ANTERIORES

OCTUBRE 2010

Cómputo Forense cómo herramienta de recolección de hacking

Marcelo Lau

I-SEC Information Security - Brasil

Disertante de Infosecurity Vip - Buenos Aires 2010

Extracto de la presentación llevada a cabo en el evento Infosecurity Vip en Buenos Aires - Argentina

Tips útiles para la investigación informática forense en un caso de hackeo

Recolección en línea:

• Analice de la memoria RAM.

• Analice de Red.

• Analice de Procesos.

Recolección en el disco:

• Analice del Sistema.

• Analice de los temporales en navegación.

• Analice de los eventos.

• Analice del uso del computador.

• Analice de comunicadores instantáneos.

Recolección en Celulares

Ante un hecho de hackeo existen evidencias que se mantienen disponibles para el análisis de los expertos en: Sitos y Servicios de la Web, equipos de los atacantes, en la Red.

Algunos ejemplos:

Análisis de la memoria RAM:

Análisis de tráfico de red:

Análisis de Procesos:

Fuente: ISEC Information Security Inc. - Brasil

SEPTIEMBRE 2010

La batalla en el EndPoint

Juan Pablo Tavil
Gerente de Servicios en Gamma Ingenieros S.A

GoldPartner Kaspersky, Bogotá - Colombia

Extracto de la presentación en Infosecurity Bogotá 2010

Perdiendo la Batalla contra el Cibercrimen: "Aún las empresas que están haciendo grandes esfuerzos para proteger su información, admiten que es casi imposible ganarle a los cibercriminales". Bill Brenner, Senior Editor, CIO Magazine

El Endpoint es el objetivo: “Las soluciones Endpoint representan ahora la PRIMERA línea de defensa”. Charles Kolodgy, Research Director, IDC Security Products Program.

Crecimiento exponencial del Malware:

Amenazas nuevas por día: 30,000+
Firmas nuevas por día: 3,500+
Mensajes de spam por día: 30,000,000+
Total de firmas hasta julio de 2010: 4,400,000

71% de las PyMEs piensan que una violación seria de seguridad, los dejaría fuera del negocio

¿Por qué el Endpoint es el objetivo?

Datos Descentralizados - Total Acceso - Control Completo - Acceso Fácil - Datos Móviles - Vectores Múltiples, El Endpoint es un objetivo fácil, en lugar de las redes los empleados están ahora en el frente de batalla, Internet está bajo constante ataque: los ataques a las aplicaciones superan a los browsers y los sistemas operativos como ejemplo tenemos que se triplicó desde el 2008 hasta hoy el número de ataques sobre Adobe Reader.

Los ataque usan como vector de ataque: Correo Electrónico, Navegación WEB, Scareware, Redes Sociales y Las Inversiones de TI no están donde deberían estar (es muy superior el Crecimiento Exponencial en Malware y en Ataques de los Endpoints que el Crecimiento Mínimo en Gastos de Software de Seguridad en TI sin tomar en cuenta el Impacto)

Consejos de Protección

¡La Protección puede ser Commodity – El Malware, No Lo Es!

• Tasa de Detección

• Protección Heurística

• Desempeño

• Administración

• Soporte

• Precio

Una imagen vale más que mil palabras...

Más información: http://www.gammasa.com/udn_tecnologia_kaspersky.php

AGOSTO 2010

4 razones por las cuales todo retail debe poseer un sistema de Video vigilancia IP

Juan Pablo Tavil
Regional Sales Manager South Cone

Axis Communications

El sector del comercio minorista afronta retos difíciles de superar, incluyendo una feroz competencia, márgenes escasos y pérdidas tanto internas como externas. En este contexto, los sistemas de video vigilancia se han usado tradicionalmente en la búsqueda de seguridad.

Las soluciones de vídeo en red llevan estos sistemas a un nuevo nivel: vigilancia y supervisión proactiva, una mejor prevención de pérdidas, una superior capacidad de comercialización y muchas otras funciones que son esenciales desde el punto de vista del negocio y de todas las operaciones minoristas, tanto si tiene una sola tienda o una cadena de centros comerciales.

1.- Prevención y detección de pérdidas

Las soluciones de vídeo en red proporcionan imágenes de alta resolución permiten vigilar comportamientos sospechosos y así facilitar una identificación inequívoca de las personas. Además, se integran fácilmente con otros sistemas para detectar perdidas. Por ejemplo: combinarse con su sistema EAS para garantizar una cobertura de vídeo completa y de alta calidad de todos los incidentes EAS.

Un sistema de Videovigilancia, permite desarrollar continuamente herramientas de formación para su personal, y garantizar que siempre está un paso por delante en la prevención de pérdidas internas. En otras palabras, tendrá una mejor visión y un registro más claro de excepciones como: Descuentos no autorizados, Valores introducidos manualmente, Procesamiento incorrecto de devoluciones, y Errores de reembolsos de efectivo y de vales entre otros.

2.- Seguridad y Protección

Las soluciones de vídeo en red pueden detectar posibles incidentes rápidamente, lo que permite intervenir con rapidez e identificar falsas alarmas. El resultado es un estándar de seguridad global mucho más elevado, lo que se traduce en un entorno de trabajo más seguro y protegido para el personal.

A los sistemas de vigilancia IP se le pueden añadir fácilmente cámaras adicionales a secciones de productos específicas o zonas de salida. Las imágenes de vídeo se pueden guardar en un servidor remoto para asegurar que estén protegidas frente a los intrusos. Las imágenes digitales obtenidas son nítidas y pueden verse cientos de veces sin que pierdan calidad. El uso de cámaras de redes inteligentes con detección de movimiento y alarma antimanipulación activa también contribuye en gran medida a detectar rápidamente acciones sospechosas fuera o dentro de la tienda después de las horas de apertura.

