alertas

August 12, 2009

Consejos de Bruce Schneier para las contraseñas

Este es un tema que no deja de ser importante, ya que aun a pesar de la existencia de nuevos métodos de autenticación, como la biometría, el usuario y contraseña siguen siendo el acceso a información muy valiosa: redes sociales, correo electrónico, acceso al sistema operativo, sistemas internos, etc. Por este motivo, contar con contraseñas seguras es un consejo básico para utilizar “tranquilos” la PC.

En primer termino, les comparto en español un listado de Do-Don’t (lo que sí hay que hacer y lo que no hay que hacer) realizado por Schneier respecto a las contraseñas.

Utilizar un gestor de contraseñas por software.
Cambiar las contraseñas regularmente. No reutilizar contraseñas viejas. Se pueden utilizar los gestores de contraseñas para poner fechas de expiración a las mismas.
Mantener las contraseñas secretas. Guardarlas en un archivo, mandarlas por correo electrónico o escribarlas en un papel en el escritorio, no es recomendable. Si hay que dar acceso a un tercero a un sistema, crear una contraseña temporal para tal fin.
No utilizar contraseñas que sean de diccionario (palabras conocidas), fechas de cumpleaños, nombres de la familia o animales, direcciones o cualquier información personal. No usar caracteres repetitivos como “111″ o secuencias como “abc”, “qwerty”, “123″.
No utilizar la misma contraseña para sitios diferentes. De esta forma, una contraseña que sea obtenida por un tercero tendrá mayor utilidad para el atacante.
No permitir que la computadora acceda directamente al arrancar ni utilizar login automático en el correo, el chat o los navegadores. Evitar usar las mismas credenciales de Windows en dos computadoras diferentes.
No utilizar la opción de “recordar contraseña” disponible en muchos sitios web.
No ingresar contraseñas en una computadora en la que no se tiene control, porque uno no puede saber si hay spyware o keyloggers instalados.
No acceder a cuentas protegidas por contraseña en redes Wi-fi (u otra red) no confiables, a menos que el sitio sea seguro bajo https. Utilizar una VPN si se viaja frecuentemente.
No ingresar usuario y contraseña en ningún sitio web que haya sido accedido por un enlace en un correo electrónico. Suelen ser ataques de Phishing o Scam.

En otro artículo del mismo Schenier (inglés); se recomienda cómo seleccionar contraseñas fuertes.

“Si deseas que tu contraseña sea difícil de adivinar, no elija ninguna que pueda estar en un listado de diccionario o contraseñas frecuentes. Debe mezclar caracteres en minúscula y mayúscula en el medio de la contraseña. Debe agregar números y símbolos en el medio de la contraseña”.

Fuente: Segu-Info

Filed under alertas, amenazas, consejos, fraudes, ingeniería social by Carlos Jumbo G. on Aug 12th, 2009. Comment.

August 6, 2009

Identidad Peligrosa

A diario confiamos en que los minoristas y los bancos online protegen nuestras identidades, pero el número de violaciones a los datos personales sigue en alza. He aquí lo que puedes hacer.

¿Has notado que junto con artículos abundantes sobre el tema de la economía, cada vez más informes acerca de crímenes chicos y grandes? se habla de todo: desde hurtos hasta un esquema del tamaño del fraude de Bernard Madoff. Entonces, ¿es de extrañar que el robo de identidad vaya en aumento? De acuerdo con Gartner, cada año se hurtan 15 millones de identidades, esto significa una nueva víctima cada dos segundos. A este ritmo, en 10 años a cada ciudadano de los Estados Unidos que use internet le habrán robado la identidad. Así sucederá o una persona desafortunada deberá presentar 150 millones de reclamaciones por su mala suerte.

