Empresas tecnológicas que garantizan la privacidad de los usuarios

La organización sin ánimo de lucro Electronic Frontier Foundation (EFF) ha publicado la segunda edición anual de su informe de las empresas que defienden la privacidad [PDF] de los datos de sus usuarios ante el Gobierno de EEUU.

Hay muchas formas de garantizar la privacidad de los usuarios, EFF busca que el gobierno de EEUU sea muy cuidadoso cuando maneje la información sensible y no tenga un acceso arbitrario a los emails, fotos y archivos que guardamos online, de los proveedores de servicios en la red son los guardianes más íntimos. En general EFF comunica que ha habido una mejora en las políticas de privacidad, prácticas y trasparencia de las empresas.

El informe elabora una lista de 18 grandes empresas en la que Dropbox, LinkedIn, Google, Twitter obtienen una buena puntuación mientras que Microsoft, Apple o Amazon obtienen una puntuación baja.

Los cuatro puntos clave que evalúan son:

    Aquellas compañías que comunican a los usuarios que el gobierno ha pedido sus datos.
    Aquellas compañías que son transparentes sobre las solicitudes del gobierno.
    Aquellas que luchan por la privacidad de los usuarios en los tribunales.
    Aquellas que luchan por la privacidad de los usuarios en el Congreso.

En una nube de soluciones la privacidad de los datos de los usuarios es una prioridad y los datos que se almacenan pertenecen en todo momento a los usuarios.

¿Es la privacidad de los datos uno de los puntos que tienes en cuenta a la hora de decidirte por un proveedor de Cloud Computing?

Leer más »

El mayor enemigo de Apple tiene 18 años

El bloguero Mark Gurman es la pesadilla de la firma de la manzana. En sus posts en el sitio 9to5Mac revela antes que nadie los mayores secretos y novedades de la empresa.

La firma de la manzana es famosa por su gran hermetismo. En seccion 9 seguridad podemos decir que ni una sola palabra se dijo durante más de dos años mientras Steve Jobs y su equipo ideaban la primera versión del iPhone. El reciente CEO de Apple, Tim Cook, afirmó días atrás que reforzaría esa práctica. Hay que ver si el bloguero Mark Gurman, de tan sólo 18 años, lo deja.

Gurman, quien asiste a una secundaria en Los Ángeles, es editor del portal 9to5Mac. En el último mes, escribió ocho posts con predicciones sobre lanzamientos de Apple.

El bloguero acertó en siete de los ocho pronósticos durante la conferencia de desarrolladores que Apple realizó esta semana en San Francisco. Una hazaña impresionante, sobre todo teniendo en cuenta la política de silencio extremo de la firma.

De acuerdo a Fortune, dijo que el iCloud tendría aplicaciones web de notas y recordatorios, que Apple estrenaría su propio servicio de mapas y que renovaría la MacBook Pro de 15 pulgadas. Todo eso sucedió.

¿De dónde saca la información? Según Seth Weintraub, el creador de 9to5Mac, algunas de las historias del joven provienen de fuentes internas de la empresa, pero la mayoría están basadas en documentos de desarrolladores y proveedores.

El adolescente, parece, no es el único enemigo de Cook. Apple también debe luchar contra empleados indiscretos y olvidadizos. En 2011, un trabajador de la compañía habría extraviado un prototipo del iPhone en un bar de San Francisco.

Leer más »

Posted in: apple

ISO 22301 vs. BS 25999-2

Leer más »

Posted in: seguridad en la red

MAC OS X Server sin parchear... en la NASA

Mucho se habla de las diferentes vulnerabilidades de MAC y su sistema operativo MAC OS X, pero cada tanto aparece una víctima importante que no ha considerado la instalación de los parches correspondientes, ni en el servidor base, ni en el servidor web (Apache), porque se sigue asumiendo que "si no uso Windows debería estár todo bien".

Todos sabemos, incluido seccion9 seguridad, que los objetivos gubernamentales estan a la cabeza de los blancos preferidos de los cibercriminales pero particularmente la NASA es el objetivo máximo de muchos niños aspirantes a ser "hackers reconocidos" en su grupo de pertenencia.

Sabiendo esto, ¿cómo es posible que la NASA aun tenga un servidor vulnerable y publicado? La seguridad se rompe por el eslabón más fino, si entraron por ese servidor vulnerable podrían haber llegado mucho más lejos que dejar un cartelito en castellano advirtiendo la vulnerabilidad del servidor.

Leer más »

Posted in: hacking,vulnerabilidades

¿Cómo los ladrones de identidad acceden a la información personal?

