Resucitando, rescatando, lo que suene mejor, lo importante es tratar de darle acción a este blog que sigue siendo un referente en materia de Seguridad de la Información, un canal de notas y detalles que brindan al lector algunas pautas para comprender de una mejor manera la problemática que vive el preciado activo de todos como es la INFORMACIÓN.

Hace más de un año intenté personalizar este espacio con un dominio propio, lo intenté con DreamHost pero me defraudó y el dominio adquirido (cavaju.com) se extravio, intenté transferirlo pero fue imposible, en conclusión, lo perdí, hoy, “Blogger custom domain” lo hace mucho más fácil que hace tiempo atrás, redirigir el .blogspot.com a un dominio es cosa sencilla, en menos de dos minutos tienes tu dominio configurado automáticamente sin necesidad de que vayas al Cpanel de ningún proveedor, además gracias a la tecnología de su fabuloso Google Apps tienes la opción de crear y manejar hasta 200 cuentas de correo electrónico con tu nuevo dominio, es decir más de 1200 gigabytes de capacidad para almacenar tu información con todas las ventajas y características de Gmail.

Esperamos seguir aportando notas interesantes a este blog, tengo algunas experiencias propias vividas en estos últimos tiempos que con todo gusto quiero compartirlas, y en el próximo post les contaré lo ocurrido entre éste servidor y el gerente de una empresa multinacional de seguros durante una charla sobre la conveniencia o no de adquirir un antivirus. No se lo pierdan!!

Gracias por seguirnos y bienvenidos nuevamente

Entre los 10 primeros puestos de los sitios más falsificados para realizar phishing en los tres primeros meses de 2008 existen páginas no correspondientes a entidades bancarias. Así, en enero y febrero los dos sitios más falsificados según datos del Antiphishing Working Group, del que Panda Security forma parte, fueron eBay y PayPal.

Pero, además de bancos y plataformas de pago, PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha detectado ataques de phishing que falseaban páginas de mundos virtuales como World or Warcraft (WoW) o, incluso, el envío de mails que decían proceder de Microsoft y en los que se solicitaban las claves de acceso a los contenidos online de Xbox.

“Los ciberdelincuentes están aumentando sus ataques destinados a hacerse con las contraseñas de los mundos virtuales y los juegos online, bien mediante el envío de troyanos especialmente diseñados para este fin, bien mediante técnicas de phishing”, explica Luis Corrons.

La razón de intentar hacerse con claves como las de la Xbox es que las claves de acceso suelen ser las mismas que las que se emplean para acceder a servicio como Hotmail, de modo que los ciberdelincuentes obtendrán cuentas a las que enviar spam y desde las que enviar spam. En el caso de mundos virtuales como WoW las contraseñas pueden servir a los ciberdelincuentes para hacerse con avatares con un nivel muy avanzado o que cuentan con determinados extras, generalmente muy difíciles de conseguir, y venderlos por Internet al mejor postor, tal y como puede verse en este post del blog de PandaLabs.

No es una novedad en el mundo corporativo decir que “las personas son el eslabón más débil cuando se habla de mantenimiento de las políticas de seguridad”. No hay dudas de que es un gran reto transformar a los funcionarios de una empresa en defensores reales de las normas de seguridad, garantizando que todos estarán concientes y dispuestos a cumplir las reglas establecidas. ¿Cómo implementar controles preventivos o correctivos que minimicen los riesgos y las brechas en la seguridad? ¿Cómo registrar el consentimiento del usuario de que éste respetará dichas políticas?

Antes que nada, es fundamental lograr el entendimiento de las políticas, para enseguida promover el cumplimiento de las normas y permitir que se centralice la creación y la distribución de esas políticas. Actualmente las organizaciones de los más diversos sectores son bombardeados por una infinidad de presiones externas, principalmente bajo la forma de reglamentos – muchas veces vagos e incluyentes – que las obligan a reducir los riesgos y demostrar que son capaces de cumplir los requisitos y reglas de seguridad.

Para garantizar que los funcionarios y colaboradores en general recibieron y comprendieron las orientaciones acerca de sus funciones y responsabilidades respecto a la seguridad, las empresas necesitan por lo tanto de soluciones de automatización de procedimientos. De esa manera, se logra reducir los costos asociados a los procesos manuales de la implementación de iniciativas que comprueben el conocimiento del usuario respecto a las políticas y el cumplimiento de las mismas en todas las áreas de la compañía, a través de informes detallados acerca de la conformidad y de la adecuación a las normas y reglamentaciones.

