martes, 21 de octubre de 2014

La primera tarjeta biométrica contactless del mundo

 
 
MasterCard y Zwipe han anunciado, tras el éxito de la prueba piloto realizada junto al banco noruego Sparebanken DIN, el lanzamiento de la primera tarjeta de pago contactless con sensor de huella dactilar integrado. Dicho sensor cuenta, gracias a la tecnología de autenticación biométrica segura de Zwipe, con un sistema de autenticación a través de la huella dactilar del titular que permite que los datos de éste –que se activan tras un sencillo escáner de la misma− se almacenen directamente en la tarjeta, no en una base de datos externa, haciéndola aún más segura.
 
La autenticación biométrica sustituye así al PIN y permite al usuario realizar pagos de cualquier importe, a diferencia del resto de tarjetas contactless que existen actualmente en el mercado. Además, suma a la tecnología biométrica la seguridad certificada EMV y la aplicación contactless de MasterCard. Precisamente el responsable de Soluciones de Seguridad de esta última compañía, Ajay Bhalla, ha comentado que “pronto deberíamos poder identificarnos sin necesidad de utilizar contraseñas o números PIN, y la autenticación biométrica es un paso importante para lograrlo”.
 
Más...
 
 
Fuente: innovacion.ticbeat.com/

viernes, 17 de octubre de 2014

DENDROID: Un sistema facilita la identificación del malware de los smartphones

Investigadores de la Universidad Carlos III de Madrid (UC3M) desarrollan una herramienta que ayuda a los analistas de seguridad a proteger a los mercados y usuarios del malware. Este sistema permite analizar grandes cantidades de apps para entender los orígenes y la familia a la que pertenecen estos programas maliciosos.
El malware es un tipo de programa malicioso cuyo objetivo es, por lo general, obtener una ganancia económica realizando acciones sin el consentimiento del usuario, como podría ser el robo de información personal o el fraude económico. Podemos encontrarlo “en cualquier tipo de dispositivo, desde teléfonos móviles tradicionales hasta los smartphones de hoy en día, incluso hasta en tu propia lavadora”, explica unos de los investigadores, Guillermo Suárez de Tangil, del departamento de Informática de la UC3M.




Con la venta masiva de smartphones en los últimos años (más que ordenadores personales en toda su historia) los desarrolladores de malware han focalizado su interés en estas plataformas. Cada vez hay más malware y este es cada vez más inteligente, por lo tanto, “los analistas de seguridad y los administradores de los mercados están desbordados y no se pueden permitir ningún control exhaustivo sobre cada app”, comenta Guillermo Suárez de Tangil. El desarrollo de este tipo de programas maliciosos ya se ha convertido en una gran industria que incorpora metodologías de reutilización de código. “No crean un programa a partir de cero, sino que confeccionan nuevas muestras a partir de componentes ya existentes”, dice.
La herramienta desarrollada por estos investigadores de la UC3M, bautizada como DENDROID y descrita en un estudio publicado en la revista Expert Systems with Applications, permite a los analistas de seguridad analizar grandes cantidades de apps para entender los orígenes de una muestra de malware y la familia a la que pertenece. Además, si no se encuentra una clasificación que concuerde directamente con una familia específica, permite extraer un árbol filogenético de la aplicación para conocer cuáles son los posibles antecesores del malware. “Los desarrolladores generalmente suelen reutilizar componentes de otros malware, y eso precisamente hace que podamos construir este mapa genético”, explica Guillermo Suárez de Tangil. Esta información permite al analista de seguridad abordar el reto de analizar muestras de malware nunca antes vistas.
Los antivirus utilizados en los smartphones usan motores de detección basados en firmas, que identifican un tipo concreto de malware a partir de alguna característica del mismo previamente observada. “Por lo cual, su eficacia está en entredicho - explica Guillermo – porque los recursos de un teléfono inteligente son mas limitados que los de un PC. Además, la alta frecuencia de nuevas piezas de malware hace imposible incorporar firmas al mismo tiempo”, indica. En cambio, la nueva herramienta que han desarrollado “ayudará al analista a proteger los mercados y que los usuarios no tengan necesidad de depender por completo de detectores en los smartphones”, concluye el investigador.
El proyecto pertenece al grupo de seguridad en las tecnologías de la información (COSEC: www.seg.inf.uc3m.es) de la UC3M que se ha especializado en este campo por su especial relevancia para la sociedad. En concreto, acaban de arrancar un proyecto sobre seguridad y privacidad en IoY (Internet of You) del Plan Nacional de Investigación.

