Categoría: Noticias

En pleno desarrollo de los días de descuentos conocidos como Black Friday y Cyber Monday, y en vísperas de la temporada de compras navideñas, las tiendas en línea son visitadas por grandes cantidades de usuarios que buscan obtener precios más bajos en sus compras. Y si bien esta iniciativa ha demostrado ser exitosa a lo largo del mundo, el furor por las compras también puede ser utilizado como carnada para que los cibercriminales obtengan información de los usuarios de manera fraudulenta, haciendo uso de las técnicas de Ingeniería Social.

Por eso, para que puedas aprovechar de tus compras en línea de manera segura, desde ESET no solo te recomendamos descargar y mantener actualizada tu solución de seguridad, sino que también te traemos una infografía con algunos consejos útiles para que no te conviertas en una víctima del cibercrimen.

Tomado de Welivesecurity

Productos Seguridad informática

La importancia del doble factor de autenticación

A pesar de que el uso de las contraseñas sigue estando muy presente en nuestro día a día, parece que cada vez se tiene más asumido que se han de sustituir por algún método que sea más práctico y seguro, o por lo menos complementarlas con una capa adicional de seguridad.

Tal vez, la opción más sencilla y económica que tengamos a nuestro alcance sea utilizar herramientas de doble factor de autenticación, que permiten generar un código temporal de un solo uso para registrarnos en una sesión de un servicio online. La más conocida actualmente es Google Authenticator y permite utilizar nuestro móvil como un generador de códigos de un solo uso.

En una Internet en la que los usuarios están constantemente suscribiéndose a servicios online, que solicitan un registro acompañado de un nombre de usuario y una contraseña, es habitual que la mayoría opte por generar contraseñas simples y reutilizarlas en múltiples servicios a la vez.

Pero, como ya se ha demostrado en numerosas ocasiones, esto es sinónimo de problemas, especialmente cuando se compromete la seguridad de algún servicio online con millones de usuarios y estos datos pasan a estar disponibles para que cualquiera pruebe a autenticarse en todo tipo de servicios.

Reacción ante incidentes de seguridad que involucren contraseñas

Las brechas de seguridad que hemos visto en los últimos años no han hecho más que crecer de forma progresiva, y ya es raro encontrar a alguien que no haya recibido en algún momento un aviso de uno de los muchos servicios que se han visto comprometidos. Si crees que no es tu caso, te invito a visitar la web Have I been Pwned? e introducir alguna de tus direcciones de correo electrónico.

Igual te sorprendes al ver que tu email aparece en alguna de las brechas de seguridad que hay registradas en esa web, como la de Yahoo, LinkedIn, MySpace o Adobe, que afectaron a cientos de millones de usuarios de todo el mundo.

El problema viene cuando, a pesar de que estos incidentes suelen aparecer en las noticias e incluso se les informa a los usuarios afectados, hacen caso omiso y no adoptan las medidas necesarias para evitar que alguien acceda sin su permiso a sus cuentas en servicios online de toda clase.

Tomado de Welivesecurity

Productos Seguridad informática

Noticias Seguridad informática

Una de las características que más me llaman la atención de Virus Bulletin es que la mayoría de las charlas tienen un alto valor técnico. Muestra de ello fueron las charlas de ESET: durante el primer día del evento, una que trató los vectores de compromiso de los navegadores web para comprometer la información financiera de los usuarios y durante el segundo día, o otras sobre Spora y FinSpy.

Por supuesto que también dan lugar a otro tipo de investigaciones, como la que reseñábamos sobre motivaciones del hacktivismo o la que se presentó el segundo día: “Minimum viable security: reaching a realistic SMB security maturity?”, a cargo de Claus Cramon Houmann, sobre el estado de lamadurez de la seguridad de las pequeñas y medianas empresas.

Cuando se trata de temas más técnicos lo mejor es ir directamente al paper para enterarse de toda la investigación y tener el contexto completo, pero en esta oportunidad me pareció más productivo escribir sobre esta charla y relacionar los datos presentados con la realidad de las empresas en Latinoamérica.

Por cierto, ya tengo en la mira una tercera charla sobre trucos y mitos en una de las herramientas más populares para analizar malware, así que quédense pendientes los más técnicos.

Los retos planteados

Si bien la presentación giró alrededor de las pequeñas y medianas empresas en Estados Unidos y Europa, algo que me sorprendió es que los retos planteados en esta investigación son prácticamente los mismos que afronta cualquier PyME en Latinoamérica.

A continuación presento un listado de 7 retos presentados en esta charla… y podrás decirme luego si no son los mismos a los cuales se enfrentan día a día en nuestra región:

1. Las PyMEs no tienen presupuesto dedicado a seguridad, o si lo tienen es muy poco.
2. Las PyMEs no tienen tiempo para dedicar a las actividades de seguridad.
3. Las PyMEs aún no son conscientes de lo que deben hacer.
4. Las PyMEs no cuentan con el personal calificado para realizar las tareas de seguridad de la información.
5. Las PyMEs no son conscientes de qué tan importante es la seguridad, si algo malo llegara a ocurrir.
6. La gerencia no está enterada de los riesgos.
7. Las PyMEs no saben dónde encontrar la información que deberían conocer.