3.- Mejor comercialización y Efectividad en acciones de Marketing

Entender el comportamiento de los clientes es clave para cualquier negocio. Las cámaras estratégicamente colocadas pueden servir para registrar y evaluar la actividad de los consumidores y para tener una idea del comportamiento de compra. De este modo, podrá reconocer las áreas más populares y optimizar la tienda y su disposición. Un software para el recuento de personas es muy útil para conocer aun más su negocio.

Por otro lado, las cámaras pueden identificar estantes vacíos y alertar al personal cuando necesiten reabastecerse y hasta avisar cuando una cola es demasiado larga, para que puedan abrirse más cajas registradoras .En otras palabras, el vídeo en red le permite situar al personal donde más lo necesite y optimizar su rentabilidad.

El vídeo en red permite la evaluación inmediata de las campañas de marketing y promoción. Sabrá de inmediato si sus productos menos controlados, la señalización en el punto de venta y los escaparates realmente atraen a los clientes. Las métricas de clientes y TPV están a un solo clic, lo que le permite tomar decisiones de marketing estratégicas para aumentar sus ventas. Además, todo ello puede efectuarse en tiempo real y de forma remota, para una sola o múltiples tiendas.

4.- Rápido Retorno de inversión

Un sistema IP escalable y de estándares abiertos tiene la ventaja de crecer con las necesidades de cada cliente porque resulta sencillo agregar cámaras y adicionar capacidad de almacenamiento. Los costos de mantenimiento e instalación son bajos gracias a tecnologías como la alimentación a través de Ethernet, esto es, la alimentación se suministra a la cámara de red por medio del mismo cable que la conexión de red.

Por su parte, la vigilancia condicionada a los eventos libera a sus guardas de seguridad del tiempo y esfuerzo perdidos en responder a falsas alarmas. Las alarmas pueden activar mensajes a móviles o de correo electrónico automatizados. Las cámaras pueden enviar imágenes de un allanamiento al teléfono o Smartphone de un guarda de seguridad concreto, que podrá evaluar si se necesita su presencia. Si añade a esto los algoritmos inteligentes, como el conteo de personas, puede lograr un rápido retorno de su inversión.

Fuente: www.grupobitacora.biz

JULIO 2010

Gestión de Identidades y Accesos

Carlos Castorani
Consultor de Ventas Senior

Oracle de Venezuela

Impulsores para la Gestión de Identidades:

Manejo del Riesgo: Amenazas: Silos de Seguridad, Cuentas Huérfanas, Phishing, Keylogging, MITM, Amenazas Internas. Impacto en el Negocio: Brechas a Datos, Fraude, Costos por Remediación, Daño de Marca, Lealtad de Clientes. Soluciones: Gestión Centralizada de Políticas, Aprovisionamiento Automatizado, Seguridad Extranet basada en Riesgo, Titularidades (Entitlements)

Cumplimiento Sustentable de Normativas: SUDEBAN, SUDESEG, SOX, PCI, HIPAA, ISO / IEC 27002. Oracle Identity Management aporta soluciones en cumplimiento de las normativas: Refuerzo de Controles: Segregación de Tareas, Control de Acceso. Monitoreo de Controles:¿Quién accesó qué?, ¿Quién cambió qué? Automatización de Procesos: Aprovisionamiento / Certificación. Automatización de Reportes: Reportes Nativos, Reportes Personalizados, Análisis de Identidades.

Mejora en la Eficiencia Operacional: Aumenta la Confianza de los Clientes, Habilita la Agilidad del Negocio, Habilita Nuevos Canales de forma Segura.

¿Cuáles son las Tendencias Clave en IT?

Gestión de TODO el ciclo de vida de roles - Seguridad de Granularidad Fina en las Aplicaciones (Titularidades) - Seguridad Para, y En la Extranet - Cumplimiento y Auditorías Sustentables.

Estas tendencias funcionalmente se traducen en:

• Admin. de Identidades (Identity Administration)

• Administración de las identidades de la Extranet es parte de la arquitectura de IDM (O2, Assurant, Fedex, KPN, Cisco, etc)

• Aprovisionamiento y Gestión de Roles (Provisioning & Role Management)

• La gestión del ciclo de vida de los roles es considerada como parte integral de la arquitectura, en vez de algo posterior.

• El aprovisionamiento contemplando segregación de tareas (SoD) se ha vuelto crítico para las arquitecturas de IDM

• Gestión de Acceso Web (Web Access Management)

• Funcionalidades avanzadas de autenticación y autorización

Portafolio de soluciones de Oracle Identity Management 11g

Más Información: otn.oracle.com

Fuente: Oracle para Infosecurity 2010 Venezuela

JUNIO 2010

5.       Políticas de seguridad para la Web. La mayoría de las empresas hoy en día tienen sus propios sitios Web y la seguridad de éstos debe tomarse muy en serio. Si los hackers atacan el sitio Web de una empresa, pueden dañar severamente la imagen de la mísma. Imagine que pasaría si su sitio Web es alterado o desfigurado (un llamado “deface”) por un usuario malicioso. Sus clientes visitan su sitio, ven que ha sido comprometido y asumen que usted no sabe como manejar la seguridad de su sitio.  Podría causar un enorme daño a la imagen de su empresa, especialmente cuando usted maneja datos personales de los clientes o proporciona servicios relacionados con la seguridad. Los clientes podrían pensar que si su empresa es incapaz de garantizar su propia seguridad, ¿por qué deberían dejarla manejar todos sus valiosos datos personales? Por otra parte, algunos criminales no modificarán o cambiarán el contenido visual del sitio de su empresa.  En su lugar, incorporarán algún programa malicioso que infecte a todos los visitantes del sitio.

