Empresas tecnológicas que garantizan la privacidad de los usuarios

La organización sin ánimo de lucro Electronic Frontier Foundation (EFF) ha publicado la segunda edición anual de su informe de las empresas que defienden la privacidad [PDF] de los datos de sus usuarios ante el Gobierno de EEUU.

Hay muchas formas de garantizar la privacidad de los usuarios, EFF busca que el gobierno de EEUU sea muy cuidadoso cuando maneje la información sensible y no tenga un acceso arbitrario a los emails, fotos y archivos que guardamos online, de los proveedores de servicios en la red son los guardianes más íntimos. En general EFF comunica que ha habido una mejora en las políticas de privacidad, prácticas y trasparencia de las empresas.

El informe elabora una lista de 18 grandes empresas en la que Dropbox, LinkedIn, Google, Twitter obtienen una buena puntuación mientras que Microsoft, Apple o Amazon obtienen una puntuación baja.

Los cuatro puntos clave que evalúan son:

    Aquellas compañías que comunican a los usuarios que el gobierno ha pedido sus datos.
    Aquellas compañías que son transparentes sobre las solicitudes del gobierno.
    Aquellas que luchan por la privacidad de los usuarios en los tribunales.
    Aquellas que luchan por la privacidad de los usuarios en el Congreso.

En una nube de soluciones la privacidad de los datos de los usuarios es una prioridad y los datos que se almacenan pertenecen en todo momento a los usuarios.

¿Es la privacidad de los datos uno de los puntos que tienes en cuenta a la hora de decidirte por un proveedor de Cloud Computing?

Leer más »

El mayor enemigo de Apple tiene 18 años

El bloguero Mark Gurman es la pesadilla de la firma de la manzana. En sus posts en el sitio 9to5Mac revela antes que nadie los mayores secretos y novedades de la empresa.

La firma de la manzana es famosa por su gran hermetismo. En seccion 9 seguridad podemos decir que ni una sola palabra se dijo durante más de dos años mientras Steve Jobs y su equipo ideaban la primera versión del iPhone. El reciente CEO de Apple, Tim Cook, afirmó días atrás que reforzaría esa práctica. Hay que ver si el bloguero Mark Gurman, de tan sólo 18 años, lo deja.

Gurman, quien asiste a una secundaria en Los Ángeles, es editor del portal 9to5Mac. En el último mes, escribió ocho posts con predicciones sobre lanzamientos de Apple.

El bloguero acertó en siete de los ocho pronósticos durante la conferencia de desarrolladores que Apple realizó esta semana en San Francisco. Una hazaña impresionante, sobre todo teniendo en cuenta la política de silencio extremo de la firma.

De acuerdo a Fortune, dijo que el iCloud tendría aplicaciones web de notas y recordatorios, que Apple estrenaría su propio servicio de mapas y que renovaría la MacBook Pro de 15 pulgadas. Todo eso sucedió.

¿De dónde saca la información? Según Seth Weintraub, el creador de 9to5Mac, algunas de las historias del joven provienen de fuentes internas de la empresa, pero la mayoría están basadas en documentos de desarrolladores y proveedores.

El adolescente, parece, no es el único enemigo de Cook. Apple también debe luchar contra empleados indiscretos y olvidadizos. En 2011, un trabajador de la compañía habría extraviado un prototipo del iPhone en un bar de San Francisco.

Leer más »

Posted in: apple

ISO 22301 vs. BS 25999-2

Leer más »

Posted in: seguridad en la red

MAC OS X Server sin parchear... en la NASA

Mucho se habla de las diferentes vulnerabilidades de MAC y su sistema operativo MAC OS X, pero cada tanto aparece una víctima importante que no ha considerado la instalación de los parches correspondientes, ni en el servidor base, ni en el servidor web (Apache), porque se sigue asumiendo que "si no uso Windows debería estár todo bien".

Todos sabemos, incluido seccion9 seguridad, que los objetivos gubernamentales estan a la cabeza de los blancos preferidos de los cibercriminales pero particularmente la NASA es el objetivo máximo de muchos niños aspirantes a ser "hackers reconocidos" en su grupo de pertenencia.

Sabiendo esto, ¿cómo es posible que la NASA aun tenga un servidor vulnerable y publicado? La seguridad se rompe por el eslabón más fino, si entraron por ese servidor vulnerable podrían haber llegado mucho más lejos que dejar un cartelito en castellano advirtiendo la vulnerabilidad del servidor.

Leer más »

Posted in: hacking,vulnerabilidades

¿Cómo los ladrones de identidad acceden a la información personal?