Más información:
Título: Dendroid: A Text Mining Approach to Analyzing and Classifying Code Structures in Android Malware Families. Autores: G. Suarez-Tangil, J.E. Tapiador, P. Peris-Lopez, J. Blasco. Revista: Expert Systems With Applications. Elsevier, vol. 41:4, pp. 1104-1117 (2014). DOI: 10.1016/j.eswa.2013.07.106

Artículo en el e-Archivo de la UC3M
 

Probably the Best Free Security List in the World []

This article contains a comprehensive list of free security-related programs or web applications for Windows XP and later Windows PC-based operating systems. The few non-free programs on this list are included because they are of high merit (in our opinion) and lack a comparable free alternative. This list also includes links to webpages that contain security-related information.

This is a multi-page article. To quickly find what you want, either check out the Section Index below or view every part as one huge page by clicking Part I, Part II, Part III and Part IV.
 
Editors :
This list is maintained by volunteer editors ako, J_L, and MrBrian.


Fuente: techsupportalert.com

viernes, 10 de octubre de 2014

Querido 'hacker': antes de revelar los fallos de una empresa, consulta a tu abogado [España]

Dedicarse a buscar los fallos de seguridad de una empresa puede salir muy caro. La reforma del Código Penal de 2010 esconde una trampa para los 'hackers' éticos: hagas lo que hagas, si vulneras las medidas de seguridad establecidas y accedes a un sistema sin autorización podrás ser declarado culpable y condenado a una pena de hasta 2 años de prisión.

"Todo el mundo necesita un 'hacker'"
 
Cuanto más complejo es un código informático, más posibilidades hay de que presente alguna vulnerabilidad. Cuanto más popular o valioso es el servicio que emplea ese 'software', más interesante resulta que se localicen esos agujeros.
 
Los incentivos para detectar e incluso solucionar el fallo suelen ser de dos tipos: económicos o de prestigio y reputación. Es cierto que la reputación puede ser clave para conseguir un trabajo y, de hecho, es una de las mejores formas de reclutamiento ('show me the code': enseña lo que eres capaz de hacer), así que hay un vínculo entre uno y otro incentivo.
Los incentivos económicos para descubrir vulnerabilidades pasan, o bien por ser un trabajo remunerado directamente por la empresa (incluso por medio de concursos), o bien por usar la información adquirida para fines contrarios a los intereses de la firma (venta de ataques 0-day, chantajes, etc.)
 
 
Fuente: eldiario.es
 
 

domingo, 28 de septiembre de 2014

8 tendencias en seguridad de la información que marcarán el 2015

Digiware, primer integrador de seguridad informática de Latinoamérica, presentó su informe de tendencia para 2015 para América Latina, que cuenta con 8 puntos claves que son riesgos y problemáticas en el mundo de la seguridad de la información. Es así que recopiló la información de sus centros de operación de seguridad de la información en más de ocho mil dispositivos monitoreados en Latinoamérica, en diversos sectores como industria, comercio, retail, financiero, telecomunicaciones, gobierno, energía, salud entre otras y con la ayuda de los diferentes informes de tendencias disponibles del mercado a nivel de seguridad de la información, con el objetivo de prever las prospectivas en 2015 para la región.
 Si bien la tecnología abrió un sin número de posibilidades, también ha traído consigo brechas que facilitan riesgos y problemáticas en seguridad de la información. Aunque la mayoría de las vulnerabilidades conocidas en la actualidad son de vieja data, estas se han venido reinventando o haciéndose más específicas a medida que los sistemas de seguridad se han hecho más fuertes, pareciera entonces ser un proceso cíclico en espiral que no tiene fin.
 Es así como Digiware hace un llamado en su informe para que estemos muy atentos a la constante evolución y creatividad con la que se desarrollan nuevos riesgos, para esto ha hecho una mirada de los siguientes ocho puntos que hay que tener en consideración en el momento de hablar de seguridad de la información.