El crimen que crece con mayor celeridad en los Estados Unidos
Los incidentes de robo de identidad se incrementaron 50% en 2008 en comparación con 2007, de acuerdo con el Identity Theft Resource Center, y todavía es uno de los crímenes que crecen con mayor celeridad en los Estados Unidos. Hay un próspero mercado negro internacional online de identidades robadas que, al parecer, las agencias policiacas locales, estatales, federales e internacionales parecen incapaces de frenar. De hecho, se ha vuelto tan sencillo robar y vender identidades que los precios de los datos personales han bajado drásticamente durante los dos últimos años. ¿Por qué la cosa parece facilitarse para los malos, y complicarse para los buenos como tú y yo? Porque tu identidad está ampliamente distribuida en internet, y su protección está fuera de tus manos ya que confías en terceros.

¿En quién puedes confiar?
¿A cuántas entidades de internet y del mundo real has confiado algún aspecto de tu identidad? ¿Cuántos minoristas online poseen la información de tu tarjeta de crédito? ¿Tienes banca en línea?.

Las violaciones de la información corporativa se incrementan. El informe de violaciones en 2008 del Identity Theft Resource Center alcanzó 656 violaciones, cifra que refleja un incremento de 47% respecto del total de 446 del año pasado. Además, el ITRC estima que sólo 2.4% de todas las compañías violadas poseían cifrado y otros métodos fuertes de protección en uso, mientras que nada más 8.5% de las violaciones reportadas involucraron superar la protección mediante contraseñas. Si una compañía ni siquiera es capaz de proteger mediante contraseñas el acceso a nuestras identidades, ¿de verdad merecen hacer dinero gracias a nosotros?.

A pesar de los robos bien publicitados, los negocios aún prosperan en las empresas afectadas. Las leyes de notificación de las violaciones a la seguridad han demostrado ser del todo inefectivas para prevenir las violaciones de los datos. Es más, si alguna vez puedes leer una carta de notificación, hazlo con cuidado. Ni una sola de las más de o menos 50 cartas que los lectores me han reenviado mencionan acciones concretas que las compañías tomarían para impedir que sucediera de nuevo. Si eso no indica cuán valiosa consideran la seguridad de nuestra identidad, entonces no se qué lo idica.

¿Robo a mano de los comerciantes?
Puedes hacer todo lo posible para proteger tu valiosa identidad -y lo harás, porque es tuya y te importa-, pero después de que tu información entra al éter, hay agujeros descomunales en su protección. Los hoyos son los minoristas online, los bancos, los proveedores hipotecarios, los hospitales e incluso el gobierno. Y adivina qué. A las compañías y las organizaciones les importa mucho menos que a ti proteger tu identidad. Es hora de que eso cambie, y sucederá únicamente cuando les demos donde les duele, en el ingreso neto. La próxima vez que una entidad permita que se roben tu información, cancela o transfiere tu cuenta. No vuelvas a comprar ahí. Si te roban en una tienda de la calle, ¿todavía comprarías ahí?.

Qué hacer cuando eres víctima de una violación de datos.

Cierra tu cuenta. Manda un correo electrónico explicando por qué y exige la confirmación de que tu información confidencial quedó eliminada de su sistema. Si simplemente no puedes cerrar la cuenta, como en el caso de un banco o hipoteca, transfiérela a otro proveedor. Haz que tu proveedor original renuncie a todas las cuotas de cancelación y que pague la transferencia. ¿No deseas cerrar la cuenta? Al menos modifica todos los números relacionados con ella.
Cancela todas las tarjetas de débito y de crédito afectadas.
Si la entidad violada es el gobierno, escribe a tus funcionarios locales, estatales o federales electos para que conozcan tu malestar.
Llama enseguida a las oficinas de crédito para poner una alerta de fraude en tus cuentas y solicita informes crediticios sin costo para que los revises con cuidado.
Exige servicios de protección de identidad a la entidad violada.
Examina todos los estados de cuenta cuando lleguen.
Informa a todos tus amigos, parientes y conocidos de la violación y anímalos a que eviten la misma.

*Por: Matthew D. Sarret – PC Magazine

Filed under alertas, amenazas, consejos, delitos, ingeniería social, seguridad by Carlos Jumbo G. on Aug 6th, 2009. Comment.

