Noticias de Seguridad Informática

Hugo Chávez "regulará" Internet

noreply@blogger.com (SSD) — Sun, 14 Mar 2010 16:14:00 PDT

El presidente de Venezuela apuesta por "regular Internet" ya que la Red de redes "no puede ser libre". Venezuela seguiría los pasos censores de “amigos ideológicos” como China, Irán o Cuba, según denuncian los opositores al gobierno.

La difusión de una información errónea desde una página local (parece que desde comentarios y no desde el medio en sí) sobre el supuesto asesinato de uno de los ministros venezolanos, sirve de excusa a Chávez para proclamar que Internet debe ser regulado. “Internet no puede ser una cosa libre dónde se haga y se diga lo que sea, cada país tiene que poner sus reglas”, indicó el presidente de Venezuela.
Opositores del Gobierno han dicho que temen que Chávez siga las líneas de control de Internet de algunos de sus aliados políticos y comerciales como China, Irán o Cuba.

Hugo Chávez, -al que organizaciones de derechos humanos han acusado de detractor de la libertad de expresión- también cargó contra algunas cadenas televisivas: “Los canales que entran a Venezuela por satélite no puede ser que transmitan lo que les dé la gana, envenenando la mente de mucha gente… Necesitamos la regulación, las leyes”. Casi nada.

Fuente: The Inquirer

IE8 for Kids, filtro parental para niños

noreply@blogger.com (SSD) — Sun, 14 Mar 2010 15:27:00 PDT

Internet Explorer 8 for Kids es un nuevo complemento de seguridad diseñado para proteger a los más pequeños. Su función es muy simple, bloquear todos los sitios que se intentan visitar, permitiendo el acceso sólo a las páginas habilitadas por los padres.
IE8 for Kids, un desarrollo argentino-uruguayo realizado por la empresa Innicia, ha sido diseñado para niños de entre 5 y 11 años.

La instalación y configuración es muy sencilla, simplemente se debe establecer una contraseña o pin de acceso y agregar las páginas permitidas (lista blanca).

En el sector derecho del navegador aparecerá un nuevo botón, desde allí se podrá administrar el filtro de navegación. Se pueden configurar hasta 30 sitios e incluso ver los sitios que fueron bloqueados, es decir, sitios a los cuales los niños intentaron acceder (botón "Ver Pendientes").

Internet Explorer 8 for Kids no ofrece muchas más opciones, pero la idea es proteger a los más pequeños y ofrecer a los padres una herramienta que no sea complicada de administrar.

Complementos y alternativas:

Microsoft también ofrece un software de protección infantil más avanzado que permite controlar los sitios que se visitan, limitar motores de búsqueda y decidir con quienes se comunican los niños a través de los servicios de Windows Live (Hotmail, MSN y Live Spaces).

Otras alternativas gratuitas que vale la pena tener en cuenta son el programa de control parental de Windows (disponible a partir de Vista), la aplicación K9 Web Protection y los filtros DNS que ofrece OpenDNS.

En Firefox también se puede utilizar un complemento llamado Glubble, funciona de forma bastante parecida a IE8 for Kids.

También se puede ver Portales de seguridad recomendados por Microsoft (ver los PDF al final) y visitar la lista de Aplicaciones de Control Parental en Segu-Kids.

Fuente: Spam Loco y WebPC

El escenario de las amenazas está cambiando. Los AV no consiguen adaptarse

noreply@blogger.com (SSD) — Sun, 14 Mar 2010 07:36:00 PDT

Un reciente estudio realizado por NSS nos presenta resultados un poco deplorables: de los siete productos antivirus probados dos semanas después que se revelara que la falla de IE fue usada para atacar a Google, solo McAfee detuvo tanto el ataque original Y TAMBIÉN una nueva variante. Los resultados son aún más tristes cuando uno conoce que la solución de AVG no pudo bloquear ni siquiera el código del ataque original.

Desde la publicación del informe, AVG ha defendido su producto diciendo que la metodología de prueba utilizada por el laboratorio fue defectuosa y que si detectan el ataque original, pero no hicieron tal afirmación respecto de la variante.

Estos resultados ponen nuevamente el foco en la afirmación que se puede oír aquí y allá de varios expertos de seguridad: salta a la vista que los productos anti-virus son inadecuados, incluso IDS y los web proxies que escanean el contenido no son suficientes para proteger una red de las avanzadas amenazas persistentes.

Sólo se necesita una vulnerabilidad explotable, y los criminales están adentro. Pueden sembrar software malicioso y continuar con el robo de información y/o datos.

"La industria de la seguridad va a tener que pensar acerca de vender soluciones que verdaderamente funcionen con este tipo de ambiente," dijo Alex Stamos de Isec Partners. "Básicamente nada de lo que ha comprado la gente en los últimos 16 años los va a ayudar a detener a un solo tipo sentado frente a una computadora que es una persona hábil en shellcode de Windows apuntando a una persona, y después de haber pasado meses para poder entrar en aquella computadora."

Según InfoWorld, el presidente de NSS Rick Moy es de la opinión que las compañías antivirus "deberían estar implementando más la detección basada en vulnerabilidades. Hay demasiado foco en la carga del malware."

La mayoría de la gente está de acuerdo que se necesitan nuevos sistemas para detectar malware. Listas blancas, seguridad basada en la nube, y otros enfoques nuevos podrían o no podrían lograrlo, pero se deben realizar esfuerzos adicionales por parte de los fabricantes de sistemas operativos y software cliente - deben comenzar a escribir código más seguro.

Pero hay otra necesidad que no puede seguir ocultándose bajo la alfombra: las compañías deben tomar la responsabilidad, invertir en la educación de los empleados, dejar de solo cumplir con las prioridades principales y dejar que los equipos de seguridad vuelvan a su verdadero trabajo y comiencen a pensar las formas de detectar y responder a estas nuevas intrusiones y deben hacerlo rápido.

El hecho en cuestión es que para responder a una amenaza que presenten atacantes humanos motivados y emprendedores, las compañías deberán emplear defensores humanos emprendedores e igualmente motivados. No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.

Traducción: Raúl Batista - Segu-Info
Autor: Zeljka Zorz
Fuente: Help Net Security

"Los 'hackers' van rápido y nosotros, con la lengua fuera"

noreply@blogger.com (SSD) — Sun, 14 Mar 2010 07:26:00 PDT

Luis Jiménez camina con las manos en los bolsillos en los exteriores del Centro Nacional de Inteligencia (CNI) . Día luminoso, frío intenso a las afueras de Madrid. El fotógrafo le pide si puede hacerle una fotografía junto a la placa del CNI: no, no se puede por motivos de seguridad, indica el director de comunicación del servicio de inteligencia.

Jiménez es un alto cargo del CNI. Es el responsable de la seguridad electrónica del servicio de inteligencia. España fue blanco de más de 40 ataques "graves" a lo largo de 2009, varias instituciones clave fueron tocadas. Lo adelantó EL PAÍS a finales de enero en una semana en que los medios de comunicación de medio mundo se hacían eco de la soterrada guerra entre ciberespías de China y Estados Unidos. Cuatro de los 40 ataques alcanzaron al CNI: dos de ellos, al Centro Criptológico Nacional , la unidad de Jiménez. Ésta es la primera entrevista, cara a cara, que concede a un medio de comunicación de ámbito nacional.

Pregunta. ¿Es exagerado hablar de ciberguerras?

Respuesta. El ciberespacio es un entorno donde se dirimirán conflictos. Y será otro frente más de batalla.

P. ¿Será o es?
R. Es. Si hay una tensión que desemboca en una crisis, y eso desemboca en un conflicto, cada una de esas fases tendrá su reflejo en el cibespacio. Si ese conflicto se convierte en guerra, en el ciberespacio habrá guerra.
Luis Jiménez es militar de carrera y friki. Así le definen sus propios hijos. Siempre le fascinó la tecnología, Internet, los nuevos sistemas de comunicación. Ha convertido su pasión en oficio al servicio de la inteligencia. A sus 46 años, está al mando de la unidad que el CNI usa en las redes de comunicación: el Centro Criptológico Nacional (CCN). Aunque, stricto sensu, el CCN lo dirige el director del CNI, Félix Sanz Roldán , él es el director operativo de la unidad que vela por la seguridad informática en toda la Administración española. Una unidad que intenta evitar que los hackers penetren en el ordenador de algún alto cargo para robar información sensible. En la silenciosa batalla entre sistemas de inteligencia -últimamente, no tan silenciosa- Jiménez encabeza las posiciones de defensa, las de seguridad. De las de ataque, del ciberespionaje activo, se ocupa otra división del CNI, dice.
Sentado a una mesa ovalada en el interior del centro, responde mientras llegan los cafés y las botellas de agua.