MAYO 2010

Honeypots: Para aprender, perder… o no

Por Raúl Rodríguez

Security At Work

Gran parte de los esfuerzos del área de seguridad a la hora de establecer medidas de protección se basan en el aprendizaje de las técnicas utilizadas por los atacantes. Con este propósito, uno de los pilares fundamentales del personal dedicado a la seguridad está enfocado a la recopilación de información para su posterior análisis, para poder aplicar y reforzar las medidas de seguridad en la organización en función de las conclusiones obtenidas.

Recopilación de Información

Pero, ¿qué información se recopila en este proceso y de qué forma? Existen muchas fuentes de información conocidas como pueden ser los informes de nuevas vulnerabilidades de aplicaciones concretas, estudios de analistas independientes, nuevas técnicas de ataque, o incluso información obtenida del último ataque sufrido sobre un recurso corporativo. Igual que en las novelas de contraespionaje o en las películas de “James Bond”, no es difícil imaginar técnicas de obtención de información que estén basadas en la implantación de señuelos o trampas en forma de aplicaciones, cuyo propósito es registrar la actividad sospechosa de los potenciales atacantes, para que éstos actúen sin darse cuenta de que su comportamiento está siendo realmente estudiado. Así nos lo cuenta Clifford Stoll en su libro “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage” (N.d.E. Un libro que nadie interesado en seguridad debería dejar de leer).

HoneyPots / HoneyNets

Este es el funcionamiento básico de los denominados honeypots: aplicaciones que simulan, de una forma más o menos interactiva, servicios o aplicaciones que registran la actividad sospechosa que un atacante pueda realizar sobre ellos. Al conjunto de honeypots que presentan una arquitectura lógica de red simulando un conjunto de sistemas, servicios y aplicaciones relacionadas, se le denomina honeynet. Por supuesto, en este tipo de entornos simulados no existe información real sensible ni relativa a la organización, pero si información aparentemente interesante que motive al atacante y le haga “perder” tiempo, al mismo tiempo que proporciona información sobre técnicas y métodos de ataque.

En esta línea existe un proyecto dedicado a aunar esfuerzos y desarrollar pautas para la creación, gestión y divulgación de estos sistemas, denominado el HoneyNet Project. En su web es posible encontrar tanto papers con información técnica como referencias a los denominados chapters de cada país relacionados con el proyecto.

En cualquier caso, en este tipo de entornos es recomendable no olvidar que estamos tratando con sistemas que interactúan con potenciales intrusos, y que los clasificamos como honeypots porque tanto la información que se expone como los sistemas que puedan verse “comprometidos” no interfieren de forma negativa en el proceso de negocio de la organización. Como habrán supuesto, el interés de estos sistemas y entornos es doble.

Por una parte, el registro de la actividad del atacante que interactúa con el honeypot o la honeynet muestra nuevas técnicas o tendencias de ataques de los que podemos aprender, y por lo tanto, permite planificar e implantar las medidas de seguridad oportunas a corto, medio e incluso a largo plazo para paliar posibles futuros ataques sobre los sistemas productivos de la empresa. Al mismo tiempo, la existencia de sistemas intencionadamente vulnerables conviviendo con sistemas de producción convenientemente securizados (aunque como saben, nunca lo suficiente) proporciona una forma muy efectiva de dirigir la atención del atacante lejos de los sistemas de negocio. Es importante, no obstante, que el entorno vulnerable esté adecuadamente aislado, evitando que pueda servir de puente hacia otros sistemas internos, y por tanto convirtiendo una herramienta en un problema.

Análisis de Resultados

Una vez disponemos de toda la información, ¿cómo podemos recopilar, analizar y aprovechar todos los datos que se van generando? Para ello existen correladores de información que ofrecen una integración bastante sencilla con la mayoría de honeypots existentes, y que a su vez son lo suficientemente flexibles como para adaptarlos al sistema en el que deba implantarse. El resultado de este análisis puede plasmarse en una serie de informes de actividad periódicos que representen el histórico y evolución de la actividad registrada, algo que veremos más adelante en esta serie.

Existe un refrán que dice “Para aprender, perder…”.

Fuente: www.securityartwork.es

ABRIL 2010

LOS PRERREQUISITOS DE LA SEGURIDAD

Wilfredo Sillerico CISA, CISM

Consultor Independiente

Ex - Jefe del Departamento de Seguridad Informática, Banco Central de Bolivia

Son ya varios años desde que se inició el “boom” de la seguridad informática. En la era del conocimiento y la información, ésta se ha convertido en el activo más preciado por las organizaciones, cualquiera fuera su tamaño o rubro.

Sin embargo, no es suficiente con tan solo adquirir tecnología (software y hardware) para proteger la información almacenada en la infraestructura informática; para lograr la seguridad es necesario cumplir primero con ciertos prerrequisitos:

1. Recurso Humano. La organización debe contar con un equipo de profesionales multidisciplinario (el número de funcionarios dependerá del tamaño de la organización, el rubro al que se dedica, entre otros factores) dedicado a esta actividad. Es probable que el término “multidisciplinario” genere motivos para el análisis, y hasta el debate, pero accedamos en concluir por ahora, que este detalle importante dependerá de la concepción y el alcance que la organización le quiera dar a la seguridad de la información.

Lo importante es contar con Recurso Humano calificado, que idealmente cuente con certificaciones que acrediten su experiencia en áreas referidas al asunto que nos toca.

