El eslabón más débil a nivel de usuario de Internet: Los niños

Hace tiempo que vengo observando que se amplía el diccionario de nuevas palabras de amenazas, en las cuales las víctimas son los niños o personas con poco conocimiento de tecnología, pero son usuarios de las mismas. Vamos a tratar en este artículo algunos aspectos de seguridad y plantearemos recomendaciones para no ser víctimas de ellos.


 No hace falta ser un experto
 Hoy la tecnología ha permitido que en el mercado existan diferentes tipos de dispositivos, que nos permita desde comunicarnos entre sí ha acceder a Internet sin ningún tipo de restricción. Si vamos a un ejemplo del día a día, observamos que se ha masificado el uso del automóvil, pero cuántos saben lo que pasa por dentro?, cuántos realizan los controles? cuántos desconocen ciertos riesgos ante ciertas situaciones? Bien, pero en la calle vemos cada vez más usuarios con más vehículos.
 La tecnología ha permitido que en el hogar, un adolescente, se conecte a Internet desde el SMART TV (o televisor con conexión a Internet) y pueda ver videos de YOUTUBE. 
 Realmente para ser usuario y hacer uso de los dispositivos actuales, no hace falta ser un experto, a pesar que pueda suceder como que no usemos todas las ventajas que nos provee el mismo.
 Pero así como usuarios, desconocemos de ciertos riesgos y que hay en ciertas actitudes humanas, acciones que ponen en riesgo nuestra intimidad o persona. Si volvemos al ejemplo del vehículo, hay comportamientos humanos que ponen en riesgo la vida del conductor o de un tercero, como ir a más velocidad de lo permitido, no respetar las señales, no mantener la unidad como recomienda el fabricante, etc.

Desde  Seccion9 Sabéis los peligros que hay dejando a los adolescentes una libre conexión con Internet. ??
http://seccion9.com/redes.html

Leer más »

Posted in: seguridad de la informacion

Actualizaciones plataforma Microsoft

 Actualización de seguridad acumulativa para Internet Explorer.  Esta actualización de seguridad resuelve once vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Leer más »

Posted in: actualizaciones,microsoft office

El valor de una cuenta de correo hackeada

 Este artículo apunta a crear conciencia acerca del valor en la calle de una cuenta de correo hackeada, así como toda la gente, datos personales y recursos que se ponen en riesgo cuando los usuarios se niegan a resguardar apropiadamente sus cuentas de correo.

 Suscríbase a cualquier servicio en linea, y es casi seguro que le pedirá que informe una dirección de correo electrónico. En casi todos los casos, la persona que controla esa dirección puede reiniciar la contraseña asociada a cualquier servicio o cuentas -meramente solicitando un correo de reinicio de contraseña.

Su cuenta de correo puede valer mucho más de lo que uno se imagina

 ¿Cuánto valen esas cuentas asociadas? No hay precisamente un lugar central para el intercambio de cuentas hackeadas en el clandestino mundo cibercriminal, pero listas de precios recientes publicadas por varios malechores que trafican cuentas comprometidas no-financieras, nos dan una idea.

 Un importante vendedor clandestino de credenciales vende cuentas de iTunes por u$s 8, y cuentas de Fedex.com, Contienental.com y United.com por u$s 6. Las cuentas de Groupon.com se consiguen por u$s 5, mientras que u$s 4 compran credenciales en el registrar y proveedor de hosting Godaddy.com, así como también en proveedores inalámbricos como Att.com, Sprint.com, Verizonwireless.com y Tmobile.com. Las cuentas activas de Facebook.com y Twitter se venden por apenas u$s 2,50 cada una.

Hasta hace poco, algunos de los proveedores web más grandes de servicios online ofrecían muy poca seguridad mas allá del usuario y contraseña. Cada vez más, sin embargo, los proveedores más grandes se movieron hacia habilitar la autenticación multi-factor para ayudar a los usuarios a evitar que sus cuentas resulten comprometidas. Gmail.com, Hotmail/Live.com, y Yahoo.com ofrecen ahora todos ellos autenticación de múltiples pasos que los usuario pueden y deben usar para asegurar más sus cuentas. Dropbox, Facebook and Twitter también ofrecen opciones de seguridad adicionales en las cuentas, más allá de alentar a los usuarios a elegir contraseñas seguras.

