Nuevas normas de la UIT en la seguridad

noviembre 15, 2013 § Deja un comentario

Los miembros de la UIT han acordado nuevas normas internacionales (Recomendaciones UIT-T) que describen las consideraciones de seguridad esenciales para la computación en nube y, crucial para la conservación a largo plazo y la utilidad de los recursos basados ​​en IP, un “marco para el descubrimiento de información de gestión de identidad” para permitir interoperabilidad entre sistemas de información heterogéneos.

Recomendación UIT-T X.1600 “marco de seguridad para la computación en la nube”, después de haber llegado a la aprobación de la primera etapa («determinado») y ahora sometido a una revisión final, describe las amenazas de seguridad en el entorno de computación en la nube y, a través de una metodología de marco. UIT-T X.1600 actuará como un ‘manual’ guía para la futura normalización de las técnicas de mitigación de riesgo identificados, y además proporciona una referencia de implementación de seguridad en la nube a nivel de sistemas.
 
Recomendación UIT-T X.1255 “Marco para el descubrimiento de la información de gestión de identidad” , aprobada, los detalles de un marco de arquitectura abierta en la que la gestión de identidad (IdM) información – “objetos digitales” elementos identificadores y habilitadores intercambio de información entre las entidades, incluyendo los abonados, usuarios, redes, elementos de red, aplicaciones de software, servicios y dispositivos – se puede descubrir, acceder y representar por los sistemas de IdM heterogéneos que representan información IdM de diferentes maneras, con el apoyo de una variedad de modelos de confianza y el empleo de diferentes metadatos esquemas.
 
UIT-T X.1255 establece un marco que permite el descubrimiento de información relacionados con la identidad y su procedencia; atributos de identidad relacionados con la información, incluyendo pero no limitado a logotipos y nombres de sitios visuales legibles, y los atributos y la funcionalidad de las aplicaciones. El marco, además, describe un modelo de datos y un protocolo para permitir la interoperabilidad meta-nivel en el manejo de esta información a través de entornos heterogéneos IdM.
 
La Recomendación constituye un primer paso hacia la arquitectura de objeto digital (DOA) por la Corporación para las Iniciativas Nacionales de Investigación (CNRI), cuyo objetivo es lograr el “acceso universal a la información” es posible con los objetos digitales singularmente identificables estructurados de modo que se garantice la independencia de la plataforma.
 
Las nuevas recomendaciones se acordaron en una reunión del Comisión de Estudio 17 (Seguridad) en Ginebra, 26 agosto-4 septiembre.

Fuente: Jentel

Anuncios

Robo de identidad: aquí está y aquí continuará

noviembre 8, 2013 § Deja un comentario

¿Pasa algún día en el que no escuchemos que han robado la identidad a una persona o que otra ha sido detenida por robar la identidad de otros? He hecho una búsqueda esta mañana y me he encontrado con numerosos titulares -200 identidades robadas, miles bajo el riesgo del robo de sus identidades, el robo de identidad como un riesgo al adquirir un seguro médico, un gerente de la Seguridad Social se declara culpable de un robo de identidad- por tanto, no hay precisamente falta de pruebas que demuestren que el robo de identidad está ocurriendo a día de hoy y probablemente también ocurrirá mañana. Desafortunadamente, los criminales poseen unos montajes para robar información que hace que los descubiertos anteriormente parezcan un juego de niños. Son capaces de comprometer las bases de datos más grandes disponibles repletas de información personal.

Ha llegado el momento de controlar de manera persistente nuestra identidad personal. Ahora debemos controlar la información fiscal que pueda comprometernos (tarjetas de crédito, cuentas bancarias, préstamos, etc.), nuestra identidad en nuestro seguro médico (¿Ha pensado que quizás vaya un día al hospital y descubra que en sus archivos tiene como grupo sanguíneo O- cuando en realidad es AB+ porque alguien ha robado su identidad sanitaria?) y, sobre todo, nuestra persona.

Contenido completo en fuente original Huffington Post

Tábula Rasa, un proyecto europeo financiado por la UE para evitar el Spoofing

noviembre 1, 2013 § Deja un comentario

Por: Andrea Gete

La suplantación de identidad en los sistemas biométricos está a la orden del día, como lo han demostrado desde el consorcio Tabula Rasa, financiado por los fondos de investigación e innovación de la UE y en el que participan doce socios investigadores e industriales de cinco estados miembros (entre los que se encuentra España), Suiza y China.