Hay muchos escenarios para acceder y robar información personal y para identificarlos es necesario reconocerlos. Los casos más común expuestos por seccion9 seguridad son los siguientes:

   * A través de un ataque de ingeniería social
    *A través de una transacción comercial
    *Por la intrusión en sistemas informáticos
    *A través de campañas de phishing
    *A través de monederos o carteras robadas
    *A través de robo de documentos personales
    *Por el robo de información de una empresa que había almacenado los datos en línea
    *A través de cuentas de correo robadas
    *A través de la búsqueda en basureros, hurgando en la basura, en un intento de encontrar la información    personal  (trashing, dumpster diving)

¿Creéis que falta algún método?

Leer más »

Posted in: robo de datos

Linkedin no tiene CIO ni CISO

Mientras Linkedin sigue investigando el robo de más de 6,5 millones de contraseñas, se ha conocido que no tiene ni un CIO ni un CISO.

"En la actualidad no tenemos los ejecutivos con los títulos específicos, pero David Henke, vicepresidente senior de operaciones, supervisa esas funciones", escribió un portavoz de LinkedIn en respuesta a la pregunta de GOV Infosecurity.

Seccion9 seguridad sabe que LinkedIn no es la primera compañía de tecnología en experimentar una brecha de seguridad y de carecer de un ejecutivo con la función específica de asegurar la seguridad de sus datos y sistemas. Dos de los asuntos más destacados de 2011, los ataques a RSA y Sony, se produjeron cuando ninguna de esas empresas tenían un CISO. Ambos, sin embargo, tenían un CIO en ese momento.

Poco después de las violaciones, tanto RSA como Sony contrataron reputados expertos en seguridad para cubrir el puesto de CISO.

Es difícil imaginar que una empresa con LinkedIn no tenga un CIO ni un CISO, especialmente porque su producto principal es la información. Empresas, gobiernos y otros tipos de organizaciones no pueden funcionar de manera eficiente si carecen de ejecutivos clave que se centren en la seguridad de la información, de lo contrario, estarán en riesgo. El incumplimiento de los "salteos" de los hash en las contraseñas de LinkedIn es un claro ejemplo.

Leer más »

Posted in: hacking,redes sociales,robo de datos

Facebook, obligado a entregar las direcciones de los difamadores

El Tribunal Superior de Reino Unido ha emitido una orden por la que Facebook deberá facilitar las direcciones y datos de acceso de usuarios que utilizaban su servicio para difamar a otra persona, según ha publicado la BBC. Los trolls habían enviado mensajes ofensivos contra Nicola Brookes, que decidió acudir a los tribunales después de que Facebook se negase a facilitar los datos de las personas responsables.

Los trolls son usuarios de servicios de Internet que buscan generar polémica y alimentar enfrentamientos en la Red. Se trata de una figura muy polémica, que influye en el funcionamiento habitual de redes sociales, blogs y foros. En seccion9 seguridad hemos visto que se han producido iniciativas contra esta figura, llegando a casos como el del estado de Arizona, donde se castiga por ley este tipo de prácticas.

Uno de los factores que alimenta la aparición de trolls y que frena su detención es que no se suele conocer su identidad. Este problema ha sido una de las causas que han llevado a Nicola Brookes, con cuenta en Facebook, a acudir a los tribunales. Según la BBC, Brookes sufrió el ataque y la persecución de trolls después de publicar un mensaje en apoyo a un concursante de un reallity en televisión.

Los trolls decidieron emprender una campaña en su contra por el mensaje y dieron inicio a una amplia campaña de difamación sobre Brookes. A través de Facebook, los trolls publicaron todo tipo de mensajes ofensivos contra ella, acusándola de pederasta e insultándola en varios mensajes.

La situación se volvió aún más preocupante cuando los trolls crearon un perfil falso en el que imitaban a Brookes. A través de dicho perfil se publicaron informaciones que la difamaban y se enviaron mensajes a otros perfiles en su nombre, incluido el envío a menores.

¿Habéis visto algún perfil falso?

Ante estos ataques, Brookes se puso en contacto con Facebook para solicitar que detuviesen las acciones en su contra. Según la BBC, Facebook aseguró que en su servicio no se producían ese tipo de prácticas. Ante la respuesta de Facebook, Brookes decidió acudir a los tribunales.

El Tribunal Superior de Reino Unido ha fallado a favor de Nicola Brookes y ha solicitado a la red social la dirección y los datos de acceso de los trolls que realizaron los mensajes en contra de Brookes y de los responsables de la creación del perfil falso para que afronten la denuncia.

