SEPTIEMBRE 2009
 La
banca tiene ahora una nueva preocupación: los delitos telefónicos
Arancha Asenjo
Redactora, IDG Communications
Madrid - España
Los ataques contra
la banca utilizando el teléfono como medio de engaño empiezan a
preocupar a este sector.
Además de llamar a
los clientes para alertarles sobre transacciones sospechosas,
los bancos también emplean el SMS para solicitar a sus clientes
que les contacten. Así, los delincuentes han empezado a utilizar
una variedad de técnicas para intentar engañar a los bancos y a
hacerles pensar que están hablando por teléfono con sus
verdaderos clientes. “La autenticación en el centro de contactos
es, para mí, el mayor punto débil ahora mismo”, sentencia Stan
Szwalbenest, director de riesgos de canales remotos de JP Morgan
Chase durante una ponencia en la RSA Conference en San Francisco.
Malware, phishing y
ciberataques es algo de lo que se habla, pero “nunca debemos
hacernos los tontos pensando en que el único modo en el que se
produce el delito”, opina. “Los mayores riesgos que veo son de
ingeniería social, y ese es exactamente el modo en el que se
están introduciendo los bandidos”. En estos ataques, los
estafadores engañan a los clientes y empleados de los bancos
para que les den información confidencial pretendiendo ser
alguien que realmente no son. En ocasiones, los delincuentes
piratean las cuentas bancarias y cambian el número de contacto
de un cliente. Y cuando se registra una transacción sospechosa
en una cuenta, el banco llama al estafador en vez de al cliente.
En los foros sobre
ciberdelincuencia hay incluso un nombre para la gente que hace
esto: “confirmador”. David Shoryer, vicepresidente senior de
seguridad online e inscripciones de Bank of America, señala que
“hay empresas especializadas en esta tarea”: los piratas venden
los servicios de gente con habilidades lingüísticas para imitar
a los clientes legítimos.
Otra modalidad de
engaño es cuando los delincuentes activan las funciones de
desvío de llamadas automático para hacerse temporalmente con las
líneas telefónicas de la víctima. “Se están adaptando a nuestra
adopción de diferentes tecnologías y métodos de autenticación”,
continúa Shoryer.
Grandes entidades
como JP Morgan están trabajando con las empresas de
telecomunicaciones para identificar las llamadas falsas. Además,
con el reciente brote de los llamados “swatting attack” o
ataques de falsas alarmas, donde los hackers llaman desde
números falso al 911 con el fin de que la policía envíe a los
equipos de emergencia, la Comisión Federal de Comunicaciones
(FCC, por sus siglas en inglés) de Estados Unidos está tomando
un mayor interés en este engaño, añade el portavoz de JP Morgan.
Los delincuentes
también están usando los sistemas de telefonía corporativos y de
bajo coste para que actúen como centros de llamadas
automatizados. Así, llaman y envían emails y SMS a las víctimas
diciéndoles que llamen a un número de teléfono, que las víctimas
creen que es un banco real, y proporcionen sus números y
palabras clave. Esta técnica se ha venido a denominar
últimamente “vishing”, pero en realidad ha sido empleada por los
artistas del engaño durante décadas, señala Szwalbenest. “Es
ingeniería social. Eso es todo. Ha estado ahí durante muchos
años”. Por eso, este experto en seguridad recomienda, y a la vez
teme, que “los consumidores sospechen de todas sus llamadas”.
Fuente: IDG.es
AGOSTO 2009
Políticas de seguridad de la información, depende del punto de vista
del observador.
por Carlos Gilberto Delgado Beltran
Especialista en Telecomunicaciones y Seguridad Informática
UMNG Bogotá Colombia.
Las políticas de seguridad no es
solo un documento o un grupo de documentos que es necesario que
todo los usuarios conozcan, es todo un proceso y como tal el
documento es solo la entrada del mismo, luego de implementan, se
miden, se evalúan y se mejoran. Tomando como referente esta
importancia uno de los aspectos más relevantes al momento de
crear estos documentos es quien los redacta y cuál es el
ambiente dentro del cual se desarrollan estos documentos; este
es el tema central del presente artículo.
