La filial española de Kaspersky descubrió una red de blanqueo de dinero que utiliza anuncios de este tipo en la red de imágenes Twitpic para reclutar mulas tanto en inglés como en español, para volver al circuito legal dinero robado de cuentas de banca online.

Estas organizaciones están pagando fuertes sumas de dinero para posicionar sus avisos y obtener la mayor cantidad de impresiones para lograr altos niveles de clics en sus anuncios. Aprovechando la escalada de desempleo que existe en gran parte de Europa en la actualidad, los anuncios son segmentados tanto en inglés como en español.

Cuando un interesado hace clic en uno de estos anuncios es redireccionado a un sitio web en el idioma original desde donde se conecta, donde encuentra publicidad y testimoniales falsos sobre los beneficios del trabajo desde el hogar. Además, los cibercriminales propietarios del sitio crearon un script que determina la dirección IP y el país de la víctima y personaliza el sitio tanto en el título como en los testimoniales.

Para los especialistas, no es un dato menor que ahora estos ciberdelincuentes intenten captar víctimas en español. Esto significa que poseen mucho más dinero para segmentar sus anuncios y así llegar a un mayor cantidad de personas potencialmente interesadas.

El blanqueo de dinero es una práctica ilegal en casi todos los países del mundo y de acuerdo a la legislación del código penal de cada país se encuentra penalizado con prisióny altas multas. En general, la práctica más común utilizada para blanquear dinero robado de la banca online es transferirlo a una cuenta a nombre de una mula (o víctima), quien lo retira en efectivo y lo deposita en otras cuentas predeterminadas por los criminales.

Link: Los ciberdelincuentes emplean Twitpic para captar muleros para el blanqueo de dinero (CSOSpain)

En cuanto a la barra, ahora no sólo tiene la capacidad de autocompletar las direcciones que visitas, sino que además trabaja de fondo para ir cargando de manera previa los sitios en cuestión y así, para cuando terminas de escribir y presionas “enter”, la página ya estará lista y se cargará mucho más rápido, incluso de manera instantánea. En rigor, es un truco que da la impresión de que el navegador es más veloz, pero simplemente se trata de que la página comienza a cargarse “a escondidas” desde que comienzas a tipear.

Y sobre la seguridad, antes Chrome se enfocaba en proteger al usuario de visitar páginas maliciosas, pero la versión 17 incorpora un escaneo de los archivos descargados (particularmente de los ejecutables .exe y .msi) que muchos sitios colocan, pretendiendo engañar al usuario ofreciendo algún tipo de programa antivirus gratuito (pero que es todo lo contrario).

Con esta nueva versión, al intentar descargar un archivo que posea malware, Chrome lanzará una advertencia de que aparentemente es un archivo malicioso y debiera ser descartado. Esto lo hace revisando una “lista blanca” de archivos y fabricantes que le permite reconocerlos como buenos. De no encontrarlo en dicho listado, de inmediato revisa con Google si hay información adicional al respecto (como la tasa de descargas maliciosas desde dicho sitio) para determinar el riesgo. También utiliza un análisis de aprendizaje automático para clasificar las descargas, lo que el navegador identifique archivos -incluso luego de ser empaquetados- que tratan de engañar al antivirus.

Chrome 17 puede ser descargado desde la página oficial o a través del mismo navegador, pinchando en su configuración y luego en información. En el blog oficial pueden revisar todas las novedades adicionales de la nueva versión estable.

Link: Chrome 17 released, will preload autocompleted URLs as you type (Ars Technica vía CHW)

Anonymous Chile advirtió a través de su Facebook sobre el uso de hardware keylogger en cibercafés, que se pueden detectar fácilmente si miras la parte de atrás del computador que vas a usar. El aparato es un pasador negro que guarda los datos que se ingresen en el equipo y el lugar donde los ingresaste, ideal para capturar contraseñas. La verdad es que es una técnica muy, muy antigua, pero nunca está de más fijarse para ahorrarse malos ratos.

De todos modos, lo recomendable siempre es evitar realizar cualquier operación sensible (como ingresar al banco por ejemplo) desde un cibercafé, puesto que también existen keyloggers de software que podrían ser más difíciles de detectar que el pasador negro.

Los keylogger de hardware a veces son usados por personas ajenas  a los cibercafés para robar datos, porque pueden ponerse y luego retirarse sin dejar rastros en el equipo donde se instalaron. Estos aparatos no son detectables por el antivirus que tenga el equipo, y no dejan evidencia de que estuvieron alguna vez ahí.

Link: Anonymous (vía Radio BioBio)

Pues eso es lo que sucedió con miles de cámaras de la empresa estadounidense TRENDnet, que debido a una vulnerabilidad permitió que la vida de miles familias fuera transmitida en vivo y en directo – sin filtros de seguridad de ningún tipo – por internet. Simplemente se ingresaba la dirección IP correcta en el navegador, y se podía observar los hogares desde cualquier parte.

Lo peor es que el problema aparentemente existe desde 2010, cuando una actualización de seguridad integró la vulnerabilidad en el sistema. “TRENDnet recientemente descubrió una vulnerabilidad en las cámaras IP común en muchas de las cámaras SecurView de TRENDnet. Es de nuestro entendimiento que el video de algunas cámaras IP TRENDnet pudo haber sido visto a través de internet en tiempo real. Luego de descubrir este problema, TRENDnet inmediatamente tomó medidas para corregirlo y publicar un firmware actualizado que resuelve la vulnerabilidad”, afirmó la empresa.

El problema salió a la luz después de que alguien realizó un montaje con varias cámaras inseguras de TRENDnet transmitiendo en tiempo real al mismo tiempo, collage que fue publicado en un foro en internet en enero pasado. Las direcciones IP que enlazaban directo a las transmisiones de video también aparecieron en múltiples sitios al mismo tiempo.

La situación es particularmente preocupante porque este tipo de cámaras se suelen instalar en las habitaciones de los niños y otros lugares sensibles de las casas. Los voyeristas requerían sólo una IP para acceder al video en vivo. Da para pensar en el recurrente tema de la privacidad en estos tiempos.

Link: Trendnet security cam flaw exposes video feeds on the net (BBC)

En Pastebin se postearon una serie de correos electrónicos entre un empleado de Symantec llamado Sam Thomas, y un representante del grupo de hackers denominado “YamaThough”. En los e-mails, Symantec acepta pagar US$50.000 para que el grupo destruyera el código y – quizás lo que parece más grave – afirmara públicamente que nunca había conseguido acceso a esa información, negando así que sus sistemas hubiesen sido inseguros.

Sin embargo, YamaThough afirmó en Twitter que “no lo creerían, pero Symantec acaba de ofrecernos dinero para que nos quedemos en silencio” – algo que da a entender que la iniciativa monetaria partió de la compañía.

Symantec asegura que “Sam Thomas” en realidad era un agente policial - ”cuando llegaron a nosotros con el propósito de extorsionarnos, fuimos a la policía”, señaló un vocero a Forbes. Así, la oferta de los USD$50.000 habría sido un señuelo para intentar rastrear al hacker.

