Tag: Seguridad informática


Evite la suplantación de identidad

Imagen obtenida del correo electrónico mencionado en este post

Imagen obtenida del correo electrónico mencionado en este post

Hace poco en mi bandeja de entrada del correo electrónico, recibí un mail donde una persona solicitaba lo aceptara como amigo en Facebook, así que di click en el link para aceptarlo e inmediatamente me direcciono a una página similar a Facebook, la cual pedía que ingresase a mi cuenta, razón que me pareció extraña pues mi cuenta estaba activa. Por eso escribí en el buscador: “¿cómo hackear Facebook?”

Me encontré con varias páginas que hablaban de lo que es un exploit;  lo explico de la siguiente manera  (del inglés to exploit, explotar, aprovechar),así se  identifican los programas informáticos maliciosos, o parte del programa, que localiza alguna deficiencia o vulnerabilidad de otro programa, (cómo si fuera un agujero en una red). La finalidad es violar las medidas de seguridad para poder acceder al mismo de forma no autorizada atacando a terceros.

Los xploits se pueden caracterizar según las categorías de (continua leyendo…)


La seguridad en Java sigue siendo un desastre

La seguridad en Java sigue siendo un desastre. Además de los últimos 0-day y actualizaciones (al menos parece que sacan rápido nuevas correcciones), se ha encontrado un applet firmado con un certificado robado. Este applet no aprovecha una vulnerabilidad, sino que el hecho de estar firmado le permite comprometer el equipo. Además, en este caso concreto, la configuración de Java por defecto demasiado relajada, ayuda al atacante.

Malware Domain List anunció en Twitter que había encontrado un Jar que descargaba archivos maliciosos, incluso en la última versión conocida.

La primera impresión, por supuesto, fue la de encontrarse ante un nuevo 0-day. Teniendo en cuenta los últimos acontecimientos y que el año pasado la mitad de las infecciones vinieron por Java, era lo más lógico.

Por cierto, el último episodio (encontrado el día 28 siendo explotado y arreglado muy recientemente) se diferenciaba sustancialmente de los fallos anteriores. Este aprovechaba una vulnerabilidad en la propia máquina virtual, no un problema de escapada de la “sandbox”, como se ha venido haciendo últimamente. Pero no, este Jar no aprovechaba ningún fallo.

Había sido descargado de un sitio comprometido que, por supuesto, habían convertido en un punto de infección con un Exploit Kit. Lo “interesante” de este Jar es que no aprovecha nada extraño, solo que está firmado.

Como ya mencionados en la serie dedicada a Java hace unas semanas, los applets firmados son como ejecutables en los que confía el sistema totalmente.

Han firmado el applet con un certificado robado de una empresa que existe. Aunque a la víctima le aparece un mensaje, no es extraño que (continua leyendo…)


¿Y quién vigila al vigilante? ¿y a ‘root’ y a ‘Sysadmin’?

Siempre he pensado que el área TI (Tecnologías de Información), mejor conocida como “Sistemas”, está subvalorada; sin embargo, también pienso que algunos responsables de TI, deberían buscar, de manera más vehemente, que TI sea un área estratégica; dar soluciones que aporten a la compañía, y no sólo a las actividades cotidianas del día a día o “apagar incendios” o “bomberazos”. Desafortunadamente la gente percibe así a TI, pero haré a un lado mi trauma impresión y hablaré de algo que me inquieta particularmente desde que me pasé al lado oscuro de la fuerza área de Seguridad de la Información hace varios años.

Una situación recurrente es que algunas posiciones de TI por su propia naturaleza requieren de accesosprivilegiados o elevados, es decir, que pueden administrar, borrar, crear o modificar información o datos, códigos fuente de los sistemas, bases de datos; insisto, como parte natural de sus funciones. Sin embargo, y como dicen en Spider-man: “Un gran poder conlleva una gran responsabilidad”.

 

(continua leyendo…)


RENAUT… dicen que te fuiste

La Secretaría de Gobernación inició hoy el proceso tecnológico para destruir los 98 millones 455 mil 247 registros que conformaban la base de datos de las tablas de verificación CURP creadas con motivo del Registro Nacional de Usuarios de Telefonía Móvil (RENAUT), en poder del Registro Nacional de Población e Identificación Personal (RENAPO).

Artículos relacionados:

Con esta acción, la Secretaría de Gobernación cumple con el mandato del Congreso de la Unión en el sentido de dar por terminada la permanencia de las bases que el RENAPO generó para verificar la validez de las CURP’s de quienes inscribieron su línea telefónica, tal como lo mandataba la Ley Federal de Telecomunicaciones.