Leer más »

Posted in: estafas

Lecciones básicas de seguridad en redes sociales

Leer más »

Posted in: redes sociales

Jefe Superior Policía dice que Internet es "la nueva amenaza" de la seguridad

El Jefe Superior de la Policía de Madrid, Alfonso Fernández Díez, ha afirmado este miércoles que Internet es "la nueva amenaza" para la seguridad de particulares y empresas porque a través de la Red "todo puede ser visto, utilizado y difundido".

Durante los actos conmemorativos del Día de la Seguridad Privada, Díez ha mencionado que los avances en el ámbito de las tecnologías de la información y la comunicación están condicionando el trabajo de las Fuerzas Y Cuerpos de Seguridad y también el de los agentes privados.

"El mundo de las telecomunicaciones ha modificado nuestras costumbres, hábitos y de alguna forma nuestra manera de vivir. La seguridad pública y la de las empresas se ve ahora amenazada a través de unos canales no tradiciones, sino palpables, y que además logran una difusión de la información inmediata de un modo que no puede ser supervisado o controlado", ha señalado.

"La vulnerabilidad está en la Red, en los accesos a los infraestructuras vitales, en los edificios oficiales, en la información generada en los marcos de investigaciones y todo ello es susceptible de ser visto, utilizado y difundido", ha proseguido el jefe superior de la Policía de Madrid.

Por ello, y ante "esta nueva amenaza", ha dicho que los sectores públicos y privados de seguridad "deben adaptarse y dar una respuesta adecuada" ante este fenómeno como hacemos en seccion9 seguridad. Así, ha valorado que los vigilantes privados están dando pasos para adecuar el servicio que requieren sus clientes contra el intrusismo y revelación de secretos, "cada vez más frecuentes, ahondando cuestiones de seguridad de forma ejemplar y siendo una referencia para la seguridad pública".

¿Os adaptareis preventivamente a una nueva seguridad o lo hareis cuando tengais los problemas?

Por otra parte, la delegada del Gobierno en Madrid, Cristina Cifuentes, también se ha referido a este tema durante la clausura de este jornada, señalando que la seguridad en el siglo XXI se enfrente a "retos tecnológicos".

CONCEPTO "POLIÉDRICO" DE SEGURIDAD

Por otra parte, el jefe superior de la Policía de Madrid ha recordado que el ministro de Interior, Jorge Fernández Díez, señaló que la seguridad es un concepto "poliédrico" que hace necesario defender el ejercicio de los derechos ciudadanos anticipándose y preveniendo los problemas. "Se hace preciso proteger la seguridad jurídica y generar mecanismos para que la población y los grupos más vulnerables se sientan cercanos a quienes deben velar por su seguridad", ha añadido.

Así, ha explicado que los responsables de la seguridad pública abordan esta responsabilidad desde una perspectiva "cada vez más amplia, más compartida, en la que se deben contar con la participación y compromiso de todas las personas dedicadas a la seguridad". "Ya nadie concibe un dispositivo sin la colaboración de las Policías municipales o los elementos implicados de la seguridad privada", ha señalado.

Alfonso Fernández Díez ha afirmado que la participación en las líneas estratégicas de la seguridad pública de los empleados de seguridad privada es un tema tan importante que este año por primera vez se ha abordado desde un punto de vista formal.

PLAN RED AZUL

"Recientemente se ha abordado por parte de la Dirección General de Seguridad Ciudadana el Plan Red Azul, que por primera vez se plasma por escrito un plan de colaboración entre los distintos sectores público-privado vinculados a la seguridad. El acuerdo regula el intercambio de información, lo que supone un avance considerable tanto en la metodología de trabajo como al reforzar los lazos en los dos ámbitos y contar con los vigilantes como actores de pleno derecho", ha detallado.

En este sentido, ha indicado que los responsables de la Unidad Central de Seguridad Privada han plasmado por escrito un modelo de colaboración, que ya venía funcionando desde hacía un tiempo, "regulando esta cooperación a través de programas operativos y de gestión que nos permitirán conocernos mejor y hacer un uso más eficiente de los recursos y de la información".

Por último, el jefe superior de la Policía ha lanzado un mensaje positivo, a pesar de la crisis y los cambios, y ha subrayado que en el día de hoy celebran que las Fuerzas y Cuerpos de Seguridad y la vigilancia privada "cada vez se coordina más, cada vez cuenta con más elementos comunes y de esa colaboración cada vez se desprende un comportamiento ejemplar de muchos de los miembros de las empresas de seguridad privada".

Leer más »

Posted in: seguridad en la red