viernes, 31 de mayo de 2013

Google propone reducir tiempo de respuesta ante ataques activos

Google propuso a los fabricantes de software un lapso de una semana para revelar las vulnerabilidades por ataques activos, los cuales tienen como fin alterar los recursos de los sistemas informáticos o afectar directamente su funcionamiento, señalaron expertos de seguridad en el Blog de Google.

Hace tres años, el mismo grupo de ingenieros de Google pidió a los proveedores generar un plan para reparar los problemas de seguridad críticos en un máximo de 60 días. De forma simultánea, sugirieron a los investigadores que identifican fallas en privado que hicieran públicas sus conclusiones.

No obstante, ahora los especialistas requieren que los dos meses de plazo se reduzcan a siete días puesto que el problema es explotado con mayor frecuencia contra blancos reales.

Fue así como este miércoles se anunció que Google reducirá el tiempo de respuesta de forma significativa, acción que el buscador espera sea adoptada por otros corporativos para impulsar soluciones rápidas en el tema de ciberseguridad.

Los ingenieros de Google, Chris Evans y Drew Hintz, escribieron en el blog oficial de seguridad de la empresa “creemos que esta acción es urgente y siete días es lo más adecuado para reportar vulnerabilidades críticas bajo explotación activa. Cada día fallos de esta índole permanecen en los sistemas sin parches, por lo cual los equipos se verán comprometidos con mayor frecuencia”.

Sin embargo, reconocieron que una semana puede ser muy corta para que los fabricantes de software lancen un parche permanente, aunque afirmaron que este lapso es insuficiente para ofrecer consejos sobre cómo mitigar la amenaza.

“Nosotros vamos a apoyarlos para que brinden información oportuna a los usuarios y puedan tomar medidas para protegerse. Pretendemos mejorar la situación de la seguridad web y la coordinación con base en la gestión de ataques activos”, indicaron.

En otoño pasado, los especialistas en ciberseguridad Leyla Bilge y Tudor Dumitras de Symantec realizaron un estudio en el que demostraron que la prevalencia de los ataques activos o de Día Cero son más comunes de lo que se piensa.

En su análisis descubrieron que este tipo de intrusiones duraron aproximadamente 10 meses antes de ser descubiertas. A través de los datos recuperados de 11 millones de equipos, Bilge y Dumitras revisaron 18 casos que se produjeron entre 2008 y 2010. Los resultados arrojaron que la mayoría de las embestidas analizadas no se habían dado a conocer públicamente.

Uno de los casos más recientes se dio en febrero de este año cuando investigadores detectaron distintas vulnerabilidades en Java y dieron aviso a Oracle, que decidió liberar un parche de emergencia y anunció 128 soluciones nuevas, de las cuales 42 eran específicamente para el lenguaje de programación.

Google posee las normas más estrictas en torno a informes de vulnerabilidad; sin embargo, no es el único que ha expresado su inquietud pues otros grandes proveedores como Microsoft también están a favor de que se inicie un debate entorno al tema de la divulgación de riesgos.

De forma simultánea a la propuesta de Google, la empresa FireEye anunció el 19 de abril el lanzamiento de un producto que realiza análisis de aplicaciones para descubrir malware en dispositivos Android, lo cual demuestra la creciente atención que ponen al tema las consultoras y las firmas tecnológicas.

Fuente: b:Secure
http://www.bsecure.com.mx/featured/google-propone-reducir-tiempo-de-respuesta-ante-ataques-activos/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21


INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

miércoles, 29 de mayo de 2013

Guía para manejar sus contraseñas de Internet

Consejos a la hora de gestionar de forma segura y sencilla las claves de accesos, desde aplicaciones administradoras de password hasta el uso de mensajes de texto para ingresar a un servicio on line

Facebook, Gmail, Skype, Linkedin, Instagram, Amazon. etcétera. Piense en cuántas cuentas activas tiene usted en Internet. Y por ende cuántas claves debe recordar.

La contraseña del sistema de la universidad, el correo de la oficina, la suscripción al periódico, Cuevana o el banco, que tiene más de una.

Un estudio de Microsoft estimó que el usuario promedio de Internet tiene unas 6,5 claves en la web. Y todas son compartidas con al menos otras cuatro plataformas más. Eso son 10 cuentas.

Pero el estudio concluyó que el promedio de los internautas tiene unas 25 cuentas que requieren de claves. Y que la media de los usuarios teclea unas 8 contraseñas al día.

Por si fuera poco, cada vez son más los informes que recomiendan no anotar las claves, no tener la misma en varias cuentas, usar letras en minúsculas y mayúsculas, números y símbolos.

¿Cuál es la mejor forma de tener el control absoluto sobre sus cuentas sin sacrificar seguridad?

