¿Cuáles son las prácticas seguras para administrar las bases de datos?

octubre 31, 2009 § Deja un comentario

Horacio Bruera, del estudio Carranza Torres, analiza en esta nota para iProfesional.com obligaciones y responsabilidades establecidas en la ley 25.326

A los efectos de garantizar una tutela legal efectiva de los datos personales, la Ley 25.326 de Protección de Datos Personales (LPDP) impone una serie de obligaciones que pesan sobre los responsables y usuarios de las bases de datos. Entre ellas, está la obligación de seguridad y confidencialidad de los datos personales almacenados en las bases de datos públicas o privadas, a punto tal que la LPDP prohíbe expresamente registrar datos personales en bases de datos que no reúnan las condiciones técnicas de integridad y seguridad.

A fin de tener un panorama claro de las obligaciones y responsabilidades derivadas de su incumplimiento, examinaremos detenidamente la regulación que la LPDP y sus normas reglamentarias traen en materia de seguridad de los datos personales.

Contenido completo en iProfesional.com

Adictos a la Web: un mal de esta época con riesgo de ser epidemia

octubre 31, 2009 § Deja un comentario

La vida de las personas está cada vez más vinculada al uso de una computadora, y esa relación parecería no tener vuelta atrás: a esta altura resulta muy difícil imaginar cómo se resolverían ciertas cosas de la vida diaria sin conectarse a la PC.

Lejos de demonizar el uso de las herramientas de la nueva era digital, los psiquiatras que intentan armar un nuevo manual sobre diagnóstico de enfermedades mentales aún no están de acuerdo sobre si la adicción a Internet es realmente una enfermedad. Pero muchos profesionales de la salud mental ya están considerando y analizando a fondo la adicción a Internet, que reúne todos los ingredientes de una conducta adictiva clásica en niños y adultos.

Incluso, los doctores Dimitri Christakis y Megan Moreno, de la Universidad de Washington, EE. UU., se preguntan ya si la adicción a Internet no se convertirá en la epidemia del siglo XXI, como la diabetes y la obesidad.

Contenido completo en Clarin.com

Halloween, una oportunidad de oro para los cibercriminales

octubre 31, 2009 § Deja un comentario

Las compañías de seguridad alertan: como otras grandes fechas, el número de malware específico para la festividad de los muertos.

En Navidades, en Carnaval, en verano… Los cibercriminales no descansan. Las grandes fechas y las vacaciones son una oportunidad de oro para enviar mensajes gancho que redireccionen a los internautas hacia una infección garantizada.

Las grandes empresas de seguridad han lanzado ya una alerta a los ciudadanos: mucho cuidado con los mensajes que se abren y con los links que se visitan porque detrás de ellos puede haber mucho más que truco y trato. Puede haber un susto de muerte para la seguridad del equipo.

De hecho, Panda Security, a través de su The Cloud Security Company, ya he descubierto como los cibercriminales se han aprovechado de la palabra Halloween y de las crecientes búsquedas relacionadas con esta temática para posicionar mejor en los motores de búsqueda páginas que direccionan a contenidos maliciosos.

Entre los primeros resultados de búsqueda, alertan, se encuentran portales que recomiendan la instalación de antivirus que, en realidad, no son tal. Los antivirus de pega son la última moda en la industria del mal.

“Ahora que las noches empiezan a ser más largas y frías, muchos individuos pasarán el próximo fin de semana en casa, y la noche de Halloween es una ocasión perfecta para ‘asustar’ a los hackers que pudiesen tener tomado su equipo, a través de un escaneo del sistema en busca de amenazas”, explica el  Consultor de Tecnología de Sophos, Graham Cluley.

Sophos ha aprovechado la festividad para convocar el que ha bautizado como Kill Zombie-A-Day: una campaña que arrancará el próximo 31 y que quiere empujar a los usuarios a plantar cara a los cibercriminales. ¿Cómo? Limpiando el equipo de amenazas y eliminando cualquier posibilidad de devenir un equipo zombie.

El cibermalo tendrá que elegir… ¿Truco o trato?

