Categoría: Seguridad

Cuando Big Data es la única forma de conseguir más seguridad

La fragmentación de la infraestructura TI, el aumento del uso de dispositivos móviles, la mayor disponibilidad de opciones para conectarse, los dispositivos llevados a la empresa por los usuarios finales y la gran cantidad de atacantes cibernéticos, configuran una realidad que tiene demasiadas posibilidades, y que se está volviendo una pesadilla para muchos departamentos de TI. Si ya era complicado mantener la seguridad en un ambiente controlado de dispositivos y conexiones, muchas de ellas físicas, en este mundo donde cada usuario utiliza varios dispositivos móviles y fijos –de los cuales muchos tienen mecanismos para recordar contraseñas—con sistemas sencillos de verificación de usuarios y con los datos viviendo en la nube y a los que puede accederse constantemente desde estos dispositivos, termina originando gran cantidad de problemas –y costos—a las organizaciones. Pero la gente de RSA, la división de seguridad de EMC, está realizando una propuesta para atender este problema usando técnicas de análisis da grandes cantidades de datos, lo que se conoce como Big Data.

La última versión del administrador de autenticación de usuarios de RSA –Autentication Manager 8.0– es una herramienta que combina métodos de autenticación fuerte con un password, con técnicas de detección de riesgos para ofrecer protección a las empresas e instituciones.

La solución elabora distintos perfiles para cada usuario, dependiendo de sus hábitos y dispositivos usados para determinar accesos sospechosos a los datos. Para el usuario es una actividad transparente casi en su totalidad, pero para los departamentos de TI permiten combinar hasta un centenar de factores de riesgos que juntos ayudan a determinar comportamientos sospechosos de los usuarios, y forzar así a una autenticación más precisa.

Por supuesto que detrás de esta solución existen sofisticados algoritmos que soportan el funcionamiento. La misma tecnología del portafolio de soluciones Adaptativas de RSA está detrás de esta oferta. RSA lleva tiempo buscando ayudar a las empresas a contar con una autenticación “fuerte” en todos sus usuarios, y no sólo en el 20% de ellos –que es lo que ocurre actualmente—y así ayudar a disminuir los riesgos actuales.

La seguridad empresarial, lo quieran o no los departamentos de TI, pasa entonces por los individuos, por lo que al momento de estar hablando de seguridad, realmente estarán hablandodeti querido lector, que al final eres el último eslabón de la seguridad de las instituciones a las que perteneces.

*fotografía cortesía de Edgard Rincón, @erinconm, de la rueda de prensa de RSA en San Francisco, CA, el 25/02/13

febrero 25, 2013
Sistema de alertas de clima de EUA pasa su primer examen a duras penas

A mediados del año pasado el Servicio Nacional del Clima de los EUA anunció que comenzaría a enviar alertas sobre clima extremo directamente a los celulares de las personas.

El Sistema de Alertas Inalámbricas quedó configurado para enviar de manera automática mensajes de alerta a millones de usuarios con teléfonos inteligentes en todo el país, una medida que busca mejorar la eficiencia de los sitemas de alarma nacional.

El sistema en cuestión mostraría a todos los usuarios de teléfonos inteligentes de un condado un mensaje corto, de menos de 90 caracteres, y en el caso de los teléfonos más modernos, haría sonar un tono de advertencia. El origen de los mensajes incluye varias fuentes, que van desde el Presidente de la nación, hasta las autoridades locales de un condado, pasando por servicios nacionales, como es el caso del Servicio Nacional del Clima.

Operadores telefónicos, que sirven aproximadamente al 97% de los usuarios del país, participan de esta iniciativa cuya primera oportunidad de prueba en condiciones reales se dio esta semana con la tormenta de Invierno llamada Nemo, que afecta al noreste de los EUA.

El sitio web Mashable reporta que en la ciudad de Nueva York y sus cercanías, varios de sus empleados recibieron esta alerta y al parecer tres de cuatro operadores celulares importantes de la zona, alertaron a sus usuarios. El cuarto operador, AT&T, parece no haber logrado hacer funcionar el sistema a tiempo, cosa que parece haber molestado a varios de sus usuarios que colocaron mensajes en redes sociales criticando a la empresa por su falta de interés humanitario.