O sea, para estar compliance, las empresas necesitan estar capacitadas para ‘decir’ quién lo hizo, cuándo y por qué. Se trata de un almacenamiento de acciones de los funcionarios que funciona como una especie de fotografía de lo que sucedió en determinado momento.

Es por ese motivo que la gran tendencia cuando se habla de políticas de seguridad hoy en día es la práctica de exigir – como parte de la descripción del puesto de cada funcionario – el compromiso con el mantenimiento de la seguridad de datos, procesos y políticas de la empresa en donde trabaja. No es por casualidad que las corporaciones están invirtiendo cada vez más en entrenamientos, campañas de marketing interno, trabajos en grupo y en softwares que monitorean y alertan a los usuarios cuando éstos cometen imprudencias. Para eso, el funcionario necesita estar consciente de cuáles son los procesos que debe seguir.

Ese compromiso del funcionario es esencial porque la seguridad es una ecuación que une tanto a la tecnología como a las personas. De ahí la importancia de la automatización de los procesos manuales de seguridad. Son iniciativas que a lo mejor no contribuyen directamente a la recuperación de la inversión hecha (ROI) pero, a lo largo del tiempo, la automatización de la política de seguridad minimiza los gastos, preservando los activos de la empresa y garantizando su adecuación y conformidad a las diversas leyes y reglamentaciones.

Sophos ha presentado su último informe acerca del spam y los principales países emisores del mismo durante el primer trimestre de 2008.

Los expertos de SophosLabs han analizado todos los mensajes de spam recibidos en la red global de captura de spam de la compañía, descubriendo que el 92,3% de todo el correo electrónico enviado durante los tres primeros meses de 2008 era correo basura.

Además, durante este periodo, Sophos ha encontrado diariamente 23.300 nuevas páginas web relacionadas con correos no deseados, o lo que es lo mismo, una nueva página web cada 3 segundos.

Por países, entre enero y marzo de 2008, Estados Unidos y Rusia mantienen la primera y segunda posición respectivamente con el 15,4% y 7,4% del total de mensajes de spam. Aunque ambos países han visto como se ha reducido este problema durante 2007, también es cierto que Rusia, durante el primer trimestre del pasado año, se situaba en la 10ª posición con tan sólo un 3% del correo spam, frente al segundo puesto que ocupa actualmente.

Turquía también ha contribuido notablemente en el envío de spam, situándose como tercer país con mayor número de correos no deseados emitidos, siendo responsable del 5,9% del total del spam enviado a nivel mundial, comparado con el 3,8% del último trimestre del pasado año.

La lista de los 12 primeros países emisores de correo spam entre enero-marzo 2008 es:

1. USA 15.4%
2. Rusia 7.4%
3. Turquía 5.9%
4. China 5.5%
5. Brasil 4.3%
6. Corea (S) 4.0%
7. Polonia 3.8%
8. Italia 3.6%
9= Alemania 3.4%
9= UK 3.4%
10. España 3.3%
11. Francia 3.2%
Otros 36.8%

Fuente: DiarioTi

Durante los años 90, los virus computacionales básicamente te borraban archivos o ejecutaban alguna travesura en tu computadora. Los que vivían en el submundo de las redes, éramos eran jóvenes que se dedicaban a escribir esos códigos, con el simple propósito de perpetuar la cultura de la época.

Pero hoy, escribir virus y gusanos para Internet, es un negocio muy lucrativo. El reciente reporte entregado por Symantec, revela además la economía del mercado negro en Internet. En otras palabras, la disponibilidad de la información privada de personas, y el valor por contacto asignado.

Por ejemplo, la información más cotizada son las cuentas de banco, que se transan entre US$10 a US$1.000 cada uno, luego las tarjetas de crédito, que, a mi sorpresa, sólo se transan entre US$0,40 a US$20. En tercer lugar, la identidad de una persona (nombre, seguro social o rut, etc…) se piratea entre US$1 a US$15. El submundo también tiene en su menú cuentas de eBay que se transan entre US$1 a US$8.

Ahora, si quieres desarrollar tu propio fraude en línea, puedes contratar el servicio del más sucio villano, quién por US$25 y una mensualidad de entre US$10 a US$200 te dejará listo y andando para que defraudes a tus amigos como todo un estafador Nigeriano profesional.