Un grupo que se autonombra como los “Lords of Dharamaja” aseguró que tenía el código de PCAnywhere en enero, lo que causó que Symantec pidiera a los usuarios que bloquearan todos los puertos de su computadora que estén asociados a esta aplicación.

Como sea, el grupo de atacantes publicó ayer un archivo torrent de 1.27 GB con el código de PCAnywhere en The Pirate Bay (sin tomar el dinero). Symantec dice estar analizando el código para saber si es auténtico o no, pero si eres usuario de este programa, valdría la pena empezar a preocuparse. En tanto, el código de Norton Antivirus será publicado hoy, según anunció YamaThough.

Link: Symantec source code held by hackers in $50.000 extortion attempt, may have been released into the wild (The Verge)

Aprovechando la ocasión desde Norton hemos querido ofrecerte un 50% de descuento en Norton 360™ Versión 5.0, para que te asegures de estar protegido cuando te conectes a Internet hoy y siempre.

Norton 360™ Versión 5.0 podrás disponer de la más completa protección para tu ordenador, tu identidad y tus archivos:

• Detecta y elimina virus, spyware y otras amenazas antes de que puedan causar daños.
• Bloquea los sitios web poco seguros y maliciosos, incluidos los sitios de phishing que pueden robar su identidad o su dinero.
• Le permite analizar las noticias de Facebook en busca de vínculos sospechosos y otro software de actividades ilegales.
• Ayuda a mantener a sus hijos seguros cuando navegan en Internet.
• Le permite realizar copias de seguridad de sus fotografías, su música y otros archivos importantes con 2 GB de almacenamiento online.

El dato: Adquiere hoy la versión 5.0 y obtén una actualización gratuita a la versión 6.0 cuando se lance.

¿Qué esperas para aprovechar promoción? Norton 360 al 50 % de su precio: Por solo 44.99 € tendrás un año de protección para 3 ordenadores.

Navega, compra, utiliza las redes sociales y realiza operaciones bancarias en Internet de forma segura: ¡Promueve la seguridad en Internet y protégete con Norton 360!

Las versiones contradictorias respecto a lo que había pasado dieron paso a que se realizara una investigación a los ocho marines que participaron en la operación, sin embargo, en 2008 se levantaron los cargos contra seis de los acusados y un séptimo fue juzgado “inocente”. El octavo era Frank Wuterich, quien después de iniciarse un juicio por asesinato en su contra, fue juzgado por “homicidio negligente” – es decir, que no hizo nada para impedir los asesinatos de dos mujeres y cinco niños – y luego se le terminó condenando por un cargo de “abandono del deber”, con lo que se le redujo el rango y la paga, pero no pasó por la cárcel.

Muchos se enfurecieron con este resultado, incluyendo aparentemente a Anonymous, que publicó hoy una serie de correos electrónicos del bufete de abogados que defendió a los marines. El colectivo asegura tener 2,6 GB de datos después de infiltrarse en los sistemas del bufete Puckett Faraj, que representó a Frank Wuterich.

Los correos, publicados en un archivo torrent y en Pastebin incluyen transcripciones de los testimonios, evidencias del juicio y otras informaciones relativas al caso. El sitio de Puckett Faraj está ahora fuera de servicio, en un intento de la compañía de defenderse de los ataques a Anonymous, aunque ya es demasiado tarde para eso.

“Creemos que es tiempo de publicar toda su información privada y la evidencia de la corte al mundo y conducir un juicio de la gente por nuestra cuenta”, señaló Anonymous, agregando que buscan mostrar “la brutalidad de imperialismo estadounidense”.

Sin duda un nuevo caso que generará polémica y que posiblemente dejará en serios aprietos a la firma de abogados, cuya seguridad – y la de sus clientes – fue vulnerada. La idea de la “justicia por nuestras propias manos” también es bastante peligrosa, pero está por verse si esta liberación de correos contribuye en algo a esclarecer lo sucedido en Haditha en 2005.

Link: Anonymous releases law firm’s emails about Haditha killings (The Register)

En líneas generales, casi el 62% de jóvenes en todo el mundo afirma haber tenido experiencias negativas online. Y casi 4 de cada 10 (39%), han tenido graves experiencias negativas online, como recibir fotografías inapropiadas de extraños, haber sido acosados o haber sido víctimas del cibercrimen. El informe también revela que los jóvenes activos en redes sociales abren más puertas a contenidos o situaciones que pueden ser complicadas de manejar por ellos: el 74% de los jóvenes en redes sociales se ha visto envueltos en situaciones difíciles online, comparado con el 38% de aquellos que se mantienen alejados de las redes sociales.

Los padres que establecen normas para el uso de Internet, resultan de gran ayuda para que los jóvenes tengan experiencias más positivas. El informe Norton Online Family revela que el 77% de los padres tienen reglas para el uso de Internet por parte de los jóvenes. De aquellos hogares en los que existen normas, los “niños buenos” que siguen las reglas se mantienen relativamente a salvo con un 52% que han sufrido una experiencia negativa online, el porcentaje se incrementa al 82% en el caso de los que rompen las reglas.

“Los jóvenes desarrollan su identidad online a más temprana edad que nunca”, afirma Vanessa Van Petten, experta en temas juveniles y autora del “Radical Parenting” (educación de los hijos radical), “necesitan padres, profesores y otros modelos de conducta que les ayuden a descubrir hacia dónde ir, qué decir, cómo actuar y más importante aún, cómo no actuar. Situaciones negativas online pueden tener repercusiones en el mundo real: desde acoso hasta pérdida de dinero en fraudes donde se proporciona información personal”.

Profesores en riesgo de ciberhumillación

Uno de los ejemplos más alarmantes del mal comportamiento en el uso de las redes sociales es la ciberhumillación (cyberbaiting), donde los estudiantes primero irritan o provocan a un profesor hasta que él o ella estalla y lo graban en sus móviles para poder subir el montaje online, humillando al profesor y al colegio. Uno de cada cinco profesores ha experimentado personalmente o conoce a algún profesor que ha sufrido este fenómeno.

Debido tal vez a la ciberhumillación, el 67% de los profesores afirman que ser amigos de sus estudiantes en las redes sociales los exponen a riesgos. Aún así, el 34% continúa siendo “amigo” de sus estudiantes. Solo el 51%, afirma que sus escuelas tienen un código de conducta de cómo los profesores y alumnos se deben comunicar a través de los medios sociales. El 80% de los profesores pide una educación online en los colegios más segura, posición que es respaldada por el 70% de los padres.

Asalto a la billetera digital de mamá

El 23% de los padres que permite que sus hijos utilicen sus tarjetas de débito o crédito para compras online afirman que sus hijos se sobrepasan. El 30% de lo padres, en todo caso, aseguran que sus hijos han utilizado sus tarjetas de débito o crédito para compras online sin su consentimiento. Y más de la mitad de los padres (53%) que permite que sus hijos compren online utilizando su cuenta revelan que sus hijos las han utilizado sin su permiso.

Pero ahorrar dinero no es la única razón para establecer una guía de comportamiento clara acerca de compras online y comportamientos seguros en Internet. El 87% de padres cuyos hijos han sido víctimas del cibercrimen también lo han sido ellos, un claro incremente de la media global que sitúa en un 69% a los adultos que han sido víctimas del cibercrimen en todo el mundo. (Informe de cibercrimen de Norton, 2011).