2. Herramientas. No cabe duda que un esfuerzo efectivo en pro de la seguridad requiere de herramientas tecnológicas indispensables. Para proteger la información computarizada hará falta desde facilidades antimalware, antispam, firewalls, IDS’s, IPS’s, monitores/analizadores de logs, entre otros.

Un trabajo manual en este ámbito particular, en nuestros tiempos resulta impensable. La organización deberá proporcionar, en función a sus posibilidades financieras y apetito de seguridad, de instrumentos que apoyen en la labor de asegurar la información. De todos modos, siempre se puede recurrir a las alternativas “llibres” disponibles.

3. Autoridad. Quizá el prerrequisito más complejo de lograr, especialmente cuando la alta dirección de la organización no tiene plena conciencia acerca de la importancia de la seguridad de su información. Se puede contar con personal idóneo, con herramientas especializadas de última generación, pero si no se tiene la autoridad suficiente como para hacer cumplir la normativa (que como premisa debe existir) referida a la seguridad de la información, se está “arando en el desierto”. Todos los esfuerzos irán a llenar las carpetas de informes, antecedentes, recomendaciones, sin lograr acciones concretas.

Estos requisitos previos son vitales. Si alguno no logra ser satisfecho, el área encargada de la función de seguridad de la información se convertirá en un mero “chivo expiatorio”.

Wilfredo Sillerico CISA, CISM

Jefe del Departamento de Seguridad Informática del Banco Central de Bolivia

MARZO 2010

¿ Es su sitio o sistema web seguro ?

Raúl Collantes

PMI / PMP / Security Manager
Gerente de Consultoría - Verisign Trust Network Inc - Chile

www.e-sign.cl

Como medida de prevención, varios buscadores han implementado medidas de seguridad para sus clientes y entre ellos destaca la protección empleada por Google. Google realiza una determinada cantidad de pruebas de seguridad al sitio Web, como por ejemplo agregar <SCRIPT>alert("XSS")</SCRIPT> dentro de la barra de direcciones, y probar si es que el código es ejecutado. Si es detectado algún problema considerado una vulnerabilidad, automáticamente se alertará a los usuarios sobre la peligrosidad del sitio.
Un pequeño ejemplo se describe a continuación:

1.- Un usuario ingresa la búsqueda de su sitio Web.

2.- Sitio Web es encontrado por el buscador y mostrado en pantalla, en donde se alerta al usuario que el sitio es peligroso.

3.- Al intentar accederlo, Google alerta una vez más al usuario que el sitio Web puede dañar el equipo.

4.- Adicionalmente a los buscadores, existen varios navegadores que muestran alertas acerca de sitios dañinos, esto se actualiza de forma automática. Se presenta un ejemplo de un conocido navegador de Internet:

Casos como este son bastante recurrentes, de hecho algunas estadísticas afirman que el 90% de todos los sitios web tienen al menos una vulnerabilidad, y el 70% de todas las vulnerabilidades son XSS. Si bien la medida de seguridad aplicada por Google ha sido eficiente el resultado es sin duda un perjuicio serio a la imagen y credibilidad de la empresa afectada.

¿Cómo prevenir este problema? Como todo proyecto informático, se debe tener una etapa de testing funcional y de seguridad antes de lanzar dichos sistema a producción. La idea es detectar debilidades y/o vulnerabilidades que puedan ser explotadas que puedan poner en riesgo la seguridad de el o los sistemas web, además de verificar la confidencialidad de las informaciones que se manejan a través de dichas aplicaciones.

Lo importante es que, además de las pruebas funcionales, se efectúen análisis más profundos verificando la posibilidad de SQL Injection, Cross Site Scripting (XSS), y en general cualquier punto que permita a un atacante ingresar código malicioso al sistema o sitio web.

Fuente: Verisign Trust Network Inc - Chile

ENERO 2010 - FEBRERO 2010

Tips para evitar ser parte de Botnets

Sixto Flores R.

Country Manager Ecuador
I-Sec Information Security Inc.

En la mayoría de las columnas de esta edición del newsletter tratamos temas de malware y sus efectos: Botnets, a continuación definimos algunos tips a tener en cuenta para evitar infectarse y/o detectarlos.

• No ejecute ningún archivo adjunto sin antes escanearlo con el antivirus.

• Si utiliza S.O. Windows habilite DEP para todos los programas de su equipo.

• No utilice redes P2P.

• Active las protecciones de urls que poseen la mayoría de los navegadores de internet.

• Configure su plataforma de trabajo con criterios de seguridad, analizando servicios activos y procesos corriendo en memoria.

• Utilice un Firewall y chequee las conexiones periódicamente.

• Actualizar los parches de seguridad ofrecidos por los vendors.

• No utilice las passwords por default en los dispositivos de conexión (Adsl´s y routers).

• Conozca y testee su conexión a Internet (por ejemplo que los servidores DNS sean los definidos por el proveedor ISP)

• Chequee cuales son los programas que se cargan al iniciar el equipo.

DICIEMBRE 2009

¿Cibercontrol Social?
Pablo Garaizar Sagarminaga

Universidad de Deusto

España

NOVIEMBRE 2009

Advierten tomar medidas para reducir delitos informáticos
Luis Alcázar

Gerente de Cuentas Corporativas de McAfee

Perú

En el mundo existen delitos como la propagación de virus informáticos, el envío masivo de correo no deseado, la suplantación de remitentes y los ataques a los servidores con la finalidad de sabotearlos o robar información.