  1. Vieja escuela La primera y más obvia forma de no olvidar las diferentes contraseñas es escribirlas, recomienda la experta en tecnología del diario The New York Times Riva Richmond. Se suele pensar que esta es la estrategia más riesgosa, porque quien quiera que encuentre ese escrito tiene a un par de clicks de distancia el acceso a su cuenta bancaria, por ejemplo. Sin embargo, el gurú de internet y experto en criptología Bruce Schneier argumenta que la gente tiene la capacidad de guardar ese tipo de objetos esenciales en lugares seguros. El número de personas que pierden su billetera, por ejemplo, un lugar donde podría guardar el mencionado papel, es estadísticamente muy bajo, analiza en su blog. Otras opciones de guardar esa lista de claves es entregársela a una persona cercana o hacer un documento en el computador. El profesor del London School of Economics Edgar Whitley, experto en seguridad de la información, le dice a BBC Mundo que usar lenguaje cifrado es una buena opción. "Una forma es trasladar las letras una o dos posiciones en el alfabeto", comenta. "Cuando la clave es 'abc', uno pone 'bcd', por ejemplo".
  2. Apoyo de las cuentas Google, Facebook o Twitter tienen diferentes métodos para ayudarle al usuario a recordar su cuenta o resetearla con facilidad. El método más usado entre los servicios para verificar cuentas de usuarios que olvidaron su contraseña son las preguntar: dónde nació, cuál es el segundo nombre de su mamá o cómo se llama su primer profesor en colegio. Whitley dice, sin embargo, que ese sistema no es ideal: "Son datos fáciles de conseguir para un hacker y mi ciudad favorita no es hoy la misma que la que será en 10 años". Pero hay otros sistemas. La red social Facebook, por ejemplo, permite cambiar la contraseña sin tener que recordarla a través de un sistema de identificación de los amigos de uno que salen en determinadas fotos. Google, por su parte, tiene un sistema de verificación por medio del teléfono móvil que, según Whitley, es muy confiable, porque implica el uso de una tecnología de comunicación diferente a internet. Pero si uno está en un país donde no tiene acceso al móvil, ese sistema no funciona. Y es frecuente que las páginas de los servicios requieran de verificación cuando uno entra en otro país.
  3. Alta tecnología La tercera y mejor forma de organizar las contraseñas es la más avanzada tecnológicamente. "¡A la nube!", solía decir una famosa publicidad de Microsoft que incitaba a los usuarios a realizar todas sus operaciones de Internet en la misma plataforma donde todos los servicio están conectados. En efecto, existen diferentes aplicaciones basadas en esa tecnología que ayudan a gerenciar las contraseñas y generar sistemas de seguridad. "Un administrador de contraseñas protege los datos porque le permite utilizar contraseñas que son tan difíciles de descifrar como lo son de recordar", explica el blog especializado The Verge. "En lugar de una contraseña como "lumia920fan", el administrador sugiere algo en la línea de "50P3HofuvzDL"", asegura. Y, a menos de que a uno le roben la computadora y la tableta, lo más probable es que sea imposible entrar a su cuenta de Gmail, por ejemplo, desde otro dispositivo que no sea el suyo. 1Password , por ejemplo, crea contraseñas fuertes y únicas, las recuerda y las resetea sin que uno se dé por enterado.Su gran competidor es OneSafe , una aplicación para diferentes dispositivos que guarda contraseñas, así como documentos, fotos y cuentas de internet en el mismo dispositivo, sea este un iPad, Android o servidor de web. Y aplicaciones como MSecure y Wolfram Password Generator proveen servicios similares -usualmente por un costo- de depósito y protección de contraseñas que no implican recordar la contraseña. La tarea de gerenciar las contraseñas, en cualquier caso, es ardua. Pero, para muchos, necesaria.

Fuente: lanacion.com.ar
CRYPTEX - Seguridad de la Información
http://seguridad-informacion.blogspot.com/2013/05/guia-para-manejar-sus-contrasenas-de.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+SeguridadDeLaInformacion+%28Seguridad+de+la+Informacion+link%3A+http%3A%2F%2Fseguridad-informacion.blogspot.com%29

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21


INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

sábado, 25 de mayo de 2013

Twitter refuerza la seguridad tras varios problemas con las cuentas de medios

Después de la 'ocupación' no autorizada de las cuentas de Twitter de varios medios de comunicación, con efectos tan espectaculares como bruscos movimientos en Bolsa, la compañía de 'microblogging' ha lanzado nuevas medidas de seguridad que permitirá a los usuarios que se suscriban a ellas establecer un sistema de doble control antes de conectarse.
Se trata de una "segunda comprobación para asegurarse de que usted es quien dice ser", explicó el popular servcio a sus usuario. "Se necesita una dirección de correo electrónico y un número de teléfono válido. Después de una rápida prueba para ver si su teléfono puede recibir mensajes de Twitter, ya puede empezar", dijo Jim O'Leary, responsable de seguridad de producto de Twitter, en un post.



