¿Cómo administrar las contraseñas personales?

Si usted es de los que anotan en un papel suspasswords y lo guardan en la billetera, lea este artículo y conozca lasrecomendaciones de los profesionales en la materia.

La administración de contraseñas personaleses hoy uno de los principales riesgos que corre la seguridad de lainformación de una empresa. La enorme cantidad de recursos disponiblesa través de cuentas personales y la falta de políticas y herramientasque ordenen su correcto uso generan vulnerabilidades difíciles dedetectar y resultan en una de las principales causas de inseguridad dela información corporativa.
Por eso, si usted tiene pegada la clave debajo delescritorio, si usa la misma contraseña para todo o si guarda en labilletera un papel con toda la información confidencial, lea esteartículo y conozca la opinión de los especialistas.

Diversos caracteres, diversas contraseñas

“Actualmente los ejecutivos tienen un sinfín de cuentas a las que deben acceder utilizando contraseñas”, explicó Gonzalo Erroz, director regional de Consumo para América Latina Sur de Symantec. “En cuanto a las personales, a menudo los usuarios utilizan la misma contraseña para e-mail, home banking y hasta sus perfiles en redes sociales. Esto no es una práctica recomendable porque se facilita a los cibercriminales el acceso a todos sus correos e informaciones privadas. La recomendación en estos casos es crear contraseñas que combinen números, letras, mayúsculas y minúsculas y hasta símbolos“, aseguró.

Por su parte, Marcelo Pizani, product manager en Panda Security,sostuvo que “Lo más peligroso resulta en quienes utilizan las mismascontraseñas para múltiples servicios y de índoles diferentes, o lo quees peor, aquellos que deciden escribir sus contraseñas en archivos de la computadora, papeles que llevan en su billetera, o el peor de los casos, el teléfono móvil o PDA“.

“No utilizar las mismas contraseñas es una recomendación fundamental”,afirmó Pizani. “En general, no utilizar nombres propios o defamiliares, fechas de casamiento o nacimiento propias o muy cercanas esuna variable que agrega un factor de dificultad a las contraseñas y quepuede ser tenida en cuenta. No anotar las contraseñas en ningún lado es ley, menos aún en dispositivos electrónicos que pueden ser extraviados o robados”, agregó el ejecutivo de Panda.

Gonzalo Erroz agregó: “En paralelo, hay varias compañías quedesarrollaron programas para guardar y administrar los diferentescódigos de acceso. Estos programas existen tanto en Internet como enlos dispositivos móviles. Nuestra recomendación es utilizar estosproductos que facilitarán la administración y control de lascontraseñas”.

Aplicaciones para almacenar contraseñas

Una posible solución a la administración personal de contraseñas sonlas aplicaciones especialmente diseñadas para este fin. Permitenalmacenar de forma cifrada las contraseñas para diferentes sistemas ositios Web, pero para utilizarlo también es necesario tener una clave”maestra”. Una de las principales ventajas de este software es quepuede trasladarse a través de dispositivos portables, y permite buscarpasswords personales a través de un pen drive.

Sin embargo, Sebastián Bortnik, analista de Seguridad de ESET Latinoamérica,no está muy de acuerdo con que este tipo de programas sean una realsolución. “La utilización de estas aplicaciones incluye esencialmente dos riesgos.El primero es que si el usuario olvida su clave maestra, perderá accesoa todas sus claves. Por lo tanto, siempre es recomendable para lossistemas más importantes utilizar contraseñas fuertes y recordables.También es importante mantener un backup de la base de datos (cifrada)de forma tal que si se daña la computadora donde se alojaba, seaposible acceder nuevamente a las contraseñas”.

“El segundo riesgo consiste en que si la clave maestra del usuario esvulnerada, un atacante podría acceder a todos los passwords que elusuario posee en la base de datos”, continuó Bortnik. “Por lo tanto,una vez más, es importante que la contraseña maestra cumpla con losprincipales requisitos de seguridad, además de ser recordable (y que nosea necesario anotarla en ningún papel)”.

