Manual del Instructor en Seguridad de la Información (Ver.1)

Como se había informado en el Post, ArCert publico en el Día Internacional de la Seguridad Informática el "Manual del Instructor en Seguridad de la Información".

Este manual fue elaborado con el propósito de ayudarlo a desarrollar una propuesta de capacitación y/o concientización en Seguridad de la Información. Comprende el desarrollo de contenidos informáticos, diapositivas para utilizar en las presentaciones y actividades y recursos para la enseñanza.

Se espera que resulte de utilidad para impulsar en las organizaciones el uso responsable de la Información y de los sistemas y recursos que operan con ella.

Descarga del Manual

( 8 archivos, ZIP 3.22MB) - MD5: f7fdda90a6d51b2a66d8709bcde7467b

Organizaciones de Seguridad de la Informacion

Como parte de las actividades que se realizan por el "Computer Security Day 2007 ", Cryptex publica las principales organizaciones relacionadas con la Seguridad de la Información:

• ArCert - Coordinación de Emergencias en Redes Teleinformáticas (Argentina)
  
• BASIC - British American Security Information Council
  
• CERT - Computer Emergency Response team
  
• CERIAS - Center for Education and Research in Information Assurance and Security
  
• CREST - Council of Registered Ethical Security Testers
  
• CIAC - Computer Incident Advisory Capability
  
• Clcert - Grupo de Respuesta a Incidentes de Seguridad Computacional (Chile)
  
• Criptored - Red Temática Iberoamericana de Criptografía y Seguridad de la Información
  
• Computer Security Day
  
• CRSC - Computer Security Resource Clearinghouse
  
• CSI - Computer Security Institute
  
• CSSIA - Center for Systems Security and Information Assurance
  
• EsCert - Equipo de Seguridad para laCoordinación de Emergenciasen Redes Telemáticas
  
• FedCIRC - Federal Computer Incident Response Capability
  
• FIRST - Forum of Incident Response and Security Teams
  
• GIAC - Global Information Assurance Certification
  
• IAPP - International Association of Privacy Professionals (asociación que reúne al mayor número de profesionales en materia de privacidad a nivel mundial)
  
• IISP - Institute of Information Security Professionals
  
• Information Security Auditing
  
• INTECO-CERT - Centro de Respuesta a Incidentes en TI para PYMES y Ciudadanos (España)
  
• ISACA - Information Systems Audit and Control Association
  
• (ISC)2 - International Information Systems Security Certification Consortium
  
• ISECA - Association for Information Security
  
  
• ISSA - Information Systems Security Association, Inc.
  
• ISO - International Organization for Standardization
  
• ITAA -Information Technology Association of America
  
• OISSG - Open Information Systems Security Group
  
• SANS - System Administration, Networking and Security
  
• Security Focus
  
• US-CERT - United States Computer Emergency Readiness Team

Día Internacional de la Seguridad en Cómputo (Mexico)

El Día Internacional de la Seguridad en Cómputo (DISC) surgió en el año de 1988 convocado por la Association for Computing Machinery (ACM) con el propósito de incrementar el nivel de conciencia en relación a los problemas de la seguridad en cómputo, y ha sido con el paso de los años que ha ido aumentando en interés mundial, siendo impulsando también a nivel Latinoamérica, y fue a partir del año 1994, que en México se ha celebrado este evento a través de la Universidad Nacional Autónoma de México.

Con esta iniciativa, la UNAM celebra uno de los Congresos de mayor reconocimiento en el campo de la seguridad informática y es convocado oficialmente por el Departamento de Seguridad en Cómputo/UNAM-CERT de la Dirección General de Servicios de Cómputo Académico, organismo autorizado en México para esta celebración.

En esta décima tercera emisión, a conmemorarse hoy 30 de noviembre de 2007, el tema principal es...

"Es tiempo de actuar"

Éste se refiere a que todos los involucrados en el uso de sistemas de cómputo debemos actuar de manera activa y proactiva para mejorar la seguridad de nuestro ambiente informático.
Hoy en día, como usuarios de cómputo, recae en nosotros la responsabilidad de mantener protegida la información y recursos de nuestra organización, lo que podemos lograr a través de la toma de acciones que ayuden a fortalecer nuestra seguridad.
Es tiempo de actuar y de promover la cultura de la seguridad informática en todos los niveles de cómputo.

Computer Security Day - Poster 2007

Computer Security Day

Como se publico en el post, hoy 30/noviembre es el "Computer Security Day".

Como parte de las actividades que forman la campaña de concientización y capacitación se presento el poster 2007:

Para los interesados en solicitar un free poster registrarse en el formulario.
También se genero un calendario 2008:

Descarga: 11" x 17" (PDF) o 8-1/2" x 11" (PDF)

SANS Top-20 2007 Security Risks (Annual Update)

28 de Noviembre, SANS publico la Versión 8.0 del reporte anual sobre los 20 riesgos más importantes a la seguridad en Internet, denominada "Top 20 2007 Security Risks (Annual Update)".

Entre los distintos comentarios que se publicaron del reporte podemos mencionar el articulo escrito por Angela Ruiz en el boletín "VSantivirus" del día de hoy:

Una de las mayores vulnerabilidades de seguridad en computadoras y redes, es el propio usuario. De acuerdo con el reporte anual del SANS Institute sobre los 20 riesgos más importantes a la seguridad en Internet, "los usuarios que son fácilmente engañados" y las aplicaciones creadas a medida, están en los primeros puestos como los principales objetivos para los atacantes.
En el informe se citan varias historias basadas en eventos auténticos, que ilustran las implicancias del "mundo real" en los retos actuales de la seguridad.
En un caso, cientos de altos funcionarios federales y directivos de empresas, visitaron un sitio político infectado, y todas sus computadoras se convirtieron en máquinas zombis.
En un caso, cientos de altos funcionarios federales y directivos de empresas, visitaron un sitio político infectado, y todas sus computadoras se convirtieron en máquinas zombis.
Keylogers instalados en sus equipos, capturaron nombres de usuario y contraseñas de sus cuentas bancarias y otra información financiera, y enviaron todo ello a cibercriminales de varios países. Mucho dinero y datos críticos fueron perdidos.
En otro caso, un adolescente simplemente visitó una página de Internet con una versión no actualizada de un reproductor multimedia. Un video se abrió apenas el joven entró al sitio, mientras un keylogger (capturador de la salida del teclado), se instalaba en su equipo sin su conocimiento. Es el mismo equipo que su padre utiliza para manejar sus cuenta bancarias en línea.
La cuenta fue literalmente vaciada por los atacantes. A pesar de que el banco más tarde compensara en parte las pérdidas, los investigadores descubrieron que el dinero fue a parar a un grupo de terroristas suicidas en medio oriente.
En un tercer caso, una aplicación hecha a medida tenía un error de programación que permitía a los delincuentes acceder a los registros privados de los pacientes de un hospital. El hospital fue extorsionado a pagar una suma de dinero para evitar que los registros se hicieran públicos en Internet.

Estas y otras historias ilustran el informe del SANS que intenta mostrar el panorama actual de la seguridad informática. El mismo es la creación de un trabajo colectivo de cuarenta y tres expertos en seguridad, pertenecientes a gobiernos, industrias e instituciones académicas de varios países.
En el panorama que presenta el informe del SANS, se destacan los continuos asaltos de programas automatizados en busca de vulnerabilidades. De hecho, el Internet Storm Center, el sistema de alertas tempranas del SANS, informó que "una computadora recién conectada a Internet, puede ser atacada de inmediato, y no llegará a sobrevivir más de cinco minutos si no fue debidamente configurada o protegida antes de conectarse."
Alan Paller, director de investigaciones del SANS, dice que muchas aplicaciones web personalizadas, son programadas sin tener en cuenta los requisitos de seguridad necesarios.
"Hasta que los colegios que enseñan programación y las empresas que contratan a los programadores, garanticen que los desarrolladores dominan la codificación segura", dijo, "seguirán existiendo importantes vulnerabilidades en casi la mitad de todas las aplicaciones web."