Una de las primeras situaciones y
por demás una de las de mayor frecuencia cuando se inicia dentro
de una organización el tema de la seguridad informática es la
elaboración de las políticas de seguridad. Si las referenciamos
en un contexto practico como por ejemplo la ISO- 27001 se habla
que es uno de los primeros elementos a desarrollar incluso antes
del análisis de riesgos, y es un criterio de éxito de la
implementación del un SGSI (sistema de gestión de seguridad de
la información). Ante esta expectativa las organizaciones se
encuentran con situaciones como:
-
Poca visión o experiencia de la
organización en el desarrollo de políticas
-
Ausencia o desconocimiento de
metodologías para el desarrollo de políticas
-
Políticas muy bien escritas pero
sin aplicar
-
Políticas que no cubren toda la
organización
Las políticas de seguridad de la
información hoy día se presentan como alternativas para
acrecentar el nivel de seguridad de las organizaciones, como
herramientas organizacionales para el desarrollo de conciencia
en la seguridad informática y en otros casos como herramienta de
control o prevención de riesgos; estos entre muchas de las
justificaciones o razones que existen para crearlas.
Se podría asegurar en el contexto
amplio de la seguridad de la información (que se puede
diferenciar de la seguridad informática) que las políticas
aportan al logro de todas estas razones, pero un punto fuerte
que es necesario debatir e influye en el éxito de su
implementación es elegir cuales son las políticas adecuadas para
cada tipo de organización.
Acerca de esto se han realizado
varios intentos en el interior de las empresas, desde el copiar
y pegar (copy-paste) hasta el desarrollo metódico de estas;
aceptando que ya es un problema encontrar ese referente
metodológico adecuado entre los tantos que existen. Pero este no
es el tema central de este debate, la pregunta que entre tantas
que debemos resolver en para este caso ¿Quién o quienes deben
escribir y/o desarrollar el documento de políticas de seguridad?
Y ¿Cómo influye esta decisión en el éxito de las políticas? Como
se indica la respuesta apropiada para la primera pregunta es muy
parecida a la respuesta que se obtiene en la física, Depende del
Observador, y traída a este caso Depende de quién las escriba.
Ya es bastante complejo para algunos la tarea de escribirlas
ahora es aun más complejo lograr que estas apliquen a todas las
áreas de la organización. ¿Por qué? A esta pregunta pueden
surgir múltiples respuestas.
Quien las escribe es generalmente la
persona encargada de la coordinación o dirección del área
informática, en este contexto se corre el riesgo de que las
políticas solo se enfocan en la informática, los discos duros,
las copias de seguridad, el correo electrónico, los servidores,
los permisos de acceso, el firewall, los sensores.
Quien las escribe, no lo hace el
director, las escribe uno de los analistas o personal de
soporte, en este caso pueden quedar aun más restringidas al uso
correcto de equipos de cómputo, la red, el acceso a internet y
el correo electrónico.
Quien las escribe es el encargado
del área de seguridad, en estos casos se puede correr el riesgo
de establecer controles y políticas de seguridad electrónica
(como es llamada por algunos) y dejar el tema resumido en
controles de acceso, Tarjetas de proximidad, sensores de humo,
sensores sísmicos, sensores de movimiento, cámaras de seguridad
CCTV.
Quien las escribe es un consultor
externo, se asume que esta persona antes de realizar el
ejercicio de la redacción de políticas, se dio a la tarea de
conocer con el mayor detalle posible la organización, sus
procesos, el negocio. Sumando a esto que es tercera parte y no
está vinculado directamente con la organización tiene un punto
de vista objetivo y libre de prejuicios interno. Es un experto
en seguridad (sabe mucho, gurú de la seguridad) y no piensa en
la misión de la organización, su quehacer diario y sus
propuestas pueden pecar por requerir todo el desarrollo de
manera externa y las organizaciones no conocen o confían en esta
manera de trabajar (no tener miedo al outsourcing).
