Incluso a la NASA le roban sus laptops
A cualquiera le pueden robar su notebook. A ti, a mí, a un familiar, a un amigo, a un vecino, incluso a la NASA. Así es, ni siquiera la famosa agencia espacial se salva de los robos.
Tal parece que un buen número de empleados de la NASA están en peligro luego del robo de una laptop no encriptada y otros documentos importantes desde un vehículo de la agencia. El ladrón les ha obligado a cambiar algunas reglas a nivel de seguridad.
Charles Bolden Jr., el administrador de la NASA, está muy descontento con la situación y ahora le ha dado una prioridad máxima a todas las tareas que respectan a la seguridad y están llevando a cabo todas las investigaciones que les sean posibles. Recordemos que el año pasado la agencia sufrió una importante pérdida de datos que involucraba toda clase de códigos e información sobre los empleados.
A partir de ahora, todas las portátiles de los empleados deberán estar encriptadas antes del próximo 21 de diciembre. Además de esto, la agencia prohibirá a sus trabajadores almacenar información importante en dispositivos como tablets y smartphones.
La agencia con tecnología de punta que una vez nos llevó a la Luna (si es que así fue) deberá de hacer algunos cambios importantes.
sábado, 17 de noviembre de 2012
domingo, 4 de noviembre de 2012
Hasta un novato lo puede hacer. ¡Qué roche!
La seguridad de las empresas es comprometida por novatos [Verizon]
Aunque el crimen organizado en Internet es una realidad cada vez más apremiante, la mayoría de los ciberataques (96%) que comprometen información de valor dentro de los ambientes empresariales son ejecutados por usuarios novatos con técnicas simples, de acuerdo al reporte 2012 Data Breach Investigations Report [PDF].
El informe desarrollado por el operador Verizon -que cuenta con el apoyo del Servicio Secreto de Estados Unidos, la Unidad Central de Crimen Digital de la Policía y las divisiones de combate al cibercrimen de Alemania, Irlanda y Australia- destaca que en el último año a nivel mundial se han reportado más de 855 incidentes y poco más de 174 millones de archivos comprometidos.
“Lo que estamos viendo es que los cibercriminales han comenzado a diversificar sus focos de ataques. La industria financiera sigue siendo una de las más afectadas por el delito en Internet, pero el informe de este año muestra que verticales como la de hospitalidad y alimentos son los nuevos blancos de ataque de los delincuentes en línea”, dijo Steven Rivera, vicepresidente de la división de Servicios de seguridad de Verizon en América Latina.
Rivera menciona que la razón principal detrás de la tendencia radica en que muchas empresas dentro de estas verticales, carecen de programas, procesos o sistemas de seguridad, sin embargo sí procesan datos bancarios de tarjetas de crédito o debito.
"Para el criminal es más fácil vulnerar el sistema de una pequeña cadena de retail, un miscelánea o un hotel pequeño, que tratar de penetrar el robusto sistema de seguridad de una institución financiera", comenta.
El informe de 2012 señala que el numero de brechas y datos comprometidos del último año ha sido uno de los más altos, sólo superado por 2004 —año en el que el operador comenzó a realizar el análisis—.
Los datos del informe, según Rivera, también levantan diversas preocupaciones pues 98% de la brechas de información son generadas por agentes externos, de estas 81% utilizaron algún método de hacking, 69% incorporó el uso de malware y 58% fueron resultado de protestas hacktivistas.
“La mayoría de ciberataques responde a un tema de oportunidad más que de elección, es decir, son víctimas que tienen una debilidad que puede ser aprovechada por los cibercriminales, difícilmente se tratan de ataques dirigidos”, cita el informe.
De acuerdo con cifras del 2012 Data Breach Investigations Report, 79% de las víctimas fueron blancos de la oportunidad, 96% fueron vulnerados por ataques simples y en el 85% de los casos a las empresas les tomó más de dos semanas detectar el robo de información.
Lo más crítico, dice Rivera, es que 97% de los incidentes analizados por Verizon podrían haberse evitado con simples controles o políticas claras de seguridad.
"El problema más grave en seguridad IT es que muchas industrias están llenas de fuertes incongruencias. Por ejemplo, el sector salud cuenta con tecnología de punta para salvar la vida humana, pero operan con los controles mínimos para proteger la información de empleados o pacientes", comenta Rivera.