La suplantación de identidad en los actuales sistemas biométricos utilizados especialmente en tablets y smartphones y basados en el reconocimiento facial, de voz o de huellas dactilares, es cada vez más frecuente. El uso de maquillaje, fotografías o grabaciones de voz para hacerse “pasar por” son los métodos más utilizados en el spoofing, como demostró en la iniciativa Reto de Spoofing que convocó Tabula Rasa y en el que participaron investigadores de todo el mundo para atacar y engañar a diferentes sistemas biométricos.

Frente a esta realidad, como explicaSébastien Marcel, coordinador del proyecto, Tabula Rasa propone un software mejorado que, además de hacer la información y los dispositivos más seguros, permite iniciar sesión de forma más rápida en equipos informáticos, ofreciendo a los controles de aduanas y verificaciones de pasaporte un método más rápido y preciso. “Creemos que muchas y muy diferentes organizaciones estarán interesadas en nuestra investigación, incluyendo compañías tecnológicas, oficinas de correos, bancos, fabricantes de teléfonos móviles o proveedores de servicios online.”, comenta Marcel.

La investigación, que ha durado tres años, cuenta con una inversión de 4,4 millones de euros procedente de la UE, a lo que se suma los 1,6 millones de euros aportados por el consorcio, y ha consistido en la elaboración de una lista de posibles ataques y en la evaluación de la vulnerabilidad de los diferentes sistemas biométricos ante los mismos para desarrollar medidas que mejoren la identificación, como es el caso de la detección de signos de vida, ya sean parpadeos o la transpiración.

La participación española en el proyecto se ha llevado a cabo desde la Universidad Autónoma de Madrid y la empresa española de investigación, desarrollo e innovación Starlab. Y, como explica Para Javier Acedo, investigador y project manager de Starlab. “Con este proyecto hemos conseguido que los algoritmos biométricos sean todavía más seguros. Incluso si un hacker tratase de engañar al software mediante la inclusión de una señal artificial, como una grabación o una máscara, los nuevos algoritmos que hemos desarrollado podrían detectar esta situación.”

Starlab, basándose en los resultados de la investigación, ha creado una aplicación real combinando la monitorización de los usuarios con  la autentificación. De este modo, como explica Acebo, utilizando el análisis de señales electrofisiológicas, como la actividad cerebral y del corazón, se puede detectar a la persona, pero también chequear su estado físico y emocional, con la consiguiente aplicación que esto puede tener en aplicaciones de telepresencia.

Fuente: TicBeat

Facebook genera cien causas mensuales por delitos

octubre 30, 2013 § Deja un comentario

Van desde acoso sexual, pedofilia y robo de identidad, a fiestas clandestinas. En la Argentina existen más de 25 millones de cuentas. La convocatoria a una picada masiva, que terminó con un muerto, abrió el debate.

La red social Facebook causa impacto en Argentina, donde tiene más de 25 millones de cuentas, una cifra record en relación a la cantidad total de habitantes.

En el intercambio constante de información se producen delitos de manera cotidiana, y las denuncias ya suman 100 expedientes mensuales sólo en Capital Federal y el Gran Buenos Aires, que se vinculan a causas por acoso sexual, pedofilia y robos de identidad, pero también organización de fiestas clandestinas, picadas callejeras y hasta robos.

El dato estadístico judicial fue aportado por el abogado Javier Miglino, especialista en delitos informáticos, indicando que “el dramático caso en Rosario, con una carrera de autos ilegal que terminó con una persona fallecida, es paradigmático de esta tendencia, ya que la justicia de aquella ciudad santafesina comenzó a investigar los perfiles de Facebook de los asistentes”.

De acuerdo a lo que trascendió, se trató de una masiva picada ilegal que fue convocada a través de Facebook y donde perdió la vida Juan Marcelo Carballo, de 20 años.

Promueven debate
“Tenemos que comenzar a discutir estos temas con delitos que se inician, tienen su origen, en la red social Facebook. Cada día se producen al menos tres hechos de carácter delictivo que comenzaron en la red, precisamente en Facebook y que terminan en la justicia por denuncias de los afectados o por actuaciones de oficio”, dijo Miglino.

En relación con el caso registrado en Rosario, se conoció que la reunión ilegal de automovilistas tuvo su génesis en un perfil llamado “Sin picódromos seguirán las picadas ilegales”, en el que interactúan los amantes de las carreras ilegales.

“Esta página tiene más de 8.700 seguidores y no para de crecer. Mientras tanto, la justicia investiga como la red social permite este tipo de actividades, claramente fuera de todo encuadre legal, y no da de baja de manera automática ese tipo de perfiles que causan tragedias”, dijo Miglino.