Fuente: Siliconnews.es

Phishing a Facebook

octubre 31, 2009 § Deja un comentario

En las últimas horas nos han reportado varios casos de Phishing al sitio de Facebook. El correo que los usuarios están recibiendo es el siguiente:

Como puede verse se apunta a un dominio .EU que nada tiene que ver con Facebook. En el momento de escribir el presente el sitio había sido dado de baja pero no sería extraño que en los próximos días aparecieran nuevos casos por lo que vale estar prevenido.

Cristian de la Redacción de Segu-Info

Experimento de phishing elude todo los filtros anti-spam

octubre 31, 2009 § Deja un comentario

Un reciente experimento de phishing llevado a cabo éticamente (Nuevo estudio detalla la dinámica del phishing exitoso) imitando a LinkeIn al enviar invitaciones por correo electrónico provenientes de Bill Gates, ha conseguido un 100% de éxito en atravesar los filtros anti-spam contra los que fue puesto a prueba.

El experimento enfatiza como las campañas a baja escala de arpones de phishing son capaces de traspasar los filtros anti-spam, y una vez más prueban que los usuarios continuan interactuando con correos electrónicos de phishing.

Más información de la metodología usada:

“Este escenario fuen una invitación desde Linkein, simulando ser una invitación de Bill Gates para unirse a su red. Se eligió Linkedin por su disponibilidad, y por el hecho de ser una red social reconocida por la mayoría de los ejecutivos. Esta selección de Linkedin también se basó en el hecho que los correos electrónicos de linkedin ya deberían ser identificados por la mayoría de los sistemas de correo electrónico existentes, y esto podría haber ayudado al envio a las casillas de correo. El enlace del phishing puede ser identificado en el código HTML más abajo.

El sitio de phishing se hizo en base a la página de ingreso de Linkedin. La acción del formulario se cambió para que el usuario fuera redirigido subsecuentemente a una página en nuestro sitio. No se recolectaron nombres de usuario ni contraseñas durante la evaluación. Todos los usuarios blanco de la prueba fueron contactados antes que se les enviara el correo de phishing, y estaban esperando una invitacion Linkedin de Bill Gates.”

Un estudio similar fue llevado a cabo por el proveedor de phishing ético PhishMe.com en marzo de este año, señalando que basado en los 32 escenarios de phishing probados contra 69.000 empleados, la gente es menos precavida cuando hace clic en enlaces activos en los correos que cuando les es requerida información sensible. Este comportamiento no es sorprendente que sea citado por PhishCamp como una posible oportunidad para introducir amenazas mixtas, similares a los casos donde sitios de phishing y scareware también están sirviendo a exploits del lado del cliente.

Con el precio promedio en baja de mil cuentas activas de Gmail, Yahoo Mail y Hotmail debido a la economía de escala conseguida por los proveedores de servicios de resolución de CAPTCHA, y las numerosas herramientas disponibles a disposición de los spammers para aprovecharse de estas cuentas, a largo plazo todos los spammers comenzarán a abusar de la confianza ya establecida de DomainKeys entre la mayoría de los proveedores populares de correo gratuito.

¿Cuál es la tasa de éxito del spam y el phishing que llega a su bandeja de entrada? ¿Qué hay de su correo corporativo? Además, ¿cree que el phishing ético es la forma más constructiva de crear concientización respecto de los ataques de phishing, o cree que eso impulsa la innovación en la direccion equivocada al intentar conseguir métricas mediante clics en lugar de aconsejar a los usuarios de evitar interactuar con tales correos en general?

Traducción: Raúl Batista – Segu-info
Autor: Dancho Danchev
Fuente: Blogs ZDNet

ICANN aprueba internalización de nombres de dominio

octubre 30, 2009 § Deja un comentario

A partir de mediados de noviembre, los países y territorios estarán en capacidad de aplicar para mostrar sus nombres de dominio en su idioma natal, un gran logro técnico para Internet diseñado para aumentar la accesibilidad del idioma.

El viernes, la autoridad de direcciones de Internet aprobó un Proceso de Seguimiento Rápido para aplicar un IDN (Nombre de Dominio Internacionalizado) y comenzará a aceptar aplicaciones el 16 de noviembre.