El informe sugiere algunas formas de defensas acerca de las aplicaciones que pueden permitir que un sitio pueda comprometer la información de las computadoras o infectarlas.
La mejor defensa es la utilización de cortafuegos y antivirus, educar a los usuarios para sensibilizarlos en cuestiones de seguridad, y entrenar al personal de las empresas para detectar síntomas como un aumento imprevisto en el tráfico de la red.
Otros riesgos señalados en el informe, incluyen dispositivos no autorizados (memorias USB por ejemplo), y el uso indebido de programas de intercambio de archivos. El informe indica que en general, las mejores prácticas deben incluir la configuración de los sistemas para prevenir la instalación no autorizada de software, el uso de proxys, el cifrado de los datos sensibles, y la prueba exhaustiva en un ambiente controlado, de cualquier software antes de ser instalado en la red de la compañía.

Top-20 2007 Security Risks

• Client-side Vulnerabilities in:
  C1. Web Browsers
  C2. Office Software
  C3. Email Clients
  C4. Media Players


• Server-side Vulnerabilities in:
  S1. Web Applications
  S2. Windows Services
  S3. Unix and Mac OS Services
  S4. Backup Software
  S5. Anti-virus Software
  S6. Management Servers
  S7. Database Software


• Security Policy and Personnel:
  H1. Excessive User Rights and Unauthorized Devices
  H2. Phishing/Spear Phishing
  H3. Unencrypted Laptops and Removable Media


• Application Abuse:
  A1. Instant Messaging
  A2. Peer-to-Peer Programs


• Network Devices:
  N1. VoIP Servers and Phones


• Zero Day Attacks:
  Z1. Zero Day Attacks

Resumen Ejecutivo

Cumplir con PCI-DSS en España (si yo fuera un comercio)

Aquel viejo lema de los años sesenta de "Spain is different" que parecía teníamos olvidado resurge con fuerza a la hora de hablar del cumplimiento de PCI-DSS en España.
Llevamos 2 años convencidos de que es una normativa que acabará llegando, pero lo cierto es que hoy por hoy es una dura pugna a 4 bandas: las marcas de tarjetas, las entidades financieras, los comercios y el PCI Security Standards Council. Y entre todos, no se ponen de acuerdo para hacer que se cumpla con este estándar en nuestro país, cuando en el resto del "primer mundo" es una realidad e incluso en algunos estados norteamericanos se ha convertido en Ley.

También es verdad que en España, la red de tarjetas es particular con tres grandes players: Euro 6000, Servired y Sistema4b que, a su vez, representan tanto a las entidades financieras como a las principales marcas de tarjetas. Esta situación es diferente a la existente en cualquier otro país del mundo y, quizás, es lo que puede estar en el origen de la dificultad para la aplicación efectiva del estándar en España.
En esta situación hay un grupo importante de afectados, los comercios (los 'service providers' es algo similar) que deben encontrarse totalmente desorientados. Por una parte oye rumores (y ya se sabe, "cuando el río suena..."), pero cuando pregunta a su interlocutor, a su banco (entidad adquirente), le llegan mensajes de tranquilidad: "eso a vosotros no os afecta", "eso todavía no es obligatorio", etc., etc... en fin, todo un cruce de caminos.

Pero claro, cumplir con el estándar no es trivial: 12 grandes requerimientos que cubren todos los aspectos de la seguridad (a modo de ISO 27002 con un alcance limitado a los sistemas que tratan de titulares de tarjetas) y una gran prohibición: el almacenamiento de datos confidenciales del plástico. Todo esto, aderezado con la obligación de realizar auditorías insitu anuales y/o escaneos de vulnerabilidades trimestrales en función del número de transacciones que realices. Me imagino a algunos de vosotros teniendo un déjà vu y pensando: "¿Esto no es lo mismo que con los datos de carácter personal?". Pues sí, prácticamente lo mismo, con la diferencia de que no tenemos que cumplir porque lo diga una Ley, sino porque lo establecen las cláusulas de un contrato.

Además, está ocurriendo lo mismo: Cuando se publicó la Ley en 1992, sólo unos pocos se preocuparon por aquel artículo que hablaba de la obligación de establecer medidas de seguridad y tuvieron que pasar 7 años, hasta que en 1999 se publicó el Reglamento con dichas medidas de seguridad (y que incluía, que incluye, la obligación de pasar una auditoría) y la Agencia de Protección de Datos (por aquel entonces) se puso dura con el tema, para que todos empezáramos a tomarnos este tema en serio (supongo que por las sanciones).

Pues bien, con PCI-DSS, ocurrirá lo mismo. Todos sabemos que el tema del compliance es una cuestión de elegir bien una estrategia de cumplimiento en línea con los objetivos de la organización. En la mayor parte de los casos (por desgracia) no se ve la seguridad como un driver de negocio, sino como un reductor de costes con una probabilidad incierta y, claro está, ante esta situación, cuanto más improbable sea el coste del incumplimiento, más raro será que algún comercio se decida a abordar el cumplimiento con PCI-DSS de una forma seria.
Ahora bien, en cuanto esta situación cambie, y la probabilidad del coste del incumplimiento aumente y se parezca más a un hecho cierto, entonces será normal abordar el cumplimiento con PCI-DSS puesto que éste, siempre será inferior que el coste del incumplimiento.
Evidentemente, esto es distinto en el caso de los 'service providers' que deben cumplir con el estándar para poder seguir prestando servicios, en este caso, es obvio que el cumplimiento con PCI-DSS se convierte en una cuestión de negocio y, por tanto, explica por qué hasta ahora, la mayoría de nuestros proyectos en este ámbito están relacionados con este tipo de actores.

Para concluir, si yo fuera un comercio, ¿qué haría? Muy sencillo, preguntar a mi banco. Las entidades financieras serían las destinatarias de las penalizaciones impuestas por las marcas de tarjeta (a menos que aceptemos tarjetas tipo American Express) por lo que han de ser ellas las que marquen el tempo del cumplimiento. Evidentemente, yo me iría preparando, y actuaría como en el caso de cualquier normativa: Analizaría mi grado actual de cumplimiento y evaluaría el coste del cumplimiento para ir planificando la implantación de todas aquellas medidas o ir realizando los cambios necesarios en la operativa para que, llegado el momento, no tuviera problemas para demostrar mi cumplimiento con el estándar (como hoy va de refranes, uno más: "Hombre/mujer precavid@ vale por dos")...
Porque una cosa es evidente, más TEMPRANO que tarde vamos a tener que CUMPLIR con PCI-DSS.
Antonio Ramos, Director de Consultoría

Via blog.s21sec.com

Consejos de Implementación y Métricas de ISO/IEC 27001 y 27002

El "ISO27k implementers' forum", grupo con más de 700 miembros tiene entre sus objetivos crear un conjunto de documentos prácticos para la implantación de un SGSI.

Entre estos documentos, se puso a disposición pública hace unos meses una guía en inglés de implementación y métricas por cada uno de los 39 objetivos de control de ISO 27002.

Esta guía ha sido traducida al español por www.iso27000.es/, el documento de 14 paginas tiene como titulo "Consejos de Implementación y Métricas de ISO/IEC 27001 y 27002" y se encuentra a disposición pública en www.iso27001security.com/ en formatos de .pdf (105 Kb) y .rtf (633 Kb) y está licenciada bajo licencia Creative Commons Attribution-Noncommercial-Share Alike 3.0

Via iso27001.es

Las tarjetas de pago exigen más seguridad a la venta electrónica

España, MERCÈ MOLIST 22/11/2007
El comercio electrónico está viviendo una carrera de adaptación similar al cambio de moneda en 2000. Bancos, tiendas y pasarelas que almacenan datos bancarios deben cumplir antes del 1 de enero un nuevo estándar de seguridad, dictado por las principales firmas de tarjetas de pago. En caso contrario, no podrán usar estas plataformas para comercializar sus productos.