P. ¿Es cierto que los hackers van más rápido que el desarrollo de la ciberdefensa por parte de los Estados?
R. Es difícil admitir una afirmación como ésa. Sí que es cierto que los hackers van muy rápido y que nosotros vamos con la lengua fuera, intentando seguirles. Pero les seguimos aunque nos cuesta muchísimo esfuerzo.
Jiménez es una pieza clave del nuevo escenario del ciberespionaje. La cantidad de información que puede extraer un buen troyano, uno de esos dispositivos maliciosos que infectan los ordenadores para robar datos de ellos, habría sido el sueño húmedo de todo espía vieja escuela del siglo pasado. El troyano es silencioso. Barato. Eficaz. Nadie se juega el pellejo en arriesgadas operaciones. Detectar su auténtico origen no es tan fácil.

P. ¿Acaban los troyanos con el espía tradicional?
R. No, siempre van a convivir. La inteligencia humana, la obtención ¿de algo? por fuentes humanas siempre tendrán una importancia crucial. La obtención de información por medios electrónicos tiene su importancia. Es relativamente más barata, se logran éxitos, pero ningún modelo excluye al otro. La prueba es este centro, en el que convivimos los que hacen humint -inteligencia humana- con los que hacen sigint -inteligencia de señales- y los que hacen operaciones de información.
Jiménez no puede hablar demasiado de los 40 ciberataques a España, cuestiones de seguridad nacional. "Ninguno de esos ataques comprometió a la seguridad nacional", asegura, asiéndose a la silla. Y utiliza el símil del ladrón que prueba a entrar a robar en una casa para explicarse.
Intentos de robo, o sea, ataques, se producen todos los días, dice. Son calificados de graves cuando el intruso consigue forzar una puerta o encuentra una ventana abierta. La gravedad consiste en que se detecte que el asaltante tiene conocimientos de la casa y sepa qué puertas debe forzar. Que llegue hasta ellas. "En los 40 casos, el sistema detectó el ataque y pudo contrarrestarlo", asegura. "En ningún caso se produjo un perjuicio significativo".

El caso tipo ataque es la llegada de un correo electrónico con un documento adjunto, donde viaja el troyano. Jiménez confirma que algunos de estos ataques llegaron al ordenador de jefes de gabinete de algún secretario de Estado, directores generales y embajadores. "Lo relevante es que el atacante había realizado una selección de una serie de direcciones de correo, había una elaboración de ingeniería social", explica. "En algún caso, hemos encontrado código malicioso que nunca habíamos visto antes y que no sabemos de dónde ha venido. En otros, nos llevó a pensar que había un Estado detrás, o un grupo organizado". Jiménez es claro. "Nadie está libre de este tipo de ataques, ningún ministro o alto cargo lo está".

Vive volcado en el ciberespacio desde 1987. Procedente de una familia de tradición militar, nació en Ávila y estudió en la Academia General Militar de Zaragoza, de donde salió como teniente. Tras cuatro años en unidades acorazadas, esa pasión suya por las matemáticas y por todo lo que se pueda explicar mediante una secuencia de ceros y unos le condujo a un curso de especialista criptólogo en el CESID, antiguo nombre del CNI. Desde entonces, año 1991, trabaja en el servicio de inteligencia.

P. ¿Cómo es España de vulnerable en esta era del ciberespionaje?
R. No más vulnerable que cualquier otro país europeo. Somos un país muy avanzado en la sociedad de la información (presentamos la declaración de la renta online; hay un gran número de móviles por habitante; utilizamos mucho las redes sociales); ese dato, junto al de que somos un país bastante confiado en el uso de esas tecnologías, hace que seamos un país de riesgo. No quiero ser alarmista, pero tenemos mucha tecnología y poca conciencia de los riesgos asociados: eso nos hace más vulnerables.
Además de prevenir la entrada de troyanos, el CCN también debe estar atento a los sistemas de información de las infraestructuras críticas (bancos, aeropuertos, hospitales, centrales nucleares, etcétera). Debe evitar ciberataques que puedan colapsar la red eléctrica, por ejemplo. "Ha habido casos de información robada sobre infraestructuras críticas que han ido a parar a manos de criminales", confirma.

P. La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) ya advirtió en 2008 del riesgo de un 11-S digital. ¿Existe ese riesgo?
R. Existe el riesgo de que un ataque terrorista convencional, del tipo que sea, venga complementado con un ciberataque. Un ciberataque por sí mismo podrá ocasionar perjuicios temporales de funcionamiento, por ejemplo, un apagón; pero no causará los daños en víctimas, ni los daños materiales de un ataque convencional.

P. ¿Los terroristas islamitas o ETA utilizan este tipo de armas?
R. Creemos que no tienen capacidad, hoy por hoy, de hacer una agresión de ese estilo. Tienen capacidad de ataque, pero muy limitada, en objetivo, en daño y en alcance.

P. Pero las nuevas tecnologías abren nuevas posibilidades a este tipo de grupos, ¿acaso no aprovechan el nuevo escenario?
R. Hoy existen herramientas en Internet muy sofisticadas para realizar ataques. Pero estos grupos no tienen la expertise -pericia, experiencia, formación- para crear herramientas propias o nuevas. Eso limita mucho su capacidad de actuación.
Jiménez se muestra como un hombre pausado. Habla con voz grave, suave, profunda. Seguro de lo que puede y de lo que no puede decir, escapa a determinadas preguntas refugiándose en símiles y vericuetos técnicos.

P. Un informe del FBI que se filtró en enero afirmaba que China posee un ejército de 180.000 ciberespías: 30.000 militares y 150.000 de células privadas que trabajan para el Gobierno chino. ¿Le parecen verosímiles estas cifras?
R. No lo sé, en principio no. ¿Puede que tengan más de 300.000 personas especializándose para trabajar en estos ámbitos? Eso sí. Hay 45 millones de chinos millonarios, con más de un millón de dólares, ésa es la población española, los márgenes de cifras en China son otra dimensión. ¿Que hay 180.000 ciberespías? Puede, pero lo dudo.

P. Esos informes señalaban a China como país que quiere convertirse en primera potencia del ciberespionaje.
R. China ha entendido el ciberespacio como un entorno más donde habrá conflictos. Ha dado el paso y ha creado unidades específicas para obtener esa superioridad en el ciberespacio. Pero eso no sólo lo ha hecho China, también lo han hecho otros países. El ciberespionaje es mucho más barato. Ha vivido una época dorada cuando ha dado mucha información, desde 1998 hasta 2008, pero ahora todo el mundo ha levantado las orejas.

P. El caso Google parece haber producido un cambio en las relaciones internacionales entre las grandes potencias, el ciberespionaje ha emergido. ¿Considera que estamos ante un cambio de escenario?
R. Desde el punto de vista técnico puro y duro, por supuesto que se ha producido un cambio de escenario: está saliendo a la luz la capacidad que tienen Estados, Gobiernos, grupos de presión y organizaciones de actuar en el ciberespacio con ese tipo de herramientas. Y esas capacidades se utilizan para obtener ventajas competitivas, económicas, para obtener información, para posicionarse... Hay un punto de inflexión a raíz del caso Google.
Jiménez cuenta con una media sonrisa que en gran parte de su trabajo consiste en una "labor de evangelización, de adoctrinamiento": sensibilizar a la sociedad en torno a la necesidad de una mayor seguridad en las telecomunicaciones.

P. En Estados Unidos, varios senadores demócratas criticaron el Homeland Security de Obama diciendo que la ciberdefensa encubre espionaje global así como interceptación de mails personales sin orden judicial. Parece inevitable escapar a la sensación del Gran Hermano, el "nos escuchan y nos leen".
R. Nosotros no tenemos ese problema. Tenemos un sistema garantista donde las reglas del juego están mucho más claras para todos. Las operadoras saben que tienen que cumplir una ley de protección de datos, una ley general de telecomunicaciones, unas leyes que amparan el secreto en las comunicaciones.