“Padres y profesores juegan un papel muy importante a la hora de mantener a los jóvenes -y a sí mismos- seguros online, y el Informe Norton Online Family revela la necesidad de una mayor educación”, asegura Marian Merritt, defensora de la seguridad en Internet de Norton. “Mientras que el 63% de los padres afirma que hablan con sus hijos acerca de la seguridad online, la tercera parte (34%) controla el uso online de sus hijos en secreto espiando su comportamiento en las redes sociales a sus espaldas. Mantener un diálogo abierto con los niños en un entorno saludable como el hogar o el colegio podría ser mucho más efectivo si se proporciona a los jóvenes las herramientas necesarias para mantenerse a salvo”.

Para más consejos de cómo mantener a vuestros hijos y a vosotros mismos seguros online, visitar: www.norton.com/familyresources. Para saber más del Informe familiar online de Norton global y por países, visitar: www.norton.com/cybercrimereport.

Acerca de Norton de Symantec

Los productos Norton de Symantec protegen a los consumidores del cibercrimen con tecnologías como antivirus, anti- spyware y seguridad internet sin que suponga un exceso de recursos del sistema. La empresa también ofrece servicios como copias de seguridad y family online safety. Únete a Norton en Facebook en http://www.facebook.com/#!/Norton.ES y sigue @NortonOnline por Twitter.

Acerca de Symantec

Symantec es líder en seguridad, almacenamiento y soluciones de administración de sistemas que ayudan a nuestros clientes y organizaciones a administrar y proteger su información. Nuestro software y servicios protegen contra más riesgos en más puntos, de manera más eficiente y completa y con total confianza, sin importar dónde esta información se utiliza o está almacenada. Más información disponible en www.symantec.com.

Acerca de la metodología utilizada para el Informe familiar online de Norton

Entre el 6 de febrero de 2011 y el 14 de marzo de 2011 StrategyOne realizó 19.636 encuestas online entre 12.704 adultos (entre los que se incluyeron 2.956 padres de jóvenes entre 8 y 17 años), 4.553 jóvenes entre 8 y 17 años y 2.379 profesores de estudiantes entre 8 y 17.

El estudio se realizó en 24 países (14 países habituales: Australia, Brasil, Canadá, China, Francia, Alemania, India, Italia, Japón, Nueva Zelanda, España, Suecia, Reino Unido y Estados Unidos; 10 países nuevos: Bélgica, Dinamarca, Holanda, la región administrativa Hong Kong, México, Sudáfrica, Singapur, Polonia, Suiza y Emiratos Árabes). Los datos globales han sido sopesados para asegurar la representación equitativa entre todos los países. Adultos hasta 500 (100 padres), jóvenes hasta 200, profesores hasta 100.

El margen de error para la muestra total de adultos (n=12.0704) es + 0,87% con un 95% de nivel de confianza. El margen de error para la muestra total de padres, definida como padres con hijos de entre 8-17 años que pasan más de 1 hora online por mes (n=2.956) es + 1,8% con el 95% de nivel de confianza. El margen de error de la muestra total de jóvenes (n=4.553) es + 1.45% con el 95% de nivel de confianza. El margen de error de la muestra total de profesores (n=2.379) es + 2.0% con el 95% de nivel de confianza.

VeriSign está encargada de emitir certificados SSL, o Secure Sockets Layer para los sitios terminados en .com, .net y .gov, por lo que el asunto es especialmente grave. Con la información robada, los atacantes podrían hacerse pasar por casi cualquier empresa en la web. SSL es una garantía de identidad de un sitio web, que permite asegurar que el sitio en el que estás es realmente el sitio al que quisiste acceder y no están tratando de engañarte con una estafa.

Los ejecutivos de la empresa afirmaron que “no creemos que estos ataques vulneraran los servidores que soportan nuestra red DNS”, que se asegura de que las personas aterricen en la dirección numérica IP correcta cuando uno escribe una dirección, pero no se descartó nada. Si la red DNS fue contaminada, los atacantes podrían redirigir a usuarios a otros sitios, aun si escribieron la dirección correctamente en la barra de direcciones. Podrías escribir Gmail.com y llegar a un clon que roba tus datos, sin darte cuenta.

VeriSign procesa unas 50.000 millones de consultas diarias, operaciones que los atacantes pueden haber usado para dirigir a víctimas a sitios falsos o interceptar correos de personajes importantes, como miembros de gobierno o de grandes compañías.

Los ataques fueron dados a conocer en un reporte entregado en octubre a la Securities and Exchange Commission (SEC), después de que se dictaran nuevas normas sobre cómo hacer los reportes. Sin embargo, en el informe no se detalla cuántas veces ocurrieron los ataques, ni cuánta información está en riesgo.

La vulneración fue descubierta por la agencia Reuters, y quizás lo más grave es que muchos de los jefes en VeriSign no se habían enterado de los ataques hasta ahora que fueron consultados por la agencia, lo que por cierto habla muy mal de los sistemas de control. Según Reuters, muchos no sabían nada más que lo que dice en el informe de la SEC.

El año pasado vimos otros ataques a empresas emisoras de certificados SSL, un asunto que ha puesto en duda la efectividad y confiabilidad de este sistema, y la necesidad de idear uno nuevo.

Link: Key internet operator VeriSign hit by hackers (Reuters)

La guía fue elaborada originalmente por Anne Collier y Larry Magid como parte del programa “Seguridad en Línea” y está a cargo del subcomité de Educación en Estados Unidos. Fue traducida al español por Alianza por la Seguridad en Internet A.C. y también se puede consultar en línea.

Entre los temas que aborda el documento son el acoso u hostigamiento (también conocido como cyberbullying), la desatención de los niños en las actividades escolares o como prevenir el suicidio. Menciona que la mejor forma de monitorear a los hijos es tener nuestro propio perfil y ser aceptado como “amigo”. También sugiere que se establezca una regla familiar que diga que “ningún miembro de la familia puede bloquear a otro”.

Siguiendo con el monitoreo algo que llama la atención es la sugerencia que los padres vigilen la actividad de sus hijos creándose una cuenta con un nombre diferente a sabiendas que contraviene el reglamento de uso de Facebook, También pueden solicitarles su contraseña o bien, utilizar los buscadores para rastrear información acerca de las cosas que se dicen de sus hijos. Irónicamente, esto querría decir que los propios padres se convertirían en los primeros acechadores de sus hijos.

Por último hace mención de que los adultos exhorten a los menores a dar de baja su cuenta en Facebook si no cuentan con la edad mínima de 13 años, o bien, si se vuelven a registrar o reactivan su perfil, los padres los ayuden a configurar la seguridad de su perfil a los niveles más restrictivos. Esto evitaría que sean ubicados físicamente a través del sistema GPS, ser molestados o establezcan conversaciones de sexo con desconocidos.

Pablo Ortiz Monasterios, director de la empresa de seguridad en línea AS3, mencionó que la guía sólo está traducida ya que algunas situaciones no se adaptan al contexto que viven los mexicanos. Entre los temas que no se incluyen se encuentran la extorsión o las relaciones amorosas virtuales.

