Todos sabemos que Facebook paga por aquellas vulnerabilidades que se puedan descubrir en su plataforma con la finalidad de mejorar la seguridad en la misma. Un investigador palestino, Khalil Shreateh, violó todas las franjas de seguridad y pudo ingresar hasta el perfil del jefe y creador de Facebook, Mark Zuckerberg, modificando dicho perfil de la siguiente manera:
«Querido Mark Zuckerberg, siento haber violado la privacidad de su página y haber publicado un mensaje en su muro, pero no tuve otra opción después de que todos los informes (para indicar una falla de seguridad) que envié al equipo de Facebook» y fueron ignorados, escribió Shreateh.
El investigador al parecer buscaba una suma bastante importante de dinero por haber encontrado dicho fallo de seguridad pero el equipo de Facebook respondió lo siguiente: «el grupo no podía pagarle una recompensa por exponer un fallo informático, acusándolo de «violación de los términos y servicios» del grupo al hackear las páginas de Facebook.»
Un portavoz de Facebook dijo a la AFP que Facebook no había «ignorado los informes» de Shreateh, sino que el investigador no había dado «suficientes detalles» y que la política del grupo es clara sobre el hecho de que «nunca es aceptable» mostrar fallas de la red social usando las páginas de los usuarios sin su consentimiento.
Siempre me he preocupado porque la gente le dé un buen usa a las contraseñas y sobretodo a que sepan el valor que tiene cada una, pues detrás de ellas no solo está nuestra información personal sino muchas veces nuestro futuro.
La protección de las contraseñas no sólo es responsabilidad de los administradores de los sistemas, cuando hablamos en una empres, también es responsabilidad del usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema.
«Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y NO lo compartas con tus amigos».
Luego de haber leído mucho acerca de seguridades y poniendo en práctica los conocimientos adquiridos con el tiempo, comparto los siguientes consejos que pueden tomarlos en cuenta tanto el usuario final como los administradores de sistemas:
Jamás configurar contraseñas con los números de cédulas ni con nombres de familiares. (usuario).
Cambiar las contraseñas regularmente. (usuario / administradores)
Jamás permitir cuentas de usuario sin contraseñas. (administradores)
Como usuario cuando nos asignan una contraseña siempre lo primero que debemos hacer es cambiarla. (usuario).
Jamás compartamos nuestra contraseña con amigos o familiares. (usuario)
No tener una agenda física de contraseñas, y si se lo hace no permitir que nos asocien con ellas. (usuario / administradores).
Si tenemos a alguien a nuestro lado y debemos teclear nuestra contraseña hagámoslo viendo a los ojos de quien esta a nuestro lado, esto evitará o nos permitirá mantener el contral de la situación para que no vean lo que tecleemos. Pues siempre es recomendable no mirar el teclado cuando tecleamos nuestra contraseña. (usuario)
Jamás envíes contraseñas por correo electrónicos ni mensajes de textos. (usuario)
Mientras más caracteres tenga nuestra contraseña es más difícil de averiguarla y mucho mejor si la combinamos con caracteres especiales y números. (usuario/administradores)
Espero les haya servido de mucho y que sobretodo aprendamos a valorar lo que existe detrás de nuestras contraseñas.
La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony han ubicado al tema de la fuga de información entre los más discutidos y controversiales de la agenda de medios. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.
“La existencia misma del caso Wikileaks determinó un antes y un después en cuanto a lo que a fuga de información se refiere. No es que antes no ocurriera, sino que- en la mayoría de las ocasiones- las fugas no se hacen públicas para salvaguardar la imagen de las empresas e instituciones. Además, el incidente permitió entender que si este tipo de incidentes puede sucederle a organizaciones tan grandes y preparadas, podría ocurrirle también a empresas y organizaciones más pequeñas”, aseguró Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica.
Con el primordial objetivo de contribuir con la educación e información de las empresas para alcanzar una mejor política de seguridad de la información, los especialistas de ESET han elaborado los 10 mandamientos de la seguridad corporativa, entendidos como los principios básicos que deben regir la protección de la información en las empresas:
1.- Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.
2.- Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta anti-spam estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.
3.- Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social- es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.
4.- Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.
5.- Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica elaborado por ESET, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.
6.- No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.
7.- No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.
8.- No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.
9.- No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.
10.- No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.
