La Ley Rusa antiterrorista permite a las empresas de seguridad hackear Facebook Messenger, Skype y WhatsApp.

(Tomado y Adaptado al Español de https://www.scmagazine.com/new-russian-law-encourages-firms-to-hack-encrypted-messaging-applications/article/527595/)

Una ley aprobada recientemente Rusia ha dado a las empresas de seguridad del país la luz verde para romper los servicios de comunicaciones cifradas, incluyendo los de Facebook Messenger , Skype y WhatsApp.

ley-yavoraya

La Ley Yarovaya se adoptó como medida contra el terrorismo. Un empleado que trabaja con la firma de seguridad “Con Certeza”, encargado de ayudar a desarrollar las herramientas necesarias para cumplir con la ley, dijo recientemente a la publicación rusa Kommersant que su firma está investigando la posibilidad de acceder a datos sensibles, identificar las partes, obtener sus credenciales, y realizar ataques de Hombre en el Medio, según Letallknow.

“Vamos a revisar dentro de los principales servicios de mensajería – WhatsApp, Viber, Facebook Messenger, Telegram y Skype tanto para iOS como para Android”; informó el empleado de Letallknow.

La ley también requiere que los medios y empresas de comunicación social suministren las claves de cifrado para apoyar a los organismos de seguridad del Estado y requiere que todas las compañías de comunicaciones mantengan información acerca del tráfico en sus servidores durante 3 años y durante 1 año para los medios de comunicación social.

(Créditos Robert Abel)

Seguridad bancaria desde el punto de vista de los hackers

(Tomado y Adaptado al Español de #WatchGuard #Secplicity)

Hace unos días, The Next Web publicó un artículo titulado: Cómo pensar como un hacker, que describe varias estrategias de seguridad empleadas por ABN AMRO, un banco con sede en los Países Bajos. En el artículo se explican cuatro estrategias propuestas por el departamento de seguridad de ABN AMRO, algunas con las cuales estoy de acuerdo y algunas otras con las que no.

seguridad-bancaria

La primera estrategia proporcionada en el artículo establece que es una buena inversión: el entrenamiento del usuario en seguridad, que en última instancia ofrece una delgada capa de protección. Aunque estoy de acuerdo en que la formación de los usuarios no es perfecta, no creo que deba ser menospreciada con tanta fuerza. El artículo menciona especificamente al phishing, destacando en el informe que el 23 por ciento de los receptores abren correos electrónicos de phishing. Un estudio realizado por la Universidad Carnegie Mellon (pdf) hace unos años atrás, encontró que el entrenamiento de concientización de los usuarios ayuda a limitar los ataques de phishing exitosos. El objetivo de la formación de los usuarios no es martillar el mensaje “no haga clic en eso”. Una parte igualmente importante de la formación es simplemente difundir la conciencia. Los controles técnicos puestos en marcha por TI no son perfectos y los usuarios necesitan entender que ellos mismos son también una pieza igualmente importante del rompecabezas de prevención de ataques. Remover el mantra:”la seguridad es el problema del departamento de TI, no el mío”, que está presente en muchas organizaciones, es crítico,  y la capacitación del usuario es el mejor enfoque para hacerlo.

Estoy de acuerdo con la segunda estrategia “No es necesario construir Fort Knox”, en principio, pero no relacionada a los ejemplos proporcionados. El autor reconoce correctamente, que es imposible construir una aplicación funcional sin tener vulnerabilidades de seguridad potenciales. Sin embargo, ABN AMRO resalta como  ha eliminado la autenticación de múltiple factor para mejorar la usabilidad de su web, algo que creo es un movimiento equivocado. La mayoría de las personas no tienen un buen historial cuando se trata de generar una contraseña única y fuerte para cada servicio individual al que se autentican. Debido a esto, las contraseñas fáciles de adivinar  y  la reutilización de claves, son todavía increíblemente comunes. La autenticación de múltiple factor tiene como principal beneficio eliminar la dependencia de contraseñas fuertes y hacer que sea mucho más difícil para un atacante comprometer una cuenta incluso cuando tienen un nombre de usuario y una contraseña válidos. La autenticación de múltiple factor no tiene porque ser engorrosa. La mayoría de los proveedores de seguridad de autenticación, como Duo Security, tienen aplicaciones móviles que pueden enviar una simple solicitud de autorización al dispositivo móvil cuando alguien intenta iniciar sesión en una cuenta. Usando otros bancos como ejemplo, la mayoría de los principales bancos estadounidenses están avanzando hacia la autenticación de doble factor en forma de un código de desafío enviado a través de texto o correo electrónico cuando un usuario se autentica desde un equipo no reconocido. Si sabemos que los seres humanos son el mayor riesgo de seguridad para cualquier aplicación, eliminar una de las protecciones más fáciles para mitigar este riesgo parece un innecesario paso hacia atrás.

