTERIORES

MARZO 2011

“Un niño que aprende a usar internet es más consciente de sus riesgos”
Por María José Cantarino

Jefa de Responsabilidad Corporativa de Telefónica

España

Madre y experta en nuevas tecnologías, María José Cantarino, jefa de Responsabilidad Corporativa de Telefónica y directora de Proyectos Especiales del Foro Generaciones Interactivas, estuvo en la Fundación María José Jove para hablar a los de los riegos y ventajas de internet para los menores. Son más los beneficios, pero cree que es importante educar a los niños y hablar con ellos para que no se vean envueltos en situaciones de acoso. Aprender a usar la red, dice, les ayuda a conocer sus riesgos.

Su ponencia trata, entre otros aspectos, sobre las ventajas y los inconvenientes de las redes sociales para los menores, ¿qué pesan más las cuestiones negativas o las positivas?

Pesan más las ventajas. Los riegos en estos casos se producen por una mala actitud o comportamiento. Algo tan sencillo y que siempre hemos oído a nuestros padres como “no hables con extraños”, se aplica en las redes sociales y en internet. Entre los jóvenes, no se puede hablar de vida real y virtual porque la red ya es parte de su vida. Y de la nuestra: a mi me quitas el móvil y el acceso a internet y ya no puedo trabajar. Estas herramientas son excelentes y nos mejoran mucho la vida. A los niños hay que educarlos para que no sea víctimas de otros adultos o menores que puedan acosarlos y para que tampoco sean ellos los que se conviertan en protagonistas negativos.

Muchos padres tienen miedo de lo que hacen sus hijos en la red, ¿Cree que se debe a su propio desconocimiento de ese medio o su lenguaje?

Sí, la brecha digital es también generacional. El otro día me comentaba un señor: “Yo uso el móvil exclusivamente para llamar y mis hijas hacen miles de cosas que no entiendo”. Mi consejo fue: “Pídeles que te enseñen”. No podemos ser padres tan orgullosos como para no querer preguntar. En este campo tenemos que ser realistas y pensar: “Mis hijos saben más que yo, tengo que aprender y saber que están haciendo para poder ayudarles”. También debe haber confianza para que nos cuenten quiénes son los amigos que tienen en las redes sociales, si son los de siempre o desconocidos que les han pedido que los agreguen. Y tiene que haber mucho diálogo para que internet o el móvil no se conviertan en objeto de presión. No pueden decirles: “Cómo me entere de que haces algo con internet, te lo quito”, porque ellos pensarán: “Si me quitan internet me muero” y se esconderán tras un caparazón sin hablar con nadie cuando sufran una situación, por ejemplo, de acoso.

¿Qué opina de estos programas para controlar lo que hacen?

Se deben aplicar en situaciones extremas, cuando realmente hay una sospecha de que el niño puede sufrir acoso o problemas en internet. Todos los medios que usemos los padres para proteger a los hijos están bien, otra cosa es si lo hacemos para controlarlos, sería como perseguirlos por la calle. Hay que darles un margen de confianza. Pero veo bien que se filtren los contenidos de un menor que empieza a navegar.

¿Está generando la tecnología nuevos tipos de adicción?

Yo, cuando era pequeña, jugaba en la calle, pero a mi hija de diez años ni siquiera le dejo ir sola a casa de mi madre. Las cosas han cambiado mucho. Los padres tienen que ser conscientes de que internet está aquí para quedarse e igual que limitan la televisión o el acceso al teléfono móvil tienen que controlar el uso de internet. Poner pautas y límites: una hora, media hora, los fines de semana... Yo el año pasado tuve una au-pair de 20 años que estaba continuamente con la computadora abierta, usando Facebook, y ese es el extremo me parece realmente obsesivo. Estaba llegando al extremo de desocializar.

Internet también ha cambiado las formas de socialización. ¿No son las redes otro espacio para ello precisamente?

Bajo mi punto de vista las redes sociales de permiten hacer cosas que no harías cara a cara: tienes menos pudor, aireas tus estados de ánimo constantemente..., eso que fuera solo se lo dirías a tu amigo más íntimo, en internet se lo cuentas a 200 personas. Actúa de altavoz. Pero, por otro lado, estoy de acuerdo en que es un elemento de socialización que permite recuperar el contacto con amigos del colegio o familiares que están lejos.

¿Están desprotegidos los menores?

No diría desprotegidos. Tuenti ha puesto el límite legal para usar la red en catorce años y verifica sus perfiles con el DNI. Pero un niño de menos de catorce años también es responsabilidad de sus padres. Tienen que estar vigilando que hace, igual que, como cuando yo era pequeña, te decían que no podías ir a la discoteca hasta que tuvieras la edad. Es el mensaje que hay que dar. Luego, los hijos obedecen hasta donde quieren.

Con la Escuela 2.0 las computadoras han llegado al aula, ¿no tienen también los colegios un papel en este ámbito?

Sí. El Foro Generaciones Interactivas, en un estudio que llevó a cabo en América Latina, descubrió que los niños que aprenden a usar la computadora son más creativos y conscientes de sus riegos los autodidactas. Creo que es muy importante que, igual que se les enseña educación cívica o seguridad vial, vean qué es internet, cómo funciona y cuáles son sus problemas. Además, estoy las clases serían más amenas. Y puede que sea parte del fracaso escolar que está habiendo porque los niños están en un mundo digital, pero aprenden en papel.

Fuente: Xornal.com


FEBRERO 2011

Jornada de Seguridad Informática en la Patagonia Argentina

Se realizó en diciembre en la ciudad de Neuquén, fue dirigida al público en general y se denominó "Hacking day".

Se realizó en Diciembre en el salón auditorio de Cordineu la Jornada de Seguridad Informática denominada “Hacking day”, en la que se analizó el panorama actual sobre los riesgos que puede generar la utilización de las nuevas tecnologías.

La disertación estuvo a cargo de Christian Vila, experto en Seguridad Informática y responsable técnico de I-Sec Information Security, que tiene base en Buenos Aires pero trabaja en todo Latinoamérica.

La actividad fue organizada por la Secretaría de Estado de la Gestión Pública y Contrataciones, juntamente con la Oficina Provincial de Tecnologías de la Información y la Comunicación (Optic) y la Coordinación de Emergencias de Redes Teleinformáticas.

Y se organizó en conmemoración del Día Internacional de la Seguridad Informática, que se celebró el pasado 30 de noviembre. La charla fue dirigida a todo el público, en especial a aquellos que utilizan las tecnologías de Internet cotidianamente.

Desde la década del ’80 que existen estos ataques. Lo único que cambio es el medio. Antes no se usaban las computadoras pero el delito es el mismo”, dijo Vila, quien agregó: “Antes ser hacker era ser una especie de científico. Hoy todo eso sigue siendo, pero está más relacionado directamente al delito”.

Los datos suenan contundentes sobre el panorama actual de riesgo que trae aparejado el uso de Internet. El año pasado, por ejemplo, se produjeron 327.598.028 intentos de infección de computadoras en todo el mundo. Y este año creció la vulnerabilidad un 6,9 por ciento con respecto a 2009.

El principal problema de la vulnerabilidad de los sistemas somos nosotros, los seres humanos. Somos descuidados e ingenuos. Hoy tenemos comunicaciones por todos lados. Está todo comunicado”, expresó Vila.

Durante la exposición, no sólo se analizó la situación sino que se ejemplificaron distintos casos de ataques por Internet. El especialista aseguró que inclusive en Neuquén son “más comunes” de lo que se cree.

El evento contó además con la participación de ponencias de alumnos de la "Diplomatura Anual de Seguridad de la Información" dictada en Patagonia, los alumnos ejemplificaron "en vivo" ataques dentro de la red interna de las compañías en la charla de "Ataques de Hombre en el Medio", dictada por Cristian Leyes y Rafael Di Serio.

Otra charla realizó un "full analisys" del primer virus creado para lo que se viene en ataques informáticos las ciberguerras entre países: "stuxnet", dictado por Lucas Gonzales.

 

Fuente: Diario La Mañana del Neuquén.


ENERO 2011

Entrevistas a Disertantes de los distintos eventos Infosecurity en Latinoamérica durante el 2010

En Infosecurity participaron los fabricantes de soluciones de seguridad y redes como lronport, Zyxel, Sophos,Sonic Wall, Panda, Kaspersky, Watch Guard, Kinamik, Tipping Point, . El común denominador fue la oferta de equipos y mecanismos de protección que siguen una nueva tendencia: sumar funciones como antispam, antivirus, IDS Y firewall en un único dispositivo.

 

Entrevista a Eugene Kaspersky para medios de prensa en su visita a Buenos Aires - Argentina

Eugene Kaspersky, Ceo y Fundador de una de las firmas de seguridad informática privada más grande del mundo, explicó en una visita en Buenos Aires los esquemas de negocios que utilizan los delincuentes informáticos para sus actividades.

Cuando la explotación comercial comenzó a crecer a finales del siglo pasado, se popularizaron en el ambiente tecnológico dos siglas: B2C y B2B. La primera significa en inglés "del negocio al consumidor" final y la segunda, "del negocio a otro negocio". Un ejemplo de B2C son los supermercados o tiendas "online", mientras que uno de B2B es la relación de una organización con sus proveedores, siempre a través de un canal electrónico. Pero en los tiempos actuales florecen otras actividades también definidas por una sigla: C2C, es decir, "de criminal a criminal".

En su segunda visita a Buenos Aires (la primera fue en 2008), este hombre que hace 25 años empezó como un hobby la fabricación de antivirus que luego derivó en desarrollos de criptología y finalmente en una empresa cuyos productos están en más de 300 millones de computadoras en todo el mundo, describió un panorama desalentador para el estado actual de la seguridad la industria tecnológica, aunque mostró sus esperanzas de que la situación mejore en los próximos años con la masificación de la Internet móvil.

¿Por qué crece el C2C? Kaspersky describió algunas de las actividades de estos intercambios y luego enumeró algunas razones. El alquiler de redes de computadoras zombies, que se emplean para lanzar ataques masivos contra alguna organización o para enviar correo electrónico basura (spam). "Se alquilan por PC infectadas y por días", incluso con términos de cumplimiento del contrato, de acuerdo a computadoras de las redes que se hayan desinfectado. Otras actividades del C2C son la entrega de código malicioso (virus) a pedido y a medida para vulnerar alguna empresa o sistema determinado, la entrega de datos de tarjetas de crédito robadas.

Las principales razones para la explosión del C2C son las siguientes, según Kaspersky:

  • Es muy redituable.

  • Es un negocio relativamente fácil: "No hay un contacto físico con la víctima, es sólo con software, algo que no es caro de desarrollar comprar y alquilar, que trabaja sobre sistemas operativos inseguros", señaló.

  • Es un negocio de bajo riesgo, porque es difícil encontrar a sus autores, que se escudan en el anonimato y que pueden trasladarse de país en país en forma sencilla, ante la inexistencia de una fuerza anticriminal internacional, al estilo de Interpol. "Por todo esto es que hay cada vez más delincuentes informáticos", aseguró.

Kaspersky, cuya empresa aumentó 30% en facturación global anual en 2009 y que en 2010 llegaría a una suba del 40% en sus ventas, advirtió que el "ecosistema digital", compuesto por usuarios finales, de negocios y gobierno, y por los dispositivos y los sistemas, "está bajo ataque" de las "fuerzas cibercriminales", los "hacktivistas" (hackers con fines políticos o religiosos) y terroristas.

Los delincuentes informáticos se aprovechan de diferentes tendencias hoy en boga. "Cada vez hay más vida 'online', es decir, actividades del mundo real que pasan ahora a Internet, como el voto electrónico y los trámites con el Estado, señaló el empresario que pasa sus veranos en una remota zona nororiental de Rusia, Kamchatka, conocida en la Argentina por quienes disfrutan del juego de mesa TEG desde hace más de tres décadas.

Pero no sólo ese tipo de interacciones son el foco de los "hackers" sino también las organizaciones. "¿Existen empresas que no dependan o utilicen Internet para sus negocios?", interrogó Kaspersky. Otras actividades son el entretenimiento "online", el conocimiento (expresado en la Wikipedia), las redes sociales y las comunicaciones privadas a través de la Red, como la mensajería instantánea con la voz sobre Internet.

¿Cuál son los principales países protagonistas del cibercimen? Kaspersky recordó al respecto "el malware no tiene sello de pasaporte, pero se puede reconocer su origen por el idioma en que se desarrolló o los nombres propios empleados". Luego de esta aclaración, trazó el siguiente ranking:

  • China, por su población conectada a Internet, la mayor en número bruto en todo el mundo.

  • Los países de habla hispana y portuguesa, con un lugar destacado para Brasil, donde se fabrica el 40% de los troyanos bancarios.

  • Rusia y países vecinos de la ex Unión Soviética.

Sin embargo, a excepción de la mayoría de los países africanos y de algunas naciones americanas y asiáticas, en el resto del mundo también hay organizaciones de cibercriminales.

¿Las mayores fuerzas armadas no son los Estados Unidos sino las organizaciones cibercriminales? Para Kaspersky es así, si se toma en cuenta lo que pasó con las dos últimas operaciones masivas de la delincuencia informática: Conficker, por la cual se pudieron manejar en forma coordinada unas 10 millones de computadoras con un fin determinado, y la red botnet Mariposa, con 13 millones de PC intervenidas. "Se puede hackear cualquier cosa que uno quiera con ese poder de cómputo", advirtió.

Un ejemplo concreto de guerra cibernética fue lo que pasó en Estonia, un país europeo a orillas del mar Báltico, que en 2007 estuvo desconectado del Internet por obra y gracia de una organización desconocida que lanzó un ataque masivo de denegación de servicio (DDoS, sigla en inglés) lanzado desde "apenas" 40 mil computadoras.

Kaspersky aclaró que no se trata de mafias sino de organizaciones que se manejan como empresas, con catálogos, acciones de marketing y compraventa de productos. El empresario compartió su receta para limitar estas actividades:

  • La creación de una fuerza policial internacional al estilo de Interpol pero para Internet. "Lo vengo pidiendo desde hace 8 años", recordó.

  • Sistemas operativos seguros, que sólo aceptarían aquellos programas y aplicaciones certificadas, algo que sería pesado de aceptar por parte de los usuarios y que podría funcionar en algunos nichos o actividades específicas, como bancos o gobierno.

  • Redes seguras, que requerirían el uso de pasaportes de Internet, para certificar la identidad de quién accede a la Red, y una regulación global, algo que "es técnicamente posible y fácil de hacer", según Kaspersky.

Sin embargo, el empresario ruso manifestó su escepticismo sobre la adopción de estas medidas, porque los gobiernos están más preocupados por las crisis financiera internacional, la gripe A y la contaminación ambiental. Aunque expresó que el panorama puede cambiar con el crecimiento de las redes digitales basadas en la telefonía móvil.

Para este ex hacker ruso, "no existen diferencias" en cuanto a la seguridad en los esquemas tradicionales de la computación personal y la computación en la nube ("cloud computing", en inglés), porque en ambas hay un punto de ataque en común: El lugar de acceso a la red y de ingreso de datos.

Kaspersky advirtió ante este medio sobre el posible regreso de las "grandes epidemias" de virus, al estilo de Melissa y Blaster, hace un lustro. Los daños provocados por Conficker o la red de botnet Mariposa, demostrarían el retorno de esta tendencia, "una muy mala noticia", según definió el empresario.


DURANTE EL CICLO de conferencias se analizaron los nuevos peligros que rondan a las empresas, así como las estrategias que las organizaciones deberían tener en cuenta para evitar pérdidas originadas por descuidos en materia de protección de datos.