“Todas las empresas están preparadas para afrontar el desafío de proteger su información. Para comenzar con ello, consideramos que conocer e implementar estos principios es un muy buen primer paso que ayudará con la implementación de correctas metodologías para cuidar información de su compañía. Es fundamental entender que cuidar la información es, sencillamente, cuidar el negocio”, agregó Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.
Los expertos en seguridad han realizado un balance del estado de la seguridad durante los tres primeros meses del año y el panorama no es nada alentador, ya que el número de nuevas amenazas ha aumentado un 26% con respecto al año anterior y se han producido graves incidentes.
Uno de ellos ha estado protagonizado por la plataforma móvil de Google que se ha convertido en uno de los blancos preferidos para sus ataques debido a su enorme crecimiento.
Los ciberdelincuentes consiguieron colocar en el Android Market más de 50 copias fraudulentas de aplicaciones originales que infectaban a los usuarios y permitían a los hackers acceder al terminal y tomar el control de forma remota.
Otro de los protagonistas de la inseguridad durante el primer trimestre ha sido Facebook. La amenaza más grave que se ha detectado en la red social fue lanzada por un joven californiano de 23 años que consiguió acceder a las direcciones de correo de un buen número de usuarios para robar datos personales y después chantajearles con su publicación.
En la lista de incidentes graves también figura el ataque de Anonymous dirigido contra la firma de seguridad norteamericana HBGary Federal tras unas declaraciones de su CEO en las que aseguraba poseer información de los responsables de este grupo ciberactivista.
Los expertos alertan de que la mayoría de las amenazas detectadas en lo que llevamos de año son troyanos orientados al robo de datos bancarios.
Las estadísticas del primer trimestre del año 2011 recogidas por BitDefender muestran como el software pirata es una de las principales amenazas de seguridad en la actualidad.
Conficker – también llamado Downadup – continúa liderando el ranking del malware más distribuido. La función de ejecución automática de los dispositivos extraíbles sigue siendo la principal vulnerabilidad aprovechada por los ciberdelincuentes para infectar los ordenadores de los usuarios con este malware.
El modo de actuar de este malware es bien conocido: entre otras cosas, impide que los usuarios tengan acceso tanto a Windows Update como a páginas de proveedores de seguridad, a la vez que descarga falsos antivirus en los equipos comprometidos.
La constante presencia del gusano en el top de BitDefender revela que los usuarios siguen siendo reacios a la instalación de actualizaciones de seguridad del proveedor del sistema operativo.
“La razón puede ser la alta tasa de sistemas operativos piratas, que hace que muchos usuarios no puedan actualizar sus sistemas, quedando expuestos frente a amenazas como Conficker», explica Jocelyn Otero Ovalle, Directora de Marketing de BitDefender para España y Portugal.
El segundo y el quinto lugar están ocupados por dos códigos maliciosos muy relacionados con Conficker: Trojan.AutorunINF.Gen y Worm.Autorun.VHG. Ambos hacen que la función de ejecución automática de los dispositivos extraíbles sea vulnerable a los ataques de malware de todo tipo.
La novedad en el top 5 de malware en lo que va de año 2011 es Trojan.Crack.I (5,32%), que ocupa una “honorable» tercera posición, después de sólo unos pocos meses de existencia. Cabe mencionar que esta aplicación genera claves de registro no autorizadas con el fin de derrotar la protección comercial de los productos de software. Si bien, al mismo tiempo recoge información sobre otras aplicaciones que se ejecutan en el ordenador infectado (nombre, versión, claves de registro, etc) y las envía a un atacante remoto, que posteriormente vende estos certificados como “software OEM».
“De nuevo la alta tasa de piratería parece estar detrás de esta amenaza, ya que los usuarios descargan este malware porque les permite acceder a productos comerciales de software de pago. Lo que ocurre es que después realiza otras acciones maliciosas», explica Otero.
Los consumidores deben tener cuidado con los timos comunes en Navidad antes de reservar viajes o realizar compras navideñas a través de Internet. McAfee revela “los 12 timos de Navidad» – las 12 estafas más importantes que los usuarios de Internet deben tener en cuenta en esta época.
1.- Timos de falsas ofertas de iPads.
Los productos de Apple están liderando las listas de ventas esta Navidad, por lo que los cibercriminales están muy ocupados distribuyendo falsas ofertas de iPads gratuitos. Los laboratorios McAfee Labs advierten de que en este tipo de timos, a los consumidores se les ofrecen otros productos y se les dice que, si los adquieren con tarjeta de crédito, pueden conseguir un iPad de forma gratuita. Por supuesto, las víctimas nunca reciben el iPad u otros productos, solo el dolor de cabeza que produce el darse cuenta de que les han robado el número de la tarjeta de crédito.
