El blog de Inforc Ecuador » seguridad

¿Tienes privacidad de verdad en las redes sociales?

Carlos Jumbo G. — Wed, 25 Aug 2010 23:20:45 +0000

Una interesante animación de PantallasAmigas.net que pretende sensibilizar sobre el riesgos de “pérdida de privacidad inducida” en la Red, es decir, aquella que depende de lo que los demás hagan con nuestra imagen, datos personales, etc., un problema creciente en las redes sociales de Internet.

Click here to view the embedded video.

“Lo que se sabe de ti depende de otras personas”.

Navegación segura para tu familia

Carlos Jumbo G. — Wed, 18 Aug 2010 13:03:43 +0000

El uso del Internet ha revolucionado la comunicación entre los seres humanos. Hoy tenemos al alcance de un clic un sinfín de posibilidades de educación, negocios, trabajo, cultura y esparcimiento. No obstante, en este nuevo universo coexisten oportunidades y riesgos que debemos compartir y comunicar entre todos para nuestra propia seguridad.

Los padres deben formar a los hijos en una utilización responsable de los sitios Web y las redes sociales. En este sentido, la vida virtual es una extensión de la realidad, por lo que es importante explicar a los hijos que todas sus acciones pueden tener repercusiones, algunas negativas, ya que una vez que se sube la información, aunque se elimine, ya no se puede quitar.

Hay 7 consejos que todo navegante debe conocer:

No compartir información económica personal o familiar: Se debe evitar en lo posible anunciar salidas de vacaciones, autos nuevos, salarios o cualquier otra información que permita indagar sobre la capacidad económica. Es recomendable borrar números de celular de los datos de contacto.
Revisar parámetros de privacidad: Las redes sociales tienen una configuración para que los contenidos no estén abiertos a cualquiera. Muchas personas, sin darse cuenta, tienen fotos que pueden abrirse desde cualquier computadora porque no se ha revisado el perfil de privacidad.
No dar de alta a desconocidos: A todos nos gusta tener muchos amigos, pero no podemos considerar así a alguien que jamás hemos visto y desconocemos sus intenciones. Es preciso no dar de alta a este tipo de usuarios y se les debe bloquear sin dudarlo cuando sea necesario.
Evitar cadenas: Hay que recordar que hay muchas empresas dedicadas a comerciar y usar indiscriminadamente bases de datos, incluidos correos, teléfonos y otra información personal. Los correos masivos algunas veces son instrumentos para construir esta información. Borra las cadenas y evita reenviarlas.
Verifica información: Es común que, abusando de la buena fe de la gente, se difunda información sobre accidentes, secuestros u otro tipo de eventos que no tienen otro fin que obtener direcciones de correo. Es bueno cerciorarse que la información sobre terceros que damos a conocer es real.
No abrir archivos dudosos: Una modalidad para “robar” información sobre cuentas electrónicas es el phishing. Nunca se debe abrir un archivo sin tener certeza sobre su contenido.
Denuncia páginas web y mensajes fraudulentos: Efecto Internet publicó un email para recibir mensajes irregulares en denuncia@asi-mexico.org Además, si cree que un sitio web recolectó o divulgó información sobre sus hijos o actuó ilegalmente también lo puede denunciar en esta misma dirección.

Fuente: México SOS

Enlaces de Seguridad [I]

Carlos Jumbo G. — Wed, 23 Jun 2010 23:06:57 +0000

Infectando el iPad – Blog de PandaLabs
Algunas novedades del ZeuS – S21sec Blog
Un IDS para reverse(“elcaro”) – 48bits
¿Cuáles son las 3 aplicaciones potencialmente más vulnerables que vienen con Windows 7? [ENG] – Security-FAQs
The Top 5 Credit Report and Score Myths – IdentyGuard
Informe trimestral sobre el estado de internet (IV Edición) – Akamai Technologies
Revista Electrónica El Derecho Informático Nº4 – Junio 2010 – El Derecho Informático
El 76% de los internautas vascos ha sufrido amenazas informáticas y el 55% no toma precauciones en operaciones bancarias – EuropaPress
Nuevo estándar ISO/IEC 38500 sobre el gobierno de las TIC – Blog de Manuel Delgado
El 32 por ciento de los robos de portátiles se produce dentro de los hogares – IDG
Estudio sobre la seguridad de las comunicaciones móviles e inalámbricas – Xombra
Archivos PDF infectados con fotografías de la copa mundial – Xombra
Microsoft crea una “lista negra” del phishing para que se protejan las empresas – Clarín
¿Es posible aprender hacking con la información publicada en libros y revistas? – ISSA Chile
Continuidad de negocio: más que recuperación de desastres – Segu-Info
Análisis de riesgos – Segu- Info

