Feliz año 2010

En esta navidad quiero desearte que sigas triunfando con mucha humildad, amor y prosperidad, por cierto esta ultima es una experiencia interior, no un estado externo, y que esta experiencia no esté ligada al hecho de poseer una suma de dinero determinada. Aunque la prosperidad está relacionada con el dinero, no es causada por el dinero. Mientras ninguna cantidad de dinero puede garantizar la experiencia de prosperidad, es posible sentirse próspero en prácticamente cualquier nivel económico.

Este año observe que tengo una red de compañeras (os) impresionante, lo evidencie durante el nacimiento de mi hija donde me visitaron y llamaron muchas personas que en algún momento de mi vida sembraron esa semilla llamada “amistad” la clínica parecía un congreso de Auditoria de Sistemas y Seguridad de la Información, espero que sigan permaneciendo en mi corazón no como una leyenda del pasado sino con acciones en el presente y futuro.

Este año fue excelente me siento cada día feliz, adicional realice un donativo a muchos niños de escasos recursos en Filipinas y Venezuela, hacer feliz al inocente y desamparado me llena de armonía, basta escuchar los enredos que surgen con los dramas basados en el abandono y en la carencia afectiva. Hay sueños - o mejor dicho, pesadillas - que nos paralizan en la sensación de un intenso dolor sin salida: nos resta apenas la esperanza de que un héroe, que tenga coraje en el corazón, ¡Salve a un niño de la calle! A pesar de que esa fuerza extra se encuentra en nuestro interior, la proyectamos para fuera.

Que DIOS te guarde un lugar amoroso en el corazón de las personas que encontraras durante el año 2010 y que cada momento tengas mucha salud


Freddy Márquez

El blackberry o la vida

Escrito por Freddy Márquez

Hemos observado en Venezuela en los últimos meses el robo de teléfonos blackberry, según consta en el periódico el Universal de fecha 23 de Agosto más de 80.000 robos, solo en la empresa de telefonía celular Digitel, en el mes de julio hubo 20.872 casos de suspensiones de líneas en todo el país después del robo del aparato celular. Asimismo, en junio 27.330 líneas fueron suspendidas. Es un activo de mucho valor para los dueños y podrá ser utilizado por los ladrones para efectuar cambios por drogas, dinero, alcohol o para realizar secuestros virtuales ó presenciales, claro después de haber cometido un salvaje despojo que puede costar hasta la vida. La industria del espionaje telefónico esta utilizando este medio para robar información de los teléfonos que tienen el Bluetooth el cual utiliza una red Inalámbricas de Área Personal (WPANs) que posibilita la transmisión de voz y datos entre diferentes dispositivos mediante un enlace por radiofrecuencia en la banda ISM de los 2,4 GHz. Los principales objetivos que se pretenden conseguir con esta tecnología son:
Facilitar las comunicaciones entre equipos móviles y fijos...
Eliminar cables y conectores entre éstos.
Ofrecer la posibilidad de crear pequeñas redes inalámbricas y facilitar la sincronización de datos entre equipos personales.
Robar contactos personales y empresariales
He observado que las personas pierden su atención en el mundo exterior y la ubican en los mensajes y correos que llegan al celular, esta situación es aprovechada por los delincuentes y es allí cuando sucede un tipo de robos.
Les pido por favor no mostrar el teléfono tampoco atender en áreas publicas, sino resguardarlo como un tesoro y atenderlo en casa u oficina.
Hace unos días un alumno perdió la vida por esta situación favor toma las medidas preventivas y cuida tu vida e información
Saludos
Freddy Márquez

Ahorro Eléctrico

Si no se analizan los impactos del ahorro eléctrico en los servicios de salud, telefonía celular, agua, medios de transporte vamos a crear un verdadero caos en la ciudad capital y principales estados, invito a los responsables de tomar estas acciones a medir los riesgos, pues en Venezuela no estamos preparados para vivir con cambios de esta naturaleza.

Freddy Márquez

La seguridad digital: Alguna vez territorio de los expertos en computadoras, es actualmente la preocupación de todos.