2.- «Socorro, me han estafado».
Esta estafa de viajes envía angustiosos mensajes telefónicos a familia y amigos pidiéndoles dinero para poder volver a casa en Navidad. Los laboratorios McAfee Labs han presenciado un crecimiento en este timo y predice un aumento durante la temporada de viajes.
3.- Tarjetas regalo falsas.
Los cibercriminales utilizan las redes sociales para promocionar tarjetas de regalo falsas con el objetivo de robar dinero e información a los consumidores, que posteriormente venden o utilizan para realizar robos de identidad.
4.- Ofertas de trabajo navideñas.
Puesto que la gente necesita dinero extra para regalos y vacaciones, los timos en Twitter ofrecen enlaces peligrosos de trabajos bien pagados o empleos para trabajar desde casa, en los que se pide información personal, como dirección de correo electrónico, dirección postal y el número de la seguridad social para responder a la falsa oferta de trabajo.
5.- «Smishing».
Los cibercriminales envían phishing a través de mensajes de texto (“smishing»). Estos textos parecen llegar del banco o de sitios online diciendo que existe algún error en su cuenta y pide realizar una llamada a un número de teléfono concreto para verificar la información de la cuenta. En realidad, estos mensajes no son más que una excusa para extraer valiosa información personal.
6.- Ofertas vacacionales sospechosas.
En época de vacaciones, cuando los consumidores buscan en Internet viajes u ofertas a precios asequibles, los cibercriminales crean sitios web falsos de alquiler y búsqueda de vacaciones en las que es necesario realizar los pagos iniciales con tarjeta de crédito o transferencia bancaria.
7.- Los timos relacionados con la crisis continúan.
Los estafadores dirigen a los consumidores vulnerables a estafas relacionadas con la recesión, como el pago adelantado de créditos. McAfee Labs ha presenciado un gran número de spam sobre publicidad de préstamos, a bajo interés y tarjetas de crédito si el receptor paga una cuota de tramitación, que va directamente al bolsillo de los estafadores.
8.- Tarjetas de felicitación.
Las tarjetas electrónicas son una forma muy común de enviar nuestros mejores deseos a amigos y familiares, pero los cibercriminales ofrecen versiones falsas con enlaces a virus y otros tipos de malware.
9.- Trampas a bajo precio.
Los compradores deberían tener cuidado con productos que se ofrecen a un precio mucho menor que el de la competencia. Los cibercriminales utilizan sitios web falsos y de subastas para realizar ofertas demasiado buenas como para ser verdad, con el único objetivo de robar al usuario información y dinero.
10.- Timos relacionados con la caridad.
La Navidad ha sido tradicionalmente la época preferida por los cibercriminales para los timos, puesto que es una época propicia para las donaciones. Los laboratorios McAfee Labs predicen que este año no es una excepción. Las tácticas más comunes son llamadas telefónicas y correos electrónicos de spam pidiendo donaciones destinadas a personas mayores y niños o recogida de fondos para sufragar la última catástrofe.
11.- Descargas navideñas peligrosas.
Los salvapantallas con temática navideña, cascabeles y animaciones son una forma fácil para propagar virus y otras amenazas en los ordenadores, especialmente cuando los enlaces llegan en un correo electrónico o mensaje instantáneo que parece proceder de un amigo.
12.- Wi-fi en hoteles y aeropuertos.
En Navidad mucha gente viaja y utiliza las redes wi-fi en lugares como hoteles y aeropuertos. Esto es una tentación para los ladrones que pretenden hackear estas redes, esperando encontrar una oportunidad para realizar el robo.
Facebook sigue actualizándose buscando satisfacer las demanads de todos sus usuarios. En este caso se debe a tres novedades. En primer lugar, la posibilidad de cerrar una sesión de forma remota y a la vez tener mucha más información sobre cada conexión con el sitio. Por otro lado, también actualizaron el buscador y están probando un nuevo tipo de subscripción con usuarios específicos que puede estar llegando en las próximas semanas.
Aunque en Facebook todavía están trabajando en una opción para borrar tu cuenta de manera permanente, sin tener que pasar horas buscando la opción, ahora puedes cerrar tu sesión de forma remota. De modo que si un día te olvidas de cerrar tu sesión, puedes conectarte desde cualquier dispositivo, ya sea ordenador o teléfono móvil y, además de hacer todas las cosas que haces a diario, cerrar tu sesión.