Leer más »

Posted in: seguridad de la informacion,seguridad en la red

FIDO, el estándar abierto para autenticación

Numerosas empresas de Internet, proveedores de seguridad y agentes integradores de sistemas han formado la FIDO (Alianza de Identidad Rápida En Línea, por sus siglas en inglés). Su objetivo es cambiar las maneras de autenticación en línea y así crear un nuevo protocolo abierto basado en estándares.

Con nombres reconocidos en el mundo información como Nok Nok Labs, Lenovo, PayPal, Agnitio y Infineon Technologies, entre otros, la propuesta lleva un tiempo en desarrollo y el objetivo es presentar productos compatibles con FIDO.

FIDO Autenticación 1

Actualmente, Internet solicita que el usuario confirme su identidad al iniciar una sesión y acceder a diferentes cuentas y servicios en la red. El uso actual de contraseñas se ha mostrado débil en materia de seguridad debido a la reutilización, el pishing y el malware. De esta forma los datos de empresas y usuarios particulares quedan expuestos ante el ataque de los piratas informáticos.

El proyecto es que la norma FIDO apoye diferentes tecnologías, desde reconocimiento de voz hasta lectores biométricos de huellas digitales y lectura facial. También los módulos actuales como plataformas seguras, NFC, contraseñas de única vez y dispositivos de seguridad USB.

¿Cómo funcionarán los dispositivos FIDO? Los distintos sitios web identificarán de forma dinámica los dispositivos mediante un plugin especial y el usuario siempre será consultado antes de conectar su dispositivo a las distintas cuentas compatibles.

Una vez agregado, podremos utilizar un pin, insertar el dispositivo USB o utilizar la lectura de huellas digitales para ingresar. ¿El futuro de la seguridad informática nacerá de esta singular alianza entre empresas?

FIDO Autenticación 2

El proyecto implica seguir expandiendo la norma FIDO y agregar nuevos compañeros para ampliar aún más la compatibilidad y los usos de FIDO. Así se podrán integrar nuevas tecnologías a la infraestructura que buscará ser la barrera definitiva contra los ataques informáticos

Leer más »

Posted in: seguridad en la red

5 Plugins de WordPress para gestionar blogs con varios autores

No todos los blogs son escritos por una sola persona. Hay algunos donde se trabaja con todo un equipo de editores, colaboradores y autores que crean contenido y lo publican en el blog. Para los que usamos WordPress, por suerte contamos con algunos plugins que pueden simplificarnos la vida al gestionar todo este contenido.

Hoy presentaremos  plugins para WordPress que nos apoyarán en la gestión de contenido facilitando la comunicación de mensajes, las revisiones de artículos y el estatus de los mismos. Si tu blog tiene varios autores, tal vez más de un plugin de la lista siguiente podría ayudarte.

Peter’s Collaboration Emails
De los mejores plugins que hay cuando se trata de organizar un equipo para publicar contenido. El revisor recibirá un email cuando un artículo se encuentre pendiente de ser revisado. Si es aprobado, se le informará al contribuyente que su artículo aprobó, caso contrario, si fue regresado a Draft (borrador), se le informará que debe volver a revisarlo y corregirlo para su publicación.

Peter’s Post Notes
Nuevamente Peter, el desarrollador, nos comparte otro plugin de gestión de múltiples editores en un blog, con una función bastante simple pero muy útil: dejar notar a los autores. Imagina que es como una de esas notas que dejamos en la refri para que nos hagan recordar algo. De la misma manera funciona aquí donde les deseas comentar algo puntual a tus generadores de contenido.


Editorial Calendar
Este plugin es genial de usarlo, aún si no tienes un blog con varios editores pero te adelantas a crear contenido programándolo para su posterior publicación. Es un calendario visual que permite modificar las fechas y el estatus de nuestros artículos solo arrastrando y soltando cada post en la casilla del mes que corresponda o querramos usar. Tiene ordenamiento cronológico.

