Entradas

Mostrando entradas de 2015

Google indexará páginas HTTPS por defecto

Imagen
Google ha anunciado que su motor de búsqueda ha comenzado la   indexación de páginas HTTPS por defecto,   el  Protocolo seguro de transferencia de hipertexto   o lo que es lo mismo, la versión segura de HTTP, usada principalmente por entidades financieras, comercio electrónico y otro gran número de servicios que requieran envío de contraseñas o de datos personales. La medida se enmarca en la   “búsqueda de la seguridad del usuario” ,   una prioridad según Google .   “Con los años, hemos trabajado duro para promover una red más segura y proporcionar una mejor experiencia de navegación para los usuarios” . Navegar por la web debe ser una experiencia privada entre el usuario y el sitio web y no debe ser objeto de espionaje, ataques  man-in-the-middle   ataques o modificación de datos. Es por esto que hemos estado promoviendo con fuerza y en todas partes el protocolo  HTTPS . Como una continuación natural de esa estrategia, Google está   ajustando su servicio de indexación   en

Decálogo de la concienciación en ciberseguridad en la empresa

Imagen
La utilización de las nuevas tecnologías en el desempeño de nuestra actividad profesional con   smartphones ,   tablets , ordenadores portátiles, etc. unido a la facilidad de acceso a Internet, ha convertido nuestro puesto de trabajo y el de cualquier empleado en un puesto móvil. De esta forma podemos trabajar desde cualquier parte y en cualquier momento . Este nuevo escenario de trabajo ha hecho que, desde el punto de vista de la seguridad de la información, el perímetro de seguridad de la organización se desvanezca. Ha convertido a   cada empleado en el nuevo perímetro de seguridad a proteger , en el punto más importante. Por ello, es si cabe aún más importante la implicación del empleado en la protección de la información que maneja. No desde el punto de vista técnico, sino adoptando unas pautas de comportamiento seguro en el uso de las tecnologías. Ante esta situación,   la formación y la concienciación en ciberseguridad se convierten en iniciativas básicas y fundamentales .

Guía de seguridad para pagos electrónicos y PCI [ISACA]

Imagen
Implementar los requerimientos de la norma PCI DSS (Payment Card Industry Data Security Standard) es una cuestión que no sólo deben atender los empresarios y profesionales en TI, también deberían preocuparse los técnicos, gerentes, y el staff de las organizaciones. La nueva guía ISACA, organización global de TI, simplifica el proceso, con un modelo de implementación, un método de autoevaluación y un programa de auditoría y control calidad.   La norma   A Practical Guide to the Payment Card Industry Data Security Standard (PCI DSS)   también facilita: Un conciso resumen de los requerimientos de PCI DSS Publicaciones acerca de PCI DSS Información adicional y consejos ante los puntos más desafiantes Técnicas para examinar e implementar los requerimientos Exigencias de PCI DSS adecuadas a los procesos de COBIT 5 y las regulaciones Escenarios de riesgo Explicaciones detalladas de cómo diseñar un plan profesional de auditoría y control de calidad El fraude con tarjetas bancarias

Vulnerabilidad humana frente a los ciberdelincuentes

Imagen
Tweet 0 in Share SumoMe Expertos afirman que el factor que genera más ataques a la seguridad de la información es la falta de preparación y conocimiento de los empleados. Incluso si las empresas se esfuerzan por mejorar los sistemas de seguridad de la información, la incidencia de ciberataques aún es muy elevada en las empresas y el ambiente doméstico. Sin embargo, de acuerdo con los expertos, la culpa de la fuga de informaciones  la mayoría de las veces no se origina en errores en los sistemas operativos, sino  en la vulnerabilidad humana. De acuerdo con Chris Hadnagy, experto en descubrir fallos desde la ingeniería social, uno de los mayores peligros para la fuga de informaciones es el hecho de que las personas están programadas para ayudar a los demás , ya que en general quieren confiar en las personas. Sin embargo, afirma que la mayoría de los usuarios no conocen muchas de las amenazas de seguridad , lo que los llevan a realizar procedimie

Un mito derribado: los ingredientes de una contraseña segura no son mayúsculas y números

Imagen
Las plataformas de   Internet   suelen calificar las   contraseñas   que creas para tus nuevas cuentas como fuertes o débiles en función de su complejidad. Aconsejan   combinar mayúsculas, minúsculas y números   para que sean seguras. Sin embargo, no dicen en qué posiciones colocarlos. Y parecer ser que, inconscientemente, todos coincidimos en poner las mayúsculas al principio de las claves y los números al final. Este es uno de los hallazgos de un equipo de   expertos en seguridad   que trabajan en el instituto de investigación Eurecom, en Francia. Los resultados de su estudio, presentado en la última conferencia ACM de Seguridad Informática y de las Comunicaciones (celebrada en Denver), les han servido para demostrar que tenemos una   idea equivocada de lo que es una contraseña segura : el hecho de que los patrones se repitan es el que pone en riesgo las cuentas. Los programas tradicionales utilizados por los ciberdelincuentes para averiguar las   contraseñas   solo maneja

Jugando con un Web Service, WS-Security y OWASP ZAP scripting

Imagen
Hace algunas semanas y durante el proceso de análisis de la seguridad de un Web Service solo quedaba probar si este era vulnerable a un ataque de inyección SQL y, como no podía ser de otra forma, lo mejor era "tirarle a dar" con   sqlmap . El problema era que al ejecutarlo devolvía un error:   <?xml version='1.0' encoding='UTF-8'?> <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Body> <soapenv:Fault xmlns:wsse="..."> <faultcode>wsse:InvalidSecurity</faultcode> <faultstring> Nonce value : jO3csXbBeVKftuqx17niRQ==, already seen before for user name : username. Possibly this could be a replay attack. </faultstring> <detail /> </soapenv:Fault> </soapenv:Body> </soapenv:Envelope> Lo que sigue es una descripción del proceso para llegar hasta el er