Asimismo, el ejecutivo explicó que la contraseña se considera fuerte cuando cuenta con 8 o más caracteres,y con al menos dos tipos de los siguientes caracteres (preferentemente3): letras minúsculas (a-z), letras mayúsculas (A-Z), números (0-9) ycaracteres especiales (por ejemplo ¡, $, %, #).

miperrotienepelomarron

Julio Cella, territory manager SOLA (South of Latin America) de la compañía rusa Kaspersky, sugiere una serie de productos llamados Single Sign-On (SSO),que permiten al usuario autentificar a través de un procedimiento quelo habilita para acceder a varios sistemas con una sola instancia deidentificación. Además recomendó los sistemas de encriptación de archivos,que resguardan de manera segura la información. “Y también resultaesencial tener actualizado el antivirus y las suites de seguridad paraevitan ataques maliciosos que puedan resultar en el robo de datos”.

Pero para quienes no estén convencidos de instalar software adicionalpara administrar contraseñas, Cella aconsejó dos sistemas para generary recordar las claves. “El primer consejo es utilizar frases fácilmente recordables para las contraseñas que se generan, por ejemplo miperrotienepelomarron. La segunda es tomar nota de las claves en un archivo txt con indicaciones sobre cuáles son cada una de ellas”.

Por último, señaló que es importante en todos los casos que la personaesté informada acerca de los procedimientos para recuperar llaves. “Deesta manera, se evitan inconvenientes en el caso eventual de que no seconsiga recordar una contraseña ni el lugar en donde se almacenó esainformación”, concluyó el ejecutivo de Kaspersky.

Autor: Darío Drucaroff
Fuente: CanalAR

Firefox 3.5.5 soluciona problemas de estabilidad

Acaba de ser liberada una nueva versión de Mozilla Firefox, concrétamente la versión 3.5.5, que viene a solucionar varios problemas de estabilidad de versiones anteriores.

Si ya cuentas con Mozilla Firefox instalado en tu equipo, puedes actualizar desde el propio programa a través del Menú Ayuda – Buscar actualizaciones… y se actualizará automáticamente.

Fuente: Cajón de desastres

www.segu-info.com.ar

Microsoft adelanta sus próximos boletines de seguridad de noviembre

Microsoft ha enviado su notificación adelantada referente a los boletines de seguridad que liberará el próximo martes 10 de noviembre.

Serán 6 boletines de los cuales tres son de categoría “crítica” afectando a Windows 2000, 2003, 2008, Vista y XP. Los otros boletines de categoría “importante” afectan a Windows XP, 2003 y 2008, y también a Office Excel y Word

Boletin completo de notificación avanzada:
http://www.microsoft.com/technet/security/bulletin/ms09-nov.mspx

Redacción de Segu-info

www.segu-info.com.ar

Facebook continua derribando publicidades engañosas

En una continuada batalla contra el spam y las publicidades engañosas y ofertas que corren dentro de aplicaciones, Facebook ha cancelado su relación comercial con otras dos redes que violaban continuamente sus políticas, con ofertas y contenido inapropiado en publicidades.

Ya lo hicieron en el pasado cuando eliminaros las publicidades de stimulus, y están manteniendo una vigilancia constante sobre las aplicaciones.

“Reconocemos que monitorear las publicidades no es la primer área de atención para un empresario que está comenzando con aplicaciones sociales. Es por eso que las redes de publicidad que no jueguen de acuerdo con las reglas deben esperar ser nuestro primer punto de contacto en la linea de cumplimiento. Nuestras políticas son claras. Si ud. es una red de publicidad y no cumple con ellas, le está fallando a sus clientes, y debe contar con que sus oportunidades de negocios en Facebook finalizarán”, escribe un miembro del equipo de la Plataforma en el Blog para el Desarrollador.

“Las oportunidades para publicidades de alta calidad son significativas, y varios jugadores está enfocados genuinamente en la sustentabilidad y creando una experiencia de usuario que genera confianza de largo plazo,” agrega.

Parece que Dennis Yu, el CEO de una agencia de publicidad, estaba en lo correcto: con el tiempo, los avisos engañosos serán historia, a medida que los avisos confiables los sacan de en medio por una simple razón: los avisadores (legítimos) de las grandes marcas elevarán el precio del tráfico hasta un nivel que los spammers ya no podrán alacanzar.

Traducción: Raúl Batista – Segu-info
Autor: Zeljka Zorz
Fuente: Help Net Security

www.segu-info.com.ar

Phishing Globo Noticias

En el día de hoy nos reportaron de un nuevo caso de correos de phishing en portugués. En esta oportunidad se repite el formato de una supuesta noticia de la cadena Globo de Brasil.

El “anzuelo” de ingenieria social es un video sobre un reconocido deportista local que fue sorprendido fumando marihuana.

