Cibercriminales prefieren datos personales a datos de tarjetas de crédito

noviembre 26, 2013 § 1 comentario

Los precios en los mercados negros del cibercrimen están a la baja en cuanto a datos de tarjetas de crédito, en comparación con los datos personales, según un estudio.

Los datos personales y los accesos de cuentas bancarias se están abaratando, de acuerdo al estudio realizado por Joe Stewart, director en investigaciones de malware de DELL SecureWorks y por el investigador independiente David Shear.

Datos de tarjetas de crédito de usuarios estadounidenses como VISA y MasterCard pueden comprarse por poco mas de 4 dólares, se paga el doble por los datos robados de tarjetas del Reino Unido, Australia y Canadá. La información de las tarjetas de crédito de los EUA contenida en la banda magnética que se encuentra en la parte posterior de la tarjeta alcanza los 12 dólares. Pero estos datos, cuando provenienen de usuarios de la UE o de países asiáticos, pueden ser vendidos por 28 dólares.

Los detalles completos de una tarjeta junto con su correspondiente código VBV (verified by Visa) se pueden encontrar desde 17 dólares, hasta los 25 (para tarjetas que previenen de Reino Unido, Australia, Canadá y Asia).

Un expediente personal completo de un individuo de los EUA (nombre, dirección, números de teléfono, direcciones de correo electrónicas junto con sus credenciales de acceso, fecha de nacimiento, SSN, uno o más datos de cuentas bancarias, etc.) podría costar alrededor de 25 dólares.

Estos expedientes, llamados Fullz en los foros clandestinos, podrían alcanzar el precio de 30 a 40 dólares si la víctima proviene de Reino Unido, Australia, Canadá o Asia, solamente la fecha de nacimiento del individuo puede venderse desde 15 a 25 dólares. Los precios están a la baja, hace dos años los Fullz alcanzaron precios entre 40 y 60 dólares, dependiendo del país donde radique la persona.

No existe escasez de identidades robadas o Fullz, tarjetas de crédito o números de seguridad social a la venta” según lo indica el investigador.

Como sea, los hackers se han dado cuenta que no basta con obtener números de tarjetas de crédito y su código CVV ( Card Verification Value, un valor de 3 a 4 dígitos que se encuentra en la tarjeta) no siempre es suficiente para romper los protocolos de seguridad de algunas empresas.

Fuente: UNAM y The Register

Empresa sancionada por mal manejo de datos (Colombia)

noviembre 26, 2013 § Deja un comentario

Por violar el régimen de protección de datos personales (Hábeas Data), la Superintendencia de Industria y Comercio (SIC), sancionó en primera instancia a Experian Computec S.A., administradora de la central de riesgos DataCrédito, con una multa de $412.650.000, equivalente a setecientos salarios mínimos legales mensuales vigentes (700 Smlmv).

Por medio de la Resolución No. 62.016 del 25 de octubre de 2013, la SIC, a través de Dirección de Investigación de Protección de Datos Personales, la sanción se impuso como resultado de una investigación en la que se determinó que Experian Computec S.A., violó los deberes legales de circulación restringida y seguridad de la información crediticia de los ciudadanos reportados en DataCrédito.

Dentro de la actuación administrativa, se determinó que la empresa de referencia, asignaba perfiles de usuario y claves de acceso a DataCrédito a sus ejecutivos de venta, quienes al momento de ofrecer sus servicios a potenciales clientes, accedían de forma ilegal a historias crediticias reales sin autorización alguna.

Dicha maniobra puso en riesgo la integridad y seguridad de la información de millones de colombianos, en la medida en que cualquier ejecutivo de venta podía tener acceso a las historias crediticias de los titulares sin restricción, desde cualquier computador y en cualquier lugar y circunstancia.

En la investigación también se demostró que los ejecutivos de venta de Experian Computec S.A. hacían demostraciones de sus productos mostrándoles a sus potenciales clientes historias de crédito reales de ciudadanos identificables sin contar con las autorizaciones necesarias.

