Fuente: NIC México – 31 Agosto, 2011
Post publicado con la autorización de la fuente

De acuerdo con datos de la Comisión Federal de Telecomunicaciones (COFETEL, www.cft.gob.mx) en México la telefonía celular es el sector más dinámico de la industria, pues hasta julio de 2011 se registraron 77 millones 998 mil 721 usuarios; por lo cual cada vez más empresas están interesadas en convertir al móvil en un medio de pago y hacer de cada uno una terminal bancaria.

La banca móvil todavía es incipiente en el país, pues incluso las visitas y operaciones a los portales bancarios desde toda clase de equipos sólo han aumentado 11%, de acuerdo con datos de la Asociación Mexicana de Internet (AMIPCI, www.amipci.org.mx).

Se estima que el promedio de cuentas activas por internauta es de 2.3, por lo que se concluye que existen 4.4 millones de clientes con acceso a servicios electrónicos en México. Casi 6 de cada 10 entrevistados por la AMIPCI tienen más de dos años utilizando la Banca por Internet, 61% por ciento de los cuales emplea el servicio de alertas de movimientos de cuenta, ya sea por correo electrónico o por SMS.

La mayor parte de quienes ya están familiarizados con la banca electrónica ingresan para consultar sus saldos, realizar pagos electrónicos o transferencias entre cuentas propias, no obstante aún falta crecer el aprovechamiento de los servicios, como menciona (continua leyendo…)

Con el paso del tiempo ha ido bajando el precio de los nombres de dominio y el servicio de hospedaje, por lo que es más común tener un blog, ya sea personal o de alguna temática. Pero al mismo tiempo que los precios de estos servicios han disminuido, también ha aumentado la cantidad de gente que desea hacer daño, por el simple hecho de hacerlo, y es por ello que es importante tomar en cuenta algunas medidas de seguridad en nuestros blogs.

Esta es una lista de 11 puntos de lo que se puede hacer para evitar sorpresas:

• Encriptar el acceso
  Siempre que accedemos a WordPress la información va de una manera sin encriptar, eso quiere decir que cualquier persona puede obtener la información con algún programa para detectar esta comunicación. Existe un plug-in que se llama Chap Secure Login que ayuda para que la información viaje encriptada de manera segura.
• Usar una contraseña fuerte
  No sirve de mucho enviar la información de acceso encriptada si la contraseña no es lo suficientemente fuerte. Ya he hablado en otras ocasiones sobre lo importante que es que la contraseña contenga una combinación de letras mayúsculas, minúsculas y números. Si se quiere agregar una mayor cantidad de seguridad se pueden poner también símbolos. Si no estas seguro de que tan fuerte es tu contraseña, a partir de la versión 2.5 de WordPress tiene incluido un verificador al momento de cambiar la contraseña.
• Cambia el usuario de administrador
  Ya todos saben que el primer usuario, con privilegios de administrador (continua leyendo…)

Una de las principales deficiencias que nuestro país tiene en términos legales, es la carencia de conceptos tecnológicos en nuestro marco jurídico.

Situaciones como no tener definidos qué se entiende por “medidas de seguridad”, “mecanismos de seguridad”, “información”, entre otros, conlleva a la deliberada interpretación a la cual están acostumbrados los abogados, y hoy, la que también realizan los expertos en el área de tecnología.

Al parecer, hoy tenemos un avance en solucionar esta deficiencia, ya que de acuerdo a la reforma a la Ley Federal de Seguridad Privada, publicada el 05 de Agosto de 2011 en el Diario Oficial de la Federación, se define lo que se entiende en términos de ley, al concepto de Seguridad de la Información, para quedar como sigue:

(Adición) Artículo 15. Es competencia de la Secretaría, por conducto de la Dirección General, autorizar los servicios de Seguridad Privada, cuando estos se presten en dos o más entidades federativas y de acuerdo a las modalidades siguientes

I. a IV. …

V. Seguridad de la información. Consiste en la preservación, integridad y disponibilidad de la información del prestatario, a través de sistemas de administración de seguridad, de bases de datos, redes locales, corporativas y globales, sistemas de cómputo, transacciones electrónicas, así como respaldo y recuperación de dicha información, sea ésta documental, electrónica o multimedia;

Este concepto tendrá validez jurídica a partir del 21 de Agosto de este año.

Mi pregunta va dirigida a la comunidad de seguridad informática en México. ¿Están de acuerdo con la definición?

Image: renjith krishnan / FreeDigitalPhotos.net

Fuente: Hispasec
Autor: Javier Rascón

Se ha descubierto un fallo en la extensión ‘Attribute Exchange’ de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban ’OpenID4Java’, que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y Xiao Feng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.

Más información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

Image: luigi diamanti / FreeDigitalPhotos.net

Fuente: Netmedia info / Autor: Beatriz Arias
Nota reproducida con autorización de Netmedia Online

Luego del fracaso del Registro Nacional de Usuarios de Telefonía Móvil, mejor conocido como Renaut, diversos organismos han solicitado la destrucción de la base de datos donde se registraron 83 millones de ciudadanos.

Para dar certidumbre a la gente sobre el tratamiento que tendrá su información, Salvador Guerrero Chiprés, comisionado del Instituto de Acceso a la Información Pública del Distrito Federal (InfoDF)  considera que una de la soluciones sería la eliminación inmediata de la base de datos. De esta manera no se podría aprovechar un error en el diseño de una política pública que fue creada para proteger a los ciudadanos de extorsiones, entre otros delitos.

Guerrero Chiprés acuso que actualmente no existe un solo caso que demuestre una sentencia condenatoria por el uso de este programa, el cual fue considerado por la Comisión Federal de Telecomunicaciones  (Cofetel) como un éxito.

Otro de las instituciones que han solicitado el esclarecimiento de lo que sucederá con la información ciudadana es Observatel, organismo que analiza el mercado de telecomunicaciones.

Observatel  considera que  se debe hacer público lo que sucederá con los datos (continua leyendo…)

Sí, esta suma interesante de Jeff Moss, el tan conocido hacker y a su vez, fundador y director del DEFCON, ha sido designado como el Chief Security Officer de ICANN.

A partir de hoy, 20110429, el sistema de asignación de numeros y nombres de dominio, el sistema DNS, IPv6, backbones y demás entran en un nuevo proceso de ciberseguridad, lidereado por uno de los principales íconos hackers en la historia de Internet.

¿Hay algo malo en esta decisión? Por supuesto que no! El DEFCON (¡tienen que ir!) es una de las principales fuentes de conocimiento con respecto a las tendencias en temas de seguridad (off topic) y que te permite tener una visión de qué viene en materia de aquéllos riesgos aún no previstos. SIn duda alguna, buen semillero para los headhunters de las autoridades preocupadas por los temas de ciberseguridad.

¡Como bien dicen, si quieres proteger algo, contrata a aquél que tiene la visión de encontrar los problemas de seguridad!

La suma DEFCON (la más grande y antigua reunión de hackers en el mundo) + ICANN (la corporación que se dedica a la asignación de nombres y números de Internet) = Seguridad

Enhorabuena, sin duda alguna, es una decisión excelente que el grupo directivo de ICANN ha realizado!

Mi preocupación… ¡por favor que el DEFCON siga siendo uno de los mejores eventos de reunión de hackers a nivel mundial! … y BTW, ¡nos vemos este 2011 en el DEFCON 19!

Las palabras oficiales de ICANN al respecto de esta asignación, (continua leyendo…)