“Todo tipo de abusos”
Para el especialista, “el problema es que Facebook permite todo tipo de abusos que en algunos casos constituyen graves delitos como la pedofilia, con casos de abuso sexual de menores, la captación de personas para la prostitución, bajo las formas de reducción a servidumbre o incluso la trata de personas”.

Pero los delitos que surgen en la red social más importante del mundo son aún más. “Tenemos casos de corrupción de menores, difamación, con injurias y calumnias, hechos graves de ciberbullying, acoso, amenazas, hostigamiento, robo de identidad y otras”, dijo Miglino.

La mayoría, en Capital

De acuerdo al relevamiento realizado por el especialista, sólo la justicia de la Ciudad de Buenos Aires recibe 40 casos mensualmente, mientras que los departamentos judiciales de San Isidro suman 10, La Matanza 10, Lomas de Zamora 5, Quilmes 5, Dolores 5, San Martín 10, Morón 5 y otros departamentos judiciales 10.

“Todo este combo de expedientes que llevan la marca Facebook en sus páginas suma al menos 100 causas mensuales”, completó Miglino.

Fuente: Diario Popular

¿Cómo pueden las empresas protegerse de los fraudes informáticos y los robos de identidad?

octubre 29, 2013 § Deja un comentario

Ejecutivos de todo el mundo reconocen que incrementan sus inversiones en tecnologías, procesos y estrategias para proteger la información.

Sin embargo, si bien aseguran que lograron grandes mejoras, reconocen que no alcanza para hacer frente a los desafíos que enfrentan las empresas hoy.

Según el estudio The Global State of Information Security Survey 2014 lanzado recientemente por la consultora PwC, en el que participaron más de 9.600 ejecutivos de 115 países, los incidentes en seguridad de la información en el último año aumentaron en el mundo un 25%. A su vez, los costos financieros provocados por dichos delitos se han incrementado un 18%.

El avance de la tecnología, que ha impulsado la penetración de dispositivos móviles en las empresas y el desarrollo del “cloud computing”, ha elevado en forma notoria los riesgos en la seguridad.

Por el momento, los esfuerzos para implementar programas de seguridad móviles, no han logrado los resultados esperados.

En el desafiante ambiente actual es fundamental que las organizaciones se replanteen su estrategia de seguridad para integrarla a las necesidades de negocio.

Si algo queda claro es que no se puede combatir las amenazas de hoy con estrategias de ayer. El informe afirma que es necesario un nuevo modelo, guiado por el conocimiento de los desafíos actuales, que conozca los motivos y el target de los potenciales adversarios.

La colaboración entre ejecutivos para mejorar las prácticas en materia de seguridad se ha convertido en un punto clave para obtener mayor conocimiento de las amenazas y las vulnerabilidades. Sin embargo, sólo el 50% reconoció hacerlo. El principal motivo (33%) es el miedo a llamar la atención por potenciales debilidades. También se teme que la competencia pueda utilizar esa información en su contra (28%).

Los principales obstáculos para mejorar las políticas de seguridad son tres:

  • Falta de financiamiento.
  • Falta de visión sobre cómo las necesidades del negocio impactarán en la seguridad.
  • Falta de liderazgo por parte del CEO o directorio.

Dentro de la organización, los empleados (31%) y ex empleados (29%) son señalados como los principales responsables por los incidentes en materia de seguridad de la información.
Sin embargo, los delincuentes informáticos (32%) desde afuera, son los máximos causantes de estos delitos, según declararon los ejecutivos.

Contenido completo en fuente original iProfesional

Venden más de 500 millones de identidades por Internet

octubre 1, 2013 § Deja un comentario

Brian Krebs ha publicado un extenso análisis sobre un servicio online e ilegal que vende datos personales de ciudadanos de EE.UU. y que luego podrían ser utilizados para el robo de identidad. Los datos son reales y han sido robados de por lo menos tres grandes empresas proveedores de datos del país.

Un ataque ha dado acceso a los delincuentes a los números de seguro social, fechas de nacimiento, y otros detalles personales y financieros que puedan poner riesgo las finanzas de las víctimas.

