Cómo los bancos (des)educan a los usuarios

Ante todo la palabra deseducar sí existe y este es un ejemplo.
En el día de hoy hemos recibido varias denuncias de usuarios con casos de supuestos phishing pero que en realidad conducen al sitio bancario real, debido a que el banco en cuestión tiene una pésima política de comunicación con sus clientes.

Desde Segu-Info prácticamente todos los días denunciamos decenas de casos de correos falsos e incentivamos a los usuarios a aprender a identificar esos correos pero, lamentablemente cuando aparecen bancos que realizan las mismas acciones que los delincuentes para comunicarse con sus clientes, entendemos a los usuarios cuando dicen “a veces es imposible identificar un correo verdadero de uno que no lo es” y por lo tanto deben adivinar o arriegarse a hacer clic.

Hace un tiempo informamos de correos verdaderos de Microsoft, de IBM y de otros bancos argentinos que cometen los mismos errores que este que muestro a continuación (clic para agrandar):

Como dije el correo es real (aquí puede verse en línea el mismo correo) y se debe a que el banco en cuestión recientemente ha cambiando la forma de autenticación en su home-banking y por lo tanto requiere la generación de un nuevo usuario y contraseña. Para esto tuvieron la genial idea de comunicarse con sus clientes por correo electrónico, aún cuando todas las entidades financieras insisten y es el primer consejo de todas que nunca van a enviar este tipo de correos y nunca van solicitar este tipo de información al cliente.

Además, como puede verse el enlace (http://link.fromdoppler.com/iglu/egfqBv/cxDct/a) es sumamente sospechoso para cualquier usuario común que no sabe que Fromdoppler es una empresa que se dedica a realizar e-mailing y para la cual este banco contrató sus servicios. Si se hace clic sobre el enlace es fácil verificar que efectivamente el mismo conduce al sitio real del banco. ¿Cómo debe hacer el usuario para adivinar eso?

Aún así los bancos argentinos continúan diciendo que cuando un cliente es estafado por casos de phishing, la responsabilidad es de dicho cliente y más aún, con el tipo de “ejemplos” que dan y las formas de comunicación que implementan, siguen operando sin ninguna regulación por parte de los entes correspondientes.

Cristian de la Redacción de Segu-Info

Contenido completo en www.segu-info.com.ar

Cómo roban información de los Android

Cinco aplicaciones para robar información que ofrecen recuperar información secreta de otros en menos de un minuto han impactado al mercado de Android, lo que plantea un nuevo riesgo para la seguridad de la información almacenada en smartphones que utilizan sistema Android.

Un desarrollador de aplicaciones ha publicado cinco herramientas (identificadas por Bitdefender como Android.Spyware.GoneSixty.Gen) que son anunciadas para ‘objetivos de estudio’ únicamente y que pueden robar toda la información de un Smartphone. Todo lo que se necesita es instalar una de las aplicaciones en el dispositivo de la víctima, ponerlo en marcha y memorizar un código de 5 dígitos. La herramienta espía sube y envía a un servidor remoto de manera silenciosa contactos, mensajes, llamadas recientes y el historial del navegador almacenado en el Smartphone. Además, también inicia el proceso de desinstalar la aplicación una vez el trabajo está finalizado. Fácil y bonito, y además, extremadamente discreto, todo, en menos de 60 segundos.

Para acceder a la información subida, el curioso o delincuente que ha activado la aplicación sólo tiene que acceder al sitio del desarrollador e introducir el código para poder acceder a todos los contactos. Para mensajes, llamadas recientes e historial, se pide el pago de 5 dólares, un pequeño peaje que pagar para violar la privacidad de una persona de forma grave. Si la persona también almacena información relacionada con el trabajo en el teléfono, una herramienta como ésta puede comprometer un negocio por completo.

Hay una nota que explica que toda la información que no ha sido pagada es borrada tras un día, por respeto y por razones de seguridad; no hace falta decir que esta afirmación no merece demasiada confianza. Una base de datos de información privada sensible – sea personal o corporativa- puede ser toda una mina de oro. Las mentes cibercriminales pueden ver los beneficios que puede aportar y no dejarán pasar de largo una oportunidad como ésta.

