Tag: seguridad informática

Define SSP a la Seguridad de la Información

Una de las principales deficiencias que nuestro país tiene en términos legales, es la carencia de conceptos tecnológicos en nuestro marco jurídico.

Situaciones como no tener definidos qué se entiende por “medidas de seguridad”, “mecanismos de seguridad”, “información”, entre otros, conlleva a la deliberada interpretación a la cual están acostumbrados los abogados, y hoy, la que también realizan los expertos en el área de tecnología.

Al parecer, hoy tenemos un avance en solucionar esta deficiencia, ya que de acuerdo a la reforma a la Ley Federal de Seguridad Privada, publicada el 05 de Agosto de 2011 en el Diario Oficial de la Federación, se define lo que se entiende en términos de ley, al concepto de Seguridad de la Información, para quedar como sigue:

(Adición) Artículo 15. Es competencia de la Secretaría, por conducto de la Dirección General, autorizar los servicios de Seguridad Privada, cuando estos se presten en dos o más entidades federativas y de acuerdo a las modalidades siguientes

I. a IV. …

V. Seguridad de la información. Consiste en la preservación, integridad y disponibilidad de la información del prestatario, a través de sistemas de administración de seguridad, de bases de datos, redes locales, corporativas y globales, sistemas de cómputo, transacciones electrónicas, así como respaldo y recuperación de dicha información, sea ésta documental, electrónica o multimedia;

Este concepto tendrá validez jurídica a partir del 21 de Agosto de este año.

Mi pregunta va dirigida a la comunidad de seguridad informática en México. ¿Están de acuerdo con la definición?

Image: renjith krishnan / FreeDigitalPhotos.net


Open ID en riesgo

Fuente: Hispasec
Autor: Javier Rascón

Se ha descubierto un fallo en la extensión ‘Attribute Exchange’ de OpenID que podría permitir a un atacante remoto modificar la información que es intercambiada entre las partes encargadas de la autenticación.

OpenID es un estándar de identificación digital descentralizado que permite a sus usuarios utilizar una única cuenta para poder acceder a diferentes sitios. Con esto se obtiene un mejor control de los datos asociados a la cuenta, ya que se encuentran en un único punto. Además es el proveedor del ID quien se encarga de identificar al usuario, evitando así que la contraseña sea gestionada por los diferentes sitios a los que se desea acceder.

El fallo se encuentra en los proveedores de OpenID que utilizaban ‘OpenID4Java’, que no verificaba si la información pasada a través de Attribute Exchange estaba firmada o no. Esto podría ser aprovechado por un atacante remoto modificar la información que es intercambiada entre las distintas partes que se comunican, con lo que la información que sólo es confiada al proveedor de identidad puede ser comprometida.

Los descubridores de la vulnerabilidad, Rui Wang, Shuo Chen y Xiao Feng Wang, se pusieron en contacto con todos los sitios afectados por dicho problema, quienes ya han emitido sus respectivos parches de seguridad.

Más información:

Attribute Exchange Security Alert
http://openid.net/2011/05/05/attribute-exchange-security-alert/

Image: luigi diamanti / FreeDigitalPhotos.net


Adios al RENAUT

Fuente: Netmedia info / Autor: Beatriz Arias
Nota reproducida con autorización de Netmedia Online

Luego del fracaso del Registro Nacional de Usuarios de Telefonía Móvil, mejor conocido como Renaut, diversos organismos han solicitado la destrucción de la base de datos donde se registraron 83 millones de ciudadanos.

Para dar certidumbre a la gente sobre el tratamiento que tendrá su información, Salvador Guerrero Chiprés, comisionado del Instituto de Acceso a la Información Pública del Distrito Federal (InfoDF)  considera que una de la soluciones sería la eliminación inmediata de la base de datos. De esta manera no se podría aprovechar un error en el diseño de una política pública que fue creada para proteger a los ciudadanos de extorsiones, entre otros delitos.

Guerrero Chiprés acuso que actualmente no existe un solo caso que demuestre una sentencia condenatoria por el uso de este programa, el cual fue considerado por la Comisión Federal de Telecomunicaciones  (Cofetel) como un éxito.

Otro de las instituciones que han solicitado el esclarecimiento de lo que sucederá con la información ciudadana es Observatel, organismo que analiza el mercado de telecomunicaciones.

Observatel  considera que  se debe hacer público lo que sucederá con los datos (continua leyendo…)


Protegidos por un hacker

Sí, esta suma interesante de Jeff Moss, el tan conocido hacker y a su vez, fundador y director del DEFCON, ha sido designado como el Chief Security Officer de ICANN.

A partir de hoy, 20110429, el sistema de asignación de numeros y nombres de dominio, el sistema DNS, IPv6, backbones y demás entran en un nuevo proceso de ciberseguridad, lidereado por uno de los principales íconos hackers en la historia de Internet.