August 5, 2009

Un tercio de los antivirus fallan en la protección de Vista

Las últimas pruebas realizadas por la organización independiente Virus Bulletin han revelado que doce de cada 35 vendedores de seguridad no están a la altura a la hora de proteger Windows Vista. Varios grandes nombres, entre los que se encuentran CA, PC Tools o Symantec, han fallado en la prueba VB100 que enfrenta a los sistemas de seguridad frente la WildList de malware conocido. Los productos tienen que ser capaces de detectar el 100% del malware, y no generar ninguna falsa alarma cuando exploran un conjunto de archivos limpios de virus, según ha explicado Virus Bulleting.

John Hawes, director de la organización, ha dicho que se han encontrado con inestabilidades serias y que la mayoría de los doce productos analizados han tenido algunos fallos.

Junto con las pruebas de Vista, VirusBulletin sigue con su nueva prueba diseñada para demostrar las habilidades de detección reactivas y proactivas de los productos antivirus. En este sentido Hawes alabó el buen papel realizado por Microsoft, “tanto en el lado reactivo como en el proactivo” y destacó la cantidad de tiempo y recursos que Microsoft está dedicando a la seguridad.

Fuente: ITespresso

Filed under alertas, amenazas, antivirus by Carlos Jumbo G. on Aug 5th, 2009. Comment.

July 15, 2009

Guía de navegación segura para el verano

Aunque el verano es una época para relajarse y estar tranquilo, hay un aspecto en el que no se puede bajar la guardia: la seguridad informática. Y es que los ciberdelincuentes no se van de vacaciones. La época veraniega es propicia para hacer un uso del ordenador más lúdico que en el resto de año. El uso de servicios como chats, juegos online, descargas de software o compras online, se disparan durante esos períodos debido a que muchos usuarios disponen de más tiempo libre.

Además, los más pequeños de la familia están disfrutando de sus vacaciones y pasan más horas delante del ordenador. Los delincuentes de Internet también son conscientes de ello y, por tanto, están siempre al acecho para tratar de conseguir nuevas víctimas.

Estas son las recomendaciones que conviene seguir para asegurarse de que el ordenador está bien protegido este verano:

Preste especial atención al correo electrónico, ya que es una vía tanto de entrada de amenazas, como de ataques de phishing o timos en forma de spam. Por ejemplo, es muy común que en esta época comiencen a llegar falsos correos ofreciendo viajes vacacionales muy baratos. En ellos o bien se solicitan datos confidenciales al usuario o bien se le invita a descargar una información que, en realidad, es un archivo infectado. Por eso, un valioso consejo es ignorar los e-mails de remitentes desconocidos.
Instale sin demora las últimas actualizaciones de seguridad. Con mucha frecuencia los ciberdelincuentes utilizan agujeros de seguridad en programas de uso común para llevar a cabo sus ataques. Normalmente, los fabricantes ponen a disposición de los usuarios las actualizaciones necesarias para solucionar los problemas detectados, por lo que, a no ser que la propia aplicación avise automáticamente de que existen actualizaciones disponibles, es necesario entrar cada cierto tiempo en la página oficial del producto y comprobar si es necesario descargar e instalar algún parche. Por tanto, conviene actualizar el ordenador justo antes de irse de vacaciones y al volver.
Evite la descarga de programas desde lugares no seguros en Internet, ya que pueden estar infectados. Como en verano hay más tiempo para el ocio, el número de descargas aumenta. Sin embargo hay que poner especial cuidado en lo que se descarga de la Red y, sobre todo, analizarlo con un antivirus antes de ejecutarlo, ya que muchas amenazas se disfrazan en forma de archivos con nombres atractivos (como películas, series, etc.) para que los usuarios los descarguen y ejecuten.
Tenga cuidado con la información que da en las redes sociales: procure no hacer público, por ejemplo, el día que comienzan sus vacaciones y menos aún si en esa misma red social hay datos sobre su lugar de residencia, ya que podría ser una tentación para los ladrones. – Deje el router apagado. De esta manera, se evita que se produzcan conexiones ajenas a la red del usuario que pueden tener malos propósitos o un mal final. Por ejemplo, alguien podría conectarse a la red y descargar, consciente o inconscientemente, algún tipo de código malicioso que se quede en la red y que, posteriormente, al volver a encender el usuario su equipo, lo infecte.
Sea precavido si usa ordenadores compartidos: Son muchos los que en lugar de llevarse un portátil, acuden a cibercafés o locutorios para leer su correo, hablar con sus amigos por mensajería instantánea, ver su red social, etc. Pero antes de hacer esto, hay que tener en cuenta algunas precauciones. La primera de ellas es no activar la opción que permite guardar en el equipo las claves que se teclean, cuando se introduzca el nombre de usuario y passwords en ordenadores públicos. Si se hace, el siguiente usuario de ese ordenador público, tendrá los datos del usuario a su disposición y podrá acceder a sus cuentas. Un segundo consejo es asegurarse de que el ordenador que vamos a utilizar no está infectado y, al menor signo sospechoso (ventanas emergentes, mal funcionamiento,…), abandonar ese ordenador y utilizar otro. Finalmente, en ningún caso utilice ordenadores compartidos para realizar transacciones bancarias.
Utilice programas con Control Parental. Durante el verano, los niños utilizan el ordenador de manera más frecuente. Por ello, es necesario educarles en un uso responsable de Internet. Es conveniente establecerles horarios de uso de la Red, acompañándoles durante la navegación e impedirles el acceso a determinadas páginas o contenidos que puedan resultar perjudiciales para ellos. Como en muchas ocasiones, los padres no están en casa para controlar el uso que hacen de la Red, es recomendable que instalen en sus equipos una solución de seguridad con Control Parental, una herramienta que les ayudará a determinar qué páginas pueden ver sus hijos y cuáles no, a qué información pueden acceder o no, etc.
Asegúrese de que su ordenador cuenta con una solución de seguridad activa y actualizada en todo momento.

Sin lugar a dudas que se trata de una muy buena guía la efectuada por PandaLabs.

Filed under alertas, amenazas, consejos by Carlos Jumbo G. on Jul 15th, 2009. Comment.

July 9, 2009

OJO con su tarjeta E-key [Banco del Pichincha]

Ponemos a su consideración, la advertencia de seguridad que ha publicado el Banco Pichincha en su portal web.

Estimados Clientes,

Queremos informarles que en estos días, están circulando e-mails mal intencionados solicitando copia de la tarjeta E-key este requerimiento es totalmente FALSO y no procede de Banco Pichincha. Por favor tenga en cuenta las siguientes recomendaciones:

RECOMENDACIONES PARA EVITAR SER VICTIMA DE FRAUDE

Nunca atienda solicitudes de claves que le lleguen a través de correo electrónico.
Su usuario, contraseña, clave de tarjeta E-key, firma,etc. Son datos de carácter personal y estrictamente confidencial, solo deben ser utilizados para el acceso a los servicios que le ofrece Banco Pichincha.
Desconfíe de cualquier toma de datos personales realizados a través de Internet, en nombre de Banco Pichincha, y fuera de su sitio web seguro. Ante cualquier duda de la veracidad de los datos pedidos o autenticidad de las páginas visitadas, contáctese de inmediato con el Banco Pichincha por los canales establecidos.

Banco Pichincha no le requerirá información que ya deba estar en su poder.

No de información personal o financiera en respuesta a un e-mail.
No utilice los enlaces incorporados en e-mails o páginas wed de terceros.

Agradecemos nos informe a los números de Servicios Pichincha 02-2-999999 ó a nuestro correo electrónico banco@pichincha.com respecto a cualquier novedad o inquietud.

Atentamente,
Banco Pichincha

Filed under Ecuador, alertas, amenazas, bancos, consejos, fraudes by Carlos Jumbo G. on Jul 9th, 2009. Comment.