Algunas formas de minimizar robos de información como éstos:

• En público, no pierdas nunca de vista tu Smartphone
• Si prestas tu teléfono a alguien, asegúrate de qué actividad inicia con él
• Utiliza una solución AV para smartphones
• No mantengas información relacionada con tu smartphone a menos que la encriptes previamente.

Fuente: CIO

Contenido completo en www.segu-info.com.ar

Firefox lanza su versión 7 y dice consumir menos memoria

Apenas seis semanas después de que Mozilla enviara la última versión de Firefox, la compañía ha lanzado la versión 7 de su navegador para hacer frente a los problemas de memoria que han afectado a Firefox en los últimos tiempos.

Después de haber implementado las mejores ideas de su equipo MemShrink, Mozilla reconoce que la versión Firefox 7 utiliza de un 20 a un 30 por ciento menos de memoria que la versión 6, y hasta el 50 por ciento menos en algunas circunstancias. La velocidad de carga también se ha visto reforzada.

“Esto significa que Firefox y los sitios web que visites serán más ágiles, más sensibles y sufrirán menos pausas. También significa que es menos probable que Firefox se bloquee o se cuelgue debido a la falta de memoria”, señala el blog oficial.

El dato exacto de cuánto menos fallará puede variar de instalación a instalación, pero la compañía parece haber mejorado la huella básica de Firefox, pasando de tener una carga de 130k hasta sólo 88k (sin contar los plug-ins).

Ésta no es la primera vez que Mozilla ha tenido que responder a las cuestiones de consumo de memoria. Con el lanzamiento de Firefox 3 en junio de 2008 pasó algo parecido.

Quizás tan importante como el rediseño de la memoria en la versión 7 es el hecho de que Mozilla ha desarrollado la capacidad de grabar aspectos de telemetría tales como la CPU, la velocidad de arranque y el uso de memoria de cada pc utilizando el software como una manera de investigar el rendimiento real. Esto deberá reflejarse a largo plazo las mejoras de las futuras versiones de Firefox.

La primera vez que se ejecuta el software, se les pregunta a los usuarios si están de acuerdo con que Mozilla reúna estos datos, una característica que puede ser activada o desactivada manualmente en Opciones avanzadas. Todos los datos se envían con SSL y no se recopilan datos de identificación personal, según Mozilla.

Fuente: CIO

Contenido completo en www.segu-info.com.ar

La Cloud Security Alliance publica paper de Seguridad como Servicio

La Cloud Security Alliance (CSA) anunció la formación de un grupo de trabajo denominado “Consejo de Seguridad como Servicio” y han publicado su primer White Paper [PDF] el cual define las categorías consideradas como servicio en 2011.

El propósito de la investigación de este grupo es identificar las definiciones de consenso de lo que la Seguridad como Servicio utiliza como medios, para clasificar los diferentes tipos de seguridad como un servicio y para proporcionar orientación a las organizaciones en la ejecución de buenas prácticas..

Hasta ahora ha habido poca investigación en la prestación de seguridad como servicio en un modelo de nube elástica que se adapta al cambio que el cliente requiera.

Este primer White Paper fue diseñado para proporcionar una definición clara de las diferentes categorías de servicios de seguridad que pueden ser proporcionados a través de la Nube.

“Los fabricantes han tratado de satisfacer esta demanda de seguridad, ofreciendo servicios de seguridad sobre una plataforma en la nube, pero debido a que estos servicios toman muchas formas, han causado confusión en el mercado y complicado el proceso de selección”, dijo Kevin Fielder, co-presidente del grupo de trabajo.
“Este nuevo proyecto de investigación tiene como objetivo ayudar a los clientes y los proveedores de nubes, a brindar una mayor claridad y coherencia sobre como ofrecer seguridad como un servicio – y para ayudar a los usuarios finales entender la naturaleza única de la nube, entregado ofertas sobre seguridad y para que puedan evaluar las ofertas en un marco coherente y comprender si satisface a sus necesidades”. completó Fielder.

“El objetivo de esta investigación es lograr que las empresas puedan hacer uso de los servicios de seguridad en nuevas formas o maneras que no serían rentables si se alojan en forma local”, dijo Cameron Smith, co-presidente del grupo de trabajo.
“Nos gustaría agradecer a Bernd Jaeger, Pohlman Marlin y Laundrup Jens, así como nuestros otros colaboradores, por su ardua labor en este proyecto, y esperamos poder continuar produciendo innovadores, muy necesaria la investigación en esta área” agregó Smith.