El movimiento llega cinco años después del desarrollo de pruebas técnicas y políticas, dijo el Internet Corporation for Assigned Names and Numbers (ICANN), que realizó una reunión en Seúl esta semana.

Actualmente, los nombres de dominio solo se pueden desplegar usando letras del alfabeto latino entre la a y la z, los dígitos del 0 al 9 y el guión, pero en un futuro se podrá desplegar el código del país en Dominios de Nivel Superior (ccTLDs) en su lenguaje nativo. Los ccTLDs son aquellos que tienen una designación de país de dos letras y terminan el nombre de dominio.

En realidad, los nuevos nombres de dominio serán almacenados en el DNS como una secuencia de letras y números comenzando con xn con el fin de mantener la compatibilidad con la infraestructura existente. Los caracteres que siguen a xn serán usados para codificar una secuencia de caracteres Unicode representando el nombre del país.

Una de las primeras preocupaciones con la implementación del IDNs es la seguridad y la estabilidad del Sistema de Nombres de Dominios (DNS). El sistema permite la traducción de nombres de dominio escritos con caracteres y dígitos en las direcciones IP (Protocolo de Internet), los cuales luego pueden ser requeridos por un navegador Web.

ICANN dijo que inicialmente permitiría un número “limitado” de números de IDNs, los cuales están sujetos a aprobación y pruebas de estabilidad. Aún, parece haber peros, advierte la ICANN.

“La usabilidad de los IDNs sería limitada, ya que no toda aplicación de software es capaz de trabajar con IDNs”, dijo la ICANN en una propuesta de 59 páginas con fecha del 30 de setiembre que describe el proceso de Seguimiento Rápido. “Está en manos de cada desarrollador decidir si o no desea soportar IDNs. Esto puede incluir, por ejemplo, navegadores, clientes de correo electrónico y sitios donde se suscribe a un servicio o compra un producto y que el proceso necesita ingresar una dirección de correo electrónico”.

ICANN ha establecido algunas restricciones de idioma para IDNs: deberá ser un lenguaje oficial de un territorio o país y tener estatus legal o al menos “servir como un idioma de administración”.

De acuerdo con la propuesta, ICANN cargará los registros en US$26.000 para un proceso de evaluación de ingresos, que pueden ser pagados en moneda local. ICANN también establecería una contribución anual del 3 por ciento de los ingresos de los registros, que puede bajar a un 1 por ciento para registros de grandes volúmenes. Para ambos montos, los registradores pueden solicitar una renuncia a los montos, dijo ICANN.

Por Jeremy Kirk
IDG News Service
LONDRES

Fuente: CIO

El Gobierno argentino organiza una semana de la seguridad informática

octubre 30, 2009 § Deja un comentario

Se realizarán eventos, acciones de concientización, concursos, cursos de capacitación, y charlas que contribuyan a informar sobre los riesgos de la Red

La Oficina Nacional de Tecnologías de la Información (ONTI) organiza por segundo año consecutivo la “Semana de la Seguridad 2009″, que bajo el lema “Internet es la plaza de todos. Cuidémosla”, tendrá lugar entre el 23 y el 30 de noviembre.

Se realizarán eventos, acciones de concientización, concursos, cursos de capacitación, charlas, conferencias, etc. que contribuyan a informar, enseñar y concientizar sobre la importancia de la seguridad de las información y sobre los riesgos asociados al uso de las tecnologías.

Estas iniciativas pueden ser abiertas al público, cerradas para una organización o individuales, en el sentido de plantearse en círculos familiares, de amigos o grupos más pequeños.

No existen requerimientos en cuanto a la modalidad, día y horario dentro de la semana del 23 al 30 de noviembre, destinatarios, lugar, financiación, difusión, etc., excepto por el requisito de gratuidad para los participantes, asumiendo cada organización o particular la responsabilidad por la definición, planificación y ejecución del evento que proponen.

A fin de lograr una identidad común de la celebración, la ONTI solicita que todo material de difusión, gráfico y/o informativo, en cualquier soporte que se elija, lleve independientemente de los logos del organizador, un enlace al sitio web de la Semana de la Seguridad Informática y que se utilicen los logos de dicho evento, disponibles en línea para descargar.