ROI? El que escribe la política no
piensa en el presupuesto. En estos casos se plantean políticas
cuya implantación suele tener un alto valor económico y un alto
costo en tiempo de implementación. Que en muchos casos no se
justifica con la protección lograda.
Ante estas preguntas y muchas más
que surgen de la realización del ejercicio de la creación de
políticas de seguridad, se encuentran múltiples opciones como
solución una de estas y revisando la experiencia propia, una de
las más usadas es que las empresas crean una tabla de
seguimiento (check list), para validad la creación e
implementación de las políticas de seguridad, pero esta es una
solución plana y no debería ser así, no solo con el hecho de
validar con una lista que el control que aplica a cierta
política esta implementado se puede dar por cumplida la
política, se deben implementar verificaciones más completas y
complejas. Al mismo tiempo más transversales, las políticas
afectan toda la organización a lo largo y ancho; entonces que la
verificación tenga el mismo impacto.
Fuente: UMNG
Colombia
JULIO 2009
El
negocio de los falsos antivirus
La proliferación del malware se ha
extendido en los últimos años y el número de amenazas ha alcanzado
proporciones asombrosas
Por desgracia, el crimen informático
se ha convertido en un peligro oculto dentro de nuestra
sociedad, y detrás de esta tendencia creciente se encuentra un
tipo de malware llamado ‘rogueware’ o falsos antivirus: una
variedad mucho más omnipresente y peligrosa que las amenazas
anteriormente observadas por los investigadores de seguridad. El
rogueware consiste en falsas soluciones de software diseñadas
para robar dinero a los usuarios de ordenadores, cobrándoles por
eliminar amenazas que en realidad no existen. A finales del año
2008 PandaLabs detectó casi 55.000 ejemplares de rogueware.
-
Estimamos que para finales del
3er trimestre de 2009 detectaremos más de 637.000 nuevos
ejemplares de rogueware (un incremento de diez veces en
menos de un año).
-
El rogueware infecta
aproximadamente 35 millones de nuevos ordenadores cada mes
(alrededor de un 3,50 por ciento de todos los ordenadores).
-
Los ciber-delicuentes están
ganando unos 34 millones de dólares al mes gracias a los
ataques de rogueware.
El objetivo final de los
delincuentes es obtener beneficio económico del malware. Los
troyanos resultan la herramienta perfecta para robar
información. Sin embargo, dicha información debe convertirse en
dinero contante y sonante, y los criminales deben buscar métodos
innovadores para conseguirlo.
Aquí es donde entran los falsos
antivirus. Estas aplicaciones se hacen pasar por soluciones
antivirus que detectan cientos de amenazas en los ordenadores de
sus víctimas. Sin embargo, cuando los usuarios tratan de
eliminar dichas amenazas utilizando la aplicación, se les pide
que compren la correspondiente licencia. A menudo, los usuarios,
preocupados por la supuesta infección, acaban adquiriendo la
licencia. Una vez pagan la licencia, no vuelven a saber nada más
del supuesto “vendedor” y siguen teniendo el falso antivirus en
su ordenador.
A pesar de que estas aplicaciones
llevan ya varios años en circulación, no fue hasta principios
del año 2008 que comenzaron a ser empleadas de forma masiva.
Fuente:
Informe Julio Panda Labs
JUNIO 2009
La comunicad de Infosec
reunida en InfoSecurity 2009 - Buenos Aires
Se llevó a cabo “InfoSecurity Buenos Aires” el 5 y 6 de junio en
el Hotel Sheraton y en el Crucero Galileo, respectivamente.
Se trata de la 6a. edición de
InfoSecurity Buenos Aires, un congreso que reúne a empresas y
especialistas de la seguridad TI, en un ámbito de aprendizaje y
reflexión sobre las nuevas tendencias en materia de seguridad.
