Riesgos de las redes sociales y políticas de seguridad

Los riesgos que las redes sociales suponen contra la legitimidad, seguridad y privacidad de las empresas deberían motivar a éstas para incluir dichos medios en sus planes de seguridad. Según un informe de Panda, Facebook es el principal culpable de las infecciones de malware de una compañía.

El 1er Índice Anual de Riesgo en Redes sociales de pymes, publicado por Panda Security, señala que el 78% de las empresas consultadas para el informe utiliza redes sociales para apoyar la investigación y la inteligencia competitiva, mejorar su servicio de soporte al cliente, implementar las relaciones públicas y las iniciativas de marketing y generar beneficios directos.

Pero por muchos beneficios que las redes sociales puedan aportar, sus riesgos son muchos.
En el estudio, Facebook es el principal culpable de las infecciones de malware reportado por las empresas (71,6%) y de las violaciones de privacidad (73,2%). YouTube ocupa el segundo lugar en cuanto a infecciones (41,2%), mientras que Twitter contribuyó al 51% de las violaciones de privacidad.
Para las empresas que atribuyen sus pérdidas económicas a violaciones de privacidad por parte de los empleados, Facebook fue la red social donde más se originaron las pérdidas (62%), seguido de Twitter (38%), YouTube (24%) y LinkedIn (11%).

Así pues, viendo estos datos, es evidente que hay una necesidad de que las políticas de seguridad contemplen un plan específico para la gestión de crisis originadas por los riesgos de las redes sociales.

 “Los planes de seguridad de las empresas, sean grandes o pequeñas, deben contener planes de contingencia y de actuación en caso de crisis públicas causadas por cualquiera de estas plataformas, que podrían redundar en una pérdida de la reputación corporativa y de beneficios económicos”, apunta Luis Corrons, Director Técnico de PandaLabs.

Leer más »

Microsoft lanza un parche para su antivirus

Microsoft ha lanzado un parche para cubrir una vulnerabilidad en su motor de escaneo de malware que podría ser aprovechada por los hackers para tomar el control de las máquinas Windows.
El parche ha sido distribuido como una actualización de Microsoft Malware Protection Engine, y la vulnerabilidad que resuelve es del tipo de elevación de privilegios.

Microsoft, que ha clasificado la vulnerabilidad como “importante” (el segundo mayor nivel de riesgo dentro de su escala de valoración), asegura no haber tenido noticia de que la brecha haya intentado ser aún explotada y cree que aún no se ha desarrollado código para ello.

Cerrudo, CEO de la firma de investigación sobre seguridad Argeniss, mantiene que fue el pasado julio cuando reveló por primera vez la existencia del agujero en la conferencia de seguridad Black Hat. De cualquier modo, dado que los hackers necesitan tener acceso a las máquinas para explotar la brecha, Cerrudo considera que no representa un riesgo importante para la mayoría de los usuarios.

Leer más »

Nuevo troyano OddJob

Ciberdelincuentes de Europa del Este han empezado a utilizar un nuevo malware para robar datos de cuentas online de Estados Unidos.

A diferencia de otras herramientas de hacking convencionales, OddJob no requiere que los atacantes consigan entrar en la cuenta de banca online del usuario para robar la información. En lugar de ello, ha sido diseñado para secuestrar la sesión de banca online de la víctima en tiempo real mediante el robo de tokens ID de la sesión.

Estos tokens son emitidos por los bancos para identificar la sesión de banca online del usuario. Robándolos y embebiéndolos en sus navegadores, los atacantes pueden usurpar la identidad de la víctima y acceder a sus cuentas mientras que ésta se encuentra aún online. El acceso permite después a los ciberdelincuentes llevar a cabo cualquier operación bancaria que el usuario pueda realizar.

La segunda característica  es su capacidad para mantener abierta una sesión de banca online incluso cuando el usuarios cree haberla cerrado.Así que, los ciberdelincuentes pueden sacar dinero de la cuenta de su víctima y continuar realizando actividades fraudulentas cuando ésta cree haber finalizado su interacción con el banco.