Realizado por Erika Medina
Hasta hace poco la mayoría de la gente no era consciente de la seguridad informática o no la consideraba importante. Eso era por lo general cierto salvo en algunas áreas especializadas –aplicaciones bancarias, aeroespaciales y militares- que dependen de computadoras y redes a las que no se puede ingresar ilegalmente y que no dejan de funcionar. Pero ahora los consumidores, las compañías y los gobiernos del mundo están reaccionando y dándose cuenta de la situación. ¿Por qué? La respuesta obvia parece ser que los ataques terroristas de 2001 en los Estados Unidos intensificaron la conciencia por la seguridad en todas sus formas, pero la razón más profunda es que un cambio cultural a largo plazo está en camino. La seguridad digital creció en importancia mientras que más y más aspectos empresariales y de la vida personal han empezado a depender de las computadoras. La informática en poco tiempo está en el medio de una transición de ser una herramienta opcional a un servicio público omnipresente, y la gente espera que los servicios públicos sean confiables. Una definición de servicio público, de hecho, dice que es un servicio tan confiable que la gente lo nota sólo cuando no funciona.
Uno de los requisitos para que la informática sea un servicio público es la seguridad adecuada. Es peligroso encomendar a una empresa información personal o incluso la vida a un sistema lleno de baches de seguridad. Como resultado, el problema de asegurar las computadoras y las redes, lo que solía sólo importarle a un puñado de administradores de sistemas, se ha vuelto lejos una preocupación más grande.

Secuestro Virtual

Fuente : Anonimo

Ya es demasiado conocida la extorsión telefónica según la cual, alguien llama diciendo que ha secuestrado a un pariente y para liberarlo hay que pagar una suma en efectivo. Esto acaba de ser remodelado, actualizado, ya que la prensa estuvo divulgando como reaccionar ante ello.
Ahora los bandidos están llamando a los celulares, anunciando que fue detectado un clon del aparato:
Así dicen:
- Hola, somos de ( Movistar, Movilnet, Digitel .... ), lamentablemente le informamos que su celular fue clonado, por eso le pedimos apagar su celular por una hora Los que reciben este llamado, apagan inmediatamente su celular creyendo en el excelente servicio de la concesionaria del servicio telefónico. En la siguiente hora, los bandidos se dedican a extorsionar a la familia de la persona llamada. Telefonean a la casa y practican la extorsión del secuestro. Quien recibe la llamada inmediatamente corre a llamar el celular de la persona supuestamente secuestrada y escucha el mensaje:
" El numero que Ud. llama se encuentra apagado o fuera del área de cobertura. "De ahí en adelante toda familia entra en pánico total

Peligros de enviar y recibir cadenas de correo electrónicos

Elaborado por Freddy Márquez

La mayoría de las cadenas de correos electrónicos están diseñadas para colapsar las redes, robo de identidad e información, virus y realizar ataques masivos a las organizaciones e inclusive aumenta el consumo de ancho de bandas y espacio de almacenamiento, la razón de esto es su capacidad de crecimiento potencialmente exponencial. En nuestro país en los últimos tres (3) años hemos acostumbrado a utilizar este tipo de mensajes como de suerte o surge como mensajes de correo convencional que solicitan al remitente reenviarlo bajo la amenaza de que "romper la cadena" ocasiona mala suerte.
Provocan que se divulgue la dirección de correo de muchas personas, esta razón explica una de las motivaciones de la existencia de las cadenas, más allá del simple ocio. La recopilación de direcciones de correo electrónico, a las cuales posteriormente se les enviará SPAM (correos electrónicos no deseados, con fines comerciales), virus y códigos maliciosos, entre otras cosas.

También por esto, muchas cadenas incluyen la frase "reenvía esto a todos tus correos electrónicos, incluyéndome a mí", a final de cuentas no es nada difícil enviar un mail simulando no ser el primero en haberlo recibido.

Es cierto que técnicamente se puede hacer una revisión de los servidores de correo electrónico por los cuales ha pasado un e-mail para saber quién lo envió, pero tampoco es difícil enviarlo desde una cuenta gratuita, o hacerlo "dar algunas vueltas" por varios servidores antes de lanzarlo a circular por el mundo. Para explicarlo de otro modo... ¿no has notado que pareciera que nunca eres el primero en recibir la cadena?
Pero… alguien tuvo que haber sido el primero ¿no?