Frano Capeta, Director de Education Center de I-SEC indicó que a pesar de la creencia extendida de que los gerentes de TI deben reforzar su seguridad hacia el exterior, la experiencia demuestra que son los usuarios internos los que generan mayor cantidad de amenazas de forma intencional o involuntaria.

Señaló también que las empresas se han preocupado de crear barreras en el perímetro, pero la nueva realidad obliga a involucrar a socios externos en el área de TI; ofrecer mayor movilidad a sus empleados; disolver el perímetro y exigir mayor control sobre la infraestructura y comunicaciones. El experto enumeró que las principales amenazas giran, hoy por hoy, en torno a los ataques distribuidos (DoS), el spam y las redes de computadoras zombies y botnets. Estas últimas son máquinas infectadas que sirven como plataformas para realizar nuevos daños o emitir spam.

Según señaló, los crackers están trabajando en la creación de malware que les permita controlar botnets (computadoras zombies) a través de protocolos web o de IRC, los cuales siempre deben permanecer abiertos en las redes. Indicó además que en el mercado negro de la Intenet ya se comercializan troyanos optimizados para no ser detectados por los antivirus, los mismos que ofrecen garantía y soporte por US$40. Incluso se alquilan servicios de plataformas de spam a un costo de US$50 por hora y hasta US$200 por 24 horas de servicio continuo.

Por su parte, también se disertó acerca de las estrategias para proteger la información de la empresa y evitar que los empleados filtren información a terceros abusando de la inviolabilidad de las comunicaciones. Se menciono que la empresa debe informar a los empleados que toda la información contenida en las computadoras pertenece a la organización: es compartida y, por tanto, puede ser revisada. Adicionalmente, es necesario establecer niveles de control para que las personas tengan acceso solo a determinados contenidos. Además, los trabajadores tienen que estar informados de las políticas corporativas
y debe constar en un documento que los miembros de la institución tienen conocimientos de la norma.

Se puntualizó que un uso indebido (como ver pornografía o descargar archivos en redes P2P) sería causal de despido. La empresa, frente a un conflicto en el que requiera probar la falta de un empleado, debe restringir el acceso a la computadora del trabajador y recurrir a un notario, a fin de realizar una auditoría y abrir las comunicaciones de dicho equipo. También se señaló además que es lícito realizar un backup de todos los correos entrantes y salientes de un servidor pero no se pueden revisar a menos que se obtenga una orden judicial. Contar con una copia de un mail sin tener la respectiva autorización invalida las pruebas.


Nelson Delgado Muller, Gerente Comercial de la firma Ti-Partners, expuso las aplicaciones de la llave de memoria Hardkey para la protección de software contra piratería y el refuerzo de políticas de seguridad.

Explicó que esta llave puede ser utilizada para impedir copias no autorizadas, pues se condiciona la ejecución de un programa a la presencia del dispositivo en un puerto USB. También destacó su uso en los procesos de autenticación de usuarios en una empresa y para encriptar correo electrónico, el cual solo podrá ser abierto por otro usuario con una llave similar, garantizando la protección de las comunicaciones.

Por su parte Linck Tello Flores, Gerente de Tecnología y Networking de Innovare demostró el funcionamiento de la consola de control centralizado Endpoint Security and Control de Sophos. Esta herramienta permite controlar las aplicaciones que se ejecutan en la red y seguir en forma remota los puertos USB, quemadoras y otros dispositivos que se utilizan en las máquinas.

Además incluye un administrador de cuarentenas y parches. El centro de control establece las políticas a ejecutar y cede la gestión de la infraestructura hacia otros entornos de administración como la consola para help desk. Ello permitirá a los técnicos actuar frente a una alerta, pero impedirá cambiar las políticas establecidas por el administrador de red desde la consola central.


Martín Vila CEO de I-SEC, explicó el concepto de pruebas dirigidas de análisis de vulnerabilidad, el cual se basa en que los activos de información de la empresa tienen un valor en tanto están directamente relacionados a los procesos orientados a los objetivos de negocios. Hay que considerar que no toda la data de un negocio está en formato digital: existe mucha información por proteger que aún se administra sobre papel. Guerrero señala que no existe un sistema 100% seguro; sin embargo, antes de lanzarse a realizar pruebas de vulnerabilidad, se debe definir una meta a lograr en función del nivel de protección de los contenidos y según su relevancia para la organización.

Dicho análisis previo debe considerar, además, el método de almacenamiento y transporte de la data y el nivel de confianza, integridad y disponibilidad de los datos que se requiere.

Respecto al origen de los ataques en las compañías, Vila reveló cifras de un estudio de I-SEC en el que se indica que el 69% de los fraudes en empresas se dan por parte de los propios empleados, 20% por colusión con personas externas y solo 11% fue originado por personas ajenas a la organización.

En Infosecurity participaron los fabricantes de soluciones de seguridad y redes como lronport, Zyxel, Sophos,Sonic Wall, Panda, Kaspersky, Watch Guard, Kinamik, Tipping Point, . El común denominador fue la oferta de equipos y mecanismos de protección que siguen una nueva tendencia: sumar funciones como antispam, antivirus, IDS Y firewall en un único dispositivo.


DICIEMBRE 2010

Janice Chaffin: "Los próximos virus entrarán por la TV y las consolas"
Janice Chaffin
Group President / Consumer Business Unit
Symantec Corporation
La CEO del canal minorista de Symantec advierte cuáles son los nuevos desafíos para la seguridad informática.

Norton Antivirus es seguridad y una caja amarilla. Según los que acompañan a Janice Chaffin en su gira latinoamericana, lograr esa asociación de ideas fue el principal hito en la carrera de la actual CEO mundial de Symantec para el canal minorista. ¿Windows no vendió siempre en cajas su software?, preguntó iEco a un colaborador.

Sí, pero ¿de qué color era la caja? Nadie se acuerda ... Lo que logró Chaffin fue un brand asset que asoció la marca con seguridad. En la etapa brasileña de su viaje, Chaffin dio una rueda de prensa en San Pablo sobre la importancia creciente de la región para el negocio de Symantec. La empresa de software de seguridad dice que quiere concentrarse en los consumidores de los países emergentes que recién se incorporan a Internet a través de notebooks y celulares.

¿Esa atención sobre la región implicará nuevos centros de desarrollo?
Tenemos centros en India, Ucrania, China y otras partes del mundo. Pero la estrategia que queremos desarrollar para la región es más de negocio, comercial.

¿Qué tendría que tener Latinoamérica para traer un centro de Symantec?

Lo que funciona mejor para nosotros es tener sólo un par de centros grandes en el mundo. Pero si nos expandimos, miraremos en los países de la región. Nos fijamos en las universidades, en dónde está el talento en cada país y si tienen las capacidades que necesitamos.

Symantec es la primera empresa en seguridad informática, ¿sienten más presión de los hackers por eso?

Somos uno de los principales proveedores de software del mundo. Cualquiera que sea un gran jugador es también un objetivo.

La última brecha de seguridad vino con la popularización de celulares inteligentes entre usuarios inconscientes de sus peligros, ¿cuál será el próximo gadget de riesgo?

Cualquier aparato que se conecte a Internet puede ser una puerta para que los hackers lleguen hasta tu PC. Videoconsolas, televisores, reproductores Blu-ray o dispositivos médicos ... Todos están conectados. El virus Stuxnet fue un ejemplo de cómo algo así podía ocurrirle a la industria. Es fácil imaginar que también puede pasar en los hogares. En celulares aún no hay tanta información interesante para los criminales, ni se llevan a cabo demasiadas transacciones. En cuanto ese volumen comience a crecer, aparecerán los hackers.

Eugene Kaspersky, de Kaspersky Antivirus, habló sobre la necesidad de crear una policía internacional para Internet, ¿qué opina?

Es interesante pero imposible en la práctica. Los que estamos en el negocio de la seguridad ya compartimos información y trabajamos en forma conjunta con los gobiernos para luchar contra los cibercriminales. Lo que sí hay que hacer son cosas más básicas, como por ejemplo reconocer al cibercrimen como delito en todo el mundo.

¿Por qué imposible?

Una organización en la que todos los países del mundo se pongan de acuerdo para formar parte de una policía es muy muy muy difícil.

Países como los de Latinoamérica, con buena educación y baja renta per cápita, ¿son el paraíso para los que buscan desarrolladores de virus?

Los reclutadores buscan por todo el mundo en países donde hay una población joven con desventajas económicas, gente inteligente que antes era reclutada por otras organizaciones criminales.

Symantec está entre las 10 mayores empresas de software, ¿no es mucho para una compañía de seguridad?

Hacemos más que seguridad y, de todos modos, no nos vemos como policías. Somos una compañía que ayuda a los consumidores a permanecer a salvo.

Fuente: Clarin.com


NOVIEMBRE 2010

Operación Payback (Venganza)
Luis Corrons / PandaLabs

Entrevista con Anonymous: "Seguramente. En cuanto a las protestas, espero que el futuro de las protestas sea la ACCIÓN. No el andar en círculos con pancartas inútiles que todo el mundo ignora."

Esta pequeña pero ruidosa comunidad de Internet lanzó una campaña de ataques llamada “Operación Payback (Venganza)”, con ataques selectivos de Denegación de Servicio (DDoS) contra empresas e instituciones que apoyan al lobby anti-piratería. El ataque, provocado por un ataque similar llevado a cabo por una empresa de la India contra sitios Web de intercambio de archivos, provocó que los organizadores de Anonymous se volvieran prácticamente locos de indignación.

¿Qué es Anonymous?

Simplemente es una descripción de lo que somos. Anonymous no es una organización con una jerarquía y líderes. Nos consideramos anarquistas. Estamos formados por gente de todo tipo. En resumen, somos un grupo de gente tremendamente motivada para hacer todo lo que esté en nuestra mano para responder ante aquello que consideramos moralmente cuestionable.

¿Cual es su misión actual?

Luchar contra el lobby anti-piratería. Recientemente ha habido un aumento enorme de los ataques a la libertad personal en Internet promovidos por este grupo. Fíjate en la Ley de Economía Digital del Reino Unido y la normativa europea de los “tres avisos”. Ambas iniciativas amenazan con cerrar las conexiones a Internet de los usuarios basándose en acusaciones de la industria musical y cinematográfica. En Estados Unidos se acaba de presentar un proyecto de ley que podría permitirle al gobierno norteamericano obligar a registradores de dominio de nivel superior como ICANN y Nominet a cerrar sitios Web sin NINGÚN tipo de juicio justo. ¡Se te declara culpable antes de demostrar si lo eres o no! Nuestras tácticas se inspiran en las de la gente que nos ha provocado: AiPlex Software. Hace unas cuantas semanas admitieron haber atacado sitios de intercambio de ficheros mediante ataques de denegación de servicio.

¿Están a favor de la piratería?

Sí. Se trata del siguiente paso en la revolución cultural de la información compartida. Imagínatelo como el comienzo de una nueva era de la información; el inicio de una auténtica “igualdad de oportunidades”, en la que no importa la riqueza o capacidad de cada uno. Yo mismo nunca hubiera llegado a dónde estoy ahora mismo sin los libros que he pirateado. ¡No me los podía permitir!

¿Qué sitios han atacado?

Las Asociaciones Americanas de la Industria Musical y Cinematográfica [MPAA y RIAA], la Industria Fonográfica Británica [BPI], la Federación Australiana contra el Robo del Derecho de Autor [AFACT] , la Asociación Holandesa para la Protección de los Derechos de la Industria del Entretenimiento [BREIN], ACS:Law, Aiplex, Websheriff, y Dglegal.

El póster original decía que se utilizarían “redes de bots” en el ataque. ¿Alguno de ustedes se beneficia económicamente de ciber-delitos?

Eso depende de si empleas la definición de ‘criminal informático’ que utiliza el lobby anti-piratería. Para serte claro no aprobamos la obtención de beneficios económicos a partir de redes de bots o de malware; pero la gran mayoría de lo que constituye un ciber-delito es algo tan sencillo como descargarte tu canción favorita en lugar de pagar un precio ridículo por la misma (un precio del que el artista sólo se queda con un porcentaje mínimo).

¿Qué relación tienen con 4chan? ¿Son todos miembros activos?

Algunos de nosotros frecuentamos 4chan, pero no tenemos ningún tipo de afiliación con ningún foro o sitio Web. Sólo lo utilizamos para comunicarnos.

¿Cuánto tiempo va a durar el ataque?

No hay un plazo fijado. Seguiremos con él hasta que se nos pase el enfado.

¿Están dispuestos a ir a la cárcel por esta causa?

Sí, pero hemos tomado todas las medidas necesarias para asegurarnos de que nuestro anonimato permanece intacto. Es más, ¿por qué no se le hace esa pregunta a la gente que contrató a Aiplex para atacarnos?

Si pudieran resolver esta situación, ¿qué les gustaría que hicieran los organismos audiovisuales mundiales?

Personalmente, me gustaría que desaparecieran de una vez. Que eliminasen todas esas leyes brutales que han promovido. Que tratasen a las personas como PERSONAS en vez de como criminales. Tienen que cambiar esa concepción tan anticuada y tradicional que tienen de la que las leyes sobre los derechos de propiedad intelectual sólo pueden ser aplicadas por empresas ricas y poderosas. Eso ya no resulta válido en la era de Internet, la Era de la Información.

Los artistas controlados por la industria audiovisual tienen muy poca voz sobre los contenidos que producen y sólo obtienen un porcentaje mínimo de los beneficios. Esto es evidente, como lo demuestra el hecho de que muchos artistas se han apartado del control de la industria. Ahí están los ejemplos de Nine Inch Nails y Radiohead. Los dos grupos han aceptado la piratería y aún así siguen obteniendo importantes beneficios.

¿Son conscientes de que estos ataques son ilegales en muchos países y de que su grupo podría acarrear problemas legales a gente inocente que apoya su causa?

Creo que la mayor parte de gente/participantes es consciente de ese riesgo. En un mundo en el que se ignora nuestra voz, creemos que no nos queda otra opción que la acción directa.

Algunas personas ven esto como el futuro de las protestas. ¿Prevés que pueda haber protestas como ésta en el fututo por otras causas?

Seguramente. En cuanto a las protestas, espero que el futuro de las protestas sea la ACCIÓN. No el andar en círculos con pancartas inútiles que todo el mundo ignora.

Fuente: PandaLabs


OCTUBRE 2010

Proceso de Certificación ISO 27001
Roberto Demaria

Jefe de seguridad y administración de riesgos de IT

Grupo Peñaflor S.A
1er Empresa Vitivinícola del Mundo en certificar ISO 27001

¿Cuál es el modelo de negocios de Grupo Peñaflor S.A.?

Nuestro modelo de negocios es único en Argentina y exitoso en el mercado internacional. Está sustentado en una profunda vocación por comprender y satisfacer las necesidades de los consumidores y en la custodia de la autonomía de gestión de nuestras Bodegas.

¿Cuáles son las estadísticas de la Compañía?

Ventas anuales por 1.013 millones de pesos argentinos. (Fuente: Balance Legal).

Exportaciones anuales por 128 millones de dólares americanos. (Fuente: Balance Legal)

Ubicado entre los primeros 7 productores mundiales de vino, con 242 millones de litros anuales de producción. (Fuente: InternationalWine and Spirit Record Octubre09)

Tecnología de clase mundial.

5.215 hectáreas propias cultivadas en diferentes climas y regiones vitivinícolas del país.

9 líneas con capacidad total de fraccionamiento en botellas de 60.600 botellas por hora.

5 líneas con capacidad total de fraccionamiento en cartón de 30.000 litros por hora.

1.700 empleados.

