Irregularidades en seguridad de datos de tarjetas de crédito en Latinoamérica

Alumna: Joselyn Márquez
CI 14.323.852

De acuerdo a una encuesta realizada en la página web negocios y tecnologia.netviarsa.com, se pudo determinar que en Latinoamérica la mitad de las empresas encuestadas no dispone de mecanismos básicos para la seguridad de la información. Un 48% desconocía el estándar PCI DSS.
La encuesta, realizada a principios de 2008, se presentó en una muestra significativa de empresas en Latinoamérica para conocer la forma en que almacenan y protegen los datos de tarjetas de créditos. Analizando también el nivel de conocimiento y aplicación del Estándar de Seguridad de Datos en la Industria de Pagos de Tarjeta de Crédito (PCI- DSS), que constituye un marco de buenas prácticas aplicable a todas las organizaciones que recopilan, procesan o almacenan información crediticia.
Los siguientes aspectos pueden ser destacados entre los resultados del trabajo:
Tarjetas de crédito ¿Qué datos se almacenan? Y lo más importante ¿dónde?
• Los datos de tarjetas de crédito residen en múltiples capas dentro de la infraestructura de la información – desde base de datos hasta correo electrónico-, lo que implica grandes desafíos para las empresas en el corto y mediano plazo para prevenir la pérdida de datos.
• Las empresas encuestadas destacaron que las ubicaciones más comunes de los datos de tarjetas de crédito son: base de datos (37%); aplicaciones internas (34%); sistemas de punto de venta (POS) (24%); sistemas de almacenamiento (21%); archivos y carpetas en los servidores (12%); documentos no estructurados, como hojas de cálculo (12%), y correo electrónico (9%).
¿Cómo proteger los datos de tarjetas de crédito? Tecnología + Factor humano
• La mitad de las empresas encuestadas aún no dispone de mecanismos básicos para la seguridad de la información. Sólo el 46%de las empresas encripta los datos almacenados de tarjetas de crédito; mientras que el 49% no encripta ningún dato.
• Por otra parte, el 50% de las empresas consultadas no aplica ninguna solución para monitorear el acceso a estos datos.
• Brindar un acceso remoto seguro a estos datos para empleados, partners y contratistas reduce la exposición al riesgo. En este sentido se observa que sólo el 43% de las empresas encuestadas aplican la autenticación de doble factor - como la seguridad mediante tokens -.
Desconocimiento vs. Cumplimiento
• El 48% de las empresas encuestadas en Latinoamérica desconocían absolutamente el estándar PCI DSS.

• Y entre el 52% que dijo conocerla: el 74% respondió que había tomado medidas para cumplir con los requisitos, el 35% ya estaban en condiciones para cumplir con la norma o esperaban estarlo en los próximos seis meses; y un 25% esperaba poder cumplir con la norma en el transcurso de un año.
Algunos datos acerca de la encuesta de Seguridad de los Datos de las Tarjetas de Crédito en Latinoamérica, realizada por RSA:
• Un total de 164 personas de empresas latinoamericanas respondieron la encuesta de RSA.

• La mayoría de las repuestas se generaron a través de una encuesta online para empresas latinoamericanas a principios de 2008 (123 respuestas).
• Una muestra menor (41 respuestas) fue recolectada durante un evento que tuvo lugar en la Ciudad de México.

• Entre los países con mayor índice de respuesta se encuentran México (39%), Brasil (24%), Argentina (9%), Colombia (7%), Chile (6%), Venezuela (3%), Perú (3%) y Ecuador (3%).
Haciendo un análisis del lo comentado en el articulo podemos deducir que en Latinoamérica existe un mayor porcentaje de empresas que no protegen los datos del cliente en el momento que los mismos hacen uso de las tarjetas de crédito. Esta situación se debe al desconocimiento por parte de las empresas del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI DSS).
A pesar del interés de las empresas por tratar de proteger los datos de las tarjetas de créditos muchas de ellas aun no disponen de mecanismos fundamentales para el resguardo de la información procesada dando como consecuencia que el 48% ----- encripta datos almacenados y el 19% no
Por tal motivo es importante establecer políticas y mecanismos de aplicación, en Latinoamérica para así poder proteger la información crediticia de cada cliente y mantener el buen funcionamiento de las empresas.

