CONISEC

SGSI

SISTEMAS DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN

Hackear contraseñas es cada vez más rápido

La contraseñas de ocho caracteres son claramente insuficientes frente a las amenazas actuales, incluso si se alternan mayúsculas, minúsculas, símbolos y números según científicos del Instituto de Investigación de Georgia Tech y tal y como se analiza en el artículo de The Register. La disponibilidad de herramientas basadas en potentes procesadores gráficos para obtener las claves de acceso o contraseñas significa que incluso las contraseñas cortas aunque seleccionadas muy cuidadosamente son muy vulnerables y frágiles y cada día se encuentran más amenazadas por ataques de fuerza bruta, es decir, las tarjetas gráficas pueden utilizarse para lanzar ataques de "fuerza bruta" para obtener acceso a cuentas sin la mayor complicación y a gran velocidad.

Apple recopila datos de localización de sus dispositivos

En respuesta a una carta enviada por dos congresistas el 12 de julio, en la que se planteaban cuestiones referentes a las prácticas en la recogida, almacenamiento y distribución de la información sobre ubicación física de los dispositivos fabricados por la organización, Apple ha informado que tanto Iphone, Ipad y los ordenadores Mac recopilan información de su ubicación geográfica o física. También aquellos ordenadores que tiene instalado el navegador Safari v5 se ven afectados por esta cuestión.

Vulnerabilidad en el servicio de ayuda y centro de soporte de Microsoft Windows

El investigador de seguridad Tavis Ormandy ha reportado una vulnerabilidad en el servicio de ayuda y centro de soporte de Windows que podría permitir la ejecución remota de comandos en el sistema afectado. Los sistemas afectados son las familias Microsoft Windows XP (SP2 y SP3) y Windows Server 2003 SP2.

Microsoft decide mantener las XP hasta 2020

La firma gobernada por Steve Ballmer no consigue librarse de su sistema más conocido por los usuarios, XP. Este sistema sigue muy vivo tanto que los directivos de la firma reconocen que dicho sistema es el que corren la gran mayoría de los PCs del planeta, el 74% de los pertenecientes a empresas.

Desde "ComputerWorld" se apunta que la vida de XP en contra de informaciones anteriores se extenderá hasta el año 2020 en el que expira el ciclo de vida de Windows 7. De esta forma las empresas podrán de nuevo comprar los PCs con la posibilidad de volver a Windows XP. leer más...

Un Comité del Senado de los Estados Unidos aprobó el proyecto de Ley sobre Seguridad Cibernética

EL SENADO DE EEUU APRUEBA LA "Cybersecurity Bill"

La comisión dedicada a la Seguridad Nacional del Senado de EEUU ha aprobado la "Cybersecurity bill" con la intención de proteger internet y que otorgará al Presidente plena autoridad sobre internet, en el caso de emergencia nacional. Entre las posibles acciones a tomar por el Presidente estaría ordenar el cierre de forma indefinida de las redes privadas y gubernamentales del país en el supuesto de un cyberataque que pudiese causar víctimas humanas. Estas decisiones deberán contar con la aprobación del Congreso antes de 120 días a partir del cierre inicial. leer más...

El FBI no es capaz de romper un cifrado realizado con Truecrypt

El FBI no ha conseguido romper el cifrado con el que se encontraban protegidos los discos duros incautados al banquero Daniel Dantas, detenido en Rio de Janeiro en 2008 durante la “Operación Satiagraha”, a petición de la Policía Federal brasileña. EL banquero estaba siendo investigado y acusado de asociación para delinquir, gestión fraudulenta, evasión de divisas, lavado de dinero, ocultamiento fiscal y espionaje.Tras los intentos frustrados de "romper" las contraseñas que protegen a los dispositivos por parte de las fuerzas brasileñas, en 2009 solicitaron ayuda al FBI. leer más...

Los "hackers" ya aparecen en el código penal

Artículo 197. parrafo 3 del Código Penal:

"El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsable de los delitos comprendidos en este artículo, se le impondrá la pena de multa de seis meses a dos años.

