martes, 5 de mayo de 2015

Protección de información en dispositivos (Parte 2)


Lejos quedan aquellos días en los que los teléfonos móviles servían mayormente para realizar llamadas y enviar mensajes de texto cortos (SMS), y como mucho, para echar unas partidillas al Snake. Hoy en día, dichos dispositivos han evolucionado para convertirse en lo más parecido posible a un ordenador personal de dimensiones reducidas, permitiendo al usuario interactuar de manera ágil con su sistema operativo para realizar muchas y diversas acciones, incluidas compras online, visualización de películas y otros contenidos, etc.

No obstante, y aunque esto pueda parecer un gran avance, lógicamente tiene también su parte negativa, y como no podría ser de otra manera para estar incluida en esta entrada, afecta a la privacidad y a la seguridad de la información almacenada en dichos dispositivos.

Y es que con la inclusión de los teléfonos móviles inteligentes (smartphone) en nuestras vidas, cada vez es más habitual que la gente almacene, de manera temporal o permanente, información personal y/o confidencial en este tipo de dispositivos. Esto, como en el caso de los ordenadores personales (ver primera parte de este artículo), puede conllevar a fugas de información. Para ello, imaginemos que una persona pretende deshacerse de uno de estos dispositivos smartphone (por ejemplo a través de una venta, donación, cesión, etc.), o bien llevarlo a reparar, y dicha persona no ha realizado un borrado correcto de sus datos personales antes de ello. Cuando una tercera persona reciba este dispositivo, y a través de unos conocimientos mínimos del sistema operativo, será capaz de acceder a toda esta información remanente, que puede incluir datos sensibles como claves de cifrado, información médica, fotográficas, vídeos, o datos de tarjetas de pago en el caso de monederos electrónicos.

Para ello, en ésta entrada daremos indicaciones de cómo realizar un borrado seguro de datos en este tipo de dispositivos antes de ceder el dispositivo a una tercera persona. Para hacerlo, nos basaremos en los Sistemas Operativos más comúnmente utilizados por los usuarios en la actualidad en dichos dispositivos: Android, iOS, Windows Phone y Blackberry OS.
Más...
 
Link relacionados:
- Protección de información en dispositivos (Parte 1)
- Protección de información en dispositivos (Parte 3)
 
 Fuente: blog.isecauditors.com

 

Energy Sector Cybersecurity Framework implementation Guidance

 
 
The US Department of Energy has released voluntary guidelines for energy companies and utilities to help them decide what steps to take to improve their cyber security posture.
 
The Energy Sector Cybersecurity Framework Implementation Guidance offers ideas for developing risk management strategies and implementing best practices.

miércoles, 19 de noviembre de 2014

Informe: La responsabilidad legal de las empresas frente a un ciberataque [ENATIC]

Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC) presento en el mes de octubre el Informe “La responsabilidad legal de las empresas frente a un ciberataque”, con motivo de la apertura del Año Digital 2014/2015 de la Abogacía Digital.

El informe fue elaborado conjuntamente entre ISMS Forum y ENATIC.

 
 
El Informe analiza pormenorizadamente, a partir de un hipotético caso de ciberataque sufrido por parte de una empresa de suministros, el marco normativo actual que regula las diferentes responsabilidades que pueden surgir a raíz de este tipo de agresiones. Son múltiples las implicaciones legales que lleva consigo un ataque de estas características y que afecta tanto a la organización que la sufre y, por extensión directa, también a sus clientes, como al proveedor de servicios Cloud, además del ente atacante y la Administración Pública.
Baste recordar algunos de los últimos y más populares ciberataques como Careto, Stuxnet, Duqu y Flame. El primero de ellos, que se sospecha podría ser español, y que operó desde el año 2007 hasta que fue detectado hace escasos días, afectó a más de 380 víctimas entre los que destacan instituciones gubernamentales, delegaciones diplomáticas, embajadas y sistemas críticos de un buen número de países, ejes estratégicos la mayoría de ellos de la política exterior española.
Stuxnet fue detectado en junio de 2010 y todo apunta que fue diseñado por Estados Unidos e Israel para atacar los sistemas SCADA (Supervisory Control And Data Adquisition), y más especialmente del programa nuclear iraní. Su sucesor fue Duqu, un malware destinado, no tanto a provocar el funcionamiento de las centrífugas utilizadas para el enriquecimiento de uranio en Irán (como sí lo era su predecesor) como para recabar importantes datos de inteligencia sobre sistemas industriales además de permitir el acceso y control remoto de éstos a sus creadores.
Por su parte, Flame ha sido definido como el ciberataque más complejo descubierto hasta el momento. Todo apunta que fue creado también por Estados Unidos e Israel y, durante dos años (2010-2012) infectó a más de cinco millares de ordenadores pertenecientes a usuarios estratégicos de países de Oriente Medio (como Arabia Saudí, Egipto, El Líbano, Israel, Siria y Sudán, además de Irán).

