Análisis de Riesgos Tecnológico, en la vida cotidiana

Los días de memorizar sus contraseñas están contados. En algunos años podrá acceder a su cuenta bancaria en internet usando un tatuaje electrónico en su brazo o con una pastilla que, una vez digerida, difunde la contraseña a través de las paredes del estómago. Ya existen prototipos. El tatuaje tiene componentes elásticos como sensores y una antena que se internalizan en la piel. La antena transmite la contraseña a un lector electrónico cuando uno entra en contacto con un teléfono o computador. Y el ácido estomacal -en vez del ácido de las baterías- activa la píldora. Este pequeño artefacto ha sido diseñado para que pulse un código que sería recogido por un sensor en un computador portátil poco después de dejar el esófago. La motivación para desarrollar tecnologías tan extrañas viene de un problema creciente y generalizado: los sistemas de autentificación existentes con los que se ingresa a servicios en línea se basan en contraseñas. Y estas no siempre están a la altura de las

Nota: esta información sobre la vulnerabilidad HeartBleed en un banco argentino fue provista por un lector de Segu-Info quien amablemente nos ha falicitado las capturas de pantalla y ha informado al banco vulnerable, quien por su lado ya ha solucionado la vulnerabilidad. Sebastián Magof, Security Researcher independiente de Argentina puso a prueba la seguridad de un banco argentino. En este caso su sitio de banca empresarial era vulnerable a Heartbleed. La herramienta utilizada para probar la existencia del bug fue Metasploit con el Modulo "openssl_heartbleed.rb". En este caso se puede ver como el módulo informa sobre la existencia de la vulnerabilidad: A continuación se puede ver los 64KB de información que se vuelca desde memoria del servidor. En este caso se muestra la información de acceso -nombre de usuario y contraseña- de una persona que estaba accediendo al banco: Esto es sólo un ejemplo más de lo crítico de la vulnerabilidad, por lo que una vez más llamamos a t

Tenemos en la prensa especializada noticias sobre ataques APT casi a diario y el término se está empezando a utilizar de manera demasiado alegre. El otro día llegue a leer incluso a alguien que decía que el malware bancario Zeus era un APT. El término APT se suele asociar erróneamente al uso de malware dirigido, pero es algo más. APT es el grupo de gente que esta detrás del ataque, no la operación y mucho menos el malware. El malware es como “una bomba”. Es lo que “mata”, pero para lanzar una bomba hace falta un avión, hacen falta pilotos, hacen falta ingenieros que diseñen la bomba, gente de inteligencia y medios de reconocimiento que digan donde hay que dejar caer la bomba. Además no cualquier grupo de “ciber-agresores” entra dentro del término APT si no cumplen las condiciones básicas del término: • Avanzado: En el sentido de que los atacantes tienen recursos técnicos, económicos y de inteligencia amplios. Son grupos poderosos o naciones. • Persistente: Es decir los ataque

El 40% de los participantes en una encuesta de Corero admite no contar con un plan de mitigación de DDoS o no tener conocimiento de uno ya existente en su organización. Diario TI 04/04/14 16:39:35 Ante la mayor proliferación y sofisticación de los ataques DDoS, Corero Network Security (CNS:LN) fabricante líder de Sistemas de Defensa frente a ataques Distribuidos de Denegación de Servicio (DDoS) en capa de red y de aplicación, ha patrocinado la Encuesta sobre ataques DDoS (2014) realizada por el Instituto SANS. Como principal conclusión, dicho estudio, en el que han participado 378 profesionales de TI de diferentes sectores y de todos los continentes, recoge que, de media ponderada, las empresas experimentan 4,5 incidentes DDoS al año, con un ancho de banda de 1,7 GB por evento. La duración media de los ataques es de 8,7 horas, con un promedio de interrupciones de servicio de 2,3 horas por suceso. En este sentido, casi el 40% de las organizaciones participantes en esta encuesta

Los smartphones se han convertido en la principal puerta de acceso al mundo digital. Gracias a las ‘apps’ podemos acceder desde nuestro teléfono móvil inteligente a un gran número de servicios, muchos de ellos gratuitos y muy populares por su originalidad y utilidad. Sin embargo, según el informe “Los riesgos de las apps en el entorno corporativo”, realizado por expertos del área de I+D+i Seguridad de Barcelona Digital, la realidad muestra que la utilización de una aplicación en nuestro dispositivo móvil puede constituir un elemento de riesgo capaz de comprometer la seguridad de la información que genera y almacena. Este análisis, disponible en el web www.bdigital.org, ha identificado dichos riesgos y sus causas, mostrando ejemplos de algunas de las apps más populares como Twitter, Facebook o Whatsapp, así como de la forma de prevenirlos y mitigarlos a través de unas sencillas recomendaciones. Según se desprende del informe, es común que algunas apps comercialicen información de u

