Facebook crea un 'comité de sabios' para garantizar la seguridad en la red

Fuente: Cinco Dias.

Las cinco organizaciones que componen 'Facebook Safety Advisory Board' son Common Sense Media, ConnectSafely, WiredSafety, Childnet International y The Family Online Safety Institute (FOSI). Facebook espera reunirse periódicamente con el comité para revisar los recursos de seguridad que constantemente ofrece a sus usuarios, para desarrollar nuevos materiales y para obtener asesoría sobre mejores prácticas de seguridad en general.

La primera tarea del comité asesor será supervisar la revisión de los contenidos de seguridad del Help Center de la red social. El objetivo de la revisión será "crear un compendio de contenidos educativos específicos para padres, educadores y adolescentes", según la compañía.

El Safety Advisory Board es el último componente añadido a la agenda de seguridad global de la compañía. La semana pasada, la Fiscalía General de Nueva York hizo referencia a la cooperación de Facebook en la identificación y desactivación de cuentas de transgresores sexuales y a principios de 2008, Facebook firmó un acuerdo con 49 Fiscales Generales para ayudar a proteger a los niños de potenciales pederastas online.

Facebook también participó en la Internet Safety Technical Task Force, un grupo de empresas, organizaciones sin ánimo de lucro, profesionales y expertos en tecnología que trabajan para identificar herramientas y tecnologías que permitan crear un entorno más seguro en Internet para los más jóvenes. Asimismo, la compañía está asociada actualmente con MTV en su campaña "A Thin Line" para prevenir el abuso digital y el mes pasado trabajó con la BBC para promover su campaña 'Bullyproof' que trata de eliminar las intimidaciones a través de la red.

"Creemos que la única forma de conseguir que los niños estén seguros online es haciendo que todos los que quieren protegerlos trabajen juntos", afirmó Elliot Schrage, vicepresidente de Global Communications y Public Policy en Facebook. "La formación de un comité asesor específico para asuntos de seguridad es un paso adelante positivo, innovador y de colaboración para crear un entorno de seguridad más sólido; estamos encantados de que un grupo tan respetado y fiable de organizaciones se haya unido a nosotros en este empeño."

"En Childnet estamos orgullosos de trabajar de manera constructiva con otras personas para conseguir que Internet sea un lugar excelente y seguro para los niños", declaró Will Gardner, CEO de Childnet International.

8 pasos para proteger la información y asegurar la continuidad de la empresa

Fuente: Canarias7.

En plena era de la información, cuando empresas privadas y organismos públicos generan cantidades cada vez mayores de datos en distintos soportes, su gestión y mantenimiento siguen siendo el talón de Aquiles de muchas compañías. “Cuesta creerlo, pero todavía hay muchas empresas que no tienen un control completo de sus archivos, y desconocen exactamente qué parte de esa información se considera crítica o confidencial”, ha declarado Gonzalo Rivas, director comercial de Iron Mountain España, la filial en nuestro país del líder mundial en gestión y protección de la información. “Ello supone el riesgo de que las empresas no puedan acceder a la información cuando la necesitan, o de que la información privada o confidencial quede expuesta involuntariamente”.

Iron Mountain, el líder global en servicios de almacenamiento y gestión de la información, ha elaborado unos consejos básicos que ayudan a gestionar la información empresarial de forma correcta, en sus soportes de papel, digital y magnético. “El mejor paso que una empresa puede dar es confiar la gestión y protección documental a un especialista, esto asegurará un control total de aquella información cuya custodia no debe descuidarse”, declara Gonzalo Rivas.

1. Haga copias de seguridad a diario. Las empresas necesitan asegurarse de que todos sus datos importantes para la continuidad del negocio cuenten con una copia que esté disponible en el caso de la información original se pierda o se corrompa. Hay que tener en cuenta que esta información puede estar albergada en servidores corporativos, pero también en estaciones de trabajo o portátiles de empleados, lo que a menudo se olvida.

2. Tenga más de un soporte de copia. En el campo de los archivos digitales, mantener una segunda copia de seguridad custodiada en un entorno seguro fuera de la empresa es la alternativa más eficaz de garantizar su recuperación en caso necesario. Además, en relación a los datos de carácter personal, el artículo 25 del Real Decreto 994/1999 establece que deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente a aquel en el que se encuentran los equipos informáticos que los tratan.

3. Cuide el soporte de sus datos. Las copias de seguridad en soportes magnéticos deben mantenerse en un lugar seguro, bajo temperatura y humedad constantes, y en un entorno lo más limpio posible. Muchos casos de pérdida de información se producen por errores en el almacenamiento, utilización o manipulación de los soportes. Por eso mismo, hay que procurar no utilizar el mismo soporte dos días seguidos. Lo mejor es tener más de un soporte externo de backup, e ir alternándolos para asegurar la calidad de la grabación de los datos y alargar su vida útil.

4. Identifique la información importante. De todo el volumen de datos de una empresa, el volumen que se considera imprescindible para su buen funcionamiento es de alrededor del 5%. Pero ese pequeño porcentaje es crítico para las operaciones empresariales. Por ejemplo, puede contener información necesaria para garantizar la continuidad del negocio después de una crisis. O puede documentar la situación financiera o legal y preservar los derechos de las partes interesadas de una organización. Saber cuáles son los documentos vitales y tenerlos localizados es imprescindible para asegurar un buen mantenimiento.

5. Conozca quién tiene acceso a esa información y con qué frecuencia. Algunos documentos sólo se consultan una o dos veces al año, mientras que otros son necesarios incluso varias veces al día. No todos los departamentos -recursos humanos, departamento legal, compras, marketing, finanzas- acceden al mismo tipo de información confidencial. Saber quién utiliza qué tipo de documentos ayudará a su seguimiento y control.

6. Asigne responsabilidades en la gestión. La seguridad de la información debe ser un punto a tener en cuenta por todos los departamentos. Incluso en empresas donde este punto sea tarea del departamento de archivos, se deben implantar unas medidas de seguridad y backup que abarquen a la totalidad de la infraestructura. Igualmente, es prudente asegurarse de que la persona que controla el acceso a los archivos no es la misma que se encarga de trabajar con ellos.

7. Encripte sus archivos digitales externos. A la hora de gestionar sus copias de seguridad externas, todavía hoy muchas compañías recurren para su transporte a la mensajería comercial sin ningún tipo de protección adicional. Es conveniente efectuar un análisis de riesgos para determinar si el coste de un programa de encriptación compensa los riesgos económicos de una brecha en la seguridad, y determinar si debe implantarse en toda la documentacion digital, o solo en la de mayor confidencialidad.

8. Elabore un plan de continuidad del negocio ante una situación de crisis. La pregunta que debe hacerse es: si un desastre provocara la desaparición de todos los documentos de mi empresa. ¿Tengo la certeza de que podría recuperarlos? Los datos son mucho más que cifras; son un activo vital para el funcionamiento de su negocio. Si no puede garantizar su recuperación, y hacerlo en un plazo de tiempo razonable, su rendimiento económico puede verse seriamente afectado.