Definición Seguridad Información

Carlos Jumbo G. — Fri, 28 May 2010 23:17:49 +0000

Definicion Seguridad Informacion on Prezi

Fuente: IT360.es

Por qué los empleados rompen las políticas de seguridad

Carlos Jumbo G. — Tue, 18 May 2010 00:59:48 +0000

Sucede todos los días: un empleado que está fuera de la oficina quiere acceder en sus elementos del trabajo. En lugar de utilizar un método más seguro, decide enviar algunos archivos a su máquina de casa, o subir un archivo a Facebook, o utilizar una popular herramienta de intercambio de archivos para PC. Y lo siguiente ya lo sabe usted, su organización queda comprometida y expuesta a una pérdida de datos importantes.

Las empresas que estudian el comportamiento señalan que muchos empleados rompen las reglas con el fin de realizar su trabajo a tiempo.

“La mayoría de los usuarios no buscan de manera maliciosa violar las políticas de seguridad de la empresa, sino simplemente buscan la manera para realizar su trabajo convenientemente,” dice René Bonvanie

Artículo en DarkReading [ENG]. Referencia: ISO27001.es

En el Día de Internet, 10 consejos para navegar seguro

Carlos Jumbo G. — Thu, 13 May 2010 21:11:32 +0000

El lunes 17 de mayo se celebra en todo el mundo el Día de Internet, una iniciativa que tiene como objetivo dar a conocer las posibilidades que ofrecen las nuevas tecnologías para elevar el nivel de vida de los usuarios y contribuir a su desarrollo personal y al de sus tareas diarias, desde un marco voluntario donde cualquier persona u organización puede realizar actividades o eventos relacionados.

Con motivo de esta fecha, los especialistas en seguridad informática del Laboratorio de ESET Latinoamérica han preparado un Decálogo de Seguridad para usuarios de Internet, con los consejos más importantes para cuidarse al momento de navegar por el ciberespacio:

Evitar los enlaces sospechosos: uno de los medios más utilizados para direccionar a las víctimas a sitios maliciosos son los hipervínculos o enlaces. Evitar hacer clic en éstos previene el acceso a páginas web que posean amenazas capaces de infectar al usuario. Los enlaces pueden estar presentes en un correo electrónico , una ventana de chat o un mensaje en una red social: la clave está en analizar si son ofrecidos en alguna situación sospechosa (una invitación a ver una foto en un idioma distinto al propio, por ejemplo), provienen de un remitente desconocido o remiten a un sitio web poco confiable.

No acceder a sitios web de dudosa reputación: a través de técnicas de Ingeniería Social, muchos sitios web suelen promocionarse con datos que pueden llamar la atención del usuario – como descuentos en la compra de productos (o incluso ofrecimientos gratuitos), primicias o materiales exclusivos de noticias de actualidad, material multimedia, etc. Es recomendable para una navegación segura que el usuario esté atento a estos mensajes y evite acceder a páginas web con estas características.

Actualizar el sistema operativo y aplicaciones: el usuario debe mantener actualizados con los últimos parches de seguridad no sólo el sistema operativo, sino también el software instalado en el sistema a fin de evitar la propagación de amenazas a través de las vulnerabilidades que posea el sistema.

Descargar aplicaciones desde sitios web oficiales: muchos sitios simulan ofrecer programas populares que son alterados, modificados o suplantados por versiones que contienen algún tipo de malware y descargan el código malicioso al momento que el usuario lo instala en el sistema. Por eso, es recomendable que al momento de descargar aplicaciones lo haga siempre desde las páginas web oficiales.

Utilizar tecnologías de seguridad: las soluciones antivirus, firewall y antispam representan las aplicaciones más importantes para la protección del equipo ante la principales amenazas que se propagan por Internet. Utilizar estas tecnologías disminuye el riesgo y exposición ante amenazas.

Evitar el ingreso de información personal en formularios dudosos: cuando el usuario se enfrente a un formulario web que contenga campos con información sensible (por ejemplo, usuario y contraseña), es recomendable verificar la legitimidad del sitio. Una buena estrategia es corroborar el dominio y la utilización del protocolo HTTPS para garantizar la confidencialidad de la información. De esta forma, se pueden prevenir ataques de phishing que intentan obtener información sensible a través de la simulación de una entidad de confianza.