En primer lugar el informe evidenció los riesgos en la seguridad de datos en la nube, en parte porque logrando un ataque en estos centros consolidados de datos, se podrían llegar a un importante número de objetivos en un solo ataque, lo que implicaría mayor facilidad y mayor nivel de rentabilidad para el atacante.

El segundo punto considerado es la nueva era de riesgos en redes sociales profesionales para ataques dirigidos, son una predilección de los atacantes debido a su nivel de éxito, así mismo son el insumo para el desarrollo de ataques persistentes o denominados APT (AdvancedpersistentThreats).

Un tercera consideración son los vulneraciones que se enfocarán hacia eslabones débiles de la cadena como áreas administrativas, usuarios con una cultura no adecuada de seguridad, proveedores, Outsourcing, terceros o firmas conexas.

En cuarto lugar se contemplan los ataques sobre móviles, que serán un foco para el robo de dinero, en especial para transacciones financieras, entendiendo que hoy en día en el mundo, una de cada cinco transacciones es realizada de manera móvil (Celulares, Tablets, etc).

El quinto lugar, es la evolución del internet en la cosas del día a día como Smart Watch´s, Manillas inteligentes, Google Glass, dispositivos de insulina, Neveras, Carros, Casas inteligentes, entre otros, que son perfectos puntos inseguros que sirven para entrar y penetrar la seguridad de la información de las personas en busca de robo de información, fraude financiero o histerias colectivas.

El sexto punto son los sistemas de control industrial, al lograr un nuevo nivel de conectividad para estas tecnologías se han vuelto vulnerables, los riesgos pueden ser graves debido a que los PLC, de la infraestructura SCADA pueden comprometer vidas, plantas nucleares, gasoductos, oleoductos, tratamiento de aguas, redes eléctricas inclusive la sostenibilidad de los países, entre otros.

Continuando encontramos el séptimo lugar “la red profunda”, sitios donde comerciantes y compradores adquieren servicios, productos o mercancías en el mercado oculto, tales como ataques, servicios de hacking entre otros. Si bien el FBI se volvió célebre al cerrar el mercado clandestino de Silk Road, un mes después se identificó una nueva versión del sitio, así como otros asegurando mejor su anonimato, en este sentido no podemos dejar de mencionar que la red oscura más conocida TheOnionRouter (TOR), que oculta el origen y el destino de los archivos compartidos, de manera tal que no es posible acceder al contenido publicado en la red profunda mediante la infraestructura de internet público.

Y por último en un octavo lugar y una de las amenazas latentes es la tecnología NFC, que permite intercambiar la información juntando físicamente dos dispositivos, siendo masificada para el intercambio comercial en el mundo, de hecho en Chile está adaptando este protocolo de comunicación para facilitar el pago de servicios como restaurantes, centro comerciales, entre otros.
 
 

martes, 19 de agosto de 2014

Generador de contraseñas OnLine

Cuando requiera crear o verificar contraseñas fuertes puede usar el generador de contraseñas de Norton Identity Safe (servicio online / free), el cual permite  crear contraseñas sumamente seguras difíciles de descifrar o adivinar. 

Seleccione los criterios para las contraseñas que necesite y haga clic en "Generar contraseñas". Recuerde que, cuantas más opciones se elijan, más seguras serán las contraseñas.

¿Usa alguna de estas contraseñas inadecuadas?

  • Contraseña
  • 123456
  • qwerty
  • Nombre de su hijo
  • Siempre la misma

¿Por qué esto es inadecuado?

  • Son fáciles de adivinar o descifrar. Muy fáciles.
  • Si un sitio está en peligro, un hacker tiene acceso a todos los servicios.