¿Cuáles son los riesgos de las redes sociales en la seguridad de las organizaciones?

Fuente: iProfesional.

Las redes sociales como Facebook, Plaxo, LinkedIn y MySpace, entre otras, se han convertido en una herramienta de interacción cotidiana con millones de usuarios a nivel global. Acorde a estadísticas recientes, dos tercios de la población de Internet visita al menos una red social y su popularidad como aplicación ha superado a la del correo electrónico (1).

Como suele ocurrir con las nuevas tecnologías, este crecimiento llama la atención a criminales informáticos. Se estima que los ataques dirigidos a redes sociales representan el 19% de todos los incidentes de seguridad detectados entre enero y julio de este año (2).

Acorde a un estudio realizado, dos tercios de las organizaciones encuestadas sienten que las redes sociales ponen en peligro su seguridad (3). Por este motivo, muchas empresas e instituciones consultan sobre los riesgos inherentes en permitir a sus empleados el acceso a estos sitios utilizando los recursos tecnológicos disponibles en los ámbitos de trabajo (el acceso a Internet, estaciones de trabajo, notebooks, etc.).

Desde la perspectiva de seguridad de la información, existen varios riesgos a los cuales se podría enfrentar una organización si es que no toma las medidas preventivas necesarias.

El primero, y el más común, es la difusión de información confidencial. Supongamos que un empleado está trabajando en un proyecto confidencial e inconcientemente publica en una red social, como ser LinkedIn, lo que está haciendo (la mayoría de las redes permiten publicar las actividades recientes de uno bajo la pregunta “¿Qué estás haciendo ahora?”) ¿Cuál es el impacto de esta acción? Las personas con acceso a su perfil (ú otros) saben en que proyecto está trabajando, difundiéndose así información supuestamente confidencial.

El segundo riesgo es el aumento de las posibilidades de éxito de un ataque basado en la ingeniería social. La mayoría de estas redes permiten guardar datos personales del usuario, como nombre, apellido, fecha de nacimiento, organización para la cual trabaja, hobbies, preferencias, experiencias laborales, etc. Sin la correcta configuración de las opciones de privacidad de la aplicación, uno podría armar un perfil social de la víctima simplemente buscando en las diferentes redes y Google, volviéndolo vulnerable al robo y/o usurpación de identidad. Al contar con su información personal, ¿qué impide llamar a la mesa de ayuda de su organización y pedir un cambio de contraseña?

También se han hecho públicos casos en los que las víctimas padecieron la usurpación virtual de sus identidades, como un usuario en Facebook que se hace pasar por otra persona (esto normalmente ocurre con personajes famosos).

Si alguien usurpa la identidad de un alto ejecutivo de una organización en una red social, agrega a sus contactos empleados de la misma y puede obtener información confidencial o comenzar a realizar actos difamatorios contra otra persona ¿Es posible? La respuesta es sí y ya ha sucedido, tanto a nivel empresarial como personal.

Otro riesgo son los ataques causados por malware, principalmente gusanos. La cantidad de virus que utilizan las redes sociales como medio de distribución ha aumentado notoriamente. El hecho de permitir el acceso a estos sitios en las organizaciones incrementa los riesgos de infección.

¿Qué hacer entonces frente a los peligros mencionados? Como medidas preventivas, es esencial configurar la privacidad de las redes sociales, validar a la persona que agregamos, capacitar al personal, monitorear las actividades, contar con controles técnicos adecuados y desarrollar un marco normativo acorde.

Elfos "bailones" y 'ecards', las infecciones más peligrosas de la Navidad

Fuente: Silicon News.

Los más peligrosos de estas próximas Navidades serán unos elfos "bailones", que llegarán a las bandejas de entrada de correo electrónico con la excusa de felicitar la Navidad cuando en realidad sólo quieren infectar el ordenador del usuario.

Hacia mediados y finales de noviembre, cuando queda menos de un mes para Navidad y cuando comercios y ayuntamientos empiezan ya la celebración en las calles, los spammers inician su campaña de infección, que este año protagonizarán unos aparentemente inofensivos elfos danzantes, según alerta antispameurope.

Cuando el receptor abra el envío, pueden suceder dos posibilidades. O bien en vez del mensaje de felicidad se despliega una petición para descargar un programa y ver bailar a los elfos o bien el software malicioso empieza a descargarse solo.

Los elfos danzarines son la tendencia de estas Navidades, pero la infección por tarjetas online es tan común y habitual en estas fechas que debe tenerse más que cuidado al abrir estos mensajes.

Campaña Navideña

“Este año, hemos monitorizado unas oleadas de spam mucho más agresivas que en años anteriores, así como una cantidad de mensajes por oleada, mucho más elevada que anteriormente”, explica el jefe de Información Tecnologia de Operaciones de antispameurope, Olaf Petry.

Los cibercriminales han empezado a preparar su campaña navideña, que arranca con en noviembre con publicidad de cibercasinos y posteriormente continúa con falsos descuentos en relojes. “Tal y como ocurre con cualquier tipo de industria, en el que se aprovecha la navidad para hacer más negocio, los spammers aprovechan las fiestas para emitir oleadas más agresivas de spam con el fin de conseguir más dinero”, añade Petry.

Hacia finales de mes, se añade la publicidad contra problemas de disfucción eréctil y los mensajes más propios de la época navideña. Los elfos danzarines son un ejemplo, pero no el único.

Descubierto un nuevo fallo de seguridad en Windows 7

Fuente: eWeek.

24 horas después de que Microsoft publicara varios boletines de seguridad, un investigador desvela un agujero que permite a los atacantes bloquear el sistema operativo.

Un investigador de seguridad ha detectado un fallo de seguridad que afecta tanto a Windows 7 como a Windows Server 2008 R2. Lo ha revelado justo un día después de que Microsoft publicara sus tradicionales parches de seguridad para sus sistemas operativos y aplicaciones.

Se trata de Laurent Gaffie, que asegura que el agujero de seguridad permite a los atacantes bloquear los equipos a través de la funcionalidad SMB (Server Message Block) ya sea desde una conexión LAN o directamente desde Internet.

El protocolo SMB se utiliza en Windows para procesos como la compartición de carpetas, impresoras o puertos serie.

Poco después, un portavoz de Microsoft ha declarado que “Nuestra compañía está investigando posibles vulnerabilidades de denegación de servicio el Windows Server Message Block. Por el momento no tenemos constancia de que se esté utilizando ninguna vulnerabilidad, pero una vez que hayamos terminado con la investigación tomaremos las medidas oportunas para proteger a nuestros clientes, ya sea en forma de actualización de seguridad mediante el proceso de publicación mensual o bien a través de un parche puntual”.

Más información y detalles técnicos de la vulnerabilidad en este enlace.