Certificaciones de calidad y operación bajo estándares internacionales.

 

Camino a la Certificación ISO 27001

• Se dispara la necesidad de negocio
• Definir la Estructura adecuada y los recursos necesarios
• Identificar al “candidato”, adentro o afuera?
• Selección del socio adecuado para la alineación
• Formar y capacitar al Jefe de Seguridad y Riesgos de IT
• Vender el proyecto dentro de IT
• Donde estamos parados, el “Assessment”
• Evaluar los Riesgos de IT y su tratamiento
• Concientizar a toda la Organización
• Adaptar los procedimientos internos a la Norma
• Mitigar los riesgos seleccionados
• Seleccionar a la certificadora
• Iniciar el proceso de certificación

Para tener en cuenta

• Apoyo de la Dirección
• Conocimiento de la organización
• Consultora con experiencia
• Conocimientos de la norma ISO 27001 (capacitarse)
• Buscar aliados , referentes de cada sector de la empresa
• Concientizar al personal
• Armar un SGSI presentable (buscar algún software)
• Análisis y tratamiento de riesgos (simple ,sin formulas complejas)
• Hacer SOA y justificar adecuadamente los puntos que no aplican
• No dejar puntos sin tratar aunque no tengamos soluciones – Asumir riesgos - justificar

Auditoría de Fase 1

• Tener presente que es una auditoria voluntaria
• Tener bien preparado el plan de auditoria (ver quienes van a participar , elegir adecuadamente los interlocutores a entrevistar)
• Invertir tiempo en explicar cultura e idiosincrasia de la empresa
• Demostrar que sabemos de lo que hablamos y que hemos trabajado duro para llegar a esta instancia
• Tener presente que siempre van a encontrar algo y si es algoprevisto mejor

Auditoria de Fase 2

• Nuevamente - preparar bien el plan de auditoria (ver quienes van a participar , elegir adecuadamente los interlocutores a entrevistar- ver cuales se desempeñaron bien en la auditoria anterior)
• Tener tratadas todas las observaciones de la auditoria de Fase 1 (sin excepción )
• Si no tenemos todos los puntos solucionados , demostrar que tenemos intención de hacerlo (mostrar plan de implementación – facturas – ordenes de compras – mail, etc.)
• No justificar lo injustificable (NO MENTIR)

Luego de Certificar

• Festejar (La empresa mas grande certificada en la Argentina, la única que certificó todos sus procesos y la 1er. vitivinícola en el mundo en hacerlo)
• Preparase para la revalidación (1 Año) esto recién empieza
• Tener presente que es mas fácil llegar que mantenerse

Fuente: InfosecurityVip.com


SEPTIEMBRE 2010

Crea virus para demostrar inseguridad de Twitter
Por BBC World

 

"Hubo varios otros que se valieron del error. Yo sólo creé el gusano", indicó el hacker

La red social Twitter corrigió un error en su sitio en internet que estaba siendo explotado para hacer aparecer mensajes en ventanas emergentes y enlaces a sitios pornográficos. Inicialmente, los usuarios sólo tenían que mover el ratón de la computadora sobre un mensaje que contenía un vínculo- sin hacer clic en él- para abrirlo en el navegador. El código se esparció a través de gusanos informáticos, un software malicioso que tiene la propiedad de duplicarse a sí mismo.

 

Miles de usuarios fueron víctimas del problema.

Por su parte, Twitter dijo a través de su blog que "el problema ya fue solucionado".

La gente que utilizó el software para Twitter escrito por terceros – como por ejemplo, Tweetdeck - no se vio afectada por el problema.

El comando - escrito en un lenguaje de programación llamado Javascript- dirigía automáticamente a los usuarios a otras páginas en internet, algunas de las cuales contenían pornografía.

Los enlaces maliciosos contenían el código "onmouseover”.

 

Sin arrepentimiento

El primer mensaje en contener el código pareció haber sido enviado por un programador llamado Magnus Holm.

"Escribí el primer gusano informático que se ha estado propagando", le dijo a la BBC.

"Yo simplemente quería explotar la falla de seguridad sin hacer 'daño real', añadió.

Holm afirmó que el error ya había sido identificado por otras personas y ya había sido utilizado para otras cosas.

"Hubo varios otros que se valieron del error. Yo sólo creé el gusano", indicó.

Según Holm, hasta el momento de la entrevista había visto al "gusano" pasar en aproximadamente 200.000 mensajes.

Sin embargo, advirtió que ya había otras variantes del gusano que estaban siendo difundidas y que utilizaban "otros trucos desagradables o inteligentes".

"Era sólo cuestión de tiempo antes de comenzaran en la red los gusanos más serios", agregó.

Sin embargo, Holm dijo que no se arrepentía y que "no estaba seguro" de si recibiría una llamada de Twitter.

No es la primera vez que la red social ha sufrido un ataque informático.

En abril de 2009, otro gusano propagó enlaces a un sitio rival, mostrando de nuevo mensajes no deseados en las cuentas de los usuarios infectados.

El investigador de la empresa de seguridad Sophos Graham Cluley, le dijo a la BBC que Twitter necesita "un control mucho mayor" sobre lo que los usuarios pueden incluir en un tweet para evitar problemas similares en el futuro.

Fuente: BBC World


AGOSTO 2010

Información a buen recaudo

Infosecurity reunió en Perú a expertos para hablar sobre seguridad
Ligia Piccinini

Coordinadora Regional de Infosecurity para Latinoamérica

Infosecurity Vip

En Infosecurity participaron los fabricantes de soluciones de seguridad y redes como lronport, Zyxel, Sophos,Sonic Wall, Panda, Kaspersky, Watch Guard, Kinamik, Tipping Point, . El común denominador fue la oferta de equipos y mecanismos de protección que siguen una nueva tendencia: sumar funciones como antispam, antivirus, IDS Y firewall en un único dispositivo.

DURANTE EL CICLO de conferencias se analizaron los nuevos peligros que rondan a las empresas, así como las estrategias que las organizaciones deberían tener en cuenta para evitar pérdidas originadas por descuidos en materia de protección de datos.

Frano Capeta, Director de Education Center de I-SEC indicó que a pesar de la creencia extendida de que los gerentes de TI deben reforzar su seguridad hacia el exterior, la experiencia demuestra que son los usuarios internos los que generan mayor cantidad de amenazas de forma intencional o involuntaria.

Señaló también que las empresas se han preocupado de crear barreras en el perímetro, pero la nueva realidad obliga a involucrar a socios externos en el área de TI; ofrecer mayor movilidad a sus empleados; disolver el perímetro y exigir mayor control sobre la infraestructura y comunicaciones. El experto enumeró que las principales amenazas giran, hoy por hoy, en torno a los ataques distribuidos (DoS), el spam y las redes de computadoras zombies y botnets. Estas últimas son máquinas infectadas que sirven como plataformas para realizar nuevos daños o emitir spam.

Según señaló, los crackers están trabajando en la creación de malware que les permita controlar botnets (computadoras zombies) a través de protocolos web o de IRC, los cuales siempre deben permanecer abiertos en las redes. Indicó además que en el mercado negro de la Intenet ya se comercializan troyanos optimizados para no ser detectados por los antivirus, los mismos que ofrecen garantía y soporte por US$40. Incluso se alquilan servicios de plataformas de spam a un costo de US$50 por hora y hasta US$200 por 24 horas de servicio continuo.

Por su parte, también se disertó acerca de las estrategias para proteger la información de la empresa y evitar que los empleados filtren información a terceros abusando de la inviolabilidad de las comunicaciones. Se menciono que la empresa debe informar a los empleados que toda la información contenida en las computadoras pertenece a la organización: es compartida y, por tanto, puede ser revisada. Adicionalmente, es necesario establecer niveles de control para que las personas tengan acceso solo a determinados contenidos. Además, los trabajadores tienen que estar informados de las políticas corporativas
y debe constar en un documento que los miembros de la institución tienen conocimientos de la norma.

Se puntualizó que un uso indebido (como ver pornografía o descargar archivos en redes P2P) sería causal de despido. La empresa, frente a un conflicto en el que requiera probar la falta de un empleado, debe restringir el acceso a la computadora del trabajador y recurrir a un notario, a fin de realizar una auditoría y abrir las comunicaciones de dicho equipo. También se señaló además que es lícito realizar un backup de todos los correos entrantes y salientes de un servidor pero no se pueden revisar a menos que se obtenga una orden judicial. Contar con una copia de un mail sin tener la respectiva autorización invalida las pruebas.

Nelson Delgado Muller, Gerente Comercial de la firma Ti-Partners, expuso las aplicaciones de la llave de memoria Hardkey para la protección de software contra piratería y el refuerzo de políticas de seguridad.

Explicó que esta llave puede ser utilizada para impedir copias no autorizadas, pues se condiciona la ejecución de un programa a la presencia del dispositivo en un puerto USB. También destacó su uso en los procesos de autenticación de usuarios en una empresa y para encriptar correo electrónico, el cual solo podrá ser abierto por otro usuario con una llave similar, garantizando la protección de las comunicaciones.

Por su parte Linck Tello Flores, Gerente de Tecnología y Networking de Innovare demostró el funcionamiento de la consola de control centralizado Endpoint Security and Control de Sophos. Esta herramienta permite controlar las aplicaciones que se ejecutan en la red y seguir en forma remota los puertos USB, quemadoras y otros dispositivos que se utilizan en las máquinas.

Además incluye un administrador de cuarentenas y parches. El centro de control establece las políticas a ejecutar y cede la gestión de la infraestructura hacia otros entornos de administración como la consola para help desk. Ello permitirá a los técnicos actuar frente a una alerta, pero impedirá cambiar las políticas establecidas por el administrador de red desde la consola central.

Martín Vila CEO de I-SEC, explicó el concepto de pruebas dirigidas de análisis de vulnerabilidad, el cual se basa en que los activos de información de la empresa tienen un valor en tanto están directamente relacionados a los procesos orientados a los objetivos de negocios. Hay que considerar que no toda la data de un negocio está en formato digital: existe mucha información por proteger que aún se administra sobre papel. Guerrero señala que no existe un sistema 100% seguro; sin embargo, antes de lanzarse a realizar pruebas de vulnerabilidad, se debe definir una meta a lograr en función del nivel de protección de los contenidos y según su relevancia para la organización.

Dicho análisis previo debe considerar, además, el método de almacenamiento y transporte de la data y el nivel de confianza, integridad y disponibilidad de los datos que se requiere.

Respecto al origen de los ataques en las compañías, Vila reveló cifras de un estudio de I-SEC en el que se indica que el 69% de los fraudes en empresas se dan por parte de los propios empleados, 20% por colusión con personas externas y solo 11% fue originado por personas ajenas a la organización.

En Infosecurity participaron los fabricantes de soluciones de seguridad y redes como lronport, Zyxel, Sophos,Sonic Wall, Panda, Kaspersky, Watch Guard, Kinamik, Tipping Point, . El común denominador fue la oferta de equipos y mecanismos de protección que siguen una nueva tendencia: sumar funciones como antispam, antivirus, IDS Y firewall en un único dispositivo.


JULIO 2010

Celebrado "InfoSecurity Caracas 2010"
Ligia Piccinini

Coordinadora Regional de Infosecurity para Latinoamérica

Infosecurity Vip

No es novedad que el mundo de las organizaciones está cada vez más expuesto a los peligros informáticos que amenazan la continuidad del negocio: espías y hackers esperan el momento justo para atacar. Difundir la trascendencia del resguardo de la Información es lo que nos ha llevado a organizar el evento InfoSecurity.   Además, nos hemos unido a empresas como Microsoft y Electronic Services de Venezuela, ya que conocemos sus esfuerzos para promover la seguridad de la información y la seguridad en Internet y esto añade mucho valor al público

Difundir la trascendencia del resguardo de la información es el objetivo de InfoSecurity que este año se llevó a cabo en su sexta edición en el país.

Fue celebrado en Caracas y por sexto año consecutivo InfoSecurity, evento internacional de la seguridad de la información que este año adoptó un nuevo formato llevándose a cabo dentro del marco de la Semana de la Seguridad ISEC 2010.

Con más de 56 Ediciones en las principales ciudades de Latinoamérica y con más de ocho años de trayectoria, InfoSecurity es el evento que reunió a los speakers y empresas del mercado de TI en un ámbito de intercambio y debate, donde la problemática fue la Seguridad Informática, sus retos y sus tendencias dentro de la seguridad de la información en Venezuela y Latinoamérica.

Los profesionales de TI, dijeron los expertos en sus ponencias, enfrentan un reto muy grande hoy día para poder proteger sus empresas y organizaciones de una amplia gama de amenazas a la seguridad de la información, las cuales se encuentran evolucionando todo el tiempo. Hoy día las amenazas son más avanzadas, más frecuentes y principalmente motivadas por una ganancia económica.

De acuerdo a Ligia Piccinini, coordinadora Regional de InfoSecurity para Latinoamérica, el valor de la Información de una empresa u organización amerita que se tomen decisiones para su resguardo, ya que de otra manera las empresas quedarían expuestas a un riesgo casi letal. "No es novedad que el mundo de las organizaciones está cada vez más expuesto a los peligros informáticos que amenazan la continuidad del negocio: espías y hackers esperan el momento justo para atacar. Difundir la trascendencia del resguardo de la Información es lo que nos ha llevado a organizar el evento InfoSecurity. Además, nos hemos unido a empresas como Microsoft y Electronic Services de Venezuela, ya que conocemos sus esfuerzos para promover la seguridad de la información y la seguridad en Internet y esto añade mucho valor al público", comentó.

Infosecurity cuenta regionalmente con el apoyo y participación de empresas e instituciones como Microsoft Venezuela, TippingPoint, APC, Kaspersky, Sonicwall, Watchguard, Oracle, I-SEC Information Security, ESV (Electronic Services de Venezuela), Grupo HPA, ISF Alpiz, Bucret, Zyxel, entre otros.

Para Microsoft y de acuerdo a Aldo Hernández, gerente de Seguridad y Privacidad de Microsoft Venezuela. "Iniciativas como ésta de InfoSecurity nos ayudan a sumar esfuerzos para ofrecer información actualizada sobre las últimas tendencias de seguridad a todos los asistentes. Para Microsoft resulta fundamental el tema de la seguridad de la información y, en este sentido, estamos permanentemente educando a nuestras audiencias, usuarios, empresas, socios de negocios y funcionarios e instituciones, sobre las mejores prácticas para mantener seguros sus datos y equipos".

Un encuentro con múltiples contenidos de interés

“NOS ACOMPAÑO EN EL EVENTO EL DIRECTOR Y COUNTRY MANAGER DE ISEC ECUADOR, ING. SIXTO FLORES”

Los profesionales de IT enfrentan un reto muy grande hoy día para poder proteger sus empresas y organizaciones de una amplia gama de amenazas a la seguridad de la información, las cuales se encuentran evolucionando todo el tiempo. Hoy día las amenazas son más avanzadas, más frecuentes y principalmente motivadas por una ganancia económica. El perfil de público se centra en Gerentes y Jefes de Sistemas, Encargados de Seguridad Informática, Consultores y Auditores de IT, CIOs, CISOs.

La conectividad se ha convertido en un factor crítico para el éxito de las organizaciones porque les permite proveer información en tiempo real a sus empleados, generar ahorros a través del auto servicio y la automatización de su cadena de suministro. Pero esta conectividad conlleva riesgos porque abre la puerta a usuarios no autorizados que utilizan el acceso para atacar los sistemas de diferentes formas.

El ímpetu de estos ataques también ha evolucionado; los hackers ahora están motivados por el lucro y atacan organizaciones específicas para obtener información confidencial –muy valiosa- incluyendo nombres, direcciones, número de seguro social y datos financieros. También, cada vez es mayor el costo de estos ataques.