Se ha dispuesto un sitio en Internet, en la dirección https://seguridadinformatica.sgp.gob.ar/, donde se encontrará un formulario para subir el evento. La ONTI se reserva el derecho de publicarlo en la página principal y en el calendario de eventos, en la medida en que cumpla con los requisitos establecidos.

Fuente: Infobae

Análisis de Riesgos: ISO 27005 vs magerit y otras metodologías

octubre 30, 2009 § Deja un comentario

Como es ya de sobra conocido por todos los que trabajamos en elámbito de la seguridad de la información, la piedra angular de todoSGSI (Sistema de Gestión de Seguridad de la Información) es larealización del pertinente análisis de los riesgos asociados a nuestrosactivos de información.

La importancia del Análisis de Riesgos deriva de que es laherramienta que nos va a permitir identificar las amenazas a las que seencuentran expuestos dichos activos, estimar la frecuencia dematerialización de tales amenazas y valorar el impacto que supondría ennuestra Organización esa materialización.

En el campo del Análisis de Riesgos, en España tenemos un referenteindiscutible cuando nos planteamos la metodología a seguir. Si, esereferente es MAGERIT: Metodología de Análisis y Gestión de Riesgos delos Sistemas de Información. Actualmente por la versión 2.0, goza deuna excelente salud y está reconocida por ENISA (European Network andInformation Security Agency) junto a otras metodologías europeas einternacionales. Es una metodología de carácter público elaborada porel Consejo Superior de Administración Electrónica (CSAE), órgano delMinisterio de Administraciones Públicas (MAP) encargado de lapreparación, elaboración, desarrollo y aplicación de la políticainformática del Gobierno Español.

Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con lainteresante excepción de aquellos profesionales que han decididoelaborar sus “propias” metodologías por considerar que se adaptabanmejor a sus organizaciones- desde hace relativamente poco tiempodisponemos de un competidor de peso. Este nuevo actor en la escena delAnálisis de Riesgos es, como ya muchos se habrán imaginado, el estándarinternacional ISO/IEC 27005:2008, titulado Information technology –Security techniques – Information security risk management.

ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR13335-4:2000, y proporciona desde su publicación en Junio del pasadoaño 2008, un conjunto de directrices para la correcta realización de unAnálisis de Riesgos.

Señalar, no obstante, que ISO 27005 no proporciona una metodologíaconcreta de Análisis de Riesgos, sino que describe a través de suclausulado el proceso recomendado de análisis incluyendo las fases quelo conforman:

  • Establecimiento del contexto (Cláusula 7)
  • Evaluación del riesgo (Cláusula 8 )
  • Tratamiento del riesgo (Cláusula 9)
  • Aceptación del riesgo (Cláusula 10)
  • Comunicación del riesgo (Cláusula 11)
  • Monitorización y revisión del riesgo (Cláusula 12)

 En pocas palabras, la norma nos sirve para no tener dudas sobre loselementos que debe incluir toda buena metodología de Análisis deRiesgos, por lo que, visto desde este punto de vista puede constituirsecomo una metodología en si misma.

Además, el estándar incluye seis Anexos (A-F) de carácterinformativo y no normativo, con orientaciones que van desde laidentificación de activos e impactos, ejemplos de vulnerabilidades ysus amenazas asociadas, hasta distintas aproximaciones para el análisisdistinguiendo entre análisis de riesgos de alto nivel y análisisdetallado.

Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otrasmetodologías existentes? Pues la verdad es que existe una divisiónpalpable en el sector, incluso a nivel europeo (en este caso,lógicamente, comparando el estándar ISO frente a las metodologíaspropias de cada país).

Por una parte, están aquellos que han acogido al nuevo estándar congran entusiasmo, entendiendo que supone la oficialización a nivelinternacional de los requisitos que ha de cumplir una metodología deAnálisis de Riesgos, y que por tanto aporta claridad a un ámbito queseguramente estaba necesitándola. Esta postura es frecuente entrequienes se dedican a la implantación de Sistemas de Gestión bajo ISO27001 –la referencia absoluta en gestión de la seguridad–, ya que ISO27005 ha nacido claramente para apoyar la tarea del análisis y lagestión de riesgos en el marco de un SGSI.