Esta noticia llega también pocos días después de que Sophos criticara la seguridad del nuevo sistema operativo de Microsoft.

La seguridad de los menores en la red, responsabilidad de padres y colegios

Fuente: Yahoo!

Los padres y los colegios son los principales responsables de la seguridad de los menores en internet y deben estar capacitados para supervisar sus actividades en el ciberespacio, han coincidido hoy en Madrid los participantes en dos foros distintos sobre protección de datos y policía tecnológica.

La conclusión a la que legisladores, expertos y promotores de redes sociales han llegado tras debatir sobre la protección de la privacidad menores en el transcurso de la XXXI Conferencia Internacional de Autoridades de Protección de Datos y Privacidad es compartida por un representante del Defensor del Menor y el jefe del Grupo de Delitos Telemáticos de la Guardia Civil.

Estos últimos han intervenido en una mesa redonda sobre redes sociales en el III Congreso Nacional de Policía Tecnológica, en la que se ha puesto de manifiesto que cualquier norma es vulnerable, por lo que al final todo pasa por la educación y la supervisión paterna.

La facilidad con que los menores aportan información personal y de su familia, el tratamiento que de sus datos hacen las compañías o terceras personas, el cómo se almacenan, procesan y utilizan esos datos son algunas de las grandes preocupaciones del sector que cuenta con una serie de leyes, en su mayoría obsoletas.

"Toda la legislación al respecto es anterior a la aparición de la Web 2.0 cuando era insospechada la capacidad de penetración de estas herramientas, por lo que resulta necesario actualizar toda la legislación", ha explicado Christine Kormann, de la dirección general de la Sociedad de la Información y Medios de Comunicación de la Comisión Europea.

Korman ha señalado que, según datos del último Eurobarómetro, el 75 por ciento de los menores de la UE están en internet, y eso incluye "el 42 por ciento de los niños de 6 años", y ha destacado la importancia de potenciar la auto-regulación del sector y de concienciar a los ciudadanos para que defiendan sus propios datos privados.

Sin embargo, representantes de compañías como Microsoft y Myspace han reconocido los problemas que se presentan a la hora de verificar la identidad y la edad de los usuarios de sus servicios.

Por su parte, la directora de Asuntos Legales de Myspace España, Patricia Luquero, ha expresado su preocupación por el hecho de que la edad de entrada de los menores a las redes sociales "está en bajada continua y ya va por los 9 ó 10 años".

Luquero ha explicado que para cerciorarse de que los menores cuentan con consentimiento paterno y dar a los padres la posibilidad de controlar lo que hacen sus hijos en internet, las principales redes sociales han impuesto diferentes medidas que, en su opinión deberían ser consensuadas y homologadas.

También se ha hablado de auto-regulación en el congreso de Policía Tecnológica, aunque los participantes en el mismo coinciden en que "las normas siempre se pueden vulnerar", por lo que al final "todo pasa por la educación".

Según el gerente del Observatorio de la Seguridad de la Información de Inteco, Pablo Pérez, en las redes sociales los menores pueden ser víctimas del "cyberbullying" (acoso escolar en la Red), "grumming" (pedofilia en Internet) y estar expuestos a enlaces de contenidos "nocivos", como aquellos que incitan a la anorexia.

Por su parte, David López, asesor del Defensor del Menor, ha dicho que esta institución recibe muchas quejas de padres de niños de 8 y 9 años que tienen un perfil difícil de eliminar en alguna de estas redes, aunque teóricamente es necesario ser mayor de 14 para poder crearlo.

López cree que son los padres los responsables de supervisar el tiempo que sus hijos pasan en Internet y los contenidos a los que acceden, y concluye: "No podemos demonizar a las redes sociales y la Administración no puede suplantar la educación de los padres a los hijos".

Cae un mito sobre la seguridad en la web

Fuente: Infobae.

La creencia acerca de la garantía de seguridad brindada por el protocolo HTTPS quedó trunca, indicó un reciente informe de una compañía de seguridad informática. Los ciberdelincuentes buscan engañar al usuario y hacerle creer que se encuentra en una página confiable

La aceptación por parte de algunos de los más populares navegadores web de certificados digitales gratuitos llevó a alertar acerca de la posibilidad de casos de phishing en sitios cuenten con este aval.

Durante octubre, el Laboratorio de ESET Latinoamérica ha advertido acerca un nuevo posible vector para la realización de ataques de phishing sirviéndose de certificados digitales a partir de la utilización de protocolos HTTPS en sitios web maliciosos.

Sin entrar en detalles, el protocolo HTTPS (Hypertext Transfer Protocol Secure) garantiza que la información que sea transmitida entre la computadora del usuario y el sitio web, será cifrada en su transmisión. Es decir, si se estuviera enviando una carta, lo que se garantiza es que la misma no podrá ser leída por nadie hasta que llegue a su receptor.

Sin embargo, la información al llegar al servidor web deja de estar cifrada. Por lo tanto, si el servidor web pertenece a un atacante, este podrá visualizar la información. Por diversos motivos, lo más frecuente es que los servidores web maliciosos utilicen directamente el protocolo HTTP sin cifrado de información.

Por eso el consejo de validar qué protocolo se está utilizando. Sin embargo, esto no significa que un atacante no pueda utilizar el protocolo HTTPS en su sitio web falso o malicioso, aunque esto no sea frecuente. En ese caso, siguiendo con la analogía, por más segura que viaje la carta, esta llegará a una persona malintencionada como destino.

Esta técnica tendría el objetivo de engañar al usuario y hacerle creer que se encuentra en una página confiable, aprovechando el frecuente mito en torno a la garantía de seguridad ofrecida por los certificados digitales.

Usualmente, muchos de los usuarios confían en el sólo hecho de que un sitio web cuente con certificados digitales para asegurarse de que éste sea seguro y legítimo. Sin embargo, pocas veces se percatan de que este habitual error puede concluir en la entrega de datos confidenciales a ciberatacantes.

“Los casos de phishing e Ingeniería Social se hacen cada vez más complejos, por lo que es fundamental que los usuarios se encuentren debidamente informados y capacitados para evitar ser víctimas de los mismos”, explicó Cristian Borghello, Technical & Educational Manager de ESET para Latinoamérica.

Windows 7, ¿no tan seguro como Microsoft cree?

Fuente: Silicon News.

Una de las grandes promesas de Microsoft es que la última versión de su sistema operativo, Windows 7, es la más segura de las que hasta ahora ha lanzado al mercado. Pero, ¿lo es realmente?

"Es cierto que Windows 7 ha añadido algunas nuevas funciones de seguridad a este respecto, pero pueden ser superadas como ya sucedía con Vista" explica el director del Laboratorio de Seguridad de G Data, Ralf Benzmüller. "Lamentablemente no prevemos importantes mejoras respeto a la situación de riesgo y vulnerabilidad de los ordenadores con el nuevo sistema operativo."

