¿Cuáles son las prácticas seguras para administrar las bases de datos?

octubre 31, 2009 § Deja un comentario

Horacio Bruera, del estudio Carranza Torres, analiza en esta nota para iProfesional.com obligaciones y responsabilidades establecidas en la ley 25.326

A los efectos de garantizar una tutela legal efectiva de los datos personales, la Ley 25.326 de Protección de Datos Personales (LPDP) impone una serie de obligaciones que pesan sobre los responsables y usuarios de las bases de datos. Entre ellas, está la obligación de seguridad y confidencialidad de los datos personales almacenados en las bases de datos públicas o privadas, a punto tal que la LPDP prohíbe expresamente registrar datos personales en bases de datos que no reúnan las condiciones técnicas de integridad y seguridad.

A fin de tener un panorama claro de las obligaciones y responsabilidades derivadas de su incumplimiento, examinaremos detenidamente la regulación que la LPDP y sus normas reglamentarias traen en materia de seguridad de los datos personales.

Contenido completo en iProfesional.com

Adictos a la Web: un mal de esta época con riesgo de ser epidemia

octubre 31, 2009 § Deja un comentario

La vida de las personas está cada vez más vinculada al uso de una computadora, y esa relación parecería no tener vuelta atrás: a esta altura resulta muy difícil imaginar cómo se resolverían ciertas cosas de la vida diaria sin conectarse a la PC.

Lejos de demonizar el uso de las herramientas de la nueva era digital, los psiquiatras que intentan armar un nuevo manual sobre diagnóstico de enfermedades mentales aún no están de acuerdo sobre si la adicción a Internet es realmente una enfermedad. Pero muchos profesionales de la salud mental ya están considerando y analizando a fondo la adicción a Internet, que reúne todos los ingredientes de una conducta adictiva clásica en niños y adultos.

Incluso, los doctores Dimitri Christakis y Megan Moreno, de la Universidad de Washington, EE. UU., se preguntan ya si la adicción a Internet no se convertirá en la epidemia del siglo XXI, como la diabetes y la obesidad.

Contenido completo en Clarin.com

Halloween, una oportunidad de oro para los cibercriminales

octubre 31, 2009 § Deja un comentario

Las compañías de seguridad alertan: como otras grandes fechas, el número de malware específico para la festividad de los muertos.

En Navidades, en Carnaval, en verano… Los cibercriminales no descansan. Las grandes fechas y las vacaciones son una oportunidad de oro para enviar mensajes gancho que redireccionen a los internautas hacia una infección garantizada.

Las grandes empresas de seguridad han lanzado ya una alerta a los ciudadanos: mucho cuidado con los mensajes que se abren y con los links que se visitan porque detrás de ellos puede haber mucho más que truco y trato. Puede haber un susto de muerte para la seguridad del equipo.

De hecho, Panda Security, a través de su The Cloud Security Company, ya he descubierto como los cibercriminales se han aprovechado de la palabra Halloween y de las crecientes búsquedas relacionadas con esta temática para posicionar mejor en los motores de búsqueda páginas que direccionan a contenidos maliciosos.

Entre los primeros resultados de búsqueda, alertan, se encuentran portales que recomiendan la instalación de antivirus que, en realidad, no son tal. Los antivirus de pega son la última moda en la industria del mal.

“Ahora que las noches empiezan a ser más largas y frías, muchos individuos pasarán el próximo fin de semana en casa, y la noche de Halloween es una ocasión perfecta para ‘asustar’ a los hackers que pudiesen tener tomado su equipo, a través de un escaneo del sistema en busca de amenazas”, explica el  Consultor de Tecnología de Sophos, Graham Cluley.

Sophos ha aprovechado la festividad para convocar el que ha bautizado como Kill Zombie-A-Day: una campaña que arrancará el próximo 31 y que quiere empujar a los usuarios a plantar cara a los cibercriminales. ¿Cómo? Limpiando el equipo de amenazas y eliminando cualquier posibilidad de devenir un equipo zombie.

El cibermalo tendrá que elegir… ¿Truco o trato?

Fuente: Siliconnews.es

Phishing a Facebook

octubre 31, 2009 § Deja un comentario

En las últimas horas nos han reportado varios casos de Phishing al sitio de Facebook. El correo que los usuarios están recibiendo es el siguiente:

Como puede verse se apunta a un dominio .EU que nada tiene que ver con Facebook. En el momento de escribir el presente el sitio había sido dado de baja pero no sería extraño que en los próximos días aparecieran nuevos casos por lo que vale estar prevenido.