A pesar de estas carencias, sin duda será una guía bastante útil para los menores de edad que están inmersos en Facebook aunque la mejor herramienta es la comunicación, entablar lazos de confianza con tus hijos y no creerse todo lo que diga en Internet. También sería una herramienta que debería utilizar un adulto que apenas se inicia en el mundo de las redes sociales.

Link: La Guía Facebook para Padres de Familia (vía El Universal)

Ahora, la compañía aclara la situación mencionando que pcAnywhere 12.5 no representa un riesgo. Además, quienes tienen la licencia de la versión 12.0 ó 12.1 deberán instalar los parches más recientes o bien, podrán actualizarse de forma gratuita a la versión 12.5 y también deberán instalar una actualización de seguridad.

Cabe mencionar que los beneficiarios serán todos aquellos quienes adquirieron el programa o bien, cuentan con la clave de la licencia original. También son tomados en cuenta aquellos usuarios que tengan ediciones antiguas que usualmente no calificarían para dicho soporte.

Adicionalmente, Symantec recalcó que los datos filtrados de su antivirus no representan un riesgo hacia los usuarios. Por lo que si alguien todavía utiliza los productos de la compañía, ahora podrá descansar tranquilo.

Link: Symantec says pcAnywhere safe, offers free upgrade (Reuters)

Acá además de estar en presencia de un comportamiento bastante torpe en redes sociales, se suma una increíble ineptitud burocrática y falta de criterio por parte de las autoridades estadounidenses: Leigh Van Bryan y Emily Bunting -una pareja de amigos que viajó desde el Reino Unido hacia Los Angeles, California- tuvieron la poco afortunada idea de tuitear un par de semanas antes sobre “destruir Estados Unidos” o “desenterrar a Marilyn Monroe”. Y estos norteamericanos no olvidan; al llegar, fueron detenidos y -según indicó Leigh- tratados como terroristas.

(c) The Sun

Estúpido por parte de los jóvenes. Estamos de acuerdo. Pero cualquier funcionario con dos dedos de frente es capaz de comprender que no se trata de mensajes a realizarse literalmente ni tampoco algo que cualquier persona con reales intenciones de hacerlo, lo ande publicando en redes sociales… En cambio, fueron esposados e interrogados durante cinco horas, para luego ser puestos en una van con inmigrantes ilegales y encerrados hasta el día siguiente.

Los jóvenes se defendieron indicando que se trataba de jerga británica totalmente inocente (“destruir” lo utilizan como sinónimo de “irse de fiesta”), pero no fue suficiente para convencer al Departamento de Seguridad Nacional. Menos aún cuando habían hecho referencia a la exhumación de la legendaria actriz estadounidense, aunque pareciera que esto fue producto de una referencia a la serie animada Family Guy.

Seguridad Nacional no quiso referirse al incidente.

¿Creen que el monitoreo de redes sociales debe manejarse de otra manera?

Link: US bars friends over Twitter joke (The Sun)

El nuevo estándar busca autentificar el correo electrónico con la finalidad de detener la propagación de correos que proceden, en el caso del phishing, de remitentes que son legítimos pero que finalmente terminan por redireccionar a los usuarios a sitios maliciosos.

Como ejemplo del funcionamiento de este nuevo estándar podría ser un correo enviado por un banco, el que al momento de enviar un correo a un cliente lo marca de tal forma que quede asociado con sus dominios. Una vez que el cliente recibe dicho correo los controladores de autentificación lo dejan pasar al confirmar su validez, en cambio si el correo intenta engañar al cliente indicando que proviene de su banco pero no cuenta con las credenciales respectivas, es eliminado.

El nuevo estándar considera que todos aquellos correos que son desechados son devueltos a su remitente, de manera que aquellos remitentes legítimos se enteren que el dominio desde donde son enviados los correos no se encuentra debidamente acreditado o se enteren de la cantidad de veces que se ha intentado hacer mal uso de su dirección.

Ahora quienes participan de la iniciativa planean someter el DMARC al Internet Engineering Task Force, con la finalidad de que sea aceptado como estándar y pueda ser utilizado en diversas aplicaciones.

Link: DMARC (DMARC Vía GigaOM) 

En realidad no es que no le guste a nadie, sino a “casi nadie”. Según una encuesta realizada por la empresa de seguridad Sophos a 4 mil usuarios Facebook, uno de cada 12, es decir, apenas un 8,4% dijo estar conforme con la nueva función y que pensaban que se acostumbrarían a ella.

Pero el 51,3% dijo que estaba preocupado por Timeline y el 32,4% restante comentó que no sabía por qué sigue utilizando el servicio aún. Lo que preocupa es la seguridad, según comenta uno de los principales voceros de la empresa que realizó la encuesta “La esencia de Facebook es animar a que cada día cuenten más detalles sobre su privacidad y experiencias para compartir con otros, pero esta función no hace otra cosa que facilitar la manera en que una persona podría quedar totalmente expuesta ante un hecho delictivo”.

El Centro de Información sobre Privacidad Electrónica (EPIC) ha pedido a la Comisión Federal de Comercio que se investigue la función Timeline para verificar que no está transgrediendo ningún tipo de normativa relativa a la privacidad de las personas.

En una carta envíada a la Comisión a fines de 2011 se destacó que con Timeline “Facebook volvió a tomar el control de los datos de los usuarios y ha hecho que la información que se encontraba archivada y de difícil acceso, ahora se encuentre totalmente disponible y a la vista de cualquiera”.

Como característica técnica, Timeline es un avance real en la forma de mostrar contenidos, e incluso sospechamos que usuarios más amigados con servicios como Tumblr o servicios de información basados en imágenes podrían sentirse cómodos, pero el usuario promedio de Facebook, no sólo es reacio a los cambios sino que posee un patrón definido de uso que lo expone mucho más a vulnerar su información que aquellos que comprenden los riesgos de compartir absolutamente todo.

¿De que manera Facebook podría verse afectada por este cambio? ¿Retrocederá ante la pérdida de usuarios o seguirá en la misma línea a pesar de los reclamos?

Link: Almost nobody wants Facebook Timeline (TGDaily)

Dasient se especializa en escanear los sitios web y otras direcciones URL  para buscar contenido malicioso. Su sistema no está basado en listas negras ya que utiliza rastreadores web y heurística, por lo que es un sistema que permitirá a Twitter ser más resistente ante estos ataques. En 2009, la compañía lanzó una plataforma para proteger a la publicidad del malware o también conocido como malvertising.

A través de un comunicado en su blog, la firma Dasient mencionó: “Al unirse a Twitter, Dasient será capaz de aplicar su tecnología y equipo a la mayor red de información del mundo en tiempo real. Como parte de esta fusión, Dasient está llegando a su negocio y ya no es capaz de aceptar nuevos clientes.”

En Twitter han tenido problemas de seguridad ya que han proliferado las cuentas falsas de celebridades y empresas. Si bien es una práctica habitual que estas cuentas propaguen enlaces maliciosos o publicidad engañosa, claro está que todo esto también requiere de que los usuarios tengan mayor cuidado al hacer clic ante cualquier liga que se les aparece.