P. El Gobierno norteamericano ha asumido que las prácticas de defensa online del país han sido, hasta la fecha, un fracaso. Hablaban de que su enfoque había sido "tradicional" con el asunto de la ciberseguridad. ¿Y aquí?
R. Hay que reconocer que Estados Unidos ha sido un país pionero y, por tanto, nosotros nos hemos beneficiado de su experiencia. De hecho, al principio, se asumía un enfoque reactivo que se ha demostrado fallido. Ahora intentamos prevenir las amenazas, no nos limitamos a reaccionar cuando éstas se materializan. La mejor defensa es ir un paso por delante.

JOSEBA ELOLA

Fuente: El País

Rompe la seguridad de un USB biométrico y llévate £100 mil

noreply@blogger.com (SSD) — Sun, 14 Mar 2010 03:58:00 PDT

Victorinox, la compañía famosa por sus navajas (que si la hubiese tenido MacGyver hubiera fabricado una bomba nuclear), lanzó un concurso que hará babear a los expertos en seguridad informática. La empresa le dará £100 mil a cualquier persona que logre quebrar la seguridad de su nuevo dispositivo de almacenamiento USB biométrico.

Pero al parecer la cosa se está complicando de verdad ya que la compañía presentó la navaja con esta memoria USB en el CES que se realizó en enero y ahí tampoco nadie pudo hacer nada contra el sistema.
Ahora bien, si te sientes capaz podrás probar tus conocimientos. Para eso debes estar en Londres y comunicarte con la empresa. Una vez que estés en las oficinas tendrás dos horas para realizar tu trabajo.
El evento se realizará durante el 25 y 26 de marzo y lo único que hay que hacer para poder participar es enviar un mail desde la web oficial del concurso

Fuente: Alt1040

Análisis forense Open Source de dispositivos Android ¿Ocultas algo?

noreply@blogger.com (SSD) — Sat, 13 Mar 2010 14:29:00 PST

A nadie se le escapa que los dispositivos móviles en los tiempos que corren, son cada vez más avanzados. También los usos van mucho más allá de lo que podíamos pensar hace dos o tres años, usos perfectamente lícitos o no tanto (no me corresponde a mi desde luego juzgarlos).

El análisis forense de dispositivos móviles ya se viene haciendo desde hace tiempo con aplicaciones comerciales, pero al igual que sucede con el hardware o redes con las que interactuamos habitualmente, la comunidad de desarrolladores orientada hacia el software de código abierto, desde los inicios de la informática moderna, nos ofrece herramientas superan con creces en la mayoría de los casos a las de código cerrado o de pago (ejemplos como Nmap, Nessus, Snort, John the Ripper, Hping, Netcat y un largo etc pueden ser válidos).
Y aquí es donde entra en acción esta versión aún en estado Beta de “Android Forensics”, una herramienta que se acaba de liberar bajo licencia GPL, (se está desarrollando en “code.google.com“) destinada al análisis forense de dispositivos Android. Rapidez, ligereza y eficacia es lo que se puede leer acerca de esta aplicación.

En el momento de su lanzamiento, el software, (un fichero APK) que se carga en el dispositivo a través del SDK de Android, puede ahora mismo devolver información muy valiosa sobre historial del navegador, registros de llamadas realizadas, datos sobre los contactos almacenados o mensajes cortos (SMS) que se descarga para su análisis posterior a través de un archivo CSV en una tarjeta SD por ejemplo.

De todos modos, puede que noticias como estas hagan que si tienes un móvil con Android, te entre como una sensación de quedarte “con el culo al aire” (que se entiende bien-;) en caso de que pierdas o te roben tu teléfono. Sobre este aspecto te diría que seguramente, en al anterior ya era perfectamente posible acceder a esa información, sólo te recomendaría en el caso de que tengas información sensible en el móvil, que pongas en práctica las medidas necesarias para protegerla de miradas ajenas y que, gracias a aplicaciones como estas, podrás tu mismo saber cuál es el grado de acceso a esa información caso de que caiga en manos de terceros.

Fuente: Daboblog

Relato de una estafa (scam)

noreply@blogger.com (SSD) — Sat, 13 Mar 2010 09:56:00 PST

Las estafas de tipo scam (como las nigerianas) son sumamente comunes y en Segu-Info recibimos muchas denuncias de este tipo cada semana.

A continuación exponemos el seguimiento de uno de estos casos en forma completa y en donde una persona fue estafada en 2.000 Euros y se comunicó con Segu-Info denunciando el proceso llevado a cabo.

En este caso la estafa comienza con un encuentro casual en una red social cualquiera en donde el delincuente se pone en contacto con miles de personas y, una de ellas es engañada y a partir de ese momento se forma una amistad virtual. Es decir que el contacto inicial comienza en la forma que comienza cualquier relación en este tipo de redes: un desconocido se pone en contacto con la que, a partir de ese momento será la víctima.

El uso de la ingeniería social por parte del delincuente en esta parte del engaño es fundamental porque se busca establecer enlaces sentimentales de cualquier tipo con la víctima para que posteriormente sea más sencillo estafarla en la siguiente etapa.

Luego de cierta cantidad de encuentros virtuales y de establecer el vínculo con la víctima, el inicio de la estafa propiamente dicho es un correo en cualquier idioma (en este caso en italiano e inglés) y que proviene de un tercero, desconocido:

En resumen el correo dice que "quien se pone en contacto es el doctor Federico XXXX el Director Médico de una institución de Turín y que dos personas (un padre y su hija) fueron internadas de urgencia luego de un accidente y que sólo se pudo recuperar un teléfono y un correo electrónico, al cual están escribiendo en este momento".

El correo mencionado es el de la víctima por supuesto y este mensaje tiene el objetivo de hacerle creer que la vida de estas dos personas (el padre y la hija) dependen de su respuesta. El padre mencionado en el correo es la persona que inicialmente se había puesto en contacto en la red social.

En el correo desean iniciar los trámites requeridos en el hospital y la posterior vuelta de los pacientes al país de origen. A partir de este momento quien se seguirá contactando con la víctima es este supuesto paciente, que originalmente se había puesto en contacto con la víctima. Aquí cobra relevancia la importancia del primer contacto, debido a que la víctima ahora piensa que la vida de dos personas dependen de ella.

Para agregar credibilidad a la escena, se envían fotos del accidente. En este caso la hija supuestamente se encuentra en coma:

Se debe tener en cuenta que el contacto es totalmente por correo y que el delincuente lo está realizando con cientos de personas a la vez, maximizando sus posibilidades de éxito y de ganancias económicas.

Luego de este engaño inicial, el supuesto accidentado (Dimitri ARCAS - nombre falso) pone distintas excusas para terminar pidiendo dinero a la víctima, luego de muchos correos y mentiras.

Inicialmente dice que desea conocer a la persona que lo está ayudando y que salvó su vida. Para evitar sospechas prueba sus "buenas intenciones" enviando una fotocopia de su pasaporte a la víctima:

Además y para no dar lugar a ningún tipo de dudas, emite una transferencia (falsa) a nombre de la víctima de modo de confirmar sus intenciones de viaje y, además probar que tiene dinero suficiente para realizar todos los trámites necesarios.

Las sumas supuestamente enviadas son grandes (en este caso 8.500 Euros) y, con esto la víctima ya no tiene dudas de que las intenciones son buenas, debido a que el accidentado le está enviando dinero y por lo tanto no existe un motivo para desconfiar. A continuación envía el comprobante de la transferencia bancaria a la cuenta real de la víctima, la cual ya se encargó de averiguar previamente:

En correos sucesivos el delincuente informará que "hubo problemas con la transferencia y con el banco" y que por algún motivo, el dinero no llega a la víctima (por supuesto la transferencia nunca existió).

Pero, para mantener el engaño, ahora envía el comprobante de su viaje al país, en este caso desde Italia a Argentina:

Y, ahora que ya está todo "comprobado", le informa a la víctima que se quedó sin dinero y que necesita una pequeña transferencia para finalizar algunos trámites y para terminar de tratar y sacar a su hija del hospital:

En este momento, la víctima realiza la transferencia y el delincuente puede desaparecer o bien seguir con otros engaños sacando más dinero.