Los coches modernos pueden ser vulnerables a "ataques maliciosos"

Dos equipos de las universidades de Washington y de California han conseguido realizar ataques maliciosos durante un prueba realizada a dos vehículos. El experimento fue presentado en el simposio de seguridad y privacidad del IEEE en Oakland. Por motivos de seguridad no se han hecho públicos los datos referentes a las pruebas ni el software utilizado para ellas.

Las pruebas fueron realizadas sobre dos vehículos sedane siendo estos del mismo modelo y de la misma marca. Estas consistían en conseguir acceso externo a la red interna de los vehículos y poder ejecutar acciones tales como controlar los sistemas internos, desde bloquear el sistema de frenos o controlar el motor llegando a pararlos estando el vehículo en marcha.

Una nueva forma de phishing

Un desarrollador en Mozilla, Aza Raskin, ha descubierto una nueva forma de malware, en concreto de phishing el tabnabbing. Ataca la nueva forma de navegación por pestañas. La idea es simple: cuando el usuario no esté mirando la pestaña, cambiamos su aspecto para que parezca otra.

Este ataque puede ser realmente efectivo. No somos pocos los que acostumbramos a trabajar con varias pestañas, y lo que nos guía es su icono y su título. Tal y como pone como ejemplo Aza Raskin, si hacemos clic en la pestaña con el icono de Gmail y vemos que nos pide hacer login otra vez porque no ha habido actividad, lo haríamos prácticamente sin dudar. Sin embargo, lo que podríamos estar haciendo es proporcionar nuestra información a terceras partes. Empezará a preocuparnos la caducidad de las cookies. leer más...

La AEPD abre una investigación a Google por la captura de datos de redes WI-FI en España

EL Director de la Agencia de Protección de Datos ha ordenado abrir una investigación(1) a Google en base a la reciente confirmación en el blog corporativo(2) del gigante de internet de que los vehículos utilizados para la captura de imágenes para el servicio Google Street View recopilaban a su vez datos del tráfico de las redes Wi-Fi abiertas (no protegidas) que se encontraban a su paso por las ciudades.

Varias Organizaciones europeas de protección de datos han reclamado a Google el acceso a todos los detalles técnicos de sus vehículos.La captura de estos datos según Google se debe a un error de software, puesto que la intención inicial era la captura de direcciones MAC para ayudar a la Geolocalización, este "error" proviene de un fragmento de código que sí captura tramas de las conexiones no protegidas.

Grave vulnerabilidad en la página web del Ministerio de Vivienda

La página web del Ministerio de Vivienda(1) ha sido identificada como vulnerable a un posible robo de datos personales. Concretamente la vulnerabilidad residía en la sección dedicada a las solicitudes de la "renta básica a la emancipación"(2). Desde el Ministerio han confirmado esta vulnerabilidad y mientras investigan el problema la página estará fuera de servicio. Este servicio era utilizado por los solicitantes de las ayudas para acceder a sus datos y consultar la evolución de sus peticiones.

Fue un consultor de seguridad externo el que informá directamente al Ministerio de dicha vulnerabilidad. leer más...

Grave fallo de seguridad en Quip para Iphone provoca la publicación de fotografías personales

La aplicación "Quip" para el Iphone presenta un grave agujero de seguridad. Esta aplicación permitía enviar fotografías entre los usuarios de Iphone de forma gratuita de la misma forma que si se enviara un mensaje multimedia pero sin coste para el usuario. Lo que estos usuarios no sabían, es decir, de lo que no se les informó es de que cualquier persona con unas mínimas habilidades en el manejo de las webs podría ver esas fotos. Quip almacenaba estas imágenes en un servidor web accesible publicamente sin ninguna medida de seguridad como control de accesos, cifrado, presa fácil de no excesivamente avezados usuarios de internet.

Top 25 de errores de programación más peligrosos

El 16 de febrero en Washington,D.C. en un acto organizado por SANS y MITRE, expertos en Ciberseguridad de más de 30 organizaciones estadounidenses e internacionales relacionadas con las ciberseguridad realizaron la nueva lista de los 25 errores de programación más peligrosos que permiten una explotación maliciosa. Estos 25 errores han sido la causa de casi cada uno de los más importantes ciberataques incluyendo las recientes penetraciones en Google y otros millones de ataques a pequeñas empresas y usuarios particulares. Esta lista se ha desarrollado con las aportaciones de 28 organizaciones distintas que evaluaron cada vulnerabilidad basándose en su importancia y duración en el tiempo. Esta nueva lista de errores también proporciona asesoramiento para la mejora de estas vulnerabilidades ayudando a los programadores a reducir o eliminar las mismas.