Link: Dasient Has Been Acquired by Twitter (Dasient Blog vía SlashGear)

Si bien por un lado se ha insistido en que compartir archivos es un derecho de los internautas, y que es prácticamente imposible que nos prohíban dicha actividad pues hay diversas formas de intercambiar data en la Red, las dudas sobre lo que viene después del cierre de Megaupload seguro no dejaron dormir tranquilo a más de uno.

Y es que si ayer fueron tras Megaupload, ¿pueden mañana ensañarse contra “la nube”? El FBI justifica el cierre de este servicio, y la detención de sus fundadores, acusándoles de “conspiración para chantaje sistematizado”, e “infracción criminal de copyright”. Bien sabemos que el Departamento de Justicia de Estados Unidos calificó esta acción como:

“Uno de los casos de copyright criminal más grandes de Estados Unidos y ataca directamente el mal uso de almacenamiento público de contenido y sitio de distribución para cometer y facilitar crímenes de propiedad intelectual”.

Cuando en la justificación del cierre hablan de “mal uso de almacenamiento público de contenido“, están dejando abierta la posibilidad de que si en su criterio otro servicio similar puede hacer “mal uso” del “almacenamiento público de contenido”, lo pueden cerrar también. ¿Están en peligro servicios como Dropbox, Rapidshare o Google Docs, por ejemplo?

Bien vimos hace unos meses, en un experimento para probar la estupidez que representa la Ley Antidescargas española en términos de eficacia, cómo en cuestión de minutos y a través de Google Docs de podrían compartir cientos de enlaces a descargas sin mayor complicación: ¿Irán entonces tras Google Docs?

Supongamos que van cerrando todos los sitios que tienen en su lista negra antidescargas, en todo el mundo, bien sabe por aplicación de la Ley Sinde, la Ley Hadopi, SOPA o PIPA si se aprueban… ¿Cómo harán para detener los intercambios P2P? ¿Cómo harán para evitar que nos pasemos los archivos a través de “la nube”? ¿Van a ir a por Google Docs, o esto es un tema de intereses donde solo atacan a los menos poderosos?

Como vemos es un tema complicado, que tiene muchas aristas y que sin duda nos va a dar mucho de qué hablar: Están los usuarios Premium de Megaupload, los que pagaban por usar el servicio sin restricciones: ¿El FBI les devolverá el dinero? O más bien ¿los buscarán para acusarlos de ser cómplices de violaciones de derechos de autor?

Además, hay que pensar en los usuarios que utilizaban Megaupload para almacenar e intercambiar archivos personales que nada tienen que ver con esta acusación de “piratería”: ¿Quién responderá por dicha data? Ya hace un tiempo Pablo reflexionaba por aquí al respecto sobre quién vela por la seguridad de nuestros contenidos en la nube… Pues bien sabemos que la información es ya el bien más valioso. ¿Y entonces quién responde por los archivos personales que están en Megaupload?

Y bueno, ya que no he podido dormir bien y me estoy poniendo un poco paranóica, porqué no lanzar otra de las dudas que casi no me dejó cerrar un ojo en toda la noche: ¿Será esto una suerte de conspiración? Como ante una crisis de paranoia bien podemos lanzar hipótesis de lo más descabelladas, bien puedo decir que todo esto huele a un pacto entre el FBI y los fabricantes de dispositivos de almacenamiento físico como CDs, DVDs, discos duros externos y pendrives, por ejemplo, porque si por el temor a qué podría pasar con nuestra data vamos a hacer respaldos físicos de todo… ¡Retrocedimos en el tiempo y veremos revivir a un sector que va en decadencia!

Y es que visto lo visto, más de uno hará ahora copias físicas de sus archivos en la nube, porque entre la posibilidad de que el FBI apunte hacia estos sistemas de almacenamiento, y los problemas que han tenido servicios de cloud computing como el de Amazon que hace unos meses sufría por la caída de un rayo... Vuelve la duda sobre si son seguros estos servicios para almacenar nuestros archivos. ¿Qué opinas? ¿Aún confías en la nube?

Links:
- MegaUpload cierra, cuatro de sus empleados fueron arrestados (Fayerwayer)
- Estos son los sitios que comenzarán a caer arrastrados por la ausencia de Megaupload(Fayerwayer)
- Para que no sufras: Estas son 5 alternativas a Megaupload (Fayerwayer)
- Columna: ¿Quién protege nuestros datos personales en la nube? (Fayerwayer)

El ataque se lo adjudicó el grupo Alsa7r quienes modificaron el home del sitio de Bieber desplegando el mensaje “Hacked” junto con una serie de leyendas relacionadas con el grupo.

Claro que esto no fue lo único que hicieron los atacantes ya que accedieron a la Base de Datos en donde se almacenan los datos de los fans del “cantante” canadiense, información que ya se encuentra disponible en diversos sitios de Internet.

De momento no se tienen claras las razones por las cuales este grupo de hackers las emprendió contra el artista (aunque nosotros tenemos más de una), pero por lo general este tipo de ataques lo que persiguen es colgarse de la fama de un artista para darse a conocer.

Desde ya se recomienda a todo aquel que haya dejado sus datos en el sitio de Bieber a que cambien sus contraseñas, sobre todo si estas son las mismas que se utilizan en otros sitios (en FW hay varios que andan medios nerviosos).

Por su parte Justin Bieber ni se enteró de que su sitio en Internet había sido hackeado, al parecer anda más preocupado de lucir su nuevo look para el deleite de sus seguidores.

Link: LA WEB DE JUSTIN BIEBER, HACKEADA, Y LOS DATOS DE SUS FANS, AL DESCUBIERTO (Blogs Ontinet)

Es por esto que no nos extraña que desde la red social anuncien la implementación de una nueva medida para verificar la identidad de los usuarios, como elemento de seguridad: Permitirá a los usuarios confirmar su identidad mediante el DNI electrónico.

Explican desde Tuenti que su intención es mantener sus medidas de seguridad de siempre, pero facilitando la forma en que los usuarios verifican su identidad, por lo cual el DNI electrónico ofrece ventajas considerables.

Así, en una entrada publicada en el blog oficial de la red social, el viepresidente de Asuntos Corporativos de la compañía, Sebastián Muriel, ha destacado la facilidad del proceso de identificación:

“La aplicación permite utilizar el DNIe sin necesidad de instalar drivers en el equipo por parte del usuario, lo que facilita todo el proceso”.

Han adelantado, además que en el futuro “estos usos se pueden ampliar a otros servicios dentro de nuestra red social”, imaginamos que también en relación con la seguridad de los datos de los usuarios. A mi forma de ver es una medida interesante, y así le damos uso al DNI electrónico… ¿No creéis?

Link: En Tuenti somos pioneros en la verificación de identidad a través de certificado electrónico (Blog de Tuenti)

Y es que las cifras que nos han llegado la empresa experta en seguridad Kaspersky Lab son realmente preocupantes: En 2010 el cibercrimen creció un 337 por ciento en España, llegando a alcanzar los 900 mil ciberataques en total… Ahora, si la cifra te parece alta, debes saber que en agosto de 2011 ya se habían superado los 800 mil casos de ciberfraude en España, con lo cual se demuestra un crecimiento imparable de esta tendencia, al punto que aseguran que diariamente se producen entre 3 y 4 casos de ciberfraude en las entidades financieras que operan en España.

