Administrador de botnets – botherder, botmeister
Es la persona encargada de controlar una red de ordenadores comprometidos (botnet) con diversos propósitos criminales o maliciosos, tales como distribuir correo no solicitado y código malicioso, y organizar ataques distribuidos de denegación de servicio.
Ataque de denegación de servicio – DoS, Denial of Service attack
Intento por evitar que un sistema informático funcione correctamente. Se asocia frecuentemente con la extorsión: el criminal amenaza con atacar los sistemas, para que la organización víctima no pueda desempeñar sus negocios habituales.
Ataque distribuido de denegación de servicio – DDoS, Distributed Denial of Service attack
Ataque de denegación de servicio amplificado al ser enviado por una red de sistemas comprometidos, actualmente una botnet.
Botnet – Red de ordenadores comprometidos
Red de sistemas comprometidos o infectados por aplicaciones autómatas, que están bajo el control de un botherder.
Bcc, Blind Carbon Copy
Campo del encabezado de un mensaje de correo electrónico, que se utiliza para enviar copias del mensaje a una o varias personas.
Los destinatarios listados en el campo Copia oculta (Cco) no aparecen en las copias del mensaje enviadas al receptor (o los receptores) especificados en los campos Para, o Copia (Cc).
Comercialización de múltiples niveles -MLM, Multi Level Marketing
Modelo de negocios legítimo, que podría tener una estructura jerárquica, pero no es un esquema piramidal.
Cybersquatting – Usurpación cibernética
Registro de un dominio con la intención de beneficiarse de alguna manera, aprovechando una asociación engañosa o maliciosa ente el nombre registrado y un sitio o negocio legítimo.
Engaños tsunami – Tsunami scams
Es un grupo de bulos y estafas basados en la caridad, que alegan recolectar fondos para las víctimas del tsunami del año 2004. Los ejemplos incluyen muchos engaños del tipo 419 y mensajes de phishing.
Esquema piramidal -Pyramid Scheme
Engaño en el cual los participantes nuevos pagan por la oportunidad de moverse hacia la cima de una pirámide, y obtener una parte de los pagos que realizan las personas que están en los escalones inferiores.
El encanto del sistema se basa en la improbable premisa de que el esquema continuará atrayendo nuevos inversores indefinidamente. En el mejor de los casos, los mayores beneficios serán para quien inicia la cadena, y quizá, los primeros participantes.
Este tipo de esquemas, y formar parte de ellos, es ilegal en algunas jurisdicciones.
Estafa de la lotería -Lottery scam
Fraude por pago adelantado que funciona diciendo a la víctima que ha ganado una enorme cantidad de dinero, pero que tiene que abonar algunos gastos antes de recibir el premio.
Hashbuster
Algunos filtros de correo masivo usan una base de datos de funciones generadoras de claves (hashes) para identificar los elementos no solicitados.
Estas son una especie de huella digital de los mensajes. Por ejemplo, un algoritmo MD5 (Message-Digest Algorithm 5, Algoritmo de compresión de mensajes Nº 5) representa una cadena de caracteres o texto como una secuencia de 32 dígitos en sistema hexadecimal.
Una familia más segura de este tipo de algoritmos es el grupo de funciones SHA (Secure Hash Algorithm, Algoritmo seguro de funciones de cifrado).
Estas funciones tienen múltiples usos en seguridad. Durante mucho tiempo ha sido muy común que los emisores de correo no solicitado (entre otros) incluyan texto aleatorio en el asunto o el cuerpo de un mensaje, con el fin de generar cambios al azar de una tanda de mensajes masivos a otra, y así eludir filtros basados en sumas de verificación (checksums) o algoritmos de identificación.
Actualmente, las mismas técnicas han sido aplicadas a los mensajes masivos basados en imágenes (image spam).
Ingeniería social – Social Engineering
Término aplicado a un amplio rango de técnicas destinadas a obtener alguna ventaja o inducir un cambio de comportamiento en un individuo o un grupo, utilizando manipulación psicológica.
El vocablo deriva de las ciencias sociales, donde no necesariamente tiene una connotación negativa, pero en seguridad su uso casi siempre implica algún tipo de estafa, malicia o fraude.
Manipulación de precios bursátiles – Pump and Dump, Hype and Dump
Es una forma de fraude de reservas de valores, en la que el precio de las acciones acumuladas es inflado artificialmente para que los especuladores deshonestos puedan obtener beneficios al venderlas cuando el precio sea elevado.
Esto funciona bien para el estafador, pero no para la empresa (generalmente pequeña), ni para las víctimas del engaño, cuya contribución al incremento del valor de las acciones generalmente es retribuido con duras pérdidas cuando el estafador venda sus reservas.
Mula – Mule
En el mundo del crimen organizado, el vocablo tiene varios significados, incluyendo el de una persona que se utiliza para traficar drogas, dinero, etc.