Cristian de la Redacción de Segu-Info

Experimento de phishing elude todo los filtros anti-spam

octubre 31, 2009 § Deja un comentario

Un reciente experimento de phishing llevado a cabo éticamente (Nuevo estudio detalla la dinámica del phishing exitoso) imitando a LinkeIn al enviar invitaciones por correo electrónico provenientes de Bill Gates, ha conseguido un 100% de éxito en atravesar los filtros anti-spam contra los que fue puesto a prueba.

El experimento enfatiza como las campañas a baja escala de arpones de phishing son capaces de traspasar los filtros anti-spam, y una vez más prueban que los usuarios continuan interactuando con correos electrónicos de phishing.

Más información de la metodología usada:

“Este escenario fuen una invitación desde Linkein, simulando ser una invitación de Bill Gates para unirse a su red. Se eligió Linkedin por su disponibilidad, y por el hecho de ser una red social reconocida por la mayoría de los ejecutivos. Esta selección de Linkedin también se basó en el hecho que los correos electrónicos de linkedin ya deberían ser identificados por la mayoría de los sistemas de correo electrónico existentes, y esto podría haber ayudado al envio a las casillas de correo. El enlace del phishing puede ser identificado en el código HTML más abajo.

El sitio de phishing se hizo en base a la página de ingreso de Linkedin. La acción del formulario se cambió para que el usuario fuera redirigido subsecuentemente a una página en nuestro sitio. No se recolectaron nombres de usuario ni contraseñas durante la evaluación. Todos los usuarios blanco de la prueba fueron contactados antes que se les enviara el correo de phishing, y estaban esperando una invitacion Linkedin de Bill Gates.”

Un estudio similar fue llevado a cabo por el proveedor de phishing ético PhishMe.com en marzo de este año, señalando que basado en los 32 escenarios de phishing probados contra 69.000 empleados, la gente es menos precavida cuando hace clic en enlaces activos en los correos que cuando les es requerida información sensible. Este comportamiento no es sorprendente que sea citado por PhishCamp como una posible oportunidad para introducir amenazas mixtas, similares a los casos donde sitios de phishing y scareware también están sirviendo a exploits del lado del cliente.

Con el precio promedio en baja de mil cuentas activas de Gmail, Yahoo Mail y Hotmail debido a la economía de escala conseguida por los proveedores de servicios de resolución de CAPTCHA, y las numerosas herramientas disponibles a disposición de los spammers para aprovecharse de estas cuentas, a largo plazo todos los spammers comenzarán a abusar de la confianza ya establecida de DomainKeys entre la mayoría de los proveedores populares de correo gratuito.

¿Cuál es la tasa de éxito del spam y el phishing que llega a su bandeja de entrada? ¿Qué hay de su correo corporativo? Además, ¿cree que el phishing ético es la forma más constructiva de crear concientización respecto de los ataques de phishing, o cree que eso impulsa la innovación en la direccion equivocada al intentar conseguir métricas mediante clics en lugar de aconsejar a los usuarios de evitar interactuar con tales correos en general?

Traducción: Raúl Batista – Segu-info
Autor: Dancho Danchev
Fuente: Blogs ZDNet

ICANN aprueba internalización de nombres de dominio

octubre 30, 2009 § Deja un comentario

A partir de mediados de noviembre, los países y territorios estarán en capacidad de aplicar para mostrar sus nombres de dominio en su idioma natal, un gran logro técnico para Internet diseñado para aumentar la accesibilidad del idioma.

El viernes, la autoridad de direcciones de Internet aprobó un Proceso de Seguimiento Rápido para aplicar un IDN (Nombre de Dominio Internacionalizado) y comenzará a aceptar aplicaciones el 16 de noviembre.

El movimiento llega cinco años después del desarrollo de pruebas técnicas y políticas, dijo el Internet Corporation for Assigned Names and Numbers (ICANN), que realizó una reunión en Seúl esta semana.