En nuestro país este tipo de ataques seguirá aumentando debido a la mejora continua de las técnicas utilizadas. Además, la tendencia apunta hacia un aumento del público objetivo de estos ataques para alcanzar así a organizaciones más pequeñas y menos protegidas e incluso a entidades no financieras.
Por eso, es muy importante aprender a reconocer estas trampas y combinar este conocimiento con las tecnologías disponibles en el mercado

Se puede generar un caos si un grupo terrorista tomase el control de un espacio aéreo, de los servidores de un mercado de valores o el control de algún tipo de armamento puede ser peor que cualquier acción terrorista conocida. Esto lo saben todos los gobiernos. Se han establecido protocolos de protección de este tipo de infraestructuras críticas.En este caso, internet y lo email no sería más que un medio para cometer la acción, ya que ésta se puede ejecutar desde cualquier país contra los intereses de otro sin necesidad de desplazarse.

En Venezuela existen compañías organizadas en espionajes tecnológicos dedicadas a realizar ataques masivos en las organizaciones, muchos se preguntarán: ¿Por qué recibo "spam" en mi correo electrónico...?, una de las causas es precisamente el envío de mensajes en cadena, las empresas principalmente las que ofrecen servicio de pornografía o productos piratas, aprovechan esta modalidad, infiltrándose en las empresas clandestinamente para recopilar información de todas las cuentas de correo electrónico registrado.

Por qué la seguridad en el personal de las organizaciones?

Elaborado por: Yelitza Rivas, C.I. 12.507.115
Estudiante de postgrado de Auditoria de Sistemas y Seguridad de la Información


Los activos de información a proteger en una organización son: Hardware, Software, RRHH y procesos, pero el principal activo que se debe proteger es el recurso humano porque existen muchos riesgos de hurto, fraude o mal uso de la información por parte del personal. La norma ISO 17799, en la sección 6 establece las medidas que se deben tomar con el personal, ya que son estos los que van a utilizar los sistemas de información y ciertamente el personal que va a trabajar por ejemplo en el centro de cómputo depende, en gran medida de la integridad y lealtad de su personal, por lo que es requisito fundamental al reclutarlos hacerles exámenes psicológicos y médicos y tener en cuenta sus antecedentes de trabajo. Se deben considerar sus valores sociales, su estabilidad, ya que normalmente son personas que trabajan bajo presión y con mucho estrés, por lo que importa mucho su actitud y comportamiento.
El personal de informática debe tener desarrollado un alto sistema ético y de lealtad, pero en la profesión en algunas ocasiones se cuenta con personas que subestiman los sistemas de control, deben existir adecuadas políticas del personal, tales como una adecuada política de vacaciones, ya que esto permite evaluar la dependencia de lagunas personas, otra es la políticas de reemplazo en caso de renuncia de alguna persona permitirá que, en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organización y la política de rotación del personal que disminuya la posibilidad de fraude, en este caso tenemos que si una persona comete un fraude y lo cambian a otra actividad, puede ser fácilmente detectable porque la nueva persona que está en su lugar se pudiera dar cuenta. Estos procedimientos implican altos costos para las empresas pero se pueden detectar a tiempo algunas irregularidades o se puede conocer la honestidad de algunos, o quién es indispensable y quién no.
Otro aspecto relevante es la motivación del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, lo que disminuirá la posibilidad de ataques intencionados a la organización. Una de las formas de lograr la motivación es otorgarle al personal capacitación y la actualización que se requiera, así como proporcionarle las retribuciones e incentivos justos.
En muchas ocasiones el mayor riesgo de fraude o mal uso de la información está dentro del mismo personal, y la mayor seguridad está en contar con personal leal, honesto y con ética. Para lograr esto se debe contar con personal altamente capacitado, motivado y con remuneraciones adecuadas. Pero también se debe preveer la posibilidad de que exista personal malintencionado, para lo cual se deben tener los controles de seguridad señalados, los cuales deben ser observados principalmente por el personal del área de informática.
Las organizaciones podrán implementar los mejores códigos de ética, manuales de políticas y procedimientos y poner en práctica efectivas medidas antifraude, aun así todos estos mecanismos de control sólo podrá atenuar, mas no evitar la existencia de grandes quiebras y fraudes.
No existen antídotos para eliminar la carencia de valores, las personas no adquieren valores cuando adquieren un título universitario, tampoco lo adquieren como medicamento para inyectárselo. Lo adquieren en su infancia, como parte esencial de: la educación, la cultura, la confianza, el respeto, la autoestima y principalmente el amor que haya recibido en su hogar.