Benzmüller no tiene reparos en tachar las mejoras de seguridad de la nueva versión del SO de cosméticas. La compañía para la que trabaja, G Data, acaba de realizar un estudio de choque de Windows 7. Sus conclusiones son que el sistema operativo continúa teniendo agujeros de seguridad.

Según el test de la especialista, falla el control de cuentas de usuarios, que es vulnerable, y los mecanismos de protección Windows Firewall y Windows Defender son "insuficientes" y "provocan una falsa sensación de seguridad". Además, la compañía señala que aunque útiles AppLocker y Bitlocker sólo están disponibles para las versiones business del producto.

Igualmente, G Data critica que la extensión de los archivos continúe oculta para los usuarios, lo que continúa facilitando el trabajo de los cibercriminales.

Según concluyen en su análisis de la nueva versión, "Windows 7 ha ganado algunas funciones de protección. Pero no se ha producido un progreso real en relación a Vista".

Nueve de cada 10 trabajadores utilizan redes inalámbricas inseguras

Fuente: eWeek.

Las áreas de protección de datos, políticas de acceso móvil y control de aplicaciones e integridad en los puestos de trabajo son las más vulnerables de la empresa, según una encuesta de Novell.

El 90% de los usuarios corporativos acceden a redes inalámbricas inseguras, según una encuesta realizada por Novell que arroja también otros datos concluyentes.

El informe Threat Assessment demuestra que las empresas son muy vulnerables por no tomar ni las medidas de protección básicas. Según el estudio, el 71% de las compañías ni siquiera encripta los datos de sus portátiles, mientras que el 73% tampoco lo hace en sus dispositivos de almacenamiento extraíbles.

Asimismo, el 72% de las compañías no controla los datos que son copiados hacia dispositivos de almacenamiento removible o unidades ópticas, creando un ámbito potencial para la distribución inapropiada de datos.

Pero las compañías son conscientes de esta situación. El 90% de las empresas preguntas asegura que sus usuarios acceden a redes wireless inseguras cuando están fuera de la oficina, dejando sus terminales y sus datos vulnerables a ataques.

Los “hackers” comienzan a apuntar contra los teléfonos móviles

Fuente: iProfesional.

Aunque aún no tienen ni el volumen ni la masividad de sus hermanos de las computadoras, los virus en los teléfonos móviles ya son reales y tangibles, y comienzan a ser cada vez más utilizados por los delincuentes que utilizan aplicaciones de las tecnologías de la información y la comunicación (TIC) para cometer delitos como robos de información, estafas y fraudes.

Los “hackers” se enfocan en especial en los equipos de alta gama, como los teléfonos inteligentes (“smartphones”, en inglés), que tienen capacidades de trabajo similares a las de una PC, por el valor de la información que contienen esos dispositivos, de alta penetración en el mercado de ejecutivos y profesionales.

“Las amenazas de malware (código malicioso) que son tan tradicionales en cualquier otro sistema operativo de escritorio, son reales y tangibles en los sistemas operativos para móviles, como Windows Mobile y Symbian, pero aún no se ha convertido en un problema masivo”, explicó a iProfesional.com Cristian Borghello, director de Segu-Info, un portal especializado en seguridad informática.

Esta situación puede deberse a diversos motivos, válidos en la Argentina y América latina, pero algunos de ellos ya no tanto en otros países más desarrollados como Japón, señaló el especialista.

Entre las causas identificadas por Borghello por las cuales aún los celulares no son víctimas masivas de los virus se encuentran:

• La incompatibilidad existente entre los sistemas operativos, debido a la falta de standares; y entre los distintos modelos de móviles actuales, aún con el mismo sistema operativo.
• La ausencia de una masa crítica de aparatos como los “smartphones”, aunque esto está cambiando.
• La experiencia aún novel de los desarrolladores de malware para sistemas operativos móviles.
• Aún no se encuentra la forma de obtener dinero rápido a través de ataques a móviles, lo que sí sucede en forma masiva con otros sistemas actuales, como por ejemplo el Windows en las computadoras.

Sin embargo, el spam (envío de mensajes basura) via mensajes cortos de texto (SMS, sigla en inglés) “sí se está convirtiendo en un problema masivo cada vez más común entre los usuarios y por el cual los delincuentes ya se encuentran trabajando para lograr beneficios económicos a través de esta técnica”, advirtió Borghello.

Otro problema es que los teléfonos móviles actuales tienen memoria flash que son legibles desde las computadoras, por lo cual se está utilizando, sin saberlo, el dispositivo como medio de transporte de esa memoria y las amenazas almacenadas allí, apuntó el especialista.

El director de Segu-info aclaró que un virus para sistemas operativos móviles no puede confundirse con uno normal para Windows, Linux o Macintosh, que se almacena en una memoria del teléfono móvil pero que no es capaz de ejecutarse en el dispositivo.

En ese sentido, Claudio Pasik, director de la empresa de seguridad informática NextVision, recordó a iProfesional.com que las aplicaciones que pueden atacar a un teléfono sólo serían aquellas diseñadas en forma especifica para tal fin. ¿Cuándo sucede esto? “Cuando el usuario instala aplicaciones de procedencia dudosa y no certificada, como juegos, aplicaciones financieras, o de cualquier otra índole”, respondió.

Pasik advirtió que “con algunos marcas de terminales se puede forzar a que se solicite esta certificación, que valida que lo que se instala esta libre de spyware (un software espía), o aplicaciones que puedan atacar el contenido del terminal o usarla para generar gastos”.

Daños

¿Cuáles son los daños que pueden cometer los “hackers” a través de virus que infectan los celulares? Pasik detalló que podrían abrir conexiones de Internet no deseadas; bajar información personal como fotos, configuraciones u otros programas; enviar a otro lado la informacion del terminal afectado; interceptar las comunicaciones de datos; phishing; envío de SMS desde la cuenta de la víctima. Incluso, “podrían usar tu acceso a Internet para hacer spybot”, es decir, el armado de redes zombies utilizadas para atacar un objetivo determinado.

“Casi siempre se trata de robo de información y el uso de tus recursos sin pagar. Aun no es muy común ver este tipo de aplicaciones maliciosas en celulares, pero el peligro existe y sólo van a entrar por ahora cuando el usuario los instale”, aclaró el especialista.

Un foco de contagio de virus, que no afecta al terminal ni sus recursos pero si la información contenida en él, es el modo “acceso de datos”. En este caso, “podría pasar que al momento de conectar el terminal a una PC en modo datos un virus de la computadoa ataque la información contenida en el teléfono”, señaló Pasik.

Peligros físicos
Actualmente el mayor problema que enfrentan los usuarios de móviles es el robo del aparato, recordó Borghello. “Aunque esto pueda parecer trivial, hay que recordar que lo que el usuario pierde no es el costo del móvil, sino el de la información almacenada allí, lo cual implica contactos, información sensible, imágenes, videos, etc”, remarcó.