Como dije al principio, en este caso, la víctima fue estafada en 2.000 Euros y posteriormente tuvo la gentileza de cedernos las pantallas y correos que utilizó el delincuente en la estafa. Por supuesto encontrar a este tipo de personas es realmente difícil y si no se cuenta con el apoyo legal e internacional suficiente generalmente es imposible hacerlo, con lo cual lo mejor es conocer la forma de trabajo de los delincuentes y nunca responder contactos de desconocidos mediante ningún tipo de medio de comunicación.

Cristian de la Redacción de Segu-Info

Roban más de 150 millones de dólares de sus cuentas a PYMES norteamericanas

noreply@blogger.com (SSD) — Sat, 13 Mar 2010 07:00:00 PST

Según FDIC, durante el último trimestre de 2009 las PYMES norteamericanas vieron desaparecer de sus cuentas bancarias más de 150 millones de dólares. Las autoridades piden a los bancos que extremen las precauciones.

Un reciente estudio de Federal Deposit Insurance Corporation (FDIC) indica que durante el último trimestre de 2009, los ciberdelincuentes robaron más de 150 millones de dólares de cuentas bancarias de pequeñas y medianas empresas.

En la mayoría de los casos, según FDIC, los ladrones obtuvieron las credenciales de login de los negocios por métodos ilegales. Una vez conseguidos estos datos, los hackers los usan para realizar transferencias de fondos a cuentas en el extranjero.

Los bancos se escudan en que los usuarios fallan a la hora de proteger de forma adecuada sus credenciales. Además, desde que los bancos no tienen obligación de devolver el dinero robado de las cuentas de los clientes, el impacto para ellos es sólo una cuestión de imagen.

Muchos pequeños negocios se han visto afectados por esta práctica y todavía mantienen esperanzas de recuperar el dinero. Incluso, algunos han emprendido acciones legales contra las entidades bancarias porque estiman que fallaron a la hora de detectar y detener transacciones fraudulentas.

Uno de estos casos es el de Hillary Machinery, que está litigando contra PlainsCapital porque empleando datos robados, se realizaron desde su cuenta transferencias por valor de 800.000 dólares el pasado año. Posteriormente, el banco recuperó 600.000 de estos dólares, pero se niega a rembolsar a los clientes afectados el resto, mientras estos le acusan de no haber puesto freno a unas transacciones que se salían claramente de las habituales en la empresa. Así, la compañía alega que una pequeña empresa no tiene que ser un experto en seguridad, no así un banco.

El hecho de que estos ataques sean cada vez más habituales, es una señal de que algunos bancos, sobre todo los más pequeños, no han desarrollado todavía los niveles de control adecuados, según Avivah Litan, analista de Gartner.

“La buena noticia es que hay una gran cantidad de soluciones que detectan y autentifican ante el fraude. La mala es que muchos bancos no apuestan por ellas y las autoridades no prestan la suficiente atención al tema”.

Miguel Ángel Gómez

Fuente: IDG

Proponen sanciones económicas a los internautas en vez de cortes de conexión

noreply@blogger.com (SSD) — Sat, 13 Mar 2010 06:57:00 PST

La operadora British Telecom (BT) considera “injusta” la adopción de medidas como los cortes de Internet por la descarga ilegal de música y apuesta por otras alternativas como las sanciones económicas.

Así se expresó el director ejecutivo de la operadora británica, Ian Livingston, en una carta dirigida al Financial Times en la que insta al Gobierno de Gordon Brown a introducir cambios en la Ley de Economía Digital. Esta petición se suma a la realizada por dos de los gigantes de Internet como Google y Facebook.

Livingston dice que los planes para cortar el acceso a Internet a aquellos que intercambian archivos son contrarios a las leyes naturales, pese a que se han presentado por parte del Ejecutivo británico como un arma en la batalla contra la piratería en la Red.

El director ejecutivo de BT, en declaraciones a la BBC recogidas por Portaltic, asegura que deberían imponerse multas igual a las que se pueden imponer en el caso de excesos de velocidad.

En su opinión, el dinero recaudado por las sanciones podrían ser utilizados para compensar a la industria creativa o incluso apoyar el despliegue de la banda ancha en el Reino Unido y evitar, asimismo, la penalización de familias enteras o empresas por el uso indebido o fraudulento de una persona.

“Hay que tratar de ser constructivo, no destructivo”, concluyó Livingston a BBC news.

Fuente: NoticiasDot

Cómo funcionaba la mafia de los pasaportes falsos de los futbolistas

noreply@blogger.com (SSD) — Sat, 13 Mar 2010 00:00:00 PST

Una red de gestorías falsificaba firmas, sellos y registros civiles para agilizar el trámite de la ciudadanía; se cobraba más de 40.000 dólares o hasta un porcentaje del pase; la Justicia investiga los casos de 15 jugadores, entre ellos Carrizo, Piatti y Gago.

Obtener la ciudadanía italiana podía ser hasta hace poco un trámite que demandaba años. Sin embargo, unos 250 grupos familiares, algo así como unas 1000 personas, entre las que había reconocidos futbolistas, la consiguieron en apenas un puñado de días. ¿Cómo? Se falsificaban sellos y documentación consular, y se modificaban registros civiles argentinos. ¿A qué precio? Agilizar el pasaporte comunitario de un jugador podía costar más de 40.000 dólares o hasta un porcentaje de la transferencia, según confesaron dos de los 33 imputados de una causa judicial que mantiene en vilo a gestores, empresarios, representantes, futbolistas y dirigentes de clubes.

Cruces telefónicos, extensas indagatorias y más de cien allanamientos, algunos de ellos en la sede de la AFA y en clubes argentinos, permiten anudar los hilos de una historia oscura. Este año la causa 15.131 se elevará a juicio oral, aunque en una segunda instancia amenaza con posar la lupa en representantes y dirigentes, según informó a canchallena.com una fuente de acceso directo al expediente y muy cercana a Oyarbide.

María Elena Tedaldi era la propietaria de Ciudadanía Express, una de las gestorías investigadas que agilizaba trámites y que trabajaba con una cartera de más de cien futbolistas que se exhibía por internet. Tedaldi está acusada de ser la jefa de una asociación ilícita de una red que falsificaba documentos públicos. Tedaldi es una de las 33 personas procesadas.

Autor: Nicolás Balinotti
Colaboró: Paz Rodríguez Niell

Fuente: Canchallena

Se abre la veda contra Google

noreply@blogger.com (SSD) — Fri, 12 Mar 2010 12:04:00 PST

La hegemonía del buscador desata una oleada de denuncias desde todos los frentes.

"Contra Windows vivíamos mejor". Durante años, los usuarios más activistas de Internet y defensores del software libre tenían como seña de identidad su oposición al monopolio de facto de Microsoft, cuyo sistema operativo Windows está instalado en más del 90% de los ordenadores de todo el mundo. Hoy, dos de cada tres búsquedas en Internet se hacen a través de Google -nueve de cada diez en Europa-, y muchos se preguntan si no ha llegado la hora de cambiar de enemigo.

Contenido completo en El País

Blippy, una red social para mostrar en qué gastas tu dinero

noreply@blogger.com (SSD) — Fri, 12 Mar 2010 10:00:00 PST

Blippy es una nueva idea de red social con una propuesta bastante… particular: publicar automáticamente las transacciones de tu tarjeta de crédito para compartirlo con tus amigos y que ellos puedan ir comentando, con un estilo mezcla de Twitter y Facebook.

Personalmente, me parece que ya se nos está yendo la mano con un sitio así, una cosa es compartir distintas actividades diarias (incluso a niveles muy elevados, como en Twitter), pero otra cosa es dar nuestro número de tarjeta de crédito para que se nos pueda rastrear permanentemente. Y ni hablar de la privacidad, porque mientras que una compra en una tienda de discos o unas entradas al cine pueden ser algo divertido para compartir, hay ciertas compras que la mayoría prefiere que queden definitivamente en el anonimato. Además, con cada compra se sube también la información geográfica de dónde fue realizada, así que ahí también nos despedimos de otro poquito de privacidad.

La solución que propone Blippy para eso es usar por lo menos dos tarjetas de crédito, una de ellas dedicada para lo que quieras que se publique, el resto, para lo que no. No me parece precisamente la opción más práctica.

La idea no me entusiasma, y me parece que hasta incentiva el consumismo. Pero para ser justos, también tiene algunas cosas buenas: al dar información sobre cada transacción que realizamos, podemos usarla como un sencillo resumen al día de lo que vamos gastando, para no encontrarnos con sorpresas a fin de mes. Y como no es obligatorio establecer relaciones en Blippy, se puede usar de forma privada (aunque ellos van a seguir teniendo tu número de tarjeta).