El enlace al supuesto vídeo, destacado en la imagen de arriba, lleva a otra página que simula un reproductor de video y anuncia que hace falta descargar una version de Adobe Flash Player, como se ve en la segunda captura:

Los recuadros enlazan todos con la descarga del archivo FlashPlayer_9.10.32.exe el falso reproductor de video, que es en realidad es un malware y fue detectado en nuestro caso por un AV con capacidades de heurística como un Troyano-Downloader.

Este caso ya está registrado en el catálogo de fraudes del RNP de Brasil.

Estén atentos y si algún correo llama mucho la atención, duden antes de morder el anzuelo.

Raúl de la Redacción de Segu-info

www.segu-info.com.ar

Se hace pública vulnerabilidad ‘Man-in-the-middle’ en la renegociación TLS

TLS 1.0+ y SSL 3.0+  (conocido entre otros “https”) esvulnerable a una debilidad de protocolo que puede aprovechar un ataque de hombre en el medio (MiTM) durante la fase de renegociación en las versiones modernas del protocolo.

Si bien los detalles fueron ofrecidos en una reunión con el IETF (Fuerza de Tareas de Ingeniería de Internet), proveedores e implementadores de SSL open source, parece que se una lista de correo de IETF llegpo nuevamente a conocerlo. Eso parece haber impulsado a los descubridores originales (Marsh Ray y Steve Dispensa) a ofrecer públicamente su hallazgo.

Los medios masívos obviamente están con esto por todas partes.

Algunos enlaces aparte de los medios de comunicación usuales:

• La descripción original (el sitio está sufriendo muchas visitas al haber escrito esto)
• El resúmen del grupo de trabajo TLS del IETF TLS, y promesas de un protocolo corregido

Parece no haber mucho que uno pueda hacer hasta que se arregle el protocolo. El problema principal parece ser con los clientes que usan autentificación con certificados.
 La explotación requiere que el atacante sea capaz de interceptar el tráfico.

Gracias a to Martin, Edward, Ken y Chris por enviarnos esto.

Autor: Swa FrantzenFuente: ISC SANS

www.segu-info.com.ar

Un parche de Office de tres años de antigüedad soluciona el 75 por ciento de los ataques actuales

Los usuarios de Office pueden evitar cerca de tres de cada cuatroataques aplicando un parche que Microsoft publicó hace tres años. Asíal menos lo defiende un reciente estudio.

Casi tres de cada cuatro ataques (concretamente el 71 por ciento de todos los conocidos en la primera mitad de 2009) que sacan partido de una vulnerabilidad de Word podrían evitarse con un parche que Microsoft lanzó en junio de 2006, según se desprende del informe bianual de inteligencia de seguridad que Microsoft publicó el lunes. El parche es el conocido como MS06-027.

El segundo error más “popular” entre los atacantes, con un 13 porciento de los casos, intenta aprovecharse de otro error que sesolucionó en marzo de 2008, según Microsoft, quien recuerda que elparche para este agujero es uno de los siete solucionados en MS08-014.

Ante estos datos, Microsoft reitera la importancia de manteneractualizado el software, tanto Windows como Office, con las distintasactualizaciones de seguridad que lanza la compañía. “La mayoría de los ataques observados en Officedurante la primera mitad de este año (el 55,5 por ciento) han sidoresueltas entre julio de 2003 y junio de 2004”, asegura el informe, enel que también se constata que las actualizaciones de Windows seproducen mucho antes que las de Office.

Por ello, la compañía recomienda a sus clientes emplear el servicio Microsoft Update.

Autor:  Arantxa Herranz

Fuente: PC World.es

www.segu-info.com.ar

La piratería en el gobierno (curiosidad)

El otro día me vi en la necesidad de descargarme la iso de Windows 7para instalarla en el ordenador de mi casa. Yo (anonymous) ya tengo minúmero de serie legal pero no tenía una iso válida a mano, así queempecé a buscar en varios portales de torrents para descargarla lo másrapidamente posible.

Dado que por ahi se dice que un alto número de torents (isos, zips,rars, …) estan infectados con malware, e incluso hay imagenes dewindows 7 pirata que vienen con backdoor de regalo, decidí que la mejoropción era asegurarme de que el hash SHA1 del fichero coincidiese conel de MSDN.

Unos minutos despues ya tenía localizado el fichero cuyo hash SHA1coincidía con la del Windows 7 Ultimate x64 oficial y me puse adescargar con el utorrent.