Por otro lado, las soluciones fragmentadas también presentan un reto. Históricamente las soluciones de IT se han tenido que construir de una variedad de productos de distintos proveedores, lo que implicaba diferentes herramientas de administración. El despliegue y la configuración de estas soluciones de seguridad consume mucho tiempo y su mantenimiento resulta complejo y tedioso.

En estos tiempos de crisis y reestructuración económica general, la protección física y electrónica de los ejecutivos toma un rol esencial en las compañías, por lo que es más que una necesidad conocer los últimos datos, herramientas y procedimientos en Seguridad Informática para que todas las empresas puedan protegerse de la manera adecuada.

Fuente: Computerworld, Venezuela


JUNIO 2010

 

Peligros de la pornografía por internet, un estudio revela los riesgos de las webs pornográficas

Dr.Gilbert Wondracek

International Secure Systems Lab

Quienes visitan sitios pornográficos en internet corren el riesgo de ser explotados por ciber-criminales, comprobó un estudio reciente. Muchos emplean prácticas dudosas que tienen como objetivo sacarle tanto dinero como sea posible a sus visitantes.

Y la feroz competencia entre los proveedores de "contenido adulto" los ha llevado a crear "todo un ecosistema que fácilmente se puede abusar para ciber crímenes de mayor escala", advirtió el doctor Gilbert Wondracek, un experto en seguridad informática del International Secure Systems Lab, que lideró la investigación.

Los investigadores pudieron además constatar que la mayoría de los consumidores de pornografía en línea estaban expuestos a conocidas vulnerabilidades en sus sistemas informáticos.

Peligro Oculto

Wondracek explicó que la investigación tenía como objetivo comprobar la veracidad de la difundida creencia de que visitar sitios pornográficos es peligroso.

"Hay abundantes estudios sobre las ganancias y otras dimensiones económicas de la industria del porno, pero somos los primeros en analizarla desde el punto de vista de la seguridad" afirmó.

Las estadísticas sugieren que aproximadamente el 12% de todos los sitios web ofrecen algún tipo de material pornográfico y que el 70 % de esos sistios son visitados por hombres menores de  24 años.

La investigación inició con un análisis de numerosos sitios pornográficos que fueron posteriormente clasificados para ayudar a entender cómo es que opera la industria.

La mayor distinción se da entre los sitios que cobran y los que ofrecen contenido gratis.

Por lo general, los sitios pagados le ceden parte de su contenido a los sitios gratuitos como una forma de estimular tráfico.

Y más del 90% de los 35.000 dominios porno analizados eran sitios gratuitos.

Según los investigadores, aproximadamente un 3.23% de estos sitios estaban llenos de trampas informáticas como adware, spyware y virus.

Pero muchos más empelaban prácticas "dudosas" para mantener "atrapados" a sus visitantes.

Estos incluyen pequeños programas que hacen muy difícil abandonar una página, o que redirigen a los usuarios a otros sitios afiliados (en lugar de abrir el video o imagen esperados).

Según Wondracek, la mayoría de los sitios están involucrados en este "tráfico de clics", que es la única fuente de ingresos de muchos de los sitios gratis.

Buscando Víctimas

Este tráfico es además explotado de varias maneras. Los sitios populares le venden el servicio a aquellos que están buscando construir una audiencia o re-dirigen visitantes a sitios afiliados que ofrecen contenido pago.

En algunos casos el tráfico también se emplea para mejorar la clasificación en los índices de los buscadores.

Y, según el Dr. Wondracek, también puede servir para proporcionar víctimas a los ciber-criminales.

Para validar esta idea, los investigadores crearon dos sitios porno propios, que alimentaron con contenido tomado de otros sitios gratuitos, e invirtieron US$160 en generar tráfico.

Y un análisis de los 49.000 visitantes que lograron atraer encontró que 20.000 de ellos estaban usando una combinación de navegador y computadora que los hacía susceptibles a por lo menos una vulnerabilidad conocida.

Muchos sitios porno figuran entre las 100 páginas más populares de Internet, por lo que es probable que muchos usuarios estén siendo explotados sin darse cuenta.

Y distinguir un sitio porno honesto, de uno deshonesto, no resulta fácil.

La recomendación de Wondracek es mantener actualizados los programas de seguridad y usar los "modos seguros" disponibles en varios navegadores.

Los investigadores presentaron sus hallazgos en un taller sobre los aspectos económicos de la seguridad informática que se celebró en la Universidad de Harvard del 7 al 8 de junio.

Fuente: www.elinformador.com.ve


MAYO 2010

"No entienden que rompas un sistema de seguridad por diversión"
Dos hackers repasan la escena underground, desmontando algunos mitos sobre la seguridad. Mikel Gastesi e Iñaki Etxebarria comparten una curiosa dualidad: son hackers pero, al mismo tiempo, trabajan en empresas de seguridad informática. El primero, de 27 años y navarro, es experto en malware (programas maliciosos) y es investigador de e-crime en S21Sec. Iñaki, vizcaíno de 28 años, sabe mucho de rootkit (programas que se esconden a sí mismos u ocultan a otros) y está en Panda Security.

¿Se puede ser hacker y trabajar en una empresa de seguridad?

Iñaki. Sí, incluso es positivo para la empresa. Tiene a un tipo al que le gusta lo que hace, que trabaja incluso en casa, por hobby.

Mikel. Una empresa de seguridad tiene que saber a lo que se enfrenta para combatirlo. No puede pelear contra algo que no sabe lo que es.

¿Hay buenos y malos en el hacking?

I. Hay buenos y malos porque, aunque el conocimiento sea el mismo, algunos lo usan con fines éticamente cuestionables. Como los que hacen troyanos para acceder a los bancos, por ejemplo. Eso no está bien visto.

¿Son estas cosas las que han provocado la mala imagen de los hackers, su confusión con los crackers y delincuentes informáticos?

I. Se ha estigmatizado el activismo hacker. Atacar una página con contenido indeseable o un servidor no está bien visto por algunos, porque es una forma de tomarse la justicia por su mano, usando lo que sabes como herramienta política. Pero hay también muchos hackers que ni siquiera son activistas, sólo son curiosos.

M. Lo que pasa es que hay quien no entiende que rompas la seguridad de un sistema por diversión.

¿Hay tanto peligro en la Red como transmite los medios de comunicación o es alarmismo?

M. Peligro sí que hay. Existe mucho malware, troyanos bancarios, exploit para controlar navegadores. Hay miles de sitios web fraudulentos ahí afuera y otros que, siendo legítimos, están infectados. La cosa empeora por la falta de concienciación de la gente.

I. Quizá sea bueno ese alarmismo, igual es sano. Quizás debería haber incluso más, la gente se concienciaría del riesgo que existe.

¿El hacking puede tener una finalidad social, política?

I. Yo he ido más por el lado de la diversión. Pero algunos tiene una conciencia más social, y esos conocimientos adquiridos por diversión, los usan con fines políticos.

M. El hacking al principio es más por curiosidad, por afán de aprender. Cuando consigues algo, la satisfacción que sientes no la paga el dinero.

¿Hay empresas y gobiernos metidos en la escena underground?

I. En el mundillo se habla del Gobierno ruso o los israelíes; se sabe que el Mossad tiene hackers en una guerra electrónica. Lo que no sé es cuánto hay de mito. Pero si la Guardia Civil tiene hackers de los buenos, o que al menos lo fueron al principio, es lógico que haya otras entidades que usen este conocimiento.

M. Expertos de seguridad, sí. ¿Hackers? No estoy seguro.

Desde EEUU se acusa a China de intrusión en sus redes y espionaje electrónico.

I. Hay algo de sensacionalismo, pero tanto en China como en Rusia hay muchos ISP blindados, que son el paraíso de actividades sospechosas.

M. En China hay mucho movimiento, con dominios con código malicioso.

EEUU ha anunciado que va a contratar a hackers.

I. Eso indica o que no son éticamente muy coherentes, o bien han aceptado que contratar gente de la escena hacker no es malo, de hecho es bueno técnicamente.

M. La ética no suele tener mucho que ver con la práctica política. Los gobiernos, como cualquier empresa, necesitan conocer la tecnología y lo que hay, y para eso, nada mejor que tener a un entusiasta del tema.

¿Cómo ven la seguridad del usuario doméstico medio?

I. Baja o nula.

M. No actualizan la computadora o no ponen un antivirus en condiciones. Muchos tienen el sistema Windows pirateado y no lo actualizan para que no se les bloquee.

¿Es más seguro el sistema operativo Linux que Windows?

I. La operativa tradicional de uso en Linux es que tengas un usuario especial para hacer cambios en el sistema, pero para las tareas normales, tienes una cuenta de usuario restringido. En Windows, el 99% de los usuarios domésticos tienen una cuenta de administrador, eso es un verdadero peligro. Además, en Linux hay una cultura de paranoia, de desconfiar más, que en esto viene bien.

M. Windows es tan seguro como lo configures y Linux también. Pero el perfil del usuario de Windows es mas novato que el de Linux. Además hay mucho más malware para el entorno Windows.

¿La industria de seguridad va por detrás?

I. Cada minuto hay malware nuevo que, sin ninguna innovación técnica, no supone problema alguno. Pero en ocasiones, ante una nueva vulnerabilidad del sistema operativo, como la que aprovechó Conficker, te pega muy duro y tardas en responder. Pero aún así, eso es mejor que nada.

M. El nivel de seguridad sería aceptable si se usara lo que existe.

¿Han sido malos alguna vez?

I. Depende de lo que se entienda por malo. Hacer algo deliberadamente a alguien o aceptar dinero por algún encargo, algo que me haga sentir arrepentido, no.

M. Como Iñaki, habré hecho alguna cosa que no es muy correcta pero, como él, nada que haya ido contra mi ética.

Fuente: Público.es


ABRIL 2010

 

Entrevista a Eugene Kaspersky para medios de prensa en su visita a Buenos Aires - Argentina

Eugene Kaspersky, Ceo y Fundador de una de las firmas de seguridad informática privada más grande del mundo, explicó en una visita en Buenos Aires los esquemas de negocios que utilizan los delincuentes informáticos para sus actividades

Cuando la explotación comercial comenzó a crecer a finales del siglo pasado, se popularizaron en el ambiente tecnológico dos siglas: B2C y B2B. La primera significa en inglés "del negocio al consumidor" final y la segunda, "del negocio a otro negocio". Un ejemplo de B2C son los supermercados o tiendas "online", mientras que uno de B2B es la relación de una organización con sus proveedores, siempre a través de un canal electrónico. Pero en los tiempos actuales florecen otras actividades también definidas por una sigla: C2C, es decir, "de criminal a criminal".

En su segunda visita a Buenos Aires (la primera fue en 2008), este hombre que hace 25 años empezó como un hobby la fabricación de antivirus que luego derivó en desarrollos de criptología y finalmente en una empresa cuyos productos están en más de 300 millones de computadoras en todo el mundo, describió un panorama desalentador para el estado actual de la seguridad la industria tecnológica, aunque mostró sus esperanzas de que la situación mejore en los próximos años con la masificación de la Internet móvil.

¿Por qué crece el C2C? Kaspersky describió algunas de las actividades de estos intercambios y luego enumeró algunas razones. El alquiler de redes de computadoras zombies, que se emplean para lanzar ataques masivos contra alguna organización o para enviar correo electrónico basura (spam). "Se alquilan por PC infectadas y por días", incluso con términos de cumplimiento del contrato, de acuerdo a computadoras de las redes que se hayan desinfectado. Otras actividades del C2C son la entrega de código malicioso (virus) a pedido y a medida para vulnerar alguna empresa o sistema determinado, la entrega de datos de tarjetas de crédito robadas.

Las principales razones para la explosión del C2C son las siguientes, según Kaspersky:

  • Es muy redituable.

  • Es un negocio relativamente fácil: "No hay un contacto físico con la víctima, es sólo con software, algo que no es caro de desarrollar comprar y alquilar, que trabaja sobre sistemas operativos inseguros", señaló.

  • Es un negocio de bajo riesgo, porque es difícil encontrar a sus autores, que se escudan en el anonimato y que pueden trasladarse de país en país en forma sencilla, ante la inexistencia de una fuerza anticriminal internacional, al estilo de Interpol. "Por todo esto es que hay cada vez más delincuentes informáticos", aseguró.

Kaspersky, cuya empresa aumentó 30% en facturación global anual en 2009 y que en 2010 llegaría a una suba del 40% en sus ventas, advirtió que el "ecosistema digital", compuesto por usuarios finales, de negocios y gobierno, y por los dispositivos y los sistemas, "está bajo ataque" de las "fuerzas cibercriminales", los "hacktivistas" (hackers con fines políticos o religiosos) y terroristas.

Los delincuentes informáticos se aprovechan de diferentes tendencias hoy en boga. "Cada vez hay más vida 'online', es decir, actividades del mundo real que pasan ahora a Internet, como el voto electrónico y los trámites con el Estado, señaló el empresario que pasa sus veranos en una remota zona nororiental de Rusia, Kamchatka, conocida en la Argentina por quienes disfrutan del juego de mesa TEG desde hace más de tres décadas.

Pero no sólo ese tipo de interacciones son el foco de los "hackers" sino también las organizaciones. "¿Existen empresas que no dependan o utilicen Internet para sus negocios?", interrogó Kaspersky. Otras actividades son el entretenimiento "online", el conocimiento (expresado en la Wikipedia), las redes sociales y las comunicaciones privadas a través de la Red, como la mensajería instantánea con la voz sobre Internet.

¿Cuál son los principales países protagonistas del cibercimen? Kaspersky recordó al respecto "el malware no tiene sello de pasaporte, pero se puede reconocer su origen por el idioma en que se desarrolló o los nombres propios empleados". Luego de esta aclaración, trazó el siguiente ranking:

  • China, por su población conectada a Internet, la mayor en número bruto en todo el mundo.

  • Los países de habla hispana y portuguesa, con un lugar destacado para Brasil, donde se fabrica el 40% de los troyanos bancarios.

  • Rusia y países vecinos de la ex Unión Soviética.

Sin embargo, a excepción de la mayoría de los países africanos y de algunas naciones americanas y asiáticas, en el resto del mundo también hay organizaciones de cibercriminales.

¿Las mayores fuerzas armadas no son los Estados Unidos sino las organizaciones cibercriminales? Para Kaspersky es así, si se toma en cuenta lo que pasó con las dos últimas operaciones masivas de la delincuencia informática: Conficker, por la cual se pudieron manejar en forma coordinada unas 10 millones de computadoras con un fin determinado, y la red botnet Mariposa, con 13 millones de PC intervenidas. "Se puede hackear cualquier cosa que uno quiera con ese poder de cómputo", advirtió.

Un ejemplo concreto de guerra cibernética fue lo que pasó en Estonia, un país europeo a orillas del mar Báltico, que en 2007 estuvo desconectado del Internet por obra y gracia de una organización desconocida que lanzó un ataque masivo de denegación de servicio (DDoS, sigla en inglés) lanzado desde "apenas" 40 mil computadoras.

Kaspersky aclaró que no se trata de mafias sino de organizaciones que se manejan como empresas, con catálogos, acciones de marketing y compraventa de productos. El empresario compartió su receta para limitar estas actividades:

  • La creación de una fuerza policial internacional al estilo de Interpol pero para Internet. "Lo vengo pidiendo desde hace 8 años", recordó.

  • Sistemas operativos seguros, que sólo aceptarían aquellos programas y aplicaciones certificadas, algo que sería pesado de aceptar por parte de los usuarios y que podría funcionar en algunos nichos o actividades específicas, como bancos o gobierno.