La tercera estrategia mencionada en el artículo es una con la que estoy totalmente de acuerdo. ABN AMRO recomienda contratar consultores de seguridad externos para probar su empresa y sus aplicaciones. Contratar a alguien para encontrar los agujeros en su aplicación antes que los chicos malos, le pueden ahorrar pérdidas financieras y problemas de relaciones públicas resultantes de un ataque criminal exitoso. Una auditoría de seguridad trimestral o anual es también una gran alternativa para las organizaciones que no pueden pagar su propio equipo de seguridad interno. Como mínimo, las organizaciones deben ser receptivas a los investigadores externos que informan responsablemente sobre vulnerabilidades en sus aplicaciones.

La última sección del artículo describe la importancia de mantenerse a la vanguardia de los hackers a través de la Investigación y Desarrollo, observando específicamente, que el futuro se está moviendo hacia las herramientas seguridad cibernética basadas en inteligencia artificial. Muchas organizaciones simplemente no tienen el presupuesto o incluso el deseo de participar directamente en la investigación y el desarrollo relacionadas a la seguridad cibernética, lo cual es comprensible. Yo recomendaría al menos, tomarse el tiempo para estar al día con las últimas tendencias de seguridad y cómo ellas podrían afectar a su organización. Estar al tanto de las amenazas y de las protecciones disponibles para su empresa es un importante primer paso hacia el mantenimiento de su seguridad.

(Créditos Marc Laliberte)

AltermediosMSS anuncia nuevo servicio de visibilidad en la nube.

Ciudad de Panamá – 01 de Noviembre de 2016.   ALTERMEDIOSMSS, empresa dedicada a la seguridad informática en Latinoamerica, con presencia en Colombia, Panamá, Perú y Venezuela, anuncia la disponibilidad de sus servicios de visibilidad de tráfico en la nube, para todos los usuarios de equipos UTM de marca WatchGuard Technologies.

Este servicio de visibilidad, basado en la galardonada herramienta DIMENSION (creada por WatchGuard Technologies), ha sido diseñado para atender de manera muy rápida a clientes del segmento de pequeñas y medianas empresas (PYME), que no cuentan con el presupuesto suficiente para invertirlo en infraestructura virtual; pero que sin duda desean conocer como el personal utiliza el Internet Corporativo.

press-release-visibilidad-en-la-nube

El Servicio de Visibilidad de Tráfico en la Nube, se comercializa en base al número de días de actividad que el cliente desee consultar, de esta manera sólo pagará por lo que realmente esté utilizando y no se destinaran recursos económicos valiosos para el mantenimiento de un espacio de almacenamiento ocioso o para el pago de velocidades de internet que probablemente no se lleguen a utilizar en su totalidad.

DIMENSION es una poderosa herramienta que combina: el almacenamiento de logs (registros de auditoría) a través de un canal cifrado, una herramienta para emitir reportes pre-establecidos y una herramienta de análisis/consulta basada en filtros dinámicos, que le permitirá conocer en detalle qué y cuando ocurre algo con el internet protegido por su firewall WatchGuard.

WatchGuard Technologies es un fabricante de soluciones de seguridad perimetral, enfocado en el mercado PYME, que ofrece la mayor cantidad de atributos de seguridad en un solo Firewall (UTM): WebBlocker, SpamBlocker, RED, IPS, Application Control, Gateway Antivirus, DLP, APT Blocker, Network Discovery, Botnet Detection, Mobile Security,etc), con la velocidad de procesamiento más potente y desempeño superior del mercado.