Autor: Cecilia Saia

Fuente: Bitelia.com

Suiza analiza investigar al HSBC por el robo de datos

noreply@blogger.com (SSD) — Fri, 12 Mar 2010 08:00:00 PST

Es por supuesta violación al secreto bancario.

La institución suiza de superintendencia financiera FINMA dijo está considerando la posibilidad de abrir un procedimiento administrativo formal contra HSBC por el robo de datos de clientes. Sucede cuando hay varios países europeos que estaban interesados en contar con la información para perseguir a los evasores fiscales.

En un primer momento, la sustracción, de la que se tuvo conocimiento el pasado diciembre luego de que Francia reconociese que había empleado estos datos para perseguir a evasores fiscales, había afectado a "menos de diez clientes", según dijo el banco. Pero a tres meses de descubrirse el ilícito, el robo "cometido por un colaborador del servicio informático, hace unos tres años, podría afectar a unos 15.000 clientes activos", declaró a la prensa el presidente de HSBC Private Bank (Suiza) SA, Alexandre Zeller. En tanto, tomando que las cuentas concernidas fueron abiertas en Suiza antes de octubre de 2006, los perjudicados serían 24.000 clientes, un 15% del total de su cartera

"Lamentamos profundamente esta situación y presentamos nuestras excusas más sinceras a todos los clientes que pudiesen ver amenazada su confidencialidad", dijo Zeller.

"Estamos decididos a proteger sus intereses y ponemos todo en acción para conseguirlo. En este sentido estamos contactando activamente a todos nuestros clientes cuyas cuentas están abiertas en Suiza", explicó.

El año pasado, los servicios fiscales franceses obtuvieron los ficheros de clientes en poder de Hervé Falciani, un ex empleado en informática franco-italiano del banco HSBC, en gran detrimento de Suiza que garantiza el secreto bancario.

Según Falciani, los datos contenidos en los ficheros permitieron a las autoridades francesas elaborar una lista 3.000 contribuyentes franceses que estafaban al fisco.

Fuente: Ambito

Espectro radioeléctrico: Europa lanza una consulta pública

noreply@blogger.com (SSD) — Fri, 12 Mar 2010 07:00:00 PST

La Comisión Europea ha puesto en marcha una consulta sobre las prioridades e stratégicas aplicables a un programa de política del espectro radioeléctrico de la Unión Europea para 2011-2015. El acceso al espectro radioeléctrico es fundamental para el desarrollo de una amplia gama de actividades, desde la telefonía y la radiodifusión hasta el transporte y las aplicaciones espaciales. Es muy importante garantizar a los ciudadanos de la Unión Europea un acceso amplio y equitativo al espectro radioeléctrico, tanto en las zonas urbanas como rurales, para que puedan beneficiarse de la tecnología digital.

Un uso más adecuado del espectro podría dar un nuevo impulso a la economía europea, ya que el desarrollo de servicios inalámbricos rápidos podría potenciar la competitividad y el crecimiento. Se invita a la industria, los consumidores y demás interesados a responder a la consulta antes del 9 de abril. Los días 22 y 23 de marzo, la Comisión y el Parlamento Europeo celebrarán conjuntamente una «Cumbre del Espectro», con el fin de debatir acerca de las prioridades de Europa en materia de espectro.

Como bien ha señalado Neelie Kroes, Comisaria de Agenda Digital, « el uso que hacemos del espectro radioeléctrico afecta a la vida diaria de los ciudadanos y de las empresas, por lo que ofrecemos a estos la oportunidad de dar su opinión sobre cómo debemos distribuir el acceso a este escaso recurso. Su respuesta será de gran utilidad para el desarrollo de una política eficiente en materia de espectro radioeléctrico en la Unión Europea.».

Los servicios que recurren al espectro radioeléctrico aportan unos 300.000 millones de euros al PIB e uropeo; sin embargo, el espectro no siempre se utiliza de forma eficiente en la actualidad. Un uso óptimo del mismo potenciaría la innovación y ayudaría a la Unión Europea a ofrecer un acceso universal de banda ancha de aquí al año 2013. La Comisión invita a los interesados y a los consumidores a presentar observaciones sobre las orientaciones estatégicas del uso futuro del espectro radioeléctrico en la Unión Europea y, concretamente, sobre los temas siguientes:

• Recuperación y crecimiento económicos

• Integración social y servicios a los ciudadanos

• Protección del medio ambiente y de la salud

• Aplicaciones espaciales y seguridad en el transporte

• Coordinación y negociaciones a nivel internacional

• Reasignación del espectro y competencia.

Esta consulta ayudará a la Comisión a elaborar un programa de política del espectro radioeléctrico que deberá ser presentado al Parlamento Europeo y al Consejo a mediados de 2010.

Los días 22 y 23 de marzo de 2010, la Comisión y el Parlamento Europeo celebrarán conjuntamente en Bruselas una «Cumbre del Espectro» en la que participarán representantes del Parlamento Europeo y del Consejo y otros interesados, que debatirán acerca de las orientaciones para una futura política del espectro radioeléctrico en la Unión Europea.

Contenido completo en Europa.eu

Desactivan gigantesca red de PC zombies, pero la reconectan

noreply@blogger.com (SSD) — Fri, 12 Mar 2010 03:08:00 PST

La salida de servicio de un proveedor de internet que ayudaba a que se propagara un programa malicioso cortó la posibilidad de que los delincuentes siguieran controlando millones de computadoras personales. Pero los ciberdelincuentes encontraron la manera de revivir esa red.

Menos de un día después de que el servicio conocido como AS Troyak (AS50215) fue desconectado de internet (Whois), investigadores de seguridad dijeron que aparentemente éste había encontrado una forma de volver a estar en línea, y los delincuentes se estaban reconectando con las computadoras de las que se habían apropiado.

El desmantelamiento generó inicialmente esperanzas de que se redujera el número de fraudes, porque los delincuentes informáticos no podían ya comunicarse con muchas computadoras infectadas con ZeuS y Fragus, un programa malicioso utilizado principalmente para robar nombres y contraseñas de usuario de banca online. Cientos de operaciones ilícitas en el mundo utilizan ese programa.

Se desconoce cuántas computadoras están infectadas con ZeuS, pero se estima que serían millones (ver estadísticas)

Cisco Systems informó que hasta el 25% de las computadoras infectadas por ZeuS en el mundo fueron desconectadas durante la noche de la colosal red robot.

Las redes robot o "botnets" son PC infectadas que se comportan precisamente como si fueran robots al servicio de los delincuentes, que las controlan a distancia. Roban identidades en masa y son utilizadas para atacar sitios web.

Pero en vez de tener un final feliz, el hecho dejaría claro el ritmo acelerado en el que los delincuentes pueden revivir sus negocios ilícitos, pese a sufrir lo que debió haber sido un duro revés.

RSA, división de seguridad de EMC, informó que decenas de servidores maliciosos, utilizados por los delincuentes para propagar ZeuS, estaban conectados a internet mediante AS Troyak.

Inexplicablemente, el servicio se desactivó el martes, cortando los vínculos entre los delincuentes y las computadoras a las que controlaban mediante ZeuS.

Se desconoce quién desactivó la red maligna. Pudieron haber sido autoridades, investigadores en materia de seguridad e incluso los propios delincuentes, en caso de que hayan decidido mudar sus operaciones a otros servidores.

Las labores para poner fin a las operaciones que distribuyen y utilizan software maligno suelen asemejarse al juego del gato y el ratón.

Fuente: Infobae, Yahoo!, Abuse, Zeus Tracker, PCWorld, IDG

Se está explotando un fallo en (Adobe) Reader parcheado hace tres semanas

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 15:23:00 PST

Un PDF manipulado está descargando un troyano de puerta trasera en los sistemas que no han implementado el parche lanzado hace sólo tres semanas.

Los usuarios de Adobe PDF Reader deberían comprobar que están ejecutando la última versión del software después de descubrir que se está explotando un fallo ya parcheado hace tres semanas.

Investigadores de Microsoft han descubierto un PDF en circulación que se aprovecha de un fallo y descarga un troyano de puerta trasera capaz de tomar el control de los sistemas afectados.