El servicio conocido como SSNDOB (ssndob.ms) utilizó una botnet para obtener acceso secreto a las bases de datos de LexisNexis, Dun & Bradstreet, Kroll Background America, Inc. y Altegrity. Los delincuentes cobran de 50 centavos a 2,50 dólares por registro y de U$S 5 a U$S 15 por la verificación de crédito y antecedentes de los usuarios.
En marzo pasado ya se había descubierto otro servicio exposed.su que usaba datos recogidos por SSNDOB y los vendía a sus clientes. En ese sitio ya aparecían datos de celebridades como Beyonce, Kanye West y Jay Z así como de como la primera dama Michelle Obama, el director de la CIA John Brennan, y el entonces director del FBI, Robert Mueller.

Para tener una idea de la cantidad de datos traficados, sólo la red de LexisNexis proporciona cobertura a más de 500 millones de identidades únicas.

“El C&C de la botnet encontrada en los servidores de LexisNexis muestra la instalación de un pequeño programa no autorizado llamado ‘nbc.exe’ el pasado 10 de abril 2013, lo que sugiere que los intrusos han tenido acceso a las redes internas de la empresa durante al menos cinco meses”. El programa fue diseñado para abrir un canal de comunicación cifrado dentro de los sistemas internos de LexisNexis y que enviaba los datos al C&C en Internet.

Los registros de SSNDOB muestran que más de 1.300 clientes han gastado cientos de miles de dólares para obtener información sobre números de seguro social, cumpleaños, registros de licencia de conducir, obtención de crédito autorizados e informes de antecedentes de más de cuatro millones de estadounidenses.

El sitio web del servicio en ssndob.ms ha sido dado de baja, pero existen otros servicios similares como ssndob.cc y ssndob.biz.

Dun & Bradstreet y Altegrity han dicho que están investigando los ataques pero LexisNexis dijo que no ha encontrado ninguna evidencia del robo de datos. Mientras tanto, analistas de Gartner dijeron que sospechan que este tipo de entidades han estado comprometidas durante años.

Fuente: The Hacker News y Brian Kreb

México. Presentan iniciativa para sancionar robo de identidad

octubre 1, 2013 § 1 comentario

El Partido de la Revolución Democrática (PRD) presentó una iniciativa para sancionar el robo de identidad, con sanciones que van desde tres meses hasta dos años de prisión y multa a quien cometa ese delito.

El legislador argumentó en un comunicado que México es el tercer país en América Latina con mayor robo de identidad, sin contar siquiera con una legislación federal para sancionar el ilícito.

La iniciativa, presentada en el Senado de la República, plantea reformar la Ley de Instituciones de Crédito para salvaguardar la identidad jurídica crediticia de los ciudadanos, evitando el uso ilegal de medios de pago y documentos oficiales para obtener créditos sin ser el titular.

Consideró necesario adicionar un párrafo al Artículo 112, fracción I del Capítulo IV “De los Delitos” de la Ley de Instituciones de Crédito que establezca una sanción de tres meses a dos años de prisión y multa de 30 a dos mil días a quien por cualquier medio se apodere, use o aproveche datos personales para hacerse pasar por otra persona.

Delgado Carrillo destacó que hacerse pasar por el titular de los datos personales para realizar un pago, obtener un crédito, financiamiento, lucro indebido o realizar cualquier acto jurídico que importe derechos y obligaciones en los términos de la reforma propuesta debe recibir castigo.

El legislador perredista destacó en un comunicado que el derecho a la identidad avanza a nivel mundial y se configura como un derecho de la máxima importancia para individuos y colectividades.

Explicó que actualmente existen fenómenos que violentan la identidad como “robo de identidad”, “usurpación de identidad”, “suplantación de identidad” o “falsificación de identidad y su uso indebido”, mismos que se refieren al apropiamiento no autorizado de datos personales con el objeto de cometer hechos ilícitos.

En ese contexto, acotó que México carece de una legislación a nivel federal para sancionar el delito de robo de identidad en el ámbito bancario, sólo se penaliza algún tipo de robo de datos en algunas entidades federativas y además tampoco se cuenta con estadísticas concretas que permitan conocer la dimensión del delito.

De acuerdo con la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), al año se registran entre 150 y 200 casos de robo de identidad u homonimias, que afectan a mexicanos, número que crece día a día.

El senador del PRD comentó que de los 2.7 millones de quejas relativas a tarjetas de crédito que hubo el año pasado, 1.9 millones son presuntamente fraudes.

En el mundo, Estados Unidos es el país que registra mayor número de robo de identidad, mientras en Latinoamérica aumentó la cifra en 33 por ciento durante abril pasado, siendo Colombia el más afectado, seguido por Brasil, México y Chile.

Fuente: Crónica

¿Dónde estoy?

Actualmente estás explorando la categoría identidad en Seguridad Informática.