Cómo los bancos (des)educan a los usuarios

septiembre 30, 2011 § 1 comentario

Ante todo la palabra deseducar sí existe y este es un ejemplo.
En el día de hoy hemos recibido varias denuncias de usuarios con casos de supuestos phishing pero que en realidad conducen al sitio bancario real, debido a que el banco en cuestión tiene una pésima política de comunicación con sus clientes.

Desde Segu-Info prácticamente todos los días denunciamos decenas de casos de correos falsos e incentivamos a los usuarios a aprender a identificar esos correos pero, lamentablemente cuando aparecen bancos que realizan las mismas acciones que los delincuentes para comunicarse con sus clientes, entendemos a los usuarios cuando dicen “a veces es imposible identificar un correo verdadero de uno que no lo es” y por lo tanto deben adivinar o arriegarse a hacer clic.

Hace un tiempo informamos de correos verdaderos de Microsoft, de IBM y de otros bancos argentinos que cometen los mismos errores que este que muestro a continuación (clic para agrandar):

Como dije el correo es real (aquí puede verse en línea el mismo correo) y se debe a que el banco en cuestión recientemente ha cambiando la forma de autenticación en su home-banking y por lo tanto requiere la generación de un nuevo usuario y contraseña. Para esto tuvieron la genial idea de comunicarse con sus clientes por correo electrónico, aún cuando todas las entidades financieras insisten y es el primer consejo de todas que nunca van a enviar este tipo de correos y nunca van solicitar este tipo de información al cliente.

Además, como puede verse el enlace (http://link.fromdoppler.com/iglu/egfqBv/cxDct/a) es sumamente sospechoso para cualquier usuario común que no sabe que Fromdoppler es una empresa que se dedica a realizar e-mailing y para la cual este banco contrató sus servicios. Si se hace clic sobre el enlace es fácil verificar que efectivamente el mismo conduce al sitio real del banco. ¿Cómo debe hacer el usuario para adivinar eso?

Aún así los bancos argentinos continúan diciendo que cuando un cliente es estafado por casos de phishing, la responsabilidad es de dicho cliente y más aún, con el tipo de “ejemplos” que dan y las formas de comunicación que implementan, siguen operando sin ninguna regulación por parte de los entes correspondientes.

Cristian de la Redacción de Segu-Info

Cómo roban información de los Android

septiembre 30, 2011 § 2 comentarios

Cinco aplicaciones para robar información que ofrecen recuperar información secreta de otros en menos de un minuto han impactado al mercado de Android, lo que plantea un nuevo riesgo para la seguridad de la información almacenada en smartphones que utilizan sistema Android.

Un desarrollador de aplicaciones ha publicado cinco herramientas (identificadas por Bitdefender como Android.Spyware.GoneSixty.Gen) que son anunciadas para ‘objetivos de estudio’ únicamente y que pueden robar toda la información de un Smartphone. Todo lo que se necesita es instalar una de las aplicaciones en el dispositivo de la víctima, ponerlo en marcha y memorizar un código de 5 dígitos. La herramienta espía sube y envía a un servidor remoto de manera silenciosa contactos, mensajes, llamadas recientes y el historial del navegador almacenado en el Smartphone. Además, también inicia el proceso de desinstalar la aplicación una vez el trabajo está finalizado. Fácil y bonito, y además, extremadamente discreto, todo, en menos de 60 segundos.

Para acceder a la información subida, el curioso o delincuente que ha activado la aplicación sólo tiene que acceder al sitio del desarrollador e introducir el código para poder acceder a todos los contactos. Para mensajes, llamadas recientes e historial, se pide el pago de 5 dólares, un pequeño peaje que pagar para violar la privacidad de una persona de forma grave. Si la persona también almacena información relacionada con el trabajo en el teléfono, una herramienta como ésta puede comprometer un negocio por completo.

Hay una nota que explica que toda la información que no ha sido pagada es borrada tras un día, por respeto y por razones de seguridad; no hace falta decir que esta afirmación no merece demasiada confianza. Una base de datos de información privada sensible – sea personal o corporativa- puede ser toda una mina de oro. Las mentes cibercriminales pueden ver los beneficios que puede aportar y no dejarán pasar de largo una oportunidad como ésta.

Algunas formas de minimizar robos de información como éstos:

  • En público, no pierdas nunca de vista tu Smartphone
  • Si prestas tu teléfono a alguien, asegúrate de qué actividad inicia con él
  • Utiliza una solución AV para smartphones
  • No mantengas información relacionada con tu smartphone a menos que la encriptes previamente.

Fuente: CIO

Firefox lanza su versión 7 y dice consumir menos memoria

septiembre 30, 2011 § Deja un comentario

Apenas seis semanas después de que Mozilla enviara la última versión de Firefox, la compañía ha lanzado la versión 7 de su navegador para hacer frente a los problemas de memoria que han afectado a Firefox en los últimos tiempos.