VENEZUELA: Citi confirma robo de datos bancarios de 1 % de sus clientes en EEUU y Canadá

Referencia Hilda Fuentes


Nueva York, 9 jun (EFE).- El banco estadounidense Citigroup confirmó hoy que "recientemente" sufrió un ataque informático que comprometió los datos bancarios del 1 por ciento de sus clientes en Estados Unidos y Canadá.

"En una revisión rutinaria descubrimos recientemente accesos no autorizados de nuestro sistema informático que afectaron al 1 por ciento de nuestros clientes en Norteamérica", explicó a Efe el portavoz del banco Sean Kevelighan.

Añadió que se ha puesto en marcha medidas de seguridad para prevenir este tipo de ataques en el futuro y que el banco planea contactar con los clientes cuyos datos bancarios fueron comprometidos en el ciberataque.

Según detalló, los piratas informáticos no tuvieron acceso ni a los números de seguridad social de sus clientes, ni a sus fechas de nacimiento, como tampoco a los tres dígitos de seguridad de las tarjetas de débito y crédito o a sus fechas de vencimiento.

Citi tiene 21 millones de clientes en EE.UU y Canadá por lo que se calcula que el ataque habría afectado a unas 210.000 cuentas bancarias.

El banco estadounidense se une así a otras grandes empresas que en los últimos meses han sido víctimas de ataques informáticos.

Google anunció el 1 de junio el desmantelamiento de un "plan de robo de contraseñas de cientos de correos electrónicos de Gmail de altos funcionarios de EE.UU., activistas chinos, funcionarios de diversos países asiáticos, personal militar y periodistas".

Según Google, el plan estaba supuestamente lanzado desde la ciudad china de Jinan, aunque el Gobierno de Pekín salió rápidamente al paso de estas acusaciones, que tildó de "inaceptables".

Por su parte, la empresa Lockheed Martin, uno de los mayores proveedores de material tecnológico de defensa del Gobierno de EE.UU., también denunció a finales de mayo que había sufrido un ataque cibernético en sus sistemas de información.

En medio de los ataques, la Casa Blanca lanzó a mediados de mayo un plan para actualizar las defensas de EE.UU. en "ciberseguridad" tras detectar que son vulnerables a posibles ataques que puedan dañar el sistema eléctrico, sector financiero y redes de transporte.

Según datos de las autoridades de seguridad de Estados Unidos, cada día se detectan cerca de 60.000 nuevos programas informáticos dañinos. EFE

Importancia y Prevención de La Seguridad de la Información

Zoilibeth Moreno Mendez

Antes de hablar de Seguridad de la Información, es importante conocer que abarca todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

De igual manera, puede definirse como el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.

Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet. Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos y allí entra la Seguridad Informática, pues consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto. La seguridad informática se resume, por lo general, en cinco objetivos principales:

• Integridad: Garantiza que los datos sean los que se supone que son.
• Confidencialidad: Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian.
• Disponibilidad: Garantiza el correcto funcionamiento de los sistemas de información.
• Evitar el rechazo: Garantiza de que no pueda negar una operación realizada.
• Autenticación: Asegura que sólo los individuos autorizados tengan acceso a los recursos.

¿Cómo implementar una política de seguridad?

Generalmente, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a acceder a datos y recursos del sistema configurando los mecanismos de autentificación y control que aseguran que los usuarios de estos recursos sólo posean los derechos que se les han otorgado. Los mecanismos de seguridad pueden sin embargo, causar inconvenientes a los usuarios. Con frecuencia, las instrucciones y las reglas se vuelven cada vez más complicadas a medida que la red crece; por consiguiente, la seguridad informática debe estudiarse de modo que no evite que los usuarios desarrollen usos necesarios y así puedan utilizar los sistemas de información en forma segura.

Por esta razón, uno de los primeros pasos que debe dar una compañía es definir una política de seguridad que pueda implementar en función a las siguientes cuatro etapas:

• Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias.
• Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización.
• Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan.
• Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza.

La política de seguridad comprende todas las reglas de seguridad que sigue una organización; por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, porque afecta a todos los usuarios del sistema. En este sentido, no son sólo los administradores de informática son los encargados de definir los derechos de acceso sino sus superiores. El rol de un administrador de informática es el de asegurar que los recursos de informática y los derechos de acceso a estos recursos coincidan con la política de seguridad definida por la organización.

Partiendo de la premisa, que el administrador es la única persona que conoce perfectamente el sistema, deberá proporcionar información acerca de la seguridad a sus superiores, eventualmente aconsejar a quienes toman las decisiones con respecto a las estrategias que deben implementarse, y constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relación con los problemas y las recomendaciones de seguridad.