Así, tal y como hacen algunos bancos 'online' y otras compañías que manejan datos sensibles de sus clientes en Internet, a través de este sistema de seguridad se envía un mensaje de texto en el teléfono del abonado con un código de seguridad para entrar a la cuenta en cuestión, además de la contraseña tradicional.
"Por supuesto, e incluso con esta opción de seguridad habilitada, es importante que los clientes usen una contraseña segura y sigan el resto de nuestras recomendaciones para que su cuenta permanezca segura", dijo O'Leary.
Algunos expertos alaban este nuevo sistema de verificación, pero "todo depende de cómo Twitter lo desplegará", tal y como apunta James Gabberty, profesor de Sistemas de Información en la Universidad Pace.
La utilización de un dispositivo alternativo para generar la segunda clave, como un teléfono móvil en este caso, es "generalmente muy seguro", observa Gabberty. Sin embargo, sostiene que es preferible incluso que el operador del teléfono y el proveedor de servicios de Internet dependa de dos empresas diferentes, con "diferentes arquitecturas". "Si se trata de dos empresas diferentes es muy seguro ya que ofrece la máxima garantía de que el mensaje recibido no ha sido comprometido", añade el experto.
Gabberty señala que Twitter tiene otros problemas de seguridad, como por ejemplo el relacionado con los cambios de contraseña de forma regular. "Por mi parte, me mantengo alejado de Twitter porque este sistema es tan inseguro ... Aún puede ser 'hackeado'", dijo Gabberty.
Problemas recientes
Varias cuentas de grandes grupos de comunicación, como CBS, The Guardian, Financial Times, The Associated Press y France-Presse, fueron comprometidas y ocupadas con mensajes no autorizados recientemente.
Las consecuencias de estos 'secuestros' de cuentas son a veces impredecibles. De hecho, recientemente un 'tuit' falso publicado a finales de abril en nombre de AP anunciaba un ataque a la Casa Blanca y provocó una fuerte reacción de la Bolsa de Nueva York, aunque el asunto fue corregido con cierta rapidez.
Un grupo llamado Ejército Electrónico Sirio ('Syrian Electronic Army', SEA), al parecer afiliados al régimen de Bashar Asad, se atribuyó la responsabilidad de 'secuestrar' las cuentas de la AFP, AP y otros medios.
El sitio 'web' satírico The Onion, otra víctima de SEA a principios de mayo, dio detalles del ataque que sufrió y contó cómo algunos de sus empleados habían recibido correos electrónicos falseados a través de los cuales, mediante 'ingeniería social', obtuvieron sus contraseñas para entrar en las cuentas de Twitter vinculadas al medio.
Twitter, que se ha convertido en una importante plataforma en las redes sociales, va visto cómo la seguridad de su servicio se ha puesto en tela de juicio en los últimos meses. Incluso llegó a conocerse el pasado mes de febrero que la compañía se vio afectada por un ataque cibernético "sofisticado", a raíz del cual se sustrajeron las contraseñas de 250.000 usuarios.
Fuente: EL MUNDO.es
http://www.elmundo.es/elmundo/2013/05/23/navegante/1369294990.html
Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/
Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.
Click Aquí para comenzar la encuesta
En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital
NUESTROS PRODUCTOS
Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"
Puede seguirnos en Twitter. Follow inbiosys on Twitter
Puede seguirnos en Facebook.
Visita nuestra página en Facebook
INBIOSYS Biometria
INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21

INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

miércoles, 22 de mayo de 2013

Potente gusano infecta a 80,000 usuarios en AL mediante Skype

Una nueva amenaza que se propaga de forma masiva a través de Skype ha infectado a más de 80,000 usuarios en América Latina, dio a conocer la empresa ESET AL luego que el lunes comenzara a recibir reportes sobre la expansión del malware, especialmente de Colombia y de países de América Central.

La compañía de seguridad indicó en un comunicado que se trata de un gusano informático y señaló que el impacto del código malicioso en la región es significativo pues miles de internautas han sido afectados.

El gerente de Educación y Servicios de ESET América Latina, Sebastián Bortnik, dijo “creemos que se trata de nuevas versiones de una potente amenaza que comenzó a circular en marzo de este año. Estamos investigando si estas variantes también se propagan por Gtalk”.

Los recursos que utilizan los ciberdelincuentes para llamar la atención de los usuarios son textos con fotos basados en un enlace acortado por goo.gl, que vincula a otro servicio de alojamiento de archivos.

En las ligas se encuentran las frases: “¿son estas realmente sus fotos?”, “esta es una foto muy amable de tu parte” y “esta foto de tu perfil es extraña”.

De acuerdo a las estadísticas del acortador de URL de Google son miles los usuarios que han permitido que el malware ingrese a sus equipos. Aproximadamete 35,000 casos corresponden a Colombia.

Los cinco países donde se detectó mayor número de amenazas en orden de importancia fueron: Colombia, México, Guatemala, Costa Rica y Rusia. ESET confirmó que 67% de las amenazas corresponden a AL, lo que evidencia que esta región ha sido el foco de la campaña malintencionada.

La firma aseguró que el impacto y la velocidad de transmisión han sido superiores a la media, y que se ha descubierto más de un archivo relacionado con la amenaza. Para prevenir futuras infecciones, ESET recomendó a los internautas estar pendientes pues el nuevo código malicioso utiliza ingeniería social para multiplicarse.

