Un equipo de expertos procedentes de ámbitos distintos, el académico, el de la industria, y el de los consultores independientes, ha comprobado la existencia de una vulnerabilidad que permite una nueva clase de ataques contra los ordenadores.

Esta vulnerabilidad compromete el contenido de sistemas de memoria “segura”. El ataque supera las barreras impuestas por un amplio conjunto de medidas de seguridad llamadas “encriptación de discos”, las cuales están orientadas a proteger la privacidad de la información almacenada en la memoria permanente del ordenador. Los investigadores crackearon varias tecnologías ampliamente utilizadas, incluyendo el BitLocker de Microsoft, el FileVault de Apple y el dm-crypt de Linux.
Ver artículo completo »

Anteriormente he publicado post sobre seguridad en dispositivos USB como auditarlos y como bloquearlos, en este post voy a exponer dos técnicas de ataque con dispositivos USB para mostrar algunos de los riesgos que suponen estos dispositivos.

La primera técnica: el ataque proviene del dispositivo USB y afecta al sistema.

Consiste en una aplicación, USB Switchblade, guardada en USB, este USB se introduce en la maquina victima y se ejecuta mediante la reproducción automática de dispositivos. Esta aplicación recoge información de la maquina victima: secretos LSA, contraseñas de Windows, dirección IP, puertos abiertos, contraseñas de correo, historiales de navegación, contraseñas guardadas en el navegador, serials de aplicaciones instaladas… Además crea una cuenta con privilegios de administración y un servicio oculto VNC para poder controlar dicha maquina.
Ver artículo completo »

Bien anota la reunión de las Naciones Unidas sobre la Sociedad de la Información realizada en Túnez en 2005, que la seguridad de la información es un factor fundamental para el desarrollo de las economías mundiales y como un elemento fundamental para el fortalecimiento de la confianza en el uso de las TIC (Tecnologías de Información y
Comunicaciones) que permitan un sociedad digital vinculante e incluyente, que sólo es
posible con a través de métodos y sistemas más confiables y de fácil utilización.
Ver artículo completo »

El Banco de España lo tiene claro: las entidades financieras no pueden lavarse las manos en lo relativo al fraude electrónico. Su servicio de reclamaciones -las primeras quejas por este motivo comenzaron a recibirse a finales de 2005 y, desde entonces, se han ido acelerando- es contundente. “No parece equitativo ni proporcionado que las entidades eludan sin más su responsabilidad, dirigiendo a sus clientes a los tribunales de justicia y haciendo recaer en los mismos la totalidad de los importes defraudados.

No se estima ajustado a las buenas prácticas bancarias que las entidades, al amparo de las cláusulas contractuales que les exoneran de toda responsabilidad, se desentiendan de los problemas de sus clientes sin realizar actividad probatoria alguna que permita determinar lo realmente sucedido; debiendo, en definitiva, demostrar un cierto grado de diligencia en la gestión de estas reclamaciones de sus clientes. Éstos -no debe olvidarse- han depositado en aquéllas no sólo sus fondos, sino también su confianza”.
Ver artículo completo »

Daniel Monastersky de Techlaw abogados dijo que si bien existen las disposiciones que contemplan incumplimientos hasta ahora no se hacían efectivas.

Hasta el momento, las sanciones no se hacían efectivas, mas allá de la existencia de disposiciones que contemplaban los incumplimientos a la Ley de Habeas Data.

Las fuentes de la Dirección Nacional de Protección de Datos Personales confirmaron que iban a aplicar todo el rigor de la ley en caso de detectar infracciones. La inscripción y renovación es una obligación legal y su incumplimiento genera multas.
Ver artículo completo »

Por Jeimy Cano Martínez

La información al ser un bien personal y común para una sociedad, manifiesta características que sugieren una protección individual como grupal.

Latinoamérica viene en un proceso ascendente de fortalecimiento del tema de seguridad particularmente en los temas de tecnologías, un poco más retrasado en temas de gestión, y con una necesidad urgente de vincular a las personas, formalmente, en el modelo de seguridad. En este sentido, los Estados y los reguladores aún no se han manifestado formalmente en algunos países a nivel de toda la Nación, sino regulando a sectores particulares, como lo es la Banca. Colombia es un reflejo de esa realidad.
Ver artículo completo »

G-Archiver es una aplicación que permite a cualquier usuario de GMail realizar copias de seguridad de su cuenta. Al parecer, según dicen en la web oficial de G-Archiver, un miembro de su equipo de desarrollo mientras probaba la aplicación agrego una función que se encargaba de enviar el usuario y clave de cada cuenta ingresada a un correo especifico, obviamente con fines de testeo de la aplicación; ¿ustedes se lo creen?, yo no.

Utilizando Reflector, un descompilador para la plataforma .NET de Microsoft podemos hacernos con la función de la discordia:

Ver artículo completo »

Tras la ruptura de la protección para el envío automático de correo desde las cuentas de Yahoo! Mail (enero de 2008) y Microsoft Live (principio de febrero), se supo que también ha sido vulnerado éste tipo de protección en el correo de Google (Gmail).

Lógicamente, esto trae como resultado un aumento en la cantidad de spam generado desde direcciones de Hotmail, Yahoo! y Gmail.

Un ejemplo del código malicioso que permite esto, y de como funciona, fue publicado recientemente en un blog de expertos de seguridad rusos (urs-molotoff.blogspot.com).
Ver artículo completo »

El aumento del uso de dispositivos móviles para transferir datos y realizar transacciones bancarias los ha puesto en el punto de mira de los “ciberdelincuentes”, lo que planteará a las empresas y los bancos nuevos retos de seguridad en 2008, según un reciente estudio de la consultora tecnológica Unisys.

El informe señala que el “phishing” o suplantación de identidad, y el robo de credenciales mediante “malware” (software malicioso) son algunas de las amenazas que empiezan a afectar a la banca online realizada con dispositivos móviles.
Ver artículo completo »

Un empleado de la sucursal en Knivsta del la entidad sueca Swedbank, habría evitado un robo millonario el pasado Agosto al desconectar un cable de su ordenar tras notar un movimiento extraño de su mouse.

Hace días, siete sujetos fueron detenidos en Estocolmo mientras planeaban un nuevo ataque similar al frustrado en Knivsta.
Ver artículo completo »