Ahora los delitos informáticos y el cibercrimen experimentan un fuerte apogeo en el país debido a la débil preparación de las autoridades para hacerles frente. Es en este sentido, que el ámbito de los delitos informáticos es cada vez más amplio y mientras más avanza la tecnología existe más incidencia de estos. Un mal que, sin duda, parece tomar por control la carretera del ciberespacio.

Al respecto, Luis Alcázar, Gerente de Cuentas Corporativas de McAfee Perú, sostiene que actualmente, en el mundo existen delitos como la propagación de virus informáticos, el envío masivo de correo no deseado o también conocido como SPAM, la suplantación de remitentes en Internet, los ataques a los servidores con la finalidad de sabotearlos o robar información y el Perú no es ajeno a ellos y a pesar de que los virus o hackers no se crean en este país, afectan de manera directa a las empresas".

Alcázar señala, también, que de esta manera a nivel mundial el tema de los ataques ha crecido con el pasar de los años. En el 2007 la cifra alcanzaba los 300.000, pero al año siguiente se superó los 2.000.000 millones. A fines de este 2009, se prevé que la cifra se incremente en un 50%. Del mismo modo, el Gerente de Cuentas Corporativas de McAfee Perú, destaca que el mercado de antivirus y seguridad para la computadora crecerá en un 10% en comparación con el 2008.

Asegure sus datos

Para garantizar una adecuada protección de la información y continuar la operación en el mercado con éxito o simplemente proteger los datos de su equipo de cómputo en casa y prevenir las amenazas cibernéticas, Luis Alcázar de McAfee Perú, dice que entre las soluciones más avanzadas y recomendadas se encuentran: Prevención de Intrusos, Appliances Antispam y Antivirus, Protección y Prevención de Fuga de Datos, Firewall, Control de Cumplimientos y Normas, entre otros.

Agrega, además, que el posicionamiento que están teniendo estos programas de seguridad es impulsado por el cuidado que están teniendo las empresas con la información que manejan, por ejemplo los gerentes buscan productos mediante los cuales los empleados, a pesar de que introducen dispositivos como USB a la computadora no pueden copiar ni retirar información sensible para la compañía. "Además poco a poco se están creando políticas para que las empresas, de manera obligatoria, utilicen algún sistema de protección de su información, lo cual al final las va a beneficiar y de esta manera disminuirán los casos de piratería", subraya.

Fuente: Rpp.com.pe

OCTUBRE 2009

Tips de Seguridad para Facebook
 Los Peligros de las Redes Sociales en Internet

Uno de los fenómenos que más se destaca en la revolución tecnológica de Internet, es la utilización de las redes sociales. Existen más de doscientas páginas web dedicadas a la formación de establecimiento combinado de contactos (blended networking); Facebook, Hi5, My Space, Orbuk y Neurona, se destacan por su capacidad de construir redes de contactos. La nueva moda de navegación se centra en la búsqueda e inclusión de amigos y contactos; compañeros de estudio, colegas, equipos deportivos y hasta agrupaciones políticas en la web. Se trata de una nueva dimensión expansiva de las relaciones personales, que antes solo podía ser alcanzada por técnicas de mercadeo profesional.

La incorporación de imágenes, videos y sonidos y la combinación de estas redes con servicios como Youtube.com, hacen que los perfiles o fichas personales de cada usuario sean verdaderos resúmenes de información, diarios íntimos y álbumes de fotos personales; soñadas solo por madres y abuelas de todo el mundo. Estas páginas web almacenan datos que sirven para obtener desde el perfil psicológico, hasta datos personales como fechas de nacimiento, que pueden ser utilizados por Ciberdelincuentes en la suplantación de identidades en Internet para obtener acceso a cuentas bancarias en línea y para el uso de servicios web. Sirven también estos datos para dar todo tipo información a hampones y organizaciones criminales del mundo real y físico.

La Información que hacemos pública en Redes Sociales en Internet

Al inscribirnos en lugares como Facebook o My Space, colocamos nuestra información real a efectos de poder ser ubicados fácilmente por amigos u otras personas con intereses comunes. Muchos de estos sitios tienen dentro de sus condiciones de inscripción el suministro de su fecha de nacimiento autentica[2]. La fecha de nacimiento es utilizada por el 10 % de los usuarios de Internet como su contraseña de acceso o como parte de ellas para acceder a sistemas protegidos[3]. Igualmente estos sitios nos solicitan nombres y apellidos completos, los cuales son utilizados por otro 15 % de los usuarios de sistemas de información como password o palabras claves. Solo con esta información tenemos que el 25% de los usuarios de estas redes pueden ser vulnerables a los delincuentes informáticos.

Actividades de los Usuarios y su utilidad para los secuestradores

En facebook en el campo “Actualización de estado”, se acostumbra colocar información de las actividades de los usuarios. Hemos observado, que muchos usuarios declaran hasta varias veces al día desde sus celulares, si están trabajando, si están en casa o fuera de ella todo un fin de semana. Esta información puede ser utilizada por delincuentes para cometer delitos contra la propiedad y contra las personas, al suministrar información de ubicación, pone en riesgo al usuario y sus familiares.

Por alguna razón de carácter psicológico, hemos observado como los usuarios de estas redes se dedican a buscar no solo a amigos, sino a conocidos amigos de sus amigos, por lo que la lista de contactos se hace como una especie de competencia entre amigos por el crecimiento de su número de contactos en la red.