En el evento, realizado en el Salón Juárez de esta dependencia, el Subsecretario de Población, Migración y Asuntos Religiosos, Gustavo Mohar, recordó que el pasado 17 de abril de este año el Congreso de la Unión aprobó un decreto con el cual se modificaron diversas disposiciones, entre ellas la Ley Federal de Telecomunicaciones y ordenó dar por terminado el funcionamiento de este registro.

El Subsecretario Mohar subrayó que el proceso tecnológico para eliminar los registros del RENAUT es sólido, transparente e impecable. De igual forma, señaló que el acompañamiento del IFAI en el proceso fue importante para poder garantizar el manejo adecuado y la debida protección de los datos personales en todo momento. Por otro lado, resaltó que la colaboración y presencia de la Universidad Nacional Autónoma de México asegura que la cancelación de los datos se ajusta a los más altos estándares técnicos, avalando así la solidez de este proceso. (continua leyendo…)


IFAI: 10 consejos útiles para el uso de Internet

El pasado 22 de Noviembre se llevó a cabo la presentación del cartel llamado 10 consejos útiles para el uso de internet, con el objetivo de dar a conocer a los menores de edad estrategias y recursos para enfrentar los riesgos en el uso de internet.

El cartel, forma parte de las acciones de coordinación entre el Instituto Federal de Acceso a la Información y Protección de Datos (IFAI) y la Secretaría de Educación Pública (SEP), en el desarrollo de materiales y herramientas encaminadas a promover entre las comunidades académica y estudiantil, así como entre los servidores públicos del sector, el conocimiento, (continua leyendo…)


Como asegurar WordPress

Con el paso del tiempo ha ido bajando el precio de los nombres de dominio y el servicio de hospedaje, por lo que es más común tener un blog, ya sea personal o de alguna temática. Pero al mismo tiempo que los precios de estos servicios han disminuido, también ha aumentado la cantidad de gente que desea hacer daño, por el simple hecho de hacerlo, y es por ello que es importante tomar en cuenta algunas medidas de seguridad en nuestros blogs.

Esta es una lista de 11 puntos de lo que se puede hacer para evitar sorpresas:

  • Encriptar el acceso
    Siempre que accedemos a WordPress la información va de una manera sin encriptar, eso quiere decir que cualquier persona puede obtener la información con algún programa para detectar esta comunicación. Existe un plug-in que se llama Chap Secure Login que ayuda para que la información viaje encriptada de manera segura.
  • Usar una contraseña fuerte
    No sirve de mucho enviar la información de acceso encriptada si la contraseña no es lo suficientemente fuerte. Ya he hablado en otras ocasiones sobre lo importante que es que la contraseña contenga una combinación de letras mayúsculas, minúsculas y números. Si se quiere agregar una mayor cantidad de seguridad se pueden poner también símbolos. Si no estas seguro de que tan fuerte es tu contraseña, a partir de la versión 2.5 de WordPress tiene incluido un verificador al momento de cambiar la contraseña.
  • Cambia el usuario de administrador
    Ya todos saben que el primer usuario, con privilegios de administrador (continua leyendo…)

FTC promoviendo la privacidad: ejemplo a seguir

Sí, la Federal Trade Comission es sin duda alguna uno de los ejemplos más importantes a seguir con respecto a la protección de la privacidad del ciudadano.

Como muestra importante tenemos el reporte que presenta al Senado de EUA donde indica la proporcionalidad de casos atendidos y que se relacionan directamente con el ámbito de protección al consumidor aunada a la privacidad, en esta gráfica está representada la distribución de los casos atendidos, por lo menos en los últimos 15 años… Sí, leyó usted bien, 15 años… y en México apenas vamos empezando el tema…

Agregado a lo anterior, tras reunir un grupo de trabajo conformado por expertos en privacidad, abogados especializados y el sector académico, se ha elaborado una serie  de recomendaciones que se adaptan a el principal medio de preocupación en lo que se refiere a la privacidad: Internet.

Estas recomendaciones se concretan a:

  1. las empresas diseñen un modelo a través del cual el ciudadano únicamente proporcione los datos personales estrictamente necesarios para realizar una transacción comercial
  2. implementar la seguridad necesaria para la protección de la información proporcionada
  3. una comunicación clara hacia el consumidor con respecto al beneficio de optar por una prohibición de seguimiento a su comportamiento en línea, dando así al consumidor el derecho de optar con respecto a sí quiere ser perfilado (con respecto a temas de marketing y publicidad), y a su vez, en función de lo anterior, decidir qué tipo de publicidad quiere recibir
  4. mejora del aviso de privacidad, mismo que tenga la visibilidad suficiente para que en consecuencia sea la propia industria quien compare las mejores prácticas en protección

(continua leyendo…)


Derecho Informático - IT Lawyers. Siempre solicite la autorización del autor para reproducir los contenidos de este blog.
iDream theme by Templates Next | Powered by WordPress