P Documents Revisions
Se soporta en el sistema de gestión de revisiones que incorpora WordPress pero de una forma más fácil que extiende su uso, y permite contar con un historial de todos los cambios que se han ido haciendo al artículo, además de poder añadir notas de edición sobre las modificaciones hechas al total del post, a las imágenes, notas de voz, título, etc. Se pueden proteger revisiones con clave

Content Audit
Como su nombre lo indica, este plugin se encarga de hacer una auditoría de contenido en posts, pàginas, imágenes y medios en general, basándose en una serie de parámetros definidos que buscan filtrar aquellos artículos que deben ser sometidos a una actualización, reestructuración o eliminación. El plugin permite dejar notas para que de forma colaborativa se vaya corrigiendo con otros editores.

Leer más »

Posted in: aplicaciones

Los antivirus se consolidan en la nube… y 4 puntos más a rescatar

Tranquilos, no me refiero a los precios a pagar por estos productos, sino sobre las nuevas tendencias a los cuales se están enfocando estos antivirus. Actualmente estamos experimentando algunos cambios en este mercado, como una respuesta natural al comportamiento y la “evolución” de los mismos virus y malwares que son cada vez más avanzados. Hoy revisaremos un poco de lo que tenemos nuevo en este campo.

Como leo en el artículo de propuestas de seguridad en PC Actual, se evidencian notorias mejoras en los antivirus y dejan de ser un estorbo para convertirse más en un aliado en la seguridad de nuestros datos. Esto aunado al hecho de que en estos tiempos hacer una transacción electrónica, generar claves de seguridad y compartir archivos confidenciales son actividades de todos los días. Cada vez la seguridad digital cobra más importancia, hasta los mismos gobiernos andan avanzando en ello.

Entonces, hablemos un poco más de estos cambios…

. Soluciones integradas

No basta con integrar ahora soluciones parciales, un antivirus, un antispyware y una solución de seguridad en internet, anti-keyloggers, anti-spams. Las suites de seguridad ahora se integran por completo para asegurar incluso algoritmos eurísticos que protejan nuestras operaciones de transacciones bancarias.

. Nos movemos a la nube

Basta darle un vistazo a los precios de Norton (uno de los antivirus más completos) con precios mucho más competitivos, sino a que ahora todo está en internet, sincronizando y liberando gran parte del procesamiento antes realizado en nuestra PC, para que pase a realizarse en servidores web. Todo integrado y online.

. Simplicidad

Ahora no se requiere ser un capo en informática para poder instalar de estos programas. Ahora las aplicaciones suelen ser más instalar/usar, lo cual les otorga un alcance mayor en un mercado donde muchos usuarios prefieren optar por entornos de seguridad más controlados como Linux. Mac queda fuera de la jugada.

. Alternativas gratis

Y no me refiero solo a antivirus gratis, que siempre han habido, sino a componentes de las mismas empresa que desarrollan las versiones de pago. Me refiero a componentes complementarios que permiten realizar diagnósticos, reparar documentos dañados, auditorías en sectores de discos y más. Todo esto para luego complementar la oferta con la solución completa. Ya el trial quedó como un modelo más en el pasado, pero siempre útil aún.

Leer más »

Posted in: antivirus,norton,seguridad de la informacion

Una brecha de seguridad en Instagram permite robar cualquier cuenta de usuario

Un atacante podría acceder a cualquier cuenta de Instagram sin permiso de sus propietarios mediante el protocolo OAuth, según cuenta la Oficina de Seguridad del Internauta (OSI) en su boletín de noticias, y allí tener acceso a información privada, borrarla y publicar o eliminar fotos y comentarios.

El fallo ha sido desvelado por Nir Goldshager en un post titulado “Cómo hackeé cuentas de Instagram”, donde lo detalla en un vídeo.

Goldslhager, que ya descubrió en su día brechas de seguridad en Facebook, explica que, movido por su propia pasión por la red social de fotos de cafés, comida y gatitos, se decidió a explorar la seguridad de la misma cuando fue adquirida por la compañía de Zuckerberg.