El White Paper de productos y Servicios de “La Seguridad como Servicio en la Nube” cubre las siguientes categorías de servicios;

• Gestión de identidades y acceso
• Prevención de perdida de datos
• Seguridad en la Web
• Seguridad para el Correo Electrónico
• Evaluación de la seguridad
• Gestión de intrusiones
• Seguridad de la Información y Gestión de Eventos
• Cifrado
• Continuidad del Negocio y Recuperación de Desastres
• Red de Seguridad

Este trabajo ha sido propuesto como base para el nuevo dominio de la guía de CSA, y este grupo de trabajo espera producir más de documentación que cubre áreas tales como la orientación para la implementación de modelos de referencia para las distintas categorías, junto con la forma en que se puede utilizar para mitigar las principales amenazas identificadas por el Top CSA.

Para mayor información sobre este WP visite www.cloudsecurityalliance.org

Fuente: CIO

Contenido completo en www.segu-info.com.ar

Contingencia TIC vs Continuidad de negocio

Por Manuel Díaz Sampedro

Si bien es cierto que se van viendo avances significativos en la comprensión del, a veces, confuso mundo de la Continuidad de Negocio, todavía en ocasiones nos encontramos con que no se distinguen del todo algunos conceptos básicos. Es el caso de los Planes de Contingencia en relación con los Planes de Continuidad de Negocio (PCN).

Aquí podemos entrar en discusiones del tipo: “un Plan de Contingencia no es exactamente lo mismo que un Plan de Continuidad de Negocio” o “en realidad es un Plan de Continuidad de Negocio pero sólo para Sistemas”.

La forma más acertada de abordar el asunto, y en nuestra opinión la única que garantiza una comprensión definitiva del mismo, es considerar al Plan de Continuidad de Negocio como un Plan de Planes. Efectivamente, un buen Plan de Continuidad contendrá a su vez un cierto número de planes diferentes, como puede ser el Plan Evacuación, el Plan de Emergencia, el Plan de Gestión de Incidentes y, cómo no, un buen Plan de Contingencia de Sistemas.

En aras de una mayor claridad, podemos decir que un Plan de Contingencia de las Tecnologías de la Información y las Comunicaciones (TIC) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el PCN de la compañía.

Por su parte, el Plan de Continuidad de Negocio puede ser definido como un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía.

Contenido completo en fuente original Blog de INTECO

Contenido completo en www.segu-info.com.ar

Interpol cierra 13.500 webs que ofrecían medicamentos falsos

La policía ha incautado 2,4 millones de pastillas de antibióticos y fármacos falsos contra la depresión, el cáncer, la epilepsia y productos adelgazantes

Un total de 55 personas han sido detenidas o están siendo investigadas en el marco de una operación, desarrollada en 81 países, coordinada por Interpol contra el tráfico de medicamentos falsos por internet, que llevó a la incautación de mercancía, potencialmente peligrosa, por valor de 6,3 millones de dólares (4,6 millones de euros).

La operación, bautizada Pangea IV, se llevó a cabo entre el 20 y el 27 de este mes y condujo al cierre de 13.500 webs que se dedicaban a la venta de productos farmacéuticos pirateados. Se requisaron 8.000 paquetes en 48 países con 2,4 millones de píldoras y pastillas de antibióticos, esteroides, tratamientos contra el cáncer, contra la depresión, contra la epilepsia, así como suplementos alimentarios y productos adelgazantes.

“Los países miembros de Interpol y sus socios han mostrado con el éxito de la operación Pangea IV que internet no es un paraíso de anonimato seguro para los delincuentes que trafican con medicamentos ilícitos“, subrayó el secretario general de la agencia policial internacional, Ronald Noble.

La operación de Interpol, coordinada desde su cuartel general en la ciudad francesa de Lyon, implicó a policías, aduaneros y agencias reguladoras nacionales, que también recurrieron en su trabajo a servidores de internet, proveedores de servicios de pago en línea y distribuidores. Su objetivo era desactivar redes delincuentes y actividades conexas a la comercialización en línea de medicinas falsificadas -como fraudes en el uso de tarjetas de crédito- ante los riesgos sanitarios que todo eso acarrea.