Frente a la situación Superindustria comprobó que la compañía investigada no había implementado procedimientos de anonimización de los datos personales para los casos en que sus ejecutivos accedían a historias de crédito para ilustrar sobre las características y condiciones de sus servicios. De esta manera, la ausencia de controles hacía posible la consulta de los datos privados de cualquier titular y su suministro a terceros distintos a los legítimamente autorizados.

Finalmente, además de la multa impuesta, la Superindustria ordenó a Experian Computer S.A. abstenerse de asignar perfiles de usuarios y claves de acceso a sus ejecutivos de venta que desarrollen labores comerciales, por el alto riesgo que ello conlleva.

Fuente: Mercado de Dinero

Por el espionaje, aumenta la venta de telófonos cifrados

noviembre 8, 2013 § Deja un comentario

“Han llegado nuevos tiempos: los proveedores apenas tienen tiempo para satisfacer la demanda del cliente”, informa el diario alemán ‘Rainer Frankfurter’ citando al portavoz de la empresa Deutsche Telekom, Rundschau Knirsha. Esta tendencia, destaca el diario ruso RBK Daily, se manifiesta con mayor claridad en Alemania tras la noticia de que la NSA escuchaba el teléfono de la canciller Angela Merkel.

“La demanda de móviles cifrado es increíble. En un par de semanas ha crecido en diez veces”, comenta sin ocultar su alegría Sven Kramer, que trabaja en la empresa Secusmart, en Dusseldorf, especializada en la fabricación de estos dispositivos. Según ella, cada vez son más los interesados en la adquisición de este tipo de móviles, incluso entre ciudadanos comunes y corrientes, aunque su interés suele desvanecerse rápidamente cuando se enteran de que el costo de los dispositivos oscila entre 1.700 y 2.500 euros.

Deutsche Telekom y Secusmart suministran sus móviles al gobierno alemán y a otras agencias estatales. Todos estos pedidos, incluidos los detalles sobre la proporción de móviles con cifrado para altos directivos de diferentes empresas, son información confidencial.

“Para romper nuestros códigos, incluso con la ayuda de dispositivos especiales se necesitarían 149 billones de años”, asegura el jefe de Secusmart Hans-Christoph Quelle. Sin embargo, la mayoría de los expertos creen que la próxima generación de ‘hackers’ puede cambiar la situación actual.

Fuente: RT

Sitio web ofrece gratis datos personales de mexicanos, argentinos, chilenos y paraguayos

noviembre 8, 2013 § 1 comentario

El Instituto Federal Electoral (IFE) presentó este día una denuncia de hechos ante la Fiscalía Especializada para Delitos Electorales, contra quien o quienes resulten responsables por la elaboración y/o manejo de un sitio web, mediante el cual se pueden obtener datos personales de un ciudadano.

La respuesta del IFE se da después de que esta mañana el diario Reforma diera a conocer la existencia de este portal que regala información personal de cualquier ciudadano mexicano y que tiene dominio en Suecia. En rueda de prensa el consejero presidente provisional del IFE, Benito Nacif, dijo que la denuncia de hechos fue presentada por la Dirección Jurídica del IFE ante la Procuraduría General de la República (PGR), pues con teclear el nombre completo de un ciudadano se puede obtener el número de su credencial de elector, su CURP, domicilio, así como su Registro Federal de Contribuyentes.

María Marván Laborde, consejera del Instituto Electoral, pidió a los ciudadanos que denuncien también en la PGR para proteger sus datos personales y sea ésta quien integre la averiguación. Para mostrar como funciona, el periódico capitalino exhibe los datos que muestra la página web de Gerardo Laveaga, Consejero Presidente del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI).

Este sitio de internet ofrece también información personal de ciudadanos de Argentina, Chile y Paraguay, según Reforma. Los datos que muestra el sitio corresponde al padrón anterior del IFE, por lo que muestra información correcta de quienes no han cambiado de domicilio.