“No es normal ver amenazas que se propaguen con la rapidez con que lo está haciendo este gusano. En lo que va del año no habíamos visto algo similar en la región”, agregó Bortnik.

Fuente: b:Secure
http://www.bsecure.com.mx/featured/potente-gusano-infecta-a-80000-usuarios-en-al-mediante-skype/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21


INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

lunes, 20 de mayo de 2013

Nuevo spyware de Mac ataca en foro de derechos humanos

Investigadores de la firma de seguridad F-Secure descubrieron un nuevo malware para Mac OS X, al parecer es una aplicación de puerta trasera que toma screenshots de las computadoras de las víctimas y las manda a servidores remotos.

El spyware fue descubierto en la computadora de un participante en la conferencia anual de derechos humanos Oslo Freedom Forum.

Al estudiar muestras del virus, los analistas de F-Secure notaron que se realizó con un ID de Apple Developer aparentemente válido. La firma de seguridad apodó al malware OSX/KitM.A.

El spyware se descubrió durante un taller en que el angoleño Jacob Appelbaum daba instrucciones a los miembros del público sobre cómo protegerse de la vigilancia gubernamental.

El Oslo Freedom Forum reúne a “disidentes influyentes, innovadores, periodistas, filántropos y políticos” de todo el mundo, según su sitio web.

De acuerdo con el sitio tecnológico Cnet, lidiar con este malware por ahora involucra revisar los elementos de inicio de sesión y eliminar las macs.app si están presentes para evitar que se liberen.

F-Secure continúa con la investigación del malware para determinar mejor su origen, modos de instalación y cómo se ejecuta.

Fuente: b:Secure
http://www.bsecure.com.mx/video/nuevo-spyware-de-mac-ataca-en-foro-de-derechos-humanos/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21


INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

sábado, 18 de mayo de 2013

Google Glass cuestionado por vulnerar la privacidad

Un grupo de legisladores del Congreso de Estados Unidos envió una carta a Larry Page, CEO de Google, para cuestionar algunos aspectos sobre la privacidad de terceros que involucra el proyecto Google Glass dado a conocer el año pasado.

En el cuerpo de la carta, Joe Barton, miembro del Congreso Bipartidista Privacy Caucus, expone una serie de razones por las que el grupo de legisladores —encargados de defender asuntos que involucren temas sobre privacidad personal— discute algunos de los aspectos que podrían ser violados al usar las polémicas gafas de realidad aumentada.

“Tenemos curiosidad por saber si la nueva tecnología podría infringir la privacidad de los americanos promedio. Porque Glass aún no ha sido lanzado y son inciertos los planes de Google para incorporar medidas de protección de la privacidad en el dispositivo”, externó.

Dichas inquietudes se sustentan de noticias publicadas por medios de comunicación, en las que especulan sobre funciones del nuevo dispositivo que podrían vulnerar la privacidad y seguridad de la información de las personas que sean observadas con los anteojos.

A manera de ejemplo, cita una nota publicada por Wall Street Journal, en la que describe algunas acciones que los usuarios podrán realizar como obtener información sobre la dirección, curriculum vitae o pasatiempos de una persona con solo apuntarla con las gafas.

Igualmente, recuerda el caso del bar 5 Point en Seattle, el cual —pese a que los anteojos aún son un prototipo— desde ahora prohíbe la entrada a los usuarios que “tengan una microcomputadora sobre la nariz”, por ser una tecnología que atenta contra la privacidad.

“Desde el anuncio de esta iniciativa, han habido numerosos artículos que discuten, no solo lo innovador de esta tecnología, sino también implicaciones de privacidad”, asevera Barton en el documento.

Los cuestionamientos

La carta firmada por ocho miembros del congreso contiene una serie de preguntas sobre políticas de privacidad, seguridad y almacenamiento de la información; mismas que Page deberá responder antes del 14 de junio del presente año.

Algunas de las preguntas formuladas son:

  • ¿Es posible recolectar datos sobre las personas sin que lo sepan y sin su consentimiento?
  • ¿Cómo planean evitar que los usuarios recolecten, involuntariamente, información sobre otras personas sin su consentimiento?
  • ¿Qué medidas proactivas está tomando la compañía para proteger la privacidad de las personas cuando Google Glass está en uso?
  • ¿Google Glass tiene la capacidad de almacenar datos en el propio dispositivo? De ser así, ¿implementarán algun sistema de autentificación para resguardar los datos almacenados?
  • ¿Qué pasara con la información si el usuario quiere revender o hacer otro uso del equipo?
  • ¿Qué hay de cierto en que este dispositivo puede usar tecnología de reconocimiento facial para recabar información personal o datos de objetos inanimados que el usuario esté viendo? ¿El usuario podrá solicitar esta información? ¿Las personas podrán decidir entre proporcionar o no sus datos personales?
  • Teniendo en cuenta las capacidades sensoriales y el procesamiento de Google Glass, ¿ha considerado hacer adiciones o mejoras en su política de privacidad?
  • ¿Se recolecta la información de los usuarios que operan el dispositivo? ¿Qué tan específica es?
  • Recientemente se dio a conocer que The New York Times fue el primero en lanzar una app para Google Glass ¿Hasta qué punto consideraron el tema de la privacidad para aprobar esta aplicación? ¿Planean que la privacidad sea una prioridad para el desarrollo de futuras aplicaciones?