La primera jornada, que se llevó a
cabo en Hotel Sheraton (Retiro), contó con un congreso académico
y múltiples conferencias en simultáneo, a cargo de diferentes
oradores.
Además, las empresas participantes
dispusieron de un espacio propio donde ponen al alcance de los
visitantes sus novedades sobre sus servicios y productos.
El horario fué de 8 a 19 hs. El 6 de
junio zarpó de Puerto Madero el Crucero Galileo, sede de la
segunda jornada de InfoSecurity Buenos Aires 2009, que albergó
un WorkShop para responsables de seguridad. La actividad se
extendió de 10 a 15.30.
Durante el evento, Hernán
Veglienzone, Product Manager de Telmex, brindó, en conferencia
plenaria, la presentación: "Tercerizar la Seguridad: una
alternativa válida para optimizar costos". La misma incluyó el
caso de negocios de Globalfarm, cliente de Telmex. En este
sentido, Ricardo Barriopedro, Gerente de sistemas de la empresa,
disertó sobre los beneficios de la tercerización y las razones
por las que eligen las soluciones de Telmex.
Como sponsor, Telmex tuvo presencia
a través de un stand tecnológico en el cual se expuso el
porfolio de soluciones de seguridad de Telmex. Asimismo, los
invitados tuvieron la posibilidad de competir por interesantes
premios en una trivia de última generación desarrollada
exclusivamente para el evento.
El evento finalizó el viernes 5 de
junio, a bordo del Crucero Galileo Galilei, donde se desarrolló
un workshop acerca de "Cómo certificar ISO 27001 en dos meses",
caso real Argentina; a cargo de Martín Vila, Director de
ISECInformation Security Inc.
Fuente: Infobae.com
MAYO 2009
¿Cuánto favorece la
tecnología a la actividad delictiva?
Christian Vila - ISEC Information Security Inc.
Yo crecí en un mundo en el
que lo bueno era bueno y lo malo era malo, hoy en día pareciera que esta
todo mezclado y no hay pautas claras lo malo ahora parece bueno, fíjense
en la sección de noticias lo que pasó en Uruguay (link)
un asesinato múltiple provoca que en internet se generen amenazas desde
los familiares de las víctimas, se entiende el dolor pero lo que no se
entiende es generar más violencia aún y eso no está bien, la tecnología
a través de internet favorece a la violencia...
En la mayoría de los eventos
de seguridad informática se escuchan frases como "los hackers son
científicos que tienen mucho conocimiento de tecnología", enunciadas por
personas asombradas que admiran a ciberdelincuentes por sus hazañas, la
tecnología favorece el delito...
Cada vez más se ve que por
internet se comunican personas que intercambian fotos de niños obligados
a situaciones sexuales y se crean foros reservados con la misma
temática, países lejanos del mundo intercomunicados para cometer un
delito tan aberrante como es Pedofilia y otra vez la tecnología
pareciera que los ayuda...
Los fraudes y scams que se
generan a partir de un mail recibido que se aprovecha de una catástrofe,
de una guerra o de una enfermedad, actualmente proliferan los engaños
aprovechándose de la pandemia de gripe A1 N1, la tecnología pareciera
favorecerlo...
La trata de personas que
llega a esclavizar a los seres humanos que están detrás de las hot
webcams, otra vez la tecnología usada como medio para delinquir...
Y la lista continua con
robos de cuentas bancarias, alarmas de casas y de automóviles
desactivadas, cajeros automáticos con hardware apócrifo, escuchas
telefónicas, etc., una vez en una conferencia de delitos informáticos
cuando comentaba este tema un abogado enojado me dijo "pero vos no podés
decir esto", le contesté que no hay peor ciego que el que no quiere
ver...