La advertencia afecta sobre todo a Adobe Acrobat y Adobe Reader desde la versión 9.3.0 para Windows, Apple y Unix; las viejas versiones de Acrobat y Reader 8.2.0 también están afectadas en Windows y Apple y deberían parchearse. Cualquiera que ejecute la última versión de Acrobat o Reader 9.3.1 es inmune al fallo.

El temor de la compañía es que la reciente fecha de la actualización de seguridad signifique que sean muchos los usuarios que siguen ejecutando versiones vulnerables del software, por lo que pide a todos los usuarios que apliquen los parches de seguridad.

Autor: Rosalia Arroyo
Fuente: ITespresso.es

Proteger a los pequeños de la pornografía con un USB

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 11:52:00 PST

Así de simple como insertar un USB llamado Porn Detection Stick, en nuestra computadora para poder bloquear todos los sitios de pornografía y proteger a los pequeños para que naveguen libremente sin tener que estar constantemente vigilando lo que hacen.

Para todos los padres que se preocupan por las páginas que puedan estar mirando sus hijos pequeños, el nuevo Porn Detection Stick se dedica exclusivamente a identificar pornografía mediante un software incorporado que es capaz de detectar diferentes partes del cuerpo humano, y así prevenir el ingreso o el acceso a la página en cuestión.

El pequeño pendrive USB funciona tanto con Windows XP, Vista y 7, y como si fuera poco también es capaz de delatar si se descargaron algunas imágenes que habían sido descargadas y borradas, así que ya no habrá manera de esconder el hecho. El pequeño dispositivo se consigue por un precio de US$ 99.

Fuente: Techtear

Bernardo Quintero: la seguridad no está reñida con la innovación y las libertades, aunque muchos se empeñen en hacernos creer lo contrario

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 08:12:00 PST

"Se han detectado troyanos para BlackBerry que actúan como micrófonos y graban las conversaciones del usuario sin que éste se entere", advierte Bernardo Quintero, experto en seguridad informática y uno de los fundadores de la empresa Hispasec. Estos casos son mínimos, por el momento, y caen casi en el terreno de la ciencia ficción. Protegidos por el babel de sistemas operativos, los móviles todavía están a salvo de los ataques de los "cibercriminales". No ocurre lo mismo con las redes sociales o los servicios que almacenan datos del usuario. A pesar de que los niveles de seguridad son óptimos en su mayoría, su constante crecimiento e innovación les hace vulnerables. Quintero recomienda cautela y sentido común en los servicios sociales, pero también anima a mantener la confianza en las plataformas y huir de los discursos que esconden intereses oscuros.

¿Cómo nació Hispasec?

Hispasec es un laboratorio de seguridad informática y tecnologías de la información que comenzó a funcionar en 1998 como fuente técnica independiente y sin ánimo de lucro, con un boletín diario y un portal web. El proyecto surgió de forma espontánea entre varios técnicos que escribíamos en revistas especializadas del sector con el único afán de investigar y concienciar sobre la importancia de la seguridad en las nuevas tecnologías. Apenas dos años más tarde, nos vimos casi forzados a crear la empresa para dar respuesta a la demanda de servicios profesionales. En nuestros orígenes, nunca pensamos en convertirnos en una empresa, pero el mercado nos empujó a ello. Entre nuestros clientes hay compañías de todo tipo de sectores, como telecomunicaciones, banca, software, construcción o la propia industria de la seguridad, a la que también proveemos de tecnología. De forma paralela, mantenemos el espíritu original del proyecto y proponemos servicios gratuitos a la comunidad, como el boletín de noticias o el servicio antivirus on line VirusTotal.

Contenido completo en Consumer

Santamarta: El cazador de agujeros

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 05:00:00 PST

Como en una película del Oeste, Google acaba de prometer recompensas de 370 euros por cazar no forajidos, sino fallos de seguridad en su navegador Chrome. La práctica de dar dinero a quien encuentre estos agujeros, llamados bugs en la jerga informática, es cada vez más habitual y ha creado un mercado en el que participan los mejores programadores del planeta.

Rubén Santamarta es el cazabugs, o ya puestos, el cazabugeros español más conocido. Es de León, autodidacta, tiene 27 años y entró en este mundo hace tres. "Cuando empecé no sabía que había empresas que pagaban por ello, lo que me llamaba la atención era el reto de buscar fallos en los sistemas", explica. Hoy asegura vivir de esto: "Con encontrar un par de bugs al año en programas conocidos ya no tienes que preocuparte".

Contenido completo en El País

Schneier: el futuro de la industria de la Seguridad Informática

noreply@blogger.com (SSD) — Thu, 11 Mar 2010 03:58:00 PST

Cada vez más empresas externalizan su infraestructura de TI – tratándolo como un servicio más, como la electricidad, limpieza de oficinas, o de preparación de impuestos y esto tiene profundas implicaciones para la seguridad de TI. Los usuarios de la organización se preocupan menos por los detalles técnicos de la seguridad.

Bruce Schneier es un experto en seguridad informática de renombre internacional, autor de numerosos libros y papers. Descrito por The Economist como un “gurú de la seguridad”, es mejor conocido como un crítico de la seguridad refrescantemente franco, lúcido y comentarista. En esta charla, realizada en la Universidad Politécnica de Madrid, Bruce nos muestra (ver video) como ve el futuro de la seguridad informática.

Fuente: Dragon JAR

Investigadores construyen fuerte botnet de 8.000 smartphones

noreply@blogger.com (SSD) — Wed, 10 Mar 2010 18:44:00 PST

Buscando elevar el nivel de concientización acerca de las implicaciones de seguridad de las aplicaciones de terceros para celulares tipo smartphone, un par de investigadores de seguridad usaron como señuelo una aplicación del tiempo para comandar unos 8.000 dispositivos iPhones y Android en una botnet móvil

El proyecto de investigación, tratado primero por Kelly Jackson Higgins de D ark Reading, fue develado en la conferencia de este año de RSA para mostrar como las inofensivas parece las aplicaciones de smartphone pueden cosechar información sensible del usuario, incluyendo coordenadas GPS y números telefónicos.

El proyecto es la creación de Derek Brown y Daniel Tijerina del grupo Digital Vaccine Group de TippingPoint. Según el informe, la aplicación experimental enlaza al sitio web Weather Underground y provee información de pronostico del tiempo local y otras para sus usuarios.

Fue creado y enviado a los repositorios que ofrecen aplicaciones para Android y los iPhones desbloqueados. Se debe aclarar que solo los iPhones desbloqueados fueron atrapados en esta prueba de concepto de botnet. Los investigadores dijeron que evitaron el almacén de iPhone de Apple por el estricto proceso de seguridad de Apple, que incluye firma del código.

Del artículo de Dark Reading:

En el lapso de una hora después de cargada la aplicación en los sitios SlideME y ModMyI, los investigadores tuvieron 126 descargas, y 702 después de ocho horas. “Luego de 24 horas, teníamos .,862,” dijo Tijerina. Y hasta ayer, la cuenta era de 7.800 iPhones y Androids corriendo la aplicación. “Esto fue realmente sorprendente porque si fuera código malicioso, serían muchos bots que podríamos controlar," agregó.

Para probar los peligros de una red bot móvil, el informe dice que la pareja también escribió una versión maliciosa de la aplicación del tiempo que corre código de bot y puede obtener información de contactos, cookies, y direcciones físicas, y puede enviar rachas de spam.

Los investigadores dicen que no tienen planes de liberar la aplicación maliciosa.

Traducción: Raúl Batista - Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDNet

¿Qués es el ciclo PDCA?

noreply@blogger.com (SSD) — Wed, 10 Mar 2010 16:54:00 PST

Técnica desarrollada por Shewart y Deming como opción para abordar los proyectos de mejora sobre los procesos propios, externos o internos. Aplicable siempre que preparamos un proyecto concreto, muy especialmente en las actividades desarrolladas con técnicas participativas:

Equipos de diseño
Equipos para análisis y solución de problemas
Equipos de mantenimiento preventivo
Equipos de Logística

Presentación Power Point (inglés) de las etapas ciclo PDCA stándar IDEF0. Estudios de mercado y marketing. Diagnósticos de la visibilidad en Internet de Imagen de Marca, Empresas, PYMES y Autónomos.