Otras de las empresas que ya cuentan con aplicaciones desarrolladas para Glass son Facebook y Twitter.

La edición explorer ya ha estado en manos de desarrolladores seleccionados, quienes trabajan en crear nuevas apps para el momento del lanzamiento de los controversiales anteojos; mismo que podría realizarse para finales de año, según lo anunciado durante la conferencia anual Google I/O 2013.

Por Cyntia Martínez

Fuente: b:Secure
http://www.bsecure.com.mx/ultimosarticulos/google-glass-cuestionado-por-vulnerar-la-privacidad/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21


INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

viernes, 17 de mayo de 2013

5 importantes iniciativas que pueden implementar los Directores de Seguridad

Los propietarios de las empresas están cada vez más preocupados por la proliferación de tecnologías en la oficina. Innovaciones como BYOD, la nube, el acceso global y las redes sociales tienen a muchos Directores de Seguridad de la Información (CISO, por sus siglas en inglés) dando vueltas a la idea de cómo asegurar eficazmente sus datos y proteger la valiosa propiedad intelectual.

En este cambiante panorama de amenazas, las empresas y gobiernos están constantemente luchando contra la delincuencia cibernética organizada y el hacktivismo. Con programas maliciosos, tales como Flame, Stuxnet y Shamoon en el arsenal de los ciberdelincuentes de hoy, los CISO deben estar un paso adelante del juego y prepararse apropiadamente para los ataques.

Echemos un vistazo a las medidas de seguridad utilizadas en la actualidad y a las iniciativas que pueden implementarse ahora mismo para que usted sea de más utilidad a su compañía y para proteger a su organización contra ataques cibernéticos avanzados. Gracias a mi experiencia y según discusiones con colegas, he determinado que las cinco principales iniciativas de un programa de seguridad exitoso para mantener la seguridad de información en la empresa son:

  1. Entienda su negocio. Puede parecer infantil, pero no queremos ser condescendientes. La seguridad no manda en las empresas, ni siquiera en la industria de la seguridad. Muchas veces las iniciativas que buscan lucro, incluyendo ventas y marketing, tienden a no incluir la seguridad. En un esfuerzo por cambiar esta situación, los CISO deben participar activamente en el desarrollo del ciclo de vida del producto/servicio e integrarlo con la seguridad de una manera estratégica, con el fin de mejorar su monetización. Los riesgos y amenazas que enfrenta su organización son muy reales y pueden causar consecuencias si decide tomar un enfoque más reactivo hacia la seguridad. Manténgase activo, informando a la Junta Directiva que la seguridad puede ser un importante factor diferenciador desde el punto de vista financiero. Un ejemplo podría ser el de involucrarse en los productos que produce su compañía. A diferencia de otros grupos de TI, la seguridad debe enfocarse en las amenazas. Es necesario incorporar este pensamiento en todos los procesos, incluyendo las estrategias y las comunicaciones. El aumento de la seguridad puede equipararse con el aumento de los beneficios y la conservación de los datos de la empresa. Dicho esto, no se apresure en la etapa de planeación de la estrategia de seguridad de TI. La forma más lenta es la manera más rápida cuando se trata de una arquitectura efectiva y metódica para la seguridad de TI.
  2. Comprenda el papel de la seguridad. En el entorno actual la tecnología nos consume. Normalmente nos olvidamos de las personas y los procesos, que son realmente lo que hace que nuestras empresas sean exitosas. Como líderes, tenemos que vender ideas. La tecnología por sí sola es apenas un vendaje que tiene que ir de la mano con otros elementos. Si desea lograr la seguridad completa de TI, debe integrar procesos y gobernabilidad para asegurar el éxito. Además, es imprescindible la capacitación. Educar hacia arriba, hacia abajo y a través. Todos sus empleados, desde la Junta Directiva, hasta los de servicio al cliente, deben tener una mutua comprensión de la misión y las estrategias de su departamento. Una forma de cultivar esta comprensión es violando la seguridad de su propia organización. Esto pondrá a prueba los conocimientos de sus empleados acerca de las amenazas actuales y cómo detectarlas y le dará una buena idea de cómo responden ellos ante la situación. Este es también un gran tema para compartir con la organización. Otro desafío consiste en poner a prueba su servicio de mesa de ayuda para identificar cómo pueden robarse una contraseña durante el proceso de reinicio del sistema. Este ejercicio le permitirá identificar amenazas potenciales y casos de abuso. También puede educar al grupo sobre las amenazas externas. La mayoría de los empleados están interesados en esto y podrían incluso considerar divertido actuar como "los malos" de vez en cuando.
  3. Comprenda la "información." Comprender el valor relativo de la información es una herramienta poderosa. Su objetivo final permite obtener la sabiduría y el conocimiento de la función de seguridad de TI y cómo se relaciona con su empresa. Esto permite que deje de ser un grupo operativo de seguridad para convertirse en un equipo de inteligencia de seguridad. Usted no sólo debe disponer de datos e información, sino que se hace necesario tener la capacidad de analizar la información y aprovechar sus resultados para contar una historia convincente. De este modo, usted está listo para diseñar un programa de seguridad y proteger suficientemente a la organización contra la pérdida o robo de datos. Otro aspecto de la comprensión de la información es el liderazgo. Su equipo de líderes no sólo debe tratar de guiar a su departamento. Debemos ofrecer mensajes claros, relevantes, en contexto y con oportunidad, para presentar información vital a los directivos. Sólo entonces puede realizarse un proceso efectivo de toma de decisiones. También permite que los ejecutivos del área financiera acepten las premisas ya que, generalmente, ven a los programas de seguridad como una partida en el presupuesto.
  4. Establezca gobernabilidad. Por definición, la gobernabilidad es la capacidad de esbozar expectativas, garantizar esfuerzos y validar el desempeño. Para lograrlo, se requiere crear una misión de gran alcance entorno a sus iniciativas de seguridad de TI dentro de su organización. De esta manera, puede definirse claramente a quién se reporta en seguridad, junto con sus funciones y responsabilidades. Asegurar la alineación operativa en todos los departamentos ayudará a involucrar a los empleados de su organización, haciéndolos más conscientes de la arquitectura de seguridad.
  5. Convierta los riesgos en iniciativas financiadas. Por último, pero no menos importante, debe aprovechar su modelo de gobernabilidad para transformar las iniciativas de seguridad de la información en esfuerzos financiados. Al colaborar con la alta dirección para determinar su misión, prioridades e iniciativas, sus proyectos inherentemente se convertirán en objetivos patrocinados y apoyados en todos los ámbitos. También es imprescindible mantener a los directivos al tanto de los riesgos, las noticias y la información. Su junta directiva querrá ver sus iniciativas y lo que usted tiene para ofrecer; ellos no están interesados en saber cómo usted mantiene su status quo. La adhesión a estas iniciativas puede ayudar a construir una base sólida para la estrategia de seguridad de la organización. Se trata entonces de definir los riesgos, establecer la seguridad y luego buscar el equilibrio entre los dos. No pierda la oportunidad de capacitarse. Cada amenaza y brecha que conocemos es una oportunidad para que usted capture la amenaza, comunique el riesgo y construya una estrategia. De esta forma, está plantando una semilla para esfuerzos posteriores, para luego comunicar lo que está haciendo al respecto y vender sus ideas. Siempre que usted mantenga una actitud proactiva, estará en una mejor posición para frustrar ataques avanzados y proteger los datos de su empresa.