Fuente: Sin Embargo

SIBIOS: El sistema de control total de Argentina

octubre 25, 2013 § Deja un comentario

El reporte de ANRed profundiza conceptos acerca del sistema SIBIOS (Sistema Federal de Identificación Biométrica para la Seguridad). Opinión similar tiene Assange, al afirmar que “Argentina tiene el sistema de vigilancia mas invasivo de Latinoamérica”.

El gobierno encabezado por la presidenta Cristina de Kirchner está utilizando un sistema biométrico que, gracias al nuevo DNI, en pocos años tendrá un registro de rostros y huellas dactilares de toda la población. Si bien la presentación del sistema SIBIOS – Sistema Federal de Identificación Biométrica para la Seguridad- se realizó en noviembre de 2011, el debate y la discusión política han sido escasos a pesar de ser la mayor violación a las libertades individuales desde el regreso a la democracia en la Argentina.

En noviembre de 2011 el gobierno nacional argentino presentó el sistema SIBIOS (Sistema Federal de Identificación Biométrica para la Seguridad). Se trata de un nuevo sistema de identificación biométrica centralizado, con cobertura nacional, que permitirá a los organismos de seguridad (Policía Federal, Gendarmería, Prefectura, Policías provinciales) y otros organismos estatales (puede ir la Infografía) cruzar información con datos biométricos y otros datos personales. Un dato biométrico es una característica física única que permite identificar con poco margen de error a una persona. Ejemplos de estos datos son las huellas dactilares, el ADN, la geometría de la mano, análisis del iris, análisis de retina, venas del dorso de la mano, reconocimiento facial, patrón de voz, firma manuscrita, análisis gestual, etc.

Como si fuese un plan perfectamente ejecutado, la noticia ni sonó en los grandes medios de comunicación ni tampoco tuvo ningún tipo de debate a nivel social y político, algo que sí sucedió en la mayoría de los países donde se quiso implementar este tipo de tecnologías intrusivas y controversiales.

Pocos gobiernos democráticos en el mundo han logrado concretar un plan tan ambicioso como este, al que sin dudas podríamos calificar como la mayor violación a las libertades individuales desde el regreso a la democracia en Argentina. Han sido numerosos los países que han emprendido proyectos similares y que no han podido implementarlos, bien sea por la resistencia de la sociedad o por declararlos inconstitucionales.

Otros países

En Inglaterra, una de las democracias más vigiladas del mundo, en el año 2010 una ley obligó al estado a destruir todos los registros biométricos almacenados, derogando la ley del 2006 que creaba un registro nacional de identidad donde se almacenaban los datos de las tarjetas de identidad. Algunas de las razones de su fracaso fueron las inquietudes expresadas por organizaciones de derechos humanos, activistas, profesionales de seguridad informática y expertos en tecnología así como de muchos políticos y juristas. Muchas de las preocupaciones se centraron en las bases de datos que almacenaban los datos de las tarjetas de identidad, luego de que algunas dependencias estatales “perdieron” discos con datos pertenecientes a 25 millones de británicos.

En EE.UU., a pesar de los intentos de varios gobiernos, no existe a la fecha ninguna tarjeta o documento de identidad nacional, ni tampoco hay una agencia federal con jurisdicción en todo el país que pueda emitir tarjetas de identidad de uso obligatorio para todos los ciudadanos estadounidenses. Todos los intentos legislativos para crear una han fracasado debido a la tenaz oposición de los políticos tanto liberales como conservadores, que consideran al documento nacional de identidad como un signo de una sociedad totalitaria (En EEUU no existe un registro de identidad). A pesar de ello luego de las ocupaciones de Irak y Afganistán el ejército estadounidense construyó una base de datos con registros biométricos de 1 millón de afganos y 2 millones de irakies.

En Francia en marzo de 2012 se declaró inconstitucional la ley que establece que más de 45 millones de sus habitantes deberán digitalizar sus rostros y huellas dactilares en lo que se convertiría en la mayor base de datos de registros biométricos de aquel país. Los argumentos para tomar esa decisión fueron que la nueva ley viola los derechos fundamentales a la privacidad y presunción de inocencia.

