Categoría: Seguridad

Windows XP pone en jaque a la banca

El cierre del soporte de Windows XP por parte de Microsoft tiene como fin obligar a los usuarios a migrar a sistemas operativos más modernos. Se trata de una decisión tecnológica, que de paso hace bien al negocio (de Microsoft). Y aunque algunos usuarios cuestionen esta decisión –probablemente con razón—para la industria en general es un buen paso, que lleva hacia sistemas operativos más modernos y confiables. Sin embargo hay una industria en particular que se ve ampliamente afectada: la de los cajeros automáticos.

Casi la talidad de los cajeros automáticos del mundo funcionan bajo el sistema operativo Windows XP, y el cese de soporte a este sistema genera un gran problema a la banca.

De hecho la ATM Industry Association con más de 4.000 miembros en más de 60 países generó un informe en el que alerta a propios y extraños sobre los riesgos que corre la industria de no actualizar sus plataformas para el 8 de Abril, fecha en que cesará el soporte de Windows XP por parte de Microsoft.

Y los cajeros automáticos, o ATM, son un eslabón delicado en la industria de la banca, y han contribuido a abaratar los costos de funcionamiento de muchas entidades bancarias. Los robos e intentos de robos a cajeros automáticos incluyen desde ataques físicos hasta sofisticados atauqes informáticos, incluyendo una nueva modalidad reportada por Kaspersky, donde rompen el blindado del cajero para conectarle una memoria USB inectada que les brinda acceso a todo el dinero almacenado en el cajero. (ver http://www.itcandino.com/kaspersky-roban-atms-usando-usb-infectados/ )

Así que a partir del 8 de Abril, con cada día que pase, aumentará la posibilidad de que ocurran problemas con los cajeros automáticos que no estén actualizados. Algunas instituciones ya tienen sus planes de reemplazo y actualización muy avanzados, pero muchas otras no, e incluso hay algunas que confían en la alternativa que ofrecen algunos fabricantes de productos de seguridad para mantener su flota de ATM activa por más tiempo. Sin embargo la decisión correcta es migrar el sistema operativo –y si es necesario cambiar el hardware—y utilizar Windows 7 o Linux en los ATM.

Mientras eso ocurre, seguiremos hablandodeti Windows XP y de los usuarios e industrias que te estarán extrañando, al menos por un tiempo.

febrero 21, 2014
La brecha de Target, también puede estar afectando a Latinoamérica

¿Estás dentro de los afortunados que pudieron ir a aprovechar las oferta del días despues de Acción de Gracias de este año? Pues si es así tus datos –y los de tus tarjetas de crédito—pueden estar comprometidos.

La gran cadena de almacenes identificada irónicamente como ¿Target –que significa “blanco” u “objetivo de un ataque”—fue víctima de lo que quizás sea el segundo mayor ataque y robo de datos financieros que haya sufrido una tienda jamás en la historia, con un estimado de 40 millones de personas afectadas –aunque en algunos medios se lee que pueden ser hasta 70 millones. El ataque más grande comprometió más de 90 millones de registros, en las tiendas TJ Max, en diciembre de 2006.

El ataque afectó a personas que realizaron compras en dichas tiendas en todos los Estados Unidos desde el 27 de Noviembre hasta la primera quincena de diciembre. El procedimiento utilizado no ha sido dado a conocer, pero ya otros grandes almacenes, como Neimann-Marcus, han empezado a aceptar que también fueron afectados.

Algunas de las razones para este fraude masivo son responsabilidades de la industria financiera incluyendo la reticencia de la banca a aceptar el uso de chips en las tarjetas de crédito y débito, en lugar de las bandas magnéticas. Obviamente otras razones pasan por las políticas de seguridad de los datos dentro de las empresas como Target.

Entre los propósitos de enmienda de Target, la tercera cadena de ventas a l detal de US, está el promover entonces el uso de tarjetas con chip, y combinar esto con el uso de contraseñas numericas o PINs –Personal Identification Numbers– uno de los métodos más económicos y seguros de la industria.

Las leyes federales hacen que las perdidas por parte de los compradores sean mínimas, limitándose en muchos casos a sólo US$50 en las tarjetas de crédito, pero pueden llegar hasta US$500 en las tarjetas de débito, dependiendo del banco y de la empresa. Mientras tanto la banca trabaja apresurada cambiando tarjetas que creen fueron comprometidas, e implementando medidas restrictivas al gasto en tarjetas de crédito y débito que incluyen limitaciones a los retiros en cajeros automáticos, a los gastos en el exterior y más.