La deformación profesional hace que todo lo que tenga una IP seainteresante así que me puse a mirar un poco por el listado de ipsconectadas al torrent y rápidamente una me llamó la atención:

descarga torrent desde ip gobierno argentina mx.cbi.gov.ar, que pertenece al servidor web de la “Comisión Bicameral de Fiscalización de los Organismos y Actividades de Inteligencia”.

Mucha “inteligencia” no demuestra el administrador de sistemas aldescargar “warez” desde ordenadores del gobierno. Despues la gente sepregunta como es posible que aparezcan compartidos en aplicaciones comoemule los datos confidenciales de las empresas…

Y de paso, le dan un 0wned a los servidores del gobierno por usar clientes p2p con bugs

Fuente: 48bits

www.segu-info.com.ar

La UE avala que se pueda cortar el acceso a Internet sin orden judicial previa

La Unión Europea aprobó que lasautoridades administrativas de los Estados miembros puedan cortar elacceso a Internet sin orden judicial previa a los usuarios quedescarguen contenidos protegidos por derechos de autor, tal y comoquieren hacer Francia (Ley Hadopi) o Reino Unido, según el acuerdoalcanzado esta madrugada por los Gobiernos de los 27 y la Eurocámarapara reformar la regulación del sector de las telecomunicaciones.

En España, la legislación exige una autorización judicial previa pero el Gobierno estudia cambiar la normativa.

El compromiso fue posible después de que la Eurocámara diera marchaatrás en su defensa de los derechos de los internautas. Loseurodiputados habían frenado hasta ahora la aprobación de la reforma delas telecomunicaciones al reclamar que la nueva normativa prohibieraexpresamente el acceso a Internet sin orden judicial previa, algo queno aceptaban los Gobiernos de los 27. Pero en la fase final de lasnegociaciones, el Parlamento cedió en sus exigencias y aceptó que no serequiera autorización judicial previa para cortar el acceso a Internet.

A cambio, la Eurocámara y los Gobiernos pactaron un nuevo artículo deprotección de los derechos de los internautas que no estaba previsto enla versión inicial de la legislación. En él se afirma que lasrestricciones al acceso a Internet “sólo pueden imponerse si sonadecuadas, proporcionadas y necesarias en una sociedad democrática”.Tales medidas sólo podrán adoptarse “respetando el principio depresunción de inocencia y el derecho a la privacidad” y como resultadode un “procedimiento previo, justo e imparcial” que garantice “elderecho a ser escuchado” y “el derecho a una revisión judicial eficaz yen el momento oportuno”. Es decir, a posteriori.

El eurodiputado del PP Alejo Vidal-Quadras, que en su calidad devicepresidente de la Eurocámara presidía la delegación negociadora,justificó el cambio de postura del Parlamento argumentando que losservicios jurídicos de las instituciones europeas habían dictaminadoque la enmienda para prohibir el corte de Internet sin autorizaciónjudicial excedía las competencias de la UE y habría sido anulada por elTribunal de Justicia de Luxemburgo.

“Nuestra estrategia ha sido intentar lograr el mayor número degarantías para los usuarios sin sobrepasar el marco legal comunitarioestablecido por los Tratados. Y creo que lo que hemos acordado con elConsejo es realmente un éxito por lo que se refiere a avances para losderechos de los usuarios”, señaló Vidal-Quadras. “Se nos ha presionadomucho en este tema, pero si no fuera por el Parlamento, la cuestión deimponer límites a lo que los Gobierno y los operadores pueden hacerpara restringir el acceso a Internet nunca se habrían discutido”,resaltó.

Por su parte, la eurodiputada socialista Catherine Trautmann, quetambién formaba parte de la delegación negociadora, destacó que elParlamento había preferido este compromiso antes que tumbar la reformadel sector de las telecomunicaciones por el desacuerdo sobre el cortede Internet. En este sentido, subrayó que los parlamentarios habíanvelado no sólo por los intereses de los internautas sino también de lostrabajadores, porque a su juicio la falta de una regulación del sectorse traduciría en “deslocalizaciones” de empresas de telecomunicaciones.

“La nueva disposición sobre la libertad en Internet representa una granvictoria para los derechos y las libertades de los ciudadanoseuropeos”, dijo por su parte la comisaria responsable deTelecomunicaciones, Viviane Reding. “Las ‘leyes de tres avisos’, quepermiten cortar el acceso a Internet sin un procedimiento previo justoe imparcial o sin una revisión judicial efectiva y oportuna, no seconvertirán en parte de la legislación europea”, aseguró.