ALTERMEDIOSMSS es una empresa de servicios de seguridad informática, enfocada en proveer soluciones WatchGuard Technologies para la atención de las empresas geográficamente distribuidas y con servicios diseñados para  el segmento PYME del mercado que requiere de servicios de clase empresarial a costo accesible.

Para apoyar a las empresas en el conocimiento y dimensionamiento de la solución que pueda cubrir sus necesidades, ALTERMEDIOSMSS ha considerado realizar demostraciones de la solución para los propietarios de equipos WatchGuard Technologies. El único requisito solicitado es el registro de los datos de contacto en el siguiente URL:  http://www.altermediosmss.com/Dimension.html

Nuevo Malware para Mac podría espiar secretamente sus conversaciones de video.

(Tomado y Adaptado al Español de #WatchGuard #Secplicity)

Una nueva vulnerabilidad en los computadores MAC podría permitir que un Malware grabe secretamente video y audio desde la webcam interna del equipo. El investigador de seguridad y ex-empleado de NSA: Patrick Wardle, descubrió recientemente esta vulnerabilidad y la presentó en la conferencia Virus Bulletin efectuada el pasado 6 de Octubre.

malware-mac

Esto tiene obvias implicaciones y problemas para la propia privacidad. Wardle no ha encontrado algún malware que use esta vulnerabilidad, pero reconoce que este malware pudiera existir y que simplemente todavía no ha sido detectado.

Nosotros hemos discutido asuntos similares en el pasado, incluyendo una situación extremadamente extraña donde una webcam de una familia en Houston fue hackeada y utilizada para transmitir en vivo (por Internet) lo que ocurría en el cuarto de la hija.

Entonces, Cómo podría protegerse? Pues, cubra la lente de la webcam de su computadora. Todavía no está convencido? Revise los últimos artículos que hablan de estos ataques y en todos ellos se recomienda que las webcams deben estar tapadas cuando no están en uso. Esto es algo en lo que concuerdan Marck Zuckerberg -Facebook- y el Director del FBI.

Usted puede leer la historia completa relacionada a esta vulnerabilidad en “Laptop Magazine”, en la que se incluye un enlace hacia una herramienta que genera alertas cuando un proceso accede a la webcam o se encienda el micrófono interno.

Las estafas de phishing de PayPal – ¿Está usted seguro?

(Tomado y Adaptado de http://blog.escanav.com/2016/06/30/paypal-phishing-scams-are-you-safe/)

Recientemente nos encontramos con varias preguntas relacionadas con estafas de PayPal en las redes sociales y en otras plataformas. Teniendo esto en mente, nos gustaría ilustrar a nuestros lectores y usuarios con relación a este tema.

El phishing es un intento de engaño hecho por spammers cibernéticos para la recopilación de información personal y financiera de la víctima, a través de un correo electrónico que aparenta ser de un sitio de negocios o website legítimo. Este es uno de los métodos más rápidos y fáciles de comprometer los datos personales.

paypal-phishing

El cuerpo del e-mail le advierte que su cuenta de PayPal se encuentra limitada. Si presiona en el enlace para restablecer su cuenta, es redirigido a una nueva URL sin HTTPS y a un dominio que claramente no está controlado por PayPal. Al introducir su dirección de correo electrónico y su contraseña en el campo del formulario, se desencadena una serie de revisiones por parte de una secuencia de comandos que se ha creado en este dominio phishing.

A continuación, se le pedirá actualizar su dirección de facturación. En base a la información entregada, el cibercriminal sería capaz de construir un perfil basado en la información introducida. Existe la posibilidad de que los datos robados puedan ser utilizados para estafas basadas en el robo de identidad. Después de obtener toda la información personal, el ciberdelincuente podría buscar más información solicitando la actualización de los datos de su tarjeta de crédito/débito y la información de su cuenta bancaria.

Lo último que le pediría el cibercriminal  serían los detalles de su cuenta bancaria. Esto funcionaría de dos maneras; primero recogería su Identificación de usuario y contraseña de la banca en línea; en segundo lugar, recogería su número de cuenta y número de ruta de transferencia bancaria.