Fuente: Xombra Website

44% de los usuarios finales reveló que sus organizaciones no tienen una política que prohíba copiar datos corporativos en las componentes personales. Otro 40% reportó que su compañía tiene una política que prohíbe que los datos corporativos se guarden en unidades flash personales. En tanto 16% no sabía si había una política.

SanDisk Corporation anunció los resultados de un nuevo estudio que demuestra los riesgos del uso flash USB inseguras. Una encuesta realizada a usuarios finales corporativos y gerentes TI, encargada por la empresa, reveló que los ejecutivos TI no están conscientes del peligro de dichas unidades que son introducidas en sus organizaciones: El 77% de los usuarios finales corporativos encuestados han utilizado unidades de disco flash personales para propósitos laborales. Sin embargo, cuando se les pidió estimar el porcentaje de la fuerza laboral que utiliza unidades flash, los directores de sistemas respondieron que es de un 35 por ciento.

Asimismo, los usuarios revelaron que los archivos de datos que más probabilidad tenían de ser copiados a una componente personal incluyen registros de clientes (25%), información financiera (17%), planes de negocio (15%), registros de empleados (13%), planes de mercadotecnia (13%) propiedad intelectual (6%) y código fuente (6%).

“La mayoría de los CIOs están conscientes de que las fugas de datos pueden derivarse en robo de identidad, compromiso de la propiedad intelectual y pérdida de secretos comerciales, así como daño a las actividades de relaciones públicas y las finanzas de las organizaciones”, aseguró Gil Mildworth, director de Mercadotecnia de la División Empresarial de SanDisk. “Nuestra encuesta demuestra que, si bien hay cierta consciencia de los riesgos potenciales involucrados con las unidades de disco flash USB, los ejecutivos de TI necesitan políticas, educación y soluciones tecnológicas más efectivas para reducir los riesgos. Sólo un esfuerzo que involucre la administración de dispositivos inteligentes, el monitoreo de datos y la aplicación centralizada de políticas reducirá considerablemente los riesgos, al tiempo de permitir a las organizaciones obtener los beneficios de productividad para realzar la movilidad”.

Los resultados de la encuesta demostraron que si bien las organizaciones han dado los pasos para implementar políticas y educar a los usuarios sobre el uso adecuado de las unidades flash USB, sus acciones son principalmente reactivas. De acuerdo con los ejecutivos de TI encuestados, más de dos terceras partes (67%) están implementando o han implementado políticas como resultado de una brecha de seguridad o fuga de datos en su organización. Además, sólo un poco más de la mitad (72%) de todos los participantes de TI han implementado una solución de seguridad de punto final.

Al mismo tiempo, casi la mitad (44%) de los usuarios finales reveló que hasta donde saben, sus organizaciones no tienen una política que prohíba copiar datos corporativos en las componentes personales. Otro 16% no sabía si había una política, mientras que el 40% reportó que su compañía tiene una política que prohíbe que los datos corporativos se guarden en unidades flash personales.

Las respuestas de los gerentes TI fueron consistentes con las de los usuarios finales. El 21% de los consultados describió el entendimiento de las políticas por parte de los empleados como sólo limitadas, mientras que el 33% fueron descritas como un entendimiento moderado, el 28% reportó tener buen entendimiento y 19% dijo tener un entendimiento completo. Cuando se les preguntó sobre la capacitación, los directores de TI reportaron que los empleados son capacitados una vez al año sobre las políticas respecto al uso de unidades flash USB (33%); que son capacitados más de una vez al año (24%); que los empleados reciben capacitación una vez cuando son contratados (22%); que son capacitados sólo cuando es necesario (17%) y que nunca capacitan a sus empleados (3%).

Cerca de 41% de los gerentes TI corporativos reportan que están por lo menos algo incómodos con el nivel de uso de unidades flash USB en sus organizaciones, lo que revela un nivel importante de riesgo potencial. Los usuarios corporativos validaron sus inquietudes al reportar que uno de cada cinco tiene de poco a ningún conocimiento de los riesgos implícitos con la transportación de datos corporativos en los dispositivos (21%), lo que revela un importante potencial de pérdida de datos.

El reporte de SanDisk fue resultado de encuestas telefónicas realizadas en Estados Unidos en marzo de 2008 por Applied Research-West, entre usuarios finales corporativos y gerentes TI corporativos. El objetivo de las encuestas fue aprender más sobre el uso de unidades flash en la empresa, así como la consciencia de los riesgos potenciales implícitos con la transportación de datos corporativos en unidades flash personales.