El Nuevo DNI argentino

En 2011 se comienzan a entregar los nuevos DNI, por primera vez en la historia argentina. Los tan necesarios DNI -a diferencia de muchos países en Argentina es obligación identificarse cuando la policía lo requiera y para la mayoría de los trámites en organismos estatales y privados- son entregados en un tiempo récord: solo una demora de entre quince y treinta días y no como anteriormente cuando la espera podía llegar a demorar mas de un año. Ahora está claro que la contraparte de facilitar y agilizar en todo el país el trámite para obtener el nuevo DNI es obtener lo más rápidamente posible los registros biométricos (rostros y huellas dactilares) de los cuarenta millones de argentinos.

En marzo de 2012, hace más de un año, el gobierno señaló que había 14 millones de registros biométricos y que llegarían a completar los 40 millones de argentinos en los siguientes dos años.

El objetivo de SIBIOS: vigilancia masiva y menos libertades

En el discurso de presentación del sistema SIBIOS, la presidenta argentina señaló que este representa “un salto cualitativo en la seguridad y en la lucha contra el crimen”, gracias a la posibilidad de poder identificar a cualquier persona en tiempo real “sobre todo hoy donde hay en casi todos los lugares cámaras que permiten filmar e identificar rostros”. Con el nuevo sistema se podrá identificar a cualquier persona que circule por un espacio público donde haya cámaras de videovigilancia y si es necesario personal policial podrá mediante un lector de huellas dactilares conocer en tiempo real la identidad de un individuo.

¿Por qué el uso de la biometría atenta contra nuestra libertad?

El potencial de abuso de un sistema de estas características es incalculable, sobre todo conociendo el poco feliz historial de nuestras fuerzas de seguridad: desde poder identificar a los participantes de una manifestación pública, hasta poder controlar a alguien en base a sus movimientos, cruzando datos con otros registros privados y estatales.

En un estado realmente democrático una herramienta como SIBIOS otorga demasiado poder al Estado y reduce significativamente el de sus habitantes.

Como señalábamos en otra nota, ya estamos viviendo en una sociedad de control, sociedad que se propone aplicar a cada uno de sus miembros dispositivos de control y vigilancia que antes estaban únicamente destinados a los delincuentes.

Para el filósofo Giorgio Agamben, en las sociedades de control, la relación normal del Estado con los ciudadanos es biométrica, es decir, de sospecha generalizada: todos somos criminales en potencia que vivimos en un Estado de excepción permanente que está haciendo desaparecer la distinción entre la esfera pública y la privada. En este estado de excepción, el Estado de derecho es desplazado cotidianamente por la excepción, y la violencia pública del estado queda libre de toda atadura legal.

SIBIOS es un exponente de este estado de excepción permanente, de este nuevo Estado biométrico que viola nuestras libertades en nombre de una mayor seguridad para la población.

Por todo esto decimos que SIBIOS es el mayor atropello a las libertades individuales desde la vuelta a la democracia, principalmente porque es invasivo a nuestra privacidad y porque viola el principio de presunción de inocencia. Por otra parte las supuestas ventajas de la biometría son más que discutibles. Mientras la creciente industria de la seguridad y la biometría convence a políticos y empresarios de su fiabilidad y precisión hay innumerables ejemplos de que esto no es tan así.

5 argumentos contra el uso de la biometría y de SIBIOS:

1. Dá demasiado poder al Estado a costa de nuestras libertades
2. Viola nuestro derecho a la privacidad y el principio de presunción de inocencia
3. Es un arma de doble filo por el potencial de abuso de los datos almacenados
4. La biometría no es una tecnología infalible y ya se han demostrado muchos de sus fallos
5. La biometría es una tecnología que mientras más tolerada y aceptada sea, más facilita la implantación de un estado totalitario

Fuente: Control de Acceso y ANRed

Pedidos de informes de usuarios de Facebook y Twitter

septiembre 3, 2013 § 1 comentario

Argentina solicitó información de 218 usuarios de Facebook durante el primer semestre de 2013 y se realizaron menos de 10 pedidos oficiales en el caso de Twitter.