Trusteer afirma haber detectado por primera vez OddJob el año pasado, durante una investigación antifraude realizada para una entidad bancaria. Sin embargo, no ha revelado públicamente su existencia hasta ahora porque las autoridades policiales aún no habían aún concluido sus investigaciones al respecto.

¡Tened cuidado con las operaciones online!

Leer más »

Diez consejos para navegar seguros

Los usuarios de Internet están cada día más expuestos a sufrir diversos tipos de ciberataques. Desde virus que destruyen información, hasta programas espía que roban datos personales, los ciberataques aumentan en la Web y la prevención es la mejor arma para combatirlos.

Los principales problemas que sufren los usuarios son los troyanos, virus, gusanos, spywares y ataques de phishing. Estos pueden llegar por e-mail en forma de spam o correo no deseado, bajando de archivos sospechosos, a través de mensajes instantáneos y mediante la duplicación de webs. Todo un abanico de opciones para fastidiar al personal.

A continuación, diez consejos para navegar seguro por Internet:

1. Siempre escribir las direcciones web en el navegador, en lugar de seguir un enlace.

2. Brinda informaciones personales sólo a sitios que tengan “https” en su dirección.

3. No aceptes ofertas gratuitas o dudosas en Internet.

4. No aceptes ni abras cajas de diálogo de error sospechosas en el navegador web.

5. Mantén el navegador web actualizado y protégete mediante la utilización de un firewall.

6. No abras e-mails o enlaces en redes sociales enviados por desconocidos.

7. Evita enviar archivos o información personal por programas de mensajería instantánea.

8. Verifica todos los archivos usando una solución de seguridad antes de transferirlos a tu sistema.

9. Protege datos personales limitando los ficheros y los archivos que se pueden compartir en la red punto a punto.

10. Verifica siempre la configuración de seguridad de su dispositivo.

Leer más »

Malware en Smartphones

Los Smartphones están de moda, eso nadie lo duda. Miles de aplicaciones y conexión a Internet en la palma de tu mano. Pero, ¿conoces bien lo que pasa en la palma de tu mano?
De hecho, la popularidad de estos aparatos es la causa de que se hayan convertido en un gran objetivo para los atacantes. La gran mayoría de los usuarios no son conscientes de los peligros que conlleva no tener protegido su terminal.

El primer código malicioso destinado a dispositivos móviles apareció en 2004, pero desde entonces los ataques han evolucionado a una velocidad de vértigo hasta llegar al último detectado hace escasos meses: ZEUS Man in the Mobile.
Hay que estar preparado para las futuras infecciones ya que los creadores de malware evolucionan continuamente sus técnicas y no cabe duda de que el malware para dispositivos móviles va a seguir evolucionando teniendo en cuenta que el futuro cercano apunta a un increíble incremento de los smartphones para todo tipo de operaciones: móvil como medio de pago, banca electrónica, seguimiento de individuos a través del GPS del móvil, ataques de ingeniería social avanzados, etc.

¿Cómo pueden los usuarios proteger sus dispositivos? El CNCCS (Consejo Nacional Consultivo de Cyber-Seguridad) propone una serie de buenas practicas para ayudarnos a proteger nuestros queridos Smartphones:


 Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
 Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
 Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
 Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
 Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
 Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
 Configurar el Bluetooth como oculto y con necesidad de contraseña.
 Realizar copias de seguridad periódicas.
 Cifrar la información sensible cuando sea posible.
 Utilizar software de cifrado para llamadas y SMS.
 Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
 Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
 En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
 En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
 Monitorizar el uso de recursos en el smartphone para detectar anomalías.
 Revisar facturas para detectar posibles usos fraudulentos.
 Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
 Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer click en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
 Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
 Evitar el uso de redes Wi-fi que no ofrezcan confianza.
 Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa.

Y ahora... ¡a proteger nuestro Smartphone!

Leer más »

Los navegadores son vulnerables

BrowserCheck es un servicio de Qualys para comprobar la seguridad de los navegadores web (incluyendo plugins comúnmente utilizados) en equipos con Windows, Mac y Linux.

Basado en los datos de uso de BrowserCheck, Qualys ha lanzado la inquietante estadística de que en enero de 2011, por cada 10 navegadores 8 siguen siendo vulnerables a los ataques dirigidos a bugs ya parcheados. Esta cifra ha oscilado entre el 65 por ciento y 90 por ciento desde julio de 2010.