Actualmente, los nombres de dominio solo se pueden desplegar usando letras del alfabeto latino entre la a y la z, los dígitos del 0 al 9 y el guión, pero en un futuro se podrá desplegar el código del país en Dominios de Nivel Superior (ccTLDs) en su lenguaje nativo. Los ccTLDs son aquellos que tienen una designación de país de dos letras y terminan el nombre de dominio.

En realidad, los nuevos nombres de dominio serán almacenados en el DNS como una secuencia de letras y números comenzando con xn con el fin de mantener la compatibilidad con la infraestructura existente. Los caracteres que siguen a xn serán usados para codificar una secuencia de caracteres Unicode representando el nombre del país.

Una de las primeras preocupaciones con la implementación del IDNs es la seguridad y la estabilidad del Sistema de Nombres de Dominios (DNS). El sistema permite la traducción de nombres de dominio escritos con caracteres y dígitos en las direcciones IP (Protocolo de Internet), los cuales luego pueden ser requeridos por un navegador Web.

ICANN dijo que inicialmente permitiría un número “limitado” de números de IDNs, los cuales están sujetos a aprobación y pruebas de estabilidad. Aún, parece haber peros, advierte la ICANN.

“La usabilidad de los IDNs sería limitada, ya que no toda aplicación de software es capaz de trabajar con IDNs”, dijo la ICANN en una propuesta de 59 páginas con fecha del 30 de setiembre que describe el proceso de Seguimiento Rápido. “Está en manos de cada desarrollador decidir si o no desea soportar IDNs. Esto puede incluir, por ejemplo, navegadores, clientes de correo electrónico y sitios donde se suscribe a un servicio o compra un producto y que el proceso necesita ingresar una dirección de correo electrónico”.

ICANN ha establecido algunas restricciones de idioma para IDNs: deberá ser un lenguaje oficial de un territorio o país y tener estatus legal o al menos “servir como un idioma de administración”.

De acuerdo con la propuesta, ICANN cargará los registros en US$26.000 para un proceso de evaluación de ingresos, que pueden ser pagados en moneda local. ICANN también establecería una contribución anual del 3 por ciento de los ingresos de los registros, que puede bajar a un 1 por ciento para registros de grandes volúmenes. Para ambos montos, los registradores pueden solicitar una renuncia a los montos, dijo ICANN.

Por Jeremy Kirk
IDG News Service
LONDRES

Fuente: CIO

El Gobierno argentino organiza una semana de la seguridad informática

octubre 30, 2009 § Deja un comentario

Se realizarán eventos, acciones de concientización, concursos, cursos de capacitación, y charlas que contribuyan a informar sobre los riesgos de la Red

La Oficina Nacional de Tecnologías de la Información (ONTI) organiza por segundo año consecutivo la “Semana de la Seguridad 2009″, que bajo el lema “Internet es la plaza de todos. Cuidémosla”, tendrá lugar entre el 23 y el 30 de noviembre.

Se realizarán eventos, acciones de concientización, concursos, cursos de capacitación, charlas, conferencias, etc. que contribuyan a informar, enseñar y concientizar sobre la importancia de la seguridad de las información y sobre los riesgos asociados al uso de las tecnologías.

Estas iniciativas pueden ser abiertas al público, cerradas para una organización o individuales, en el sentido de plantearse en círculos familiares, de amigos o grupos más pequeños.

No existen requerimientos en cuanto a la modalidad, día y horario dentro de la semana del 23 al 30 de noviembre, destinatarios, lugar, financiación, difusión, etc., excepto por el requisito de gratuidad para los participantes, asumiendo cada organización o particular la responsabilidad por la definición, planificación y ejecución del evento que proponen.

A fin de lograr una identidad común de la celebración, la ONTI solicita que todo material de difusión, gráfico y/o informativo, en cualquier soporte que se elija, lleve independientemente de los logos del organizador, un enlace al sitio web de la Semana de la Seguridad Informática y que se utilicen los logos de dicho evento, disponibles en línea para descargar.

Se ha dispuesto un sitio en Internet, en la dirección https://seguridadinformatica.sgp.gob.ar/, donde se encontrará un formulario para subir el evento. La ONTI se reserva el derecho de publicarlo en la página principal y en el calendario de eventos, en la medida en que cumpla con los requisitos establecidos.

Fuente: Infobae

¿Dónde estoy?

Actualmente estás viendo los archivos para octubre, 2009 en Seguridad Informática.

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 114 seguidores