Max Grossling, Gerente Senior de Programas Técnicos, Websense

Fuente: CRYPTEX - Seguridad de la Información
http://seguridad-informacion.blogspot.com/2013/05/5-importantes-iniciativas-que-pueden.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+SeguridadDeLaInformacion+%28Seguridad+de+la+Informacion+link%3A+http%3A%2F%2Fseguridad-informacion.blogspot.com%29

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21


INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

jueves, 16 de mayo de 2013

Smartphones, el blanco preferido para el robo de información

Miami — Los smartphones son cada vez más populares no solo entre los consumidores, sino también entre los hackers, que aprovechan los dispositivos para obtener información sobre cuentas bancarias y otros datos confidenciales, dicen los expertos.

Muchos consumidores simplemente no se dan cuenta de lo vulnerables que pueden ser sus Android, iPhone y otros dispositivos. Un estudio publicado en abril por el Banco de la Reserva Federal de Atlanta dijo que las amenazas proliferan, desde el phishing —una estafa en la que los consumidores abren un correo electrónico o mensaje de texto falso y son engañados para que proporcionen información personal— hasta la reticencia de los consumidores a utilizar protecciones de seguridad que normalmente tienen en sus computadoras personales, como una contraseña.

Según el estudio, hay varios factores que convierten estos teléfonos en un blanco fácil. Grandes cantidades de datos personales se almacenan en correos electrónicos, textos y otras aplicaciones, además cada vez hay más información personal en las redes sociales.

Las operaciones del crimen organizado también consideran a los smartphones como el punto de entrada más vulnerable al sistema financiero electrónico, de acuerdo con la Reserva Federal.

“Tenemos algunos personajes muy malos que quieren llevarse nuestro dinero, nuestra identidad y huir con ella”, dijo Marie Gooding, primera vicepresidente de la Federal de Atlanta.

La investigación realizada por Trusteer con sede en Boston incluyó a 20 servidores que fueron utilizados para enviar más de 100,000 correos electrónicos de phishing. Mediante el estudio de los registros del servidor, Trusteer encontró que cerca de 2,200 de las 3,000 respuestas que los estafadores recibieron procedían de smartphones.

Vikram Thakur, gerente principal de respuesta de seguridad para la firma de seguridad Symantec, dijo que los delincuentes pueden obtener el control completo de un teléfono simplemente haciendo que la gente haga clic en un enlace. Sin llegar a tener el dispositivo en sus manos, los hackers pueden acceder a mensajes, llamadas telefónicas e información personal.

