Publicaciones Etiquetadas ‘Proteccion De Datos’

Primer ForoCEH Monterrey

El  pasado jueves 8 de Agosto tuve la oportunidad de asistir al primer #ForoCEH, un evento exclusivo para profesionales de seguridad certificados en Ethical Hacking.

Pues bien, este #ForoCEH pretende reunir a los profesionales de seguridad informática para tratar temas de actualidad, sobre como día a día se van viendo los nuevos ataques, las nuevas técnicas, las nuevas herramientas, entre otras cosas, pero sobre todo armar una toda una comunidad de apoyo entre todos.

Este evento fue patrocinado por Codigoverde (twitter @codigoverde)  en el cual tuvimos 2 charlas muy amenas, la primera por parte de David Schekaiban (a.k.a @dstmx ) y la segunda por David Taboada ( a.k.a @katalink).#ForoCEH1-06

En la primera, @dstmx nos platicaba de la seguridad ofensiva y de como debemos ir viendo la seguridad en nuestras empresas. Como bien decía “No todo se soluciona con cajitas”, hoy en día el Firewall, el IPS, el antivirus, solamente forman parte de la tecnología para proteger, pero ya no son la suite completa de seguridad. Actualmente los ataques son tan sofisticados y dirigidos que ya no es necesario burlar una caja de seguridad, sino que ahora se trata de inyectar el ataque a traves las personas, los dispositivos móviles, o cualquier cosa que esté conectada a una red.

#ForoCEH1-04También nos mostraba las tendencias que se mencionaban a finales del año pasado y que se han ido cumpliendo; también nos platicaba de cuales eran las tendencias para fines de año y el 2014.

Otra cosa que nos platicó fue sobre su conferencia en #CPMX4 y las estadísticas que nos mostró de como eran engañados personas de todos los ambitos profesionales es increible. Realmente el uso de la ingeniería social funciona muy bien y no requiere de mayor esfuerzo.

 

En la segunda plática David Taboada nos platicaba sobre el IFAI y la protección de los datos personales, otro tema de mucho interés que se está viviendo en México, pues ya hemos visto en las noticias, periódicos y revistas las multas que se han aplicado por no cumplir con esta ley.

Finalmente tuvimos un par de dinámicas en las cuales nos presentamos y platicamos un poco de que es lo que hacemos, como nos ha ayudado la certificación en la vida diaria, a las empresas que valor les otorga, entre otros datos curiosos que salieron en las pláticas.

#ForoCEH1-08

En lo personal, este evento se me hizo muy interesante y me gustaría que se repitiera en varias ocasiones a lo largo del año, ya que el tener relación con personas del mismo ambito y que día a día buscamos proteger a nuestras empresas de los Hackers podría aportar mucho a esta gran comunidad.

 

 

 

Escritorio Limpio

Hola a Tod@s

¿Cuantas veces nos hemos topado en las empresas con la política tan molesta del famoso Escritorio Limpio?

Vamos a hablar un poco de esto, y el porque es tan importante tener en orden nuestro escritorio, y la existencia de esta política.

Observen detalladamente la siguiente imagen, ¿qué es lo que se puede observar?

 Clean-Desk

La mayoría de los escritorios contienen documentos con información sensible y/o confidencial que no debería ser vista o que no caiga en manos equivocadas. Como bien podemos observar, se encuentra la pantalla desbloqueada, la agenda abierta, el iPhone celular sobre la agenda, una carpeta con algo subrayado, post-its pegados en el monitor y un porta papeles.

Teniendo un poco de cuidado y unos buenos hábitos podemos cuidar este pequeño aspecto de fuga de información.

A continuación expondré algunos de los errores de seguridad que se comenten muy a menudo.

1. Computadora desbloqueada.

unlock computer

Cuando te levantas de tu escritorio, ¿Bloqueas tu equipo de cómputo?

Como se puede ver en la imagen, un empleado dejó su equipo desbloqueado con su correo abierto y con correos de hardcode, códigos, etc.

 

2. Postit con información sensible, comúnmente passwords.

Password-PostIt

Otro error muy común es dejar postit pegados en los monitores con los passwords, ya que como muchos sabemos, las molestas políticas piden que tengamos un password diferente para cada servicio, y como nuestras mentes son unas inútiles están todo el día ocupadas en nuestras labores, no podemos memorizar todos los passwords. Y que mejor que para no olvidarlos, dejarlos ahí a la vista de todos, brindando a los “hackers” accesos no autorizados.