 

Fue entonces cuando descubrió que existen dos posibilidades de acceso a las cuentas de usuarios de Instagram: explotando un fallo del protocolo OAuth en Instagram o robando la sesión a través de ese mismo protocolo pero en Facebook. Esta segunda forma ha sido solucionada por el equipo de seguridad de Facebook tras ser alertado de ella, informan en el blog de Protegerse.com.

 

OAuth, explica la OSI, es “un protocolo abierto que proporciona una manera estándar de acceder a los datos protegidos para aplicaciones de escritorio, móviles y web y que proporciona a los usuarios acceso a sus datos al mismo tiempo que protege las credenciales de la cuenta”.

 

Ante la falta de respuesta por parte de Instagram hasta el momento, la OSI asegura que la única opción de los usuarios para asegurar su privacidad es desactivar su cuenta en esta red social. La medida implicaría perder toda la información publicada en la plataforma, así que “el usuario tendrá que valorar en función de la información personal que tiene vinculada en su cuenta si asume el riesgo o no”, añade.

 

La OSI recomienda también “extremar la precaución con aplicaciones de terceros que accedan a nuestra cuenta de Instagram, independientemente de que dichas aplicaciones aseguren un acceso limitado a nuestros datos”.

Leer más »

Posted in: robo de datos,vulnerabilidades

La Policía Nacional se anota un tanto al 'cazar' a un peligroso hacker ruso

El rastro de un ‘nick’ en internet fue la prueba que condujo a la policía a la detención, mientras disfrutaba de sus vacaciones en Dubai, del cabecilla de la red de piratas informáticos que ha puesto en jaque a medio mundo con un virus que pasará a la historia por su complejidad y creatividad técnica e inteligencia operativa. También por su nombre: el ‘virus de la policía’, un ‘ransomware’ que bloqueaba los equipos y multaba fraudulentamente a los usuarios -por supuestos usos ilegales de la red o descargas prohibidas- en nombre de las distintas instituciones policiales del mundo.

Detrás de ese ‘nick’, cuyo nombre no ha trascendido porque aún podría poner en riesgo las investigaciones en marcha, se esconde un joven ruso de 27 años que llevaba operando muchos años en los circuitos de la ciberdelincuencia. Estaba muy involucrado en el mundo ‘underground’ y en las redes de foros frecuentados por ‘hackers’ que, por supuesto, no aparecen en Google. 

El joven ruso, que estaba acostumbrado a un alto nivel de vida, ha sido identificado como el codificador y principal difusor del virus. Ahora mismo, se está tramitando su orden de extradición a España, donde será juzgado
.Geolocalización a través de IP´s

Uno de los elementos del virus que demuestran la creatividad y vocación global con la que había sido diseñado es la incorporación de una carpeta de geolocalización por IP´s en el código del 'malware'. Es decir, si un usuario infectado se conectaba desde Estados Unidos, en su pantalla aparecía el logotipo del FBI reclamando la multa ficticia. Si lo hacía desde Alemania, la Bundespolizei. Desde Inglaterra, Scotland Yard. Desde España, la Policía Nacional. Y así en un total de 22 países.


“Hemos visto el código fuente del virus. Está muy bien hecho. Pocas personas pueden hacer algo así. Era una de las mayores organizaciones que operaban a nivel internacional. Aunque nunca se puede decir que se haya desmantelado; siempre puede haber alguien de un peldaño más bajo, de segunda o tercera línea, que cree de nuevo la plataforma”, explica a Teknautas José Rodríguez, responsable del Grupo Seguridad Lógica de la Brigada de Investigaciones Tecnológicas (BIT) de la Policía Nacional, el grupo policial que ha dirigido esta investigación internacional, en perfecta coordinación -y con el apoyo- de jueces y fiscales a la hora de tipificar los delitos y confiar en esta delicada operación, bautizada como ‘Ransom’.


Además de sus capacidades de geolocalización, 'el troyano' estaba dotado de una capacidad de mutación a través de la que se mostraban continuamente nuevas instituciones a la hora de reclamar las multas fraudulentas a los usuarios. En España, uno de esos organismos era la SGAE, aunque en este caso los ‘hackers’ no obtuvieron grandes resultados. Nadie temía las multas de la SGAE.

Leer más »

Posted in: estafas,troyano,vulnerabilidades