En coincidencia con Pasik, el director de Segu-info sostuvo que la incorporación de nuevas tecnologías a los “smartphones”, como las comunicaciones inalámbricas vía Wi-Fi y Bluetooth y la “falta de concientización de los usuarios” en estos sistemas, abren la posibilidad de que terceros puedan conectarse al equipo sin conocimiento ni consentimiento de la persona que utiliza el equipo, con los riesgos que ello implica.

Prevenciones
¿Cómo se pueden prevenir estas amenazas? Pasik apuntó al respecto que los teléfonos con información valiosa deberían ser de marca reconocida con un seteo de verificación y una firma de software a instalar. Y también recomendó:

• No instalar cualquier aplicación disponible por Internet.
• Instalar antivirus como Fsecure, Symantec u otros que tienen versión para móviles, aunque no todos los sistemas operativos de teléfonos lo soportan.

Borghello recomendó cuidar la forma de conexión del dispositivo, asegurando que sólo se conecte cuando el usuario lo requiera. También sugirió:

• Cuidar el dispositivo para que no se robado o, si esto sucede, que la información almacenada, no sea accesible, por ejemplo cifrándola.
• Comenzar a evaluar soluciones antivirus y antispam de SMS que protejan al usuario de las amenazas que han comenzado a aparecer y que buscan infectar el sistema operativo del aparato.
• Utilizar el dispositivo en forma responsable e intentar que las conexiones establecidas sean cifradas o se utilicen protocolos de comunicación seguros que no permitan la intervención o "escuchas" de las mismas.

Planeta BlackBerry
Los BlackBerry son los teléfonos que difundieron el concepto de “smartphone” en el mundo, en especial en el segmento corporativo, lo que los convierte en un blanco apetecible para los “hackers”. Pablo Kulevicius, gerente de seguridad de RIM, el fabricante de estos equipos, para América latina, dijo que las amenazas tecnológicas más habituales que tienen los usuarios de los BlackBerry son “el tamaño reducido, la ultraportabilidad, la capacidad de almacenamiento de datos y la conexión permanente a la red”.

Kulevicius se diferenció de Pasik y Borghello al afirmar ante iProfesional.com que “la Argentina es tan vulnerable como el resto del mundo a ataques dirigidos a dispositivos móviles, no es una cuestión tecnológica sino de incentivos”.

Esos estímulos aparecen cuando los usuarios guardan información de importancia, como por ejemplo agendas de contacto, lista de claves de acceso, y transmiten datos valiosos tales como “home banking”, conexión a intranet corporativa con sus teléfonos celulares. En estos casos, “existe un incentivo para utilizar las plataformas móviles para apoderarse de ellos”.

Kulevicius recordó que los BlackBerry incorporan características de seguridad como “encriptación, firewall (cortafuegos), control de aplicaciones, que ayudan a minimizar estas amenazas”.

Por ejemplo, implementa por defecto protecciones para datos en reposo (protección de contenido por encriptación), datos en tránsito (encriptación de transporte), control de accesos al smartphone (firewall para todos los canales de comunicación -red de operador, WiFi, Bluetooth, etc.) y de aplicaciones (listas permitidas, permisos por aplicación, ambiente controlado de ejecución -sandbox). Estas características de seguridad se incorporan en forma estándar en la solución, no son opcionales ni de terceras partes.

¿Cómo se actualiza el sistema operativo del BlackBerry? Por medio de una actualización de firmware, homologado por los proveedores del servicio de telefonía celular y luego ofrecido a sus clientes, respondió el ejecutivo de RIM.

Existen varias alternativas están disponibles para la instalación, ya sea corriendo un simple instalador en una PC o computadora Mac y conectando el dispositivo por USB, o utilizando una página de intranet/Internet especifica con el software homologado (WebSL), o a través del aire si este servicio es ofrecido por el operador.

“El usuario debe acompañar estas características con un comportamiento precavido”, advirtió Kulevicius, quien enumeró los siguientes consejos:

• Utilizar siempre una contraseña de acceso al “smartphone”.
• Usar la función de autobloqueo.
• Cambiar la contraseña regularmente.
• No tener contraseñas de acceso ni anotadas en papeles ni brindarlas a terceras partes.
• No dejar el teléfono sin bloquear en lugares públicos.
• No instalar aplicaciones no certificadas.
• Habilitar la protección de contenido ofrecida por el “smartphone” incluso en memorias extraíbles.

Para el ejecutivo de RIM, “más allá de las soluciones tecnológicas, el usuario tiene que estar concientizado y comportarse en forma segura al respecto para evitar ataques del tipo de la ingeniería social”.

El teléfono móvil no es seguro

Fuente: Cope.

La advertencia la ha hecho el mismísimo director del centro nacional de inteligencia a los profesionales del sector, es decir a quienes trabajan habitualmente con información sensible o de alto interés, ya sea en la empresa, las fuerzas de seguridad, la inteligencia o el ejercito: el teléfono móvil no es seguro.

Palabras del General Félix Sanz Roldán en la jornada sobre protección de información sensible en defensa y seguridad que se celebra hoy en la Fábrica Nacional de Moneda y Timbre.

El jefe de nuestros espías ha pedido una reflexión para que se proteja legalmente el uso de información sensible a través de la telefonía. Dice Sanz Roldán que ojalá se tuviera garantizada la protección del 50% de ese tipo de información. En fin, que el trabajo de espía tampoco es tan difícil.

Habrá soldados de fortuna en los atuneros vascos que faenan con pabellón extranjero

Fuente: ABC.

Las empresas atuneras han comenzado a mover ficha, tras la negativa del Gobierno a dejarles embarcar infantes de Marina en los buques que faenan en aguas del Oceano Índico, como así lo han solicitado. Todo está organizado para que, a más tardar la próxima semana, los primeros atuneros de las armadoras vascas que faenan en aguas de Somalia con pabellón extranjero dispongan de seguridad privada a bordo para defenderse de posibles ataques piratas. Esta labor correrá a cargo de soldados de fortuna británicos especializados en misiones de alto riesgo y con experiencia en labores de vigilancia de buques. A mediados de septiembre, las empresas llevaban algún tiempo estudiando la medida y ante la negativa del Gobierno español a incluir infantes de Marina en los barcos, tal y como ha hecho el Ejecutivo francés hace algún tiempo, han decidido dar un paso al frente para poder trabajar con «un mínimo de garantías».

Amarrar los barcos

Las empresas aseguran que no tienen más remedio que contratar la seguridad privada, «o eso o tenemos que amarrar los barcos porque perderemos los meses buenos en los que se puede salvar la campaña, que empiezan ahora», adelantaron desde una de las tres compañías bermeotarras que pondrá en marcha el despliegue. Los trámites administrativos para que estos buques de bandera extranjera, la mayoría llevan el estandarte de la República de Sheychelles, puedan introducir profesionales armados «ya se han realizado con el país correspondiente y todo está en regla». Los barcos con pabellón español no pueden embarcar, de momento, seguridad privada.