 

3. Documentos Confidenciales.

4229866-confidential-documents-with-a-sealed-envelope-concept

¿Cuantas veces vamos al lugar de nuestro jefe y lo primero que vemos es sobre su escritorio documentos que dicen confidencial, o secreto? ¿Cuantas veces se levanta él de su lugar, deja abierta su oficina y los papeles encima?

 

4. Documentos olvidados en las impresoras.

Retractable_printer_3

¿Cuantas veces mandamos imprimir documentos y se nos olvida pasar por ellos a la impresora?

En este ejemplo, un empleado mandó imprimir los mapas y prototipos con todas sus características del diseño el auto que van a lanzar al mercado.

 

5. Documentos en el bote de basura sin triturar.

RecycleBin_Paper

Papeles de información confidencial directos en el bote de basura. Podemos apreciar que se encuentran estados de resultados financieros en el bote de basura, que no están triturados ni rotos.

 

6. Teléfonos móviles sobre el escritorio.

timebridge-iphone-app

El teléfono móvil se quedó sobre el escritorio encendido con la agenda abierta, donde muestra el tema de la reunión, los participantes, el lugar y la hora.

 

7. Llaves.

lead_keys-420x0

Estas llaves pueden abrir puertas de los datacenter, archiveros con información importante, o algún otro lugar donde se encuentren documentos o algún medio de almacenamiento de información como discos duros, cintas de respaldo, entre otros.

 

8. Tarjetas de acceso.

Identification_Access_Card_by_LordDavid04

El dejar olvidada la tarjeta de acceso sobre tu escritorio puede ocasionar que personas no autorizadas tengan acceso a las instalaciones en horario fuera de oficina, o acceso no autorizado a lugares restringidos a los cuales solo tu y algunas otras personas pueden acceder.

 

9. Pizarrones con información escrita.

whiteboard3

Los pizarrones deben ser usados para llevar a cabo las juntas y reuniones, y al finalizar estas, deben ser borrados. Este pizarrón muestra algunos nombres de responsables y algunos códigos que pueden ser de acceso, o algún password o token.

 

Y tú, ¿Cumples con la política de seguridad?

Saludos!

[FALSO] Facebook y Whatsapp

Como hemos visto en los últimos días han aparecido varias aplicaciones en Facebook haciendose pasar por aplicaciones verdaderas de whatsapp que prometen poder enviar y recibir mensajes a través de esta famosa red social.

A continuación les dejo un resumen de lo que realizan estas aplicaciones.

Sistemas Afectados

Usuarios de la red social Facebook que accedan a la aplicación falsa.

Descripción

Se han detectado en la red social Facebook aplicaciones falsas de WhatsApp diseñadas para obtener datos personales de los usuarios, redirigirlos a páginas web fraudulentas, mostrarles publicidad no deseada en sus biografías o enviar correo spam a sus contactos. Hay que estar muy atentos y no dejarse engañar con trucos de ingeniería social ya que, a día de hoy, WhatsApp no está disponible para Facebook.

Imagen aviso seguridad no técnico

Solución

Si acepto la aplicación en Facebook debe eliminarla lo antes posible. Para ello, sigue los pasos que encontrará en la sección de ayuda de la red social «¿Cómo puedo quitar o eliminar una aplicación de mi cuenta?».

Si desea denunciar la aplicación, puede hacerlo desde la siguiente página: «Notificación de incumplimiento de derechos por parte de una aplicación»

Para evitar ser engañado con trucos de ingeniería social, es conveniente aplicar recomendaciones de seguridad:

  • Usar sentido común y no hacer clic en cualquier cosa que veamos en las redes sociales.
  • Utilizar un analizador de enlaces antes de hacer clic en cualquier url para comprobar si ésta te lleva a una página legítima.
  • Nunca abrir mensajes de usuarios desconocidos o que no se hayan solicitado, eliminarlos directamente.
  • No contestar en ningún caso a estos mensajes.
  • Contrastar la información siempre en fuentes de confianza para evitar ser engañado en Internet con falsos mensajes.