Java es el plugin del que más problemas se derivan (40 %), seguido por Adobe Reader (32%), QuickTime (25%), Flash (24%), y Shockwave (22%).

¿Llegará el día en que no haya errores? Aunque por ejemplo, Google Chrome es divertido cuando se cuelga: "¡Oh, no! Se produjo un error.."

Leer más »

10 consejos para evitar la fuga de información

ESET publica un listado de 10 consejos con para dar a conocer las principales prácticas para evitar la fuga de información en entornos corporativos. Últimamente uno de los temas más resonantes en materia de Seguridad Informática fue el de la fuga de información debido al caso Wikileaks.

Estos sucesos abrieron el debate sobre la privacidad y la confidencialidad de la información y sobre cuáles son las mejores prácticas para evitar incidentes que pongan en peligro información sensible.

Por este motivo, los especialistas en seguridad informática de ESET Latinoamérica han elaborado una lista de hábitos básicos de seguridad para mantener la protección e integridad de los datos:

1. Conocer el valor de la propia información. Realizar un análisis de riesgos y un estudio de valuación de activos para poder determinar un plan de acción adecuado que permita evitar posibles filtraciones.

2. Concientizar y disuadir. Diseñar una estrategia de concientización que incluya la responsabilidad en el manejo de la información, que funcione tanto para capacitar a las personas que podrían filtrar información por error u omisión, como para persuadir a las que deliberadamente intenten hacerlo, mostrando las potenciales consecuencias.

3. Utilizar defensa en profundidad. Considerar el modelo de defensa en capas para tomar distintas medidas de diferente naturaleza a fin de no centralizar las soluciones ni promover puntos únicos de falla.

4. Incluir herramientas tecnológicas. En ámbitos corporativos resulta muy importante contar con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes como de equipos (servidores y estaciones de trabajo). El crecimiento de amenazas como el spyware hace que los códigos maliciosos también sean potenciales puntos de fuga de información.

5. Seguir los estándares internacionales. Alinearse con estándares internacionales de gestión de la seguridad permite disminuir el riego de incidentes y evitar que el negocio se vea afectado por un determinado evento de filtración.

6. Mantener políticas y procedimientos claros. Relacionado con el punto anterior, se debe tener una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad, aceptados y firmados por todos los usuarios. Esto minimiza potenciales fugas de información, al contar con un consentimiento firmado del usuario para no realizar ciertas acciones.

7. Procedimientos seguros  de contratación y desvinculación. Tanto al momento de la contratación como en la desvinculación de una persona dentro de una organización, se produce la conexión o desconexión de una nueva pieza con el motor de la organización, por lo que deben tenerse en cuenta los métodos de acceso y registro de los usuarios en sus primeros o últimos momentos de trabajo.

8. Seguir procesos de eliminación segura de datos. Es fundamental que los datos que se desean eliminar sean efectivamente eliminados y los medios de almacenamiento adecuadamente tratados antes de ser reutilizados.

9. Construir un entorno de confianza. Contar con personal capacitado y responsable para la gestión y administración de información sensible.

10. Aceptar y entender la realidad. Si bien el seguir estos consejos no garantiza de forma absoluta la seguridad de la información, estas prácticas ayudan a disminuir los riesgos de pérdida de información valiosa y resaltan la importancia de tomar medidas concretas y definir un plan realista, alejado de la paranoia innecesaria.

Leer más »

Primer protocolo de actuación escolar anti ciberbullying

En la era de la tecnología, con tanto avance tecnológico alguna oveja negra tenía que salir por alguna parte, el ciberbullying. Se trata de acosos o humillaciones a niños o adolescentes mediante mensajes de texto, correo electrónico, o cualquier tipo de tecnología de comunicación actual.


Ante tal situación, se ha elaborado un protocolo de actuación presentado el 14 de febrero por  el grupo EMICI (Equipo Multidisciplinar de Investigación del Ciberbullying).