Tomando en cuenta que no todos los teléfonos inteligentes son soportados, la falla en un operador principal, y que los usuarios de teléfonos normales –featured phones—no fueron alertados, los resultados sin duda apoyarán el desarrollo de este proyecto, que puede llegar a salavar miles de vidas en el corto plazo, y que de seguro será implementado en otros países y regiones.

Sin embargo esté no es el único camino para las redes de alertas. El Weather Channel, por ejemplo, está trabajando en formar un sistema de redes sociales de alertas, y autoridades locales en todo el mundo se han volteado hacia Twitter e incluso Facebook para brindar información de alertas a su público.

Es así como en el futuro cuando se hable de peligros, alertas y amenazas, cuando las autoridades digan que han activado sus sistemas de alertas, quizás estén hablandodeti, apreciado lector, y de tu lista de amigos en línea.

febrero 9, 2013
Un video nos recuerda lo vulnerables que somos (en línea)

Bélgica cuenta con una población de poco más de 11 millones de habitantes, y el año pasado alcanzó 8.1 millones de personas conectadas en línea a sus bancos. Los fraudes bancarios son pocos, pero han crecido de manera desmesurada, y en los primeros 8 meses del 2012 hubo más de cinco veces el número de fraudes que en todo el 2011. Como resultado la asociación bancaria, conocida como Febelfin, decidió lanzar una campaña que crea conciencia en los usuarios de cuanta información personal suben a la Internet y comparten en redes sociales.

En esta campaña un supuesto psiquíco, el holandés Dave, realiza consultas gratis en la calle a personas que van pasando. Dave cuenta con un equipo de hackers e internautas detrás de las cortinas que buscan la información de las víctimas y la transmiten inalámbricamente a un receptor en el oído de Dave.

La mayoría de la gente revela una gran cantidad d einformación personal en la Internet, y Dave los sorprende hablando sobre viajes realizados, dolores musculares y hasta números de cuentas bancarias. Al final se deja caer la cortina y se le muestra a los usuarios que Dave no posee atributos psiquicos sobrenaturales, sino que se trató de un equipo de investigadores en línea. El impacto de esta campaña ha sido grande, y creo que basta con ver el video para comprender por que es así.

Espero estimado lector que al revidsar este video, tomes algunas precauciones antes de montar información en la red, no vaya a ser que en un próximo post, tengamos que estar hablandodeti y de como los delincuentes se aprovecharon de información que publicaste descuidadamente.

enero 22, 2013
Basta del falso mensaje de privacidad en Facebook.

Millones de engañados, miles de preocupados, y muchas horas hombre perdidas es el resultado del más reciente engaño en Facebook, que busca comprometer a las personas a ser “buenos amigos” si seleccionan ciertas opciones de privacidad en “cada uno” de sus amigos.

El engaño tiene tiempo rodando en la red, sólo que estaba en inglés. Ahora en español toma fuerte presencia en los últimos días o semanas. Se gtrata de una piea bastante elaborada, con u gran número de instrucciones que sirven para hacer…nada.

Pero si necesitan algo más que mi palabra para estar seguros de la falsedad del engaño, la BBC lo reporta en su página web.

En general yo rechazó de plano todas las cadenas, y recomiendo hacer lo mismo. Las pocas veces que se necesita difundir una información importante, suelo cuidar de que estén incluidos los datos que permitan comprobarla.

¿Pero usted dejaría de pedir sangre para un pobre bebé que se encuentra hospitalizado y es el hijo del mejor amigo del amigo de un amigo? Yo dejaría de pedirla en casi todas las ocasiones, especialmente si el hospital del niño no está identificado, es de otro país o no hay un teléfono válido de referencia. Los cibermaleantes que riegan estas historias lo hacen con distintas intenciones: unos sólo se vanaglorian de lo lejos que llega su historia, otros extraen patrones de los datos y otros se las arreglan de una manera u otra para infiltrar con malware a terceros o robar datos personales.