Situación similar con las regulaciones y estándares de industria, pues muchas empresas tienden a creer que con estar en cumplimiento o por aprobar la auditoria están exentos de ser vulnerados por los cibercriminales.
Las regulaciones de gobierno como Sarbanes Oxley y los estándares de cumplimiento como PCI, son un arma de doble filo porque si bien ayudan a mejorar y crear procesos y controles de protección, también generan un sentido falso de seguridad, apunta Steve Rivera.
El informe de Verizon también demuestra que el número de brechas de seguridad generadas por usuarios internos -intencional o no- se mantiene a la baja. En 2010, los incidentes generados por usuarios internos representaban 12%, contra 86% provocados por agentes externos (cibercriminales).
En el informe de 2012, la cifra se redujo a 2% interno, contra 98% de las brechas provocadas por usuarios externos a la organización, criminales que en nueve de cada 10 casos buscan vulnerar a la organización en busca de un beneficio económico.
Aunque el crimen organizado en Internet es una realidad cada vez más apremiante, la mayoría de los ciberataques (96%) que comprometen información de valor dentro de los ambientes empresariales son ejecutados por usuarios novatos con técnicas simples, de acuerdo al reporte 2012 Data Breach Investigations Report [PDF].
 |
“Lo que estamos viendo es que los cibercriminales han comenzado a diversificar sus focos de ataques. La industria financiera sigue siendo una de las más afectadas por el delito en Internet, pero el informe de este año muestra que verticales como la de hospitalidad y alimentos son los nuevos blancos de ataque de los delincuentes en línea”, dijo Steven Rivera, vicepresidente de la división de Servicios de seguridad de Verizon en América Latina.
Rivera menciona que la razón principal detrás de la tendencia radica en que muchas empresas dentro de estas verticales, carecen de programas, procesos o sistemas de seguridad, sin embargo sí procesan datos bancarios de tarjetas de crédito o debito.
"Para el criminal es más fácil vulnerar el sistema de una pequeña cadena de retail, un miscelánea o un hotel pequeño, que tratar de penetrar el robusto sistema de seguridad de una institución financiera", comenta.
El informe de 2012 señala que el numero de brechas y datos comprometidos del último año ha sido uno de los más altos, sólo superado por 2004 —año en el que el operador comenzó a realizar el análisis—.
Los datos del informe, según Rivera, también levantan diversas preocupaciones pues 98% de la brechas de información son generadas por agentes externos, de estas 81% utilizaron algún método de hacking, 69% incorporó el uso de malware y 58% fueron resultado de protestas hacktivistas.
“La mayoría de ciberataques responde a un tema de oportunidad más que de elección, es decir, son víctimas que tienen una debilidad que puede ser aprovechada por los cibercriminales, difícilmente se tratan de ataques dirigidos”, cita el informe.
De acuerdo con cifras del 2012 Data Breach Investigations Report, 79% de las víctimas fueron blancos de la oportunidad, 96% fueron vulnerados por ataques simples y en el 85% de los casos a las empresas les tomó más de dos semanas detectar el robo de información.
Lo más crítico, dice Rivera, es que 97% de los incidentes analizados por Verizon podrían haberse evitado con simples controles o políticas claras de seguridad.
"El problema más grave en seguridad IT es que muchas industrias están llenas de fuertes incongruencias. Por ejemplo, el sector salud cuenta con tecnología de punta para salvar la vida humana, pero operan con los controles mínimos para proteger la información de empleados o pacientes", comenta Rivera.
Situación similar con las regulaciones y estándares de industria, pues muchas empresas tienden a creer que con estar en cumplimiento o por aprobar la auditoria están exentos de ser vulnerados por los cibercriminales.
Las regulaciones de gobierno como Sarbanes Oxley y los estándares de cumplimiento como PCI, son un arma de doble filo porque si bien ayudan a mejorar y crear procesos y controles de protección, también generan un sentido falso de seguridad, apunta Steve Rivera.
El informe de Verizon también demuestra que el número de brechas de seguridad generadas por usuarios internos -intencional o no- se mantiene a la baja. En 2010, los incidentes generados por usuarios internos representaban 12%, contra 86% provocados por agentes externos (cibercriminales).