Puedes ayudarnos a combatir este tipo de fraudes enviándonos un correo a: Correo electrónico

Ante cualquier duda, puede solicitar ayuda a través de nuestro servicio de Soporte por Chat Atención telefónica.

Detalle

Como ya hemos visto en otras ocasiones, las redes sociales son utilizadas frecuentemente para engañar a los usuarios con mensajes, páginas y aplicaciones falsas utilizando para ello la ingeniería social.

Esta vez es Facebook la que está siendo utilizada por los delincuentes para propagar aplicaciones falsas de WhatsApp. Aprovechando el gran éxito que está teniendo la aplicación para móviles, se están creando supuestas aplicaciones de Facebook que te permiten chatear con tus contactos móviles.

Un ejemplo de cómo funcionan estas aplicaciones falsas:

  • Accedes a la página de presentación de la aplicación falsa y la descargas.

    Imagen aviso seguridad no técnico

  • La aplicación solicita permiso para acceder a la información básica de la biografía y a la dirección de correo electrónico que se tenga asociada a la cuenta de Facebook. Se acepta pulsando «Iniciar sesión con Facebook».

    Imagen aviso seguridad no técnico

  • Supuestamente realizando los pasos anteriores se instalaría la aplicación de WhatsApp para Facebook… sin embargo, salta una ventana con mensaje de error.

    Imagen aviso seguridad no técnico

Evidentemente no se puede instalar la aplicación porque no existe. Es un simple truco para acceder a la información personal del usuario. Así los delincuentes podrán utilizarla a su antojo.

Si desea reportar un incidente de seguridad (fraude electrónico, robo de información, infección por virus, etc.) a INTECO-CERT puede hacerlo a través de la dirección incidencias@cert.inteco.es incluyendo toda la información posible.
VIA | INTECO

Tus Contraseñas, ¿Son Seguras?

Si han prestado atención en las noticias, se ha mencionado en estos días que a “los famosos”; por llamarlos de alguna manera les han “hackeado” sus cuentas de Twitter y Facebook.

Otras noticias muy sonadas son los ataques que Anonymous realiza a diferentes entidades, como fuerzas policiacas, financieras, sitios de gobierno, escuelas, entre otros, como “protesta” de acciones realizadas o tomadas por dichas entidades.

Y esto no es hackeo, lo que pasa en estos casos es que usan contraseñas muy débiles, o palabras de diccionario, caracteres seguidos; si buscamos en Internet las contraseñas mas usadas veremos ejemplos como los siguientes:

qwerty

q1w2e3r4t5

abc123

123456

zaqxsw

qpwoeiruty

entre otras…

Ayer por la tarde un colega detectó que sitios .gob.mx tienen de usuario y password admin/admin, los passwords default no son cambiados, ni en servidores, ni en routers, firewalls, etc…

Hoy en día hay “ataques” herramientas muy sofisticadas que realizan ataques de diccionario o fuerza bruta y dependiendo del procesador y memoria RAM del equipo se puede conseguir un password sencillo en un par de minutos.

Para que les explico todo esto? Pues para que no caigan en este problema, que cuiden su infraestructura, no dejen los passwords default.

Ustedes se preguntarán como crear contraseñas seguras, existen varias formas; para crear una contraseña robusta es necesario utilizar caracteres especiales, símbolos, se recomienda  que sean mayores de 8 caracteres, que sean alfanuméricas y que no sean fáciles de adivinar; evitar fechas de nacimiento, aniversarios, nombres de los hijos/hermanos, teléfono de la casa o celular, entre mas datos personales.

También es importante tener una contraseña para cada servicio, NO es seguro utilizar la misma para el correo, que para las redes sociales, y mucho menos para las cuentas bancarias.

Estoy consciente que el tener muchas contraseñas es difícil de recordar pero para eso podemos generar una contraseña “base” y agregar el nombre de la aplicación o el nombre del usuario; como en este caso de ejemplo, vamos a utilizar las primeras 4 letras del servicio, la primera con MAYUSCULA y alfanumérico, seguido de “algo” que conocemos o tenemos:

Para redes sociales utilizamos paréntesis:

F4c3(tu apodo)

Para servicios de  correo utilizamos comillas:

S3rv”tu apodo” — Donde S3rv es gmail, hotmail, etc.