La razón de esta medida radica en una práctica común, pero peligrosa, del comercio electrónico, explica Simon Perry, vicepresidente de Gestión de Seguridad de Computer Associates (CA): "Cuando compras con tarjeta en Internet, la tienda guarda tus datos para que la próxima vez no tenga que pedírtelos y sea más fácil para el cliente. El problema es que así se crean bases de datos con información de cientos de miles de tarjetas, muy apetecibles para los delincuentes".

Los robos de estas bases de datos han sido una práctica habitual en los últimos años y un secreto a voces que las empresas se han negado a publicitar. Esto cambió en 2005, cuando el Estado norteamericano de California aprobó la Ley de Información de Brechas de Seguridad, que obligaba a notificar a los clientes los robos de información personal.
Con la ley, aumentaron exponencialmente las noticias sobre compromisos de bases de datos y también la desconfianza de los consumidores, explica Perry: "A la gente le preocupa cada vez más la seguridad al comprar en Internet, y esto se ha convertido en un importante problema empresarial que ahora las compañías empiezan a reconocer".

Diversas encuestas realizadas por CA confirman esta sensación, también en Europa, explica Perry: "Las decisiones de compra electrónica de los consumidores más educados y que gastan más se basan sobre todo en la confianza en que el sitio sabrá guardar sus datos, convirtiéndose así en uno de los principales motivos de compra".
Conocedoras de la situación, las principales firmas de tarjetas de pago, como American Express, Visa, MasterCard, Discover Financial Services y JCB, han creado el Estándar de Seguridad de los Datos de la Industria de Pago con Tarjeta (PCI DSS son sus siglas en inglés), de obligado cumplimiento en 2008.

Normas básicas
El estándar establece normas básicas para estas bases de datos bancarios: además de los habituales antivirus, cortafuegos y parches de seguridad, los datos deben ser cifrados y los accesos a la máquina, controlados y grabados, para que los que la usen estén claramente identificados.
Las penalizaciones por no homologarse van desde multas hasta la retirada del permiso para usar estas tarjetas de pago. Muchas empresas han esperado hasta el último momento, lo que ha hecho que desde las grandes consultoras internacionales hasta las pequeñas estén trabajando a destajo en ponerlas a punto.

Aunque la medida no afecta sólo al comercio por Internet sino a cualquier compañía que almacene datos bancarios en formato electrónico, está especialmente dirigida a aumentar la seguridad del primero. Algo muy necesario, según Perry: "De las muchas empresas que he auditado, todas tenían algo que arreglar, a pesar de que las medidas que requiere el estándar son de seguridad muy básica".
Para este ejecutivo, "lo que pone los pelos de punta es que en Europa no haya una ley que obligue a las empresas a informar de estos robos. Aunque se ha pedido y discutido en la Comisión Europea, sigue sin haber nada porque a las compañías les preocupa la pérdida de reputación. Mi opinión es: dejen de discutir y háganlo".

Via El Pais.com

Firefox 2.0.0.10 - Actualización

What's New in Firefox 2.0.0.10


Release Date: November 26, 2007
Security Update: The following security issues were fixed.

La actualizacion soluciona tres problemas:

• MFSA 2007-39 Referer-spoofing via window.location race condition
• MFSA 2007-38 Memory corruption vulnerabilities (rv:1.8.1.10)
• MFSA 2007-37 JAR Protocol: URI scheme XSS hazard
  
  
  Para los interesados en participar de los test de la nueva version, acceder al siguiente link: Firefox 3 Beta 1 now available for download.

FireCAT version 1.3 released (Firefox Catalog of Auditing exTensions)

Cambios de FireCAT version 1.3 released

• Category Information Gathering (Googling and Spidering).GSI Google Site indexer (GSI Creates Site Maps based on Google queries. Useful for both Penetration Testing and Search Engine Optimization. GSI sends zero packets to the host making it anonymous) (Thanks to Jeff Stewart)
• Category Information Gathering (Data mining)
  Who is this person (Highlight any name on a web page and see matching information from Wink, LinkedIn, Wikipedia, Facebook, Google News, Technorati, Yahoo Person Search, Spock, WikiYou, ZoomInfo, IMDB, MySpace and more...)
  FaceBook Toolbar (Search Facebook from anywhere The Search Box allows you to easily search Facebook no matter)
• Category Information Gathering (Location info)
  Router Status (Shows the current status of your router in the status bar and allows you to control it)
• Category Security Auditing
  XSS-Me (the Exploit-Me tool used to test for reflected Cross-Site Scripting (XSS) vulnerabilities)
  SQL Inject-Me (the Exploit-Me tool used to test for SQL Injection vulnerabilities)
  FireWatir (Watir is a simple open-source library for automating web browsers. It allows you to write tests that are easy to read and easy to maintain. It is optimized for simplicity and flexibility)
• Category Network utilities (Database)
  SQLite Manager (Manage any SQLite database on your computer.)

- Special greetings to Jonathan Danylko from dcs-media who suggested us to release a Hacker Guide for FireCAT. Well, it is a wonderful idea and guess what ! We are working on it. Anyway, If you got videos, articles about the extensions highlighted in FireCAT, let us know.
- Thanks for Claus Valca for writing an article about FireCAT.

Articulos relacionado y descarga de las herramientas
. FireCAT (Firefox Catalog of Auditing exTensions)
. FireCAT 1.3 Pdf (PDF - 176.4 kb)
. FireCAT 1.3 .mm source (Zip - 4.3 kb)
. Firecat 1.3 Browsable HTML (Zip - 37 kb)

Link relacionado:
Usando Firefox como framework para pen-testing

Vulnerability Assessment 2007 (Products Tested)

La revista "SC Magazine" publico este año una evaluación de distintos productos especializados en el análisis de vulnerabilidades, para los que les gusta ver las virtudes y comentarios les recomendamos darle una lectura al articulo "Vulnerability assessment 2007" (Ingles)

This month we looked at vulnerability assessment and penetration test tools. The leading difference between last year’s tests and this year’s is that this year we saw more hybrid products that offered both vulnerability scanning and penetration testing. We also reviewed a passive scanner for the first time and saw a lot more attention to meeting regulatory requirements, especially in the payment card industry

Productos testeados:

• Core Impact 6.0
• eEye REM Security Manager
• ISS Proventia Network
• NetClarity Branch Auditor 5.0
• Rapid7 NeXpose
• Saint Scanner + Exploit
• StillSecure VAM
• Tenable Nessus 3
• Tenable Network Security Passive Vulnerability Scanner

Summary
At between $2,000 and $4,000 for the appliance, plus $25,000 for a class C license, Rapid7 Nexpose is not cheap. But it delivers a lot of bang for the buck and we rate it our Best Buy in the hybrid class. In the scanner-only class, we rate NetClarity’s Branch Auditor 5.0 a Best Buy for its powerful performance, ease of use and excellent documentation. We rate Saint Scanner + Exploit Recommended for its useful combination of scanner and penetration tool. Support is first rate with Core Impact 6.0 from Core Security Technologies. Although the product seems pricey at $25,000, that license covers an unlimited range of IP addresses. We rate Core Impact as Lab Approved for its comprehensive capability in a production environment, performance and ease of use.

Articulo completo

Humor: Spammed

Jornadas gratuitas sobre Factura Electrónica (España)

A partir del día 4 de diciembre, tendrá lugar unas jornadas sobre Facturación Electrónica, convocada e impartida por expertos de ASIMELEC en España (Malaga, Burgos, Cantabria y Sevilla).