Después de haber implementado las mejores ideas de su equipo MemShrink, Mozilla reconoce que la versión Firefox 7 utiliza de un 20 a un 30 por ciento menos de memoria que la versión 6, y hasta el 50 por ciento menos en algunas circunstancias. La velocidad de carga también se ha visto reforzada.

“Esto significa que Firefox y los sitios web que visites serán más ágiles, más sensibles y sufrirán menos pausas. También significa que es menos probable que Firefox se bloquee o se cuelgue debido a la falta de memoria”, señala el blog oficial.

El dato exacto de cuánto menos fallará puede variar de instalación a instalación, pero la compañía parece haber mejorado la huella básica de Firefox, pasando de tener una carga de 130k hasta sólo 88k (sin contar los plug-ins).

Ésta no es la primera vez que Mozilla ha tenido que responder a las cuestiones de consumo de memoria. Con el lanzamiento de Firefox 3 en junio de 2008 pasó algo parecido.

Quizás tan importante como el rediseño de la memoria en la versión 7 es el hecho de que Mozilla ha desarrollado la capacidad de grabar aspectos de telemetría tales como la CPU, la velocidad de arranque y el uso de memoria de cada pc utilizando el software como una manera de investigar el rendimiento real. Esto deberá reflejarse a largo plazo las mejoras de las futuras versiones de Firefox.

La primera vez que se ejecuta el software, se les pregunta a los usuarios si están de acuerdo con que Mozilla reúna estos datos, una característica que puede ser activada o desactivada manualmente en Opciones avanzadas. Todos los datos se envían con SSL y no se recopilan datos de identificación personal, según Mozilla.

Fuente: CIO

La Cloud Security Alliance publica paper de Seguridad como Servicio

septiembre 30, 2011 § Deja un comentario

La Cloud Security Alliance (CSA) anunció la formación de un grupo de trabajo denominado “Consejo de Seguridad como Servicio” y han publicado su primer White Paper [PDF] el cual define las categorías consideradas como servicio en 2011.

El propósito de la investigación de este grupo es identificar las definiciones de consenso de lo que la Seguridad como Servicio utiliza como medios, para clasificar los diferentes tipos de seguridad como un servicio y para proporcionar orientación a las organizaciones en la ejecución de buenas prácticas..

Hasta ahora ha habido poca investigación en la prestación de seguridad como servicio en un modelo de nube elástica que se adapta al cambio que el cliente requiera.

Este primer White Paper fue diseñado para proporcionar una definición clara de las diferentes categorías de servicios de seguridad que pueden ser proporcionados a través de la Nube.

“Los fabricantes han tratado de satisfacer esta demanda de seguridad, ofreciendo servicios de seguridad sobre una plataforma en la nube, pero debido a que estos servicios toman muchas formas, han causado confusión en el mercado y complicado el proceso de selección”, dijo Kevin Fielder, co-presidente del grupo de trabajo.
“Este nuevo proyecto de investigación tiene como objetivo ayudar a los clientes y los proveedores de nubes, a brindar una mayor claridad y coherencia sobre como ofrecer seguridad como un servicio – y para ayudar a los usuarios finales entender la naturaleza única de la nube, entregado ofertas sobre seguridad y para que puedan evaluar las ofertas en un marco coherente y comprender si satisface a sus necesidades”. completó Fielder.

“El objetivo de esta investigación es lograr que las empresas puedan hacer uso de los servicios de seguridad en nuevas formas o maneras que no serían rentables si se alojan en forma local”, dijo Cameron Smith, co-presidente del grupo de trabajo.
“Nos gustaría agradecer a Bernd Jaeger, Pohlman Marlin y Laundrup Jens, así como nuestros otros colaboradores, por su ardua labor en este proyecto, y esperamos poder continuar produciendo innovadores, muy necesaria la investigación en esta área” agregó Smith.

El White Paper de productos y Servicios de “La Seguridad como Servicio en la Nube” cubre las siguientes categorías de servicios;

  • Gestión de identidades y acceso
  • Prevención de perdida de datos
  • Seguridad en la Web
  • Seguridad para el Correo Electrónico
  • Evaluación de la seguridad
  • Gestión de intrusiones
  • Seguridad de la Información y Gestión de Eventos
  • Cifrado
  • Continuidad del Negocio y Recuperación de Desastres
  • Red de Seguridad

Este trabajo ha sido propuesto como base para el nuevo dominio de la guía de CSA, y este grupo de trabajo espera producir más de documentación que cubre áreas tales como la orientación para la implementación de modelos de referencia para las distintas categorías, junto con la forma en que se puede utilizar para mitigar las principales amenazas identificadas por el Top CSA.

Para mayor información sobre este WP visite www.cloudsecurityalliance.org

Fuente: CIO

Contingencia TIC vs Continuidad de negocio

septiembre 30, 2011 § Deja un comentario

Por Manuel Díaz Sampedro

Si bien es cierto que se van viendo avances significativos en la comprensión del, a veces, confuso mundo de la Continuidad de Negocio, todavía en ocasiones nos encontramos con que no se distinguen del todo algunos conceptos básicos. Es el caso de los Planes de Contingencia en relación con los Planes de Continuidad de Negocio (PCN).