Lejos parecen quedar los escándalos por las políticas de privacidad y, de a poco, los cambios que prometió Mark Zuckerberg están llegando a los usuarios. Parte de estos cambios es esta nueva opción para cerrar la sesión de forma remota, que además incluye algunas funcionalidades nuevas. Por ejemplo, ahora puedes saber desde dónde te has conectado, ya sea mediante su teléfono móvil, televisor con Internet o un ordenador personal o público. Con estas medidas, esperan que cada usuario tenga más control sobre su propia cuenta, ya que podrá acceder a detalles como cuánto tiempo estuvo conectado, el navegador usado y una posición apróximada del dispositivo conectado.
Esto es un gran agregado ya que le permitirá a muchos saber si alguien ha entrado a su cuenta de forma ilícita. Pero este no es el único cambio reciente que han hecho en la popular red social. Por ejemplo, el buscador recibió una pequeña actualización también, que le permite mostrar los resultados ordenados por los gustos de los usuarios y su relación a tí. El contenido que tenga más votos favorables o haya sido creado por amigos tuyos, se verá primero que otros menos populares.
Finalmente, uno de los últimos agregados es un sistema de subscripción que han estado probando con un pequeño porcentaje de usuarios. Esta nueva opción permitiría tener alertas sobre cada actualización de un usuario en particular. Todavía no sabemos si puedes subscribirte a personas que no sea amiga tuya, pero eso quedará por ver una vez que lancen la nueva versión de forma masiva y corrijan los detalles con el paso de los días. De todos modos, lo importante que ya se empiezan a ver los cambios de los que hablaba Zuckerberg hace unos meses.
Como es de esperarse el gigante Google ha lanzado una nueva versión de su navegador, la misma que se llama «Google Chrome Canary Build».
Además Google pone a disposición de todos los usuarios que deseen probar las capacidades más novedosas de las versiones en desarrollo la versión Chrome Canary, la misma que es un poco inestable pero ideal para ir probando las nuevas características .
El desarrollo de esta nueva versión es un intento de competir y mejorar su vulnerabilidad en cuanto a seguridad y adicionalmente mejorar en algo la cuota en el mercado que hasta ahora ha reducido con respecto a IE.
Todas las novedades en la configuración de los parámetros de privacidad de la red social de Facebook han sido también trasladados a los usuarios que navegan por esta red con sus teléfonos móviles.
La empresa ha anunciado que todas sus preferencias de privacidad estarán disponibles a todos los usuarios, incluidos aquellos que acceden a Facebook desde un navegador de teléfono móvil.
“A partir de hoy, podréis usar dichos controles sin importar dónde estéis, qué dispositivo utilicéis para acceder, o cuando necesitéis tomar esa decisión sobre vuestra información”.
Se puede acceder a los nuevos controles a través de m.facebook.com/privacy, o a través de la página de Configuración y luego a través del botón “Cambiar” que está cerca de las palabras “Configuración de la privacidad”.
Siempre me he preocupado porque la gente le dé un buen usa a las contraseñas y sobretodo a que sepan el valor que tiene cada una, pues detrás de ellas no solo está nuestra información personal sino muchas veces nuestro futuro.
La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony han ubicado al tema de la fuga de información entre los más discutidos y controversiales de la agenda de medios. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.
Los expertos en seguridad han realizado un balance del estado de la seguridad durante los tres primeros meses del año y el panorama no es nada alentador, ya que el número de nuevas amenazas ha aumentado un 26% con respecto al año anterior y se han producido graves incidentes.
Las estadísticas del primer trimestre del año 2011 recogidas por BitDefender muestran como el software pirata es una de las principales amenazas de seguridad en la actualidad.
Los consumidores deben tener cuidado con los timos comunes en Navidad antes de reservar viajes o realizar compras navideñas a través de Internet. McAfee revela “los 12 timos de Navidad» – las 12 estafas más importantes que los usuarios de Internet deben tener en cuenta en esta época.
Como es de esperarse el gigante Google ha lanzado una nueva versión de su navegador, la misma que se llama «Google Chrome Canary Build».
Todas las novedades en la configuración de los parámetros de privacidad de la red social de Facebook han sido también trasladados a los usuarios que navegan por esta red con sus teléfonos móviles.