AGENDA Malaga

9:00 Recepción de los asistentes y entrega de la documentación
9:30 APERTURA INSTITUCIONAL

9:45 LA REGULACIÓN NORMATIVA DE LA FACTURACIÓN ELECTRÓNICA EN ESPAÑA
- Real Decreto 1496/2003, de 28 de noviembre: Modificaciones a tener en cuenta respecto a la normativa anterior de facturación
- RD 87/2005, que modifica el tratamiento de las facturas rectificativas.
- Orden EHA /962/2007, cierra con sus aclaraciones la normativa sobre facturación electrónica

10:00 NOVEDADES IMPORTANTES DE LA NUEVA NORMATIVA DE FACTURACIÓN
Contenido de la factura. Documentos sustitutivos de las facturas. Tipos de Facturas y su tratamiento electrónico: Normal, Rectificativa, Recapitulativa, Electrónica Tratamiento de las series para los diferentes procedimientos de facturación. Deberes del emisor de facturas. Deberes del receptor de facturas. Auto factura y facturación por terceros. Requisitos esenciales de la factura electrónica.
11:00 Coffee-Break

11:30 LA FIRMA ELECTRÓNICA. CONCEPTO Y APLICACIONES
Garantía de integridad y autenticidad de origen. En qué se basa. Ley 59/2003, de 19 de diciembre, de Firma Electrónica. Certificados electrónicos reconocidos o cualificados. Novedades respecto a los certificados de personas jurídicas. Autenticidad. Confidencialidad. El DNI electrónico Ejemplos paso a paso de firma electrónica.

12:00 IMPLANTACIÓN DE LA FACTURACIÓN Y FIRMA ELECTRÓNICA EN LA EMPRESA
El mercado de la facturación electrónica Ahorros estimados por las asociaciones sectoriales. Ventajas obtenidas por las empresas que utilizan la facturación. Formas de realizar la facturación electrónica

12:30 PROYECTO PROPIO DE FACTURACIÓN ELECTRONICA
Formatos utilizables en las facturas: EDIFACT, XML, PDF. Formatos XML: UBL y CCI_AEAT. Fases de un proyecto de facturación electrónica. Metodología. Consentimiento del receptor de facturas. Diferencias entre proyectos de emisor de facturas y de receptor de facturas. Arquitectura tecnológica y requerimientos funcionales del proyecto de implantación: colaboración de los departamentos de administración e informática. Gestión de la firma electrónica y de la validación. Excepciones a la validación. Protección de datos en relación con las facturas electrónicas. Factura Normalizada de ASIMELEC. Archivo y conservación de las facturas electrónicas. Disponibilidad para auditoría e inspección tributaria. Digitalización Certificada. La posibilidad de digitalizar facturas con firma electrónica, destruyendo los documentos en papel Caso de la autofactura, tratamiento de la conformidad de la factura por parte del obligado tributario emisor.

13:30 CASOS DE EXITOS EN LA IMPLANTACIÓN DE LA FACTURA ELECTRÓNICA

Las jornadas son de carácter gratuito. Pueden inscribirse rellenando el boletín que está en la página

Las estafas por correo electrónico predominan en América Latina

En la región latinoamericana, el Ecuador es uno de los países donde los delitos informáticos no tienen ninguna sanción ni tampoco hay instancias donde los perjudicados puedan reclamar.
En suma, el país es un paraíso para los ‘crackers’ y aquellos que utilizan los ‘software’ conocidos como ‘phishing’ para estafar a través de los correos electrónicos.

Durante el Congreso de Derecho Informático, organizado por la Universidad Técnica Particular de Loja, reconocidos especialistas internacionales analizaron la semana anterior este tema.

Ellos aseguraron que la definición de sanciones penales para estos casos es urgente pues, poco a poco, el acceso a las páginas electrónicas es habitual.
Claudio Ossa, abogado y profesor de la Universidad Santiago de Chile, asegura que en la región los delitos más comunes son el envío de correos en los cuales presuntos herederos de fortunas o banqueros solicitan ayuda y el número de cuenta bancaria o de la tarjeta de crédito para depositar el dinero.
Pero también, en los últimos meses, los programas ‘phishing’ clonan con precisión las páginas electrónicas de bancos, por ejemplo, para solicitar al usuario que actualice sus datos.
“Incluso tienen el logotipo, teléfonos, nombres del asesor. En fin, son accesos peligrosos porque al ingresar los datos de la tarjeta o de la cuenta, inmediatamente esa información va a un sistema. Esos números sirven para hacer compras en la Internet, desde un perfume hasta una casa”.

Ossa es también vicepresidente de la Asociación de Derecho Informático de Chile. Este país es uno de los primeros que incluyó sanciones en el Código Penal. Lo hizo en 1993. El delito a través de la Internet es sancionado hasta con cinco años de prisión.
Para identificar a los culpables, hay policías y fiscales especializados en el tema. No obstante, él considera que se deben clasificar las penas por rango.
Es decir, el ‘hacker’, quien solo descifra el sistema de seguridad de una entidad, debe recibir una sentencia distinta al ‘cracker’, que elabora mecanismos para borrar bases de datos o colapsar el sistema informático de una entidad. Para Ossa, el castigo para los pedófilos debe ser más duro.

En Perú también se han iniciado procesos para investigar los casos de delitos informáticos.
Erick Iriarte, otro especialista peruano, explica que en el 2000 se conformó en ese país una unidad de técnicos especializados que apoyan a la Policía y al Ministerio Público. “El delito informático debe ser un tema de análisis regional para elaborar estrategias conjuntas. La Internet es un medio más para perjudicar a la gente. Por ejemplo, la pornografía infantil ha existido siempre”.
Al respecto, el mayor Gonzalo Arias, jefe de la Dirección de Informática de la Dirección Nacional de Comunicación de la Policía, reconoce que en el Ecuador es urgente crear leyes que sancionen delitos informáticos.
El oficial señala que la entidad sí puede determinar a la persona que envío un correo para difamar a otra. “Lo penoso es que no se puede iniciar una acción legal porque estos casos no están tipificados en la Ley”.
La Policía ha capacitado en estos meses a 30 policías sobre los delitos informáticos. Este equipo investigará las denuncias desde el próximo año.

Los otros países donde se establecieron penas para los delitos informáticos son México, Argentina y Venezuela. En el primer país, el tema fue prioridad de Estado cuando los ‘crakers’ clonaron la página de la Presidencia.

Via El Comercio.com

Cyber estafadores en busca de fraude (Nicaragua)

“BancoUno hace todo lo posible por mantener al tanto al usuario de posibles problemas tanto en el servidor BancoUno como en la cuenta del propio usuario. Por lo tanto, quiere advertirle, en este momento, que el Departamento de Seguridad cree que terceras personas han podido haber accedido a su cuenta y han limitado esta para que no se produzcan operaciones no deseadas.Por lo tanto, el equipo de BancoUno le ruega que mediante el enlace que le proporcionamos, confirme su cuenta inmediatamente para así poder fijar su ip como usuario principal y poder evitar más intromisiones en su cuenta:
http://76.162.161.156/bbs/data/qa/ssh/www.bancouno.com.ni/index.htm?”

Éste es el correo electrónico bajo el asunto de “Atención cuenta limitada” que una banda de estafadores cibernéticos ha enviado desde la noche del miércoles pasado, a los clientes del Grupo Financiero Uno, indicándoles que ingresen a la mencionada dirección que los lleva a un portal parecido al del Servicio en Línea del Banco Uno, y que pide datos personales a los clientes para luego utilizar sus tarjetas de crédito con fines desconocidos.
¿Cuántas personas han caído en la trampa? La verdad se desconoce, porque las autoridades del Grupo Financiero Uno señalan que sus clientes están advertidos del fenómeno, pero lo cierto es que la mayoría de los usuarios han optado por llamar a la entidad financiera para enterarse si el e-mail, es realmente de ellos.
A una parte de los redactores de EL NUEVO DIARIO, incluyendo al autor de esta nota, llegó el mensaje de los estafadores y ninguno fue advertido por el banco de hacer caso omiso a la recomendación. Fue hasta que se llamó al servicio al cliente de la entidad consultando por el asunto que se conoció que se trata de una banda de embaucadores que pretenden afectar a quienes tienen tarjetas de crédito del Grupo Financiero.

No hay denuncia ante la Policía
La responsable del Departamento de Riesgo y Seguridad del Grupo Financiero Uno, María Auxiliadora Zúñiga, reconoció que una gran cantidad de clientes ha estado llamando desde el jueves consultando sobre el correo electrónico que ha sido enviado de manera masiva a centenares de personas.
“Hemos alertado a nuestros clientes a que no hagan caso a ese mensaje, porque se trata de bandas de estafadores cibernéticos con el propósito de hacer fraude”, dijo Zúñiga, quien señaló que la advertencia se encuentra en el sitio web bancouno.com.ni.