Aquí podemos entrar en discusiones del tipo: “un Plan de Contingencia no es exactamente lo mismo que un Plan de Continuidad de Negocio” o “en realidad es un Plan de Continuidad de Negocio pero sólo para Sistemas”.

La forma más acertada de abordar el asunto, y en nuestra opinión la única que garantiza una comprensión definitiva del mismo, es considerar al Plan de Continuidad de Negocio como un Plan de Planes. Efectivamente, un buen Plan de Continuidad contendrá a su vez un cierto número de planes diferentes, como puede ser el Plan Evacuación, el Plan de Emergencia, el Plan de Gestión de Incidentes y, cómo no, un buen Plan de Contingencia de Sistemas.

En aras de una mayor claridad, podemos decir que un Plan de Contingencia de las Tecnologías de la Información y las Comunicaciones (TIC) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el PCN de la compañía.

Por su parte, el Plan de Continuidad de Negocio puede ser definido como un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía.

Contenido completo en fuente original Blog de INTECO

Interpol cierra 13.500 webs que ofrecían medicamentos falsos

septiembre 30, 2011 § Deja un comentario

La policía ha incautado 2,4 millones de pastillas de antibióticos y fármacos falsos contra la depresión, el cáncer, la epilepsia y productos adelgazantes

Un total de 55 personas han sido detenidas o están siendo investigadas en el marco de una operación, desarrollada en 81 países, coordinada por Interpol contra el tráfico de medicamentos falsos por internet, que llevó a la incautación de mercancía, potencialmente peligrosa, por valor de 6,3 millones de dólares (4,6 millones de euros).

La operación, bautizada Pangea IV, se llevó a cabo entre el 20 y el 27 de este mes y condujo al cierre de 13.500 webs que se dedicaban a la venta de productos farmacéuticos pirateados. Se requisaron 8.000 paquetes en 48 países con 2,4 millones de píldoras y pastillas de antibióticos, esteroides, tratamientos contra el cáncer, contra la depresión, contra la epilepsia, así como suplementos alimentarios y productos adelgazantes.

“Los países miembros de Interpol y sus socios han mostrado con el éxito de la operación Pangea IV que internet no es un paraíso de anonimato seguro para los delincuentes que trafican con medicamentos ilícitos“, subrayó el secretario general de la agencia policial internacional, Ronald Noble.

La operación de Interpol, coordinada desde su cuartel general en la ciudad francesa de Lyon, implicó a policías, aduaneros y agencias reguladoras nacionales, que también recurrieron en su trabajo a servidores de internet, proveedores de servicios de pago en línea y distribuidores. Su objetivo era desactivar redes delincuentes y actividades conexas a la comercialización en línea de medicinas falsificadas -como fraudes en el uso de tarjetas de crédito- ante los riesgos sanitarios que todo eso acarrea.

Flujos del dinero

Sus tres centros de acción fueron los servidores de internet, el sistema de pago electrónico y el sistema de distribución. Noble hizo hincapié en que el principal objetivo era acabar con la actividad de las páginas web ilegales dedicadas al negocio farmacéutico e identificar los flujos de dinero que mueven ese negocio, que representan “un riesgo para la sanidad pública”.

“No podemos detener el aprovisionamiento ilícito de medicinas sin un esfuerzo internacional consistente, colectivo y constante que implique a todos los sectores”, advirtió el secretario general. A ese respecto, comentó que la operación sólo fue posible gracias a la intervención de 165 agencias diferentes y el intercambio de información en tiempo real a través de la sede de Interpol en Lyon. El responsable de la agencia policial pidió a los ciudadanos que presten más atención cuando compren fármacos por internet.

Fuente: ElPeriodico

10 pasos para enfocarse en Mobile Banking

septiembre 29, 2011 § Deja un comentario

El mobile banking parecería que aún está lejos, pero nos sorprenderíamos cuanto se está trabajando en el mercado para lograr su implementación en la región, sorteando monopolios y los propios intereses de cada uno de los participantes.
Podemos enumerar basicamente los principales 10 focos de atención que deberían tener en cuenta aquellos que quieren focalizar su desarrollo comercial por esta vía.

Desarrollar enfocado en el “triple play”

Por mucho tiempo los smarthphones se han llevado el foco de atención, pero los bancos se han enfocado en este último tiempo en tres importantes focos ( donwloadable apps, mobile browsers and SMS-based services).
Los últimos números están mostrando que los usuarios que usan aplicaciones “mobile web”(también llamadas “web apps”) se están haciendo mucho mas fuertes que aquellos que utilizan aplicaciones para smarthphones.
Si bien las aplicaciones basadas en web que se bajan en los dispositivos móbiles están creciendo en adopción, se ha dado un crecimiento mucho mayor en aquellos desarrollos basados en “mobile web”

Contenido completo en fuente original Blog de Diego San Esteban

¿Dónde estoy?

Actualmente estás viendo los archivos para septiembre, 2011 en Seguridad Informática.