  • Redes seguras, que requerirían el uso de pasaportes de Internet, para certificar la identidad de quién accede a la Red, y una regulación global, algo que "es técnicamente posible y fácil de hacer", según Kaspersky.

Sin embargo, el empresario ruso manifestó su escepticismo sobre la adopción de estas medidas, porque los gobiernos están más preocupados por las crisis financiera internacional, la gripe A y la contaminación ambiental. Aunque expresó que el panorama puede cambiar con el crecimiento de las redes digitales basadas en la telefonía móvil.

Para este ex hacker ruso, "no existen diferencias" en cuanto a la seguridad en los esquemas tradicionales de la computación personal y la computación en la nube ("cloud computing", en inglés), porque en ambas hay un punto de ataque en común: El lugar de acceso a la red y de ingreso de datos.

Kaspersky advirtió ante este medio sobre el posible regreso de las "grandes epidemias" de virus, al estilo de Melissa y Blaster, hace un lustro. Los daños provocados por Conficker o la red de botnet Mariposa, demostrarían el retorno de esta tendencia, "una muy mala noticia", según definió el empresario.

 

Fuente: Infobae.com

Más información: htt//latam.kaspersky.com/


MARZO 2010

La seguridad es un factor determinante para la competitividad de la empresa

Chema Alonso

Director Técnico de Informática 64,  MVP de Microsoft.

Experto en seguridad informática el programa Most Valuable Professionals (MVPs) está compuesto por una comunidad de líderes técnicos a través de todo mundo, a quienes se premia por compartir de manera voluntaria su conocimiento. Personas de reconocido prestigio, absoluta confianza y accesibles que poseen una amplia experiencia en uno o varios productos de Microsoft® y que participan activamente en las comunidades en línea para compartir sus conocimientos , experiencia y ayudar a los demás.

¿Cómo fueron tus inicios en el mundo de la seguridad informática?

Mis comienzos en este mundo fueron desde una aproximación desde el mundo de los sistemas informáticos. Yo venía de trabajar con bases de datos, con redes y tecnologías Microsoft de servidores y llegar al mundo de la seguridad fue un camino sencillo y casi de atracción mutua. A mí me encantaba y había una necesidad grande de profesionales en aquellos momentos.

¿Cómo crees que está influyendo la crisis en la toma de decisiones en el área de seguridad?

Es una pregunta difícil. Yo creo que frenar la inversión en seguridad es contraproducente, pero supongo que los responsables de los presupuestos deben ser mucho más finos en estos momentos. Es evidente que la alineación con el negocio por parte de los equipos de IT debe ser especialmente cuidadosa en estos momentos para ayudar a generar más productividad a las empresas, pero una carencia de inversión en seguridad puede hacer que salga más caro generar una nueva vía de inversión con riesgos de seguridad que no sacarla. No olvidemos que los equipos de seguridad no sólo se ven afectados por problemas de continuidad de negocio, imagen o estafas, sino que además existe una legislación vigente que cumplir que obliga a mantener una infraestructura segura.

¿Cuál crees que son las tendencias de seguridad para las empresas en el largo plazo?

Pues a largo plazo no sé, pero a corto y medio plazo tienen muchos retos por delante. El primero de ellos continuará siendo el defenderse frente amenazas clásicas interpretadas por las nuevas mafias mediante el uso de malware y botnets. Seguidamente las empresas tienen el reto de defenderse, y más en estos momentos, contra los riesgos de fuga de información, robo, espionaje, etc.. provocado por ataques o negligencias internas.

Pararse en esta carrera puede suponer retrasar una empresa u organización su competitividad.

Muchas veces la seguridad no es tenida en cuenta como un factor determinante para la competitividad de las empresas ¿Qué opinión tienes al respecto?

El que no tome la seguridad como un factor determinante para la competitividad de la empresa es un peligro en la gestión de presupuestos y deberían mandarle a hacer algún otro trabajo.

Desde mi ocupación laboral, realizando test de intrusión a empresas, he visto a muchas compañías perder dinero por sistemas inseguros. Empresas que no han podido trabajar durante días porque les han comprometido sus servidores de correo y no se podían comunicar con sus clientes y proveedores, empresas que no han podido pagar impuestos a tiempo por culpa de virus informáticos y directamente empresas a las que les han robado dinero a través de webs inseguras.

El que necesite que le expliquen esto debe ser puesto en un listado de managers que nunca deben ser contratados en una empresa.

¿Qué medidas de seguridad implementas como usuario final? ¿Eres de los paranoicos obsesionados con el malware que se puede introducir en tu pc, o más bien eres de los de “en casa del herrero cuchillo de palo”?

Pues en mi PC implemento una política genial. No abro ningún mail que viene de quién no conozco, jamás uso un usuario privilegiado o privilegios cuando trabajo con programas o navego por Internet. Todo actualizado. Firewall on. No instalo ningún programa que no sé de donde viene (tengo la suerte de tener la suscripción Technet y MSDN para disfrutar del software directamente de la raíz) y disfruto de un Windows Vista en el que tengo las protecciones activas desde principio. Es bastante sencillo mantener un Windows Vista o Windows 7 seguro sin mucho esfuerzo. Lo siento por esos pobres que reinstalan su sistema cada seis meses. Mi Vista se instaló una vez y va mejor cada día.

Fuente: Iniciativas de Seguridad y Privacidad - Microsoft España


ENERO 2010 - FEBRERO 2010

ENTREVISTA A RIK FERGUSON
"China lleva años creando unidades de ciberguerra"
Experto en seguridad informática de Trend Micro, Rik Ferguson, asesora a grandes empresas y administraciones sobre ataques informáticos a sus redes

Rik Ferguson (Londres, 1968) es uno de los expertos en seguridad mejor calificado del mundo. Google reveló hace unas semanas que había sufrido un ataque a sus sistemas desde China, la operación Aurora, con el objetivo de robar parte de su propiedad intelectual. ¿Ha sido tan serio como han asegurado?

Fue un ataque con un objetivo concreto, no aleatorio. Se trató, a grandes rasgos, de una página web trampa que usaba una vulnerabilidad de Internet Explorer para instalar un programa malicioso conocido como caballo de Troya. Una vez instalado, el troyano conectaba con su origen, quedando la máquina bajo control del atacante. Pero no iba sólo contra Google. Otras 20 compañías también se han visto afectadas. Se ha tratado de un ataque muy serio.

Sin decirlo abiertamente, Google ha señalado a elementos del Gobierno chino y no a piratas individuales. ¿Tiene China un ejército de hackers?

"La difusión de un virus por móvil será más rápida al usar Internet y la red de telefonía". Hay un consenso generalizado sobre el hecho de que el Ejército de Liberación Popular de China lleva años creando unidades de guerra electrónica compuestas de civiles y militares. Pero la extensión y cuánto hay de verdad en esto sólo lo pueden aclarar los chinos. En todo caso, sólo porque un ataque proceda de servidores en China o, como en este caso, Taiwán, no significa necesariamente que provenga realmente de China, ni supone que esté apoyado por el Gobierno chino. La naturaleza del espionaje de alta tecnología hace muy difícil llegar hasta su origen.

El ataque se aprovechó de un fallo de seguridad en Internet Explorer. Esto provocó que los gobiernos de Francia y Alemania desaconsejaran usar el navegador de Microsoft. ¿Fueron alarmistas?

La alarma se lanzó demasiado pronto y fue excesiva. El fallo afectaba sólo a la versión 6 de Explorer y, una semana después, también a la 7. Pero, por lo que sé, no ha a afectado a la última, la número 8. Si la gente se pasa a otro navegador sin estar familiarizada con su configuración puede que acaben en una situación menos segura que antes.

"El contenido viene de tus amigos y te fías de ellos. Por eso los ataques son más potentes"

A finales de 2009, aparecieron dos virus informáticos para el iPhone. ¿Son los móviles la siguiente víctima?

Por ahora no son un gran problema. El primero era más una prueba de concepto y no salió de Australia. Pero el código fuente de este gusano ya está en Internet, cualquiera podrá cogerlo y hacerlo más dañino. La infección y difusión de un virus en la telefonía móvil será más rápida, ya que se puede difundir por Internet y también por la red de telefonía.

Además de los móviles ¿qué otras amenazas vendrán?

Las redes sociales, sin duda. Los ataques de siempre, spam [correo no deseado], virus, phishing [robo de información] se aprovecharán de la confianza propia de las redes sociales. Koobface, por ejemplo, es un nuevo gusano que circula por Facebook. Crea nuevas cuentas y solicita amigos. Si le agregas, te roba toda la información de tu perfil.

"Que un ataque venga de un servidor chino no significa que lo apoye el Gobierno"
Pero, ¿por qué son más peligrosas las redes sociales que un correo que esconda un troyano o una web infectada?

Por dos razones. Antes era una empresa la que creaba el contenido y tú te limitabas a leer. Ahora, con la interactividad de la web 2.0, tú creas el contenido y puedes introducir material malintencionado. Lo segundo es la confianza. El contenido viene de tus amigos y te fías de ellos. Por eso es un ataque más potente.

La informática en la nube está de moda. ¿No es un peligro mayor tener los datos en servidores externos que en casa?

En las empresas, lo que hay que hacer es revisar la seguridad de los distintos proveedores. Sus niveles de seguridad siempre deberán estar por encima o al nivel de los propios. Para las personas, en el caso del correo personal o las redes sociales, hay que seleccionar, los datos más críticos no deben estar ahí.

Los expertos dicen que el eslabón más débil de la seguridad es el usuario. ¿No podrían hacer algo más las empresas, en particular las operadoras?

Deberían comprometerse más, es cierto. En EEUU ya hay algunas que avisan a los usuarios.

¿Y por qué no se extiende esto?

Por coste, les costaría mucho dinero. Tener un flujo de datos limpio exige tecnología y eso vale su dinero.

Fuente: Público.es


DICIEMBRE 2009

Ciberdelito desde la perspectiva de la Mujer
Entrevista a Magali Pineda

Directora ejecutiva del Centro de Investigación para la Acción Femenina

Las nuevas tecnologías no sólo han colaborado con la promoción de los derechos humanos y la inclusión de los menos favorecidos. Han contribuido también al desarrollo de la pornografía infantil, la venta de servicios sexuales por internet donde una vez más la imagen de las mujeres es distorsionada y desvalorizada. ¿Cómo ataca el movimiento de mujeres estos problemas? ¿Qué incidencia tienen las mujeres organizadas en el ámbito de las políticas públicas y la elaboración de legislaciones que combatan estos temas? Sobre estas y otras cuestiones conversamos con Magaly Pineda, directora ejecutiva del Centro de Investigación para la Acción Femenina.

¿Cómo se interpreta o se entiende el tema de cibercrimen desde una perspectiva feminista?

Por lo general en América Latina y el Caribe el cibercrimen se asocia con el robo de tarjetas de crédito. Los casos de pornografía no se asocian al cibercrimen. Por otra parte el tema de la pornografía es muy ambiguo, pues toca otro debate de la interna del movimiento feminista, el debate sobre la libertad que tienen los seres humanos de expresar su sexualidad de múltiples formas. Mucha gente piensa que si se hace una campaña en este sentido, la derecha puede aprovechar para decir que una foto de una pareja gay es pornográfica. Entonces: ¿cuál es el límite entre erotismo y pornografía? ¿Cuál es el límite entre lo que impulsa tu placer individual y el derecho de los otros a no ser intimidado con una exhibición? Es un tema muy complejo. Es un tema que ha estado enredado de mucha moralina atrasada. Es fundamental atacar las redes de pedófilos y el uso de las imágenes de niñas/os en internet. En Santo Domingo, a pesar de que no existe una ley específica en contra del cibercrimen, es posible prevenirlo a través de los códigos de niñas/os y adolescentes. Y eso creo que es lo que está pasando en algunos países de nuestra región con en el tema de la pedofilia, pues en los códigos está bien claro el tema del uso de la imagen y demás. Por ahí los jueces y los fiscales tienen una manera de poder condenar a los pedófilos. Creo que al tratarse el tema del cibercrimen es importante que las feministas prestemos atención en esto.

¿Cómo la legislación de los crímenes cibernéticos se conecta con la legislación de los crímenes en línea relacionados con la violencia contra las mujeres? Por ejemplo, las multas al crimen cibernético se refieren al terrorismo, robo de identidad, spam, etc.; pero no se dice nada con respecto a las agresiones y el acoso cibernético.

Sería bueno hacer un relevamiento en nuestra región para ver cuántos países han promulgado leyes contra el cibercrimen. Yo pienso que en América Latina todavía la preocupación ha estado muy ligada a hechos como los de tarjeta de crédito, ni siquiera la suplantación de identidades. Generalmente se manifiesta en términos de fraude económico. Mucha gente tiene la percepción de que eso es el cibercrimen. Por otra parte esto trae consigo algunos costos en la lentitud de los avances que se dan en la región en el área del comercio en línea, pues como la gente se ha hecho una idea de que es muy común que te roben las tarjetas de crédito no se atreven a comprar por internet y de hecho se ha descubierto un nicho de mercado en este sentido, donde se terceriza el servicio de compras por internet. Yo pienso que la preocupación está orientada hacia ese lado y se desconocen otras formas de cibercrimen.

¿El movimiento de mujeres no tiene participación a nivel de las políticas públicas de TIC, te parece que eso responde a algún aspecto específico del género?

Si, claro. Yo creo que nosotras como movimiento reproducimos lo que le pasa a las mujeres con la tecnología a nivel individual. Y quiero decir que es incluso un poco contradictorio, porque creo que el movimiento feminista y el movimiento de mujeres es de todos los movimientos sociales el que usa más el correo electrónico, en la difusión de las campañas por correo electrónico. Creo que hay una fuente amplia de comunicación en las redes. Lo empezamos a usar muy tempranamente, cuando no había web, ya existían organizaciones de grupos de mujeres trabajando con correo electrónico pero sin embargo cuando tu hablas de tener páginas web, subir ahí todos los materiales que vas produciendo, brindar servicios a través de un portal web o de tu página vas viendo como se reduce la cantidad de mujeres que utilizan estas herramientas.

Es decir, a medida que se hace un poquito más complejo las mujeres se quedan fuera. Hay una apropiación de las tecnologías pero para acciones concretas, no como política pública. Es por eso que muchas de las páginas de las organizaciones de mujeres son páginas como con “la sonrisa congelada”, porque las hicieron muy bonitas pero la última actualización fue el 8 de marzo del 2004, por decir algo. A esto se le suma un aspecto no menor y es que en el movimiento se ha perdido la capacidad de elaboración. Cierta tendencia hacia el activismo, hacia los servicios, hace que haya menos tiempo para la reflexión y por lo tanto menos tiempo para escribir y para sistematizar, entonces el tema de contenidos también tiene un problema en nuestras organizaciones. Eso es mucho más claro en Centroamérica y el Caribe. La mayoría de las ONG de mujeres están ligadas a programas de servicios que se obligan mucho al activismo y hay poca reflexión.