¿Te parecen conocidos algunos de estos problemas? Apostaría que muchas PyMEs se ven identificadas con al menos 5 o 6, si no con todos. Así que estamos con los mismos problemas, pero ahora la discusión en el caso de Latinoamérica gira alrededor de qué tan lejos estamos de poder solucionarlos.

La pregunta obvia: ¿qué podemos hacer?

Ya que tenemos identificados los problemas, es momento de empezar a plantear las posibles soluciones. Y quizá lo primero que hay que lograr es vencer la inercia que tienen muchas de la PyMEs, pues tal como se menciona en la investigación, muchas seguirán haciendo lo mismo sin importar lo que pase en su entorno, y seguirán sin encontrar el valor de implementar la seguridad en sus negocios.

Es por esta razón que llegó el momento de incluir en los planes curriculares de las entidades de educación media y superior la gestión de riesgos de seguridad y sus potenciales impactos sobre el desarrollo del negocio.

Por otra parte, la eterna disputa entre la usabilidad y la seguridad debe llegar a una conciliación favorable para el usuario. Mientras que los controles y políticas de seguridad sigan entorpeciendo las actividades diarias de los empleados estos seguirán buscando la manera de evadirlos.

Y por supuesto, no se puede dejar de lado la educación y las actividades de concientización en materia de seguridad; es importante que a todos los niveles de la empresa conozcan sobre seguridad.

Un framework para PyMEs: MVS

La realidad es que frameworks, guías, estándares y mejores prácticas hay muchas, incluso tantas que a veces cuesta decidirse por alguna o se cae en el error de buscar la más completa en lugar de buscar la que mejor se adapte a cada empresa.

Sin embargo, en esta charla presentaron un marco de trabajo que agrupa muchas de las recomendaciones que damos en ESET, así que quizá valga la pena que le des una mirada para determinar si se ajusta a lo que necesitas en tu empresa.

El framework denominado Minimum Viable Security (MVS) tiene una serie de dominios, de los cuales me parece oportuno mencionar cinco, que son los que me parecen más viables de implementar en la realidad latinoamericana:

1. Reducción de la superficie de ataque

Partir de la configuración del firewall en modo de denegación como estado por defecto; es más recomendable ir abriendo puertos y servicios de acuerdo a la demanda. También la incorporación de ad-blockers en los navegadores y el escaneo periódico en busca de vulnerabilidades pueden ser prácticas que marquen la diferencia.

2. Reglas básicas de seguridad

De estas ya sabemos un montón, ahora el reto es ponerlas en práctica: hacer un backup periódico de los sistemas más críticos y por supuesto probarlo, monitorear la disponibilidad de los sistemas más sensibles para el negocio, garantizar que todos los dispositivos (PC, laptops y móviles) estén cifradosy que en todos se use contraseñas seguras es esencial. Y en la medida en que se maneje información más crítica, implementar un doble factor de autenticación incrementará el nivel de seguridad.

3. Gestión de parches

Hablar de la necesidad de mantener los sistemas correctamente actualizados pareciera algo redundante, pero es un aspecto primordial. Así que es necesario aprovechar las herramientas de actualización de los diferentes sistemas operativos de los equipos de los empleados y, en el caso de los servidores, forzar este tipo de actualizaciones.

4. Políticas y documentación

Sin lugar a dudas hay que partir de la redacción de una política de seguridad, definiendo qué se va permitir y qué se va a denegar, obviamente todo acorde a la estrategia de TI y los objetivos del negocio.

5. Los colaboradores

Este aspecto me pareció el más interesante pero también es muchas veces el más complejo. Hay que encontrar la forma incentivar el conocimiento de los aspectos relacionados con la seguridad y empoderar a los empleados en sus actividades, para que entiendan la importancia de efectuarlas de manera segura.

Claro, ya sé que muchos estarán pensando cosas como “dejar el firewall en modo de denegación por defecto e ir abriendo servicios… me llevará mucho tiempo dejarlo funcional”, “probar todos los backups implica tiempo que no tengo”, “asegurar el cifrado de todas, todas las PC… imposible, el área comercial nunca está en las oficinas y voy a tardar una eternidad” o “documentar los procesos y políticas… ¿es realmente necesario?”.

Para aquellos que quieran saber cuánto tiempo les puede llevar una implementación de este tipo, quiero decirles que no es algo que esté listo de un día para otro. De hecho, durante la charla estimaban una duración de al menos cinco años para lograr un nivel de madurez apropiado.

¿Te parece mucho tiempo? Bueno, no hay tiempo que perder entonces y es mejor arrancar lo más pronto posible. Ya lo decía el filósofo chino Lao-Tse: “Un viaje de mil millas empieza con el primer paso”.