¿AOL va a donar 5 céntimos por cada retweet de un mensaje para salvar a un niño? Pregúntese primero que gana AOL con eso, y después revise si AOL funciona –aún—en su país. ¿Microsoft le va a regalar un nuevo celular Nokia Lumia si re-envia este mensaje de SMS, correo electrónico o BB Messenger? Pues haría bien en demandar a Microsoft por estar espiando e interceptando sus comunicaciones privadas.

Como ven, la mayoría de los mensajes no resisten una poca de lógica. Aunque hay otros mas sofisticados que están tsn bien cimentados que cuesta diferenciarlos. ¿Tiene usted un bebé de meses y lee que en las compotas de banana de cierta marca se han filtrado pedazos de vidrio, y se va a eximir de mandar esta info a todos sus amigos con hijos en edades parecidas? Es difícil, más aún que el caso se basa en un hecho real que de verdad ocurrió en Francia, pero hace ya varios años. Empresas competidoras de Nestlé y personas sin oficio suelen darle vida a este rumor cada cierto tiempo. Pero un chequeo de realidad para esas madres informadas bastaría para detenerlo: en muchos países de nuestra región esa empresa no ofrece compotas con sabor de banana.

Por el bien de la Internet, de sus amigos –a los que tanto quiere y por los que reenvía estas cadenas—la próxima vez que vea un mensaje de este estilo, antes de correr a propagarlo, piense un momento si tiene validez en su país, si suena lógico, y especialmente intente recordar si no lo ha visto antes, hace ya algunos meses. Así no estaremos entonces hablandodeti cuando hablemos de personas que reenvían mensajes falsos, aún con la mejor intención.

enero 12, 2013
McAfee vendido por periodistas inexpertos… ¿o por su propio ego?

La historia de John McAfee, el [¿ex?]millonario fundador de la empresa de seguridad que lleva su mismo nombre, ha sido controvertida, por decir lo menos, después de vender su empresa y radicarse en Belice.

McAfee ha llevado una vida digna de Charlie Sheen, dedicándose a drogas, alcohol y mujeres de dudosa reputación, de ser ciertos los rumores al respecto. Pero lo que si se conoce es que recientemente peleó con un vecino por causa de unos perros de su propiedad, y poco después el vecino apareció muerto y la policía ha intentado localizarlo para interrogarlo. El por su parte se ha dado a la fuga alegando un intento de extorsión previo por parte de la autoridades del país centroamericano.

Con éxito, ha logrado evadir a sus captores y se ha dado el lujo de mantener su blog actualizado mientras lo hace (www.whoismcafee.com). Como experto de seguridad, afirma haber borrado todas sus huellas, utilizando montones de celulares “desechables”, o mejor dicho “desechados”, durante estos días. Incluso se ha dado el lujo de coquetear con los medios de comunicación dando varias entrevistas .

Y fue en una de estas entrevistas, la realizada el día 3 de Diciembre por la revista Vice, la que le ha traído más inconvenientes, ya que los periodistas de Vice, ansiosos por publicar la entrevista, dejaron conocer su posición exacta, al publicar una foto de McAfee sin eliminar la data EXIF de la misma. Esta data guarda información acerca de la foto –como el tipo de cámara, las condiciones de enfoque y la posición geográfica donde fue tomada—y es un recurso muy valioso en investigaciones forenses digitales. De hecho, hace pocos meses tuve la oportunidad de conversar con varios investigadores forenses digitales, y me aseguraban que una de las piezas más valiosas en su trabajo son las fotografías, ya que acumulan muchos detalles ocultos dentro de sí.

Este error le costó caro a McAfee. Un hacker identificado como Simple Nomad, al ver la publicación de la foto en la página web de Vice, procedió a revisar la información EXIF y encontró que había sido tomada con un iPhone 4S en las siguientes coordenadas: “Latitud/longitud: 15° 39’ 29.4 Norte, 88° 59’ 31.8 Oeste,” a las 12:26 p.m. del lunes.