En el contexto de phishing, generalmente se refiere a alguien que está involucrado en el blanqueo de capitales, recibiendo y distribuyendo fondos, bienes o servicios adquiridos fraudulentamente.
Pennystox, Penny Stocks, Small caps
Negocios con valores bursátiles iniciales bajos, generalmente victimizados por los grupos criminales dedicados a la manipulación de precios del mercado de valores.
Phising
Término alternativo para phishing, utilizado en algunas oportunidades. Su etimología es incierta, pero podría deberse a una mala interpretación de la etimología del vocablo phishing, (combinada con dudosas capacidades de tecleo).
Programas espía – Spyware
Término algo genérico para designar a una variedad de códigos maliciosos, como registradores de pulsaciones de teclas, troyanos de acceso remoto o de puerta trasera, y demás.
El código malicioso utilizado para realizar actividades criminales como el phishing, también se conoce como crimeware.
Red de ordenadores comprometidos – Botnet
Red de sistemas comprometidos o infectados por aplicaciones autómatas, que están bajo el control de un botherder.
Registrador de pulsaciones de teclas – Keylogger
En el contexto del phishing, es un tipo de programa espía o troyano que registra las pulsaciones de teclas realizadas por el usuario de un ordenador, sin su conocimiento, y transmite la información a un delincuente, botherder, etc.
Usurpación cibernética – Cybersquatting
Registro de un dominio con la intención de beneficiarse de alguna manera, aprovechando una asociación engañosa o maliciosa ente el nombre registrado y un sitio o negocio legítimo.
Vishing
Es la utilización de telefonía a través de IP como vector de los ataques de phishing. Los métodos usados incluyen el envío de un número telefónico falsificado a la víctima, para verificar sus datos sensibles y establecer un contacto directo con ella. Moraleja: los números de teléfono contenidos en los mensajes de correo electrónico no son más seguros que los enlaces a otras páginas.
Voz a través del protocolo de Internet – VoIP, Voice over IP
Telefonía y otros servicios relacionados que funcionan sobre el protocolo de Internet actual.
Fuente: ESET España
Filed under consejos, ingeniería social, seguridad by on Nov 5th, 2008. 1 Comment. 
¿Que información guardan los buscadores?, ¿qué son las cookies?, ¿cómo bloquear la publicidad personalizada?. Aquí, respuestas a estos interrogantes, y algunos tips para controlar la privacidad mientras se navega en Internet.
- El buscador te sigue.
Saber qué información guarda, por ejemplo, un buscador de Internet cada vez que lo usamos es el primer paso para tener más control sobre la propia privacidad en Internet. Por caso, las políticas de seguridad de Google aseguran que por cada búsqueda la empresa almacena en sus servidores la dirección IP asignada al usuario por su proveedor de acceso a Internet (la IP es una cifra que identifica a la PC), la fecha y hora de la búsqueda, el navegador y el sistema operativo usados, y el número de cookie ID (una identificación del navegador). Como se ve, no hay datos personales del usuario, pero Google sí identifica el navegador y, si la IP es fija, a la PC. - La galletita espía.
Una cookie es un archivo que muchos sitios dejan en la PC de sus visitantes, que sirve para que cuando el usuario vuelva, el navegador sea identificado. Es a través de las cookies que los sitios pueden almacenar datos sobre los hábitos de navegación de los usuarios para, por ejemplo, ajustar servicios a la medida de cada uno. Las cookies pueden bloquearse desde el navegador, pero hay que tener en cuenta que si se hace esto algunas funciones de los sitios podrán interrumpirse. - ¿Publicidad? Paso.
También es a partir de las cookies que muchos sitios envían publicidad personalizada. Sin embargo, es posible dejar de recibir este tipo de publicidad. Desde la opción Consumer Opt-Out del sitio de la Network Advertising Initiative se puede rechazar la publicidad personalizada de varios sitios (Yahoo!, por ejemplo); en www.google.com/privacyads.html se rechaza la de Google; y en https://choice.live.com/advertisementchoice/Default.aspx, la de Microsoft. - Esa es mi historia.
El buscador Google guarda un historial de todas las búsquedas que se hicieron mientras se navegó logueado a una cuenta de Google; sin importar que ello haya ocurrido desde diferentes computadoras. Entre otros datos, Google guarda la fecha y la hora de cada búsqueda, la frase o el término buscados, y los sitios que se visitaron entre los que aparecieron como resultados. Para detener el almacenamiento de estos datos, logueado en la cuenta de Google correspondiente, hay que ir, desde la página inicial del buscador, a Mi Cuenta, y allí hacer clic en Historial web. Luego, seleccionar en el borde izquierdo de la página, según lo que quiera hacerse, Detener y/o Eliminar elementos. Para evitar desde el comienzo que se cree el historial, hay que retirarle la tilde a Habilitar Historial web, en el formulario de suscripción a los servicios de Google. - Los videos también.