En el lado contrario encontramos a quienes no terminan de ver laaportación de este estándar para los profesionales del análisis deriesgos, habida cuenta las numerosas metodologías existentes. Desdeestas posiciones, más puristas de la gestión de riesgos, la crítica secentra en señalar que el nuevo estándar no se adentra realmente en lagestión de los mismos, sino que se queda en un mero marco declarativode determinados riesgos, y que dicho marco se enlaza con un ciclo PDCA(Plan, Do, Check, Act) con el fin de revisar dichos riesgos.

Los críticos con ISO 27005 añaden otro aspecto que no termina deconvencerles, y es precisamente esa subordinación –para ellos sin dudaexcesiva– del estándar hacia el SGSI. Consideran que no es admisible ladeclaración que se hace en la subcláusula 7.1 de la norma, que citacomo finalidades del Análisis de Riesgos, entre otras, el apoyo a unSGSI. Esta declaración es puesta en entredicho argumentando que enrealidad la implementación de un SGSI es consecuencia de un análisis deriesgos previo, y no al revés. No parece desenfocada en absoluto estaúltima opinión, ya que precisamente el SGSI tiene como finalidad, yvalga en este caso la redundancia, gestionar la Seguridad de laInformación siempre desde el punto de partida que supone el Análisis deRiesgos.

Al margen de controversias, que no tienen por qué ser estériles, locierto es que desde hace poco más de un año los profesionales que nosdedicamos a la Seguridad de la Información disponemos de un nuevo apoyopara esa difícil y crucial tarea que es el Análisis y la Gestión deRiesgos de los activos de información en las organizaciones. Tarea que,hay que decirlo, necesita de cuantas más aportaciones, mejor.

Entre esas aportaciones cabe destacar por parte española lapublicación un mes después de que lo hiciera ISO 27005, de una –en estecaso si- metodología de Análisis de Riesgos bajo la forma de norma UNE.Nos referimos, claro está, a la UNE 71504, de la que sin duda seráinteresante hablar en otra ocasión y compararla con ese referenteindiscutible en España que es MAGERIT.

Autor: Manuel Díaz – Áudea Seguridad de la Información – http://www.audea.com
Fuente: DelitosInformaticos.com

Sin precedentes número de sitios Web comprometidos

octubre 30, 2009 § Deja un comentario

Un reporte,de  Dasient, compañía estadunidense dedicada al desarrollo de sistemasde protección contra ataques en Internet, publicó que el número desitios comprometidos y malware basado en Web mantiene un crecimiento“sin precedentes en la historia de Internet”.

Ameet Ranadive, cofundador de la firma mencionó en el blog de lacompañía que en el tercer trimestre de 2009 los sistemas de Dasientdetectaron más de 52,000 infecciones de malware basado en Web para darun total de 72,000 muestras únicas de malware catalogadas.

“Basados en la información que recolectamos de Internet estimamosque más de 640,000 sitios y cerca de 5.8 millones de páginas fueronvulneradas con algún tipo de malware entre julio y septiembre de esteaño”, citó Ranadive.

Estas cifras, aseguró la compañía con sede en Palo Alto, California, son casi el doble que los datos publicados por Microsoft en abril pasado, los cuales consignaron que más de tres millones de páginas eran infectadas por trimestre.

El incremento, en este tipo de infección son reflejo también delenorme crecimiento de las listas negras que buscadores de Internet ysoluciones de antivirus manejan para determinar el nivel de reputaciónde un sitio, mencionó el experto.

Tan sólo la lista negra de Google ha duplicado su número en menos deun año y se estima que en cierto momento agregue más de 400,000 sitiosWeb a sus listas negras por semana.

“El crecimiento acelerado en el malware, se debe a que loscriminales han comenzado a utilizar sitios legítimos para distribuirsus códigos maliciosos, lo que les permite infectar un mayor número decomputadoras”, dijo.

Más infectados que nunca

Junto con el incremento en el número de sitios legales infectados ymalware viviendo en Internet, los expertos de Dasient mencionaron quelos criminales también han comenzado a incrementar el nivel deinfección en los sitios legales.