Este es el final de la estafa. Todo esto fue diseñado como si estuviera tratando con PayPal todo el tiempo. Sin embargo, en este momento su información bancaria, personal, datos de la tarjeta de crédito, y su propia cuenta PayPal han sido comprometidos. Ya no hay vuelta atrás.

La última parada de la estafa es el sitio web real de PayPal. Si nos fijamos en la barra de direcciones, ahora la URL tiene un HTTPS y la zona donde está el candado tiene el nombre de la empresa y es de color verde.

¿Qué debería hacer?

  • Reenviar todo el correo electrónico de phishing al email spoof@paypal.com.
  • Use un Anti-Virus confiable (como eScan) de manera regular, que protegerá su sistema contra todo tipo de ataques de malware.
  • Siempre verifique que el prefijo”https” esté en la dirección URL, antes de introducir cualquier información financiera que sea transmitida electronicamente a través de internet.
  • Nunca envíe o responda los correos electrónicos que piden información confidencial, como el número de tarjeta de crédito, PIN (números de identificación personal) y el número de cuenta bancaria, a una persona no autorizada.
  • Compruebe los estados de sus tarjetas de débito y crédito con regularidad.

 

 

Problemas de Seguridad inhiben la adopción de los pagos móviles en todo el mundo.

(Tomado y Adaptado de http://www.scmagazine.com/security-concerns-are-inhibiting-mobile-payment-adoption-worldwide/article/530382/)

Más de la mitad de los consumidores globales creen que las billeteras móviles son menos seguras que el efectivo; pero casi un 60% de los ejecutivos de empresas dicen que el dinero móvil será parte de su negocio por ser seguro.

Una investigación realizada por NTT DATA e INGENICO ePAYMENTS consultó a 2000 consumidores globales y a 300 compañías mundiales, revelando que los consumidores de los países desarrollados y en desarrollo están interesados en utilizar el dinero móvil. Sin embargo, debe hacerse más para resolver sus problemas de seguridad si se desea que la adopción se haga a nivel mundial.

pagos-moviles

Consumidores de todo el mundo comprenden los beneficios del dinero móvil, con un 60% de acuerdo en que se mejora la experiencia de compra. La mitad dice que el dinero móvil impulsa la lealtad a su institución financiera o plataforma de pagos en línea.

Mientras tanto, los problemas de seguridad están socavando los pagos móviles. Más de la mitad de los consumidores creen que las billeteras móviles son menos seguras que el efectivo. Cerca de 75% de los consumidores dice que las garantías en contra del fraude monetario fomentaría el uso de pagos móviles; sin embargo, sólo un 44% de los comercios en línea ofrecen o planean ofrecer este tipo de garantías. Solamente un 25% de los consumidores cree que las transacciones móviles y on-line son la forma más segura de transacción.

La mayoría de las empresas siguen dependiendo de las contraseñas tradicionales o de la validación a través de huellas digitales, a pesar del deseo de los consumidores por la adopción de sofisticados métodos de seguridad como el reconocimiento facial. Menos de un tercio de las empresas mundiales, usan actualmente o planean utilizar biometría para asegurar sus dispositivos móviles. Consumidores enfocados en la seguridad, prefieren el uso de autenticación multi-factor para sus pagos móviles, con la excepción de los consumidores alemanes o escandinavos, quiénes aún confían más en las contraseñas.

“El miedo es un inhibidor potente y el miedo al fraude está muy presente en la mente de los consumidores”, dijo Peter Olynick, lider senior de banca comercial en NTT DATA. “Los consumidores no están preocupados por la pérdida de una o dos transacciones, ellos temen que su identidad pueda ser robada. Si las instituciones financieras pueden mitigar estos miedos y mejoran la adopción de plataformas de pagos móviles, entonces veremos que la tasa de adopción de los consumidores crece aceleradamente”.

(Créditos Dannielle Correa).

Como pueden proteger los estudiantes su data personal en la Universidad.