Ahora bien, ¿cuánto se roban los ciberlincuentes en cada “golpe? Se estima que la media del dinero sustraído en cada caso de fraude oscila entre 500 y 3.000 euros. Una cifra preocupante si nos ponemos en el lugar de la víctima del ciberdelito, ¿no crees?

El dato: Explican los expertos en seguridad de Kaspersky que lo común es que los ciberdelincuentes se roben un aproximado del 7,2% de la cantidad total existente en la cuenta), cantidades que no suelen ser demasiado elevadas con el fin de pasar desapercibidos frente a los cuerpos de seguridad.

Las cifras hablan por sí solas, y entonces vale reflexionar: ¿Te proteges adecuadamente de los ciberdelincuentes? Según los expertos en seguridad de Kaspersky Labs para que un cibercriminal pueda entrar en nuestro sistema de banca en Internet, previamente tiene que haberse instalado un software malicioso en el equipo desde el cual accedemos a la Red, sea este un ordenador portátil, un PC, un teléfono móvil o una tablet, ya que entonces el ciberdelincuente podrá controlar nuestro teclado y hacerse con nuestras claves; por lo que desde Kaspersky recomiendan:

“Lo más importante en estos casos es que el usuario tenga sus dispositivos protegidos con el fin de minimizar los ataques. Según los analistas de Kaspersky Lab es fundamental elegir un buen antivirus y actualizarlo antes de acceder a la banca online, contar con soluciones de seguridad que ofrezcan la opción del teclado virtual y, si se ha accedido con el portátil a través de la red de un cibercafé, cambiar la contraseña rápidamente”.

Recomiendan además revisar frecuentemente el estado de la cuenta bancaria, y que en caso de sospecharse alguna actividad o transacción fraudulenta, se contacte con el banco a la brevedad posible. Otra opción interesante y simple para percatarnos rápidamente de algún movimiento “extraño” en nuestra cuenta, es que habilitar las notificaciones instantáneas de las transacciones vía mensajes de texto, en caso de que tu banco te ofrezca este servicio.

¿Aplicas estas medidas? ¿Qué otra forma de prevención se te viene a la mente? Particularmente creo que es un tema de no confiarse, cambiar las claves con cierta frecuencia, no acceder a la banco online desde redes públicas y como en toda transacción bancaria, hacerla con sentido común y conciencia de los riesgos existentes.

Link: ¿Qué pasa si te roban las claves de acceso a tu banca online? (Kaspersky)

Este año, el Hacker Cup está estructurado en torno a varias eliminatorias. Comienza con una ronda de tres días a partir del próximo 20 de enero. Los 500 mejores clasificados de la primera ronda pasan a la segunda en la que sólo quedarán 100 candidatos. Finalmente, los 25 elegidos para la gran sesión hacker de donde saldrán los ganadores se realizará en California, donde viajarán por cuenta de Facebook.

El ganador del concurso recibirá un premio de US$ 5.000, el segundo mejor clasificado se hará acreedor de US$ 2.000 y los 23 finalistas restantes recibirán otras cifras, además de la oportunidad de ser convocados por la compañía para futuros trabajos relacionados con la seguridad de la red social.

La inscripción se encuentra abierta hasta el próximo 23 de enero y el resultado final se conocerá en febrero. Según comentan los organizadores de la Hacker Cup, este tipo de eventos los ayuda a mejorar las formas de resolver problemas e incluso les ha permitido desarrollar características relacionadas con el nuevo Timeline así como el algoritmo de búsquedas inteligentes.

Link: Facebook abre su competición anual de programadores (ticbeat)

Esta certificación está basada en el cumplimiento de una serie de nueve áreas y más de 40 puntos medidos por porcentajes de cumplimiento. Para certificar, un vendedor deberá cumplir con el 85% de resultado positivo de esa evaluación. A su vez, a través de un convenio con la empresa de auditoría T&A Consultores, el vendedor será monitoreado a través de compradores anónimos que controlarán el cumplimiento de lo respondido en la evaluación de certificación.

Según comentó el Gerente Comercial de Mercado Libre para América Latina, Marcelino Herrera Vegas, ya se certificaron más de 2 mil vendedores en Argentina y un total de 4 mil en toda la región. Además aclaró que aquellos que no hayan logrado certificar pueden volver a intentarlo ya que “tener la certificación será un nuevo requisito para mantener el status de Mercado Líder (clasificación que se le asigna a los vendedores más destacados y profesionales)”, agregó Herrera Vegas.

Además de aprobar el 85% de los puntos requeridos en la certificación, los vendedores deberán renovar este requisito en forma anual, lo que junto con la auditoría permanente de la consultora convierte a este programa en el más innovador de la región así como uno de los primeros a nivel global con este tipo de características para un portal de compras y ventas que posee más de 60 millones de usuarios registrados y un volumen operativo de 2 compras por segundo.

Link: Mercado Libre lanzó el primer programa de certificación de vendedores en internet (infosertec)

El grupo autodenominado como “Grupo-XP” y que, según ellos, se relacionan con Anonymous explicó que lograron acceder a los datos luego de acceder al popular sitio israelí de deportes One.co.il; lugar en donde lograron acceder a la base de datos de sus usuarios y en donde se encontraban registrados los números de las tarjetas de crédito.

Entre los datos a los que tuvieron acceso los atacantes se cuentan las direcciones personales, números de tarjeta de crédito, códigos de seguridad, nombres, números de teléfono y el de la tarjeta nacional de identidad.

Según la información que se ha logrado recolectar se trataría de los datos de unas 400.000 tarjetas, aunque algunos personeros de las compañías involucradas han señalado que existen muchos registros duplicados entre los datos robados, por lo que los afectados alcanzarían a unas 14.000 personas.

Como una forma de reducir la exposición al riesgo el Banco de Israel solicitó a sus clientes que revisen periódicamente los movimientos registrados en sus tarjetas y, de existir un número considerable de denuncias, procederán con el bloqueo de todas las tarjetas.

Link: Saudi hackers publish Israeli personal data online (TGDaily)

La vulnerabilidad corresponde al tipo “Local File Include + Directory Traversal = Source Code Disclosure”, que permitía acceder a archivos de código del banco. Revisando los datos, Zerial descubrió que el desarrollo del código fuente corresponde al año 2006 – hace casi seis años – lo que revelaría poca preocupación de parte del banco respecto a este tema. Además, esta vulnerabilidad está presente desde hace al menos un año, dice Zerial.

Con esto, “tienes acceso al core de la aplicación, puedes entender cómo funciona el sistema del banco de forma interna, cómo son los procesos de negocio, etc. Esto ayuda al atacante a conocer mejor a su víctima”, señala Zerial.

Una de las fallas más curiosas, sin embargo, apareció poco después y afecta al sistema de pagos automáticos de cuentas (PAC/PAT). Esta falla permite que alguien entre a tu cuenta y asigne pagos automáticos, sin confirmación ni autorización de la persona dueña de la cuenta. Un ataque así sólo haría que pagues tus cuentas, pero de todos modos es una intrusión a tu cuenta personal.