Hacking Ético

Escrita por Vladimir Baptista estudiante de Postgrado Auditoria y Seguridad de la Información

Históricamente cuando las sociedades desean desestimular una actividad se usa los medios de comunicación para “satanizar” un concepto, una profesión o un oficio. Es el caso, que en mi concepto, se esta viviendo con el término HACKER.Para aquellos que nunca han escuchado el término, un “Hacker Ético” es un individuo que posee conocimientos avanzados sobre intrusión de programas, herramientas para quebrantar la seguridad e Ingeniería Social; es decir, conoce los fundamentos psicológicos sobre los cuales son concebidos los sistemas y la forma como interactúan con los individuos. Su función primordial es la de penetrar los sistemas informáticos de las compañías para las que trabajan antes que otra persona lo logre, encontrar los potenciales agujeros en la seguridad y corregirlos a tiempo a fin de evitar males mayores.En Venezuela aun no se reconoce al hacker ético a nivel profesional, por lo tanto, se pueden reconocer tres áreas laborales en las cuales es posible encontrar un hacker. En primer lugar los profesionales que se encuentran laborando con las empresas de seguridad informática, en segundo lugar están aquellos que trabajan en las áreas de sistemas de las empresas y finalmente, aquellos que se dedican a otras actividades comerciales y aprovechan los espacios fuera de sus trabajo para practicar o divertirse “hackeando”.Formar parte del grupo de hacker éticos es un lugar al que muy pocos pueden acceder, sus tareas se dificultan porque dentro de la cultura hacker es un principio no publicitarse como hacker, en segundo lugar formase como hacker ético no es nada fácil porque actualmente en el país no se dan espacios académicos que permitan formar profesionales de la seguridad de la información en tan diversas áreas de la informática, por lo que la mayoría de ellos se forman de manera empírica.En modo de conclusión, uno de los mitos que más ha entorpecido el desarrollo del hacking ético en Venezuela es el pensamiento de qué todo hacker es un delincuente, por lo tanto, las instituciones educativas evitan estos temas por temor a que sus mismos estudiantes ataquen sus sistemas o para evitar posibles dificultades legales.Puntos a Considerar para contratar los servicios de un Hacker Etico:
Fama del hacker, se debe buscar en Internet su currículo para ver que fallas ha detectado y si nunca ha realizado ataques, porque de lo contrario no puede pertenecer al bando de los blancos.
Firma de un contrato donde se incluya una cláusula de confidencialidad.
La empresa debe recibir un informe de todo lo encontrado y las recomendaciones, pero el hacker no puede quedarse con una copia de ese documento.

Seguridad Linux Vs. Comodidad Windows

Por Osmar Mavárez estudiante Postgrado Seguridad y Auditoria de Sistemas

“Estoy conciente de los riesgos de ataques a los que estoy sometido utilizando Windows, pero se me hace muy difícil trabajar con Linux, aunque sea mas robusto en lo que concierne a seguridad”. Tales aseveraciones las escucho muy a menudo de personas acostumbradas a la “comodidad” de trabajar bajo ambiente Windows, y que se niegan a la idea de utilizar Linux, y es cierto, a veces también me incluyo cuando (por aquello del decreto 3390 donde se ordena utilizar Software Libre en todas las instituciones publicas y yo trabajo en Venezuela en una de ellas) tengo que programar con un editor de paginas Web llamado Quanta Plus bajo ambiente Linux existiendo herramientas mucho más cómodas de usar bajo ambiente Windows.
Reveladores artículos han desglosado con acierto las razones por las cuales muchos podemos llegar a pensar que Linux es un sistema operativo más seguro que las distintas versiones de Windows. Por consiguiente ha llegado la hora de colocar en una balanza estas dos alternativas de uso, es decir comodidad Vs. Seguridad. A continuación enumero algunas consideraciones que pudieran ser tomadas en cuenta a la hora de tomar una decisión acertada. Pero permítanme decirles que yo me estoy inclinando hacia la seguridad. La propia filosofía de las distribuciones Linux ha ayudado a construir unas soluciones realmente estables y seguras que se afianzan en varios pilares:

Mejor configuraciones de usuarios: Linux fue diseñado como un sistema operativo multiusuario. Si por desgracia se ejecutara un código malicioso afectaría sólo al usuario que está utilizando el sistema, en cambio en Windows, alguien logueado como administrador provocaría que el problema afecte a todos los usuarios. Estas violaciones a Windows tienen que ver mucho con las diferencias de diseño basado en seguridad de ambos sistemas operativos. Windows ha sido una evolución paulatina de MS-DOS, al cual el tema de seguridad se le ha ido añadiendo con el paso del tiempo, y por tanto nunca ha sido una parte fundamental de su arquitectura.
Mejores herramientas de gestión.
Las actualizaciones de Linux afectan a todos los componentes, mientras que en Windows cada aplicación debe ser actualizada y parcheada por separado.

Arquitectura Open Source
Linux, a diferencia de Windows tiene su código fuente (es decir, el programa que define el sistema operativo) totalmente abierto y libre, lo que significa que cualquiera puede inspeccionar el código, y por tanto mejorarlo y hacerlo mas fuerte, así como poder corregir errores mas rápidamente. El otro lado de la moneda a este argumento es que un sistema al cual los hackers no tengan el código fuente, como Windows, no se puede inspeccionar tan fácilmente, y hay que recurrir mas a ingeniería inversa y ataques automatizados o guiados para descubrir fallas, que puede ser un proceso mas lento. Sin embargo, el consenso mas o menos general en la industria es que en temas de seguridad es preferible tener acceso al código, pues se ha demostrado que "seguridad escondiendo código" no es seguridad, ya que eventualmente esos agujeros latentes se encuentran y se explotan (como ocurre a diario con Windows).

Mejores herramientas para la protección contra ataques Zero-Day: los ataques basados en vulnerabilidades que no han sido corregidas por los fabricantes y desarrolladores a tiempo y que los exploits aprovechan son menos peligrosos en Linux. Herramientas como SELinux o AppArmor proporcionan un control de seguridad con una granularidad muy alta.

El sistema mas atacado exitosamente en Internet es Windows.
Los hackers tienen mucho mas experiencia acumulada atacando a Windows, por lo que quizás el tema de que sea "mas fácil" atacar a Windows sea un ilusión. Sin embargo aparenta por ahora que no es una ilusión y que estas violaciones a Windows tienen que ver mucho con las diferencias de diseño basado en seguridad de ambos sistemas operativos.

Entorno muy diverso: mientras que en Windows el entorno es único y los exploits se extienden fácilmente gracias a que funcionan por ser muy genéricos, las distintas versiones de Linux y de sus aplicaciones hacen más complicado el desarrollo de exploits que tengan un gran potencial.

Diseño modular: Si un componente del sistema está fallando o es vulnerable, es más fácil desactivarlo para que no dé problemas. En cambio en Windows, por ejemplo, si tienes problemas de seguridad con Internet Explorer, no puedes desinstalarlo por separado.

Si tomamos en consideración los 7 puntos anteriores, y alguien me preguntara cual es mas seguro, mi respuesta sería Linux, sin importar que sea por razones técnicas o no, tan solo el tema de que Windows posea alrededor de un 90% del mercado lo hace muy llamativo para los hackers, lo que significa un problema de seguridad mayor para tu hogar y/o organización.

No es coincidencia, pero les juro que cuando estaba finalizando este artículo, por cierto en una máquina Windows, de forma imprevista la pantalla de mi computador se puso negra a consecuencia de un ataque de virus, por suerte había grabado mi artículo en una memoria externa, porque no se pudo levantar el Sistema Operativo. Estas debilidades de me inclinan a recomendar a todos aquellos usuarios de Windows que no estén muy conformes con la “seguridad” que este les genera, comiencen a considerar muy en serio la posibilidad de aprender y utilizar Linux como herramienta segura y provechosa.