La Realidad de la Privacidad en las Redes Sociales

Una de las primeras ofertas que hacen estos sitios de redes sociales, es la de poder controlar tu privacidad, lo cual es relativamente cierto, por cuanto, la configuración básica inicial o por defecto, es que todos los datos suministrados al sitio serán públicos. Igualmente las redes sociales en Internet, ofrecen que no permitirán que los buscadores como Google, Yahoo y Msn puedan recopilar tus datos personales si así lo configuramos, pero la verdad es que cualquier persona con una identidad y datos falsos que se inscriba en los sitios de redes sociales, tendrá acceso a gran cantidad de datos en estos súper-buscadores de personas.

Tips de Seguridad para configurar su perfil personal en Facebook

• Cambie la configuración de seguridad de su Facebook para que solo sus amigos y no los amigos de sus amigos, puedan ver su foto principal del perfil.

• Al Inscribirse o después de su inscripción, cambie su fecha de nacimiento sumando cifras iguales al día, la fecha y el año.

• Jamás elija las opciones de privacidad: “Mis redes” o “Amigos de mis Amigos” en la configuración de información básica, personal y en la pestaña de información de contacto.

• No coloque en sus actualizaciones de estado, su ubicación física o la actividad real que esta desempeñando.

• Configure para que las fotografías etiquetadas de Ud. solo puedan ser vistas por el grupo de amigos configurados a tal efecto.

• Cambie la configuración de privacidad para que los buscadores web u otras páginas no puedan recabar u publicar información de su perfil.

• Haga visible solo para su grupo de amigos, la información del calendario para que extraños no pueden ubicarle físicamente en fechas determinadas.

• Agregue a su Facebook por su calidad y no en cantidad.

• Aplique el criterio del Bajo perfil en Internet y no haga pública información sensible que pueda ser utilizada por extraños o delincuentes de todo tipo.

• No agregue aplicaciones de árbol familiar, o grupos familiares para que no pueda ser ubicado su entorno inmediato ni sus miembros y en caso de que lo haga configúrelo para que solo sea visible por los miembros del mismo.

• Utilice la técnica de desinformar como táctica de contrainteligencia.

• Denuncie actividades irregulares y acoso de personas a través de la web.

• Si sus hijos están inscriptos, supervise si sus contactos son conocidos y pregunte en caso de dudas.
  

Fuente: Informaticaforense.com

SEPTIEMBRE 2009

Las cinco erres de la seguridad en tiempos de crisis

por: Khalid Kark
Principal Analyst - Forrester Research

La recesión económica ha demostrado algo es que muchos CISO todavía luchan por articular el valor de sus programas de seguridad y justificar el gasto ante la dirección ejecutiva de su empresa.

Reputación

El impacto de las brechas de seguridad en las marcas consolidadas y conocidas durante los últimos años ha provocado grandes pérdidas a estas compañías. No sólo por culpa de amenazas externas procedentes de la comunidad hacker, que cada vez son más sofisticadas y dirigidas, sino por el daño provocado por amenazas internas. Las acciones perjudiciales, intencionadas o no, de los propios usuarios están incrementándose en los últimos años.

Regulación

Según avanzan las regulaciones se incrementan exponencialmente los requisitos que hay que cumplir. La organización de seguridad tiene la tarea de gestionar la conformidad con múltiples regulaciones, y hacerlo de forma eficiente para que una misma auditoría o valoración pueda utilizarse múltiples veces. Los CISO deben centrarse en las siguientes áreas cuando articulen el valor de la regulación: conformidad con múltiples regulaciones simultáneamente mediante el desarrollo de un marco de trabajo común de seguridad y auditoría, no sólo cumplir la letra de la ley, sino también incorporar la perspectiva empresarial, y evitar denuncias y multas por falta de conformidad. Como ejemplo, un establecimiento comercial pudo evitar multas de 30.000 euros diarios gracias a un firewall de aplicaciones que le costó unos 70.000 euros.

Rentabilidad

Aunque la seguridad informática no siempre contribuye directamente a la rentabilidad de la empresa, a menudo es imprescindible para proteger su propiedad intelectual. Los CISO deben ir un paso más allá y reforzar el valor de la seguridad remarcando su papel en la protección contra el robo de IP y la obtención de nuevos negocios potenciando la seguridad. En algunas industrias como los servicios financieros la seguridad de la información es parte del marketing corporativo. El Bank of America, por ejemplo, se ha posicionado adecuadamente como un banco que valora la privacidad y seguridad de sus clientes. Como resultado de ello, ha encontrado una forma innovadora de incrementar los ingresos a través de la seguridad de los usuarios, ofreciendo testigos de autenticación de doble factor a cambio de una pequeña cuota. Para estas empresas, la seguridad es una necesidad absoluta, tanto para sus usuarios internos como para los clientes.

Resiliencia

La resiliencia es una preocupación importante para muchas empresas debido a desastres naturales pandémicos como el huracán Katrina o los tsunamis de extremo oriente. Muchas empresas se dieron cuenta durante esos lamentables desastres de que no tenían planes ni procesos preparados para enfrentarse a ellos. La seguridad puede ayudar mediante planes de continuidad de negocio crítico durante esos períodos y coordinando y respondiendo a las amenazas e incidentes eficientemente.

Un proveedor de servicios en el Golfo perdió todo su negocio cuando sus dos centros de datos -separados entre sí 50 kilómetros- fueron destruidos por el huracán Katrina. La compañía no se recuperó de la pérdida y tuvo que declararse en bancarrota. Por otro lado, una compañía de servicios financieros no sólo pudo trasladar su actividad a su centro de backup en el nordeste sin problemas, sino que tenía disponible al 99% de su plantilla tres horas después de que el huracán llegase a la costa. Los esfuerzos para garantizar la continuidad del negocio fueron encabezados por el equipo de seguridad y coordinados con el equipo de recuperación de desastres del departamento de TI. Aunque la compañía sufrió pérdidas, se pudo recuperar por completo en menos de 48 horas.