Flujos del dinero

Sus tres centros de acción fueron los servidores de internet, el sistema de pago electrónico y el sistema de distribución. Noble hizo hincapié en que el principal objetivo era acabar con la actividad de las páginas web ilegales dedicadas al negocio farmacéutico e identificar los flujos de dinero que mueven ese negocio, que representan “un riesgo para la sanidad pública”.

“No podemos detener el aprovisionamiento ilícito de medicinas sin un esfuerzo internacional consistente, colectivo y constante que implique a todos los sectores”, advirtió el secretario general. A ese respecto, comentó que la operación sólo fue posible gracias a la intervención de 165 agencias diferentes y el intercambio de información en tiempo real a través de la sede de Interpol en Lyon. El responsable de la agencia policial pidió a los ciudadanos que presten más atención cuando compren fármacos por internet.

Fuente: ElPeriodico

Contenido completo en www.segu-info.com.ar

10 pasos para enfocarse en Mobile Banking

El mobile banking parecería que aún está lejos, pero nos sorprenderíamos cuanto se está trabajando en el mercado para lograr su implementación en la región, sorteando monopolios y los propios intereses de cada uno de los participantes.
Podemos enumerar basicamente los principales 10 focos de atención que deberían tener en cuenta aquellos que quieren focalizar su desarrollo comercial por esta vía.

Desarrollar enfocado en el “triple play”

Por mucho tiempo los smarthphones se han llevado el foco de atención, pero los bancos se han enfocado en este último tiempo en tres importantes focos ( donwloadable apps, mobile browsers and SMS-based services).
Los últimos números están mostrando que los usuarios que usan aplicaciones “mobile web”(también llamadas “web apps”) se están haciendo mucho mas fuertes que aquellos que utilizan aplicaciones para smarthphones.
Si bien las aplicaciones basadas en web que se bajan en los dispositivos móbiles están creciendo en adopción, se ha dado un crecimiento mucho mayor en aquellos desarrollos basados en “mobile web”

Contenido completo en fuente original Blog de Diego San Esteban

Contenido completo en www.segu-info.com.ar

Facebook desmiente los rumores, pero corrige sus cookies

Los responsables de Facebook se han visto obligados a cambiar el funcionamiento de algunas de sus cookies que hasta ahora permitían a la red social seguir a sus usuarios en la red incluso cuando habían cerrado su sesión.

Esta polémica surgió tras darse a conocer los hallazgos de Nik Cubrilovic, según los cuales, cada vez que un usuario visita una web que contiene cualquier tipo de conexión con Facebook se envía información a los sistemas de la red social.

En un primer momento fue el ingeniero de Facebook, Arturo Bejar, quien trató de aclarar este espinoso asunto reconociendo que seguían a los usuarios para evitar casos de spam, phishing y otros riesgos para la seguridad.

Esta aclaración no ha calmado los ánimos de los usuarios sino más bien todo lo contrario, obligando a la compañía a dar una respuesta oficial. Los portavoces de Facebook han insistido en que estas cookies no han provocado ningún problema de seguridad, aunque afirman que han reparado algunas “para que no vuelvan a incluir información cuando la gente cierre su sesión”.

Pero esta no es la única polémica que azota a Facebook, ya que la implantación de Ticker (una pestaña que muestra la actividad de los contactos en tiempo real) también ha provocado muchas críticas. Facebook asegura que se trata de “noticias confusas originadas por falsos estatus en los perfiles”, refiriéndose a la oleada de mensajes con instrucciones para escapar de Ticker que se han difundido en las ultimas horas.

Los responsables de la red social han asegurado las actualizaciones, fotos o comentarios que se publican en Ticker “solo son visibles para las personas que se hayan seleccionado en la configuración de privacidad”.

El último rumor que les quedaba por desmentir es el que aseguraba que la red social comenzaría a ser de pago. En este sentido han afirmado que “Facebook es gratis y siempre lo será”.

Fuente: The Inquierer

Contenido completo en www.segu-info.com.ar

Lección 10 de Intypedia "Ataques al protocolo SSL"

En la Enciclopedia de la Seguridad de la Información, se encuentra disponible la Lección 10 titulada “Ataques al protocolo SSL” de los autores Ing. Luciano Bello de la Chalmers University (Suecia) y el Dr. Alfonso Muñoz del grupo de investigación T>SIC de la Universidad Politécnica de Madrid.