“La cantidad de información que almacenamos en los smartphones incentiva a los atacantes a ir tras de la plataforma”, dijo.

Por AP

Fuente: b:Secure
http://www.bsecure.com.mx/featured/smartphones-el-blanco-preferido-para-el-robo-de-informacion/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21


INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

viernes, 10 de mayo de 2013

Microsoft publica aviso de seguridad sobre nuevo 0-day en Internet Explorer 8

La vulnerabilidad permite ejecutar código arbitrario remoto en el contexto del usuario que ejecute IE 8, y se puede explotar en cualquier sistema operativo que lo tenga instalado. Ha sido utilizada para un reciente ataque contra el departamento de trabajo norteamericano.

Microsoft ha publicado un aviso de seguridad donde advierte a sus usuarios de la existencia de una vulnerabilidad 0-day en la versión 8 de Internet Explorer. El fallo puede ser explotado en cualquier versión del sistema operativo Windows que tenga instalado el navegador, desde XP hasta 2008 en todas sus versiones y arquitecturas. El fallo ha sido descubierto mientras estaba siendo aprovechado por atacantes.

Tiene un impacto de ejecución de código arbitrario de manera remota. Se le ha asignado el identificador CVE-2013-1347.

No existe parche oficial y no existe otra mitigación que la de evitar el uso del navegador hasta que sea solucionada. Teniendo en cuenta que la próxima publicación de parches será el día 14 de mayo y la gravedad de la vulnerabilidad, Microsoft no rechaza publicar parches fuera de ciclo.

Esta vulnerabilidad ha sido descubierta a raíz de un reciente ataque a una web pública del departamento de trabajo norteamericano. Se comprometió una base de datos sobre substancias toxicas y niveles de toxicidad de ciertas instalaciones nucleares del departamento de energía. Los trabajadores del departamento de trabajo la usan habitualmente para sus labores. Alguien pudo acceder al servidor y subió código que aprovecha esta vulnerabilidad y recopila información de los equipos de aquellos que accedían al sitio. Por tanto, se comprometió una web oficial para poder atacar a otros usuarios de un departamento diferente.

En un principio, todos los investigadores pensaron que se trataba de una vulnerabilidad en el navegador parcheada a principios de año. Poco después se confirmo que, incluso en sistemas parcheados, era posible la ejecución de código.

Durante el ataque, se descargaba una versión modificada de la herramienta de control remoto (RAT) Poison Ivy, poco detectada por antivirus y además con sus cabeceras PE modificadas para pasar desapercibido.

El exploit ya está disponible en Metasploit, por lo que cualquiera puede estudiarlo y aprovecharlo para cualquier fin. Se espera que los exploits kits lo incluyan pronto en sus repositorios y, por tanto, sus ataques sean aún más eficaces.

Más información:

Department of Labor IE 0-day Exploit (CVE-2013-1347) Now Available at Metasploit https://community.rapid7.com/community/metasp… Microsoft Security Advisory (2847140) Vulnerability in Internet Explorer Could Allow Remote Code Execution http://technet.microsoft.com/en-us/security/a… IE Zero Day is Used in DoL Watering Hole Attack http://www.fireeye.com/blog/technical/cyber-e… K.I.A. – US Dept. Labor Watering Hole Pushing Poison Ivy Via IE8 Zero-Day http://www.invincea.com/2013/05/k-i-a-us-dol-… http://www.invincea.com/2013/05/part-2-us-dep… David García dgarcia

Autor: Fernando Fdez.

Fuente: hispasec.com
mundopc.net
http://mundopc.net/microsoft-publica-aviso-de-seguridad-sobre-nuevo-0-day-en-internet-explorer-8/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+mundopcnet+%28MundoPC.NET+-+Novedades+y+Noticias%29

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Jairo Alonso Gómez Cano
Gerente Comercial
INBIOSYS
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21

INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A - 14 Oficina 101
Medellín Colombia

miércoles, 8 de mayo de 2013

Hallan vulnerabilidad en Spotify: descargan canciones sin costo

Una extensión de Chrome aprovechó la falta de encripción en el reproductor web de Spotify y permitió que miles de usuarios descargaran, sin costo alguno, cualquiera de las más de 20 millones de canciones disponibles del catálogo del servicio de streaming de música.

La extensión de Chrome Downloadify tomaba ventaja de la falta de encripción en el reproductor web HTML 5 de Spotify, el cual fue liberado en noviembre pasado por la compañía en formato beta.

Con un simple par de clics, los usuarios podían descargar archivos en formato MP3, libres de controles de copiado digital o DRM.

Las compañías no han confirmado el número de canciones descargadas a través de la extensión. Hasta el momento Google ha sido la única que ha confirmado a medios de comunicación estadounidenses que ya ha retirado Downloadify de la tienda de Chrome.

Aunque el acceso al catálogo completo de Spotify es exclusivo para los clientes Premium y tiene un costo de $99 pesos al mes, la firma ofrece a la mayoría de los nuevos usuarios la prueba del servicio por un mes sin costo.