Anteriormente bastaba con vulnerar una porción del código del sitiopara infectar a los usuarios. Sin embargo, el nuevo estudio muestra quede cada sitio vulnerado, 10 ó más páginas poseen un promedio deinfección por arriba de 19%.

“Mientras más contaminado este un sitio más tiempo le va a tomar aladministrador del mismo limpiar el código malicioso. Y si ya ha sidocatalogado como sitio negro, se verá afectado en el tráfico y en sufacturación mientras busca limpiar su nombre”, cita el reporte.

Nuevas formas de enfermar al paciente

Los métodos de ataque también han cambiado. De acuerdo con Ranadive,54% de todos los ataques Web utilizaron código malicioso en JavaScript,37% uso iFrame y 8.1% ejecutó “otro” tipo de ataques para contaminarlas páginas en Internet.

Autor: Carlos Fernández de Lara
Fuente: NetMedia.info

Intel da charlas sobre privacidad online

octubre 30, 2009 § Deja un comentario

Tu Privacidad On-line esuna iniciativa de Intel Argentina cuyo objetivo es concientizar a losadolescentes, sus familias y comunidades educativas sobre los riesgosque implica la difusión de información personal en Internet; ybrindarles herramientas para que ellos mismos puedan protegerse alnavegar.

Tu Privacidad On-line es una iniciativa de IntelArgentina cuyo objetivo es concientizar a los adolescentes, susfamilias y comunidades educativas sobre los riesgos  que implica ladifusión de información personal en Internet; y brindarles herramientaspara que ellos mismos puedan protegerse al navegar y compartir susdatos en la web.

El contenido de la presentación ha sido desarrollado por Intel juntocon la Asociación Internacional de Profesionales de la Privacidad(IAPP) y se implementa con el apoyo de la Fundación Evolución.
Tu Privacidad On-line es una de las actividad de voluntariadoimplementadas por Intel, y las charlas están a cargo de empleados de laempresa capacitados en el tema. Los encuentros se realizan en forma gratuita en las provincias de Buenos Aires y Córdoba.

La actividad está pensada para estudiantes que ya estén utilizandoherramientas digitales como el e-mail,
redes sociales, chat, blogs, etc(edades entre 12 y 18 años) y/o sus padres.

Las escuelas o instituciones interesadas en participar de esta actividad deberán contactarse al 011 4515-4200 o a recepcionintel@arnet.com.ar.

Contenidos de la charla

POR QUE ES IMPORTANTE LA PRIVACIDAD ONLINE: Latecnología incrementa el riesgo de compartir información personal sinsaberlo. Es importante saber cómo cuidar y controlar el acceso a lainformación personal.

CONSEJOS BASICOS: Se sugieren algunos consejosbásicos para usar Internet con seguridad, tales como publicar la menorinformación personal posible, revisar las políticas de seguridad de laspáginas y verificar la identidad de las personas que se contactan porla web.

REDES SOCIALES: Se describen las políticas deprivacidad de estos sitios y se explica cómo asegurar que sólo laspersonas conocidas tengan acceso a información personal. Se aconseja noaceptar como “amigos” a personas que no conocen en la vida real. Sehace hincapié en el carácter público de la información divulgada enestos medios y las consecuencias que esto puede tener.

LOS RIESGOS DE COLOCAR INFORMACION PERSONAL EN INTERNET:Se repasan los riesgos, costos y consecuencias actuales y a futuro decolocar información personal en la web. Es difícil y a veces hastaimposible borrar la información, imágenes y videos que publicamos.

CONOCIMIENTOS TECNICOS: Se repasan algunosconceptos técnicos importantes tales como caché, spyware y phishing. Seexplica  cómo funcionan los cachés temporarios y los cookies, y cómoprevenir el robo de información personal en computadoras públicas. Sedescribe cómo funcionan los programas de spyware y cómo prevenir el robo de información personal a través de sitios web falsos.

Fuente: NeoMundo

¿Dónde estoy?

Actualmente estás viendo los archivos para octubre, 2009 en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 114 seguidores