Youtube va agregando a una lista todos los videos online que se vean mientras se está logueado como usuario del sitio. Para borrar este historial (en este caso no es posible impedir que se arme), hay que ir arriba a la derecha de la pantalla, pasar el cursor por Cuenta y hacer clic en Mis videos. Se abrirá una nueva página, en ella hay que hacer clic en Historia (a la izquierda), y luego en Borrar el historial de reproducciones (arriba, al medio). Listo. - Los datos quedan.
Si por cualquier motivo se quiere dar de baja una cuenta de webmail, generalmente basta con llenar un breve formulario online, y la cuenta y los datos de su titular desaparecen de modo instantáneo. Sin embargo, eso no quiere decir que esos datos sean eliminados completamente. Las empresas proveedoras de servicios de webmail conservan los datos de las cuentas eliminadas en sus servidores, durante algún tiempo. Las políticas de privacidad de Yahoo! señalan que la información de las cuentas cerradas queda en sus servidores unos 90 días.
Filed under consejos, seguridad by on Oct 5th, 2008. Comment.
Todas las instituciones deberían contar con un plan de contingencia actualizado, ya que es una herramienta muy valiosa que basada por lo general en un análisis de riesgo, nos permitirá ejecutar un conjunto de normas.
Todas las instituciones deberían contar con un plan de contingencia actualizado, ya que es una herramienta muy valiosa que basada por lo general en un análisis de riesgo, nos permitirá ejecutar un conjunto de normas, procedimientos y acciones básicas de respuesta que se debería tomar para afrontar de manera oportuna, adecuada y efectiva , la eventualidad de incidentes, accidentes y/o estados de emergencias que pudieran ocurrir tanto en las instalaciones como fuera de ella, por ejemplo el secuestro de un funcionario.
Los riesgos los puedes eliminar, transferir, mitigar o aceptar, ello dependerá de varios factores como probabilidad de ocurrencia o impacto del riesgo, los objetivos del plan de contingencia son el de planificar y describir la capacidad para respuestas rápidas, requerida para el control de emergencias, paralelo al plan se debe identificar los distintos tipos de riesgos que potencialmente podrían ocurrir e incorporar una estrategia de respuesta para cada uno, algunos objetivos específicos:
- Establecer un procedimiento formal y por escrito que indique las acciones a seguir frente a determinados riesgos.
- Optimizar el uso de recursos humanos y materiales.
- Un control adecuado para cumplir con las normas y procedimientos establecidos.
Los planes de contingencia son necesarios en todo sistema y no podría dejarse de lado en el tema de seguridad, Entiendo por plan de contingencia al conjunto de procedimientos alternativos a la operatividad normal de cada institución y su finalidad es la de permitir el funcionamiento de esta, aun cuando alguna de sus funciones deje de hacerlo por culpa de algún incidente tanto interno como ajeno a la organización.
Haciendo una síntesis para su elaboración la podríamos dividir en cinco etapas.
- Evaluación.
- Planificación.
- Pruebas de viabilidad.
- Ejecución.
- Recuperación
Las tres primeras etapas hacen referencia al componente preventivo y las ultimas a la ejecución del plan una vez ocurrido el siniestro.
Queda claro que lo único que permite que una institución, empresa o persona pueda reaccionar de manera adecuada ante una crisis de seguridad, es mediante la elaboración, prueba y mantenimiento de un plan de contingencia. Finalmente en el Perú según la ley 28551 las instituciones en general están en la obligación de elaborar y presentar un plan de contingencia.
Fuente: CXO-Comunity
Filed under consejos, seguridad by on Sep 25th, 2008. Comment.
A pesar de lo mucho que se dice respecto a los métodos de ataques de los ciber-delincuentes, los internautas siguen cayendo en la trampa de los estafadores: desde las ofensivas de tipo phishing hasta los asiduos spam que diariamente encontramos en nuestras casillas, pasando por los correos electrónicos que contienen archivos infectados o links a páginas falsas. Todo entra en el terreno de estos ataques. Y todo entra en las formas de cobrar víctimas.
Una de las cuestiones que permiten estos engaños es la confianza que tienen los usuarios. Y si, ingresar los datos particulares en páginas sobre los que no se esté 100% seguros de su “seguridad” o descargar cualquier archivo que diga contener información atractiva o que proceda de algún conocido sin que estemos totalmente seguros de que esa persona la envía, es una de las debilidades de los internautas.
Y a pesar de que se recomienden una y otra vez cuidarse de estas posibles formas de ataques, se sigue cayendo en el engaño.
De acá se desprende otro tema, y es la falta de educación. Muchos usuarios no están totalmente preparados convivir en la red con estos métodos de ataque y creen que simplemente teniendo un anti-virus, el que incluso hasta no lo actualizan periódicamente, ya es suficiente.
