Consultoría Seguridad Informática, Tecnología y Comunicación (CSITC). Sistemas de gestión de la seguridad de la información. Noticias, alertas, aplicaciones, gadgets, consejos y trucos para incrementar la seguridad de nuestros sistemas y dispositivos.
lunes, 17 de enero de 2011
Stuxnet , ¿la primera ciber arma?
Stuxnet, es un gusano informático espía (malware) que apareció de forma "oficial" en junio del 2010 pero se ha detectado trazas del su código un año antes, en junio del 2009.
Es un virus muy avanzado técnicamente, usa y combina de una forma inteligente vulnerabilidades, certificados válidos y unos objetivos muy concretos. No solo afecta al sistema operativo windows infectado si no que también afecta a procesos industriales asociados, reprogramando o alterando controladores lógicos programables conocidos en el mundo industrial como PLC's. Estas modificaciones pueden llegar a ser criticas ya que son usados en multitudes de procesos industriales como centrales nucleares y similares.
El New York Times comenta que se necesita mucho conocimiento y tiempo de investigación, lo que se resumen en mucho dinero, características qeu suelen estar reservaba a los gobiernos.
Mas información: elmundo.es hispasec.com wikipedia (stuxnet)
jueves, 13 de enero de 2011
Noruega: no es ilegal ver películas pirateadas
Ayer, un representante del Ministerio de Cultura Noruego confirmó oficialmente en declaraciones realizadas a la NRK (Radiotelevisión Noruega) lo siguiente:
"No es ilegal ver películas ni series de televisión pirateadas online o en streaming, siempre y cuando el material no sea descargado por el usuario al disco duro, otro soporte de almacenamiento, ni distribuido nuevamente"
La noticia causa desconcierto y malestar en la industria cinematográfica, los cuales comentaron que ahora será más difícil combatir la piratería.
Más información: DiarioTI.com
viernes, 7 de enero de 2011
Memorizar 30 contraseñas o más, ¿como?
Cada día tenemos más y más contraseñas y no solo en nuestra vida cotidiana como cuando tecleamos el pin al encender el móvil o cuando vamos a sacar dinero al cajero. Cuando encendemos nuestro ordenador es cuando nos damos cuenta de la importancia de las contraseñas, para windows, para el email, para operar con el banco, para el Facebook, para el Twitter, para el Blog, para todos los Foros que estamos apuntados, etc.
Con todo esto es muy fácil que con el paso del tiempo, acabemos olvidando las contraseñas que menos utilizamos o que simplemente un día estemos saturados con algún tema y seamos incapaces de recordar una contraseña en ese momento, ¿a quién no le ha pasado?.
Para mitigar estos momentos de falta de memoria les presento la mejor solución de todas, una aplicación sencilla, práctica y muy muy útil que nos salvará de más de un quebradero de cabeza, se llama: KeePass Password Safe
KeePass no solo es una aplicación gratuita con la que podemos gestionar todas nuestras cuentas de usuario de una forma segura, es un excelente administrador que nos permitirá almacenar nuestras contraseñas de una manera segura, evitando su robo y su uso indebido ya que la base de datos esta protegida mediante una clave maestra. También puede estar protegida con un archivo llave que se crea desde el programa. Si lo creas, para acceder a tus claves en Keepass serán necesarias ambas cosas: tu contraseña y el archivo llave. Un sistema muy efectivo.
En esta base de datos podrás almacenar todos los datos de tus cuentas de usuario (usuario y contraseña), así como comentarios, la URL de los sitios de Internet que visitas con contraseña. Todos estos datos, los encontrarás fácilmente organizados y clasificados por categorías. Además de las existentes, la aplicación permite la posibilidad de crear nuevas categorías personalizadas. Otra de las opciones interesantes que incluye es el generador de contraseñas, para generar contraseñas aleatorias y robustas para lograr hacer más seguras tus cuentas de usuario.
Además, nos permite entrar o logarnos en los sitios de forma segura. Una vez que estemos en la pantalla de login de un sitio web, podemos hacer clic en la contraseña en KeePass y elegir la opción realizar escritura automática; de esta forma KeePass introducirá los datos automáticamente, engañando a cualquier keylogger o espías del portapapeles.
KeePass es software libre, tiene una versión de instalación y otra portable, para llevar en tu pendrive usb. Está en inglés, pero te puedes descargar el traductor a español o cualquier otro idioma.
La aplicación cumple sobradamente con la función que buscamos que es almacenar nuestras contraseñas de una forma segura y poder revisarlas en caso de que no recordemos alguna.
Sitio web: KeePass Password Safe
Descarga: KeePass download
martes, 4 de enero de 2011
Spam, ¿que es y como evitarlo?