Entonces te das cuenta que la gente se ha desacostumbrado a escribir. En mi experiencia trabajando con maestras he visto este fenómeno. Las maestras no quieren que los niños se den cuenta que ellas saben menos que ellos del manejo de las computadoras. Tiene que ver con la socialización, cómo nos enseñaron a jugar, a ser tan cuidadosas con las cosas, con los juguetes, que no se dañen, que no se rompan. Nuestros juguetes nunca eran máquinas sino cosas que imitaban la vida: un bebé, una muñeca, un juego de tazas. Entonces todo lo que sea un aparato nos da como un poco de miedo, además porque nunca los rompimos, no éramos como los varones que querían ver lo que había adentro del autito. Esto también se traslada a las organizaciones de mujeres. Una de las cosas que a mi me inquietan es saber por qué las mujeres en general usan Internet Explorer como navegador y no Mozilla. No tienen un cuestionamiento sobre Microsoft, por más anticapitalista que sean no ven la relación entre Microsoft y la lucha contra el capitalismo. No saben lo que es un Software libre, siguen usando cuentas de Hotmail, Yahoo, software propietario. Incluso en la misma búsqueda de información hay muy pocas habilidades.

Fuente: GenderIt.org


NOVIEMBRE 2009

"De los miles de casos que hemos investigado, el público sólo conoce unos pocos"
Entrevista a Shawn Henry

Subdirector de la División Cibernética del Federal Bureau of Investigation

Los ciberdelincuentes violan con regularidad sistemas de seguridad informáticos, robando millones de dólares y números de tarjetas de crédito en casos que compañías mantienen en secreto, dijo el principal investigador de delitos en Internet del FBI en una entrevista.

Por cada ataque altamente publicitado, como el sufrido por TJX Co y Heartland Payment, en los que redes de 'piratas' informáticos robaron millones de números de tarjetas de crédito, hay muchos más que nunca salen a la luz pública.

"De los miles de casos que hemos investigado, el público sólo conoce unos pocos", dijo Shawn Henry, subdirector de la División Cibernética del Federal Bureau of Investigation (FBI). "Hay casos de millones de dólares que nadie conoce", agregó en una entrevista con Reuters.

Las compañías que son víctimas de ciberdelitos son reacias a denunciarlos ante el temor de que la publicidad dañe su reputación, ahuyente a los clientes y afecte sus beneficios. A veces no comunican los delitos al FBI en absoluto. En algunos casos esperan tanto que es difícil rastrear pruebas.

"Ocultar la cabeza bajo tierra a la hora de denunciar un informe implica que los malos van a golpear al próximo, y al próximo después", dijo Henry.

El problema del ciberdelito se ha acrecentado durante los últimos tres años porque los delincuentes han cambiado sus métodos de ataque ya que las compañías han reforzado su seguridad, observó. "Absolutamente, se ha hecho más grande, sí, absolutamente", declaró.

Esto se debe a que Internet está creciendo rápidamente como una herramienta para el comercio. Conforme lo hace, consumidores y empresas por igual exponen datos valiosos como sus planes de negocio, números de tarjetas de crédito, información bancaria y números de la Seguridad Social. "Hay cientos de miles de millones de dólares que cruzan Internet", destacó.
Objetivos más fáciles

Los ciberdelincuentes están buscando más allá de las grandes compañías, que en los últimos 10 años han impulsado la seguridad en sus redes con productos desde 'software' de firmas como Symantec, McAfee y Trend Micro. Cisco Systems, IBM y Websense también venden productos para proteger las redes informáticas.

En su lugar, los delincuentes atacan a pequeñas y medianas empresas que no tienen la intención, dinero o experiencia para evitar los ciberdelitos.

También atacan a ejecutivos corporativos y a otras figuras públicas adineradas que son relativamente fáciles de rastrear utilizando documentos públicos. El FBI persigue estos casos, aunque rara vez trascienden.

El 4 de noviembre, el FBI advirtió de una serie de importantes casos de fraude que implican el robo de credenciales bancarias 'online' propiedad de pequeñas y medianas empresas, gobiernos locales y distritos escolares.

En este caso, como en otros, personas contratadas mediante planes de trabajo desde sus casas fueron utilizadas para trasladar el dinero al extranjero.

Fuente: Reuters


OCTUBRE 2009

"Cada vez mas estamos tratando con redes organizadas con un objetivo muy claro de ganar, ganar y ganar dinero"
Por InfoSpyware.com

Entrevista a Florín Baras – CEO BitDefender España

Aprovechando nuestra presencia en el InfoSecurity Lima 2009 tuvimos la oportunidad de entrevistar a Florín Baras – CEO BitDefender España, hombre de hablar pausado, pero con una firme convicción de lo que dice. Mientras vamos a la sala de prensa para realizar la entrevista, me comenta que  piensan implementar un laboratorio en Perú ya que el mercado latinoamericano ha llamado bastante la atención de Bitdefender.

¿Qué metodología va aplicar BitDefender en el mercado peruano?

En primer lugar a través de nuestro partner Iybcorp y Francisco en especial que está poniendo mucho esfuerzo aquí, para dar a conocer la marca, estamos promocionando varios programas de canal, en especial que consideramos que es el tronco principal a través del cual se podría construir una política muy correcta de distribución ha sido participar a los mayoristas y a los canales de aquí, llegando a través de ellos con servicios agregados al cliente final. A nivel de usuarios estamos concientizando también la necesidad de tener un producto no solo antivirus sino de protección para sus hijos. A nivel de empresa, vamos mucho mas allá de lo que es la protección de datos y ayudamos a configurar ciertas políticas. Y también a nivel de gobierno intentamos implicarnos en políticas globales que ayudemos a mejorar lo que es la relación con las empresas antivirus y echar una mano en todo lo que es la detección mas rápida, tanto redes organizadas como de escritores de virus que están haciendo bastante daño también en esta región.

Uno de los aspectos que el usuario final aprecia en un antivirus, es el consumo de recursos ¿Cómo se desempeña BitDefender en este aspecto?

Con la versión 2010 el enfoque que hemos dado es tanto en rendimiento como en estabilidad, son los dos pilares claves para esta versión, con todas las tecnologías nuevas que hemos incluido, donde somos los únicos que permiten una integración a nivel de núcleo con el sistema, el uso de recursos de la máquina es muy limitado. Estamos en Top 3 en lo que representa uso de recursos de la máquina, tanto en el inicio como el análisis, etc. Incluso hemos desarrollado varios mecanismos para optimizar todo este análisis. En tecnologías “In the Cloud”, hemos creado bases de datos de listas blancas y listas negras, una vez que se analiza la máquina, se firman con un MD5, lo que es el fichero y permite en 2 ó 3 análisis aumentar lo que es la velocidad, porque todo lo que no se ha modificado está monitorizado pero no se analiza hasta que no hay cambios reales en los archivos y aparte hay otros mecanismos que permiten firmar archivos de sistema, poder optimizar el análisis de ciertos archivos que no pueden ser dañinos, aunque es óptimo analizar todos los archivos, es de los pocos antivirus que viene preconfigurado para que analice todo, hay ahora opciones de detener ficheros con doble extensión, etc. y el riesgo es mayor hoy en día.

Nos mencionaste el punto de la Cloud Computing, significa que también poseen una estrategia en la cual se considera el apoyo de la comunidad o la actualización de la base de datos de firmas de virus depende exclusivamente del laboratorio de BitDefender?

Hoy en día estamos ya colaborando con la comunidad, llevamos casi dos años donde implicamos a los usuarios en lo que es la detección de malware el producto tiene incluido un módulo que permite avisar en caso de detectar procesos malignos en el equipo que sean desconocidos, si este número de procesos aumenta en una zona, automáticamente se envía una alerta y permite la recogida de estos ficheros de manera automática, colaboran con nosotros casi 4 millones de usuarios hoy en día. También utilizamos tecnologías “In the cloud” acabamos de lanzar un producto que se llama Quick Scan que permite dar un veredicto en menos de 1 minuto. Si la máquina está infectada o no, analizando todo lo que es registro, procesos del sistema, todo lo que realmente se está ejecutando en la máquina y de esta manera también todo lo que es desconocido se envía al laboratorio de BitDefender, pasa por unos procesos automáticos de análisis y se da un veredicto.

¿Cuales son las amenazas que considera más peligrosas para la seguridad de nuestros equipos?

Si hablamos de amenazas hablaría en primer lugar de personas, no de malware, cada vez mas estamos tratando con redes organizadas con un objetivo muy claro de ganar, ganar y ganar dinero, se está desarrollando cada vez mas malware a medida, se está creando redes de computadoras zombie, también a medida, que están vendiendo credenciales, incluso aprovechan estas credenciales para robar dinero. Incluso creo que acá en Perú también os habeís encontrado con la situación de que se infectaba una máquina, se encriptaba todo el disco para tener acceso a la máquina, tenías que pagar para tener una contraseña que te permite desbloquear el acceso a los datos. Pero si hablamos de malware en concreto los más peligrosos vienen a ser los rootkits que es una nueva generación de malwares que va a muy bajo nivel en el SO y que permite estar latentes nuevamente llevan troyanos acoplados a ellos y de esta manera permiten actualizarse y estar pendientes de recibir nuevas órdenes para atacar. Conficker creo que es uno de los ejemplos mas recientes en casi todo el mundo aunque tenga menos de 10% propagación es muy peligroso, hay casi 12 millones de computadoras zombies hoy en día creando los botnets y a partir de ahí que se utilizan para atacar.

Cuál es la visión de BitDefender para Latinoamérica y en especial para el Perú de aquí a los próximos años?

Estamos muy interesados en reforzar nuestra posición aquí sobre todo, queremos lanzar lo antes posible un laboratorio de análisis de malware aquí, sobre todo en Perú, teniendo en cuenta la experiencia que tiene el país con dos fabricantes locales como HackerSoft y Per Antivirus y queremos aprovechar este conocimiento para ir avanzando mucho mas rápido en crear el laboratorio. También desde el punto de vista comercial tenemos distribución en casi todos los países de la zona y la idea es de ir complementando las soluciones actuales con servicios y otras soluciones complejas de seguridad que pueden aportar una mayor garantía al usuario de que estará protegido, y sobre todo también la formación es importante de cara al usuario, ayudarlos a implementar políticas y todo lo demás que se requiera.

Fuente: InfoSpyware.com


SEPTIEMBRE & AGOSTO 2009 - "LA SEGURIDAD EN LAS INFRAESTRUCTURAS CRÍTICAS LLEVA DIEZ AÑOS DE RETRASO"

-¿Quién eres tú?

- Un ciudadano de Italia, nacido el 3 de julio de 1973. Vivo en Torino. Crecí rodeado de montañas, en una familia de clase media. Mi padre lleva una fábrica de automatización, por lo que crecí entre máquinas, aceite y muchas horas de trabajo. Creo que esta ha sido una de las razones que me llevó a alejarme de las cosas mecánicas y dedicarme a las computadoras.

-¿A qué edad empezaste a hackear?

- A los 15 empecé a estudiar informática en la escuela. Pero desde que tenía... diría que 9 o 10 años empecé a jugar con videojuegos. Cuando tenía 12, mis padres me compraron mi primer "computadora personal", un Commodore VIC-20. Después de algunos meses jugando a videojuegos, MUY caros para una chiquillo, decidí intentar crackear sus protecciones. A los 13 años compré mi propio Commodore C-64 y un "adaptador telemático" (el módem del abuelo ;). Aquí empezó todo: BBS, llamadas internacionales, tarjetas para llamadas internacionales, blue-boxing... Así no tuve que pagar nunca más facturas exorbitantes a la compañía telefónica.

-¿Cómo recuerdas aquellos años?

- Sin duda, aquellos tiempos, entre mis 13 y 20 y pico años, fueron los mejores de mi vida. Básicamente, empecé a hackear a veces solo y a veces con amigos en línea, dependiendo del objetivo (el sistema operativo de la computadora objetivo), la hora del día o de la noche y así. A medida que pasaron los años, fui prefiriendo hackear solo... Creo que es lo normal. Quiero deci cuando eres un newbie no sabes mucho, no tienes el conocimiento necesario. Es por eso que practicar el hacking con amigos estaba bien para mi, ya que cada uno tenía el conocimiento de una pequeña pieza y juntos podíamos hacer el cuadro completo. La escena hacker en aquellos años (1986-1995) era increíble. En primer lugar, no existía el concepto de "crimen": hackear fue ilegal en Italia sólo a partir de 1994 y lo mismo sucedió en muchos países europeos. Por tanto, podías sentir la magia, aquella increíble sensación gracias a la cual era capaz, desde mi pequeña habitación de adolescente, de chatear o hablar por voz con gente totalmente desconocida que vivían en el norte de Europa, en los Estados Unidos, en Australia... Era algo parecido a cuando yo era un niño pequeño y mi padre hablaba, a través de las ondas cortas, con otras personas apasionadas por la Banda Ciudadana. Era una sensación parecida.

-¿Cuándo te convertiste en un buen hacker? ¿Cuál fue el punto de inflexión?

-Lo recuerdo perfectamente. Sucedió cuando pasé de las zonas de chat "estándar" a las "hacker": QSD en Francia, Pegasus en Suiza, SecTec en Alemania, aquello eran auténticas "cuevas de hackers", en las que la gente pertenecía a la crema, a un grupo de élite. Y, de repente, me dí cuenta de que era parte de este mundo, que mi vida pertenecía a él. Aún hoy estoy en contacto con esa gente y algunos están entre mis mejores amigos. Crecimos juntos, algo nos une. Hicimos cosas que eran tan pioneras, vimos piezas de este mundo que "los humanos no verán en sus vidas", aún tenemos secretos que guardamos... Es como una hermandad de sangre.

-Tú eres un especialista en redes X.25. ¿Cómo empezaste a jugar con eso?

-Básicamente conozco las redes X.25 tan bien porque no tenía otra salida. En aquellos años, la Internet no era accesible como lo es hoy: sólo unos pocos centros de investigación, unas pocas universidades y, por supuesto, el ejército norteamericano la usaban. Antes de la Internet de las organizaciones, tanto gubernamentales, institucionales como multinacionales, teníamos que depender de las redes mundiales X.25 para conectar los unos con los otros. Aquí fue donde empecé, ese era mi mundo. Posiblemente, esta es la razón de que, hoy, sea considerado uno de los 4 o 5 expertos mundiales que "conocen el percal" en este tema específico. Tener un acceso X.25 era también la única forma de poder hablar con mis amigos hackers, así como de "saltar" a Internet desde un computadora "dual-homed" X.25/IPv4.

-¿Es cierto que hackeaste compañías de telecomunicaciones, bancos, redes de satélites y más? Me parece algo muy difícil...

-En aquellos tiempos, eras realmente capaz de "encontrar" cualquier cosa en X.25, como pasa hoy con Internet. Era muy común encontrarte sistemas de bases de misiles, telecos, bancos, gobiernos. Y, sobre todo, todo era tan inseguro. La seguridad de la información era algo nuevo, los administradores de sistemas no sabían que adolescentes del otro lado del mundo podían estar allí acechando, esperando sus errores para hackear en sus sistemas. Sólo para que lo entiendas: a finales de los 80 yo había hackeado toda la red WAN interna de Telefónica y tenía el control total de todo el Sistema Nacional de Telecomunicaciones Español. Esto sucedió con casi todos los operadores de telecomunicaciones del mundo, en aquellos años, todos estábamos hackeando telecos porque era divertido, fácil y útil. Y, por supuesto, porque "los hackers aman las telecos" ;)

-¿Hoy es tan fácil hackear redes X.25?

-Bueno, si sabes cómo hacerlo, la respuesta es sí. Te cuento porqué: en el pasado, todos los hackers dependían de X.25. Hoy esta gente ya no hackea (la mayoría): se han pasado a la seguridad como un trabajo full-time, están en empresas de seguridad y ya no hackean, o simplemente están haciendo otras cosas. Hoy en día los hackers crecen con Internet y Google. No pueden hackear redes X.25 porque son otra cosa. Por tanto, desde este punto de vista la respuesta es que no, hoy es más difícil hackear en sistemas X.25. Por lo que yo sé, mi empresa es una de las pocas en el mundo capaz de ofrecer tests de penetración basados en X.25.