Para no seguir siendo víctimas de estas agresiones, es prioridad número uno comenzar a desconfiar un poco de todo lo que esté dando vuelta por la Web y de empezar a leer un poco más sobre lo que está pasando en el mundo virtual de la seguridad. Estemos atentos e informémonos continuamente para lograr no caer en las garras de los delincuentes.
Fuente: Rompecadenas
Referencia: Xombra
Gracias a la gente de Diario Expreso por la invitación a opinar sobre el tema “Contraseñas“.
“Toda contraseña es descifrable”
Es director de Inforc Ecuador (www.inforc.ec), empresa que provee soluciones de seguridad informática. Carlos Jumbo dice que aunque se están creando alternativas, la opción más práctica siguen siendo las claves.
¿Qué peligros supone la utilización del sistema de contraseñas?
La suplantación de identidad es muy frecuente en todos los niveles socioeconómicos.En el país periódicamente se denuncian casos de suplantación a raíz de una pérdida de cédula, por ejemplo; en Internet hacerlo es mucho más fácil; solo basta conocer algunas características de la persona a suplantar para cometer el delito.
¿Claves son una buena defensa?
Una contraseña fuerte nos garantiza que nuestros datos en los sitios de Internet no sean revelados, pero siempre existirán vulnerabilidades que en algún momento puedan poner en peligro nuestros datos, por citar; detección de bugs (error de software) que pueden ser aprovechados por hackers para desfases (alteración/modificación de sitios Web).
¿Qué es lo más recomendable al momento de crear una contraseña?
Se debe considerar que la contraseña es la primera barrera de seguridad contra los accesos no autorizados al equipo, así que mientras más fuerte sea más tiempo tardará un atacante en descubrirla, está comprobado que una contraseña que tiene más de siete caracteres incluyendo especiales como: &?!·@s#, mayúsculas y minúsculas, se la puede determinar como lo suficientemente fuerte.
¿Existen claves indescifrables?
En teoría todas son descifrables, es cuestión de tiempo. Si una clave tiene 7 caracteres incluidos los especiales, un atacante tardaría 2,21 años para descifrarla; la misma cantidad de caracteres pero en minúsculas y sin especiales tardaría 2,23 horas, en el caso de 10 caracteres especiales el tiempo para descubrirla sería de 1,899 milenios.
¿Es preferible utilizar una misma clave para varios servicios?
Se puede, pero lo ideal es tener entre 2 ó 3 dependiendo de la cantidad de servicios en la web y su confiabilidad.
¿Qué tan fácil sería cambiar a un nuevo sistema de inicio de sesión?
Existen alternativas, pero hasta el momento la contraseña sigue siendo el sistema más seguro. El proyecto OpenID es el más promocionado, que es un sistema de identificación digital.
¿Cómo se maneja el recordarlas?
Es cuestión de práctica y preocuparnos de la calidad. (AGV)
Filed under consejos, seguridad by on Aug 18th, 2008. 4 Comments.
Jesús Torrecillas, consultor de Seguridad de Cemex, con motivo de la segunda edición del bSecure Conference, ha identificado los 10 errores más frecuentes que cometen los directivos en este terreno.
Primer error: Asignar a gente sin experiencia el mantenimiento de la seguridad informática y no dar formación para aprender en qué consiste la prevención de la fuga de información y los cambios inherentes a la naturaleza del puesto.
Segundo error.- Falta de comprensión entre la relación de seguridad de la información con los problemas del negocio. Informática es un área del negocio, no lo es todo.
Tercer error.- Falta de conocimiento y de compresión sobre los aspectos de la operación de Seguridad de la Información.
Cuarto error.- Confiar la seguridad de la información solamente en los firewalls e IPS, IDS, UTM, etcétera.
Quinto error.- Que el departamento de Seguridad de la Información dependa del departamento de Informática. El departamento de Informática debe contar con herramientas para auto-auditarse para que cuando le toque la auditoría externa resulte más o menos bien.
Sexto error.- Dejar sólo en manos de proveedores externos la operación de la seguridad informática, y la operación crítica de informática.
Séptimo error.- No darse cuenta del valor de la posesión de la información y la reputación de la compañía.
Octavo error.- Reaccionar reactivamente, dando soluciones breves o haciendo parches para solucionar problemas que luego se reproducirán periódicamente.
Noveno error.- Pretender que los problemas no aparecerán si son ignorados.
Décimo error.- Ocultamiento de problemas entre los departamentos de tecnología informática y de Seguridad de la Información por desviación de presupuestos. (IT versus Seguridad).
Nota completa: Netmedia
Filed under consejos, seguridad by on Aug 18th, 2008. 1 Comment.
Comentarios Recientes