A diferencia de tiendas en línea de música, como iTunes o Mixup, donde los usuarios pagan el costo de cada canción o disco, en Spotify no es posible adquirir las melodías. Los miembros de la plataforma deben pagar una renta mensual para poder escuchar su oferta de música vía web, sin publicidad de terceros y en diferentes dispositivos.

La falta de cuidado en la seguridad de su plataforma podría costarle más que un par de canciones a Spotify, en un momento en el que la compañía trata de expandir su presencia global y ganar terreno frente al verdadero dueño del mercado de las descargas digitales: la piratería.

De acuerdo con al informe anual Digital Music Report 2013 del IFPI, en 2012 se registraron más de 20,000 millones de usuarios de servicios de streaming en línea en todo el mundo, 44% más que lo registrado un año antes.

El organismo subraya que el mercado de streaming musical ya representa 10% de los $5,600 millones de dólares que facturó la industria musical en ventas digitales durante 2012.

Spotify es uno de los principales competidores y beneficiaros de este segmento. La firma cerró 2012 con más de 20 millones de usuarios suscritos a su servicio en todo el mundo, poco más de cinco millones son miembros que pagan por la plataforma. A mediados de abril de 2013 anunció su ingreso al mercado mexicano.

Sin embargo, la compañía sueca todavía tiene que lidiar con el principal problema de la música digital, la piratería. Datos de la misma IFPI estiman que más de 90% de las descargas de melodías digitales provienen de servicios ilegales.

México es uno de los países donde el fenómeno de la piratería está más presente. De acuerdo con la Amprofon en su estudio Reporte de descargas digitales 2011 (el último que han liberado) en el país se descargan anualmente más de 6,068 millones de canciones de manera ilegal.

Por Carlos Fernández de Lara

Fuente: b:Secure
http://www.bsecure.com.mx/featured/hallan-vulnerabilidad-en-spotify-extension-descarga-canciones-sin-costo/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

domingo, 5 de mayo de 2013

Mentiras y verdades de la seguridad informática

Son muchas las mentiras y verdades alrededor de las acciones de protección que un usuario promedio puede implementar para evitar el hackeo e infección de virus en sus cuentas y equipos.

A continuación, se presentan una serie de mentiras y verdades que sin necesidad de ser experto en seguridad informática pueden ayudarlo en la prevención de ataques.

Mentiras

  1. El antivirus me protegerá de TODO. El uso de antivirus puede prevenir en cierta parte los ataques, sin embargo NO existe 100% de protección ya que son muchas las amenazas que se crean a diario; en esa medida todavía no hay ningún sistema de protección total.
  2. No navego en sitios peligrosos ni abro archivos adjuntos, por lo tanto no tengo riesgo de ataques. Hasta las páginas con mejor reputación de seguridad pueden ser pirateadas o suplantadas, revise siempre la dirección en la barra de navegación. Existen virus que pueden ingresar al PC solo con estar conectados a Internet, así usted no haya descargado o abierto algún archivo adjunto.
  3. No existen virus para Mac, Linux o plataformas móviles. Existen virus y ataques para TODAS las plataformas, la diferencia radica en el número de usuarios que tienen cada una de ellas y en las amenazas informáticas que circulan, de allí, que existan cifras mayores para Windows.
  4. Las fotografías no contienen virus. Muchos de los ataques que se mueven en la red son incorporados a través de archivos de imágenes con códigos maliciosos, estos son ejecutados al momento de abrir la imagen.

Verdades

  1. El secuestro de sesiones y phishing es más común en cibercafés y redes públicas. Es usual que las personas dedicadas a robar sesiones y capturar datos utilicen las redes Wi-Fi libres o públicas en las cuales buscan referencias de las cookies de acceso a determinados sitios que no utilizan HTTPS, tomando los datos para acceder a dichas cuentas.
  2. Las redes sociales pueden ser hackeadas. Ellas tienen la misma vulnerabilidad que cualquier página web. La mayoría han venido implementando protocolos de seguridad, sin embargo esto NO garantiza que los usuarios puedan ser víctimas del robo de identidad o contraseñas a través de diferentes métodos de captura de datos.
  3. Es más seguro utilizar las últimas versiones de sistema. Aunque no existe nada que nos proteja un 100%, el nivel de seguridad puede ser mayor al mantener actualizadas las versiones tanto de las plataformas, antivirus y aplicaciones en general.
  4. Al cambiar las contraseñas periódicamente se reduce el riesgo de hackeo de cuentas. Cambie de forma regular sus contraseñas, incluya caracteres especiales, números y letras capitales de forma combinada.

Visto en www.colombiadigital.net - Laura Ayala

Fuente: CRYPTEX - Seguridad de la Información
http://seguridad-informacion.blogspot.com/2013/05/mentiras-y-verdades-de-la-seguridad.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+SeguridadDeLaInformacion+%28Seguridad+de+la+Informacion+link%3A+http%3A%2F%2Fseguridad-informacion.blogspot.com%29

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/