Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

AÑO 8 - Nº 02 - FEB 12

HACKING BAJO LA LUPA

¿Cómo funciona el nuevo standard para reducir phishing?
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security

Las grandes Compañías de Seguridad de la Información coinciden que, si bien se está creando un avance de fondo en cuanto a tecnología: cloud computing y smart phones a la cabeza, sigue siendo la ingeniería social de la mano del phishing uno de los delitos cibernéticos de mayor riesgo hoy en día.


Los gigantes del mercado se juntan para trabajar en equipo y crean soluciones para los problemas de internet, en este caso se trata de un estándar contra el phishing, que no deja de crecer cada año atacando directo al descuido y a la falta de controles.

Para los delincuentes el desconocimiento y el descuido de los usuarios de internet significa el 70% de éxito en su trabajo para conseguir información sensible. El otro 30% ya depende de qué tan bien logren hacerse con la información y hasta que profundidad lo hagan.

Este tipo de actividad es el que reporta mayores denuncias por parte de los administradores de sitios, proyecciones de los reclamos que hacen los ingenuos usuarios sobre cuentas perdidas, gastos desconocidos en sus tarjetas, etc. Como Google, PayPal, Facebook y Microsoft (Hotmail), entre otros, son los mayores objetivos del phishing, se han propuesto trabajar en conjunto para crear el estándar DMARC.

DMARC es un sistema de credenciales que actuará cuando un correo que simule ser de un dominio fiable no tenga los permisos. Ahí el proceso de autentificación lo bloqueará y no llegará a la bandeja de entrada del destinatario evitando una eventual estafa. El estándar DMARC (Domain-based Message Authentication, Reporting, and Conformance) está dirigido a crear un marco seguro a través de la autenticación de correo electrónico con el objetivo de detener la propagación de correo electrónico que parece proviene de un remitente legítimo pero que en realidad termina siendo una trampa para que los usuarios sean redireccionados a un sitio falso donde introducirán la contraseña de sus cuentas u otros datos y ésta será enviada a una base de datos con fines maliciosos.

¿Cómo funciona?

Cada correo electrónico certificado de entidades suscritas (todas, ya que será un estándar obligatorio) tendrá credenciales con la asociación de su contenido al nombre y sistema del remitente. Si estas credenciales son verdaderas y el sistema de autentificación de los proveedores de correo así lo estipulan, este correo llegará al destinatario. Si se trata de un correo falso al no contar con credenciales válidas de DMARC, será rebotado por los autentificadotes y el destinatario nunca lo recibirá.

El sistema se completa cuando se envía elabora y envía un informe a la compañía que fue usada de señuelo en donde se detalla qué cantidad de mensajes fueron recibidos y cuántos y cuáles fueron negados. Esta herramienta servirá que un servicio web pueda saber si todas sus áreas cuentan con las credenciales adecuadas, pero fundamentalmente para tener en claro e intentar identificar a quienes han intentado usarlos para cometer una estafa.

Aquí es donde hay que mencionar que DMARC no es la herramienta definitiva contra el phishing, pues lo que hace es evitar que los hackers usen dominios legítimos, pero no puede hacer nada ante aquellos que utilizan dominios similares y mucho menos contra los que creen sus propias credenciales DMARC.

Asimismo, para contribuir a este pequeño pero válido esfuerzo por erradicar parte del phishing, los responsables de DMARC están llamando a las medianas empresas a que consoliden y protejan sus servidores de correo electrónico propios, que son una incubadora para phishing.

Fuente: Dmarc.org

TOR MAIL: SERVICIO SEGURO DE EMAIL
En un mundo donde la actividad en Internet es cada vez más vigilada y censurada por parte de gobiernos y/o miembros del crimen organizado, redes como Tor se han hecho cada vez más populares; tanto por razones de privacidad y confidencialidad, como por razones de anonimato. Con este mismo impulso con el que han crecido esta clase de redes, se han desarrollados también numerosos servicios que permiten a los usuarios transmitir sus comunicaciones de la más diversa índole a través de estas redes; un buen ejemplo de ello son todas las posibilidades que ofrece la conexión a las redes I2P.


Ataques al protocolo SSL
Por D. Luciano Bello (Chalmers University)

Dr. Alfonso Muñoz (grupo de investigación T SIC UPM).

Intypedia - España


Amenaza de Anonymous en Chile y Perú
Por Frano Capeta Mondoñedo
Country Manager Perú
I-SEC Information Security Inc.


Vectores de ataque HTML 5
Por Guillermo Mir

Security Art Work


Introducción al protocolo SSL
Por Alfonso Muñoz Muñoz

Grupo de investigación T SIC UPMC


CIBERLOCADEMIA de Policías, la excusa Hacker
Por Christian Javier Vila Toscano
Senior Security Consultant
ISec Information Security


EE.UU. quiere atacar militarmente a 'hackers' estén donde estén
Juegos de guerra (WarGames), la célebre película de 1983 protagonizada por un adolescente Matthew Broderick, narra la historia de un joven hacker que se infiltra en ordenadores del Pentágono y por error está a punto de iniciar un conflicto nuclear entre Estados Unidos y la URSS en plena Guerra Fría.


Autenticación Online

Por Alberto González

Panda ID Soluciones


La Red es el Campo de Batalla

Por Harry N Mesa P

System Engineer - Watchguard

Medellín - Colombia


Drive by pharming

Por Christian Javier Vila Toscano
Senior Security Consultant
I-Sec Information Security


Con menos de u$s8.000 hasta usted ya puede comprarse "el kit" para convertirse en un hacker


Ataque y Detección del Hacker
Por Rafa Núñez

Enfoque Seguro - Venezuela



Copyright © 2012 ISEC. Todos los derechos reservados
Política de privacidad