martes, 4 de agosto de 2015

Parecía que en WhatsApp todo iba viento en popa tras las últimas actualizaciones y el descubrimiento de nuevas mejoras que están por llegar, pero de nuevo un fallo de seguridad vuelve a ensombrecer la historia de esta aplicación de mensajería. En esta ocasión se trata de un importante fallo detectado sólo en la versión para iPhone. Un agujero por el que terceros pueden colarse en la aplicación de mensajería más utilizada del mundo y robar las conversaciones y mensajes de un usuario.

Lo sorprendente de este caso es que la vulnerabilidad afecta directamente a la privacidad del usuario, pudiendo recoger toda la información de sus conversaciones.

Más..

Fuente: www.tuexpertoapps.com

La firma Electronica y su valor Jurídico y probatorio

Por: Héctor José García.
Gerente General de Certicámara S.A., entidad de certificación digital y autoridad de registro que provee servicios de seguridad informática.                                            
 
Las firmas electrónicas y su valor probatorio.
 
En el esquema normativo es necesario  establecer las diferencias entre firmas electrónicas como las que presentan Microsoft o Apple, las cuales  la se amparan en el decreto 2364 de 2012, tienen validez jurídica y probatoria y se presumen auténticas. Sin embargo,  ante algún hecho judicial dichas firmas electrónicas deberán demostrar su confiabilidad y apropiabilidad mediante un concepto técnico emitido por un perito o un órgano independiente y especializado, o, mediante la existencia de una auditoría especializada, periódica e independiente sobre los procedimientos, métodos o dispositivos electrónicos que una parte suministra a sus clientes o terceros como mecanismo electrónico de identificación personal.
 
Por su parte las firmas electrónicas certificadas emitidas por una autoridad de certificación digital como Certicámara, se expiden con un certificado que da fe de la confiabilidad y apropiabilidad de dichas firmas y por tanto no requiere de la comprobación de tales elementos, garantizando la autenticidad, integridad y no repudio del mensaje de datos.
 
En el mismo tal y como sucede con la normatividad de países como Perú, Ley 27269 de 2000, Argentina Decreto 427/9850, México Código de Comercio, Chile Ley 19.7999 de 2012, España Ley 59 de 2003, entre otros.
 
Fuente:www.portafolio.co
 
 
 
 
 

keezel - Este 'gadget' te permitirá navegar de forma segura (y anónima) por todo el mundo

Lo hacemos cotidianamente. Llegar a un hotel o café, abrir el portátil y conectarse al WiFi para trabajar un rato o bien echar un ojo a las redes sociales. De un vistazo, comprobamos que varios de los clientes se encuentran en la misma circunstancia, con sus rostros concentrados en el ordenador o iPad. Un gesto tan habitual, que pasa por completo desapercibido.
Y sin embargo, no somos conscientes de que involuntariamente estamos poniendo a disposición de ojos ajenos nuestra información más valiosa. Desde el momento en el que nos conectamos a una red wifi pública (piense también en aeropuertos o zonas con gran afluencia de gente), todo lo que sale de nuestro ordenador puede ser usurpado al vuelo por cualquier desalmado, y lo peor del asunto es que tampoco tiene que tratarse a la fuerza de un hacker con conocimientos avanzados. La mejor solución es la contratación de un servicio VPN, pero un emprendedor holandés propone un método mejor: un gadget que hace de red privada y que se ha convertido por méritos propios en el nuevo fenómeno del crowdfunding.
 
Nos estamos refiriendo a Keezel, un dispositivo de tamaño y formato muy similar al de un ratón y que proporciona servicios VPN a los dispositivos que queremos conectar. Pero antes de adentrarnos en los entresijos de este brillante equipo… ¿para qué sirve una red privada y por qué todos deberíamos contratar una?

Más...




martes, 5 de mayo de 2015

Protección de información en dispositivos (Parte 2)


Lejos quedan aquellos días en los que los teléfonos móviles servían mayormente para realizar llamadas y enviar mensajes de texto cortos (SMS), y como mucho, para echar unas partidillas al Snake. Hoy en día, dichos dispositivos han evolucionado para convertirse en lo más parecido posible a un ordenador personal de dimensiones reducidas, permitiendo al usuario interactuar de manera ágil con su sistema operativo para realizar muchas y diversas acciones, incluidas compras online, visualización de películas y otros contenidos, etc.

No obstante, y aunque esto pueda parecer un gran avance, lógicamente tiene también su parte negativa, y como no podría ser de otra manera para estar incluida en esta entrada, afecta a la privacidad y a la seguridad de la información almacenada en dichos dispositivos.

Y es que con la inclusión de los teléfonos móviles inteligentes (smartphone) en nuestras vidas, cada vez es más habitual que la gente almacene, de manera temporal o permanente, información personal y/o confidencial en este tipo de dispositivos. Esto, como en el caso de los ordenadores personales (ver primera parte de este artículo), puede conllevar a fugas de información. Para ello, imaginemos que una persona pretende deshacerse de uno de estos dispositivos smartphone (por ejemplo a través de una venta, donación, cesión, etc.), o bien llevarlo a reparar, y dicha persona no ha realizado un borrado correcto de sus datos personales antes de ello. Cuando una tercera persona reciba este dispositivo, y a través de unos conocimientos mínimos del sistema operativo, será capaz de acceder a toda esta información remanente, que puede incluir datos sensibles como claves de cifrado, información médica, fotográficas, vídeos, o datos de tarjetas de pago en el caso de monederos electrónicos.