En el informe de 2012, la cifra se redujo a 2% interno, contra 98% de las brechas provocadas por usuarios externos a la organización, criminales que en nueve de cada 10 casos buscan vulnerar a la organización en busca de un beneficio económico.
Windows es TODO !!
Los productos Microsoft ya no aparecen en el Top10 de inseguros [Kaspersky]
Los productos de Microsoft ya no figuran en la lista de Kaspersky de los 10 más inseguros debido a sus vulnerabilidades. La política de actualizaciones automáticas llevada a cabo por la compañía en las últimas versiones de sus sistemas operativos están dando sus frutos.
En la lista de Kaspersky, Oracle Java ocupa el primer y segundo lugar, con advertencias de “Altamente crítico” y “Extremadamente crítico” respectivamente. Encontramos después a Adobe Flash en las posiciones tercera y cuarta. Otro producto de Adobe, Acrobat y su Reader, ocupa la quinta plaza.
La sexta y séptima posición están ocupadas por productos de Apple, QuickTime y iTunes, con vulnerabilidades calificadas como altamente críticas. La octava posición está ocupada por Winamp. Cierran la lista productos de Adobe nuevamente: Adobe Shockwave Player y el reproductor de Adobe Flash.
Hace unos años Microsoft habría terminado la lista, pero a partir del lanzamiento de Windows Vista, la compañía cambió su política con las actualizaciones automáticas. Windows 7 se basa en eso y en Windows 8 se ha dado un paso más. También es cierto que la compañía de seguridad VUPEN ha encontrado la primera vulnerabilidad 0-day en Windows 8 e Internet Explorer 10.
Destacar del informe de Kaspersky que el 28% de ataques a dispositivos móviles fueron dirigidos contra Android 2.3.6. En el tercer trimestre del año, el 56% de exploits aprovecharon vulnerabilidades de Java y, atentos: 91,9 millones de URLs sirven código maligno, con un incremento del 3% respecto del segundo trimestre.
Viendo estas cifras, dan ganas de no tener Java en el equipo, salvo que sea absolutamente imprescindible. Ya que no se puede evitar que haya por ahí personajes empeñados en amargar la vida del usuario, es muy importante disponer siempre del software más actualizado.
Los productos de Microsoft ya no figuran en la lista de Kaspersky de los 10 más inseguros debido a sus vulnerabilidades. La política de actualizaciones automáticas llevada a cabo por la compañía en las últimas versiones de sus sistemas operativos están dando sus frutos.
En la lista de Kaspersky, Oracle Java ocupa el primer y segundo lugar, con advertencias de “Altamente crítico” y “Extremadamente crítico” respectivamente. Encontramos después a Adobe Flash en las posiciones tercera y cuarta. Otro producto de Adobe, Acrobat y su Reader, ocupa la quinta plaza.
La sexta y séptima posición están ocupadas por productos de Apple, QuickTime y iTunes, con vulnerabilidades calificadas como altamente críticas. La octava posición está ocupada por Winamp. Cierran la lista productos de Adobe nuevamente: Adobe Shockwave Player y el reproductor de Adobe Flash.
Hace unos años Microsoft habría terminado la lista, pero a partir del lanzamiento de Windows Vista, la compañía cambió su política con las actualizaciones automáticas. Windows 7 se basa en eso y en Windows 8 se ha dado un paso más. También es cierto que la compañía de seguridad VUPEN ha encontrado la primera vulnerabilidad 0-day en Windows 8 e Internet Explorer 10.
Destacar del informe de Kaspersky que el 28% de ataques a dispositivos móviles fueron dirigidos contra Android 2.3.6. En el tercer trimestre del año, el 56% de exploits aprovecharon vulnerabilidades de Java y, atentos: 91,9 millones de URLs sirven código maligno, con un incremento del 3% respecto del segundo trimestre.
Viendo estas cifras, dan ganas de no tener Java en el equipo, salvo que sea absolutamente imprescindible. Ya que no se puede evitar que haya por ahí personajes empeñados en amargar la vida del usuario, es muy importante disponer siempre del software más actualizado.
sábado, 27 de octubre de 2012
No compren medicamentos internet!
La venta de medicamentos a través de Internet es una actividad ilegal
El título de esta entrada no es una frase mía, forma parte de la campaña contra la venta de medicamentos por Internet que publicó la Agencia Española de Medicamentos y Productos Sanitarios, organismo dependiente del actual Ministerio de Sanidad, Servicios Sociales e Igualdad.