Para las cuentas bancarias utilizamos _:

B4nc_tu apodo_la suma de los dígitos de tu fecha de nacimiento — Donde B4nc, pueden ser las primeras 4 letras de tu banco o las 4 últimas y la suma sería de tu día (dd), mes(mm), y año (aaaa)

Aparte de todo esto, les dejo un a liga donde pueden revisar que tan robusta son sus contraseñas:

Revisa tu contraseña

 

Espero les sea de interés y sobre todo de mucha ayuda.

 

Concientización de usuarios ayuda a la seguridad

El termino concientizar o concientización toma parte de una acción educativa, que en los diferentes temas explica a los usuarios las cosas que son buenas y que son malas, poniendo como prioridad la enseñanza.

La seguridad informática es una temática que está teniendo una muy grande repercusión, más que nada en un equipo conectado a internet, que es el foco principal de propagación de malware. Para esto se han generado distintas políticas de seguridad, como por ejemplo la navegación con el protocolo HTTPS, para navegar en sitios que contengan o soliciten información personal, confidencial, o simplemente privada sin temer la pérdida, hurto o mal uso de la misma.

En un principio estas políticas eran utilizadas en sitios web bancarios entre otros, debido a los hurtos de datos de las tarjetas de crédito, y por ende, el robo del dinero. Luego, estas políticas de seguridad informática fueron aplicándose a distintos sitios, tales como redes sociales y servidores de correo por ejemplo:

Google +, la red social de google posee HTTPS, y es posible corroborarlo no solo con la URL, sino que también con el candado ubicado en la esquina inferior derecha:

Gmail, es el servicio de correo de google, el cual se presenta bajo este protocolo para una navegación segura:

Actualmente el buscador más conocido de todo internet posee su gran mayoría de prestaciones bajo el protocolo HTTPS, entre otras políticas, lo cual favorece al resguardo de los datos de los usuarios de estos servicios.

Actualmente existe un centro de seguridad familiar de Google, en el cual muestra, entre muchas otras funciones, la posibilidad de predeterminar una configuración para las búsquedas tanto en Google como en YouTube y así evitar que los menores de edad puedan acceder a sitios web o contenido ofensivo o inadecuado para su edad.

Este centro de seguridad familiar trata de concientizar la correcta utilización de los recursos en internet, para evitar tanto el mal uso de la misma, como la posibilidad de convertirse en objetivos de un ataque, siendo los niños los más vulnerables debido a su grado de desconocimiento acerca del tema.

Para poder generar un mayor porcentaje de protección ante las distintas amenazas es indispensable la concientización de los usuarios en conjunto con una actualización periódica de su software y contar con una solución antivirus con capacidad de detección proactiva, por esto es importante que lo usuarios de internet se asesoren acerca de las distintas problemáticas posibles para, por ejemplo, los menores que utilizan los equipos y así poder enseñarles cómo evitar comprometer la información y el equipo.

VIA ESETLA

TrueCrypt


A lo largo del tiempo hemos observado la evolución de muchas cosas, llámense naturales, científicas, humanas, y por su puesto no poden faltar las tecnológicas; al parecer estas últimas a un ritmo acelerado, las cuales nos han llevado a tener una gran movilidad y portabilidad de los datos, lo que antes eran lujos (celulares, automóviles, laptop, etc) hoy se han convertido en una gran necesidad. Desafortunadamente las mentes criminales también evolucionan; antes te asaltaban y lo único que perdías eran cosas materiales, actualmente nos hemos encontrado con robos de laptops, smartphones de personas claves dentro de una empresa, organización o institución, es más que obvio que el móvil no es el equipo sino la información contenida en ellos. Es por eso que se deben de tomar las medidas necesarias para evitar fuga de información y que nuestros datos lleguen a personas malintencionadas.

TrueCrypt es una de las muchas herramientas que nos pueden ayudar con la salvaguarda de la información, en este caso de equipos de escritorio, laptos y pendrive. Como mucho de lo que recomendamos aquí, esta herramienta es Open-Source y gratis. La cual podemos encontrar en sitio oficial TrueCrypt.

Con esta herramienta podemos encriptar nuestros discos duros, pendrive y SO. Con los siguientes algoritmos:


Cuidemos nuestros datos, un mal uso nos puede ocasionar demasiados problemas.

Volver a arriba
 

Powered by FeedBurner

Enter your email address:

Delivered by FeedBurner