Una vez que esto esté más avanzado, quizás los delincuentes empiecen a buscar otras formas de utilizar los números de tarjetas obtenidos, incluyendo el seleccionar los números extranjeros, para usarlos en mercados extranjeros. Quizás hasta se animen a aplicar el mismo método de ataque que usaron en
Target, en cadenas de tiendas locales.

Por eso te digo querido lector, que si estuviste en los EUA aprovechando las ofertas de Acción de Gracias,entonces estoy hablandodeti ya que puedes estar en la mira de los ciber-delincuentes que perpetraron estos ataques, y más te vale hablar con tu banco y averiguar que medidas se pueden tomar al respecto.

enero 13, 2014
Brasil contra la Internet: una batalla perdida

Dilma está molesta por que Estados Unidos espió sus correos y los de sus allegados. Y no importa que Brasil se haya visto obligado a reconocer que ellos también espiaron a diplomáticos de USA en Brasil.

Como consecuencia de esta molestia Brasil está reaccionando de una manera peligrosa, al intentar nacionalizar parte de la Internet. Brasil, en una remembranza de como hicieron en la década de los 80 para adquirir tecnología, pretende que los gigantes de la Internet como Google o Facebook, alojen los datos de usuarios brasileños en Brasil, nunca fuera de sus fronteras. Se trata de una réplica de su estrategia sobre fábricas, donde obliga a las empresas a fabricar en el país si quieren vender en el. En los 80 está estrategia le sirvió al país para adquirir mucha tecnología, pero en breve, dada la aceleración de la obsolescencia tecnológica, estuvo a punto de sumergir a Brasil, peligrosamente en el pasado.

Además Brasil está proponiendo crear un sistema propio de email, fuertemente encriptado, cuyos correos sean almacenados en el país, como alternativa a los servicios como Hotmail o Yahoo.

La idea de Brasil, de tener una versión local de Internet luce absurda para las personas que hacemos vida en el mundo de la tecnología, y yo añadiría que es imposible a menos que Brasil abandone su talante democrático y se blinde con leyes anti democráticas. Pero asumiendo que logren establecer el marco legal interno, y que la población lo acepte…¿es posible aislar Internet como Brasil quiere?

Aquí de nuevo la respuesta es un “no” rotundo. Al menos no como Dilma lo está planteando, en aras de la seguridad nacional. Los ataques cibernéticos no se originan necesariamente dentro del país. Las amenazas digitales viajan igual que los correos y los archivos de la web, usando diferentes rutas para alcanzar sus destinos. Conceptualmente un político poco aguzado en cuestiones técnicas podría pensar que en Brasil se constituya una sola red, que se conecte a través de un único punto a la Internet. Pero sabemos que eso es poco probable, que existen conexiones satelitales, intra empresa, entre diferentes países vecinos, etc, que serían muy dificiles de controlar. Y si piensan en China, Cuba o Corea del Norte como ejemplo no conocen bien la situación en estos países. En casos de países como Cuba, el control es por tener pocos puntos de acceso y coercitar a los usuarios. En el caso de los gigantes asiáticos, se une una fuerte presión legal –antidemocrática– con pocos accesos de la red interna hacia afuera bajo el control estricto del estado. En todos casos estos controles sólo sirven para desalentar a los usuarios, pero nunca han servido para detener ataques a las ciberpropiedades, el supuesto interés de Dilma.

Ahora bien, Dilma es suficientemente inteligente cómo para exigir esto, a sabiendas de que no logrará cumplir sus objetivos, pero que dada la importancia del mercado de Brasil, logrará que se construyan sendos centros de datos en el país, que traerán tecnología y empleo gracias a los gigantes de la Internet. Pero quizás no ha sopesado lo peligroso que puede ser dejar a nuevos sitios de Internet fuera de Brasil –al menos legalmente—y quizás retrasar el avance tecnológico de su país.

Para el resto del mundo, el peligro está en que otros políticios en otros países se crean este juego de mentiras y quieran obligar a las empresas de Internet a hacer lo mismo en sus propios mercados. La verdad es que son pocos los países que pueden tener la fuerza de Brasil –por su tamaño—y estos países sólo lograrían aislarse, ya que dificilmente logren centros de datos de las grandes empresas.