-¿Jugaste con más cosas, además de las redes X.25, en tus tiempos de hacker?

-Solía hackear en unas 134 redes X.25 en todo el mundo, lo que significa más de 100 países. Nunca contabilicé los sistemas hackeados, simplemente porque serian cientos de miles. Recuerdo que, después de 1993, simplemente paré de anotar todos los sistemas que era capaz de hackea eran demasiados, tenían 5 agendas y 10 blocs de notas llenos totalmente de direcciones X.25, nombres de usuario y contraseñas y dije: "Esto es demasiado: estoy perdiendo más tiempo para escribir todas las notas que el tiempo que necesito para entrar en estos sistemas".

-En tu biografía oficial puede leerse: "Después de una serie de sensacionales interferencias, tanto en telecos como en otras instituciones militares, gubernamentales y financieras...". ¿Cuáles fueron esas sensacionales interferencias? ¿Qué hiciste?

-Oh.. bueno... Como he dicho, es imposible hacer una lista completa. Entré en las principales telecos del mundo (AT&T, GTE, MCI, Sprint Communications..), hackeé en la red global del ejército norteamericano, bancos, bolsas de valores... La frase "sensacionales interferencias" es de la unidad especial que me detuvo años después. Los policías estaban muy impresionados por la cantidad de conocimiento que tenía en mi cabeza, por mi juventud y por el hecho de que un adolescente controlase las ¾ partes de todo el mundo IT y TLC de aquellos años.

-También en tu biografía oficial se dice: "Fue oficialmente reconocido como uno de los miembros de la escena hacker europea y norteamericana por autoridades internacionales en 1995". No entiendo: ¿qué autoridades internacionales te dicen si eres un hacker o no?

-Con esta pregunta veo que no has hackeado en tu vida ;) Las únicas autoridades internacionales que, de alguna forma, pueden "decir al mundo" que estás entre los top-one son dos: el FBI y la Interpol. Por tanto, no lo digo yo sino el FBI y la Interpol. Lo que quiero decir es que, en estos años, cuando tu eres un hacker europeo, ser perseguido por el FBI significa que no eres un "script-kiddie", sino que eres capaz de "cruzar las fronteras" de tu país, que estás haciendo realmente un montón de ruido, aunque seas cauto y paranoico.

-Te detuvieron en 1995. ¿Por qué?

-Entré en Bankitalia, la agencia espacial italiana, la ENEA (National Body for Alternative Energy) y otras 50 compañías y les dije que todo el sistema italiano no era seguro. Podría decirse que no les gustó mucho.

-¿Fuiste a la cárcel?

-No, nunca he estado en la cárcel, ni un solo día. Probablemente porque tanto los fiscales como los jueces se dieron cuenta de que yo era un adolescente muy curioso, bastante listo, que se aburría mucho en la escuela y descubrió el hacking como un estilo de vida. Como no había dañado los sistemas informáticos que había penetrado, y no había robado dinero, decidieron que, después de todo, era un buen chico. Además, fuí el primer caso hacker del país: los legisladores no sabían muy bien cómo manejar aquello, los abogados no tenían ni idea de qué les estaba hablando... De alguna forma, había sido un gran lío.

-¿Fue entonces cuando dejaste de hackear, por miedo, y te convertiste en un consultor de seguridad?

-No fue por miedo. Esto es algo que, típicamente, les pasa a dos categorías de hackers, cuando son pillados: los "script-kiddies" y los hackers éticos. Pero por diferentes razones. Los "script-kiddies" suelen ser muy jóvenes (12-16 años) y, obviamente, les asusta el arresto, la policía y lo demás: es por eso que dejan sus actividades de hacking. Los hackers éticos simplemente crecen y entienden que, si siguen con el hacking, la próxima vez no será tan fácil como la primera. Por último y no menos importante, la historia es normalmente la misma: en todo el mundo viejos hackers saltan al mundo de la seguridad informática. Después de todo, este es nuestro mundo, conocemos lo que hay, amamos lo que hacemos. Entonces, ¿por qué no?

-¿De verdad crees que alguien puede dejar de ser un hacker?

-No y sí. No porque eres un hacker dentro de tu alma: no es sólo tecnología, es la forma como ves las cosas, si crees o no lo que "ellos" te cuentan. Me gusta decir que puedes ser un hacker incluso sin saber cómo usar un PC, puedes ser un hacker de motores, de leyes.. el hacking no va sólo de hacking. Pero la respuesta a tu pregunta también es un sí: ahora mismo tengo 35 años. Básicamente, si quisiera realizar ataques de hacking hoy en día probablemente sería un idiota. Crecí y evolucioné, igual que todos los seres humanos de este mundo. Lo que intento decirte es que es normal, cuando creces, parar de perder tu tiempo y de cometer errores: esto es exactamente lo que hice. Creo, después de todos esos años, que la detención fue, de alguna forma, una especie de suerte, que me permitió darme cuenta de lo que estaba haciendo, de lo que era capaz de hacer y de a qué riesgos me había expuesto.

-¿Cuál es tu trabajo como consultor de las Naciones Unidas?

-Empecé a trabajar con el Instituto Interregional de Investigación sobre Crimen y Justicia de las Naciones Unidas (UNICRI) hace unos cinco años. Soy el jefe técnico en todo lo que concierne al cibercrimen: llevamos diferentes proyectos, básicamente dedicados a investigación y desarrollo en diversas áreas, como formación en  para fuerzas de la ley (usando software abierto), infraestructuras nacionales críticas, etc. Aquí hay más información: htt//www.unicri.it/wwd/cyber_crime/index.php. El UNICRI me ha ayudado mucho con el proyecto "Hacker's Profiling Project" (htt//hpp.recursiva.org)

-Cuáles son las infraestructuras peor defendidas?

-Si hablamos de países, siempre me ha sorprendido el alto nivel de inseguridad que puedes encontrar en países como Corea del Sur y Japón. Es increible que países tan "hi-tech" no sean capaces de manejar su seguridad informática. Si, por otro lado, hablamos de áreas económicas y no de países, las empresas de telecomunicaciones son las menos inseguras de todas. Ahora mismo, mientras te respondo, nos enteramos de que T-Mobile ha sido hackeada por enésima vez.

-Cuál es el estado del arte, en general, de la seguridad de las infraestructuras críticas? Cuáles son los más grandes agujeros de seguridad?

-No estamos hablando de agujeros sino de ignorancia. Estas infraestructuras y, en general, todo el mundo de la automatización industrial, ahora mismo está como estaban las tecnologías de la información hace diez años. Para ponerte un ejemplo, no usan antivirus... porque puede frenar la producción de las computadoras. Al ser computadoras industriales, si dejan de trabajar la empresa deja de ganar dinero. ¿Alguna vez te has preguntado cuánto cuesta parar la cadena de producción de una empresa cementera, por ejemplo? Por lo tanto, las infraestructuras críticas y la automatización industrial básicamente adolecen de lo siguiente: no hay segmentación de la red, no hay antivirus, detectores de intrusos, registros, auditorías, test de seguridad y penetración, no hay parches ni actualizaciones (en serio), se usan sistemas operativos sin soporte, como Windows 98, la seguridad se enfoca desde la oscuridad, no hay autenticación ni cifrado, se usan configuraciones por defecto, no se controlan los accesos remotos, no hay planes de recuperación ante desastres (o, si los tienen, son inútiles).

-Has estado testeando estos sistemas, supongo, para saberlo...

-Hace unas semanas estuvimos probando una Planta Nacional de Energía entera. La respuesta, entonces, es sí. Nos contratan para probar, en todo el mundo, infraestructuras críticas nacionales y lo estamos haciendo desde hace años. Yo pertenezco además a un grupo de investigación internacional, Cristal (htt//cristal.recursiva.org) y estamos continuamente intercambiando experiencias y tendencias de seguridad con otros investigadores.

-Estamos realmente en grave riesgo? Tienes algunos ejemplos?

-Las malas noticias son que estos incidentes se están dando ya en sitios como servicios públicos de energía eléctrica, nuclear, gas natural, producción de petróleo y sistemas de transmisión; empresas de comunicaciones y tecnologías de la información, finanzas (banca, valores, inversiones), salud (hospitales, instalaciones de suministro de sangre, farmacéuticas), industria alimentaria, servicios del agua, transporte, seguridad (armas químicas, biológicas, radiológicas, nucleares, servicios de emergencia), gobiernos (incluídas sus redes de información) y la industria manufacturera.

-¿Tanto?

-Hay multitud de ejemplos. El primer inicidente que conocemos sucedió en 1982 en Siberia, cuando hubo una explosión de tres kilotones. El "software" que usaba una compañía petrolera tenía fallos y no soportó la presión, de forma que el petróleo se encendió y explotó. Otro triste indicente se dio el 10 de junio de 1999 en el Parque de las Cataratas Whatcom, en Estados Unidos: una tubería de acero de 16 pulgadas de diámetro, propiedad de la empresa Olympic Pipe Line Company, se rompió y liberó unos 237.000 galones de gasolina en un arroyo que fluyó a través de las cataratas hasta el parque Bellingham, en Washington. Una hora y media después de la ruptura, la gasolina se encendió y quemó unas 1,5 millas. Dos niños de diez años y un joven de 18 murieron a consecuencia del accidente. Hubo además ocho heridos y la planta de tratamiento de agua de la ciudad de Bellinghamis fue seriamente dañada. Se estimó que los daños ascendieron a 45 millones de dolares. Según el informe oficial, "si el sistema informático de control hubiese respondido a los comandos de los controladores de la compañía Olympics, se habría evitado el accidente".

-Es cierto que todas las redes militares y críticas están separadas de Internet, de forma que nadie pueda acceder a ellas?

-Jajaja. Esto no es cierto. Para poner un ejemplo: ¿cómo crees que el ejército norteamericano en Irak se comunica con sus altos mandos en Estados Unidos? ¿O cómo hablan los soldados con sus familias? ¡A través de Voz IP! Así que, obviamente, las redes militares están unidas a Internet. No olvides que hablamos de entornos muy grandes: siempre se cometen errores, antes o después. Por supuesto no van a instalar sus bases de datos más críticas en la web, pero los atacantes siempre encontrarán otras rutas de ataque para conseguir acceso interno a estas redes y saltar de sistema en sistema, hasta encontrar lo que buscan.

-¿Lo mismo puede decirse para la OTAN?

-En la OTAN usan dos redes de datos diferentes: una "pública" y otra "clasificada". Pero conozco a militares que hacen tests de penetración en entornos militares, también de la OTAN, y la situación no es muy bonita. Los chinos dicen que han hackeado el ejército norteamericano y este lo admite oficialmente... ¿cómo podemos estar tranquilo ante estas cosas?

-Han aumentado los ataques a las infraestructuras criticas en los últimos años?

-En el ejército, sí y exponencialmente. Hace ya años que el gobierno chino empezó a lanzar ataques contra Estados Unidos, Gran Bretaña, Alemania, Italia y otros. En mi opinión, quienes los realizan no son "black hats", si con este término queremos referirnos a alguien que está dentro de la comunidad hacker. Son soldados que conocen las actuales técnicas de hacking, pero no pertenecen ni han crecido en el mundo hacker.

-Hablando de tipos de hackers, tú participas en el "Hackers Profiling Project", que ha recogido un montón de estadísicas sobre los hackers. ¿Cuáles son las mas interesantes?

-La información que hemos recogido es realmente increible. Sobre todo en tres puntos: edades, sexo y distribución geográfica. En edades hemos visto que, en los últimos años, las edades en que los chicos empiezan a hackear han bajado dramáticamente: en los 90 tenían entre 13 y 15 años, mientras que ahora algunos empiezan a los 8 y 9 años. Esto significa que, gracias a la difusión de Internet y la documentación y herramientas de hacking, los chiquillos entran antes en este mundo.

-Y en cuanto al sexo?

-Aquí la sorpresa es que en los 80 el percentaje de mujeres en la comunidad hacker era de un 0,5%. En los 90 subió a entre un 1% y 2%. Hoy estamos en el 6%, lo que significa mucho. Desde hace unos años estoy viendo cada vez más mujeres participar en eventos hacker y estoy seguro de que esta cifra crecerá en los próximos años.

-En cuanto a distribución geográfica?

-En los 80, los hacker vivían en ciudades. Esto era así simplemente porque no era fácil, en aquellos días, encontrar una tienda de informática, o una línea telefónica dedicada, o una línea digital en el campo y las ciudades eran la única solución. Hoy, Internet está en todas partes y permite a la gente de ciudades pequeñas y pueblos iniciar sus "carreras de hacker".

-Aparte de esto, ha cambiado la escena hacker en 20 años? (sí, sé que es la típica pregunta)

-Sí, pero aún así está bien formularla. Obviamente la escena hacker ha cambiado mucho. Hablamos de una evolución, de la pérdida de la vieja ética mientras se creaba otra y de la mezcla entre el crimen organizado y las actividades de hacking (la Rusian Business Network y las organizaciones de código malicioso de San Petersburgo y Kiev podrían darnos algunas lecciones).

-Qué tipos de hackers están aumentando y cuáles desapareciendo?

-Está claro que los malos chicos están aumentando, también el crimen organizado de bajo nivel de países como Rumanía, Ucraina y algunos de Sudamérica. No veo en cambio ninguna tipología de hacker decreciendo.

-¿Qué hay de los black hats que trabajan con los terroristas? ¿Existen realmente?


-El "ciberterrorismo" es una gran mentira, querida Merce. Primero, porque simplemente no hemos visto aún a un auténtico terrorista lanzar ataques IT. Por supuesto que muchos gobiernos sienten que el "ciberterrorismo" es una nueva tendencia, una nueva "palabra clave" para los próximos años, lo que significa que muchas instituciones gubernamentales gastarán billones de dólares en este tema (el presupuesto para 2010 del Departamento de Seguridad Interior de EEUU incluye 40 millones de dólares para la seguridad nacional en tecnologías de la información).

-Te defines como un hacker ético. ¿Qué es, para ti, un hacker ético?

-En pocas palabras, los hackers éticos hacen investigación y siguen una política de divulgación total o responsable, no dañan los sistemas que hackean, no roban nada. Tienen "buen corazón" y su alma nunca hará nada "malo". Por supuesto estas normas han cambiado con los años, pero aún hoy los hackers éticos hacen sus propias investigaciones, comparten los resultados con todo el mundo y, básicamente, ayudan al mercado IT y a la comunidad mundial a elevar el nivel de seguridad de todo el mundo.

-Tú eres un defensor del "full disclosure". ¿Sin límites?

-99% sí, sin límites. Pero tengo que ser franco: algunas ocasiones en mi vida me ha sucedido que "1%". Esto pasa cuando las vulnerabilidades que encuentras y tienes en tus manos pueden impactar realmente en el mundo en el que vivimos. En estos casos, he optado por una no-divulgación total. Aún hoy, poseemos las vulnerabilidades y exploits que no hemos hecho públicos, ¡y siguen funcionando después de tantos años!

-En un mundo con cada vez más inseguridad, con todas esas botnets, virus, spam, te miro, consultor de seguridad, y pregunto: ¿En qué hemos fallado?

-Es una fantástica pregunta. ¿En qué hemos fallado... o: hemos fallado?, debería preguntarte. Las fuerzas del mal son más rápidas que nosotros. Los enemigos no son hackers, son una mezcla de criminales, ladrones y gente cualificada en IT. Están organizados como empresas de verdad, con flujos de dinero e información. Los expertos en IT pueden ganar algunas batallas, pero no toda la guerra. No solos. Necesitamos el apoyo de las empresas de IT, las fuerzas de la ley y el "underground" también. Y, como puedes imaginar, no es nada fácil.
Fuente: Mercè Molist.