Hay muchos escenarios para acceder y robar información personal y para identificarlos es necesario reconocerlos. Los casos más común expuestos por seccion9 seguridad son los siguientes:

   * A través de un ataque de ingeniería social
    *A través de una transacción comercial
    *Por la intrusión en sistemas informáticos
    *A través de campañas de phishing
    *A través de monederos o carteras robadas
    *A través de robo de documentos personales
    *Por el robo de información de una empresa que había almacenado los datos en línea
    *A través de cuentas de correo robadas
    *A través de la búsqueda en basureros, hurgando en la basura, en un intento de encontrar la información    personal  (trashing, dumpster diving)

¿Creéis que falta algún método?

Leer más »

Posted in: robo de datos

Linkedin no tiene CIO ni CISO

Mientras Linkedin sigue investigando el robo de más de 6,5 millones de contraseñas, se ha conocido que no tiene ni un CIO ni un CISO.

"En la actualidad no tenemos los ejecutivos con los títulos específicos, pero David Henke, vicepresidente senior de operaciones, supervisa esas funciones", escribió un portavoz de LinkedIn en respuesta a la pregunta de GOV Infosecurity.

Seccion9 seguridad sabe que LinkedIn no es la primera compañía de tecnología en experimentar una brecha de seguridad y de carecer de un ejecutivo con la función específica de asegurar la seguridad de sus datos y sistemas. Dos de los asuntos más destacados de 2011, los ataques a RSA y Sony, se produjeron cuando ninguna de esas empresas tenían un CISO. Ambos, sin embargo, tenían un CIO en ese momento.

Poco después de las violaciones, tanto RSA como Sony contrataron reputados expertos en seguridad para cubrir el puesto de CISO.

Es difícil imaginar que una empresa con LinkedIn no tenga un CIO ni un CISO, especialmente porque su producto principal es la información. Empresas, gobiernos y otros tipos de organizaciones no pueden funcionar de manera eficiente si carecen de ejecutivos clave que se centren en la seguridad de la información, de lo contrario, estarán en riesgo. El incumplimiento de los "salteos" de los hash en las contraseñas de LinkedIn es un claro ejemplo.

Leer más »

Posted in: hacking,redes sociales,robo de datos

Facebook, obligado a entregar las direcciones de los difamadores

El Tribunal Superior de Reino Unido ha emitido una orden por la que Facebook deberá facilitar las direcciones y datos de acceso de usuarios que utilizaban su servicio para difamar a otra persona, según ha publicado la BBC. Los trolls habían enviado mensajes ofensivos contra Nicola Brookes, que decidió acudir a los tribunales después de que Facebook se negase a facilitar los datos de las personas responsables.

Los trolls son usuarios de servicios de Internet que buscan generar polémica y alimentar enfrentamientos en la Red. Se trata de una figura muy polémica, que influye en el funcionamiento habitual de redes sociales, blogs y foros. En seccion9 seguridad hemos visto que se han producido iniciativas contra esta figura, llegando a casos como el del estado de Arizona, donde se castiga por ley este tipo de prácticas.

Uno de los factores que alimenta la aparición de trolls y que frena su detención es que no se suele conocer su identidad. Este problema ha sido una de las causas que han llevado a Nicola Brookes, con cuenta en Facebook, a acudir a los tribunales. Según la BBC, Brookes sufrió el ataque y la persecución de trolls después de publicar un mensaje en apoyo a un concursante de un reallity en televisión.

Los trolls decidieron emprender una campaña en su contra por el mensaje y dieron inicio a una amplia campaña de difamación sobre Brookes. A través de Facebook, los trolls publicaron todo tipo de mensajes ofensivos contra ella, acusándola de pederasta e insultándola en varios mensajes.

La situación se volvió aún más preocupante cuando los trolls crearon un perfil falso en el que imitaban a Brookes. A través de dicho perfil se publicaron informaciones que la difamaban y se enviaron mensajes a otros perfiles en su nombre, incluido el envío a menores.

¿Habéis visto algún perfil falso?

Ante estos ataques, Brookes se puso en contacto con Facebook para solicitar que detuviesen las acciones en su contra. Según la BBC, Facebook aseguró que en su servicio no se producían ese tipo de prácticas. Ante la respuesta de Facebook, Brookes decidió acudir a los tribunales.

El Tribunal Superior de Reino Unido ha fallado a favor de Nicola Brookes y ha solicitado a la red social la dirección y los datos de acceso de los trolls que realizaron los mensajes en contra de Brookes y de los responsables de la creación del perfil falso para que afronten la denuncia.

Leer más »

Posted in: estafas