Tener precaución con los resultados arrojados por buscadores web: a través de técnicas de Black Hat SEO , los atacantes suelen posicionar sus sitios web entre los primeros lugares en los resultados de los buscadores, especialmente en los casos de búsquedas de palabras clave muy utilizadas por el público, como temas de actualidad, noticias extravagantes o temáticas populares (como por ejemplo, el deporte y el sexo). Ante cualquiera de estas búsquedas, el usuario debe estar atento a los resultados y verificar a qué sitios web está siendo enlazado.

Aceptar sólo contactos conocidos: tanto en los clientes de mensajería instantánea como en redes sociales, es recomendable aceptar e interactuar sólo con contactos conocidos. De esta manera se evita acceder a los perfiles creados por los atacantes para comunicarse con las víctimas y exponerlas a diversas amenazas como malware, phishing, cyberbullying u otras.

Evitar la ejecución de archivos sospechosos: la propagación de malware suele realizarse a través de archivos ejecutables. Es recomendable evitar la ejecución de archivos a menos que se conozca la seguridad del mismo y su procedencia sea confiable (tanto si proviene de un contacto en la mensajería instantánea, un correo electrónico o un sitio web). Cuando se descargan archivos de redes P2P, se sugiere analizarlos de modo previo a su ejecución con un una solución de seguridad.

Utilizar contraseñas fuertes: muchos servicios en Internet están protegidos con una clave de acceso, de forma de resguardar la privacidad de la información. Si esta contraseña fuera sencilla o común (muy utilizada entre los usuarios) un atacante podría adivinarla y por lo tanto acceder indebidamente como si fuera el usuario verdadero. Por este motivo se recomienda la utilización de contraseñas fuertes, con distintos tipos de caracteres y una longitud de al menos 8 caracteres.

Celebrando el Día de Internet Segura

Carlos Jumbo G. — Wed, 10 Feb 2010 00:27:03 +0000

Hoy se celebra el Día de Internet Segura, una iniciativa de Insafe, red Europea de concientización de Internet más Segura, cofundada con la Comisión Europea, que busca empoderar a los usuarios para beneficiarse de los aspectos positivos que entrega esta herramienta, pero evitando los potenciales riesgos al utilizarla.

En la actualidad, las posibilidades de acceso a todo tipo de información junto a la explosión de contenidos generados por los usuarios de blogs y redes sociales, son una buena herramienta de educación, democracia, entretenimiento y comunicación. Sin embargo, esto puede ser un riesgo para los menores de edad, al verse expuestos a contenidos inadecuados, y a la comunicación con desconocidos.

Y cómo lo menciona Javier Cao Avellaneda en su blog: Lo que publicas en la Red es como el matrimonio, puede que dure para toda la vida. Por tanto, antes de colgarlo en la red, reflexiona si te hará ilusión dentro de algunos años ver esa foto, ese texto o esas reflexiones.

Click here to view the embedded video.

Relacionado:
Día de Internet Seguro: advertencia contra los peligros en las redes sociales
Referencia:
Hoy se celebra el día de Internet Segura

El Infosecurity Quito 2009

Carlos Jumbo G. — Thu, 19 Nov 2009 19:42:27 +0000

Este 18 de noviembre se cumplió en Quito, la séptima edición del evento Infosecurity Quito 2009, un acontecimiento digno de resaltar, por ser uno de los pocos o el único que tiene una trascendencia e importancia en temas relacionados con la seguridad de la información.

Como siempre, las acogedoras instalaciones del Hotel Marriot sirvieron para conversar y mostrar a los asistentes detalles y experiencias válidas en soluciones enfocadas a crear y mantener un entorno SEGURO.

Y como ya se ha vuelto una tradición, INFORC ECUADOR estuvo presente apoyando este tipo de iniciativas que buscan concienciar sobre el buen uso de las tecnologías.

Felicitaciones a la gente iSEC por la organización y por el esfuerzo dedicado a sacar adelante el evento Infosecurity Quito 2009.

Obteniendo la ‘seguridad concienciada’

Carlos Jumbo G. — Mon, 16 Nov 2009 21:44:22 +0000

Frente a las metodologías de seguridad del pasado, la ‘seguridad concienciada’ se caracteriza por una mayor sofisticación, inteligencia y buen juicio aplicados a la seguridad de la información.

Los pasos a seguir por las empresas para alcanzar la ‘seguridad concienciada’, según SafeNet, son los siguientes:

Paso 1: Ser consciente de su ceguera en materia de seguridad
Al concebir un enfoque de seguridad concienciada, es esencial comenzar por echar un vistazo inflexible y franco a los mecanismos de seguridad existentes y entender qué pueden hacer y qué no.