JULIO 2009

El Cibercrimen y la Muje “No basta una ley, es necesario educar...”

Carlos Gregorio, Investigador del Instituto de Investigación para la Justicia de Buenos Aires, Argentina

“Las diferentes formas de violencia contra las mujeres deben estar contenidas en la legislación penal, porque esta es la forma de reproche para las conductas antisociales. Pero no basta una ley, es necesario educar, prevenir, crear mecanismos de defensa, disponer de un sistema judicial capaz de corregir estas conductas sin que esto signifique una pesadilla para la víctima”. Carlos Gregorio, investigador del Instituto de Investigación para la Justicia de Buenos Aires, Argentina, comparte su visión sobre algunos aspectos del cibercrimen.

¿Cómo la legislación de los crímenes cibernéticos se conecta con la legislación de los crímenes en línea relacionados con la violencia contra las mujeres?

Es muy difícil dar una respuesta que abarque la legislación de todos los países de América Latina. Mi sensación es que la legislación de delitos cibernéticos está sesgada hacia los aspectos que afectan directamente el comercio y la economía o se centra en el tema hediondo (como le llama la legislación brasileña) de la trata, explotación sexual o pornografía infantil. En muchas legislaciones no es visto aún como un ciberdelito el ataque a la imagen o la vida privada de una persona, y en este sentido la mayoría de los ataques violentos con contenido sexual están dirigidos a la mujer. Existen en la región muchos casos de violencia online contra la mujer (su privacidad, su imagen) que no son perseguidos, y también el sistema judicial ha mostrado mucha debilidad e impotencia para resolver estos casos cuando si se ha podido identificar y acusar a un probable responsable. Uno de los problemas es la falta de jurisdicción territorial en internet, es difícil establecer a quién acusar del delito o ante qué tribunal. Recientemente en Chile (artículo 374 ter del Código Penal reformado de acuerdo a la Ley Nº 19.927 (del 14 de enero de 2004) se estableció que los tribunales chilenos son competentes en cualquier ciberdelito de pornografía infantil mientras que ese sitio en internet pueda se visitado desde Chile... creo que será muy interesante evaluar en la práctica como operará este recurso normativo.

¿Cómo las propuestas de ley del cibercrimen han sido utilizadas para restringir el ejercicio de los derechos de la mujer, directa o indirectamente?

Existen propuestas (o leyes) para combatir el cibercrimen que ven como necesario restringir los derechos individuales, fundamentalmente la intimidad o privacidad por medio de sistemas discrecionales para intervenir comunicaciones o indagar en la vida privada sin orden judicial. Otras propuestas entran en conflicto con algunas garantías constitucionales, como la del derecho a un debido proceso legal que se relacionan - por ejemplo - con el uso de agentes encubiertos. Ambas situaciones podrían relacionarse con restricciones al ejercicio de los derechos de la mujer.

Crímenes relativos a la propiedad intelectual; ¿qué es lo que esto significa en términos de la propiedad del conocimiento de las mujeres?

Debe partirse del hecho que la legislación sobre propiedad intelectual es mayormente de carácter económico y que en realidad hay más mecanismos destinados a proteger las inversiones que la generación de arte o conocimiento. En consecuencia cualquier conocimiento que pertenezca a una comunidad no organizada económicamente puede no tener la protección adecuada, o al menos ésta podría quedar sólo en la letra de la ley y no existir una protección efectiva.

Apoyar o no apoyar la criminalización de los incidentes relacionados con la violencia contra las mujeres (el acoso cibernético, el chantaje a mujeres, agresiones cibernéticas en la ley nacional) ¿cuáles pueden ser las consecuencias negativas para la privacidad de una mujer y en su acceso al conocimiento?

La mayor debilidad de estas legislaciones está en la protección de la identidad de las víctimas. Existe claramente una doble o triple victimización, que incluye someterse a pruebas médicas, careos y especialmente la publicidad de su condición de víctima. Esto abre un espectro de riesgos personales y de procesos de discriminación. Sin duda hay un conflicto aun no resuelto en la legislación entre el derecho de acceso a la información, el derecho a un juicio público y los derechos de intimidad y privacidad de las víctimas. Las diferentes formas de violencia contra las mujeres si deben estar contenidas en la legislación penal, porque esta es la forma de reproche para las conductas antisociales. Pero no basta una ley, es necesario educar, prevenir, crear mecanismos de defensa, disponer de un sistema judicial capaz de corregir estas conductas sin que esto signifique una pesadilla para la víctima. La prevención es esencial, porque una vez que algo entra en la web se multiplica exponencialmente en otros sitios o se comparte entre pares y, ninguna decisión judicial, puede borrar nada que se haya publicado en internet.

¿Cómo la criminalización del sexo online y el comercio sexual afecta los derechos sexuales de la mujer?

Las tendencias legislativas no son muy diferentes ahora - para las relaciones online - que como eran antes para otros medios, la diferencia está en qué existen nuevos paradigmas sobre qué se entiende por un espacio público y quienes pueden ser las personas o los intereses potencialmente perjudicados. Al debatir esas diferencias se revive una gama muy amplia de opiniones sobre la sexualidad y el comercio sexual, que naturalmente están representadas en las legislaciones. Sin embargo, e independientemente de esas visiones, la mayoría de las legislaciones en la región que fueron pensadas para el mundo online se centran en la protección de los niños, niñas y adolescentes, situación que es entendible porque ellos son nativos digitales (no solo llamados así al compararlos con los adultos sino porque se han apropiado de internet como un espacio propio) y al mismo tiempo mantienen toda la vulnerabilidad propia de su edad. Es interesante analizar el ejemplo de Bolivia donde una ley prohibió la pornografía (artículo 324 del Código Penal introducido por Ley 3325 (del 18 de enero de 2006), ya que la ley fue anulada por el Tribunal Constitucional (Sentencia 0034/2006, del 10 de mayo de 2006). Esto nos deja ver que es un tema en el que se entremezclan preconceptos o impotencia, entre otras cosas y por tanto son aspectos muy difíciles de regular con consenso y eficacia. También en Venezuela se había incluido la explotación sexual en el proyecto de ley contra la delincuencia organizada pero finalmente fue sólo aprobado para la pornografía infantil (ver artículos 14 y 38 de la Ley contra la Delincuencia Organizada del 6 de septiembre de 2005) por los cuestionamientos a la figura del agente encubierto.

Fuente: GenderIT.org


JUNIO 2009

 

Macroseguridad.org presente en Infosecurity

La firma experta en la comercialización de soluciones de seguridad dice presente una vez más en el Infosecurity de Buenos Aires

"Tenemos como siempre muchas expectativas puestas en cada Infosecurity al que asistimos. En lo que se refiere a nuestras soluciones de autenticación de usuarios - Firma Digital el escenario en este 2009 es mas que propicio, por eso creemos que este evento es una buena vidriera de comunicación para poder estar en contacto tanto con clientes finales, como con Canales - resellers, y poder mostrarles las soluciones ePass tanto en tecnología PKI (firma Digital) como en ePassOTP (One time Password), y biométricos -BioPass 3000."

Comentó el Lic. Alfredo Rodríguez, Channel Manager LATAM de Macroseguridad.org y agregó:

"La seguridad y la aplicación de Firma Digital en nuestro país, hace que sea imprescindible la incorporación de ePass token USB a cualquier infraestructura, y queremos dar este mensaje tan importante a las empresas y gobierno, básicamente, si el Certificado Digital (firma Digital) que puede servir tanto para firmar un correo, o documento, no esta almacenado en un dispositivo criptográfico como ePass token USB, la firma de una persona podría estar comprometida, y este es el mensaje que queremos brindar en este evento, “En el uso de Firma Digital no se puede ignorar la seguridad al momento de almacenar un Certificado Digital, ignorarla significa comprometer la firma de una persona”.

“Continuamos mostrando las soluciones como ePass Token USB y sus beneficios reales y rápidamente perceptibles por las empresas y organismos de gobierno que están empezando a utilizar los certificados digitales (almacenados en los ePass).” Sostuvo Diego Laborero, Regional Product Manager para Latino América, México & Caribe de MacroSeguridad.org y añadió: “Estas tecnologías aplicadas junto con el uso de la firma digital en pequeños procesos o tareas rutinarias otorgan mayor seguridad en todos los procesos y reportarán un ahorro directo en el uso de papel (cuidando el medio ambiente), toners y desgaste de impresoras, etc. A su vez estas tecnologías hacen posible que el acceso a la web incremente la seguridad en los accesos de usuarios y funcionarios. La mayoría de los organismos del Estado están trabajando con dispositivos de seguridad (ePass Token) para el resguardo de la Firma Digital.

“El acceso y transporte seguro de los certificados digitales con ePass token USB evita los problemas de robo de identidad, permitiendo firmar la información, autenticar al usuario y garantizar la autoria del documento, mail firmado digitalmente, etc.”. Continuó Laborero y destacó: “Existen en la actualidad diferentes tecnologías para autenticación de usuarios: ePassOTP (One Time Password) utilizado mucho en el sector bancario para garantizar el acceso a sus usuarios internos y generando una robusta solución de doble factor para el acceso al homebanking; tecnología PKI [Infraestructura de Clave Publica y Privada] con el uso de Certificados Digitales que se está introduciendo cada vez más rápido en el mercado de seguridad. Un Certificado almacenado en el ePass token USB puede ser usado para autenticarse a una red interna, o a una VPN, además se puede utilizar para firmar digitalmente un correo o un documento electrónico y que el mismo tenga poder legal, etc.”

FUENTE: Macroseguridad.org


MAYO 2009

Los malos están también en Internet y saben utilizarlo

Víctor Domingo - Presidente de Asociación de Internautas - España

La precaución como escudo. Este es el consejo que el presidente de la Asociación de Internautas, Víctor Domingo, da a los padres, además de los dispositivos que la tecnología pueda ofrecer, para evitar que los menores sean víctimas de los abusos en la Red.

La Asociación de Internautas ha lanzado una campaña en Internet para proteger a los menores de contenidos inapropiados y situaciones de acoso, y evitar la difusión de sus datos personales y los fraudes en línea. Bajo el lema «Protección para tus hijos, confianza en línea para tod@s»

¿Por qué esta campaña ahora?

Desde la asociación venimos haciendo distintas campañas desde el año 2001 y todas en la línea de ofrecer confianza y tapar un hueco que ahora mismo está abierto y es que nadie enseña a la gente a conectarse, navegar con confianza y las medidas mínimas de protección. Primero hicimos una campaña antivirus, luego los cortafuegos y ahora hay que hacer frente al fraude on line. Hay un déficit en cuanto a seguridad y protección de los datos, pese a que los niños están a la última en la cultura del clik, pero los padres no tanto. Hay mucha gente en Internet suplantando identidades, acosando y abusando de los menores. Hemos dado charlas a los padres para explicarles de qué va todo esto y transmitirles la idea de que sus hijos tienen que utilizar Internet con prudencia e información. Los menores son menores y cuando están conectados es como si estuvieran en la calle, sometidos a peligros.

¿Cómo puede la familia evitar esos peligros?

Hay que informar a los padres y a los tutores, que es donde vemos mayores carencias. Los padres identifican Internet como si fuera la televisión o la radio y no piensan que los menores son sujetos activos de la información. La familia tiene que asesorarse de los peligros que existen, de la legislación y como hacer un uso positivo de Internet.

¿Cuántos menores se conectan cada día a la Red?

Según distintas fuentes, hay 25 millones de usuarios y se calcula que el 40% son menores.

Aquí hay dos cuestiones; una es la residencia y otra las escuelas. Nosotros vemos un déficit parecido en el conocimiento de maestros y maestras que en la familia. Tanto unos como otros minimizan los peligros y los beneficios de Internet. Esto es una herramienta y hay que utilizarla y muchos, por desconocimiento, van de un extremo a otro: o cortan Internet o dejan a los menores sin control. Lo que intentamos es ir por el camino de en medio, que es el más largo. Lo que recomendamos es que no dejen a los niños solos con la computadora en la habitación, sino que los aparatos y los puntos de acceso a Internet en los domicilios tienen que estar en los sitios públicos, como salones, al lado del televisor, donde se pueda tener un cierto control. No estamos diciendo que sea como un estado policial, pero tiene que haber un control de las redes sociales y las mensajerías que maneja el menor.

¿Cuál es el camino largo?

La educación. El estar más con los niños y saber en todo momento lo que están haciendo. Puedes quitarte el problema de encima y poner filtros para que no accedan a determinadas páginas. Ese es el camino corto. Otro más corto todavía es cortar Internet, y eso podría ser la guerra total, es como invitarle a que se vaya de casa. El camino largo es controlar los contenidos a los que accede tu hijo.

¿De qué alertan exactamente?

De los contenidos inapropiados a los que puede acceder un menor. También vamos a trabajar sobre la privacidad. Esto es muy importante porque aquí están involucrados todos los asuntos de las redes sociales, el messenger, los abusos y acosos.

Fuente: Asociación de Internautas - España


ABRIL 2009

El Hacker que descifró los enigmas del IPHONE

Resumen de multiagencias

Las 500 horas que pasó descifrando los enigmas del juguete tecnológico más codiciado del momento, hoy se ven recompensadas con un suntuoso auto deportivo, especialmente diseñado para los amantes de la aventura como él: un poderoso Nissan 350Z. George Hotz está feliz. Aunque en sus planes no contaba cambiar su descubrimiento por un juguete de cuatro ruedas y tres Iphones con ocho gigas de memoria cada uno, se cansó de esperar la súper oferta en la página ebay, por su controvertido logro, que por estos días anda en boca de todos los amantes de la tecnología.

¿Cómo lo logró? Cuatro ‘hackers’ del grupo informal Dev Wiki trabajaron junto al adolescente, en Nueva Jersey, en la tarea de ‘romper’ los candados que ataban el Iphone a la compañía AT&T.

“Viví y respiré con este teléfono desde hace dos meses”, dice George, al precisar también que su gran mérito consiste en no haber empleado piezas adicionales para decodificar su equipo. En su blog, htt//iphonejtag.blogspot.com, este estudiante de Glen Rock expresa que gracias a su logro, sobre el cual mantienen herméticos en Apple (creadora del Iphone) se podrán multiplicar el número de clientes potenciales del equipo.

Hasta ahora, por estar ligado a un operador estadounidense –a pesar de los anuncios de venderlo pronto a otros países– son muchos los que quisieran llevarse un Iphone a casa, pero sólo quienes habitan en E.U. podían satisfacer ese sueño. “Llegan japoneses con ánimo de comprar varios, pero cuando les decimos que están ligados a AT&T y que para darlos de alta hay que firmar un contrato de dos años con la compañía y facilitar datos como un número de seguro social estadounidense o una dirección de facturación en este país quedan desilusionados”, comenta un vendedor de Nueva York.

Quizás por ello el ‘hacker’ no tardó en patentar su hazaña, ayudado, eso sí por todos: CNN, NBC, New York Times y otros poderosos medios que desde el viernes repiten la entrevista con el inquieto adolescente. Cansado de recibir ofertas engañosas, en las que prometían el oro y el moro por su Iphone libre para cualquier operador, Hotz anunció públicamente que se terminaba la subasta y que recibía la oferta de Terry Daidone, fundador de la compañía Certicell (dedicada a reparar celulares) quien le ofreció a cambió de su equipo un Nissan 350Z y tres Iphones de ocho gigas de memoria.

Fuente: Diario El País - Colombia

 

Copyright © 2011 I-SEC. Todos los derechos reservados
Política de privacidad