“En Santander hay muchas vulnerabilidades, ésta es sólo una de ellas. Existen varios Cross-Site Scripting (XSS) que afectan a distintas secciones del Santander. Este tipo de vulnerabilidades sí que afectan directamente a los clientes. Santander se caracteriza por tener muchos agujeros de seguridad en sus procesos de negocios (validaciones)”, opina Zerial.

La primera vulnerabilidad, que permitía el acceso al código fuente, incluso estaba indexada en Google. Sin embargo, este problema parece haberse solucionado en los últimos días. El asunto del PAC/PAT, sin embargo, seguiría operativo.

- ¿Cuál consideras que es el peor descuido de Santander en este caso?

El descuido de ellos es claramente que externalizan servicios como la seguridad y el desarrollo y confían plenamente en esas empresas. Y ante amenazas y advertencias, que simplemente no respondan. No son capaces de manejar y canalizar el incidente.

- ¿Qué puede hacer una persona para protegerse?

Nada, es tarea del banco. El usuario no tiene como protegerse.

El banco no ha emitido una respuesta oficial a este caso Pueden ver la respuesta del banco más abajo. Personas que contactaron a ejecutivos de cuenta por este problema recibieron respuestas que descartan que la vulnerabilidad exista. Por otro lado, Zerial fue contactado por TAISA, la empresa que desarrolla el sistema del banco, que admitió que los problemas son reales y que están trabajando para corregirlos. Al menos esta compañía reaccionó bien.

No hay que descartar que otros bancos se encuentren en situaciones similares (aquí algunos otros ejemplos), considerando que en este lado del mundo varios servicios bancarios y de pago de cuentas todavía dejan bastante que desear.

Actualización:

Banco Santander respondió a nuestras consultas al respecto. El gerente de Banca Electrónica, Laureano Cuesta, aseguró que “esta vulnerabilidad fue revisada por tres entidades independientes, y las tres concluyeron que estaba protegida ante intentos de inyección de código malicioso. De todas maneras, y para no generar innecesaria preocupación en nuestros clientes, se procedió a limitar el acceso al código de esa página”.

Respecto a que el código correspondiera a un desarrollo del año 2006, Cuesta afirmó que “Banco Santander tiene más de 350 transacciones implementadas en más de 5.000 páginas de códigos de fuente, y éstas se modifican de acuerdo a las necesidades de los clientes y a condiciones de seguridad. Esto implica que no es extraño encontrar páginas que tengan 5 años de antigüedad, frente a  otras páginas que fueron implementadas hace menos de un mes.  Eso es normal en el ciclo de vida de los grandes sitios transaccionales”.

Sobre los problemas en el sistema de pago automático de cuentas (PAC/PAT), “también se hizo una revisión completa por parte de tres entidades independientes. En base a esto podemos asegurar que actualmente esta transacción es segura”.

Cuesta insistió en que el sitio web es seguro y que está en permanente monitoreo y revisión. También afirmó que una empresa externa realiza “hackeo ético” todos los años para revisar posibles fallas. “Cada vez que se detecta un riesgo, ya sea por nuestros propios equipos, por clientes o por expertos independientes, se trabaja de inmediato en reparar dichas fallas”, afirmó.

Link: El rincón de Zerial

No es de extrañar este boom de usuarios: Por algo somos el quinto país que más utiliza las redes sociales en el mundo, según un reciente estudio de Pew Research Center que por aquí os contamos como recordaréis.

Lo cierto es que ahora el mismo estudio de Inteco ha demostrado una tendencia a extremar las medidas de seguridad en la Red: Ahora nos preocupamos más por cuidar nuestra privacidad, y no escatimamos esfuerzos a la hora de protegernos de posibles amenazas invasivas.

Así el estudio de Inteco, que se realizó analizando 3.500 ordenadores domésticos españoles entre mayo y agosto de 2011, arrojó que tan solo un 10,5 % de los internautas españoles activos en las redes sociales deja abiertos sus perfiles, mientras que el resto controla el acceso a los materiales que publica, por ejemplo, somos más celosos en cuanto a imágenes así que protegemos las fotografías que colocamos en el Facebook de forma que solo puedan ser vistas por amigos.

Y es que según este trabajo de Inteco el 49,7% del total de usuarios de las redes sociales solo comparte información con sus amigos y ha añadido que el 19,4% abre su perfil a amigos de sus amigos, mientras que el 14,4% permite el acceso solo a algunas personas de su elección.

Las cifras reflejan un avance notable en lo que es la toma de conciencia en materia de seguridad: Destacan en El País que en el año 2008, un 43% de los usuarios de redes sociales en España tenían configurado su perfil de forma pública; por lo que las cifras del último estudio de Inteco reflejan que esta práctica se ha reducido en un 33% en los últimos tres años: Ahora somos más celosos con lo que colocamos en la Red, y sobretodo con quiénes permitimos que lo vean.

En mi caso suelo separar las imágenes que comparto en las redes sociales en carpetas según perfiles de privacidad: Algunas de acceso para amigos, otras solo para familiares y unas de libre acceso. ¿Usas alguna restricción de este tipo para proteger tu privacidad en las redes sociales, o dejas el material abierto a todo el mundo?

Links:

- El 90% de los internautas españoles usa las redes sociales (El País)
- Inteco

El ataque fue parte de la operación “Robin Hood” y el movimiento #Antisec, con el objetivo de hacer donaciones a organismos de beneficencia usando tarjetas de crédito conseguidas a través de los ataques, como el del fin de semana. Para Navidad, Anonymous posteó cinco recibos de donaciones hechas a organizaciones como la Cruz Roja y Save the Children usando tarjetas robadas.

La empresa Identity Finder, especializada en prevención de robo de identidad, publicó hoy un reporte indicando que Anonymous ha revelado información personal de todos los afectados cuyos nombres comienzan con A hasta la M. El resto del alfabeto – que según el colectivo consta de 2,7 millones de correos electrónicos – se revelarían en los próximos días.

Entre los datos conseguidos por Anonymous hay:

• 50.277 números de tarjetas de crédito, 9.651 de ellos vigentes.
• 86.594 correos electrónicos
• 27.537 números telefónicos
• 44.188 contraseñas encriptadas

Stratfor confirmó la vulneración de sus sistemas y ofreció protección de identidad y servicios de monitoreo a los clientes afectados.

La operación Robin Hood es una de las más controversiales lanzadas por Anonymous, bajo la idea de “robar a los ricos para dar a los pobres”. El problema de las donaciones de este tipo es que cuando el dueño de la tarjeta de crédito se de cuenta de que hubo giros no autorizados, puede llamar a la empresa para cancelarlos y desactivar la tarjeta. Las organizaciones que recibieron el dinero tendrán así que devolverlo.

Una fuente dentro de la operación AntiSec declaró al respecto en The Atlantic: “entiendo que esto puede ser una consecuencia de procedimiento, pero las empresas de tarjeta de crédito tienen una opción, o lo pagan ellos (pobres, con todos sus miles de millones de dólares de rescate), castigan al cliente, o lo peor de todo, castigan a las fundaciones de beneficencia que no tienen nada que ver con esto”.

Click aqui para ver el video.