Recesión

Algunos podrían argumentar que hablar sobre la recesión no ayuda a articular el valor de negocio de la seguridad informática. Pero muchos CISO se han dado cuenta de que en el entorno actual esta puede ser la única forma de llamar la atención de sus jefes. Los CISO pueden ayudarles a conseguir sus objetivos en los tiempos difíciles reduciendo costes mediante la inversión en relaciones estratégicas con fabricantes, utilizando los productos y herramientas existentes con mayor eficacia y creando eficiencia en los procesos empresariales.

Como ejemplo, un fabricante gastaba aproximadamente dos millones de euros al año en procesos manuales de conformidad. El CISO de la compañía propuso una herramienta de gestión para aprovechar el trabajo haciendo que el proceso de auditoría y conformidad fuera más eficaz. La compañía pudo ahorrar 1,4 millones de euros en tres años combinando sus distintas actividades de gobierno TI, riesgo y conformidad, como la auditoría, valoración, prueba e informes.

Muchos CISOS han estado tan centrados en responder a las amenazas y gestionar el día a día operativo que no se han podido dedicar a responder algunas cuestiones básicas. Implementar estas cinco erres les ayudará a articular mejor el valor de sus programas de seguridad.

Fuente: CSO.es

AGOSTO 2009 - Tips para evitar Ingeniería social

• No suministrar datos personales, números de tarjetas y contraseñas a través de un contacto telefónico.

• Estar atento a e-mails o llamadas solicitando información personal

• No acceder a sitios web o hacer click en links recibidos por e-mail o presentes en páginas sobre las cuales no se sepa la procedencia

• Siempre que haya duda sobre la verdadera identidad del autor de un email o contacto telefónico, entrar en contacto con la institución, proveedor o empresa para verificar la veracidad de los hechos.

Cuidados al realizar transacciones bancarias o comerciales

• Seguir todas las recomendaciones sobre utilización del programa de correo electrónico y del navegador de manera segura

• Estar atento y prevenirse de los ataques de ingeniería social

• Realizar transacciones solamente en sitios web de instituciones que usted considere confiables

• Siempre tipear en su navegador la dirección deseada. No utilice links en páginas de terceros o recibidos por e-mail

• Estar seguro de que la dirección que muestra en su navegador corresponde a la web que usted realmente quiere acceder, antes de realizar cualquier acción

• Estar seguro que el sitio web usa una conexión segura (o sea, que los datos transmitidos entre su navegador y el sitio web están encriptados) y utiliza un tamaño de llave seguro

• Antes de aceptar un nuevo certificado, verificar junto a la institución que mantiene el sitio web sobre su emisión y cuáles son los datos que contiene. Entonces, verificar el certificado de la web antes de iniciar cualquier transacción, para asegurarse que fue emitido para la institución que va a acceder y está dentro del plazo de validez

• No acceder a sitios web de comercio electrónico o Internet Banking a través de computadoras de terceros

• Desconectar su Webcam (si usted posea alguna), al visitar una web de comercio electrónico o Internet banking.

Cadenas

• Verificar siempre la procedencia del mensaje y si el hecho descripto es verídico

• Verificar en sitios web especializados y en publicaciones del rubro si el e-mail recibido no está catalogado como una cadena.

Fuente: InformáticaHoy.com

JULIO 2009 - Ingeniería social. La más peligrosa.

Un informe recuerda que las personas son el eslabón más débil en la 'ciberseguridad'

La popularidad de Facebook y otros muy visitados sitios de redes sociales ha dado a los "piratas informáticos" nuevas vías para robar dinero e información, según un informe de la compañía de seguridad Sophos.

Cerca de la mitad de las compañías bloquea parcial o completamente el acceso a las redes sociales debido a la preocupación por 'ciberincursiones' a través de esos sitios, de acuerdo al estudio.

"Los resultados de las investigaciones también revelaron que un 63% de los administradores de sistemas están preocupados porque sus empleados comparten demasiada información personal a través de los sitios de redes sociales, lo que pone su infraestructura corporativa -y los datos sensibles almacenados en ella- en riesgo", dijo el informe de Sophos.

Esto ocurre a pesar de años de exhortaciones a los usuarios de ordenadores sobre la necesidad de mantener su información personal en privado y abstenerse de abrir archivos adjuntos de correos electrónicos provenientes de fuentes no conocidas.

Uno de los resultados es que una cuarta parte de los negocios ha sido afectada por tácticas como el 'spam', el 'phishing' o ataques de 'software' malicioso a través de Twitter u otras redes sociales, asegura Sophos.

Sophos también descubrió que la cantidad de páginas web con 'software' malicioso se cuadruplicó desde principios del 2008, y un 39,6% de ellas tiene sede en Estados Unidos, que alberga más que cualquier otro país. China es el segundo, con 14,7%.

Fuente: Sophos

JUNIO 2009

Implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI)

Harro Osthoff - TÜV Rheinland Argentina

MAYO 2009

Identificación de Funciones y Responsabilidades de TI

Lic. Martín Vila - ISec Information Security Inc.

Para llevar a cabo una correcta gestión de seguridad de la información es conveniente tener identificada y documentada las funciones y responsabilidades de cada área de TI de la Compañía, a continuación definimos algunos tips necesarios:

• Relevamientos de FUNCIONES llevadas a cabo en TI: Sistemas Informáticos, Telefonía, Comunicaciones Satelitales, Outsorcing de Funciones en Proveedores, Servicios de Hosting / Housing a Terceros.