En ella Alicia comenta con Bernardo los vectores de ataque más famosos al protocolo SSL/TLS. En la lección se citan algunas recomendaciones básicas para una navegación web más segura utilizando este protocolo. La lección tiene una duración de 16:51 minutos y está formada por 4 escenas o capítulos:

• Escena 1. ¿Es seguro SSL?
• Escena 2. Fallos de programación en las implementaciones. Criptoanálisis y downgrade.
• Escena 3. Engañando al usuario. Vulnerando SSL en la web.
• Escena 4. Uso seguro de SSL. Recomendaciones.

El vídeo viene acompañado por 3 documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión de la lección, las diapositivas  de apoyo y los ejercicios para autoevaluación.

Fuente: http://www.intypedia.com/

Contenido completo en www.segu-info.com.ar

Nueva Guía para el Cómputo en la Nube de ISACA

El cómputo en la nube está registrando una mayor importancia a la hora de definir los presupuestos de TI lo que obliga a las empresas a adaptarse para poder maximizar el retorno de inversión. Con esto en mente, ISACA presenta una guía para implementar controles efectivos y el gobierno del cómputo en la nube: Los Objetivos de Control de TI para el Cloud Computing: Controles y Aseguramiento en la Nube www.isaca.org/ITCOcloud.

De acuerdo con la guía de ISACA, cuando las empresas deciden utilizar el cómputo en la nube para los servicios de TI se impactan diferentes procesos de negocio, por lo que el gobierno de la nube se vuelve crítico para:

• Administrar efectivamente los riesgos.
• Asegurar la continuidad de los procesos de negocio críticos que ahora se extienden más allá del centro de datos.
• Comunicar con claridad los objetivos empresariales, tanto internamente como a terceros.
• Adaptar efectivamente.
• Facilitar la continuidad del conocimiento de TI, el cual es esencial para sustentar y hacer crecer el negocio.
• Manejar el gran número de regulaciones

“Para obtener el máximo beneficio de sus iniciativas en la nube, las empresas deben desarrollar una clara estrategia de gobierno, un plan de administración que establezca la dirección y los objetivos para el cómputo en la nube y la ejecución del plan”, afirmó Phil Lageschulte, CGEIT, CPA, miembro del Consejo de Conocimiento de ISACA y líder de los Servicios Globales de Auditoria de TI de KPMG. “Históricamente, TI se ha visto como un centro de costos, pero la nube presenta la oportunidad de alinearlo totalmente con los objetivos de la empresa como un todo y agregar valor a la organización”.
Los Objetivos de Control de TI para el Cloud Computing destaca que las empresas deben hacer las siguientes preguntas para tener el correcto gobierno del cómputo en la nube:

• ¿Cómo se administra la identidad y el acceso a la nube?.
• ¿Dónde se localizarán los datos de la empresa?.
• ¿Cuáles son las capacidades de recuperación de desastres del proveedor de servicios en la nube?.
• ¿Cómo es la seguridad de los datos administrados de la empresa?.
• ¿Cómo se protege todo el sistema contra las amenazas de Internet?.
• ¿Cómo se monitorean y auditan las actividades?.
• ¿Qué tipo de certificación o aseguramiento puede esperar la empresa del proveedor?

Asimismo, la guía resume el desarrollo de casos de negocio, la forma en que los estándares y las buenas prácticas ayudan al gobierno de la nube, cómo establecer objetivos de negocio para la nube, las consideraciones de los riesgos y las responsabilidades y un programa de auditoría/aseguramiento de la administración del cómputo en la nube.

Los Objetivos de Control de TI para el Cloud Computing es el tercer libro de la serie Objetivos de Control de TI de ISACA. El primero, Los Objetivos del Control de TI para Sarbanes-Oxley, se descargó más de 250 mil veces. Los Objetivos de Control de TI para el Cómputo en la Nube está disponible en formato impreso ($60 dólares) y en versión electrónica ($50 dólares). Los miembros de ISACSA pueden descargar el libro electrónico sin cargo y comprar el libro impreso por $35 dólares. Para consultar información adicional sobre el cómputo en la nube, incluyendo un reporte y los resultados de una encuesta, visite www.isaca.org/cloud.

Fuente: Cavaju

Contenido completo en www.segu-info.com.ar