Para ello, en ésta entrada daremos indicaciones de cómo realizar un borrado seguro de datos en este tipo de dispositivos antes de ceder el dispositivo a una tercera persona. Para hacerlo, nos basaremos en los Sistemas Operativos más comúnmente utilizados por los usuarios en la actualidad en dichos dispositivos: Android, iOS, Windows Phone y Blackberry OS.
Más...
 
Link relacionados:
- Protección de información en dispositivos (Parte 1)
- Protección de información en dispositivos (Parte 3)
 
 Fuente: blog.isecauditors.com

 

Energy Sector Cybersecurity Framework implementation Guidance

 
 
The US Department of Energy has released voluntary guidelines for energy companies and utilities to help them decide what steps to take to improve their cyber security posture.
 
The Energy Sector Cybersecurity Framework Implementation Guidance offers ideas for developing risk management strategies and implementing best practices.

miércoles, 19 de noviembre de 2014

Informe: La responsabilidad legal de las empresas frente a un ciberataque [ENATIC]

Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC) presento en el mes de octubre el Informe “La responsabilidad legal de las empresas frente a un ciberataque”, con motivo de la apertura del Año Digital 2014/2015 de la Abogacía Digital.

El informe fue elaborado conjuntamente entre ISMS Forum y ENATIC.

 
 
El Informe analiza pormenorizadamente, a partir de un hipotético caso de ciberataque sufrido por parte de una empresa de suministros, el marco normativo actual que regula las diferentes responsabilidades que pueden surgir a raíz de este tipo de agresiones. Son múltiples las implicaciones legales que lleva consigo un ataque de estas características y que afecta tanto a la organización que la sufre y, por extensión directa, también a sus clientes, como al proveedor de servicios Cloud, además del ente atacante y la Administración Pública.
Baste recordar algunos de los últimos y más populares ciberataques como Careto, Stuxnet, Duqu y Flame. El primero de ellos, que se sospecha podría ser español, y que operó desde el año 2007 hasta que fue detectado hace escasos días, afectó a más de 380 víctimas entre los que destacan instituciones gubernamentales, delegaciones diplomáticas, embajadas y sistemas críticos de un buen número de países, ejes estratégicos la mayoría de ellos de la política exterior española.
Stuxnet fue detectado en junio de 2010 y todo apunta que fue diseñado por Estados Unidos e Israel para atacar los sistemas SCADA (Supervisory Control And Data Adquisition), y más especialmente del programa nuclear iraní. Su sucesor fue Duqu, un malware destinado, no tanto a provocar el funcionamiento de las centrífugas utilizadas para el enriquecimiento de uranio en Irán (como sí lo era su predecesor) como para recabar importantes datos de inteligencia sobre sistemas industriales además de permitir el acceso y control remoto de éstos a sus creadores.
Por su parte, Flame ha sido definido como el ciberataque más complejo descubierto hasta el momento. Todo apunta que fue creado también por Estados Unidos e Israel y, durante dos años (2010-2012) infectó a más de cinco millares de ordenadores pertenecientes a usuarios estratégicos de países de Oriente Medio (como Arabia Saudí, Egipto, El Líbano, Israel, Siria y Sudán, además de Irán).

La ausencia de un protocolo de actuación en casos de ciberataques como éstos, sumada a la falta de conocimientos para gestionar estas crisis por parte de las organizaciones, conducen en muchas ocasiones al más estricto silencio por parte las empresas que han sido víctimas por miedo a que estos incidentes perjudiquen de algún modo su reputación.

Por este motivo, tanto ISMS Forum Spain como ENATIC reclaman una mejor definición de tipos penales en delitos informáticos y relacionados con la intimidad, además de delitos de ciberterrorismo y crimen organizado. Del mismo modo, instan a la creación de una normativa internacional armonizada que impida la existencia de los denominados ‘paraísos del cibercrimen’; y demandan una mayor y más rápida  coordinación entre los organismos competentes (policía, tribunales, etc.) a la hora de actuar contra este tipo de delitos.
Todo un conglomerado de responsabilidades e implicaciones a tener en cuenta que redundan en la imprescindible concienciación sobre los riesgos que entraña el ciberespacio tanto por parte desde las empresas privadas como de la Administración Pública, pasando por la ciudadanía en su conjunto. “Es fundamental una mayor colaboración entre instituciones como INTECO (Instituto Nacional de Tecnologías de la Comunicación) y otras similares con el mundo empresarial para impulsar un escudo no sólo personal sino también nacional. Porque estamos hablando de amenazadas globales en las que todos podemos estar implicados”, ha remarcado Carlos A. Saiz, vicepresidente de ISMS Forum Spain.
 
Fuente: ismsforum.es