De hecho el primer lote de armas destinado a esta misión recalará en la isla de Mahé el próximo viernes vía aérea, mientras que los profesionales encargados de custodiar a los buques lo harán, muy probablemente, antes. Ya no hay marcha atrás, e incluso algunas empresas han adelantado para esas fechas los relevos programados inicialmente para mediados de mes, con el fin de que los barcos recalen a puerto sólo una vez. Cada atunero dispondrá de cuatro soldados de fortuna a bordo, provistos de armas automáticas de largo alcance para garantizar su seguridad.

«Se habilitará algún compartimento del barco como puede ser la sala de oficiales para que se alojen», explicaron. Asimismo, durante la estancia en puerto, a los buques se les dotará de un espacio para transportar las armas con garantías.

Faenar en parejas

En la actualidad, alrededor de una treintena de embarcaciones pertenecientes a armadoras vascas, entre atuneros y maciceros, faenan en el Índico y cerca del 60 por ciento son de bandera extranjera. Inicialmente, la idea era que estos barcos faenasen en pareja junto a otro de la misma empresa que navegue con pabellón español, pero este extremo todavía no es definitivo ya que «habrá que ver qué dice el Gobierno español al respecto».

Inicialmente, el contrato con la empresa británica que prestará el servicio será hasta enero, «aunque si la cosa funciona podría prolongarse». La inclusión de estos equipos de cuatro soldados de fortuna en cada atunero costará a las armadoras más de 24.000 euros de media al mes, aproximadamente, por barco, incluyendo armamento y munición. «Tenemos que dejar de ser el chocolate del loro para los piratas», recalcaron.

Los marineros que faenan en el Índico subrayan, una y otra vez, que los barcos franceses no sufren ningún ataque por parte de los piratas, «porque saben que disponen de marines a bordo. Uno de sus patrones me confirmó el otro día que ellos se acercan hasta las 250 millas de la costa sin ningún temor», aseguró un capitán que acaba de llegar del Índico. Precisamente ayer volvió a saltar la voz de alarma entre los atuneros al detectar, a escasas 160 millas de las Sheychelles pero hacia India, una embarcación que remolcaba dos lanchas fuera borda y que muy probablemente pertenecía a algún grupo pirata. «¿Dónde está la operación Atalanta?», aseguraron.

Esta es la misma pregunta que se hacían en ABC los dos gerentes de las principales organizaciones de armadores atuneros, al denunciar que el dispositivo militar que ha enviado España no sirve para protegerlos.

60 segundos para romper la seguridad de WiFi

Fuente: ITespresso.

A un grupo de científicos japoneses les ha llevado 60 segundos romper el cifrado WPA utilizado en los routers inalámbricos. El récord anterior era de 15 minutos. Toshihiro Ohigashi de la Hiroshima University y Masakatu Morii de la Kobe University revelarán exactamente cómo lo han hecho en un conferencia prevista para el próximo 25 de septiembre en Hiroshima.

Aunque no han conseguido el control total de la conexión WiFi, sí que han podido leer y falsificar paquetes de datos. No obstante, el hecho de que el cifrado WPA se haya roto sugiere que cualquiera preocupado por la seguridad debería empezar a pensar en migrar hacia el cifrado WPA2 con AES (Advanced Encryption Standard).

Por el momento se confirma que “cualquier implementación WPA es susceptible de ser vulnerable, y en un tiempo bastante más reducido”, afirma el investigador David García, de Hispasec.

Las empresas temen que las redes sociales pongan en peligro su seguridad

Fuente: Europa Press.

El 63 por ciento de los administradores de sistemas se muestran preocupados ante el hecho de que sus empleados puedan compartir demasiada información personal a través de las redes sociales, poniendo "en situación de riesgo" la infraestructura corporativa, según revela una encuesta realizada por Sophos.

En este sentido, el estudio revela que una cuarta parte de las empresas ha sido víctima de ataques de spam, phishing o malware a través de sitios como Twitter, Facebook, LinkedIn o MySpace.

La investigación de Sophos también revela que aunque un tercio de las organizaciones todavía considera la productividad como la principal razón para controlar el acceso de los empleados a las redes sociales, lo cierto es que amenazas como el malware o la fuga de datos están ganando protagonismo, convirtiéndose también en dos de las principales preocupaciones.

En este sentido, expertos de Sophos destacan que cuatro de los más populares sitios de redes sociales (Facebook, MySpace, LinkedIn y Twitter) han experimentado ataques de spam y malware durante 2009, todos ellos destinados a comprometer la seguridad del PC o a robar información personal. De esta forma, Sophos revela que un tercio de los encuestados ha sido víctima de spam en los sitios de redes sociales, mientras que casi una cuarta parte (21%) ha sufrido ataques de phishing o malware.

PROHIBIR EL ACCESO EN EL TRABAJO, NO ES LA SOLUCIÓN

Sin embargo, desde la compañía de seguridad apuntan que el bloqueo total de estas páginas en el trabajo "no es necesariamente la mejor respuesta" a dichos problemas, pues al ser un habito tan arraigado entre los usuarios, ellos continuarán compartiendo información inapropiada, y poniendo su identidad y la de la organización para la que trabaja en situación de riesgo. Por ello, desde Sophos, aseguran que "la prohibición del acceso a las redes sociales en el lugar de trabajo pura y simple puede ser una estrategia que podría causar más daño que bien".

"Negar por completo el acceso de los empleados a su sitio favorito de redes sociales puede conducir a éstos a encontrar un camino adyacente para romper esta prohibición y seguir entrando en estos sitios, situación que podría abrir mayores agujeros en la seguridad corporativa", explica el consultor de Tecnología de Sophos, Graham Cluley.

Así, remarca que las redes sociales también pueden tener efectos beneficiosos para las empresas, ya que permiten contactar con clientes actuales y potenciales. "Las redes sociales están aquí para quedarse por lo que es importante que las empresas encuentren una forma práctica para trabajar a través de estos sitios, no contra ellos", concluye Cluley.

Desde Sophos apuestan porque las empresas adopten "un enfoque más integral", lo que supone invertir mas en seguridad y formación para los usuarios, para que sean conscientes de los riesgos que entraña el acceso a determinados 'sites' sociales, asegurándose de que todos los empleados son conscientes del impacto que sus acciones pueden tener sobre la red corporativa.

Asimismo, recomiendan considerar la posibilidad de realizar un filtrado de acceso a determinados sitios de redes sociales en determinadas ocasiones y comprobar la información que su organización y el personal comparten en la Red, y en el caso de que se trate de datos cruciales que atañen al negocio, evaluar la situación y actuar de manera apropiada.

Una empresa de transcripción de mensajes de voz, bajo sospecha

Fuente: El Mundo.

La empresa británica Spinvox que convierte los mensajes de voz en texto está bajo el ojo del huracán en el Reino Unido a raíz de la puesta en duda de sus políticas de seguridad.