La tecnología presentada de
esta forma pareciera que sí favorece la conducta delictiva pero en
realidad no es así: lo que
cambia es el medio no el delito, las nuevas
tecnologías no crearon el robo ni la trata de personas ni los fraudes ni
la violación de menores ni la violación a la intimidad ni la violencia;
todo eso ya estaba antes. Es la mano del delincuente que la utiliza,
seguro que si no existiera internet se buscaría otro medio para
delinquir...
Los que trabajamos en
relación con la Seguridad y la Justicia sabemos que para mitigar el
delito hay que estar un
paso adelante,
ahora es el momento y justamente la misma tecnología mal usada es la que
nos ayuda a nosotros los profesionales de Seguridad y Justicia a
combatir el delito, solo hay que aprender a usarla!
ABRIL 2009
Ciber-Estafa en las Redes
Sociales:
David Perry - Trecnd Micro
Los expertos en seguridad
informática están en guardia desde que Facebook fue objeto recientemente de
una serie de robo de datos, en momentos en que los ciber-estafadores
convierten los sitios de socialización en su nuevo centro de operaciones.
"Hay tanta gente en las redes de
socialización que despiertan el interés de tipos con malas intenciones",
explicó David Perry, experto de la sociedad de seguridad Trend Micro.
"Atraídos por la cantidad de informaciones que se intercambian diariamente
en esas redes sociales, estafadores y difusores de virus convirtieron a
Facebook y sus 175 millones de miembros en su meta privilegiada. Pueden ver
todas las informaciones que publicas. Uno puede estar publicando, sin
querer, informaciones personales de gran valor", continuó Perry.
Incluso elementos sin interés
aparente publicados en el perfil del usuario pueden representar recursos muy
útiles para los ciber-piratas. Por ejemplo, el nombre de los abuelos o las
mascotas, indicados en las fotografías, pueden ayudar al pirata a responder
las preguntas típicas necesarias para la recuperación de la contraseña
olvidada de una cuenta bancaria en internet. Los piratas también pueden
infectar con un virus los programas utilizados en esas páginas de internet,
difundir mensajes falsos para manipular a los usuarios o propagar
aplicaciones trucadas. Facebook se hizo famoso al autorizar las propuestas
de aplicaciones de desarrolladores externos que se pueden agregar al perfil.
Pero esas aplicaciones sólo se controlan cuando se reciben quejas.
"Este fin de semana de abril tuvimos una aplicación engañosa. Pasó la
barrera de seguridad. Felicito a Facebook por haberla eliminado a tiempo".
Parece ser una variación de otro programa virulento detectado la semana
pasada, explicó la firma de seguridad informática.
Esas dos aplicaciones, una vez
instaladas, enviaban mensajes a los amigos de los usuarios indicando, por
ejemplo, que habían sido denunciados por violación de las reglas de uso.
Siguiendo las instrucciones del mensaje engañoso, estos últimos instalaban a
su vez un software espía que les robaba sus datos y enviaba otros mensajes
similares a sus propios contactos para que instalen el programa, y así
sucesivamente. El último ataque registrado en contra de Facebook fue más
sencillo. Se hizo a través de mensajes anunciando la invitación de un amigo
a compartir un video. Al hacer clic sobre el vínculo para descargar un
lector de video, el usuario se contagiaba con un "gusano" informático
llamado Koobface, anagrama de Facebook.
Ese virus "roba los cookies
(pequeños archivos que registran informaciones sobre el visitante de una
página web) del escritorio; no sólo los de Facebook sino los de media docena
de redes sociales, entre las cuales figura MySpace. Usando los cookies
pirateados, el pirata intenta registrarse en su nombre, dirigirse a su lista
de contactos y enviar mensajes y comentarios", agregó.
Los usuarios pueden ellos mismos
protegerse de ese tipo de ataques eligiendo más cuidadosamente sus
relaciones y evitando hacer clic sobre vínculos que los conduzcan fuera de
su comunidad.
Los expertos aconsejan también
multiplicar las contraseñas, para que una sola llave no abra todas las
puertas.
Fuente: Observa.com - Uruguay
| 