La venta de medicamentos falsos redunda en enormes beneficios económicos para las organizaciones de delincuentes que los fabrican y venden. En muchas ocasiones ni siquiera llevan el principio activo necesario o lo llevan en ínfimas cantidades, por lo que su acción terapéutica es nula. Pero en ocasiones se encuentran adulteraciones potencialmente peligrosas incluso mortales, porque las fabrican utilizando compuestos tóxicos que simplemente les resultan más baratos.
Lo que sí cuidan es la imagen del producto, imitando perfectamente los envases y el aspecto de la pastilla objetivo del fraude. Resulta imposible para el consumidor habitual diferenciar un medicamento real de uno falso con la simple observación.
Confiar nuestra salud a medicamentos de dudosa procedencia es como “jugar a la ruleta rusa”, dejamos en manos del azar el resultado del tratamiento. Mira el vídeo de más abajo ilustrando esta frase.
Los principios de la Campaña
La venta de medicamentos a través de Internet es una actividad ilegal. No participes en ella- Cada vez es más frecuente recibir, la mayoría de las veces sin nuestra autorización, ofertas de medicamentos a través de Internet. A diferencia de otros productos que se venden a través de Internet, los medicamentos tienen un impacto directo en nuestra salud y para utilizarlos de manera segura tenemos que consultar a profesionales sanitarios cualificados.
- Vender medicamentos de prescripción médica a través de Internet está prohibido en España por la Ley 29/2006 de garantías y uso racional de los medicamentos y productos sanitarios. Hacerlo se considera una infracción tipificada como muy grave
- Más de la mitad de los medicamentos que circulan a través de Internet son falsificaciones, fabricadas a partir de sustancias no autorizadas, de baja calidad o con efectos tóxicos.
- Los fabricantes y suministradores de estos productos no son supervisados por la Agencia Española de Medicamentos y Productos Sanitarios (AEMPS), por lo que su fabricación y transporte pueden hacerse en condiciones que afecten a su calidad.
- Para comprar medicamentos de forma segura debemos acudir a las oficinas de farmacia legalmente autorizadas, previa consulta con el médico en el caso de medicamentos que requieran receta.
Una operación de alcance mundial en la que han participado cien países y cuya finalidad era desarticular las redes dedelincuencia organizada responsables de la venta ilícita en línea de medicamentos, ha conducido a unas 80 detenciones y al decomiso a escala planetaria de 3,75 millones de unidades de fármacos potencialmente perjudiciales para la salud, valorados en 10,5 millones de dólares estadounidenses.
La salud es demasiado importante como para jugársela en Internet
.
sábado, 20 de octubre de 2012
Ya no a las claves 12345. Existen otras combinaciones!
Cuánto tardaría un hacker en descifrar tu contraseña #Infografía
La seguridad de una contraseña depende de varios factores, como el número de caracteres, una combinación alfanumérica o la introducción de símbolos. La siguiente infografía muestra cuánto esfuerzo le supondría a un hacker descifrar este término secreto para entrar en una cuenta personal. Depende, por supuesto, de lo segura que sea nuestra selección.
Es comúnmente conocido (aunque no por todos, porque si fuera así la situación no se seguiría manteniendo) que las contraseñas más populares en Internet son las de tipo ‘123456’, ‘abc123’ o ‘password’. La siguiente infografía, elaborada por LifeLock, muestra cuánto tardaría un hacker en adivinar nuestra clave secreta, aunque depende del hacker, claro.
Es comúnmente conocido (aunque no por todos, porque si fuera así la situación no se seguiría manteniendo) que las contraseñas más populares en Internet son las de tipo ‘123456’, ‘abc123’ o ‘password’. La siguiente infografía, elaborada por LifeLock, muestra cuánto tardaría un hacker en adivinar nuestra clave secreta, aunque depende del hacker, claro.
Protecting Your Password Infographic
sábado, 6 de octubre de 2012
Quieras o no quieras, serás usuario de Facebook!
Con el fin de acaparar un mayor número de usuarios atrayendo a quienes aún no están registrados, Facebook ha solicitado una patente que permitiría rastrear la actividad de los internautas que no tengan una cuenta activa.
Facebook quiere seguir creciendo y parece dispuesta a todo con tal de conseguirlo.