Según la BBC, muchos de los mensajes transcritos por la compañía no son ejecutados a través del avanzado 'software' de reconocimiento de voz que se presupone, sino que es personal humano en centros de Filipinas y Sudafrica quienes escuchan y transcriben la mayoría de ellos.

En España, Vodafone utiliza a Spinvox en su servicio 'SMS fácil'

"Todos los sistemas requieren de humanos para aprender en una etapa inicial" dijo la empresa en un comunicado. Pero afirma que su tecnología "captura las palabras habladas y las introduce dentro de un sistema de conversión de mensajes de voz conocido como 'D2', el cerebro".

Cuando es necesario, partes de algunos mensajes son enviados a un "experto en conversión", pero según la compañía eso ocurre pocas veces entre los millones de mensajes que se pueden procesar en un solo día. Además, aseguran que no hay manera de rastrear el número de teléfono particular del que procede esa parte del mensaje.

Pero la compañía declina comentar qué cantidad exacta de mensajes necesitan de este 'experto' para ser leídos. "La proporción actual de mensajes convertidos automáticamente es confidencial al tratar datos 'sensibles'" se añadió en el comunicado.

Versiones diferentes

Trabajadores de un centro de llamadas en Egipto ha creado en Facebook un grupo donde se incluye una foto de un mensaje transcrito que parece contener información comercial sensible. También incluye una grabación de audio de una llamada, e imágenes del personal en el centro de llamadas.

Según la BBC, Spinvox afirma que las imágenes reflejan una sesión de entrenamiento, y que el centro de llamadas nunca maneja llamadas en tiempo real, pero los trabajadores de algunos de los centros de Spinvox dicen lo contrario. "La máquina no entiende nada", explicó Mohammed Mustafa, trabajador en un centro de llamadas en Egipto. "Tienes que empezar a escribir en cuanto escuchas el mensaje."

Insistió en que él y sus colegas manejan mensajes en tiempo real, y que los ordenadores de Spinvox sólo desempeñan un pequeño papel en todo el proceso de transcripción.

La protección de datos

El hecho de que los mensajes parecen haber sido leídos por trabajadores de fuera de la Unión Europea plantea también cuestiones acerca de la política de protección de datos de la empresa.

Según la entrada de la compañía en el Registro de Protección de Datos del Reino Unido, la firma no transfiere nada fuera del Espacio Económico Europeo.

El ICO, la autoridad independiente del Reino Unido que se encarga de regular el acceso a la información oficial y la protección de datos personales, afirma que se ha puesto en contacto con Spinvox "para asegurarse de que su entrada en el registro de protección de datos es a la vez precisa y completa, sobre todo en lo que respecta a la transferencia de datos personales fuera del Espacio Económico Europeo".

Aunque no hay nada que impida a Spinvox el uso de personal humano en vez de máquinas para traducir los mensajes, el ICO afirma que sería beneficioso para todos que se aclarase este asunto. "Es especialmente importante ya que los clientes están utilizando el servicio para transmitir información sensible o de seguridad", agregó.

Mac OS X, no tan seguro como parece

Fuente: VNUnet.

Aunque siempre se ha dicho que el sistema operativo de Apple, Mac OS X, es una plataforma completamente segura frente a las vulnerabilidades de Windows, lo cierto es que cada vez hay más malware específico para Mac. A medida que aumenta el número de usuarios que se pasa a Apple, son más los ciber criminales interesados en atacar a esta plataforma para obtener beneficio económico de sus usuarios.

La semana pasada, expertos en seguridad de Sophos encontraron una versión del troyano Jahlay que afectaba a Mac OS X, permitiendo la descarga automática de archivos maliciosos. También se descubrió un gusano llamado Tored, aunque no se tiene constancia de que ninguno de los dos haya causado algún daño grave. Sin embargo, cada vez son más lo que recomiendan que se instale antivirus en el ordenador, a pesar de la baja tasa de infección en Mac.

Como informa eWEEK, Snow Leopard, el próximo sistema operativo de la compañía, podría verse en problemas. Ingenieros de software de la compañía han sugerido la posibilidad de instalar antivirus, ya que las probabilidades de aparición de un virus crecen exponencialmente.

Google Chrome ¿el browser más seguro?

Fuente: Imatica.

Guillem Alsina (guillem@imatica.org): En el marco de la CanSecWest de este año, celebrada en la ciudad canadiense de Vancouver, se organizó el mismo torneo de hacking que el año pasado, consistente en intentar forzar la seguridad de una serie de navegadores web, instalados en computadoras actualizadas con todos los parches de seguridad posibles.

Dos fueron las plataformas utilizadas: por una parte un MacBook con la última versión de Mac OS X instalada y aplicados todos los parches de seguridad en el cual había los navegadores Safari (ya incluido en el sistema) y Firefox, mientras que por otra parte teníamos un Sony Vaio con Windows Vista e Internet Explorer 8, Firefox y Chrome. Opera no fue incluido en el concurso ni tampoco un representante de la plataforma GNU/Linux o de las distintas ramas de la familia BSD, lo que ha suscitado algunas críticas de la comunidad a posteriori.

El ganador del año pasado se repitió, Charlie Miller, quien además utilizó el mismo vehículo para ganar: crackeó el navegador web de Apple (Safari) funcionando sobre Mac OS X en solamente unos segundos, por lo que además de llevarse una sustanciosa cantidad de dinero, recibió como premio la misma máquina a la que había atacado.

No se han desvelado los detalles técnicos del exploit utilizado, ya que la organización del evento había firmado previamente un acuerdo con Apple para permitirles crear y distribuir antes un parche que cubriese la vulnerabilidad explotada, y el mismo acuerdo fue firmado con Microsoft. No obstante, cabe decir que la actuación del exploit fue cuestión de segundos gracias a que Miller ya lo llevaba preparado con anterioridad. Fue solamente cuestión de que la computadora atacada cargara la página web que Miller había preparado y el jurado pinchase en el enlace que en ella constaba, para que el hacker ganara acceso con privilegios a la máquina objeto del ataque.

Después de Safari, el siguiente navegador en caer fue el recientemente lanzado Internet Explorer 8, funcionando sobre un Windows Vista totalmente “parcheado”. El último en ser vulnerado fue Firefox y, por todos los datos que han llegado a nuestra redacción, parece ser que el único que quedó indemne fue Chrome.

Algunas conclusiones

Hay muchas posibles lecturas sobre los resultados de este concurso, aunque una primera y rápida podría ser que Mac OS X no es tan seguro como pregonan desde Apple, tal vez aún poco acostumbrados a que su sistema sea víctima de ataques masivos. Por su parte, Chrome puede ser una solución aún demasiado novedosa como para centrar el interés de la comunidad hacker en este sentido, pero por el momento se ha mostrado como el navegador web más seguro, por lo que hay que tenerlo en cuenta en ambientes en los que la seguridad deba extremarse.

La versión india de Google Earth preocupa por su seguridad

Fuente: El Mundo.