Así que Dilma, que lástima que tenga que estar hoy hablandodeti, por este tema. Ojalá que al menos escuches a algunos de mis excelentes colegas en Brasil, que con gusto te pueden alertar sobre el peligro de tu actitud, y explicarte de una buena vez que la seguridad en Internet no depende tanto de la locación de los datos, sino más bien de las medidas que se tomen en los centros de datos y hasta de los propios usuarios.

noviembre 10, 2013
Vigilancia en video contra el hampa organizada

Un estado fronterizo de Venezuela apostó a un servicio de vigilancia en video como arma para prevenir robos a entidades bancarias y ha registrado una importante disminución en el número de eventos delictivos. Es la misma formula que otras ciudades del continente han aplicado a gran escala para reducir la criminalidad, usando la vigilancia remota junto a otras políticas como forma de evitar delitos de todo tipo.

Y es que el poder de registrar en video lo que ocurre es uno de los más poderosos recursos disuasorios para el hampa. En varios países de la región las líneas de autobuses interurbanos graban a los pasajeros que abordan las unidades, disuadiendo así a posibles criminales de abordar dichas unidades para cometer algún robo a los pasajeros. Los sistemas de vigilancia de condominios y empresas trabajan como fieles guardianes en millones de lugares, buscando reducir el número de delitos. Incluso teléfonos inteligentes son programados para obtener fotos de sus ladrones, y luego las víctimas del robo usan la foto para denunciar al culpable, y la difunden en Internet para alertar a los amigos. Quizás el caso más notable sea el del blog “Life of a stranger who stole my phone” o “La vida de un extraño que se robó mi teléfono” un blog en Tumblr iniciado por una persona a la que le robaron su iPhone y comenzaron a usarlo sin desactivar la función de la cámara para subir automáticamente las fotos a la nube. Realmente se los recomiendo por ser un verdadero clásico.

Volviendo al caso de la policía en Venezuela, en el estado Táchira para ser más exactos, que ha recurrido al video para reducir el índice de asaltos a entidades bancarias, es de hacer notar que con una inversión bastante modesta, con apenas unas 31 cámaras en un radio de unos 16Km y una solución de monitoreo de la empresa Axis, se lograron reducir los asaltos a las 14 entidades bancarias en el área, así como también se redujeron asaltos a transeúntes, robos nocturnos y otras actividades delictivas. Aunque la policía no ha dado cifras, es lógico pensar que al incluir la vigilancia por video esto haya incidido directamente en la tasa de delitos, tal como ha sucedido en otras ciudades, y estén considerando extender la zona cubierta por la vigilancia en video. Pero una crítica común a estos sistemas, es que por si solos no reducen la criminalidad, ya que los delincuentes suelen percatarse de la vigilancia y mudan sus operaciones a zonas no vigiladas, por lo que es importante contar con otras políticas que complementen los programas de video vigilancia.

Gracias a este ejemplo de la policía del Táchira, espero no tener que estar hablandodeti querido lector del Táchira, la próxima vez que lea sobre un asalto o un robo en un periódico nacional.

noviembre 4, 2013
Google, ¿el dueño del Wi-Fi en el mundo?

Los usuarios de conexiones WiFi, especialmente en lugares públicos, muchas veces sienten algo de miedo, al pensar que alguien puede espiarlos, contagiarlos de un virus, o simplemente consumirles el ancho de banda. Para aquellos usuarios que suelen tener este temor, recientemente se ha estado revelando otra verdad, tna grave como preocupante: Google puede tener una copia de la clave de los WiFi que suelen usar los usuarios de Android.

Y es que, como dice Michael Horowitz en un post en Computerworld, si alguna vez un dispositivo android se conectó a las redes que usted usa, hay una gran probabilidad de que Google tenga una copia de la contraseña. Por supuesto que no sospecho que Google vaya a usar esas contraseñas, pero no estamos tan seguros, que ante presiones de gobiernos o bajo ataques de criminales, esas contraseñas puedan caer en manos no autorizadas.