La seguridad informática de una compañía depende que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:

• Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados.
• Un procedimiento para administrar las actualizaciones.
• Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente.
• Un plan de recuperación luego de un incidente.
• Un sistema documentado actualizado.


Principales atacantes

El Hacker, es una persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información.
El Craker, es aquella persona que con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un Cracker es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos.

El Lammer, a este grupo pertenecen aquellas personas deseosas de alcanzar el nivel de un hacker pero su poca formación y sus conocimientos les impiden realizar este sueño. Su trabajo se reduce a ejecutar programas creados por otros, a bajar, en forma indiscriminada, cualquier tipo de programa publicado en la red.

El Copyhacker, son una nueva generación de falsificadores dedicados al crackeo de Hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos los bucaneros. Los Copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero.

Bucaneros, son los comerciantes de la red más no existen en ella; aunque no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios.

Phreaker, se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los celulares, han tenido que ingresar también al mundo de la informática y del procesamiento de datos.

Newbie, es el típico "novatos" de red, sin proponérselo tropieza con una página de Hacking y descubre que en ella existen áreas de descarga de buenos programas de Hackeo, baja todo lo que puede y empieza a trabajar con ellos.

Script Kiddie, son simples usuarios de Internet, sin conocimientos sobre Hack o Crack aunque aficionados a estos temas no los comprenden realmente, simplemente son internautas que se limitan a recopilar información de la red y a buscar programas que luego ejecutan sin los más mínimos conocimientos, infectando en algunos casos de virus a sus propios equipos. También podrían denominarse los “Pulsa Botones o Clickquiadores” de la red.


Delitos accidentales e incidentales
Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y variedad; normalmente tienen la peculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio de computadoras son:

• fraudes.
• Falsificación.
• venta de información.

Entre los hechos criminales más famosos en los E.E.U.U. Están:

• El caso del Banco Wells Fargo donde se evidencio que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones.
• El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
• El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos.
• También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá.
• También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una pérdida de USD 3 millones.

Estos hechos y otros nos muestran claramente que los componentes del sistema de información no presentaban un adecuado nivel de seguridad, porque el delito se cometió con y sin intención; logrando penetrar en el sistema de información.

Ataques a Facebook y Mac OS, las principales propagaciónes de virus informáticos del mes

Diumar Bustamante

Hoy en día el uso de la red social facebook crece diariamente de manera incontrolada, al igual que la telefonía móvil, podemos decir que van de la mano, puesto que los teléfonos móviles permiten la navegación de páginas web por internet y la red social facebook es la más usada en los móviles actualmente. Esta red social tiene bondades como el permitir estar comunicado con personas, amigos y familiares desde cualquier lugar del mundo y a cualquier hora. Inicialmente es una buena creación ya que beneficia en el buen sentido de la palabra, con información constantemente de noticias y eventos que suceden a cada instante y es publicada por los demás usuarios de la red social. Conteniendo noticia, farándula, tecnología, salud, política, etc.
Pero como todo en la vida siempre existe el PRO y el CONTRA de las cosas, se puede observar que hay muchos usuarios mal intencionados, piratas informáticos, delincuencia en todos sus ámbitos, violadores, que se dedican a utilizar este medio con la finalidad de beneficiarse o lucrarse, sin importar el daño, dolor o perdidas que puedan realizar o causar a otras personas y usuarios de la red social, desprestigiando dicha red. Para los administradores de la red social facebook es difícil, poder controlar estas acciones de los grupos maliciosos que siempre están atacando y buscando la forma y huecos de la seguridad para lograr sus cometidos cada quien en sus ámbitos.
Además esto se les hace más fácil a los grupos maliciosos puesto que encuentran una variedad de usuarios en la red social que incluye niños y niñas, adolecentes, personas adultas que no tienen conocimiento sobres las vulnerabilidades que se les presenten y son más fácil de ser envueltos en ellas.
Partiendo de la acotación de Federico Pacheco, Gerente de Educación e Investigación de ESET Latinoamérica. Nosotros debemos ser conscientes de que este tipo de amenazas están azotando las redes sociales y estar atentos y cuidar nuestros familiares y divulgar estas informaciones.
Información obtenida en el portal: http://www.colombia.com/tecnologia/actualidad/