¿Hay algo malo en esta decisión? Por supuesto que no! El DEFCON (¡tienen que ir!) es una de las principales fuentes de conocimiento con respecto a las tendencias en temas de seguridad (off topic) y que te permite tener una visión de qué viene en materia de aquéllos riesgos aún no previstos. SIn duda alguna, buen semillero para los headhunters de las autoridades preocupadas por los temas de ciberseguridad.

¡Como bien dicen, si quieres proteger algo, contrata a aquél que tiene la visión de encontrar los problemas de seguridad!

La suma DEFCON (la más grande y antigua reunión de hackers en el mundo) + ICANN (la corporación que se dedica a la asignación de nombres y números de Internet) = Seguridad

Enhorabuena, sin duda alguna, es una decisión excelente que el grupo directivo de ICANN ha realizado!

Mi preocupación… ¡por favor que el DEFCON siga siendo uno de los mejores eventos de reunión de hackers a nivel mundial! … y BTW, ¡nos vemos este 2011 en el DEFCON 19!

Las palabras oficiales de ICANN al respecto de esta asignación, (continua leyendo…)


Boletines de Seguridad Microsoft Febrero 2011

Información reproducida en este blog con  la autorización de Microsoft México

Boletín de seguridad de Microsoft MS11-feb
Este resumen del boletín enumera los boletines de seguridad publicados para febrero de 2011. Vea el boletín

Boletín de seguridad de Microsoft MS11-003 – Crítico
Actualización de seguridad acumulativa para Internet Explorer (2482017).
Vea el boletín

Boletín de seguridad de Microsoft MS11-004 – Importante
Una vulnerabilidad en el servicio FTP de Internet Information Services (IIS) podría permitir la ejecución remota de código (2489256).
Vea el boletín

Boletín de seguridad de Microsoft MS11-005 – Importante
Una vulnerabilidad en Active Directory podría permitir la denegación de servicio (2478953).
Vea el boletín

Boletín de seguridad de Microsoft MS11-006 – Crítico
Una vulnerabilidad en el procesamiento de gráficos del shell de Windows podría permitir la ejecución remota de código (2483185).
Vea el boletín

Boletín de seguridad de Microsoft MS11-007 – Crítico
Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la ejecución remota de código (2485376).
Vea el boletín

Boletín de seguridad de Microsoft MS11-008 – Importante
Vulnerabilidades en Microsoft Visio podrían permitir la ejecución remota de código (2451879).
Vea el boletín

(continua leyendo…)


Samsung y la seguridad

Actualmente la batalla de los sistemas operativos por dominar el mercado móvil tiene varios competidores, sin embargo son 2 los que día a día logran avanzar y colocarse por encima de sus competidores, iOS y Android, este último ya logro superar a Symbian de Nokia como el SO más vendido para smartphones.

Son muchas las compañías que tienen teléfonos con Android, algunos mejores que otros pero destacan HTC (en mi opinión, los mejores exponentes), Motorola (variados y para todos los presupuestos), Sony (esta comenzando su camino) y Samsung(combinan perfectamente desempeño y diseño).

Con lo anterior no es de extrañarse que en el Mobile World Congress 2011 los fabricantes sigan mostrando su apoyo e interés en crear teléfonos móviles con las nuevas versiones de Android, y es precisamente Samsung quien levanta la mano con su Galaxy S II, el sucesor de unos de los mejores teléfonos con Android que existen.

De entrada esta noticia es buena para los seguidores de este SO, de los gadgets y de la tecnología en general, pero Samsung ha decidido que el Galaxy S II no sólo será un equipo con un buen diseño  o con gran desempeño (su procesador es dual core y tiene 1 GB en RAM), sino que preocupado y sobre todo, interesado en el mercado empresarial y las respectivas ganancias, le incluye seguridad.

Samsung en conjunto con Cisco, Sybase y Microsoft ha agregado las siguientes características: (continua leyendo…)


Dia Internacional de Internet Seguro

Desde 2007 se celebra año con año el Día Internacional de Internet Seguro (Safer Internet Day en inglés). Esto es organizado por Insafe, que es una red europea de centros que promueven el uso seguro y responsable de internet y dispositivos móviles entre los jóvenes. El día en que se celebra es el segundo día de la segunda semana del segundo mes de cada año, y este año fue el 8 de febrero cuando se celebró.

En este evento muchas organizaciones se unen a la campaña, principalmente dando consejos para los niños y jóvenes sobre como mantener un cierto nivel de seguridad en internet. Por ejemplo este año la empresa Yahoo! lanzó un portal llamado Yahoo! Seguridad en el que vienen no solamente algunos tips para mantenerse más seguro, si no que también incluyen herramientas que pueden ayudar a los padres para que sus hijos estén más seguros mientras navegan.

(continua leyendo…)



Derecho Informático - IT Lawyers. Siempre solicite la autorización del autor para reproducir los contenidos de este blog.
iDream theme by Templates Next | Powered by WordPress