Paso 2: Concienciarse acerca de la información
¿Cómo librarnos de la ceguera de información tipificada por las metodologías de seguridad tradicionales? Actualmente, hay soluciones de cifrado avanzadas que preparan el terreno para proteger los datos concretos, en vez de proteger la información en el sistema, en la red o en un nivel de dispositivo. El cifrado sofisticado, de aplicación o de información son tres mecanismos que determinan una base vital de la que las organizaciones pueden comenzar a obtener la concienciación de información necesaria para satisfacer el doble objetivo de optimizar la seguridad y el rendimiento de la empresa.

Paso 3: Obtener concienciación de información
En un alto nivel, la concienciación de información se caracteriza por mecanismos de seguridad proactivos y no necesariamente reactivos.

En lugar de un sistema de prevención de intrusiones, que requiere actualizaciones constantes para protegerse contra los ataques de ayer, la metodología del mañana será ‘infocéntrica’ y proactiva. Las organizaciones se centrarán en la información necesaria para su protección y a la hora de adoptar las medidas necesarias para asegurar su privacidad, accesibilidad e integridad, sea cual sea la índole de las amenazas planteadas.

Un programa de protección de datos bien diseñado debe basarse en cinco principios y caracterizarse por ser:

Integral: El plan de toda estrategia de protección de datos necesita comenzar por una plataforma universal que se pueda integrar en una amplia gama de servidores de archivos de la empresa, bases de datos, aplicaciones, etc.
Inteligente: La protección de datos debe estar en consonancia con necesidades comerciales y ser definida por ellas.
Persistente: Desde el momento en que se crea un documento y durante su modificación, distribución y borrado, la protección se debe emplear de manera constante, de modo que la información sea autoconsciente. La persistencia encapsula los datos junto con su política y les permite ser accesibles y moverse libremente, de manera que se pueda compartir la información conforme a las necesidades de la empresa y así posibilitar una mayor productividad.
Selectivo: Esto faculta a personas a definir de manera explícita políticas para los datos que se desea proteger.
Proactivo: La protección de datos proactiva es tan transparente y sin contratiempos, que las amenazas se predicen como medio de prevención, debido a un estado de concienciación constante.

Semana de la Seguridad Informática [Argentina]

Carlos Jumbo G. — Tue, 03 Nov 2009 03:06:41 +0000

La Oficina Nacional de Tecnologías de Información (ONTI), organiza por segundo año consecutivo la “Semana de la Seguridad Informática 2009″ durante la cual se promoverá la realización de acciones de capacitación y/o concientización en la materia.

El objeto de esta semana es convocar y sumar a la mayor cantidad de interesados, sean estos Empresas, Organizaciones de la Sociedad Civil, Organismos de Gobierno, Entidades Educativas, maestros, ciudadanos, etc., para que realicen acciones tendientes a concientizar y capacitar sobre los riesgos asociados al uso de la tecnología. La ONTI pone a disposición este espacio para darle difusión a todas las actividades que se realicen, y acercar herramientas y contenidos que pueden ser de utilidad. El año pasado participaron más de 90 Entidades, colaborando de esa manera en concientizar sobre la temática y llegando a un gran número de personas.

¿Pero, por qué se celebra?

La explosión que en los últimos años han experimentado las redes informáticas, fundamentalmente Internet, ha hecho que la seguridad informática cobre vital importancia. Si bien Internet nos proporciona una gran cantidad de información, nuevos servicios y facilidades, también incorpora una serie de nuevos riesgos y amenazas a la seguridad de la información. Conectarnos a Internet sin las debidas precauciones puede convertirnos en un blanco fácil de estos ataques. Del mismo modo, las organizaciones también se encuentran expuestas a una serie de vulnerabilidades derivadas de la protección inadecuada de su información y de sus sistemas. La seguridad informática consiste en un conjunto de procesos cuyo objetivo es minimizar los riesgos a los cuales se expone la información, mediante una serie de técnicas y herramientas organizativas que buscan preservar su confidencialidad, integridad y disponibilidad, es decir las condiciones que la hacen confiable. Sin dudas, la Seguridad Informática es un tema de todos, ya que le compete al Estado, a las organizaciones, al ciudadano usuario de Internet y de comercio o gobierno electrónico, e inclusive a aquellas personas que no acceden directamente a Internet, pero cuyos datos podrían ser objeto de tratamiento electrónico y por lo tanto, pueden ser alcanzados por ataques a la seguridad de su información.

Más detalles en la web del evento.