• Definición de áreas de responsabilidad del Departamento de Sistemas, comprende: Comité de Sistemas, Responsable del área de TI, Desarrollo, Tecnología, Operaciones y sus áreas complementarias: Mesa de ayuda, Administración de seguridad, Líderes de proyecto, Control de Calidad.

• Identificación de Procesos del Área de Sistemas: Administración de Usuarios y Permisos, Administración de Licencias de Software, Copias de respaldo y restauración, Instalación de Software, Servicios de Correo electrónico e Internet, Desarrollo de Aplicaciones, Seguridad Física, Administración de las Comunicaciones, Prevención de Virus Informáticos, Continuidad del Procesamiento

Factores críticos del éxito:

• Política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;

• Una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;

• Apoyo y compromiso manifiestos por parte de la gerencia;

• Un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;

• Comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;

• Distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;

• Instrucción y entrenamiento adecuados;

• Un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.

ABRIL 2009

LOS 10 MANDAMIENTOS PARA LAS PYMES
Loreto Serrano
Mc Afee - Chile

1. Las soluciones para pequeñas y medianas empresas no deben ser versiones reducidas de las diseñadas para grandes empresas. Una misma solución no sirve para todos, pues una pyme requiere una solución comprobada, diseñada según sus necesidades como tamaño, presupuesto y desafíos.

2. Una buena protección no precisa ser complicada. Una pyme requiere una solución fácil de instalar y de actualizar. Como complemento, es necesario: Crear una política de seguridad para la empresa y entrenar a los empleados para aplicarla; obtener los parches de seguridad más recientes, los cuales proporcionan una protección más actualizada; suscribirse a boletines informativos de seguridad, notificaciones de actualización de software u otros. Además, se deben establecer prácticas para una correcta administración de contraseñas y cuentas, las cuales una vez que dejen de utilizarse se deben desactivar.

3. En seguridad, la protección debe ser proactiva, no reactiva. El secreto es encontrar una solución de seguridad que haga mucho más que detectar y reaccionar a los virus. La solución apropiada monitorea constantemente toda la red, administra políticas de seguridad en todos los niveles y toma medidas para mantener la protección contra virus de última generación.

4. Soluciones de costo reducido no siempre significan protección de baja calidad. La solución ideal es la que se ajusta a su presupuesto sin sacrificar la calidad de la protección. Soluciones imprescindibles son un firewall de perímetro y un software antivirus para desktop, que sean aplicaciones proactivas en la identificación y exclusión de virus conocidos y desconocidos, aunque debe considerar tener varias capas de protección, como anti-spam, servicios administrados u otros.

5. Los usuarios son los peores enemigos de sí mismos. La pequeña y mediana empresa está cada vez más vulnerable. El creciente número de opciones para conexiones remotas como empleados a distancia o con sistemas móviles, hizo que las pymes fueran más conscientes y vulnerables al acceso no autorizado. Con una solución de detección de invasión proactiva y basada en la red, la empresa puede bloquear ataques a la red, deteniendo las amenazas antes de que entren.

6. La bandeja de entrada es un riesgo potencial. Gartner Research afirma: "La amenaza a la seguridad que puede presentarse con más probabilidad en pequeñas y medianas empresas es un virus que llega por e-mail". Por lo que se deben aplicar medidas corporativas a los usuarios como: No compartir la dirección de e-mail; no abrir correos electrónicos de origen desconocido; no abrir o ejecutar adjuntos, a menos que sepa lo que son; no abrir ningún archivo con extensión doble (hello.txt.vbs) o protegerse con soluciones antispam.

7. La bandeja de salida es un riesgo potencial. Los mensajes que contienen comentarios ofensivos sobre raza, sexo, edad, orientación sexual, pornografía, credos religiosos o políticos, origen nacional o discapacidad física perjudican la imagen de una empresa. Además, enviar un e-mail es como enviar una tarjeta postal, muchas personas pueden leerlo en el camino. Algunas recomendaciones son protegerse contra un eventual contenido inadecuado adicionando automáticamente un mensaje de exención de responsabilidad a todos los e-mails de salida, prevenir mensajes y archivos inapropiados, no solicitados u hostiles.

8. Las amenazas mixtas hoy llegan rápidamente, replicándose e inundando la red. Ellas combinan los peores aspectos de los worms, virus y troyanos, y son complementadas con sofisticadas técnicas de invasión. Probablemente, la víctima nunca sabrá qué es lo que lo afectó. Tales amenazas se diseminan tan rápidamente que pueden interrumpir las actividades comerciales en cuestión de minutos.

9. Los usuarios finales bajan software no relacionado con el trabajo. Evitar que los usuarios finales realicen descargas de internet en computadores del trabajo, ya que pueden dejar la red vulnerable a un ataque viral. Bloquear las PC con una configuración segura, con un firewall en cada equipo, permitirá una exposición mínima a aplicaciones perjudiciales. Establecer políticas claras en la empresa sobre descargas de música, pornografía, salas de charlas o juegos.

10. La pyme es la espina dorsal de la economía nacional. Lo que la diferencia de las grandes corporaciones es que pueden ser más receptivas y flexibles a los cambios en tecnología, por lo que pueden ser innovadoras en su ramo. De acuerdo con un estudio de Giga Information Group en 2003, la inversión en las soluciones McAfee Network Protection proporcionó a las empresas un ROI positivo de hasta un 145 por ciento en tres años. El estudio reveló que las empresas que usaban el appliance de prevención de intrusos, economizaron 23 por ciento en costos de capital, 41 por ciento en costos de operación y 33 por ciento en beneficios comerciales, de modo que la solución "se pagaba" en cuatro meses.

Fuente: Diario El Mercurio - Chile