El acuerdo final todavía debe ser ratificado por los ministros deTelecomunicaciones y por el pleno de la Eurocámara durante el mes denoviembre. Si se cumplen los plazos, podría entrar en vigor aprincipios de 2010. Los países de la UE tendrán entonces 18 meses paraincorporarlo a sus legislaciones nacionales.

Separación funcional
La principal novedad de la reforma es que da poderes a los reguladoresnacionales para que puedan forzar a los operadores históricos, comoTelefónica, a separar funcionalmente el departamento de servicios de lagestión de la red en caso de problemas de competencia. Esta medida sólose podría aceptar en casos excepcionales, cuando no hayan servido otrasrecetas.

También se crea un Organismo de Reguladores Europeos de ComunicacionesElectrónicas, de talla mucho más reducida que la Autoridad que habíapropuesto originalmente la Comisión Euorpea, que estaría integrado porlos 27 directores de los reguladores nacionales. Su papel seríameramente consultivo.

Los Estados miembros y la Eurocámara han rechazado la pretensión deBruselas de arrogarse nuevos poderes para poder vetar las medidascorrectivas dictaminadas por los reguladores nacionales (como laComisión del Mercado de las Telecomunicaciones en el caso de España)cuando se detectan problemas de competencia en algún mercado. Lasautoridades nacionales seguirán teniendo la última palabra en estoscasos.

Neutralidad de la red
Finalmente, el nuevo marco incluye nuevos derechos para losconsumidores, como la prohibición de contratos superiores a los dosaños de duración o la obligación para las operadoras de permitir a losclientes cambiar de compañía conservando el mismo número de teléfono enun plazo máximo de un día. Los operadores tendrán la responsabilidad deluchar contra los virus y el ’spam’ y de notificar a los clientes losfallos de seguridad que detecten.

También se incluyen garantías adicionales para asegurar la neutralidadde la Red e impedir que los operadores discriminen entre varios tiposde transmisión de datos en Internet, como voz o servicios P2P. Lasnuevas reglas dan poderes a los reguladores nacionales para que fijenniveles mínimos de calidad para los servicios de transmisión de redpara promover esta neutralidad.

Además, los proveedores deberán informar a sus clientes antes de firmarel contrato sobre la naturaleza de los servicios, incluyendo lastécnicas de gestión del tráfico y su impacto en la calidad delservicio, así como otras limitaciones (como topes al ancho de banda ola velocidad de conexión disponible). Finalmente, el Ejecutivocomunitario hará uso de sus poderes para vigilar que se respete laneutralidad de la Red.

Fuente: IBLNEWS

www.segu-info.com.ar

Los usuarios de Google podrán administrar los datos de sus cuentas

El megabuscador lanzó un Panel de Control quepermitirá conocer la información que recoge de cada aplicaciónutilizada por las personas.

Con el objetivo de que los usuarios sepan cuál es la información que almacena de los usuarios, Google lanzó un Panel de Control que permite acceder y administrar los datos que las personas ingresan en sus diferentes cuentas de la compañía.

A continuación, un video que explica cómo funciona el Panel de Control de Google:

El servicio proporcionará detalles de las plataformas de correo Gmail y aplicaciones como Reader, Docs y YouTube, dado que ahora los miembros del portal de videos online deberán poseer una casilla del megabuscador para ingresar.

Según explicaron Alma Whitten, ingeniera en Software, Yariv Adan, Manager de Producto y Marissa Mayer,vicepresidente de Productos de Búsqueda y Experiencia del Usuario de lafirma en su blog oficial, si bien hace 11 años que vienen invirtiendoen educar a los usuarios con el Centro de Privacidad y facilitando la posibilidad de retirar datos con Data Liberation Front,“brindar transparencia, opciones y control sobre tus datos se ha vueltouna parte central en la filosofía de Google. Hoy estamos haciendo aúnmás por consolidar esta estrategia”.

La aplicación fue propuesta como una forma de otorgar mayor confianza ydiseñada para que su uso sea sencillo y útil. “Hoy, el Dashboard cubremás de 20 productos y servicios, incluyendo Gmail, Calendar, Docs,Historial Web, Orkut, YouTube, Picasa, Talk, Reader, Alerts, Latitude ymuchos más”, afirmaron.

Fuente: CanalAR

www.segu-info.com.ar