India va a lanzar su propia versión de Google Earth para planificación urbana, dijeron las autoridades, en medio de temores de que pueda ser usado incorrectamente por extremistas para planear ataques como los de Bombay.

La versión india de Google Earth, llamada 'Bhuvan', es un servicio basado en Internet y desarrollado por el Centro Nacional de Percepción Remota (NRSC, por sus siglas en inglés).

Su objetivo es ayudar a científicos, urbanistas y también administradores, además de facilitar la gestión de catástrofes, según las autoridades.

Se espera que permita a los usuarios calibrar el tipo de terreno y el potencial de agua subterránea, gracias a imágenes de alta resolución y datos procedentes de satélites.

"Estamos trabajando con el Gobierno para una resolución de 2,5 metros", explicó el director del NRSC, V. Jayaraman, desde la sureña ciudad de Hyderabad.

"Vamos a poner mucha información temática, como el uso de las tierras, el potencial de agua subterránea y los tipos de terreno, que no están disponibles en Google Earth", agregó otro científico del NRSC que habló bajo condición de anonimato.

Pero algunos temen que Bhuvan, que será gratuito, acabe siendo usado incorrectamente.

"Obviamente dar imágenes por satélite a todo el mundo tendrá un cierto impacto en la seguridad", dijo Ajai Sahni, del Instituto de Gestión de Conflictos de Nueva Delhi. "Hay una posibilidad de mal uso de esa tecnología", añadió.

El único atacante superviviente de los atentados de Bombay, Mohamad Ajmal Kasab, dijo a la policía que los 10 extremistas usaron durante su entrenamiento imágenes de Google Earth de los lugares que atacaron en la capital financiera del país, según las autoridades.

Casi 170 personas resultaron muertas en noviembre pasado durante los tres días de ataques contra varios objetivos en Mumbai, que revelaron importantes fallas en el sistema de seguridad de India.

Responsables del NRSC dijeron que los edificios importantes se pueden ensombrecer.

Google Earth y la seguridad

La llegada de Google Earth ha sido, en todos los países, motivo de polémicas por la seguridad y la posibilidad de hacer un mal uso del mismo, como en su momento señaló The Guardian sobre el uso de las milicias palestinas del servicio de Google para localizar sus objetivos israelíes con más precisión.

Así, el Pentágono prohibió a los trabajadores de Google Earth filmar con detalle el interior de las bases estadounidenses.

1234, QWERTY y Pokemon, las contraseñas más utilizadas

Fuente: Publico.

Las contraseñas que no tienen ningún carácter original o no son muy imaginativas resultan presas fáciles para los delincuentes informáticos. Que los internautas utilicen contraseñas complejas para elevar el nivel de seguridad de sus cuentas personales es una advertencia que realizan prácticamente todos los servicios disponibles en la red y que requieren de una autentificación para su funcionamiento.

La recomendación más común es elaborar una contraseña que reúna números y letras e incluso signos de puntuación o mayúsculas y minúsculas. Sin embargo, un análisis realizado por la empresa Errata Security en 28.000 cuentas robadas recientemente de un popular sitio en Internet ha revelado que las personas no suelen complicarse mucho a la hora de crear una contraseña.

Según este análisis publicado por Information Week, el 16% de las contraseñas utilizadas son nombres propios y generalmente se trata del nombre del usuario o de algún familiar directo, como los hijos. Otro 14% corresponde a la secuencia numérica más sencilla de memorizar: ‘1234' ó ‘12345678'. Otra combinación muy utilizada es la que aprovecha el orden de teclas disponible en los teclados, la secuencia ‘QWERTY'.

Un 5% de las contraseñas se refieren a personajes de programas de televisión o películas, como ‘hannah', ‘pokemon', ‘matrix' o ‘ironman', sobre todo los más populares entre los jóvenes. Con un 4% destaca el uso de la propia palabra ‘contraseña' como clave, al tratarse de algo fácil de memorizar.

El 3% de las contraseñas responde a actitudes como ‘nomeimporta', ‘cualquiera' y ‘si' o ‘no', entre las que también destacan ‘tequiero' o ‘teodio'.

Descubren el mayor fallo de seguridad de internet conocido hasta el momento

Fuente: 20minutos.

• Cualquiera podría aprovecharse para robar y modificar datos.
• Se encuentra en uno de los protocolos claves de internet.

Los protocolos básicos de comunicación en internet vuelven a estar amenazados. Después del problema detectado en julio de este año por un experto en seguridad, que afectaba al sistema de direcciones de la Red, hoy la revista Wired revela que otros dos investigadores han encontrado un agujero si cabe aún mayor, que permitiría interceptar todo tráfico de datos no cifrados en cualquier parte del mundo.

El fallo afecta al protocolo BGP (Border Gateway Protocol), que cualquiera podría aprovechar para hacerse con la información no cifrada que circula por la Red, gracias al uso de una "puerta trasera", un acceso oculto creado originalmente para que las autoridades estadounidenses pudiesen intervenir las comunicaciones de internet en caso de ser necesario (también se hizo pensando en el espionaje corporativo o entre naciones).

Los informáticos que han desvelado esta vulnerabilidad, Anton Kapela y Alex Pilosov, han elegido para hacerlo una charla fuera de programa que dieron en la conferencia sobre seguridad y hacking DefCon.

Los expertos coinciden en la gravedad del fallo y explican que este agujero es una demostración de los graves problemas de seguridad que aún existen en las bases del funcionamiento de internet: para interceptar cualquier información que se enviase a una determinada dirección IP tan sólo haría falta un router BGP (muy habitual en conexiones particulares y de empresas).

El problema es que este ataque no se aprovecha de un fallo de software ni de una vulnerabilidad en concreto sino del funcionamiento mismo de uno de los protocolos clave de la Red. La operadoras podrían ayudar a evitar estos ataques mediante la utilización de filtros que garantizasen la seguridad del tránsito de datos, una tarea bastante costosa para las empresas pero que, según los expertos, deberían comenzar a plantearse seriamente.

La desaparición de Youtube

Las vulnerabilidades del protocolo BGP no son nuevas, aunque si lo parece la aplicación que les dan Kapela y Pilosov. El caso más reciente relacionado con esta tecnología fue la caída sufrida por YouTube el pasado mes de febrero.

El gobierno pakistaní intentó evitar que sus internautas accedieran a un vídeo en el que aparecían caricaturas de Mahomma, y lo hizo introduciendo instrucciones erróneas en el protocolo de comunicaciones BGP. Como consecuencia, el portal propiedad de Google desapareció del mapa durante unas horas en todo el mundo.

En lugar de para hacer desaparecer una página web o información, Kapela y Pilosov han demostrado que es posible también que cualquiera con el equipo adecuado intercepte comunicaciones ajenas, siempre que no hayan sido cifradas. En la conferencia DefCon, fueron capaces de desviar casi todo el tráfico de una web a otro servidor (desde el que podrían haber realizado el espionaje) en tan solo 80 segundos.