La mayoría del malware está ligado a los servicios PPI

Por Ángel Mata

Una nueva investigación sugiere que la mayoría de los ordenadores personales infectados con software malicioso podrían haber llegado a ese estado gracias a un bullicioso mercado que vincula bandas criminales que pagan por instalaciones de software malicioso con piratas informáticos emprendedores que buscan vender el acceso a ordenadores comprometidas.
Los servicios PPI (pay-per-install) se anuncian en sospechosos foros underground de Internet. Los clientes envían sus programas maliciosos-un robot de spam, software antivirus falso, o troyanos para robar contraseñas-al servicio de PPI, que a su vez cobra tarifas desde 7 a 180 dólares por cada mil instalaciones llevadas a cabo con éxito, dependiendo de la ubicación geográfica solicitada de las víctimas deseadas.
Los servicios de PPI también atraen a distribuidores emprendedores de software malicioso, o "afiliados", hackers que tienen la tarea de encontrar la manera de instalar el software malicioso en los ordenadores de las víctimas. Los esquemas de instalación típicos consisten en cargar programas contaminados en redes públicas de intercambio de archivos; pirateando sitios web legítimos para descargar automáticamente los archivos en los visitantes; y en la ejecución silenciosa de los programas en los ordenadores que ya han sido comprometidos. Los afiliados únicamente reciben dinero por las instalaciones realizadas con éxito, a través de un código de afiliado único y estático cosido a los programas de instalación y comunicado de vuelta al servicio de PPI después de cada instalación.
http://foro.elhacker.net/noticias/la_mayoria_del_malware_esta_ligado_a_los_servicios_ppi-t330489.0.html;msg1625971;topicseen
FUENTE :http://www.laflecha.net/canales/seguridad/noticias/la-mayoria-del-malware-esta-ligado-a-los-servicios-ppi

Comentarios:

El análisis de los servicios de PPI indica que con más frecuencia tienen como objetivo los PCs en Europa y los Estados Unidos. Estas regiones son más ricas que la mayoría de las demás, y ofrecen a los afiliados las tarifas por instalación más altas.
Sin embargo, los investigadores suponen que hay factores más allá del precio que pueden influir en la elección del país de un cliente PPI. Por ejemplo, un robot de spam requiere poco más que una dirección de Internet exclusiva para enviar spam, mientras que el software antivirus falso se basa en que la víctima haga un pago con una tarjeta de crédito o domiciliación bancaria, y por lo tanto es posible que tuviera que soportar múltiples idiomas o métodos de compra.
Los expertos también encontraron que los programas de PPI casi siempre instalaban robots que involucraban a los sistemas infectados en una variedad de acciones de tipo "fraude de clics", que consisten en hacer clics fraudulentos o automatizados en anuncios para generar falsos ingresos por publicidad.
Un hallazgo inesperado podría ayudar a explicar por qué los PCs infectados con un tipo de malware a menudo se empantanan rápidamente con infecciones múltiples: los descargadores que forman parte de un esquema a menudo atraen a descargadores de otro. En otras palabras, los afiliados de un servicio de PPI a veces actúan como clientes de otros servicios. En consecuencia, muchos de los instaladores enviados por los afiliados bombardean a los PCs receptores con muchos tipos de software malicioso.

DAME TU CELULAR Y TE DIRÉ DÓNDE ESTUVISTE.

Escrita por Gutiérrez Diana

El artículo encontrado, nos comenta la posibilidad de que la ubicación geográfica de los usuarios del ¡Phone y de ¡Pad, pueda ser seguida con altísima precisión, afectando su privacidad, a través de la herramienta geolocaclización, convirtiéndose en una excesiva intromisión en la privacidad de los usuarios.

Esta noticia creo alarmas entre los usuarios de este servicio, ya que fue difundida la noticia a través del Blog Radar y luego en Blog especializados. Con esta noticia altos directivos de gobierno de distintos países demandaron y piden a la empresa APPLE aclarar en 15 días hábiles acerca del seguimiento no autorizado.

Un punto importante es que cuando los usuarios aceptan la licencia de uso del ¡Phone, autoriza a la compañía a recolectar información sobre la ubicación del equipo. La geolocalización lista las coordenadas geográficas y cuando el equipo se conecta a una antena celular o a un Wi-Fi, se almacenan meses de datos; la ubicación puede tener errores de metros, más así es una violación a la privacidad.

Para evitar que estos datos estén disponibles libremente se requiere del uso de contraseña a la copia de seguridad que se genera en la Mac cuando se sincroniza el ¡Phone, y es recomendable activar la protección con contraseña del móvil.