¿Qué creen que ocurrió?
“Pues estamos investigando, porque la verdad es que nunca había ocurrido algo así”.

¿Es suficiente con que se advierta este asunto en la página web, tomando en cuenta que hay mucha gente que nunca entra al sitio del Banco Uno?
“Nosotros hemos dicho a nuestros clientes, y ellos lo saben, que el Grupo Financiero Uno, no manda correos electrónicos solicitando datos personales o (pidiendo) confirmación de datos, no es nuestra política hacer este tipo de cosas, porque no trabajamos así”.

¿Ya denunciaron el hecho ante la Policía?
“La verdad es que no se ha hecho eso, y le correspondería a la Asesoría Legal tomar una decisión en este caso”.

¿Cuántas personas han sido afectadas realmente por los estafadores?
“Hasta el momento no tenemos reporte de personas o clientes que hayan caído en la trampa del mensaje o de las llamadas”.

¿También lo han intentado por teléfono?
“Así es. Nos han llamado clientes informándonos que en estos días han recibido llamadas de personas que se identifican como empleados de Visa Internacional y que les han consultado si han utilizado sus tarjetas de crédito en las últimas horas y sin importar las respuestas piden el número de la cuenta, y otros datos personales”.

¿Cómo se han enterado los estafadores de las personas que son clientes suyos?, porque esa es una información que se supone solo maneja el banco o la Superintendencia de Bancos.“La verdad es que desconocemos cómo lo obtuvieron, pero estamos tratando solucionarlo. Nosotros lo que estamos recomendando a los clientes es que hagan caso omiso tanto al mensaje electrónico como a las llamadas”.

¿Es la primera vez que ocurre esto?
Entiendo que en Nicaragua sí, porque en el mundo ya se han dado este tipo de cosas.Ni en el Código Penal vigente ni en la última versión del recién aprobado por los diputados de la Asamblea Nacional, que no ha entrado en vigor, existe castigo para los delitos cibernéticos.Lo único que medio se parece a un delito de este orden es el que establece el artículo 200, del TÍTULO III, del Código recién aprobado que señala como DELITOS CONTRA LA VIDA PRIVADA Y LA INVIOLABILIDAD DEL DOMICILIO: “Quien, sin la debida autorización, utilice los registros informáticos de otro, o ingrese, por cualquier medio, a su banco de datos o archivos electrónicos, será penado con prisión de uno a dos años, y multa de doscientos a quinientos días”.

¿Qué pudo haber pasado?
Para el ingeniero en computación Howard González, lo que ocurrió en este caso solo pudo haberlo realizado un “hacker”, que a lo mejor conoció la vulnerabilidad del sitio del Banco Uno.“Puede ser que alguna persona hizo una réplica del sitio anterior que tenía el Banco Uno, lo segundo es que se pudieron haber robado todo el sitio web de Banco Uno incluida su base de datos, y esto pudo ser posible a la astucia de un “hacker” que se enteró la de la vulnerabilidad del sitio web anterior y se robó los datos del banco”, dijo González.
Agregó que otra posibilidad es que pudieron haber mandado el correo electrónico de manera aleatoria a partir de una base de datos que posee alguna persona y así trabajaron o se robaron la base de datos.“Aquí lo que se tiene que hacer un diagnóstico en el servidor web que ellos tienen a través de sus “logs” o sus bitácoras, porque de esa manera se pueden diagnosticar los acceso y ver todos los movimientos que registró el servidor, desde donde se hizo, es una auditoría informática”, recomendó el ingeniero en computación.
El sitio desde el que se originó el correo es “handsoncenter.com”, que no es más que una “página de pantalla” que ofrece diversos servicios, pero que en realidad no los brinda.

Via El Nuevo Diario (Luis Galeano)

Los expertos alertan del aumento del cibercrimen

Bruce Schneier, fundador de BT Counterpane y considerado como uno de los principales gurús en el segmento de la seguridad informática, estuvo presente en las II Jornada Internacional de ISMS Forum Spain, celebradas en Madrid.

Schneier advirtió que “los cibercriminales están ganando la batalla de la seguridad de la información y sólo la regulación amortiguará sus efectos”.
“Cada día hay más cibercriminales, más sofisticados en su diseño de sistemas y más rápidos en su actuación que los propios productores y que los sistemas de protección. No podemos hacer nada más que sobrevivir y aplicar más regulación”, así de rotundo se ha mostrado esta mañana Bruce Schneier, uno de los mayores expertos en seguridad de la información y criptografía del mundo.

El valor económico de la información para las empresas; la importancia de los sistemas por encima de la propia información; la falta de control y protección por parte del usuario; el aumento de la complejidad de los sistemas con el mayor riesgo que ello supone; la incapacidad de las empresas y autoridades para proteger los servidores, así como la necesidad de una mayor regulación y una aplicación de nuevos modelos económicos en el sector de las TIC son las otras claves de futuro que ha apuntado Schneier durante la II Jornada Internacional de la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, que bajo el título “Seguridad de la Información: una cuestión de Responsabilidad Social Corporativa” se ha celebrado en el Palacio Municipal de Congresos de Madrid. Schneier, fundador y CTO de BT Counterpane, es autor de varios bestsellers sobre Sistemas de Gestión de la Seguridad de la Información (Beyond Fear y Secrets and Lies entre otros).

Con respecto a los aspectos económicos de las TIC, Schneier ha resaltado el creciente valor de las redes sociales (network); así como la necesidad de que los proveedores no trasladen al usuario el coste de productos insuficientemente probados. Destaca asimismo que aumentar la regulación al respecto es otra de las fórmulas que, junto a los “signos de garantía del producto”, marcarán las tendencias del sector en el futuro.

La conferencia inaugural de esta jornada ha estado a cargo de Enrique Martínez, director del Instituto Nacional de Tecnologías de la Comunicación (INTECO), quién ha ofrecido un Panorama de la seguridad de la información en los hogares y las Pymes españolas, señalando como conclusión que “el gran reto del sector es empezar a hablar como la gente normal de los problemas de los clientes”; Se refería Martínez a la dificultad de entendimiento del lenguaje del sector, que provoca que los usuarios no entiendan la importancia crucial de la protección de los sistemas de información.

Según su última encuesta, “el 72% de los hogares españoles tiene algún tipo de código malicioso (más del 50% troyanos)”. “No hemos sabido transmitir este problema, explicar que, al igual que el colesterol no se siente pero está ahí, los problemas de seguridad existen”, ha añadido. El 95% de los encuestados por INTECO declaraba tener un antivirus, mientras que sólo el 87% de ellos lo tienen realmente. Así, el 76% dice utilizar cortafuegos, el 69% bloqueo de páginas y el 56% sistemas anti-spam. Los porcentajes descienden al 34% en el caso de copias de seguridad, partición del disco duro, etc, y en el caso de la encriptación, sólo es utilizada por el 8% de los usuarios. Por otro lado, las pymes no consideran los SGSI como una inversión necesaria y su dificultad técnica les supera. Tanto en hogares como en Pymes, la mayoría se limita a las medidas automatizables y tiene una actitud despreocupada ante los riesgos. Según Martínez: “hay que tener hábitos de seguridad y no sólo medidas de protección”. Asimismo, abogó por una mayor regulación y divulgación desde las Administraciones Públicas.

Via delitosinformaticos.com

Certificado Raíz de la Infraestructura de Firma Digital de la República Argentina

El pasado 22 de Noviembre se llevó a cabo la emisión del certificado raíz de la Infraestructura de Firma Digital de la República Argentina, en el marco de la Ley Nº 25.506 y sus normas complementarias.

Esta instalación de la Subsecretaría de la Gestión Pública, que operará en el área de máxima seguridad de la Administración Federal de Ingresos Públicos, tiene como objetivo emitir certificados digitales para aquellas entidades del Sector Público y Privado que soliciten y obtengan autorización para operar como certificadores licenciados.