Link: Identity Finder releases detailed analysis of personal information “Anonymous” attack on Stratfor (Identity Finder)

Para Weiss, el problema de este sistema que proponen en Redmond es que al dibujar por medio de los dedos en una pantalla táctil es fácil de ser grabado a la distancia en video, lo cual hace relativamente sencillo comprometer al sistema. Los diseñadores de contraseñas alfanuméricas han reconocido estos riesgos por lo que han creado también un sistema donde los caracteres aparecen como puntos en la pantalla y no pueden ser copiados.

Otro problema es la copia de seguridad del patrón de contacto que es también el inicio de sesión del equipo, por lo que para Weiss no puede tomarse en serio este sistema de autenticación de Windows 8 ya que “es un juguete para niños y no ofrece garantías de seguridad”, aunque reconoce que este método es mejor que ninguno.

El equipo de desarrolladores de Windows 8 proponen el sistema de autenticación por gestos e imágenes para ahorrar tiempo en escribir las contraseñas. Si bien es un método opcional para acceder a nuestro equipo, puede ser benéfico para quienes usan tabletas, smartphones o PCs con pantalla táctil.

Link: Inventor of SecurID: ‘Windows 8 Picture Password is Fisher-Price Toy’ (PCWorld)

Es el caso de la Policía Nacional de España, que este año ha decidido aprovechar el poder de Twitter para compartir un decálogo de consejos de seguridad con miras a las vacaciones de Navidad, resumiendo así en 140 caracteres las recomendaciones más importantes que debemos tener en cuenta en estas fechas, para evitar malos ratos al ser víctimas de actos delictivos.

¡No os la pongáis fácil a los delincuentes! Seguid  las recomendaciones que la Policía Nacional ha dado a través de su perfil de Twitter @policia, que seguidamente os enumero en el orden en que fueron publicadas a través de la plataforma de microblogging, y que incluyen medidas a tener en cuenta para garantizar nuestra seguridad tanto en el mundo real como en el virtual:

1. En las celebraciones, respeta al resto y mobiliario.
2. Ante cualquier problema de seguridad, llama al 091 y evita SIEMPRE la violencia. Nunca es el fin, sino el principio de otros problemas.
3. En aglomeraciones y con niños pequeños, ponles el número de teléfono del adulto q le acompaña visible… (Incluso, escrito en su mano).
4. Atención a correos o mensajes en tu red social en el que hay links con ganchos (supuesta felicitación Navidad, vídeo muy atractivo…). Esos links o archivos podrían contener malware o ser intento de robo de datos o de tu cuenta de correo para uso malicioso (clickjacking).
5. Desconfía de peticiones de supuestas ONG o campañas por email que piden dinero o colaboración como reenvío. Puede ser fraude o truco para obtener emails.
6. Si te vas fuera, toma medidas de precaución al dejar tu casa, coche… e identifica bien el equipaje, para su localización.
7. Si haces tus compras de Navidad online, desconfía de chollos “demasiado atractivos”, de Webs desconocidas y vendedores no identificados. Las Web de ecommerce deberían ser “https”. Sospecha de emails de origen desconocido con links extraños: Podría instalar malware o troyano.
8. La venta de petardos y pirotecnia es sólo para mayores 16 años y en establecimientos autorizados. Su uso puede estar limitado por las FSE.
9. Atención a posibles falsificaciones o réplicas de productos. El pirateo industrial o intelectual está prohibido… y su calidad es pésima.
10. Vigila tus pertenencias (paquetes, prendas de abrigo, bolsos, carteras, móviles, equipaje…) y más, si piensas ir por zonas concurridas.

Como veréis son recomendaciones que ya hemos venido escuchando hace mucho tiempo, pero más vale dar un repaso a las mismas para evitar ser víctimas fáciles de la delincuencia.

Vamos, que toma 2 minutos leer este “tweet-decálogo” y actualizarnos para extremar medidas de precaución en estas fechas en que vamos muy acelerados y los delincuentes están en alerta para cometer sus fechorías. ¡Estáis advertidos!

Links:
-Twitter de la Policía Nacional
- La Policía Nacional ofrece en Twitter un decálogo para disfrutar de una Navidad segura (Policía Nacional)

Este aviso se dió a partir del análisis realizado al panel de control de la vulnerabilidad Blackhole donde 16,144 computadoras fueron atacadas y desconectadas. F-Secure recomendó a quienes usen servicios bancarios en línea o una aplicación Intranet que dejen Java en su sistema operativo pero desinstalen el plugin del navegador o consideren otra alternativa para ser usada específicamente con ese fin.

Para F-Secure, las vulnerabilidades de Java no afectan a Google Chrome, porque no utiliza plugins de terceros (como Adobe Reader para visualizar archivos PDF).

Toma en cuenta que los programas siempre tendrán problemas de seguridad y en el caso de Java toman tiempo en actualizarse, por lo que si no quieres desinstalarlo lo mejor es tenerlo actualizarlo en todo momento y así evitas dolores de cabezas innecesarios.

Link: Java Considered Harmful (F-Secure Weblog vía Geek.com)

El sistema se basa en la utilización de 360 sensores de presión que van instalados en el asiento del conductor. Dichos sensores tienen la capacidad de registrar tanto la forma como se sienta el usuario como su peso, creando de esta manera un patrón que según sus creadores es prácticamente único y que permite al sistema obtener un 98% de éxito al momento de identificar el culo trasero del usuario.

Los creadores de este novedoso sistema trabajan en el Instituto Avanzado de Tecnología Industrial de Tokyo, quienes apuestan a que su sistema será utilizado en diversas compañías fabricantes de vehículos del país nipón.

Con total seguridad más de alguno ya estará pensando en personalizar aún más el sistema, agregándole algún tipo de sonido particular para que el sistema “avise” cuando se sienta el verdadero dueño del vehículo o algún desconocido con no muy buenas intenciones.

Link: To Prevent Theft: Car Seat Identifies Drivers Sitting Down (TechCrunch)

¿Cómo funciona? Cuando accedes al sistema operativo por medio de una cuenta Live, se habilita la sincronización de credenciales que has resguardado en equipos con Windows 8 y registrados como “PC confiable”. Esto permitirá que un usuario con múltiples contraseñas memorice sólo una, que se asociará a la cuenta en línea simplificando el proceso de introducir manualmente cada uno de sus datos. También habrá la opción de que el usuario no permita que sus contraseñas sean resguardadas.

Por otro lado, en Redmond también proponen el uso de mecanismos de seguridad por medio de hardware (como el uso de tarjetas inteligentes virtuales) las cuales podrán ser introducidas en un lector y a continuación ser tecleada una clave para poder acceder al sistema operativo, o bien, si no se cuenta con la tarjeta, sólo bastará introducir la clave.

Si bien son métodos que se ven como una alternativa para aquellos usuarios que buscan un balance entre simplicidad y seguridad, lo cierto es que uno de los mayores problemas en la extracción de datos se han dado por medio de la ingeniería social.

Te dejamos un video de cómo funciona este sistema de tarjetas inteligentes, por cortesía de WinBlogsItalia.

Click aqui para ver el video.

Link: Microsoft details its plans for identity protection on Windows 8 (LiveSide)