El experto en seguridad, había cometido uno de los errores más frecuentes: publicar más información de la necesaria, ya sea voluntariamente o involuntariamente. Al darse cuenta de lo ocurrido McAfee publicó un tweet alardeando haber cambiado la información EXIF de la foto para protegerse, pero poco después tuvo que admitir que estaba en Guatemala y anunciar una reunión con las autoridades en presencia de su abogado.

Que lástima estimado McAfee que un hacker como Simple Nomad haya estado habandodeti, sólo por que cometiste un error básico en tu propia seguridad.

diciembre 5, 2012
Dispositivo móvil, dispositivo en riesgo

Normalmente solemos proteger nuestras PCs con programas antivirus y contraseñas, las tenemos resguardadas en nuestras casa u oficinas y poca gente tiene acceso a ellas. Pero los dispositivos móviles, desde una PC portátil a un teléfono, son otra cosa. Aunque solemos guardarlos con un mayor celo, no siempre pensamos lo vulnerables que son. Probablemente usted piensa que la información de su celular está a buen resguardo por que nunca se separa de él… pero ¿y si un día lo pierde, se le cae o se lo roban? Pues lo más probable es que un tercero termine teniendo acceso a todos los datos guardados en el dispositivo, ya que no solemos activar contraseñas y mucho menos cifrado de datos. ¿Ha caído en cuenta que si su celular es robado, una entrada en la agenda de contactos con el nombre de “casa”, puede llevar a un delincuente hasta su hogar? ¿Sabe que pasaría si el delincuente puede leer todos sus correos electrónicos y conocer de su vida cosas que más nadie conoce?

Para evitar que esto pase, los amigos de ESET, una firma de seguridad con productos muy interesantes, me han hecho llegar esta lista de recomendaciones que aquí les comparto, de manera de que si alguien pierde su dispositivo, minimice los posibles daños y evite que cualquiera que encuentre el dispositivo pueda estar hablandodeti, querido lector.

1-Implementar una solución de seguridad integral: La misma debe detectar proactivamente los códigos maliciosos, filtrar mensajes no solicitados, revisar la correcta configuración del teléfono y ofrecer la posibilidad de borrar remotamente toda la información almacenada en caso de robo o extravío del dispositivo.
2-Instalar sólo aplicaciones provenientes de repositorios o tiendas oficiales: Utilizar software legítimo proveniente de fuentes y repositorios oficiales ayuda a minimizar la posibilidad de convertirse en una víctima de códigos maliciosos.
3-Actualizar el sistema operativo y las aplicaciones del smartphone: Al igual que con las computadoras, actualizar tanto el sistema operativo como los programas es fundamental para obtener mejoras de seguridad y nuevas funcionalidades.
4-Establecer una contraseña de bloqueo: Es recomendable que ésta posea más de cuatro caracteres.
5-Desactivar opciones no utilizadas como Bluetooth o GPS: De este modo, se evita la propagación de códigos maliciosos y el gasto innecesario de la batería.
6-Evitar utilizar redes inalámbricas públicas: De ser imprescindible, al momento de conectarse a una red inalámbrica púbica, se recomienda no utilizar servicios que requieran de información sensible como transacciones bancarias, compras, etc. Preferentemente se deben utilizar redes 3G.
7-Respaldar la información almacenada: Es recomendable realizar periódicamente copias de seguridad de la información almacenada en el dispositivo. También se debe evitar escribir información sensible como contraseñas en forma de recordatorios o mensajes de texto.
8-Configurar adecuadamente redes sociales: No compartir información de forma pública y limitar la cantidad de amigos.
9-No seguir hipervínculos sospechosos de correos, mensajes o sitios web: Tampoco escanear cualquier código QR.
10-Ser cuidadoso con el dispositivo para evitar su robo o pérdida. Nunca está de más tomar todas las precauciones para usar y almacenar sus dispositivos.

octubre 22, 2012