Tomado de Welivesecurity

Productos Seguridad informática

Noticias Seguridad informática

#1 El amigo de Facebook que “debe haberte eliminado” de sus amigos

Si recibes una solicitud de amistad en Facebook de alguien de quien ya te habías hecho amigo en la red, podrías pensar que debe haber hecho clic en el botón “eliminar” accidentalmente y ahora ha decidido retomar el contacto. Ten cuidado. Eso podría ser cierto, pero también podría tratarse de un estafador usando una cuenta “clonada”, igual a la de tu amigo verdadero.

Los ciberdelincuentes suelen clonar cuentas haciendo amistad con alguien, copiando su perfil, luego bloqueándolo y enviando solicitudes a todos sus amigos. Así obtienen una rica fuente de datos, así que presta atención.

Incluso los usuarios cautelosos, que han establecido compartir la información de sus perfiles solo con Amigos, pueden ser un blanco del scammer, que también puede bombardearlos con enlaces maliciosos.

#2 Los seguidores de Pinterest que te permiten hacer repin a cambio de premios

Los equipos de seguridad de Pinterest han emitido advertencias sobre seguidores falsos en el sitio, a menudo identificables por el hecho de que todos sus pines se acortan a través de sitios como Bit.ly, o que solo tienen uno o dos pines. La mayoría de estos son enlaces diseñados para llevarte a encuestas (construidas para recolectar información) o falsos “tratos” en los que se te pide que hagas repin del enlace, difundiéndolo a otros usuarios, para ganar premios.

Estos enlaces son pines falsos destinados a redirigirte a otro sitio y, al igual que sucede en las encuestas falsas que solemos publicar, es altamente probable que no obtengas lo que te prometen. Mejor evita hacer clic en ellos.

5 tipos de personas que debes evadir en redes sociales

#3 Los seguidores de Twitter que aparecen cuando usaste una palabra grosera

Simplemente con incluir en un tuit una palabra con doble significado, ruda u ofensiva en alguna medida, puedes convocar a hordas de spambots que harán retweet con entusiasmo. A continuación, acecharán en tu lista de seguidores con la esperanza de que los sigas de vuelta.

A veces, esto puede ser desconcertante. Por ejemplo, como aquella vez en que un tuit de Yahoo News acerca de un vehículo de exploración espacial fue retwitteado cientos de veces, simplemente porque el vehículo era llamado “penetrator”. Devolverle el follow a cualquiera de estos “nuevos amigos” puede derivar en spam constante e irritante, y en molestos mensajes directos.

Si acabas de decir algo grosero, presta atención a un súbito aumento de seguidores:probablemente son spammers atraídos por tus palabras.

5 tipos de personas que debes evadir en redes sociales

#4 El reclutador atractivo con un trabajo fácil solo para ti

Las cuentas de LinkedIn son objetivos de gran valor para los ciberdelincuentes. La naturaleza de esta red social implica que las personas publiquen grandes cantidades de información en el sitio, como direcciones, números de teléfono y direcciones de correo electrónico de trabajo, que constituyen herramientas clave para el robo de identidad.

Las invitaciones de LinkedIn falsas se han convertido en una herramienta clave para los phishers y ladrones de identidad, motivo por el cual no puedes confiar en todas las invitaciones u ofertas de trabajo que recibes. Los falsos reclutadores ofrecen trabajos demasiado buenos para ser verdaderosy, vaya sorpresa, a menudo usan perfiles de mujeres atractivas, con el objetivo de recolectar datos personales o de desviar a los usuarios a sitios falsos para cosechar contraseñas e inyectar malware.

Antes de aceptar cualquier solicitud de amistad en LinkedIn, comprueba el perfil del usuario. ¿Parece real? ¿Compartes algún contacto? Si ni siquiera está relacionado contigo en segundo grado, puede haber algo sospechoso detrás.

#5 El amante que te hace muchos regalos

En los sitios de citas, las estafas son pura ingeniería social, a menudo elaboradas a lo largo de años. Los criminales perfeccionan sus engaños y operan de manera más profesional que antes. Para engañar a los “amantes” y obtener su dinero, ofrecen a sus víctimas regalos para entrar en confianza antes de recuperar su inversión con creces.

Los estafadores se toman meses para preparar un objetivo. Envían regalos y hacen que sus víctimas se sientan queridas y cuidadas, y luego les piden “una prueba de amor”. Necesitan un favor para mudarse, volver a su país, recuperar su casa, sanar a un familiar, ayudar a los damnificados por un desastre natural… cualquiera sea el pretexto, después de ganarse el corazón de su víctima le hacen una petición que implica la apertura de su billetera. Y luego desaparecen.

Así que ya sabes a qué tipos de perfil debes prestar atención para no ser víctima de engaños ni estafas mientras disfrutas de tu experiencia online en redes sociales.

Tomado de Welivesecurity

Productos Seguridad informática

Noticias Seguridad informática