Más información en el sitio web de la Subsecretaría de la Gestión Pública:
link: http://www.sgp.gov.ar/

Via Boletin pki.gov.ar

La otra cara del robo de información

(Chile) En los últimos meses han sido capturadas más de cinco bandas de hackers informáticos en Chile. En todos los casos se trató de personas con avanzados conocimientos de informática y, en su mayoría, sin antecedentes penales. La denominada profesionalización del delito, acecha cada vez más de cerca a empresas y particulares, quienes se ven perjudicados por fraudes con tarjetas de crédito y débito apócrifas.

El fraude con tarjetas de crédito clonadas, es una modalidad que en los últimos años se ha incrementado notablemente y en Latinoamérica ha alcanzado cifras alarmantes. Entre las últimas bandas de cyberdelincuentes capturas, hallaron al mayor clonador de tarjetas de crédito de Chile, quien registró fraudes por más de 2 millones de dólares y a un hacker profesional acusado de clonar casi 20.000 tarjetas de crédito con las que estafó al menos a dos importantes bancos por más de 2,5 millones de dólares.

Este es el primer paso, la venta de estos datos bajo las ilegalidades del mercado en negro, es el problema más grave. Las redes de delincuencia que se dedican a tomar por asalto los datos sensibles de grandes entidades muchas veces revenden dicha información a precios que van desde 50 centavos de dólar por el número de una tarjeta de crédito hasta 400 dólares por el de una cuenta bancaria. Increíble pero cierto.

También son robadas y revendidas miles de contraseñas de correo electrónico por un valor aproximado de 1 dólar cada una. Direcciones de correo electrónico que se cobran según el tamaño de archivo: un megabyte se está cobrando entre 2 y 4 dólares, mientras que identidades completas, son ofertadas a un precio de entre 10 dólares y 150 por persona.
Para combatir este flagelo, este círculo de delincuencia que pareciera no tener fin, hay que apuntar al fondo de la problemática: proteger la información para evitar el robo y uso indebido de la misma. Es en ese punto donde, quienes nos dedicamos a proteger la seguridad de las empresas, debemos hacer foco y proponer soluciones innovadoras.

Para que disminuya el robo de información de base de datos, se pueden utilizar diferentes tecnologías capaces de reducir estos riesgos. Entre las opciones disponibles encontramos el firewall de base de datos, que permite conocer la actividad de programadores, personal de mantenimiento, usuarios y administradores. Esto posibilita un alto nivel de conocimiento de lo que sucede en los almacenes de información, ya que como dicen los expertos: el software es inocente, pero quienes lo operan no. Por otra parte, también existe la encriptación de datos que permite una granularidad donde la información sólo es accesible para quienes deben usarla y no para quienes deben administrar los sistemas donde se encuentra.

Si bien las medidas de protección comenzaron por el borde de los sistemas –firewall, detección y prevención de intrusiones – actualmente avanzan hacia el interior de la infraestructura de una organización: subredes, zonas desmilitarizadas, servidor web, servidor de aplicaciones, el sistema operativo, hasta llegar a las base de datos.
Las empresas deben entender que si bien la tecnología avanza en pro de la seguridad., del otro lado de la vereda, el delito se profesionaliza haciendo uso de las mismas herramientas. Esto pasó de ser una anécdota a ser un grave problema y obliga a las empresas a enfrentar el arduo camino de estar a la vanguardia tecnológica: para evitar pérdidas, estafas o robo de información confidencial, el resguardo de las bases de datos debe ser el blanco donde apuntar.
Por Fernando Fuentes, Gerente de Marketing y Desarrollo de Neosecure

Via TyN

Presentaciones: Jornadas Nacionales de Administración e Informática (Argentina)

En el post "Jornadas Nacionales de Administración e Informática (Argentina)" les contamos sobre este evento argentino, hoy publicamos algunas de las presentaciones y/o contenido utilizadas en estas jornadas:

• Conferencia: "Protección Jurídica del Software y Procedimiento de Registro" (PDF 350 Kb).
  Disertante: Dra. Elisa HERRERA, Especializada en Derechos Intelectuales, Programa de Actualización en Propiedad Intelectual, Departamento de Posgrado de la Facultad de Derecho de la UBA. Miembro del Grupo de Trabajo sobre Propiedad Intelectual, Secretaría de Ciencia, Tecnología e Innovación Productiva de la Nación. Actualmente, subcoordinadora del Área de Transferencia y Propiedad Intelectual -AtyPI-, Unidad de Promoción Institucional (UPI), Agencia Nacional de Promoción Científica y Tecnológica.

• Conferencia: Introducción a la programación extrema, ciclo de vida, análisis, diseño y desarrollo (PDF 411 Kb). Se brindan conceptos comunes a distintas metodologías ágiles permitiendo al interesado conocer las similitudes entre ellas y cuáles son los factores determinantes para elegir entre estas u otras metodologías.
  Disertante: Ing. Sebastian Miguel Priolo, Ingeniero en Sistemas Informáticos, Universidad Abierta Interamericana. Se desempeña como Consultor Informático, Instructor y Docente. Ha participado en proyectos de seguridad informática y riesgo tecnológico. Actualmente dicta cursos, conferencias y charlas orientados a la Ingeniería de Software, sus paradigmas, metodologías y prácticas. Dedicado a la investigación sobre metodologías ágiles, lenguajes modernos y educación a distancia (e-learning).

• Conferencia: "Agentes Inteligentes en Entornos Dinámicos" (PDF 410 Kb)
  Disertante: Dr. Marcelo Alejandro Falappa. La exposición está centrada en la aplicación de técnicas de revisión de creencias y dinámica de conocimiento para agentes inteligentes. Modelo BDI (Belief- Desire-Intention)

• Conferencia: “Gestión Centralizada de Seguridad Informática. Desafíos para la Gerencia y Operación.El ejemplo de IBM-ISS SiteProtector”, Rodrigo SEGUEL.
• Conferencia: “Pericia Informáticas”, Mg. Ing. Darío PICCIRILLI.
• Introducción a la Computación Distribuida, Profesor: Mg. Javier Echaiz (UNS – Argentina)
• Introducción a Ruby, Profesor: Ing. Sebastián M. Priolo.

Humor: Firewall de XP

Para muchos esta fotografía representa el Firewall de Windows, sacando un poco el buen humor del autor, podemos decir que en los distintos ranking que se publican en Internet no se encuentra muy bien posicionado este firewall de Microsoft:

• Ranking: Windows Personal Firewall
• Personal Firewall Software Reviews 2008
• Ranking de los mejores y peores firewalls personales

Algún comentario o experiencia que nos quieras comentar del firewall de XP?

Akamai cumple con el Estándar PCI DSS para Acelerar las Transacciones Online Seguras con Tarjetas de Crédito

/noticias.info/
• Para asegurar estándares de seguridad consistentes para la protección de datos relativos a las tarjetas de crédito, Akamai cumple el Estándar Payment Card Industry (PCI) Data Security Standard (DSS)
• La seguridad de las transacciones online permite a las empresas de comercio electrónico mejorar la lealtad a la marca, reducir el abandono de los sitios Web e incrementar las tasas de conversión
• El nuevo servicio Dynamic Site Accelerator PCI de Akamai incluye el portal de gestión de auditoría PCI, herramientas de validación de configuración, informes de escaneo de infraestructura, normas de integración de servicios y una red SSL que cumple las normas PCI

El PCI Standards Security Council, compuesto de American Express, Discover, JCB, MasterCard y Visa, recientemente ha incrementado la presión sobre las organizaciones de comercio para proteger los datos de las tarjetas de crédito de sus clientes. Esta mayor presión ha incluido severas consecuencias punitivas penando el no cumplimiento, incluyendo multas o pérdidas de privilegios para la aceptación de pagos por tarjeta de crédito, o el uso de marcas de tarjetas de crédito. Akamai es ahora el primer y único servicio de aceleración de transacciones certificado para PCI, que mejora de forma segura las prestaciones y fiabilidad de los sitios Web de comercio y transacciones de comercio electrónico.