Un caso especial lo constituye el desarrollo de Sistemas de Gestión. Estos sistemas exigen el trabajo y la participación de todos los miembros de las organizaciones para ser realmente eficaces, por lo que el ciclo Shewhart es particularmente apropiado para la planificación, la implementación, la implantación y la operación de estos sistemas. ISO lo ha tomado como base para ordenar el contenido de las últimas ediciones de sus conocidas normas internacionales ISO 14001 e ISO 9001:2000 (Sistemas de Gestión de la Calidad - Requisitos).
Ambas normas, están fundamentadas en el compromiso de Mejora Continua de la Alta Dirección de las empresas, siguiendo el espíritu del modelo que propone el TQM (Total Quality Management) a partir de la filosofía expuesta por Deming en sus famosos 14 puntos.

El método consiste en aplicar 4 pasos definidos para asegurar alcanzar el objetivo definido. Estos 4 pasos, aseguran para el proyecto:

la organización lógica del trabajo,
la correcta realización de las tareas necesarias y planificadas,
la comprobación de los logros obtenidos, y
la posibilidad de aprovechar y extender aprendizajes y experiencias adquiridas a otros casos

Paso 1. PLANIFICAR (PLAN)

Primero se debe analizar y estudiar el proceso decidiendo que cambios pueden mejorarlo y en que forma se llevarán a cabo. Para lograrlo es conveniente trabajar en un subciclo de 5 pasos sucesivos que son:

1. Definir el/los objetivo/os. Se deben fijar y clarificar los límites del proyecto: ¿Qué vamos a hacer? ¿Por qué lo vamos a hacer? ¿Qué queremos lograr? ¿Hasta dónde queremos llegar? Luego pasamos a...

2. Recopilar los datos. Se debe investigar: ¿Cuáles son los síntomas? ¿Quiénes están involucrados en el asunto? ¿Qué datos son necesarios? ¿Cómo los obtenemos? ¿Dónde los buscamos? ¿Qué vamos a medir y con qué? ¿A quién vamos a consultar? Presentación en Power Point (inglés) del FOCUS PDCA

3. Elaborar el diagnóstico. Se deben ordenar y analizar los datos: ¿Qué pasa y por qué pasa? ¿Cuáles son los efectos y cuáles son las causas que los provocan? ¿Dónde se originan y por qué? Ahora estamos en condiciones de elegir un Plan de Acción.Presentación Power Point (inglés) Herramientas para el FOCUS PDCA

4. Elaborar pronósticos. Se deben predecir resultados frente a posibles acciones o tratamientos: ¿Sabemos qué efectos provocarán determinados cambios? ¿Debemos hacer pruebas previas? ¿Debemos consultar a especialistas? ¿Es necesario definir las situaciones especiales? Frente a varias opciones adoptaremos la que consideremos mejor.

5. Planificar los cambios. Se deben decidir, explicitar y planificar las acciones y los cambios a instrumentar: ¿Qué se hará? ¿Dónde se hará? ¿Quiénes lo harán? ¿Cuándo lo harán? ¿Con qué lo harán? ¿Cuánto costará?

Paso 2. HACER (DO)

A continuación se debe efectuar el cambio y/o las pruebas proyectadas según la decisión que se haya tomado y la planificación que se ha realizado. Esto es preferible hacerlo primero en pequeña escala siempre que se pueda (para revisar resultados y poder establecer ajustes en modelos, para luego llevarlos a las situaciones reales de trabajo con una mayor confianza en el resultado final).

Paso 3. CHEQUEAR (CHECK)

Una vez realizada la acción e instaurado el cambio, se debe verificar. Ello significa observar y medir los efectos producidos por el cambio realizado al proceso, sin olvidar de comparar las metas proyectadas con los resultados obtenidos chequeando si se ha logrado el objetivo del previsto.

Paso 4. ACTUAR (ACTION)

Para terminar el ciclo se deben estudiar los resultados desde la óptica del rédito que nos deja el trabajo en nuestro "saber hacer" (know-how): ¿Qué aprendimos? ¿Dónde más podemos aplicarlo? ¿Cómo lo aplicaremos a gran escala? ¿De qué manera puede ser estandarizado? ¿Cómo mantendremos la mejora lograda? ¿Cómo lo extendemos a otros casos o áreas? Checklist de los errores más comunes en la aplicación del PDCA.

Paso 5

Consiste en repetir el Paso 1, pero en una nueva dimensión o estado debido a la mejora realizada y allí, INICIAR OTRA VUELTA DE MEJORA.

Es decir: una vez estabilizado el proceso en la nueva condición lograda por una mejora concretada, proponer una nuevo ciclo PDCA para subir otro peldaño en la búsqueda del óptimo ideal.Esta sencilla técnica que sin darnos cuenta aplicamos "intuitivamente" cada vez que encaramos un proyecto personal o somos parte de un grupo que lo va a desarrollar, es una importante HERRAMIENTA que merece tenerse muy presente al trabajar profesionalmente, sin olvidar que su real eficacia radica en el orden de su ejecución y en la completa realización de sus 4 pasos (P, D, C y A).

Más información:

Presentación en Power Point (inglés) del FOCUS PDCA
Presentación Power Point (inglés) Herramientas para el FOCUS PDCA
Presentación Power Point (inglés) de las etapas ciclo PDCA
Checklist de los errores más comunes en la aplicación del PDCA
Herramientas para etapas del PDCA

Fuente: PDCA.es

Acusan a Mark Zuckerberg por atacar a la competencia

noreply@blogger.com (SSD) — Wed, 10 Mar 2010 16:20:00 PST

Zuckerberg "hackeó" a sus rivales y a los periodistas del diario universitario, al tiempo que engañó a su inmediato competidor para que no tuviesen un producto acabado cuando saliese Facebook al mercado.

Que cierren Facebook es uno de los temores de los usuarios más fanáticos de la red social, un temor que no es totalmente infundado. El grupo en internet que pide que no se cierre la red social tiene de hecho ya más de 600.000 seguidores.

Nicholas Carlson, editor de Silicon Alley Insider, realizó una investigación durante dos años y según él ha descubierto evidencias concretas que confirmarían el delito cometido durante 2004. Estas evidencias demostrarían que Mark Zuckerberg utilizó información privada tomada desde los servidores de Facebook para ingresar a las cuentas de correo y leer sus mensajes privados. También se acusa a Zuckerberg de ingresar a los sistemas de sus competidores y realizar cambios en sus sitios.

Pero, ¿qué podría llevar a la red social a echar el cerrojo? En julio de 2007, tres compañeros de universidad llevaron, una vez más, al fundador de la compañía a los tribunales por robarles su idea. Los demadantes pedían daños y reclamaban el cierre de la red social.

La guerra entre los fundadores de ConnectU y Zuckerberg duró hasta 2008, cuando llegaron a un acuerdo ambas partes en el cual Facebook pagó 65 millones de dólares.

Cuando Cameron y Tyler Winklevoss y Divya Narendra decidieron lanzar Harvard Connecion, contactaron con Mark Zuckerberg para que desarrollara el código de la que querían fuese la red social en la que los estudiantes de Harvard pudiesen ligar. Zuckerberg les dio finamente largas y no llegó a concluir su proyecto. Semanas después lanzaba Facebook y sus antiguos contrantadores vieron en su aparición un plagio.

Parece poco factible que los jueces lleguen a dar algún día la razón a los demandantes, ya que en alguna ocasión el poder judicial ha señalado que la demanda se apoyaba en "cháchara de dormitorio", aunque lo que sí ha impulsado es un gran caudal de literatura que intenta poner en evidencia los oscuros y poco éticos orígenes de Facebook.

The Accidental Billionaires. Sex, money, betrayal and the founding of Facebook, de Ben Mezrich, puso en el timeline de la firma a Eduardo Saverin, el primer inversor de la red social y el desconocido primer socio capitalista de Mark Zuckerberg.

Ahora, un profundo análisis de Business Insider demuestra que en la creación de Facebook no se jugó nada limpio. Dos años de análisis y entrevistas han demostrado que Zuckerberg aceptó el proyecto de Harvard Connection aún sabiendo que chocaba con su propio proyecto y aprovechó que él era el desarrollador de código para no crear nada y que, cuando apareciese Facebook, sus inmediatos y con más recursos competidores no tuviesen nada que ofrecer de modo alternativo.