La red social, a la que siempre le ha perseguido la controversia por contar con unas políticas de privacidad, ha movido ficha para enganchar a quienes aún no tienen una cuenta registrada.
Así lo ha revelado un investigador, que asegura que Facebook ha solicitado una patente para perseguir tanto a sus usuarios (incluso cuanto no estén loggeados) como a aquellos que ni siquiera han tramitado su alta en la red social. Recordemos que hace unas semanas se conocía que Facebookrastreaba las actividades de sus usuarios incluso cuando habían cerrado sesión y visitaba sitios ajenos a la red social que contaban con el plugin de Facebook. Tras las disculpas se culpó a un fallo técnico este problema.
Ahora se descubre que la compañía estaría intentando conseguir una patente que permite realizar prescisamente este seguimiento del que parecía ajena. Facebook señala que por ahora es una solicitud, pero poco cambia respecto a los polémicos planes, puesto que el método propuesto en la solicitud también propondría el rastreo de la actividad fuera de Facebook de internautas que no tienen perfil en la red social.
Controversia en torno a Facebook
Una nueva polémica brindada por Facebook parece, por tanto, servida. Entre su historial encontramos cómo el pasado año se señaló su contribución directa con aplicaciones desarrolladas por terceros para la red social que recolectaban datos de usuarios.
Este mismo año la compañía de seguridad informática Symantec afirmó que millones de datos habrían sido filtrados desde la red social en los últimos años a un buen número de empresas debido a un fallo en su sistema de seguridad. Asimismo, la empresa de Mark Zuckerberg reconoció meses atrás que había difundido informaciones falsas para ensuciar la imagen de su rival Google.
Por otro lado, las últimas críticas que han llegado a la red social se produjeron cuando un mes atrás optó por cambiar su forma de actualizaciones suscribiendo a todos los usuarios a toda actividad que realizan sus contactos. Esto ha provocado que los usuarios puedan ver lo que hacen en todo momento sus contactos pero no permite que se bloquee que éstos hagan lo propio con su actividad en la red social, lo que muchos consideran un ataque contra la intimidad.
Un simulacro en Perú no sería nada malo
Europa realiza un simulacro de cibertaque contra sus redes
Fruto de este esfuerzo por crear una estrategia común, en el día de hoy 300 expertos de 25 países de europeos se encuentran realizando un ejercicio de simulación de un ataque DDoS a gran escala con el que poner en práctica protocolos de actuación y defensa así como los distintos mecanismos de colaboración y alerta entre países.
Estas maniobras de ciberdefensa, denominadas Cyber Europe 2012, ya se celebraron por primera vez durante el año 2010 con gran éxito y vuelven dos años más tarde en un escenario en el que la ciberseguridad se ha convertido en una de las grandes prioridades de las agendas políticas de los países europeos. El objetivo de esta edición es triple puesto que, además de probar los mecanismos de contingencia y cooperación, también se pondrán a prueba los mecanismos de colaboración público-privada (con la participación de entidades financieras, empresas privadas y operadores) y, como suele ser habitual en cualquier tipo de simulación, extraer conclusiones y lecciones aprendidas en las que se identifiquen carencias y aspectos a mejorar.
¿Y cuál será el “juego de guerra” a desarrollar? La prueba a la que se están enfrentando es la de un ataque DDoS a gran escala que afecta a las infraestructuras críticas de los 25 países participantes, en una especie de oleada de ataques (unos 1.000 incidentes simulados) que busca tumbar los servicios básicos de los ciudadanos europeos. La idea es que las entidades públicas y privadas de cada país sean capaces de cooperar entre sí para evitar el ataque y atajar la situación pero, además, las entidades públicas deberán colaborar con sus homólogas para trabajar en equipo.
"Si un ataque así ocurriese realmente podría causar grandes trastornos a millones de ciudadanos y empresas europeas
Teniendo en cuenta que cada vez son más las noticias de ataques, robos de datos y espionaje industrial, establecer un marco común de actuación y cooperación ante este tipo de amenazas es un detalle bastante importante, eso sí, siempre y cuando se lleven a la práctica las lecciones aprendidas y se solventen las carencias o fallas que aparezcan.
así como provocar millones de dólares en daños a la economía de la Unión Europea".
Suscribirse a:
Entradas (Atom)