De acuerdo con el primer Reporte Global de Solicitudes de Gobierno, que publicó el martes la compañía de Mark Zuckerberg en su página de noticias, Argentina hizo 152 solicitudes correspondientes a 218 usuarios, de las cuales solo fueron respondidas 27% con datos.

En el caso de Twitter, Argentina hizo menos de 10 solicitudes, sin que alguna de ellas haya generado información. Esto según su Informe de Transparencia de Twitter, en el que la compañía da cuenta que las peticiones gubernamentales totales aumentaron 36% con respecto al mismo periodo en 2012.

Es la primera vez que las redes sociales dan cuenta de esta información. Su publicación se desprende del caso Snowden, en el que un ex agente de la CIA reveló que la NSA espía a los internautas con el apoyo de las compañías de tecnología. Apple, Google y Yahoo también han dado a conocer el número de solicitudes recibidas.

En total, a Facebook funcionarios gubernamentales de 74 países le pidieron información sobre unos 38.000 usuarios, a Twitter 35 diferentes países le han solicitado datos de 1.697 usuarios.

En ambos reportes, el Gobierno de Estados Unidos aparece en primer lugar. A Facebook le pidió información de hasta 21.000 usuarios en alrededor de 12.000 solicitudes y a Twitter de 1.319 en 902 peticiones.

India y el Reino Unido ocupan los siguientes lugares en el reporte de Facebook, mientras que en Twitter le siguen Japón y Australia.

Fuente: bSecure

La privacidad en Internet es cosa del pasado

agosto 29, 2013 § Deja un comentario

Seguro alguna vez nos preguntamos por qué las publicidades de las redes sociales están tan adaptadas a nuestros gustos, o incluso como Google tiene la respuesta final a todo lo que buscamos.

Hoy en día, sin tener en cuenta casos como PRISM o XKeyscore podemos decir que es verdaderamente difícil conservar la privacidad en Internet.

Un claro ejemplo podrían ser las redes sociales, las cuales conocen con precisión un porcentaje muy alto de los sitios que visitamos.

¿Lees las noticias? ¿Usas alguna aplicación? ¿Visitas con frecuencia un sitio de política? Si es así, muy probablemente éstas lo sepan y con exactitud.

El simple hecho de que un sitio web tenga el botón de Like o Retweet permite a redes sociales saber que lo hemos visitado y desde luego con qué frecuencia.

¿Qué pasa si no estoy conectado a ninguna de estas? Con el uso de Cookies, LocalStorages y muchas otras técnicas, estas redes sociales guardaran relación para aplicarlas a nuestro perfil cuando sí lo estemos.

El poco uso de redes sociales o incluso no revelar mucha información tampoco nos garantiza la privacidad, otro ejemplo puede ser la interacción de nuestros contactos, el etiquetado de fotos con coordenadas GPS, o de establecimientos de los que hemos sido parte.

Sin redes sociales tampoco se es anónimo, están avanzando muchas técnicas de Fingerprinting (huella única) las cuales permitirán a las grandes entidades conocer y diferenciar usuarios.

Más allá de Cookies o Sesiones, estas técnicas se basan generalmente en reconocer de manera sólida al navegante teniendo en cuenta sus intentos de anonimato.

Desde simples métodos que van desde conocer nuestra resolución de pantalla y las extensiones que tenemos instaladas en el navegador.

Hasta métodos avanzados tales como el cacheo de elementos (CookieLess [PDF]), interacción del navegador según respuestas HTTP (Defense by Numbers) y/o comportamiento de JavaScript según el navegador (Panopticlick) se puede identificar a una persona específica sin siquiera conocer su IP.

¿Y tu, ya te has hecho anónimo o estás pensando en mudarte a otro planeta?

Jonas Sciangula Street – www.joni2back.com.ar para Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría datos personales en Seguridad Informática.