"Voy a joderlos", fue la prosaica declaración de intenciones cuando uno de sus amigos le preguntó como iba a solucionar el problema que suponía ser el desarrollador de Havard Connection.

Los competidores de Zuckerberg se encontraron, efectivamente, con nada entre las manos mientras Facebook se convertía en un éxito. Su red social, a la que rebautizaron ConnectU, fue un fracaso.

En sus primeros tiempos también fue víctima de un ataque hacker comandado por el propio Zuckerberg, quien no dudó en hackear a su rival y a los periodistas del periódico de la universidad.

En el nacimiento de Facebook, concluye en su profuso análisis Business Insider, no hubo plagio, aunque tampoco mucha moralidad.

Fuente: Silicon News, Fayewayer y Daniel Expósito

Adivina si esto es phishing

noreply@blogger.com (SSD) — Wed, 10 Mar 2010 10:51:00 PST

Uno recibe un correo que dice ser Microsoft y tiene una imagen con un vínculo para visitar.

Como corresponde, antes de hacer clic revisamos un poco.

a) Posando el cursor sobre el vínculo vemos el dominio donde apunta,en medio de un montón de letras y números, es el dominio, microsoftemail.com. No lo conozco, se parece a lo que hacen los phishers, registran dominios parecidos para engañar. Sigamos...

b) Pasamos a ver los encabezados del correo:
El remitente (FROM:) es del dominio microsoft.com . Bien, pero no me asegura nada. Lo falsifica un niño.

c) La dirección de respuesta (Return-Path:) es del dominio microsoftemail.com . Mmm que raro parece phishing

d) Sigamos, el servidor de envío (Received: from) es del dominio exacttarget.com . No lo conozco.

Uff, parece que está difícil, no voy a hacer clic ante un caso así, puede ser un phishing, parece ser un phishing!

Más trabajo, verificar la propiedad de los dominios del servidor de correo y de la página a donde lleva el vínculo.

d) exacttarget.com: pertenece a ExactTarget y no tengo idea quienes son, pero al menos WOT los califica bien y el dominio existe desde el año 2000.

e) microsoftemail.com: pertenece a Microsoft Corporation y los DNS son los de Microsoft.

Ahora si ¡puedo hacer clic tranquilo en el correo! (gracias Microsoft por hacerme practicar los controles de un correo)

Raúl de la redacción de Segu-Info

RSA 1024 no ha sido roto, aclaraciones de Fernando Acero

noreply@blogger.com (SSD) — Tue, 09 Mar 2010 14:42:00 PST

A propósito de la noticia que tradujimos en exclusiva para los lectores de Segu-Info, hemos visto en los medios que hay cierta confusión o falta de aclaración suficiente respecto del alcance y lo cierto de este ataque. Naturalmente vende mucho más la noticia de Rompieron RSA 1024 que una explicación que acote el ámbito del ataque.

Por eso queremos compartir estos comentario de Fernando Acero en Kriptópolis al respecto del ataque realizado por científicos de la Universidad de Michigan.

Dice Fernando Acero:

Me he estado leyendo el paper y hay algunas cosas interesantes.

Lo primero que hay que señalar, es que no es un problema que se haya derivado de un avance en la factorización de números y además, el ataque se realiza sobre un hardware y software muy especifico, por lo que no se puede decir que esté en peligro una clave RSA de 1024 bits metida en una tarjeta CERES EAL5, o en cualquier otro dispositivo de hardware.

Lo único claro, es que han logrado sacar una clave RSA de 1024 bits de un dispositivo FPGA (Field Programmable Gate Array) embebida en un sistema Linux SPARC, no en una tarjeta criptográfica, que están preparadas para que este tipo de ataques, basados en las variaciones de tensión, intensidad, temperatura, frecuencia, iluminación, radiación, etc, no tengan éxito en este momento.

Para realizar el ataque, no es necesario tener acceso físico a la máquina, aunque es necesaria cierta proximidad, para poder modificar su alimentación y provocar los transitorios en la línea. En este caso, se trata de un problema de una determinada implementación de hardware basada en una FPGA sin las protecciones adecuadas para filtrar los transitorios de tensión (lo que es relativamente sencillo con un simple diodo TSD (Transient Suppression Diode), en la fuente de alimentación), que contiene una clave RSA de 1024 bits en su interior.

Pero creo que por el tipo del ataque, que podría ser una clave de 1024 bits no RSA teniendo paciencia suficiente para ir recopilando los bits de la misma, aunque también es cierto, que han desarrollado para la ocasión un ataque sistemático al algoritmo de exponenciación modular RSA, basándose en el problema de ese hardware FPGA específico ante los transitorios de tensión y al fallo de las librerías OpenSSL, que ha logrado reducir el tiempo a solamente 100 horas.

Así, que decir que se ha roto la seguridad de las claves RSA de 1024 bits, es tan aventurado como incierto, sobre todo, cuando no se ha logrado obtener un método general para obtener las claves privadas RSA, por ejemplo, mediante la factorización de números grandes y con independencia del hardware en el que se encuentren metidas dichas claves, por ejemplo, en una tarjeta criptográfica.

Resaltan en el documento, que el principal problema de los ataques basados en hardware, es que son muy complicados de detectar por software y lo cierto es que el ataque se ha realizado con éxito y sin necesidad de modificar ni una línea de código en el sistema atacado. Creo que la consecuencia más clara es que meter una clave en un dispositivo de hardware que no tenga la misma seguridad que las mejores tarjetas criptográficas, es un serio error y punto y esto es aplicable en este momento a muchos escenarios.

Además de lo anterior, creo que el ataque no habría tenido éxito, si no hubieran descubierto un serio fallo en la implementación del algoritmo e firma del OpenSSL y sobre todo, si el hardware fuera insensible a los transitorios de tensión, lo que es muy sencillo de lograr.Simplemente han trasladado a las FPGA un ataque mediante variaciones de tensión, que antaño fue viable con las primeras generaciones de las tarjetas inteligentes, que no eran "tamper proof".

El escenario es un ataque a la librería de autentificación original del OpenSSL, funcionando sobre un sistema Linux SPARC basado en una FPGA sin protección contra los transitorios de tensión, con todo lo que ello supone en relación a las condiciones particulares de cada hardware y sobre ese escenario tan concreto, han logrado recuperar una clave privada RSA de 1024 bits que estaba embebida en la FPGA tras 100 horas.

Esto no quiere decir, como recomiendan los expertos, que no se pase a claves RSA más grandes y que se abandonen los sistemas basados en números primos, en favor de los basados en curvas elípticas y ya vamos con retraso, si atendemos a los que se expresa en muchos documentos oficiales en relación con las claves y cripto-periodos.

Un saludo, Fernando Acero

y más adelante Fernando agrega:

Hay un interesante DRAFT del NIST americano, que dice que las claves RSA con una longitud de 1024, no se deberían usar más allá del año 2010. Para el caso del transporte de claves, las condiciones se endurecen todavía más.

Desde mi punto de vista, no solamente se debería hacer una transición a claves de mayor tamaño, posiblemente mayores de 2048, si queremos que nuestros secretos sigan siendo secretos durante un tiempo razonablemente alto, también se debería usar curvas elípticas en lugar de números primos para generar las claves.

Por cierto, hay un pequeño problema con las claves generadas mediante números primos industriales. Antes, el algoritmo para comprobar la primalidad era heurístico y desgraciadamente se sigue usando en la mayoría de los sistemas criptográficos (Miller-Rabin o test fuerte de pseudoprimos), es decir, que no había certeza absoluta de que los primos industriales elegidos para crear las claves eran primos de verdad, aunque sí con un elevado grado de fiabilidad, que era función de las iteraciones que se realizasen del test. Es decir, se puede mejorar la seguridad aumentando el número de iteraciones de forma arbitraria, lo que también supondrá un mayor tiempo para la generación de las claves.

Sin embargo, ahora existe un sistema determinista en tiempo polinómico (AKS - Agrawal, Kayal y Saxena), es decir, que permite saber si un número primo es o no primo, con una fiabilidad del 100%. El uso de AKS permitiría mejorar algo la seguridad teniendo la certeza absoluta que los números elegidos para generar las claves, son primos de verdad.

Un saludo, Fernando Acero

"Copyleft 2009 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Se pueden ver todos los comentarios de Supuesta rotura de la clave privada RSA de 1024-bits en Kriptópolis

Raúl de la redacción de Segu-Info.