Generalmente nos lo encontramos en nuestro correo electrónico y navegando por Internet (los molestos pop-up's) pero también nos lo encontramos en nuestro correo postal, en nuestro móvil a través de mensajes SMS y MMS, en llamadas telefónicas ofreciéndonos servicios tecnológicos, seguros, pólizas, productos financieros, etc…
La ley permite que recibamos publicidad pero prohíbe que nos inunden con ella y para ello tenemos que saber cuales son nuestros derechos y hacerlos valer.
Pero muchas veces (el 80% aproximadamente) con una serie de medidas preventivas y nuestro sentido común suele ser suficiente para paliar y mitigar los efectos del spam.
- No facilitar nuestro email, móvil, teléfono y dirección postal de una forma publica (chats y redes sociales como Facebook, Twitter, etc..)
- Activar correctamente el filtro de correo no deseado en nuestro programa de correo
- Instalarnos un programa antispam y un bloqueador de pop-up’s (ventanas emergentes)
- No abrir o leer, y menos pulsar, enlaces de emails de desconocidos; eliminarlos directamente
- Si recibes un email raro o sospechoso de un conocido no abrirlo, contactar con él antes para comprobar que lo ha enviado él, puede ser que vuestro conocido tenga virus en su equipo
- Cuando enviemos un correo electrónico a varios destinatarios, utilizar el campo Copia Carbón Oculta, (CCO), las direcciones de correo serán invisibles para el resto de destinatarios del mensaje.
- A los SMS de publicidad recibidos en el móvil, borrarlos, bajo ningún concepto contestar o dar de baja (al no ser que te hayas suscrito)
- A las llamadas de numero oculto y anónimas, no atender el teléfono
- A las llamadas tipo 902 y números largos, precaución, pueden se bancos y operadoras ofreciéndonos servicios
Para ese 20% de spam que no hay forma de quitárselo de encima, he aquí otros consejos prácticos:
- Móviles, llamadas y sms no deseados. Tomar nota del numero que llama o envía el sms, contactar con vuestra compañía telefónica y hacerles saber el problema. Si ellos no pueden hacer nada como bloquear ese numero, que os faciliten un listado con las llamadas recibidas de ese numero y con ese listado ir a la Oficina del Consumidor, será el primer paso para realizar una posible denuncia. Importante: Si el móvil es un smartphone, hay aplicaciones económicas en el mercado que pueden bloquear estos mensajes y llamadas no deseadas.
- Email no deseados. Activar correctamente el filtro de correo no deseado. Si a pesar de estar activo sigue llegando, crear y activar una regla en el programa de correo para que elimine dichos emails.
- Llamadas no deseadas al teléfono fijo. Tomar nota del numero de teléfono que llama, indicar a la operadora o persona que llama que no queréis recibir mas llamadas de ese numero (por ley están obligados a tomar nota de ello y notificarlo a la empresa que vende el servicio).
Si todo lo anterior no funciona y vemos que no se va a solucionar, solo nos queda recopilar todos los datos posibles sobre el spam recibido y ponerlo en conocimiento de las autoridades policiales, como el Grupo de Delitos Telemáticos o la Brigada de Invetigación Tecnológica.
lunes, 3 de enero de 2011
Phishing, ¿que es y como evitarlo?
El phishing, consiste en el robo de contraseñas bancarias generalmente utilizando el email.
Consiguen hacernos creer mediante pequeños engaños o tretas que nuestro banco necesita actualizar sus datos, por ejemplo, para desbloquearnos la cuenta por un error, que han caducado nuestras contraseñas y las debemos cambiar o simplemente por que han detectado unas transferencias sospechosas desde su cuenta a otro destino, etc…
Para ello nos envían un correo con una dirección web que aparentemente parece la de nuestro banco, nosotros pulsamos sobre el enlace que nos lleva a una web “casi idéntica” a la del banco donde nos pide los datos de siempre: en el momento que se introduzcan y pulsemos Validar o Aceptar, nuestras claves ya estarán en posesión de los estafadores.
Consejos para no “picar en el anzuelo”:
- Nunca nuestra entidad financiera nos pedirá por teléfono o correo electrónico que le facilitemos nuestras claves de acceso o firma electrónica.
- Nunca rellene un formulario que le envíen en el propio email solicitando sus claves
- Nunca pulse sobre el enlace o link que le envíen en el email (las entidades financieras recomiendan que se acceda a su web tecleando la dirección en el navegador)
- Atención con los protocolos de seguridad; antes era suficiente con comprobar que la página no se trataba de una conexión segura (http:// en lugar de https://), pero por desgracia los estafadores ya han perfeccionado sus técnicas y ahora esto solo no es suficiente. Verificar que nuestro navegador nos "certifique" la autenticidad del sitio web
- El mejor consejo, es la desconfianza. No facilite sus claves a nadie; sus datos bancarios son intransferibles, ni siquiera a nuestro propio banco.