El ciberbullying es un fenómeno sigiloso de graves consecuencias que se desarrolla por lo general fuera del alcance de la observación tradicional pero que, no por ello, es menos lesivo que el bullying tradicional. Requiere una respuesta tan contundente como proporcional y acertada. La presente guía, en forma de protocolo, pretende aportar pautas y procedimiento para una eficiente atención escolar de los fenómenos de ciberbullying.

Leer más »

Google ofrece 20.000 dólares al primero en hackear Chrome

Google ha decidido participar como patrocinador en el concurso anual Pwn2Own. Se trata de un evento en el que los participantes compiten por vulnerar la seguridad de distintos programas, entre ellos Chrome. El departamento de seguridad de Google ha decidido premiar con 20.000 dólares (14.671 euros) al primer participante que consiga superar las defensas de su navegador web.

El evento se celebra desde 2008 y reúne a los hackers más importantes del mundo. Durante tres días se presentan novedades de seguridad y se pone a prueba el potencial de los asistentes retándoles a hackear distintos sistemas.

El año pasado, todos los grandes navegadores web fueron hackeados. El único que se consiguió resistir fue Chrome. Por eso este año tienen la oportunidad de volverlo a intentar.

Las reglas son que debe encontrar un bug dentro de los elementos puestos a disposición en el sandbox.

Dada la resistencia del sistema de Google en anteriores años y el premio, buena parte de los hackers centrarán su atención en el reto lanzado por Google. El  Pwn2Own de 2011 va a tener lugar en Vancouver, Canadá. Los organizadores han confirmado que el evento se desarrollará los días 9, 10 11 de marzo.

Leer más »

Vulnerabilidad a través de MHTML en Windows

El fallo podría permitir a un atacante remoto obtener información importante a través de un enlace HTML especialmente manipulado.

MHTML es un protocolo para incrustar recursos MIME en una página web al modo en que lo hace el correo electrónico.

El error reside en la forma en que MHTML filtra las cadenas usadas para construir un enlace. Un atacante podría crear un enlace especialmente manipulado e inyectar código javascript que terminaría ejecutándose durante toda la sesión de navegación.

La vulnerabilidad no se encuentra en el navegador Internet Explorer  sino en el sistema operativo Windows que ofrece a las aplicaciones que quieran procesar este tipo de recursos.

Microsoft ha reconocido la vulnerabilidad y ha publicado un boletín con información con sugerencias y una solución temporal aplicable hasta la salida del parche final.

Ir con cuidado porque afecta a toda la familia de sistemas operativos Windows soportados por Microsoft.

Leer más »

Microsoft parcheará 22 brechas de seguridad

Microsoft emitirá mañana 12 actualizaciones de seguridad para cubrir 22 vulnerabilidades en Internet Explorer (IE), Windows, su servidor de Internet y Visio.

Lo más importante es que con esta actualización se resolverán tres vulnerabilidades de día cero”. Una de ellas afecta a IE, otra al motor de reproducción de imágenes de Windows y la tercera a ISS (Internet Information Server)

El fallo de IE fue reconocido por Microsoft el pasado 22 de diciembre y afirmando que todas las versiones de IE eran vulnerables a este fallo. Al poco tiempo de darse a conocer la noticia, Microsoft alertó de que se habían iniciado los ataques para explotarlo.

Leer más »

Técnica de phishing abusa de error en Bit.ly y TinyURL

El correo falso (phishing) utiliza el servicio de acortador para el enlace engañoso pero en lugar de utilizar el enlace usual del acortador con el formato http://bit.ly/wxyz utilizan http://www.bancobradesco.com.br.bit.ly/wxyz. De esta forma el usuario que ha aprendido a revisar el enlace posando el puntero sobre el mismo, verá efectivamente el nombre correcto del banco y si no presta mucha atención, ignorará el resto acostumbrado a algunas letras sin sentido usuales en direcciones web, pero es una trampa!

Si el usuario cae en el engaño será redirigido por el enlace acortado al sitio web que contiene una conocida página falsa del banco dónde te intentaran robar todos los datos posibles de tu cuenta bancaria.

Recordad que los bancos nunca envían e-mails de este tipo así que cuando los veáis lo que recomendamos es que los eliminéis directamente.

Leer más »