Pero, ¿cómo llegaron esas contraseñas a Google? Pues es muy sencillo: muchos de los dispositivos Android –existen aproximadamente mil millones de ellos—que tienen instalada la versión 2.2 o posterior, traen activada por defecto una opción que permite respaldar los “settings” de cada usuario en los servidores de Google, incluyendo claro está las contraseñas de wiFi de las redes preferidas. Los primeros en notarlo y alertaron fueron usuarios que con sólo comprar nuevos teléfonos y configurar su cuenta de Google, fueron capaces de navegar en redes para las cuales no habían configurado su dispositivo aún. En mi caso personal, ese valor esta por omisión en mi Alcatel One Touch Ultra, y yo voluntariamente seguir´dejándola encendida, aunque estoy consciente del potencial peligro que puede constituir. Sin duda que si manejara secretos industriales de gran valor, ya habría cambiado la configuración –y el password de mi red WiFi—incluso antes de escribir este post.

El post de Horowitz está muy completo e incluye incluso una serie de referencias a las denuncias a este respecto que han aparecido en la red. Aunque las contraseñas están encriptadas de por si, y se espera que Google tenga encriptados los respaldos de cada usuario, estamos ante un serio problema de seguridad, derivado de una política cuestionable de la empresa, que ante todas las preocupaciones surgidas en esta era post WikiLeaks, y avivada por las declaraciones de Snowden y las múltiples brechas en grandes empresas de TI, puede ser calificada de preocupante.

¿Hasta que punto los usuarios pueden esperar privacidad de Google? Pues recientemente Google dijo –como argumento en un juicio en su contra– que los que usan su servicio de correo en la Web no pueden esperar privacidad total un comentario que atrajo la atención de gran parte del mundo de la seguridad digital, y que no cayó bien entre los miles ==quizás millones—de empresas que han tercerizado su operación de correo electrónico al gigante de las búsquedas.

Otro resultado de esta situación es que los usuarios de android empiezan a sentir un poco de la inseguridad que los usuarios de otras plataformas han sentido en los últimos años. Por supuesto que no a todos les importa, y muchos insistirán que son más seguros que otros sistemas, pero la realidad es que ya –al menos para parte importante de la opinión pública—Android está en el mismo saco que iOS o Windos Phone, sin la necesidad de que nadie tenga que probar nada.
Bienvenidos entonces a la era post Snowden, donde todos sabemos que los gobiernos –y quizás otras entidades—nos vigilan constantemente y están quizás hablandodeti en este instante.

septiembre 14, 2013
Pentágono: los entornos separados de Knox y BB10 son los únicos aprobados

El Pentágono habló: los entornos separados de Samsung Knox y BB10 –trabajo—personal—son lo suficientemente seguros para ser usados por su personal.

Este reconocimiento es otorgado a los nuevos Blackberry Q10 y Z10, así como es reafirmado a la tableta Playbook, mientras que es la primera vez que se incluye un dispositivo Android al aprobar el uso de teléfonos android que utilicen Knox, la solución de seguridad de Samsung.

Blackberry había dominado casi en solitario este renglón, pero se esperaba que el iPhone pudiera ser el próximo celular en entrar a la selecta lista. Sin embargo ha sido Samsung quien ha logrado la importante distinción. Numerosas empresas que requieren gran seguridad en sus comunicaciones usan las especificaciones militares de USA como referencia, por lo que este reconocimiento es la puerta para que Samsung compita en estos mercados, que aunque pequeños suelen ser importantes.

Tan solo el Pentágono cuenta con 470.000 usuarios de Blackberry, 41.000 usuarios de Apple iOs y 8700 dispsoitivos Android en prueba, según revela el sitio ItNews de Australia en un reporte (www.itnews.com.au/News/342153,samsung-knox-bes-10-get-pentagon-approval.aspx).

Por el momento Samsung podrá pelear en este nicho sólo con su Galaxy S4 recién anunciado, que es el único dispositivo que soporta la solución Knox. Sin embargo hay fuertes rumores de que pronto el Galaxy SIII, o una versión de ese modelo, soportarán Knox.

Pero Apple no queda completamente fuera del juego. Se espera que pronto el Pentágono reconozca la seguridad del iOS, pero en un nivel diferente, para actividades menos comprometedoras, como es la nevagación web, por ejemplo.

Tanto Knox como el BB10 aislan los datos y aplicaciones de trabajo de las personales e imposibilitan trasladar información de un ambiente al otro. Además incorporan mejoras en la comunicación, que los hace los teléfonos más seguros del mercado.

Es bueno que al hablar de seguridad no sólo esté hablando del Paentágono, sino que también esté hablandodeti querido lector, y de las opciones que tienes para proteger tus datos.

mayo 7, 2013