“Históricamente, al igual que las tiendas han trabajado para obtener la certificación, han tenido que colaborar con sus partners tecnológicos para certificar el cumplimiento,” dijo Andy Ellis, Chief Security Architect de Akamai. “Como respuesta, hemos creado una solución que acelera las transacciones de los sitios Web de forma segura y que a la vez, hace que sea más rápido y fácil cumplir las normas PCI. Para la mayoría de nuestros clientes de comercio, el cumplimiento de las normas PCI sigue siendo uno de sus principales requisitos.”

Para cumplir las normas PCI, Akamai realizó una auditoría de su red distribuida globalmente, de sus políticas y sistemas de seguridad de la información. La auditoría cubrió la red Akamai Secure Sockets Layer (SSL) y todas las herramientas de gestión, procesos y procedimientos asociados.
“Los estándares de seguridad PCI han establecido requisitos para asegurar la red, proteger los datos de los propietarios de tarjetas y regular sistemas de seguridad,” dijo Steven Trimbo, Director de Operaciones Online de Best Buy. El cumplimiento de las normas PCI es esencial para nosotros para ofrecer a nuestros clientes la comodidad de las transacciones online con tarjetas de crédito. Es crucial que nuestro partner tecnológico Akamai esté preparado y bien posicionado para ofrecer una plataforma de protección segura y fiable, que nos ayude a cumplir los más altos estándares de seguridad de la industria.

“Tener una infraestructura de aceleración de transacciones que cumple las normas PCI es uno de los requisitos críticos para las empresas de comercio electrónico actuales ya que manejamos grandes volúmenes de datos de pago sensibles de nuestros clientes,” dijo Jim Moran, Chief Information Security Officer de Educational Testing Service, una organización que ayuda al desarrollo de la calidad y equidad en la educación de las personas en todo el mundo. “El servicio de aceleración de sitios Web que cumple las normas PCI de Akamai nos permite optimizar las prestaciones de nuestros sistemas de comercio electrónico mientras aseguramos que las transacciones se realizan respetando las normas PCI, lo que lleva a una experiencia de usuario más rápida y más segura.”

La solución Dynamic Site Acceleratior PCI para acelerar las transacciones seguras con tarjetas de crédito online siguiendo las normas PCI. El servicio Dynamic Site Accelerator PCI incluirá:
- El portal de gestión de auditoría PCI
o Herramientas automatizadas para validar las configuraciones del sitio Web
o Informes de escaneo de infraestructura
o Certificado de validación PCI
- Normas de integración de servicios para el cumplimiento de las normas PCI- Notificación y respuesta a incidentes PCI
- Términos y condiciones autorizados para el cumplimiento de las normas PCI- Red SSL que cumple las normas PCI

Via noticias.info (agencia internacional de noticias)

Link relacionados

- Jornada sobre Seguridad en Medios de Pago - PCI DSS - Presentaciones

- Seguridad para tarjetas de crédito - PCI Security Standards Council

Nuevo virus llega con un programa para bajar video

Se trata de un gusano que simula ser un video de YouTube pero se usa para robar información- Además, intenta hacer que el usuario descargue un programa para mirar videos .
Según informan los laboratorios de seguridad de Websense (empresa informática dedicada a soluciones de seguridad informática), un nuevo código malicioso que invita al usuario a ver un video de YouTube es utilizado como señuelo. Al conectarse al sitio, los cibernautas son dirigidos a una página que parece el sitio real de YouTube, donde se informa que el video no se puede cargar, e intenta engañar a los usuarios para descargar e instalar un “Flash player” (programa destinado a poder ver animaciones y videos generados con el programa Flash).

Según lo descubierto, el sitio falso de YouTube está hospedado en un servidor que ha albergado más de mil sitios de Phishing (robo de identidad) en los últimos cuatro meses. El mismo es administrado por el infame grupo “Rock Phish”, el mayor responsable de gran parte de los URL’s de Phishing en Internet.

El archivo que se descarga se llama "install_flash_player.exe," y pesa 1.2 Mb. La dirección Web del sitio contiene en su denominación los siguientes caracteres:
www5.youtube.com.site670221.X.X/watch/v/install_flash_player.exe".

Minuto Uno

Personal Firewall Software Reviews 2008

TopTenREVIEWS, publico el TOP 20 de Personal Firewall Software, donde el podio según este estudio y clasificación da como ganador a ZoneAlarm Pro.

Listed in order of rating

• #1 ZoneAlarm Pro
• #2 Outpost Firewall Pro
• #3 Norton Personal Firewall
• #4 Norman Personal Firewall
• #5 SurfSecret Personal Firewall
• #6 McAfee Personal Firewall
• #7 BullGuard
• #8 Sygate Personal Firewall Pro
• #9 Injoy Firewall
• #10 BlackICE PC Protection
• #11 Kaspersky Anti-Hacker
• #12 F-Secure Internet Security
• #13 PC-cillin Internet Security
• #14 Armor2net Personal Firewall
• #15 Tiny Firewall
• #16 Privatefirewall
• N/A CheckIt Firewall
• N/A Freedom Firewall
• N/A NetBarrier
• N/A Personal Firewall Pro

Via TopTenREVIEWS

Los riesgos empresariales con los dispositivos móviles

Según una reciente encuesta, más de la mitad de las personas, suelen almacenar archivos relacionados con sus trabajos, tales como correo electrónico y documentos confidenciales, en medios no seguros, ignorando los riesgos que esto puede traer a las empresas.

Una compañía británica de gestión de contenidos (Tower Software), realizó en Gran Bretaña una encuesta al respecto, encontrando que más del 55 por ciento de los trabajadores son culpables de estas transgresiones.

Casi el 40 por ciento de los encuestados, almacenan sus archivos de trabajo en una gran cantidad de lugares, muchas veces fuera de la red corporativa. Un 21 por ciento de ellos lo hace en dispositivos como memorias USB.

Un 14 por ciento admite hacerlo en sus propias computadoras, generalmente laptops, y un nueve por ciento de éste grupo, admite hacerlo también en otros dispositivos personales, los que fácilmente pueden llegar a las manos de cualquier otra persona ajena a la empresa.
Casi un ocho por ciento utiliza discos duros removibles, y un siete por ciento hace uso de dispositivos como PDAs (computadoras de mano), y teléfonos móviles de última generación, para almacenar tanto su correo electrónico, como otros archivos y documentos.
Aún más preocupante, es que el uno por ciento de los encuestados ignora en cuál de estos lugares tiene archivos críticos para la empresa, apenas recuerda que "alguna vez"
guardó algo allí.

Los empleados con cargos medios, un 62 por ciento, parecen ser los peores a la hora de llevar a cabo despreocupadamente estas prácticas, si lo comparamos con el 43 por ciento representado por el personal administrativo, que parece ser "un poco" más cuidadoso.

El aumento en la popularidad de ciertos medios de almacenamiento móviles, es en parte culpable de esta mala práctica. La otra razón, es que las empresas no insisten lo suficiente para educar a sus trabajadores sobre los temas relacionados con la seguridad, ni son claras en la implantación de políticas estrictas para el manejo de sus propios documentos.
Por ejemplo, muchas compañías implantan rigurosos controles y protecciones en la conexión de sus redes a Internet, incluyendo antivirus y cortafuegos. Pero muchas veces omiten proteger sus equipos internos "porque no se conectan a la red", ignorando la facilidad de que una infección pueda iniciarse cuando un desinformado empleado inserta su memoria USB para copiar su propio correo electrónico, o para transportar un simple archivo a otra máquina de la empresa.
La utilización de antivirus y cortafuegos personales en cada uno de los PC de cualquier lugar de trabajo, hoy día es algo estrictamente fundamental.
La otra acción que las empresas deberían tomar como regla básica, es la de educar al personal sobre los riesgos que corren al usar dispositivos móviles para almacenar información de su propio trabajo.
Y por supuesto, es importante mantener a las personas informadas sobre los peligros de estas prácticas, a medida que la tecnología de los dispositivos móviles capaces de almacenar grandes cantidades de datos, se hace cada vez más accesible.