(Tomado y Adaptado de #WatchGuard #Secplicity)

En la medida que los estudiantes universitarios de todo el país vuelven a sus estudios, la mayoría de ellos se preocupará por sus clases, por el promedio de sus calificaciones y por hacer nuevos amigos. Ellos muy probablemente no estarán pensando cómo mantener sus datos personales seguros, pero nuestros expertos en seguridad dicen que si deberían hacerlo. Casi todos las universidades ahora ofrecen conexión Wi-Fi para los estudiantes y sus dispositivos inteligentes. Las redes de educación superior – el “Salvaje Oeste” de la tecnología Wi-Fi – representan un blanco fácil para los hackers, debido a sus débiles medidas de seguridad. La Redes abiertas de los dormitorios dejan pocas barreras para la difusión del malware. Mientras, los estudiantes poco precavidos que intentan ahorrar dinero mediante la descarga de software a partir de fuentes ilegales son los principales objetivos de ataque.

descarga-en-el-campus

La mayoría de los administradores de red están demasiado ocupados tratando de mantener las redes funcionando de cara a las demandas insaciables que los estudiantes tienen de datos y de velocidades de descarga más rápidas como para centrarse en la seguridad. Decenas de miles de estudiantes, profesores y administradores dependen de las redes de la universidad para permitirles aprender y para hacer sus trabajos (por no mencionar el acceso a comodidades como Facebook o Netflix entre otros). En muchos casos, la seguridad no es una prioridad tan importante como sí lo es el rendimiento.

Entonces, ¿qué pueden hacer los estudiantes para protegerse y proteger sus datos en medio de redes públicas poco resguardadas? A continuación se muestran varias recomendaciones básicas que no interfieren con el acceso a la red y que pueden ser hechos con el poco presupuesto de un estudiante.

DESACTIVE EL USO COMPARTIDO

Si el computador está configurado para compartir su biblioteca de música, imágenes u otros archivos, puede que no sólo otros compañeros en la universidad tengan acceso a sus datos, sino que cualquier persona con malas intenciones tiene ahora un vector fácil para robar sus archivos. Puede ajustar estas configuraciones para evitar que otras personas accedan a sus datos personales en la sección del Panel de Control de Windows asociada al Grupo de Trabajo o en las Preferencias del Sistema bajo la pestaña Compartir en una Mac.

USE P@$$word5 FUERTES

Si su contraseña es “contraseña”, usted está en aprietos. Todas sus contraseñas deberían tener al menos 12 caracteres con una combinación de letras, números y símbolos. Utilice diferentes contraseñas para cada una de sus respectivas cuentas. Si a usted le preocupa recordar tantos códigos diferentes, los servicios de bóveda de claves como LastPass pueden hacer el proceso mucho más fácil.

UTILICE HTTPS

Muchos sitios web utilizan este protocolo (ubique el “https” en verde al principio de la URL de un sitio web) para encriptar los datos que se envían y se reciben. Evite introducir información confidencial, como números de tarjetas de crédito en sitios que no usen HTTPS. Puede usar plugins del navegador como HTTPS Everywhere, para asegurar que la mayor parte de su tráfico esté cifrado.

USE AUTENTICACIÓN DE DOBLE FACTOR.

Este método requiere dos piezas de información para poder iniciar sesión en una cuenta. Por lo general, el sitio web le pedirá que introduzca su contraseña y también le enviará una serie de números o letras a su teléfono para ser utilizados como una segunda clave de sesión. Esto protege su cuenta si un pirata informático consigue su contraseña de alguna manera (como en uno de esos ataques de volcados de contraseñas que siempre estamos escuchando en las noticias). Gmail, steam, y muchos otros servicios ofrecen autenticación de doble factor, por lo que lo debe activar esto en cualquier cuenta que tenga información sensible.

DESCARGAS CONSCIENTES.

No sólo la piratería es ilegal, las fuentes de material pirateado, a menudo son un enjambre de troyanos encubiertos como archivos deseables. Esto se extiende a descargas legítimas y aplicaciones legalmente compartidas también. Sólo descargue aplicaciones de fuentes de confianza y nunca ejecute algo que haya recibido y que no haya solicitado.