Administración de las contraseñas. Internautas usan una contraseña para todos

Realizado por Emma Rosa Juárez Uzcategui.
Estudiante Postgrado auditoria de sistemas y seguridad de la información.

El uso de una sola contraseña facilita al ciberdelincuente probar diferentes accesos a cuentas, incluso a la banca online, para el robo de información.
Diario TI: Sophos recomienda a todos los internautas que piensen en la eficacia de sus contraseñas y que se aseguren de que son diferentes para cada una de las cuentas web que tienen abiertas. El objetivo es proteger sus identidades corporativas y personales y así frustrar los intentos de los hackers de apropiarse de ellas.”Internet"
Considero que de acuerdo a la cantidad de robo de información que se ha venido presentando es responsabilidad de cada uno de nosotros de conservar activas las cuentas de los sistemas y sitios a los cuales accedemos, recordar nuestras contraseñas y seleccionar contraseñas difíciles de adivinar, en especial si manejamos información confidencial o si atendemos a los clientes de cualquier institución. Por ello, a continuación brindo una serie de recomendaciones que espero sean de gran beneficio, tanto para elegir una contraseña como para recordarla:
Elija una contraseña que no se asocie abiertamente a usted
No use su nombre, el nombre de su cónyuge, los nombres de sus hijos ni los nombres de sus mascotas.
No use el nombre de la marca de su automóvil.
No use números de teléfono ni fechas especiales (aniversarios, cumpleaños y otras por el estilo).
Elija una contraseña que no conste en el diccionario (deletreada al derecho o al revés). Los programas para descifrar contraseñas pueden utilizar listas de palabras de los diccionarios.
Invéntese una palabra que sea un disparate.
Escriba mal una palabra de forma intencionada.
Coloque para su contraseña, algunas sílabas de una canción o frase que a Usted le guste.
Es recomendable que si se va anotar la contraseña no se haga en sitio que sea de fácil acceso por persona no autorizadas. Ya que las contraseña deben ser privadas.

Amenaza de la inyección de SQL en la organización

Realizado por Rafael A. Malpica V
Estudiante Postgrado en Seguridad de la Información

La inyección SQL es una técnica de hackeo el consiste en injertar código malicioso dentro de un código limpio con el propósito de alterar los datos y por ende mostrar información incorrecta. Estos tipos de ataques son muy comunes en la web. Esta amenaza de seguridad se debe principalmente a fallas por parte del programador que no es capaz de establecer filtros adecuados en los campos de un formulario. Numerosos sitios web han sido atacados valiéndose de este método. Esta técnica consiste básicamente de colocar dentro de un campo formulario web una sentencia de SQL de una forma tal que el servidor lo interprete como si fuera parte del código original, por eso se le llama inyección.
El objetivo de este ataque principalmente es para dañar datos, también se usa para obtener información confidencial, para luego ser usada por el atacante o ser vendida a terceros.
Muchas web famosas en el mundo han sido víctima de estos ataques como por ejemplo la web de las naciones unidas. Como se menciono anteriormente estos ataques son posibles gracias a la inexperiencia del programador web.
Las organizaciones utilizan la internet como medio para ofrecer sus productos, servicios y también lo usan para dar una imagen corporativa y expandir sus negocios en el mundo. El tener un personal inexperto encargado en elaboración de un WEB por tan sencillo que parezca realizar una web implica un riesgo alto en especial si se habla de una organización altamente automatizada.
Los directivos de muchas organizaciones desconocen realmente el significado de la seguridad de la información y no dicta los mejores controles al momento de contratar el personal encargado de desarrollar aplicaciones web. Suelen contratar a cualquiera con conocimiento mínimo ya que ellos considera erróneamente es una tarea sencilla.
La solución es relativamente sencilla, el programador debe establecer métodos eficientes para filtrar los datos que los usuarios coloquen en los formularios, establecer solo los permisos necesarios de acceso a la base de datos. Es importante destacar que la web no puede tener acceso a la base de datos con privilegios administrativos ya que el riesgo se hace mucho mayor.
Una de las recomendaciones que se le puede dar a la organización es que sea más selectivo al momento de contratar a personal para crear un sitio web o contratar un outsourcing de reconocida trayectoria.