El principio del fin de la conservación de datos

La semana pasada el Tribunal Constitucional alemán declaró anticonstitucional la actual Ley de Conservación de Datos. La citada Ley se dictó al amparo de la Directiva 2006/24/CE, del Parlamento Europeo y del Consejo, de 15 de marzo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones. El objeto de la Ley regulaba la obligación de las operadoras de telecomunicaciones de conservar los datos tratados en el marco de la prestación de servicios y el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de una autorización judicial con fines de detención, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal.

Grooming

Se entiende por Grooming al conjunto de tácticas de acoso que desarrolla una persona adulta para establecer contacto, con fines sexuales, con menores por medio de redes sociales. Es un nuevo tipo de problema relativo a la seguridad de los menores en Internet. Esta práctica incluye la suplantación de personalidad, siendo común el hacerse pasar por un joven de la misma edad de la víctima, estableciendo una relación amistosa con ella hasta el punto de conseguir la suficiente información íntima (fotos, conversaciones íntimas,etc...), lo cual provocará el acoso sistemático a través de amenazas, siendo la más común la publicación de esa información.

Cerrada la botnet Mariposa por la Guardia Civil

La guardia Civil ha detenido a tres responsables de la red botnet Mariposa. Estas tres personas son los presuntos responsables de manejar 12.7 millones de infectados. Esta red según los responsables de la Guardia Civil operaba desde nuestro país y había conseguido expandirse a otros 190 países. Los mails enviados desde esta red no tenían como objeto labores de spam si no realizar tareas de phishing. De esta manera robaban y accedían a datos sensibles, cuentas bancarias, números de tarjetas de crédito etc. Los cuerpos de seguridad habían trabajado en colaboración con distintas firmas de seguridad como Panda. Fue el FBI que había iniciado otra investigación sobre la misma botnet quien habiendo obtenido indicios de la implicación de un individuo de origen españo alertó a la Guardia Civil

Problemas de Seguridad Flash Player v6

Microsoft difundió una nota a través de su red técnica en la que se informa de los problemas de seguridad de este reproductor de medios. Estos fallos pueden permitir la ejecución de código remotamente mediante una animación especialmente construida. La nota reza así: " Microsoft is aware of reports of vulnerabilities in Adobe Flash Player 6 provided in Windows XP. We are not aware of attacks that try to use the reported vulnerabilities or of customers impact at this time but we recommend that user install the latest version of Flash Player provided by Adobe".

Se ha publicado la ISO/IEC 27003:2010

El Comité SC27 ha publicado una nueva norma dentro de la familia 27000, la ISO/IEC 27003:2010. Esta norma se centra en los aspectos necesarios para el éxito en el diseño e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001:2005. Esta norma resuelve cuestiones y dudas que hasta ahora carecían de un criterio normalizado. leer más...

Seguridad de Google Buzz

Buzz es el intento por parte de Google de plantar cara a la hegemonía de Facebook en las redes sociales. Este servicio pretende crear una nueva red social tomando como base la cuenta Gmail del usuario y como entorno social, la lista de contactos del mismo. Reune sobre el sistema varias opciones de notificiación de otros servicios web (twitter, Flickr, Picasa,Blogspot, Google Reader,etc...), los cuales una vez activados mostrarían sus notificaciones, contenidos, actualizaciones al resto de contactos.

La Tasa Google

El ministro de Industria, Miguel Sebastián, defiende a instancia de las grandes operadoras implantadas en el territorio español una tasa que gravará a los grandes buscadores y redes sociales. leer más...

Foro de Innovación dirigido al sector TIC y al Metal

El 16 de abril se celebra en Gijón en el Palacio de Congresos un Foro de Innovación dirigido al sector TIC y al Metal. Este encuentro está organizado por el Área Programas a Empresas, Medio Ambiente, Calidad e Innovación de la Cámara de Comercio de Gijón.