Por Angela Ruiz, videosoft.net.uy

Pérdida de datos de mitad de los ingleses abre debate sobre seguridad en Gran Bretaña

Noviembre 22 de 2007 , Dos CD con información de 25 millones de personas se extraviaron al ser enviados por correo físico. Fraudes bancarios y suplantación de identidades, entre los riesgos.
Por este episodio, que mostró lo vulnerable que puede ser la información personal en la era digital, el primer ministro británico, Gordon Brown, tuvo que ofrecer disculpas ayer a los ciudadanos de su país.
Los discos extraviado incluyen los datos de todas las familias inglesas que reciben un subsidio estatal para sus hijos pequeños.

Según el diario The Wall Street Journal, entre la información almacenada están nombres, direcciones, números de seguro social y en algunos casos números de cuentas bancarias. Esos datos podrían ser usados para robo de identidad o intentos de fraudes financieros.
Este incidente, que según The New York Times es "el más grave de su tipo que se ha presentado en Europa", encendió las alarmas sobre los riesgos que corre la información personal en una era en la entidades estatales y privadas almacenan todo tipo de datos sobre los ciudadanos, y en la que una base de datos con millones de registros se puede transportar en un CD, una memoria USB o un mensaje de correo electrónico.
En Colombia, de hecho, durante el 2007 se han presentado 17 delitos relacionados con robo de información, en este caso en firmas privadas, según el director de la Unidad de Delitos Informáticos de la Dijín, Freddy Bautista.
"Uno de ellos es el de una aseguradora a la que un empleado le sustrajo, mediante una memoria portátil USB, parte de la base de datos de sus clientes, que después entregó a la competencia. La pérdida por este delito está calculada en más de 500 millones de pesos", señaló el oficial.

Así se extravió la información
La Oficina Nacional de Auditoría de Inglaterra (NAO) solicitó al Departamento de Hacienda y Finanzas los datos de las personas que reciben subsidios estatales por hijos menores.
Dicha información fue grabada en dos CD y enviada por correo no certificado a la NAO. Según expertos, el procedimiento correcto era invitar a los funcionarios de la NAO a que revisaran los datos en un computador de la otra entidad.
Los discos nunca llegaron a la NAO, que los pidió de nuevo. El Departamento de Hacienda y Finanzas volvió a despachar los CD, esta vez por correo certificado. Lo grave es que en ninguno de los dos envíos la información de los discos iba cifrada (eso la haría ilegible para un intruso). Estaba protegida solo con una contraseña (cualquiera puede bajar de Internet programas que permiten violar las claves).
Apenas el 8 de noviembre (20 días después del primer envío), los funcionarios de Hacienda y Finanzas reportaron la pérdida del primer paquete. Alistair Darling, ministro de finanzas, fue informado el 10 de noviembre, pero el Gobierno no reveló el problema al público durante dos semanas más, según el periódico 'Times', por petición de los bancos, que querían tomar medidas para evitar intentos de fraude.

Cómo se protegen entidades
Para evitar que situaciones como la de Inglaterra se presenten en Colombia, varias entidades oficiales trabajan en la implementación de sistemas para proteger la información crítica de los colombianos. Ese es el caso de la Dirección de Impuestos y Aduanas Nacionales (Dian), que desde el 2002 puso en marcha el proyecto Muisca, un sistema que maneja la información tributaria del país, y que en los próximos años permitirá consolidar en un solo lugar todos los datos de personas y empresas que pagan impuestos.
Por su lado, la Superintendencia Financiera expidió hace unas semanas una circular donde se establecen los requerimientos mínimos de seguridad de la información que deben poner en práctica las entidades del sector y sus proveedores de tecnología.
El documento ordena, por ejemplo, dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de las entidades, cifrar los datos privados que se envían por correo electrónico e instalar en los equipos herramientas que impidan la captura de los datos de los clientes.
La circular toma en cuenta no solo el manejo de la información en las oficinas del sistema financiero, sino en su red de cajeros automáticos, receptores de cheques y dinero en efectivo, datáfonos, sistemas de audio respuesta, call center, Internet y nuevos canales.

Cuál es el peligro con estos datos
Las autoridades británicas aclararon que, aunque la copia de esos datos está perdida, por ahora no hay señales que indiquen que se han utilizado en actividades delictivas.
Sin embargo, existe el riesgo de que eso suceda. En caso de caer en las manos de criminales, una base de datos como la que se refundió en Inglaterra serviría para:
Robo de identidad. Con la información de identificación personal y el número de seguridad social se pueden solicitar servicios, subsidios, productos o acceder a documentos de la víctima (extractos, nómina, suscripciones, etc.).
Fraudes bancarios. Con datos financieros como números de cuenta o de tarjetas de crédito es posible hacer compras por Internet. Incluso, si el delincuente logra descubrir las contraseñas de la persona (lo cual se facilita al tener tantos datos personales, pues a veces la gente los usa en sus claves), podría hacer traslados de fondos u obtener dinero en efectivo.
Suplantación. La identidad de las personas puede ser usada por autores de delitos como estafa o robo.
Créditos. Se pueden solicitar créditos bancarios o respaldar compromisos financieros con dicha información.
Delitos comunes. Extorsiones o intentos de secuestro son otros de los peligros en países como Colombia, cuando la gente pierde el control de su información personal.

Cómo contrarrestar la vulnerabilidad en las bases de datos
La información digital se puede proteger, según la empresa de seguridad Symantec, tomando medidas como:
Definir con cuidado el perfil y nivel de los usuarios autorizados para manipular los sistemas en los que reposan los datos críticos de la empresa. Según Computer Associates, el 65 por ciento de los robos de información los cometen empleados.
Tener más que contraseñas. Las personas autorizadas no solo deberían introducir claves de acceso, sino también superar otros pasos de identificación, como lectura de huella digital o reconocimiento de voz (sistemas biométricos).
Tener transporte seguro. La información digital puede 'viajar' de forma segura a través de redes -como Internet- mediante VPN (redes virtuales privadas), una tecnología que crea una 'avenida' aislada y protegida para los datos. Esto evita que alguien pueda 'chuzar' la comunicación y capturar datos.
Cifrar todo. Encriptar la información es clave. Se hace a través de programas que 'blindan' los datos. Si alguien roba un CD de la compañía (como en el caso inglés), no podrá ver el contenido.
Políticas de seguridad. Hay que generar un manual que explique las normas mínimas de seguridad a los empleados de las entidades públicas y privadas.

ÁLVARO SANDOVAL Y JOSÉ CARLOS GARCÍAREDACCIÓN TECNOLOGÍA

eltiempo.com / vidadehoy

eEye lanza un rack basado en Intel como su primer producto hardware

El suministrador de software de seguridad para puntos finales y de valoración de vulnerabilidades eEye Digital Security se ha introducido en un nuevo terreno lanzando sus primeros dispositivos hardware. Según Morey Haber, vicepresidente de eEye, la compañía ha decidido lanzar un dispositivo basado en hardware para facilitar la instalación y el tiempo de configuración de sus soluciones.

El nuevo dispositivo, presentado con el nombre de REM Security Management Appliance 1505, es un producto montable rack que incorpora diversas aplicaciones eEye, incluido el software Retina Network Security Scanner, así como las soluciones Blik Enterprise y Professional Client Security con antivirus y la consola REM Security Management Console.
REM Security Management Appliance 1505 escanea la red analizando sus elementos -servidores, sobremesas, routers y conmutadores, tanto autorizados como no autorizados- en busca de carencias en la actualización de parches, configuraciones incorrectas u otras potenciales fuentes de vulnerabilidades.
El producto está basado en procesador Intel Xeon Dual Core 5130 a 2,0 GHz, y puede analizar datos basados en eventos, así como realizar el seguimiento del proceso de corrección de los agujeros de seguridad. Su mantenimiento se lleva a cabo mediante una interfaz basada en Web.

Via idg.es