La ausencia de un protocolo de actuación en casos de ciberataques como éstos, sumada a la falta de conocimientos para gestionar estas crisis por parte de las organizaciones, conducen en muchas ocasiones al más estricto silencio por parte las empresas que han sido víctimas por miedo a que estos incidentes perjudiquen de algún modo su reputación.

Por este motivo, tanto ISMS Forum Spain como ENATIC reclaman una mejor definición de tipos penales en delitos informáticos y relacionados con la intimidad, además de delitos de ciberterrorismo y crimen organizado. Del mismo modo, instan a la creación de una normativa internacional armonizada que impida la existencia de los denominados ‘paraísos del cibercrimen’; y demandan una mayor y más rápida  coordinación entre los organismos competentes (policía, tribunales, etc.) a la hora de actuar contra este tipo de delitos.
Todo un conglomerado de responsabilidades e implicaciones a tener en cuenta que redundan en la imprescindible concienciación sobre los riesgos que entraña el ciberespacio tanto por parte desde las empresas privadas como de la Administración Pública, pasando por la ciudadanía en su conjunto. “Es fundamental una mayor colaboración entre instituciones como INTECO (Instituto Nacional de Tecnologías de la Comunicación) y otras similares con el mundo empresarial para impulsar un escudo no sólo personal sino también nacional. Porque estamos hablando de amenazadas globales en las que todos podemos estar implicados”, ha remarcado Carlos A. Saiz, vicepresidente de ISMS Forum Spain.
 
Fuente: ismsforum.es

 

martes, 21 de octubre de 2014

La primera tarjeta biométrica contactless del mundo

 
 
MasterCard y Zwipe han anunciado, tras el éxito de la prueba piloto realizada junto al banco noruego Sparebanken DIN, el lanzamiento de la primera tarjeta de pago contactless con sensor de huella dactilar integrado. Dicho sensor cuenta, gracias a la tecnología de autenticación biométrica segura de Zwipe, con un sistema de autenticación a través de la huella dactilar del titular que permite que los datos de éste –que se activan tras un sencillo escáner de la misma− se almacenen directamente en la tarjeta, no en una base de datos externa, haciéndola aún más segura.
 
La autenticación biométrica sustituye así al PIN y permite al usuario realizar pagos de cualquier importe, a diferencia del resto de tarjetas contactless que existen actualmente en el mercado. Además, suma a la tecnología biométrica la seguridad certificada EMV y la aplicación contactless de MasterCard. Precisamente el responsable de Soluciones de Seguridad de esta última compañía, Ajay Bhalla, ha comentado que “pronto deberíamos poder identificarnos sin necesidad de utilizar contraseñas o números PIN, y la autenticación biométrica es un paso importante para lograrlo”.
 
Más...
 