Por fin, hoy se ha presentado Blackphone en el Mobile World Congress de Barcelona que a partir de ahora podrá también reservarse. Para quien no lo conozca todavía, "se trata de un 'smartphone' libre e independiente que proporciona tanto a individuos como a organizaciones la posibilidad de realizar y recibir llamadas seguras, intercambiar mensajes de texto seguros, transferir y almacenar ficheros, y videoconferencia sin comprometer la privacidad del usuario al usar el terminal". Fue desarrollado por GeeksPhone, una empresa española de desarrollo de terminales abiertos, en colaboración con Silent Circle, la empresa americana de Phil Zimmermann (creador de PGP) especializada en la privacidad en las comunicaciones. El Blackphone funciona con una modificación especial de Android llamada PrivateOS y cuenta con varias herramientas de privacidad preinstaladas, todas las cuales están plenamente habilitadas para, al menos, dos años de uso. Estas herramientas incluyen el c

Para dar un poco de color a vuestras lecturas, recomiendo encarecidamente este comic, dos de cuyos creadores -Marcos Martín y Muntsa Vicente- son españoles. Además se pueden ver o descargar gratuitamente los cinco episodios que llevan publicados, aunque cuesta mucho después de leerlos no hacer una donación. De hecho son de los primeros dibujantes que de momento no quieren sacar edición alguna en papel, apostando por Internet como medio exclusivo y por el sistema de donaciones como forma de poder continuar. Y peticiones para sacarlo en papel no les han faltado... Os adjunto dos pantallazos a modo de "cebo", que estoy seguro harán su función y hará que más de uno "pique" en el enlace de estos buenos creadores. Fuente: Kriptopolys

Que el mundo de las comunicaciones y del trabajo, a través de dispositivos móviles, no es el futuro, sino el presente y el pasado reciente, es algo que está fuera de toda duda. A día de hoy, los empleados de empresas que tienen necesidad de estar “Always On”, requieren acceder a los recursos internos de sus empresas, así como manejar información sensible, desde dispositivos no considerados típicamente ordenadores portátiles. Las tablets y los smartphones, tienen más roles que los típicamente conocidos: llamadas, SMS, juegos, fotos, redes sociales, etc,… es decir, que la probabilidad de que se instale malware, voluntaria o involuntariamente, es mayor. Sin embargo, como se maneja información sensible a nivel de empresa desde ellos, han de tenerse en consideración como activos digitales de la organización, aplicando las medidas de seguridad necesarias. A petición de uno de nuestros clientes, hemos desarrollado un informe que recoge las recomendaciones de seguridad, según nuestro crite

Las DDoS y DoS son unos auténticos quebraderos de cabeza para la directiva de una organización, sobretodo si el negocio se encuentra en Internet. La posibilidad de ser el foco de un ciberataque es algo que a las grandes empresas, sencillamente acojona. Por ello, nace la necesidad de verificar y realizar stress sobre una organización y su infraestructura. La realización de mediciones sobre los carga de recursos de los sistemas o el ancho de banda que se consigue soportar de tope es algo necesario hoy en día. Con los ojos puestos en la ciberguerra y toda la tecnología que tenemos hoy en día, es totalmente necesario e indispensable estar preparado, aunque en algunas ocasiones es sencillamente (casi) imposible soportar estos ataques. Este tipo de pruebas son, sin lugar a la duda, las más temidas por las empresas ya que buscan evaluar la fortaleza y recuperación ante situaciones de estrés de la infraestructura de una organización. Una prueba de estrés se define con varios componentes que

Hoy en día existe mucha información anticuada acerca de PHP que guía a nuevos programadores por mal camino, propaga las malas prácticas y código inseguro. PHP: La Manera Correcta es una referencia práctica y fácil de entender, los mejores métodos, estándares de código, enlaces a tutoriales autoritativos alrededor de la Web y lo que los contribuyentes consideran como las mejores prácticas en la actualidad. No existe una manera canónica de utilizar PHP. Este sitio tiene como objetivo introducir a los nuevos desarrolladores en PHP a algunos temas que tal vez no descubran hasta que es demasiado tarde, y también ofrecer nuevas ideas a los profesionales experimentados sobre aquellos temas que han estado haciendo durante años sin reconsiderar. Este sitio no le dirá que herramientas utilizar, en su lugar le ofrecerá diferentes opciones, cuando sea posible se le explicarán las diferencias de enfoque y casos de uso. Consideramos este sitio como un documento vivo que se continuará actualiz