 
Fuente: innovacion.ticbeat.com/

viernes, 17 de octubre de 2014

DENDROID: Un sistema facilita la identificación del malware de los smartphones

Investigadores de la Universidad Carlos III de Madrid (UC3M) desarrollan una herramienta que ayuda a los analistas de seguridad a proteger a los mercados y usuarios del malware. Este sistema permite analizar grandes cantidades de apps para entender los orígenes y la familia a la que pertenecen estos programas maliciosos.
El malware es un tipo de programa malicioso cuyo objetivo es, por lo general, obtener una ganancia económica realizando acciones sin el consentimiento del usuario, como podría ser el robo de información personal o el fraude económico. Podemos encontrarlo “en cualquier tipo de dispositivo, desde teléfonos móviles tradicionales hasta los smartphones de hoy en día, incluso hasta en tu propia lavadora”, explica unos de los investigadores, Guillermo Suárez de Tangil, del departamento de Informática de la UC3M.




Con la venta masiva de smartphones en los últimos años (más que ordenadores personales en toda su historia) los desarrolladores de malware han focalizado su interés en estas plataformas. Cada vez hay más malware y este es cada vez más inteligente, por lo tanto, “los analistas de seguridad y los administradores de los mercados están desbordados y no se pueden permitir ningún control exhaustivo sobre cada app”, comenta Guillermo Suárez de Tangil. El desarrollo de este tipo de programas maliciosos ya se ha convertido en una gran industria que incorpora metodologías de reutilización de código. “No crean un programa a partir de cero, sino que confeccionan nuevas muestras a partir de componentes ya existentes”, dice.
La herramienta desarrollada por estos investigadores de la UC3M, bautizada como DENDROID y descrita en un estudio publicado en la revista Expert Systems with Applications, permite a los analistas de seguridad analizar grandes cantidades de apps para entender los orígenes de una muestra de malware y la familia a la que pertenece. Además, si no se encuentra una clasificación que concuerde directamente con una familia específica, permite extraer un árbol filogenético de la aplicación para conocer cuáles son los posibles antecesores del malware. “Los desarrolladores generalmente suelen reutilizar componentes de otros malware, y eso precisamente hace que podamos construir este mapa genético”, explica Guillermo Suárez de Tangil. Esta información permite al analista de seguridad abordar el reto de analizar muestras de malware nunca antes vistas.
Los antivirus utilizados en los smartphones usan motores de detección basados en firmas, que identifican un tipo concreto de malware a partir de alguna característica del mismo previamente observada. “Por lo cual, su eficacia está en entredicho - explica Guillermo – porque los recursos de un teléfono inteligente son mas limitados que los de un PC. Además, la alta frecuencia de nuevas piezas de malware hace imposible incorporar firmas al mismo tiempo”, indica. En cambio, la nueva herramienta que han desarrollado “ayudará al analista a proteger los mercados y que los usuarios no tengan necesidad de depender por completo de detectores en los smartphones”, concluye el investigador.
El proyecto pertenece al grupo de seguridad en las tecnologías de la información (COSEC: www.seg.inf.uc3m.es) de la UC3M que se ha especializado en este campo por su especial relevancia para la sociedad. En concreto, acaban de arrancar un proyecto sobre seguridad y privacidad en IoY (Internet of You) del Plan Nacional de Investigación.

Más información:
Título: Dendroid: A Text Mining Approach to Analyzing and Classifying Code Structures in Android Malware Families. Autores: G. Suarez-Tangil, J.E. Tapiador, P. Peris-Lopez, J. Blasco. Revista: Expert Systems With Applications. Elsevier, vol. 41:4, pp. 1104-1117 (2014). DOI: 10.1016/j.eswa.2013.07.106

Artículo en el e-Archivo de la UC3M
 

Probably the Best Free Security List in the World []

This article contains a comprehensive list of free security-related programs or web applications for Windows XP and later Windows PC-based operating systems. The few non-free programs on this list are included because they are of high merit (in our opinion) and lack a comparable free alternative. This list also includes links to webpages that contain security-related information.

This is a multi-page article. To quickly find what you want, either check out the Section Index below or view every part as one huge page by clicking Part I, Part II, Part III and Part IV.
 
Editors :
This list is maintained by volunteer editors ako, J_L, and MrBrian.


Fuente: techsupportalert.com